Dell Security Management Server Guía de instalación y migración v10.2.
Notas, precauciónes y advertencias NOTA: Una NOTA señala información importante que lo ayuda a hacer un mejor uso de su producto. PRECAUCIÓN: Una PRECAUCIÓN indica un potencial daño al hardware o pérdida de datos y le informa cómo evitar el problema. ADVERTENCIA: Una señal de ADVERTENCIA indica la posibilidad de sufrir daño a la propiedad, heridas personales o la muerte. © 2012-2019 Dell Inc. Todos los derechos reservados.Dell, EMC, y otras marcas comerciales son marcas comerciales de Dell Inc.
Contenido 1 Introducción................................................................................................................................................... 5 Acerca de Servidor de administración de seguridad......................................................................................................5 Cómo ponerse en contacto con Dell ProSupport.......................................................................................................... 5 2 Requisitos y arquitectura.....
Confirmar políticas........................................................................................................................................................... 44 Configurar Dell Compliance Reporter............................................................................................................................45 Realizar copias de seguridad..........................................................................................................................................
1 Introducción Acerca de Servidor de administración de seguridad Servidor de administración de seguridad tiene las siguientes funciones: • Administración centralizada de dispositivos, usuarios y políticas de seguridad • Auditoría y elaboración de informes de cumplimiento centralizados • Separación de tareas administrativas • Creación y administración de políticas de seguridad basadas en roles • Distribuye las políticas de seguridad cuando los clientes se conectan • Recuperación de dispositivos as
2 Requisitos y arquitectura En esta sección se indican los requisitos de hardware y software, y las recomendaciones de diseño de arquitectura para la implementación de Dell Security Management Server. Diseño de arquitectura de Security Management Server Las soluciones Dell Encryption, Endpoint Security Suite Enterprise y Data Guardian son productos altamente escalables según la cantidad de terminales destinados para el cifrado en su organización.
NOTA: Si la organización tiene más de 20.000 extremos, póngase en contacto con Dell ProSupport para recibir ayuda. Requisitos Los requisitos de hardware y software para la instalación del software de Servidor de administración de seguridad se indican a continuación.
Antes de comenzar la instalación, asegúrese de que se hayan aplicado todas las revisiones y actualizaciones a los servidores utilizados para la instalación. Hardware En la siguiente tabla se indican los requisitos mínimos de hardware de Servidor de administración de seguridad. Consulte Diseño de arquitectura de Security Management Server para obtener información adicional con respecto al ajuste según el tamaño de la implementación.
Virtualización Servidor de administración de seguridad se puede instalar en un entorno virtual. Solo se recomiendan los siguientes entornos. Servidor de administración de seguridad v10.2.5 se validó para las siguientes plataformas. Hyper-V Server está instalado como una instalación completa o básica, o como una función en Windows Server 2012, Windows Server 2016 o Windows Server 2019.
– Visite http://pubs.vmware.com/vsphere-65/index.jsp para obtener más información NOTA: La base de datos de SQL Server que aloje Servidor de administración de seguridad debe ejecutarse en una computadora independiente por motivos de rendimiento. SQL Server En entornos más grandes, se recomienda encarecidamente que el servidor de la base de datos SQL se ejecute en un sistema redundante, como el clúster SQL, para asegurar la continuidad de los datos y disponibilidad.
Servidor de administración de seguridad: servidor back-end y servidor front-end de Dell • Windows Server 2012 R2 - Standard Edition - Datacenter Edition • Windows Server 2016 - Standard Edition - Datacenter Edition • Windows Server 2019 - Standard Edition - Datacenter Edition Repositorio LDAP • • • Active Directory 2008 R2 Active Directory 2012 R2 Active Directory 2016 Consola de administración y Compliance Reporter • • • Internet Explorer 11.x o posterior Mozilla Firefox 41.
NOTA: A continuación, se muestran los requisitos para los permisos SQL. El usuario que esté ejecutando la instalación y los servicios debe tener derechos de administrador local. Además, se requieren derechos de administrador local para la cuenta de servicio que administra los servicios de Dell Security Management Server.
3 Configuración previa a la instalación Antes de empezar, lea las consultas técnicas de Servidor de administración de seguridad para ver las soluciones alternativas actuales o los problemas conocidos relacionados con Servidor de administración de seguridad. La configuración previa a la instalación del servidor o los servidores en los que tiene pensado instalar Servidor de administración de seguridad es muy importante.
Device Server: HTTP(S)/8443 (Servidor de administración de seguridad v7.7 o posterior) o HTTP(S)/8081 (anterior a Dell Server v7.7) Key Server: TCP/8050 Policy Proxy: TCP/8000 Security Server: HTTPS/8443 Autenticación de cliente: HTTPS/8449 (si se utiliza Server Encryption) Comunicación de cliente, si se utiliza Advanced Threat Prevention: HTTPS/TCP/443 Creación de una base de datos de Dell Server 3 Estas instrucciones son opcionales. El instalador crea una base de datos si todavía no existe una.
Opcional 7 Para una instalación nueva: copie su clave de producto (el nombre del archivo es EnterpriseServerInstallKey.ini) en C:\Windows para rellenar automáticamente la clave de producto de 32 caracteres en el instalador de Servidor de administración de seguridad. La configuración previa a la instalación del servidor ha finalizado. Continúe en Instalar o actualizar/migrar.
4 Instalación o actualización/migración Este capítulo proporciona instrucciones para realizar lo siguiente: • Nueva instalación: para instalar un nuevo Servidor de administración de seguridad. • Actualización/migración: para actualizar desde un Enterprise Server v9.2 o posterior existente y funcional. • Desinstalación de Security Management Server: para eliminar la instalación actual, si es necesario.
NOTA: Si tiene un Enterprise Server v9.2 o una versión posterior que funcione, consulte las instrucciones en Actualización/migración de servidores back-end. Si instala un servidor de front-end, realice esta instalación después de la instalación del servidor de back-end: • Instalación del servidor de front-end: para instalar un servidor de front-end para que se comunique con un servidor de back-end.
11 Tiene la opción de escoger los tipos de certificados digitales que se utilizarán. Se recomienda encarecidamente que se utilice el certificado digital de una autoridad de certificación de confianza. Seleccione la opción "a" o "b" a continuación: a Para utilizar un certificado existente que haya adquirido de una entidad emisora de certificados, seleccione Importar un certificado existente y haga clic en Siguiente. Haga clic en Examinar para ingresar la ruta al certificado.
NOTA: El certificado vence dentro de 10 años, de manera predeterminada. 12 Para Server Encryption, tiene una opción de escoger los tipos de certificados digitales que se utilizarán. Se recomienda encarecidamente que se utilice el certificado digital de una autoridad de certificación de confianza.
• 14 Para ver o editar puertos, haga clic en Editar puertos. Edite puertos solo si fuera necesario. Dell recomienda utilizar los valores predeterminados. Cuando termine, haga clic en Aceptar. Para crear una nueva base de datos, siga estos pasos: a b Haga clic en Examinar para seleccionar el servidor en el que se instalará la base de datos. Seleccione el método de autenticación que el instalador debe utilizar para configurar la base de datos de Dell Server.
Seleccione Autenticación Windows mediante las credenciales siguientes, ingrese las credenciales del producto que desea utilizar y haga clic en Siguiente. Asegúrese de que la cuenta tiene derechos de administrador del sistema y la capacidad de administrar el SQL Server. La cuenta de usuario debe tener el esquema predeterminado de permisos de SQL Server: dbo y pertenencia al rol de base de datos: dbo_owner, public.
Instalación del servidor back-end con base de datos existente NOTA: Si tiene un Dell Server v9.2 o una versión posterior que funcione, consulte las instrucciones en Actualización/migración de servidores back-end. Puede instalar un nuevo Servidor de administración de seguridad y conectarse a una base de datos SQL creada durante Configuración previa a la instalación o una base de datos SQL existente que sea v9.
9 Para instalar Servidor de administración de seguridad en la ubicación predeterminada de C:\Program Files\Dell, haga clic en Siguiente. En caso contrario, haga clic en Cambiar para seleccionar una ubicación diferente y, a continuación, haga clic en Siguiente. 10 Para seleccionar una ubicación en la que guardar los archivos de configuración de copia de seguridad, haga clic en Cambiar, navegue hasta la carpeta deseada y, a continuación, haga clic en Siguiente.
Nombre de equipo completo (ejemplo: nombreequipo.dominio.com) Organización Unidad organizacional (ejemplo: Seguridad) Ciudad Estado (nombre completo) País: abreviación de país de dos letras Haga clic en Siguiente. NOTA: El certificado vence dentro de 10 años, de manera predeterminada. 12 Desde el cuadro de diálogo Configuración de la instalación del servidor back-end, puede ver o editar nombres de host y puertos.
Las siguientes opciones DEBEN utilizarse solo con la ayuda de Dell ProSupport: • La opción Migrar esta base de datos al esquema actual se utiliza para recuperar una buena base de datos desde una implementación errónea del servidor. Esta opción utiliza los archivos de configuración en la carpeta /Copia de seguridad para reconectar a la base de datos y, a continuación, migrar la base de datos al esquema actual.
Para llevar a cabo esta instalación, debe contar con el nombre completo del host del servidor DMZ. 1 2 3 En el medio de instalación de Dell, navegue hasta el directorio de Servidor de administración de seguridad. Descomprima (NO copie/ pegue ni arrastre/suelte) Servidor de administración de seguridad-x64 en el directorio raíz del servidor en el que vaya a instalar Servidor de administración de seguridad.
País: abreviación de país de dos letras Haga clic en Siguiente. NOTA: El certificado vence dentro de 10 años, de manera predeterminada. 11 12 En el cuadro de diálogo Configuración del servidor de front-end, ingrese el nombre completo del host o el alias de DNS del servidor de back-end, seleccione Dell Security Management Server y haga clic en Siguiente. Desde el cuadro de diálogo Configuración de la instalación del servidor front-end, puede ver o editar nombres de host y puertos.
Para producción, Dell recomienda encarecidamente la instalación de SQL Server en un servidor dedicado. A fin de aprovechar todas las funcionalidades de las políticas, Dell recomienda actualizar a las versiones más recientes tanto de Servidor de administración de seguridad como de los clientes. Servidor de administración de seguridad v9.x admite: • Encryption Enterprise: – Clientes de Windows v7.x/8.x – Clientes Mac v7.x/8.x – Clientes SED v8.x – Autenticación v8.x – BitLocker Manager v7.2x+ y v8.
Actualización/migración de servidores back-end 1 En el medio de instalación de Dell, navegue hasta el directorio de Servidor de administración de seguridad. Descomprima (NO copie/ pegue ni arrastre/suelte) Servidor de administración de seguridad-x64 en el directorio raíz del servidor en el que vaya a instalar Servidor de administración de seguridad. Si copia/pega o arrastra/suelta elementos, se generarán errores y no se llevará a cabo la 3 instalación correctamente. Haga doble clic en setup.exe.
Para conectarse a la base de datos existente, especifique el método de autenticación que desea utilizar. Tras la instalación, el producto instalado no utiliza las credenciales que se especifican aquí. a Seleccione el tipo de autenticación de la base de datos: • Credenciales de autenticación de Windows del usuario actual Si selecciona la autenticación de Windows, se deben utilizar las mismas credenciales que se utilizaron para iniciar sesión en Windows (Nombre de usuario y Contraseña no se pueden editar).
Si no conoce la contraseña, corte y pegue la sección similar a la sección mostrada en la Ilustración 4-2 del archivo \conf\server_config.xml del que ha hecho copia de seguridad, en la sección correspondiente del nuevo archivo server_config.xml. Contraseña desconocida Guarde y cierre el archivo. NOTA: No intente cambiar la contraseña de Servidor de administración de seguridad modificando el valor server.pass en server_config.xml en ningún otro momento.
4 Si aún no se han instalado los requisitos previos, aparecerá un mensaje que le informará sobre qué requisitos serán instalados. Haga clic en Instalar. 5 En el cuadro de diálogo Bienvenido, haga clic en Siguiente. 6 Lea el contrato de licencia, acepte los términos y haga clic en Siguiente. 7 En el cuadro de diálogo Preparado para instalar el programa, haga clic en Instalar. El cuadro de diálogo de progreso muestra el estado a lo largo del proceso de instalación.
Parámetros NOTA: La estructura de carpetas creada por el instalador durante este paso de la instalación (se muestra un ejemplo a continuación) debe permanecer inalterable. AIRGAP=1: este valor debe ser "1" para instalar Servidor de administración de seguridad en Modo desconectado. SSL_TYPE=n: donde n es 1 para importar un certificado existente que se compró a una entidad de certificación y 2 para crear un certificado autofirmado. El valor SSL_TYPE determina las propiedades de SSL que se requerirán.
Parámetros IS_SQLSERVER_AUTHENTICATION=0: opcional. El valor predeterminado es 0, lo que especifica que se utilizan las credenciales de autenticación de Windows del usuario conectado actualmente para autenticarlas en el SQL Server. Para usar la autenticación de SQL, establezca este valor en 1. NOTA: El instalador debe autenticar el SQL Server con los siguientes permisos: crear base de datos, agregar usuario y asignar permisos.
Parámetros A continuación se enumeran los parámetros de puertos. Edite puertos solo si fuera necesario. Dell recomienda utilizar los valores predeterminados SERVERPORT_CLIENTAUTH: opcional. REPORTERPORT: opcional. DEVICEPORT: opcional. KEYSERVERPORT: opcional. GKPORT: opcional. TIGAPORT: opcional. SMTP_PORT: opcional. ACTIVEMQ_TCP: opcional. ACTIVEMQ_STOMP: opcional.
5 Configuración posterior a la instalación Lea la asesoría técnica de Servidor de administración de seguridad para conocer las soluciones alternativas actuales o los problemas conocidos relacionados con la configuración de Servidor de administración de seguridad. Ya sea que instale Servidor de administración de seguridad por primera vez o esté actualizando una instalación existente, algunos componentes de su entorno se deben configurar.
• Importar certificado Dell Manager • Importar certificado de identidad • Configurar los valores para el Certificado Server SSL • Configuración de los valores de SMTP para Data Guardian o los servicios de correo electrónico • Cambiar el nombre, ubicación o credenciales de la base de datos • Migrar la base de datos Los programas Dell Core Server y Compatibility Server no se pueden ejecutar al mismo tiempo que la Herramienta de configuración del servidor.
Dell Manager: • Ingrese el certificado con firma de “Agencia raíz” (desde el certificado autofirmado generado) en las “Entidades de certificación raíz de confianza” (para “equipo local”) de la estación de trabajo en el keystore de Microsoft. • Modifique el comportamiento de la validación SSL del lado servidor. Para desactivar la validación de confianza SSL del lado del servidor, seleccione Deshabilitar comprobación de cadena de confianza en la pestaña Configuración.
Haga clic en Finalizar cuando haya terminado. • Generar certificado autofirmado: se utiliza la información del certificado autofirmado que se creó al instalar Servidor de administración de seguridad si está disponible. Si selecciona esta opción, la ventana de Certificado de Message Security no se mostrará (la ventana sí aparece si selecciona la opción Utilizar configuración actual) y se utiliza el certificado creado para Dell Compatibility Server.
6 En la ventana Seleccionar equipo, seleccione Equipo local (el equipo en el que se ejecuta esta consola) y haga clic en Finalizar. 7 Haga clic en Cerrar. 8 Haga clic en Aceptar. 9 En la carpeta Raíz de consola, expanda Certificados (equipo local). 10 Vaya a la carpeta Personal y busque el certificado deseado. 11 Resalte el certificado deseado y haga clic con el botón derecho del mouse en Todas las tareas > Exportar.
Configurar los valores para el Certificado Server SSL En la Herramienta de configuración del servidor, haga clic en la pestaña Configuración. Dell Manager: Para desactivar la validación de confianza SSL del lado del servidor de Dell Manager, seleccione Deshabilitar comprobación de cadena de confianza. SCEP: Si utiliza Mobile Edition, ingrese la URL del servidor que aloja SCEP. NOTA: A partir de v9.8, ya no se admite Mobile Edition.
Cambiar el nombre, ubicación o credenciales de la base de datos En la herramienta de configuración del servidor, haga clic en la pestaña Base de datos. 1 En Nombre del servidor, ingrese el nombre de dominio completo (si hay un nombre de la instancia, inclúyalo), del servidor que aloja la base de datos. Por ejemplo, SQLTest.domain.com\DellDB. Dell recomienda utilizar un nombre de dominio completo, a pesar de que también puede usarse una dirección IP. 2 En Puerto del servidor, ingrese el número de puerto.
1 Si todavía no ha realizado una copia de seguridad de su base de datos de Dell Server existente, hágalo ahora. 2 En el menú superior, seleccione Acciones > Migrar base de datos. Se inicia el asistente de configuración. 3 En la ventana Migrar base de datos de Enterprise se mostrará un aviso. Confirme que haya hecho una copia de seguridad de toda la base de datos, o confirme que no sea necesario hacer una copia de seguridad de la base de datos existente. Haga clic en Siguiente.
6 Tareas administrativas Asignar rol de administrador Dell 1 Como administrador de Security Management Server Virtual, inicie sesión en la consola de administración: https://server.domain.com: 8443/webui/. Las credenciales predeterminadas son superadmin/changeit. 2 En el panel izquierdo, haga clic en Poblaciones > Dominios. 3 Haga clic en un dominio en el que desee agregar a un usuario. 4 En la página de Detalles del dominio, haga clic en la pestaña Miembros. 5 Haga clic en Agregar usuario.
Para confirmar políticas tras la instalación o, más tarde, una vez que se hayan guardado las modificaciones de políticas, siga estos pasos: 1 En el panel izquierdo, haga clic en Administración > Confirmar. 2 En Comentarios, ingrese una descripción del cambio. 3 Haga clic en Confirmar políticas. Configurar Dell Compliance Reporter 1 En el panel izquierdo, haga clic en Compliance Reporter.
Dell recomienda el uso de las prácticas recomendadas para la base de datos de PostgreSQL y que se incluya el software Dell en el plan de recuperación tras desastres de su organización.
7 Puertos La siguiente tabla describe cada componente y su función. Nombre Puerto predeterminado Descripción Servicio ACL TCP/ Administra diversos permisos y accesos a grupos de varios productos de seguridad de Dell. 8006 Compliance Reporter HTTP(S)/ 8084 Consola de administración HTTP(S)/ 8443 Core Server HTTPS/ 8888 Device Server Proporciona una vista amplia del entorno para realizar informes de cumplimiento y auditorías.
Nombre Puerto predeterminado Descripción Requiere acceso a la base de datos SQL para extraer los datos clave. Policy Proxy PostGres TCP/ 8000 Proporciona una ruta de comunicación de red para entregar actualizaciones de políticas de seguridad y actualizaciones de inventario. TCP/ Base de datos local utilizada para los datos de eventos.
8 Prácticas recomendadas para SQL Server La siguiente lista explica las prácticas recomendadas para el SQL Server, que deben implementarse cuando se instale Dell Security si no se han implementado aún. 1 Asegúrese de que el tamaño del bloque NFTS donde residen el archivo de registro y el de datos es de 64 KB. Las extensiones de SQL Server (unidad básica de SQL Storage) son de 64 KB.
9 Certificados En este capítulo se explica cómo obtener certificados para su uso con Servidor de administración de seguridad. Para obtener información sobre cómo configurar la autenticación de SmartCard, consulte http://www.dell.com/support/article/us/en/19/ sln303783/dell-data-protection-sed-management-smartcard-setup-guide?lang=en Para obtener información sobre los requisitos mínimos para solicitar los certificados SSL/TLS para que los utilice el Dell Data Security server, consulte http://www.dell.
5 Ingrese la siguiente información cuando Keytool se la solicite. NOTA: Haga una copia de seguridad de los archivos de configuración antes de modificarlos. Cambie únicamente los parámetros especificados. Si se cambia algún otro dato de estos archivos, incluso las etiquetas, el sistema podría dañarse y presentar errores. Dell no puede garantizar que los problemas derivados de modificaciones no autorizadas a estos archivos se puedan resolver sin reinstalar Servidor de administración de seguridad.
2 Siga el proceso de su organización para la adquisición de un certificado de servidor SSL de una autoridad de certificación. Envíe el contenido de para su firma. NOTA: Hay varios métodos para solicitar un certificado válido. Se muestra un método de ejemplo en Método de ejemplo para solicitar un certificado. 3 Cuando reciba el certificado firmado, guárdelo en un archivo.
5 Pegue el contenido de la solicitud CSR en el cuadro de texto. Seleccione una plantilla de certificado de Web Server y haga clic en Enviar. Enviar una solicitud guardada 6 Guarde el certificado. Seleccione DER codificado y haga clic en Descargar certificado de CA. Descargar certificado de CA 7 Guarde el certificado. Seleccione DER codificado y haga clic en Descargar ruta de certificación CA. Descargar ruta de acceso del certificado de CA 8 Importe el certificado de la autoridad de firma convertido.
17 En Nombre de archivo, ingrese un nombre para guardar el archivo como. Haga clic en Guardar. 18 Haga clic en Siguiente. 19 Haga clic en Finalizar. Aparecerá un mensaje que indica que la exportación se ha realizado con éxito. Cierre el MMC. Cómo agregar un certificado de firma de confianza a Security Server cuando se ha utilizado un certificado no de confianza para SSL 1 Detenga el servicio de Security Server si se está ejecutando.
