Dell Data Protection Guia de configuração
© 2014 Dell Inc. Marcas comerciais e marcas comerciais registradas usadas no DDP|E, DDP|ST, e no pacote de documentos DDP|CE: Dell™ e o logotipo da Dell, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, e KACE™ são marcas comerciais da Dell Inc. Intel®, Pentium®, Intel Core Inside Duo®, Itanium®, e Xeon® são marcas comerciais registradas da Intel Corporation nos Estados Unidos da América e em outros países.
Índice 1 Configurar o Servidor de compatibilidade . server_config.xml gkresource.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Configurar o Servidor central PolicyService.config. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ativação com intervalo . Sondagem forçada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Opções de inventário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ativações sem domínio . 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1 Configurar o Servidor de compatibilidade Este capítulo detalha os parâmetros que podem ser alterados para ajustar o Servidor de compatibilidade para o seu ambiente. Sempre faça um backup dos arquivos de configuração antes de editá-los. Altere somente os parâmetros documentados neste arquivo. Alterar outros dados neste arquivo, incluindo tags, pode causar falha e corromper o sistema.
server_config.xml Parâmetro Padrão rmi.recovery.host Descrição Para usar o Multi-Server EMS Recovery: default.gatekeeper.group.
server_config.xml Parâmetro triage.execute.time Padrão Descrição 0 0 0/6 * * Triagem é o processo de reconciliar os usuários e grupos que o servidor já conhece. A configuração padrão é 0 0 0/6 * * ?, o que significa que fazemos a triagem a cada 6 horas a partir de meia-noite (meia-noite, 6:00, meio-dia, 18:00, meia-noite...) gatekeeper.service.max.sessions 5 Número máximo de sessões proxy de política. gatekeeper.service.max.session.
server_config.xml Parâmetro Padrão security.authorization.method.IAdministrat iveService.findLdapGroups SystemAdmin,SecAdmin Funções necessárias para encontrar grupos LDAP. security.authorization.method.IAdministrat iveService.findLdapUsers SystemAdmin,SecAdmin Funções necessárias para encontrar usuários LDAP. security.authorization.method.IAdministrat iveService.addUsers SystemAdmin,SecAdmin Funções necessárias para adicionar usuários. security.authorization.method.IAdministrat iveService.
server_config.xml Parâmetro Padrão db.schema.version.patch dao.db.driver.dir Descrição Versão do patch do esquema de banco de dados. $dell.home$/lib/mssql-microsoft dao.db.host Localização padrão do driver do banco de dados. Se você mudar esse arquivo da localização padrão, atualize este parâmetro. Nome de host do seu servidor de banco de dados. Este parâmetro é alterado na Ferramenta de configuração. dao.db.name O nome do seu banco de dados. Este parâmetro é alterado na Ferramenta de configuração.
server_config.xml Parâmetro vfs.file.handler.event gatekeeper.resource Padrão Descrição com.credant.guardian.server.vfs.EventFileH Handler de arquivo de evento. andler $dell.home$/conf/gkresource.xml Se você mover o arquivo de recurso Gatekeeper da localização padrão, atualize este parâmetro. $dell.home$/conf/gkconfig.xml Se você mover o arquivo de recurso Gatekeeper da localização padrão, atualize este parâmetro. rmi.server.registry.
server_config.xml Parâmetro Padrão Descrição security.authorization.method.IReportingSe AcctAdmin,HelpDeskAdmin,SystemAdmin Funções necessárias para visualizar o rvice.getUserDetail ,SecAdmin relatório de detalhes do usuário. security.authorization.method.IReportingSe AcctAdmin,HelpDeskAdmin,SystemAdmin Funções necessárias para visualizar o rvice.getGroupDetail ,SecAdmin relatório de detalhes do grupo. security.authorization.method.
run-service.conf Você pode mudar alguns dos seguintes parâmetros em \conf\run-service.conf. Estes parâmetros são ajustados automaticamente durante a instalação. Para personalizar ou fazer alterações de configuração para qualquer serviço: 1 Pare o serviço. 2 Remova o serviço. 3 Edite e salve o arquivo run-service.conf. Recomendamos que você rastreie suas alterações nos comentários no início do arquivo, 4 Reinstale o serviço. 5 Inicie o serviço.
2 Configurar o Servidor central Este capítulo detalha os parâmetros que podem ser alterados para ajustar o Servidor central para o seu ambiente. Altere somente os parâmetros documentados neste arquivo. Alterar outros dados neste arquivo, incluindo tags, pode causar falha e corromper o sistema. A Dell não garante que os problemas resultantes de alterações não autorizadas nesse arquivo possam ser resolvidas sem reinstalar o Servidor central.
Credant.Server2.WindowsService.exe.Config Remova a seguinte seção: Spring.config Remova o seguinte: Remova todas as definições de nos cabeçalhos de Aviso AOP, Definição de alvo de serviço da web e Definição de host de serviço da web.
Adicionar localização da pasta do servidor de compatibilidade no arquivo de configuração do servidor central O servidor central, sendo um aplicativo .Net, às vezes pode ser impedido de acessar informações de registro devido as permissões. O problema é que o servidor central, para ler o secretkeystore (a chave de criptografia de banco de dados), precisa acessar informações de configuração do registro do servidor de compatibilidade para obter a localização do secretkeystore.
Guia de configuração
3 Configurar o Servidor de dispositivo Este capítulo detalha os parâmetros que podem ser alterados para ajustar o Servidor de dispositivo para o seu ambiente. Altere somente os parâmetros documentados neste arquivo. Alterar outros dados neste arquivo, incluindo tags, pode causar falha e corromper o sistema. A Dell não garante que os problemas resultantes de alterações não autorizadas nesse arquivo possam ser resolvidas sem reinstalar o Servidor de dispositivo. eserver.
eserver.properties Parâmetro Padrão eserver.ciphers Descrição Define a lista de cifras de criptografia. Cada cifra deve ser separada por uma vírgula. Se for deixado vazio, o soquete permitirá qualquer cifra disponível suportada pelo Tomcat. Remova o comentário do exemplo abaixo para definir a lista de cifras de criptografia. Separe cada cifra com uma vírgula. Consulte o guia de referência JSSE da Sun para obter a lista de nomes dos conjuntos de cifras válidas. #eserver.
4 Configurar o Servidor de segurança Este capítulo detalha os parâmetros que podem ser alterados para ajustar o Servidor de segurança para o seu ambiente. Altere somente os parâmetros documentados neste arquivo. Alterar outros dados neste arquivo, incluindo tags, pode causar falha e corromper o sistema. A Dell não garante que os problemas resultantes de alterações não autorizadas nesse arquivo possam ser resolvidas sem reinstalar o Servidor de segurança. context.
Guia de configuração
5 Configurar recursos de criptografia Esta seção explica como controlar os recursos de criptografia de forma independente. Evitar exclusão de arquivo temporário Por padrão, todos os arquivos temporários no diretório c:\windows\temp são excluídos automaticamente durante a instalação/atualização do DDPE. A exclusão de arquivos temporários acelera a criptografia inicial e ocorre antes da varredura de criptografia inicial.
A ativação com intervalo é habilitada e configurada através do instalador Shield ou da estação de trabalho Shield. Para os usuários que necessitam de ativação por VPN, a configuração de ativação com intervalo para o Shield pode ser obrigada a adiar a ativação inicial por tempo suficiente para que haja tempo para o software cliente VPN estabelecer uma conexão de rede. ATENÇÃO: Configure a ativação com intervalo apenas com o auxílio do suporte ao cliente.
Dependendo da versão do Shield, a configuração do registro desaparecerá automaticamente ou alterará de 1 para 0 após a conclusão da sondagem. Dependendo do conjunto de permissões de um usuário administrador, uma alteração de permissões pode ser necessária para criar essa configuração de registro. Se surgirem problemas durante a tentativa de criar uma nova DWORD, siga as etapas abaixo para fazer a mudança de permissões. 1 No registro do Windows, vá para HKLM\SOFTWARE\Credant\CMGShield\Notify.
Guia de configuração
6 Configurar os componentes para autorização/autenticação do Kerberos Esta seção explica como configurar os componentes para uso com autenticação/autorização do Kerberos. Configurar os componentes para autorização/autenticação do Kerberos OBSERVAÇÃO: Se a autorização/autenticação do Kerberos for usada, então o servidor que contém o componente do servidor de chaves terá de fazer parte do domínio afetado. O servidor de chaves é um serviço que escuta os clientes conectarem em um soquete.
4 Vá até e altere "epw" para "senha". Depois altere "" para a senha do usuário na etapa 3. Esta senha é re-criptografada quando o servidor for reiniciado. Se estiver usando "superadmin" na etapa 3 e a senha superadmin não for "changeit", ela deverá ser alterado aqui. 5 Salve suas alterações e feche o arquivo. Exemplo de arquivo de configuração:
Instruções do Console de gerenciamento remoto 1 Se necessário, efetue login no Console de gerenciamento remoto. 2 Clique em Domínios e clique no ícone Detalhes. 3 Clique no Servidor de chave. 4 Na lista de contas do servidor de chaves, adicione o usuário que realizará as atividades de administrador. O formato é domínio\nome de usuário. Clique em Adicionar conta. 5 Clique em Usuários no menu esquerdo. Na caixa de pesquisa, procure o nome de usuário adicionado na Etapa 4. Clique em Pesquisar.
Guia de configuração
7 Atribuir função Administrador Forense Por padrão, a Autorização forense está ativada em servidores de back-end e desativada em servidores front-end. Essas configurações são posicionadas adequadamente no momento da instalação no Servidor de dispositivo e no Servidor de segurança. Instruções do Console de gerenciamento remoto 1 Se necessário, efetue login no Console de gerenciamento remoto. 2 No painel esquerdo, clique em Gerenciar > Usuários.
Guia de configuração
8 Expressões Cron Esta seção explica como usar formatos de expressão cron e caracteres especiais. Introdução às expressões Cron Cron é uma ferramenta UNIX que está presente a um longo tempo, então as suas capacidades de agendamento são poderosas e comprovadas. A classe CronTrigger baseia-se nos recursos de agendamento do cron. O CronTrigger usa expressões cron, que podem criar agendamentos de disparos, como às 8h00 de segunda a sexta-feira ou à 1:30 toda última sexta-feira do mês.
• O caractere / é usado para especificar incrementos. 0/15 no campo segundos significa os segundos 0, 15, 30 e 45. 5/15 no campo segundos significa os segundos 5, 20, 35 e 50. Especificar * antes de / equivale a especificar 0 como o valor para começar. 1/3 no campo de dia do mês significa disparar a cada 3 dias, começando no primeiro dia do mês. Basicamente, para cada campo na expressão, há um conjunto de números que podem ser ativados ou desativados. Para segundos e minutos, os números variam de 0 a 59.
Exemplos Expressão Significado 0 0 12 * * ? Disparo às 12h (meio-dia) todos os dias 0 15 10 ? * * Disparo às 10:15h todos os dias 0 15 10 * * ? Disparo às 10:15h todos os dias 0 15 10 * * ? * Disparo às 10:15h todos os dias 0 15 10 * * ? 2005 0 * 14 * * ? 0 0/5 14 * * ? Disparo às 10:15h todos os dias no ano de 2005 Disparo a cada minuto a partir das 14:00h e terminando às 14:59h, todos os dias Disparo a cada 5 minutos a partir das 14:00h e terminando às 14:55h, todos os dias 0 0/5 14,18 * * ?
Guia de configuração
Criar um certificado autoassinado usando Keytool e gerar uma solicitação de assinatura de certificado 9 OBSERVAÇÃO: Esta seção detalhe as etapas necessárias para criar um certificado autoassinado para componentes baseados em Java. Este processo não pode ser usado para criar um certificado autoassinado para componentes .NET. Recomendamos um certificado autoassinado somente em um ambiente que não seja de produção.
• Unidade organizacional: Insira o valor apropriado (por exemplo: Segurança). • Organização: Insira o valor apropriado (por exemplo: Dell). • Cidade ou localidade: Insira o valor apropriado (por exemplo: Austin). • Estado ou província: Insira a abreviatura do estado ou o nome da província (por exemplo: Texas).
Figura 9-1. Exemplo de arquivo .CSR 2 Siga o processo da sua organização para adquirir um certificado de servidor SSL de uma Autoridade de Certificado. Envie o conteúdo de para assinatura. OBSERVAÇÃO: Há vários métodos para solicitar um certificado válido. Um método de exemplo é mostrado em Exemplo de método para solicitar um certificado. 3 Quando o certificado assinado é recebido, armazene-o em um arquivo.
2 Selecione Solicitar um certificado e clique em Avançar >. Figura 9-2. Microsoft Certificate Services 3 Selecione Solicitação avançada e clique em Avançar >. Figura 9-3.
4 Selecione a opção para Enviar uma solicitação de certificado usando um arquivo base64 encode PKCS #10 e clique em Avançar >. Figura 9-4. Solicitação de certificado avançado 5 Cole o conteúdo da solicitação CSR na caixa de texto. Selecione um template de certificado do Web Server e clique em Enviar >. Figura 9-5.
6 Salve o certificado. Selecione Codificado por DER e clique em Baixar certificado da CA. Figura 9-6. Faça o download do certificado da CA 7 Salve o certificado. Selecione Codificado por DER e clique em Baixar caminho do certificado da CA. Figura 9-7.
8 Importe o certificado da autoridade de assinatura convertido. Volte à janela do DOS. Digite: keytool -import -trustcacerts -file -keystore cacerts 9 Agora que o certificado de autoridade de assinatura foi importado, o certificado do servidor pode ser importado (a cadeia de confiança pode ser estabelecida). Digite: keytool -import -alias dell -file -keystore cacerts Use o alias do certificado autoassinado para emparelhar a solicitação da CSR com o certificado do servidor.
Guia de configuração
0XXXXXA0X
