Dell Trusted Device 설치 및 관리자 가이드 v3.
참고, 주의 및 경고 노트: 참고"는 제품을 보다 효율적으로 사용하는 데 도움이 되는 중요 정보를 제공합니다. 주의: 주의사항은 하드웨어의 손상 또는 데이터 유실 위험을 설명하며, 이러한 문제를 방지할 수 있는 방법을 알려줍니다. 경고: 경고는 재산 손실, 신체적 상해 또는 사망 위험이 있음을 알려줍니다. © 2019 - 2021 Dell Inc. All rights reserved. Registered trademarks and trademarks used in this document: Dell™ and the Dell logo, Dell Latitude™, OptiPlex™, Precision™, and XPS™ are trademarks of Dell Inc.
목차 장 1: 소개........................................................................................................................................ 5 Dell ProSupport에 문의........................................................................................................................................................ 5 장 2: 요구 사항................................................................................................................................ 6 사전 요구 사항........................................
문제 해결.............................................................................................................................................................................
1 소개 Dell Trusted Device 에이전트는 Dell SafeBIOS 제품 포트폴리오의 일부입니다. Trusted Device 에이전트에는 BIOS Verification, 이미지 캡처, BIOS 이벤트 및 공격 징후, 보안 위험 보호 점수가 포함됩니다. BIOS Verification은 IT 관리자의 가시성이 부족한 운영 체제 아래에 디바이스가 안전하게 보호된다는 사실을 고객에게 확인해줍니다. 이를 통해 고객은 부팅 프로세스를 중단하지 않고 오프 호스트 프로세스를 통해 BIOS 무결성을 확인할 수 있습니다. Trusted Device 에이전트가 엔드포인트에서 실행된 후 일부 위치에서 통과 또는 실패 결과(0 또는 1)가 표시됩니다. ● ● ● ● ● 웹 브라우저 명령줄 레지스트리 항목 이벤트 뷰어 로그 BIOS 이벤트 및 공격 징후를 통해 관리자는 엔터프라이즈 엔드포인트에서 BIOS를 대상으로 하는 악의적 공격자를 나타낼 수 있는 Windows 이벤트 뷰어의 이벤트를 분석할 수 있습니다.
2 요구 사항 ● 지원되는 플랫폼 목록은 아래 표를 참조하십시오. 노트: Trusted Device 에이전트가 타사 플랫폼에 설치되어 있는 경우 다음 오류가 표시됩니다. 노트: Trusted Device 에이전트가 지원되지 않는 플랫폼에서 실행되는 경우 다음 오류가 표시됩니다. 제외 사항 타사 소프트웨어, 안티바이러스 또는 스크립트와의 호환성을 위해 제외가 필요할 수 있습니다. 다음을 제외하십시오. 폴더 ● C:\ProgramData\Dell\BiosVerification ● C:\Program Files\Dell\BIOSVerification ● C:\Program Files\DELL\TrustedDevice 파일 또는 프로세스 ● ● ● ● 6 C:\Program Files\DELL\TrustedDevice\Dell.SecurityCenter.Agent.Console.exe C:\Program Files\DELL\TrustedDevice\Dell.TrustedDevice.Service.
● C:\Windows\System32\drivers\DellBV.sys ● C:\Windows\System32\drivers\dtdsel.sys 파일 형식 ● .bv ● .rcv ● .sha256 사전 요구 사항 사전 요구 사항 ● 설치 프로그램에는 Microsoft .NET Framework 4.7.2 이상이 필요합니다. 설치 프로그램은 Microsoft .NET Framework 구성 요소를 설치하지 않습니다. Dell에서 배송된 모든 컴퓨터에는 전체 버전의 Microsoft .Net Framework 4.8 이상이 사전 설치되어 있습니다. 설치되어 있는 Microsoft .Net의 버전을 확인하려면 설치하고자 하는 컴퓨터에서 해당 지침을 따르십시오. Microsoft .Net Framework 4.7.2를 설 치하려면 해당 Microsoft 지침을 참조하십시오. Microsoft .Net Framework에 대한 자세한 내용은 해당 Microsoft 문서를 참조하십 시오.
Dell 컴퓨터 모델 ○ ○ ○ ○ Latitude 5300 2-in-1* Latitude 5310* Latitude 5310 2-in-1* Latitude 5320 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Latitude 5400* Latitude 5401* Latitude 5410* Latitude 5411* Latitude 5420 Latitude 5424 Latitude 5480 Latitude 5490 Latitude 5491* Latitude 5495 Latitude 5500* Latitude 5501* Latitude 5510 Latitude 5511* Latitude 5520 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Latitude 5580 Latitude 5590 Latitude 5591 Latitude 7200 2-in-1* Latitude 7210 2-in-1* Latitude 7220 Rugged 태블 릿* Latitude 7220 Rugged Ext
포트 ● Trusted Device에서는 인증서 고정을 사용합니다. Trusted Device 에이전트는 SSL 및 TLS 검사와 심층 패킷 분석을 통과해야 합니 다. Trusted Device 에이전트가 포트 443을 허용 목록에 추가하여 Dell Cloud와 통신할 수 있는지 확인합니다. 자세한 내용은 다음 표를 참조하십시오. 대상 프로토콜 포트 service.delltrusteddevicesecurity.com HTTPS 443 api.delltrusteddevicesecurity.com HTTPS 443 운영 체제 ● 다음 표에 지원되는 운영 체제가 나와 있습니다.
3 소프트웨어 다운로드 이 섹션에서는 dell.com/support에서 소프트웨어를 다운로드하는 방법에 대해 자세히 설명합니다. 이미 소프트웨어가 있는 경우 이 섹션을 건너뛰십시오. 시작하려면 dell.com/support로 이동합니다. 1. Dell 지원 웹 페이지에서 모든 제품 찾아보기를 선택합니다. 2. 제품의 목록에서 보안을 선택합니다. 3. Trusted Device 보안을 선택합니다. 한 번 선택하고 나면 선택 내용이 웹사이트에 기억됩니다.
4. 제품을 선택합니다. Trusted Device 5. 드라이버 및 다운로드를 선택합니다. 6. 원하는 클라이언트 운영 체제 유형을 선택합니다. 7. Trusted Device 에이전트를 선택합니다. 8. 다운로드를 선택합니다.
4 설치 패키지 확인 Trusted Device 설치 패키지는 Dell 소유 인증서로 서명된 인증 코드입니다. 설치 패키지를 확인하려면 다음을 수행합니다. 1. TrustedDevice-xxbit.msi를 마우스 오른쪽 버튼으로 클릭합니다. 2. 속성을 선택합니다. 3. 디지털 시그너처 탭을 선택합니다. 4. 서명 목록에 Dell Inc가 표시되는지 확인하고 선택합니다. 5. 세부 정보를 선택합니다. 6. 디지털 시그너처 정보에 디지털 시그너처가 유효함이 표시되는지 확인합니다. 노트: 디지털 시그너처 정보에 디지털 시그너처가 유효하지 않음이 표시되는 경우 설치를 계속할 수 없습니다.
5 설치 다음 방법 중 하나를 사용하여 Trusted Device agent를 설치합니다. ● 대화형 설치 ● 명령줄 설치 대화형 설치 Trusted Device 에이전트 설치 프로그램에는 관리자 권한이 필요합니다. 유틸리티의 비트 전송률과 호스트 컴퓨터 운영 체제의 아키 텍처가 일치해야 합니다. 다음 중 하나를 선택하십시오. ● TrustedDeviceSetup.msi - 32비트 설치 프로그램 ● TrustedDeviceSetup-64bit.msi - 64비트 설치 프로그램 1. TrustedDeviceSetup-64bit.msi를 로컬 컴퓨터로 복사합니다. 2. TrustedDeviceSetup-64bit.msi를 두 번 클릭하여 설치 프로그램을 실행합니다. 3. 시작 화면에서 다음을 클릭합니다. 4. 라이선스 계약을 읽고 약관에 동의한 후 다음을 클릭합니다. 5.
7. 기본적으로 Trusted Device 설치 프로그램에서는 바로 가기를 설치하지 않습니다. 바로 가기를 설치하려면 Dell Trusted Device 바로 가기 기능 트리 메뉴를 클릭하고 이 기능이 로컬 하드 드라이브에 설치됩니다를 선택합니다. 계속하려면 다음을 클릭합니 다. ● 8. 설치를 클릭하여 설치를 시작합니다.
9. 상태 창이 표시되지만 몇 분 정도 걸릴 수 있습니다. 10. 마침을 클릭합니다.
설치 후 브라우저가 시작되고 결과가 표시됩니다. 자세한 내용은 결과, 문제 해결 및 수정을 참조하십시오. 메시지가 나타나면 컴퓨터를 재시작하여 설치를 완료합니다. 설치된 버전을 대화형으로 확인 설치된 Dell Trusted Device 에이전트 버전을 대화형으로 확인하려면 다음 방법을 사용하십시오. 1. 작업 표시줄의 검색하려면 여기에 입력하십시오에 앱 및 기능을 입력합니다. 2. Dell Trusted Device 에이전트를 마우스 왼쪽 버튼으로 클릭하면 제품 이름 아래에 버전이 표시됩니다. 설치된 버전을 명령줄에서 확인 설치된 Dell Trusted Device 에이전트 버전을 대화형으로 확인하려면 다음 방법을 사용하십시오. 1. 작업 표시줄의 검색하려면 여기에 입력하십시오에서 CMD를 입력합니다. 2. 다음을 입력합니다. wmic path win32_product where (caption like '%%trusted device%%') get version 버전 번호가 명령줄 창에 표시됩니다.
스위치 의미 /s 자동 모드 /l 지정된 또는 기존 경로의 로그 파일에 로깅 정보를 기록합니다. 옵션 의미 /q 진행률 대화 상자가 없음 - 프로세스 완료 후 자동으로 재시작합니다. /qb 취소 버튼이 있는 진행률 대화 상자로, 재시작할 것인지 묻습니다. /qb- 취소 버튼이 있는 진행률 대화 상자로, 프로세스 완료 후 자동으로 재시작합니다. /qb! 취소 버튼이 없는 진행률 대화 상자로, 재시작할 것인지 묻습니다. /qb!- 취소 버튼이 없는 진행률 대화 상자로, 프로세스 완료 후 자동으로 재시작합니다. /qn 사용자 인터페이스 없음 ● 매개변수: 다음 표에 설치 시 사용할 수 있는 매개 변수 정보가 나와 있습니다. 매개변수 설명 ADDLOCAL 초기 설치에 포함되지 않은 기능을 추가합니다. InstallPath 설치 위치를 대체하기 위한 경로 제거 초기 설치에 포함되지 않은 기능을 제거합니다.
● 다음 예는 진행률 표시줄이 없는 기존 64비트 Trusted Device 에이전트 설치에 바로 가기를 자동으로 추가하고 C:\Dell에 로그인 합니다. msiexec.exe /i TrustedDeviceSetup-64bit.msi /qn ADDLOCAL="Shortcuts" /l*v C:\DELL\AddShortcuts.log ● 다음 예는 진행률 표시줄이 없는 기존 64비트 Trusted Device 에이전트 설치에서 바로 가기를 자동으로 제거하고 C:\Dell에 로그 인합니다. msiexec.exe /i TrustedDeviceSetup-64bit.msi /qn REMOVE="Shortcuts" /l*v C:\DELL\RemoveShortcuts.log 배포 및 수집 모범 사례: 타사 유틸리티를 사용하여 Trusted Device 에이전트를 설치할 때 관리자는 지원되지 않는 플랫폼에서 발생하는 많은 소음 을 방지하기 위해 특정 디바이스 모음을 대상으로 해야 합니다.
6 Trusted Device 제거 제거하는 사용자는 반드시 로컬 관리자여야 합니다. 명령줄로 제거하는 경우에는 도메인 자격 증명이 필요합니다. 다음 방법 중 하나를 사용하여 유틸리티를 제거하십시오. ● 앱 및 기능에서 제거 ● 명령줄에서 제거 앱 및 기능에서 제거 1. 작업 표시줄의 검색하려면 여기에 입력하십시오에 앱 및 기능을 입력합니다. 2. Dell Trusted Device 에이전트를 마우스 왼쪽 버튼으로 클릭한 다음 제거를 클릭합니다. 명령줄에서 제거 다음은 Trusted Device를 제거하는 예입니다.
7 BIOS Verification BIOS Verification은 IT 관리자의 가시성이 부족한 운영 체제 아래에 디바이스가 안전하게 보호된다는 사실을 고객에게 확인해줍니다. 이를 통해 고객은 부팅 프로세스를 중단하지 않고 오프 호스트 프로세스를 통해 BIOS 무결성을 확인할 수 있습니다. Trusted Device 에이전트가 엔드포인트에서 실행된 후 일부 위치에서 통과 또는 실패 결과(0 또는 1)가 표시됩니다. ● 웹 브라우저 ● 명령줄 ● 레지스트리 항목 ● 이벤트 뷰어 ● 로그 BIOS Verification은 기본적으로 24시간마다 실행됩니다. 명령줄 매개변수에 대한 자세한 내용은 BIOS Verification 에이전트 실행을 참 조하십시오.
8 이미지 캡처 관리자는 분석 및 문제 해결을 위해 손상되거나 변경된 BIOS 이미지를 캡처할 수 있습니다. 실행 시 Trusted Device는 EFI(Extensible Firmware Interface) 파티션에서 손상되거나 변경된 이미지를 쿼리합니다. 이미지가 감지되면 EFI 파티션에서 %PROGRAMDATA% \Dell\TrustedDevice\ImageCapture로 복사됩니다. 오프 호스트 검증에 실패하면 Trusted Device가 손상된 이미지를 메모리에서 %PROGRAMDATA%\Dell\TrustedDevice\ImageCapture로 복사합니다. 이미지 캡처 데이터는 200일간 보관됩니다. 관리자는 이미지 캡처를 호출하고, 캡처된 이미지 저장 위치를 구성하고, 최신 이미지나 모든 이미지를 내보낼 수 있습니다. 캡처된 각 이미지는 다음 사항에 따라 서명되고 이름이 지정됩니다. ● EFI 파티션에서 복사된 경우 - BIOSImageCaptureMMDDYYYY_HHMMSS.
9 BIOS 이벤트 및 공격 징후 BIOS 이벤트 및 공격 징후를 통해 관리자는 엔터프라이즈 엔드포인트에서 BIOS를 대상으로 하는 악의적 공격자를 나타낼 수 있는 Windows 이벤트 뷰어의 이벤트를 분석할 수 있습니다. 공격자는 BIOS 특성을 변경하여 엔터프라이즈 컴퓨터에 로컬 또는 원격으로 액세스할 수 있습니다. 이러한 공격 경로는 BIOS 특성을 모니터링하는 BIOS 이벤트 및 공격 징후 기능의 성능을 통해 모니터링한 후 완화할 수 있습니다. Trusted Device 에이전트는 설치 후 기본적으로 12시간마다 BIOS 특성을 수집합니다. BIOS 이벤트 및 공격 징후 데이터는 200일간 보관됩니다. 로그 및 이벤트를 검색하려면 SIEM(Security Information and Event Management) 제품을 사용하는 것이 좋습니다. 관리자는 적절한 수정 방법을 결정하기 위해 SOC 팀에 결과를 제공해야 합니다.
10 보안 위험 보호 점수 관리자는 보안 위험 보호 점수를 통해 기업 내 컴퓨터의 보안 위험 수준을 확인할 수 있습니다. Trusted Device는 아래의 보안 솔루션 을 검사 및 탐지하고 전체 위험 진단당 점수를 부여합니다. ● 안티바이러스 ● BIOS 관리자 암호 ● BIOS Verification ● 디스크 암호화 ● 방화벽 ● 공격 징후 ● TPM 사용 Trusted Device는 24시간마다, Trusted Device 에이전트가 재시작한 후 15분마다 각 보안 솔루션의 존재 및 상태를 검사합니다. Trusted Device는 각 구성 요소에 대한 타임스탬프 패스, 경고 포함 패스 또는 실패, 종합 점수를 Windows 이벤트 뷰어에 기록합니다. 자세한 내용은 결과, 문제 해결 및 수정을 참조하십시오. 노트: 보안 위험 보호 점수 계산에 포함할 타겟 컴퓨터에서 BIOS 이벤트 및 공격 징후를 지원해야 합니다.
11 통합 Dell Trusted Device 에이전트는 다른 제품 및 서비스와 통합하여 컴퓨터가 BIOS 수준에서 안전한지 확인할 수 있습니다. Carbon Black 소개 Carbon Black Cloud는 보고 및 수정 활동을 위해 Trusted Device 데이터를 통합합니다. 사전 요구 사항 Carbon Black Cloud와 Trusted Device 통합을 위해서는 다음이 필요합니다. ● Windows 10(64비트) ● Carbon Black 에이전트 ● Dell Trusted Device 에이전트 ● Trusted Device가 지원하는 플랫폼 Live Query Live Query를 사용하면 보안 팀이 BIOS 상태를 쿼리하고 보고하여 손상되었는지 확인할 수 있습니다. Trusted Device와의 Live Query 통합은 Carbon Black 감사 및 수정 서비스(이전의 LiveOps)와 함께 사용할 수 있습니다.
12 BIOS Verification Agent 실행 다음 방법 중 하나를 사용하여 agent를 실행하십시오. ● 대화형 ● 명령줄 노트: 지원되지 않는 플랫폼에서 BIOS Verification 에이전트를 실행하려고 하면 플랫폼이 지원되지 않음이 표시됩니다. 노트: Trusted Device는 런타임에 Dell 플랫폼 지원을 결정합니다. 노트: Trusted Device에 바로 가기가 설치된 경우 시작 > Dell로 이동한 다음 Dell Trusted Device 에이전트를 클릭하여 에이 전트를 실행하십시오. 노트: Trusted Device가 바로 가기 없이 설치된 경우 C:\Program Files\Dell\BiosVerification으로 이동하여 Dell.SecurityCenter.Agent.Console을 두 번 클릭하여 에이전트를 실행하십시오.
3. 브라우저가 자동으로 시작되고 BIOS 결과가 표시됩니다.
노트: 유틸리티가 BIOS 상태를 확인할 수 없으면 브라우저 기반 결과가 표시되지 않습니다. 오류 코드에 대해서는 결과, 문제 해결 및 수정을 참조하십시오. 명령줄에서 BIOS Verification Agent 실행 다음 표에서는 선택적 명령줄 인수에 대해 자세히 설명합니다. 매개 변수 의미 -imagecapture 캡처된 BIOS 이미지를 기본값 또는 지정된 위치로 복사합니다. -export 대부분의 최근 이미지를 지정된 위치로 내보냅니다. -exportall -export 모든 이미지를 지정된 위치로 내보냅니다. -updateimagestore 기본 이미지 저장 위치를 수정합니다. -headless 브라우저 결과를 표시하지 않으며 명령줄 창에 결과를 표시합니다. -noncefile 파일을 이진 파일로 로드하면 콘텐츠가 임시값이 됩니다.
매개 변수 의미 -noncestring 매개변수는 base64로 인코딩된 임시값입니다. 문자열은 base64로 디코딩되 고 결과는 임시값이 됩니다. 디코딩된 임시값이 1024바이트보다 크면 ArgumentException 오류가 발생합니다. 1. 2. 3. 4. 관리자 권한으로 명령 프롬프트를 엽니다. 유틸리티가 들어 있는 디렉토리로 이동합니다. Dell.TrustedDevice.Service.Console.exe을 입력한 후 Enter를 누릅니다. 브라우저가 자동으로 시작되고 BIOS 결과가 표시됩니다. 노트: 브라우저 결과를 표시하지 않도록 설정하고 명령줄 창에 결과를 표시하려면 -headless 플래그를 사용하십시오. 예: Dell.TrustedDevice.Service.Console.exe -headless 유틸리티가 BIOS 상태를 확인할 수 없는 경우 오류 코드가 표시됩니다. 오류 코드 정의는 결과, 문제 해결 및 수정에 나와 있습니 다.
13 결과, 문제 해결 및 수정 이 장에서는 결과 검토, 손상되거나 변경된 BIOS 이미지 문제 해결 및 수정에 대해 자세히 설명합니다. 결과 BIOS Verification 에이전트를 실행한 후 결과는 C:\ProgramData\Dell\TrustedDevice\, % ERRORLEVEL% 환경, 이벤트 뷰어 및 레지스 트리에 기록됩니다. %PROGRAMDATA% Trusted Device 에이전트는 C:\ProgramData\Dell\TrustedDevice\에 로그 및 JSON 형식 결과를 기록합니다. %ERRORLEVEL% 환경 Trusted Device 에이전트가 %ERRORLEVEL% 환경에 통과/실패 결과를 기록합니다. agent를 실행한 후 관리자는 %ERRORLEVEL% 값을 쿼리하여 특정 디바이스의 상태를 반환할 수 있습니다. %ERRORLEVEL% 반환 값을 아래 표의 오류 코드 목록과 비교할 수 있습 니다.
BIOS Verification 작업 수준 이벤트 ID 작업 범주 검증 통과 정보제공 9 1 검증 실패 오류 2 1 이미지 캡처 경고 1 2 이미지 캡처 복제 경고 2 2 이미지를 찾을 수 없음 정보제공 3 2 작업 수준 이벤트 ID 작업 범주 공격 징후가 지워짐 정보제공 10 3 부분 공격 징후 경고 11 3 공격 징후 오류 12 3 작업 수준 이벤트 ID 작업 범주 통과 정보제공 13 4 경고 포함 패스 경고 14 4 실패 오류 15 4 BIOS 이벤트 및 공격 징후 보안 위험 보호 점수 레지스트리 Trusted Device 에이전트의 결과는 BIOS Verification agent를 실행할 때마다 레지스트리에 기록됩니다. 모든 BIOS Verification, 이미지 캡처, BIOS 이벤트 및 공격 징후 레지스트리 키는 HKLM\Software\Dell\TrustedDevice에 있습니다.
DWORD=0 - 마지막 실행 시 이미지가 존재하지 않습니다. ● 마지막 이미지가 복사된 이미지 저장소 경로입니다. 캡처된 이미지가 없으면 이 값이 존재하지 않습니다. "LastImagePath"=문자열 ● 마지막으로 복사한 이미지의 타임스탬프입니다. "LastCopyTimeStamp"=문자열 ● 이 개인 키는 저장소의 이미지를 검증합니다. "PrivateKeyBlob"=문자열 노트: 최종 사용자는 이 항목을 수정하면 제품이 제대로 작동하지 않으므로 수정할 수 없습니다. ● 저장소의 이미지를 확인하는 데 사용되는 공개 키입니다. "PublicKeyBlob"=문자열 노트: 최종 사용자는 이 항목을 수정하면 제품이 제대로 작동하지 않으므로 수정할 수 없습니다. BIOS 특성 폴링 간격 ● 이 항목은 BIOS 특성 스윕 간의 시간을 초 단위로 구성합니다. HKLM\SOFTWARE\Dell\TrustedDevice\ DWORD=SecondsBetweenAttributeSweeps 최솟값(초) = 3600(1시간
오류 코드 의미 추가 정보 +0 검증 통과 정상 작동이 확인된 Dell BIOS에 대해 로컬 BIOS가 검증되었습 니다. 1 검증 실패 정상 작동이 확인된 Dell BIOS에 대해 로컬 BIOS가 검증되지 못 했습니다. 2 검증 결과가 조작됨 검증 결과가 조작되었습니다. Dell Trusted Device 에이전트를 다시 실행합니다. 이 오류가 지속되면 Dell Trusted Device 에이 전트를 다시 설치하거나 Dell 지원에 문의하십시오. 3 알 수 없는 오류 발생 Dell Trusted Device 에이전트가 세부 정보를 검색하지 못했습 니다. Dell Trusted Device 에이전트를 다시 실행합니다. 이 문제 가 지속되면 Dell 지원에 문의하십시오. 4 잘못된 명령줄 인수가 지정됨 Dell Trusted Device 에이전트에 전달된 명령줄 변수는 지원되 지 않습니다.