Dell Trusted Device Guía de instalación y administrador v3.8
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Dell Trusted Device Guía de instalación y administrador v3.8 Noviembre de 2021 Rev. A02
Notas, precauciones y advertencias
NOTA: Una NOTA indica información importante que le ayuda a hacer un mejor uso de su producto.
PRECAUCIÓN: Una PRECAUCIÓN indica la posibilidad de daños en el hardware o la pérdida de datos, y le explica cómo
evitar el problema.
AVISO: Un mensaje de AVISO indica el riesgo de daños materiales, lesiones corporales o incluso la muerte.
© 2019 - 2021 Dell Inc. All rights reserved. Registered trademarks and trademarks used in this document: Dell™ and the Dell logo, Dell Latitude™,
OptiPlex™, Precision™, and XPS™ are trademarks of Dell Inc. Docker™ is either trademarked or registered trademark of Docker in the United States and/or
other countries. Microsoft®, Windows®, Windows 10®, Microsoft System Center Configuration Manager®, Event Viewer® and Task Scheduler® are
either trademarks or registered trademarks of Microsoft Corporation in the United States and/or other countries. Carbon Black™ is either trademarked or
registered trademark of VMWare in the United States and/or other countries. Other names may be trademarks of their respective owners.
Tabla de contenido
Capítulo 1: Introducción...................................................................................................................5
Comuníquese con el equipo de Dell ProSupport for Software........................................................................................ 5
Capítulo 2: Requisitos..................................................................................................................... 6
Requisitos previos.................................................................................................................................................................. 7
Plataformas.............................................................................................................................................................................7
Puertos.................................................................................................................................................................................. 12
Sistemas operativos.............................................................................................................................................................12
Capítulo 3: Descarga del software................................................................................................... 13
Capítulo 4: Verificar el paquete de instalación.................................................................................. 15
Capítulo 5: Ha finalizado la instalación.............................................................................................16
Instalación interactiva.......................................................................................................................................................... 16
Comprobar la versión instalada de manera interactiva..............................................................................................19
Comprobar la versión instalada con la línea de comandos........................................................................................ 19
Instalación con la línea de comandos................................................................................................................................. 19
Implementación y recopilación............................................................................................................................................21
Capítulo 6: Desinstalar Trusted Device............................................................................................ 22
Desinstalar desde Aplicaciones y funciones..................................................................................................................... 22
Desinstalar desde la línea de comandos............................................................................................................................22
Capítulo 7: Funciones.................................................................................................................... 23
Verificación del BIOS...........................................................................................................................................................23
Captura de imagen.............................................................................................................................................................. 23
Eventos e indicadores de ataque al BIOS.........................................................................................................................23
Puntaje de protección de riesgos de seguridad...............................................................................................................24
Verificación de Intel ME......................................................................................................................................................24
Capítulo 8: Interoperabilidad.......................................................................................................... 25
SIEM......................................................................................................................................................................................25
Requisitos....................................................................................................................................................................... 25
Carbon Black.........................................................................................................................................................................31
Capítulo 9: Ejecutar el Agent de verificación del BIOS...................................................................... 33
Ejecutar el Agent de Verificación del BIOS de manera interactiva................................................................................33
Ejecutar el Agent de Verificación del BIOS con la línea de comandos..........................................................................35
Situaciones frecuentes....................................................................................................................................................... 36
Capítulo 10: Resultados, solución de problemas y corrección.............................................................37
Resultados............................................................................................................................................................................ 37
Tabla de contenido 3
Solución de problemas........................................................................................................................................................ 40
Corrección.............................................................................................................................................................................41
4 Tabla de contenido
1
Introducción
El agente Dell Trusted Device es parte del portafolio de productos de Dell SafeBIOS. El agente Trusted Device incluye lo siguiente:
● Verificación del BIOS
● Eventos e indicadores de ataque al BIOS
● Captura de imagen
● Verificación de Intel ME
● Puntaje de protección de riesgos de seguridad
● Integración de SIEM y Dell Event Repository
La verificación del BIOS proporciona a los clientes una confirmación de que los dispositivos están protegidos por debajo del sistema
operativo, un lugar donde la visibilidad del administrador de TI es deficiente. Permite a los clientes verificar la integridad del BIOS mediante
un proceso fuera del host sin interrumpir el proceso de arranque. Una vez que el agente Trusted Device se ejecuta en el terminal, se
muestra un resultado de aprobado o fallido (0 o 1) en algunas de estas ubicaciones:
● Explorador web
● Línea de comandos
● Entrada del registro
● Event Viewer
● Registros
Eventos e indicadores de ataque al BIOS permite a los administradores analizar eventos en el Windows Event Viewer que pueden indicar
elementos dañinos que atacan los terminales empresariales del BIOS. Los elementos dañinos cambian los atributos del BIOS para obtener
acceso a las computadoras empresariales de forma local o remota. Estos vectores de ataque se pueden supervisar y, luego, mitigar gracias
a la capacidad de funciones de monitoreo de atributos del BIOS a través de Eventos e indicadores de ataque al BIOS.
Intel Management Engine (Intel ME) es una microcontroladora independiente incorporada en los chipsets del procesador Intel fabricados
a partir del 2008. Intel ME proporciona una interfaz entre el sistema operativo, el hardware y el BIOS. Además, a Intel ME se le otorga un
amplio privilegio a nivel de sistema y se ejecuta en cada estado de alimentación. El agente Trusted Device analiza y verifica que el firmware
de Intel ME esté presente y sin obstáculos.
El puntaje de protección de riesgos de seguridad permite a los administradores determinar el nivel de riesgo de seguridad de las
computadoras de su empresa. Trusted Device analiza las soluciones de seguridad y asigna un puntaje por evaluación del riesgo general.
Trusted Device ahora incluye Dell Event Repository y se puede integrar en soluciones SIEM con soporte para las siguientes funciones:
● Verificación del BIOS
● Eventos e indicadores de ataque al BIOS
● Captura de imagen
● Puntaje de protección de riesgos de seguridad
Consulte Interoperabilidad para conocer otras formas de usar Trusted Device con soluciones externas.
Comuníquese con el equipo de Dell ProSupport for
Software
Llame al 877-459-7304, extensión 4310039 para obtener soporte telefónico sobre su producto Dell 24 horas al día, 7 días a la semana.
Además, puede obtener soporte en línea para los productos Dell en dell.com/support. El soporte en línea incluye controladores, manuales,
recomendaciones técnicas, P+F y posibles problemas.
Tenga el Código de servicio rápido o Etiqueta de servicio a mano cuando realice la llamada para que el experto técnico adecuado se
conecte con usted rápidamente.
Para obtener los números de teléfono fuera de los Estados Unidos, consulte Números de teléfono internacionales de Dell ProSupport for
Software.
Introducción 5
2
Requisitos
● Consulte la tabla que aparece a continuación para obtener una lista de las plataformas compatibles.
NOTA: Si el agente Trusted Device se instala en plataformas que no son de Dell, se muestra el siguiente error.
NOTA: Si el agente Trusted Device se ejecuta en una plataforma que no es compatible, se muestra el siguiente error.
Exclusiones
Es posible que se requieran exclusiones para lograr la compatibilidad con software, antivirus o scripts de otros fabricantes. Excluya lo
siguiente.
Carpetas
● C:\ProgramData\Dell\BiosVerification
● C:\Program Files\Dell\BIOSVerification
● C:\Program Files\DELL\TrustedDevice
Archivos o procesos
● C:\Program Files\DELL\TrustedDevice\Dell.SecurityCenter.Agent.Console.exe
● C:\Program Files\DELL\TrustedDevice\Dell.TrustedDevice.Service.Console.exe
● C:\Program Files\DELL\TrustedDevice\Dell.TrustedDevice.Service.exe
6 Requisitos
● C:\Program Files\DELL\TrustedDevice\DCF.Agent.exe
● C:\Windows\System32\drivers\DellBV.sys
● C:\Windows\System32\drivers\dtdsel.sys
Tipos de archivos
● .bv
● .rcv
● .sha256
Requisitos previos
● Se necesita Microsoft .NET Framework 4.7.2 (o posterior) para el instalador. El instalador no instala el componente de Microsoft .NET
Framework.
Todas las computadoras enviadas desde la fábrica de Dell vienen con la versión completa de Microsoft .Net Framework 4.8 (o
posterior) previamente instalada. Para comprobar qué versión de Microsoft .Net tiene instalada, siga estas instrucciones en la
computadora en la que se va a realizar la instalación. Para instalar Microsoft .NET Framework 4.7.2, consulte estas instrucciones de
Microsoft. Para obtener más información acerca de Microsoft .Net Framework, consulte este documento de Microsoft.
Plataformas
● La siguiente tabla muestra las plataformas compatibles:
NOTA: La verificación del BIOS es compatible con todas las plataformas enumeradas.
Modelo Eventos e Verificación de Intel
indicadores de ME
ataque al BIOS
Latitude 3180
Latitude 3190
Latitude 3190 2 en 1
Latitude 3189
Latitude 3300
Latitude 3301
Latitude 3310
Latitude 3310 2 en 1
Latitude 3311
Latitude 3380
Latitude 3390 2 en 1
Latitude 3390
Latitude 3400
Latitude 3410
Latitude 3480
Latitude 3490
Latitude 3500
Requisitos 7Modelo Eventos e Verificación de Intel
indicadores de ME
ataque al BIOS
Latitude 3510
Latitude 3580
Latitude 3590
Latitude 5280
Latitude 5285
Latitude 5289
Latitude 5290
Latitude 5290 2 en 1
Latitude 5300
Latitude 5300 2 en 1
Latitude 5310
Latitude 5310 2 en 1
Latitude 5320
Latitude 5400
Latitude 5401
Latitude 5410
Latitude 5411
Latitude 5420
Latitude 5424
Latitude 5480
Latitude 5490
Latitude 5491
Latitude 5495
Latitude 5500
Latitude 5501
Latitude 5510
Latitude 5511
Latitude 5520
Latitude 5580
Latitude 5590
Latitude 5591
Latitude 7200 2 en 1
Latitude 7210 2 en 1
8 RequisitosModelo Eventos e Verificación de Intel
indicadores de ME
ataque al BIOS
Tablet Latitude 7220 Rugged
Tablet Latitude 7220 Rugged
Extreme
Latitude 7280
Latitude 7285
Latitude 7290
Latitude 7290 2 en 1
Latitude 7300
Latitude 7310
Latitude 7310 2 en 1
Latitude 7320
Latitude 7380
Latitude 7389
Latitude 7390
Latitude 7400
Latitude 7400 2 en 1
Latitude 7410
Latitude 7410 2 en 1
Latitude 7420
Latitude 7424 Rugged
Latitude 7480
Latitude 7490
Latitude 7520
Latitude 9410
Latitude 9410 2 en 1
Latitude 9420
Latitude 9510
Latitude 9510 2 en 1
Latitude 9520
OptiPlex 3050
OptiPlex 3050 All-in-One
OptiPlex 3060
OptiPlex 3070
Requisitos 9Modelo Eventos e Verificación de Intel
indicadores de ME
ataque al BIOS
OptiPlex 3080
OptiPlex 3280
OptiPlex 5050
OptiPlex 5055
OptiPlex 5060
OptiPlex 5070
OptiPlex 5080
OptiPlex 5250 All-in-One
OptiPlex 5260 All-in-One
OptiPlex 5270 All-in-One
OptiPlex 5480 All-in-One
OptiPlex 7050
OptiPlex 7060
OptiPlex 7070 Ultra
Torre OptiPlex 7071
Torre OptiPlex 7080
OptiPlex 7450 All-in-One
OptiPlex 7460 All-in-One
OptiPlex 7470 All-in-One
OptiPlex 7480 All-in-One
OptiPlex 7760 All-in-One
OptiPlex 7770 All-in-One
OptiPlex 7780 All-in-One
OptiPlex XE3
Precision 3430
Precision 3440
Precision 3431
Precision 3520
Precision 3530
Precision 3540
Precision 3541
Precision 3550
Precision 3551
10 RequisitosModelo Eventos e Verificación de Intel
indicadores de ME
ataque al BIOS
Precision 3630
Precision 3640
Precision 5520
Precision 5530
Precision 5530 2 en 1
Precision 5540
Precision 5550
Precision 5750
Precision 5820 torre
Torre Precision 5820 XL
Precision 7520
Precision 7530
Precision 7540
Precision 7550
Precision 7720
Precision 7730
Precision 7740
Precision 7750
Precision 7820 torre
Torre Precision 7820 XL
XPS 13 7390
XPS 13 7390 2 en 1
XPS 13 9300
XPS 13 9365
XPS 13 9380
XPS 13 9560
XPS 15 7590
XPS 15 9500
XPS 15 9570
XPS 15 9575
XPS 17 9700
Requisitos 11Puertos
● Trusted Device utiliza el anclaje de certificado. El agente de Trusted Device debe aprobar la inspección de SSL y TLS, la inspección
profunda de paquetes, los servidores proxy y cualquier aplicación de conformado de tráfico. Asegúrese de que el agente de Trusted
Device pueda comunicarse con Dell Cloud agregando el puerto 443 a la lista allowlist. Consulte la siguiente tabla para obtener más
información:
Destino Protocolo Puerto
api.delltrusteddevicesecurity.com HTTPS 443
https://bas.solution.delltrusteddevicesecurity.com HTTPS 443
cds.service.securityscore.dell.com HTTPS 443
cds.service.securityscore.dell.com/devicesvc/api/v1 HTTPS 443
service.delltrusteddevicesecurity.com HTTPS 443
solution.delltrusteddevicesecurity.com HTTPS 443
Sistemas operativos
● La siguiente tabla indica los sistemas operativos compatibles:
Sistemas operativos Windows (32 bits y 64 bits)
○ Windows 10
○ Windows 11
12 Requisitos3
Descarga del software
Esta sección detalla cómo obtener el software desde dell.com/support. Si ya dispone del software, puede saltarse esta sección.
Vaya a dell.com/support para empezar.
1. En la página web de asistencia de Dell, seleccione Navegar por todos los productos.
2. Seleccione Seguridad en la lista de productos.
3. Seleccione seguridad Trusted Device.
Después de realizar una vez esta selección, el sitio web la recordará.
Descarga del software 134. Seleccione el producto.
Trusted Device
5. Seleccione Controladores y descargas.
6. Seleccione el tipo de sistema operativo de cliente deseado.
7. Seleccione el agente Trusted Device.
8. Seleccione Descargar.
14 Descarga del software4
Verificar el paquete de instalación
El paquete de instalación de Trusted Device se firma con Authenticode mediante un certificado patentado de Dell. Para verificar el paquete
de instalación, realice los siguientes pasos:
1. Haga clic con el botón secundario en TrustedDevice-xxbit.msi.
2. Seleccione Propiedades.
3. Seleccione la pestaña Firmas digitales.
4. En Lista de firmas, verifique que aparezca la opción Dell Inc y selecciónela.
5. Seleccione Detalles.
6. En Información de firma digital, verifique que aparezca el mensaje La firma digital está correcta.
NOTA: Si aparece el mensaje La firma digital no es válida en Información de firma digital, no continúe con la instalación.
Verificar el paquete de instalación 155
Ha finalizado la instalación
Utilice uno de los siguientes métodos para instalar el agent Trusted Device:
● Instalación interactiva
● Instalación con la línea de comandos
Instalación interactiva
El instalador del agente Trusted Device requiere derechos administrativos. La velocidad de bits de la utilidad debe coincidir con la
arquitectura del sistema operativo del equipo host. Seleccione uno de lo siguiente:
● Instalador TrustedDeviceSetup.msi - 32-bit
● Instalador TrustedDeviceSetup-64bit.msi - 64-bit
1. Copie TrustedDeviceSetup-64bit. msi en la computadora local.
2. Haga doble clic en el instalador TrustedDeviceSetup-64bit.msi para iniciar el instalador.
3. Haga clic en Siguiente en la pantalla de bienvenida.
4. Lea el contrato de licencia, acepte las condiciones y haga clic en Siguiente.
5. Lea el Acuerdo de uso y acceso del software Dell Trusted Device, y seleccione Sí, deseo participar en el programa o No, no deseo
participar en el programa y haga clic en Siguiente.
6. Haga clic en Siguiente para instalar en la ubicación predeterminada de C:\Program Files\Dell\TrustedDevice\
16 Ha finalizado la instalación7. De forma predeterminada, el instalador de Trusted Device no instala accesos directos. Para instalar accesos directos, haga clic en el
menú de árbol de la función Dell Trusted Device - Accesos directos y seleccione Esta función se instalará en la unidad de
disco duro local. Haga clic en Siguiente para continuar.
●
8. Haga clic en Instalar para comenzar la instalación.
Ha finalizado la instalación 179. Aparece una ventana de estado, pero puede tardar varios minutos. 10. Haga clic en Finalizar. 18 Ha finalizado la instalación
Después de la instalación, se inicia un navegador y se muestran los resultados. Consulte Resultados, solución de problemas y
corrección para obtener más información.
Si se le solicita, reinicie el equipo para completar la instalación.
Comprobar la versión instalada de manera interactiva
Para ver la versión instalada del agente Trusted Device de manera interactiva, utilice el siguiente método:
1. En Escriba aquí para buscar en la barra de tareas, escriba Aplicaciones y funciones.
2. Haga clic con el botón izquierdo en el agente Dell Trusted Device y verá la versión debajo del nombre del producto.
Comprobar la versión instalada con la línea de comandos
Para ver la versión instalada del agente Trusted Device de manera interactiva, utilice el siguiente método:
1. En Escriba aquí para buscar en la barra de tareas, escriba cmd.
2. Escriba wmic path win32_product where (caption like '%%trusted device%%') get version
El número de versión se muestra en la ventana de la línea de comandos.
Instalación con la línea de comandos
● Asegúrese de incorporar un valor que contenga uno o más caracteres especiales, como un espacio en la línea de comandos, en comillas
de escape.
● Utilice estos comandos para instalar el agente Trusted Device mediante instalación con secuencia de comandos, archivos por lotes o
cualquier otra tecnología de inserción que esté disponible en la organización.
● Archivos de registro: Windows crea archivos de registro de instalación para el usuario que haya iniciado sesión en %temp%, el cual se
encuentra en C:\Users\\AppData\Local\Temp.
Si decide agregar un archivo de registro cuando ejecute el instalador, asegúrese de que el archivo de registro tenga un nombre único.
Utilice el comando estándar .msi para crear un archivo de registro. Por ejemplo, /l*v C:\\.log. Consulte el ejemplo que aparece a continuación.
Ha finalizado la instalación 19● Especifique las opciones de visualización al final del argumento que se envía al /v switch para lograr el comportamiento esperado. No
utilice /q ni /qn en la misma línea de comandos. Utilice solo ! y - después de /qb.
Modificador Significado
/s Modo silencioso
/l Escribe la información de registro en un archivo de registro en la ruta de acceso
especificada o existente
Opción Significado
/q Sin diálogo de progreso; se reinicia automáticamente tras completar el proceso
/qb Diálogo de progreso con botón Cancelar, indica que es necesario reiniciar.
/qb- Diálogo de progreso con botón Cancelar, se reinicia automáticamente al terminar el
proceso
/qb! Diálogo de progreso sin botón Cancelar, indica que es necesario reiniciar
/qb!- Diálogo de progreso sin botón Cancelar, se reinicia automáticamente al terminar el
proceso
/qn Sin interfaz de usuario
● Parámetros:
La tabla a continuación indica los parámetros disponibles para la instalación.
Parámetro Descripción
ADDLOCAL Agrega una función que no se incluye en la instalación inicial
InstallPath Ruta de acceso a una ubicación de instalación alternativa
QUITAR Quita una función incluida en la instalación inicial
SECURITYSCORE=1 Permite la instalación del puntaje de protección de riesgos de seguridad
SHORTCUTS=0 Desactiva la instalación del ícono del escritorio y el acceso directo del menú de inicio
SHORTCUTS=1 Activa la instalación del ícono del escritorio y el acceso directo del menú de inicio
TELEMETRY_OPTIN=0 Desactiva la recopilación de información de estado del sistema
TELEMETRY_OPTIN=1 Permite la recopilación de información de estado del sistema
NOTA: Si se actualiza desde una versión anterior con el parámetro SHORTCUTS=0, no se quitará el ícono del escritorio.
● Ejemplo de instalación con la línea de comandos
Ejemplo de línea de comandos para instalar el Agent Trusted Device
La velocidad de bits de la utilidad debe coincidir con la arquitectura del sistema operativo. Seleccione uno de lo siguiente:
○ Instalador TrustedDeviceSetup.msi - 32-bit
○ Instalador TrustedDeviceSetup-64bit.msi - 64-bit
● En el siguiente ejemplo se instala el agente de Trusted Device de 32 bits con una instalación silenciosa, sin barra de progreso, instalado
en la ubicación predeterminada de C:\Program Files\Dell\TrustedDevice\ y los registros de instalación en C:\Dell.
msiexec /i TrustedDeviceSetup.msi /qn /l*v C:\Dell\TrustedDevice.log
20 Ha finalizado la instalación● En el siguiente ejemplo se instala el agente de Trusted Device de 64 bits con una instalación silenciosa, sin barra de progreso, instalado
en la ubicación predeterminada de C:\Program Files\Dell\TrustedDevice\.
msiexec /i TrustedDeviceSetup-64bit.msi /qn
● En el siguiente ejemplo, se agregan accesos directos a una instalación de agente de Trusted Device de 64 bits existente de manera
silenciosa, sin barra de progreso y se registra en C:\Dell.
msiexec.exe /i TrustedDeviceSetup-64bit.msi /qn ADDLOCAL="Shortcuts" /l*v
C:\DELL\AddShortcuts.log
● En el siguiente ejemplo, se quitan accesos directos de una instalación de agente de Trusted Device de 64 bits existente de manera
silenciosa, sin barra de progreso y se registra en C:\Dell.
msiexec.exe /i TrustedDeviceSetup-64bit.msi /qn REMOVE="Shortcuts" /l*v
C:\DELL\RemoveShortcuts.log
Implementación y recopilación
Práctica recomendada: Cuando se instala el agente Trusted Device con utilidades de otros fabricantes, los administradores deben apuntar
a colecciones específicas de dispositivos para evitar un alto volumen de ruido de plataformas no compatibles.
Existen muchas opciones para apuntar a plataformas compatibles con utilidades de implementación. Para obtener ejemplos de la
generación de recopilaciones con el Microsoft Endpoint Configuration Manager y las opciones para apuntar a dispositivos específicos,
consulte https://docs.microsoft.com/en-us/mem/configmgr/core/clients/manage/collections/create-collections.
Las implementaciones se realizan a través de Microsoft Endpoint Configuration Manager según las recopilaciones generadas. Para obtener
más información acerca de la generación de tareas de implementación y la programación en entornos más grandes, consulte https://
docs.microsoft.com/en-us/mem/configmgr/apps/deploy-use/deploy-applications.
Otras utilidades de otros fabricantes utilizan mecanismos similares. Para obtener información acerca de las opciones de implementación
de PDQ Deploy para la creación de recopilaciones, consulte https://documentation.pdq.com/PDQInventory/19.3.30.0/index.html?intro-
collections-reports.htm.
Para obtener información adicional acerca de la implementación de paquetes con PDQ Deploy, consulte https://www.pdq.com/deploy-
scheduling/
Ha finalizado la instalación 216
Desinstalar Trusted Device
El usuario que desinstala debe ser un administrador local. Si se desinstala mediante líneas de comandos, se requerirán credenciales de
dominio.
Utilice cualquiera de los métodos siguientes para desinstalar la utilidad:
● Desinstalar desde Aplicaciones y funciones
● Desinstalar desde la línea de comandos
Desinstalar desde Aplicaciones y funciones
1. En Escriba aquí para buscar en la barra de tareas, escriba Aplicaciones y funciones.
2. Haga clic con el botón izquierdo en el agente Dell Trusted Device y, a continuación, haga clic en Desinstalar.
Desinstalar desde la línea de comandos
En el siguiente ejemplo se desinstala Trusted Device:
wmic path win32_product where (Caption like "%Dell Trusted Device%") call uninstall
22 Desinstalar Trusted Device7
Funciones
Trusted Device incluye las siguientes características.
Verificación del BIOS
La verificación del BIOS proporciona a los clientes una confirmación de que los dispositivos están protegidos por debajo del sistema
operativo, un lugar donde la visibilidad del administrador de TI es deficiente. Permite a los clientes verificar la integridad del BIOS mediante
un proceso fuera del host sin interrumpir el proceso de arranque. Una vez que el agente Trusted Device se ejecuta en el terminal, se
muestra un resultado de aprobado o fallido (0 o 1) en algunas de estas ubicaciones:
● Explorador web
● Línea de comandos
● Entrada del registro
● Event Viewer
● Registros
La verificación del BIOS se ejecuta cada 24 horas de manera predeterminada. Para obtener los parámetros de la línea de comandos,
consulte Ejecutar el agente de verificación del BIOS. Para ver información adicional, incluidos los tipos de eventos y la ubicación de
eventos, consulte Resultados, solución de problemas y corrección.
Captura de imagen
Los administradores pueden tomar capturas de imágenes del BIOS manipulado o dañado para análisis y corrección. Cuando se ejecuta,
el Trusted Device consulta la partición EFI (Extensible Firmware Interface) en busca de una imagen dañada o manipulada. Si se detecta
una imagen, se copia de la partición EFI a %PROGRAMDATA%\Dell\TrustedDevice\ImageCapture. Si la verificación fuera del host falla,
Trusted Device copia las imágenes dañadas o manipuladas de la memoria a %PROGRAMDATA%\Dell\TrustedDevice\ImageCapture. Los
datos de captura de imagen se conservan durante 200 días.
Los administradores pueden invocar la captura de imagen, configurar las ubicaciones de almacenamiento de imagen capturadas y exportar
la más reciente o todas las imágenes. Cada imagen capturada se firma y nombra según lo siguiente:
● Si se copió desde la partición EFI: BIOSImageCaptureMMDDYYYY_HHMMSS.rcv
● Si se copió desde la memoria: BIOSImageCaptureBVSMMDDYYYY_HHMMSS.bv
MMDDYYYY es la fecha y HHMMSS es la hora de la copia de la imagen. Para obtener los parámetros de la línea de comandos, consulte
Ejecutar el agente de verificación del BIOS.
Para obtener más información sobre la captura de imágenes y el registro de Windows, consulte Resultados, solución de problemas y
corrección.
Eventos e indicadores de ataque al BIOS
Eventos e indicadores de ataque al BIOS permite a los administradores analizar eventos en el Windows Event Viewer que pueden indicar
elementos dañinos que atacan los terminales empresariales del BIOS. Los elementos dañinos cambian los atributos del BIOS para obtener
acceso a las computadoras empresariales de forma local o remota. Estos vectores de ataque se pueden supervisar y, luego, mitigar gracias
a la capacidad de funciones de monitoreo de atributos del BIOS a través de Eventos e indicadores de ataque al BIOS. El agente de Trusted
Device recopila los atributos del BIOS después de la instalación y cada 12 horas de manera predeterminada. Los datos de eventos e
indicadores de ataque al BIOS se conservan durante 200 días.
Se recomienda usar un producto SIEM para recuperar registros y eventos. Los administradores deben proporcionar resultados a su equipo
del SOC para determinar las estrategias de corrección adecuadas.
Para ver información adicional, incluidos los tipos de eventos y la ubicación de eventos, consulte Resultados, solución de problemas y
corrección.
Funciones 23Puntaje de protección de riesgos de seguridad
El puntaje de protección de riesgos de seguridad permite a los administradores determinar el nivel de riesgo de seguridad de las
computadoras de su empresa. Trusted Device analiza y detecta las siguientes soluciones de seguridad y asigna un puntaje por evaluación
del riesgo general.
● Antivirus
● Contraseña del administrador del BIOS
● Verificación del BIOS
● Cifrado de disco
● Servidor de seguridad
● Indicadores de ataque
● Verificación de Intel ME
● Uso de TPM
Trusted Device analiza la presencia y el estado de cada solución de seguridad cada 24 horas, y 15 minutos después de que se reinicia
el agente Trusted Device. Para cada componente, Trusted Device registra un resultado aprobado con marca de tiempo, un resultado
aprobado con advertencias o un resultado fallido, y un puntaje completo en Windows Event Viewer. Para ver información adicional,
incluidos los tipos de eventos y la ubicación de eventos, consulte Resultados, solución de problemas y corrección.
NOTA: La función Eventos e indicadores de ataque al BIOS debe ser compatible con la computadora de destino que se incluirá en el
cálculo del puntaje de protección de riesgos de seguridad.
Verificación de Intel ME
Intel Management Engine (Intel ME) es una microcontroladora independiente incorporada en los chipsets del procesador Intel fabricados
a partir del 2008. Intel ME proporciona una interfaz entre el sistema operativo, el hardware y el BIOS. Además, a Intel ME se le otorga un
amplio privilegio a nivel de sistema y se ejecuta en cada estado de alimentación.
El agente Trusted Device analiza y verifica que el firmware de Intel ME esté presente y sin obstáculos después de la instalación inicial,
el inicio y cada 24 horas. Para ver información adicional, incluidos los tipos de eventos y la ubicación de eventos, consulte Resultados,
solución de problemas y corrección.
24 Funciones8
Interoperabilidad
El agente Dell Trusted Device se puede interoperar con otros productos y servicios para garantizar que las computadoras estén protegidas
en el nivel del BIOS.
SIEM
Las soluciones de Security Information Event Management (SIEM) agregan datos de múltiples orígenes en su empresa. SIEM permite a
los administradores identificar tendencias y comportamiento inusual o realizar un análisis en tiempo real de las alertas generadas por las
aplicaciones y el hardware.
Los datos agregados a través de SIEM se pueden transformar en tablas y gráficos en un panel para facilitar el uso. Esto ayuda a los
administradores a garantizar que la empresa mantenga el cumplimiento de normas de seguridad y la protección contra elementos dañinos.
Trusted Device se puede interoperar en soluciones SIEM y soporta las siguientes funciones:
● Verificación del BIOS
● Eventos e indicadores de ataque al BIOS
● Captura de imagen
● Puntaje de protección de riesgos de seguridad
Dell Event Repository debe estar instalado para entregar los resultados del Trusted Device a una solución SIEM. Consulte Descargar Event
Repository para descargar la imagen de Docker.
Requisitos
La interoperación de Trusted Device en soluciones SIEM requiere lo siguiente:
● Docker
● Imagen de Event Repository del Trusted Device
● Trusted Device v3.6 o posterior
● Reenviador de SIEM universal
Requisitos
A continuación, se detallan los requisitos de instalación de Event Repository de Trusted Device.
Arquitectura
En el siguiente diagrama, se describen los pasos de implementación y el flujo de datos del agente Trusted Device a una solución SIEM.
Interoperabilidad 25Descargar e instalar Docker
Event Repository requiere Docker. Vaya a https://docs.docker.com/get-docker/ para descargar e instalar Docker.
NOTA: Si va a instalar Docker en Windows, consulte este artículo de Microsoft a fin de configurar el Subsistema de Windows para
Linux (WSL).
Crear el directorio persistente
Event Repository requiere almacenamiento persistente que se comparte entre el host de Docker y el contenedor de Docker de Event
Repository para almacenar datos de certificados y Trusted Device. Antes de instalar Event Repository, copie el certificado de firma, la
clave privada, el certificado de TLS y la clave privada de TLS en la carpeta C:\eventrepository\Certs. Los siguientes son ejemplos
de las carpetas necesarias para el almacenamiento de datos persistentes creados en el host de Docker:
● C:\eventrepository
● C:\eventrepository\Certs
● C:\eventrepository\Data
Configurar el archivo appsettings.json
El archivo appsettings.json requiere modificaciones para que Event Repository se comunique correctamente con la instancia de Docker. En
la siguiente tabla, se detallan los elementos de nivel superior del archivo appsettings.json:
Nombre Obligatorio Descripción
Registro No Permite a los administradores configurar los métodos con
los cuales Event Repository genera los registros.
Grupo de usuarios Sí Configuración de la información del grupo de usuarios para
esta instancia de Event Repository.
Cargar Sí Configuración del método de carga de SIEM.
26 InteroperabilidadGrupo de usuarios
El elemento Grupo de usuarios configura Event Repository con información del grupo de usuarios. En la información del grupo de usuarios,
se detalla la configuración necesaria para controlar qué equipos pueden registrarse con esta instancia de Event Repository. En la siguiente
tabla, se detallan los elementos del objeto de Grupo de usuarios:
Nombre Obligatorio Descripción
TenantName Sí El nombre del grupo de usuarios. Por lo general, esto
se basa en el nombre o la división de la empresa.
TenantName debe ser único en una organización.
TenantApiKey Sí TenantApiKey es una cadena que representa una
contraseña que una computadora debe proporcionar
durante el registro.
TenantUUID Sí Una cadena que representa un GUID único para este
grupo de usuarios.
NOTA: Para crear un GUID en Windows PowerShell,
utilice el comando new-guid. Para obtener más
información, consulte este artículo de Microsoft.
SigningCertificate Sí También conocido como Certificado de grupo de usuarios.
Este certificado se utiliza para firmar el certificado de
identidad que se genera durante el registro.
JwtCertificate Sí Toda la cadena de certificados utilizada para validar los
tokens de portador que generan las computadoras.
SigningCertficate
El elemento SigningCertificate requiere las siguientes entradas:
● Certificado de firma
● Clave privada asociada con el certificado de firma
En la siguiente tabla, se detalla el miembro que se utiliza para describir el certificado y la clave privada:
Nombre Descripción
IssuerPublicCertsPem Proporcione una de las dos opciones. Para IssuerPublicCertsPem, la
cadena es el certificado X509 codificado en PEM con líneas nuevas
IssuerPublicCertsFile reemplazadas por caracteres '\n'. Para IssuerPublicCertsFile, la
cadena es la ruta al archivo que contiene el certificado X509
codificado en PEM.
IssuerPrivateKeyPem Proporcione una de las dos opciones. Para IssuerPrivateKeyPem,
la cadena es la clave privada codificada en PEM asociada con
IssuerPrivatekeyFile IssuerPublicCert. Para IssuerPrivateKeyFile, la cadena es la ruta al
archivo que contiene la clave privada codificada en PEM. En ambos
casos, la clave privada no debe estar protegida con contraseña.
Cargar
En el elemento de Carga, se detalla la conexión a la solución SIEM. En la siguiente tabla, se detallan los componentes de Carga:
Nombre Obligatorio Descripción
BaseFileName Sí Una cadena que contiene un componente definido por
el usuario del nombre de archivo utilizado para los
archivos de registro. El nombre del archivo es -
TenantName-BaseFileName.log
OutputLocation Sí La ruta que indica la carpeta donde se escriben los
archivos de registro de resultado.
MaxFileSizeMb Sí El tamaño máximo al que puede aumentar un archivo
de registro. Cuando un archivo de registro supera esta
cantidad, se cierra y se crea un nuevo archivo de registro.
Interoperabilidad 27Nombre Obligatorio Descripción
MaxActiveFileDays Sí La cantidad máxima de tiempo, especificada en días, para
la cual se puede abrir un archivo de registro. Cuando el
archivo de registro está abierto durante más tiempo que el
tiempo especificado, se cierra y se abre un nuevo archivo
de registro.
MaxFileAge Sí Los archivos de registro de tiempo persisten en la carpeta
de resultado. Los archivos anteriores a este período,
especificados en días, se eliminan.
El elemento Kestrel detalla la conexión de TLS. En la siguiente tabla, se detallan los componentes de Kestrel:
Nombre Obligatorio Descripción
Extremos Sí Detalles de los puertos de escucha del contenedor.
Protocolo HTTP/ Sí Definiciones de protocolo para los puertos de escucha
HTTPS docker.
Base de rutas Sí Ruta de acceso relativa de URI con respecto al
contenedor (/devicesvr/api/v1).
URL Sí El protocolo de contenedor y el puerto de escucha
(https://*:5001").
Certificado Sí Detalles del certificado que se utiliza para las conexiones
TLS en el contenedor.
Ruta de acceso La ubicación del certificado de PKCS12 (/app/certs/
test.pfx).
Contraseña Sí Contraseña del certificado de PKCS12.
Para usar la utilidad incluida con la imagen de Docker de Event Repository, consulte este capítulo. Utilice un editor de texto para configurar
los elementos requeridos. Consulte appsettings.json a continuación con ejemplos configurables en negrita/cursiva:
{
"https port":443,
"Logging": {
"LogLevel": {
"Default": "Information",
"Microsoft": "Warning",
"Microsoft.Hosting.Lifetime": "Information"
}
},
"Tenant": {
"TenantName": "ExampleTenant",
"TenantApiKey": "ExampleTenantKey",
"TenantUUID": "5568165d-216a-4631-a115-80de74f294fd",
"SigningCertificate": {
"IssuerPublicCertsPem": "ExampleCertificate or Docker container path to the public key certificate",
"IssuerPrivateKeyPem": "ExampleCertificate or Docker container path to the private key" },
"JwtCertificate": {
"TrustedRootsPem": "ExampleCertificate or or the Docker container path to the trust chain of the signing
certificate " }
},
"Upload": {
"BaseFileName": "SIEM_Output",
"OutputLocation": "/var/dataEventRepository",
"MaxFileSizeMb": 15,
"MaxActiveFileDays": 1,
"MaxFileAge": 3
}
},
"Kestrel": {
"Endpoints": {
"Http": {
"PathBase": “/devicesvc/api/v1”,
28 Interoperabilidad"Url”: “http://*:5000”
},
"Https": {
"PathBase": “/devicesvc/api/v1",
"Url": "http://*:5001",
"Certificate": {
"Path": "/app/certs/test.pfx",
"Password": “Password@123"
}
}
}
}
}
Transfiera el archivo appsettings.json al directorio persistente después de modificar los valores anteriores.
Configurar el agente Trusted Device
El agente Trusted Device requiere valores de registro personalizados para entregar datos al Event Repository. Cree o modifique los
siguientes valores de registro a fin de configurar el agente Trusted Device para su uso con Event Repository:
● HKLM\Software\Dell\DellTrustedDevice\Overrides
NOTA: Esta clave de registro está protegida contra la manipulación en el nivel de administrador. Dell recomienda implementar
estos valores de registro antes de instalar el agente Trusted Device en la computadora de destino.
NOTA: Los valores especificados en estas entradas de registro deben coincidir con las entradas de configuración
appsettings.json.
Modifique los siguientes valores de registro según la configuración de Event Repository.
● [HKLM\Software\Dell\DellTrustedDevice\Overrides\SiemIntegrationPolicy\Repositories\CollectorHttps\Registration]
"Tenant"="ExampleTenant"
"TenantApiKey"="ExampleTenantKey"
"TenantId"="5568165d-216a-4631-a115-80de74f294fd"
"Uri"="https://example.server.com:31235/siem/api/v1"
NOTA: Debe ser una conexión HTTPS.
NOTA: El servidor example.server.com debe ser de confianza. El nombre de host debe coincidir, la cadena de confianza debe ser
de confianza y la fecha debe ser válida.
"RootCertificate"="ExampleCertificate"
Interoperabilidad 29● [HKLM\Software\Dell\DellTrustedDevice\Overrides\SiemIntegrationPolicy\Repositories\CollectorHttps\Connection]
"Uri"="https://example.server.com:31235/siem/api/v1"
NOTA: Debe ser una conexión HTTPS.
NOTA: El servidor example.server.com debe ser de confianza. El nombre de host debe coincidir, la cadena de confianza debe ser
de confianza y la fecha debe ser válida.
"RootCertificate"="ExampleCertificate"
Configurar para reenviar datos a una solución SIEM
Las soluciones SIEM a menudo requieren una utilidad para consumir orígenes de datos. El reenviador universal de Splunk es una solución
ligera de reenvío que se puede configurar para su uso con Event Repository durante o después de la instalación. En el siguiente ejemplo, se
proporciona la referencia de instalación y configuración para el reenviador universal de Splunk a fin de migrar datos de Event Repository a
una instancia de SIEM de Splunk.
Utilice uno de los siguientes artículos para instalar un reenviador universal en función del entorno en el que está instalado Event Repository:
● Para instalar un reenviador universal en Windows, consulte este artículo de Splunk.
● Para instalar un reenviador universal en Linux, Solaris, macOS, FreeBSD o AIX, consulte este artículo de Splunk.
Después de la instalación, consulte este artículo de Splunk a fin de configurar el reenviador universal para su uso con Event Repository.
Después de instalar Docker y configurar los requisitos previos, vaya a Ejecutar Event Repository.
Descargar la imagen de Event Repository
Utilice el siguiente flujo de trabajo para descargar la imagen de Event Repository:
1. Asegúrese de que Docker esté instalado y en ejecución en la computadora de destino.
2. Vaya a https://hub.docker.com/r/dellemc/dtd-event-repository e inicie sesión con sus credenciales de Docker.
3. Descargue la imagen de dtd-event-repository
4. Vaya a la ubicación de descarga de imágenes de dtd-event-repository y abra la aplicación PowerShell o Terminal.
5. Ingrese el siguiente comando para instalar Event Repository:
docker pull dellemc/dtd-event-repository
Entornos desconectados
Si la solución SIEM está configurada en modo Desconectado, consulte los siguientes artículos:
● Vaya a este artículo de Docker a fin de ver los pasos para guardar una imagen de Docker para su uso posterior.
● Vaya a este artículo de Docker para ver los pasos a fin de cargar una imagen de Docker guardada anteriormente.
Ejecutar Event Repository
Después de descargar la imagen de Docker, se debe inicializar Event Repository para comenzar a recopilar datos de los agentes. Consulte
este artículo de Docker para obtener más información sobre los comandos de ejecución de Docker. En la siguiente tabla, se detallan las
variables basadas en Docker necesarias para configurar el contenedor de Event Repository:
Variable Significado
-d Ejecute el contenedor de Docker en modo desconectado.
dellemc/dtd-event-repository Define la imagen del contenedor que se usará para este
contenedor.
NOTA: Si se requiere una versión específica de la
imagen de Event Repository, agregue este comando
con :. Por ejemplo: dellemc/dtd-
event-repository:1.0.2.0
30 InteroperabilidadVariable Significado
-it Inicia una sesión interactiva de línea de comandos conectada al
contenedor de Docker.
-P Especifica los puertos utilizados para el contenedor.
--rm Elimina automáticamente el contenedor cuando sale.
-u nobody Contexto de usuario no elevado recomendado en el que se ejecuta
el contenedor.
-v Permite la creación de un volumen compartido entre el host de
Docker y el contenedor de Docker.
● En el siguiente ejemplo, se inicia el contenedor de Event Repository en un contexto de usuario no elevado y se asigna
C:\eventrepository\Data en el equipo host a /app/appsettings.json en el contenedor y se configura el host de escucha en el
puerto 31235 mientras se utiliza el puerto 5001 en el contenedor.
NOTA: En este ejemplo, se recupera la imagen de Docker más reciente si no está presente en la computadora de destino.
docker run -it –rm -d -p31235:5001 -v c:\eventrepository\appsettings.json:/app/
appsettings.json -v c:\eventrepository\Data:/var/data -v C:\eventrepository\certs:/app/certs
-u nobody dellemc/dtd-event-repository
Solución de problemas
Compruebe lo siguiente si la instancia de Event Repository no se comunica correctamente con el equipo host.
● Asegúrese de que la conexión de red esté activa.
● Asegúrese de que el contenedor de Docker se esté ejecutando mediante el siguiente comando:
docker container ps
Si el contenedor está en ejecución, se muestran los siguientes detalles:
○ ID del contenedor
○ Imagen
○ Comando
○ Creado
○ Estado
○ Puertos
○ Nombres
● Asegúrese de que el contenedor de Event Repository esté configurado correctamente en el archivo appsettings.json. Consulte
Configurar el archivo appsettings.json para obtener más información.
● Abra un navegador en el host de Event Repository e ingrese http://:/health. Si el equipo host puede comunicarse correctamente con la instancia
de Event Repository a través del puerto especificado, se muestra un estado en Buen estado en el navegador.
NOTA: Asegúrese de utilizar HTTP en esta evaluación del estado, ya que HTTPS no se resolverá.
Carbon Black
Introducción
Carbon Black Cloud incorpora datos de Trusted Device para actividades de creación de informes y corrección.
Requisitos previos
Para la integración de Trusted Device con Carbon Black Cloud se requiere lo siguiente:
Interoperabilidad 31● Windows 10 (64 bits) ● Agente Carbon Black ● Agente Dell Trusted Device ● Plataformas compatibles con Trusted Device Live Query Live Query permite a los equipos de seguridad consultar e informar el estado del BIOS para determinar si está en riesgo. La integración de Live Query con Trusted Device está disponible con el servicio de auditoría y corrección de Carbon Black (anteriormente LiveOps). Carbon Black ahora recomienda la consulta del Estado de verificación de Dell SafeBIOS que informa sobre el estado de verificación del BIOS de cada terminal por grupo de sensores. Para obtener información específica sobre cómo obtener acceso a este punto, consulte la Documentación de carbono negro. Live Response En circunstancias en las que la verificación de SafeBIOS reporta una falla, el agente Trusted Device captura automáticamente la imagen del BIOS para su uso en la investigación del terminal. Carbon Black Live Response se puede utilizar para recuperar las imágenes del BIOS capturadas, independientemente del estado de cuarentena de un terminal. La integración de Live Response con Trusted Device está disponible con todos los productos Carbon Black. Estos comandos e instrucciones de implementación están disponibles para descarga en Carbon Black GitHub. 32 Interoperabilidad
9
Ejecutar el Agent de verificación del BIOS
Utilice cualquiera de los métodos siguientes para ejecutar el agent:
● De manera interactiva
● Línea de comandos
NOTA: Si intenta ejecutar el agente de Verificación del BIOS en una plataforma no admitida, se muestra Plataforma no
compatible.
NOTA: Trusted Device determina el soporte de la plataforma Dell durante el tiempo de ejecución.
NOTA: Si instala Trusted Device con accesos directos, vaya a Start > Dell y haga clic en el agente Dell Trusted Device para
ejecutar el agente.
NOTA: Si instala Trusted Device sin accesos directos, vaya a C:\Program Files\Dell\BiosVerification y haga doble clic en
Dell.SecurityCenter.Agent.Console para ejecutar el agente.
Ejecutar el Agent de Verificación del BIOS por programa
Para programar la ejecución del agente de verificación del BIOS en intervalos establecidos o para activar la ejecución por eventos, consulte
la documentación del programador de tareas de Microsoft aquí.
Ejecutar el Agent de Verificación del BIOS de manera
interactiva
1. Haga doble clic en el agente Dell Trusted Device.
2. Si el control de cuentas de usuario está habilitado, haga clic en Sí para continuar.
Ejecutar el Agent de verificación del BIOS 333. Un navegador se inicia automáticamente y se muestran los resultados del BIOS. 34 Ejecutar el Agent de verificación del BIOS
NOTA: Si la utilidad no puede determinar el estado del BIOS, no se mostrarán resultados basados en navegador. Consulte
Resultados, solución de problemas y corrección para obtener los códigos de error.
Ejecutar el Agent de Verificación del BIOS con la línea
de comandos
En la siguiente tabla se detallan los argumentos opcionales de la línea de comandos.
Parámetros Significado
-imagecapture Copia la imagen capturada del BIOS en la ubicación predeterminada o especificada
-export Exporta la imagen más reciente a una ubicación especificada
-exportall -export Exporta todas las imágenes a una ubicación especificada.
-updateimagestore Modifica la ubicación de almacenamiento de imágenes predeterminada
-headless Suprime el resultado del navegador y muestra los resultados en la ventana de la línea de
comandos
Ejecutar el Agent de verificación del BIOS 35También puede leer
