Dell Security Management Server Guida all'installazione e alla migrazione v10.2.
Messaggi di N.B., Attenzione e Avvertenza N.B.: un messaggio N.B. (Nota Bene) indica informazioni importanti che contribuiscono a migliorare l'utilizzo del prodotto. ATTENZIONE: Un messaggio di ATTENZIONE indica un danno potenziale all'hardware o la perdita di dati, e spiega come evitare il problema. AVVERTENZA: Un messaggio di AVVERTENZA indica un rischio di danni materiali, lesioni personali o morte. © 2012-2019 Dell Inc. Tutti i diritti riservati.
Sommario 1 Introduzione................................................................................................................................................... 5 Informazioni su Security Management Server............................................................................................................... 5 Contattare Dell ProSupport..............................................................................................................................................
Eseguire il commit dei criteri...........................................................................................................................................43 Configurare Dell Compliance Reporter.......................................................................................................................... 44 Eseguire i backup.............................................................................................................................................................
1 Introduzione Informazioni su Security Management Server Security Management Server ha le seguenti funzioni: • Gestione centralizzata di dispositivi, utenti e criteri di protezione • Controlli e rapporti di conformità centralizzati • Separazione dei compiti dell'amministratore • Creazione e gestione dei criteri di protezione basati sui ruoli • Distribuzione dei criteri di protezione quando i client si connettono • Ripristino dei dispositivi assistito dall'amministratore • Percorsi attendibili
2 Requisiti e architettura Questa sezione descrive in dettaglio i requisiti hardware e software e i suggerimenti sulla progettazione dell'architettura per l'implementazione di Dell Security Management Server. Progettazione dell'architettura di Security Management Server Le soluzioni Endpoint Security Suite Enterprise e Data Guardian Dell Encryption sono prodotti altamente scalabili, in base al numero di endpoint individuati per la crittografia all'interno dell'organizzazione.
N.B.: Se l'organizzazione dispone di oltre 20.000 endpoint, contattare Dell ProSupport per ricevere assistenza. Requisiti I prerequisiti hardware e software per l'installazione del software Security Management Server sono riportati di seguito. Prima di avviare l'installazione, accertarsi che tutte le patch e gli aggiornamenti siano applicati ai server usati per l'installazione.
Hardware La tabella seguente illustra in dettaglio i requisiti hardware minimi per Security Management Server Consultare Progettazione dell'architettura Security Management Server per ulteriori informazioni sulla scalabilità in base alla dimensione dell'implementazione. Requisiti hardware Processore CPU Quad-Core moderna (1,5 GHz+) RAM 16 GB Spazio libero su disco 20 GB di spazio libero su disco N.B.
Security Management Server v10.2.1 è stato convalidato sulle seguenti piattaforme. Hyper-V Server installato con installazione completa o base o come ruolo in Windows Server 2012 e Windows Server 2016.
SQL Server Negli ambienti più grandi, si consiglia vivamente di eseguire il server del database SQL in un sistema ridondante, come un cluster SQL, al fine di garantire disponibilità e continuità dei dati. Si consiglia inoltre di eseguire giornalmente backup completi con la registrazione transazionale attiva, al fine di garantire che le nuove chiavi generate dall'attivazione di un utente/dispositivo siano recuperabili.
- Standard Edition - Datacenter Edition • Windows Server 2016 - Standard Edition - Datacenter Edition Archivio LDAP • • • Active Directory 2008 R2 Active Directory 2012 R2 Active Directory 2016 Console di gestione e Compliance Reporter • • • Internet Explorer 11.x o versione successiva Mozilla Firefox 41.x o versione successiva Google Chrome 46.x o versione successiva N.B.: È necessario che il browser accetti i cookie.
Tipo Azione Scenario Privilegio SQL richiesto Back-end Aggiornamento Per definizione, gli aggiornamenti db_owner dispongono già di database e accesso/utente stabiliti Back-end Ripristina l'installazione Il ripristino implica un database esistente e un accesso.
3 Configurazione di preinstallazione Prima di iniziare, consultare le Avvertenze tecniche Security Management Server per eventuali soluzioni alternative o problemi noti riguardanti Security Management Server. La configurazione di preinstallazione dei server in cui si intende installare Security Management Server è molto importante. Prestare particolare attenzione a questa sezione per garantire un'installazione corretta di Security Management Server.
Device Server: HTTP(S)/8443 (Security Management Server v7.7 o versione successiva) o HTTP(S)/8081 (versione di Dell Server precedente alla v7.7) Key Server: TCP/8050 Policy Proxy: TCP/8000 Security Server: HTTPS/8443 Client Authentication: HTTPS/8449 (se si usa Server Encryption) Client communication, se si utilizza Advanced Threat Prevention: HTTPS/TCP/443 Creazione di un database di Dell Server 3 Queste istruzioni sono opzionali.
La configurazione di preinstallazione del server è completa. Continuare con Installare o aggiornare/migrare.
4 Installazione o aggiornamento/migrazione Questo capitolo fornisce le istruzioni per quanto segue: • Nuova installazione - Per installare un nuovo Security Management Server. • Aggiornamento/migrazione - Per eseguire l'aggiornamento da un Enterprise Server v9.2 o versione successiva, esistente e funzionale. • Disinstallare Security Management Server - Per rimuovere l'installazione in uso, se necessario.
N.B.: Se si dispone di un Enterprise Server v9.2, o versione successiva, funzionale, fare riferimento alle istruzioni contenute in Aggiornare/ migrare server back-end. Se si installa un server front-end, eseguire questa installazione in seguito a quella del server back-end: • Installare un server front-end - Per installare un server front-end in modo che comunichi con un server back-end.
11 È possibile scegliere i tipi di certificati digitali da usare. È consigliabile utilizzare un certificato digitale proveniente da un'autorità di certificazione attendibile. Selezionare l'opzione "a" o "b" qui di seguito: a Per usare un certificato esistente acquistato da un'autorità CA, selezionare Importa un certificato esistente e fare clic su Avanti. Fare clic su Sfoglia per immettere il percorso del certificato. Immettere la password associata al certificato.
N.B.: Per impostazione predefinita, il certificato scade dopo 10 anni. 12 Per Server Encryption, è possibile scegliere i tipi di certificati digitali da usare. È consigliabile utilizzare un certificato digitale proveniente da un'autorità di certificazione attendibile. Selezionare l'opzione "a" o "b" qui di seguito: a Per usare un certificato esistente acquistato da un'autorità CA, selezionare Importa un certificato esistente e fare clic su Avanti.
14 Per creare un nuovo database, seguire la seguente procedura: a b Fare clic su Sfoglia per selezionare il server in cui installare il database. Selezionare il metodo di autenticazione che deve usare il programma di installazione per configurare il database di Dell Server. Dopo l'installazione, il prodotto installato non utilizza le credenziali specificate qui.
Selezionare Autenticazione di Windows usando le credenziali seguenti, immettere le credenziali per il prodotto da usare e fare clic su Avanti. Accertarsi che l'account disponga dei diritti di amministratore del sistema e della possibilità di gestire SQL Server. L'account utente deve essere dotato dello Schema predefinito delle autorizzazioni dell'SQL Server: dbo e Appartenenza al ruolo del database: dbo_owner, public.
Installare un server back-end con un database esistente N.B.: Se si dispone di un Dell Server v9.2, o versione successiva, funzionale, fare riferimento alle istruzioni contenute in Aggiornare/migrare server back-end. È possibile installare un nuovo Security Management Server e connetterlo a un database SQL creato durante la Configurazione di preinstallazione o a un database SQL esistente di versione v9.
9 Per installare Security Management Server nel percorso predefinito C:\Program Files\Dell, fare clic su Avanti. Altrimenti, fare clic su Modifica per selezionare un percorso diverso, quindi fare clic su Avanti. 10 Per selezionare un percorso in cui archiviare i file di ripristino della configurazione di backup, fare clic su Modifica, passare alla cartella desiderata, quindi fare clic su Avanti. Dell consiglia di selezionare, per il backup, un percorso di rete remoto o un'unità esterna.
Nome del computer completo (esempio: nomecomputer.dominio.com) Organizzazione Unità organizzativa (ad esempio Sicurezza) Città Stato (nome completo) Paese: Abbreviazione di due lettere del Paese Fare clic su Avanti. N.B.: Per impostazione predefinita, il certificato scade dopo 10 anni. 12 Dalla finestra di dialogo Configurazione dell'installazione del server back-end, è possibile visualizzare o modificare nomi host e porte.
Le opzioni seguenti DEVONO essere usate solo avvalendosi dell'assistenza di Dell ProSupport: • L'opzione Migra questo database allo schema corrente viene usata per ripristinare un buon database da un'implementazione del server non riuscita. Questa opzione usa i file di ripristino nella cartella \Backup per riconnetterli al database, quindi migra il database allo schema corrente.
Per eseguire questa installazione, è necessario il nome host completo del server DMZ. 1 2 3 Nel supporto di installazione di Dell, passare alla directory di Security Management Server. Decomprimere (NON copiare/incollare o trascinare la selezione) Security Management Server-x64 nella directory principale del server in cui si sta installando Security Management Server. Le operazioni di copia/incolla o trascinamento della selezione provocano errori che non permettono di effettuare l'installazione.
Fare clic su Avanti. N.B.: Per impostazione predefinita, il certificato scade dopo 10 anni. 11 Nella finestra di dialogo Configurazione del server front-end, immettere il nome host completo o l'alias DNS del server back-end, selezionare Dell Security Management Server, quindi fare clic su Avanti. 12 Dalla finestra di dialogo Configurazione dell'installazione del server front-end, è possibile visualizzare o modificare nomi host e porte.
Per sfruttare le funzionalità complete dei criteri, Dell consiglia di eseguire l'aggiornamento alle versioni più recenti di Security Management Server e dei client. Security Management Server v9.x supporta: • Encryption Enterprise: – Client Windows v7.x/8.x – Client Mac v7.x/8.x – Client SED v8.x – Authentication v8.x – BitLocker Manager v7.2x+ e v8.x – Data Guardian v1.x • Endpoint Security Suite Pro v1.x • Endpoint Security Suite Enterprisev1.
Eseguire l'aggiornamento/la migrazione dei server back-end 1 Nel supporto di installazione di Dell, passare alla directory di Security Management Server. Decomprimere (NON copiare/incollare o trascinare la selezione) Security Management Server-x64 nella directory principale del server in cui si sta installando Security Management Server. Le operazioni di copia/incolla o trascinamento della selezione provocano errori che non permettono di 3 effettuare l'installazione. Fare doppio clic su setup.exe.
Per connettere il database esistente, specificare il metodo di autenticazione da usare. Dopo l'installazione, il prodotto installato non utilizza le credenziali specificate qui. a Selezionare il tipo di autenticazione del database: • Credenziali di autenticazione di Windows dell'utente corrente Se si sceglie l'Autenticazione di Windows, per l'autenticazione vengono utilizzate le stesse credenziali utilizzate per accedere a Windows (i campi Nome utente e Password non sono modificabili).
Se non si conosce la password, tagliare e incollare la sezione simile alla sezione mostrata nella Figura 4-2 dal backup del file \conf\server_config.xml nella sezione corrispondente nel nuovo file server_config.xml. Password sconosciuta Salvare e chiudere i file. N.B.: Mai provare a modificare la password di Security Management Server modificando il valore server.pass in server_config.xml. Se si modifica questo valore, si perde l'accesso al database.
5 Nella schermata iniziale, fare clic su Avanti. 6 Leggere il contratto di licenza, accettare i termini, quindi fare clic su Avanti. 7 Nella finestra di dialogo Installazione del programma, fare clic su Installa. Una finestra di dialogo di stato visualizza lo stato del processo di installazione. 8 Al completamento dell'installazione, fare clic su Fine. 9 Impostare il server back-end in modo che comunichi con il server front-end.
Parametri AIRGAP=1 - Questo valore deve essere "1" per installare Security Management Server in modalità disconnessa. SSL_TYPE=n - Dove n è 1 per importare un certificato esistente che è stato acquistato da un'autorità CA e 2 per creare un certificato autofirmato. Il valore SSL_TYPE determina quali proprietà SSL sono richieste.
Parametri N.B.: Il programma di installazione deve eseguire l'autenticazione all'SQL Server con le seguenti autorizzazioni: creare database, aggiungere utenti, assegnare autorizzazioni. Le credenziali sono valide per l'installazione non per l'esecuzione. Se viene utilizzata l'autenticazione SQL, sono necessari i seguenti requisiti: IS_SQLSERVER_USERNAME IS_SQLSERVER_PASSWORD EE_SQLSERVER_AUTHENTICATION - Richiesto. Specificare il metodo di autenticazione per il prodotto da usare.
Parametri DEVICEPORT - Opzionale. KEYSERVERPORT - Opzionale. GKPORT - Opzionale. TIGAPORT - Opzionale. SMTP_PORT - Opzionale. ACTIVEMQ_TCP - Opzionale. ACTIVEMQ_STOMP - Opzionale. Installare Security Management Server in modalità disconnessa Nel seguente esempio Security Management Server viene installato in modalità invisibile all'utente con una finestra di dialogo di avanzamento, utilizzando i parametri di installazione elencati nel file, C:\mysetups\eeoptions.txt\" " Setup.
5 Configurazione di postinstallazione Leggere le Consulenze tecniche di Security Management Server per soluzioni alternative correnti o problemi noti che riguardano la configurazione di Security Management Server. Sia che si stia effettuando la prima installazione di Security Management Server sia che si stia aggiornando un'installazione esistente, sarà necessario configurare alcuni componenti dell'ambiente.
Aggiungere certificati nuovi o aggiornati È possibile scegliere quale tipo di certificati usare: autofirmati o firmati: • I certificati autofirmati sono firmati dal proprio creatore. I certificati autofirmati sono appropriati per progetti pilota, Proof of Concept, ecc. Per un ambiente di produzione, Dell consiglia l'utilizzo di certificati firmati dall'autorità di certificazione pubblica o dal dominio.
2 All'avvio della configurazione guidata, selezionare Rapido e fare clic su Avanti. Se disponibili, vengono usate le informazioni del certificato autofirmato creato durante l'installazione di Security Management Server. 3 Dal menu principale, selezionare Configurazione > Salva. Se richiesto, confermare il salvataggio. La configurazione del certificato è completa. La parte restante di questa sezione descrive in dettaglio il metodo Avanzato per creare un certificato.
Nella finestra Certificato di sicurezza messaggi, selezionare uno dei seguenti: – Seleziona certificato - Selezionare questa opzione per usare un certificato esistente. Fare clic su Avanti. Individuare il percorso del certificato esistente, immettere la password associata al certificato esistente, quindi fare clic su Avanti. Al termine fare clic su Fine.
17 Nel campo Nome file, immettere il nome con cui salvare il file. Fare clic su Salva. 18 Fare clic su Avanti. 19 Fare clic su Fine. 20 Viene visualizzato un messaggio che conferma il completamento dell'esportazione. Chiudere la MMC. 21 Tornare al Dell Server Configuration Tool. 22 Dal menu principale selezionare Azioni > Importa certificato DM. 23 Passare al percorso in cui è stato salvato il file esportato. Selezionare il file e fare clic su Apri.
3 Fare clic su Start > Esegui. Digitare services.msc e fare clic su OK. Quando Servizi si apre, passare a ciascun servizio Dell e fare clic su Avvia il servizio. Configurare le impostazioni SMTP In Server Configuration Tool, fare clic sulla scheda SMTP. Questa scheda configura le impostazioni SMTP per Data Guardian, comunicati sui prodotti, notifiche e messaggi di inoltro delle minacce di Advanced Threat Prevention. Al termine delle modifiche di configurazione, riavviare il servizio del Security Server.
6 In Password:, immettere la password del nome utente elencato nel campo Nome utente. 7 Dal menu principale, selezionare Configurazione > Salva. Se richiesto, confermare il salvataggio. 8 Per testare la configurazione del database, dal menu principale selezionare Azioni > Testa la configurazione del database. Viene avviata la configurazione guidata. 9 Nella finestra Test della configurazione leggere le informazioni sul test e fare clic su Avanti.
6 Attività di amministrazione Assegnare un ruolo amministratore Dell 1 In qualità di amministratore di Security Management Server Virtual, accedere alla console di gestione all'indirizzo https:// server.domain.com:8443/webui/. Le credenziali predefinite sono superadmin/changeit. 2 Nel riquadro sinistro fare clic su Popolamenti > Domini. 3 Fare clic su un dominio al quale aggiungere un utente. 4 Nella pagina Dettagli dominio, fare clic sulla scheda Membri. 5 Fare clic su Aggiungi utente.
Per eseguire il commit dei criteri al termine dell'installazione o, in seguito, dopo aver salvato le modifiche ai criteri, seguire la seguente procedura: 1 Nel riquadro sinistro fare clic su Gestione > Esegui commit. 2 In Commento, immettere una descrizione della modifica. 3 Fare clic su Commit criteri. Configurare Dell Compliance Reporter 1 Nel riquadro sinistro fare clic su Compliance Reporter.
Dell consiglia di usare le procedure consigliate per il database PostgreSQ e di includere il software Dell nel piano di ripristino di emergenza della propria organizzazione.
7 Porte La tabella seguente descrive ciascun componente e la relativa funzione. Nome Porta predefinita Descrizione Compliance Reporter HTTP(S)/ 8084 Management Console HTTP(S)/ 8443 Core Server HTTPS/ 8888 Device Server Fornisce una visualizzazione completa dell'ambiente per la creazione di rapporti di controllo e conformità. Console di amministrazione e centro di controllo per la distribuzione a livello aziendale.
Nome Porta predefinita Descrizione LDAP TCP/ Porta 389 - Questa porta è usata per richiedere informazioni dal controller di dominio locale. Le richieste LDAP inviate alla 389/636 porta 389 possono essere usate per cercare gli oggetti solo (controller di nel dominio principale del catalogo globale. Tuttavia, dominio locale), l'applicazione richiedente può ottenere tutti gli attributi per 3268/3269 tali oggetti.
8 Procedure consigliate per SQL Server L'elenco seguente illustra le procedure consigliate per SQL Server da implementare durante l'installazione di Dell Security, se non ancora implementate. 1 Accertarsi che la dimensione del blocco NTFS in cui si trovano il file di dati e il file di registro sia 64 kB. Gli extent di SQL Server (unità base di SQL Storage) sono di 64 KB.
9 Certificati In questo capitolo viene descritto come ottenere i certificati da utilizzare con Security Management Server. Per informazioni su come configurare l'autenticazione SmartCard, consultare http://www.dell.com/support/article/us/en/19/sln303783/ dell-data-protection-sed-management-smartcard-setup-guide?lang=en. Per informazioni sui requisiti minimi per richiedere i certificati SSL/TLS per l'utilizzo da parte del server Dell Data Security, consultare http:// www.dell.
5 Immettere le seguenti informazioni quando richiesto da Keytool. N.B.: Prima di modificare i file di configurazione, eseguirne il backup. Modificare esclusivamente i parametri specificati. La modifica di altri dati in questi file, inclusi i tag, può provocare la corruzione ed errori del sistema. Dell non può garantire la risoluzione dei problemi derivanti da modifiche non autorizzate a questi file senza dover reinstallare Security Management Server.
2 Seguire la procedura organizzativa per acquisire un certificato server SSL da un'autorità di certificazione. Inviare il contenuto del per la firma. N.B.: È possibile richiedere un certificato valido in diversi modi. Un metodo di esempio è illustrato in Metodo di esempio per richiedere un certificato. 3 Alla ricezione del certificato firmato, archiviarlo in un file.
Invia una richiesta salvata 6 Salvare il certificato. Selezionare Codifica DER e fare clic su Scarica certificato CA. Scarica certificato CA 7 Salvare il certificato. Selezionare Codifica DER e fare clic su Scarica percorso certificato CA. Scarica percorso certificato CA 8 Importare il certificato dell'autorità di firma convertito. Tornare al prompt dei comandi.
19 Fare clic su Fine. Viene visualizzato un messaggio che conferma il completamento dell'esportazione. Chiudere la MMC. Aggiungere un certificato attendibile per la firma al Security Server quando è stato usato un certificato non attendibile per SSL 1 Interrompere il servizio Security Server, se in esecuzione. 2 Eseguire il backup del file dell'Autorità di certificazione in \conf\.