Dell Encryption Enterprise for Mac Guia do Administrador v10.9 Março 2021 Rev.
Notas, avisos e advertências NOTA: Uma NOTA indica informações importantes que ajudam você a usar melhor o seu produto. CUIDADO: um AVISO indica possíveis danos ao hardware ou a possibilidade de perda de dados e informa como evitar o problema. ATENÇÃO: uma ADVERTÊNCIA indica possíveis danos à propriedade, lesões corporais ou risco de morte. © 2012-2021 Dell Inc. All rights reserved.
Índice Capítulo 1: Introdução..................................................................................................................... 5 Visão geral.............................................................................................................................................................................. 5 Criptografia FileVault.........................................................................................................................................................
Capítulo 7: Glossário.....................................................................................................................
1 Introdução O Guia do administrador do Encryption Enterprise para Mac fornece as informações necessárias para implantar e instalar o software cliente. Tópicos: • • • Visão geral Criptografia FileVault Entre em contato com o Dell ProSupport Visão geral O Encryption Enterprise for Mac pode gerenciar a criptografia completa de disco do FileVault.
2 Requisitos Os requisitos de hardware e software de cliente são apresentados neste capítulo. Verifique se o ambiente de implementação atende aos requisitos antes de continuar com as tarefas de implementação. Tópicos: • • Hardware do Encryption Client Software do Encryption Client Hardware do Encryption Client Os requisitos mínimos de hardware precisam atender às especificações mínimas do sistema operacional.
● Mídia formatada HFS Plus (MacOS Extended) com esquemas de partição de Registro da Inicialização Mestre (MBR) ou Tabela de Partição GUID (GPT). Consulte Ativar o HFS Plus. NOTA: A mídia externa precisa ter 55 MB disponíveis, além de espaço livre na mídia igual ao maior arquivo a ser criptografado para hospedar o Encryption External Media.
3 Tarefas para o Encryption Client Tópicos: • • • • • • • • • Instalar/Fazer upgrade do Encryption Enterprise for Mac Ativar o Encryption Enterprise for Mac Coletar arquivos de log para Encryption Enterprise Visualizar a política e o status da criptografia Volumes do sistema Recuperação Mídia removível Desinstalar o Encryption Enterprise para Mac Desinstalar o Encryption External Media Instalar/Fazer upgrade do Encryption Enterprise for Mac Esta seção ajudará você na instalação/upgrade e no processo de at
● Certifique-se de que você tenha à mão os URLs do Servidor de segurança e do Proxy de política. Os dois são necessários para a instalação e a configuração do software cliente. ● Se a implantação usar uma configuração que não é a padrão, certifique-se de conhecer o número da porta do Servidor de segurança. Ele é necessário para a instalação e a configuração do software cliente. ● Certifique-se de que o computador de destino tenha conectividade de rede com o Servidor de segurança e com o Proxy de política.
15. Clique em Continuar a instalação. A instalação começa. 16. Ao concluir a instalação, clique em Reiniciar. 17. Em uma nova instalação do Encryption Enterprise, a caixa de diálogo Extensão do Sistema Bloqueada é exibida. Para o consentimento do kext, uma ou ambas as caixas de diálogo são exibidas. Extensão do sistema bloqueada Extensão do sistema bloqueada a. Clique em OK. b. Clique em OK. c. Para aprovar essas extensões, selecione Preferências do Sistema > Segurança e Privacidade. d.
* NoAuthenticateUsers [In this sample code, users from a specific domain name can log in without being prompted to activate against the Dell Server.] dsAttrTypeStandard:AuthenticationAuthority ;Kerberosv5;;*@domainName.com;domainName.com* NoAuthenticateUsers [In this sample code, specific users can log in without being prompted to authenticate against the Dell Server.
EMSTreatsUnsupportedFileSystemAs ignore [For handling Mac OS Extended media. Possible values are ignore, provisioningRejected, or unshieldable. ignore - the media is usable (default). provisioningRejected - retains the value in the Dell Server policy, EMS Access to unShielded Media. unshieldable - If the EMS Access to unShielded Media policy is set to Block, the media is ejected.
Ativar o Encryption Enterprise for Mac O processo de ativação associa contas de usuário de rede do Dell Server ao computador Mac, recupera todas as políticas de segurança da conta, envia atualizações de inventário e de status, ativa fluxos de trabalho de recuperação e fornece relatórios de conformidade abrangentes. O software cliente executa o processo de ativação de cada conta de usuário que encontra no computador à medida que cada usuário faz login na sua conta de usuário.
O DellLogs.zip contém os registros para o Mac Encryption Enterprise. Para obter informações sobre como coletar os logs, consulte http://www.dell.com/support/article/us/en/19/SLN303924. Visualizar a política e o status da criptografia Você pode visualizar a política e o status da criptografia no computador local ou no Management Console. Ver a política e o status no computador local Para visualizar a política e o status da criptografia no computador local, siga o procedimento abaixo. 1.
Certifique-se de que a política Criptografar usando o FileVault para Mac esteja selecionada no Management Console. Quando ativado, o FileVault é usado para criptografar o volume do sistema, incluindo unidades Fusion, com base na configuração de política Volumes direcionados para criptografia.
Estado Descrição Restauração para o estado original O software cliente está restaurando o esquema de partição para seu estado original no final do processo Descriptografando. Esta é a varredura de descriptografia equivalente ao estado Preparando o volume para criptografia. Descriptografado A varredura de descriptografia está concluída.
Emblema Status Um ícone de volume esmaecido indica um dispositivo desmontado. Os motivos são: ● O usuário pode ter escolhido não o provisionar. ● A mídia pode estar bloqueada. NOTA: Um emblema de barra/círculo vermelho neste ícone indica uma partição excluída da proteção por não ser compatível. Abrange volumes com formatação FAT32. Um ícone de volume cheio indica um dispositivo montado. O emblema "Sem gravação" indica que é somente leitura.
Volumes do sistema Ativar criptografia Os seguintes são compatíveis para criptografia: ● Volumes do Sistema de Arquivos da Apple (APFS) que compartilham mídia física com o volume de inicialização. ● Volumes Mac OS X Extended (Journaled) e discos de sistema particionados com o esquema de partição da Tabela de Partição GUID (GPT) Use esse processo para ativar a criptografia em um computador cliente se a criptografia não tiver sido habilitada antes da ativação.
● Criptografia FileVault de um volume não criptografado ● Assumir o Gerenciamento de um volume existente criptografado por FileVault Criptografia FileVault de um volume não criptografado Com a criptografia FileVault, um usuário adicional sem nome é exibido no PBA. Não exclua esse usuário, pois ele permite que o servidor Dell imponha a política no dispositivo. Se o usuário no PBA for removido, o usuário precisará agir para iniciar as descriptografias controladas pela política. 1.
NOTA: Se uma regra for formada incorretamente, um erro será exibido na guia Dell Encryption Enterprise > Preferências.
● Chave de recuperação pessoal - se você tem a chave de recuperação pessoal que você recebeu quando a unidade foi criptografada usando o FileVault. a. Digite a chave. Caso um usuário não tenha a chave existente, é possível solicitá-la a um administrador. b. Clique em OK. NOTA: Após a conclusão do processo em que o gerenciamento é assumido, uma nova chave de recuperação pessoal é gerada e depositada. A chave de recuperação anterior é invalidada e removida.
Além disso, o software cliente automaticamente impõe o recurso exigir senha após o início da suspensão ou da proteção de tela do Mac OS X. Um período de tempo configurável também é permitido no modo repouso/proteção de tela antes de impor a autenticação. O software cliente permite que um usuário configure um período de até cinco minutos antes de a autenticação ser imposta. Os usuários podem usar o computador normalmente durante a varredura de criptografia.
size >= 500M ● Tipo de sistema de arquivos Regra da lista de permissões: fstype= pode ser ExFAT, FAT ou HFS+ Para excluir ambos, existe um exemplo para 1TB e mídia HFS+ maior: size>=1T;fstype=HFS+ Recuperação Ocasionalmente, pode ser necessário acessar dados em discos criptografados. Como administrador Dell, você pode acessar discos criptografados sem descriptografá-los, economizando tempo valioso.
● Uma unidade inicializável externa ● O ID do dispositivo/ID exclusivo do computador que você pretende recuperar. Na maioria dos casos, é possível encontrar o computador a ser recuperado no Console de gerenciamento procurando pelo nome de usuário do proprietário e exibindo os dispositivos criptografados para esse usuário. O formato de ID do dispositivo/ID único é "John Doe's MacBook.Z4291LK58RH". ● A mídia de instalação Dell Management Console – Salvar o pacote de recuperação 1.
1. Anote a chave ou clique em Imprimir chave de recuperação. 2. Clique em Fechar. 3. Inicialize o volume que deseja recuperar, usando o Gerenciador de inicialização antes da inicialização, se necessário. O computador exibe ícones para vários usuários ou solicita uma senha. 4. Selecione um usuário, se aplicável, e clique em ? na tela de login. 5. Clique na seta mostrada. 6. Digite a chave de recuperação e pressione Enter. 7. Na caixa de diálogo, digite uma senha nova para o usuário.
4. Monte o arquivo .dmg de instalação. 5. Na pasta Utilities, execute o Dell Recovery Utility. A caixa de diálogo Dell Recovery Utility > Selecionar Volumes é exibida. 6. Selecione o volume do FileVault a ser recuperado e clique em Continuar. A caixa de diálogo Escolher pacote de recuperação é exibida. 7. Selecione o pacote de recuperação e clique em Abrir. Se houver mais de uma chave de recuperação para esse disco, a mensagem Selecionar registro de recuperação é exibida. 8.
/Volumes/recoveryFOB/fv2mount.sh 18. Reinicie o computador. Mídia removível Formatos compatíveis Mídias formatadas FAT32, exFAT ou HFS Plus (Mac OS Extended) com esquemas de partição MBR (Master Boot Record, Registro da inicialização mestre) ou GPT (Tabela de partição GUID) são suportadas. É preciso ativar o HFS Plus. NOTA: Mac atualmente não oferece suporte para gravação de CD/DVD para o Encryption External Media.
● Se houver um marcador de fim de arquivo invalidado, por exemplo, se um arquivo for substituído por um novo conteúdo fora do controle do Encryption External Media e depois montado no Encryption External Media, um erro de fim de arquivo será mostrado na guia Mídia removível. ● Quando você converte arquivos, o espaço livre disponível na mídia precisa ser maior do que o tamanho do maior arquivo a ser convertido.
4 Activation as Administrator A Client Tool oferece ao administrador novos métodos para a ativação do software cliente em um computador Mac e a análise do software cliente. Há dois métodos de ativação disponíveis: ● Ativação usando as credenciais do administrador ● Ativação temporária que emula o usuário sem deixar rastros nesse computador. Os dois métodos podem ser usados diretamente através de um shell ou em um script.
5 Como usar o Boot Camp Tópicos: • • Suporte para Mac OS X Boot Camp Recuperação do Encryption Enterprise para Windows no Boot Camp Suporte para Mac OS X Boot Camp NOTA: Ao usar o Boot Camp, o Dell Encryption Enterprise não criptografa o sistema operacional Windows. Além disso, se houver duas ou mais partições inicializáveis de macOS no dispositivo, o Encryption Enterprise criptografará apenas o volume primário.
● Uma unidade USB inicializável ou ● Uma partição FAT no volume Boot Camp externo 3. Desligue o computador com o volume Boot Camp a ser recuperado. 4. Conecte a unidade externa ao computador. Essa unidade contém o volume Boot Camp criado na etapa 1. 5. Para inicializar o computador a partir da unidade externa do Boot Camp, execute uma destas ações: ● Simultaneamente, mantenha pressionadas as teclas Command-R antes do sinal sonoro de computador ligado/autoteste e durante a inicialização.
6 Client Tool A Client Tool é um comando shell executado em um endpoint Mac. É usada para ativar o cliente a partir de um local remoto ou para executar um script através de um utilitário de gerenciamento remoto. Como administrador, você pode ativar um cliente e fazer o seguinte: ● Ativar como administrador ● Ativar temporariamente ● Recuperar informações do cliente Mac Para usar a Client Tool manualmente, abra uma sessão ssh e digite o comando desejado na linha de comando.
Tabela 1. Comandos da Client Tool (continuação) Comando Finalidade Sintaxe Resultados -fc IdDispositivo arquivoDeRecuperação 11 = Falha no depósito NOTA: O IdDispositivo precisa ser um UUID de volume lógico ou resolvido para exatamente um LVUUID. Um ponto de montagem ou um devnode frequentemente funciona. Política Solicita as políticas do cliente Mac -p Servidor -s Sonda o Dell Server em busca de políticas atualizadas em nome do cliente Mac NOTA: A sondagem pode levar vários minutos para terminar.
Sem erros 0 Erro de parâmetro 4 Comando não reconhecido 5 O soquete esgotou o tempo limite 8 Erro interno 9 34 Client Tool
7 Glossário Security Server - Usado para ativações do Dell Encryption. Policy Proxy - Usado para distribuir políticas para o software cliente. Management Console - Console administrativo do Dell Server para a implantação em toda a empresa. Shield - É possível que você veja este nome na documentação e nas interfaces do usuário. "Shield" é um nome usado para o Dell Encryption.