Dell Trusted Device インストールおよび管理者ガイド v2.10 January 2021 Rev.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2019 - 2021 Dell Inc. All rights reserved. Registered trademarks and trademarks used in this document: Dell™ and the Dell logo, Dell Latitude™, OptiPlex™, Precision™, and XPS™ are trademarks of Dell Inc.
目次 章 1: はじめに..................................................................................................................................4 Dell ProSupport へのお問い合わせ................................................................................................................................... 4 章 2: 要件....................................................................................................................................... 5 前提条件.............................................................
1 はじめに Dell Trusted Device エージェントは、Dell SafeBIOS 製品ポートフォリオの一部です。Trusted Device エージェントには、BIOS Verification、Image Capture、BIOS Events & Indicators of Attack、およびセキュリティ リスク保護スコアの各機能が含まれていま す。 BIOS Verification を用いることでお客様は、IT 管理者の目が届かないオペレーティング システム下でデバイスがセキュアであるこ とを確認できるようになります。これによりお客様は、起動プロセスを妨げることなく、オフ ホスト プロセスを用いた BIOS 整合 性の検証ができます。Trusted Device エージェントのエンドポイントでの実行後、検査結果が合格か不合格か(0 または 1)は、次 の場所で確認できます。 ● ● ● ● ● Web ブラウザー コマンド ライン レジストリー エントリー イベント ビューアー ログ BIOS Events & Indicators of Attack を用いることで、管理者は
2 要件 ● サポート プラットフォームのリストについては、次の表を参照してください。 注:Trusted Device エージェントを Dell 以外のプラットフォームにインストールした場合は、次のエラーが表示されます。 注:Trusted Device エージェントを非サポート プラットフォームで実行した場合は、次のエラーが表示されます。 除外 除外の指定は、サード パーティー製ソフトウェア、ウイルス対策ソフトウェア、またはスクリプトとの互換性のために必要になる 場合があります。除外の対象となるのは以下のものです。 フォルダー ● C:\ProgramData\Dell\BiosVerification ● C:\Program Files\Dell\BIOSVerification ● C:\Program Files\DELL\TrustedDevice ファイルまたはプロセス ● ● ● ● C:\Program Files\DELL\TrustedDevice\Dell.SecurityCenter.Agent.Console.exe C:\Program Files\DELL\Truste
● C:\Windows\System32\drivers\DellBV.sys ● C:\Windows\System32\drivers\dtdsel.sys ファイル タイプ ● .bv ● .rcv ● .sha256 前提条件 前提条件 ● Microsoft .NET Framework 4.7.2(またはそれ以降)が、インストーラーの実行に必要です。インストーラーは、Microsoft .NET Framework コンポーネントをインストールしません。 Dell の工場から出荷されるすべての PC には、Microsoft .NET Framework 4.8(またはそれ以降)の完全バージョンが事前にイン ストールされています。インストールされている Microsoft .NET のバージョンを確認するには、ここに解説されている手順を、 インストール対象の PC で実行します。Microsoft .NET Framework 4.7.2 のインストールについては、こちらの Microsoft による インストラクションを参照してください。Microsoft .
Dell 製 PC のモデル ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Latitude 5300 2-in-1 * ○ OptiPlex 7780 All-in-One* Latitude 5310* ○ OptiPlex XE3 Latitude 5310 2-in-1* Latitude 5400 * Latitude 5401 * Latitude 5410* Latitude 5411* Latitude 5420 Latitude 5424 Latitude 5480 Latitude 5490 Latitude 5491 Latitude 5495 Latitude 5500 * Latitude 5501 * Latitude 5510 Latitude 5511* Latitude 5580 Latitude 5590 Latitude 5591 Latitude 7200 2-in-1 * Latitude 7210 2-in-1* Latitude
宛先 プロトコル ポート service.delltrusteddevicesecurity.com HTTPS 443 api.delltrusteddevicesecurity.
3 ソフトウェアのダウンロード このセクションでは、dell.com/support からソフトウェアを取得する方法の詳細について説明します。ソフトウェアをすでに取得し ている場合は、本項を省略できます。 dell.com/support にアクセスして手順を開始します。 1. Dell サポート Web ページで、 [すべての製品の参照]を選択します。 2. 製品のリストから セキュリティ を選択します。 3.
4. 製品を選択します。 Trusted Device 5. ドライバおよびダウンロード を選択します。 6. 必要なクライアントのオペレーティング システムの種類を選択します。 7. [Trusted Device エージェント]を選択します。 8.
4 インストール パッケージの検証 Trusted Device インストール パッケージは、Dell 所有証明書を使用して authenticode 署名されています。インストール パッケージを 検証するには、次の手順を実行します。 1. TrustedDevice-xxbit.msi を右クリックします。 2. [プロパティ]を選択します。 3. [デジタル署名]タブを選択します。 4. [署名の一覧]で、[Dell Inc]が表示されていることを確認し、これを選択します。 5. [詳細]を選択します。 6.
5 インストール Trusted Deviceagent のインストールは、次のいずれかの方法で行えます。 ● 対話型インストール ● コマンド ラインでのインストール 対話型インストール Trusted Device エージェントのインストーラーを使用するには、管理者権限が必要です。ユーティリティーのビット レートは、ホス トコンピューターのオペレーティング システムのアーキテクチャと一致している必要があります。次のいずれかを選択してくださ い: ● TrustedDeviceSetup.msi - 32 ビット インストーラー ● TrustedDeviceSetup-64bit.msi - 64 ビット インストーラー 1. TrustedDeviceSetup-64bit.msi をローカル コンピューターにコピーします。 2. TrustedDeviceSetup-64bit.msi をダブルクリックして、インストーラーを起動します。 3. ようこその画面で次へをクリックします。 4. ライセンス契約を読み、条項に同意して、次へ をクリックします。 5.
7. デフォルトでは、Trusted Device のインストーラーはショートカットをインストールしません。ショートカットをインストールす るには、[Dell Trusted Device - ショートカット]機能ツリー メニューをクリックして、[この機能をローカル ハード ドライブ にインストールする]を選択します。[次へ]をクリックして続行します。 ● 8.
9. ステータス ウィンドウが表示されます。この処理には数分かかる場合があります。 10.
インストールの終了後、ブラウザーが起動し、結果が表示されます。詳細については、「結果、トラブルシューティング、および 修復」を参照してください。 プロンプトが表示された場合は、PC を再起動してインストールを完了させます。 インストールされたバージョンの対話形式での確認 インストールされている Dell Trusted Device エージェントのバージョンの対話形式での確認は、次の方法で行えます。 1. タスク バーの[ここに入力して検索]で「アプリと機能」と入力します。 2. [Dell Trusted Device エージェント]をクリックすると、製品名の下にバージョンが表示されます。 インストールされたバージョンのコマンド ラインを用いた確認 インストールされている Dell Trusted Device エージェントのバージョンの対話形式での確認は、次の方法で行えます。 1. タスク バーの[ここに入力して検索]で「CMD」と入力します。 2.
● /v スイッチに渡される引数の末尾に表示オプションを指定して、各種の動作をアーカイブします。同じコマンドライン内で /q と /qn を同時に使用しないでください。/qb の後には、!および-のみを使用してください。 スイッチ 意味 /s サイレントモード /l ログ情報を指定のパスまたは既存のパスにあるログ ファイルに書き込む オプション 意味 /q 進行状況ダイアログなし - 処理完了後に自動で再起動 /qb キャンセルボタン付きの進捗状況ダイアログ、再起動のプロンプトを表示 /qb- キャンセルボタン付きの進捗状況ダイアログ - 処理完了後に自動的に再起動 /qb! キャンセルボタンなしの進捗状況ダイアログ - 再起動のプロンプトを表示 /qb!- キャンセルボタンなしの進捗状況ダイアログ - 処理完了後に自動的に再起動 /qn ユーザーインタフェースなし ● パラメーター: 次の表に、インストールで使用できるパラメータの詳細を示します。 パラメータ 説明 ADDLOCAL 初回インストールに含まれない機能の追加 InstallPath 代替インスト
● 次の例は、64 ビット版 Trusted Device エージェントをインストールするもので、ここでは、サイレント インストール、プログ レス バーなし、インストール先はデフォルトの場所の C:\Program Files\Dell\TrustedDevice\となるよう指定しています。 msiexec /i TrustedDeviceSetup-64bit.msi /qn ● 次の例では、既存の 64 ビット版 Trusted Device エージェントのインストール(サイレント インストール、プログレス バーなし、 ログの保存先は C:\Dell)にショートカットを追加します。 msiexec.exe /i TrustedDeviceSetup-64bit.msi /qn ADDLOCAL="Shortcuts" /l*v C:\DELL \AddShortcuts.log ● 次の例では、既存の 64 ビット版 Trusted Device エージェントのインストール(サイレント インストール、プログレス バーなし、 ログの保存先は C:\Dell)からショートカットを削除します。 msiexec.
6 Trusted Device のアンインストール アンインストールするユーザーは、ローカル管理者である必要があります。コマンド ラインでアンインストールする場合は、ドメイ ン認証情報が必要です。 ユーティリティーのアンインストールは、次のいずれかの方法で行えます。 ● アプリと機能からのアンインストール ● コマンド ラインからのアンインストール アプリと機能からのアンインストール 1. タスク バーの[ここに入力して検索]で「アプリと機能」と入力します。 2.
7 Image Capture 管理者は、破損または改ざんされた BIOS に対する分析や修復を行うためのイメージ キャプチャを行えます。これを実行すると、 破損または改ざんされたイメージに関する EFI パーティションへのクエリーが Trusted Device により実行されます。イメージが検 出された場合、当該イメージは EFI パーティションから%PROGRAMDATA%\Dell\TrustedDevice\ImageCapture にコピーされます。 オフ ホスト検証に失敗した場合、Trusted Device は破損または改ざんされたイメージをメモリーから%PROGRAMDATA%\Dell \TrustedDevice\ImageCapture にコピーします。 管理者は、イメージのキャプチャの実行および、キャプチャしたイメージの保存場所の設定、および最新ないしすべてのイメージの エクスポートを行えます。キャプチャされた各イメージには、次の規則に従って署名と名前が付けられます。 ● EFI パーティションからコピーされた場合 - BIOSImageCaptureMMDDYYYY_HHMMSS.
8 BIOS Events & Indicators of Attack BIOS Events & Indicators of Attack を用いることで、管理者は Windows イベント ビューアーでのイベント分析が行え、これによりエ ンタープライズ エンドポイントでの BIOS をターゲットとした有害因子の特定ができることがあります。有害因子は、ローカルまた はリモートでのエンタープライズ PC へのアクセスをするための BIOS 属性を変更するものです。BIOS Events & Indicator of Attack の BIOS 属性の監視機能により、これらの攻撃ベクターをモニターして軽減することが可能になります。Trusted Device エージェン トによる BIOS 属性の収集は、インストール後および、12 時間ごとにデフォルトで実施されます。 ログおよびイベントの取得には、SIEM 製品を使用することをお勧めします。適切な修復戦略を特定するために、管理者は結果を SOC チームに提供する必要があります。 イベントのタイプおよびイベントの場所などの追加情報については、「結果、トラブルシ
9 セキュリティ リスク保護スコア セキュリティ リスク保護スコアを使用して、管理者は自社のコンピューターのセキュリティ リスク レベルを決定できます。 Trusted Device がスキャンを実行して以下のセキュリティ ソリューションを検出し、全体的なリスク アセスメントごとにスコアを 割り当てます。 ● ウイルス対策 ● BIOS 管理者パスワード ● BIOS Verification ● ディスク暗号化 ● ファイアウォール ● Indicators of Attack ● TPM の使用 Trusted Device は、Trusted Device エージェントの再起動後、24 時間ごと、および 15 分ごとに、各セキュリティ ソリューションの 存在とステータスをスキャンします。コンポーネントごとに、タイムスタンプ付きでパスか、警告付きのパスか、または失敗かを、 包括的なスコアとともに Windows イベント ビューアーに書き込みます。詳細については、「結果、トラブルシューティング、および 修復」を参照してください。 セキュリティ リスク保護スコア 21
10 統合 Dell Trusted Device エージェントは、他の製品やサービスと統合することが可能で、これにより PC が安全であるかを BIOS レベルで 確認できます。 Carbon Black はじめに Carbon Black Cloud には、レポートおよび修復アクティビティーに関する Trusted Device のデータが取り込まれます。 前提条件 Carbon Black Cloud と Trusted Device との統合には、次のものが必要です。 ● Windows 10(64 ビット) ● Carbon Black エージェント ● Dell Trusted Device エージェント ● Trusted Device のサポート プラットフォーム Live Query Live Query を用いることでセキュリティ チームは、BIOS の状態のクエリーとレポートを実行させて損傷の有無を判定できます。 Live Query と Trusted Device との統合は、Carbon Black Audit and Remediation サービス(旧 LiveOps)を
11 BIOS VerificationAgent の実行 agent の実行は、次のいずれかの方法で行えます。 ● 対話形式 ● コマンド ライン 注:非サポート プラットフォームで BIOS Verification エージェントを実行しようとすると、「プラットフォームがサポートされて いません」と表示されます。 注:Dell Trusted Device エージェントによる Dell プラットフォームのサポート判定は、実行時に行われます。 BIOS VerificationAgent のスケジュール実行 BIOS Verification エージェントの実行を、指定したインターバルまたはイベントによるトリガーで行わせる方法については、ここに ある Microsoft のタスク スケジューラーのドキュメントを参照してください。 BIOS VerificationAgent の対話形式による実行 1. [Dell Trusted Device エージェント]アイコンをダブルクリックします。 2.
3.
注:ユーティリティーによる BIOS の状態判定ができなかった場合、ブラウザー ベースの結果表示は行われません。エラー コー ドについては、「結果、トラブルシューティング、および修復」を参照してください。 BIOS VerificationAgent のコマンド ラインを用いた実行 次の表には、オプションのコマンド ライン引数の詳細がまとめてあります。 パラメータ 意味 -imagecapture キャプチャした BIOS イメージを、デフォルトまたは指定された場所にコピーする -export 最新イメージを指定された場所にエクスポートする -exportall -export すべてのイメージを指定された場所にエクスポートする -updateimagestore デフォルトのイメージ格納場所を変更する -headless ブラウザーでの結果表示を抑制し、コマンド ライン ウィンドウに結果を表示する -noncefile ファイルをバイナリ ファイルとしてロー
パラメータ 意味 -noncestring パラメーターは、base64 エンコードのノンスです。文字列は base64 でデコ ードされており、結果がノンスになります。デコードされたノンスが 1024 バイトを 超える場合、ArgumentException エラーがスローされます。 1. 2. 3. 4. 管理者権限でコマンド プロンプトを開きます。 ユーティリティーの格納されているディレクトリーに移動します。 「Dell.TrustedDevice.Service.Console.exe」と入力して、Enter を押します。 ブラウザーが自動的に起動し、BIOS に関する結果が表示されます。 注:ブラウザーでの結果表示を抑制し、コマンド ライン ウィンドウに結果を表示させるには、-headless フラグを使用しま す。例:Dell.TrustedDevice.Service.Console.
12 結果、トラブルシューティング、および修復 この章では、結果の確認、トラブルシューティング、および破損または改ざんされた BIOS イメージの修復について説明します。 結果 BIOS Verification エージェントを実行した結果の出力は、C:\ProgramData\Dell\TrustedDevice\、%ERRORLEVEL%環境、イベント ビ ューアー、レジストリーに対して行われます。 %PROGRAMDATA% Trusted Device エージェントは、ログおよび JSON フォーマット化された結果を C:\ProgramData\Dell\TrustedDevice\に書き込みま す。 %ERRORLEVEL%環境 Trusted Device エージェントは、検査がパスしたか失敗したかの結果を%ERRORLEVEL%環境に書き込みます。agent の実行後に管 理者は%ERRORLEVEL%をクエリーすることで、特定デバイスのステータスが返されます。%ERRORLEVEL%の戻り値は、次の表に あるエラー コードのリストと比較できます。 イベント ビューアー Dell Tr
BIOS Verification アクション レベル イベント ID タスク カテゴリー 検証にパス 情報 9 1 検証に失敗 エラー 2 1 キャプチャしたイメージ 警告 1 2 Image Capture の重複 警告 2 2 イメージ非検出 情報 3 2 BIOS Events & Indicators of Attack アクション レベル イベント ID タスク カテゴリー Indicator of Attack をクリア 情報 10 3 部分的な Indicator of Attack 警告 11 3 Indicator of Attack エラー 12 3 アクション レベル イベント ID タスク カテゴリー パス 情報 13 4 警告付きでパス 警告 14 4 失敗 エラー 15 4 セキュリティ リスク保護スコア レジストリ Trusted Device エージェントの結果は、BIOS Verificationagent が実行されるたびにレジストリーに書き込まれます。BIO
"ImagePresentOnLastRun"=DWORD DWORD=1 - 前回実行時にイメージは存在していた。 DWORD=0 - 前回実行時にイメージは存在していなかった。 ● 最後のイメージがコピーされたイメージ ストアのパス。イメージがキャプチャされていない場合、この値は存在しません。 "LastImagePath"=文字列 ● 最後にコピーされたイメージのタイムスタンプ。 "LastCopyTimeStamp"=文字列 ● ストア内のイメージの検証に用いるプライベート キー。 "PrivateKeyBlob"=文字列 注:このエントリーを変更すると製品の正常な動作が妨げられるので、エンド ユーザーによる変更は行わないでください。 ● ストア内のイメージの検証に用いる公開キー。 "PublicKeyBlob"=文字列 注:このエントリーを変更すると製品の正常な動作が妨げられるので、エンド ユーザーによる変更は行わないでください。 BIOS 属性のポーリング間隔 ● このエントリーは、BIOS 属性のスイープ間隔を秒単位で設定します。 HKLM\SOFTWARE\Dell\TrustedDevice
トラブルシューティング BIOS に関する結果がない場合、ブラウザー ベースでの結果表示は行われません。エラー コードについては、次の表を参照してくだ さい。 エラーコード 意味 詳細情報 +0 検証にパス 既知の正常な Dell BIOS に対するローカル BIOS の検証が実施 されました。 1 検証に失敗 既知の正常な Dell BIOS に対するローカル BIOS の検証に失敗 しました。 2 検証結果に改ざんがあります 検証結果に改ざんがあります。Dell Trusted Device エージェン トを再実行してください。このエラーが解決されない場合 は、Dell Trusted Device エージェントを再インストールするか、 Dell サポートにお問い合わせください。 3 不明なエラーが発生しました Dell Trusted Device エージェントは、詳細を取得できませんで した。Dell Trusted Device エージェントを再実行してくださ い。このエラーが解決されない場合は、Dell サポートにお問い 合わせください。 4 無効なコマンド ライン
エラーコード 意味 詳細情報 12 Trusted Device サービスでエラー が発生しました PC を再起動させてから Dell Trusted Device エージェントを再 度実行してください。このエラーが解決されない場合は、Dell サポートにお問い合わせください。 修復 BIOS イメージに関する結果が失敗の場合は、KB 記事 SLN300716 を参照して BIOS を最新バージョンにアップデートしてください。 Dell BIOS の詳細については、KB 記事 SLN284433 を参照してください。 結果、トラブルシューティング、および修復 31
