Dell Security Management Server Installation and Migration Guide v10.2.
Notas, avisos e advertências NOTA: Uma NOTA indica informações importantes que ajudam a melhorar a utilização do produto. AVISO: Um AVISO indica potenciais danos do hardware ou a perda de dados e explica como evitar o problema. ADVERTÊNCIA: Uma ADVERTÊNCIA indica potenciais danos no equipamento, lesões pessoais ou mesmo morte. © 2012-2019 Dell Inc. Todos os direitos reservados.Dell, EMC e outras marcas comerciais pertencem à Dell Inc ou às suas subsidiárias.
Contents 1 Introdução......................................................................................................................................................5 Acerca do Security Management Server........................................................................................................................5 Contacte o Dell ProSupport..............................................................................................................................................
Consolidar políticas.......................................................................................................................................................... 44 Configurar o Dell Compliance Reporter.........................................................................................................................45 Realizar Cópias de Segurança........................................................................................................................................
1 Introdução Acerca do Security Management Server O Security Management Server tem as seguintes funções: • Gestão centralizada de dispositivos, utilizadores e política de segurança • Relatórios e auditorias de conformidade centralizados • Separação de deveres administrativos • Criação e gestão de políticas de segurança baseadas em funções • Distribui as políticas de segurança quando os clientes estabelecem ligação • Recuperação de dispositivos assistida por administrador • Caminhos fidedignos p
2 Requisitos e arquitetura Esta secção especifica os requisitos de hardware e software e as recomendações de projeto de arquitetura para implementação do Dell Security Management Server. Arquitetura do Security Management Server As soluções Dell Encryption, Endpoint Security Suite Enterprise e Data Guardian são produtos altamente dimensionáveis, com base no número de pontos terminais pretendidos para encriptação na sua organização.
NOTA: Se a organização tiver mais de 20 000 pontos terminais, contacte o Dell ProSupport para obter assistência. Requisitos Os pré-requisitos de hardware e software para instalação do Security Management Server estão incluídos abaixo.
Antes de iniciar a instalação, certifique-se que são realizadas todas as atualizações e aplicações de patches em todos os servidores utilizados na instalação. Hardware The following table details the minimum hardware requirements for Security Management Server see Security Management Server Architecture Design for additional information about scaling based on the size of your deployment. Hardware Requirements Processor Modern Quad-Core CPU (1.
Security Management Server v10.2.4 has been validated on the following platforms. Hyper-V Server installed as a Full or Core installation or as a role in Windows Server 2012, Windows Server 2016, or Windows Server 2019. • Hyper-V Server – 64-bit x86 CPU required – Host computer with at least two cores – 8 GB RAM minimum recommended – Hardware must conform to minimum Hyper-V requirements – 4 GB minimum RAM for dedicated image resource – Must be run as a Generation 1 Virtual Machine – See https://technet.
SQL Server In larger environments, it is highly recommended that the SQL Database server run on a redundant system, such as a SQL Cluster, to ensure availability and data continuity. It is also recommended to perform daily full backups with transactional logging enabled to ensure that any newly generated keys through user/device activation are recoverable. Database maintenance tasks should include rebuilding database indexes and collecting statistics.
- Standard Edition - Datacenter Edition • Windows Server 2019 - Standard Edition - Datacenter Edition Repositório LDAP • • • Active Directory 2008 R2 Active Directory 2012 R2 Active Directory 2016 Management Console e Compliance Reporter • • • Internet Explorer 11.x ou posterior Mozilla Firefox 41.x ou posterior Google Chrome 46.x ou posterior NOTA: O browser tem de aceitar cookies.
Tipo Ação Cenário Privilégio do SQL necessário Back-end Atualizar Por definição, as atualizações já têm DB e Início de sessão/ Utilizador estabelecidos db_owner Back-end Restaurar instalação Restaurar envolve um DB e início db_owner de sessão já existentes.
3 Configuração de Pré-instalação Antes de começar, leia o documento Security Management Server Technical Advisories (Avisos técnicos do Security Management Server) para ficar a conhecer soluções alternativas existentes ou problemas conhecidos relacionados com o Security Management Server. A configuração de pré-instalação dos servidores onde pretende instalar o Security Management Server é muito importante.
Key Server: TCP/8050 Policy Proxy: TCP/8000 Security Server: HTTPS/8443 Autenticação do cliente: HTTPS/8449 (se utilizar Server Encryption) Comunicação do cliente, se utilizar Advanced Threat Prevention: HTTPS/TCP/443 Criar base de dados Dell Server 3 Estas instruções são opcionais. O instalador cria uma base de dados por si, caso ainda não exista.
A configuração de pré-instalação do servidor está concluída. Continue para Instalar ou Atualizar/Migrar.
4 Instalar ou Atualizar/Migrar O capítulo fornece instruções para o seguinte: • Nova instalação - Para instalar um novo Security Management Server. • Atualização/Migração - Para atualizar a partir de um Enterprise Server funcional, v9.2 ou posterior. • Desinstalar o Security Management Server - Para remover a instalação atual, se necessário. Se for necessário que a sua instalação inclua mais do que um servidor principal (back-end), contacte o seu representante do Dell ProSupport.
NOTA: Se tem um Enterprise Server funcional, v9.2 ou posterior, consulte as instruções em Atualizar/migrar servidores de back-end. Se instalar o servidor de front-end, realize esta instalação depois da instalação do servidor de back-end: • Instalar um servidor de front-end - Para instalar um servidor de front-end para comunicar com um servidor de back-end. Instalar servidor de back-end e nova base de dados 1 No suporte multimédia de instalação da Dell, aceda ao diretório Security Management Server.
11 Tem à sua disposição vários tipos de certificados digitais que pode utilizar. É altamente recomendável que utilize um certificado digital de uma autoridade de certificação fidedigna. Selecione a opção "a" ou "b" abaixo: a Para utilizar um certificado existente comprado junto de uma autoridade de CA, selecione Importar um certificado existente e clique em Seguinte. Clique em Procurar para introduzir o caminho do certificado. Introduza a palavra-passe associada a este certificado.
NOTA: Para utilizar esta definição, o certificado da AC exportado e que pretende importar precisa ter a cadeia de certificação completa. Se não tiver a certeza, volte a exportar o certificado da AC e certifique-se de que as opções seguintes estão selecionadas no “Certificate Export Wizard” (Assistente para Exportar Certificados): • b Personal Information Exchange - PKCS#12 (.
OU • Autenticação do SQL Server a utilizar as credenciais abaixo apresentadas Se utilizar a autenticação do SQL, a conta SQL utilizada precisa ter direitos de administrador do sistema no SQL Server. c d e 15 O instalador precisa efetuar a autenticação no SQL Server com estas permissões: criar base de dados, adicionar utilizador, atribuir permissões. Identifique o catálogo da base de dados: Introduza o nome do novo catálogo da base de dados.
OU • Autenticação do SQL Server Selecione Autenticação do SQL Server utilizando as credenciais abaixo, introduza as credenciais do SQL Server para os serviços Dell utilizarem enquanto se ligam ao Security Management Server e clique em Seguinte. A conta de utilizador precisa possuir o esquema predefinido de permissões do SQL Server: dbo e Associação de Funções da Base de Dados: dbo_owner, público. 16 Na caixa de diálogo Preparado para instalar o programa, clique em Instalar.
A conta de utilizador a partir da qual a instalação é realizada deve ter privilégios de proprietário de base de dados para a base de dados do SQL. Se não tem a certeza sobre os privilégios ou conetividade à base de dados, peça ao seu administrador da base de dados para os confirmar antes de iniciar a instalação.
11 Tem à sua disposição vários tipos de certificados digitais que pode utilizar. É altamente recomendável que utilize um certificado digital de uma autoridade de certificação fidedigna. Selecione a opção "a" ou "b" abaixo: a Para utilizar um certificado existente comprado junto de uma autoridade de CA, selecione Importar um certificado existente e clique em Seguinte. Clique em Procurar para introduzir o caminho do certificado. Introduza a palavra-passe associada a este certificado.
NOTA: A validade do certificado é de 10 anos, por predefinição. 12 A partir da caixa de diálogo Configuração da instalação do servidor de back-end, pode visualizar ou editar os nomes dos anfitriões e as portas. • Para aceitar as portas e os nomes dos anfitriões predefinidos, na caixa de diálogo Configuração da instalação do servidor de backend, clique em Seguinte.
b c 15 Se o esquema da base de dados já tiver o esquema da versão atual, mas não estiver ligado a um Security Management Server de back-end, é considerado uma Recuperação. Se a opção Instalação de recuperação não foi selecionada neste passo, é apresentada esta caixa de diálogo: • Selecione Modo de instalação de recuperação para continuar a instalação com a base de dados selecionada. • Selecione Selecionar uma nova base de dados para escolher uma base de dados diferente.
5 Clique em Seguinte na caixa de diálogo Bem-vindo. 6 Leia o contrato de licença, aceite os termos e clique em Seguinte. 7 Se copiou, opcionalmente, o ficheiro EnterpriseServerInstallKey.ini para C:\Windows tal como explicado na Configuração de Préinstalação, clique em Seguinte. Caso contrário, introduza a chave do produto de 32 caracteres e clique em Seguinte. A chave do produto encontra-se no ficheiro EnterpriseServerInstallKey.ini. 8 Selecione Instalação de front-end e clique em Seguinte.
• Para aceitar as portas e os nomes dos anfitriões predefinidos, na caixa de diálogo Configuração da instalação do servidor de frontend, clique em Seguinte. • Para ver ou editar os nomes dos anfitriões, na caixa de diálogo Configuração do servidor de front-end, clique em Editar nomes dos anfitriões. Edite os nomes dos anfitriões apenas se necessário. A Dell recomenda que utilize os nomes predefinidos. NOTA: Um nome de anfitrião não pode conter um caráter de sublinhado ("_").
Security Management Server v9.x suporta: • Encryption Enterprise: – Clientes Windows v7.x/8.x – Clientes Mac v7.x/8.x – Clientes SED v8.x – Autenticação v8.x – BitLocker Manager v7.2x+ e v8.x – Data Guardian v1.x • Endpoint Security Suite Pro v1.x • Endpoint Security Suite Enterprisev1.x • Atualização/Migração do Security Management Server versão v9.2 ou posterior. (Ao migrar do Security Management Server anterior à versão v9.2, contacte o Dell ProSupport para obter assistência.
Atualizar/migrar servidores de back-end 1 No suporte multimédia de instalação da Dell, aceda ao diretório Security Management Server. Descomprima (NÃO copie/cole nem arraste/largue) o Security Management Server-x64 para o diretório de raiz do servidor onde está a instalar o Security Management Server. As operações de copiar/colar ou arrastar/largar produzem erros e uma instalação malsucedida. 2 Clique duas vezes no ficheiro setup.exe. 3 Selecione o idioma da instalação e, de seguida, clique em OK.
Para se ligar à base de dados existente, especifique o método de autenticação a utilizar. Após a instalação, o produto instalado não utiliza as credenciais aqui especificadas. a Selecione o tipo de autenticação da base de dados: • Credenciais de autenticação Windows do utilizador atual Se escolher a Autenticação do Windows, as mesmas credenciais que foram utilizadas para iniciar sessão no Windows são utilizadas para autenticação (o Nome de utilizador e Palavra-passe não são editáveis).
Se não souber a palavra-passe, corte e cole a secção semelhante à secção apresentada na Figura 4-2 do ficheiro de cópia de segurança \conf\server_config.xml para a secção correspondente do novo ficheiro server_config.xml. Palavra-passe desconhecida Guarde e feche o ficheiro. NOTA: Não tente mudar a palavra-passe do Security Management Server editando o valor server.pass em server_config.xml em nenhuma circunstância. Se alterar este valor, perde acesso à base de dados.
5 Na caixa de diálogo Boas-vindas, clique em Seguinte. 6 Leia o contrato de licença, aceite os termos e clique em Seguinte. 7 Na caixa de diálogo Preparado para instalar o programa, clique em Instalar. É apresentada uma caixa de diálogo de progresso durante todo o processo de instalação. 8 Quando a instalação estiver concluída, clique em Concluir. 9 Configure o servidor de back-end para comunicar com o servidor de front-end. a b c No servidor back-end, aceda a \conf\ e
Parâmetros SSL_TYPE=n - sendo n igual a 1 para importar um certificado existente adquirido de uma autoridade certificadora e 2 para criar um certificado autoassinado. O valor SSL_TYPE determina as propriedades de SSL obrigatórias.
Parâmetros NOTA: O instalador necessita efetuar a autenticação no servidor SQL com estas permissões: criar base de dados, adicionar utilizador, atribuir permissões. As credenciais são credenciais de tempo de instalação e não credenciais de tempo de execução. Se for utilizada a autenticação SQL, é necessário o seguinte: IS_SQLSERVER_USERNAME IS_SQLSERVER_PASSWORD EE_SQLSERVER_AUTHENTICATION - obrigatória. Especifique o método de autenticação que o produto deve utilizar.
Parâmetros REPORTERPORT - opcional. DEVICEPORT - opcional. KEYSERVERPORT - opcional. GKPORT - opcional. TIGAPORT - opcional. SMTP_PORT - opcional. ACTIVEMQ_TCP - opcional. ACTIVEMQ_STOMP - opcional. Instalar o Security Management Server em modo desligado O exemplo seguinte instala o Security Management Server no modo silencioso, com uma caixa de diálogo de progresso, utilizando os parâmetros de instalação listados no ficheiro, C:\mysetups\eeoptions.txt\" " Setup.exe /s /v"/qb INSTALL_VALUES_FILE=\"C:\myset
5 Configuração de Pós-instalação Leia o documento Security Management Server Technical Advisories (Avisos Técnicos do Security Management Server) para ficar a conhecer quaisquer soluções alternativas existentes ou problemas conhecidos relacionados com a configuração do Security Management Server. Quer esteja a instalar o Security Management Server pela primeira vez ou a atualizar uma instalação existente, alguns componentes do seu ambiente têm de ser configurados.
A Server Configuration Tool permite-lhe: • Adicionar certificados novos ou atualizados • Importar Certificado do Dell Manager • Importar Certificado de Identidade • Configurar as definições de Certificado do Servidor SSL • Configurar definições de SMTP para Data Guardian ou serviços de email • Alterar o nome da base de dados, a localização ou as credenciais • Migrar a base de dados O Dell Core Server e o Compatibility Server não podem ser executados em simultâneo com a Server Configuration Tool
keystore da Microsoft, dependendo do componente do Dell Server em causa). Se forem selecionados certificados autoassinados, estão disponíveis as seguintes opções: • Validação de smart cards utilizados para a autenticação de pré-arranque: – Importe o certificado de assinatura da "Agência raiz" e a cadeia de certificação completa para a keystore Java do Security Server. Tem de ser importada a cadeia de certificação completa.
4 Na janela Certificado SSL do Compatibility Server, selecione Gerar certificado autoassinado e clique em Seguinte. São utilizadas as informações do certificado autoassinado que foi criado aquando da instalação do Security Management Server, se disponíveis. Clique em Seguinte. 5 Na janela Certificado SSL do Core Server, selecione uma das seguintes opções: • Selecionar certificado - Selecione esta opção para utilizar um certificado existente. Clique em Seguinte.
Encryption Management Agent. Este certificado pode ser independente de qualquer um dos outros certificados. Adicionalmente, se a chave estiver comprometida, esta pode ser substituída por uma chave nova, e o Dell Manager irá pedir uma nova chave pública se não conseguir desencriptar os conjuntos de política. 1 Abra a Consola de Gestão da Microsoft (MMC - Microsoft Management Console). 2 Clique em Ficheiro > Adicionar/Remover Snap-in. 3 Clique em Adicionar.
3 No pedido de Palavra-passe de certificado, introduza a palavra-passe associada ao certificado existente. 4 Na Caixa de diálogo de conta do Windows, escolha uma opção: 5 a Para alterar as credenciais associadas com o certificado de identidade, selecione Utilizar credenciais de conta do Windows diferentes com o certificado de identidade. b Para continuar e utilizar as credenciais da conta presentemente ativa, clique em Seguinte. A partir do menu superior, selecione Configuração > Guardar.
NOTA: O nome de utilizador e a palavra-passe devem ser deixados em branco se a autenticação for definida como falsa. Quando terminar as alterações: 1 A partir do menu superior, selecione Configuração > Guardar. Se pedido, confirme a gravação. 2 Feche a Dell Server Configuration Tool. 3 Clique em Iniciar > Executar. Escreva services.msc e clique em OK. Quando a janela Serviços abrir, navegue até cada serviço Dell e clique em Iniciar o serviço.
Migrar a base de dados Pode migrar uma base de dados v9.2 ou posterior para o esquema mais recente com a atualização mais recente do servidor. Em Server Configuration Tool, clique no separador Base de dados. 1 Caso ainda não tenha realizado a cópia de segurança da sua atual base de dados do Dell Server, faça-a agora. 2 No menu superior, selecione Ações > Migrar Base de Dados. O Assistente de configuração é iniciado. 3 Será exibida uma mensagem de aviso na janela Migrar Base de Dados Enterprise.
6 Tarefas administrativas Atribuir o papel de administrador da Dell 1 Inicie sessão na Management Console como administrador do Security Management Server Virtual: https://server.domain.com:8443/ webui/. As credenciais predefinidas são superadmin/changeit. 2 No painel esquerdo, clique em Populações > Domínios. 3 Clique num domínio para adicionar um utilizador. 4 Na página Detalhe do domínio, clique no separador Membros. 5 Clique em Adicionar utilizador.
Para consolidar políticas após a instalação ou, posteriormente, após as modificações de políticas serem guardadas, siga estes passos: 1 No painel da esquerda, clique em Gestão > Consolidar. 2 Em Comentário, introduza uma descrição da alteração. 3 Clique em Consolidar políticas. Configurar o Dell Compliance Reporter 1 No painel da esquerda, clique em Compliance Reporter. 2 Quando o Dell Compliance Reporter iniciar, inicie sessão com as credenciais predefinidas de superadmin/changeit.
A Dell recomenda que sejam seguidas as melhores práticas de utilização da base de dados para a base de dados PostgreSQL e que o software Dell esteja incluído no plano de recuperação de desastres da sua organização.
7 Portas A tabela seguinte descreve cada componente e a sua função. Nome Porta predefinida Descrição Compliance Reporter HTTP(S)/ Oferece uma visão abrangente do ambiente, tendo em vista a elaboração de relatórios de auditoria e conformidade. 8084 Management Console HTTP(S)/ 8443 Core Server HTTPS/ 8888 Device Server Consola de administração e centro de controlo para implementação na empresa inteira.
Nome Porta predefinida Descrição Policy Proxy TCP/ Oferece uma linha de comunicação com base na rede de forma a proporcionar atualizações de políticas de segurança e atualizações de inventário.
8 Melhores práticas do SQL Server A lista seguinte explica as melhores práticas do SQL Server, que devem ser aplicadas quando o Dell Security for instalado, se ainda não estiver implementado. 1 Certifique-se de que o tamanho do bloco NTFS onde se encontram o ficheiro de dados e o ficheiro de registo é de 64 KB. As extensões do SQL Server (unidade básica do armazenamento do SQL) são de 64 KB.
9 Certificados Este capítulo explica como obter certificados para utilização com o Security Management Server. Para obter informações sobre como configurar a autenticação por SmartCard, consulte http://www.dell.com/support/article/us/en/19/ sln303783/dell-data-protection-sed-management-smartcard-setup-guide?lang=en. Para obter informações sobre os requisitos mínimos para solicitar certificados SSL/TLS a serem utilizados pelo servidor Dell Data Security, consulte http://www.dell.
NOTA: Faça uma cópia de segurança dos ficheiros de configuração antes de editá-los. Mude apenas os parâmetros especificados. Se mudar outros dados nestes ficheiros, incluindo as etiquetas, pode corromper o sistema e causar a sua falha. A Dell não pode garantir que os problemas resultantes de alterações não autorizadas a estes ficheiros possam ser resolvidos sem a reinstalação do Security Management Server.
2 Siga o seu processo organizacional para adquirir um certificado do servidor SSL de uma Autoridade de certificação. Envie o conteúdo do para assinatura. NOTA: Existem vários métodos para solicitar um certificado válido. É apresentado um exemplo de método em Exemplo de método para solicitar um certificado. 3 Quando receber o certificado assinado, guarde-o num ficheiro.
5 Cole o conteúdo da solicitação de CSR na caixa de texto. Selecione um modelo de certificado do Web Server e clique em Enviar. Submeter um pedido guardado 6 Guarde o certificado. Selecione Codificação DER e clique em Transferir certificado AC. Transferir certificado AC 7 Guarde o certificado. Selecione Codificação DER e clique em Transferir caminho da certificação AC. Transferir caminho da certificação AC 8 Importe o certificado da autoridade assinante convertido. Volte para a linha de comandos.
17 No campo Nome do ficheiro, introduza um nome para guardar o ficheiro. Clique em Guardar. 18 Clique em Seguinte. 19 Clique em Concluir. É apresentada uma mensagem indicando que a exportação foi realizada com êxito. Feche a MMC. Adicionar um certificado fidedigno de assinatura ao Security Server quando foi utilizado um certificado SSL não fidedigno 1 2 Pare o Security Server, se este estiver a ser executado. Faça uma cópia de segurança do ficheiro cacerts em \conf\.