Dell Encryption Enterprise for Mac Guia do administrador v10.8 August 2020 Rev.
Notas, avisos e advertências NOTA: Uma NOTA indica informações importantes que ajudam você a usar melhor o seu produto. CUIDADO: um AVISO indica possíveis danos ao hardware ou a possibilidade de perda de dados e informa como evitar o problema. ATENÇÃO: uma ADVERTÊNCIA indica possíveis danos à propriedade, lesões corporais ou risco de morte. © 2012-2020 Dell Inc. All rights reserved.
Índice Capítulo 1: Introdução..................................................................................................................... 5 Visão geral.............................................................................................................................................................................. 5 Criptografia FileVault.........................................................................................................................................................
Capítulo 7: Glossário.....................................................................................................................
1 Introdução O Guia do administrador do Encryption Enterprise para Mac fornece as informações necessárias para implantar e instalar o software cliente. Tópicos: • • • Visão geral Criptografia FileVault Contact Dell ProSupport Visão geral O Encryption Enterprise for Mac pode gerenciar a criptografia completa de disco do FileVault.
2 Requisitos Os requisitos de hardware e software de cliente são apresentados neste capítulo. Verifique se o ambiente de implementação atende aos requisitos antes de continuar com as tarefas de implementação. Tópicos: • • Hardware do Encryption Client Software do Encryption Client Hardware do Encryption Client Os requisitos mínimos de hardware precisam atender às especificações mínimas do sistema operacional.
● Mídia formatada HFS Plus (MacOS Extended) com esquemas de partição de Registro da Inicialização Mestre (MBR) ou Tabela de Partição GUID (GPT). Consulte Ativar o HFS Plus. NOTA: A mídia externa precisa ter 55 MB disponíveis, além de espaço livre na mídia igual ao maior arquivo a ser criptografado para hospedar o Encryption External Media.
3 Tarefas para o Encryption Client Tópicos: • • • • • • • • • Instalar/Fazer upgrade do Encryption Enterprise for Mac Ativar o Encryption Enterprise for Mac Coletar arquivos de log para Encryption Enterprise Visualizar a política e o status da criptografia Volumes do sistema Recuperação Mídia removível Desinstalar o Encryption Enterprise para Mac Desinstalar o Encryption External Media Instalar/Fazer upgrade do Encryption Enterprise for Mac Esta seção ajudará você na instalação/upgrade e no processo de at
● Certifique-se de que você tenha à mão os URLs do Servidor de segurança e do Proxy de política. Os dois são necessários para a instalação e a configuração do software cliente. ● Se a implantação usar uma configuração que não é a padrão, certifique-se de conhecer o número da porta do Servidor de segurança. Ele é necessário para a instalação e a configuração do software cliente. ● Certifique-se de que o computador de destino tenha conectividade de rede com o Servidor de segurança e com o Proxy de política.
15. Clique em Continuar a instalação. A instalação começa. 16. Ao concluir a instalação, clique em Reiniciar. 17. Em uma nova instalação do Encryption Enterprise, a caixa de diálogo Extensão do Sistema Bloqueada é exibida. Para o consentimento do kext, uma ou ambas as caixas de diálogo são exibidas. Extensão do sistema bloqueada Extensão do sistema bloqueada a. Clique em OK. b. Clique em OK. c. Para aprovar essas extensões, selecione Preferências do Sistema > Segurança e Privacidade. d.
* NoAuthenticateUsers [In this sample code, users from a specific domain name can log in without being prompted to activate against the Dell Server.] dsAttrTypeStandard:AuthenticationAuthority ;Kerberosv5;;*@domainName.com;domainName.com* NoAuthenticateUsers [In this sample code, specific users can log in without being prompted to authenticate against the Dell Server.
password XXXX after sleep or screen saver begins." The acceptable range is 0-32400.] EMSTreatsUnsupportedFileSystemAs ignore [For handling Mac OS Extended media. Possible values are ignore, provisioningRejected, or unshieldable. ignore - the media is usable (default). provisioningRejected - retains the value in the Dell Server policy, EMS Access to unShielded Media. unshieldable - If the EMS Access to unShielded Media policy is set to Block, the media is ejected.
Ativar o Encryption Enterprise for Mac O processo de ativação associa contas de usuário de rede do Dell Server ao computador Mac, recupera todas as políticas de segurança da conta, envia atualizações de inventário e de status, ativa fluxos de trabalho de recuperação e fornece relatórios de conformidade abrangentes. O software cliente executa o processo de ativação de cada conta de usuário que encontra no computador à medida que cada usuário faz login na sua conta de usuário.
O DellLogs.zip contém os registros para o Mac Encryption Enterprise. Para obter informações sobre como coletar os logs, consulte http://www.dell.com/support/article/us/en/19/SLN303924. Visualizar a política e o status da criptografia Você pode visualizar a política e o status da criptografia no computador local ou no Management Console. Ver a política e o status no computador local Para visualizar a política e o status da criptografia no computador local, siga o procedimento abaixo. 1.
Certifique-se de que a política Criptografar usando o FileVault para Mac esteja selecionada no Management Console. Quando ativado, o FileVault é usado para criptografar o volume do sistema, incluindo unidades Fusion, com base na configuração de política Volumes direcionados para criptografia.
Estado Descrição Restauração para o estado original O software cliente está restaurando o esquema de partição para seu estado original no final do processo Descriptografando. Esta é a varredura de descriptografia equivalente ao estado Preparando o volume para criptografia. Descriptografado A varredura de descriptografia está concluída.
Emblema Status Um ícone de volume esmaecido indica um dispositivo desmontado. Os motivos são: ● O usuário pode ter escolhido não o provisionar. ● A mídia pode estar bloqueada. NOTA: Um emblema de barra/círculo vermelho neste ícone indica uma partição excluída da proteção por não ser compatível. Abrange volumes com formatação FAT32. Um ícone de volume cheio indica um dispositivo montado. O emblema "Sem gravação" indica que é somente leitura.
Volumes do sistema Ativar criptografia Os seguintes são compatíveis para criptografia: ● Volumes do Sistema de Arquivos da Apple (APFS) que compartilham mídia física com o volume de inicialização. ● Volumes Mac OS X Extended (Journaled) e discos de sistema particionados com o esquema de partição da Tabela de Partição GUID (GPT) Use esse processo para ativar a criptografia em um computador cliente se a criptografia não tiver sido habilitada antes da ativação.
Selecione uma dessas opções: ● Criptografia FileVault de um volume não criptografado ● Assumir o Gerenciamento de um volume existente criptografado por FileVault Criptografia FileVault de um volume não criptografado Com a criptografia FileVault, um usuário adicional sem nome é exibido no PBA. Não exclua esse usuário, pois ele permite que o servidor Dell imponha a política no dispositivo. Se o usuário no PBA for removido, o usuário precisará agir para iniciar as descriptografias controladas pela política.
As tags diferenciam maiúsculas de minúsculas e o valor inteiro deve ser corretamente formado como elementos de dicionário e matriz em uma lista de propriedades. As chaves de dicionário são AND'd juntos. Os valores de matriz são or'd juntos, combinando qualquer elemento de uma matriz com a matriz inteira. NOTA: Se uma regra for formada incorretamente, um erro será exibido na guia Dell Encryption Enterprise > Preferências.
NOTA: Para o macOS High Sierra e o Sistema de arquivos da Apple (APFS), você precisa selecionar Credenciais de contas inicializáveis. ● Chave de recuperação pessoal - se você tem a chave de recuperação pessoal que você recebeu quando a unidade foi criptografada usando o FileVault. a. Digite a chave. Caso um usuário não tenha a chave existente, é possível solicitá-la a um administrador. b. Clique em OK.
Experiência do usuário Para a máxima segurança, o software cliente desativa o recurso Login automático dos computadores Mac OS X. Além disso, o software cliente automaticamente impõe o recurso exigir senha após o início da suspensão ou da proteção de tela do Mac OS X. Um período de tempo configurável também é permitido no modo repouso/proteção de tela antes de impor a autenticação. O software cliente permite que um usuário configure um período de até cinco minutos antes de a autenticação ser imposta.
size >= 500000000 size >= 500000K size >= 500M ● Tipo de sistema de arquivos Regra de lista branca: fstype= pode ser ExFAT, FAT ou HFS+ Para excluir ambos, existe um exemplo para 1TB e mídia HFS+ maior: size>=1T;fstype=HFS+ Recuperação Ocasionalmente, pode ser necessário acessar dados em discos criptografados. Como administrador Dell, você pode acessar discos criptografados sem descriptografá-los, economizando tempo valioso.
Chave de recuperação pessoal Geralmente, a prática recomendada é recuperar o volume de inicialização antes de recuperar volumes de não inicialização, pois ele monta qualquer outro volume que tenha sido criptografado. A recuperação do volume de inicialização normalmente corrige os problemas com os volumes que não são de inicialização. Pré-requisitos ● Uma unidade inicializável externa ● O ID do dispositivo/ID exclusivo do computador que você pretende recuperar.
● Para unidades que não são de inicialização, apenas a chave de recuperação pessoal é mostrada. Um botão Desbloquear é fornecido para desbloquear e montar o volume. 6. Execute um destes processos: ● Recuperar o volume de inicialização (mais comum) ● Recuperar um volume de não inicialização (raramente usado) Recuperar o volume de inicialização (mais comum) Na maioria dos casos de recuperação, use esta opção para recuperar o volume de inicialização: 1. Anote a chave ou clique em Imprimir chave de recuperação.
7. Para salvar o pacote de recuperação no volume de recuperação externo ou no computador que estará executando o utilitário de recuperação para realizar a operação de recuperação, clique em Download e clique em Salvar. 8. Digite um local para o pacote de recuperação e clique em Salvar. Processo 1. Conecte uma unidade externa ao sistema a ser recuperado. A unidade externa precisa ter um volume de inicialização do Mac OS. 2.
● Simultaneamente, mantenha pressionadas as teclas Command-R antes do sinal sonoro de computador ligado/autoteste e durante a inicialização. ou ● Para versões anteriores da Apple, pressione a tecla Option e use o seletor de inicialização para selecionar o Recovery HD. A caixa de diálogo Utilitários do Mac OS X é exibida. 16. No menu Ferramentas, selecione Utilitários > Terminal. 17.
Encryption Exceptions Atributos estendidos não são criptografados na mídia removível. Errors on the Removable Media Tab ● Em um computador desprotegido, não substitua um arquivo criptografado por uma versão descriptografada do arquivo. Posteriormente, isso pode impedir a descriptografia. Pode também ser mostrado como um erro na guia Mídia removível.
3. Digite seu nome de usuário e sua senha e clique em OK. 4. Na tela de confirmação da desinstalação, clique em OK.
4 Activation as Administrator A Client Tool oferece ao administrador novos métodos para a ativação do software cliente em um computador Mac e a análise do software cliente. Há dois métodos de ativação disponíveis: ● Ativação usando as credenciais do administrador ● Ativação temporária que emula o usuário sem deixar rastros nesse computador. Os dois métodos podem ser usados diretamente através de um shell ou em um script.
5 Como usar o Boot Camp Tópicos: • • Suporte para Mac OS X Boot Camp Recuperação do Encryption Enterprise para Windows no Boot Camp Suporte para Mac OS X Boot Camp NOTA: Ao usar o Boot Camp, o Dell Encryption Enterprise não criptografa o sistema operacional Windows. Além disso, se houver duas ou mais partições inicializáveis de macOS no dispositivo, o Encryption Enterprise criptografará apenas o volume primário.
2. No Management Console, copie o pacote de recuperação para uma das seguintes opções: ● Uma unidade USB inicializável ou ● Uma partição FAT no volume Boot Camp externo 3. Desligue o computador com o volume Boot Camp a ser recuperado. 4. Conecte a unidade externa ao computador. Essa unidade contém o volume Boot Camp criado na etapa 1. 5.
6 Client Tool A Client Tool é um comando shell executado em um endpoint Mac. É usada para ativar o cliente a partir de um local remoto ou para executar um script através de um utilitário de gerenciamento remoto. Como administrador, você pode ativar um cliente e fazer o seguinte: ● Ativar como administrador ● Ativar temporariamente ● Recuperar informações do cliente Mac Para usar a Client Tool manualmente, abra uma sessão ssh e digite o comando desejado na linha de comando.
Tabela 1. Comandos da Client Tool (continuação) Comando Finalidade Sintaxe Resultados -fc IdDispositivo arquivoDeRecuperação 11 = Falha no depósito NOTA: O IdDispositivo precisa ser um UUID de volume lógico ou resolvido para exatamente um LVUUID. Um ponto de montagem ou um devnode frequentemente funciona. Política Solicita as políticas do cliente Mac -p Servidor -s Sonda o Dell Server em busca de políticas atualizadas em nome do cliente Mac NOTA: A sondagem pode levar vários minutos para terminar.
Sem erros 0 Erro de parâmetro 4 Comando não reconhecido 5 O soquete esgotou o tempo limite 8 Erro interno 9 Client Tool 35
7 Glossário Security Server - Usado para ativações do Dell Encryption. Policy Proxy - Usado para distribuir políticas para o software cliente. Management Console - Console administrativo do Dell Server para a implantação em toda a empresa. Shield - É possível que você veja este nome na documentação e nas interfaces do usuário. "Shield" é um nome usado para o Dell Encryption.