diff --git a/readme.md b/readme.md index 9cbabec..6e74ced 100644 --- a/readme.md +++ b/readme.md @@ -1,61 +1,61 @@ -# Dell BIOS Admin Password Management via Intune +# Dell BIOS -järjestelmänvalvojan salasanan hallinta Intunella -Manages Dell BIOS Admin password across the fleet using Intune Remediation scripts and Azure Blob Storage. No third-party Dell software required. +Hallitaan Dellin koko laitekannan BIOS-salasanaa Intunesta Remediation -skripteillä ja Azure Blob -tallennustilan avulla. Ratkaisu ei vaadi kolmannen osapuolen Dell-ohjelmistoja. -## How it works +## Miten toimii -The solution uses Dell's native WMI security interface (`root\dcim\sysman\wmisecurity`), specifically the `PasswordObject` and `SecurityInterface` WMI classes. These are exposed directly by Dell UEFI firmware via Windows' built-in ACPI WMI bridge driver (`wmiacpi.sys`) - **no Dell Command | Monitor or Dell Command | Update installation is needed**. +Ratkaisu käyttää Dellin natiivia WMI-tietoturvarajapintaa (`root\dcim\sysman\wmisecurity`), erityisesti `PasswordObject`- ja `SecurityInterface`-WMI-luokkia. Dellin UEFI-laiteohjelmisto tarjoaa nämä suoraan Windowsin sisäänrakennetun ACPI WMI -siltajurin (`wmiacpi.sys`) kautta – **erillistä Dell Command | Monitor- tai Dell Command | Update -asennusta ei tarvita**. -> **Note:** The `root\dcim\sysman\wmisecurity` namespace will **not** be present on generic virtual machines (Hyper-V, Azure, VMware) that lack a real Dell UEFI firmware profile. The solution targets physical Dell endpoints only. +> **Huomautus:** `root\dcim\sysman\wmisecurity` -namespacea **ei** löydy yleisistä virtuaalikoneista (Hyper-V, Azure, VMware), joista puuttuu Dell UEFI -firmwareprofiili. Ratkaisu on tarkoitettu vain fyysisille Dell-päätelaitteille. -## Requirements +## Vaatimukset -- Physical Dell endpoint with UEFI firmware (modern Dell business/consumer hardware) -- Windows 10/11 (wmiacpi.sys included by default) -- Network access to Azure Blob Storage from the endpoint -- Intune Remediation (requires Intune P1 license or Intune Suite) +- Fyysinen Dellin laite UEFI-firmwarella (uudemmat Dellin yritys- tai kuluttajalaitteet) +- Windows 10/11 (`wmiacpi.sys` sisältyy oletuksena) +- Päätelaitteella on verkkoyhteys Azuren Blob -tallennustilaan +- Intunen Proactive remediations -toiminto Intunessa (vaatii Intune P1 -lisenssin tai Intune Suiten) -## Instructions +## Ohjeet -Create an Azure storage account and a new container inside it. Generate a SAS URL for it. Inside the container, upload two Base64-encoded `.txt` files: +Luo Azure Storage Account ja siihen uusi container. Luo sille SAS-URL-osoite. Lataa säiliöön kaksi Base64-koodattua `.txt`-tiedostoa: -- `current-content.txt` - the current BIOS Admin password (Base64 encoded) -- `old-content.txt` - all known previous passwords, one per line (Base64 encoded), plus one blank line to handle devices with no BIOS password currently set +- `current-content.txt` – nykyinen BIOS-salasana (Base64-koodattuna) +- `old-content.txt` – kaikki aiemmat tunnetut salasanat, yksi per rivi (Base64-koodattuna), sekä yksi tyhjä rivi niiden laitteiden käsittelemiseksi, joille ei ole vielä asetettu BIOS-salasanaa. -As passwords change over the years, update both files in the storage account accordingly. +Kun salasanat vaihtuvat vuosien varrella, päivitä molemmat tiedostot tallennustilassa vastaavasti. -Intune handles the enforcement logic via a detection/remediation script pair. +Intune huolehtii salasanan ajantasalle Detection ja Remediation skriptien avulla. -## Azure configuration +## Azure-määritykset -Create a storage account and generate a SAS token scoped to the container with at least **read** (`sp=r`) permissions. Upload both password files and note the full blob URLs for each file (used directly in the scripts). +Luo storage account ja luo SAS-tunnus (SAS token), joka on rajattu säiliöön ja jolla on vähintään **lukuoikeudet** (`sp=r`). Lataa molemmat salasanatiedostot ja ota talteen tiedostojen täydet blob-URL-osoitteet (näitä käytetään suoraan skripteissä). -### Example SAS URL (container level) +### Esimerkki SAS-URL-osoitteesta (säiliötaso) ``` https://stitbiosmgmt.blob.core.windows.net/mgmt?sp=r&st=2026-02-26T08:55:03Z&se=2036-02-26T17:10:03Z&spr=https&sv=2024-11-04&sr=c&sig=lBtObK2UmF3nzLvN4%2Biu1X9H6nC0Tc%2BRgvW0hM4eq9U%3D ``` -## Intune configuration +## Intune-määritykset -### Remediation script pair +### Korjausskenraarion (Remediation) asetukset -| Setting | Value | +| Asetus | Arvo | |:--|:--| -| Name | Dell BIOS Admin Password | -| Detection script | `Dell-BIOSPassword-Detection.ps1` | -| Remediation script | `Dell-BIOSPassword-Remediation.ps1` | -| Run this script using the logged-on credentials | No (run as System) | -| Enforce script signature check | No (unless you sign your scripts) | +| Nimi | Dell BIOS Admin Password | +| Detection skripti | `Dell-BIOSPassword-Detection.ps1` | +| Remediation skripti | `Dell-BIOSPassword-Remediation.ps1` | +| Run this script using the logged-on credentials | No | +| Enforce script signature check | No | | Run script in 64-bit PowerShell | Yes | -| Schedule | Daily, or every 1 hour depending on urgency | +| Schedule | Daily tai hourly, oma päätös | -### Entra ID Group for deployment +### Entra ID -ryhmä jakelua varten `Intune - Azure Dell BIOS Password Solution` -This group should be scoped to Dell physical endpoints only. A dynamic device group rule filtering on manufacturer can be used: +Tämä ryhmä tulee rajata vain fyysisiin Dell-päätelaitteisiin. Voit käyttää dynaamista laiteryhmäsääntöä, joka suodattaa valmistajan perusteella: ``` (device.deviceManufacturer -eq "Dell Inc.") -``` \ No newline at end of file +```