Configurar as definições de UEFI para As Estação de Ancoragem para Surface
Os administradores de TI podem proteger e gerir portas na Estação de Ancoragem para Surface 2 ou na Estação de Ancoragem para Surface Thunderbolt 4 ao configurar as definições de UEFI num pacote de configuração do Windows Installer (ficheiro .msi) implementado em dispositivos Surface compatíveis num ambiente empresarial.
Dispositivos com suporte
A gestão do Surface Dock 2 ou da Estação de Ancoragem para Surface Thunderbolt 4 com SEMM está disponível para estações de ancoragem ligadas ao Surface Laptop Studio (todas as gerações), Surface Laptop (7.ª Edição), Surface Laptop 6, Surface Laptop 5, Surface Laptop 4, Surface Laptop 3, Surface Laptop Go (todas as gerações), Surface Pro (11.ª Edição), Surface Pro 10, Surface Pro 9, Surface Pro 9 com 5G, Surface Pro 8, Surface Pro 7+, Surface Pro 7, Surface Pro X e Surface Book 3.
Dica
Estes dispositivos Surface compatíveis são normalmente denominados dispositivos anfitriões. Um pacote é aplicado a dispositivos anfitriões com base no facto de um dispositivo anfitrião ser Autenticado ou Não Autenticado. As definições configuradas residem na camada UEFI em dispositivos anfitriões, o que permite aos administradores de TI gerir As Estação de Ancoragem para Surface compatíveis, como qualquer outro periférico incorporado, como a câmara.
Configurar e implementar definições de UEFI para As Estação de Ancoragem para Surface
Esta secção fornece orientações passo a passo para as seguintes tarefas:
- Instale o Toolkit de TI do Surface.
- Criar ou obter certificados de chave pública.
- Crie um pacote de configuração .msi. a. Adicione os certificados. b. Introduza o número RN de 16 dígitos para os dispositivos Surface Dock 2 ou Surface Thunderbolt 4 Dock. c. Configure as definições de UEFI para políticas de componentes: Dados USB, Ethernet ou Áudio.
- Crie e aplique o pacote de configuração a dispositivos Surface direcionados.
- Utilize a Aplicação Surface para confirmar o estado da política resultante da Estação de Ancoragem para Surface gerida.
Importante
O Número Aleatório (RN) é um identificador de código hexadecimal exclusivo de 16 dígitos aprovisionado na fábrica e impresso em pequeno tipo na parte inferior da estação de ancoragem. O RN difere da maioria dos números de série porque não pode ser lido eletronicamente. Isto garante que a prova de propriedade é estabelecida apenas através da leitura do RN ao aceder fisicamente ao dispositivo. O RN também pode ser obtido durante a transação de compra e é registado nos sistemas de inventário da Microsoft.
Criar certificados de chave pública
Esta secção fornece especificações para criar os certificados necessários para gerir portas para a Estação de Ancoragem para Surface 2 ou Surface Thunderbolt 4 Dock.
Pré-requisitos
Este artigo pressupõe que obtém certificados de um fornecedor de terceiros ou já tem conhecimentos em serviços de certificados PKI e sabe como criar os seus próprios. Deve estar familiarizado com e seguir as recomendações gerais para criar certificados, conforme descrito na documentação Introdução ao Surface Enterprise Management Mode (SEMM), com uma exceção. Os certificados necessários para configurar As Estação de Ancoragem para Surface com SEMM requerem termos de expiração de 30 anos para a Autoridade de Certificação da Dock e 20 anos para o Certificado de Autenticação de Anfitrião.
Se já tiver os certificados adequados, avance para a secção seguinte. Caso contrário, reveja cuidadosamente a documentação de orientação em Apêndice: Requisitos de certificado de raiz e anfitrião.
Criar um pacote de aprovisionamento de estação de ancoragem
Quando tiver obtido ou criado os certificados, pode criar o pacote de aprovisionamento .msi que será aplicado aos dispositivos de destino.
Abra o Toolkit de TI do Surface e selecione Configurar Estação de Ancoragem para Surface.
Selecione Tipo de Estação de Ancoragem e selecione um método de aprovisionamento.
- Unidade Organizacional, concebida para utilização empresarial.
- Unidade Departamente, concebida para configuração de definições mais granulares; por exemplo, um departamento que lida com informações altamente confidenciais.
Importe a autoridade de certificação e os ficheiros de certificado e introduza a palavra-passe de cada ficheiro. Selecione Avançar. Este exemplo mostra o aprovisionamento organizacional.
Adicione os números de ID da Estação de Ancoragem para Surface associados às estações de ancoragem que pretende gerir. Para várias estações de ancoragem, introduza os números num ficheiro de .csv sem um cabeçalho, o que significa que a primeira linha do ficheiro não deve conter nomes ou descrições de colunas.
Pode especificar definições de política para portas USB, Ethernet e Áudio. O UeFI Configurator permite-lhe configurar definições de política para utilizadores autenticados (Política Autenticada) e utilizadores não autenticados (Política Não Autenticada).
- Política Autenticada refere-se a um Dispositivo Surface com os certificados adequados instalados, conforme configurado no pacote de configuração .msi que aplicou aos dispositivos de destino.
- A Política Não Autenticada refere-se a qualquer outro dispositivo.
Escolha os componentes que pretende ativar ou desativar e selecione Seguinte. A figura seguinte mostra o acesso à porta ativado para dispositivos autenticados e desativado para dispositivos não autenticados.
Se tiver dispositivos que pretende configurar para a Desativação USB-C Dinâmica, selecione a caixa de verificação conforme mostrado na figura seguinte. Adicione a certifciação necessária e selecione Seguinte. Para saber mais, consulte Cenários para proteger as portas da Estação de Ancoragem para Surface nesta página.
Conclua uma revisão final das definições configuradas, escolha uma pasta para guardar o Pacote e selecione Criar.
Aplicar o pacote de aprovisionamento a uma Estação de Ancoragem para Surface
- Utilize o ficheiro .msi que o UEFI Configurator do Surface gerou e instale-o num dispositivo anfitrião Surface, como Surface Laptop 6 ou Surface Pro 10.
- Ligue o dispositivo anfitrião à Estação de Ancoragem para Surface 2 ou Surface Thunderbolt 4 Dock. Quando liga a estação de ancoragem, são aplicadas as definições da política UEFI.
Cenários para proteger as portas da Estação de Ancoragem para Surface
Restringir o Surface Dock 2 ou o Surface Thunderbolt 4 Dock a pessoas autorizadas com sessão iniciada num dispositivo anfitrião empresarial fornece outra camada de proteção de dados. Esta capacidade de bloquear As Estação de Ancoragem para Surface é fundamental para clientes específicos em ambientes altamente seguros que pretendam beneficiar da funcionalidade e da produtividade da estação de ancoragem, mantendo simultaneamente a conformidade com protocolos de segurança rigorosos. O SEMM utilizado com a Estação de Ancoragem para Surface 2 ou a Estação de Ancoragem para Surface Thunderbolt 4 é útil em escritórios abertos e espaços partilhados, especialmente para clientes que pretendam bloquear portas USB por motivos de segurança.
Desativação granular USB-C. Gerir portas USB-C com suporte para DisplayPort e Entrega de Energia USB fornece mais opções para além de desativar todas as funcionalidades. Por exemplo, pode impedir a conectividade de dados para impedir que os utilizadores copiem dados do armazenamento USB, mas manter a capacidade de expandir ecrãs e carregar o dispositivo através de uma estação de ancoragem USB-C. A partir do Surface Pro 8, Surface Laptop Studio e Surface Go 3, estas opções estão agora disponíveis através dos scripts do SEMM PowerShell.
Desativação USB-C dinâmica. A Desativação usb-C dinâmica permite que os clientes que operam em ambientes de trabalho altamente seguros impeçam o roubo de dados confidenciais por USB e forneçam mais controlo às organizações. Quando emparelhados com a Estação de Ancoragem para Surface Thunderbolt 4, os administradores de TI podem bloquear portas USB-C sempre que um dispositivo Surface elegível for desancorado ou ligado a uma estação de ancoragem não autorizada.
Dica
Esta funcionalidade está disponível no Surface Pro 10, Surface Laptop 6 e Surface Laptop Studio 2.
Com a Desativação USB-C Dinâmica quando os utilizadores estão ligados a uma estação de ancoragem autorizada no escritório, as portas USB-C terão todas as funcionalidades nos respetivos dispositivos. No entanto, quando sai do local, continua a poder ligar-se a uma estação de ancoragem para utilizar acessórios ou um monitor, mas não pode utilizar as portas USB para transferir dados.
A gestão de portas USB-C para estes cenários envolve as seguintes tarefas:
- Aprovisione os seus dispositivos anfitriões, como Surface Pro 10 ou Surface Laptop 6, e aprovisione a estação de ancoragem do Surface no SEMM através de um pacote de .msi gerado pelo UEFI Configurator, conforme descrito anteriormente nesta página.
- Crie um pacote de .msi separado que contenha as definições de política UEFI para dispositivos "Autenticados" e "Não Autenticados".
- Configure a Desativação Granular USB-C ou a Desativação USB-C Dinâmica.
Para saber mais, consulte Gerir portas USB em dispositivos Surface.
Verificar o estado gerido com a Aplicação Surface
Depois de aplicar o pacote de configuração, pode verificar rapidamente o estado da política resultante da estação de ancoragem diretamente a partir da Aplicação Surface, instalada por predefinição em todos os dispositivos Surface. Se a Aplicação Surface não estiver no dispositivo, pode transferi-la e instalá-la a partir da Microsoft Store.
Cenário de teste
Objetivo: configure as definições de política para permitir o acesso à porta apenas por utilizadores autenticados.
Conforme descrito anteriormente, ative todas as portas para utilizadores autenticados e desative-as para utilizadores não autenticados.
Aplique o pacote de configuração ao seu dispositivo de destino e ligue a estação de ancoragem.
Abra a Aplicação Surface e selecione Estação de Ancoragem para Surface para ver o estado de política resultante da Estação de Ancoragem para Surface. Se as definições de política forem aplicadas, a Aplicação Surface (apresentada aqui para Surface Thunderbolt 4 Dock e Surface Dock 2) indica que as portas estão disponíveis.
Agora, tem de verificar se as definições de política desativaram com êxito todas as portas para utilizadores não autenticados. Ligue o Surface Dock 2 ou o Surface Thunderbolt 4 Dock a um dispositivo não gerido, por exemplo, qualquer dispositivo Surface fora do âmbito de gestão do pacote de configuração que criou.
Abra a Aplicação Surface e selecione Estação de Ancoragem para Surface. O estado da política resultante (apresentado aqui para Surface Thunderbolt 4 Dock e Surface Dock 2) indica que as portas estão desativadas.
Dica
Se quiser manter a propriedade do dispositivo, mas permitir o acesso total a todos os utilizadores, pode criar um novo pacote com tudo ativado. Se quiser remover completamente as restrições e a propriedade do dispositivo (torná-lo não gerido), selecione Repor no Configurador UEFI do Surface para criar um pacote a aplicar aos dispositivos de destino.
Parabéns. Geriu com êxito as portas da Estação de Ancoragem para Surface em dispositivos anfitriões de destino.
Apêndice: requisitos de certificado de raiz e anfitrião
Antes de criar o pacote de configuração, tem de preparar certificados de chave pública que autenticam a propriedade do Surface Dock 2 ou da Estação de Ancoragem para Surface Thunderbolt 4 e facilitar quaisquer alterações subsequentes na propriedade durante o ciclo de vida do dispositivo. O anfitrião e os certificados de aprovisionamento requerem a introdução de IDs de EKU, também conhecidos como Identificadores de objetos (OIDs) de Utilização Avançada de Chave de Autenticação de Cliente (EKU).
Os valores de EKU necessários estão listados na Tabela 1 e na Tabela 2.
Cuidado
Mantenha os certificados numa localização segura e certifique-se de que têm uma cópia de segurança correta. Sem eles, é impossível repor o UEFI do Surface, alterar as definições de UEFI do Surface geridas ou remover o SEMM de um dispositivo Surface inscrito.
Tabela 1. Requisitos de Certificado de Raiz e Dock
| Certificado | Algoritmo | Descrição | Expiração | EKU OID |
|---|---|---|---|---|
| Autoridade de Certificação de Raiz | ECDSA_P384 | - Certificado de raiz com algoritmo de assinatura digital de curva elíptica prime de 384 bits (ECDSA) - Utilização de Chave de Algoritmo Hash Seguro (SHA) 256: CERT_DIGITAL_SIGNATURE_KEY_USAGE - CERT_KEY_CERT_SIGN_KEY_USAGE CERT_CRL_SIGN_KEY_USAGE |
30 anos | N/D |
| Autoridade de Certificação da Dock | Curva ECC P256 | - Certificado anfitrião com Criptografia de Curva Elíptica de 256 bits (ECC) - Utilização da Chave SHA 256: CERT_KEY_CERT_SIGN_KEY_USAGE - Restrição de Comprimento do Caminho = 0 |
20 anos | 1.3.6.1.4.1.311.76.9.21.2 1.3.6.1.4.1.311.76.9.21.3 |
Observação
A AC da estação de ancoragem tem de ser exportada como um ficheiro .p7b.
Requisitos do Certificado de Administração de Aprovisionamento
Cada dispositivo anfitrião tem de ter a AC do documento e dois certificados, conforme mostrado na Tabela 2.
Tabela 2. Requisitos de certificados de administração de aprovisionamento
| Certificado | Algoritmo | Descrição | EKU OID |
|---|---|---|---|
| Certificado de autenticação de anfitrião | ECC P256 SHA 256 |
Prova a identidade do dispositivo anfitrião. | 1.3.6.1.4.1.311.76.9.21.2 |
| Certificado de administração do aprovisionamento | ECC P256 SHA256 |
Permite-lhe alterar a propriedade da estação de ancoragem ou as definições de política, permitindo-lhe substituir a AC atual instalada na estação de ancoragem. | 1.3.6.1.4.1.311.76.9.21.3 1.3.6.1.4.1.311.76.9.21.4 |
Observação
Os certificados de autenticação e aprovisionamento do anfitrião têm de ser exportados como ficheiros .pfx.
Para obter mais informações, consulte a Documentação da Arquitetura dos Serviços de Certificados e reveja os capítulos adequados no Windows Server 2019 Inside Out ou Windows Server 2008 PKI e Segurança de Certificados disponíveis no Microsoft Press.