Dell Security Management Server Installation and Migration Guide v10.2.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その問題を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2012-2019 Dell Inc. 無断転載を禁じます。Dell、EMC、およびその他の商標は、Dell Inc. またはその子会社の商標です。その他の 商標は、それぞれの所有者の商標である場合があります。 Dell Encryption、Endpoint Security Suite Enterprise、および Data Guardian のスイートのドキュメントに使用されている登録商標およ び商標(Dell™、Dell のロゴ、Dell Precision™、OptiPlex™、ControlVault™、Latitude™、XPS®、および KACE™)は、Dell Inc. の商標 です。Cylance®、CylancePROTECT、および Cylance のロゴは、米国およびその他の国における Cylance, Inc.
Contents 1 はじめに........................................................................................................................................................ 5 Security Management Server について.........................................................................................................................5 Dell ProSupport へのお問い合わせ................................................................................................................................5 2 要件およびアーキテクチャ....................
ポリシーのコミット.......................................................................................................................................................43 Dell Compliance Reporter の設定..................................................................................................................................44 バックアップの実行......................................................................................................................................................
1 はじめに Security Management Server について Security Management Server の機能は、次のとおりです。 • デバイス、ユーザー、セキュリティポリシーの一元管理 • 一元的なコンプライアンス監査とレポート • 管理者職務の分割 • 役割ベースのセキュリティポリシーの作成と管理 • クライアント接続時のセキュリティポリシー配布 • 管理者がサポートするデバイス復元 • コンポーネント間での通信のための信頼済みパス • 固有暗号化キーの生成および自動かつセキュアなキーエスクロー Dell ProSupport へのお問い合わせ デル製品向けの 24 時間 365 日対応電話サポート(877-459-7304、内線 4310039)にご連絡ください。 さらに、デル製品のオンラインサポートも dell.
2 要件およびアーキテクチャ この項では、Dell Security Management Server を実装する場合のハードウェアおよびソフトウェア要件、および推奨するアーキテクチャ設計について、 詳細を説明します。 Security Management Server のアーキテクチャの設計 Dell Encryption、Endpoint Security Suite Enterprise、および Data Guardian の各ソリューションは非常に拡張性の高い製品で、組織内の暗号化を 目的としたエンドポイントの数に基づいて拡張可能です。 アーキテクチャコンポーネント 以下に、ほとんどの環境に適した推奨ハードウェア構成を示します。 Security Management Server • オペレーティング システム:Windows Server 2012 R2(Standard、Datacenter 64 ビット)、Windows Server 2016(Standard、Datacenter 64 ビット)、Windows Server 2019(Standard、Datacenter) •
メモ: 組織に 20,000 を超えるエンドポイントがある場合は、Dell ProSupport に問い合わせてサポートを受けてください。 要件 Security Management Server ソフトウェアをインストールするためのハードウェアおよびソフトウェアの前提条件は、次のとおりです。 インストールを開始する前に、すべてのパッチとアップデートがインストールに使用されるサーバーに適用されていることを確認します。 要件およびアーキテクチャ 7
Hardware The following table details the minimum hardware requirements for Security Management Server see Security Management Server Architecture Design for additional information about scaling based on the size of your deployment. Hardware Requirements Processor Modern Quad-Core CPU (1.
Hyper-V Server installed as a Full or Core installation or as a role in Windows Server 2012, Windows Server 2016, or Windows Server 2019. • Hyper-V Server – 64-bit x86 CPU required – Host computer with at least two cores – 8 GB RAM minimum recommended – Hardware must conform to minimum Hyper-V requirements – 4 GB minimum RAM for dedicated image resource – Must be run as a Generation 1 Virtual Machine – See https://technet.microsoft.com/en-us/library/hh923062.
Database maintenance tasks should include rebuilding database indexes and collecting statistics. ソフトウェア 次の表に、Security Management Server とプロキシサーバのソフトウェア要件の詳細を示します。 メモ: Security Management Server が保持するデータは機密性が高いため、また、最小権限ルールに合わせるために、Security Management Server を専用のオペレーティングシステムにインストールするか、ロールと権限が制限されたアプリケーションサーバの一部として インストールして、安全な環境を確保することをお勧めします。たとえば、Security Management Server を特権インフラストラクチャサーバに インストールしないでください。最小権限ルールの実装の詳細については、「https://docs.microsoft.
LDAP リポジトリ • • • Active Directory 2008 R2 Active Directory 2012 R2 Active Directory 2016 管理コンソールおよび Compliance Reporter • Internet Explorer 11.x 以降 • Mozilla Firefox 41.x 以降 • Google Chrome 46.
タイプ アクション シナリオ 必要な SQL 特権 プロキシのフロントエンド 任意 該当なし 該当なし メモ: ユーザーアカウント制御(UAC)が有効になっている場合、C:\Program Files にインストールする際は、Windows Server 2012 R2 にイ ンストールする前に UAC を無効にしておく必要があります。変更を有効にするためにはサーバーを再起動する必要があります。 インストール中にデータベースを設定するために Windows または SQL 認証資格情報が必要です。使用された認証資格情報の種類にかかわらず、ア カウントには処置を実行するための適切な権限が必要です。上の表には、インストールのタイプ別に必要な権限が記載されています。また、データベース の作成およびセットアップに使用するアカウントでは、デフォルトスキーマを dbo に設定する必要があります。 こうした権限は、インストール時にデータベースをセットアップするためにのみ必要になります。Security Management Server がインストールされると、SQL アクセスの管理に使用するアカウントは
3 インストール前の設定 作業を開始する前に、Security Management Server に関連する最新の回避策または既知の問題について Security Management Server テクニカ ルアドバイザリーをお読みください。 Security Management Server をインストールするサーバのインストール前の設定は非常に重要です。Security Management Server を円滑にインス トールするためにこの項を特に注意してお読みください。 設定 1 有効な場合は、Internet Explorer セキュリティ強化の構成(ESC)を無効にします。ブラウザのセキュリティオプションで、デルサーバの URL を信頼 済みサイトに追加します。サーバーを再起動します。 2 各コンポーネントの次のポートを開きます。 内部: Active Directory 通信:TCP/389 電子メール通信(オプション):25 対フロントエンド(必要な場合): 外部ポリシープロキシからメッセージブローカへの通信:STOMP/61613 バックエンドセキュリティサーバへの通信:HTT
デバイスサーバ:HTTP(S)/8443(Security Management Server v7.7 以降)または HTTP(S)/8081(v7.
7 新規インストールの場合-プロダクトキー(ファイルの名前は EnterpriseServerInstallKey.ini)を C:\Windows にコピーして、Security Management Server インストーラで 32 文字のプロダクトキーが自動的に入力されるようにします。 サーバーのインストール前の設定が完了しました。「インストールまたはアップグレード / 移行」に進みます。 インストール前の設定 15
4 インストールまたはアップグレード / 移行 本章では、次の操作に対する手順を説明します。 • 新規インストール - 新しい Security Management Server をインストールします。 • アップグレード / 移行 - 既存の Enterprise Server v9.
フロントエンドサーバをインストールする場合は、バックエンドサーバのインストールを行ってからこのインストールを実行します。 • フロントエンドサーバのインストール - バックエンドサーバと通信するようにフロントエンドサーバをインストールします。 バックエンドサーバーと新規データベースのインストール 1 Dell インストールメディアで、Security Management Server ディレクトリに移動します。Security Management Server-x64 を、Security Management Server をインストールするサーバのルートディレクトリに解凍(コピー / 貼り付けまたはドラッグ / ドロップではなく)します。コピー / 貼 り付けまたはドラッグ / ドロップを行うと、エラーが発生し、インストールは失敗します。 2 setup.
参照 をクリックして、証明書のパスを入力します。 この証明書に関連付けられているパスワードを入力します。キーストアファイルは .p12 または pfx である必要があります。手順については、 「証明書管理コンソールを使用した証明書の .PFX へのエクスポート」を参照してください。 次へ をクリックします。 メモ: この設定を使用するには、インポートされるエクスポート済み CA 証明書に完全な信頼チェーンがある必要があります。不明 な場合は、CA 証明書を再エクスポートし、「証明書のエクスポートウィザード」で次のオプションが選択されていることを確認し ます。 b • Personal Information Exchange - PKCS#12(.
メモ: この設定を使用するには、インポートされるエクスポート済み CA 証明書に完全な信頼チェーンがある必要があります。不明 な場合は、CA 証明書を再エクスポートし、「証明書のエクスポートウィザード」で次のオプションが選択されていることを確認し ます。 b • Personal Information Exchange - PKCS#12(.PFX) • 可能な場合は証明書パスにすべての証明書を含める • すべての拡張プロパティをエクスポートする または 自己署名証明書を作成する場合は、自己署名証明書を作成してキーストアにインポートする を選択して 次へ をクリックします。 自己署名証明書の作成 ダイアログで、次の情報を入力します。 完全修飾コンピュータ名(例:computername.domain.
または • 以下の資格情報を使った SQL server 認証 SQL 認証を使用する場合、使用する SQL アカウントには SQL サーバーに対するシステム管理者権限が必要です。 c d e 15 インストーラは、データベースの作成、ユーザーの追加、およびアクセス権限の割り当ての許可を持つ SQL サーバーに認証する必要があ ります。 データベースカタログを指定します。 新規データベースカタログの名前を入力します。次に表示されるダイアログで、新規カタログの作成を促すプロンプトが表示されます。 次へ をクリックします。 はい をクリックして、インストーラにデータベースを作成させることを確認します。前の画面に戻って設定を変更するには、いいえ をクリックしま す。 製品が使用するための認証メソッドを選択します。このステップによりアカウントと製品が関連付けられます。 • Windows 認証 以下の資格情報を使用した Windows 認証 を選択し、製品が使用する資格情報を入力してから、次へ をクリックします。 アカウントではシステム管理者権限があること、SQL サーバーを管理することができることを確認し
または • SQL Server 認証 以下の資格情報を使用した SQL サーバ認証 を選択し、Dell サービスが Security Management Server で動作する際に使用する SQL サ ーバ資格情報を入力して、次へ をクリックします。 ユーザーアカウントには、SQL Server 許可のデフォルトスキーマ: dbo およびデータベース役割メンバーシップ: db_owner を public にする必 要があります。 16 プログラムインストールの準備完了 ダイアログで、インストール をクリックします。 ステータスは、インストールプロセスの全体を通して進捗状況ダイアログに表示されます。 17 インストールが完了したら、終了 をクリックします。 これでバックエンドサーバーインストールタスクは完了です。 Dell サービスはインストール終了時に再起動されます。デルサーバを再起動する必要はありません。 既存データベースでのバックエンドサーバーのインストール メモ: デルサーバ v9.
インストールの実行元のユーザーアカウントには、SQL データベース用のデータベース所有者権限が必要です。アクセス権限の有無またはデータベースへ のアクセス可否について不明な場合は、インストールを開始する前に、データベース管理者に問い合わせて確認してください。 既存のデータベースが Security Management Server で事前にインストールされている場合は、インストールを開始する前に、データベース、設定ファイ ルおよび secretKeyStore がバックアップされていること、Security Management Server をインストールするサーバからアクセス可能であることを確認しま す。これらのファイルは、Security Management Server および既存のデータベースを設定するときに必要になります。インストール中、インストーラによっ て作成されたフォルダの構造(例は下記参照)は変更しないでください。 1 Dell インストールメディアで、Security Management Server ディレクトリに移動します。Security Management Serve
11 使用するデジタル証明書のタイプを選択することができます。デジタル証明書は信頼のおける証明書認証局からのものを使用することが強く推 奨されます。 以下のオプション「a」または「b」を選択します。 a CA 機関から購入された既存の証明書を使用するには、既存証明書のインポート を選択し、次へ をクリックします。 参照 をクリックして、証明書のパスを入力します。 この証明書に関連付けられているパスワードを入力します。キーストアファイルは .p12 または pfx である必要があります。手順については、 「証明書管理コンソールを使用した証明書の .PFX へのエクスポート」を参照してください。 次へ をクリックします。 メモ: この設定を使用するには、インポートされるエクスポート済み CA 証明書に完全な信頼チェーンがある必要があります。不明 な場合は、CA 証明書を再エクスポートし、「証明書のエクスポートウィザード」で次のオプションが選択されていることを確認し ます。 b • Personal Information Exchange - PKCS#12(.
メモ: デフォルトでは、証明書は 10 年で期限切れになります。 12 バックエンドサーバインストール設定 ダイアログから、ホスト名とポートを表示または編集できます。 • デフォルトのホスト名とポートを使用する場合は、バックエンドサーバインストール設定 ダイアログで、次へ をクリックします。 • フロントエンドサーバを使用している場合は、ネットワークのクライアントとの内部通信、または DMZ のクライアントとの外部通信のために、 フロントエンドと連携 を選択し、フロントエンドのセキュリティサーバのホスト名を入力します(server.domain.
• c 15 インストールを終了するには、インストーラを終了して、このインストールを終了する を選択します。 次へ をクリックします。 製品が使用するための認証メソッドを選択します。これは、製品がデータベースおよび Dell サービスで作業するために使用するアカウントです。 • Windows 認証の使用 以下の資格情報を使用した Windows 認証 を選択し、製品が使用するアカウントの資格情報を入力してから、次へ をクリックします。 アカウントではシステム管理者権限があること、SQL サーバーを管理することができることを確認してください。ユーザーアカウントには、SQL Server 許可のデフォルトスキーマ: dbo およびデータベース役割メンバーシップ: db_owner を public にする必要があります。 または • SQL Server 認証の使用 以下の資格情報を使った SQL Server 認証 を選択し、SQL Server 資格情報を入力してから 次へ をクリックします。 ユーザーアカウントには、SQL Server 許可のデフォルトスキーマ: dbo およびデータベース役
9 フロントエンドサーバをデフォルトの C:\Program Files\Dell にインストールする場合は、次へ をクリックします。それ以外の場所にインストールする場 合は、変更 をクリックして別の場所を選択し、次へ をクリックします。 10 使用するデジタル証明書のタイプを選択することができます。 メモ: デジタル証明書は信頼のおける証明書認証局からのものを使用することが強く推奨されます。 以下のオプション「a」または「b」を選択します。 a CA 機関から購入された既存の証明書を使用するには、既存証明書のインポート を選択し、次へ をクリックします。 参照 をクリックして、証明書のパスを入力します。 この証明書に関連付けられているパスワードを入力します。キーストアファイルは .p12 または pfx である必要があります。手順については、 「証明書管理コンソールを使用した証明書の .
• ポートを表示または編集する場合は、フロントエンドサーバセットアップ ダイアログで 外向きポートの編集、または 内部接続ポートの編集 のい ずれかをクリックします。必要に応じて、ポートを編集します。Dell はデフォルトの使用を推奨します。 フロントエンドのホスト名の編集 ダイアログでプロキシの選択を解除すると、そのポートは 外部ポート または 内部ポート ダイアログには表示され ません。 終了したら、OK をクリックします。 13 プログラムインストールの準備完了 ダイアログで、インストール をクリックします。 14 インストールが完了したら、終了 をクリックします。 ステータスは、インストールプロセスの全体を通して進捗状況ダイアログに表示されます。 これでフロントエンドサーバーインストールタスクは完了です。 アップグレード / 移行 Enterprise Server v9.2 以降を Security Management Server v10.x にアップグレードできます。Dell Server のバージョンが v9.2 より前の場合は、まず v9.
一般的に推奨されるアップグレードパスは Security Management Server およびそのコンポーネントをアップグレード / 移行し、次に Client をインストー ル / アップグレードすることです。 ポリシーの変更の適用 1 管理コンソールに Dell 管理者としてログインします。 2 左側のメニューで、管理 > コミット をクリックします。 3 コメント に変更内容を入力します。 4 ポリシーのコミット をクリックします。 5 コミットが完了したら、管理コンソールからログオフします。 すべての Dell サービスが実行されていることを確認します。 6 Windows の スタート メニューから、スタート > ファイル名を指定して実行 をクリックします。services.
デルでは、バックアップの場所にリモートネットワークの場所または外部のドライブを選択することを推奨します。 インストール中、インストーラによって作成されたフォルダの構造(例は下記参照)は変更しないでください。 7 インストーラが的確に既存のデータベースを検出すると、ダイアログは自動入力されます。 既存のデータベースに接続するには、使用する認証メソッドを指定します。製品がインストールされた後は、ここで指定された資格情報を使用しま せん。 a データベースの認証タイプを選択します。 • 現在のユーザーの Windows 認証資格情報 Windows 認証を選択すると、Windows へのログイン時に使用されたのと同じ資格情報が認証に使用されます(ユーザー名 フィールドと パスワード フィールドは編集できなくなります)。 アカウントではシステム管理者権限があること、SQL サーバーを管理することができることを確認してください。ユーザーアカウントには、 SQL Server 許可のデフォルトスキーマ: dbo およびデータベース役割メンバーシップ: db_owner を public にする必要があります。 ま
Dell サービスは移行終了時に再起動されます。Dell Server を再起動する必要はありません。 インストーラは手順 12~13 を自動的に実行します。これらの値に注目して変更が適切に行われたかを確認することが重要です。 12 バックアップされたインストールで、\conf\secretKeyStore を新しいインストールにコピー / 貼り付けします。 \conf\secretKeyStore に貼り付けます。 13 新しいインストールで、\conf\server_config.xml を開き、次のように、server.pass 値を、バックアップした \conf\server_config.xml の値に置き換えます。 server.pass に関する手順: パスワードがわかっている場合は、server_config.
これでバックエンドサーバの移行タスクは完了です。 フロントエンドサーバーのアップグレード / 移行 メモ: v9.
オプション 意味 /qn ユーザーインタフェースなし 次の表は、インストールで使用できるパラメータの詳細です。これらのパラメータは、コマンドラインで指定することもできますし、プロパティを使用してファイ ルから呼び出すこともできます。 INSTALL_VALUES_FILE=\"\" " パラメータ AGREE_TO_LICENSE=Yes - この値は「Yes」である必要があります。 PRODUCT_SN=xxxxx - 標準的な場所にライセンス情報を持っている場合は任意です。そうでない場合はこちらに入力します。 INSTALLDIR= - オプション。 BACKUPDIR= - ここにリカバリファイルが保存されます。 メモ: このインストール中にインストーラによって作成されたフォルダの構造(例は下記参照)は変更しないでください。 AIRGAP=1 - 切断モードで Security Management Server をインストールするには、この値を「1」にする必要があります。 SSL_TYPE=n - n が 1 の場合は CA 機関から購入した既存の
パラメータ SSOS_UNITNAME SSOS_COUNTRY - オプション、デフォルト = "US" SSOS_STATENAME DISPLAY_SQLSERVER - この値は SQL Server インスタンスとポート情報を取得するために解析されます。 例: DISPLAY_SQLSERVER=SQL_server\Server_instance, port IS_AUTO_CREATE_SQLSERVER=FALSE - オプション。デフォルト値はデータベースが作成されていないことを意味する FALSE です。データベースは サーバ上にすでに存在している必要があります。 新しいデータベースを作成するには、この値を TRUE に設定します。 IS_SQLSERVER_AUTHENTICATION=0 - オプション。デフォルト値は 0 で、現在ログインしているユーザーの Windows 認証用資格情報を SQL サ ーバの認証に使用するように指定します。SQL 認証を使用するには、この値を 1 に設定します。 メモ: インストーラは、データベースの作成、ユーザーの追加、およびアクセス権限の割り当て
パラメータ REPORTERHOST - オプション。Compliance Reporter ホスト名。 DEVICEHOST - オプション。Device Server ホスト名。 KEYSERVERHOST - オプション。Key Server ホスト名。 TIGAHOST - オプション。Security Server ホスト名。 SMTP_HOST - オプション。SMTP ホスト名。 ACTIVEMQHOST - オプション。Message Broker ホスト名。 以下はポートのパラメータです。必要に応じて、ポートを編集します。デルはデフォルトの使用を推奨します SERVERPORT_CLIENTAUTH - オプション。 REPORTERPORT - オプション。 DEVICEPORT - オプション。 KEYSERVERPORT - オプション。 GKPORT - オプション。 TIGAPORT - オプション。 SMTP_PORT - オプション。 ACTIVEMQ_TCP - オプション。 ACTIVEMQ_STOMP - オプション。 切断モードでの Security Manageme
5 インストール後の設定 Security Management Server の設定に関連する最新の回避策や既知の問題については、『Security Management Server Technical Advisories』 (Security Management Server テクニカル アドバイザリー)をお読みください。 Security Management Server を初めてインストールするのか、既存のインストールをアップグレードするのかによって、環境のいくつかのコンポーネントを 設定する必要があります。 Security Management Server のインストール後に、次のデフォルトを変更する必要があります。 • 次の場所にあるバック エンド サーバーのパスワードを変更します。 C:\Program Files\Dell\Enterprise Edition\Message Broker\conf\application.properties • 次の場所にある環境内のすべてのフロント エンド サーバーのパスワードを変更します。 C:\Program Files\DELL\
• Dell Manager 証明書のインポート • ID 証明書のインポート • サーバ SSL 証明書の設定 • Data Guardian または電子メールサービスの SMTP の設定 • データベース名、場所、または資格情報の変更 • データベースの移行 Dell Core Server および Compatibility Server をサーバ設定ツールと同時に実行することはできません。Core Server サービスおよび Compatibility Server サービスを サービス 画面で停止します(スタート > 実行 をクリックし、Services.msc と入力)。その後に、サーバ設定ツールを起動します。 サーバ設定ツールを起動するには、スタート > Dell > サーバ設定ツールの実行 の順に選択します。 サーバ設定ツールのログは、C:\Program Files\Dell\Enterprise Edition\Server Configuration Tool\Logs に保存されます。 新規またはアップデートされた証明書の追加 証明書は、自己署名証明書または署
証明書の作成方法には、高速 と 詳細 の 2 つがあります。 いずれか ひとつ の方法を選択します。 • 高速 – すべてのコンポーネントに対して自己署名付き証明書を生成する場合はこの方法を選択します。これは最も簡単な方法ですが、自己署名 証明書は、パイロットや POC などにのみ適しています。実稼働環境では、デルは、パブリック CA 署名付き証明書またはドメイン署名付き証明書を 推奨します。 • 詳細 – 各コンポーネントを個別に設定する場合はこの方法を選択します。 高速 1 最上部のメニューから、アクション > 証明書の設定 を選択します。 2 設定ウィザードが起動されたら、高速 を選択し、次へ をクリックします。利用できる場合は、Security Management Server のインストール時に作 成された自己署名証明書の情報が使用されます。 3 最上部のメニューから 設定 > 保存 を選択します。プロンプトが表示されたら、保存を確定します。 証明書のセットアップが完了しました。本項の残りの部分では、証明書の詳細な作成方法について詳しく説明します。 詳細 証明書を作成するには、
完全修飾コンピュータ名が正しいことを確認します。次へ をクリックします。 同じ名前の証明書がすでにあることを示す警告メッセージが表示されます。使用するかどうかを尋ねるメッセージが表示されたら、はい をクリック します。 完了したら、終了 をクリックします。 • 現在の設定の使用 - 証明書の設定を Security Management Server の初期構成後に随時変更する場合にこのオプションを選択します。 このオプションでは、すでに設定済みの証明書はそのまま残ります。このオプションを選択すると、メッセージセキュリティ証明書 ウィンドウに進みま す。 メッセージセキュリティ証明書 ウィンドウで、次のいずれかひとつを選択します。 – 証明書の選択 - 既存の証明書を使用する場合はこのオプションを選択します。次へ をクリックします。 既存の証明書の場所を参照して、既存の証明書に関連付けられているパスワードを入力し、次へ をクリックします。 完了したら、終了 をクリックします。 – 自己署名証明書の生成 - 利用できる場合は、Security Management Server のインストール時に作成さ
11 目的の証明書をハイライトし、全てのタスク > エクスポート を右クリックします。 12 証明書のエクスポートウィザードが開いたら、次へ をクリックします。 13 はい、秘密キーをエクスポートします を選択し、次へ をクリックします。 14 Personal Information Exchange - PKCS #12(.
サーバサイドの Dell Manager SSL 信頼検証を無効にするには、信頼チェーンチェックの無効化 を選択します。 SCEP: Mobile Edition を使用している場合は、SCEP をホスティングするサーバの URL を入力します。 メモ: v9.8 では、Mobile Edition はサポートされなくなりました。 変更が完了したら、次の手順に従います。 1 最上部のメニューから 設定 > 保存 を選択します。プロンプトが表示されたら、保存を確定します。 2 Dell Server 設定ツールを閉じます。 3 スタート > ファイル名を指定して実行 をクリックします。services.
2 サーバポート に、ポート番号を入力します。 デフォルト以外の SQL Server インスタンスを使用する場合は、ポート: にインスタンスの動的ポートを指定してください。その代替として、SQL Server Browser サービスを有効化して、UDP ポート 1434 が開放されていることを確認します。詳細については https:// msdn.microsoft.com/en-us/library/hh510203(v=sql.120).
移行が完了したら、以下の操作を実行します。 1 最上部のメニューから 設定 > 保存 を選択します。プロンプトが表示されたら、保存を確定します。 2 Dell Server 設定ツールを閉じます。 3 スタート > ファイル名を指定して実行 をクリックします。services.
6 管理作業 Dell 管理者役割の割り当て 1 Security Management Server Virtual 管理者として、管理コンソール(https://server.domain.
ポリシーの変更を保存し、ポリシーのインストール後、またはそれ以後にポリシーをコミットするには、次の手順に従います。 1 左側のペインで、管理 > コミット をクリックします。 2 コメント に、変更内容の説明を入力します。 3 ポリシーのコミット をクリックします。 Dell Compliance Reporter の設定 1 左側のペインで、Compliance Reporter をクリックします。 2 Dell Compliance Reporter が起動されたら、デフォルトの資格情報 superadmin/changeit を使用してログインします。 バックアップの実行 災害復旧のため、夜間に作成される差分で、次の場所のバックアップが毎週作成されるようにしてください。災害復旧の計画に関する詳細については、 http://www.dell.
7 ポート 以下の表は、各コンポーネントとその機能について説明しています。 名前 デフォルトポート 説明 Compliance Reporter HTTP(S)/ 監査とコンプライアンスのレポートのために、環境の詳細ビューを提 供します。 8084 管理コンソール HTTP(S)/ 8443 Core Server HTTPS/ 8888 Device Server 企業全体での導入に対応する管理コンソールとコントロールセンタ ー。 ポリシーフロー、ライセンス、起動前認証の登録、SED Management、BitLocker Manager、Threat Protection、 Advanced Threat Prevention を管理します。Compliance Reporter および管理コンソールが使用するインベントリデータを処 理します。認証データを収集し、保管します。役割に基づいたアク セスを制御します。 HTTPS/ アクティベーションとパスワードの復元をサポートします。 8081 Security Management Server のコンポーネント Encry
名前 デフォルトポート LDAP TCP/ ポート 389 - このポートはローカルドメインコントローラからの情報の 要求に使用されます。ポート 389 に送信される LDAP 要求は、グ 389/636 (ローカ ローバルカタログのホームドメイン内にあるオブジェクトの検索にのみ ルドメインコントロー 使用できます。ただし、要求側のアプリケーションは、これらのオブジ ラ)、3268/3269 ェクトに対するすべての属性を取得できます。たとえば、ポート 389 (グローバルカタロ への要求は、ユーザーの部門を取得するために使用することができ ます。 グ) TCP/ 135/ 49125+ (RPC) Microsoft SQL データベース TCP/ 1433 クライアント認証 HTTPS/ 8449 コールバックビーコン 46 説明 ポート ポート 3268 - このポートは、特にグローバルカタログをターゲットとす るクエリ用に使用されます。ポート 3268 に送信される LDAP 要求 は、フォレスト全体でのオブジェクトの検索に使用することができま す。ただし、返されるのはグローバ
8 SQL Server ベストプラクティス 以下に、SQL Server のベストプラクティスを説明するリストを示します。ベストプラクティスをまだ実装していない場合は、Dell Security のインストール時に 実装するようにしてください。 1 データファイルおよびログファイルが格納される NTFS ブロックサイズが 64 KB になっていることを確認します。SQL Server エクステント(SQL ストレ ージの基本単位)は 64 KB です。 詳細については、Microsoft の TechNet 記事、「Understanding Pages and Extents」(ページとエクステントについて)を検索してください。 • 2 Microsoft SQL Server 2008 R2 - http://technet.microsoft.com/en-us/library/ms190969(v=sql.105).
9 証明書 この章では、Security Management Server を使用して証明書を取得する方法について説明します。 スマートカード認証を設定する方法の詳細については、「http://www.dell.com/support/article/us/en/19/sln303783/dell-data-protection-sedmanagement-smartcard-setup-guide?lang=en」を参照してください。 Dell Data Security Server で使用する SSL/TLS 証明書を要求するための最小要件については、「http://www.dell.
メモ: 設定ファイルは、編集する前にバックアップしてください。指定されたパラメータのみを変更してください。これらのファイル内のその他のデータ (タグを含む)を変更すると、システムの破損や障害が発生するおそれがあります。デルは、これらのファイルの許可されてない変更に起因 する問題が、Security Management Server の再インストールなしで解決できることを保証できません。 • キーストアのパスワード:パスワードを入力し(サポートされていない文字は <>;&” ’)、コンポーネント conf ファイル内の変数を次のように同じ値に設 定します。 \conf\eserver.properties.Set the value eserver.keystore.password = \conf\application.properties.Set the value keystore.password = \conf\appl
メモ: 有効な証明書を要求する方法は数通りあります。方法の例を、「証明書の要求方法の例」に示します。 3 署名付き証明書を受信したら、ファイルに保存します。 4 ベストプラクティスとして、インポートプロセスでエラーが発生した場合に備え、この証明書をバックアップします。このバックアップを用意しておけば、処 理をやり直す必要がなくなります。 ルート証明書のインポート ルート証明書の証明機関が Verisign(Verisign Test ではない)の場合は、この手順をスキップして次の手順に進み、署名付き証明書をインポートして ください。 証明機関のルート証明書により、署名付き証明書を認証します。 1 2 3 次のいずれかを実行します。 • 証明機関のルート証明書をダウンロードして、ファイルに保存します。 • エンタープライズディレクトリサーバーのルート証明書を取得します。 次のいずれかを実行します。 • Compliance Reporter、Security Server、Device Server に対して SSL を有効にする場合は、コンポーネントの conf ディレクトリに変更しま
6 証明書を保存します。DER エンコード を選択し、CA 証明書のダウンロード をクリックします。 CA 証明書のダウンロード 7 証明書を保存します。DER エンコード を選択し、CA 証明パスのダウンロード をクリックします。 CA 証明パスのダウンロード 8 変換された署名機関証明書をインポートします。コマンドプロンプトに戻ります。タイプ: keytool -import -trustcacerts -file -keystore cacerts 9 署名機関証明書がインポートされたので、次にサーバー証明書をインポートできます(信頼チェーンを確立できます)。タイプ: keytool -import -alias sslkey -file -keystore cacerts 自己署名証明書の別名を使用して、CSR 要求とサーバー証明書をペアにします。 10 cacerts ファイルのリストは、サーバ証明書の証明書チェーンの長さが 2 であることを示しています。これは、証明書が自己署名されていないことを 示します。タイプ: ke
SSL に非信頼証明書が使用された場合の信頼署名証明 書の Security Server への追加 1 Security Server サービスが実行されている場合は停止します。 2 \conf\ の cacerts ファイルをバックアップします。 Keytool を使用して次の手順を実行します。 3 信頼 PFX をテキストファイルに次の場所にエクスポートし、エイリアスを文書化します。 keytool -list -v -keystore " 4 PFX を \conf\ の cacerts ファイルにインポートします。 keytool -importkeystore -v -srckeystore " 5 \conf\application.properties で keystore.alias.signing の値を変更します。 keystore.alias.