Dell Security Management Server Virtual Quick Start and Installation Guide v10.2.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その問題を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2016-2019 Dell Inc. 無断転載を禁じます。Dell、EMC、およびその他の商標は、Dell Inc. またはその子会社の商標です。その他の 商標は、それぞれの所有者の商標である場合があります。 Dell Encryption、Endpoint Security Suite Enterprise、および Data Guardian のスイートのドキュメントに使用されている登録商標およ び商標(Dell™、Dell のロゴ、Dell Precision™、OptiPlex™、ControlVault™、Latitude™、XPS®、および KACE™)は、Dell Inc. の商標 です。Cylance®、CylancePROTECT、および Cylance のロゴは、米国およびその他の国における Cylance, Inc.
Contents 1 クイックスタートガイド................................................................................................................................5 インストール..................................................................................................................................................................... 5 設定.....................................................................................................................................................................................
トラブルシューティング............................................................................................................................. 29 5 インストール後の設定.................................................................................................................................30 Data Guardian の設定..................................................................................................................................................... 30 マネージャの信頼チェーンチェックの妥当性検査..................................
1 クイックスタートガイド このクイックスタートガイドは経験のあるユーザー対象で、Dell Server を素早く準備して稼動させるためのものです。原則として、デルでは最初に Dell Server をインストールし、その後クライアントをインストールすることをお勧めします。 詳細な手順については、Security Management Server Virtual I インストールガイドを参照してください。 Dell Server の前提条件については、「Security Management Server Virtual の前提条件」、「管理コンソールの前提条件」、「プロキシモードの前提 条件」を参照してください。 既存の Dell Server をアップデートする情報については、「Security Management Server Virtual のアップデート」を参照してください。 インストール 1 Dell Data Security ファイルが保存されているディレクトリを参照してダブルクリックし、VMware Security Management Server Virtual v10.x.
管理コンソールの右上隅の「?」をクリックして、AdminHelp を起動します。はじめに ページが表示されます。ドメインの追加 をクリックします。 組織にはベースラインポリシーが設定されていますが、次のように、特定のニーズに応じて変更する必要が生じます(すべてのアクティブ化はライセンスおよ び資格によって決まります)。 • ポリシーベース暗号化は共通キー暗号化で有効にされます • 自己暗号化ドライブが搭載されたコンピュータは暗号化されます • BitLocker 管理は無効です • Advanced Threat Prevention が有効になっていません • Threat Protection は無効にされます • 外部メディアは暗号化されません • ポート制御によるポートの管理は行われません • フルディスク暗号化がインストールされているデバイスは暗号化されません • Data Guardian は無効にされます Technology Group とポリシーの説明については、AdminHelp トピックの「ポリシーの管理」を参照してください。 これで、クイックスタート
2 インストール詳細ガイド 本インストールガイドは、専門知識をお持ちでないユーザー向けに Security Management Server Virtual のインストールと設定について説明するもので す。原則として、デルでは最初に Security Management Server Virtual をインストールし、その後クライアントをインストールすることをお勧めします。 既存の Security Management Server Virtual をアップデートする詳細情報については、「Security Management Server Virtual のアップデート」を参 照してください。 Security Management Server Virtual について 管理者は、管理コンソールを使用して、企業全体のエンドポイント、ポリシーの適用、保護の状態を監視します。プロキシモードは、Security Management Server Virtual で使用するフロントエンド DMZ モードのオプションを提供します。 Security Management Server Virtual には
Dell currently supports hosting the Dell Security Management Server or Dell Security Management Server Virtual within a Cloud-hosted Infrastructure as a Service (IaaS) environment, such as Amazon Web Services, Azure, and several other vendors. Support for these environments will only be limited to the functionality of the application server hosted within these Virtual Machines, the administration and security of these Virtual Machines will be up to the administrator of the IaaS solution.
Virtualized Environments • VMware ESXi 6.0 – – – – – – – – • VMware ESXi 5.5 – – – – – – – – • 64-bit x86 CPU required Host computer with at least two cores 8 GB RAM minimum required 80 GB Hard Drive Space An Operating System is not required See http://www.vmware.com/resources/compatibility/search.php?deviceCategory=software&testConfig=17 for a complete list of supported Host Operating Systems Hardware must conform to minimum VMware requirements See https://kb.vmware.
• Mozilla Firefox 41.x 以降 • Google Chrome 46.x 以降 プロキシモード ハードウェア 次の表は、最小ハードウェア要件の詳細です。 プロセッサ 最新のデュアルコア CPU(1.5 Ghz 以上) RAM 2 GB の専用 RAM(最小)/ 4 GB の専用 RAM(推奨) 空きディスク容量 1.5 GB の空きディスク容量(その他仮想ページング容量が必要) ネットワークカード 10/100/1000 ネットワークインタフェースカード その他 IPv4、IPv6、または IPv4 と IPv6 の組み合わせがサポートされている ソフトウェア 次の表では、プロキシモードサーバをインストールする前にインストールしておく必要があるソフトウェアの詳細を説明します。 前提条件 • Windows インストーラ 4.0 以降 Windows インストーラ 4.
オペレーティングシステム • Windows Server 2019 - Standard Edition - Datacenter Edition • Windows Server 2016 - Standard Edition - Datacenter Edition • Windows Server 2012 R2 - Standard Edition - Datacenter Edition • LDAP リポジトリ - Active Directory 2008 R2 - Active Directory 2012 R2 - Active Directory 2016 Security Management Server Virtual のアーキテクチャの設計 Dell Encryption、Endpoint Security Suite Enterprise、および Data Guardian の各ソリューションは非常に拡張性の高い製品で、組織内の暗号化を 目的としたエンドポイントの数に基づいて拡張可能です。 アーキテクチャコンポーネント 以下は、Dell Security Man
OVA ファイルのダウンロードおよびインストール Security Management Server Virtual は初期インストール時に OVA ファイルとして配信されます(Open Virtual Application(オープン仮想アプリケー ション)は仮想マシンで実行されるソフトウェアを配信するために使用されます)。以下の Dell Data Security 製品における OVA ファイルは、 www.dell.
• Endpoint Security Suite Enterprise • Data Guardian OVA ファイルのダウンロード手順 1 上記の適切な製品の ドライバおよびダウンロード ページにアクセスします。 2 ドライバおよびダウンロード をクリックします。 3 適切な VMware ESXi のバージョンを選択します。 4 適切なバンドルをダウンロードします。 OVA ファイルのインストール手順 作業を開始する前に、すべてのシステムと仮想環境の要件が満たされていることを確認してください。 1 Dell インストールメディアで、Security Management Server Virtual v9.x.x ビルド x.ova を見つけてダブルクリックし、VMware にインポートします。 メモ: VMware ではなく Hyper-V を使用している場合は、Windows 10 の手順「https://docs.microsoft.
静的 IP ネットワークマスク デフォルトゲートウェイ DNS サーバー 1 DNS サーバー 2 DNS サーバー 3 静的な設定では、IPv6 または IPv4 のいずれかを選択します。 • メモ: 静的 IP を使用する場合は、DNS サーバーにもホストエントリを作成する必要があります。 12 タイムゾーンの確認プロンプトで、OK を選択します。 13 最初の起動設定が完了したことを示すメッセージが表示されたら、OK を選択します。 14 SMTP 設定の構成。 15 既存の証明書のインポートまたは新規サーバ証明書の登録。 16 Security Management Server Virtual のアップデート。 17 ポート 22 で SFTP をサポートする FTP クライアントをインストールし、ファイル転送(FTP)ユーザーの設定をセットアップします。 Security Management Server Virtual インストールタスクが完了しています。 管理コンソールを開く 次のアドレスで管理コンソールを開きます。https://server.domain.
9 フロントエンドサーバをデフォルトの C:\Program Files\Dell にインストールする場合は、次へ をクリックします。それ以外の場所にインストールする場 合は、変更 をクリックして別の場所を選択し、次へ をクリックします。 10 使用するデジタル証明書のタイプを選択することができます。 メモ: デジタル証明書は信頼のおける証明書認証局からのものを使用することが強く推奨されます。 以下のオプション「a」または「b」を選択します。 a b CA 機関から購入された既存の証明書を使用するには、既存証明書のインポート を選択し、次へ をクリックします。 自己署名証明書を作成する場合は、自己署名証明書を作成してキーストアにインポートする を選択して 次へ をクリックします。 自己署名証明書の作成 ダイアログで、次の情報を入力します。 完全修飾コンピュータ名(例:computername.domain.
システムダッシュボードのチェック Dell Server のサービスのステータスをチェックするには、メインメニューで システムダッシュボード を選択します。 システム情報 ウィジェットには、現在のバージョン、ホスト名、IP アドレスとともに、CPU、メモリ、ディスクの使用状況が表示されます。 バージョン履歴 ウィジェットには、データベーススキーマの変更履歴がバージョンごとに表示されます。データは「情報」テーブルから取得されており、時間順 にソートされ、一番上が最新バージョンです。 次の表に、サービス状態 ウィジェットの各サービスとその機能の説明を示します。 名前 説明 Message Broker Enterprise Server バス Identity Server ドメイン認証要求を処理します。 Compatibility Server エンタープライズアーキテクチャを管理するためのサービスです。 Security Server コマンド、および Active Directory との通信を制御するメカニズムを提供し ます。 Compliance Reporter 監査とコンプライ
ネットワーク設定の変更 このタスクはいつでも完了できます。Security Management Server Virtual を使用して開始することは必須ではありません。 1 基本設定メニューから、ネットワーク を選択します。 2 ネットワークの設定 画面で以下のいずれかのオプションを選択し、OK を選択します。 • (デフォルト)DHCP を使用する(IPv4)。 • (推奨)DHCP を使用する でスペースバーを押して X を削除し、手動で次の該当するアドレスを入力します。 静的 IP ネットワークマスク デフォルトゲートウェイ DNS サーバー 1 DNS サーバー 2 DNS サーバー 3 静的な設定では、IPv6 または IPv4 のいずれかを選択します。 メモ: 静的 IP を使用する場合は、DNS サーバーにホストエントリを作成する必要があります。 DMZ サーバサポートの設定 このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 1 詳細設定 メニューから、DMZ サーバサポート を選択します。
To receive email notifications when Dell Server updates are available, see Configure SMTP Settings. If policy changes have been made but not committed in the Management Console, commit the policy changes before updating the Dell Server: 1 As a Dell administrator, log in to the Management Console. 2 In the left menu, click Management > Commit. 3 Enter a description of the change in the Comment field. 4 Click Commit Policies. 5 When the commit is complete, log off the Management Console.
NOTE: Dell queries dist.ddspproduction.com through port 443 and port 80 for all Ubuntu updates. Any available updates are downloaded. The proxy settings defined in Set Proxy are used for port 443 and port 80 connections for download. Update Security Management Server Virtual (Disconnected Mode) 1 Dell recommends performing a regular backup. Before updating, ensure that the backup process has been functioning properly. See Backup and Restore. 2 Obtain the .
NOTE: The version number may differ from the attached screen capture.
Secure File Transfer(SFTP)ユーザーの設定 このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 1 基本設定 メニューから、SFTP を選択します。 2 SFTP 画面で、SFTP ユーザーを追加してパスワードを定義するには、ユーザーの ステータス で Enter または下矢印キーを押します。スペースバー キーを押すと、既存のユーザーを更新または削除するオプションが表示されます。SFTP ユーザーを無効にするには、ユーザーを選択してから 削除 を選択し、次に SFTP の確認 画面で はい を選択します。 3 SFTP ユーザーのユーザー名とパスワードを入力します。 パスワードには次の文字が含まれている必要があります。 4 • 少なくとも 8 文字 • 少なくとも 1 つの大文字 • 少なくとも 1 つの数字 • 少なくとも 1 つの特殊文字 SFTP ユーザーの入力が終わったら、適用 を選択します。 SSH の有効化 このタスクはいつでも完了できます。Securit
アプライアンスのシャットダウン この作業は、必要な場合にのみ実行するようにしてください。 1 基本設定 メニューから、下にスクロールして アプライアンスのシャットダウン を選択します。 2 確認プロンプトで はい を選択します。 3 再起動後、Security Management Server Virtual にログインします。 詳細端末設定タスク 詳細設定タスクは、メインメニューからアクセスします。 ログローテーションの設定 メモ: ログローテーションに対応した Dell Security Management Server Virtual のアプリケーションに対するログローテーションの定義は、次 の手順に従って行います。 このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 デフォルトでは、日次ログローテーションが有効になっています。デフォルトのログローテーションを変更するには、詳細設定メニューから ログローテーション 設定 を選択します。 ログローテーションを無効にするには、スペースバーを使用して ロー
1 日次、週次、月次バックアップを有効にするには、スペースバーを使用して適切なフィールドに X を入力します。週次または月次バックアップについ ては、適切な曜日または日付を数字(月曜日 = 1)で入力します。バックアップを無効にするには、スペースバーを使用して バックアップなし に X を 入力して、OK を選択します。 2 バックアップを行う時間を、バックアップ時間 に入力します。 3 OK を選択します。 ただちにバックアップを行うには、詳細設定 メニューから バックアップと復元 > 今すぐバックアップ を選択します。バックアップの確認が表示されたら、OK を選択します。 メモ: 復元操作を開始する前に、Dell Server のサービスがすべて実行されている必要があります。サーバーステータスのチェック.
SMTP を設定するには、次の手順に従います。 1 詳細設定 メニューから、電子メール通知 を選択します。 2 電子メールアラートを有効にするには、電子メール通知 画面で、スペースバーを押して 電子メールアラートの有効化 フィールドに X を入力します。 3 SMTP サーバーの完全修飾ドメインネームを入力します。 4 SMTP ポートを入力します。 5 SMTP ユーザーを入力します 6 SMTP パスワードを入力します 7 通知送信元 に、電子メール通知を送信する電子メールアカウント ID を入力します。 8 サーバステータス送信先 に、サーバステータス通知を送信する電子メールアカウント ID を入力します。受信者はコンマ、またはセミコロンで区切りま す。 9 パスワード変更送信先 に、パスワード変更通知を送信する電子メールアカウント ID を入力します。 10 ソフトウェアアップデート送信先 に、ソフトウェアアップデート通知を送信する電子メールアカウント ID を入力します。 11 サービスアラートリマインダ でリマインダを有効にしたい場合は、スペースバーを押し
• 市区町村名。適切な値を入力します(例:Dallas)。 • 組織:該当する値を入力します(例:Dell)。 • 組織単位:適切な値を入力します(たとえば、Security)。 • 共通名:Dell Server の完全修飾ドメイン名を入力します。この完全修飾名には、ホスト名とドメイン名を含めます(例: server.domain.com)。 • 電子メール ID: CSR が送信される電子メールアドレスを入力します。 5 証明機関からの SSL サーバー証明書の取得には、所属組織のプロセスに従います。署名用に CSR ファイルの内容を送信します。 6 署名済みの証明書を受け取ったら、その証明書を .p7b ファイルとしてエクスポートし、完全な信頼チェーンを .
端末言語の設定または変更 設定変更を行ったときは、常にサービスを再起動することがベストプラクティスです。 1 メインメニューで、言語の設定 を選択します。 2 矢印キーを使用して使用する言語を選択します。 ログの表示 次のログをチェックするには、メインメニューで ログの表示 を選択します。 • • システムログ – Syslog ログ – メールログ – Auth ログ(SSH) – Postgres ログ – 監視ログ サーバーログ – – – – – – – – – – Message Broker Identity Server Compatibility Server Security Server Compliance Reporter Core Server Core Server HA Inventory Server Forensic Server Policy Proxy • 管理コンソール – pybackup.log – pyconsole.log – pydatabase.log – update.
コマンドラインインタフェースを終了するには、exit と入力して Enter を押します。 システムスナップショットログの生成 Dell ProSupport のシステムスナップショットログを生成するには、メインメニューで サポートツール を選択します。 1 サポートツール メニューから、システムスナップショットログの生成 を選択します。 2 ファイルが作成されたことを示すメッセージが表示されたら、OK を選択します。 インストール詳細ガイド 27
3 メンテナンス 不要な Security Management Server Virtual バックアップを削除します。 過去 10 件のバックアップのみが保持されます。ディスクパーティション容量が 10 パーセント以下になった場合、それ以上のバックアップは保存されません。 この状態が発生すると、ディスク割り当て容量が少なくなっているという電子メール通知が送信されます。 28 メンテナンス
4 トラブルシューティング 電子メール通知がすでに設定されている時にこの状態が発生すると、電子メール通知を受信することができます。電子メール通知の情報に基づいて、 次の手順に従います。 1 適切なログファイルをチェックする。 2 必要に応じてサービスを再起動する。設定変更を行ったときは、常にサービスを再起動することがベストプラクティスです。 3 システムスナップショットログの生成 4 Dell ProSupport へのお問い合わせ。詳細については、「Dell ProSupport へのお問い合わせ」を参照してください。 トラブルシューティング 29
5 インストール後の設定 インストール後、組織が使用している Dell Data Security ソリューションに応じて、環境のコンポーネントの一部を設定する必要がある場合があります。 Security Management Server Virtual のインストール後に、次のデフォルトを変更する必要があります。 • 次の場所にあるバック エンド サーバーのパスワードを変更します。 C:\Program Files\Dell\Enterprise Edition\Message Broker\conf\application.properties • 次の場所にある環境内のすべてのフロント エンド サーバーのパスワードを変更します。 C:\Program Files\DELL\Enterprise Edition\Beac\conf\application.properties パスワードは次のように表示されます:proxy-server.
DisableSSLCertTrust=REG_DWORD (32-bit):1 インストール後の設定 31
6 管理コンソールの管理者タスク Dell 管理者役割の割り当て 1 Security Management Server Virtual 管理者として、管理コンソール(https://server.domain.
ポリシーの説明については、AdminHelp のトピック「ポリシーの管理」を参照してください。 ポリシーのコミット インストールが完了したらポリシーをコミットします。 ポリシーの変更を保存し、ポリシーのインストール後、またはそれ以後にポリシーをコミットするには、次の手順に従います。 1 左側のペインで、管理 > コミット をクリックします。 2 コメント に、変更内容の説明を入力します。 3 ポリシーのコミット をクリックします。 管理コンソールの管理者タスク 33
7 ポート 以下の表は、各コンポーネントとその機能について説明しています。 名前 デフォルトポート 説明 Compliance Reporter HTTP(S)/ 監査とコンプライアンスのレポートのために、環境の詳細ビューを提 供します。 8084 管理コンソール HTTPS/ 8443 ポリシーフロー、ライセンス、起動前認証の登録、SED Management、BitLocker Manager、Threat Protection、 8887(クローズ) Advanced Threat Prevention を管理します。Compliance Reporter および管理コンソールが使用するインベントリデータを処 理します。認証データを収集し、保管します。役割に基づいたアク セスを制御します。 Core Server HTTPS/ Core Server HA HTTPS/ (高可用性) 8888 Security Server HTTPS/ 8443 Compatibility Server TCP/ 1099 (閉鎖) Message Broker サービス 企業
名前 デフォルトポート 説明 Inventory Server 8887 インベントリキューを処理します。 Policy Proxy TCP/ セキュリティポリシーのアップデートとインベントリのアップデートを配信 するためのネットワークベースの通信パスを提供します。 8000 LDAP 389/636、 3268/3269 RPC - 135、 49125+ Encryption Enterprise(Windows および Mac)に必要です。 ポート 389 - このポートはローカルドメインコントローラからの情報の 要求に使用されます。ポート 389 に送信される LDAP 要求は、グ ローバルカタログのホームドメイン内にあるオブジェクトの検索にのみ 使用できます。ただし、要求側のアプリケーションは、これらのオブジ ェクトに対するすべての属性を取得できます。たとえば、ポート 389 への要求は、ユーザーの部門を取得するために使用することができ ます。 ポート 3268 - このポートは、特にグローバルカタログをターゲットとす るクエリ用に使用されます。ポート 3268 に送信される