Thiago Rufino
    FacebookXEmailLinkedInWhatsApp
    AzureIntuneMicrosoft Graph

    Automatizando a Gestão de Senhas da BIOS em Dispositivos Dell com Intune e Azure Key Vault

    Thiago Rufino
    5 meses ago
    Comentar

    Neste artigo, apresentaremos uma solução para gerenciar o processo de definição e atualização de senhas na BIOS em dispositivos Dell. Para isso, faremos uso do módulo powershell DellBIOSProvider em conjunto com o Azure Key Vault e o Intune (Remediation).

    A objetivo é oferecer um guia para configurar e automatizar e simplificar esse procedimento, contribuindo para fortalecer a segurança e garantir a conformidade dos dispositivos em ambientes corporativos.

    Sumário
    Sumário

    App Registration

    Precisaremos criar um App Registration no Entra ID para estabelecer uma autenticação segura para consultar as informações das secrets no Key Vault, Se necessário, utilize este link para acessar um guia passo a passo sobre como criar o aplicativo.

    Neste cenário, não será necessário adicionar API Permission diretamente no aplicativo.

    Key Vault

    Acesse o portal do Azure em https://portal.azure.com e, em seguida, pesquise por Key Vaults.
    Ao abrir, clique em Create.
    A seguir, preencha as informações conforme o exemplo abaixo e clique em Next.

    Em Access configuration, siga estas etapas:

    1. Selecione Vault access policy.
    2. Clique em Create.
    3. Selecione as permissões Get e List em Secret permissions.
    4. Clique em Next.

    Na sequência, procure pelo nome do App Registration, selecione-o e avance até a criação da política de acesso. Depois, prossiga até a finalização da criação do Key Vault.

    O cenário utilizado requer a alteração mensal da senha da BIOS, onde já temos 4 secrets cadastrados, sendo o mais recente “FEV-2024“.

    Após a criação, acesse o Key Vault e adicione os segredos seguindo as etapas abaixo:

    1. Clique em Secrets.
    2. Clique em Generate/Import e adicione os segredos correspondentes ao mês.
    3. Lista das secrets cadastradas.

    Conforme novas senhas sejam necessárias no ambiente, adicione-as seguindo o mesmo exemplo mencionado acima.

    Scripts

    Sobre o funcionamento dos scripts, começando pelo script de detecção (detect), ele verifica a existência do módulo DellBIOSProvider. Se não estiver presente, ele será instalado. Em seguida, o script verifica se o dispositivo é um equipamento Dell e se possui alguma senha definida. Se não houver senha definida, o script de remediação é iniciado. Se houver uma senha definida, o script verifica se é a última senha. Se não for, o script de remediação também é iniciado.

    No cenário em que o dispositivo não tem senha definida, o script de remediação busca a senha no Key Vault e a define no dispositivo. Já no cenário em que uma senha já está definida, o script consulta todas as senhas cadastradas no Key Vault e, por meio delas, inicia o processo de atualização, cada senha é informada como a anteriormente utilizada até que a atualização seja bem-sucedida.

    Este script automatiza e simplifica o processo de gestão de senhas de BIOS em dispositivos Dell, garantindo a segurança e atualização adequada das senhas.

    Os scripts a serem utilizados estão disponibilizados no meu GitHub : clique aqui
    Para os scripts de detection e remediation, ambos requerem a configuração das variáveis correspondentes ao App Registrations e ao Key Vault.

    # App Registrations
$clientId = "84918e1b-058d-4f25-a32b-a17beb8dc914"
$clientSecret = "pV18Q~gnQNDrYomVOZ6d1wzNPMJFzV~1DN2RLc1."
$tenantId = "783f9353-3381-4168-b6bc-a439b25dfc6a"

# Key Vault
$keyVaultName = "kv-bios-pwd" #Nome do Key Vault.
$NewSecretName = "FEV-2024" #Nome da secret com a senha mais recente.

    Remediation

    • Abrir Intune em https://intune.microsoft.com/.
    • Clique em Devices > Scripts and remediations.
    • Em Remediations, clique em Create.
    • Insira o nome e clique em Next.

    Em Settings, siga estas etapas:

    1. Selecione o arquivo PowerShell correspondente ao script de detecção.
    2. Agora, selecione o script remediação.
    3. Marque Yes em Run script in 64-bit PowerShell.
    4. Next
    • Clique em Next novamente.

    Em Assignments, siga estas etapas:

    1. Selecione All devices ou um grupo específico.
    2. Clique na opção de schedule.
    3. Defina a frequência com que o script será executado.
    4. Clique em Apply.
    5. Em seguida, clique em Next.

    Clique em Create para finalizar.

    Logs

    O script utilizado no Remediation também gera logs, os quais são armazenados no arquivo BiosPassword.log no diretório C:\temp\BiosPassword.

    Recomendo abrir os logs com o CMTrace. Se ainda não o possui, clique aqui para baixá-lo.

    Saiba mais em:
    Powershell Gallery
    Dell Command | PowerShell Provider | Dell US
    Dell Command PowerShell Provider BIOS Passwords Feature | Dell US

    Thiago Rufino

    Visualizar todos os artigos

    Comentar

    Você pode gostar