Dell Trusted Device Guia de instalação e do administrador v3.6 Setembro 2021 Rev.
Notas, avisos e advertências NOTA: Uma NOTA indica informações importantes que ajudam você a usar melhor o seu produto. CUIDADO: um AVISO indica possíveis danos ao hardware ou a possibilidade de perda de dados e informa como evitar o problema. ATENÇÃO: uma ADVERTÊNCIA indica possíveis danos à propriedade, lesões corporais ou risco de morte. © 2019 - 2021 Dell Inc. All rights reserved.
Índice Capítulo 1: Introdução..................................................................................................................... 5 Entre em contato com o Dell ProSupport.......................................................................................................................... 5 Capítulo 2: Requisitos..................................................................................................................... 6 Pré-requisitos............................................
Capítulo 14: Resultados, solução de problemas e correções............................................................... 37 Resultados............................................................................................................................................................................ 37 Solução de problemas......................................................................................................................................................... 40 Correção.................
1 Introdução O agente Dell Trusted Device faz parte do portfólio de produtos Dell SafeBIOS.
2 Requisitos ● Consulte a tabela a seguir para obter uma lista de plataformas compatíveis. NOTA: Se o agente de Trusted Device estiver instalado em plataformas que não sejam da Dell, o seguinte erro será exibido. NOTA: Se o agente de Trusted Device for executado em uma plataforma não compatível, o seguinte erro será exibido. Exclusões As exclusões podem ser necessárias para compatibilidade com scripts, antivírus ou software de terceiro. Exclua o seguinte. Pastas ● C:\ProgramData\Dell\BiosVerification ● C:
● C:\Windows\System32\drivers\DellBV.sys ● C:\Windows\System32\drivers\dtdsel.sys Tipos de arquivo ● .bv ● .rcv ● .sha256 Pré-requisitos ● É obrigatório ter o Microsoft .NET Framework 4.7.2 (ou posterior) para o instalador. O instalador não instala o componente do Microsoft .NET Framework. Todos os computadores que são enviados da fábrica da Dell possuem a versão completa do Microsoft .NET Framework 4.8 (ou posterior) pré-instalada. Para verificar a versão do Microsoft .
Modelos dos computadores Dell ○ Latitude 5320 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Latitude 5400* Latitude 5401* Latitude 5410* Latitude 5411* Latitude 5420 Latitude 5424 Latitude 5480 Latitude 5490 Latitude 5491* Latitude 5495 Latitude 5500* Latitude 5501* Latitude 5510 Latitude 5511* Latitude 5520 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Latitude 5580 Latitude 5590 Latitude 5591 Latitude 7200 2 em 1* Latitude 7210 2 em 1* Latitude 7220 Rugged Tablet* Latitude 7220 Rugged Extreme Tablet* Latitude 7280 Latitude 7285 Latitu
Portas ● O Trusted Device usa a fixação de certificado. O agente Trusted Device deve passar pela inspeção de SSL e TLS e pela inspeção detalhada de pacotes. Certifique-se de que o agente Trusted Device possa se comunicar com o Dell Cloud pela porta da lista de permissões 443. Consulte a seguinte tabela para obter mais informações: Destino Protocolo Porta api.delltrusteddevicesecurity.com HTTPS 443 bas.solution.delltrusteddevicesecurity.com HTTPS 443 service.delltrusteddevicesecurity.
3 Fazer download do software Esta seção detalha as informações sobre como obter o software em dell.com/support. Se você já tiver o software, você pode ignorar esta seção. Acesse dell.com/support para começar. 1. Na página Suporte Dell, selecione Procurar em todos os produtos. 2. Selecione Segurança na lista de produtos. 3. Selecione Segurança do Trusted Device. Depois de fazer essa seleção uma vez, o site se lembra.
4. Selecione o produto. Trusted Device 5. Selecione Drivers e downloads. 6. Selecione o tipo de sistema operacional do cliente desejado. 7. Selecione Agente Trusted Device. 8. Selecione Download.
4 Verificar o pacote de instalação O pacote de instalação do Trusted Device é assinado por Authenticode com um certificado de propriedade da Dell. Para verificar o pacote de instalação, faça o seguinte: 1. Clique com o botão direito do mouse em TrustedDevice-xxbit.msi 2. Selecione Propriedades 3. Selecione a guia Assinaturas digitais 4. Em Lista de assinaturas, verifique de Dell Inc é exibido e selecione-o 5. Selecione Detalhes 6.
5 Instalação Use um dos seguintes métodos para instalar o agent Trusted Device: ● Instalação interativa ● Instalação por linha de comando Instalação interativa O instalador do agente Trusted Device exige direitos administrativos. A taxa de bits do utilitário deve corresponder à arquitetura do sistema operacional do computador host. Escolha um dos seguintes: ● TrustedDeviceSetup.msi — instalador de 32 bits ● TrustedDeviceSetup-64bit.msi — instalador de 64 bits 1. Copie TrustedDeviceSetup-64bit.
7. Por padrão, o instalador do Trusted Device não instala atalhos. Para instalar atalhos, clique no menu da árvore de recursos Dell Trusted Device - Atalhos e selecione Este recurso que será instalado no disco rígido local. Clique em Avançar para continuar. ● 8. Clique em Instalar para iniciar a instalação.
9. Uma janela de status é exibida, mas pode levar vários minutos. 10. Clique em Concluir.
Após a instalação, um navegador é iniciado e exibe os resultados. Consulte Resultados, solução de problemas e correções para obter mais informações. Reinicie o computador para concluir a instalação, se solicitado. Verificar a versão instalada interativamente Para ver a versão do agente do Trusted Device instalada interativamente, use este método: 1. Em Digite aqui para pesquisar na barra de tarefas, digite Aplicativos e recursos. 2.
● Especifique as opções de exibição no final do argumento que é passado para a opção /v para alcançar o comportamento esperado. Não use /q e /qn na mesma linha de comando. Use apenas ! e - depois de /qb.
● O exemplo a seguir instala o agente Trusted Device de 64 bits com instalação silenciosa, sem barra de andamento, instalado na localização padrão de C:\Program Files\Dell\TrustedDevice\. msiexec /i TrustedDeviceSetup-64bit.msi /qn ● O exemplo a seguir adiciona atalhos a uma instalação silenciosa do agente Trusted Device de 64 bits, existente, sem a barra de progresso, e faz login em C:/Dell. msiexec.exe /i TrustedDeviceSetup-64bit.msi /qn ADDLOCAL="Shortcuts" /l*v C:\DELL\AddShortcuts.
6 Desinstalar o Trusted Device A desinstalação do usuário deve ser feita por um administrador local. Se for desinstalar por linha de comando, as credenciais de domínio serão obrigatórias. Use um dos seguintes métodos para desinstalar o utilitário: ● Desinstalar a partir de Aplicativos e recursos ● Desinstalar a partir da linha de comando Desinstalar a partir de Aplicativos e recursos 1. Em Digite aqui para pesquisar na barra de tarefas, digite Aplicativos e recursos. 2.
7 Verificação do BIOS A Verificação do BIOS fornece aos clientes a afirmação de que os dispositivos estão protegidos sob o sistema operacional, um local onde não há visibilidade do administrador de TI. Ele permite que os clientes verifiquem a integridade do BIOS usando um processo off-host sem interromper o processo de inicialização.
8 Captura de imagem Os administradores podem capturar imagens de BIOS corrompido ou adulterado para análise e correção. Quando executado, o Trusted Device consulta a partição EFI (Extensible Firmware Interface, Interface de firmware extensível) em busca de uma imagem corrompida ou adulterada. Se uma imagem for detectada, ela será copiada da partição EFI para %PROGRAMDATA%\Dell\TrustedDevice\ImageCapture.
9 Eventos do BIOS e Indicadores de ataque Os Eventos do BIOS e Indicadores de ataque permitem que os administradores analisem eventos no Visualizador de Eventos do Windows que possam indicar itens críticos direcionados para o BIOS em endpoints empresariais. Os itens críticos alteram atributos do BIOS para obter acesso a computadores empresariais local ou remotamente.
10 Pontuação de proteção de risco de segurança A Pontuação de proteção de risco de segurança permite que os administradores determinem o nível de risco de segurança dos computadores em sua empresa. O Trusted Device verifica e detecta as soluções de segurança abaixo e atribui uma pontuação por avaliação de riscos geral.
11 Verificação do Intel ME O Intel Management Engine (Intel ME) é um microcontrolador independente integrado aos chipsets de processador Intel fabricados a partir de 2008. O Intel ME oferece uma interface entre o sistema operacional, o hardware e o BIOS. Além disso, o Intel ME recebe um extenso privilégio em nível do sistema e é executado em todos os estados de energia.
12 Integração O agente Trusted Device da Dell pode ser integrado a outros produtos e serviços para garantir que os computadores estejam seguros no nível do BIOS. SIEM As soluções Security Information Event Management (SIEM) agregam dados de várias fontes de sua empresa. O SIEM permite que os administradores identifiquem tendências e comportamentos incomuns ou realizem análises em tempo real dos alertas gerados por aplicativos e hardware.
Fazer download e instalar o Docker O Event Repository requer o Docker. Acesse https://docs.docker.com/get-docker/ para fazer download do Docker e instalá-lo. NOTA: Se você estiver instalando o Docker no Windows, consulte este artigo da Microsoft para configurar o Windows Subsystem for Linux (WSL).
Nome Necessário Descrição Fazer upload Sim Configuração do método de upload do SIEM. Grupo de usuários O elemento Grupo de usuários configura o Event Repository com informações do grupo de usuários. As informações sobre o grupo de usuários detalham a configuração necessária para controlar quais computadores podem se registrar nessa instância do Event Repository.
Nome Necessário Descrição OutputLocation Sim O caminho que indica a pasta onde os arquivos de log de saída são gravados. MaxFileSizeMb Sim O tamanho máximo até o qual um arquivo de log pode chegar. Quando um arquivo de log excede esse valor, o arquivo é fechado e um novo arquivo de log é criado. MaxActiveFileDays Sim O período máximo, especificado em dias, durante o qual um arquivo de log pode ficar aberto.
}, "Kestrel": { "Endpoints": { "Http": { "PathBase": “/devicesvc/api/v1”, "Url”: “http://*:5000” }, "Https": { "PathBase": “/devicesvc/api/v1", "Url": "http://*:5001", "Certificate": { "Path": "/app/certs/test.pfx", "Password": “Password@123" } } } } } Mova o arquivo appsettings.json para o diretório persistente depois de modificar os valores acima. Configurar o agente do Trusted Device O agente do Trusted Device exige que valores de registro personalizados entreguem dados ao Event Repository.
NOTA: O servidor example.server.com deve ser confiável. O nome de host deve corresponder, a cadeia de confiança deve ser confiável e a data deve ser válida. "RootCertificate"="ExampleCertificate" ● [HKLM\Software\Dell\DellTrustedDevice\Overrides\SiemIntegrationPolicy\Repositories\CollectorHttps\Connection] "Uri"="https://example.server.com:31235/siem/api/v1" NOTA: Deve ser uma conexão HTTPS. NOTA: O servidor example.server.com deve ser confiável.
Variável Significado com :. Por exemplo: dellemc/dtdevent-repository:1.0.2.0 -it Inicia uma sessão de linha de comando interativa conectada ao contêiner do Docker. -p Especifica as portas usadas para o contêiner. --rm Remove o contêiner automaticamente ao sair. -v Permite a criação de um volume compartilhado entre o host do Docker e o contêiner do Docker. ● O exemplo abaixo inicia o contêiner do Event Repository, associa C:\eventrepository\Data do computador host ao /app/ appsettin
● ● ● ● Windows 10 (64 bits) Agente Carbon Black Agente Trusted Device da Dell Plataformas compatíveis pelo Trusted Device Consulta em tempo real A Consulta em tempo real permite que as equipes de segurança consultem e informem o estado do BIOS para determinar se ele está comprometido. A integração da Consulta em tempo real com o Trusted Device está disponível com o serviço Carbon Black Audit and Remediation (anteriormente LiveOps).
13 Executar o Agent de verificação do BIOS Use um dos seguintes métodos para executar o agent: ● Interativamente ● Linha de comando NOTA: Se você tentar executar o agente de verificação do BIOS em uma plataforma não compatível, será exibida a mensagem, Plataforma não compatível. NOTA: O Trusted Device determina o suporte à plataforma Dell no tempo de execução.
3. Um navegador é iniciado automaticamente e exibe os resultados do BIOS.
NOTA: Se o utilitário não conseguir determinar o estado do BIOS, os resultados baseados no navegador não serão exibidos. Consulte Resultados, solução de problemas e correções para obter os códigos de erro. Executar o Agent de verificação do BIOS com linha de comando A tabela a seguir detalha argumentos opcionais da linha de comando.
Parâmetros Significado -noncefile Carrega o arquivo como um arquivo binário e o conteúdo se tornará nonce. Se o arquivo tiver mais de 1024 bytes, um erro ArgumentException será exibido. -noncestring O parâmetro é um nonce codificado em base64. A string é decodificada em base64, e o resultado se torna o nonce. Se o nonce decodificado tiver mais de 1024 bytes, um erro ArgumentException será exibido. 1. 2. 3. 4. Abra o prompt de comando com privilégios administrativos.
14 Resultados, solução de problemas e correções Este capítulo detalha a revisão dos resultados, solução de problemas e correção de uma imagem corrompida ou adulterada do BIOS. Resultados Depois de executar o agente de verificação do BIOS, os resultados são gravados em C:\ProgramData\Dell\TrustedDevice\, no ambiente %ERRORLEVEL%, no Visualizador de Eventos e no Registro. %PROGRAMDATA% O agente Trusted Device grava os logs e resultados formatados em JSON em C:\ProgramData\Dell\TrustedDevice\.
Local Tipo de fonte Logs de aplicativos e serviços > Dell Trusted Device | Avaliação de segurança Os detalhes relativos aos eventos são listados na guia Geral do Visualizador de Eventos. As tabelas a seguir detalham a Verificação do BIOS, os Eventos do BIOS e Indicadores de ataque, Verificação do Intel ME e a Pontuação de proteção de risco de segurança no Visualizador de Eventos.
Ação Nível ID do evento Categoria da tarefa Aprovado com Passe com avisos Aviso 14 4 Falha Erro 15 4 Registro Os resultados do agente Trusted Device são gravados no registro sempre que o agent de verificação do BIOS é executado. Todas as chaves de registro de verificação do BIOS, captura de imagem e eventos do BIOS e indicadores de ataque estão localizadas em HKLM\Software\Dell\TrustedDevice.
Valor máximo = 172800 (48 horas) Padrão = a cada 12 horas Valor (em decimal) = 3600 — as varreduras ocorrem a cada hora Valor (em decimal) = 172800 — as varreduras ocorrem a cada 48 horas ● Esta entrada altera o atraso em milissegundos entre cada recuperação de atributo individual do BIOS. HKLM\SOFTWARE\Dell\TrustedDevice\ DWORD=MSBetweenAttributeReads Valor mínimo em milissegundos = 500 Valor máximo em milissegundos = 2000 Padrão = a cada 500 milissegundos Valor (em decimal) = 500 — lê um atributo diferent
Código de erro Significado Informações adicionais 5 O agent está em execução com privilégios insuficientes O agente Dell Trusted Device exige direitos de administrador local para ser executado. 6 Ocorreu um erro interno Ocorreu um erro no dispositivo local, impedindo que o agente Dell Trusted Device fosse executado corretamente. Execute o Trusted Device novamente. Se o problema persistir, entre em contato com o suporte Dell.