Поддержка Dell Command Secure BIOS Configuration с помощью Dell Command Configure

Podsumowanie: В этой статье приведены подробные сведения о Dell Command I Secure BIOS Configuration (DCSBC) и о том, как использовать программу с Dell Command I Configure (DCC) для обеспечения аутентификации на основе сертификатов для конфигурации BIOS. ...

Ten artykuł dotyczy Ten artykuł nie dotyczy Ten artykuł nie jest powiązany z żadnym konkretnym produktem. Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.
Sprawdź inne zasoby

Instrukcje

Затронутые продукты:

  • Dell Command | Secure BIOS Configuration
  • Dell Command | Configure

Содержание

Введение.

Интерфейсы управления основаны на открытых интерфейсах или командах с аутентификацией по паролю. Аутентификация с помощью пароля уязвима для атаки методом прямого подбора или перебора, поэтому менее безопасна по сравнению с аутентификацией на основе ключа. Для обеспечения целостности и конфиденциальности данных и команд требуется интерфейс управления с улучшенной аутентификацией. Более безопасный интерфейс также позволяет использовать другие технологии для создания защищенного интерфейса, такие как управление паролями, зеркалирование конфигурации платформы, Factory Tools. DCSBC — это методология, позволяющая отказаться от использования паролей BIOS для аутентификации команд DACI. DCSBC обеспечивает надежную связь через создание интерфейса, который использует механизмы аутентификации PKI и зашифрованные каналы для передачи сообщений между платформой и клиентом. Эта методология также обеспечивает целостность и конфиденциальность для защиты данных заказчиков.

В начало

Архитектура Dell Command | Secure BIOS Configuration в DCC

Архитектура Dell Command | Secure BIOS Configuration в DCC

LEGEND: 
DCC — Dell Command Configure
CLI - DCC Client (Pipeline)
DHE — Ephemeral Diffie-Hellman
OTB - On the Box
SCE - Self Contained Executable
Console — MECM, Intune, WorkspaceONE

Решение заключается в создании интерфейса, который использует механизмы аутентификации PKI и зашифрованные каналы для передачи сообщений между платформой и клиентом.

Команда на основе сеанса ссылаются на обмен ключами по протоколу Диффи — Хеллмана.

Защита от повтора частично реализована за счет использования последовательности одноразовых случайных чисел (nonce), прикрепленных к сообщениям DCSBC.

Использование одноразовых случайных чисел позволяет получателю сообщения убедиться, что сообщение уникально, т.е. не используется повторно, и что обеспечивается последовательность операций. Это особенно актуально для команд на основе сеансов. Каждая транзакция включает в себя создание клиентом нового одноразового случайного числа и совместное использование его значения с получателем в незашифрованном виде, а также хэширование значения этого одноразового случайного числа в сообщении, в рамках подписи или кода аутентификации сообщения.

При этом DCSBC с DCC следует модели Server-Client, где сервер DCSBC можно использовать для создания автономных исполняемых файлов для различных рабочих процессов. Эти автономные исполняемые файлы (SCE) можно затем развернуть на конечных точках под управлением IT, с помощью таких инструментов настройки как SCCM/Microsoft Intune.

Пользователю не требуется устанавливать DCC на клиентах/конечных точках. После запуска SCE на конечной точке файл отправляет запросы на сервер DCSBC на получение полезных нагрузок для конфигураций BIOS и выполняет эти операции в BIOS конечной точки.

С помощью этого потока реализуется модель «нулевого доверия» (на клиенте/конечной точке), и такое доверие существует только между BIOS и сервером DCSBC.

В начало

Реализация Dell Command | Configure

В DCC создается SCE для DCSBC для рабочего процесса выделения ресурсов и рабочего процесса настройки BIOS. Операции рабочего процесса классифицируются на основе операций выделения ресурсов и операций настройки BIOS.

  • Рабочий процесс выделения ресурсов. Он дает пользователям возможность создавать сертификат выделения ресурсов для аутентификации безопасного подключения к клиенту для назначения ресурсов. Добавление, удаление или очистка ключей выделения ресурсов и подписание пакета SCE, который является частью рабочего процесса.
  • Рабочий процесс настройки BIOS. Дает пользователям возможность создавать сертификат команд для настройки параметров BIOS на клиенте с помощью выделения ресурсов. Выбор конфигураций BIOS и подписание пакета SCE для настройки BIOS, который служит частью рабочего процесса.

Для выполнения указанных выше рабочих процессов в DCC определены два типа средств управления ключами:

  • Ключ выделения ресурсов. Этот ключ/сертификат можно использовать для подписи полезных нагрузок для рабочего процесса выделения ресурсов, в котором требуется добавить (выделить) новые ключи, удалить существующие ключи или очистить все выделенные ключи.
  • Ключ команды. Этот ключ/сертификат можно использовать для подписи полезных нагрузок для процесса изменения конфигурации BIOS.
Примечание.
  • В любом конкретном экземпляре на клиентском компьютере можно добавить или выделить только один ключ выделения ресурсов
  • На клиентском компьютере в любом экземпляре можно добавить/выделить семь ключей команды.
  • Удаление рабочего процесса выделения ресурсов доступно только для ключей команды. Чтобы удалить ключ выделения ресурсов с клиента, выберите параметр «Clear Provisioning workflow».

В начало

Установка и настройка Dell Command Secure BIOS Configuration Server с DCC

Подробные сведения об установке и настройке DCSBC с DCC см. в Руководстве по установке DCC 5.0 > Установка Dell Command | Configure 5.0 для Dell Command Secure BIOS Configuration (https://www.dell.com/support/home/product-support/product/command-configure/docs)

В начало

Настройка Dell Command Secure BIOS Configuration Server с HTTPS

Настройка сервера Dell Command Secure BIOS Configuration Server с HTTPS. Подробные сведения о настройке сервера DCSBC с https см. Руководство по установке DCC 5.0 > Настройка сервера Dell Command Secure BIOS Configuration Server с помощью HTTPS по ссылке: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

В начало

Создание автономных исполняемых файлов для рабочих процессов DCSBC на сервере DCSBC с помощью пользовательского интерфейса DCC

Подробные сведения о создании SCE для операции выделения ресурсов для сертификатов конфигурации DCSBC см. в Руководстве пользователя DCC > Операция выделения ресурсов для сертификатов Dell Command Secure BIOS Configuration по ссылке: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

В начало

Настройка параметров BIOS с помощью Dell Command Secure BIOS Configuration

Подробные сведения о создании SCE для настройки параметров BIOS с DCSBC см. в Руководстве пользователя DCC > Экспорт SCE для аутентификации BIOS на основе сертификатов по ссылке: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

В начало

Необходимые условия для использования метода подписи HSM для рабочих процессов Dell Command Secure BIOS Configuration

DCSBC с DCC позволяет использовать любого поставщика HSM для подписи полезных нагрузок DCSBC. Однако для использования этого метода подписи полезных нагрузок DCC требуется выполнение ряда предварительных условий, которые указаны ниже.

  • Dell Technologies рекомендует OpenSSL в качестве инструмента подписи с открытым исходным кодом, который можно использовать вместе с поставщиком HSM, настроенным в вашей среде, чтобы DCC могла использовать подписи, созданные методом подписи HSM.
  • В зависимости от используемого поставщика HSM обновите файл HSMSigning.bat, расположенный в следующем местоположении: C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat

В этом файле обновите команду создания подписи в строке 12, совместимую с заданной настройкой HSM. По умолчанию используется следующая команда:

"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1

Указанная здесь команда должна гарантировать создание подписи по тому же пути, который указан в команде по умолчанию, включая следующее заданное имя файла: blobsignature.txt.

Кроме того, не изменяйте последний параметр (например, «%1») в этой команде, поскольку он позволяет команде подписи принять файл полезной нагрузки, который DCC создает во время выполнения.

В начало

Часто задаваемые вопросы

  • Я хотел бы использовать DCC для настройки BIOS с использованием аутентификации по паролю BIOS. Что делать?
    • DCC может создавать пакеты SCE для конфигураций BIOS с помощью аутентификации на основе пароля BIOS. Пользовательский интерфейс DCC поддерживает управление потоком для создания пакетов SCE с аутентификацией на основе пароля BIOS.
  • У меня нет настройки поставщика услуг HSM на сервере Dell Command Secure BIOS Configuration. Как решить эту проблему?
    • Для подписи пакетов SCE для DCSBC можно использовать метод локальной подписи.
      Примечание. Этот метод использует локально созданные закрытые ключи для подписи пакетов SCE. Для защиты закрытых ключей DCC предлагает возможность управлять этими ключами с помощью хранилища сертификатов Microsoft, поэтому не требуется сохранять файлы закрытых ключей на диске.
  • Я хочу установить и настроить Dell Command I Configure с сервером Dell Command Secure BIOS Configuration Server на виртуальной машине. Что делать?
    • Виртуальную машину можно использовать для настройки DCC с сервером DCSBC. На платформе DCC с сервером DCSBC можно создавать автономные исполняемые файлы для задач выделения ресурсов и настройки BIOS. Эта настройка гарантирует возможность управления конфигурациями BIOS и их защиты даже в виртуальной среде.

Produkty, których dotyczy problem

Dell Command | Configure
Właściwości artykułu
Numer artykułu: 000227845
Typ artykułu: How To
Ostatnia modyfikacja: 15 lis 2024
Wersja:  2
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.