Dell Trusted Device Guide d’installation et d’administration v3.6 Septembre 2021 Rév.
Remarques, précautions et avertissements REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit. PRÉCAUTION : ATTENTION vous avertit d’un risque de dommage matériel ou de perte de données et vous indique comment éviter le problème. AVERTISSEMENT : un AVERTISSEMENT signale un risque d’endommagement du matériel, de blessure corporelle, voire de décès. © 2019 - 2021 Dell Inc. All rights reserved.
Table des matières Chapitre 1: Introduction.................................................................................................................. 5 Contacter Dell ProSupport...................................................................................................................................................5 Chapitre 2: Configuration requise.....................................................................................................6 Conditions préalables.....................
Chapitre 14: Résultats, dépannage et mesure corrective...................................................................37 Résultats............................................................................................................................................................................... 37 Dépannage...........................................................................................................................................................................
1 Introduction L’agent Dell Trusted Device fait partie de la gamme de produits Dell SafeBIOS. L’agent Trusted Device comprend les éléments suivants : ● BIOS Verification ● BIOS Events & Indicators of Attack ● Image Capture ● Intel ME Verification ● Security Risk Protection Score ● Intégration du référentiel d’événements Dell et du SIEM BIOS Verification permet aux clients de confirmer que les appareils sont sécurisés sous le système d’exploitation, un endroit où l’administrateur IT manque de visibilité.
2 Configuration requise ● Reportez-vous au tableau ci-dessous pour obtenir la liste des plates-formes prises en charge. REMARQUE : si l’agent Trusted Device est installé sur des plates-formes autres que Dell, le message d’erreur suivant s’affiche. REMARQUE : Si l’agent Trusted Device est exécuté sur une plate-forme non prise en charge, le message d’erreur suivant s’affiche. Exclusions Des exclusions peuvent être requises pour la compatibilité avec des logiciels, antivirus ou des scripts tiers.
● C:\Windows\System32\drivers\DellBV.sys ● C:\Windows\System32\drivers\dtdsel.sys Types de fichier ● .bv ● .rcv ● .sha256 Conditions préalables ● Microsoft .Net Framework 4.7.2 (ou version supérieure) est nécessaire pour le programme d’installation. Le programme d’installation n’installe pas le composant Microsoft .Net Framework. La version complète de Microsoft .Net Framework 4.8. (ou version supérieure) est pré-installée sur tous les ordinateurs expédiés par l’usine Dell.
Modèles d’ordinateurs Dell ○ Latitude 5320 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Latitude 5400 * Latitude 5401 * Latitude 5410 * Latitude 5411 * Latitude 5420 Latitude 5424 Latitude 5480 Latitude 5490 Latitude 5491 * Latitude 5495 Latitude 5500 * Latitude 5501 * Latitude 5510 Latitude 5511 * Latitude 5520 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Latitude 5580 Latitude 5590 Latitude 5591 Latitude 7200 2-en-1 * Latitude 7210 2-en-1 * Latitude 7220 Rugged Tablet * Latitude 7220 Rugged Extreme Tablet * Latitude 7280 Latitude 72
Ports ● Trusted Device utilise l’épinglage du certificat. L’agent Trusted Device doit subir une inspection SSL et TLS et une inspection profonde de paquets. Assurez-vous que l’agent Trusted Device peut communiquer avec le Cloud Dell par le port de liste autorisée 443. Pour plus d’informations, reportez-vous au tableau suivant : Destination Protocole Port api.delltrusteddevicesecurity.com HTTPS 443 bas.solution.delltrusteddevicesecurity.com HTTPS 443 service.delltrusteddevicesecurity.
3 Téléchargement du logiciel Cette section détaille l'obtention du logiciel depuis dell.com/support. Si vous possédez déjà le logiciel, veuillez ignorer cette section. Rendez-vous sur dell.com/support pour commencer. 1. Sur la page Web de support Dell, sélectionnez Parcourir tous les produits. 2. Sélectionnez Sécurité dans la liste des produits. 3. Sélectionnez Sécurité Trusted Device. Le site Web se rappelle la sélection initiale.
4. Sélectionnez le produit. Trusted Device 5. Sélectionnez Pilotes et téléchargements. 6. Sélectionnez le type de système d’exploitation client souhaité. 7. Sélectionnez l’agent Trusted Device. 8. Sélectionnez Téléchargement.
4 Vérification du module d’installation Le module d’installation Trusted Device est signé par Authenticode avec un certificat appartenant à Dell. Pour vérifier le module d’installation, procédez comme suit : 1. Cliquez avec le bouton droit de la souris sur le fichier TrustedDevice-xxbit.msi. 2. Sélectionnez Propriétés. 3. Sélectionnez l’onglet Signatures numériques. 4. Dans Liste des signatures, assurez-vous que Dell Inc s’affiche et sélectionnez-le. 5. Sélectionnez Détails. 6.
5 Installation Utilisez l’une des méthodes suivantes pour installer l’agent Trusted Device : ● Installation interactive ● Installation par ligne de commande Installation interactive Le programme d’installation de l’agent Trusted Device nécessite des droits d’administration. Le taux de bit de l’utilitaire doit correspondre à l’architecture du système d’exploitation de l’ordinateur hôte. Sélectionnez l’une des options suivantes : ● TrustedDeviceSetup.
7. Par défaut, le programme d’installation Trusted Device n’installe pas les raccourcis. Pour installer des raccourcis, cliquez sur le menu de l’arborescence des fonctions et sélectionnez Dell Trusted Device - Raccourcis, puis sélectionnez Cette fonction sera installée sur le disque dur local. Cliquez sur Suivant pour continuer. ● 8. Cliquez sur Installer pour démarrer l'installation.
9. Une fenêtre d’état s’affiche, mais le processus peut prendre plusieurs minutes. 10. Cliquez sur Terminer.
Après l’installation, un navigateur démarre et affiche les résultats. Pour plus d’informations, reportez-vous à la section Résultats, dépannage et mesure corrective. Redémarrez l’ordinateur pour terminer l’installation si vous y êtes invité. Vérifier la version installée de manière interactive Pour voir la version installée de l’agent Trusted Device de manière interactive, utilisez la méthode suivante : 1.
● Spécifiez les options d’affichage à la fin de l’argument qui est transmis au commutateur /v pour obtenir le comportement attendu. N'utilisez pas /q et /qn dans la même ligne de commande. Utilisez uniquement ! et - ! après /qb.
● L’exemple suivant correspond à l’installation de l’agent Trusted Device 32 bits avec installation silencieuse, sans barre de progression, installé à l’emplacement par défaut C:\Program Files\Dell\TrustedDevice\ et avec les journaux d’installation dans C:\DELL. msiexec /i TrustedDeviceSetup.msi /qn /l*v C:\Dell\TrustedDevice.log ● L’exemple suivant correspond à l’installation de l’agent Trusted Device 64 bits avec installation silencieuse, sans barre de progression, installé à l’emplacement par défaut C:\P
6 Désinstaller Trusted Device L’utilisateur à l’origine de la désinstallation doit être un administrateur local. Si vous effectuez une désinstallation à partir de la ligne de commande, vous devez saisir les informations d’identification d’administrateur. Utilisez l’une des méthodes suivantes pour désinstaller l’utilitaire : ● Désinstaller à partir de Applications et fonctionnalités ● Désinstaller à partir de la ligne de commande Désinstaller à partir de Applications et fonctionnalités 1.
7 BIOS Verification BIOS Verification permet aux clients de confirmer que les appareils sont sécurisés sous le système d’exploitation, un endroit où l’administrateur IT manque de visibilité. Il permet aux clients de vérifier l’intégrité du BIOS à l’aide d’un processus hors hôte, sans interrompre le processus de démarrage.
8 Image Capture Les administrateurs peuvent capturer des images de BIOS corrompu ou altéré à des fins d’analyse et de mesure corrective. Lors de l’exécution, Trusted Device interroge la partition EFI (Extensible Firmware Interface) pour détecter une image corrompue ou altérée. Si une image est détectée, elle est copiée à partir de la partition EFI vers %PROGRAMDATA%\Dell\TrustedDevice\ImageCapture.
9 BIOS Events & Indicators of Attack BIOS Events & Indicators of Attack permet aux administrateurs d’analyser les événements de l’Observateur d’événements Windows qui peuvent indiquer que des acteurs malveillants ciblent le BIOS sur les points de terminaison de l’entreprise. Les acteurs malveillants modifient les attributs du BIOS pour accéder aux ordinateurs de l’entreprise localement ou à distance.
10 Security Risk Protection Score Security Risk Protection Score permet aux administrateurs de déterminer le niveau de risques liés à la sécurité pour les ordinateurs de leur entreprise. Trusted Device analyse et détecte les solutions de sécurité ci-dessous et attribue un score pour l’évaluation globale des risques.
11 Intel ME Verification L’Intel Management Engine (Intel ME) est un microcontrôleur indépendant intégré aux chipsets de processeur Intel fabriqués à partir de 2008. L’Intel ME fournit une interface entre le système d’exploitation, le matériel et le BIOS. De plus, Intel ME bénéficie d’un privilège étendu au niveau du système et s’exécute dans tous les états de l’alimentation.
12 Intégration L’agent Dell Trusted Device peut être intégré à d’autres produits et services afin de garantir la sécurité des ordinateurs au niveau du BIOS. SIEM Les solutions Security Information Event Management (SIEM) regroupent les données issues de plusieurs sources de votre entreprise. SIEM permet aux administrateurs d’identifier les tendances et les comportements inhabituels ou d’effectuer une analyse en temps réel des alertes générées par les applications et le matériel.
Télécharger et installer Docker Le référentiel d’événements nécessite Docker. Accédez à https://docs.docker.com/get-docker/ pour télécharger et installer Docker. REMARQUE : Si vous installez Docker sous Windows, reportez-vous à cet article Microsoft pour configurer le sous-système Windows pour Linux (WSL).
Nom Requis Description Charger Oui Configuration de la méthode de téléchargement SIEM. Client L’élément Client configure le référentiel d’événements avec des informations sur le client. Les informations sur le client détaillent la configuration nécessaire pour contrôler les ordinateurs qui peuvent s’enregistrer auprès de cette instance de référentiel d’événements. Le tableau suivant décrit les éléments de l’objet Client : Nom Requis Description TenantName Oui Le nom du client.
Nom Requis Description MaxFileSizeMb Oui Taille maximale à laquelle un fichier journal peut évoluer. Lorsqu’un fichier journal dépasse cette taille, le fichier est fermé et un nouveau fichier journal est créé. MaxActiveFileDays Oui Durée maximale, en jours, pendant laquelle un fichier journal peut être ouvert. Lorsque le fichier journal est ouvert plus longtemps que la durée spécifiée, il est fermé et un nouveau fichier journal est ouvert.
} } } "PathBase": “/devicesvc/api/v1”, "Url”: “http://*:5000” }, "Https": { "PathBase": “/devicesvc/api/v1", "Url": "http://*:5001", "Certificate": { "Path": "/app/certs/test.pfx", "Password": “Password@123" } } Déplacez le fichier appsettings.json vers le répertoire persistant après avoir modifié les valeurs ci-dessus. Configurer l’agent Trusted Device L’agent Trusted Device nécessite des valeurs de registre personnalisées pour fournir des données au référentiel d’événements.
"RootCertificate"="ExampleCertificate" ● [HKLM\Software\Dell\DellTrustedDevice\Overrides\SiemIntegrationPolicy\Repositories\CollectorHttps\Connection] "Uri"="https://example.server.com:31235/siem/api/v1" REMARQUE : Il doit s’agir d’une connexion HTTPS. REMARQUE : Le serveur example.server.com doit être approuvé. Le nom d’hôte doit correspondre, la chaîne d’approbation doit être approuvée et la date doit être valide.
Variable Signification avec :. Par exemple : dellemc/dtdevent-repository:1.0.2.0 -it Démarre une session de ligne de commande interactive connectée au conteneur Docker. -P Spécifie les ports utilisés pour le conteneur. --rm Supprime automatiquement le conteneur lorsqu’il sort. -v Permet de créer un volume partagé entre l’hôte Docker et le conteneur Docker. ● L’exemple suivant démarre le conteneur du référentiel d’événements, mappe C:\eventrepository\Data sur l’ordinateur hôte à
● ● ● ● Windows 10 (64 bits) Agent Carbon Black Agent Dell Trusted Device Plate(s)-forme(s) prise(s) en charge par Trusted Device Live Query Live Query permet aux équipes de sécurité d’interroger et de signaler l’état du BIOS pour déterminer s’il est compromis. L’intégration de Live Query à Trusted Device est disponible avec le service d’audit et de mesures correctives Carbon Black (anciennement LiveOps).
13 Exécuter l’Agent BIOS Verification Utilisez l’une des méthodes suivantes pour exécuter l’agent : ● Méthode interactive ● Ligne de commande REMARQUE : Si vous tentez d’exécuter l’agent BIOS Verification sur une plate-forme non prise en charge, le message Plateforme non prise en charge s’affiche. REMARQUE : Trusted Device détermine la prise en charge de la plate-forme Dell lors de l’exécution.
3. Un navigateur se lance automatiquement et affiche les résultats du BIOS.
REMARQUE : Si l’utilitaire ne parvient pas à déterminer l’état du BIOS, les résultats de navigateur ne s’affichent pas. Pour connaître les codes d’erreur, reportez-vous à la section Résultats, dépannage et mesures correctives. Exécuter l’Agent BIOS Verification avec la ligne de commande Le tableau suivant détaille les arguments de ligne de commande facultatifs.
Paramètres Signification -noncefile Chargez le fichier en tant que fichier binaire et le contenu devient la valeur nonce. Si le fichier est supérieur à 1024 octets, une erreur ArgumentException est générée. -noncestring Le paramètre est une valeur nonce codée en base64. La chaîne est décodée en base64, et le résultat devient la valeur nonce. Si la valeur nonce décodée est supérieure à 1024 octets, une erreur ArgumentException est générée. 1. 2. 3. 4.
14 Résultats, dépannage et mesure corrective Ce chapitre détaille les résultats, le dépannage et la correction d’une image de BIOS corrompu ou altéré. Résultats Après avoir exécuté l’agent BIOS Verification, les résultats sont écrits dans C:\ProgramData\Dell\TrustedDevice\, l’environnement %ERRORLEVEL%, l’Observateur d’événements et le registre. %PROGRAMDATA% L’agent Trusted Device écrit les journaux et les résultats au format JSON dans C:\ProgramData\Dell\TrustedDevice\.
Emplacement Type de source Journaux d’applications et de services > Dell Trusted Device | Security Assessment Les détails relatifs aux événements sont répertoriés dans l’onglet Général de l’Observateur d’événements. Les tableaux suivants décrivent les fonctionnalités BIOS Verification, BIOS Events & Indicators of Attack, Intel ME Verification et Security Risk Protection Score dans l’Observateur d’événements.
Action Niveau ID d'événement Catégorie de la tâche Transmettre Informatif 13 4 Opération réussie avec des avertissements Avertissement 14 4 Échec Erreur 15 4 Registre Les résultats de l’agent Trusted Device sont écrits dans le registre chaque fois que l’agent BIOS Verification est exécuté. Toutes les clés de registre de BIOS Verification, d’Image Capture et de BIOS Events & Indicators of Attack se trouvent sur HKLM\Software\Dell\TrustedDevice.
DWORD=SecondsBetweenAttributeSweeps Valeur minimale en secondes = 3 600 (1 heure) Valeur maximale = 172 800 (48 heures) Par défaut = toutes les 12 heures Valeur (décimale) = 3 600 - les analyses se produisent toutes les heures Valeur (décimale) = 172 800 - les analyses se produisent toutes les 48 heures ● Cette entrée change le délai en millisecondes entre chaque récupération d’attribut du BIOS. HKLM\SOFTWARE\Dell\TrustedDevice\ DWORD=MSBetweenAttributeReads Valeur minimale en millisecondes = 500 Valeur max
Code d'erreur Signification Complément d'information 5 L’agent est en cours d’exécution avec des privilèges insuffisants L’agent Dell Trusted Device nécessite des droits d’administrateur local pour s’exécuter. 6 Une erreur interne s’est produite Une erreur s’est produite sur l’appareil local, empêchant l’agent Dell Trusted Device de fonctionner correctement. Relancez Trusted Device. Si cette erreur persiste, contactez le Support Dell.