Dell Encryption Enterprise for Mac Administratorhandbuch v10.8 August 2020 Rev.
Hinweise, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen können. VORSICHT: Ein VORSICHTSHINWEIS warnt vor möglichen Beschädigungen der Hardware oder vor Datenverlust und zeigt, wie diese vermieden werden können. WARNUNG: Mit WARNUNG wird auf eine potenziell gefährliche Situation hingewiesen, die zu Sachschäden, Verletzungen oder zum Tod führen kann. © 2012-2020 Dell Inc. All rights reserved.
Inhaltsverzeichnis Kapitel 1: Einleitung........................................................................................................................ 5 Übersicht................................................................................................................................................................................ 5 FileVault-Verschlüsselung........................................................................................................................................
Kapitel 7: Glossar..........................................................................................................................
1 Einleitung Im Administratorhandbuch zu Encryption Enterprise for Mac sind die Informationen enthalten, die zum Bereitstellen und Installieren der Client-Software benötigt werden. Themen: • • • Übersicht FileVault-Verschlüsselung Kontaktieren des Dell ProSupports Übersicht Encryption Enterprise for Mac kann die vollständige FileVault Datenträgerverschlüsselung verwalten.
2 Anforderungen In diesem Kapitel werden die Hardware- und Softwareanforderungen für den Client erläutert. Stellen Sie sicher, dass die Implementierungsumgebung die Anforderungen erfüllt, bevor Sie mit der Implementierung fortfahren. Themen: • • Encryption-Client-Hardware Encryption Client Software Encryption-Client-Hardware Die Mindestanforderungen für die Hardware müssen den Mindestspezifikationen des Betriebssystems entsprechen.
ANMERKUNG: Um Encryption External Media zu hosten, müssen 55 MB verfügbar sein und auf dem Wechselspeichermedium muss zusätzlich freier Speicherplatz vorhanden sein, dessen Größe der größten zu verschlüsselnden Datei entspricht. Unterstützte Windows-Betriebssysteme (32-Bit und 64-Bit) für den Zugriff auf verschlüsselte Medien • Microsoft Windows 7 SP1 – Enterprise – Professional – Ultimate • Microsoft Windows 8.1 - Windows 8.
3 Aufgaben für den Encryption Client Themen: • • • • • • • • • Installation/Upgrade von Encryption Enterprise for Mac Aktivieren von Encryption Enterprise for Mac Sammeln von Protokolldateien für Encryption Enterprise Verschlüsselungsrichtlinie und Status anzeigen Systemlaufwerke Wiederherstellung Wechselmedien Deinstallieren von Encryption Enterprise for Mac Encryption External Media deinstallieren Installation/Upgrade von Encryption Enterprise for Mac Dieser Abschnitt führt Sie durch den Installations-/
• • • • Security Management Server Virtual Quick Start Guide and Installation Guide (Schnellanleitung und Installationshandbuch für Security Management Server Virtual) Achten Sie darauf, die Sicherheitsserver- und Richtlinien-Proxy-URL zur Hand zu haben. Beide werden für die Installation und Aktivierung der Client-Software benötigt. Wenn Ihre Bereitstellung eine Nicht-Standard-Konfiguration verwendet, stellen Sie sicher, dass Sie die Portnummer für den Sicherheitsserver kennen.
14. Klicken Sie auf OK. ANMERKUNG: Unmittelbar nach Abschluss der Installation müssen Sie einen Neustart des Computers ausführen. Wenn noch Dateien in andere Anwendungen offen sind und Sie den Neustart noch nicht durchführen möchten, klicken Sie auf Abbrechen, speichern Sie die Arbeit und schließen Sie die anderen Anwendungen. 15. Klicken Sie auf Mit der Installation fortfahren. Der Installationsvorgang beginnt. 16. Wenn die Installation abgeschlossen wurde, klicken Sie auf Neustarten. 17.
NoAuthenticateUsers [In this sample code, after one user activates the computer against the Dell Server, other users can log in without being prompted to activate.
Host policyproxy.organization.com [Replace this value with your Policy Proxy URL] Port 8000 [Leave as-is unless there is a conflict with an existing port] Version 2 [Do not modify] MaxPasswordDelay xxxx [Number of seconds to apply to the security policy, "Require password XXXX after sleep or screen saver begins." The acceptable range is 0-32400.
Im linken Fenster > Dateien und Ordner kann der Benutzer die externen Medien (EMS)-Komponenten überprüfen, um die erforderlichen Berechtigungen zu geben. 4. Wählen Sie im linken Bereich die Option Vollständiger Festplattenzugriff aus. Die External Media Dell Encryption App wird jetzt angezeigt. Wenn jedoch die Genehmigungsanforderung noch aussteht, wird das Kontrollkästchen für diese App nicht ausgewählt. 5. Erteilen Sie die Berechtigung, indem Sie das Kontrollkästchen aktivieren.
• Wenn die Verschlüsselung vor der Aktivierung aktiviert wurde, fahren Sie mit Anzeigen von Verschlüsselungsrichtlinie und Status fort. Sammeln von Protokolldateien für Encryption Enterprise In den Systemeinstellungen > Dell Encryption Enterprise >-System-Volumes kann ein Administrator über die Schaltfläche „Protokolle erfassen“ unten rechts vorab Protokolle für den Support erstellen. Diese Maßnahme kann sich auf die Performance auswirken, während Protokolle erfasst werden. DellLogs.
Diese Richtlinie ist die „Master-Richtlinie“ für allen anderen Dell VolumeVerschlüsselungsrichtlinien. Diese Richtlinie muss auf Ein eingestellt werden, damit andere Dell Volume Verschlüsselungsrichtlinien angewendet werden können. Ein aktiviert die Verschlüsselung und initiiert die Verschlüsselung für unverschlüsselte Volumes gemäß den Richtlinien Für die Verschlüsselung vorgesehene Volumes oder Verschlüsseln mit FileVault for Mac. Die Standardeinstellung ist Ein.
Status Beschreibung Warte auf Hinterlegung der Schlüssel Um sicherzustellen, dass alle verschlüsselten Daten wiederhergestellt werden können, beim Dell Server beginnt der Client erst dann mit dem Verschlüsselungsvorgang, wenn alle Verschlüsselungsschlüssel erfolgreich beim Dell Server hinterlegt wurden. Der Client sendet eine Abfrage zur Sicherheitsserver-Verbindung, während sie in diesem Zustand ist, bis die Schlüssel hinterlegt wurden.
Zeichen Volume-Typ und Status Mehrere Laufwerke und keine Verschlüsselung. ANMERKUNG: Das Volume-Symbol ohne Zeichen weist darauf hin, dass keine Maßnahmen am Datenträger vorgenommen worden sind. Dies ist kein Startdatenträger. 5. Klicken Sie auf die Registerkarte Wechselmedien, um den Status der zur Verschlüsselung vorgesehenen Volumes anzuzeigen. Die folgende Tabelle enthält Beispiele für Volume-Konfigurationen für Wechselmedien.
Klicken Sie zum Anzeigen der derzeit wirksamen Richtlinien des Endpunkts im Bereich „Maßnahmen“ auf effektive Richtlinien anzeigen. 6. Klicken Sie auf die Registerkarte Sicherheitsrichtlinien. Über diese Registerkarte können Sie die einzelnen Richtlinientypen erweitern und ggf. einzelne Richtlinien ändern. a. Wenn Sie fertig sind, klicken Sie auf Speichern. b. Klicken Sie im linken Fensterbereich auf Verwaltung > Festlegen.
Die Anzahl, die unter by „Offene Richtlinienänderungen“ angezeigt wird, ist kumulativ. Sie enthält ggf. Änderungen, die auf anderen Endpunkten oder von anderen Administratoren vorgenommen wurden, die das gleiche Konto verwenden. 10. Geben Sie eine Beschreibung der Änderungen in das Kommentarfeld ein und klicken Sie dann auf Richtlinien bestätigen. 11.
Die Client-Software kann den Verschlüsselungsvorgang starten und abschließen und den Verschlüsselungsstatus an die Verwaltungskonsole melden, noch bevor sich die Benutzer anmelden. Auf diese Weise können Sie die Compliance auf allen MacComputern durchsetzen, ohne dass hierfür das Eingreifen des Benutzers erforderlich ist. Ändern der Richtlinie zum Hinzufügen von FileVault-Benutzern FileVault sichert die Daten auf einem Laufwerk, indem diese automatisch verschlüsselt werden.
Für Benutzer im Netzwerk wird die Schaltfläche Konvertieren & Benutzer aktivieren angezeigt. ANMERKUNG: Ein grünes Zeichen neben den Benutzerkonten gibt an, dass FileVault gestartet werden kann. 5. Klicken Sie auf Benutzer aktivieren oder Konvertieren & Benutzer aktivieren. 6. Geben Sie das Kennwort für das ausgewählte Konto an und klicken Sie auf OK. Eine Fortschrittsleiste wird angezeigt. 7. Klicken Sie im Dialogfenster nach der Fertigstellung auf Fertig.
So tauschen Sie das Schlüsselmaterial aus: 1. Laden Sie ein Wiederherstellungspaket von der Verwaltungskonsole herunter und kopieren Sie es in den Desktop des Computers. 2. Starten Sie die Systemeinstellungen und klicken Sie auf Dell Encryption Enterprise. 3. Klicken Sie auf die Registerkarte Systemvolumes. 4. Ziehen Sie das Wiederherstellungspaket aus Schritt 1 in die jeweilige Partition. Ein Dialogfeld fordert Sie dazu auf, die FileVault-Schlüssel auszutauschen. 5. Klicken Sie auf OK.
Ersetzen Sie die Beispielwerte durch die Informationen für Ihr Laufwerk. ANMERKUNG: Sie müssen HFS Plus aktivieren. Siehe dazu Aktivieren von HFS Plus.
• • Persönlicher Wiederherstellungsschlüssel – Die vorhandene FileVault-Verschlüsselung wird durch den Dell Server verwaltet. Falls der neueste Eintrag im Wiederherstellungspaket einen RecoveryKey-Eintrag enthält, befolgen Sie die Schritte unter Persönlicher Wiederherstellungsschlüssel.
5. Wenn das Dialogfeld Wiederherstellungsdatensatz auswählen angezeigt wird, sehen Sie sich die Spalte Hinterlegungsdatum an, wählen Sie das aktuellste Datum für den Typ „Persönlicher Wiederherstellungsschlüssel“ aus und klicken Sie auf Weiter. ANMERKUNG: Bei Verwendung eines älteren Hinterlegungsdatums kann es sein, dass der Schlüssel nicht mehr gültig ist. Das Ergebnis des Wiederherstellungsvorgangs wird angezeigt.
4. 5. 6. 7. Klicken Sie auf den Gerätenamen, um die Seite mit den Endpunktdetails aufzurufen. Klicken Sie auf die Registerkarte Details und Aktionen. Unter dem Punkt Shield klicken Sie auf den Link Geräte-Wiederherstellungsschlüssel. Zum Speichern des Wiederherstellungspakets auf dem externen Wiederherstellungsvolume oder Computer, auf dem das Wiederherstellungsprogramm für den Wiederherstellungsvorgang ausgeführt wird, klicken Sie auf Herunterladen und klicken Sie auf Speichern. 8.
• • Drücken und halten Sie gleichzeitig die Taste Befehl und R (Befehl-R), bevor der Signalton für das Einschalten/den Selbsttest erklingt sowie während des Computerstarts. oder auf Für frühere Versionen von Apple: Drücken Sie die Wahltaste und nutzen Sie die Startauswahl zur Auswahl der Recovery-HD. Das Dialogfeld Mac OS X Dienstprogramme wird angezeigt. 16. Wählen Sie aus dem Extras-Menü die Option Dienstprogramme > Terminal. 17.
Verschlüsselungsausnahmen Erweiterte Attribute werden auf einem Wechselmedium nicht verschlüsselt. Fehler auf der Registerkarte „Wechselmedien“ • • • Ersetzen Sie auf einem Computer ohne Shield eine verschlüsselte Datei nicht durch eine entschlüsselte Version der Datei. Dies könnte eine spätere Entschlüsselung verhindern. Möglicherweise wird auch auf der Registerkarte „Wechselmedien“ ein Fehler angezeigt. Bei der Entwertung einer Dateiende-Markierung, z. B.
4. Klicken Sie im Bestätigungsfenster zur Deinstallation auf OK.
4 Aktivierung als Administrator Das Client-Tool bietet dem Administrator neue Methoden zum Aktivieren der Client-Software auf einem Mac-Computer sowie zum Untersuchen der Client-Software. Es stehen zwei Aktivierungsmethoden zur Verfügung: • • Aktivierung unter Verwendung von Administrator-Anmeldeinformationen Vorübergehende Aktivierung, die den Benutzer emuliert, ohne Fußabdrücke auf dem Computer zu hinterlassen. Beide Methoden können direkt über eine Shell oder in einem Skript verwendet werden.
5 Verwendung von Boot Camp Themen: • • Unterstützung für Mac OS X Boot Camp Wiederherstellung von Encryption Enterprise for Windows auf Boot Camp Unterstützung für Mac OS X Boot Camp ANMERKUNG: Bei Verwendung von Boot Camp verschlüsselt Dell Encryption Enterprise das Windows Betriebssystem nicht. Außerdem verschlüsselt Encryption Enterprise nur das primäre Volume, wenn zwei oder mehr startfähige macOS-Partitionen auf dem Gerät vorhanden sind.
2. Kopieren Sie aus der Verwaltungskonsole das Wiederherstellungspaket auf eines der Folgenden: • Startfähiges USB-Laufwerk oder auf • FAT-Partition auf dem externen Boot Camp-Volume 3. Fahren Sie den Computer mit dem wiederherzustellenden Boot Camp-Volume herunter. 4. Schließen Sie das externe Laufwerk an den Computer an. Das Laufwerk enthält das in Schritt 1 erstellte Boot Camp Volume. 5.
6 Client-Hilfsprogramm Das Client-Tool ist ein Shell-Befehl, der auf einem Mac-Endpunkt ausgeführt wird. Es wird verwendet, um den Client von einem RemoteStandort aus zu aktivieren, oder ein Skript über ein Remote-Verwaltungsdienstprogramm auszuführen.
Tabelle 1. Client-Tool-Befehle (fortgesetzt) Befehl Zweck Syntax Ergebnisse dies darauf hin, dass keine Datenträger verschlüsselt sind.
Zum Abrufen der Richtlinien vom Client und Drucken der Richtlinien. Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -at -plist localAccount domainAccount domainPassword Zum temporären Aktivieren des Clients und dem Drucken des Ergebnisses. Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -s ; echo$? Zum Abfragen des Dell Server für aktualisierte Richtlinien im Namen des Clients und deren Anzeige auf dem Bildschirm.
7 Glossar Sicherheitsserver – wird für Aktivierungen von Dell Encryption verwendet. Richtlinien-Proxy – wird zum Verteilen von Richtlinien für Clientsoftware verwendet. Verwaltungskonsole – die Verwaltungskonsole des Dell Servers für die gesamte Enterprise Bereitstellung. Shield – Ab und an kann in der Dokumentation und auf den Benutzeroberflächen der Begriff „Shield“ auftauchen. „Shield“ steht für Dell Encryption.