Dell Security Management Server Guia de instalação e migração v10.2.
Identifier GUID-5B8DE7B7-879F-45A4-88E0-732155904029 Status Translated Notas, avisos e advertências NOTA: Uma NOTA indica informações importantes que ajudam você a usar melhor o seu produto. AVISO: Um AVISO indica possíveis danos ao hardware ou perda de dados e ensina como evitar o problema. ADVERTÊNCIA: Uma ADVERTÊNCIA indica possíveis danos à propriedade, risco de lesões corporais ou mesmo risco de vida. Identifier GUID-559E7DE2-5F31-4AF0-8A01-987470FAB58C Status Translated © 2012-2019 Dell Inc.
Índice 1 Introdução......................................................................................................................................................5 Sobre o Servidor de gerenciamento de segurança........................................................................................................ 5 Entre em contato com o Dell ProSupport.......................................................................................................................5 2 Requisitos e arquitetura...
Confirmar políticas........................................................................................................................................................... 48 Configurar o Dell Compliance Reporter.........................................................................................................................48 Realizar backups.............................................................................................................................................................
Identifier GUID-890F5A3C-8FAF-4EBE-9645-AC7F7FA53248 Status Translated 1 Introdução Identifier GUID-B7AA766C-955D-4BFB-8923-E998681F9BE4 Status Translated Sobre o Servidor de gerenciamento de segurança O Servidor de gerenciamento de segurança tem os seguintes recursos: • Gerenciamento centralizado de dispositivos, usuários e política de segurança • Auditoria e relatórios de compatibilidade centralizados • Separação de deveres administrativos • Criação e gerenciamento de política de segurança
Identifier GUID-1440D214-3AFD-4E67-B5BF-76E0532E1578 Status Translated 2 Requisitos e arquitetura Esta seção aborda detalhadamente as recomendações de design de arquitetura e os requisitos de hardware e software para a implementação do Dell Security Management Server.
Abaixo encontra-se uma implementação básica para o Dell Security Management Server. NOTA: Se a organização tiver mais de 20.000 endpoints, entre em contato com o Dell ProSupport para obter assistência.
Identifier GUID-5F7FFBAE-C886-453A-8098-B4BB5F89FB3A Status Translated Requirements Os pré-requisitos de hardware e software para instalação do software Servidor de gerenciamento de segurança estão incluídos abaixo. Antes de começar a instalação, certifique-se de que todos os patches e as atualizações estejam aplicadas nos servidores usados para a instalação.
Requisitos de hardware 20 GB de espaço livre em disco para os arquivos de log Placa de rede 10/100/1000 ou melhor Diversos Ambiente IPv4 ou IPv6 ou híbrido IPv4/IPv6 necessário Virtualização O Servidor de gerenciamento de segurança pode ser instalado em um ambiente virtual. Apenas os ambientes a seguir são recomendados. O Servidor de gerenciamento de segurança v10.2.5 foi validado nas plataformas abaixo.
– Consulte http://pubs.vmware.com/vsphere-60/index.jsp para obter mais informações • VMware ESXi 6.5 – CPU x86 de 64 bits necessária – Computador host com no mínimo dois núcleos – Mínimo de 8 GB de RAM recomendado – Consulte a página http://www.vmware.com/resources/compatibility/search.
Pré-requisitos • Se não estiver instalado, o instalador realizará o processo para você. .NET Framework versão 3.5 SP1 • .NET Framework versão 4.5 A Microsoft publicou as atualizações de segurança para o .NET Framework versão 4,5. • SQL Native Client 2012 Se estiver usando o SQL Server 2012 ou o SQL Server 2016. Se não estiver instalado, o instalador realizará o processo para você.
NOTA: O banco de dados do SQL Server que hospeda o Servidor de gerenciamento de segurança deve ser executado em um computador separado.
Suporte a idiomas EN - Inglês JA - Japonês ES - Espanhol KO - Coreano FR - Francês PT-BR - Português, Brasil IT - Italiano PT-PT - Português, Portugal (ibérico) DE - Alemão Requisitos e arquitetura 13
Identifier GUID-3A66221B-D915-4E64-A850-FD186ED5550A Status Translated 3 Configuração de pré-instalação Antes de começar, leia os conselhos técnicos do Servidor de gerenciamento de segurança para conhecer qualquer solução temporária ou problemas conhecidos relacionado ao Servidor de gerenciamento de segurança. A configuração de pré-instalação do(s) servidor(es) onde você deseja instalar o Servidor de gerenciamento de segurança é muito importante.
Compatibility Server: TCP/1099 Compliance Reporter: HTTP(S)/8084 (configurado automaticamente na instalação) Identity Server: HTTPS/8445 Core Server: HTTPS/8888 (8888 é configurado automaticamente na instalação) Device Server: HTTP(S)/8443 (Servidor de gerenciamento de segurança v7.7 ou superior) ou HTTP(S)/8081 (Pre-v7.
6 Se estiver usando SQL Server 2012 ou SQL Server 2016, instale o SQL Native Client 2012. Se desejar, você pode permitir que o instalador do Servidor de gerenciamento de segurança instale esse componente. http://www.microsoft.com/en-us/download/details.aspx?id=35580 Opcional 7 Para uma nova instalação – copie a Chave do produto (o nome do arquivo é EnterpriseServerInstallKey.ini) para C:\Windows para preencher automaticamente a Chave de produto de 32 caracteres no instalador do Servidor de gerenciamento
Identifier GUID-71FB9601-8ADC-4B1C-BDB7-06038370116D Status Translated 4 Instalar ou fazer upgrade/migrar O capítulo fornece instruções sobre o seguinte: • • Nova instalação - Instalar um novo Servidor de gerenciamento de segurança. Atualização/migração - Fazer upgrade de um Enterprise Server v9.2 ou posterior existente e funcional. • Desinstalar o Security Management Server - Para remover a instalação atual, caso seja necessário.
• Instalar um servidor de back-end com banco de dados existente - Para instalar um novo Servidor de gerenciamento de segurança e se conectar a um banco de dados SQL criado durante a Configuração de pré-instalação ou a um banco de dados SQL existente com a versão 9.x ou mais recente, quando a versão do esquema corresponde à versão do Servidor de gerenciamento de segurança a ser instalada. Um banco de dados v9.
11 Você pode escolher entre alguns tipos de certificados digitais para usar. É extremamente recomendado o uso de um certificado digital de uma autoridade de certificação confiável. Selecione a opção “a” ou “b” abaixo: a Para usar um certificado existente que foi comprado de uma autoridade de certificação, selecione Importar um certificado existente e clique em Avançar. Clique em Procurar para digitar o caminho do certificado. Digite a senha associada a esse certificado.
NOTA: Por padrão, o certificado expira em um 10 anos. 12 Para o Server Encryption, você pode escolher dentre alguns tipos de certificados digitais para usar. É extremamente recomendado o uso de um certificado digital de uma autoridade de certificação confiável. Selecione a opção “a” ou “b” abaixo: a Para usar um certificado existente que foi comprado de uma autoridade de certificação, selecione Importar um certificado existente e clique em Avançar. Clique em Procurar para digitar o caminho do certificado.
• 14 Para ver ou editar as portas, clique em Editar portas. Edite as portas apenas se necessário. A Dell recomenda usar as configurações padrão. Quando concluído, clique em OK. Para criar um novo banco de dados, siga estas instruções: a b Clique em Procurar para selecionar o servidor no qual será instalado o banco de dados. Selecione o método de autenticação a ser usado pelo instalador para configurar o banco de dados do Dell Server.
• Autenticação do Windows Selecione Autenticação do Windows usando as credenciais abaixo, insira as credenciais que o produto deve usar e clique em Avançar. Confirme que a conta tenha direitos de administrador de sistema e a capacidade de gerenciar o SQL Server. A conta de usuário precisa ter o esquema padrão de permissões do SQL Server: dbo e Associação à função de banco de dados: dbo_owner, público.
Identifier GUID-596655AE-E0E5-4F93-B0C0-F552F1D8220A Status Translated Instalar um servidor de back-end com um banco de dados existente NOTA: Se você tiver um Dell Server v9.2 ou posterior funcional, consulte as instruções em Atualizar/Migrar o(s) servidor(es) de back-end. Você pode instalar um novo Servidor de gerenciamento de segurança e se conectar a um banco de dados SQL criado durante a Configuração de pré-instalação ou a um banco de dados SQL existente com a versão 9.
7 Se você, opcionalmente, copiou o arquivo EnterpriseServerInstallKey system.ini para C:\Windows conforme explicado em Configuração de pré-instalação, clique em Avançar. Caso contrário, digite a Chave do Produto de 32 caracteres e clique em Avançar. A Chave do Produto está localizada no arquivo EnterpriseServerInstallKey.ini. 8 Selecione Instalação do back-end e Instalação de recuperação e clique em Avançar. 9 Para instalar o Servidor de gerenciamento de segurança no local padrão C:\Program Files\Dell,
NOTA: Para usar essa configuração, o certificado CA exportado que está sendo importado precisa ter a cadeia de confiança completa. Se não tiver certeza, exporte novamente o certificado CA e verifique se as seguintes opções estão selecionadas no “Assistente para exportação de certificados”: b • Troca de informações pessoais - PKCS#12 (.
Se você usar a autenticação SQL, a conta SQL usada precisa ter direitos de administrador do sistema no SQL Server. c d 14 O instalador precisa ser autenticado para o SQL Server com estas permissões: criar banco de dados, adicionar usuário, atribuir permissões. Clique em Procurar para selecionar o nome do catálogo do banco de dados existente. Clique em Avançar. Se a caixa de diálogo Erro de banco de dados existente for exibida, selecione a opção apropriada.
As tarefas de instalação do servidor de back-end estão concluídas. Os Serviços Dell são reiniciados ao final da instalação. Não é necessário reinicializar o servidor. Identifier GUID-C784D2A0-34A6-428D-9C47-D9FEFF52A2D0 Status Translated Instalar servidor front-end Instalação de servidor front-end fornece uma opção de front-end (Modo DMZ) para uso com o Servidor de gerenciamento de segurança.
NOTA: Para usar essa configuração, o certificado CA exportado que está sendo importado precisa ter a cadeia de confiança completa. Se não tiver certeza, exporte novamente o certificado CA e verifique se as seguintes opções estão selecionadas no “Assistente para exportação de certificados”: b • Troca de informações pessoais - PKCS#12 (.
Identifier GUID-CAD89FC8-F427-41D0-A351-B4484055F998 Status Translated Atualizar/Migrar Você pode fazer o upgrade do Enterprise Server v9.2 ou posterior para o Servidor de gerenciamento de segurança v10.x. Se a sua versão do Dell Server for anterior a v9.2, primeiramente você precisará fazer o upgrade para a v9.2 e, em seguida, para as versões posteriores.
Aplicar as alterações da política 1 Como um administrador Dell, faça login no Management Console. 2 No menu à esquerda, clique em Gerenciamento > Confirmar. 3 Em Comentário, digite uma descrição da alteração. 4 Clique em Confirmar políticas. 5 Quando a confirmação for concluída, faça logoff do Management Console. Confirmar se os Serviços Dell estão funcionando 6 No menu Iniciar do Windows, clique em Iniciar > Executar. Digite services.msc e clique em OK.
6 Para selecionar um local de armazenamento do backup dos arquivos de configuração, clique em Alterar, navegue até a pasta desejada e clique em Avançar. A Dell recomenda que você selecione um local de rede remoto ou uma unidade externa para o backup. A estrutura de pastas criada pelo instalador durante a instalação (exemplo mostrado abaixo) precisa permanecer inalterada. 7 Quando o instalador localiza corretamente o banco de dados existente, a caixa de diálogo é preenchida para você.
Uma caixa de diálogo do progresso mostra o status de todo o processo de upgrade. 11 Ao terminar a instalação, clique em Concluir. Os Serviços Dell são reiniciados ao final da migração. Não é necessário reinicializar o Dell Server. O instalador executa as etapas de 12 a 13 para você. É uma prática recomendada verificar esses valores para assegurar que as alterações tenham sido feitas corretamente. 12 Na sua instalação armazenada, copie/cole: \conf\secretKey
NOTA: Não tente alterar a senha do Servidor de gerenciamento de segurança editando o valor server.pass no server_config.xml em nenhum outro momento. Se você alterar esse valor, perderá o acesso ao banco de dados. As tarefas de migração do servidor de back-end estão concluídas. Identifier GUID-1E741DFF-D045-4BBD-8D0B-4383B7FBE2D8 Status Translated Fazer upgrade/migrar servidor(es) de front-end NOTA: Começando com a v9.
Switch Significado /v Passa as variáveis para o .msi dentro do *.exe /s Modo silencioso A tabela a seguir mostra as opções de exibição disponíveis. Opção Significado /q Não há caixa de diálogo de andamento, reinicia-se após a conclusão do processo /qb Caixa de diálogo de andamento com o botão Cancelar /qn Sem interface do usuário A tabela a seguir detalha os parâmetros disponíveis para a instalação.
Parâmetros Os itens a seguir são obrigatórios com SSOS_TYPE=1: SSOS_CERT_PASSWORD=xxxxx SSOS_CERT_PATH=xxxxx Os itens a seguir são obrigatórios com SSOS_TYPE=2: SSOS_CITYNAME SSOS_DOMAINNAME SSOS_ORGNAME SSOS_UNITNAME SSOS_COUNTRY - Opcional, padrão = "US" SSOS_STATENAME DISPLAY_SQLSERVER - Este valor é analisado para obter informações do servidor SQL, da instância e da porta. Exemplo: DISPLAY_SQLSERVER=SQL_server\Server_instance, port IS_AUTO_CREATE_SQLSERVER=FALSE - Opcional.
Parâmetros SQL_ADD_LOGIN=T - Opcional. O padrão é "null" (esse login não é adicionado). Quando o valor é definido como T, se o SQL_EE_USERNAME não for um log-in ou usuário do banco de dados, o instalador tenta adicionar as credenciais de autenticação SQL do usuário e definir privilégios para permitir que as credenciais sejam usadas pelo produto. Veja a seguir os parâmetros de nome de host. Edite os nomes de host apenas se necessário. A Dell recomenda usar as configurações padrão.
Identifier GUID-0BC8BD8F-6D8D-4B08-BEDC-5AB319232ED4 Status Translated Desinstalar o Servidor de gerenciamento de segurança 1 Na mídia de instalação Dell, navegue até o diretório do Servidor de gerenciamento de segurança. Descompacte (NÃO copie/cole nem arraste/solte) o Servidor de gerenciamento de segurança-x64 no diretório raiz do servidor de onde você está desinstalando o Servidor de gerenciamento de segurança. Copiar/colar ou arrastar/soltar produz erros e causa uma instalação malsucedida.
Identifier GUID-AE5DF6B8-154B-4D83-842B-E0774159D016 Status Translated 5 Configuração pós-instalação Leia os relatórios técnicos do Servidor de gerenciamento de segurança para conhecer qualquer solução atual ou problema conhecido relacionado à configuração do Servidor de gerenciamento de segurança. Se você estiver instalando o Servidor de gerenciamento de segurança pela primeira vez ou se estiver fazendo o upgrade de uma instalação existente, alguns componentes do seu ambiente devem ser configurados.
Identifier GUID-B926AB03-3DC5-4309-A546-8FFAB23AA561 Status Translated Server Configuration Tool Quando for necessário configurar seu ambiente depois de terminar sua instalação, use o Server Configuration Tool para fazer as alterações.
– Estações de trabalho que executam o Endpoint Security Suite Enterprise Informações sobre os tipos de certificados a serem usados: A autenticação de pré-inicialização usando smart cards exige validação de SSL com o Security Server. O Dell Manager executa a validação do SSL ao conectar-se ao Dell Core Server. Para esses tipos de conexão, a CA assinante precisa estar no armazenamento de chaves (seja do Java ou da Microsoft, dependendo do componente do Dell Server em questão).
2 Quando o Assistente de configuração abrir, selecione Avançado e clique em Avançar. 3 Selecione Usar configurações atuais e clique em Avançar. 4 Na janela Certificado SSL do Compatibility Server, selecione Gerar certificado autoassinado e clique em Avançar. As informações do certificado autoassinado que foi criado durante a instalação do Servidor de gerenciamento de segurança são usadas, se estiverem disponíveis. Clique em Avançar.
Identifier GUID-99B513DE-3EA5-4C97-8EBF-699C62AAEDC5 Status Translated Importar o Certificado do Dell Manager Se a sua implementação inclui clientes Servidor de gerenciamento de segurança gerenciados remotamente com Encryption Management Agents, você precisa importar seu certificado recém-criado (ou já existente).
3 Clique em Iniciar > Executar. Digite services.msc e clique em OK. Quando Serviços abrir, navegue até cada Serviço da Dell e clique em Iniciar o serviço. Identifier GUID-800D8F7C-4F2E-4FB6-9EC4-5135DF06FA23 Status Translated Importar certificado SSL/TLS BETA Se a sua implementação inclui o Server Encryption, você precisará importar seu certificado recém-criado (ou existente). O certificado SSL/TLS BETA protege a chave privada usada para assinar os pacotes de políticas enviados aos servidores client.
Identifier GUID-395D9BEE-ABF0-4FC1-8343-7B197C190FD0 Status Translated Definir as configurações do SMTP No Server Configuration Tool, clique na guia SMTP. Essa guia define as configurações de SMTP para o Data Guardian, informativos de produtos, notificações e mensagens de retransmissão de ameaça do Advanced Threat Prevention. Quando as alterações de configuração estiverem concluídas, reinicie o serviço do Servidor de Segurança.
3 Em Banco de dados:, digite o nome do banco de dados. 4 Em Autenticação, selecione Autenticação do Windows ou Autenticação do SQL Server. Se você escolher Autenticação do Windows, as mesmas credenciais usadas para fazer login no Windows são usadas para autenticação (os campos Nome de usuário e Senha não podem ser editados). 5 Em Nome do usuário:, digite o nome de usuário apropriado associado a este banco de dados. 6 Em Senha:, digite a senha do nome de usuário listado no campo Nome do usuário.
Quando a migração estiver concluída: 1 No menu superior, selecione Configuração > Salvar. Se solicitado, confirme o salvamento. 2 Feche a Dell Server Configuration Tool. 3 Clique em Iniciar > Executar. Digite services.msc e clique em OK. Quando Serviços abrir, navegue até cada Serviço da Dell e clique em Iniciar o serviço.
Identifier GUID-50E74799-B944-40E6-B2EE-92DCC5BCECB4 Status Translated 6 Tarefas administrativas Identifier GUID-6B1A73C2-8058-4AE9-B2CB-71F0B594DDC6 Status Translated Atribuir a função de administrador Dell 1 Como administrador virtual do Security Management Server, faça login no Management Console: https://server.domain.com:8443/ webui/. As credenciais padrão são superadmin/changeit. 2 No painel à esquerda, clique em Populações > Domínios. 3 Clique em um domínio para adicionar um usuário.
Identifier GUID-424B9188-1761-41EA-BC56-95D11CE7F87E Status Translated Carregar licença de acesso do cliente Você recebeu licenças de acesso do cliente separadamente dos arquivos de instalação, na compra inicial ou posteriormente, caso tenha adicionado outras licenças de acesso do cliente. 1 No painel à esquerda, clique em Gerenciamento. 2 Clique em Gerenciamento de licenças. 3 Clique em Selecionar arquivo para localizar e selecionar o arquivo de licença do cliente.
Identifier GUID-ECDF6388-A64D-402F-816F-00F48F288470 Status Translated Backups do Servidor de gerenciamento de segurança Regularmente, faça um backup dos arquivos que estão armazenados no local que você selecionou para o backup de arquivos de configuração durante a instalação (etapa 10 na página 27) ou atualização/migração (etapa 6 na página 68). Backups semanais desses dados são aceitáveis, já que eles raramente mudam e podem ser reconfigurados manualmente, se necessário.
Identifier GUID-6E317D6B-752D-4ED2-9A17-30EF9E0E2701 Status Translated 7 Portas A tabela a seguir descreve cada componente e sua função. Nome Porta padrão Descrição Serviço ACL TCP/ Gerencia várias permissões e acesso de grupo para vários produtos do Dell Security. 8006 Compliance Reporter HTTP(S)/ 8084 Management Console HTTP(S)/ 8443 Core Server HTTPS/ 8888 Device Server Fornece uma visão completa do ambiente para auditoria e geração de relatórios de conformidade.
Nome Porta padrão Descrição 61613 Key Server TCP/ 8050 Policy Proxy PostGres TCP/ Negocia, autentica e criptografa uma conexão de um cliente usando APIs Kerberos. Precisa de acesso ao banco de dados SQL para obter os dados de chave. 8000 Fornece um caminho de comunicação baseado na rede para fornecer atualizações da política de segurança e atualizações de inventário. TCP/ Banco de dados local usado para dados de eventos.
Identifier GUID-C20A2485-6763-414F-96F9-13E5017E45D4 Status Translated 8 Práticas recomendadas do SQL Server A lista a seguir explica as boas práticas do SQL Server que precisam ser implementadas quando o Dell Security for instalado, caso ainda não tenham sido implementadas. 1 Certifique-se de que o tamanho de bloco do NTFS onde residem os arquivos de dados e o arquivo de registro é de 64 KB. As extensões do SQL Server (unidade básica do SQL Storage) são de 64 KB.
Identifier GUID-D2B878BA-2DAD-4157-B608-6F0647CF45FD Status Translated 9 Certificados Este capítulo explica como para obter certificados para uso com o Servidor de gerenciamento de segurança. Para obter informações sobre como configurar a autenticação do SmartCard, consulte http://www.dell.com/support/article/us/en/19/ sln303783/dell-data-protection-sed-management-smartcard-setup-guide?lang=en.
2 Faça o backup do banco de dados de certificado padrão: Clique em Iniciar > Executar e digite move cacerts cacerts.old. 3 Adicione Keytool ao caminho do sistema. Digite o seguinte comando em um prompt de comando: set path=%path%;< Diretório de instalação Dell do Java>\bin 4 Para gerar um certificado, execute o Keytool conforme exibido: keytool -genkey -keyalg RSA -sigalg SHA1withRSA -alias Dell -keystore .\cacerts 5 Insira as seguintes informações conforme o Keytool solicita.
Por exemplo, keytool -certreq -sigalg SHA1withRSA -alias sslkey -keystore .\cacerts -file Dell.csr O arquivo .csr contém um par BEGIN/END a ser usado durante a criação do certificado na CA. Exemplo de arquivo .CSR 2 Siga o processo da sua organização para adquirir um certificado de servidor SSL de uma Autoridade de Certificado. Envie o conteúdo de para assinatura. NOTA: Há vários métodos para solicitar um certificado válido.
Identifier GUID-1C36CED2-E334-4ACB-856A-05E96EDA3A9A Status Translated Método de exemplo para solicitar um certificado Um exemplo de método para solicitar um certificado é usar um navegador da Web para acessar o Microsoft CA Server, que é configurado internamente pela sua organização. 1 Acesse o Microsoft CA Server. O endereço IP é fornecido pela sua organização. 2 Selecione Solicitar um certificado e clique em Avançar.
Identifier GUID-E8FC3614-2026-473D-AE66-E74BEDC70592 Status Translated Exportar um certificado para o formato .PFX usando o Console de gerenciamento do certificado Depois de ter um certificado no formato de um arquivo .crt no MMC, ele precisa ser convertido para um arquivo .pfx para usar com o Keytool quando o Security Server for usado no Modo DMZ e ao importar um certificado do Dell Manager para a Server Configuration Tool. 1 Abra o Console de Gerenciamento Microsoft.
5 Modifique o valor keystore.alias.signing no diretório \conf\application.properties. keystore.alias.signing=AliasNamePreviouslyDocumented Inicie o Security Server Service.