Dell Encryption Enterprise for Mac Guida dell'amministratore v10.8 August 2020 Rev.
Messaggi di N.B., Attenzione e Avvertenza N.B.: un messaggio N.B. (Nota Bene) indica informazioni importanti che contribuiscono a migliorare l'utilizzo del prodotto. ATTENZIONE: un messaggio di ATTENZIONE evidenzia la possibilità che si verifichi un danno all'hardware o una perdita di dati ed indica come evitare il problema. AVVERTENZA: un messaggio di AVVERTENZA evidenzia un potenziale rischio di danni alla proprietà, lesioni personali o morte. © 2012-2020 Dell Inc. All rights reserved.
Sommario Capitolo 1: Introduzione...................................................................................................................5 Panoramica.............................................................................................................................................................................5 Crittografia tramite FileVault................................................................................................................................................
Capitolo 7: Glossario.....................................................................................................................
1 Introduzione La Guida dell'amministratore di Encryption Enterprise per Mac fornisce le informazioni necessarie a distribuire e installare il software client. Argomenti: • • • Panoramica Crittografia tramite FileVault Contattare Dell ProSupport Panoramica Encryption Enterprise for Mac è in grado di gestire la crittografia completa del disco tramite FileVault.
2 Requisiti In questo capitolo sono specificati i requisiti hardware e software client. Prima di continuare con le attività di distribuzione, accertarsi che l'ambiente di distribuzione soddisfi i requisiti. Argomenti: • • Hardware del client di crittografia Software per il client di crittografia Hardware del client di crittografia I requisiti hardware minimi devono soddisfare le specifiche minime del sistema operativo.
N.B.: Per ospitare Encryption External Media, il supporto esterno deve disporre di circa 55 MB di spazio, più una quantità di spazio libero equivalente alle dimensioni del file più grande da crittografare. Sistemi operativi Windows (a 32 e a 64 bit) supportati per l'accesso a supporti crittografati • Microsoft Windows 7 SP1 - Enterprise - Professional - Ultimate • Microsoft Windows 8.1 - Windows 8.
3 Attività per il client di crittografia Argomenti: • • • • • • • • • Installare/Aggiornare Encryption Enterprise for Mac Attivare Encryption Enterprise for Mac Raccogliere i file di registro per Encryption Enterprise Visualizzare il criterio e lo stato della crittografia Volumi di sistema Ripristino Supporto rimovibile Disinstallare Encryption Enterprise for Mac Disinstallare Encryption External Media Installare/Aggiornare Encryption Enterprise for Mac Questa sezione guida l'utente nel processo di instal
• • • • Security Management Server Virtual Quick Start Guide and Installation Guide (Guida introduttiva e all'installazione di Security Management Server Virtual) Assicurarsi di avere a portata di mano l'URL del Security Server e del Policy Proxy. Sono entrambi necessari per l'installazione e l'attivazione del software client. Se la distribuzione utilizza una configurazione non predefinita, assicurarsi di conoscere il numero di porta del Security Server.
Al termine dell'installazione sarà necessario riavviare immediatamente il computer. Se si aprono dei file in altre applicazioni e non sono pronti per il riavvio, cliccare su Annulla, salvare il lavoro e chiudere le altre applicazioni. 15. Cliccare su Continuare l'installazione. L'installazione viene avviata. 16. Al completamento dell'installazione, cliccare su Riavvia. 17. Se si tratta di una nuova installazione di Encryption Enterprise, viene visualizzata la finestra di dialogo Estensione sistema bloccata.
NoAuthenticateUsers [In this sample code, after one user activates the computer against the Dell Server, other users can log in without being prompted to activate.] dsAttrTypeStandard:AuthenticationAuthority * NoAuthenticateUsers [In this sample code, users from a specific domain name can log in without being prompted to activate against the Dell Server.
Version 2 [Do not modify] MaxPasswordDelay xxxx [Number of seconds to apply to the security policy, "Require password XXXX after sleep or screen saver begins." The acceptable range is 0-32400.] EMSTreatsUnsupportedFileSystemAs ignore [For handling Mac OS Extended media. Possible values are ignore, provisioningRejected, or unshieldable. ignore - the media is usable (default).
b. Andare in /Library/Dell/EMS e selezionare Dell Encryption External Media. c. Cliccare su Apri. d. In Accesso completo ai dischi, selezionare la casella di controllo per Dell Encryption External Media. 6. Chiudere la finestra Protezione e privacy.
DellLogs.zip contiene i registri per Mac Encryption Enterprise. Per informazioni su come raccogliere i registri, consultare http:// www.dell.com/support/article/us/en/19/SLN303924. Visualizzare il criterio e lo stato della crittografia È possibile visualizzare il criterio e lo stato di crittografia nel computer locale o nella Management Console.
Quando è attivato, FileVault viene utilizzato per crittografare il volume di sistema incluse le unità Fusion, in base all'impostazione del criterio Volumi destinati alla crittografia. Crittografia Mac > Impostazioni globali Mac Volumi destinati alla crittografia Solo il volume di sistema oppure Tutti i volumi fissi Solo il volume di sistema protegge solo il volume di sistema attualmente in esecuzione.
Colore Descrizione Verde Porzione crittografata Rosso Porzione non crittografata Giallo Porzione con nuova crittografia in corso Per esempio, da una modifica negli algoritmi di crittografia. I dati sono ancora protetti, è semplicemente in corso una transizione verso un tipo di crittografia differente. La scheda Volumi di sistema mostra tutti i volumi collegati al computer che si trovano nei dischi formattati della Tabella di partizione GUID (GPT).
Badge Stato L'icona saturata di un volume indica un dispositivo montato. Il badge di scrittura vietata indica che è di sola lettura. La crittografia è attivata, ma non è stato eseguito il provisioning del supporto e l'accesso Encryption External Media al supporto non crittografato è impostato su Sola Lettura. Supporto crittografato da Encryption External Media, caratterizzato da un marchio Dell.
1. Eseguire l'accesso alla Management Console come amministratore Dell. 2. Nel riquadro sinistro, fare clic su Popolamenti > Endpoint. 3. Per workstation, fare clic su un'opzione nella colonna Nome host o, se si conosce il nome host dell'endpoint, immetterlo nel campo Cerca. È anche possibile immettere un filtro per eseguire la ricerca dell'endpoint. N.B.: Il carattere jolly (*) può essere utilizzato ma non necessariamente all'inizio o alla fine del testo.
Se la finestra di dialogo scade, è necessario riavviare o eseguire l'accesso per visualizzare di nuovo la finestra di dialogo della password. 4. Fare clic su OK. 5. Accertarsi che ogni utente disponga di un token protetto. Vedere https://www.dell.com/support/article/us/en/19/sln309192/mobileusers-unable-to-activate-dell-encryption-enterprise-for-mac-on-macos-high-sierra?lang=en.
• In questo esempio, gli asterischi finali rappresentano l'ultima parte dei record dell'autorità di autenticazione. In genere, per evitare una specifica inappropriata, includere il record completo invece di un asterisco finale, perché l'asterisco corrisponde a qualsiasi informazione dopo i due punti nel record OpenDirectory. La chiave NFSHomeDirectory richiede che tutti gli utenti che passano la prima chiave abbiano anche una directory principale in / Users/. N.B.
Una volta che Dell gestisce la crittografia del volume, la vecchia password non è più valida. Nel caso in cui l'utente abbia bisogno di assistenza per il ripristino, l'amministratore Dell può recuperare la chiave di ripristino per il volume. Se si sceglie di non immettere la password, il contenuto del volume sarà accessibile e crittografato tramite FileVault ma la crittografia non sarà gestita da Dell. N.B.: Nella Management Console, l'amministratore può verificare che ora Dell Server gestisce l'endpoint.
Viene visualizzata una voce di menu nascosta. 4. Fare clic su Copiare la regola dell'elenco dei dispositivi consentiti per i supporti rimovibili correnti. La regola dei dispositivi consentiti viene copiata negli appunti. 5. Accedere agli appunti, copiare la regola dei dispositivi consentiti e inviarla all'amministratore. Se il criterio di crittografia dei supporti Mac è attivato, i dati vengono crittografati, inclusi le unità Thunderbolt.
Ripristino FileVault Il ripristino di un volume crittografato tramite FileVault è dettato da Apple ed è automatizzato laddove possibile, ma richiede l'esecuzione di una procedura aggiuntiva. L'utilità Dell Recovery semplifica l'operazione degli strumenti di ripristino di Apple con script che assistono nel montaggio di un volume o, in alcuni casi, nella decrittografia dello stesso.
N.B.: La versione della Recovery Utility deve essere la stessa o più recente rispetto a quella del software client installato nel computer destinato al ripristino. 2. In Dell Recovery Utility > Seleziona volume, selezionare il volume di FileVault. • Quando si ripristina un sistema operativo, la best practice consiste nell'eseguire l'avvio da un computer con lo stesso sistema operativo o superiore. • Se si hanno volumi non di avvio crittografati, generalmente verrà ripristinata prima la partizione di avvio.
• • • • Un volume di ripristino esterno o un computer che avrà in esecuzione l'utilità di ripristino Un'unità USB Un cavo Firewire Supporti di installazione Dell Management Console - Salvare il bundle di ripristino 1. 2. 3. 4. 5. 6. 7. Aprire la Management Console. Nel riquadro sinistro, fare clic su Popolamenti > Endpoint. Cercare il dispositivo da ripristinare. Fare clic sul nome del dispositivo per aprire la pagina Dettagli endpoint. Fare clic sulla scheda Dettagli e azioni.
La finestra Risultato dell'operazione di ripristino visualizza la chiave. L'utilità Dell Recovery invia i file al percorso selezionato, quindi mostra i comandi esatti che sarà necessario eseguire dal volume Recovery HD per montare o decrittografare il volume di FileVault. 14. Una volta che tali file sono stati generati, copiare le stringhe di comando mostrate nella finestra di dialogo Risultato dell'operazione di ripristino. 15.
Encryption External Media e aggiornamenti dei criteri Nel sistema in cui il supporto è stato sottoposto a provisioning (o ripristinato), i criteri vengono aggiornati nel supporto rimovibile al momento del montaggio. Eccezioni alla crittografia Gli attributi estesi non sono crittografati su un supporto rimovibile. Errori nella scheda Supporto rimovibile • • • In un computer non protetto, non sostituire un file crittografato con una versione decrittografata del file.
2. Nella pagina Disinstalla Dell EMS, fare clic su Disinstalla. 3. Immettere nome utente e password, quindi fare clic su OK. 4. Nel messaggio di conferma della disinstallazione, fare clic su OK.
4 Attivazione come amministratore Client Tool offre all'amministratore nuovi metodi per l'attivazione del software client in un computer Mac e per l'analisi del software client. Sono disponibili due metodi di attivazione: • • Attivazione tramite le credenziali di amministratore Attivazione temporanea che emula l'utente senza lasciare footprint in quel computer. Entrambi i metodi possono essere utilizzati direttamente tramite una shell o in uno script. N.B.
5 Utilizzare il Boot Camp Argomenti: • • Supporto Mac OS X Boot Camp Ripristino di Encryption Enterprise per Windows in Boot Camp Supporto Mac OS X Boot Camp N.B.: Quando si utilizza Boot Camp, Dell Encryption Enterprise non esegue la crittografia del sistema operativo Windows. Inoltre, se nel dispositivo sono presenti due o più partizioni macOS avviabili, Encryption Enterprise esegue la crittografia solo del volume principale.
• Unità USB avviabile Oppure • Partizione FAT nel volume di Boot Camp esterno 3. Arrestare il computer con il volume di Boot Camp da ripristinare. 4. Connettere l'unità esterna al computer. Tale unità contiene il volume di Boot Camp creato nel passaggio 1. 5. Per avviare il computer dall'unità esterna di Boot Camp, effettuare una delle seguenti operazioni: • Tenere premuti contemporaneamente i tasti Command-R prima del suono di accensione/autotest e durante l'avvio del computer.
6 Strumento client Client Tool è un comando shell in esecuzione in un endpoint Mac. Viene utilizzato per attivare il client da una postazione remota o per eseguire uno script tramite un'utilità di gestione remota.
Tabella 1. Comandi di Client Tool (continua) Comando Scopo Sintassi Risultati per i volumi di FileVault -fc IdDispositivo PercorsoKeychain PasswordKeychain 7= UUID del volume logico non trovato -fc IdDispositivo FileRipristino 10 = Errore credenziali N.B.: 11 = Deposito non riuscito IdDispositivo deve essere un UUID del volume logico o trasformato esattamente in un UUID del volume logico. Spesso, un punto di montaggio o devnode funziona.
Eseguire il polling di Dell Server per i criteri aggiornati per conto del client e visualizzarli sullo schermo. Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -d -plist Per recuperare lo stato del disco del client e stamparlo.
7 Glossario Security Server - Utilizzato per le attivazioni di Dell Encryption. Policy Proxy - Utilizzato per distribuire le policy per il software client. Management Console - La console di amministrazione del Dell Server per la distribuzione nell'intera azienda. Shield - Occasionalmente, è possibile vedere questo nome nella documentazione e nelle interfacce utente. "Shield" è il nome utilizzato per rappresentare Dell Encryption.