Dell Trusted Device. Guia de instalação e do administrador v3.3. Junho 2021 Rev. A01

Dell Trusted Device

Guia de instalação e do administrador v3.3

Junho 2021 Rev. A01

Notas, avisos e advertências

NOTA: Uma NOTA indica informações importantes que ajudam você a usar melhor o seu produto.

CUIDADO: um AVISO indica possíveis danos ao hardware ou a possibilidade de perda de dados e informa como evitar o problema.

ATENÇÃO: uma ADVERTÊNCIA indica possíveis danos à propriedade, lesões corporais ou risco de morte.

© 2019 - 2021 Dell Inc. All rights reserved. Registered trademarks and trademarks used in this document: Dell™ and the Dell logo, Dell Latitude™,

OptiPlex™, Precision™, and XPS™ are trademarks of Dell Inc. Microsoft®, Windows®, Windows 10®, Microsoft System Center Configuration Manager®, Event Viewer® and Task Scheduler® are either trademarks or registered trademarks of Microsoft Corporation in the United States and/or other countries. Other names may be trademarks of their respective owners.

Capítulo 1: Introdução... 5

Entre em contato com o Dell ProSupport... 5

Capítulo 2: Requisitos... 6

Pré-requisitos... 7

Plataformas...7

Portas...9

Sistemas operacionais...9

Capítulo 3: Fazer download do software... 10

Capítulo 4: Verifique o pacote de instalação... 12

Capítulo 5: Instalação...13

Instalação interativa... 13

Verificar a versão instalada interativamente...16

Verificar a versão instalada com a linha de comando... 16

Instalação por linha de comando... 16

Implementação e conjunto... 18

Capítulo 6: Desinstalar o Trusted Device...19

Desinstalar a partir de Aplicativos e recursos... 19

Desinstalar a partir da linha de comando...19

Capítulo 7: Verificação do BIOS... 20

Capítulo 8: Captura de imagem... 21

Capítulo 9: Eventos do BIOS e Indicadores de ataque... 22

Capítulo 10: Pontuação de proteção de risco de segurança...23

Capítulo 11: Integração...24

Carbon Black... 24

Capítulo 12: Executar o Agent de verificação do BIOS...25

Executar o Agent de verificação do BIOS interativamente... 25

Executar o Agent de verificação do BIOS com linha de comando...27

Cenários mais usados...28

Capítulo 13: Resultados, solução de problemas e correções...29

Resultados...29

Solução de problemas... 32

Índice

Correção... 33

Introdução

O agente Trusted Device da Dell faz parte do portfólio de produtos Dell SafeBIOS. O agente Trusted Device inclui Verificação do BIOS, Captura de imagem, Eventos do BIOS e Indicadores de ataque e Pontuação de proteção de risco de segurança.

A Verificação do BIOS fornece aos clientes a afirmação de que os dispositivos estão protegidos sob o sistema operacional, um local onde não há visibilidade do administrador de TI. Ele permite que os clientes verifiquem a integridade do BIOS usando um processo off-host sem interromper o processo de inicialização. Depois que o agente Trusted Device é executado no endpoint, um resultado de aprovação ou falha (0 ou 1) é exibido em alguns destes locais:

● Navegador da Web ● Linha de comando ● Entrada do registro ● Visualizador de Eventos ● Logs

Os Eventos do BIOS e Indicadores de ataque permitem que os administradores analisem eventos no Visualizador de Eventos do Windows que possam indicar itens críticos direcionados para o BIOS em endpoints empresariais. Os itens críticos alteram atributos do BIOS para obter acesso a computadores empresariais local ou remotamente. Esses vetores de ataque podem ser monitorados e atenuados por meio da capacidade dos recursos Eventos do BIOS e Indicadores de ataque de monitorar os atributos do BIOS.

A Pontuação de proteção de risco de segurança permite que os administradores determinem o nível de risco de segurança dos computadores em sua empresa. O Trusted Device procura por soluções de segurança e atribui uma pontuação por avaliação de riscos geral.

Entre em contato com o Dell ProSupport

Em caso de dúvidas ou problemas com o agente de Trusted Device da Dell, acesse o suporte por chat. Ligue para 877-459-7304, extensão 4310039 para obter suporte por telefone 24x7, para o seu produto Dell.

Há também disponível o serviço de suporte on-line para os produtos Dell no site dell.com/support. O suporte on-line inclui drivers, manuais, orientações técnicas, perguntas frequentes e problemas emergentes.

Quando telefonar, tenha em mãos a Etiqueta de serviço ou Código de serviço expresso, para ajudar o suporte a direcioná-lo rapidamente ao especialista técnico correto.

Para obter os números de telefone fora dos Estados Unidos, veja Números de telefone internacionais do Dell ProSupport.

1

Requisitos

● Consulte a tabela a seguir para obter uma lista de plataformas compatíveis.

NOTA: Se o agente de Trusted Device estiver instalado em plataformas que não sejam da Dell, o seguinte erro será exibido.

NOTA: Se o agente de Trusted Device for executado em uma plataforma não compatível, o seguinte erro será exibido.

Exclusões

As exclusões podem ser necessárias para compatibilidade com scripts, antivírus ou software de terceiro. Exclua o seguinte. Pastas ● C:\ProgramData\Dell\BiosVerification ● C:\Program Files\Dell\BIOSVerification ● C:\Program Files\DELL\TrustedDevice Arquivos ou processos ● C:\Program Files\DELL\TrustedDevice\Dell.SecurityCenter.Agent.Console.exe ● C:\Program Files\DELL\TrustedDevice\Dell.TrustedDevice.Service.Console.exe ● C:\Program Files\DELL\TrustedDevice\Dell.TrustedDevice.Service.exe ● C:\Program Files\DELL\TrustedDevice\DCF.Agent.exe

2

6 Requisitos

● C:\Windows\System32\drivers\DellBV.sys ● C:\Windows\System32\drivers\dtdsel.sys Tipos de arquivo ● .bv ● .rcv ● .sha256

Pré-requisitos

Pré-requisitos

● É obrigatório ter o Microsoft .NET Framework 4.7.2 (ou posterior) para o instalador. O instalador não instala o componente do Microsoft .NET Framework.

Todos os computadores que são enviados da fábrica da Dell possuem a versão completa do Microsoft .NET Framework 4.8 (ou posterior) pré-instalada. Para verificar a versão do Microsoft .NET instalada, siga estas instruções no computador de instalação. Para instalar o Microsoft .NET Framework 4.7.2, consulte estas instruções da Microsoft. Para obter mais informações sobre o Microsoft .NET Framework, consulte este documento da Microsoft.

Plataformas

● A tabela a seguir detalha as plataformas compatíveis:

NOTA: Um asterisco (*) indica que o recurso Eventos do BIOS e Indicadores de ataque é compatível. A Verificação do BIOS é compatível com todas as plataformas listadas.

Modelos dos computadores Dell ○ Latitude 3180 ○ Latitude 3190 ○ Latitude 3190 2 em 1* ○ Latitude 3189 ○ Latitude 3300 ○ Latitude 3301* ○ Latitude 3310* ○ Latitude 3310 2 em 1* ○ Latitude 3311* ○ Latitude 3380 ○ Latitude 3390 2 em 1 ○ Latitude 3390 ○ Latitude 3400* ○ Latitude 3410* ○ Latitude 3480 ○ Latitude 3490 ○ Latitude 3500* ○ Latitude 3510* ○ Latitude 3580 ○ Latitude 3590 ○ Latitude 5280 ○ Latitude 5285 ○ Latitude 5289 ○ Latitude 5290 ○ Latitude 5290 2 em 1 ○ Latitude 5300* ○ OptiPlex 3050

○ OptiPlex 3050 all in one ○ OptiPlex 3060 ○ OptiPlex 3070* ○ OptiPlex 3080* ○ OptiPlex 3280 ○ OptiPlex 5050 ○ OptiPlex 5055 ○ OptiPlex 5060* ○ OptiPlex 5070 ○ OptiPlex 5080* ○ OptiPlex 5250 all in one ○ OptiPlex 5260 all in one ○ OptiPlex 5270 all in one ○ OptiPlex 5480 all in one* ○ OptiPlex 7050

○ OptiPlex 7060* ○ OptiPlex 7070 Ultra* ○ Torre OptiPlex 7071* ○ Torre OptiPlex 7080* ○ OptiPlex 7450 all in one ○ OptiPlex 7460 all in one ○ OptiPlex 7470 all in one ○ OptiPlex 7480 all in one* ○ OptiPlex 7760 all in one ○ OptiPlex 7770 all in one

○ Precision 3430 ○ Precision 3440* ○ Precision 3431* ○ Precision 3520 ○ Precision 3530 ○ Precision 3540* ○ Precision 3541* ○ Precision 3550* ○ Precision 3551* ○ Precision 3630* ○ Precision 3640* ○ Precision 5520 ○ Precision 5530* ○ Precision 5530 2 em 1 ○ Precision 5540* ○ Precision 5550* ○ Precision 5750* ○ Torre Precision 5820 ○ Torre Precision 5820 XL ○ Precision 7520 ○ Precision 7530 ○ Precision 7540* ○ Precision 7550* ○ Precision 7720 ○ Precision 7730* ○ Precision 7740* ○ XPS 13 7390* ○ XPS 13 7390 2 em 1* ○ XPS 13 9300* ○ XPS 13 9365 ○ XPS 13 9380* ○ XPS 13 9560 ○ XPS 15 7590* ○ XPS 15 9500* ○ XPS 15 9570 ○ XPS 15 9575* ○ XPS 17 9700* Requisitos 7

Modelos dos computadores Dell ○ Latitude 5300 2 em 1* ○ Latitude 5310* ○ Latitude 5310 2 em 1* ○ Latitude 5320 ○ Latitude 5400* ○ Latitude 5401* ○ Latitude 5410* ○ Latitude 5411* ○ Latitude 5420 ○ Latitude 5424 ○ Latitude 5480 ○ Latitude 5490 ○ Latitude 5491* ○ Latitude 5495 ○ Latitude 5500* ○ Latitude 5501* ○ Latitude 5510 ○ Latitude 5511* ○ Latitude 5520 ○ Latitude 5580 ○ Latitude 5590 ○ Latitude 5591 ○ Latitude 7200 2 em 1* ○ Latitude 7210 2 em 1* ○ Latitude 7220 Rugged Tablet* ○ Latitude 7220 Rugged Extreme Tablet* ○ Latitude 7280 ○ Latitude 7285 ○ Latitude 7290 ○ Latitude 7290 2 em 1 ○ Latitude 7300* ○ Latitude 7310* ○ Latitude 7310 2 em 1* ○ Latitude 7320 ○ Latitude 7380 ○ Latitude 7389 ○ Latitude 7390 ○ Latitude 7400* ○ Latitude 7400 2 em 1* ○ Latitude 7410* ○ Latitude 7410 2 em 1* ○ Latitude 7420 ○ Latitude 7424 Rugged ○ Latitude 7480 ○ Latitude 7490* ○ Latitude 7520 ○ Latitude 9410* ○ Latitude 9410 2 em 1* ○ Latitude 9510* ○ Latitude 9510 2 em 1*

○ OptiPlex 7780 all in one* ○ OptiPlex XE3

○ Precision 7750* ○ Torre Precision 7820 ○ Torre Precision 7820 XL

Portas

● O Dispositivo confiável usa a fixação de certificado. O agente de Dispositivo confiável deve passar pela inspeção de SSL e TLS e pela inspeção detalhada de pacotes. Certifique-se de que o agente de Trusted Device possa se comunicar com o Dell Cloud pela porta da lista de permissões 443. Consulte a seguinte tabela para obter mais informações:

Destino Protocolo Porta

service.delltrusteddevicesecurity.com HTTPS 443

api.delltrusteddevicesecurity.com HTTPS 443

Sistemas operacionais

● A tabela a seguir detalha os sistemas operacionais compatíveis: Sistemas operacionais Windows (32 bits e 64 bits) ○ Windows 10

Fazer download do software

Esta seção detalha as informações sobre como obter o software em dell.com/support. Se você já tiver o software, você pode ignorar esta seção.

Acesse dell.com/support para começar.

1. Na página Suporte Dell, selecione Procurar em todos os produtos.

2. Selecione Segurança na lista de produtos.

3. Selecione Segurança do Trusted Device.

Depois de fazer essa seleção uma vez, o site se lembra.

3

4. Selecione o produto. Trusted Device

5. Selecione Drivers e downloads.

6. Selecione o tipo de sistema operacional do cliente desejado. 7. Selecione Agente Trusted Device.

8. Selecione Download.

Verifique o pacote de instalação

O pacote de instalação de dispositivo confiável é assinado por Authenticode com um certificado de propriedade da Dell. Para verificar o pacote de instalação, faça o seguinte:

1. Clique com o botão direito do mouse em TrustedDevice-xxbit.msi 2. Selecione Propriedades

3. Selecione a guia Assinaturas digitais

4. Em Lista de assinaturas, verifique de Dell Inc é exibido e selecione-o 5. Selecione Detalhes

6. Em Informações de assinatura digital, verifique se é exibido A assinatura digital está OK

NOTA: Se a mensagem A assinatura digital não é válida for exibida em Informações de assinatura digital, não prossiga com a instalação.

4

Instalação

Use um dos seguintes métodos para instalar o agent Trusted Device:

● Instalação interativa

● Instalação por linha de comando

Instalação interativa

O instalador do agente de Trusted Device exige direitos administrativos. A taxa de bits do utilitário deve corresponder à arquitetura do sistema operacional do computador host. Escolha um dos seguintes:

● TrustedDeviceSetup.msi — instalador de 32 bits ● TrustedDeviceSetup-64bit.msi — instalador de 64 bits

1. Copie TrustedDeviceSetup-64bit.msi para o computador local.

2. Clique duas vezes em TrustedDeviceSetup-64bit.msi para abrir o instalador. 3. Clique em Avançar na tela de boas-vindas.

4. Leia o acordo de licença, concorde com os termos e clique em Avançar.

5. Leia o Acordo de acesso e uso do software do Dispositivo confiável da Dell e selecione Sim, desejo participar do programa ou Não, não desejo participar do programa e clique em Avançar.

6. Clique em Avançar para instalar no local padrão de C:\Program Files\Dell\TrustedDevice\

5

7. Por padrão, o instalador do Dispositivo confiável não instala atalhos. Para instalar atalhos, clique no menu da árvore de recursos Dispositivo confiável da Dell - Atalhos e selecione Este recurso que será instalado no disco rígido local. Clique em Avançar para continuar.

●

8. Clique em Instalar para iniciar a instalação.

9. Uma janela de status é exibida, mas pode levar vários minutos.

10. Clique em Concluir.

Após a instalação, um navegador é iniciado e exibe os resultados. Consulte Resultados, solução de problemas e correções para obter mais informações.

Reinicie o computador para concluir a instalação, se solicitado.

Verificar a versão instalada interativamente

Para ver a versão instalada do agente de Dispositivo confiável da Dell interativamente, use o seguinte método: 1. Em Digite aqui para pesquisar na barra de tarefas, digite Aplicativos e recursos.

2. Clique com o botão esquerdo do mouse em agente de Trusted Device da Dell e a versão será exibida abaixo do nome do produto.

Verificar a versão instalada com a linha de comando

Para ver a versão instalada do agente de Dispositivo confiável da Dell interativamente, use o seguinte método: 1. Em Digite aqui para pesquisar na barra de tarefas, digite CMD.

2. Digite wmic path win32_product where (caption like '%%trusted device%%') get version O número da versão é exibido na janela linha de comando.

Instalação por linha de comando

● Lembre-se de cercar um valor que contenha um ou mais caracteres especiais, como um espaço em branco na linha de comando, com aspas como caractere de escape.

● Use esses comandos para instalar o agente de Dispositivo confiável usando uma instalação com scripts, arquivos em lote ou qualquer outra tecnologia push disponível para sua organização.

● Arquivos de log: o Windows cria arquivos de log de instalação para o usuário logado em %temp%, em C:\Users\<UserName>\AppData\Local\Temp.

Se você decidir adicionar um arquivo de log separado quando executar o instalador, certifique-se de que o arquivo de log tenha um nome exclusivo. Use o comando padrão .msi para criar um arquivo de log. Por exemplo: /l*v C:\<any directory>\<any log file name>.log. Veja o exemplo listado abaixo.

● Especifique as opções de exibição no final do argumento que é passado para a opção /v para alcançar o comportamento esperado. Não use /q e /qn na mesma linha de comando. Use apenas ! e - depois de /qb.

Switch Significado

/s Modo silencioso

/l Grava as informações de log em um arquivo de log no caminho especificado ou existente

Opção Significado

/q Não há caixa de diálogo de andamento — reinicia-se após a conclusão do processo /qb Caixa de diálogo de andamento com o botão Cancelar, solicita a reinicialização. /qb- Caixa de diálogo de andamento com o botão Cancelar — reinicia-se após a conclusão

do processo

/qb! Caixa de diálogo de andamento sem o botão Cancelar — solicita a reinicialização /qb!- Caixa de diálogo de andamento sem o botão Cancelar — reinicia-se após a conclusão

do processo

/qn Sem interface do usuário

● Parâmetros:

A tabela a seguir detalha os parâmetros disponíveis para a instalação.

Parâmetro Descrição

ADDLOCAL Adiciona um recurso não incluído na instalação inicial InstallPath Caminho para local alternativo de instalação REMOVE Remove um recurso incluído na instalação inicial

SECURITYSCORE=1 Permite a instalação da Pontuação de proteção de risco de segurança SHORTCUTS=0 Desativa a instalação do ícone da área de trabalho e o atalho do menu Iniciar SHORTCUTS=1 Ativa a instalação do ícone da área de trabalho e do atalho do menu Iniciar TELEMETRY_OPTIN=0 Desativa a coleta de informações do estado do sistema

TELEMETRY_OPTIN=1 Ativa a coleta das informações do estado do sistema

NOTA: Se estiver atualizando de uma versão anterior com o parâmetro SHORTCUTS=0, o ícone da área de trabalho não será removido.

● Exemplo de instalação por linha de comando

Exemplo de linha de comando para instalar o Trusted Device de Agent

A taxa de bits do utilitário deve corresponder à arquitetura do sistema operacional. Escolha um dos seguintes: ○ TrustedDeviceSetup.msi — instalador de 32 bits

○ TrustedDeviceSetup-64bit.msi — instalador de 64 bits

● O exemplo a seguir instala o agente de Trusted Device de 32 bits com instalação silenciosa, sem barra de andamento, instalado na localização padrão de C:\Program Files\Dell\TrustedDevice\ e os logs de instalação em C:\Dell.

msiexec /i TrustedDeviceSetup.msi /qn /l*v C:\Dell\TrustedDevice.log

● O exemplo a seguir instala o agente de Trusted Device de 64 bits com instalação silenciosa, sem barra de andamento, instalado na localização padrão de C:\Program Files\Dell\TrustedDevice\.

msiexec /i TrustedDeviceSetup-64bit.msi /qn

● O exemplo a seguir adiciona atalhos a uma instalação silenciosa do agente de Dispositivo confiável de 64 bits, existente, sem a barra de progresso, e faz login em C:/Dell.

msiexec.exe /i TrustedDeviceSetup-64bit.msi /qn ADDLOCAL="Shortcuts" /l*v C:\DELL\AddShortcuts.log

● O exemplo a seguir remove silenciosamente os atalhos de uma instalação do agente de Dispositivo confiável de 64 bits existente, sem a barra de progresso, e faz login em C:/Dell.

msiexec.exe /i TrustedDeviceSetup-64bit.msi /qn REMOVE="Shortcuts" /l*v C:\DELL\RemoveShortcuts.log

Implementação e conjunto

Prática recomendada: ao instalar o agente de Dispositivo confiável com utilitários de terceiros, os administradores devem direcionar conjuntos específicos de dispositivos para evitar um alto volume de ruído de plataformas não compatíveis.

Há muitas opções para direcionar as plataformas compatíveis com utilitários de implementação. Para obter exemplos de como gerar conjuntos usando o Microsoft Endpoint Configuration Manager e as opções para direcionar dispositivos específicos, consulte https:// docs.microsoft.com/pt-br/mem/configmgr/core/clients/manage/collections/create-collections.

As implementações são realizadas por meio do Microsoft Endpoint Configuration Manager com base em coleções geradas. Para obter mais informações sobre como gerar tarefas de implementação e programação em ambientes maiores, consulte https:// docs.microsoft.com/pt-br/mem/configmgr/apps/deploy-use/deploy-applications.

Outros utilitários de terceiros usam mecanismos semelhantes. Para obter informações sobre as opções do PDQ Deploy para a criação de conjuntos, consulte https://support.pdq.com/knowledge-base/1752-viewing-and-creating-collections-in-pdq-inventory.

Para obter informações adicionais sobre a implementação de pacotes com o PDQ Deploy, consulte https://www.pdq.com/deploy-scheduling/

Desinstalar o Trusted Device

A desinstalação do usuário deve ser feita por um administrador local. Se for desinstalar por linha de comando, as credenciais de domínio serão obrigatórias.

Use um dos seguintes métodos para desinstalar o utilitário: ● Desinstalar a partir de Aplicativos e recursos

● Desinstalar a partir da linha de comando

Desinstalar a partir de Aplicativos e recursos

1. Em Digite aqui para pesquisar na barra de tarefas, digite Aplicativos e recursos.

2. Clique com o botão esquerdo do mouse em Agente Trusted Device da Dell, e depois clique com o botão esquerdo em Desinstalar.

Desinstalar a partir da linha de comando

O exemplo a seguir desinstala o Trusted Device:

wmic path win32_product where (Caption like "Dell Trusted Device") call uninstall

6

Verificação do BIOS

A Verificação do BIOS fornece aos clientes a afirmação de que os dispositivos estão protegidos sob o sistema operacional, um local onde não há visibilidade do administrador de TI. Ele permite que os clientes verifiquem a integridade do BIOS usando um processo off-host sem interromper o processo de inicialização. Depois que o agente Trusted Device é executado no endpoint, um resultado de aprovação ou falha (0 ou 1) é exibido em alguns destes locais:

● Navegador da Web ● Linha de comando ● Entrada do registro ● Visualizador de Eventos ● Logs

A verificação do BIOS é executada a cada 24 horas por padrão. Para obter os parâmetros da linha de comando, consulte Executar o agente de verificação do BIOS.

7

Captura de imagem

Os administradores podem capturar imagens de BIOS corrompido ou adulterado para análise e correção. Quando executado, o Trusted Device consulta a partição EFI (Extensible Firmware Interface, Interface de firmware extensível) em busca de uma imagem corrompida ou adulterada. Se uma imagem for detectada, ela será copiada da partição EFI para %PROGRAMDATA%\Dell\TrustedDevice\ImageCapture. Se a verificação off-host falhar, o Trusted Device copia imagens corrompidas ou adulteradas da memória para o %PROGRAMDATA% \Dell\TrustedDevice\ImageCapture. Os dados de captura de imagem são retidos por 200 dias.

Os administradores podem acionar a captura de imagens, configurar os locais de armazenamento de imagens capturadas e exportar as imagens mais recentes ou todas as imagens. Cada imagem capturada é assinada e nomeada com base no seguinte:

● Se copiado da partição EFI - BIOSImageCaptureMMDDYYYY_HHMMSS.rcv ● Se copiado da memória - BIOSImageCaptureBVSMMDDYYYY_HHMMSS.bv

MMDDYYYY é a data e HHMMSS é o horário da cópia da imagem. Para obter os parâmetros da linha de comando, consulte Executar o agente de verificação do BIOS.

Para obter mais informações sobre Captura de imagem e Registro do Windows, consulte Resultados, solução de problemas e correções.

8

Eventos do BIOS e Indicadores de ataque

Os Eventos do BIOS e Indicadores de ataque permitem que os administradores analisem eventos no Visualizador de Eventos do Windows que possam indicar itens críticos direcionados para o BIOS em endpoints empresariais. Os itens críticos alteram atributos do BIOS para obter acesso a computadores empresariais local ou remotamente. Esses vetores de ataque podem ser monitorados e atenuados por meio da capacidade dos recursos Eventos do BIOS e Indicadores de ataque de monitorar os atributos do BIOS. Por padrão, o agente Trusted Device coleta atributos do BIOS após a instalação e a cada 12 horas. Os dados de Eventos do BIOS e Indicadores de ataque são retidos por 200 dias.

É recomendável usar um produto SIEM para recuperar logs e eventos. Os administradores devem fornecer os resultados à equipe de SOC para determinar as estratégias de correção apropriadas.

Para ver informações adicionais, incluindo tipos de eventos e localização de eventos, consulte Resultados, solução de problemas e correções.

9

Pontuação de proteção de risco de segurança

A Pontuação de proteção de risco de segurança permite que os administradores determinem o nível de risco de segurança dos

computadores em sua empresa. O Trusted Device verifica e detecta as soluções de segurança abaixo e atribui uma pontuação por avaliação de riscos geral.

● Antivírus

● Senha de administrador do BIOS ● Verificação do BIOS

● Criptografia de disco ● Firewall

● Indicadores de ataque ● Uso do TPM

O Trusted Device verifica a presença e o status de cada solução de segurança a cada 24 horas e também 15 minutos após a reinicialização do agente Trusted Device. Para cada componente, o Trusted Device grava uma aprovação de registro de data e hora, aprovação com avisos ou falhas, e uma pontuação abrangente para o Visualizador de Eventos do Windows. Para obter mais informações, consulte os

Resultados, solução de problemas e correções.

NOTA: O recurso Eventos do BIOS e Indicadores de ataque deve ser compatível no computador de destino para ser incluído no cálculo da Pontuação de proteção de risco de segurança.

10

Integração

O agente Trusted Device da Dell pode ser integrado a outros produtos e serviços para garantir que os computadores estejam seguros no nível do BIOS.

Carbon Black

Introdução

A Carbon Black Cloud incorpora dados de Dispositivos confiáveis para geração de relatórios e atividades de correção.

Pré-requisitos

Os seguintes itens são obrigatórios para a integração do Trusted Device com a Carbon Black Cloud: ● Windows 10 (64 bits)

● Agente Carbon Black

● Agente Trusted Device da Dell

● Plataformas compatíveis pelo Trusted Device

Consulta em tempo real

A Consulta em tempo real permite que as equipes de segurança consultem e informem o estado do BIOS para determinar se ele está comprometido. A integração da Consulta em tempo real com o Trusted Device está disponível com o serviço Carbon Black Audit and Remediation (anteriormente LiveOps). O Carbon Black agora recomenda a consulta do Status de Verificação do Dell SafeBIOS que informa o status de verificação do BIOS para cada endpoint por grupo de sensores. Para obter informações específicas sobre como acessar essa consulta, consulte a documentação do Carbon Black.

Resposta em tempo real

Em circunstâncias em que a Verificação do SafeBIOS exibe uma falha, o agente Trusted Device captura automaticamente a imagem do BIOS para uso na investigação de endpoint. O Carbon Black Live Response pode ser usado para recuperar as imagens capturadas do BIOS, independentemente do status de quarentena de um endpoint. A integração da Resposta em tempo real com o Trusted Device está disponível em todos os produtos Carbon Black. Esses scripts e instruções de implementação estão disponíveis para download no GitHub do Carbon Black.

11

Executar o Agent de verificação do BIOS

Use um dos seguintes métodos para executar o agent:

● Interativamente

● Linha de comando

NOTA: Se você tentar executar o agente de verificação do BIOS em uma plataforma não compatível, será exibida a mensagem, Plataforma não compatível.

NOTA: O Trusted Device determina o suporte à plataforma Dell no tempo de execução.

NOTA: Se o Trusted Device for instalado com atalhos, vá para Iniciar > Dell e clique em Agente de dispositivo confiável da Dell para executar o agente.

NOTA: Se o Trusted Device for instalado sem atalhos, vá para C:\Program Files\Dell\BiosVerification e clique duas vezes em Dell.SecurityCenter.Agent.Console para executar o agente.

Executar o Agent de verificação do BIOS por agendamento

Para agendar a execução do agente de verificação do BIOS em intervalos definidos ou para acionar a execução por eventos, consulte a documentação do Agendador de Tarefas da Microsoft aqui.

Executar o Agent de verificação do BIOS

interativamente

1. Clique duas vezes em Agente de dispositivo confiável da Dell.

2. Se o Controle de conta de usuário estiver ativado, clique em Sim para continuar.

12

3. Um navegador é iniciado automaticamente e exibe os resultados do BIOS.

NOTA: Se o utilitário não conseguir determinar o estado do BIOS, os resultados baseados no navegador não serão exibidos. Consulte Resultados, solução de problemas e correções para obter os códigos de erro.

Executar o Agent de verificação do BIOS com linha de

comando

A tabela a seguir detalha argumentos opcionais da linha de comando.

Parâmetros Significado

-imagecapture Copia a imagem capturada do BIOS para a localização padrão ou especificada -export <FolderLocation> Exporta a imagem mais recente para uma localização especificada

-exportall -export <FolderLocation> Exporta todas as imagens para uma localização especificada. -updateimagestore <FolderLocation> Modifica o local de armazenamento da imagem padrão

-headless Suprime o resultado do navegador e exibe os resultados na janela de linha de comando

Parâmetros Significado

-noncefile <filename> Carrega o arquivo como um arquivo binário e o conteúdo se tornará nonce. Se o arquivo tiver mais de 1024 bytes, um erro ArgumentException será exibido.

-noncestring <nonce> O parâmetro <nonce> é um nonce codificado em base64. A string é decodificada em base64, e o resultado se torna o nonce. Se o nonce decodificado tiver mais de 1024 bytes, um erro ArgumentException será exibido.

1. Abra o prompt de comando com privilégios administrativos. 2. Vá para o diretório que contém o utilitário.

3. Digite Dell.TrustedDevice.Service.Console.exe e, em seguida, pressione Enter. 4. Um navegador é iniciado automaticamente e exibe os resultados do BIOS.

NOTA: Para suprimir o resultado do navegador e exibir os resultados na janela de linha de comando, use o indicador -headless. Por exemplo, Dell.TrustedDevice.Service.Console.exe -headless

Se o utilitário não conseguir determinar o estado do BIOS, um código de erro será exibido. As definições de código de erro estão listadas em Resultados, solução de problemas e correções.

NOTA: Os resultados do BIOS são gravados na seguinte localização de registro sempre que o utilitário é executado: [HKLM\Software\Dell\BIOS Verification] .

NOTA: A variável de ambiente %ERRORLEVEL% é atualizada e pode ser consultada quanto aos resultados para automatizar a coleta silenciosa do status do BIOS de forma centralizada.

Cenários mais usados

A execução do agente de verificação do BIOS em intervalos repetidos garante que os dispositivos permaneçam em um estado protegido. Os utilitários de terceiros são comumente usados para executar e gerar relatórios de volta em uma programação. É recomendável direcionar conjuntos específicos de dispositivos para evitar um alto volume de ruído de plataformas não compatíveis.

Recomenda-se que você execute o recurso de Verificação do BIOS com sua propriedade sem periféricos como SISTEMA em dispositivos para evitar a interrupção dos usuários e, ao mesmo tempo, garantir os códigos de retorno adequados.

● O exemplo a seguir executa o agente de TrustedDevice no modo sem periféricos com logs e resultados que são gravados na localização padrão C:\ProgramData\Dell\TrustedDevice\:

C:\Program Files\Dell\TrustedDevice\Dell.TrustedDevice.Service.Console.exe -headless Depois de executar o utilitário, consulte %ERRORLEVEL% para retornar o status do dispositivo em questão. O valor de retorno %ERRORLEVEL% pode ser comparado com a lista de definições de código de erro em Resultados, solução de problemas e correções. A programação é usada para automatizar a coleta de resultados do BIOS. A sequência de tarefas personalizadas do Endpoint

Configuration Manager da Microsoft pode coletar relatórios de status para tarefas agendadas. Para obter mais informações sobre como gerenciar a programação da sequência de tarefas, consulte https://docs.microsoft.com/en-us/previous-versions/system-center/packs/ hh967525(v=technet.10)#BKMK_Mandatory_Assignment.

Para limitar os resultados de retorno para computadores compatíveis com o Dispositivo confiável, é recomendável usar um conjunto criado pelo Endpoint Configuration Manager da Microsoft. Para obter informações sobre as opções para direcionar dispositivos específicos, consulte https://docs.microsoft.com/pt-br/mem/configmgr/core/clients/manage/collections/create-collections.

Os utilitários de terceiros usam mecanismos de recuperação semelhantes. Para obter informações sobre as opções do PDQ Deploy para a criação de conjuntos, consulte https://support.pdq.com/knowledge-base/1752-viewing-and-creating-collections-in-pdq-inventory.

Resultados, solução de problemas e correções

Este capítulo detalha a revisão dos resultados, solução de problemas e correção de uma imagem corrompida ou adulterada do BIOS.

Resultados

Depois de executar o agente de verificação do BIOS, os resultados são gravados em C:\ProgramData\Dell\TrustedDevice\, no ambiente %ERRORLEVEL%, no Visualizador de Eventos e no Registro.

%PROGRAMDATA%

O agente de Trusted Device grava os logs e resultados formatados em JSON em C:\ProgramData\Dell\TrustedDevice\.

Ambiente %ERRORLEVEL%

O agente de Trusted Device grava os resultados de aprovação/falha no ambiente %ERRORLEVEL%. Depois de executar o agent, os administradores podem consultar %ERRORLEVEL% para retornar o status de dispositivos específicos. O valor de retorno %ERRORLEVEL% pode ser comparado com a lista de códigos de erro na tabela abaixo.

Visualizador de Eventos

O agente de Trusted Device da Dell grava uma nova notificação no Visualizador de Eventos a cada execução e em intervalos regulares. Localize as notificações de Verificação e Captura de imagem do BIOS no Visualizador de Eventos em:

Local Tipo de fonte

Logs do Windows > Sistema Dispositivo confiável da Dell | Verificação do BIOS

Logs de aplicativos e serviços > Dell Dispositivo confiável | Verificação do BIOS

Localize as notificações de Eventos do BIOS e Indicador de ataque no Visualizador de Eventos em:

Local Tipo de fonte

Logs do Windows > Sistema Dispositivo confiável da Dell | Eventos do BIOS e Indicador de ataque

Logs de aplicativos e serviços > Dell Dispositivo confiável | Eventos do BIOS e Indicador de ataque

Localize as notificações da Pontuação de proteção de risco de segurança no Visualizador de Eventos em:

Local Tipo de fonte

Logs de aplicativos e serviços > Dell Trusted Device | Avaliação de segurança

Os detalhes relativos aos eventos são listados na guia Geral do Visualizador de Eventos. As tabelas a seguir detalham a Verificação do BIOS, os Eventos do BIOS e Indicadores de ataque e a Pontuação de proteção de risco de segurança no Visualizador de Eventos.

13

Verificação do BIOS

Ação Nível ID do evento Categoria da tarefa

Verificação aprovada Informativo 9 1

Falha na verificação Erro 2 1

Imagem capturada Aviso 1 2

Captura de imagem duplicada Aviso 2 2

Nenhuma imagem encontrada Informativo 3 2

Eventos do BIOS e Indicadores de ataque

Ação Nível ID do evento Categoria da tarefa

Indicador de ataque removido Informativo 10 3

Indicador de ataque parcial Aviso 11 3

Indicador de ataque Erro 12 3

Pontuação de proteção de risco de segurança

Ação Nível ID do evento Categoria da tarefa

Aprovado Informativo 13 4

Aprovado com Passe com avisos Aviso 14 4

Falha Erro 15 4

Registro

Os resultados do agente de Trusted Device são gravados no registro sempre que o agent de verificação do BIOS é executado. Todas as chaves de registro de verificação do BIOS, captura de imagem e eventos do BIOS e indicadores de ataque estão localizadas em HKLM\Software\Dell\TrustedDevice.

Verificação off-host

● Essa entrada armazena o status de aprovação e falha da verificação off-host no formato JSON. HKLM\Software\Dell\BiosVerification

Result.json

"biosVerification":"True"=Pass "biosVerification":"False"=Fail Captura de imagem

● Essa entrada armazena a localização do armazenamento de imagem e é atualizada quando o parâmetro -updateimagestore é usado.

HKLM\Software\Dell\TrustedDevice "ImagePathStore"=string

● Determina se uma imagem estava presente na última execução da Captura de imagem. Esse valor não existirá se a Captura de imagem não tiver sido executada.

HKLM\Software\Dell\TrustedDevice

"ImagePresentOnLastRun"=DWORD

DWORD=1 — a imagem estava presente na última execução. DWORD=0 — a imagem não estava presente na última execução.

● Caminho de armazenamento da imagem no qual a última imagem foi copiada. Esse valor não existirá se nenhuma imagem for capturada.

"LastImagePath"=string

● Registro de data e hora da última imagem copiada. "LastCopyTimeStamp"=string

● Esta chave privada verifica as imagens no armazenamento. "PrivateKeyBlob"=string

NOTA: Os usuários finais não devem modificar essa entrada, pois isso impedirá que o produto funcione corretamente. ● Uma chave pública usada para verificar as imagens no armazenamento.

"PublicKeyBlob"=string

NOTA: Os usuários finais não devem modificar essa entrada, pois isso impedirá que o produto funcione corretamente. Intervalo de sondagem dos atributos do BIOS

● Esta entrada configura o período de tempo em segundos entre varreduras de atributos do BIOS. HKLM\SOFTWARE\Dell\TrustedDevice\

DWORD=SecondsBetweenAttributeSweeps Valor mínimo em segundos = 3600 (1 hora) Valor máximo = 172800 (48 horas) Padrão = a cada 12 horas

Valor (em decimal) = 3600 — as varreduras ocorrem a cada hora Valor (em decimal) = 172800 — as varreduras ocorrem a cada 48 horas

● Esta entrada altera o atraso em milissegundos entre cada recuperação de atributo individual do BIOS. HKLM\SOFTWARE\Dell\TrustedDevice\

DWORD=MSBetweenAttributeReads Valor mínimo em milissegundos = 500 Valor máximo em milissegundos = 2000 Padrão = a cada 500 milissegundos

Valor (em decimal) = 500 — lê um atributo diferente do BIOS a cada 500 milissegundos Valor (em decimal) = 2000 — lê um atributo diferente do BIOS a cada 2000 milissegundos Pontuação de proteção de risco de segurança

● Essa entrada desativa a Pontuação de proteção de risco de segurança. HKLM\SOFTWARE\Dell\TrustedDevice\

DWORD=SecurityScore Padrão = 1 (ativado) Valor = 1 - ativado Valor = 0 - desativado

NOTA: Se a Pontuação de proteção de risco de segurança estiver desativada no registro, as avaliações de componentes não serão executadas e nenhum resultado será gerado.

Solução de problemas

Se os resultados do BIOS não estiverem disponíveis, os resultados baseados no navegador não serão exibidos. Consulte a tabela a seguir para obter os códigos de erro.

Código de erro Significado Informações adicionais

0 Verificação aprovada O BIOS local é verificado em relação a um BIOS da Dell em boas condições.

1 Falha na verificação Houve falha na verificação do BIOS local em relação a um BIOS da Dell em boas condições.

2 O resultado da verificação é

adulterado

O resultado da verificação é adulterado. Execute o agente de Trusted Device da Dell novamente. Se esse erro persistir, reinstale o agente de Trusted Device da Dell ou entre em contato com o Suporte Dell.

3 Ocorreu um erro desconhecido O agente de Trusted Device da Dell não conseguiu recuperar os detalhes. Execute o agente de Trusted Device da Dell novamente. Se o problema persistir, entre em contato com o suporte Dell.

4 Um argumento de linha de comando

inválido foi especificado

Uma variável de linha de comando aprovada para o agente de Trusted Device da Dell não é compatível. Consulte a sintaxe de linha de comando compatível para o agente de Trusted Device da Dell aqui ou execute o agente de Trusted Device da Dell com o switch -help ou /?

5 O agent está em execução com

privilégios insuficientes

O agente de Trusted Device da Dell exige direitos de administrador local para ser executado.

6 Ocorreu um erro interno Ocorreu um erro no dispositivo local, impedindo que o agente de Trusted Device da Dell fosse executado corretamente. Execute o Trusted Device novamente. Se o problema persistir, entre em contato com o suporte Dell.

7 O servidor respondeu com um erro

ou está indisponível

O servidor do agente de Trusted Device da Dell está indisponível. Valide a conectividade de rede e verifique se os locais baseados na Web estão acessíveis a partir do dispositivo.

8 Ocorreu um problema no driver Falha ao carregar o driver do agente de Trusted Device da Dell. Execute a verificação do BIOS novamente. Se o erro persistir, reinicialize o dispositivo e tente novamente ou entre em contato com o Suporte Dell.

9 Ocorreu um erro porque os dados

do BIOS usados para realizar a verificação estão inválidos

Esse BIOS local não é compatível com a Verificação do BIOS. Verifique se a versão do BIOS local está atualizada e execute novamente a Verificação do BIOS.

10 Isso é exibido quando o argumento da linha de comando -help é especificado

O agente de Trusted Device da Dell foi executado com o argumento -help.

11 Isso será exibido se a imagem da plataforma ou do BIOS não for compatível

O agente de Trusted Device da Dell não é compatível com este dispositivo. Se você acha que este dispositivo é compatível, atualize a versão do BIOS aqui. Se o problema persistir, entre em contato com o suporte Dell.

Código de erro Significado Informações adicionais

12 Ocorreu um erro no serviço de

Dispositivo confiável

Reinicialize o computador e execute o agente de Dispositivo confiável da Dell novamente. Se o problema persistir, entre em contato com o suporte Dell.

Correção

Se os resultados da imagem do BIOS falharem, consulte o artigo da Base de conhecimento 132453 para atualizar o BIOS para a versão mais recente. Consulte o artigo da Base de conhecimento 129365 para obter mais informações sobre o BIOS da Dell.