62 lines
3.0 KiB
Markdown
62 lines
3.0 KiB
Markdown
# Dell BIOS -järjestelmänvalvojan salasanan hallinta Intunella
|
||
|
||
Hallitaan Dellin koko laitekannan BIOS-salasanaa Intunesta Remediation -skripteillä ja Azure Blob -tallennustilan avulla. Ratkaisu ei vaadi kolmannen osapuolen Dell-ohjelmistoja.
|
||
|
||
## Miten toimii
|
||
|
||
Ratkaisu käyttää Dellin natiivia WMI-tietoturvarajapintaa (`root\dcim\sysman\wmisecurity`), erityisesti `PasswordObject`- ja `SecurityInterface`-WMI-luokkia. Dellin UEFI-laiteohjelmisto tarjoaa nämä suoraan Windowsin sisäänrakennetun ACPI WMI -siltajurin (`wmiacpi.sys`) kautta – **erillistä Dell Command | Monitor- tai Dell Command | Update -asennusta ei tarvita**.
|
||
|
||
> **Huomautus:** `root\dcim\sysman\wmisecurity` -namespacea **ei** löydy yleisistä virtuaalikoneista (Hyper-V, Azure, VMware), joista puuttuu Dell UEFI -firmwareprofiili. Ratkaisu on tarkoitettu vain fyysisille Dell-päätelaitteille.
|
||
|
||
## Vaatimukset
|
||
|
||
- Fyysinen Dellin laite UEFI-firmwarella (uudemmat Dellin yritys- tai kuluttajalaitteet)
|
||
- Windows 10/11 (`wmiacpi.sys` sisältyy oletuksena)
|
||
- Päätelaitteella on verkkoyhteys Azuren Blob -tallennustilaan
|
||
- Intunen Proactive remediations -toiminto Intunessa (vaatii Intune P1 -lisenssin tai Intune Suiten)
|
||
|
||
## Ohjeet
|
||
|
||
Luo Azure Storage Account ja siihen uusi container. Luo sille SAS-URL-osoite. Lataa säiliöön kaksi Base64-koodattua `.txt`-tiedostoa:
|
||
|
||
- `current-content.txt` – nykyinen BIOS-salasana (Base64-koodattuna)
|
||
- `old-content.txt` – kaikki aiemmat tunnetut salasanat, yksi per rivi (Base64-koodattuna), sekä yksi tyhjä rivi niiden laitteiden käsittelemiseksi, joille ei ole vielä asetettu BIOS-salasanaa.
|
||
|
||
Kun salasanat vaihtuvat vuosien varrella, päivitä molemmat tiedostot tallennustilassa vastaavasti.
|
||
|
||
Intune huolehtii salasanan ajantasalle Detection ja Remediation skriptien avulla.
|
||
|
||
## Azure-määritykset
|
||
|
||
Luo storage account ja luo SAS-tunnus (SAS token), joka on rajattu säiliöön ja jolla on vähintään **lukuoikeudet** (`sp=r`). Lataa molemmat salasanatiedostot ja ota talteen tiedostojen täydet blob-URL-osoitteet (näitä käytetään suoraan skripteissä).
|
||
|
||
### Esimerkki SAS-URL-osoitteesta (säiliötaso)
|
||
|
||
```
|
||
https://stitbiosmgmt.blob.core.windows.net/mgmt?sp=r&st=2026-02-26T08:55:03Z&se=2036-02-26T17:10:03Z&spr=https&sv=2024-11-04&sr=c&sig=lBtObK2UmF3nzLvN4%2Biu1X9H6nC0Tc%2BRgvW0hM4eq9U%3D
|
||
```
|
||
|
||
## Intune-määritykset
|
||
|
||
### Korjausskenraarion (Remediation) asetukset
|
||
|
||
| Asetus | Arvo |
|
||
|:--|:--|
|
||
| Nimi | Dell BIOS Admin Password |
|
||
| Detection skripti | `Dell-BIOSPassword-Detection.ps1` |
|
||
| Remediation skripti | `Dell-BIOSPassword-Remediation.ps1` |
|
||
| Run this script using the logged-on credentials | No |
|
||
| Enforce script signature check | No |
|
||
| Run script in 64-bit PowerShell | Yes |
|
||
| Schedule | Daily tai hourly, oma päätös |
|
||
|
||
### Entra ID -ryhmä jakelua varten
|
||
|
||
`Intune - Azure Dell BIOS Password Solution`
|
||
|
||
Tämä ryhmä tulee rajata vain fyysisiin Dell-päätelaitteisiin. Voit käyttää dynaamista laiteryhmäsääntöä, joka suodattaa valmistajan perusteella:
|
||
|
||
```
|
||
(device.deviceManufacturer -eq "Dell Inc.")
|
||
```
|