Configuración de UEFI para Surface Docks
Los administradores de TI pueden proteger y administrar puertos en Surface Dock 2 o Surface Thunderbolt 4 Dock configurando la configuración de UEFI en un paquete de configuración de Windows Installer (archivo .msi) implementado en dispositivos Surface compatibles en un entorno corporativo.
Dispositivos compatibles
La administración de Surface Dock 2 o Surface Thunderbolt 4 Dock con SEMM está disponible para bases conectadas a Surface Laptop Studio (todas las generaciones), Surface Laptop (7ª edición), Surface Laptop 6, Surface Laptop 5, Surface Laptop 4, Surface Laptop 3, Surface Laptop Go (todas las generaciones), Surface Pro (11ª edición), Surface Pro 10, Surface Pro 9, Surface Pro 9 con 5G, Surface Pro 8, Surface Pro 7+, Surface Pro 7, Surface Pro X y Surface Book 3.
Sugerencia
Estos dispositivos Surface compatibles se conocen normalmente como dispositivos host. Se aplica un paquete a los dispositivos host en función de si un dispositivo host está autenticado o no autenticado. La configuración configurada reside en la capa UEFI en los dispositivos host, lo que permite a los administradores de TI administrar surface docks compatibles como cualquier otro periférico integrado, como la cámara.
Configuración e implementación de la UEFI para Surface Docks
En esta sección se proporcionan instrucciones paso a paso para las siguientes tareas:
- Instale Surface IT Toolkit.
- Cree u obtenga certificados de clave pública.
- Cree un paquete de configuración de .msi. a. Agregue los certificados. b. Escribe el número RN de 16 dígitos para tus dispositivos Surface Dock 2 o Surface Thunderbolt 4 Dock. c. Configure los valores de UEFI para las directivas de componentes: datos USB, Ethernet o audio.
- Crea y aplica el paquete de configuración a dispositivos Surface de destino.
- Usa Surface App para confirmar el estado de la directiva resultante de Surface Dock administrado.
Importante
El número aleatorio (RN) es un identificador de código hexadecimal único de 16 dígitos aprovisionado en la fábrica e impreso en un tipo pequeño en la parte inferior del muelle. El RN difiere de la mayoría de los números de serie porque no se puede leer electrónicamente. Esto garantiza que la prueba de propiedad se establezca solo mediante la lectura del RN al acceder físicamente al dispositivo. El RN también se puede obtener durante la transacción de compra y se registra en los sistemas de inventario de Microsoft.
Creación de certificados de clave pública
En esta sección se proporcionan especificaciones para crear los certificados necesarios para administrar puertos para Surface Dock 2 o Surface Thunderbolt 4 Dock.
Requisitos previos
En este artículo se supone que obtiene certificados de un proveedor de terceros o que ya tiene experiencia en servicios de certificados PKI y que sabe cómo crear los suyos propios. Debe estar familiarizado con y seguir las recomendaciones generales para crear certificados, como se describe en la documentación introducción al modo de administración empresarial (SEMM) de Surface , con una excepción. Los certificados necesarios para configurar Surface Docks con SEMM requieren términos de expiración de 30 años para la entidad de certificación dock y 20 años para el certificado de autenticación de host.
Si ya tiene los certificados adecuados, vaya a la sección siguiente. De lo contrario, revise cuidadosamente las instrucciones del Apéndice: Requisitos de certificados raíz y host.
Creación de un paquete de aprovisionamiento de dock
Cuando haya obtenido o creado los certificados, puede crear el paquete de aprovisionamiento de .msi que se aplicará a los dispositivos de destino.
Abre Surface IT Toolkit y selecciona Configurar Surface Dock.
Elija Tipo de acoplamiento y seleccione un método de aprovisionamiento.
- Unidad organizativa, diseñada para uso en toda la empresa.
- Unidad departamental, diseñada para una configuración más granular; por ejemplo, un departamento que controla información altamente confidencial.
Importe la entidad de certificación y los archivos de certificado y escriba la contraseña de cada archivo. Selecciona Siguiente. En este ejemplo se muestra el aprovisionamiento de la organización.
Agrega los números de id. de Surface Dock asociados a los acoplamientos que quieras administrar. Para varias bases de datos acopladas, escriba los números en un archivo .csv sin un encabezado, lo que significa que la primera línea del archivo no debe contener nombres de columna ni descripciones.
Puede especificar la configuración de directiva para los puertos de datos USB, Ethernet y Audio. UEFI Configurator le permite configurar las opciones de directiva para los usuarios autenticados (directiva autenticada) y los usuarios no autenticados (directiva no autenticada).
- Directiva autenticada hace referencia a un dispositivo Surface con los certificados adecuados instalados, tal como se ha configurado en el paquete de configuración de .msi que aplicó a los dispositivos de destino.
- La directiva no autenticada hace referencia a cualquier otro dispositivo.
Elija qué componentes desea activar o desactivar y seleccione Siguiente. En la ilustración siguiente se muestra el acceso al puerto activado para los dispositivos autenticados y desactivado para los dispositivos no autenticados.
Si tiene dispositivos que desea configurar para la deshabilitación dinámica de USB-C, active la casilla como se muestra en la ilustración siguiente. Agregue la certificación necesaria y seleccione Siguiente. Para obtener más información, consulta Escenarios para proteger los puertos de Surface Dock en esta página.
Complete una revisión final de la configuración configurada, elija una carpeta para guardar el paquete y seleccione Crear.
Aplicar el paquete de aprovisionamiento a Surface Dock
- Toma el archivo .msi que generó surface UEFI Configurator e instálelo en un dispositivo host de Surface, como Surface Laptop 6 o Surface Pro 10.
- Conecta el dispositivo host a Surface Dock 2 o Surface Thunderbolt 4 Dock. Al conectar el dock, se aplica la configuración de la directiva UEFI.
Escenarios para proteger puertos de Surface Dock
Restringir Surface Dock 2 o Surface Thunderbolt 4 Dock a las personas autorizadas que inicien sesión en un dispositivo host corporativo proporciona otra capa de protección de datos. Esta capacidad de bloquear Surface Docks es fundamental para clientes específicos en entornos altamente seguros que desean las ventajas de funcionalidad y productividad del dock, a la vez que se mantiene el cumplimiento de estrictos protocolos de seguridad. SEMM usado con Surface Dock 2 o Surface Thunderbolt 4 Dock es útil en oficinas abiertas y espacios compartidos, especialmente para los clientes que quieren bloquear puertos USB por motivos de seguridad.
Deshabilitación granular de USB-C. La administración de puertos USB-C con su compatibilidad con DisplayPort y USB Power Delivery proporciona más opciones que desactivar todas las funciones. Por ejemplo, puede impedir que la conectividad de datos impida que los usuarios copien datos del almacenamiento USB, pero conservar la capacidad de ampliar las pantallas y cargar el dispositivo a través de una base USB-C. A partir de Surface Pro 8, Surface Laptop Studio y Surface Go 3, estas opciones ahora están disponibles a través de los scripts de PowerShell de SEMM.
Deshabilitación dinámica de USB-C. La deshabilitación dinámica de USB-C permite a los clientes que operan en entornos de trabajo altamente seguros evitar el robo de datos confidenciales por USB y proporcionar más control a las organizaciones. Cuando se emparejan con surface Thunderbolt 4 Dock, los administradores de TI pueden bloquear los puertos USB-C siempre que un dispositivo Surface apto esté desacoplado o conectado a una base no autorizada.
Sugerencia
Esta característica está disponible en Surface Pro 10, Surface Laptop 6 y Surface Laptop Studio 2.
Con la deshabilitación dinámica de USB-C cuando los usuarios están conectados a una base autorizada en la oficina, los puertos USB-C tendrán funcionalidad completa sobre sus dispositivos. Sin embargo, cuando salen del sitio, todavía pueden conectarse a una base para usar accesorios o un monitor, pero no pueden usar los puertos USB para transferir datos.
La administración de puertos USB-C para estos escenarios implica las siguientes tareas:
- Aprovisione los dispositivos host, como Surface Pro 10 o Surface Laptop 6, y aprovisione surface dock en SEMM a través de un paquete de .msi generado por UEFI Configurator, como se describió anteriormente en esta página.
- Cree un paquete de .msi independiente que contenga la configuración de directiva UEFI para dispositivos "autenticados" y "no autenticados".
- Configure la deshabilitación granular de USB-C o la deshabilitación dinámica de USB-C.
Para obtener más información, consulta Administrar puertos USB en dispositivos Surface.
Comprobación del estado administrado mediante la aplicación Surface
Una vez que hayas aplicado el paquete de configuración, puedes comprobar rápidamente el estado de la directiva resultante del dock directamente desde la aplicación Surface, instalada de forma predeterminada en todos los dispositivos Surface. Si la aplicación Surface no está en el dispositivo, puedes descargarla e instalarla desde Microsoft Store.
Escenario de prueba
Objetivo: configure las opciones de directiva para permitir el acceso a los puertos solo por parte de los usuarios autenticados.
Como se describió anteriormente, active todos los puertos para los usuarios autenticados y apáguelos para los usuarios no autenticados.
Aplique el paquete de configuración al dispositivo de destino y conecte el dock.
Abre Surface App y selecciona Surface Dock para ver el estado de la directiva resultante de Surface Dock. Si se aplica la configuración de directiva, Surface App (que se muestra aquí para Surface Thunderbolt 4 Dock y Surface Dock 2) indica que los puertos están disponibles.
Ahora, debe comprobar que la configuración de directiva ha desactivado correctamente todos los puertos para los usuarios no autenticados. Conecta Surface Dock 2 o Surface Thunderbolt 4 Dock a un dispositivo no administrado, por ejemplo, cualquier dispositivo Surface fuera del ámbito de administración del paquete de configuración que creaste.
Abre Surface App y selecciona Surface Dock. El estado de directiva resultante (que se muestra aquí para Surface Thunderbolt 4 Dock y Surface Dock 2) indica que los puertos están desactivados.
Sugerencia
Si quieres mantener la propiedad del dispositivo pero permitir que todos los usuarios tengan acceso completo, puedes crear un nuevo paquete con todo activado. Si quieres quitar por completo las restricciones y la propiedad del dispositivo (no administrado), selecciona Restablecer en Surface UEFI Configurator para crear un paquete que se aplique a los dispositivos de destino.
¡Enhorabuena! Has administrado correctamente los puertos de Surface Dock en dispositivos host de destino.
Apéndice: Requisitos de certificados raíz y host
Antes de crear el paquete de configuración, debes preparar certificados de clave pública que autentiquen la propiedad de Surface Dock 2 o Surface Thunderbolt 4 Dock y faciliten los cambios posteriores en la propiedad durante el ciclo de vida del dispositivo. Los certificados de host y aprovisionamiento requieren la entrada de identificadores de EKU, también conocidos como identificadores de objeto de uso mejorado de clave (EKU) de autenticación de cliente (IDO).
Los valores de EKU necesarios se enumeran en las tablas 1 y 2.
Precaución
Mantenga los certificados en una ubicación segura y asegúrese de que se ha hecho una copia de seguridad correcta. Sin ellos, es imposible restablecer la UEFI de Surface, cambiar la configuración de UEFI de Surface administrada o quitar SEMM de un dispositivo Surface inscrito.
Tabla 1. Requisitos de certificados raíz y acoplado
| Certificado | Algoritmo | Descripción | Expiración | EKU OID |
|---|---|---|---|---|
| Entidad de certificación raíz | ECDSA_P384 | - Certificado raíz con algoritmo de firma digital de curva elíptica primo de 384 bits (ECDSA) - Secure Hash Algorithm (SHA) 256 Key Usage: CERT_DIGITAL_SIGNATURE_KEY_USAGE - CERT_KEY_CERT_SIGN_KEY_USAGE CERT_CRL_SIGN_KEY_USAGE |
30 años | N/D |
| Entidad de certificación de acoplamiento | Curva ECC P256 | - Certificado de host con criptografía de curva elíptica de 256 bits (ECC) - Uso de la clave SHA 256: CERT_KEY_CERT_SIGN_KEY_USAGE - Restricción de longitud de ruta de acceso = 0 |
20 años | 1.3.6.1.4.1.311.76.9.21.2 1.3.6.1.4.1.311.76.9.21.3 |
Nota
La ca de acoplamiento debe exportarse como un archivo .p7b.
Requisitos del certificado de administración de aprovisionamiento
Cada dispositivo host debe tener la entidad de certificación del documento y dos certificados, como se muestra en la tabla 2.
Tabla 2. Requisitos del certificado de administración de aprovisionamiento
| Certificado | Algoritmo | Descripción | EKU OID |
|---|---|---|---|
| Certificado de autenticación de host | ECC P256 SHA 256 |
Prueba la identidad del dispositivo host. | 1.3.6.1.4.1.311.76.9.21.2 |
| Aprovisionamiento del certificado de administración | ECC P256 SHA256 |
Permite cambiar la propiedad del dock o la configuración de la directiva, ya que le permite reemplazar la ca actual instalada en el dock. | 1.3.6.1.4.1.311.76.9.21.3 1.3.6.1.4.1.311.76.9.21.4 |
Nota
Los certificados de aprovisionamiento y autenticación de host se deben exportar como archivos .pfx.
Para obtener más información, consulte la documentación de arquitectura de Servicios de certificados y revise los capítulos adecuados de Windows Server 2019 Inside Out o Windows Server 2008 PKI y Certificate Security disponibles en Microsoft Press.