Neste artigo, apresentaremos uma solução para gerenciar o processo de definição e atualização de senhas na BIOS em dispositivos Dell. Para isso, faremos uso do módulo powershell DellBIOSProvider em conjunto com o Azure Key Vault e o Intune (Remediation).
A objetivo é oferecer um guia para configurar e automatizar e simplificar esse procedimento, contribuindo para fortalecer a segurança e garantir a conformidade dos dispositivos em ambientes corporativos.
App Registration
Precisaremos criar um App Registration no Entra ID para estabelecer uma autenticação segura para consultar as informações das secrets no Key Vault, Se necessário, utilize este link para acessar um guia passo a passo sobre como criar o aplicativo.
Neste cenário, não será necessário adicionar API Permission diretamente no aplicativo.
Key Vault
Acesse o portal do Azure em https://portal.azure.com e, em seguida, pesquise por Key Vaults.
Ao abrir, clique em Create.
A seguir, preencha as informações conforme o exemplo abaixo e clique em Next.
Em Access configuration, siga estas etapas:
- Selecione Vault access policy.
- Clique em Create.
- Selecione as permissões Get e List em Secret permissions.
- Clique em Next.
Na sequência, procure pelo nome do App Registration, selecione-o e avance até a criação da política de acesso. Depois, prossiga até a finalização da criação do Key Vault.
O cenário utilizado requer a alteração mensal da senha da BIOS, onde já temos 4 secrets cadastrados, sendo o mais recente “FEV-2024“.
Após a criação, acesse o Key Vault e adicione os segredos seguindo as etapas abaixo:
- Clique em Secrets.
- Clique em Generate/Import e adicione os segredos correspondentes ao mês.
- Lista das secrets cadastradas.
Conforme novas senhas sejam necessárias no ambiente, adicione-as seguindo o mesmo exemplo mencionado acima.
Scripts
Sobre o funcionamento dos scripts, começando pelo script de detecção (detect), ele verifica a existência do módulo DellBIOSProvider. Se não estiver presente, ele será instalado. Em seguida, o script verifica se o dispositivo é um equipamento Dell e se possui alguma senha definida. Se não houver senha definida, o script de remediação é iniciado. Se houver uma senha definida, o script verifica se é a última senha. Se não for, o script de remediação também é iniciado.
No cenário em que o dispositivo não tem senha definida, o script de remediação busca a senha no Key Vault e a define no dispositivo. Já no cenário em que uma senha já está definida, o script consulta todas as senhas cadastradas no Key Vault e, por meio delas, inicia o processo de atualização, cada senha é informada como a anteriormente utilizada até que a atualização seja bem-sucedida.
Este script automatiza e simplifica o processo de gestão de senhas de BIOS em dispositivos Dell, garantindo a segurança e atualização adequada das senhas.
Os scripts a serem utilizados estão disponibilizados no meu GitHub : clique aqui
Para os scripts de detection e remediation, ambos requerem a configuração das variáveis correspondentes ao App Registrations e ao Key Vault.
# App Registrations
$clientId = "84918e1b-058d-4f25-a32b-a17beb8dc914"
$clientSecret = "pV18Q~gnQNDrYomVOZ6d1wzNPMJFzV~1DN2RLc1."
$tenantId = "783f9353-3381-4168-b6bc-a439b25dfc6a"
# Key Vault
$keyVaultName = "kv-bios-pwd" #Nome do Key Vault.
$NewSecretName = "FEV-2024" #Nome da secret com a senha mais recente.
Remediation
- Abrir Intune em https://intune.microsoft.com/.
- Clique em Devices > Scripts and remediations.
- Em Remediations, clique em Create.
- Insira o nome e clique em Next.
Em Settings, siga estas etapas:
- Selecione o arquivo PowerShell correspondente ao script de detecção.
- Agora, selecione o script remediação.
- Marque Yes em Run script in 64-bit PowerShell.
- Next
- Clique em Next novamente.
Em Assignments, siga estas etapas:
- Selecione All devices ou um grupo específico.
- Clique na opção de schedule.
- Defina a frequência com que o script será executado.
- Clique em Apply.
- Em seguida, clique em Next.
Clique em Create para finalizar.
Logs
O script utilizado no Remediation também gera logs, os quais são armazenados no arquivo BiosPassword.log no diretório C:\temp\BiosPassword.
Recomendo abrir os logs com o CMTrace. Se ainda não o possui, clique aqui para baixá-lo.
Saiba mais em:
Powershell Gallery
Dell Command | PowerShell Provider | Dell US
Dell Command PowerShell Provider BIOS Passwords Feature | Dell US
Comentar