使用 Dell Command Configure 提供 Dell Command Secure BIOS Configuration 支持
Podsumowanie: 本文详细介绍了 Dell Command I Secure BIOS Configuration (DCSBC) 以及如何将其与 Dell Command I Configure (DCC) 配合使用,以实现 BIOS 配置的基于证书的身份验证。
Instrukcje
受影响的产品:
- Dell Command | Secure BIOS Configuration
- Dell Command | Configure
目录:
- 简介:
- DCC 中的 Dell Command | Secure BIOS Configuration 架构
- Dell Command | Configure 实施
- 为 Dell Command Secure BIOS Configuration 工作流使用 HSM 签名方法的前提条件
- 常见问题解答
简介:
可管理性接口依赖于开放接口或使用密码进行身份验证的命令。密码身份验证容易遭受暴力破解或字典攻击,因此安全性比基于密钥的身份验证要低。要保护数据和命令的完整性和机密性,需要可管理性接口使用更好的身份验证方法。更安全的接口还支持在受保护的接口上采用其他技术,例如密码管理、平台配置镜像、出厂工具等。DCSBC 是一种不同于使用 BIOS 密码对 DACI 命令进行身份验证的方法。DCSBC 创建一个使用 PKI 身份验证机制和加密通道在平台和客户端之间传递消息的接口,从而提供受信任的通信。这种方法还提供了完整性和机密性来保护客户数据。
DCC 中的 Dell Command | Secure BIOS Configuration 架构
LEGEND: DCC — Dell Command Configure CLI - DCC Client (Pipeline) DHE — Ephemeral Diffie-Hellman OTB - On the Box SCE - Self Contained Executable Console — MECM, Intune, WorkspaceONE
解决方案是创建一个接口,该接口使用 PKI 身份验证机制和加密通道在平台和客户端之间传递消息。
基于会话的命令引用 Diffie-HeIIman 类型密钥交换。
重放保护部分地通过使用附加到 DCSBC 消息的一次性随机数序列来实现。
使用随机数使消息的接收者能够确保消息是唯一的,因此不会重用,并且维持操作顺序。对于基于会话的命令尤其如此。在每个事务中,客户端生成一个新的随机数,以不加密形式与接收方共享该随机数值,并对消息中的随机数值进行哈希处理,作为签名或消息身份验证代码的一部分。
在这个过程中,DCSBC with DCC 遵循服务器-客户端模型,其中 DCSBC 服务器可用于为不同的工作流创建独立可执行文件。然后,可以使用 SCCM/Microsoft Intune 等配置工具将这些独立可执行文件 (SCE) 部署到 IT 托管端点。
用户无需在客户端/端点上安装 DCC。SCE 在端点上运行后,它会向 DCSBC 服务器发出请求以获取 BIOS 配置的有效负载,并在端点 BIOS 上执行这些操作。
使用此流程可实现零信任(在客户端/端点上)策略,并且信任仅存在于 BIOS 和 DCSBC 服务器之间。
Dell Command | Configure 实施
在 DCC 中,DCSBC 的 SCE 是为预配工作流和 BIOS 配置工作流创建的。工作流操作根据预配操作和 BIOS 配置操作进行分类:
- 预配工作流:允许用户创建预配证书来验证与客户端的安全连接,以便进行预配。此工作流包括添加、删除或清除预配密钥,以及对 SCE 软件包进行签名。
- BIOS 配置工作流:此流程允许用户创建命令证书,以使用预配在客户端中配置 BIOS 设置。此工作流包括选择 BIOS 配置和对 BIOS 配置 SCE 软件包进行签名。
为实现上述工作流,DCC 中定义了两种类型的密钥控制:
- 预配密钥:此密钥/证书可用于为预配工作流的有效负载签名,在该工作流中,你可以添加(预配)新密钥/删除现有密钥/清除所有预配密钥。
- 命令密钥:此密钥/证书可用于为 BIOS 配置更改流程的有效负载签名。
- 在任何给定时刻,只能在客户端计算机上添加或预配一个预配密钥
- 在任何给定时刻,可以在客户端机器上添加/预配七个命令密钥。
- 删除预配工作流仅适用于命令密钥。要从客户端中删除预配密钥,请选择清除预配工作流选项。
使用 DCC 安装和设置 Dell Command Secure BIOS Configuration 服务器
有关如何安装和设置 DCSBC with DCC 的详细信息,请参阅 DCC 5.0 安装指南 > 为 Dell Command Secure BIOS Configuration 安装 Dell Command | Configure 5.0 (https://www.dell.com/support/home/product-support/product/command-configure/docs)
使用 HTTPS 配置 Dell Command Secure BIOS Configuration 服务器
使用 HTTPS 配置 Dell Command Secure BIOS Configuration 服务器。有关如何使用 https 配置 DCSBC 服务器的详细信息,请参阅 DCC 5.0 安装指南 > 使用 HTTPS 配置 Dell Command Secure BIOS Configuration 服务器: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
使用 DCC UI 在 DCSBC 服务器上为 DCSBC 工作流创建独立可执行文件
有关如何创建 SCE 以执行 DCSBC Configuration 证书预配的详细信息,请参阅 DCC 用户指南 > Dell Command Secure BIOS Configuration 证书的预配:(https://www.dell.com/support/home/product-support/product/command-configure/docs)
使用 Dell Command Secure BIOS Configuration 配置 BIOS 设置:
有关如何创建 SCE 以使用 DCSBC 配置 BIOS 设置的详细信息,请参阅此处的 DCC 用户指南 > 导出 SCE 以进行基于证书的 BIOS 身份验证:(https://www.dell.com/support/home/product-support/product/command-configure/docs)
为 Dell Command Secure BIOS Configuration 工作流使用 HSM 签名方法的前提条件
DCSBC with DCC 允许您使用任何 HSM 供应商为 DCSBC 有效负载签名。但是,要使用此方法为有效负载签名,DCC 需要满足下面列出的几个前提条件:
- Dell Technologies 推荐使用 OpenSSL 作为开源签名工具,它可与您在环境中设置的 HSM 供应商配合使用,以允许 DCC 使用通过 HSM 签名方法生成的签名。
- 根据您使用的 HSM 供应商,更新以下位置的 HSMSigning.bat 文件:C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat
在此文件中,更新第 12 行中与您的 HSM 设置兼容的签名生成命令。默认使用的命令为:
"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1
此处提供的命令应确保签名应生成到默认命令中提到的相同路径,包括要设置为 blobsignature.txt 的文件名。
此外,请确保不要修改此命令中的最后一个选项(例如,“%1”),因为它允许签名命令接受 DCC 在运行时生成的要签名的有效负载文件。
常见问题解答
- 我想使用 DCC 执行使用 BIOS 密码身份验证的 BIOS 配置。我应该怎么做?
- DCC 可以使用基于 BIOS 密码的身份验证为 BIOS 配置生成 SCE 软件包。DCC UI 维护一个控制流,用于使用基于 BIOS 密码的身份验证创建 SCE 软件包。
- 我的 Dell Command Secure BIOS Configuration 服务器上没有设置 HSM 服务供应商。如何解决此问题?
- 可以使用本地签名方法为 DCSBC 的 SCE 软件包签名。
提醒:此方法使用本地生成的私钥为 SCE 程序包签名。为了保护私钥,DCC 提供了使用 Microsoft 证书存储管理这些密钥的功能,因此无需将私钥文件保存在磁盘上。
- 可以使用本地签名方法为 DCSBC 的 SCE 软件包签名。
- 我想要在虚拟机上安装和设置 Dell Command I Configure with Dell Command Secure BIOS Configuration 服务器。我应该怎么做?
- 您可以使用虚拟机设置 DCC with DCSBC 服务器。在具有 DCSBC 服务器的 DCC 平台上,您可以为预配和 BIOS 配置任务创建独立可执行文件。此设置可确保即使在虚拟环境中,您也可以管理和保护 BIOS 配置。