Dell Security Management Server Installation and Migration Guide v10.2.
Remarques, précautions et avertissements REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit. PRÉCAUTION : Une PRÉCAUTION indique un risque d'endommagement du matériel ou de perte de données et vous indique comment éviter le problème. AVERTISSEMENT : Un AVERTISSEMENT indique un risque d'endommagement du matériel, de blessures corporelles ou même de mort. © 2012-2019 Dell Inc. Tous droits réservés.
Contents 1 Introduction....................................................................................................................................................5 À propos de Security Management Server.....................................................................................................................5 Contacter Dell ProSupport................................................................................................................................................
Valider des règles............................................................................................................................................................. 44 Configurer Dell Compliance Reporter............................................................................................................................45 Réaliser des sauvegardes................................................................................................................................................
1 Introduction À propos de Security Management Server Security Management Server propose les fonctions suivantes : • Gestion centralisée des périphériques, des utilisateurs et des règles de sécurité • Audit et rapports de conformité centralisés • Division des tâches administratives • Création et gestion de règles de sécurité basées sur des rôles • Application des règles de sécurité lors de la connexion de clients • Récupération de périphérique assistée par l'administrateur • Chemins d'accès app
2 Configuration requise et architecture Cette section présente en détail la configuration matérielle et logicielle requise et les recommandations de conception de l'architecture pour la mise en œuvre de Dell Security Management Server. Conception de l'architecture de Security Management Server Les solutions Dell Encryption, Endpoint Security Suite Enterprise et Data Guardian, sont des produits hautement évolutifs, selon le nombre de points de terminaison ciblés pour le chiffrement dans votre entreprise.
REMARQUE : Si l'entreprise compte plus de 20 000 points de terminaison, veuillez contacter Dell ProSupport pour obtenir une assistance. Requirements Les spécifications matérielles et logicielles pour l'installation du logiciel Security Management Server sont présentées ci-dessous.
Avant de commencer l'installation, assurez-vous que tous les correctifs et mises à jour sont appliqués aux serveurs utilisés pour l'installation. Hardware The following table details the minimum hardware requirements for Security Management Server see Security Management Server Architecture Design for additional information about scaling based on the size of your deployment. Hardware Requirements Processor Modern Quad-Core CPU (1.
Security Management Server v10.2.4 has been validated on the following platforms. Hyper-V Server installed as a Full or Core installation or as a role in Windows Server 2012, Windows Server 2016, or Windows Server 2019. • Hyper-V Server – 64-bit x86 CPU required – Host computer with at least two cores – 8 GB RAM minimum recommended – Hardware must conform to minimum Hyper-V requirements – 4 GB minimum RAM for dedicated image resource – Must be run as a Generation 1 Virtual Machine – See https://technet.
SQL Server In larger environments, it is highly recommended that the SQL Database server run on a redundant system, such as a SQL Cluster, to ensure availability and data continuity. It is also recommended to perform daily full backups with transactional logging enabled to ensure that any newly generated keys through user/device activation are recoverable. Database maintenance tasks should include rebuilding database indexes and collecting statistics.
- Édition Standard - Édition Datacenter • Windows Server 2019 - Édition Standard - Édition Datacenter Référentiel LDAP • • • Active Directory 2008 R2 Active Directory 2012 R2 Active Directory 2016 Console de gestion et Rapporteur de conformité • • • Internet Explorer 11.x ou supérieur Mozilla Firefox 41.x ou supérieur Google Chrome 46.x ou version supérieure REMARQUE : Votre navigateur doit accepter les cookies.
Type Action Scénario Privilège SQL requis de données et une connexion/un utilisateur définis Back-end Restauration de l'installation La restauration implique une base de données et une connexion existantes.
3 Configuration préalable à l'installation Avant de commencer, lisez les Conseils techniques concernant Security Management Server pour connaître les solutions palliatives ou problèmes connus relatifs à Security Management Server. La configuration préalable à l'installation du ou des serveurs sur lesquels vous voulez installer Security Management Server est très importante. Lisez attentivement cette section pour installer correctement Security Management Server.
Device Server : HTTP(S)/8443 (Security Management Server v7.7 ou version ultérieure) ou HTTP(S)/8081 (Serveur Dell antérieur à la version 7.7) Key Server : TCP/8050 Policy Proxy : TCP/8000 Security Server : HTTPS/8443 Authentification client : HTTPS/8449 (si vous utilisez Server Encryption) Communication du client, si vous utilisez Advanced Threat Prevention : HTTPS/TCP/443 Création d'une base de données Dell Server 3 Ces instructions sont facultatives.
http://www.microsoft.com/en-us/download/details.aspx?id=35580 Facultatif 7 Pour une nouvelle installation : copiez votre clé de produit (le nom du fichier est EnterpriseServerInstallKey.ini) vers C:\Windows pour renseigner automatiquement la clé de produit de 32 caractères dans le programme d'installation de Security Management Server. La configuration préalable à l'installation du serveur est terminée. Passez à Installer ou mettre à niveau/Migrer.
4 Installer ou Mettre à niveau/Migrer Ce chapitre fournit les instructions concernant : • une nouvelle installation : pour installer un nouveau serveur Security Management Server. • la mise à niveau et la migration : pour une mise à niveau à partir d'une version existante et fonctionnelle d'Enterprise Server v9.2 ou version ultérieure. • la désinstallation de Security Management Server : pour supprimer l'installation actuelle, si nécessaire.
REMARQUE : Si vous disposez d'un serveur Enterprise Server v9.2 ou version ultérieure fonctionnel, reportez-vous aux instructions figurant dans Mettre à niveau/Migrer un serveur principal. Si vous installez un serveur front-end, effectuez l'installation une fois le serveur back-end installé : • Installer un serveur front-end : instructions pour installer un serveur front-end pour communiquer avec un serveur back-end.
11 Vous avez le choix entre différents types de certificats numériques. Il est vivement recommandé d'utiliser un certificat numérique provenant d'une autorité de certification fiable. Sélectionnez l'option « a » ou « b » ci-dessous : a Pour utiliser un certificat existant acheté auprès d'une autorité de certification, sélectionnez Importer un certificat existant, puis cliquez sur Suivant. Cliquez sur Parcourir pour saisir le chemin du certificat. Saisissez le mot de passe associé au certificat.
REMARQUE : Par défaut, le certificat expire dans dix ans. 12 Pour Server Encryption, vous avez le choix entre différents types de certificats numériques. Il est vivement recommandé d'utiliser un certificat numérique provenant d'une autorité de certification fiable. Sélectionnez l'option « a » ou « b » ci-dessous : a Pour utiliser un certificat existant acheté auprès d'une autorité de certification, sélectionnez Importer un certificat existant, puis cliquez sur Suivant.
Une fois que vous avez terminé, cliquez sur OK. • 14 Pour afficher ou modifier les ports, cliquez sur Modifier les ports. Modifier les ports uniquement si nécessaire. Dell recommande l'utilisation des paramètres par défaut. Une fois que vous avez terminé, cliquez sur OK. Pour créer une nouvelle base de données, procédez comme suit : a Cliquez sur Parcourir pour sélectionner le serveur sur lequel installer la base de données.
15 Sélectionnez la méthode d'authentification correspondant au produit à utiliser. Cette étape connecte un compte au produit. • Authentification Windows Sélectionnez Authentification Windows à l'aide des informations d'identification ci-dessous, entrez les informations d'identification du produit à utiliser, puis cliquez sur Suivant. Assurez-vous que le compte dispose de droits d'administrateur sur le système et de la possibilité de gérer le serveur SQL.
Installer le serveur frontal avec une base de données existante REMARQUE : Si vous disposez d'un serveur Dell Server v9.2 ou version ultérieure fonctionnel, reportez-vous aux instructions disponibles dans Mettre à niveau/Migrer un serveur principal. Vous pouvez installer un nouveau serveur Security Management Server et vous connecter à une base de données SQL existante créée pendant la configuration préalable à l'installation, ou une base de données SQL existante v9.
10 Pour sélectionner un emplacement où stocker les fichiers de récupération de la configuration de sauvegarde, cliquez sur Modifier, naviguez vers le dossier de votre choix, puis cliquez sur Suivant. Dell vous recommande de sélectionner un emplacement sur un réseau distant ou un disque externe pour la sauvegarde.
Organisation Service (exemple : Sécurité) Ville État (nom complet) Pays : code de deux lettres du pays Cliquez sur Suivant. REMARQUE : Par défaut, le certificat expire dans dix ans. 12 Depuis la boîte de dialogue Configuration de l'installation du serveur principal, vous pouvez afficher ou modifier les noms d'hôte et les ports. • Pour accepter les noms d'hôte et les ports par défaut, dans la boîte de dialogue Configuration de l'installation du serveur frontal, cliquez sur Suivant.
a Lorsque le schéma de base est d'une version antérieure, sélectionnez Quitter le programme d'installation pour mettre fin cette installation. Vous devez ensuite sauvegarder la base de données. Les options suivantes DOIVENT être utilisées uniquement avec l'aide de Dell ProSupport : • l'option Migrer cette base de données vers le schéma actuel permet de récupérer une bonne base de données depuis une implémentation de serveur défectueux. Cette option utilise les fichiers de récupération dans le dossier \Bac
REMARQUE : Le service de balise est installé dans le cadre de cette installation pour prendre en charge la balise de rappel de Data Guardian, qui insère une balise de rappel dans chaque fichier protégé par Data Guardian lors de l'autorisation ou de l'application de documents Office protégés au sein de l'environnement. Ceci permet la communication entre n'importe quel périphérique à n'importe quel emplacement et le serveur front-end.
Ville État (nom complet) Pays : code de deux lettres du pays Cliquez sur Suivant. REMARQUE : Par défaut, le certificat expire dans dix ans. 11 Dans la boîte de dialogue Configuration du serveur front-end, entrez le nom d'hôte complet ou l'alias DNS du serveur back-end, sélectionnez Dell Security Management Server, puis cliquez sur Suivant. 12 Depuis la boîte de dialogue Configuration de l'installation du serveur frontal, vous pouvez afficher ou modifier les noms d'hôte et les ports.
Des privilèges de propriétaire de base de données sur la base de données SQL doivent être associés au compte d'utilisateur à partir duquel l'installation est effectuée. Si vous n'êtes pas sûr des privilèges d'accès ou de la connectivité à la base de données, avant de lancer l'installation, demandez à votre administrateur de base de données de confirmer ces privilèges.
Mettre à niveau/Migrer un serveur principal 1 Sur le support d'installation Dell, accédez au répertoire Security Management Server. Décompressez (SANS copier/coller ou glisser/ déposer) Security Management Server-x64 dans le répertoire racine du serveur où vous comptez installer Security Management Server. Les opérations de copier/coller ou glisser/déposer produisent des erreurs et empêchent l'installation. 2 Double-cliquez sur setup.exe. 3 Sélectionnez la langue de l'installation, puis cliquez sur OK.
Pour vous connecter à la base de dialogue existante, spécifiez la méthode d'authentification à utiliser. Après l'installation, le produit installé n'utilise pas les données d'identification spécifiées ici.
Si vous ne connaissez pas le mot de passe, coupez et collez la section similaire à la section de la figure 4-2, du fichier sauvegardé sauvegardé \conf\server_config.xml file vers la section correspondante dans le nouveau fichier server_config.xml. Mot de passe inconnu Enregistrez le fichier, puis fermez-le. REMARQUE : N'essayez pas de changer le mot de passe de Security Management Server en modifiant la valeur server.pass dans le fichier server_config.
5 Dans la boîte de dialogue Accueil, cliquez sur Suivant. 6 Lisez le contrat de licence, acceptez-en les termes, puis cliquez sur Suivant. 7 Dans la boîte de dialogue Prêt à installer le programme, cliquez sur Installer. Une boîte de dialogue d'avancement affiche le statut pendant le processus d'installation. 8 Une fois l'installation terminée, cliquez sur Terminer. 9 Définissez le serveur principal pour communiquer avec le serveur avant. a b c Sur le serveur principal, allez à
Paramètres AIRGAP=1 : cette valeur doit être définie sur « 1 » pour installer Security Management Server en mode Déconnecté. SSL_TYPE=n : où n est défini sur 1 pour importer un certificat existant acheté auprès d'une autorité de certification et sur 2 pour créer un certificat auto-signé. La valeur SSL_TYPE détermine les propriétés SSL requises.
Paramètres REMARQUE : Le programme d'installation doit s'authentifier auprès du serveur SQL avec ces permissions : création d'une base de données, ajout d'utilisateur, attribution de permissions. Les informations d'identification sont définies au moment de l'installation, et non au moment de l'exécution. Les éléments suivants sont requis pour l'authentification SQL : IS_SQLSERVER_USERNAME IS_SQLSERVER_PASSWORD EE_SQLSERVER_AUTHENTICATION : obligatoire.
Paramètres SERVERPORT_CLIENTAUTH : facultatif. REPORTERPORT : facultatif. DEVICEPORT : facultatif. KEYSERVERPORT : facultatif. GKPORT : facultatif. TIGAPORT : facultatif. SMTP_PORT : facultatif. ACTIVEMQ_TCP : facultatif. ACTIVEMQ_STOMP : facultatif. Installation de Security Management Server en mode Déconnecté Dans l'exemple suivant, Security Management Server est installé en mode silencieux avec une boîte de dialogue de progression, à l'aide des paramètres d'installation indiqués dans le fichier C:\myset
5 Configuration postérieure à l'installation Lisez le document Conseils techniques concernant Security Management Server pour connaître les solutions palliatives ou les problèmes connus relatifs à la configuration de Security Management Server. Que vous installiez Security Management Server pour la première fois ou que vous mettiez à niveau une installation existante, certains composants de votre environnement doivent être configurés.
• Importer un certificat Dell Manager. • Importer un certificat d'identité • Configuration des paramètres de certificat SSL du serveur • Configurer les paramètres SMTP pour Data Guardian ou les services de messagerie • Changer le nom de la base de données, l'emplacement, ou les informations d'identification • Migrer la base de données Les services Dell Core Server et Compatibility Server ne peuvent pas s'exécuter en même temps que l'outil de configuration serveur.
Dell Manager : • Insérez le certificat de signature « Root Agency » (à partir du certificat auto-signé généré) dans la rubrique « Autorités de certification racines d'approbation » du poste de travail (pour l'« ordinateur local ») dans le magasin de clés Microsoft. • Modifiez le comportement de la validation SSL du côté serveur. Pour désactiver la validation d'approbation SSL du côté serveur, sélectionnez Désactiver la vérification de la chaîne d'approbation dans l'onglet Paramètres.
Cliquez sur Terminer lorsque vous avez terminé. • Générer un certificat auto-signé : les informations du certificat auto-signé qui a été créé lors de l'installation de Security Management Server sont utilisées, si disponibles. Si vous sélectionnez cette option, la fenêtre Certificat de sécurité des messages ne s'affiche pas (la fenêtre ne s'affiche que si vous sélectionnez l'option Utiliser les paramètres actuels) et que le certificat créé pour Compatibility Server est utilisé.
7 Cliquez sur Fermer. 8 Cliquez sur OK. 9 Dans le dossier Racine de la console, développez Certificats (Ordinateur local). 10 Accédez au dossier Personnel et localisez le certificat voulu. 11 Mettez en surbrillance le certificat voulu, puis, avec le bouton droit de la souris, cliquez sur Toutes les tâches > Exporter. 12 Lorsque l'assistant d'exportation de certificat démarre, cliquez sur Suivant. 13 Sélectionnez Oui, exporter la clé privée et cliquez sur Suivant.
Configuration des paramètres de certificat SSL du serveur Dans Server Configuration Tool, cliquez sur l'onglet Paramètres. Dell Manager : Pour désactiver la validation d'approbation SSL de Dell Manager côté serveur, sélectionnez Désactiver la vérification de la chaîne d'approbation. SCEP : Si vous utilisez Mobile Edition, saisissez l'URL du serveur hébergeant le protocole SCEP. REMARQUE : À partir de la version 9.8, Mobile Edition n'est plus pris en charge.
Changer le nom de la base de données, l'emplacement, ou les informations d'identification Dans l'outil de configuration de serveur, cliquez sur l'onglet Base de données. 1 Dans Nom du serveur, entrez le nom de domaine complet (s'il existe un nom d'instance, incluez-le) du serveur hébergeant la base de données. Par exemple, SQLTest.domaine.com\DellDB. Dell vous recommande d'utiliser un nom de domaine complet bien que vous puissiez utiliser une adresse IP. 2 Dans Port du serveur, entrez le numéro de port.
1 Si vous n'avez pas encore effectué de sauvegarde de votre base de données Dell Server existante, faites-le maintenant. 2 Dans le menu supérieur, sélectionnez Actions > Migration de la base de données. L'Assistant Configuration se lance. 3 Dans la fenêtre Migration de la base de données Enterprise, un avertissement s'affiche. Confirmez soit que vous avez sauvegardé la totalité de la base de données, soit que la sauvegarde de votre base de données actuelle n'est pas nécessaire. Cliquez sur Suivant.
6 Tâches administratives Assigner le rôle d'administrateur Dell 1 En tant qu'administrateur de Security Management Server Virtual, connectez-vous à la console de gestion à l'adresse suivante : https://server.domain.com:8443/webui/. Les références par défaut sont superadmin/changeit. 2 Dans le volet de gauche, cliquez sur Populations > Domaines. 3 Cliquez sur un domaine auquel vous souhaitez ajouter un utilisateur. 4 Sur la page Détails du domaine, cliquez sur l'onglet Membres.
Pour les valider après l'installation ou plus tard après la sauvegarde des modifications de règles, procédez comme suit : 1 Dans le volet de gauche, cliquez sur Gestion > Valider. 2 Dans le champ Commentaire, entrez une description de la modification. 3 Cliquez sur Valider les règles. Configurer Dell Compliance Reporter 1 Dans le volet de gauche, cliquez sur Compliance Reporter. 2 Lorsque Dell Compliance Reporter démarre, connectez-vous à l'aide des identifiants par défaut superadmin/changeit.
Dell recommande d'appliquer les meilleures pratiques pour les base de données PostgreSQL et d'inclure le logiciel Dell dans le programme de reprise après sinistre de votre société.
7 Ports Le tableau suivant décrit chaque composant et sa fonction. Nom Port par défaut Description Rapporteur de conformité HTTP(S)/ Fournit un aperçu complet de l'environnement d'audit et de génération de rapports de conformité. 8084 Console de gestion HTTP(S)/ 8443 Core Server HTTPS/ 8888 Device Server HTTPS/ 8081 Console de gestion et centre de commande pour le déploiement à toute l'entreprise.
Nom Port par défaut Description Proxy de stratégie TCP/ Fournit un chemin de communication réseau pour les mises à jour de l'inventaire et des règles de sécurité. 8000 LDAP TCP/ 389/636 (contrôleur de domaine local), 3268/3269 (catalogue global) TCP/ 135/49125+ (RPC) Base de données Microsoft SQL TCP/ 1433 Authentification client HTTPS/ 8449 Balise de rappel 48 Ports Port 389 : ce port est utilisé pour la demande d'informations auprès du contrôleur de domaine local.
8 Meilleures pratiques SQL Server La liste suivante explique les meilleures pratiques relatives à SQL Server, qui doivent être mises en œuvre lorsque la sécurité Dell est installée et si elles ne sont pas encore mises en œuvre. 1 Assurez-vous que la taille de blocs NTFS où résident le fichier de données et le fichier journal est de 64 Ko. Les extensions SQL Server (unité de base de stockage SQL) sont de 64 Ko.
9 Certificats Ce chapitre explique comment obtenir les certificats permettant d'utiliser Security Management Server. Pour plus d'informations sur la façon de configurer l'authentification avec carte à puce, voir http://www.dell.com/support/article/us/en/19/ sln303783/dell-data-protection-sed-management-smartcard-setup-guide?lang=en. Pour plus d'informations sur la configuration minimum requise pour demander des certificats SSL/TLS à des fins d'utilisation par le serveur Dell Data Security, voirhttp://www.
REMARQUE : Faites une copie de sauvegarde des fichiers de configuration avant de les modifier. Modifiez uniquement les paramètres spécifiés. Vous risquez de corrompre ou d'endommager le système si vous modifiez les autres données contenues dans ces fichiers, notamment les balises. Dell ne garantit pas que les problèmes résultant de modifications non autorisées de ces fichiers puissent être résolus sans procéder à une réinstallation de Security Management Server.
2 Suivez votre processus organisationnel pour l'acquisition d'un certificat de serveur SSL auprès d'une autorité de certification. Envoyer le contenu de pour la signature. REMARQUE : Il existe plusieurs méthodes de demande d'un certificat valide. Un exemple de méthode est figure dansExemple de méthode pour demander un certificat. 3 Lorsque le certificat signé est reçu, enregistrez-le dans un fichier.
5 Collez le contenu de la demande CSR dans la zone de texte. Sélectionnez un modèle de certificat de serveur Web et cliquez sur Envoyer. Envoyer une requête enregistrée 6 Enregistrez le certificat. Sélectionnez encodage DER et cliquez sur Télécharger le certificat de l'autorité de certification. Télécharger le certificat CA 7 Enregistrez le certificat. Sélectionnez encodage DER et cliquez sur Télécharger le chemin de certification de l'autorité de certification.
16 Cliquez sur Parcourir pour accéder à l'emplacement où vous souhaitez enregistrer le fichier. 17 Dans Nom de fichier, entrez un nom d'enregistrement du fichier. Cliquez sur Enregistrer. 18 Cliquez sur Suivant. 19 Cliquez sur Terminer. Un message indiquant que l'exportation a réussi s'affiche. Fermez le MMC. Ajouter un certificat de signature approuvé à Security Server quand un certificat non approuvé a été utilisé pour SSL 1 Arrêtez le service Security Server, s'il est exécuté.