Dell Security Management Server 설치 및 마이그레이션 가이드 v10.2.
참고, 주의 및 경고 노트: "참고"는 제품을 보다 효율적으로 사용하는 데 도움이 되는 중요 정보를 제공합니다. 주의: "주의"는 하드웨어 손상이나 데이터 손실의 가능성을 설명하며, 이러한 문제를 방지할 수 있는 방법을 알려줍니다. 경고: "경고"는 재산상의 피해나 심각한 부상 또는 사망을 유발할 수 있는 위험이 있음을 알려줍니다. © 2012-2019 Dell Inc. All rights reserved.Dell, EMC 및 기타 상표는 Dell Inc. 또는 자회사의 상표입니다. 기타 상표는 각 소유자의 상표 일 수 있습니다. Dell Encryption, Endpoint Security Suite Enterprise 및 Data Guardian 문서 세트에 사용된 등록된 상표 및 상표, 즉 Dell™ 및 Dell 로고, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS® 및 KACE™는 Dell Inc.
목차 1 소개............................................................................................................................................................... 5 Security Management Server 정보................................................................................................................................. 5 Dell ProSupport에 문의.....................................................................................................................................................
정책 커밋..........................................................................................................................................................................42 Dell Compliance Reporter 구성...................................................................................................................................... 43 백업 실행....................................................................................................................................................................
1 소개 Security Management Server 정보 Security Management Server의 특징은 다음과 같습니다. • 장치, 사용자 및 보안 정책의 중앙 집중식 관리 • 중앙 집중화된 준수 감사 및 보고 • 관리 임무 구분 • 역할 기반의 보안 정책 생성 및 관리 • 클라이언트가 연결된 경우 보안 정책 배포 • 관리자 지원 장치 복구 • 구성 요소 간 통신 시 신뢰할 수 있는 경로 • 고유한 암호화 키 생성 및 자동 보안 키 에스크로 Dell ProSupport에 문의 877-459-7304(내선번호 4310039)로 전화하면 연중무휴 하루 24시간 Dell 제품에 대한 전화 지원을 받을 수 있습니다. 또한, dell.com/support에서 Dell 제품에 대한 온라인 지원도 가능합니다. 온라인 지원에는 드라이버, 매뉴얼, 기술 자문, FAQ 및 최근에 나타나는 문제도 포함됩니다.
2 요구 사항 및 아키텍처 이 섹션은 Dell Security Management Server 구현에 관한 하드웨어 및 소프트웨어 요구 사항 및 아키텍처 디자인 권장사항에 대해 설명 합니다. Security Management Server 아키텍처 디자인 Dell Encryption, Endpoint Security Suite Enterprise 및 Data Guardian 솔루션은 확장성이 뛰어난 제품으로서, 조직이 암호화할 엔드포인 트 수를 기반으로 합니다. 아키텍처 구성요소 아래에 환경에 가장 적합한 하드웨어 구성이 제시되어 있습니다.
노트: 기업의 엔드포인트 수가 20,000개 이상일 경우에는 Dell ProSupport에 문의하십시오. 요구 사항 Security Management Server 소프트웨어 설치를 위한 하드웨어 및 소프트웨어 사전 요구 사항이 아래에 포함되어 있습니다. 설치를 시작하기 전에 설치에 사용되는 서버에 모든 패치와 업데이트가 적용되었는지 확인하십시오.
하드웨어 다음 표는 Security Management Server에 대한 최소 하드웨어 요구 사항을 자세히 설명합니다. 배포 크기에 따른 확장에 대한 추가 정 보는 Security Management Server 아키텍처 디자인을 참조하십시오. 하드웨어 요구 사항 프로세서 Modern Quad-Core CPU(1.5GHz+) RAM 16GB 사용 가능한 디스크 공간 20GB의 사용 가능한 디스크 공간 노트: PostgreSQL 내에 저장된 로컬 이벤트 데이터베이스에 최대 10GB의 용량 사용 네트워크 카드 10/100/1000 이상 기타 IPv4 또는 IPv6 또는 하이브리드 IPv4/IPv6 환경 필요 다음 표에는 Security Management Server 프런트엔드/프록시 서버의 최소 하드웨어 요구 사항이 자세히 나와 있습니다.
Hyper-V Server는 전체 또는 코어 설치로 설치되었거나 Windows Server 2012, Windows Server 2016, Windows Server 2019에서 역할로 설치되었습니다. • Hyper-V Server – 64비트 x86 CPU 필요 – 2코어 이상의 호스트 컴퓨터 – 8GB 이상의 RAM 권장 – 하드웨어가 최소 Hyper-V 요구 사항을 충족해야 함 – 전용 이미지 리소스를 위한 4GB 이상의 RAM – 1세대 가상 시스템으로 실행되어야 함 – 자세한 내용은 https://technet.microsoft.com/en-us/library/hh923062.aspx를 참조하십시오. Security Management Server v10.2.5는 VMware ESXi 5.5, VMware ESXi 6.0, VMware ESXi 6.5를 통해 검증되었습니다.
SQL Server 대부분 환경에서 SQL Database 서버를 사용하면서 가용성 및 데이터 연속성을 보장하려면 SQL Cluster 같이 중복 시스템에서 실행하 는 것이 가장 좋습니다. 또한 트랜잭션 로깅을 활성화하여 매일 전체 백업을 실행해야만 사용자/장치 활성화를 통해 새로 생성된 키 를 복구할 수 있습니다. 데이터베이스를 유지 보수할 때는 데이터베이스 인덱스를 재작성하고 통계도 수집해야 합니다. 소프트웨어 다음 표에는 Security Management Server 및 프록시 서버의 소프트웨어 요구 사항이 자세히 나와 있습니다. 노트: Security Management Server에 보관된 민감한 데이터로 인해 Dell은 Security Management Server를 전용 운영 체제에 설 치해 최소 권한 규칙에 맞춰 조정하거나 환경을 안전하게 보호하도록 제한된 역할 및 권리가 있는 애플리케이션 서버에 포함할 것을 권장합니다.
- Standard Edition - Datacenter Edition • Windows Server 2019 - Standard Edition - Datacenter Edition LDAP 리포지토리 • • • Active Directory 2008 R2 Active Directory 2012 R2 Active Directory 2016 Management Console 및 Compliance Reporter • • • Internet Explorer 11.x 이상 Mozilla Firefox 41.x 이상 Google Chrome 46.x 이상 노트: 브라우저에서 쿠키를 허용해야 합니다. Security Management Server 구성 요소를 위한 권장 가상 환경 Security Management Server는 가상 환경에서 설치가 가능합니다.
유형 작업 시나리오 SQL 권한 필요 백엔드 새 설치 기존 DB 사용 db_owner 백엔드 새 설치 새 DB 생성 dbcreator, db_owner 백엔드 새 설치 기존 로그인 사용 db_owner 백엔드 새 설치 새 로그인 생성 securityadmin 백엔드 삭제 해당 없음 해당 없음 프록시 프론트 엔드 모든 해당 없음 해당 없음 노트: 사용자 계정 컨트롤(UAC)이 활성화된 경우 C:\Program Files에 설치할 때 Windows Server 2012 R2에 설치하기 전에 비활 성화해야 합니다. 서버를 재부팅해야만 변경 사항이 적용됩니다. During installation, Windows or SQL Authentication credentials are required to set up the database. 사용되는 자격 증명의 유형에 관계 없 이, 계정에 수행 중인 작업에 대한 적절한 권한이 있어야 합니다.
3 설치 전 구성 시작하기 전에 Security Management Server와 관련된 모든 최신 해결 방법이나 알려진 문제를 확인하려면 Security Management Server 기술 권장 사항을 읽으십시오. Security Management Server를 설치하고자 할 경우 서버의 사전 설치 구성이 매우 중요합니다. 이 섹션을 특히 주목해서 Security Management Server를 원활하게 설치하십시오. 구성 1 Internet Explorer 보안 강화 구성(ESC)이 활성화되어 있다면 해제하십시오. Dell Server URL을 브라우저 보안 옵션의 신뢰할 수 있 는 사이트에 추가하십시오. 다음, 서버를 다시 부팅하십시오. 2 각 구성요소에 대해 다음 포트들을 여십시오.
Key Server: TCP/8050 Policy Proxy: TCP/8000 Security Server: HTTPS/8443 클라이언트 인증: HTTPS/8449(Server Encryption을 사용하는 경우) 클라이언트 통신, Advanced Threat Prevention을 사용하는 경우: HTTPS/TCP/443 Dell Server 데이터베이스 생성 3 이 지침은 선택적입니다. 데이터베이스가 없을 경우 설치 프로그램이 데이터베이스를 대신 생성해 줍니다. If you would prefer to set up a database before you install Security Management Server, follow the instructions below to create the SQL database and SQL user in SQL Management Studio.
서버의 사전 설치 구성이 완료되었습니다. 계속해서 설치 또는 업그레이드/마이그레이션합니다.
4 설치 또는 업그레이드/마이그레이션 이 장에서는 다음과 같은 작업을 위한 지침을 제공합니다. • 새 설치 - Security Management Server를 새로 설치합니다. • 업그레이드/마이그레이션 - 작동 중인 기존의 Enterprise Server v9.2 이상에서 업그레이드합니다. • Security Management Server 제거 - 필요한 경우 현재 설치를 제거합니다. 서버 설치에 기본 서버(백엔드)를 둘 이상 포함해야 하는 경우에는 Dell ProSupport에게 문의하십시오. 설치 또는 업그레이드/마이그레이션을 시작하기 전에 시작하기 전에 해당하는 설치 전 구성 단계를 수행해야 합니다. Security Management Server 설치와 관련된 모든 최신 해결 방법이나 알려진 문제는 Security Management Server 기술 권고사항을 읽 어 보십시오.
프론트 엔드 서버를 설치하는 경우에는 백엔드 서버를 설치한 후에 이 설치를 수행하십시오. • 프론트 엔드 서버 설치 - 백엔드 서버와 통신할 프론트 엔드 서버를 설치합니다. 백엔드 서버 및 새 데이터베이스 설치 1 Dell 설치 미디어에서 Security Management Server 디렉토리로 이동합니다. Security Management Server-x64를 Security Management Server에 설치할 서버의 루트 디렉토리에 압축 해제합니다(복사/붙여넣기 또는 드래그/드롭 불가). 복사/붙여넣기 2 setup.exe를 더블 클릭합니다. 3 설치할 언어를 선택하고 확인을 클릭합니다. 4 사전 요구 사항이 아직 설치되어 있지 않으면, 사전 요구 사항이 설치된다는 메시지가 표시됩니다. 설치를 클릭합니다. 5 시작 대화상자에서 다음을 클릭합니다. 6 라이센스 계약을 읽고 조건을 수락한 후 다음을 클릭합니다.
다음을 클릭합니다. 노트: 이 설정을 사용하려면, 내보내진 CA 인증서 중 가져올 CA 인증서에 최대의 신뢰 체인이 수립되어 있어야 합 니다. 확실하지 않을 경우, CA 인증서를 다시 내보내고 "인증서 내보내기 마법사"에서 다음 옵션이 선택되었 는지 확인하십시오. b • 개인 정보 교환 - PKCS#12(.PFX) • 가능한 한 모든 인증서를 인증서 경로에 포함 • 모든 확장 속성을 내보냄 또는 자체 서명된 인증서를 만들려면 자체 서명된 인증서를 생성하여 키 스토리지에 가져오기를 선택하고 다음을 클릭합니다. 자체 서명 인증 대화상자에 다음 정보를 입력합니다. 정규화된 컴퓨터 이름(예: computername.domain.com) 조직 조직 단위(예: 보안 팀) 시 도(전체 이름) 국가: 알파벳 두 글자로 된 국가 약어 다음을 클릭합니다. 노트: 기본적으로 인증서 유효 기간은 10년입니다. 12 Server Encryption에서, 사용할 디지털 인증서 유형을 선택할 수 있습니다.
조직 조직 단위(예: 보안 팀) 시 도(전체 이름) 국가: 알파벳 두 글자로 된 국가 약어 다음을 클릭합니다. 노트: 기본적으로 인증서 유효 기간은 10년입니다. 13 백엔드 서버 설치 설정 대화상자에서 호스트 이름 및 포트를 보거나 편집할 수 있습니다. • 기본 호스트 이름 및 포트를 수락하려면 백엔드 서버 설치 설정 대화상자에서 다음을 클릭합니다. • 프론트 엔드 서버를 사용하는 경우 네트워크 내부 또는 DMZ 외부로 클라이언트와 통신하도록 프론트 엔드 작동을 선택하고 프론트 엔드 보안 서버 호스트 이름(예: server.domain.com)을 입력합니다. • 호스트 이름을 보거나 편집하려면 호스트 이름 편집을 클릭합니다. 필요한 경우에만 호스트 이름을 편집합니다. 기본값 사용 을 권장합니다. 노트: 호스트 이름에는 밑줄("_")을 사용할 수 없습니다. 작업을 마친 후 확인을 클릭합니다. • 14 포트를 보거나 편집하려면 포트 편집을 클릭합니다. 필요한 경우에만 포트를 편집합니다.
또는 • 다음 자격 증명을 사용해 SQL 서버 인증 SQL 인증을 사용하려면 사용되는 SQL 계정에 SQL 서버에 대한 시스템 관리자 권한이 있어야 합니다. c d e 15 설치 프로그램은 이 허가를 통해 SQL 서버에 인증해야 합니다: 데이터베이스 생성, 사용자 추가, 허용 할당. 데이터베이스 카탈로그를 식별합니다. 새 데이터베이스 카탈로그의 이름을 입력합니다. 새 카탈로그를 생성하라는 메시지가 다음 대화상자에 표시됩니다. 다음을 클릭합니다. 설치 프로그램에서 데이터베이스를 만들도록 하려면 예를 클릭합니다. 이전 화면으로 돌아가 변경을 수행하려면 아니오를 클릭합니다. 사용할 제품에 대해 인증 방법을 선택합니다. 이 단계는 제품에 계정을 연결합니다. • Windows 인증 아래의 자격 증명을 사용해 Windows 인증을 선택하고 다음을 클릭합니다. 해당 계정에 시스템 관리자 권한 및 SQL Server를 관리할 수 있는 기능이 있어야 합니다.
또는 • SQL 서버 인증 아래의 자격 증명을 사용해 SQL 서버 인증을 선택하고 Security Management Server에서 작업할 때 사용할 Dell 서비스에 대한 SQL 서버 자격 증명을 입력하고 다음을 클릭합니다. 사용자 계정은 SQL 서버 허가 기본 스키마: dbo 및 Database Role Membership: dbo_owner, public을 가지고 있어야 합니다. 16 프로그램 설치 준비 완료 대화상자에서 설치를 클릭합니다 진행률 대화상자에 설치 과정 상태가 표시됩니다. 17 설치가 완료되면 마침을 클릭합니다. 백엔드 서버 설치 작업이 완료됩니다. 설치가 끝나면 Dell 서비스가 다시 시작됩니다. Dell Server를 다시 부팅할 필요는 없습니다. 기존 데이터베이스와 함께 백엔드 서버 설치 노트: Dell Server v9.2 이상을 사용하고 있는 경우 백엔드 서버 업그레이드/마이그레이션의 지침을 참조하십시오.
이전에 Security Management Server와 함께 기존의 데이터베이스를 설치한 경우 설치를 시작하기 전에 데이터베이스, 구성 파일, secretKeyStore를 백업했고 Security Management Server를 설치하는 서버에서 액세스할 수 있는지 확인하십시오. Security Management Server와 기존 데이터베이스를 구성하려면 이러한 파일에 액세스해야 합니다. 설치 시에 설치 프로그램에서 생성된 폴 더 구조(아래 예제 참조)는 그대로 유지해야 합니다. 1 Dell 설치 미디어에서 Security Management Server 디렉토리로 이동합니다. Security Management Server-x64를 Security Management Server에 설치할 서버의 루트 디렉토리에 압축 해제합니다(복사/붙여넣기 또는 드래그/드롭 불가). 복사/붙여넣기 3 또는 드래그/드롭을 실행하면 오류가 발생해 설치가 성공적으로 완료되지 않습니다. setup.
11 사용할 디지털 인증서 유형을 선택할 수 있습니다. 신뢰할 수 있는 인증 기관의 디지털 인증서를 사용할 것을 권장합니다. 아래에서 옵션 "a" 또는 "b"를 선택하십시오. a CA 기관에서 구입한 기존 인증서를 사용하려면 기존 인증서 가져오기를 선택하고 다음을 클릭합니다. 찾아보기를 클릭하여 인증서 경로를 입력합니다. 이 인증서와 관련된 암호를 입력합니다. 키 저장 파일 확장자는 .p12 또는 pfx일 것입니다. 지침은 Certificate Management Console을 사용하여 PFX에 인증서 내보내기를 참조하십시오. 다음을 클릭합니다. 노트: 이 설정을 사용하려면, 내보내진 CA 인증서 중 가져올 CA 인증서에 최대의 신뢰 체인이 수립되어 있어야 합 니다. 확실하지 않을 경우, CA 인증서를 다시 내보내고 "인증서 내보내기 마법사"에서 다음 옵션이 선택되었 는지 확인하십시오. • b 개인 정보 교환 - PKCS#12(.
• 기본 호스트 이름 및 포트를 수락하려면 백엔드 서버 설치 설정 대화상자에서 다음을 클릭합니다. • 프론트 엔드 서버를 사용하는 경우 네트워크 내부 또는 DMZ 외부로 클라이언트와 통신하도록 프론트 엔드 작동을 선택하고 프론트 엔드 보안 서버 호스트 이름(예: server.domain.com)을 입력합니다. • 호스트 이름을 보거나 편집하려면 호스트 이름 편집을 클릭합니다. 필요한 경우에만 호스트 이름을 편집합니다. 기본값 사용 을 권장합니다. 노트: 호스트 이름에는 밑줄("_")을 사용할 수 없습니다. 작업을 마친 후 확인을 클릭합니다. • 13 포트를 보거나 편집하려면 포트 편집을 클릭합니다. 필요한 경우에만 포트를 편집합니다. 기본값 사용을 권장합니다. 작업을 마친 후 확인을 클릭합니다. 사용할 설치 프로그램에 대해 인증 방법을 지정합니다. a b 찾아보기를 클릭하여 데이터베이스가 위치한 서버를 선택합니다. 인증 유형을 선택합니다.
아래의 자격 증명을 사용해 Windows 인증을 선택하고 제품에서 사용할 수 있는 계정에 대한 자격 증명을 입력한 후 다음을 클릭합니다. 해당 계정에 시스템 관리자 권한 및 SQL Server를 관리할 수 있는 기능이 있어야 합니다. 사용자 계정은 SQL 서버 허가 기본 스키마: dbo 및 Database Role Membership: dbo_owner, public을 가지고 있어야 합니다. 또는 • SQL Server 인증을 사용하려면 다음 자격 증명을 사용해 SQL Server 인증을 선택하고 SQL Server 자격 증명을 입력한 다음, 다음을 클릭합니다. 사용자 계정은 SQL 서버 허가 기본 스키마: dbo 및 Database Role Membership: dbo_owner, public을 가지고 있어야 합니다. 16 프로그램 설치 준비 완료 대화상자에서 설치를 클릭합니다 진행률 대화상자에 설치 과정 상태가 표시됩니다. 설치가 완료되면 마침을 클릭합니다. 백엔드 서버 설치 작업이 완료됩니다.
이 인증서와 관련된 암호를 입력합니다. 키 저장 파일 확장자는 .p12 또는 pfx일 것입니다. 지침은 Certificate Management Console을 사용하여 PFX에 인증서 내보내기를 참조하십시오. 다음을 클릭합니다. 노트: 이 설정을 사용하려면, 내보내진 CA 인증서 중 가져올 CA 인증서에 최대의 신뢰 체인이 수립되어 있어야 합 니다. 확실하지 않을 경우, CA 인증서를 다시 내보내고 "인증서 내보내기 마법사"에서 다음 옵션이 선택되었 는지 확인하십시오. b • 개인 정보 교환 - PKCS#12(.PFX) • 가능한 한 모든 인증서를 인증서 경로에 포함 • 모든 확장 속성을 내보냄 자체 서명된 인증서를 만들려면 자체 서명된 인증서를 생성하여 키 스토리지에 가져오기를 선택하고 다음을 클릭합니다. 자체 서명 인증 대화상자에 다음 정보를 입력합니다. 정규화된 컴퓨터 이름(예: computername.domain.
프론트 엔드 서버 설치 작업이 완료됩니다. 업그레이드/마이그레이션 Enterprise Server v9.2 이상을 Security Management Server v10.x로 업그레이드할 수 있습니다. Dell Server 버전이 v9.2 보다 오래된 경 우, 먼저 v9.2로 업그레이드한 다음 최신 버전으로 업그레이드해야 합니다. 업그레이드/마이그레이션을 시작하기 전에 시작하기 전에 모든 사전 설치 구성이 완료되었는지 확인하십시오. Security Management Server 설치와 관련된 모든 최신 해결 방법이나 알려진 문제는 Security Management Server Technical Advisories(Security Management Server기술 권장 사항)을 읽어 보십시오. 설치가 수행되는 사용자 계정에는 SQL 데이터베이스에 대해 데이터베이스 소유자 권한이 있어야 합니다.
5 커밋이 완료되면, Management Console에서 로그아웃합니다. Dell 서비스가 실행 중인지 확인 6 Windows 시작 메뉴에서 시작 > 실행을 클릭합니다. services.msc를 입력하고 확인을 클릭합니다. Services가 열리면 각 Dell 서비 스로 이동하여 필요한 경우 서비스 시작을 클릭합니다. 기존 설치 백업 7 기존 설치 전체를 대체 위치에 백업하십시오. 백업해야 할 항목은 SQL 데이터베이스, secretKeyStore, 구성 파일입니다. 기존 설 치에 포함된 일부 파일은 업그레이드/마이그레이션 프로세스가 완료된 후에 필요합니다. 노트: 설치 시에 설치 프로그램에서 생성된 폴더 구조(아래 참조)는 그대로 유지해야 합니다. 백엔드 서버 업그레이드/마이그레이션 1 Dell 설치 미디어에서 Security Management Server 디렉터리로 이동합니다.
7 설치 프로그램이 이전 데이터베이스를 제대로 찾으면 대화상자가 알아서 채워집니다. 기존 데이터베이스에 연결하려면 사용할 인증 방법을 지정합니다. 설치한 이후, 설치된 제품은 여기에 특정된 자격 증명을 사용 하지 않습니다. a 데이터베이스 인증 유형을 선택합니다. • 현재 사용자의 Windows 인증 자격 증명 Windows 인증을 선택하면 Windows에 로그인하는 데 사용한 자격 증명이 인증에 사용됩니다(사용자 이름 및 암호는 수 정할 수 없음). 해당 계정에 시스템 관리자 권한 및 SQL Server를 관리할 수 있는 기능이 있어야 합니다. 사용자 계정은 SQL 서버 허가 기본 스키마: dbo 및 Database Role Membership: dbo_owner, public을 가지고 있어야 합니다. 또는 • 다음 자격 증명을 사용해 SQL 서버 인증 SQL 인증을 사용하려면 사용되는 SQL 계정에 SQL 서버에 대한 시스템 관리자 권한이 있어야 합니다.
server.pass에 대한 지침: 암호를 알고 있는 경우, 의 견본 server_config.xml 파일을 참조하여 다음과 같이 수정하십시오. • KeyName을 CFG_KEY 값에서 none으로 편집합니다. • 일반 텍스트 암호를 입력하고 이를 로 묶습니다. 이 예에서는 changeit과 같습니다. • Security Management Server가 시작되면, 일반 텍스트 암호가 해시되고 이 해시값이 일반 텍스트를 대체합니다. 암호를 알 경우 암호를 모르는 경우, 백업된 \conf\server_config.xml 파일에서 그림 4-2에 표시된 부분과 유사한 부분을 잘라내서 새 server_config.xml 파일의 해당 부분에 붙여 넣습니다. 암호를 모를 경우 파일을 저장하고 닫습니다. 노트: 나중에라도 server_config.xml의 server.
프론트 엔드 서버 업그레이드/마이그레이션 노트: v9.5부터 비콘 서비스가 기본 호스트 이름과 8446 포트를 사용하여 이 업그레이드의 일부로 설치됩니다. 비콘 서비스는 환 경 내에서 보호된 Office 문서를 허용하거나 강제로 적용할 때 Data Guardian에서 보호하는 모든 파일에 콜백 비콘을 삽입하는 Data Guardian 콜백 비콘을 지원합니다. 이렇게 하면 프론트 엔드 서버와 모든 위치의 모든 장치 사이에서 통신을 할 수 있습니다. 콜백 비콘을 사용하기 전에 필요한 네트워크 보안이 구성되어 있는지 확인합니다. 1 Dell 설치 미디어에서 Security Management Server 디렉토리로 이동합니다. Security Management Server-x64를 Security Management Server를 설치할 서버의 루트 디렉터리에 압축 해제합니다(복사/붙여넣기 또는 드래그/드롭은 안 됨).
매개 변수 AGREE_TO_LICENSE=Yes - 이 값은 "Yes"가 되어야 합니다. PRODUCT_SN=xxxxx - 표준 위치에 라이센스 정보가 있으면 선택 사항입니다. 그렇지 않으면 여기에 입력합니다. INSTALLDIR= - 선택 사항. BACKUPDIR= - 복구 파일이 저장되는 위치입니다. 노트: 이 설치 단계 중에는 설치 프로그램에서 생성된 폴더 구조(아래 예제 참조)를 그대로 유지해야 합니다. AIRGAP=1 - Security Management Server를 연결되지 않은 모드로 설치하려면 이 값이 "1"이 되어야 합니다. SSL_TYPE=n - 여기에서 n이 1이면 CA 기관에서 구매한 기존의 인증서를 가져오는 것이고 2이면 자체 서명 인증서를 만드는 것입니 다. SSL_TYPE 값으로 어떤 SSL 속성이 필요한지를 결정합니다. SSL_TYPE=1일 때 다음과 같은 사항이 필요합니다.
매개 변수 DISPLAY_SQLSERVER=SQL_server\Server_instance, port IS_AUTO_CREATE_SQLSERVER=FALSE - 선택 사항. 기본값은 FALSE이며 데이터베이스가 생성되지 않는다는 것을 의미합니다. 데 이터베이스가 서버에 이미 있어야 합니다. 새 데이터베이스를 생성하려면 이 값을 TRUE로 설정합니다. IS_SQLSERVER_AUTHENTICATION=0 - 선택 사항. 기본값은 0이며 현재 로그온한 사용자의 인증 자격 증명을 사용하여 SQL Server 에 대한 인증을 한다는 것을 지정합니다. SQL 인증을 사용하려면 이 값을 1로 설정합니다. 노트: 설치 프로그램은 이 허가를 통해 SQL 서버에 인증해야 합니다: 데이터베이스 생성, 사용자 추가, 허용 할당. 자격 증명 은 설치 시간 자격 증명이며 실행 시간 자격 증명이 아닙니다. SQL 인증을 사용하는 경우에는 다음이 필요합니다.
매개 변수 ACTIVEMQHOST - 선택 사항. Message Broker 호스트 이름. 다음은 포트 매개변수입니다. 필요한 경우에만 포트를 편집합니다. 기본값 사용을 권장합니다. SERVERPORT_CLIENTAUTH - 선택 사항. REPORTERPORT - 선택 사항. DEVICEPORT - 선택 사항. KEYSERVERPORT - 선택 사항. GKPORT - 선택 사항. TIGAPORT - 선택 사항. SMTP_PORT - 선택 사항. ACTIVEMQ_TCP - 선택 사항. ACTIVEMQ_STOMP - 선택 사항. 연결되지 않은 모드로 Security Management Server 설치 다음 예제에서는 C:\mysetups\eeoptions.txt\" " 파일에 나와 있는 설치 매개 변수를 사용하여 진행률 대화 상자가 표시되는 자동 모드로 Security Management Server를 설치합니다. Setup.exe /s /v"/qb INSTALL_VALUES_FILE=\"C:\myset
5 설치 후 구성 Security Management Server 구성과 관련된 최신 해결 방법이나 알려진 문제는 Security Management Server Technical Advisories(Security Management Server기술 권장 사항)을 읽어 보십시오. Security Management Server를 처음으로 설치하든 기존 설치를 업그레이드하든, 환경의 일부 구성 요소를 구성해야 합니다. Security Management Server를 설치한 후 다음 기본값을 수정해야 합니다. • 다음 위치에서 백 엔드 서버 암호를 변경합니다. C:\Program Files\Dell\Enterprise Edition\Message Broker\conf\application.properties • 다음 위치에서 운영 환경의 모든 프런트 엔드 서버에 대한 암호를 변경합니다. C:\Program Files\DELL\Enterprise Edition\Beac\conf\application.
• Data Guardian 또는 이메일 서비스용 SMTP 설정 구성 • 데이터베이스 이름, 위치 또는 자격 증명 변경 • 데이터베이스 마이그레이션 Dell Core Server와 Compatibility Server는 서버 구성 도구와 동시에 실행할 수 없습니다. 서비스에서 Core Server 서비스와 Compatibility Server 서비스를 중단한 후에(시작 > 실행. services.msc 입력) Server 구성 도구를 시작하십시오. 서버 구성 도구를 시작하려면 시작 > Dell > 서버 구성 도구 실행으로 이동합니다. 서버 구성 도구가 C:\Program Files\Dell\Enterprise Edition\Server Configuration Tool\Logs에 로그를 기록합니다. 새 인증서 또는 업데이트된 인증서 추가 자체 서명된 인증서와 서명된 인증서 중에서 사용할 인증서 유형을 선택할 수 있습니다. • 자체 서명된 인증서는 작성자가 서명한 인증서입니다.
한 가지 방법을 선택합니다. • 빠른 생성 - 모든 구성요소에 대해 자체 서명 인증서를 생성하려면 이 방법을 선택합니다. 가장 쉬운 방법이기는 하지만 자체 서명 된 인증서는 파일럿, POC 등에 적합합니다. 프로덕션 환경이라면 Dell은 공용 CA-서명 또는 도메인-서명 인증서를 권장합니다. • 고급 - 각 구성요소를 개별적으로 구성하려면 이 방법을 선택합니다. 빠른 생성 1 상단 메뉴에서 작업 > 인증서 구성을 선택합니다. 2 구성 마법사가 시작되면 빠른 생성을 선택하고 다음을 클릭합니다. 해당되는 경우, Security Management Server를 설치할 때 생 성된 자체 서명 인증서의 정보가 사용될 것입니다. 3 상단 메뉴에서 구성 > 저장을 선택합니다. 메시지가 나타나면 "저장"을 확인합니다. 인증서 설정이 완료되었습니다. 이 섹션의 다음 부분은 인증서 생성을 위한 고급 방법에 대해 설명합니다.
완료되면 마침을 클릭합니다. • 현재 설정 사용 – Security Management Server의 최초 구성 후 언제든지 인증서의 설정을 변경하려면 이 옵션을 선택합니다. 이 옵션을 선택하면 이미 구성된 인증서가 그대로 유지됩니다. 이 옵션을 선택하면 Message Security 인증서 창으로 이동합 니다. Message Security 인증서에서 다음 중 하나를 선택합니다. – 인증서 선택 - 기존 인증서를 사용하려면 이 옵션을 선택합니다. 다음을 클릭합니다. 기존 인증서 위치를 탐색하여 기존 인증서와 연결된 암호를 입력하고 다음을 클릭합니다. 완료되면 마침을 클릭합니다. – 자체 서명 인증서 생성 – 해당되는 경우, Security Management Server를 설치할 때 생성된 자체 서명 인증서의 정보가 사 용될 것입니다. 다음을 클릭합니다. 완료되면 마침을 클릭합니다. 인증서 설정이 완료됩니다. 변경이 완료되면 다음을 수행합니다. 1 상단 메뉴에서 구성 > 저장을 선택합니다.
15 암호를 입력하고 확인합니다. 원하는 암호를 사용할 수 있습니다. 다른 사람은 쉽게 기억할 수 없지만 나는 수월하게 기억할 수 있는 암호를 선택합니다. 다음을 클릭합니다. 16 찾아보기를 클릭하여 파일을 저장할 위치를 찾습니다. 17 파일 이름에는 파일을 저장할 이름을 입력합니다. 저장을 클릭합니다. 18 다음을 클릭합니다. 19 마침을 클릭합니다. 20 내보내기가 성공적으로 수행되었다는 메시지가 표시됩니다. MMC를 닫습니다. 21 Dell Server 구성 도구로 돌아갑니다. 22 상단 메뉴에서 작업 > DM 인증서 가져오기를 선택합니다. 23 내보낸 파일이 저장된 위치를 탐색합니다. 파일을 선택하고 열기를 클릭합니다. 24 이 파일에 연결된 암호를 입력하고 확인을 클릭합니다. Dell Manager 인증서 가져오기가 완료되었습니다. 변경이 완료되면 다음을 수행합니다. 1 상단 메뉴에서 구성 > 저장을 선택합니다. 메시지가 나타나면 "저장"을 확인합니다.
1 상단 메뉴에서 구성 > 저장을 선택합니다. 메시지가 나타나면 "저장"을 확인합니다. 2 Dell Server 구성 도구를 닫습니다. 3 시작 > 실행을 클릭합니다. services.msc를 입력하고 확인을 클릭합니다. 서비스가 열리면 각 Dell Service로 이동하여 서비스 시 작을 클릭합니다. SMTP 설정 구성 Server 구성 도구에서 SMTP 탭을 클릭합니다. 이 탭은 Data Guardian, Product Bulletin, 알림 및 Advanced Threat Prevention Threat Relay 메시지에 대한 SMTP 설정을 구성합니다. 구성 변경 사항이 완료되면 Security Server 서비스를 다시 시작합니다. 설정을 업데이트하려면 Security Server 서비스를 다시 시작해 야 합니다. 다음 정보를 입력합니다. 1 호스트 이름에는 사용자의 SMTP 서버의 FQDN을 입력합니다(예: smtpservername.domain.com).
6 암호:에서 사용자 이름에 나열된 사용자 이름에 대한 암호를 입력하십시오. 7 상단 메뉴에서 구성 > 저장을 선택합니다. 메시지가 나타나면 "저장"을 확인합니다. 8 데이터베이스 구성을 테스트하려면 상단 메뉴에서 작업 > 데이터베이스 구성 테스트를 선택합니다. 구성 마법사가 시작됩니다. 9 구성 테스트 창에서 테스트 정보를 읽고 다음을 클릭합니다. 10 데이터베이스 탭에서 Windows 인증을 선택하는 경우 대체 자격 증명을 선택적으로 입력하여 해당 자격 증명을 Security Management Server 실행에 사용할 수 있습니다. 다음을 클릭합니다. 11 구성 테스트 창에 연결 설정 테스트, 호환성 테스트, 데이터베이스 마이그레이션 테스트 결과가 표시됩니다. 12 마침을 클릭합니다. 노트: SQL 데이터베이스 또는 SQL 인스턴스가 비기본 데이터 정렬로 구성되어 있는 경우 비기본 데이터 정렬은 대/소문자를 구분해야 합니다.
6 관리 작업 Dell 관리자 역할 지정 1 Security Management Server Virtual 관리자 계정으로 Management Console에 로그인합니다(https://server.domain.com:8443/ webui). 기본 자격 증명은 superadmin/changeit입니다. 2 왼쪽 창에서 채우기 > 도메인을 클릭합니다. 3 사용자를 추가할 도메인을 클릭합니다. 4 도메인 세부 정보 페이지에서 구성원 탭을 클릭합니다. 5 사용자 추가를 클릭합니다. 6 일반 이름, UPN(Universal Principal Name) 또는 sAMAccountName 중에서 사용자 이름을 검색할 필터를 입력합니다. 와일드카드 문자는 *입니다. 엔터프라이즈 디렉토리 서버에서 모든 사용자마다 일반 이름, UPN(Universal Principal Name) 및 sAMAccountName이 정의되어 있 어야 합니다.
3 정책 커밋을 클릭합니다. Dell Compliance Reporter 구성 1 왼쪽 창에서 Compliance Reporter를 클릭합니다. 2 Dell Compliance Reporter가 시작되면, 기본 자격 증명인 superadmin/changeit을 사용하여 로그인합니다. 백업 실행 재난 복구를 목적으로 매주 야간에 다음 위치에 대한 백업을 실행해야 합니다. 재해 복구를 위한 계획에 대한 자세한 내용은 http:// www.dell.com/support/article/us/en/04/sln292355/plan-for-disaster-recovery-and-high-availability-with-dell-security-managementserver-dell-data-protection-server?lang=en를 참조하십시오. Compliance Reporter 데이터 백업에 대한 자세한 내용은 http:// www.dell.
7 포트 다음 표는 각 구성요소와 그 기능에 대한 설명입니다. 이름 기본 포트 설명 ACL 서비스 TCP/ 여러 Dell 보안 제품에 대한 다양한 권한과 그룹 액세스를 관리합니다. 8006 Compliance Reporter HTTP(S)/ 8084 Management Console HTTP(S)/ 8443 Core Server Device Server 감사 및 준수 보고를 위한 환경을 포괄적으로 볼 수 있습니 다. 전체 엔터프라이즈 배포를 위한 관리 콘솔 및 제어 센터입 니다. 8888 정책 흐름, 라이센스 및 사전 부팅 인증을 위한 등록, SED 관리, BitLocker 관리자, 위협 차단 및 Advanced Threat Prevention을 관리합니다. Compliance Reporter 및 Management Console을 통해 사용할 인벤토리 데이터를 처 리합니다. 인증 데이터를 수집하고 보관합니다. 역할 기반 액세스를 관리합니다.
이름 기본 포트 설명 Policy Proxy TCP/ 네트워크 기반 통신 경로를 제공하여 보안 정책 업데이트 및 인벤토리 업데이트를 제공합니다. 8000 PostGres TCP/ 이벤트 데이터에 사용되는 로컬 데이터베이스입니다. 5432 포트 389 - 이 포트는 로컬 도메인 컨트롤러에서 정보를 요 청하는 데 사용됩니다. 포트 389에 전송된 LDAP 요청을 사 389/636(로컬 도 용하여 글로벌 카탈로그의 홈 도메인 내에 속하는 개체만 메인 컨트롤러), 검색할 수 있습니다. 그러나 요청하는 응용프로그램에서 3268/3269(글로 이러한 개체에 대한 속성을 모두 가져올 수 있습니다. 예를 벌 카탈로그) 들어, 포트 389에 대한 요청을 사용하여 사용자의 부서를 가져올 수 있습니다. TCP/ 포트 3268 - 이 포트는 특별히 글로벌 카탈로그에 대한 대 135/ 49125+ 상으로 지정된 쿼리에 사용됩니다.
8 SQL Server 모범 사례 다음 목록은 SQL Server 모범 사례로서 Dell Security 설치 시 구현하지 않았다면 반드시 구현해야 합니다. 1 데이터 파일 및 로그 파일이 저장되는 NTFS 블록 크기가 64KB인지 확인하십시오. SQL Server 익스텐트(SQL Storage 기본 단위) 는 64KB입니다. 자세한 내용은 Microsoft의 TechNet 게시글에서 “페이지 및 익스텐트에 대한 이해”를 검색하여 확인하시기 바랍니다. • 2 Microsoft SQL Server 2008 R2 - http://technet.microsoft.com/en-us/library/ms190969(v=sql.105).aspx 일반 지침으로서 SQL Server 메모리의 최대 용량을 설치된 메모리의 80%로 설정하십시오.
9 인증서 이 장에서는 Security Management Server와 함께 사용하기 위해 인증서를 얻는 방법을 설명합니다. 스마트 카드 인증을 구성하도록 구성하는 방법에 대한 내용은 http://www.dell.com/support/article/us/en/19/sln303783/dell-dataprotection-sed-management-smartcard-setup-guide?lang=en을 참조하십시오. Dell Data Security 서버에서 사용하는 SSL/TLS 인증서를 요청하는 최소 요구 사항에 대한 정보는 http://www.dell.
노트: 편집하기 전 구성 파일을 백업해 두십시오. 지정된 매개 변수만 변경해야 합니다. 이러한 파일에서 태그를 포함한 다른 데이터를 변경할 경우 시스템 손상 및 오류가 발생할 수 있습니다. 이러한 파일에서 허가되지 않은 매개 변수를 변경하 여 문제가 발생하는 경우 Security Management Server를 다시 설치하지 않는 이상 문제가 해결되지 않을 수 있습니다. • 키 저장소 암호: 암호를 입력하고(지원되지 않는 문자 <>;&" ') 구성 요소 conf 파일의 변수를 다음과 같이 동일한 값으로 설정합니 다. \conf\eserver.properties. eserver.keystore.password = 값 설정 \conf\application.properties. keystore.password = 값 설정 \conf\applica
노트: 유효한 인증서를 요청하는 방법은 여러 가지가 있습니다. 예제 방법은 인증서를 요청하는 방법의 예에 나와 있습니다. 3 서명된 인증서를 받으면 파일에 저장하십시오. 4 가져오기 프로세스 중 오류가 발생할 경우에 대비하여 이 인증서를 백업해 두는 것이 좋습니다. 이렇게 백업해 두면 프로세스를 다시 시작하지 않아도 됩니다. 루트 인증서 가져오기 루트 인증서 인증 기관이 Verisign(Verisign Test 제외)인 경우 다음 절차로 건너 뛰어 서명된 인증서를 가져오십시오. 인증 기관 루트 인증서는 서명된 인증서의 유효성을 검사합니다. 1 2 3 다음 중 하나를 수행하십시오. • 인증 기관 루트 인증서를 다운로드하고 파일에 저장합니다. • 엔터프라이즈 디렉터리 서버 루트 인증서를 얻습니다. 다음 중 하나를 수행하십시오.
CA 인증서 다운로드 7 인증서를 저장합니다. DER 인코딩을 선택하고 CA 인증서 경로 다운로드를 클릭합니다. CA 인증서 경로 다운로드 8 변환된 서명 기관 인증서를 가져옵니다. 명령 프롬프트로 돌아갑니다. 유형: keytool -import -trustcacerts -file -keystore cacerts 9 서명 기관 인증서를 가져왔으므로 서버 인증서를 가져올 수 있습니다(신뢰 체인을 구축할 수 있음). 유형: keytool -import -alias sslkey -file -keystore cacerts 자체 서명 인증서의 별칭을 사용하여 CSR 요청과 서버 인증서를 연결합니다. 10 cacerts 파일 목록에 서버 인증서의 인증서 체인 길이가 2라는 정보가 표시됩니다. 즉, 자체 서명된 인증서가 아님을 나타냅니다.
SSL에 신뢰할 수 없는 인증서가 사용되었을 때 Security Server에 신뢰할 수 있는 서명 인증서 추가 1 2 Security Server 서비스가 실행되고 있다면 중지합니다. cacerts 파일을 \conf\에 백업합니다. Keytool을 사용하여 다음을 완료합니다. 3 신뢰할 수 있는 PFX를 텍스트 파일로 내보내고 별칭을 기록합니다. keytool -list -v -keystore " 4 PFX를 \conf\의 cacerts 파일로 가져옵니다. keytool -importkeystore -v -srckeystore " 5 \conf\application.properties의 keystore.alias.signing 값을 수정합니다. keystore.alias.