Dell Security Management Server Virtual Quick Start and Installation Guide v10.2.
참고, 주의 및 경고 노트: "참고"는 제품을 보다 효율적으로 사용하는 데 도움이 되는 중요 정보를 제공합니다. 주의: "주의"는 하드웨어 손상이나 데이터 손실의 가능성을 설명하며, 이러한 문제를 방지할 수 있는 방법을 알려줍니다. 경고: "경고"는 재산상의 피해나 심각한 부상 또는 사망을 유발할 수 있는 위험이 있음을 알려줍니다. © 2016-2019 Dell Inc. All rights reserved.Dell, EMC 및 기타 상표는 Dell Inc. 또는 자회사의 상표입니다. 기타 상표는 각 소유자의 상표 일 수 있습니다. Dell Encryption, Endpoint Security Suite Enterprise 및 Data Guardian 문서 세트에 사용된 등록된 상표 및 상표, 즉 Dell™ 및 Dell 로고, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS® 및 KACE™는 Dell Inc.
Contents 1 퀵 스타트 가이드............................................................................................................................................5 설치..................................................................................................................................................................................... 5 구성..................................................................................................................................................................
문제 해결.....................................................................................................................................................29 5 설치 후 구성................................................................................................................................................ 30 Data Guardian용 구성..................................................................................................................................................... 30 Manager 신뢰 체인 검사 검증.......
1 퀵 스타트 가이드 이 퀵 스타트 가이드는 숙련된 사용자가 Dell Server를 가동하여 신속하게 실행할 수 있도록 합니다. 일반적으로 Dell Server를 먼저 설 치한 다음 클라이언트를 설치하는 것이 좋습니다. 자세한 지침은 Security Management Server Virtual 설치 가이드를 참조하십시오. Dell Server 사전 요구 사항에 대한 자세한 내용은 Security Management Server Virtual 사전 요구 사항, 관리 콘솔 사전 요구 사항 및 프 록시 모드 사전 요구 사항을 참조하십시오. 기존 Dell Server를 업데이트하는 방법에 대한 자세한 내용은 Security Management Server Virtual 업데이트를 참조하십시오. 설치 1 Dell Data Security 파일이 저장된 디렉토리를 탐색한 다음 더블 클릭하여 VMware Security Management Server Virtual v10.x.x Build x.
고객을 위해 기준 정책이 설정된 상태지만 다음과 같은 특정 요구 사항에 따라 수정해야 합니다(라이선스 및 권한에 따라 모두 활성화 가능). • 정책 기반 암호화가 공통 키 암호화로 활성화됩니다. • 자체 암호화 드라이브가 포함된 컴퓨터 암호화 • BitLocker 관리를 사용하지 않음 • 고급 위협 방지가 켜지지 않았습니다. • 위협 차단이 비활성화되어 있습니다. • 외부 미디어를 암호화하지 않습니다. • 포트는 포트 제어로 관리되지 않습니다. • 설치된 전체 디스크 암호화 장치는 암호화되지 않습니다. • Data Guardian이 비활성화되어 있습니다. AdminHelp 주제 정책 관리에서 기술 그룹 및 정책 설명으로 가십시오. 퀵 스타트 작업이 완료되었습니다.
2 상세 설치 가이드 이 설치 가이드는 초보자를 위한 Security Management Server Virtual 설치 및 구성 가이드입니다. 일반적으로 Security Management Server Virtual을 먼저 설치한 다음 클라이언트를 설치하는 것이 좋습니다. 기존 Security Management Server Virtual을 업데이트하는 방법에 대한 자세한 내용은 Security Management Server Virtual 업데이트를 참조하십시오. Security Management Server Virtual 정보 Management Console을 사용하면 관리자가 기업 전체에 걸쳐 엔드포인트, 정책 적용 및 보호 상태를 모니터링할 수 있습니다. 프록시 모드는 Security Management Server Virtual에서 사용할 수 있는 프론트 엔드 DMZ Mode 옵션을 제공합니다. Security Management Server Virtual의 특징은 다음과 같습니다.
Dell currently supports hosting the Dell Security Management Server or Dell Security Management Server Virtual within a Cloud-hosted Infrastructure as a Service (IaaS) environment, such as Amazon Web Services, Azure, and several other vendors. Support for these environments will only be limited to the functionality of the application server hosted within these Virtual Machines, the administration and security of these Virtual Machines will be up to the administrator of the IaaS solution.
Virtualized Environments • VMware ESXi 6.0 – – – – – – – – • VMware ESXi 5.5 – – – – – – – – • 64-bit x86 CPU required Host computer with at least two cores 8 GB RAM minimum required 80 GB Hard Drive Space An Operating System is not required See http://www.vmware.com/resources/compatibility/search.php?deviceCategory=software&testConfig=17 for a complete list of supported Host Operating Systems Hardware must conform to minimum VMware requirements See https://kb.vmware.
• • Mozilla Firefox 41.x 이상 Google Chrome 46.x 이상 프록시 모드 하드웨어 다음 표에는 최소 하드웨어 요구 사항이 자세히 나와 있습니다. 프로세서 Modern Dual-Core CPU(1.5Ghz +) RAM 최소 2GB 전용 RAM/4GB 전용 RAM 권장 사용 가능한 디스크 공간 1.5GB의 사용 가능한 디스크 공간(및 가상 페이징 공간) 네트워크 카드 10/100/1000 네트워크 인터페이스 카드 기타 IPv4, IPv6 또는 IPv4와 IPv6의 조합 지원 소프트웨어 다음 표에는 프록시 모드 서버 설치 전에 먼저 설치해야 하는 소프트웨어가 자세히 나와 있습니다. 사전 요구 사항 • Windows Installer 4.0 이상 설치를 수행할 서버에 Windows Installer 4.0 이상이 설치되어 있어야 합니다. • Microsoft Visual C++ 2010 재배포 가능 패키지 설치되어 있지 않은 경우 설치 프로그램을 통해 자동 설치됩니다.
운영 체제 • Windows Server 2019 - Standard Edition - Datacenter Edition • Windows Server 2016 - Standard Edition - Datacenter Edition • Windows Server 2012 R2 - Standard Edition - Datacenter Edition • LDAP 리포지토리 - Active Directory 2008 R2 - Active Directory 2012 R2 - Active Directory 2016 Security Management Server Virtual 아키텍처 디자인 Dell Encryption, Endpoint Security Suite Enterprise 및 Data Guardian 솔루션은 확장성이 뛰어난 제품으로서, 조직이 암호화할 엔드포인 트 수를 기반으로 합니다.
OVA 파일 다운로드 및 설치 초기에 설치할 때 Security Management Server Virtual은 가상 컴퓨터에서 실행되는 소프트웨어를 전달하는 OVA(Open Virtual Application) 파일로 제공됩니다. OVA 파일은 www.dell.com/support의 다음과 같은 Dell Data Security 제품의 '제품 지원' 페이지에서 볼 수 있습니다.
• Endpoint Security Suite Enterprise • Data Guardian OVA 파일을 다운로드하려면 다음을 수행하십시오. 1 위에 나열된 해당 제품의 드라이버 및 다운로드 페이지를 탐색합니다. 2 드라이버 및 다운로드를 클릭합니다. 3 해당 VMware ESXi 버전을 선택합니다. 4 해당 번들을 다운로드합니다. OVA 파일을 설치하려면 다음을 수행하십시오. 시작하기 전에, 모든 시스템 및 가상 환경의 요구 사항이 충족되었는지 확인하십시오. 1 Dell 설치 미디어에서 Security Management Server Virtual v9.x.x Build x.ova를 찾아 더블 클릭하여 VMware로 가져옵니다. 노트: VMware 대신 Hyper-V를 사용하는 경우, Windows 10에 대한 지침을 따르십시오. https://docs.microsoft.
네트워크 마스크 기본 게이트웨이 DNS 서버 1 DNS 서버 2 DNS 서버 3 정적 구성을 위해 IPv6 또는 IPv4를 선택할 수 있습니다. • 노트: 고정 IP를 사용할 경우 DNS 서버에 호스트 항목도 만들어야 합니다. 12 시간대 확인 메시지가 표시되면 확인을 선택합니다. 13 첫 번째 부팅 구성이 완료되었음을 나타내는 메시지가 표시되면 확인을 선택합니다. 14 SMTP 설정 구성. 15 기존 인증서 가져오기 또는 새 서버 인증서 등록. 16 Security Management Server Virtual을 업데이트합니다. 17 포트 22에서 SFTP를 지원하는 FTP 클라이언트를 설치하고 파일 전송(FTP) 사용자 설정을 참조하십시오. Security Management Server Virtual 설치 작업이 완료됩니다. Management Console 열기 다음 주소에서 Management Console 열기: https://server.domain.
노트: 신뢰할 수 있는 인증 기관의 디지털 인증서를 사용할 것을 권장합니다. 아래에서 옵션 "a" 또는 "b"를 선택하십시오. a b CA 기관에서 구입한 기존 인증서를 사용하려면 기존 인증서 가져오기를 선택하고 다음을 클릭합니다. 자체 서명된 인증서를 만들려면 자체 서명된 인증서를 생성하여 키 스토리지에 가져오기를 선택하고 다음을 클릭합니다. 자체 서명 인증 대화상자에 다음 정보를 입력합니다. 정규화된 컴퓨터 이름(예: computername.domain.com) 조직 조직 단위(예: 보안 팀) 시 도(전체 이름) 국가: 알파벳 두 글자로 된 국가 약어 다음을 클릭합니다. 노트: 기본적으로 인증서 유효 기간은 10년입니다. 11 프론트 엔드 서버 설정 대화상자에서, 백엔드 서버의 정규화된 호스트 이름이나 DNS 별칭을 입력하고 Dell Security Management Server를 선택한 후 다음을 클릭합니다.
시스템 정보 위젯에는 현재 버전, 호스트 이름, IP 주소는 물론 CPU, 메모리 및 디스크의 사용량이 표시됩니다. 버전 내역 위젯에는 버전이 지정된 데이터베이스 스키마 변경 사항이 표시됩니다. 데이터는 '정보' 테이블에서 가져오고 시간을 기준 으로 정렬되어 최신 버전이 맨 위에 표시됩니다. 다음 표는 서비스 상태 위젯의 각 서비스 및 기능에 대해 설명합니다. 이름 설명 Message Broker Enterprise Server 버스 Identity Server 도메인 인증 요청을 처리합니다. Compatibility Server 엔터프라이즈 아키텍처를 관리하는 서비스입니다. Security Server Active Directory와의 통신 및 명령을 제어하는 메커니즘을 제공합 니다. Compliance Reporter 감사 및 준수 보고를 위한 환경을 포괄적으로 볼 수 있습니다. Core Server 엔터프라이즈 아키텍처를 관리하는 서비스입니다.
고정 IP 네트워크 마스크 기본 게이트웨이 DNS 서버 1 DNS 서버 2 DNS 서버 3 정적 구성을 위해 IPv6 또는 IPv4를 선택할 수 있습니다. 노트: 고정 IP를 사용할 경우 DNS 서버에 호스트 항목을 만들어야 합니다. DMZ 서버 지원 설정 이 작업은 언제든지 완료할 수 있습니다. Security Management Server Virtual 사용을 시작할 필요가 없습니다. 1 2 3 기본 구성 메뉴에서 DMZ 서버 지원을 선택합니다. 스페이스바를 눌러 DMZ 서버 지원 사용 필드에 X를 입력합니다. DMZ 서버의 정규화된 도메인 이름을 입력하고 확인을 선택합니다. 노트: DMZ 서버를 활용하려면, Install and Configure Proxy Mode 위의 프록시 서버 설치 지침을 참조하십시 오. 시간대 변경 이 작업은 언제든지 완료할 수 있습니다. Security Management Server Virtual 사용을 시작할 필요가 없습니다.
Update Security Management Server Virtual (Connected Mode) 1 Dell recommends performing a regular backup. Before updating, ensure that the backup process has been functioning properly. See Backup and Restore. 2 From the Basic Configuration menu, select Update Dell Security Management Server Virtual. NOTE: The version number may differ from the attached screen capture. 3 Select the desired action: • Set Proxy Settings - Select this option to set the proxy settings for downloading updates.
3 Store the .deb file in the /updates folder on the secure FTP server of the Dell Server. Ensure that the FTP client supports SFTP on port 22, and an FTP user is set up. See Set up File Transfer (FTP) Users. 4 From the Basic Configuration menu, select Update Security Management Server Virtual. 5 Select Intall Updates and press Enter. NOTE: The version number may differ from the attached screen capture. If the .deb file does not display, ensure that the .deb file is stored in the proper location.
NOTE: The version number may differ from the attached screen capture. 사용자 암호 변경 이 작업은 언제든지 완료할 수 있습니다. Security Management Server Virtual 사용을 시작할 필요가 없습니다. 다음 사용자의 암호를 변경할 수 있습니다. • delluser(터미널 관리자) - 이 사용자는 Dell Server 터미널 및 해당 메뉴의 액세스 권한이 있습니다. • dellconsole(셸 액세스) - 이 사용자는 Dell Server 셸의 액세스 권한이 있습니다. Shell 액세스는 네트워크 관리자가 네트워크 연결성 을 확인하고 이에 대한 문제를 해결하는 데 사용할 수 있습니다. • dellsupport(Dell ProSupport 관리자) - 이 사용자는 'sudo' 권한을 가지고 있으며 이 권한은 드물게 사용됩니다. 보안 목적을 위해, 이 계정의 암호를 관리할 수 있습니다.
SFTP(Secure File Transfer) 사용자 설정 이 작업은 언제든지 완료할 수 있습니다. Security Management Server Virtual 사용을 시작할 필요가 없습니다. 1 2 3 4 기본 구성 메뉴에서 SFTP를 선택합니다. SFTP 화면에서 SFTP 사용자를 추가하고 암호를 정의하려면 사용자 상태 필드에서 Enter 키를 누르거나 아래 화살표 키를 누릅 니다. 스페이스바 키를 누르면 기존 사용자를 업데이트 또는 삭제할 수 있습니다. SFTP 사용자를 비활성화하려면 사용자를 선택 하고 삭제를 선택한 다음 SFTP 확인 화면에서 예를 선택합니다. SFTP 사용자의 사용자 이름과 암호를 입력합니다. 암호는 반드시 다음을 포함해야 합니다. • 8자 이상의 문자 • 1자 이상의 대문자 • 1개 이상의 숫자 • 1자 이상의 특수 문자 SFTP 사용자 입력을 완료한 후 적용을 선택합니다. SSH 사용 이 작업은 언제든지 완료할 수 있습니다.
어플라이언스 종료 이 작업은 필요할 경우에만 수행합니다. 1 기본 구성 메뉴에서, 아래로 스크롤하여 어플라이언스 종료를 선택합니다. 2 확인 메시지가 표시되면 예를 선택합니다. 3 재시작 후, Security Management Server Virtual에 로그인합니다. 고급 터미널 구성 작업 주 메뉴에서 고급 구성 작업에 액세스할 수 있습니다. 로그 회전 구성 노트: 아래의 지침은 로그 회전을 지원하는 Dell Security Management Server Virtual의 애플리케이션을 위한 로그 회전을 정의합 니다. 이 작업은 언제든지 완료할 수 있습니다. Security Management Server Virtual 사용을 시작할 필요가 없습니다. 기본적으로 매일 로그 회전을 사용하도록 설정되어 있습니다. 기본 로그 회전을 변경하려면 고급 구성 메뉴에서 로그 회전 구성을 선 택합니다.
2 백업 시간. 필드에 백업 시간을 입력합니다. 3 확인을 선택합니다. 백업을 즉시 수행하려면, 고급 구성 메뉴에 백업 및 복원 > 지금 백업을 선택합니다. 백업 확인 메시지가 표시되면 확인을 선택합니다. 노트: 복원 작업을 시작하려면 먼저 모든 Dell Server 서비스를 실행해야 합니다. 서버 상태를 확인합니다. 서비스가 모두 실행되고 있지 않은 경우 서비스를 다시 시작하십시오. 자세한 내용은 서비스 시작 또는 중지를 참조하십시오. 모든 서비스가 실행되는 경우에 만 복원을 시작하십시오. 백업에서 복원하려면, 고급 구성 메뉴에서 백업 및 복원 > 복원을 선택하고 복원할 백업 파일을 선택합니다. 확인 메시지가 나타나면 예를 선택합니다. 재부팅된 후 백업이 복원됩니다. 보안 FTP 서버에 백업 저장 FTP 서버에 백업을 저장하려면 FTP 클라이언트가 포트 22에서 SFTP를 지원해야 합니다. 조직의 백업 요구사항에 따라 다음과 같은 방법으로 백업을 다운로드할 수 있습니다.
4 SMTP 포트를 입력합니다. 5 SMTP 사용자 입력 6 SMTP 암호 입력 7 다음에서 알림 보내기 필드에는 이메일 알림을 보낼 이메일 계정 ID를 입력합니다. 다음으로 서버 상태 보내기 필드에는 서버 상태 알림을 보낼 이메일 계정 ID를 입력합니다. 수신자는 쉼표 또는 세미콜론으로 구 분합니다. 다음으로 암호 변경 보내기 필드에는 암호 변경 알림을 보낼 이메일 계정 ID를 입력합니다. 다음으로 소프트웨어 업데이트 보내기 필드에는 소프트웨어 업데이트 알림을 보낼 이메일 계정 ID를 입력합니다. 서비스 경고 알림 필드에서 스페이스바를 눌러 X를 입력한 후 알림 간격을 분 단위로 설정합니다. 시스템 상태 문제에 대한 알림 이 전송된 후 알림 간격 시간이 경과하면 서비스 경고 알림이 트리거되고, 호스트 또는 서비스는 동일한 상태로 유지됩니다. 보고서 요약 필드에서 알림 보고서를 활성화하려면 원하는 간격(매일, 매주, 또는 매달)을 선택하고 스페이스바를 눌러 X를 입력 합니다.
5 조직이 인증 기관에서 SSL 서버 인증서를 취득하는 데 사용하는 절차를 따르십시오. 서명할 CSR 파일의 내용을 전송합니다. 6 서명된 인증서를 수신하면 인증서를 .p7b 파일로 내보내고 전체 신뢰 체인을 .der 형식으로 다운로드합니다. 7 인증서 및 신뢰 체인의 백업 사본을 만듭니다. 8 인증서 파일과 해당되는 전체 신뢰 체인을 Dell Server의 FTP 서버에 업로드합니다. 9 고급 구성 메뉴에서 서버 인증서를 선택합니다. 10 새 서버 인증서를 선택합니다. 11 인증서 등록 완료를 선택합니다. 12 Dell Server에 설치할 인증서 파일을 선택합니다. 13 메시지가 나타나면 인증서 암호를 입력합니다(changeit). Windows 기반 Encryption 클라이언트에서 신뢰 유효성 검사를 사용하려면 Enable Manager Trust Chain Check를 참조하십시오.
로그 보기 다음과 같은 로그를 확인하려면, 주 메뉴에서 로그 보기를 선택합니다. • • • • 시스템 로그 – Syslog 로그 – 메일 로그 – Auth 로그(SSH) – Postgres 로그 – 모니터 로그 서버 로그 – Message Broker – Identity Server – Compatibility Server – Security Server – Compliance Reporter – Core Server – Core Server HA – Inventory Server – Forensic Server – Policy Proxy 관리 콘솔 – pybackup.log – pyconsole.log – pydatabase.log – update.log Databasecustomizer 로그 노트: 이 화면을 탐색하려면 다음을 수행하십시오.
시스템 스냅숏 로그 생성 Dell ProSupport용 시스템 스냅숏 로그를 생성하려면, 주 메뉴에서 지원 도구를 선택합니다. 1 지원 부서 도구 메뉴에서 시스템 스냅숏 로그 생성을 선택합니다. 2 파일이 생성되었다는 메시지가 표시되면 확인을 선택합니다.
3 유지 보수 불필요한 Security Management Server Virtual 백업을 제거하십시오. 가장 최근의 백업 10개만 보존됩니다. 디스크 파티션 공간이 10% 이하인 경우 백업이 더 이상 저장되지 않습니다. 이러한 상태가 발생 하면 디스크 할당 공간이 부족하다는 이메일 알림이 수신됩니다.
4 문제 해결 이메일 알림이 구성된 상태에서 오류가 발생하면 이메일 알림이 수신됩니다. 이메일 알림의 정보를 기준으로 다음 단계를 따르십시 오. 1 해당 로그 파일을 확인합니다. 2 필요하면 서비스를 다시 시작합니다. 설정이 변경될 때마다 서비스를 다시 시작하는 것이 좋습니다. 3 시스템 스냅숏 로그를 생성합니다. 4 Dell ProSupport에 문의하십시오. 자세한 내용은 Dell ProSupport에 문의를 참조하십시오.
5 설치 후 구성 설치 후 조직에서 사용하는 Dell Data Security 솔루션을 바탕으로 환경의 일부 구성 요소를 구성해야 할 수 있습니다. Security Management Server Virtual를 설치한 후 다음 기본값을 수정해야 합니다. • 다음 위치에서 백 엔드 서버 암호를 변경합니다. C:\Program Files\Dell\Enterprise Edition\Message Broker\conf\application.properties • 다음 위치에서 운영 환경의 모든 프런트 엔드 서버에 대한 암호를 변경합니다. C:\Program Files\DELL\Enterprise Edition\Beac\conf\application.properties 암호는 다음과 같이 표시됩니다. proxy-server.password=ENC() 암호를 변경하는 방법: 1 다음을 선택합니다. ENC() 2 선택한 텍스트를 다음으로 변경합니다.
6 Management Console 관리자 작업 Dell 관리자 역할 지정 1 Security Management Server Virtual 관리자 계정으로 Management Console에 로그인합니다(https://server.domain.com:8443/ webui). 기본 자격 증명은 superadmin/changeit입니다. 2 왼쪽 창에서 채우기 > 도메인을 클릭합니다. 3 사용자를 추가할 도메인을 클릭합니다. 4 도메인 세부 정보 페이지에서 구성원 탭을 클릭합니다. 5 사용자 추가를 클릭합니다. 6 일반 이름, UPN(Universal Principal Name) 또는 sAMAccountName 중에서 사용자 이름을 검색할 필터를 입력합니다. 와일드카드 문자는 *입니다. 엔터프라이즈 디렉토리 서버에서 모든 사용자마다 일반 이름, UPN(Universal Principal Name) 및 sAMAccountName이 정의되어 있 어야 합니다.
정책 설명은 AdminHelp 주제 정책 관리를 참조하십시오. 정책 커밋 설치가 완료되면 정책을 커밋합니다. 설치 이후 또는 나중에 정책 수정이 저장된 이후에 정책을 커밋하려면 다음 단계를 수행합니다. 1 2 3 왼쪽 창에서 관리 > 커밋을 클릭합니다. 주석에 변경에 대한 설명을 입력합니다. 정책 커밋을 클릭합니다.
7 포트 다음 표는 각 구성요소와 그 기능에 대한 설명입니다. 이름 기본 포트 설명 Compliance Reporter HTTP(S)/ 감사 및 준수 보고를 위한 환경을 포괄적으로 볼 수 있습니 다. 8084 Management Console HTTPS/ 8443 Core Server HTTPS/ 8887(폐쇄) Core Server HA HTTPS/ (높은 가용성) 8888 Security Server HTTPS/ 8443 Compatibility Server TCP/ 1099(폐쇄) Message Broker 서비스 TCP/ 61616(폐쇄) 전체 엔터프라이즈 배포를 위한 관리 콘솔 및 제어 센터입 니다. 정책 흐름, 라이센스 및 사전 부팅 인증을 위한 등록, SED 관리, BitLocker 관리자, 위협 차단 및 Advanced Threat Prevention을 관리합니다.
이름 기본 포트 설명 Policy Proxy TCP/ 네트워크 기반 통신 경로를 제공하여 보안 정책 업데이트 및 인벤토리 업데이트를 제공합니다. 8000 LDAP 389/636, 3268/3269 RPC - 135, 49125+ Encryption Enterprise(Windows 및 Mac)에 필요함 포트 389 - 이 포트는 로컬 도메인 컨트롤러에서 정보를 요 청하는 데 사용됩니다. 포트 389에 전송된 LDAP 요청을 사 용하여 글로벌 카탈로그의 홈 도메인 내에 속하는 개체만 검색할 수 있습니다. 그러나 요청하는 애플리케이션에서 이러한 개체에 대한 속성을 모두 가져올 수 있습니다. 예를 들어, 포트 389에 대한 요청을 사용하여 사용자의 부서를 가져올 수 있습니다. 포트 3268 - 이 포트는 특별히 글로벌 카탈로그에 대한 대 상으로 지정된 쿼리에 사용됩니다. 포트 3268에 전송된 LDAP 요청을 사용하여 전체 포리스트에서 개체를 검색할 수 있습니다.