Dell Clientlarda BIOS Şifre Yönetimini SCCM ile Otomatize Etmek

Dell Clientlarda BIOS Şifre Yönetimini SCCM ile Otomatize Etmek

Kurumsal yapılarda uç cihaz güvenliği denildiğinde çoğu zaman ilk olarak işletim sistemi, antivirüs çözümleri, disk şifreleme, kullanıcı yetkileri ve ağ politikaları akla gelir. Ancak güvenlik sadece işletim sistemi seviyesinde ele alınmamalıdır. Özellikle kurumsal bilgisayarlarda BIOS/UEFI katmanı da güvenlik zincirinin önemli bir parçasıdır.

BIOS üzerinde herhangi bir parola bulunmaması, cihaz ayarlarının yetkisiz kişiler tarafından değiştirilmesine, boot sıralamasının manipüle edilmesine veya güvenlik politikalarının devre dışı bırakılmasına neden olabilir. Bu nedenle kurumsal ortamlarda BIOS şifrelerinin merkezi bir standartla yönetilmesi, hem güvenlik hem de operasyonel süreklilik açısından büyük önem taşır.

Bizim yapımızda kullanılan client cihazların büyük bölümü Dell marka bilgisayarlardan oluşmaktadır. Bu cihazların kurulum, yönetim ve dağıtım süreçleri SCCM yani System Center Configuration Manager üzerinden merkezi olarak yürütülmektedir. Bu nedenle BIOS şifre yönetimini de manuel işlemlerle değil, SCCM üzerinden kontrollü ve otomatik bir şekilde gerçekleştirmeyi hedefledik.

Bu çalışmadaki temel amaçlarımız şunlardı:

  • BIOS şifresi bulunmayan Dell client cihazlara standart bir BIOS parolası atamak.
  • Daha önce ortak veya eski parola ile kullanılan cihazları yeni parola yapısına geçirmek.
  • Tüm süreci SCCM üzerinden merkezi olarak dağıtılabilir hale getirmek.
  • Manuel müdahaleyi azaltarak operasyonel yükü minimum seviyeye indirmek.
  • BIOS güvenliğini kurum genelinde standartlaştırmak.

Kullanılan Araçlar

Bu işlem için Dell’in kurumsal yönetim araçlarından ve SCCM dağıtım altyapısından yararlandık.

Dell Command | Configure

Dell Command | Configure, eski adıyla CCTK, Dell client cihazların BIOS ayarlarını komut satırı üzerinden yönetmeye olanak sağlayan oldukça kullanışlı bir araçtır. Bu araç sayesinde BIOS şifresi tanımlama, mevcut şifreyi değiştirme, boot ayarlarını düzenleme ve birçok BIOS parametresini merkezi olarak yönetme işlemleri yapılabilir.

PowerShell ve Batch Scriptler

Otomasyon sürecinde komutların çalıştırılması, hata kodlarının kontrol edilmesi ve işlem sonucunun takip edilebilmesi için batch scriptler kullanıldı. Bu sayede SCCM üzerinden dağıtılan paketlerde işlemin başarılı olup olmadığı daha kolay takip edilebilir hale geldi.

SCCM Paket ve Deployment Yapısı

Hazırlanan scriptler ve Dell Command | Configure dosyaları SCCM üzerinde paket haline getirildi. Daha sonra ilgili device collection’lara deployment yapılarak BIOS parola yönetimi merkezi olarak uygulanmış oldu.

1. Şifresiz BIOS’lara Parola Atama

İlk adımda BIOS üzerinde herhangi bir parola bulunmayan Dell client cihazlara yeni bir BIOS şifresi atanması hedeflendi.

Bunun için öncelikle SCCM’in erişebileceği bir paylaşım alanı veya paket kaynak dizini oluşturuldu. Dell Command | Configure aracına ait gerekli dosyalar bu klasör içerisine yerleştirildi. Ardından BIOS şifresi olmayan cihazlarda çalışacak bir batch dosyası hazırlandı.

Örnek batch dosyası aşağıdaki gibidir:

@echo off
cd /d %~dp0

echo [INFO] BIOS sifresi uygulanıyor.

cctk\cctk.exe --setuppwd=Yeni_BIOS_Sifresi

IF %ERRORLEVEL% EQU 0 (
 echo [SUCCESS] BIOS sifresi basariyla uygulandi.
 exit /b 0
) ELSE (
 echo [ERROR] BIOS sifresi uygulanamadi.
 exit /b 1
)

Bu scriptin temel görevi, Dell Command | Configure aracını kullanarak BIOS üzerinde yeni bir setup password tanımlamaktır.

Burada dikkat edilmesi gereken en önemli noktalardan biri, script içerisinde kullanılan BIOS şifresinin güvenli şekilde yönetilmesidir. Gerçek parola bilgileri açık şekilde paylaşılmamalı, sadece yetkili ekipler tarafından erişilebilir alanlarda tutulmalıdır.

Script hazırlandıktan sonra SCCM üzerinde yeni bir paket oluşturulur. Paket kaynak klasörü olarak Dell Command | Configure dosyalarının ve batch scriptin bulunduğu dizin gösterilir. Command Line bölümüne ise oluşturulan batch dosyasının adı yazılır.

Örneğin:

Set_BIOS_Password.bat

Daha sonra ilgili device collection seçilerek deployment işlemi gerçekleştirilir. Böylece BIOS şifresi bulunmayan Dell client cihazlara merkezi olarak parola atanmış olur.

2. Mevcut BIOS Şifreli Cihazlarda Parola Güncelleme

İkinci aşamada, daha önce BIOS şifresi tanımlanmış olan cihazların yeni parola standardına geçirilmesi sağlandı. Bu senaryoda mevcut BIOS şifresi doğrulanarak yeni BIOS şifresi atanır.

Bu işlem için kullanılabilecek örnek batch dosyası aşağıdaki gibidir:

@echo off
cd /d %~dp0

echo [INFO] Mevcut BIOS sifresi dogrulaniyor ve yeni sifre ataniyor.

cctk\cctk.exe --setuppwd=Yeni_BIOS_Sifresi --valsetuppwd=Eski_BIOS_Sifresi >> bios_log.txt 2>&1

IF %ERRORLEVEL% EQU 0 (
 echo [SUCCESS] BIOS sifresi basariyla degistirildi. >> bios_log.txt
) ELSE (
 echo [ERROR] BIOS sifresi degistirilemedi. Hata kodu: %ERRORLEVEL% >> bios_log.txt
)

exit /b %ERRORLEVEL%

Bu scriptte --valsetuppwd parametresi ile mevcut BIOS şifresi doğrulanır. Eğer mevcut şifre doğruysa, --setuppwd parametresi ile yeni BIOS şifresi uygulanır.

İşlem sonucunun takip edilebilmesi için çıktı bilgileri bios_log.txt dosyasına yazdırılır. Bu log dosyası sayesinde cihaz üzerinde işlem başarılı mı olmuş, hata mı alınmış kolaylıkla kontrol edilebilir.

3. SCCM Üzerinden Paketleme ve Dağıtım

Hazırlanan scriptler SCCM üzerinde paket haline getirilerek ilgili client gruplarına dağıtıldı. Bu noktada paketleme sürecinde dikkat edilmesi gereken bazı başlıklar vardır.

Öncelikle Dell Command | Configure dosyaları ve batch script aynı kaynak klasör içerisinde tutulmalıdır. SCCM paketi oluşturulurken bu klasör kaynak dizin olarak seçilmelidir.

Ardından Program bölümünde çalıştırılacak komut satırı belirtilir. Örneğin:

Update_BIOS_Password.bat

Dağıtım işlemi yapılmadan önce test amaçlı küçük bir collection üzerinde uygulama denenmelidir. Test cihazlarında işlem başarıyla tamamlandıktan sonra dağıtım daha geniş client gruplarına uygulanabilir.

Bu yaklaşım sayesinde olası hatalar üretim ortamının tamamını etkilemeden önce tespit edilmiş olur.

Operasyonel Kazanımlar

Bu çalışma sonucunda Dell client cihazlar üzerinde BIOS şifre yönetimi daha kontrollü ve standart hale getirildi. Manuel işlem ihtiyacı önemli ölçüde azaldı ve farklı lokasyonlarda bulunan cihazlarda aynı güvenlik politikasının uygulanması kolaylaştı.

Elde edilen başlıca kazanımlar şunlardır:

  • BIOS şifresi olmayan cihazlar merkezi olarak güvenli hale getirildi.
  • Eski BIOS şifreleri yeni parola standardına taşındı.
  • SCCM üzerinden yönetilebilir ve raporlanabilir bir yapı oluşturuldu.
  • Manuel müdahale ihtiyacı azaltıldı.
  • Kurumsal uç cihaz güvenliği BIOS seviyesinde güçlendirildi.
  • Dell client cihazlarda standart bir BIOS parola politikası uygulanmış oldu.

Dikkat Edilmesi Gereken Noktalar

BIOS şifre yönetimi yapılırken parola bilgisinin korunması kritik öneme sahiptir. Script içerisinde gerçek şifrelerin açık şekilde tutulması güvenlik riski oluşturabilir. Bu nedenle script dosyalarının bulunduğu kaynak dizinlere sadece yetkili kullanıcıların erişmesi sağlanmalıdır.

Ayrıca dağıtım öncesinde mutlaka test yapılmalıdır. Farklı Dell model ve BIOS sürümlerinde davranışlar değişiklik gösterebilir. Bu nedenle tüm yapıya deployment yapılmadan önce pilot cihazlar üzerinde kontrol sağlanması önerilir.

Bir diğer önemli konu da eski BIOS şifrelerinin doğru şekilde bilinmesidir. Mevcut şifre hatalı girilirse parola güncelleme işlemi başarısız olacaktır. Bu nedenle farklı eski şifrelerin kullanıldığı ortamlarda cihazlar ayrı collection’lara bölünerek farklı scriptlerle yönetilebilir.

Comments

No comments yet. Why don’t you start the discussion?

Leave a Reply

Your email address will not be published. Required fields are marked *