Dell Trusted Device
Guía de instalación y administrador v3.3
Junio 2021 Rev. A01
Notas, precauciones y advertencias
NOTA: Una NOTA indica información importante que le ayuda a hacer un mejor uso de su producto.
PRECAUCIÓN: Una PRECAUCIÓN indica la posibilidad de daños en el hardware o la pérdida de datos, y le explica cómo evitar el problema.
AVISO: Un mensaje de AVISO indica el riesgo de daños materiales, lesiones corporales o incluso la muerte.
© 2019 - 2021 Dell Inc. All rights reserved. Registered trademarks and trademarks used in this document: Dell™ and the Dell logo, Dell Latitude™,
OptiPlex™, Precision™, and XPS™ are trademarks of Dell Inc. Microsoft®, Windows®, Windows 10®, Microsoft System Center Configuration Manager®, Event Viewer® and Task Scheduler® are either trademarks or registered trademarks of Microsoft Corporation in the United States and/or other countries. Other names may be trademarks of their respective owners.
Capítulo 1: Introducción...5
Cómo comunicarse con Dell ProSupport...5
Capítulo 2: Requisitos... 6
Requisitos previos... 7
Plataformas...7
Puertos...9
Sistemas operativos... 9
Capítulo 3: Descargar software...10
Capítulo 4: Verificar el paquete de instalación... 12
Capítulo 5: Ha finalizado la instalación... 13
Instalación interactiva... 13
Comprobar la versión instalada de manera interactiva...16
Comprobar la versión instalada con la línea de comandos... 16
Instalación con la línea de comandos... 16
Implementación y recopilación...18
Capítulo 6: Desinstalar Trusted Device... 19
Desinstalar desde Aplicaciones y funciones...19
Desinstalar desde la línea de comandos... 19
Capítulo 7: Verificación del BIOS... 20
Capítulo 8: Captura de imagen... 21
Capítulo 9: Eventos e indicadores de ataque al BIOS... 22
Capítulo 10: Puntaje de protección de riesgos de seguridad... 23
Capítulo 11: Integración...24
Carbon Black... 24
Capítulo 12: Ejecutar el Agent de verificación del BIOS... 25
Ejecutar el Agent de Verificación del BIOS de manera interactiva... 25
Ejecutar el Agent de Verificación del BIOS con la línea de comandos... 27
Situaciones frecuentes... 28
Capítulo 13: Resultados, solución de problemas y corrección...29
Resultados... 29
Solución de problemas... 32
Tabla de contenido
Corrección... 33
Introducción
El agente Dell Trusted Device es parte del portafolio de productos de Dell SafeBIOS. El agente Trusted Device incluye la verificación del BIOS, la captura de imagen, los eventos e indicadores de ataque al BIOS y el puntaje de protección de riesgos de seguridad.La verificación del BIOS proporciona a los clientes una confirmación de que los dispositivos están protegidos por debajo del sistema operativo, un lugar donde la visibilidad del administrador de TI es deficiente. Permite a los clientes verificar la integridad del BIOS mediante un proceso fuera del host sin interrumpir el proceso de arranque. Una vez que el agente Trusted Device se ejecuta en el terminal, se muestra un resultado de aprobado o fallido (0 o 1) en algunas de estas ubicaciones:
● Explorador web ● Línea de comandos ● Entrada del registro ● Event Viewer ● Registros
Eventos e indicadores de ataque al BIOS permite a los administradores analizar eventos en el Windows Event Viewer que pueden indicar elementos dañinos que atacan los terminales empresariales del BIOS. Los elementos dañinos cambian los atributos del BIOS para obtener acceso a las computadoras empresariales de forma local o remota. Estos vectores de ataque se pueden supervisar y, luego, mitigar gracias a la capacidad de funciones de monitoreo de atributos del BIOS a través de Eventos e indicadores de ataque al BIOS.
El puntaje de protección de riesgos de seguridad permite a los administradores determinar el nivel de riesgo de seguridad de las computadoras de su empresa. Trusted Device analiza las soluciones de seguridad y asigna un puntaje por evaluación del riesgo general.
Cómo comunicarse con Dell ProSupport
Para preguntas o inquietudes sobre el agente Dell Trusted Device, consulte el servicio de Soporte de chat.
Llame al 877-459-7304, extensión 4310039 para obtener soporte telefónico sobre su producto Dell 24 horas al día, 7 días a la semana. Además, puede obtener soporte en línea para los productos Dell en dell.com/support. El soporte en línea incluye controladores, manuales, recomendaciones técnicas, P+F y posibles problemas.
Tenga el Código de servicio rápido o Etiqueta de servicio a mano cuando realice la llamada para que el experto técnico adecuado se conecte con usted rápidamente.
Para obtener los números de teléfono fuera de los Estados Unidos, consulte Números de teléfono internacionales de Dell ProSupport.
1
Requisitos
● Consulte la tabla que aparece a continuación para obtener una lista de las plataformas compatibles.NOTA: Si el agente Trusted Device se instala en plataformas que no son de Dell, se muestra el siguiente error.
NOTA: Si el agente Trusted Device se ejecuta en una plataforma que no es compatible, se muestra el siguiente error.
Exclusiones
Es posible que se requieran exclusiones para lograr la compatibilidad con software, antivirus o scripts de otros fabricantes. Excluya lo siguiente. Carpetas ● C:\ProgramData\Dell\BiosVerification ● C:\Program Files\Dell\BIOSVerification ● C:\Program Files\DELL\TrustedDevice Archivos o procesos ● C:\Program Files\DELL\TrustedDevice\Dell.SecurityCenter.Agent.Console.exe ● C:\Program Files\DELL\TrustedDevice\Dell.TrustedDevice.Service.Console.exe ● C:\Program Files\DELL\TrustedDevice\Dell.TrustedDevice.Service.exe
2
6 Requisitos● C:\Program Files\DELL\TrustedDevice\DCF.Agent.exe ● C:\Windows\System32\drivers\DellBV.sys ● C:\Windows\System32\drivers\dtdsel.sys Tipos de archivos ● .bv ● .rcv ● .sha256
Requisitos previos
Requisitos previos
● Se necesita Microsoft .NET Framework 4.7.2 (o posterior) para el instalador. El instalador no instala el componente de Microsoft .NET Framework.
Todas las computadoras enviadas desde la fábrica de Dell vienen con la versión completa de Microsoft .Net Framework 4.8 (o posterior) previamente instalada. Para comprobar qué versión de Microsoft .Net tiene instalada, siga estas instrucciones en la computadora en la que se va a realizar la instalación. Para instalar Microsoft .NET Framework 4.7.2, consulte estas instrucciones de Microsoft. Para obtener más información acerca de Microsoft .Net Framework, consulte este documento de Microsoft.
Plataformas
● La siguiente tabla muestra las plataformas compatibles:
NOTA: Un asterisco (*) indica que la función Eventos e indicadores de ataque al BIOS es compatible. La verificación del BIOS es compatible con todas las plataformas enumeradas.
Modelos de computadoras Dell
○ Latitude 3180 ○ Latitude 3190 ○ Latitude 3190 2 en 1* ○ Latitude 3189 ○ Latitude 3300 ○ Latitude 3301 * ○ Latitude 3310* ○ Latitude 3310 2 en 1* ○ Latitude 3311* ○ Latitude 3380 ○ Latitude 3390 2 en 1 ○ Latitude 3390 ○ Latitude 3400 * ○ Latitude 3410* ○ Latitude 3480 ○ Latitude 3490 ○ Latitude 3500* ○ Latitude 3510* ○ Latitude 3580 ○ Latitude 3590 ○ Latitude 5280 ○ Latitude 5285 ○ Latitude 5289 ○ Latitude 5290 ○ Latitude 5290 2 en 1 ○ OptiPlex 3050 ○ OptiPlex 3050 All-in-One ○ OptiPlex 3060 ○ OptiPlex 3070* ○ OptiPlex 3080* ○ OptiPlex 3280 ○ OptiPlex 5050 ○ OptiPlex 5055 ○ OptiPlex 5060* ○ OptiPlex 5070 ○ OptiPlex 5080* ○ OptiPlex 5250 All-in-One ○ OptiPlex 5260 All-in-One ○ OptiPlex 5270 All-in-One ○ OptiPlex 5480 todo en uno* ○ OptiPlex 7050 ○ OptiPlex 7060* ○ OptiPlex 7070 Ultra* ○ Torre OptiPlex 7071* ○ Torre OptiPlex 7080* ○ OptiPlex 7450 All-in-One ○ OptiPlex 7460 All-in-One ○ OptiPlex 7470 All-in-One ○ OptiPlex 7480 todo en uno* ○ Precision 3430 ○ Precision 3440* ○ Precision 3431 * ○ Precision 3520 ○ Precision 3530 ○ Precision 3540* ○ Precision 3541 * ○ Precision 3550* ○ Precision 3551* ○ Precision 3630* ○ Precision 3640* ○ Precision 5520 ○ Precision 5530* ○ Precision 5530 2 en 1 ○ Precision 5540* ○ Precision 5550* ○ Precision 5750* ○ Precision 5820 torre ○ Torre Precision 5820 XL ○ Precision 7520 ○ Precision 7530 ○ Precision 7540* ○ Precision 7550* ○ Precision 7720 ○ Precision 7730* ○ XPS 13 7390* ○ XPS 13 7390 2 en 1* ○ XPS 13 9300* ○ XPS 13 9365 ○ XPS 13 9380* ○ XPS 13 9560 ○ XPS 15 7590* ○ XPS 15 9500* ○ XPS 15 9570 ○ XPS 15 9575* ○ XPS 17 9700* Requisitos 7
Modelos de computadoras Dell ○ Latitude 5300* ○ Latitude 5300 2 en 1* ○ Latitude 5310* ○ Latitude 5310 2 en 1* ○ Latitude 5320 ○ Latitude 5400* ○ Latitude 5401* ○ Latitude 5410* ○ Latitude 5411* ○ Latitude 5420 ○ Latitude 5424 ○ Latitude 5480 ○ Latitude 5490 ○ Latitude 5491* ○ Latitude 5495 ○ Latitude 5500* ○ Latitude 5501* ○ Latitude 5510 ○ Latitude 5511* ○ Latitude 5520 ○ Latitude 5580 ○ Latitude 5590 ○ Latitude 5591 ○ Latitude 7200 2 en 1* ○ Latitude 7210 2 en 1* ○ Tablet Latitude 7220 Rugged* ○ Tablet Latitude 7220 Rugged Extreme* ○ Latitude 7280 ○ Latitude 7285 ○ Latitude 7290 ○ Latitude 7290 2 en 1 ○ Latitude 7300* ○ Latitude 7310* ○ Latitude 7310 2 en 1* ○ Latitude 7320 ○ Latitude 7380 ○ Latitude 7389 ○ Latitude 7390 ○ Latitude 7400* ○ Latitude 7400 2 en 1* ○ Latitude 7410* ○ Latitude 7410 2 en 1* ○ Latitude 7420 ○ Latitude 7424 Rugged ○ Latitude 7480 ○ Latitude 7490* ○ Latitude 7520 ○ Latitude 9410* ○ Latitude 9410 2 en 1* ○ Latitude 9510* ○ Latitude 9510 2 en 1* ○ OptiPlex 7760 All-in-One ○ OptiPlex 7770 All-in-One ○ OptiPlex 7780 todo en uno* ○ OptiPlex XE3 ○ Precision 7740* ○ Precision 7750* ○ Precision 7820 torre ○ Torre Precision 7820 XL 8 Requisitos
Puertos
● Trusted Device utiliza el anclaje de certificado. El agente de Trusted Device debe aprobar la inspección de SSL y TLS, además de la inspección profunda de paquetes. Asegúrese de que el agente de Trusted Device pueda comunicarse con Dell Cloud agregando el puerto 443 a la lista allowlist. Consulte la siguiente tabla para obtener más información:
Destino Protocolo Puerto
service.delltrusteddevicesecurity.com HTTPS 443
api.delltrusteddevicesecurity.com HTTPS 443
Sistemas operativos
● La siguiente tabla indica los sistemas operativos compatibles:
Sistemas operativos Windows (32 bits y 64 bits)
○ Windows 10
Descargar software
Esta sección detalla cómo obtener el software desde dell.com/support. Si ya dispone del software, puede saltarse esta sección.Vaya a dell.com/support para empezar.
1. En la página web de asistencia de Dell, seleccione Navegar por todos los productos.
2. Seleccione Seguridad en la lista de productos.
3. Seleccione seguridad Trusted Device.
Después de realizar una vez esta selección, el sitio web la recordará.
3
4. Seleccione el producto.
Trusted Device
5. Seleccione Controladores y descargas.
6. Seleccione el tipo de sistema operativo de cliente deseado. 7. Seleccione el agente Trusted Device.
8. Seleccione Descargar.
Verificar el paquete de instalación
El paquete de instalación de Trusted Device se firma con Authenticode mediante un certificado patentado de Dell. Para verificar el paquete de instalación, realice los siguientes pasos:1. Haga clic con el botón secundario en TrustedDevice-xxbit.msi. 2. Seleccione Propiedades.
3. Seleccione la pestaña Firmas digitales.
4. En Lista de firmas, verifique que aparezca la opción Dell Inc y selecciónela. 5. Seleccione Detalles.
6. En Información de firma digital, verifique que aparezca el mensaje La firma digital está correcta.
NOTA: Si aparece el mensaje La firma digital no es válida en Información de firma digital, no continúe con la instalación.
4
Ha finalizado la instalación
Utilice uno de los siguientes métodos para instalar el agent Trusted Device:● Instalación interactiva
● Instalación con la línea de comandos
Instalación interactiva
El instalador del agente Trusted Device requiere derechos administrativos. La velocidad de bits de la utilidad debe coincidir con la arquitectura del sistema operativo del equipo host. Seleccione uno de lo siguiente:
● Instalador TrustedDeviceSetup.msi - 32-bit ● Instalador TrustedDeviceSetup-64bit.msi - 64-bit
1. Copie TrustedDeviceSetup-64bit. msi en la computadora local.
2. Haga doble clic en el instalador TrustedDeviceSetup-64bit.msi para iniciar el instalador. 3. Haga clic en Siguiente en la pantalla de bienvenida.
4. Lea el contrato de licencia, acepte las condiciones y haga clic en Siguiente.
5. Lea el Acuerdo de uso y acceso del software Dell Trusted Device, y seleccione Sí, deseo participar en el programa o No, no deseo
participar en el programa y haga clic en Siguiente.
6. Haga clic en Siguiente para instalar en la ubicación predeterminada de C:\Program Files\Dell\TrustedDevice\
5
7. De forma predeterminada, el instalador de Trusted Device no instala accesos directos. Para instalar accesos directos, haga clic en el menú de árbol de la función Dell Trusted Device - Accesos directos y seleccione Esta función se instalará en la unidad de
disco duro local. Haga clic en Siguiente para continuar.
●
8. Haga clic en Instalar para comenzar la instalación.
9. Aparece una ventana de estado, pero puede tardar varios minutos.
10. Haga clic en Finalizar.
Después de la instalación, se inicia un navegador y se muestran los resultados. Consulte Resultados, solución de problemas y corrección para obtener más información.
Si se le solicita, reinicie el equipo para completar la instalación.
Comprobar la versión instalada de manera interactiva
Para ver la versión instalada del agente Dell Trusted Device de manera interactiva, utilice el siguiente método: 1. En Escriba aquí para buscar en la barra de tareas, escriba Aplicaciones y funciones.2. Haga clic con el botón izquierdo en el agente Dell Trusted Device y verá la versión debajo del nombre del producto.
Comprobar la versión instalada con la línea de comandos
Para ver la versión instalada del agente Dell Trusted Device de manera interactiva, utilice el siguiente método: 1. En Escriba aquí para buscar en la barra de tareas, escriba cmd.
2. Escriba wmic path win32_product where (caption like '%%trusted device%%') get version El número de versión se muestra en la ventana de la línea de comandos.
Instalación con la línea de comandos
● Asegúrese de incorporar un valor que contenga uno o más caracteres especiales, como un espacio en la línea de comandos, en comillas de escape.
● Utilice estos comandos para instalar el agente Trusted Device mediante instalación con secuencia de comandos, archivos por lotes o cualquier otra tecnología de inserción que esté disponible en la organización.
● Archivos de registro: Windows crea archivos de registro de instalación para el usuario que haya iniciado sesión en %temp%, el cual se encuentra en C:\Users\<UserName>\AppData\Local\Temp.
Si decide agregar un archivo de registro cuando ejecute el instalador, asegúrese de que el archivo de registro tenga un nombre único. Utilice el comando estándar .msi para crear un archivo de registro. Por ejemplo, /l*v C:\<any directory>\<any log file name>.log. Consulte el ejemplo que aparece a continuación.
● Especifique las opciones de visualización al final del argumento que se envía al /v switch para lograr el comportamiento esperado. No utilice /q ni /qn en la misma línea de comandos. Utilice solo ! y - después de /qb.
Modificador Significado
/s Modo silencioso
/l Escribe la información de registro en un archivo de registro en la ruta de acceso especificada o existente
Opción Significado
/q Sin diálogo de progreso; se reinicia automáticamente tras completar el proceso /qb Diálogo de progreso con botón Cancelar, indica que es necesario reiniciar.
/qb- Diálogo de progreso con botón Cancelar, se reinicia automáticamente al terminar el proceso
/qb! Diálogo de progreso sin botón Cancelar, indica que es necesario reiniciar
/qb!- Diálogo de progreso sin botón Cancelar, se reinicia automáticamente al terminar el proceso
/qn Sin interfaz de usuario
● Parámetros:
La tabla a continuación indica los parámetros disponibles para la instalación.
Parámetro Descripción
ADDLOCAL Agrega una función que no se incluye en la instalación inicial InstallPath Ruta de acceso a una ubicación de instalación alternativa QUITAR Quita una función incluida en la instalación inicial
SECURITYSCORE=1 Permite la instalación del puntaje de protección de riesgos de seguridad
SHORTCUTS=0 Desactiva la instalación del ícono del escritorio y el acceso directo del menú de inicio SHORTCUTS=1 Activa la instalación del ícono del escritorio y el acceso directo del menú de inicio TELEMETRY_OPTIN=0 Desactiva la recopilación de información de estado del sistema
TELEMETRY_OPTIN=1 Permite la recopilación de información de estado del sistema
NOTA: Si se actualiza desde una versión anterior con el parámetro SHORTCUTS=0, no se quitará el ícono del escritorio.
● Ejemplo de instalación con la línea de comandos
Ejemplo de línea de comandos para instalar el Agent Trusted Device
La velocidad de bits de la utilidad debe coincidir con la arquitectura del sistema operativo. Seleccione uno de lo siguiente: ○ Instalador TrustedDeviceSetup.msi - 32-bit
○ Instalador TrustedDeviceSetup-64bit.msi - 64-bit
● En el siguiente ejemplo se instala el agente de Trusted Device de 32 bits con una instalación silenciosa, sin barra de progreso, instalado en la ubicación predeterminada de C:\Program Files\Dell\TrustedDevice\ y los registros de instalación en C:\Dell. msiexec /i TrustedDeviceSetup.msi /qn /l*v C:\Dell\TrustedDevice.log
● En el siguiente ejemplo se instala el agente de Trusted Device de 64 bits con una instalación silenciosa, sin barra de progreso, instalado en la ubicación predeterminada de C:\Program Files\Dell\TrustedDevice\.
msiexec /i TrustedDeviceSetup-64bit.msi /qn
● En el siguiente ejemplo, se agregan accesos directos a una instalación de agente de Trusted Device de 64 bits existente de manera silenciosa, sin barra de progreso y se registra en C:\Dell.
msiexec.exe /i TrustedDeviceSetup-64bit.msi /qn ADDLOCAL="Shortcuts" /l*v C:\DELL\AddShortcuts.log
● En el siguiente ejemplo, se quitan accesos directos de una instalación de agente de Trusted Device de 64 bits existente de manera silenciosa, sin barra de progreso y se registra en C:\Dell.
msiexec.exe /i TrustedDeviceSetup-64bit.msi /qn REMOVE="Shortcuts" /l*v C:\DELL\RemoveShortcuts.log
Implementación y recopilación
Práctica recomendada: Cuando se instala el agente Trusted Device con utilidades de otros fabricantes, los administradores deben apuntar a colecciones específicas de dispositivos para evitar un alto volumen de ruido de plataformas no compatibles.
Existen muchas opciones para apuntar a plataformas compatibles con utilidades de implementación. Para obtener ejemplos de la generación de recopilaciones con el Microsoft Endpoint Configuration Manager y las opciones para apuntar a dispositivos específicos, consulte https://docs.microsoft.com/en-us/mem/configmgr/core/clients/manage/collections/create-collections.
Las implementaciones se realizan a través de Microsoft Endpoint Configuration Manager según las recopilaciones generadas. Para obtener más información acerca de la generación de tareas de implementación y la programación en entornos más grandes, consulte https:// docs.microsoft.com/en-us/mem/configmgr/apps/deploy-use/deploy-applications.
Otras utilidades de otros fabricantes utilizan mecanismos similares. Para obtener información acerca de las opciones de implementación de PDQ Deploy para la creación de recopilaciones, consulte https://support.pdq.com/knowledge-base/1752-viewing-and-creating-collections-in-pdq-inventory.
Para obtener información adicional acerca de la implementación de paquetes con PDQ Deploy, consulte https://www.pdq.com/deploy-scheduling/
Desinstalar Trusted Device
El usuario que desinstala debe ser un administrador local. Si se desinstala mediante líneas de comandos, se requerirán credenciales de dominio.Utilice cualquiera de los métodos siguientes para desinstalar la utilidad: ● Desinstalar desde Aplicaciones y funciones
● Desinstalar desde la línea de comandos
Desinstalar desde Aplicaciones y funciones
1. En Escriba aquí para buscar en la barra de tareas, escriba Aplicaciones y funciones.
2. Haga clic con el botón izquierdo en el agente Dell Trusted Device y, a continuación, haga clic en Desinstalar.
Desinstalar desde la línea de comandos
En el siguiente ejemplo se desinstala Trusted Device:
wmic path win32_product where (Caption like "Dell Trusted Device") call uninstall
6
Verificación del BIOS
La verificación del BIOS proporciona a los clientes una confirmación de que los dispositivos están protegidos por debajo del sistema operativo, un lugar donde la visibilidad del administrador de TI es deficiente. Permite a los clientes verificar la integridad del BIOS mediante un proceso fuera del host sin interrumpir el proceso de arranque. Una vez que el agente Trusted Device se ejecuta en el terminal, se muestra un resultado de aprobado o fallido (0 o 1) en algunas de estas ubicaciones:● Explorador web ● Línea de comandos ● Entrada del registro ● Event Viewer ● Registros
La verificación del BIOS se ejecuta cada 24 horas de manera predeterminada. Para obtener los parámetros de la línea de comandos, consulte Ejecutar el agente de verificación del BIOS.
7
Captura de imagen
Los administradores pueden tomar capturas de imágenes del BIOS manipulado o dañado para análisis y corrección. Cuando se ejecuta, el Trusted Device consulta la partición EFI (Extensible Firmware Interface) en busca de una imagen dañada o manipulada. Si se detecta una imagen, se copia de la partición EFI a %PROGRAMDATA%\Dell\TrustedDevice\ImageCapture. Si la verificación fuera del host falla, Trusted Device copia las imágenes dañadas o manipuladas de la memoria a %PROGRAMDATA%\Dell\TrustedDevice\ImageCapture. Los datos de captura de imagen se conservan durante 200 días.Los administradores pueden invocar la captura de imagen, configurar las ubicaciones de almacenamiento de imagen capturadas y exportar la más reciente o todas las imágenes. Cada imagen capturada se firma y nombra según lo siguiente:
● Si se copió desde la partición EFI: BIOSImageCaptureMMDDYYYY_HHMMSS.rcv ● Si se copió desde la memoria: BIOSImageCaptureBVSMMDDYYYY_HHMMSS.bv
MMDDYYYY es la fecha y HHMMSS es la hora de la copia de la imagen. Para obtener los parámetros de la línea de comandos, consulte
Ejecutar el agente de verificación del BIOS.
Para obtener más información sobre la captura de imágenes y el registro de Windows, consulte Resultados, solución de problemas y corrección.
8
Eventos e indicadores de ataque al BIOS
Eventos e indicadores de ataque al BIOS permite a los administradores analizar eventos en el Windows Event Viewer que pueden indicar elementos dañinos que atacan los terminales empresariales del BIOS. Los elementos dañinos cambian los atributos del BIOS para obtener acceso a las computadoras empresariales de forma local o remota. Estos vectores de ataque se pueden supervisar y, luego, mitigar gracias a la capacidad de funciones de monitoreo de atributos del BIOS a través de Eventos e indicadores de ataque al BIOS. El agente de Trusted Device recopila los atributos del BIOS después de la instalación y cada 12 horas de manera predeterminada. Los datos de eventos e indicadores de ataque al BIOS se conservan durante 200 días.Se recomienda usar un producto SIEM para recuperar registros y eventos. Los administradores deben proporcionar resultados a su equipo del SOC para determinar las estrategias de corrección adecuadas.
Para ver información adicional, incluidos los tipos de eventos y la ubicación de eventos, consulte Resultados, solución de problemas y corrección.
9
Puntaje de protección de riesgos de seguridad
El puntaje de protección de riesgos de seguridad permite a los administradores determinar el nivel de riesgo de seguridad de lascomputadoras de su empresa. Trusted Device analiza y detecta las siguientes soluciones de seguridad y asigna un puntaje por evaluación del riesgo general.
● Antivirus
● Contraseña del administrador del BIOS ● Verificación del BIOS
● Cifrado de disco ● Servidor de seguridad ● Indicadores de ataque ● Uso de TPM
Trusted Device analiza la presencia y el estado de cada solución de seguridad cada 24 horas, y 15 minutos después de que se reinicia el agente Trusted Device. Para cada componente, Trusted Device registra un resultado aprobado con marca de tiempo, un resultado aprobado con advertencias o un resultado fallido, y un puntaje completo en Windows Event Viewer. Para obtener más información, consulte Resultados, solución de problemas y corrección.
NOTA: La función Eventos e indicadores de ataque al BIOS debe ser compatible con la computadora de destino que se incluirá en el cálculo del puntaje de protección de riesgos de seguridad.
10
Integración
El agente Dell Trusted Device se puede integrar con otros productos y servicios para garantizar que las computadoras estén protegidas en el nivel del BIOS.Carbon Black
Introducción
Carbon Black Cloud incorpora datos de Trusted Device para actividades de creación de informes y corrección.
Requisitos previos
Para la integración de Trusted Device con Carbon Black Cloud se requiere lo siguiente: ● Windows 10 (64 bits)
● Agente Carbon Black ● Agente Dell Trusted Device
● Plataformas compatibles con Trusted Device
Live Query
Live Query permite a los equipos de seguridad consultar e informar el estado del BIOS para determinar si está en riesgo. La integración de Live Query con Trusted Device está disponible con el servicio de auditoría y corrección de Carbon Black (anteriormente LiveOps). Carbon Black ahora recomienda la consulta del Estado de verificación de Dell SafeBIOS que informa sobre el estado de verificación del BIOS de cada terminal por grupo de sensores. Para obtener información específica sobre cómo obtener acceso a este punto, consulte la
Documentación de carbono negro.
Live Response
En circunstancias en las que la verificación de SafeBIOS reporta una falla, el agente Trusted Device captura automáticamente la imagen del BIOS para su uso en la investigación del terminal. Carbon Black Live Response se puede utilizar para recuperar las imágenes del BIOS capturadas, independientemente del estado de cuarentena de un terminal. La integración de Live Response con Trusted Device está disponible con todos los productos Carbon Black. Estos comandos e instrucciones de implementación están disponibles para descarga en
Carbon Black GitHub.
11
Ejecutar el Agent de verificación del BIOS
Utilice cualquiera de los métodos siguientes para ejecutar el agent:● De manera interactiva
● Línea de comandos
NOTA: Si intenta ejecutar el agente de Verificación del BIOS en una plataforma no admitida, se muestra Plataforma no
compatible.
NOTA: Trusted Device determina el soporte de la plataforma Dell durante el tiempo de ejecución.
NOTA: Si instala Trusted Device con accesos directos, vaya a Start > Dell y haga clic en el agente Dell Trusted Device para ejecutar el agente.
NOTA: Si instala Trusted Device sin accesos directos, vaya a C:\Program Files\Dell\BiosVerification y haga doble clic en
Dell.SecurityCenter.Agent.Console para ejecutar el agente. Ejecutar el Agent de Verificación del BIOS por programa
Para programar la ejecución del agente de verificación del BIOS en intervalos establecidos o para activar la ejecución por eventos, consulte la documentación del programador de tareas de Microsoft aquí.
Ejecutar el Agent de Verificación del BIOS de manera
interactiva
1. Haga doble clic en el agente Dell Trusted Device.
2. Si el control de cuentas de usuario está habilitado, haga clic en Sí para continuar.
12
3. Un navegador se inicia automáticamente y se muestran los resultados del BIOS.
NOTA: Si la utilidad no puede determinar el estado del BIOS, no se mostrarán resultados basados en navegador. Consulte
Resultados, solución de problemas y corrección para obtener los códigos de error.
Ejecutar el Agent de Verificación del BIOS con la línea
de comandos
En la siguiente tabla se detallan los argumentos opcionales de la línea de comandos.
Parámetros Significado
-imagecapture Copia la imagen capturada del BIOS en la ubicación predeterminada o especificada -export <FolderLocation> Exporta la imagen más reciente a una ubicación especificada
-exportall -export <FolderLocation> Exporta todas las imágenes a una ubicación especificada.
-updateimagestore <FolderLocation> Modifica la ubicación de almacenamiento de imágenes predeterminada
-headless Suprime el resultado del navegador y muestra los resultados en la ventana de la línea de comandos
Parámetros Significado
-noncefile <filename> Carga el archivo como un archivo binario y el contenido se convierte en nonce. Si el archivo es mayor que 1024 bytes, se produce un error de ArgumentException. -noncestring <nonce> El parámetro <nonce> es un nonce codificado en Base64. La cadena está decodificada
en Base64 y el resultado se convierte en el valor de nonce. Si el nonce decodificado es mayor que 1024 bytes, se produce un error de ArgumentException.
1. Abra el símbolo del sistema con privilegios de administrador. 2. Acceda al directorio que contiene la utilidad.
3. Escriba Dell.TrustedDevice.Service.Console.exe y presione Intro. 4. Un navegador se inicia automáticamente y se muestran los resultados del BIOS.
NOTA: Para suprimir el resultado del navegador y mostrar los resultados en la ventana de la línea de comandos, utilice la marca -headless. Por ejemplo, Dell.TrustedDevice.Service.Console.exe -headless
Si la utilidad no puede determinar el estado del BIOS, se muestra un código de error. Las definiciones de códigos de error se enumeran en Resultados, solución de problemas y corrección.
NOTA: Los resultados del BIOS se escriben en la siguiente ubicación del registro cada vez que se ejecuta la utilidad: [HKLM\Software\Dell\BIOS Verification] .
NOTA: La variable de entorno %ERRORLEVEL% se actualiza y se puede consultar para ver los resultados con el fin de automatizar de forma central y sigilosa el estado del BIOS.
Situaciones frecuentes
La ejecución del agente de Verificación del BIOS en intervalos repetidos garantiza que los dispositivos permanecen en un estado protegido. Comúnmente, las utilidades de otros fabricantes se utilizan para ejecutar y crear informes de manera programada. Se recomienda que se dirija a colecciones específicas de dispositivos para evitar un alto volumen de ruido de plataformas no compatibles.
Se recomienda que ejecute la función de verificación del BIOS con su propiedad Headless como SYSTEM en dispositivos para evitar interrumpir a los usuarios y garantizar el correcto código de retorno.
● El siguiente ejemplo ejecuta el agente TrustedDevice en el modo remoto; los registros y resultados están escritos en la ubicación predeterminada de C:\ProgramData\Dell\TrustedDevice\:
C:\Program Files\Dell\TrustedDevice\Dell.TrustedDevice.Service.Console.exe -headless Después de ejecutar la utilidad, consulte %ERRORLEVEL% para revertir el estado del dispositivo en cuestión. El valor de retorno %ERRORLEVEL% se puede comparar con la lista de definiciones de códigos de error en Resultados, solución de problemas y corrección. La programación se utiliza para automatizar la recopilación de resultados del BIOS. La secuencia de tareas personalizada de Microsoft Endpoint Configuration Manager puede recopilar informes de estado para las tareas programadas. Para obtener más información sobre la administración del programa de la secuencia de tareas, consulte https://docs.microsoft.com/en-us/previous-versions/system-center/ packs/hh967525(v=technet.10)#BKMK_Mandatory_Assignment.
Para limitar los resultados a computadoras compatibles con Trusted Device, se recomienda usar una recopilación creada con Microsoft Endpoint Configuration Manager. Para obtener información sobre las opciones para apuntar a dispositivos específicos, consulte https:// docs.microsoft.com/en-us/mem/configmgr/core/clients/manage/collections/create-collections.
Las utilidades de otros fabricantes utilizan mecanismos de recuperación similares. Para obtener información acerca de las opciones de PDQ Deploy para la creación de recopilaciones, consulte https://support.pdq.com/knowledge-base/1752-viewing-and-creating-collections-in-pdq-inventory.
Resultados, solución de problemas y
corrección
En este capítulo se explica cómo revisar los resultados, solución problemas y corrección de una imagen del BIOS dañada o manipulada.Resultados
Después de ejecutar el agente de verificación del BIOS, los resultados se escriben en C:\ProgramData\Dell\TrustedDevice\, el entorno %ERRORLEVEL%, el Event Viewer y el registro.
%PROGRAMDATA%
El agente Trusted Device escribe los registros y los resultados con formato JSON en C:\ProgramData\Dell\TrustedDevice\.
Entorno% ERRORLEVEL%
El agente Trusted Device escribe los resultados aprobados o fallidos en el entorno %ERRORLEVEL%. Después de ejecutar el agent, los administradores pueden consultar %ERRORLEVEL% para revertir el estado de los dispositivos específicos. El valor de retorno %ERRORLEVEL% se puede comparar con la lista de códigos de error en la siguiente tabla.
Event Viewer
El agente Dell Trusted Device envía una nueva notificación a Event Viewer por cada ejecución y a intervalos regulares. Busque la verificación del BIOS y las notificaciones de captura de imagen en Event Viewer en:
Ubicación Tipo de origen
Registros de Windows > Sistema Dell Trusted Device | Verificación del BIOS Registros de aplicaciones y servicios
> Dell
Trusted Device | Verificación del BIOS
Busque notificaciones de eventos e indicadores de ataque al BIOS en Event Viewer en:
Ubicación Tipo de origen
Registros de Windows > Sistema Dell Trusted Device | Eventos e indicadores de ataque al BIOS Registros de aplicaciones y servicios
> Dell
Trusted Device | Eventos e indicadores de ataque al BIOS
Busque notificaciones del puntaje de protección de riesgos de seguridad en Event Viewer en:
Ubicación Tipo de origen
Registros de aplicaciones y servicios > Dell
Trusted Device | Evaluación de seguridad
13
Los detalles relacionados con los eventos se indican en la pestaña General de Event Viewer. En las siguientes tablas, se detalla la verificación del BIOS y los Eventos e indicadores de ataque al BIOS en Event Viewer.
Verificación del BIOS
Acción Nivel Id. de evento Categoría de tarea
Verificación aprobada Informativo 9 1
Verificación fallida Error 2 1
Imagen capturada Aviso 1 2
Captura de imagen duplicada Aviso 2 2
No se encontró ninguna imagen Informativo 3 2
Eventos e indicadores de ataque al BIOS
Acción Nivel Id. de evento Categoría de tarea
Indicador de ataque borrado Informativo 10 3
Indicador parcial de ataque Aviso 11 3
Indicador de ataque Error 12 3
Puntaje de protección de riesgos de seguridad
Acción Nivel Id. de evento Categoría de tarea
Resultado aprobado Informativo 13 4
Resultado aprobado con advertencias
Aviso 14 4
Error Error 15 4
Registro
Los resultados del agente de Trusted Device se escriben en el registro cada vez que se ejecuta el agent de verificación del BIOS. Todas las claves de registro de verificación del BIOS, captura de imagen y los eventos e indicadores de ataque al BIOS se encuentran en HKLM\Software\Dell\TrustedDevice.
Verificación fuera del host
● Esta entrada almacena el estado de aprobación y error de verificación fuera del host en formato JSON. HKLM\Software\Dell\BiosVerification
Result.json
"biosVerification":"True"=Pass "biosVerification":"False"=Fail
Captura de imagen
● Esta entrada almacena la ubicación del área de almacenamiento de imágenes y se actualiza cuando se utiliza el parámetro-updateimagestore.
HKLM\Software\Dell\TrustedDevice "ImagePathStore"=string
● Determina si una imagen estaba presente en la última ejecución de captura de imagen. Este valor no existirá si la captura de imagen no se ha ejecutado.
HKLM\Software\Dell\TrustedDevice "ImagePresentOnLastRun"=DWORD
DWORD=1: La imagen estaba presente durante la última ejecución. DWORD=0: La imagen no estaba presente en la última ejecución.
● Ruta de acceso al área de almacenamiento de imágenes en la que se copió la última imagen. Este valor no existirá si no se capturan imágenes.
"LastImagePath"=string
● Registro de fecha y hora de la última imagen copiada. "LastCopyTimeStamp"=string
● Esta clave privada verifica las imágenes en el área de almacenamiento. "PrivateKeyBlob"=string
NOTA: Los usuarios finales no deben modificar esta entrada, ya que esto impedirá que el producto funcione correctamente. ● Una clave pública que se utiliza para verificar las imágenes en el área de almacenamiento.
"PublicKeyBlob"=string
NOTA: Los usuarios finales no deben modificar esta entrada, ya que esto impedirá que el producto funcione correctamente.
Intervalo de sondeo de atributos del BIOS
● Esta entrada configura el período en segundos entre los barridos de atributos del BIOS. HKLM\SOFTWARE\Dell\TrustedDevice\
DWORD=SecondsBetweenAttributeSweeps Valor mínimo en segundos = 3 600 (1 hora) Valor máximo = 172 800 (48 horas) Valor predeterminado = cada 12 horas
Value (en decimal) = 3 600; los barridos se generan cada hora Value (en decimal) = 172 800; los barridos se generan cada 48 horas
● Esta entrada cambia el retraso en milisegundos entre cada recuperación de atributo del BIOS individual. HKLM\SOFTWARE\Dell\TrustedDevice\
DWORD=MSBetweenAttributeReads Valor mínimo en milisegundos = 500 Valor máximo en milisegundos = 2 000 Valor predeterminado = cada 500 milisegundos
Value (en decimal) = 500; lee un atributo de BIOS diferente cada 500 milisegundos Value (en decimal) = 2000; lee un atributo de BIOS diferente cada 2000 milisegundos
Puntaje de protección de riesgos de seguridad
● Esta entrada desactiva el puntaje de protección de riesgos de seguridad. HKLM\SOFTWARE\Dell\TrustedDevice\
DWORD=SecurityScore Predeterminado = 1 (activado) Valor = 1 (activado)
Valor = 0 (desactivado)
NOTA: Si el puntaje de protección de riesgos de seguridad está desactivado en el registro, las evaluaciones de los componentes no se ejecutarán y no se generará ningún puntaje.
Solución de problemas
Si los resultados del BIOS no están disponibles, los resultados basados en navegador no se muestran. Consulte los códigos de error en la siguiente tabla.
Código de error Significado Información adicional
+0 Verificación aprobada El BIOS local se verifica en contraste a un Dell BIOS conocido. 1 Verificación fallida Falló la verificación del BIOS local en contraste a un Dell BIOS
conocido. 2 El resultado de la verificación se ha
manipulado
El resultado de la verificación se ha manipulado. Vuelva a ejecutar el agente Dell Trusted Device. Si el error persiste, vuelva a instalar el agente Dell Trusted Device o comuníquese con el soporte de Dell.
3 Se ha producido un error
desconocido
El agente Dell Trusted Device no pudo recuperar los detalles. Vuelva a ejecutar el agente Dell Trusted Device. Si el error persiste, comuníquese con el soporte de Dell.
4 Se especificó un argumento de línea
de comandos no válido
Una variable de línea de comandos que se pasa al agente Dell Trusted Device no es compatible. Consulte la sintaxis de la línea de comandos compatible para el agente Dell Trusted Device aquí
o ejecute el agente Dell Trusted Device con el switch -help o /?
5 El agent se está ejecutando con
privilegios insuficientes
El agente Dell Trusted Device requiere derechos de administrador local para ejecutarse.
6 Se ha producido un error interno Se produjo un error en el dispositivo local que impide que el agente Dell Trusted Device se ejecute correctamente. Vuelva a ejecutar Trusted Device. Si el error persiste, comuníquese con el soporte de Dell.
7 El servidor respondió con un error o no está disponible
El servidor del agente Dell Trusted Device no está disponible. Valide la conectividad de red y que se pueda acceder a las ubicaciones Web desde el dispositivo.
8 Se produjo un problema en el
controlador
El controlador del agente Dell Trusted Device no se pudo cargar. Vuelva a ejecutar la verificación del BIOS. Si el error persiste, reinicie el dispositivo y vuelva a intentarlo o comuníquese con el soporte de Dell.
9 Se ha producido un error debido a
que los datos del BIOS utilizados para realizar la verificación no son válidos
Este BIOS local no es compatible con la verificación del BIOS. Asegúrese de que la versión del BIOS local se haya actualizado y vuelva a ejecutar la verificación del BIOS.
10 Esto se obtiene cuando -help se
especifica el argumento de la línea de comandos
El agente Dell Trusted Device se ejecutó con el argumento-help.
11 Esto se obtiene si la plataforma o la imagen del BIOS no son compatibles
El agente Dell Trusted Device no es compatible con este dispositivo. Si cree que este dispositivo es compatible, actualice la versión del BIOS aquí. Si el error persiste, comuníquese con el soporte de Dell.
12 Se ha producido un error en el
servicio Trusted Device
Reinicie la computadora y vuelva a ejecutar el agente Dell Trusted Device. Si el error persiste, comuníquese con el soporte de Dell.
Corrección
Si los resultados de la imagen del BIOS fallan, consulte el artículo de la base de conocimientos 132453 para actualizar el BIOS a la versión más reciente. Consulte el artículo de la base de conocimientos 129365 para obtener más información sobre el BIOS de Dell.
