Dell Trusted Device Guida all'installazione e dell'amministratore v3.6 Settembre 2021 Rev.
Messaggi di N.B., Attenzione e Avvertenza N.B.: un messaggio N.B. (Nota Bene) indica informazioni importanti che contribuiscono a migliorare l'utilizzo del prodotto. ATTENZIONE: un messaggio di ATTENZIONE evidenzia la possibilità che si verifichi un danno all'hardware o una perdita di dati ed indica come evitare il problema. AVVERTENZA: un messaggio di AVVERTENZA evidenzia un potenziale rischio di danni alla proprietà, lesioni personali o morte. © 2019 - 2021 Dell Inc. All rights reserved.
Sommario Capitolo 1: Introduzione...................................................................................................................5 Contattare Dell ProSupport................................................................................................................................................. 5 Capitolo 2: Requisiti........................................................................................................................6 Prerequisiti.................................
Capitolo 14: Risultati, risoluzione dei problemi e correzione...............................................................37 Risultati..................................................................................................................................................................................37 Risoluzione dei problemi......................................................................................................................................................
1 Introduzione Il Dell Trusted Device Agent fa parte del portafoglio di prodotti Dell SafeBIOS.
2 Requisiti ● Consultare la tabella di seguito per un elenco delle piattaforme supportate. N.B.: Se l'agent Trusted Device è installato su piattaforme non Dell, viene visualizzato il seguente messaggio di errore. N.B.: Se l'agent Trusted Device viene eseguito su una piattaforma non supportata, viene visualizzato il seguente messaggio di errore. Esclusioni Le esclusioni possono essere richieste per la compatibilità con software, antivirus o script di terze parti. Escludere quanto segue. Cartelle ● C:\Progr
● C:\Windows\System32\drivers\DellBV.sys ● C:\Windows\System32\drivers\dtdsel.sys Tipi di file ● .bv ● .rcv ● .sha256 Prerequisiti ● È richiesto Microsoft .NET Framework 4.7.2 (o versioni successive) per il programma di installazione. Il programma di installazione non installa i componenti Microsoft .NET Framework. In tutti i computer inviati dalla fabbrica Dell è preinstallata la versione completa di Microsoft .NET Framework 4.8 (o versione successiva). Per verificare la versione di Microsoft .
Modelli di computer Dell ○ Latitude 5320 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Latitude 5400* Latitude 5401* Latitude 5410* Latitude 5411* Latitude 5420 Latitude 5424 Latitude 5480 Latitude 5490 Latitude 5491* Latitude 5495 Latitude 5500* Latitude 5501* Latitude 5510 Latitude 5511* Latitude 5520 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Latitude 5580 Latitude 5590 Latitude 5591 Latitude 7200 2-in-1* Latitude 7210 2-in-1* Tablet Latitude 7220 Rugged* Tablet Latitude 7220 Rugged Extreme* Latitude 7280 Latitude 7285 Latitude 72
Porte ● Il Trusted Device utilizza il blocco del certificato. Il Trusted Device Agent deve superare l'ispezione SSL e TLS e l'ispezione DPI (Deep Packet Inspection). Assicurarsi che il Trusted Device Agent sia in grado di comunicare con il Dell Cloud inserendo la porta 443 nell'elenco degli elementi consentiti. Per ulteriori informazioni, consultare la tabella seguente: Destinazione Protocollo Porta api.delltrusteddevicesecurity.com HTTPS 443 bas.solution.delltrusteddevicesecurity.
3 Download del software Questa sezione descrive in dettaglio come ottenere il software dal sito dell.com/support. Se l'utente dispone già del software è possibile ignorare questa sezione. Accedere a dell.com/support per iniziare. 1. Nella pagina del supporto Dell, selezionare Scegli tra tutti i prodotti. 2. Selezionare Sicurezza dall'elenco di prodotti. 3. Selezionare Trusted Device Security. Dopo aver effettuato la selezione una volta, il sito Web la memorizza.
4. Selezionare il prodotto. Trusted Device 5. Selezionare Driver e download. 6. Selezionare il tipo di sistema operativo del client desiderato. 7. Selezionare Trusted Device Agent. 8. Selezionare Scarica.
4 Verifica del pacchetto di installazione Il pacchetto di installazione di Trusted Device è dotato di una firma Authenticode con un certificato di proprietà Dell. Per verificare il pacchetto di installazione, effettuare le seguenti operazioni: 1. Cliccare con il pulsante destro del mouse su TrustedDevice-xxbit.msi 2. Selezionare Proprietà 3. Selezionare la scheda Firme digitali 4. In Elenco firme, verificare che sia presente Dell Inc e selezionarlo 5. Selezionare Dettagli 6.
5 Installazione Per installare il Trusted Device agent, utilizzare uno dei metodi seguenti: ● Installazione interattiva ● Installazione dalla riga di comando Installazione interattiva Per il programma di installazione di Trusted Device Agent sono necessari diritti amministrativi. La velocità in bit dell'utilità deve corrispondere all'architettura del sistema operativo del computer host. Scegliere una delle azioni seguenti: ● TrustedDeviceSetup.
7. Per impostazione predefinita, il programma di installazione di Trusted Device non installa i collegamenti. Per installare i collegamenti, cliccare sul menu ad albero della funzione Dell Trusted Device - Collegamenti e selezionare Questa funzione verrà installata sul disco rigido locale. Cliccare su Avanti per continuare. ● 8. Cliccare su Installa per avviare l'installazione.
9. Viene visualizzata una finestra di stato. L'operazione potrebbe richiedere alcuni minuti. 10. Cliccare su Fine.
Dopo l'installazione, un browser avvia e visualizza i risultati. Per ulteriori informazioni, consultare Risultati, risoluzione dei problemi e correzione. Se richiesto, riavviare il computer per completare l'installazione. Verificare la versione installata in modo interattivo Per visualizzare in modo interattivo la versione installata di Dell Trusted Device Agent, utilizzare il metodo seguente: 1. Nella barra delle applicazioni, digitare App e funzioni in Digita qui per eseguire la ricerca. 2.
● Specificare le opzioni di visualizzazione in fondo all'argomento passato all'opzione /v per ottenere il comportamento desiderato. Non usare /q e /qn insieme nella stessa riga di comando. Utilizzare solo ! e - dopo /qb.
● Nell'esempio seguente viene installato il Trusted Device Agent a 32 bit con installazione automatica, nessuna barra di avanzamento, installazione nel percorso predefinito C:\Program Files\Dell\TrustedDevice \ e registri di installazione in C:\Dell. msiexec /i TrustedDeviceSetup.msi /qn /l*v C:\Dell\TrustedDevice.log ● Nell'esempio seguente viene installato il Trusted Device Agent a 64 bit con installazione automatica, nessuna barra di avanzamento e installazione nel percorso predefinito C:\Program Files\D
6 Eseguire la disinstallazione di Trusted Device L'utente che esegue la disinstallazione deve essere un amministratore locale. Se si esegue la disinstallazione dalla riga di comando sono richieste le credenziali del dominio. Per eseguire la disinstallazione dell'utilità, utilizzare uno dei seguenti metodi: ● Eseguire la disinstallazione da App e funzioni ● Eseguire la disinstallazione dalla riga di comando Eseguire la disinstallazione da App e funzioni 1.
7 Verifica del BIOS La verifica del BIOS garantisce ai clienti la protezione dei dispositivi al livello inferiore del sistema operativo, un luogo non visibile all'amministratore IT. Consente ai clienti di verificare l'integrità del BIOS utilizzando un processo off-host senza interrompere il processo di avvio.
8 Acquisizione immagine Gli amministratori possono acquisire immagini del BIOS danneggiato o manomesso per l'analisi e la correzione. Quando eseguito, il Trusted Device esegue una query sulla partizione EFI (Extensible Firmware Interface) per un'immagine danneggiata o manomessa. Se viene rilevata un'immagine, questa viene copiata dalla partizione EFI nel percorso %PROGRAMDATA%\Dell\TrustedDevice\ImageCapture.
9 Eventi e indicatori di attacco del BIOS Gli eventi e gli indicatori di attacco del BIOS consentono agli amministratori di analizzare gli eventi nel Visualizzatore eventi Windows che potrebbero indicare attacchi al BIOS sugli endpoint aziendali da parte di utenti malintenzionati. Gli utenti malintenzionati modificano gli attributi del BIOS per accedere ai computer aziendali in locale o in remoto.
10 Punteggio di protezione dal rischio per la sicurezza Il punteggio di protezione dal rischio per la sicurezza consente agli amministratori di determinare il livello di rischio per la sicurezza dei computer nell'azienda. Trusted Device esegue una scansione e rileva le soluzioni di sicurezza riportate di seguito e assegna un punteggio per l'assessment dei rischi complessivi.
11 Verifica di Intel ME Intel Management Engine (Intel ME) è un microcontroller indipendente integrato nei chipset del processore Intel prodotti a partire dal 2008. Intel ME fornisce un'interfaccia tra il sistema operativo, l'hardware e il BIOS. Inoltre, Intel ME dispone di un privilegio esteso a livello di sistema e viene eseguito in ogni stato di alimentazione.
12 Integrazione Il Dell Trusted Device Agent può essere integrato con altri prodotti e servizi per garantire che i computer siano protetti a livello del BIOS. SIEM Le soluzioni SIEM (Security Information Event Management) aggregano i dati provenienti da più origini dell'azienda. SIEM consente agli amministratori di identificare tendenze e comportamenti insoliti o di eseguire analisi in tempo reale degli avvisi generati dalle applicazioni e dall'hardware.
Scaricare e installare Docker Event Repository richiede Docker. Passare a https://docs.docker.com/get-docker/ per scaricare e installare Docker. N.B.: In caso di installazione di Docker su Windows, consultare questo articolo Microsoft per configurare il sottosistema Windows per Linux (WSL).
Tenant L'elemento Tenant configura Event Repository con le informazioni sul tenant. Le informazioni sul tenant illustrano in dettaglio la configurazione necessaria per controllare quali computer possono registrarsi con questa istanza di Event Repository. La tabella seguente descrive in dettaglio gli elementi dell'oggetto Tenant: Nome Necessario Descrizione TenantName Sì Il nome del tenant. È in genere basato sul nome o sulla divisione dell'azienda. TenantName deve essere univoco in un'organizzazione.
Nome Necessario Descrizione MaxActiveFileDays Sì La quantità massima di tempo, specificata in giorni, per cui è possibile aprire un file di registro. Se il file di registro viene aperto successivamente al tempo specificato, viene chiuso e ne viene aperto uno nuovo. MaxFileAge Sì I file di registro orari vengono resi persistenti nella cartella di output. I file precedenti a questo periodo di tempo, specificati in giorni, vengono eliminati. L'elemento Kestrel descrive in dettaglio la connessione TLS.
} } } "Https": { "PathBase": “/devicesvc/api/v1", "Url": "http://*:5001", "Certificate": { "Path": "/app/certs/test.pfx", "Password": “Password@123" } } Spostare il file appsettings.json nella directory persistente dopo aver modificato i valori precedenti. Configurare il Trusted Device Agent Il Trusted Device Agent richiede valori del Registro di sistema personalizzati per fornire i dati a Event Repository.
N.B.: Deve essere una connessione HTTPS. N.B.: Il server example.server.com deve essere affidabile. Il nome host deve corrispondere, la Trust Chain deve essere affidabile e la data deve essere valida. "RootCertificate"="ExampleCertificate" Eseguire la configurazione per l'inoltro dei dati a una soluzione SIEM Le soluzioni SIEM spesso richiedono un'utilità per utilizzare le origini dati.
Variabile Significato -p Specifica le porte utilizzate per il contenitore. --rm Rimuove automaticamente il contenitore alla chiusura. -v Consente la creazione di un volume condiviso tra l'host Docker e il contenitore Docker. ● L'esempio seguente avvia il contenitore Event Repository e mappa C:\eventrepository\Data sul computer host ad /app/ appsettings.json nel contenitore e configura l'host in ascolto sulla porta 31235 mentre utilizza la porta 5001 nel contenitore. N.B.
Live query Live query consente ai team di sicurezza di eseguire query e segnalare lo stato del BIOS per determinare se è stato compromesso. L'integrazione di Live query con il Trusted Device è disponibile con il servizio di controllo e correzione di Carbon Black (precedentemente LiveOps). Carbon Black consiglia la query Stato di verifica Dell SafeBIOS che indica lo stato di verifica del BIOS per ciascun endpoint di Sensor Group.
13 Eseguire l'Agent di verifica del BIOS Per eseguire l'agent, utilizzare uno dei metodi seguenti: ● in modo interattivo ● Riga di comando N.B.: Se si tenta di eseguire l'Agent per la verifica del BIOS su una piattaforma non supportata, viene visualizzato il messaggio Piattaforma non supportata. N.B.: Trusted Device determina il supporto della piattaforma Dell in runtime. N.B.
3. Un browser si avvia automaticamente e visualizza i risultati del BIOS.
N.B.: Se l'utilità non è in grado di determinare lo stato del BIOS, i risultati basati su browser non vengono visualizzati. Consultare Risultati, risoluzione dei problemi e correzione per i codici di errore. Eseguire l'Agent di verifica del BIOS con la riga di comando La tabella seguente descrive in dettaglio gli argomenti della riga di comando opzionali.
Parametri Significato -noncefile Caricare il file come file binario e il contenuto diventa il parametro nonce. Se il file è maggiore di 1024 byte, viene generato l'errore EccezioneArgomento. -noncestring Il parametro è un nonce con codifica Base64. La stringa è decodificata con Base64 e il risultato diventa il parametro nonce. Se il parametro nonce è maggiore di 1024 byte, viene generato l'errore EccezioneArgomento. 1. 2. 3. 4.
14 Risultati, risoluzione dei problemi e correzione Questo capitolo descrive in dettaglio i risultati, la risoluzione dei problemi e la correzione di un'immagine del BIOS danneggiata o manomessa. Risultati Dopo l'esecuzione dell'Agent di verifica del BIOS, i risultati vengono scritti nel percorso C:\ProgramData\Dell\TrustedDevice\, sull'ambiente % ERRORLEVEL%, nel Visualizzatore eventi e nel registro. %PROGRAMDATA% Il Trusted Device Agent scrive i registri e i risultati in formato JSON sul percorso C:\Pro
È possibile trovare le notifiche del punteggio di protezione dal rischio per la sicurezza nel Visualizzatore eventi in: Percorso Tipo di origine Registri delle applicazioni e dei servizi > Dell Trusted Device | Valutazione della sicurezza I dettagli relativi agli eventi sono elencati nella scheda generale del Visualizzatore eventi.
Azione Livello ID evento Categoria attività Verifica superata Icona informazioni 13 4 Verifica superata con avvisi Avviso 14 4 Verifica non riuscita Errore 15 4 registro di sistema I risultati del Trusted Device Agent vengono scritti nel registro ogni volta che viene eseguito l'agent di verifica del BIOS. Tutti gli eventi di verifica del BIOS, acquisizione di immagini e indicatori delle chiavi di registro di attacco si trovano in HKLM\Software\Dell\TrustedDevice.
Impostazione predefinita = ogni 12 ore Valore (in decimale) = 3600 - le ricerche si verificano ogni ora Valore (in decimale) = 172800 - le ricerche si verificano ogni 48 ore ● Questa voce modifica il ritardo, in millisecondi, tra i singoli recuperi degli attributi del BIOS. HKLM\SOFTWARE\Dell\TrustedDevice\ DWORD = MSBetweenAttributeReads Valore minimo in millisecondi = 500 Valore massimo in millisecondi = 2000 Impostazione predefinita = ogni 500 millisecondi Valore (in decimali) = 500 - legge un attributo
Codice errore Significato Informazioni aggiuntive 6 Si è verificato un errore interno Si è verificando un errore nel dispositivo locale cha ha impedito la corretta esecuzione del Dell Trusted Device Agent. Eseguire nuovamente il Trusted Device. Se l'errore persiste, contattare il supporto Dell. 7 Il server ha riportato un errore o non Il server di Dell Trusted Device Agent non è disponibile.