Podpora serveru Dell Command Secure BIOS Configuration s nástrojem Dell Command Configure

Dotčené produkty:

• Dell Command | Secure BIOS Configuration
• Dell Command | Configure

Obsah:

• Úvod:
• Architektura Dell Command | Secure BIOS Configuration v nástroji DCC
• Implementace nástroje Dell Command | Configure
  • Instalace a nastavení serveru Dell Command Secure BIOS Configuration s nástrojem DCC
  • Konfigurace serveru Dell Command Secure BIOS Configuration s protokolem HTTPS
  • Vytváření samostatných spustitelných souborů pro pracovní postupy DCSBC na serveru DCSBC pomocí uživatelského rozhraní DCC
• Požadavky na použití metody podepisování HSM pro pracovní postupy Dell Command Secure BIOS Configuration
• Nejčastější dotazy

Úvod:

Rozhraní pro správu spoléhají na otevřená rozhraní nebo příkazy ověřené heslem. Ověřování heslem je zranitelné vůči útoku hrubou silou nebo slovníkovému útoku, a proto je méně bezpečné ve srovnání s ověřováním založeným na klíčích. K zajištění ochrany integrity a důvěrnosti dat a příkazů je zapotřebí lepší ověřené rozhraní pro správu. Bezpečnější rozhraní také umožňuje, aby na chráněném rozhraní stavěly další technologie, jako je například správa hesel, zrcadlení konfigurace platformy, nástroje od výrobce. DCSBC představuje odklon od ověřování příkazů DACI pomocí hesel systému BIOS. DCSBC poskytuje důvěryhodnou komunikaci vytvořením rozhraní, které používá mechanismy ověřování PKI a šifrované kanály k předávání zpráv mezi platformou a klientem. Tento přístup také poskytuje integritu a důvěrnost pro ochranu zákaznických dat.

Zpět na začátek

Architektura Dell Command | Secure BIOS Configuration v nástroji DCC

LEGEND: 
DCC — Dell Command Configure
CLI - DCC Client (Pipeline)
DHE — Ephemeral Diffie-Hellman
OTB - On the Box
SCE - Self Contained Executable
Console — MECM, Intune, WorkspaceONE

Řešením je vytvořit rozhraní, které používá mechanismy ověřování PKI a šifrované kanály k předávání zpráv mezi platformou a klientem.

Odkazy příkazů na relaci na výměnu klíčů typu Diffie-HeIIman.

Ochrana proti přehrání se částečně provádí pomocí sekvence náhodných čísel na jedno použití (nonce) připojených ke zprávám DCSBC.

Použití těchto čísel (nonce) umožňuje příjemci zprávy zajistit, aby zpráva byla jedinečná, a nebylo ji možné znovu použít, a aby byla zachována posloupnost operací. To platí zejména pro příkazy založené na relaci. Každá transakce zahrnuje klienta, který generuje nové hodnoty nonce a sdílí hodnoty nonce s příjemcem v nešifrovaném formátu a hashování hodnoty nonce ve zprávě, a to buď jako součást podpisu, nebo ověřovacího kódu zprávy.

V rámci toho se DCSBC s nástrojem DCC řídí modelem server/klient, kde lze server DCSBC použít k vytváření samostatných spustitelných souborů pro různé pracovní postupy. Tyto samostatné spustitelné soubory (SCE) je pak možné nasadit do koncových bodů spravovaných IT pomocí konfiguračních nástrojů, jako je SCCM/Microsoft Intune.

Uživatel nemusí na klientech/koncových bodech instalovat nástroj DCC. Jakmile se proces SCE spustí na koncovém bodě, zadá požadavky na server DCSBC za účelem získání datových částí pro konfigurace systému BIOS a provádí tyto operace v systému BIOS koncového bodu.

Pomocí tohoto postupu je dosaženo zásady nulové důvěry (na klientovi/koncovém bodu) a důvěryhodnost existuje pouze mezi systémem BIOS a serverem DCSBC.

Zpět na začátek

Implementace nástroje Dell Command | Configure

V nástroji DCC se SCE pro DCSBC vytvoří pro pracovní postup zřizování a pracovní postup konfigurace systému BIOS. Operace pracovního postupu jsou klasifikovány na základě operací zřizování a operací konfigurace systému BIOS:

• Pracovní postup zřizování – Umožňuje uživatelům vytvořit zřizovací certifikát k ověření zabezpečeného připojení ke klientovi za účelem zřizování. Přidání, odstranění nebo vymazání zřizovacích klíčů a podepsání balíčku SCE, které je součástí pracovního postupu.
• Pracovní postup konfigurace systému BIOS – Tento tok umožňuje uživatelům vytvořit příkazový certifikát pro konfiguraci nastavení systému BIOS v klientovi pomocí zřizování. Výběr konfigurací systému BIOS a podepsání balíčku SCE konfigurace systému BIOS, které je součástí pracovního postupu.

K dosažení výše uvedených pracovních postupů jsou v nástroji DCC definovány dva typy klíčů:

• Zřizovací klíč – Tento klíč/certifikát lze použít k podepisování datových částí pracovního postupu zřizování, kde chcete přidat (zřídit) nové klíče / odstranit stávající klíče / vymazat všechny zřízené klíče.
• Příkazový klíč – Tento klíč/certifikát lze použít k podepisování datových částí v rámci procesu změny konfigurace systému BIOS.

Zpět na začátek

Instalace a nastavení serveru Dell Command Secure BIOS Configuration s nástrojem DCC

Podrobnosti o instalaci a nastavení serveru DCSBC s nástrojem DCC naleznete v průvodci instalací DCC 5.0 > Instalace nástroje Dell Command | Configure 5.0 pro server Dell Command Secure BIOS Configuration (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Zpět na začátek

Konfigurace serveru Dell Command Secure BIOS Configuration s protokolem HTTPS

Konfigurace serveru Dell Command Secure BIOS Configuration pomocí protokolu HTTPS. Podrobnosti o konfiguraci serveru DCSBC pomocí protokolu HTTPS naleznete v průvodci instalací DCC 5.0 > Konfigurace serveru Dell Command Secure BIOS Configuration pomocí protokolu HTTPS zde: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Zpět na začátek

Vytváření samostatných spustitelných souborů pro pracovní postupy DCSBC na serveru DCSBC pomocí uživatelského rozhraní DCC

Podrobnosti o vytvoření souborů SCE za účelem zřizování konfiguračních certifikátů DCSBC naleznete v uživatelské příručce k nástroji DCC > Provádění zřizování pro certifikáty Dell Command Secure BIOS Configuration zde: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Zpět na začátek

Konfigurace nastavení systému BIOS pomocí nástroje Dell Command Secure BIOS Configuration:

Podrobnosti o vytvoření souborů SCE pro konfiguraci nastavení systému BIOS pomocí nástroje DCSBC naleznete v uživatelské příručce k nástroji DCC > Export souborů SCE pro ověřování systému BIOS založeném na certifikátech zde: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Zpět na začátek

Požadavky na použití metody podepisování HSM pro pracovní postupy Dell Command Secure BIOS Configuration

DCSBC s nástrojem DCC umožňuje k podepisování datových částí DCSBC použít libovolného dodavatele HSM. Aby však bylo možné použít tuto metodu podepisování datových částí, musí být v nástroji DCC splněno několik níže uvedených požadavků:

• Společnost Dell Technologies doporučuje OpenSSL jako open source nástroj pro podepisování, který se dá použít společně s poskytovatelem HSM, kterého jste nastavili ve svém prostředí, aby nástroj DCC mohl používat podpisy vygenerované metodou podepisování HSM.
• V závislosti na poskytovateli HSM, kterého používáte, aktualizujte soubor HSMSigning.bat v následujícím umístění: C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat

V tomto souboru aktualizujte příkaz generování podpisu na řádku 12, který je kompatibilní s vaším nastavením HSM. Ve výchozím nastavení se používá příkaz:

"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1

Zde uvedený příkaz by měl zajistit, aby se podpis vygeneroval pro stejnou cestu, jaká je uvedena ve výchozím příkazu, včetně názvu souboru, který má být nastaven jako blobsignature.txt.

Také se ujistěte, že neměníte poslední možnost (například „%1“) v tomto příkazu, protože ta umožňuje přijmout soubor datové části k podpisu, který nástroj DCC generuje za běhu.

Zpět na začátek

Nejčastější dotazy

• Chci používat nástroj DCC ke konfiguraci systému BIOS pomocí ověřování hesla systému BIOS. Co mám dělat?
  • Nástroj DCC může generovat balíčky SCE pro konfigurace systému BIOS pomocí ověřování pomocí hesla systému BIOS. Uživatelské rozhraní DCC udržuje řízení toku pro vytváření balíčků SCE s ověřováním pomocí hesla systému BIOS.
• Nemám na serveru Dell Command Secure BIOS Configuration nastaveného poskytovatele služeb HSM. Jak to vyřešit?
  • K podepisování balíčků SCE pro server DCSBC lze použít místní metodu podepisování.
    Poznámka: Tato metoda používá k podepisování balíčků SCE místně generované soukromé klíče. K zabezpečení privátních klíčů nabízí nástroj DCC možnost spravovat tyto klíče pomocí úložiště certifikátů Microsoft, takže není nutné ukládat soubory privátních klíčů na disk.
• Chci nainstalovat a nastavit nástroj Dell Command I Configure pomocí serveru Dell Command Secure BIOS Configuration na virtuálním počítači. Co mám dělat?
  • K nastavení nástroje DCC se serverem DCSBC můžete použít virtuální počítač. Na platformě DCC se serverem DCSBC můžete vytvářet samostatné spustitelné soubory pro úlohy zřizování i konfigurace systému BIOS. Toto nastavení zajišťuje, že můžete spravovat a zabezpečit konfigurace systému BIOS, a to i ve virtuálním prostředí.