Dell Encryption Enterprise for Mac Guia do Administrador v10.9 Março de 2021 Rev.
Notas, avisos e advertências NOTA: Uma NOTA fornece informações importantes para ajudar a utilizar melhor o produto. AVISO: Um AVISO indica possíveis danos no hardware ou uma perda de dados e explica como pode evitar esse problema. ADVERTÊNCIA: Uma ADVERTÊNCIA indica possíveis danos no equipamento, lesões corporais ou morte. © 2012-2021 Dell Inc. All rights reserved.
Índice Capítulo1: Introdução...................................................................................................................... 5 Descrição geral.......................................................................................................................................................................5 Encriptação FileVault.............................................................................................................................................................
Capítulo7: Glossário......................................................................................................................
1 Introdução O Guia do administrador do Encryption Enterprise para Mac fornece as informações necessárias para implementar e instalar o software cliente. Tópicos • • • Descrição geral Encriptação FileVault Contacte o Dell ProSupport Descrição geral O Encryption Enterprise for Mac é capaz de processar uma encriptação total do disco com FileVault.
2 Requisitos Os requisitos de hardware e software do cliente são apresentados neste capítulo. Certifique-se de que o ambiente de implementação cumpre os requisitos antes de continuar as tarefas de implementação. Tópicos • • Hardware do Encryption Client Software para o cliente de encriptação Hardware do Encryption Client Os requisitos mínimos de hardware necessitam atender as especificações mínimas do sistema operativo.
● São suportados suportes HFS Plus (MacOS Extended) formatados com esquemas de partição Registo de arranque principal (MBR) ou Tabela de partições GUID (GPT). Consulte Ativar HFS Plus. NOTA: O suporte externo tem de ter 55 MB disponíveis, bem como espaço livre no suporte igual ao maior ficheiro a encriptar para alojar o Encryption External Media.
3 Tarefas para o cliente de encriptação Tópicos • • • • • • • • • Instalar/Atualizar o Encryption Enterprise for Mac Ativar o Encryption Enterprise for Mac Recolher ficheiros de registo para o Encryption Enterprise Ver o estado e a política de encriptação Volumes do sistema Recuperação Suporte multimédia amovível Desinstalar o Encryption Enterprise para Mac Desinstaslar o Encryption External Media Instalar/Atualizar o Encryption Enterprise for Mac Esta secção vai guiá-lo através do processo de instalação/
● Se a sua implementação utilizar uma configuração não predefinida, certifique-se de que sabe o número de porta do Security Server. É necessário para a instalação e a ativação do software cliente. ● Certifique-se de que o computador de destino tem ligação por rede ao Security Server e ao proxy de políticas. ● Certifique-se de que tem uma conta de utilizador de domínio na instalação do Active Directory configurada para utilizar com o Dell Server.
16. Quando a instalação estiver concluída, clique em Reiniciar. 17. Com uma nova instalação do Encryption Enterprise, é apresentada a caixa de diálogo Extensão do sistema bloqueada . Para consentimento por kext, é apresentada uma ou ambas as caixas de diálogo. Extensão do Sistema Bloqueada Extensão do Sistema Bloqueada a. Clique em OK. b. Clique em OK. c. Para aprovar estas extensões, selecione Preferências do sistema > Segurança e Privacidade. d.
* NoAuthenticateUsers [In this sample code, users from a specific domain name can log in without being prompted to activate against the Dell Server.] dsAttrTypeStandard:AuthenticationAuthority ;Kerberosv5;;*@domainName.com;domainName.com* NoAuthenticateUsers [In this sample code, specific users can log in without being prompted to authenticate against the Dell Server.
EMSTreatsUnsupportedFileSystemAs ignore [For handling Mac OS Extended media. Possible values are ignore, provisioningRejected, or unshieldable. ignore - the media is usable (default). provisioningRejected - retains the value in the Dell Server policy, EMS Access to unShielded Media. unshieldable - If the EMS Access to unShielded Media policy is set to Block, the media is ejected.
Ativar o Encryption Enterprise for Mac O processo de ativação associa as contas de utilizadores de rede do Dell Server ao computador Mac e obtém as políticas de segurança de cada conta, envia atualizações de inventário e de estado, ativa fluxos de trabalho de recuperação e comunicações de conformidade exaustivas. O software cliente executa o processo de ativação para cada conta de utilizador que encontrar no computador, à medida que cada utilizador iniciar sessão na sua conta.
Os ficheiros DellLogs.zip contêm os registos da Mac Encryption Enterprise. Para mais informações sobre como recolher os registos, consulte http://www.dell.com/support/article/us/en/19/SLN303924. Ver o estado e a política de encriptação Pode ver a política de encriptação e o estado no computador encriptado ou na Management Console. Ver a política e o estado no computador local Para ver a política de encriptação e o estado de encriptação no computador local, siga os passos abaixo. 1.
Certifique-se de que a política Encriptar utilizando o FileVault para Mac está selecionada na Management Console. Quando ativado, o FileVault é utilizado para encriptar volumes do sistema, incluindo unidades Fusion, com base na definição de política Volumes visados para encriptação. Encriptação Mac > Definições Globais Mac Volumes visados para encriptação Apenas volume do sistema ou Todas as unidades fixas A definição Apenas volume do sistema protege apenas o volume do sistema em execução no momento.
"Distrito", Descrição Desencriptado O varrimento da desencriptação está concluído. Cor Descrição Verde Porção encriptada Vermelho Porção desencriptada Amarelo A porção está a ser reencriptada Por exemplo, através de uma alteração nos algoritmos de encriptação. Os dados continuam seguros. Estão apenas a mudar para um tipo de encriptação diferente. O separador Volumes do sistema apresenta todos os volumes anexados ao computador residentes nos discos formatados Tabela de partições GUID (GPT).
Distintivo Estado Um distintivo com um círculo/barra vermelha indica uma partição que foi excluída da proteção porque não é suportada. Isto inclui volumes formatados FAT32. Um ícone de volume mais escuro indica que o dispositivo foi montado. O distintivo sem escrita indica que é apenas de leitura. A encriptação está ativada, mas o suporte não está aprovisionado e a política Acesso Encryption External Media a suporte de dados não encriptados está definida como Só de leitura.
Volumes do sistema Activar encriptação Os seguintes itens são suportados para encriptação: ● Os volumes do Apple File System (APFS) que partilham suportes físicos com o volume de arranque. ● Os volumes Mac OS X Extended (Journaled) e discos do sistema que são particionados com o esquema de partição Tabela de partições GUID (GPT) Utilize este processo para ativar a encriptação num computador cliente no qual a encriptação não foi ativada antes da ativação.
● Encriptação FileVault de um volume não encriptado ● Assumir a gestão de um volume com encriptação FileVault já existente Encriptação FileVault de um volume não encriptado Com encriptação FileVault, é apresentado um utilizador adicional sem nome na PBA. Não elimine este utilizador, pois permite que o Dell Server implemente a política no dispositivo. Se o utilizador da PBA for removido, o utilizador terá de efetuar uma ação para iniciar desencriptações autorizadas pela política. 1.
NOTA: Se uma regra for formada incorretamente, é apresentada uma mensagem de erro no separador Dell Encryption Enterprise > Preferências.
Para o macOS High Sierra e o Apple File System (APFS), tem de selecionar Credenciais de conta de arranque. ● Chave de recuperação pessoal - Se tem a chave de recuperação pessoal que recebeu quando a unidade foi encriptada pelo FileVault: a. Introduza a chave. Se um utilizador não tiver a chave existente, pode solicitá-la ao administrador. b. Clique em OK. NOTA: Depois do processo de assunção estar concluído, é gerada e depositada uma nova chave de recuperação pessoal.
Experiência do utilizador Para máxima segurança, o software cliente desativa a funcionalidade de Início de sessão automático dos computadores com Mac OS X. Além disso, o software cliente adota automaticamente a funcionalidade de solicitar palavra-passe após suspensão ou início da proteção de ecrã do Mac OS X. Além disso, no modo de suspensão/proteção de ecrã, é possível configurar o período de tempo antes de aplicar a autenticação.
tem uma forma de número inteiro decimal com um sufixo opcional de {K, M, G, T} alinhado a 1000, não 1024. Por exemplo, para excluir suportes ou uma unidade maiores do que 500.000.
Chave de recuperação pessoal Normalmente, a melhor prática é recuperar o volume de arranque antes de recuperar volumes de não arranque, uma vez que esta ação monta qualquer outro volume que tenha sido encriptado. A recuperação do volume de arranque normalmente corrige os problemas dos volumes não relacionados com o arranque. Pré-requisitos ● Uma unidade externa de arranque ● O ID do dispositivo/ID único do computador visado para recuperação.
● Recuperar o volume de arranque (mais comum) ● Recuperar um volume de não arranque (raramente utilizada) Recuperar o volume de arranque (mais comum) Para a maioria dos casos de recuperação, utilize esta opção para recuperar o volume de arranque: 1. Anote a chave ou clique em Imprimir chave de recuperação. 2. Clique em Fechar. 3. Efetue o arranque do volume que pretende recuperar, utilizando o Gestor de Arranque em pré-arranque, se necessário.
O disco externo tem de conter um volume de arranque Mac OS. 2. Efetue o arranque na unidade externa mantendo premida a tecla Opção e utilize o seletor de arranque para efetuar a seleção e o arranque a partir deste volume. 3. Copie o pacote de recuperação a partir da Management Console. 4. Monte o ficheiro de instalação .dmg. 5. Na pasta Utilitários, execute o Utilitário de recuperação Dell. É apresentada a caixa de diálogo Utilitário de recuperação Dell > Selecionar volumes. 6.
16. No menu Ferramentas, selecione Utilitários > Terminal. 17. Para montar o volume de forma a poder copiar ficheiros do Terminal ou a criar uma imagem do disco a partir do Utilitário do disco: no Terminal, digite o caminho completo e o nome de script fv2mount.sh, por exemplo: /Volumes/recoveryFOB/fv2mount.sh 18. Reinicie o computador.
Erros no separador Suporte multimédia amovível ● Num computador desprotegido, não substitua um ficheiro encriptado por uma versão desencriptada do ficheiro. Mais tarde, isto poderá impedir a desencriptação. Isto também pode ser apresentado como um erro no separador Suporte multimédia amovível.
4 Ativação como administrador O Client Tool oferece ao administrador novos métodos para ativar o software cliente num computador Mac e para analisar o software cliente. Estão disponíveis dois métodos de ativação: ● Ativação com as credenciais de administrador ● Uma ativação temporária que emula o utilizador sem deixar rastro nesse computador. Ambos os métodos podem ser utilizados diretamente através de uma shell ou de um script.
5 Utilizar o Boot Camp Tópicos • • Assistência Mac OS X Boot Camp Recuperação de Encryption Enterprise for Windows no Boot Camp Assistência Mac OS X Boot Camp NOTA: Ao utilizar o Boot Camp, o Dell Encryption Enterprise não encripta o sistema operativo Windows. Além disso, se existirem duas ou mais partições macOS de arranque no dispositivo, o Encryption Enterprise encripta apenas o volume principal.
● Unidade USB de arranque ou em ● Partição FAT no volume Boot Camp externo 3. Desligue o computador com o volume Boot Camp para efetuar a recuperação. 4. Ligue a unidade externa ao computador. Esta unidade contém o volume Boot Camp criado no passo 1. 5. Para arrancar o computador a partir de uma unidade Boot Camp externa, efetue um destes passos: ● Prima em simultâneo as teclas Command-R antes do sinal sonoro de Power-On/Self-Test e durante o arranque do computador.
6 Client Tool O Client Tool é um comando shell executado num endpoint Mac. É utilizado para ativar o cliente a partir de uma localização remota ou para executar um script através de um utilitário de gestão remota. Enquanto administrador, pode ativar um cliente e fazer o seguinte: ● Ativar como administrador ● Ativar temporariamente ● Obter informações do cliente Mac Para utilizar o Client Tool manualmente, abra uma sessão ssh e introduza o comando pretendido na linha de comandos.
Tabela 1. Comandos do Client Tool (continuação) Comando Propósito Sintaxe Resultados Recuperação de alterações do FileVault Troca chaves de recuperação para volumes FileVault -fc deviceId recoveryPassphrase 0 = Sucesso -fc deviceId personalRecoveryKey 7= LVUUID não encontrado -fc deviceId pathToKeychain keychainPassword 10 = Falha nas credenciais -fc deviceId recoveryFile 11 = Falha na caução NOTA: O ID do dispositivo tem de ser um UUID de volume lógico ou resolvido para exatamente um LVUUID.
Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -s ; echo$? Para consultar o Dell Server para atualizar as políticas em nome do cliente e apresentá-las no ecrã. Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -d -plist Para obter o estado do disco do cliente e imprimi-lo.
7 Glossário Security Server - Utilizado para ativações do Dell Encryption. Policy Proxy - Utilizado para distribuir políticas para o software cliente. Management Console - A consola de administração do Dell Server para implementação em toda a empresa. Shield - Ocasionalmente, poderá ver este nome na documentação e nas interfaces do utilizador. "Shield" é um nome utilizado para representar o Dell Encryption.