Dell Data Protection Konfigurationsleitfaden
____________________ © 2014 Dell Inc. Eingetragene Marken und Marken, die in den Dokumenten zu DDP|E, DDP|ST und DDP|CE verwendet werden: Dell™ und das Dell Logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS® und KACE™ sind Marken von Dell Inc. Intel®, Pentium®, Intel Core Inside Duo®, Itanium® und Xeon® sind eingetragene Marken der Intel Corporation in den USA und anderen Ländern. Adobe®, Acrobat® und Flash® sind eingetragene Marken von Adobe Systems Incorporated.
Inhalt 1 Compatibility Server konfigurieren server_config.xml gkresource.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Core Server konfigurieren PolicyService.config. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 . .
Erzwungene Abfrage Bestandsoptionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Nicht-Domänen-Aktivierungen 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Komponenten für die Kerberos-Authentifizierung/-Autorisierung konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1 Compatibility Server konfigurieren In diesem Kapitel sind die Parameter aufgeführt, die Sie ändern können, um den Compatibility Server optimal an Ihre Umgebung anzupassen. Erstellen Sie vor der Bearbeitung von Konfigurationsdateien eine Sicherungskopie. Ändern Sie nur dokumentierte Parameter in dieser Datei. Wenn Sie andere Daten in dieser Datei ändern, beispielsweise Tags, kann dies zu einem Systemschaden und -ausfall führen.
server_config.xml Parameter Standardeinstellung rmi.recovery.host Erläuterung So wird EMS-Wiederherstellung für mehrere Server eingesetzt: rmi://foo.fabrikam.com:1099 rmi://foo.fabrikam2.com:1099 --> default.gatekeeper.group.
server_config.xml Parameter Standardeinstellung Erläuterung gatekeeper.service.max.sessions 5 Maximale Anzahl der Richtlinien-Proxy-Sitzungen. gatekeeper.service.max.session.timeout 5 Zeitüberschreitung für die maximale Anzahl der Richtlinien-Proxy-Sitzungen. security.authorization.method.IAdmini strativeService.updateAdminRoles AcctAdmin Rolle, die zur Aktualisierung von Gruppen- oder Benutzeradministratorrollen erforderlich ist. security.authorization.method.IAdmini strativeService.
server_config.xml Parameter Standardeinstellung security.authorization.method.IAdmini strativeService.addLicense SystemAdmin Rolle, die zum Hinzufügen von Enterprise-Lizenzen erforderlich ist. security.authorization.method.IAdmini strativeService.getLicense SystemAdmin Rolle, die zum Anzeigen der Enterprise-Lizenz erforderlich ist. security.authorization.method.IDevice Manager.recoverDevice HelpDeskAdmin,SecAdmin Rollen, die zum Wiederherstellen eines Geräts erforderlich sind. security.
server_config.xml Parameter Standardeinstellung dao.db.name Erläuterung Name der Datenbank. Dieser Parameter wird im Konfigurationstool geändert. dao.db.user Benutzername mit sämtlichen Berechtigungen für die Datenbank. Dieser Parameter wird im Konfigurationstool geändert. dao.db.password Passwort für den Benutzernamen mit sämtlichen Berechtigungen für die Datenbank. Dieser Parameter wird im Konfigurationstool geändert. dao.db.max.retry.
server_config.xml Parameter Standardeinstellung Erläuterung rmi.server.registry.host localhost Der einzige Zweck der Hosteigenschaft besteht darin, dass Clientprogramme bestimmen können, wo sich die Registrierung befindet. Sie kommt während der Erstellung der RMI-Registrierung und von Remoteobjekten nicht zum Einsatz. Wird in localhost erstellt. rmi.server.registry.port 1099 Der RMI-Registrierungsport kann während der Installation konfiguriert werden.
server_config.xml Parameter Standardeinstellung security.authorization.method.IKeyServ ice.getKeys ForensicAdmin accountType.nonActiveDirectory.aktiviert False Erläuterung Diese Einstellung wird mit einem forensischen Integrationsplugin verwendet. Wenden Sie sich an den Dell-Support, wenn die Integration eines forensischen Tools benötigt wird. Das Zulassen von Nicht-Domänen-Aktivierungen ist eine erweiterte Konfiguration mit weitreichenden Konsequenzen.
run-service.conf Einige der folgenden Parameter können in \conf\run-service.conf geändert werden. Diese Parameter werden bei der Installation automatisch festgelegt. So passen Sie Dienste an bzw. nehmen daran Konfigurationsänderungen vor: 1 Beenden Sie den Dienst. 2 Entfernen Sie den Dienst. 3 Bearbeiten und speichern Sie die Datei run-service.conf. Es empfiehlt sich, die Änderungen in Form von Kommentaren am Anfang der Datei festzuhalten.
2 Core Server konfigurieren In diesem Kapitel sind die Parameter aufgeführt, die Sie ändern können, um den Core Server optimal an Ihre Umgebung anzupassen. Ändern Sie nur dokumentierte Parameter in dieser Datei. Wenn Sie andere Daten in dieser Datei ändern, beispielsweise Tags, kann dies zu einem Systemschaden und -ausfall führen. Dell kann nicht gewährleisten, dass sich Probleme als Folge nicht autorisierter Änderungen an dieser Datei ohne Neuinstallation des Core Servers beheben lassen.
Credant.Server2.WindowsService.exe.Config Entfernen Sie den folgenden Abschnitt: Spring.config Entfernen Sie Folgendes: Entfernen Sie alle -Definitionen unter den Überschriften AOP Advice, Web Service Target Definition und Web Service Host Definition.
Verzeichnis des Compatibility Servers zur Core Server-Konfigurationsdatei hinzufügen Weil es sich beim Core Server um eine .NET-Anwendung handelt, kann aufgrund der Berechtigungen der Zugriff auf Registrierungsinformationen gesperrt sein. Der Core Server benötigt zum Lesen des secretkeystore (des Datenbank-Verschlüsselungsschlüssels) Zugriff auf die Registrierungsinformationen des Compatibility Servers, die den Speicherpfad des secretkeystore enthalten.
Konfigurationsleitfaden
3 Device Server konfigurieren In diesem Kapitel sind die Parameter aufgeführt, die Sie ändern können, um den Device Server optimal an Ihre Umgebung anzupassen. Ändern Sie nur dokumentierte Parameter in dieser Datei. Wenn Sie andere Daten in dieser Datei ändern, beispielsweise Tags, kann dies zu einem Systemschaden und -ausfall führen. Dell kann nicht gewährleisten, dass sich Probleme als Folge nicht autorisierter Änderungen an dieser Datei ohne Neuinstallation des Device Servers beheben lassen. eserver.
eserver.properties Parameter Standardeinstellung eserver.ciphers Erläuterung Legt die Liste der Verschlüsselungschiffren fest. Die einzelnen Chiffren sollten durch Kommas getrennt werden. Bleibt die Zeile leer, lässt das Socket jede verfügbare Chiffre zu, die von Tomcat unterstützt wird. Entfernen Sie die Kommentarmarkierung im Beispiel unten, um die Liste der Verschlüsselungschiffren festzulegen. Trennen Sie die einzelnen Chiffren durch Kommas.
4 Security Server konfigurieren In diesem Kapitel sind die Parameter aufgeführt, die Sie ändern können, um den Security Server optimal an Ihre Umgebung anzupassen. Ändern Sie nur dokumentierte Parameter in dieser Datei. Wenn Sie andere Daten in dieser Datei ändern, beispielsweise Tags, kann dies zu einem Systemschaden und -ausfall führen. Dell kann nicht gewährleisten, dass sich Probleme als Folge nicht autorisierter Änderungen an diesen Dateien ohne Neuinstallation des Security Servers beheben lassen.
context.properties Parameter Standardeinstellung Erläuterung service.support.enable true Aktiviert den Abruf von Metainformationen über den Server. service.device.enable true Aktiviert die Unterstützung von Shield-Diensten wie die SDE-Schlüsselspeicherung.
Verschlüsselungsfunktionen konfigurieren 5 In diesem Abschnitt wird beschrieben, wie Verschlüsselungsfunktionen eigenständig geregelt werden. Löschen temporärer Dateien verhindern Standardmäßig werden alle temporären Dateien im Verzeichnis c:\windows\temp bei Installation/Upgrade von DDPE automatisch gelöscht. Durch das Löschen der temporären Dateien vor der ersten Verschlüsselungssuche wird die Verschlüsselungsdauer verkürzt.
Die Aktivierung und Konfiguration der Aktivierung mit Zeitfenster erfolgt über das Shield-Installationsprogramm oder die Shield-Workstation. Für Benutzer, die eine Aktivierung durch VPN benötigen, kann eine Aktivierungskonfiguration mit Zeitfenster erforderlich sein, damit die anfängliche Aktivierung lange genug verzögert wird, um der VPN-Client-Software den Aufbau einer Netzwerkverbindung zu erlauben. ACHTUNG: Konfigurieren Sie die Aktivierung mit Zeitfenster nur mit Hilfe des Kundensupports.
PingProxy (DWORD-Wert)=1 Je nach der Shield-Version werden die Registrierungseinstellungen entweder automatisch geschlossen oder sie ändern sich nach der Abfrage von 1 auf 0. Je nach den Zugriffsrechten des Administrators kann für die Erstellung dieser Registrierungseinstellungen eine Änderung der Zugriffsrechte erforderlich sein. Falls beim Versuch, ein neues DWORD zu erstellen, Probleme auftreten, befolgen Sie die nachstehenden Schritte, um die Zugriffsrechte zu ändern.
Konfigurationsleitfaden
6 Komponenten für die Kerberos-Authentifizierung/-Autorisierung konfigurieren In diesem Abschnitt wird beschrieben, wie Komponenten zur Verwendung mit der Kerberos-Authentifizierung/-Autorisierung konfiguriert werden. Komponenten für die Kerberos-Authentifizierung/-Autorisierung konfigurieren HINWEIS: Wenn die Kerberos-Authentifizierung/-Autorisierung verwendet werden soll, muss der Server, der die Key Server-Komponente enthält, zur betroffenen Domäne gehören.
4 Gehen Sie zu und ändern Sie „epw“ in „password“. Ändern Sie dann „“ in das Passwort des Benutzers aus Schritt 3. Beim Neustart des Servers wird dieses Passwort neu verschlüsselt. Wenn Sie in Schritt 3 „superadmin“ verwendet haben und das Superadmin-Passwort nicht „changeit“ lautet, muss es hier geändert werden. 5 Speichern Sie Ihre Änderungen und schließen Sie die Datei.
Anleitungen für die Remote Management Console 1 2 3 4 Melden Sie sich gegebenenfalls bei der Remote Management Console an. Klicken Sie auf Domänen und dann auf das Symbol Detail. Klicken Sie auf Key Server. Fügen Sie der Key Server-Kontoliste den Benutzer hinzu, der die Administratoraufgaben ausführt. Das Format lautet „Domäne\Benutzername“. Klicken Sie auf Konto hinzufügen. 5 Klicken Sie im linken Menü auf Benutzer. Geben Sie in das Suchfeld den in Schritt 4 hinzugefügten Benutzernamen ein.
Konfigurationsleitfaden
Forensische Administratorrolle zuweisen 7 Standardmäßig ist die forensische Autorisierung auf Back-End-Servern aktiviert und auf Front-End-Servern deaktiviert. Diese Einstellungen werden bei der Installation für den Device Server und den Security Server vorgenommen. Anleitungen für die Remote Management Console 1 Melden Sie sich gegebenenfalls bei der Remote Management Console an. 2 Klicken Sie im linken Bereich auf Verwalten > Benutzer.
Konfigurationsleitfaden
8 Cron-Ausdrücke In diesem Abschnitt wird beschrieben, wie Cron-Ausdrucksformate und Sonderzeichen verwendet werden. Einführung in Cron-Ausdrücke Cron ist ein bewährtes UNIX-Tool, das leistungsstarke Planungsfunktionen bietet. Die CronTrigger-Klasse basiert auf den Planungsfunktionen von Cron. CronTrigger verwendet Cron-Ausdrücke, mit denen Zeitpläne für die Auslösung von Vorgängen erstellt werden können, beispielsweise um 8.00 Uhr jeden Montag bis Freitag oder um 1.30 Uhr jeden letzten Freitag im Monat.
• Mit dem Zeichen / werden Inkremente angegeben. 0/15 im Feld für die Sekunden steht für die Sekunden 0, 15, 30 und 45. 5/15 im Feld für die Sekunden steht für die Sekunden 5, 20, 35 und 50. Die Angabe von * vor / entspricht der Angabe von 0 als Startwert. 1/3 im Feld für den Tag des Monats bedeutet, dass der Vorgang ab dem ersten Tag des Monats alle drei Tage ausgelöst wird. Im Grunde gibt es für jedes Feld im Ausdruck eine Reihe von Zahlen, die zur Auslösung des Vorgangs verwendet werden können.
Beispiele Ausdruck Erläuterung 0 0 12 * * ? Auslösung um 12.00 Uhr mittags jeden Tag 0 15 10 ? * * Auslösung um 10.15 Uhr jeden Tag 0 15 10 * * ? Auslösung um 10.15 Uhr jeden Tag 0 15 10 * * ? * Auslösung um 10.15 Uhr jeden Tag 0 15 10 * * ? 2005 0 * 14 * * ? 0 0/5 14 * * ? 0 0/5 14,18 * * ? Auslösung um 10.15 Uhr jeden Tag während des Jahres 2005 Auslösung jede Minute, beginnend um 14.00 Uhr und endend um 14.59 Uhr jeden Tag Auslösung alle fünf Minuten, beginnend um 14.00 Uhr und endend um 14.
Konfigurationsleitfaden
Selbstsignierte Zertifikate mit Keytool erstellen und Anfragen zum Signieren von Zertifikaten erstellen 9 HINWEIS: In diesem Abschnitt werden die Schritte zum Erstellen eines selbstsignierten Zertifikats für die Java-basierten Komponenten beschrieben. Anhand dieses Verfahrens können keine selbstsignierten Zertifikate für .NET-basierte Komponenten erstellt werden. Für Produktionsumgebungen sind selbstsignierte Zertifikate nicht zu empfehlen.
• • • • • • Vor- und Nachname: Geben Sie den vollständigen Namen des Servers ein, auf dem die Komponente, mit der Sie arbeiten, installiert ist. Zum vollständigen Namen gehören der Hostname und der Domänenname (Beispiel: server.dell.com). Organisationseinheit: Geben Sie den entsprechenden Wert ein (Beispiel: Sicherheit). Organisation: Geben Sie den entsprechenden Wert ein (Beispiel: Dell). Ort: Geben Sie den entsprechenden Wert ein (Beispiel: München). Bundesstaat bzw.
Abbildung 9-1. .csr-Beispieldatei 2 Befolgen Sie Ihr Organisationsverfahren zum Erwerb eines SSL-Serverzertifikats bei einer Zertifizierungsstelle. Senden Sie den Inhalt von zum Signieren. HINWEIS: Es gibt verschiedene Methoden zur Anforderung eines gültigen Zertifikats. Ein Beispiel finden Sie unter Beispielmethode zur Anforderung eines Zertifikats. 3 Speichern Sie das signierte Zertifikat nach Erhalt in einer Datei.
2 Wählen Sie Request a certificate (Zertifikat anfordern) aus und klicken Sie auf Next > (Weiter). Abbildung 9-2. Microsoft-Zertifikatdienste 3 Wählen Sie Advanced Request (Erweiterte Anforderung) aus und klicken Sie auf Next > (Weiter). Abbildung 9-3.
4 Wählen Sie die Option zum Einreichen einer Zertifikatanforderung, die eine Base64-codierte PKCS10-Datei verwendet, und klicken Sie auf Next > (Weiter). Abbildung 9-4. Erweiterte Zertifikatanforderung 5 Kopieren Sie den Inhalt der CSR-Anforderung in das Textfeld. Wählen Sie die Zertifikatvorlage Web Server (Webserver) aus und klicken Sie auf Submit > (Senden). Abbildung 9-5.
6 Speichern Sie das Zertifikat. Wählen Sie DER encoded (DER-codiert) aus und klicken Sie auf Download CA certificate (Download des Zertifizierungsstellenzertifikats). Abbildung 9-6. Download des Zertifizierungsstellenzertifikats 7 Speichern Sie das Zertifikat. Wählen Sie DER encoded (DER-codiert) aus und klicken Sie auf Download CA certification path (Download des Zertifizierungsstellen-Zertifizierungspfads). Abbildung 9-7.
8 Importieren Sie das konvertierte Zertifikat der Zertifizierungsstelle. Kehren Sie zum DOS-Fenster zurück. Geben Sie Folgendes ein: keytool -import -trustcacerts -file -keystore cacerts 9 Nach dem Import des Zertifikats der Zertifizierungsstelle kann nun das Serverzertifikat importiert werden (die Zertifikatkette kann eingerichtet werden).
Konfigurationsleitfaden
0XXXXXA0X