Dell Encryption Enterprise for Mac Guia do Administrador v10.8 August 2020 Rev.
Notas, avisos e advertências NOTA: Uma NOTA fornece informações importantes para ajudar a utilizar melhor o produto. AVISO: Um AVISO indica possíveis danos no hardware ou uma perda de dados e explica como pode evitar esse problema. ADVERTÊNCIA: Uma ADVERTÊNCIA indica possíveis danos no equipamento, lesões corporais ou morte. © 2012-2020 Dell Inc. All rights reserved.
Índice Capítulo1: Introdução...................................................................................................................... 5 Descrição geral.......................................................................................................................................................................5 Encriptação FileVault.............................................................................................................................................................
Capítulo7: Glossário......................................................................................................................
1 Introdução O Guia do administrador do Encryption Enterprise para Mac fornece as informações necessárias para implementar e instalar o software cliente. Tópicos • • • Descrição geral Encriptação FileVault Contacte o Dell ProSupport Descrição geral O Encryption Enterprise for Mac é capaz de processar uma encriptação total do disco com FileVault.
2 Requisitos Os requisitos de hardware e software do cliente são apresentados neste capítulo. Certifique-se de que o ambiente de implementação cumpre os requisitos antes de continuar as tarefas de implementação. Tópicos • • Hardware do Encryption Client Software para o cliente de encriptação Hardware do Encryption Client Os requisitos mínimos de hardware necessitam atender as especificações mínimas do sistema operativo.
NOTA: O suporte externo tem de ter 55 MB disponíveis, bem como espaço livre no suporte igual ao maior ficheiro a encriptar para alojar o Encryption External Media. Sistemas operativos Windows (32 e 64 bits) suportados para aceder a suportes multimédia encriptados • Microsoft Windows 7 SP1 - Enterprise - Professional - Ultimate • Microsoft Windows 8.1 - Windows 8.
3 Tarefas para o cliente de encriptação Tópicos • • • • • • • • • Instalar/Atualizar o Encryption Enterprise for Mac Ativar o Encryption Enterprise for Mac Recolher ficheiros de registo para o Encryption Enterprise Ver o estado e a política de encriptação Volumes do sistema Recuperação Suporte multimédia amovível Desinstalar o Encryption Enterprise para Mac Desinstaslar o Encryption External Media Instalar/Atualizar o Encryption Enterprise for Mac Esta secção vai guiá-lo através do processo de instalação/
• • Certifique-se de que o computador de destino tem ligação por rede ao Security Server e ao proxy de políticas. Certifique-se de que tem uma conta de utilizador de domínio na instalação do Active Directory configurada para utilizar com o Dell Server. A conta de utilizador de domínio é utilizada para a ativação do software cliente. Não é necessária a configuração de endpoints Mac para a autenticação de domínio (rede).
17. Com uma nova instalação do Encryption Enterprise, é apresentada a caixa de diálogo Extensão do sistema bloqueada . Para consentimento por kext, é apresentada uma ou ambas as caixas de diálogo. Extensão do Sistema Bloqueada Extensão do Sistema Bloqueada a. Clique em OK. b. Clique em OK. c. Para aprovar estas extensões, selecione Preferências do sistema > Segurança e Privacidade. d.
NoAuthenticateUsers [In this sample code, users from a specific domain name can log in without being prompted to activate against the Dell Server.] dsAttrTypeStandard:AuthenticationAuthority ;Kerberosv5;;*@domainName.com;domainName.com* NoAuthenticateUsers [In this sample code, specific users can log in without being prompted to authenticate against the Dell Server.
ignore [For handling Mac OS Extended media. Possible values are ignore, provisioningRejected, or unshieldable. ignore - the media is usable (default). provisioningRejected - retains the value in the Dell Server policy, EMS Access to unShielded Media. unshieldable - If the EMS Access to unShielded Media policy is set to Block, the media is ejected. If the EMS Access to unShielded Media policy is not set to Block, it is usable as provisioningRejected. The key and value are case sensitive.
Ativar o Encryption Enterprise for Mac O processo de ativação associa as contas de utilizadores de rede do Dell Server ao computador Mac e obtém as políticas de segurança de cada conta, envia atualizações de inventário e de estado, ativa fluxos de trabalho de recuperação e comunicações de conformidade exaustivas. O software cliente executa o processo de ativação para cada conta de utilizador que encontrar no computador, à medida que cada utilizador iniciar sessão na sua conta.
Os ficheiros DellLogs.zip contêm os registos da Mac Encryption Enterprise. Para mais informações sobre como recolher os registos, consulte http://www.dell.com/support/article/us/en/19/SLN303924. Ver o estado e a política de encriptação Pode ver a política de encriptação e o estado no computador encriptado ou na Management Console. Ver a política e o estado no computador local Para ver a política de encriptação e o estado de encriptação no computador local, siga os passos abaixo. 1.
Quando ativado, o FileVault é utilizado para encriptar volumes do sistema, incluindo unidades Fusion, com base na definição de política Volumes visados para encriptação. Encriptação Mac > Definições Globais Mac Volumes visados para encriptação Apenas volume do sistema ou Todas as unidades fixas A definição Apenas volume do sistema protege apenas o volume do sistema em execução no momento.
Cor Descrição Verde Porção encriptada Vermelho Porção desencriptada Amarelo A porção está a ser reencriptada Por exemplo, através de uma alteração nos algoritmos de encriptação. Os dados continuam seguros. Estão apenas a mudar para um tipo de encriptação diferente. O separador Volumes do sistema apresenta todos os volumes anexados ao computador residentes nos discos formatados Tabela de partições GUID (GPT). A tabela seguinte lista exemplos de configurações do volume para unidades internas.
Distintivo Estado Um ícone de volume mais escuro indica que o dispositivo foi montado. O distintivo sem escrita indica que é apenas de leitura. A encriptação está ativada, mas o suporte não está aprovisionado e a política Acesso Encryption External Media a suporte de dados não encriptados está definida como Só de leitura. Suporte de dados encriptados através de Encryption External Media, indicado por um distintivo Dell.
1. Como administrador Dell, inicie sessão na Management Console. 2. No painel esquerdo, clique em Populações > Endpoints. 3. Para estação de trabalho, clique numa opção na coluna hostname ou, se souber o hostname do endpoint, introduza-o no campo Procurar. Pode também introduzir um filtro para procurar o endpoint. NOTA: O caráter universal (*) pode ser utilizado, mas não é necessário no início ou fim do texto. Introduza Nome comum, Nome principal universal ou sAMAccountName. 4.
Se deixar esta caixa de diálogo expirar, terá de reiniciar o computador ou iniciar sessão para que a caixa de diálogo da palavra-passe seja apresentada novamente. 4. Clique em OK. 5. Certifique-se de que cada utilizador tem um token seguro. Consulte https://www.dell.com/support/article/us/en/19/sln309192/ mobile-users-unable-to-activate-dell-encryption-enterprise-for-mac-on-macos-high-sierra?lang=en.
NOTA: • Neste exemplo, os asteriscos à direita representam a última parte dos registos de autoridade de autenticação. Normalmente, e para evitar subespecificações, inclua o registo completo em vez de um asterisco à direita, uma vez que o asterisco corresponde a qualquer informação depois de dois pontos no registo do OpenDirectory. A tecla NFSHomeDirectory requer que qualquer utilizador que passe pela primeira tecla tenha também de ter um diretório raiz em / Users/.
3. (Apenas para volumes de não arranque com encriptação FileVault) Para permitir que a Encriptação da Dell assuma a gestão do volume, introduza a frase de acesso ao volume. Esta é a palavra-passe que foi atribuída ao volume quando foi este foi inicialmente encriptado por FileVault. Assim que a Dell passar a gerir a encriptação do volume, a palavra-passe anterior deixará de ser válida.
3. Clique com o botão direito na linha de uma unidade e, ao mesmo tempo, prima a tecla de comando. É apresentado o item de menu oculto. 4. Clique na opção Copiar regra de lista branca relativa ao suporte de dados amovível atual. A regra de lista branca é copiada para a Área de transferência. 5. Aceda à Área de transferência, copie a regra de lista branca aprovada e envie-a ao seu administrador.
Recuperação do FileVault A recuperação de um volume gerido encriptado pelo FileVault é ditada pela Apple e é automatizada sempre que possível, mas requer mais alguns passos. O utilitário Dell Recovery simplifica a operação das ferramentas de recuperação da Apple com scripts para assistir na montagem de um volume ou, em alguns casos, na sua desencriptação. A funcionalidade de recuperação do FileVault é determinada pelo sistema operativo instalado na partição de destino emparelhada e Recovery HD.
NOTA: O Utilitário de recuperação deverá ser o mesmo ou uma versão mais recente do que a versão do software cliente instalado no computador visado para recuperação. 2. Em Utilitário de recuperação Dell > Selecionar volumes, selecione o volume FileVault. • Ao recuperar um sistema operativo, a melhor prática é iniciar um computador com o mesmo sistema operativo ou posterior. • Se tem volumes de não arranque encriptados, por norma, terá de recuperar a partição de arranque primeiro. 3. Clique em Continuar. 4.
• • • • Um volume de recuperação externo ou computador que irá executar o utilitário de recuperação Uma unidade USB Um cabo Firewire O suporte multimédia de instalação da Dell Management Console - Guardar o pacote de recuperação 1. 2. 3. 4. 5. 6. 7. Abra a Management Console. No painel esquerdo, clique em Populações > Endpoints. Procure o dispositivo a recuperar. Clique no nome do dispositivo para abrir a página Detalhe do Endpoint. Clique no separador Detalhes e ações.
O Resultado da Operação de Recuperação apresenta a chave. O utilitário Recovery envia os ficheiros para a localização selecionada e, em seguida, apresenta os comandos exatos que precisa de executar a partir do volume Recovery HD para montar ou desencriptar o volume FileVault. 14. Depois destes ficheiros serem gerados, copie as strings de comandos apresentadas na caixa de diálogo Resultado da operação de recuperação. 15.
Atualizações de políticas e de Encryption External Media No sistema onde o suporte de dados amovível foi fornecido (ou recuperado), as políticas são atualizadas no suporte de dados amovível durante a montagem. Exceções de encriptação Os atributos expandidos não são encriptados no suporte de dados amovível. Erros no separador Suporte multimédia amovível • • • Num computador desprotegido, não substitua um ficheiro encriptado por uma versão desencriptada do ficheiro.
1. Navegue até Biblioteca > Dell > EMS e selecione a aplicação Uninstall EMS. 2. Na página Uninstall Dell EMS, clique em Desinstalar. 3. Introduza o seu nome de utilizador e palavra-passe, e clique em OK. 4. No ecrã de confirmação da desinstalação, clique em OK.
4 Ativação como administrador O Client Tool oferece ao administrador novos métodos para ativar o software cliente num computador Mac e para analisar o software cliente. Estão disponíveis dois métodos de ativação: • • Ativação com as credenciais de administrador Uma ativação temporária que emula o utilizador sem deixar rastro nesse computador. Ambos os métodos podem ser utilizados diretamente através de uma shell ou de um script.
5 Utilizar o Boot Camp Tópicos • • Assistência Mac OS X Boot Camp Recuperação de Encryption Enterprise for Windows no Boot Camp Assistência Mac OS X Boot Camp NOTA: Ao utilizar o Boot Camp, o Dell Encryption Enterprise não encripta o sistema operativo Windows. Além disso, se existirem duas ou mais partições macOS de arranque no dispositivo, o Encryption Enterprise encripta apenas o volume principal.
2. Na Management Console, copie o pacote de recuperação para uma das seguintes: • Unidade USB de arranque ou em • Partição FAT no volume Boot Camp externo 3. Desligue o computador com o volume Boot Camp para efetuar a recuperação. 4. Ligue a unidade externa ao computador. Esta unidade contém o volume Boot Camp criado no passo 1. 5. Para arrancar o computador a partir de uma unidade Boot Camp externa, efetue um destes passos: 6. 7. 8. 9.
6 Client Tool O Client Tool é um comando shell executado num endpoint Mac. É utilizado para ativar o cliente a partir de uma localização remota ou para executar um script através de um utilitário de gestão remota. Enquanto administrador, pode ativar um cliente e fazer o seguinte: • • • Ativar como administrador Ativar temporariamente Obter informações do cliente Mac Para utilizar o Client Tool manualmente, abra uma sessão ssh e introduza o comando pretendido na linha de comandos.
Tabela 1. Comandos do Client Tool (continuação) Comando Propósito Sintaxe Resultados Recuperação de alterações do FileVault Troca chaves de recuperação para volumes FileVault -fc deviceId recoveryPassphrase 0 = Sucesso -fc deviceId personalRecoveryKey 7= LVUUID não encontrado -fc deviceId pathToKeychain keychainPassword 10 = Falha nas credenciais -fc deviceId recoveryFile 11 = Falha na caução NOTA: O ID do dispositivo tem de ser um UUID de volume lógico ou resolvido para exatamente um LVUUID.
Para ativar o cliente temporariamente e imprimir o resultado. Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -s ; echo$? Para consultar o Dell Server para atualizar as políticas em nome do cliente e apresentá-las no ecrã. Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -d -plist Para obter o estado do disco do cliente e imprimi-lo.
7 Glossário Security Server - Utilizado para ativações do Dell Encryption. Policy Proxy - Utilizado para distribuir políticas para o software cliente. Management Console - A consola de administração do Dell Server para implementação em toda a empresa. Shield - Ocasionalmente, poderá ver este nome na documentação e nas interfaces do utilizador. "Shield" é um nome utilizado para representar o Dell Encryption.