Omnia/Azure-Dell-BIOS-Password-Solution
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
940c196ca86e73e6607d6a1c4356ebfb65074e96
Azure-Dell-BIOS-Password-So…/readme.md
T
samsamfin 940c196ca8 Update readme.md
2026-05-06 04:26:11 +00:00

3.0 KiB
Raw Blame History

Dell BIOS -järjestelmänvalvojan salasanan hallinta Intunella

Hallitaan Dellin koko laitekannan BIOS-salasanaa Intunesta Remediation -skripteillä ja Azure Blob -tallennustilan avulla. Ratkaisu ei vaadi kolmannen osapuolen Dell-ohjelmistoja.

Miten toimii

Ratkaisu käyttää Dellin natiivia WMI-tietoturvarajapintaa (root\dcim\sysman\wmisecurity), erityisesti PasswordObject- ja SecurityInterface-WMI-luokkia. Dellin UEFI-laiteohjelmisto tarjoaa nämä suoraan Windowsin sisäänrakennetun ACPI WMI -siltajurin (wmiacpi.sys) kautta erillistä Dell Command | Monitor- tai Dell Command | Update -asennusta ei tarvita.

Huomautus: root\dcim\sysman\wmisecurity -namespacea ei löydy yleisistä virtuaalikoneista (Hyper-V, Azure, VMware), joista puuttuu Dell UEFI -firmwareprofiili. Ratkaisu on tarkoitettu vain fyysisille Dell-päätelaitteille.

Vaatimukset

  • Fyysinen Dellin laite UEFI-firmwarella (uudemmat Dellin yritys- tai kuluttajalaitteet)
  • Windows 10/11 (wmiacpi.sys sisältyy oletuksena)
  • Päätelaitteella on verkkoyhteys Azuren Blob -tallennustilaan
  • Intunen Proactive remediations -toiminto Intunessa (vaatii Intune P1 -lisenssin tai Intune Suiten)

Ohjeet

Luo Azure Storage Account ja siihen uusi container. Luo sille SAS-URL-osoite. Lataa säiliöön kaksi Base64-koodattua .txt-tiedostoa:

  • current-content.txt nykyinen BIOS-salasana (Base64-koodattuna)
  • old-content.txt kaikki aiemmat tunnetut salasanat, yksi per rivi (Base64-koodattuna), sekä yksi tyhjä rivi niiden laitteiden käsittelemiseksi, joille ei ole vielä asetettu BIOS-salasanaa.

Kun salasanat vaihtuvat vuosien varrella, päivitä molemmat tiedostot tallennustilassa vastaavasti.

Intune huolehtii salasanan ajantasalle Detection ja Remediation skriptien avulla.

Azure-määritykset

Luo storage account ja luo SAS-tunnus (SAS token), joka on rajattu säiliöön ja jolla on vähintään lukuoikeudet (sp=r). Lataa molemmat salasanatiedostot ja ota talteen tiedostojen täydet blob-URL-osoitteet (näitä käytetään suoraan skripteissä).

Esimerkki SAS-URL-osoitteesta (säiliötaso)

https://stitbiosmgmt.blob.core.windows.net/mgmt?sp=r&st=2026-02-26T08:55:03Z&se=2036-02-26T17:10:03Z&spr=https&sv=2024-11-04&sr=c&sig=lBtObK2UmF3nzLvN4%2Biu1X9H6nC0Tc%2BRgvW0hM4eq9U%3D

Intune-määritykset

Korjausskenraarion (Remediation) asetukset

Asetus Arvo
Nimi Dell BIOS Admin Password
Detection skripti Dell-BIOSPassword-Detection.ps1
Remediation skripti Dell-BIOSPassword-Remediation.ps1
Run this script using the logged-on credentials No
Enforce script signature check No
Run script in 64-bit PowerShell Yes
Schedule Daily tai hourly, oma päätös

Entra ID -ryhmä jakelua varten

Intune - Azure Dell BIOS Password Solution

Tämä ryhmä tulee rajata vain fyysisiin Dell-päätelaitteisiin. Voit käyttää dynaamista laiteryhmäsääntöä, joka suodattaa valmistajan perusteella:

(device.deviceManufacturer -eq "Dell Inc.")
Reference in New Issue View Git Blame Copy Permalink