Dell Trusted-Device Installations- und Administratorhandbuch v3.6 September 2021 Rev.
Hinweise, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen können. VORSICHT: Ein VORSICHTSHINWEIS warnt vor möglichen Beschädigungen der Hardware oder vor Datenverlust und zeigt, wie diese vermieden werden können. WARNUNG: Mit WARNUNG wird auf eine potenziell gefährliche Situation hingewiesen, die zu Sachschäden, Verletzungen oder zum Tod führen kann. © 2019 - 2021 Dell Inc. All rights reserved.
Inhaltsverzeichnis Kapitel 1: Einleitung........................................................................................................................ 5 Kontaktieren des Dell ProSupports..................................................................................................................................... 5 Kapitel 2: Anforderungen.................................................................................................................6 Voraussetzungen..........................
Kapitel 14: Ergebnisse, Troubleshooting und Korrektur..................................................................... 37 Ergebnisse............................................................................................................................................................................ 37 Troubleshooting................................................................................................................................................................... 40 Korrektur.........
1 Einleitung Der Dell Trusted-Device-Agent ist Teil des Dell SafeBIOS-Produktportfolios. Der Trusted-Device-Agent umfasst Folgendes: ● BIOS Verification ● BIOS-Ereignisse und Angriffsindikatoren ● Image-Erfassung ● Intel ME Verification ● Security Risk Protection Score ● Integration von Dell Event Repository und SIEM BIOS Verification bietet Kunden die Bestätigung, dass die Geräte unter dem Betriebssystem abgesichert sind, einem Ort, an dem es IT-Administratoren an Sichtbarkeit mangelt.
2 Anforderungen ● In der Tabelle unten finden Sie eine Liste der unterstützten Plattformen. ANMERKUNG: Wenn der Trusted Device Agent auf Plattformen installiert ist, die nicht von Dell stammen, wird der folgende Fehler angezeigt. ANMERKUNG: Wenn der Trusted Device Agent auf einer nicht unterstützten Plattform ausgeführt wird, wird die folgende Fehlermeldung angezeigt.
● ● ● ● C:\Program Files\DELL\TrustedDevice\Dell.TrustedDevice.Service.exe C:\Program Files\DELL\TrustedDevice\DCF.Agent.exe C:\Windows\System32\drivers\DellBV.sys C:\Windows\System32\drivers\dtdsel.sys Dateitypen: ● .bv ● .rcv ● .sha256 Voraussetzungen ● Microsoft .NET Framework 4.7.2 (oder höher) ist für das Installationsprogramm erforderlich. Das Installationsprogramm installiert die Microsoft .Net Framework-Komponenten nicht. Auf allen von Dell werksseitig ausgelieferten Computern ist Microsoft.
Dell Computer-Modelle ○ Latitude 5290 2-in-1System ○ Latitude 5300* ○ Latitude 5300 2-in-1System* ○ Latitude 5310* ○ Latitude 5310 2-in-1System* ○ Latitude 5320 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Latitude 5400* Latitude 5401* Latitude 5410* Latitude 5411* Latitude 5420 Latitude 5424 Latitude 5480 Latitude 5490 Latitude 5491* Latitude 5495 Latitude 5500* Latitude 5501* Latitude 5510 Latitude 5511* Latitude 5520 ○ ○ ○ ○ Latitude 5580 Latitude 5590 Latitude 5591 Latitude 7200 2-in-1System* Latitude 7210 2-in-1Sy
Dell Computer-Modelle ○ Latitude 7420 ○ ○ ○ ○ ○ ○ Latitude 7424 Rugged Latitude 7480 Latitude 7490* Latitude 7520 Latitude 9410* Latitude 9410 2-in-1System* ○ Latitude 9510* ○ Latitude 9510 2-in-1System* Ports ● Das vertrauenswürdige Gerät verwendet das Anheften von Zertifikaten. Der vertrauenswürdige Geräte-Agent muss die SSL-und TLS-Inspektion und die gründliche Paketüberprüfung durchlaufen.
3 Herunterladen der Software Dieser Abschnitt erläutert den Bezug der Software unter dell.com/support. Wenn Sie die Software bereits haben, können Sie diesen Abschnitt überspringen. Rufen Sie dell.com/support auf, um zu beginnen. 1. Wählen Sie auf der Dell Support-Webseite Alle Produkte durchsuchen aus. 2. Wählen Sie Sicherheit aus der Produktliste aus. 3. Wählen Sie Trusted Device Security. Wenn diese Auswahl einmal vorgenommen wurde, wird sie von der Website gespeichert.
4. Wählen Sie das Produkt aus. Trusted Device 5. Wählen Sie Treiber und Downloads aus. 6. Wählen Sie das gewünschte Client-Betriebssystem aus. 7. Wählen Sie Trusted Device Agent. 8. Klicken Sie auf Herunterladen.
4 Überprüfen des Installationspakets Das Installationspaket für das vertrauenswürdige Gerät wird mit einem Dell Zertifikat signiert. Gehen Sie wie folgt vor, um das Installationspaket zu überprüfen: 1. Klicken Sie mit der rechten Maustaste auf TrustedDevice-xxbit.msi 2. Wählen Sie Eigenschaften aus. 3. Wählen Sie die Registerkarte Digitale Signaturen 4. Überprüfen Sie in der Signaturliste, ob Dell Inc angezeigt wird und wählen Sie es aus. 5. Details auswählen 6.
5 Damit ist die Installation Verwenden Sie eine der folgenden Methoden, um den Trusted Device agent zu installieren: ● Interaktive Installation ● Installation über die Befehlszeile Interaktive Installation Das Installationsprogramm des Trusted Device Agent erfordert Administratorrechte. Die Bitrate des Dienstprogramms muss der Architektur des Betriebssystems des Hostcomputers entsprechen. Wählen Sie eine der folgenden Optionen aus: ● TrustedDeviceSetup.
7. Standardmäßig installiert das Installationsprogramm des vertrauenswürdigen Geräts keine Verknüpfungen. Um Verknüpfungen zu installieren, klicken Sie auf das Menü Dell Trusted-Device – Verknüpfungen Funktionsstruktur und wählen Sie Diese Funktion wird auf der lokalen Festplatte installiert. Klicken Sie zum Fortfahren auf Weiter. ● 8. Klicken Sie auf Installieren, um mit der Installation zu beginnen.
9. Ein Statusfenster wird angezeigt, dies kann jedoch mehrere Minuten dauern. 10. Klicken Sie auf Fertigstellen.
Nach der Installation wird ein Browser gestartet und zeigt die Ergebnisse an. Siehe Ergebnisse, Troubleshooting und Korrektur für weitere Informationen. Starten Sie den Computer neu, um die Installation abzuschließen, wenn Sie dazu aufgefordert werden. Interaktives Prüfen der installierten Version Um die installierte Version des Dell Trusted Device-Agent interaktiv anzuzeigen, verwenden Sie die folgende Methode: 1. In der Taskleiste unter Eingabe für Suche hier, geben Sie Anwendungen und Funktionen ein. 2.
● Geben Sie Anzeigeoptionen am Ende des Arguments an, das an die Befehlszeilenoption /v übergeben wird, um das erwartete Verhalten zu erreichen. Verwenden Sie /q und /qn nicht in derselben Befehlszeile. Verwenden Sie nur ! und - nach /qb.
● Das folgende Beispiel installiert den 32-Bit-Agenten für Trusted Device mit automatischer Installation, ohne Fortschrittsanzeige, am Standardspeicherort C:\Program Files\Dell\TrustedDevice\ und Installationsprotokolle unter C:\Dell. msiexec /i TrustedDeviceSetup.msi /qn /l*v C:\Dell\TrustedDevice.log ● Das folgende Beispiel installiert den 64-Bit-Agenten für Trusted Device mit automatischer Installation, ohne Fortschrittsanzeige, am Standardspeicherort C:\Program Files\Dell\TrustedDevice\.
6 Trusted Device deinstallieren Der Benutzer, der die Deinstallation durchführt, muss ein lokaler Administrator sein. Für eine Deinstallation unter Verwendung der Befehlszeile werden Domänen-Anmeldeinformationen benötigt. Verwenden Sie eine der folgenden Methoden, um das Hilfsprogramm zu deinstallieren: ● Deinstallation von Anwendungen und Funktionen ● Deinstallation von der Befehlszeile aus Deinstallation von Anwendungen und Funktionen 1.
7 BIOS Verification BIOS Verification bietet Kunden die Bestätigung, dass die Geräte unter dem Betriebssystem abgesichert sind, einem Ort, an dem es IT-Administratoren an Sichtbarkeit mangelt. Es ermöglicht Kunden, die BIOS-Integrität mit einem vom Host unabhängigen Prozess zu überprüfen, ohne den Boot-Prozess zu unterbrechen.
8 Image-Erfassung Administratoren können Images von beschädigtem oder manipuliertem BIOS zur Analyse und Korrektur erfassen. Wenn es ausgeführt wird, fragt Trusted Device die EFI-Partition (Extensible Firmware Interface) nach einem beschädigten oder manipulierten Image ab. Wenn ein Image erkannt wird, wird es von der EFI-Partition kopiert nach %PROGRAMDATA%\Dell\TrustedDevice\ImageCapture.
9 BIOS-Ereignisse und Angriffsindikatoren BIOS-Ereignisse und Angriffsindikatoren ermöglicht Administratoren die Analyse von Ereignissen in der Windows-Ereignisanzeige, die auf schädliche Akteure hinweisen können, die das BIOS auf Unternehmensendpunkten ins Visier nehmen. Schädliche Akteure ändern BIOSAttribute, um lokal oder remote Zugriff auf Unternehmenscomputer zu erhalten.
10 Security Risk Protection Score Security Risk Protection Score ermöglicht es Administratoren, die Sicherheitsrisikostufe von Computern in ihrem Unternehmen zu bestimmen. Trusted Device scannt und erkennt die nachfolgenden Sicherheitslösungen und weist eine Bewertung pro GesamtrisikoAnalyse zu.
11 Intel ME Verification Die Intel Management Engine (Intel ME) ist ein unabhängiger Mikrocontroller, der in ab 2008 hergestellte Intel Prozessorchipsätze integriert ist. Intel ME stellt eine Schnittstelle zwischen Betriebssystem, Hardware und BIOS bereit. Darüber hinaus besitzt Intel ME umfassende Berechtigungen auf Systemebene und wird in jedem Betriebszustand ausgeführt.
12 Integration Der Agent Dell Trusted Device kann in andere Produkte und Services integriert werden, um die Sicherheit von Computern auf BIOS-Ebene zu gewährleisten. SIEM SIEM-Lösungen (Security Information Event Management) aggregieren Daten aus mehreren Quellen in Ihrem Unternehmen. SIEM ermöglicht es Administratoren, Trends und ungewöhnliches Verhalten zu identifizieren oder Echtzeitanalysen von Warnmeldungen durchzuführen, die von Anwendungen und Hardware ausgegeben werden.
Herunterladen und Installieren von Docker Für das Ereignis-Repository ist Docker erforderlich. Navigieren Sie zu https://docs.docker.com/get-docker/, um Docker herunterzuladen und zu installieren. ANMERKUNG: Wenn Sie Docker unter Windows installieren, lesen Sie diesen Microsoft-Artikel zum Konfigurieren des WindowsSubsystems for Linux (WSL).
Name Wird Beschreibung Mandant Ja Konfiguration von Mandanteninformationen für diese Instanz des Ereignis-Repositorys. Hochladen Ja Konfiguration der SIEM-Upload-Methode. Mandant Das Element „Mandant“ konfiguriert das Ereignis-Repository mit Mandanteninformationen. Mandanteninformationen enthalten Details zur Konfiguration, die erforderlich ist, um zu steuern, welche Computer sich bei dieser Ereignis-Repository-Instanz registrieren können.
Name Wird Beschreibung verwendet wird. Der Name der Datei lautet TenantName-BaseFileName.log OutputLocation Ja Der Pfad, der den Ordner angibt, in den die Ausgabeprotokolldateien geschrieben werden. MaxFileSizeMb Ja Die maximale Größe, die eine Protokolldatei erreichen darf. Wenn eine Protokolldatei diesen Wert überschreitet, wird die Datei geschlossen und eine neue Protokolldatei erstellt. MaxActiveFileDays Ja Die maximale Zeitdauer in Tagen, die eine Protokolldatei geöffnet bleiben kann.
"MaxFileSizeMb": 15, "MaxActiveFileDays": 1, "MaxFileAge": 3 } }, "Kestrel": { "Endpoints": { "Http": { "PathBase": “/devicesvc/api/v1”, "Url”: “http://*:5000” }, "Https": { "PathBase": “/devicesvc/api/v1", "Url": "http://*:5001", "Certificate": { "Path": "/app/certs/test.pfx", "Password": “Password@123" } } } } } Verschieben Sie die Datei appsettings.json in das persistente Verzeichnis, nachdem Sie die oben genannten Werte geändert haben.
"Uri"="https://example.server.com:31235/siem/api/v1" ANMERKUNG: Dies muss eine HTTPS-Verbindung sein. ANMERKUNG: Der Server example.server.com muss vertrauenswürdig sein. Der Hostname muss übereinstimmen, die Vertrauenskette muss vertrauenswürdig sein und das Datum muss gültig sein. "RootCertificate"="ExampleCertificate" ● [HKLM\Software\Dell\DellTrustedDevice\Overrides\SiemIntegrationPolicy\Repositories\CollectorHttps\Connection] "Uri"="https://example.server.
folgenden Tabelle sind die Docker-basierten Variablen aufgeführt, die für die Konfiguration des Ereignis-Repository-Containers erforderlich sind: Variable Erläuterung -d Führen Sie den Docker-Container im getrennten Modus aus. dellemc/dtd-event-repository Definiert das Container-Image, das für diesen Container verwendet werden soll. ANMERKUNG: Wenn eine bestimmte Version des EreignisRepository-Images erforderlich ist, hängen Sie an diesen Befehl : an.
Carbon Black Einleitung Die Carbon Black Cloud bezieht Daten von Trusted Device für die Berichterstattung und Korrekturmaßnahmen ein. Voraussetzungen Für die Integration von Trusted Device in Carbon Black Cloud ist Folgendes erforderlich: ● Windows 10 (64-Bit) ● Carbon Black Agent ● Dell Trusted Device Agent ● Von Trusted Device unterstützte Plattform(en) supported Live Query Mit Live Query können Sicherheitsteams den Zustand des BIOS abfragen und melden, um festzustellen, ob es infiziert ist.
13 Ausführen des BIOS Verification Agent Verwenden Sie eine der folgenden Methoden, um den agent auszuführen: ● Interaktiv ● Befehlszeile ANMERKUNG: Wenn Sie versuchen, den BIOS Verification Agent auf einer nicht unterstützten Plattform auszuführen, wird Plattform nicht unterstützt angezeigt. ANMERKUNG: Trusted Device bestimmt den Support für Dell Plattform bei der Ausführung.
3. Ein Browser wird automatisch gestartet und zeigt BIOS-Ergebnisse an.
ANMERKUNG: Wenn das Dienstprogramm nicht in der Lage ist, den BIOS-Status zu bestimmen, werden browserbasierte Ergebnisse nicht angezeigt. Siehe Ergebnisse, Troubleshooting und Korrektur für Fehlercodes. Ausführen des BIOS Verification Agent mit der Befehlszeile Die folgende Tabelle enthält optionale Befehlszeilenargumente.
Parameter Erläuterung -noncefile Laden Sie die Datei als Binärdatei und der Inhalt wird die Nonce. Wenn die Datei größer als 1024 Bytes ist, wird ein ArgumentException-Fehler geworfen. -noncestring Der Parameter ist eine mit base64 kodierte Nonce. Die Zeichenfolge wird mit base64 dekodiert, und das Ergebnis wird zur Nonce. Wenn die dekodierte Nonce größer als 1024 Bytes ist, wird ein ArgumentException-Fehler ausgelöst. 1. 2. 3. 4.
14 Ergebnisse, Troubleshooting und Korrektur Dieses Kapitel enthält Einzelheiten zur Überprüfung der Ergebnisse, zur Troubleshooting und zur Korrektur eines beschädigten oder manipulierten BIOS-Images. Ergebnisse Nach Ausführung des BIOS Verification Agent werden die Ergebnisse in C:\ProgramData\Dell\TrustedDevice\, die %ERRORLEVEL%Umgebung, die Ereignisanzeige und die Registrierung geschrieben. %PROGRAMDATA% Der Trusted Device Agent schreibt Protokolle und JSON-formatierte Ergebnisse in C:\ProgramData\De
Speicherort Quelltyp Anwendungs- und Dienstprotokolle > Dell Trusted Device | Intel ME Verification Benachrichtigungen von Security Risk Protection Score finden Sie im Event Viewer unter: Speicherort Quelltyp Anwendungs- und Dienstprotokolle > Dell Trusted Device | Sicherheitsbewertung Details zu den Ereignissen sind auf der Registerkarte „Allgemein“ der Ereignisanzeige aufgeführt.
Aktion Ebene Ereignis-ID Aufgabenkategorie Ungültiger Parameter Warnung 19 5 Aktion Ebene Ereignis-ID Aufgabenkategorie Bestanden Zur Information 13 4 Bestanden mit Warnungen Warnung 14 4 Fehler Fehler 15 4 Security Risk Protection Score Registrierungsdatei Die Ergebnisse des Trusted Device Agent werden jedes Mal, wenn der BIOS Verification agent ausgeführt wird, in die Registrierung geschrieben.
ANMERKUNG: Endnutzer sollten diesen Eintrag nicht ändern, da dies die ordnungsgemäße Funktion des Produkts beeinträchtigt. BIOS-Attribute Abfrage-Intervall ● Dieser Eintrag konfiguriert die Zeitdauer in Sekunden zwischen den BIOS-Attributlöschungen. HKLM\SOFTWARE\Dell\TrustedDevice\ DWORD=SecondsBetweenAttributeSweeps Minimalwert in Sekunden = 3600 (1 Stunde) Höchstwert = 172800 (48 Stunden) Standard = alle 12 Stunden Wert (in Dezimalzahlen) = 3600 - Löschvorgänge finden jede Stunde statt Wert (in Dezimalza
Fehlercode Erläuterung Zusätzliche Informationen 3 Ein unbekannter Fehler ist aufgetreten Der Dell Trusted Device Agent konnte keine Details abrufen. Führen Sie den Dell Trusted Device Agent erneut aus. Wenn dieser Fehler weiterhin besteht, wenden Sie sich an Dell Support. 4 Es wurde ein ungültiges Befehlszeilenargument angegeben. Eine Befehlszeilenvariable, die an den Dell Trusted Device Agent weitergegeben wird, wird nicht unterstützt.
