Dell Encryption Manuale del proprietario
- Tipo
- Manuale del proprietario
Dell Data Protection
Guida alla configurazione
____________________
© 2014 Dell Inc.
Marchi registrati e marchi utilizzati nella suite di documenti DDP|E, DDP|ST e DDP|CE: Dell™ e il logo Dell, Dell Precision™,
OptiPlex™, ControlVault™, Latitude™, XPS
®
, e KACE™ sono marchi di Dell Inc. Intel
®
, Pentium
®
, Intel Core Inside Duo
®
, Itanium
®
e Xeon
®
sono marchi registrati di Intel Corporation negli Stati Uniti e in altri Paesi. Adobe
®
, Acrobat
®
e Flash
®
sono marchi registrati
di Adobe Systems Incorporated. Authen Tec
®
e Eikon
®
sono marchi registrati di Authen Tec. AMD
®
è un marchio registrato di Advanced
Micro Devices, Inc. Microsoft
®
, Windows
®
e Windows Server
®
, Internet Explorer
®
, MS-DOS
®
, Windows Vista
®
, MSN
®
, ActiveX
®
,
Active Directory
®
, Access
®
, ActiveSync
®
, BitLocker
®
, BitLocker To Go
®
, Excel
®
, Hyper-V
®
, Silverlight
®
, Outlook
®
, PowerPoint
®
,
Skydrive
®
, SQL Server
®
,
e Visual C++
®
sono marchi o marchi registrati di Microsoft Corporation negli Stati Uniti e/o in altri Paesi.
VMware
®
è un marchio o un marchio registrato di VMware, Inc. negli Stati Uniti o in altri Paesi. Box
®
è un marchio registrato di Box.
Dropbox
SM
è un marchio di servizio di Dropbox, Inc. Google™, Android™, Google™ Chrome™, Gmail™, YouTube
®
e Google™ Play sono
marchi o marchi registrati di Google Inc. negli Stati Uniti e in altri Paesi. Apple
®
, Aperture
®
, App Store
SM
, Apple Remote Desktop™,
Apple TV
®
, Boot Camp™, FileVault™, iCloud
®
SM
, iPad
®
, iPhone
®
, iPhoto
®
, iTunes Music Store
®
, Macintosh
®
, Safari
®
e Siri
®
sono
marchi, marchi di servizio o marchi registrati di Apple, Inc. negli Stati Uniti e/o in altri Paesi. GO ID
®
, RSA
®
e SecurID
®
sono marchi
registrati di EMC Corporation. EnCase™ e Guidance Software
®
sono marchi o marchi registrati di Guidance Software. Entrust
®
è un
marchio registrato di Entrust
®
, Inc. negli Stati Uniti e in altri Paesi. InstallShield
®
è un marchio registrato di Flexera Software negli Stati
Uniti, Cina, Comunità Europea, Hong Kong, Giappone, Taiwan e Regno Unito. Micron
®
e RealSSD
®
sono marchi registrati di Micron
Technology, Inc. negli Stati Uniti e in altri Paesi. Mozilla
®
Firefox
®
è un marchio registrato di Mozilla Foundation negli Stati Uniti e/o
in altri Paesi. iOS
®
è un marchio o un marchio registrato di Cisco Systems, Inc. negli Stati Uniti e in altri Paesi ed è utilizzato sotto licenza.
Oracle
®
e Java
®
sono marchi registrati di Oracle e/o delle sue affiliate. Altri nomi possono essere marchi dei rispettivi proprietari.
SAMSUNG™ è un marchio di SAMSUNG negli Stati Uniti o in altri Paesi. Seagate
®
è un marchio registrato di Seagate Technology LLC
negli Stati Uniti e/o in altri Paesi. Travelstar
®
è un marchio registrato di HGST, Inc. negli Stati Uniti e in altri Paesi. UNIX
®
è un marchio
registrato di The Open Group. VALIDITY™ è un marchio di Validity Sensor, Inc. negli Stati Uniti e in altri Paesi. VeriSign
®
e altri marchi
correlati sono marchi o marchi registrati di VeriSign, Inc. o delle sue affiliate o consociate negli Stati Uniti e in altri Paesi e concessi in
licenza a Symantec Corporation. KVM on IP
®
è un marchio registrato di Video Products. Yahoo!
®
è un marchio registrato di Yahoo! Inc.
Questo prodotto utilizza parti del programma 7-Zip. È possibile trovare il codice sorgente alla pagina Web
www.7-zip.org
. Il prodotto è
concesso tramite licenza GNU LGPL + restrizioni unRAR (
www.7-zip.org/license.txt
).
2014-02
Protetto da uno o più brevetti statunitensi tra cui: N. 7665125, N. 7437752 e N. 7665118.
Le informazioni incluse in questo documento sono soggette a variazione senza preavviso.
Guida alla configurazione 3
Contenuto
1 Configurare Compatibility Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
server_config.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
gkresource.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Abilitare il formato dominio\nome utente
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
run-service.conf
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2 Configurare Core Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Modificare l'arbitraggio dei criteri dal livello più sicuro al livello meno sicuro. . . . . . . . . . . . . . . 13
PolicyService.config
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Disabilitare i servizi Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Abilitare il server SMTP per le notifiche e-mail sulle licenze
. . . . . . . . . . . . . . . . . . . . . . . . 14
NotificationObjects.config
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Notification.config
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Aggiungere il percorso della cartella di Compatibility Server al file di configurazione di Core Server
. . . 15
Consentire l'iterazione di Core Server attraverso metodi di autenticazione
. . . . . . . . . . . . . . . . . 15
3 Configurare Device Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
eserver.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
run-service.conf
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
4 Configurare Security Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
context.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
5 Configurare funzioni di crittografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Impedire l'eliminazione dei file temporanei. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Nascondere le icone sovrapposte
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Nascondere l'icona della barra di sistema
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Attivazione in slot
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4 Guida alla configurazione
Polling forzato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Opzioni di inventario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Attivazioni non di dominio
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
6 Configurare componenti per l'autenticazione/autorizzazione Kerberos . . . 25
Configurare componenti per l'autenticazione/autorizzazione Kerberos . . . . . . . . . . . . . . . . . . . 25
Istruzioni per Servizi di Windows
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Istruzioni per il file di configurazione di Key Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
File di configurazione di esempio:
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Istruzioni per Servizi di Windows
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Istruzioni per la console di gestione remota
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
7 Assegnazione del ruolo di Amministratore Forensic . . . . . . . . . . . . . . . . . . 29
Istruzioni per la console di gestione remota. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Disattivazione dell'autorizzazione Forensic
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
8 Espressioni Cron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Introduzione alle espressioni Cron. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Formati di espressioni Cron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Caratteri speciali
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Esempi
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
9 Creare un certificato autofirmato mediante Keytool e generare
una richiesta di firma del certificato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Generare una nuova coppia di chiavi e un certificato autofirmato . . . . . . . . . . . . . . . . . . . . . . 35
Richiedere un certificato firmato da un'Autorità di certificazione . . . . . . . . . . . . . . . . . . . . . . 36
Importare un certificato radice
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Metodo di esempio per richiedere un certificato
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Guida alla configurazione 5
1
Configurare Compatibility Server
In questo capitolo vengono forniti dettagli relativi ai parametri che è possibile modificare per adattare Compatibility
Server all'ambiente in uso. Prima di eseguire qualsiasi modifica, effettuare sempre il backup dei file di configurazione.
Modificare esclusivamente i parametri documentati in questo file. La modifica di altri dati in questi file, inclusi i tag, può
determinare danneggiamenti e guasti del sistema. Dell non può garantire la risoluzione dei problemi derivanti da
modifiche non autorizzate a questi file senza dover reinstallare Compatibility Server.
server_config.xml
È possibile modificare alcuni tra i parametri indicati di seguito in <directory di installazione di Compatibility
Server>\conf\server_config.xml. È presente un'indicazione per i parametri che non è opportuno modificare. Se
Compatibility Server è in esecuzione, è necessario arrestare il servizio Compatibility Server, modificare il file
server_config.xml e riavviare il servizio Compatibility Server per rendere effettive le modifiche a questo file.
server_config.xml
Parametro Predefinito Descrizione
secrets.location $dell.home$/conf/secretKeyStore Percorso predefinito di secretkeystore. Se si
modifica questo file dalla posizione predefinita,
aggiornare questo parametro.
archive.location $dell.home$/conf/archive Percorso predefinito dell'archivio. Se si modifica
questo file dalla posizione predefinita, aggiornare
questo parametro.
domain.qualified.authentication true Indica se è richiesto un nome di accesso utente
completo per tutte le richieste al server.
Se il valore viene modificato, sarà necessario
riavviare Device Server per rendere effettivo il
nuovo valore.
directory.max.search.size 1000 Limite in una directory
find
dopo il quale verrà
generata un'eccezione.
directory.server.search.timeout.seconds 60 Timeout del server in secondi per ricerche LDAP.
directory.client.search.timeout 60 Timeout del client in secondi per ricerche LDAP.
6 Guida alla configurazione
rmi.recovery.host Per utilizzare il recupero EMS multiserver:
<!--
- rimuovere i commenti e modificare i nomi host
nei nomi di dominio completi per concatenare il
recupero
<property name="rmi.recovery.host">
<value>rmi://foo.fabrikam.com:1099</value>
</property>
<property name="rmi.recovery.host">
<value>rmi://foo.fabrikam2.com:1099</value>
</property>
-->
default.gatekeeper.group.remote CMGREMOTE Nome predefinito del gruppo a cui appartengono
tutti i proxy criteri per impostazione predefinita.
È possibile modificare questo nome qui oppure in
context.properties all'interno di Device Server.
Se si modifica il nome del gruppo qui, sarà
necessario modificarlo anche in Device Server se si
intende:
• proteggere i dispositivi Windows;
• utilizzare CREDActivate.
È consigliabile che tutti i proxy criteri
appartengano a un unico gruppo.
rsa.securid.enabled false Se si utilizza RSA SecurID versione 6 per
Microsoft Windows come sostituzione di GINA,
impostare questo parametro su true, quindi
arrestare e riavviare il servizio Compatibility
Server.
Quando gli utenti di Shield eseguono l'attivazione
in un ambiente RSA di sostituzione di GINA,
l'autenticazione RSA sostituisce l'autenticazione
LDAP.
inv.queue.task.worker.size 10 Numero di thread che elaborano la coda di
inventario.
inv.queue.task.timeout.seconds 900 Numero di secondi prima che si verifichi il
timeout.
inv.queue.task.retry.count 3 Numero di tentativi di elaborazione
dell'inventario da parte del server prima che venga
ignorato.
report.retry.max 120 Numero massimo di nuovi tentativi.
report.retry.wait.millis 250 Numero di millisecondi di attesa prima di un
nuovo tentativo.
server_config.xml
Parametro Predefinito Descrizione
Guida alla configurazione 7
triage.execute.time 0 0 0/6 * * La valutazione è il processo di riconciliazione degli
utenti e dei gruppi già noti al server.
L'impostazione predefinita è 0 0 0/6 * * ?, ovvero
viene effettuata una valutazione ogni 6 ore a
partire da mezzanotte (mezzanotte, 6.00,
mezzogiorno, 18.00, mezzanotte...)
gatekeeper.service.max.sessions 5 Numero massimo di sessioni di proxy criteri.
gatekeeper.service.max.session.timeout 5 Timeout per il numero massimo di sessioni di
proxy criteri.
security.authorization.method.IAdministrat
iveService.updateAdminRoles
AcctAdmin Ruolo richiesto per aggiornare i ruoli
amministrativi di un utente o un gruppo.
security.authorization.method.IAdministrati
veService.getAdministrativeAccountGroups
AcctAdmin Ruolo richiesto per aggiornare i ruoli
amministrativi di un utente o un gruppo
security.authorization.method.IAdministrat
iveService.openGetLogsSession
SystemAdmin,LogAdmin Ruoli richiesti per recuperare sessioni di registro.
security.authorization.method.IAdministrat
iveService.getLogs
SystemAdmin,LogAdmin Ruoli richiesti per recuperare registri.
security.authorization.method.IAdministrat
iveService.getLogColumnList
SystemAdmin,LogAdmin Ruoli richiesti per recuperare l'elenco di colonne
del registro.
security.authorization.method.IAdministrat
iveService.getLogCategoryList
SystemAdmin,LogAdmin Ruoli richiesti per recuperare l'elenco di categorie
del registro.
security.authorization.method.IAdministrat
iveService.getLogPriorityList
SystemAdmin,LogAdmin Ruoli richiesti per recuperare l'elenco di priorità
del registro.
security.authorization.method.IAdministrat
iveService.getUniqueIdName
AcctAdmin,SecAdmin,HelpDeskAd
min,SystemAdmin
Ruoli richiesti per recuperare nomi ID univoci.
security.authorization.method.IAdministrat
iveService.getAdministrators
AcctAdmin Ruolo richiesto per recuperare l'elenco di
amministratori nel sistema.
security.authorization.method.IAdministrat
iveService.setSuperAdminPassword
SuperAdmin Ruolo richiesto per impostare la password
amministratore con privilegi avanzati.
security.authorization.method.IAdministrat
iveService.resetSuperAdminPassword
SecAdmin Ruolo richiesto per reimpostare la password
amministratore con privilegi avanzati.
security.authorization.method.IAdministrat
iveService.addDomain
SystemAdmin,SecAdmin Ruoli richiesti per aggiungere domini.
security.authorization.method.IAdministrat
iveService.removeDomain
SystemAdmin,SecAdmin Ruoli richiesti per rimuovere domini.
security.authorization.method.IAdministrat
iveService.updateDomain
SystemAdmin,SecAdmin Ruoli richiesti per aggiornare domini.
security.authorization.method.IAdministrat
iveService.addGroups
SystemAdmin,SecAdmin Ruoli richiesti per aggiungere gruppi.
security.authorization.method.IAdministrat
iveService.removeGroup
SystemAdmin,SecAdmin Ruoli richiesti per rimuovere gruppi.
security.authorization.method.IAdministrat
iveService.findLdapGroups
SystemAdmin,SecAdmin Ruoli richiesti per trovare gruppi LDAP.
server_config.xml
Parametro Predefinito Descrizione
8 Guida alla configurazione
security.authorization.method.IAdministrat
iveService.findLdapUsers
SystemAdmin,SecAdmin Ruoli richiesti per trovare utenti LDAP.
security.authorization.method.IAdministrat
iveService.addUsers
SystemAdmin,SecAdmin Ruoli richiesti per aggiungere utenti.
security.authorization.method.IAdministrat
iveService.addLicense
SystemAdmin Ruolo richiesto per aggiungere licenze Enterprise.
security.authorization.method.IAdministrat
iveService.getLicense
SystemAdmin Ruolo richiesto per visualizzare la licenza
Enterprise.
security.authorization.method.IDeviceMan
ager.recoverDevice
HelpDeskAdmin,SecAdmin Ruoli richiesti per ripristinare un dispositivo.
security.authorization.method.IDeviceMan
ager.isUserSuspended
HelpDeskAdmin,SecAdmin Ruoli richiesti per sospendere utenti.
security.authorization.method.DeviceMana
gerService.proxyActivate
SecAdmin Ruoli richiesti per attivare dispositivi in base al
proxy.
security.authorization.method.DeviceMana
gerService.proxiedDeviceManualAuth
HelpDeskAdmin,SecAdmin Ruoli richiesti per ripristinare manualmente un
dispositivo in base al proxy.
security.authorization.method.IFileManage
r.getGatekeeperResource
SystemAdmin Ruolo richiesto per recuperare il file di risorse di
Gatekeeper.
security.authorization.method.IFileManage
r.approveGatekeeperResource
SystemAdmin Ruolo richiesto per approvare il file di risorse di
Gatekeeper.
security.authorization.method.IFileManage
r.approveGatekeeperConfig
SystemAdmin Ruoli richiesti per approvare la configurazione di
Gatekeeper.
policy.arbiter.security.mode most-restrictive Questa proprietà controlla il funzionamento
dell'algoritmo di mappatura per gli elementi dei
criteri che presentano differenze nei livelli di
sicurezza se un criterio include più nodi padre.
Valor i:
Least-restrictive: viene utilizzato il valore
dell'elemento meno restrittivo degli elementi
padre
Most-restrictive: viene utilizzato il valore
dell'elemento più restrittivo di tutti gli elementi
padre
policy.set.synchronization.sync-unmodified true Questo flag indica che la successiva
sincronizzazione esterna dovrà aggiungere o
eseguire nuovamente la mappatura di tutti gli
elementi dei criteri senza impostare il flag
modificato su true. Il flag viene impostato su false
in seguito a ogni sincronizzazione, pertanto dovrà
essere reimpostato se l'amministratore della
sicurezza desidera aggiungere elementi senza
modifiche. Si tratta di un'opzione avanzata.
db.schema.version.major Schema database principale.
db.schema.version.minor Schema database secondario.
server_config.xml
Parametro Predefinito Descrizione
Guida alla configurazione 9
db.schema.version.patch Versione di patch dello schema database.
dao.db.driver.dir $dell.home$/lib/mssql-microsoft Percorso predefinito del driver del database. Se si
modifica questo file dalla posizione predefinita,
aggiornare questo parametro.
dao.db.host Nome host del server database.
Questo parametro viene modificato nello
strumento di configurazione.
dao.db.name Nome del database.
Questo parametro viene modificato nello
strumento di configurazione.
dao.db.user Nome utente con autorizzazioni complete per il
database.
Questo parametro viene modificato nello
strumento di configurazione.
dao.db.password Password del nome utente con autorizzazioni
complete per il database.
Questo parametro viene modificato nello
strumento di configurazione.
dao.db.max.retry.count 10 Numero massimo di tentativi di riconnessione a
SQL Server da parte di Compatibility Server se si
verifica un errore di socket specificato.
dao.db.connection.retry.wait.seconds 5 Il primo tentativo di riconnessione è immediato. Il
secondo tentativo si verifica dopo il numero di
secondi specificato. Il terzo si verifica dopo il
numero raddoppiato di secondi specificato, il
quarto dopo il numero triplicato e così via.
dao.connection.pool.max.uses 10000 Consente il ritiro delle connessioni. Un valore pari
a 0 indica nessun ritiro.
dao.connection.pool.inactive.threshold.seconds 900 Consente di determinare se una connessione non
è stata utilizzata e può essere chiusa.
dao.db.driver.socket.errors 0 Compatibility Server tenta di riconnettersi a SQL
Server se si verificano errori corrispondenti ai
codici inclusi in questo elenco separato da virgole.
0 è il codice per gli errori di socket relativi a
Microsoft SQL. È inoltre possibile aggiungere
17142 per gli errori di sospensione del server e
6002 per gli errori di arresto del server.
dao.db.mssql.compatability.level 90 Valore per SQL 2005 o versioni successive.
vfs.file.handler.auth com.credant.guardian.server.vfs.Auth
FileHandler
Gestore file di autorizzazione.
vfs.file.handler.inventory com.credant.guardian.server.vfs.Inven
toryFileHandler
Gestore file di inventario.
vfs.file.handler.event com.credant.guardian.server.vfs.Even
tFileHandler
Gestore file di eventi.
server_config.xml
Parametro Predefinito Descrizione
10 Guida alla configurazione
gatekeeper.resource $dell.home$/conf/gkresource.xml Se si sposta il file di risorse di Gatekeeper dal
percorso predefinito, aggiornare questo parametro.
gatekeeper.config $dell.home$/conf/gkconfig.xml Se si sposta il file di risorse di Gatekeeper dal
percorso predefinito, aggiornare questo parametro.
rmi.server.registry.host localhost La proprietà host è utile esclusivamente ai
programmi client per determinare la posizione del
registro. Non viene utilizzata durante la creazione
di oggetti remoti e del registro RMI. Verrà creata
in localhost.
rmi.server.registry.port 1099 La porta del registro RMI è configurabile durante
l'installazione. Sarà inoltre possibile modificare la
porta in seguito all'installazione mediante questo
parametro.
Se si modifica questo valore, sarà necessario
configurare anche Gatekeeper Web Services.
security.authorization.method.IServerRepor
ts.getOverviewReport
AcctAdmin,HelpDeskAdmin,System
Admin,SecAdmin
Ruoli richiesti per impostare l'autorizzazione dei
rapporti del server.
security.authorization.method.IReportingSe
rvice.removeEntity
SystemAdmin Ruolo richiesto per rimuovere entità del server.
security.authorization.method.IReportingSe
rvice.setEntityVisibility
SystemAdmin Ruolo richiesto per impostare la visibilità delle
entità del server.
security.authorization.method.IReportingSe
rvice.getHardwareDetailReport
AcctAdmin,HelpDeskAdmin,System
Admin,SecAdmin
Ruoli richiesti per visualizzare la pagina relativa ai
dettagli del dispositivo.
security.authorization.method.IReportingSe
rvice.openSession
AcctAdmin,HelpDeskAdmin,System
Admin,SecAdmin
Ruoli richiesti per aprire una sessione server.
security.authorization.method.IReportingSe
rvice.getPagedReport
AcctAdmin,HelpDeskAdmin,System
Admin,SecAdmin
Ruoli richiesti per visualizzare il rapporto in
pagine.
security.authorization.method.IReportingSe
rvice.getDeviceTypeReport
AcctAdmin,HelpDeskAdmin,System
Admin,SecAdmin
Ruoli richiesti per visualizzare il rapporto per il
tipo di dispositivo.
security.authorization.method.IReportingSe
rvice.getDeviceOsReport
AcctAdmin,HelpDeskAdmin,System
Admin,SecAdmin
Ruoli richiesti per visualizzare il rapporto per il
sistema operativo.
security.authorization.method.IReportingSe
rvice.getDeviceModelReport
AcctAdmin,HelpDeskAdmin,System
Admin,SecAdmin
Ruoli richiesti per visualizzare i rapporti per i
modelli di dispositivo.
security.authorization.method.IReportingSe
rvice.getPolicyDetailReport
AcctAdmin,HelpDeskAdmin,System
Admin,SecAdmin
Ruoli richiesti per visualizzare il rapporto per i
dettagli dei criteri.
security.authorization.method.IReportingSe
rvice.getWorkstationDetailReport
AcctAdmin,HelpDeskAdmin,System
Admin,SecAdmin
Ruoli richiesti per visualizzare il rapporto per i
dettagli della workstation.
security.authorization.method.IReportingSe
rvice.getEncryptionFailuresReport
AcctAdmin,HelpDeskAdmin,System
Admin,SecAdmin
Ruoli richiesti per visualizzare il rapporto per gli
errori di crittografia.
security.authorization.method.IReportingSe
rvice.getEncryptionSummaryReport
AcctAdmin,HelpDeskAdmin,System
Admin,SecAdmin
Ruoli richiesti per visualizzare il rapporto per il
riepilogo della crittografia.
security.authorization.method.IReportingSe
rvice.getUserDetail
AcctAdmin,HelpDeskAdmin,System
Admin,SecAdmin
Ruoli richiesti per visualizzare il rapporto per i
dettagli dell'utente.
server_config.xml
Parametro Predefinito Descrizione
Guida alla configurazione 11
gkresource.xml
È possibile modificare i parametri in <directory di installazione di Compatibility Server>\conf\gkresource.xml.
È consigliabile tenere traccia delle modifiche con commenti all'inizio del file. In questo modo sarà più semplice trasferire
le modifiche al nuovo file in fase di aggiornamento.
NOTA: il file gkresource.xml dovrà essere un file XML ben formato. Dell sconsiglia di modificare questo file se non si è esperti di XML.
Accertarsi di utilizzare riferimenti di entità laddove appropriato, anziché caratteri speciali (senza escape) non elaborati.
Un amministratore di sistema deve approvare le modifiche al file di risorse di Gatekeeper affinché vengano rese effettive.
Abilitare il formato dominio\nome utente
Aggiungere la seguente stringa per abilitare o disabilitare il formato dominio/nome utente. Il formato è disabilitato se la
stringa non è presente nel file. Può inoltre essere disabilitato impostando il valore su 0.
1
Passare a <directory di installazione di Compatibility Server>\conf.
2
Aprire il file gkresource.xml con uneditor XML.
3
Aggiungere la stringa:
<string name="EnableGKProbeMultiDomainSupport">1</string>
4
Salvare e chiudere il file.
security.authorization.method.IReportingSe
rvice.getGroupDetail
AcctAdmin,HelpDeskAdmin,System
Admin,SecAdmin
Ruoli richiesti per visualizzare il rapporto per i
dettagli del gruppo.
security.authorization.method.IReportingSe
rvice.getDomainDetail
AcctAdmin,HelpDeskAdmin,System
Admin,SecAdmin
Ruoli richiesti per visualizzare il rapporto per
l'elenco di domini.
security.authorization.method.IKeyService.
getKeys
ForensicAdmin Impostazione utilizzata con un plug-in di
integrazione Forensic. Se è necessaria
l'integrazione di uno strumento Forensic,
contattare l'assistenza Dell.
accountType.nonActiveDirectory.enabled false L'abilitazione di attivazioni non di dominio è una
configurazione avanzata con conseguenze di vario
tipo.
PRIMA
di abilitare questa configurazione,
contattare il servizio di assistenza clienti per
discutere delle esigenze specifiche dell'ambiente.
Una volta modificato questo valore, riavviare il
servizio Compatibility Server.
Oltre a questa impostazione, creare o modificare
l'impostazione del Registro di sistema nel
computer Windows, come indicato di seguito.
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\CMGShield
AllowNonDomainActivations=REG_DWORD:1
server_config.xml
Parametro Predefinito Descrizione
12 Guida alla configurazione
run-service.conf
È possibile modificare alcuni tra i seguenti parametri in <directory di installazione di Compatibility
Server>\conf\run-service.conf. Questi parametri vengono automaticamente impostati durante l'installazione. Per
personalizzare o apportare modifiche di configurazione a qualsiasi servizio, attenersi alla procedura descritta di seguito.
1
Arrestare il servizio.
2
Rimuovere il servizio.
3
Modificare e salvare il file
run-service.conf
. È consigliabile tenere traccia delle modifiche con commenti all'inizio del file.
4
Reinstallare il servizio.
5
Avviare il servizio.
run-service.conf
Parametro Predefinito Descrizione
JAVA_HOME Dell\Java Runtime\jreX.x Percorso della directory di installazione di
Jav
a.
wrapper.java.additional.5 n/d L'indirizzo MAC in questa riga corrisponde
a quello della scheda Ethernet locale.
Se il server include più schede di interfaccia
di r
ete o si desidera eseguire l'associazione a
una scheda diversa da quella principale,
immettere qui l'indirizzo MAC fisico della
scheda dell'interfaccia di rete senza trattini.
wrapper.ntservice.name EpmCompatSvr Nome del servizio.
wrapper.ntservice.displayname Dell Compatibility Server Nome visualizzato del servizio.
wrapper.ntservice.description Enterprise Compatibility Server Descrizione del servizio.
wrapper.ntservice.dependency.1 Dipendenze del servizio. Aggiungere
dipendenze in base alle esigenze, a partire
da 1.
wrapper.ntservice.starttype AUTO_START Modalità di installazione del servizio:
A
UTO_START o DEMAND_START.
wrapper.ntservice.interactive false Se si imposta su true, il servizio potrà
interagire con il desktop.
Guida alla configurazione 13
2
Configurare Core Server
In questo capitolo vengono forniti dettagli relativi ai parametri che è possibile modificare per adattare Core Server
all'ambiente in uso.
Modificare esclusivamente i parametri documentati in questo file. La modifica di altri dati in questi file, inclusi i tag, può
determinare danneggiamenti e guasti del sistema. Dell non può garantire la risoluzione dei problemi derivanti da
modifiche non autorizzate a questi file senza dover reinstallare Core Server.
Modificare l'arbitraggio dei criteri dal livello più sicuro al livello meno sicuro
PolicyService.config
Modificare questa impostazione per cambiare l'arbitraggio dei criteri dal livello più sicuro al meno sicuro. Modificare
l'impostazione in <directory di installazione di Core Server>\PolicyService.config. Se Core Server è in esecuzione, arrestare il
servizio, modificare il file PolicyService.config, quindi riavviare il servizio affinché le modifiche vengano rese effettive.
È consigliabile tenere traccia delle modifiche con commenti all'inizio del file. In questo modo sarà più semplice trasferire
le modifiche al nuovo file PolicyServiceConfig.xml in fase di aggiornamento.
Modificare la seguente sezione:
<!-- Web Service Targets -->
<object id="PolicyService" singleton="false" type="Credant.Policy.Service.PolicyService,
Credant.Policy.ServiceImplementation">
<property name="TemplateDataAccess" ref="TemplateDataAccess"/>
<property name="PolicyDataAccess" ref="PolicyDataAccess"/>
<property name="SupportDataAccess" ref="SupportDataAccess"/>
<property name="AuditLog" ref="ServiceAuditLog"/>
<property name="GlobalArbitrationBias" value="1" />
[modificare questo valore da "0" a "1" per impostarlo su un
livello meno sicuro]
</object>
Disabilitare i servizi Web
NOTA: è consigliabile modificare questa impostazione avanzata solo con il supporto del servizio di assistenza clienti.
Per disabilitare i servizi Web in Core Server (ad esempio in presenza di una seconda installazione di Core Server
esclusivamente per l'elaborazione dell'inventario), modificare le impostazioni in:
<directory di installazione di Core Server>\
Credant.Server2.WindowsService.exe.Config
e
<directory di installazione di Core Server>\Spring.config
Se Core Server è in esecuzione, arrestare il servizio, modificare le impostazioni in questi due file, quindi riavviare il servizio
affinché le modifiche a questo file vengano rese effettive.
14 Guida alla configurazione
Credant.Server2.WindowsService.exe.Config
Rimuovere la seguente sezione:
<!-- Web Services Configuration -->
<system.serviceModel>
<services configSource="Services.config"/>
<behaviors configSource="Behaviors.config"/>
<bindings configSource="Bindings.config"/>
</system.serviceModel>
Spring.config
Rimuovere quanto segue:
Rimuovere tutte le definizioni <object> </object> nelle intestazioni AOP Advice, Web Service Target Definition e Web
Service Host Definition.
Abilitare il server SMTP per le notifiche e-mail sulle licenze
Se si utilizza Dell Data Protection | Cloud Edition, queste impostazioni vengono automatizzate mediante lo strumento di
configurazione server. Attenersi alla procedura descritta di seguito se è necessario abilitare il server SMTP per le notifiche
e-mail sulle licenze per scopi al di fuori dell'ambito di Dell Data Protection | Cloud Edition.
NotificationObjects.config
Per configurare il server SMTP per le notifiche e-mail sulle licenze, modificare il file NotificationObjects.config in
<directory di installazione di Core Server>.
Modificare quanto segue:
<object name="EmailNotification" singleton="false" type="Credant.Notification.EmailNotification,
Credant.Notification"> [
non modificare questo valore
]
<property name="NotificationDataFactory" ref="NotificationDataFactory"/> [
non modificare questo valore
]
<property name="Host" value="test.dell.com"/>
<property name="Port" value="25"/>
<property name="Username" value="nomeutente"/>
<property name="Password" value="${SmtpPassword}"/> [
non modificare questo valore
]
<property name="Logger" ref="NotificationLogger"/> [
non modificare questo valore
]
</object>
Notification.config
Se il server della posta richiede l'autenticazione, modificare il file Notification.config in <directory di installazione di Core
Server>.
Modificare quanto segue:
<notification>
<add key="SmtpPassword" value="password_del_server_di_posta"/>
</notification>
Guida alla configurazione 15
Aggiungere il percorso della cartella di Compatibility Server al file di
configurazione di Core Server
Core Server è un'applicazione.NET e pertanto può non essere in grado di accedere alle informazioni del Registro di
sistema per via delle autorizzazioni. Il problema risiede nel fatto che, per poter leggere secretkeystore (chiave di crittografia
del database), Core Server deve accedere alle informazioni di configurazione del Registro di sistema di Compatibility
Server per il percorso di secretkeystore. Se le relative autorizzazioni impediscono l'accesso, Core Server non potrà
autenticare gli utenti della console. Con questa impostazione il percorso della cartella di Compatibility Server viene
aggiunto al file di configurazione di Core Server in caso di problemi di accesso al Registro di sistema.
1
Passare a <directory di installazione di Core Server>\EntityDataAccessObjects.config.
2
Modificare il seguente elemento in
grassetto
:
<object id="DomainDataAccess" singleton="false" type="Credant.Entity.DataAccess.DomainDataAccess,
Credant.Entity.DataAccess">
<property name="Logger" ref="DataAccessLogger"/>
<!--<property name="CompatibilityServerPath" value="PATH_TO_COMPATIBILITY_SERVER"/> -->
Rimuovere i commenti in questa riga e impostare il percorso completo su Compatibility Server
.
</object>
3
Salvare e chiudere il file.
4
Riavviare i servizi Core Server e Compatibility Server.
Consentire l'iterazione di Core Server attraverso metodi di autenticazione
I tentativi di autenticazione di Core Server possono essere bloccati dal controller di dominio a causa dei criteri impostati
nei metodi di autenticazione consentiti. Il miglioramento consiste nell'implementare uno "switch" nel file di
configurazione di Core Server per consentirne l'iterazione attraverso vari metodi di configurazione, nel tentativo di
individuarne uno appropriato.
1
Passare a <directory di installazione di Core Server>\Spring.config.
2
Modificare il seguente elemento in
grassetto
:
<object id="DomainCache" singleton="true" type="Credant.Authorization.DomainCache.DomainCache,
Credant.Authorization.DomainCache">
<!-- Change this logger? -->
<property name="Logger" ref="DataAccessLogger" />
<property name="DomainDataAccess" ref="DomainDataAccess" />
<property name="RefreshFrequency" value="300" />
<property name="TryAllAuthTypes" value="false" />
Impostare questo valore su "true" per abilitare la funzionalità.
<!-- Used to change the AuthType per domain: key is domain's CID and value is the
System.DirectoryServices.AuthenticationTypes value
<property name="DomainAuthType">
<dictionary key-type="string" value-type="int" >
<entry key="5A23TPM2" value="0" />
</dictionary>
</property>
-->
</object>
16 Guida alla configurazione
3
Salvare e chiudere il file.
4
Riavviare il servizio Core Server.
Guida alla configurazione 17
3
Configurare Device Server
In questo capitolo vengono forniti dettagli relativi ai parametri che è possibile modificare per adattare Device Server
all'ambiente in uso.
Modificare esclusivamente i parametri documentati in questo file. La modifica di altri dati in questi file, inclusi i tag, può
determinare danneggiamenti e guasti del sistema. Dell non può garantire la risoluzione dei problemi derivanti da
modifiche non autorizzate a questi file senza dover reinstallare Device Server.
eserver.properties
È possibile modificare i parametri indicati di seguito in <directory di installazione di Device
Server>\conf\eserver.properties.
È consigliabile tenere traccia delle modifiche con commenti all'inizio del file. In questo modo sarà più semplice trasferire
le modifiche al nuovo file in fase di aggiornamento.
eserver.properties
Parametro Predefinito Descrizione
eserver.default.host Servizio Device Server Nome di dominio completo in cui è
installato il servizio Device Server.
eserver.default.port Enterprise Server 7.7 o versioni successive - 8443
Enterprise Server (versioni precedenti alla 7.7) - 8081
Porta in cui Device Server è in ascolto di
richieste di attivazione in ingresso da
dispositivi.
eserver.use.ssl True SSL è abilitato per impostazione
predefinita. Per disabilitare SSL, impostare
il parametro su False.
eserver.keystore.location ${context['server.home']}/conf/cacerts Percorso del certificato SSL utilizzato da
Device Server.
eserver.keystore.password changeit Se è stata modificata la password
dell'Autorità di certificazione nello
strumento di configurazione, il parametro
verrà automaticamente aggiornato. Se si
modifica l'Autorità di certificazione nello
strumento di configurazione in qualsiasi
momento dopo la configurazione iniziale,
aggiornare questo parametro con la
password KeyStore utilizzata.
18 Guida alla configurazione
run-service.conf
È possibile modificare alcuni tra i seguenti parametri in <directory di installazione di Device
Server>\conf\run-service.conf. Questi parametri vengono automaticamente impostati durante l'installazione. Per
personalizzare o apportare modifiche di configurazione a qualsiasi servizio, attenersi alla procedura descritta di seguito.
1
Arrestare il servizio.
2
Rimuovere il servizio.
3
Modificare e salvare il file
run-service.conf
. È consigliabile tenere traccia delle modifiche con commenti all'inizio del file.
4
Reinstallare il servizio.
5
Avviare il servizio.
run-service.conf
Parametro Predefinito Descrizione
JAVA_HOME Dell\Java Runtime\jreX.x Percorso della directory di installazione di
Jav
a.
wrapper.ntservice.name EpmDeviceSvr Nome del servizio.
wrapper.ntservice.displayname Dell Device Server Nome visualizzato del servizio.
wrapper.ntservice.description Enterprise Device Server Descrizione del servizio.
wrapper.ntservice.dependency.1 Dipendenze del servizio. Aggiungere
dipendenz
e in base alle esigenze, a partire
da 1.
wrapper.ntservice.starttype AUTO_START Modalità di installazione del servizio:
A
UTO_START o DEMAND_START.
wrapper.ntservice.interactive false Se si imposta su true, il servizio potrà
interagire con il desktop.
eserver.ciphers Imposta l'elenco di crittografie. Ogni
crittografia deve
essere separata da una
virgola. Se non viene indicato alcun valore,
il socket consentirà qualsiasi crittografia
supportata da Tomcat.
Rimuovere i commenti dall'esempio
indica
to di seguito per impostare l'elenco di
crittografie. Separare ogni crittografia con
una virgola. Per un elenco dei nomi di suite
di crittografia validi, consultare la guida di
riferimento JSSE di Sun.
#eserver.ciphers=
SSL_R
SA_WITH_RC4_128_MD5,SSL_RS
A_WITH_RC4_128_SHA,SSL_DHE_RSA
_WITH_3DES_EDE_CBC_SHA
eserver.properties
Parametro
Predefinito Descrizione
Guida alla configurazione 19
4
Configurare Security Server
In questo capitolo vengono forniti dettagli relativi ai parametri che è possibile modificare per adattare Security Server
all'ambiente in uso.
Modificare esclusivamente i paramet
ri documentati in questo file. La modifica di altri dati in questi file, inclusi i tag, può
determinare danneggiamenti e guasti del sistema. Dell non può garantire la risoluzione dei problemi derivanti da
modifiche non autorizzate a questi file senza dover reinstallare Security Server.
context.properties
È possibile modificare i parametri indicati di seguito in <directory di installazione di Security
Server>\webapps\xapi\WEB-INF\context.properties.
È consigliabile tenere traccia delle mo
difiche con commenti all'inizio del file. In questo modo sarà più semplice trasferire
le modifiche al nuovo file in fase di aggiornamento.
context.properties
Parametro Predefinito Descrizione
default.gatekeeper.group.remote CMGREMOTE Nome del gruppo remoto di dispositivi. Non
mo
dificare.
xmlrpc.max.threads 250 Numero massimo di thread simultanei con
questo Device Server.
default.auth.upn.suffix Suffisso UPN aggiunto a un nome di
accesso utente se il server richiede un nome
di accesso completo non fornito nella
richiesta.
device.manual.auth.enable true Indica se le autenticazioni manuali sono
abilitate o
disabilitate. Non modificare
service.activation.enable true Indica se le attivazioni sono gestite da
Device Server. Non modificare
service.policy.enable true Indica se i criteri sono abilitati/disabilitati.
Non modificare.
service.auth.enable true Indica se le autenticazioni sono gestite da
Device Ser
ver.
service.forensic.enable true Impostazione utilizzata con un plug-in di
integrazione Forensic. Se è necessaria
l'integrazione di uno strumento Forensic,
contattare l'assistenza Dell.
service.support.enable true Consente il recupero di metadati sul server.
service.device.enable true Consente il supporto di se
rvizi Shield, ad
esempio l'archiviazione delle chiavi SDE.
20 Guida alla configurazione
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
-
1
-
2
-
3
-
4
-
5
-
6
-
7
-
8
-
9
-
10
-
11
-
12
-
13
-
14
-
15
-
16
-
17
-
18
-
19
-
20
-
21
-
22
-
23
-
24
-
25
-
26
-
27
-
28
-
29
-
30
-
31
-
32
-
33
-
34
-
35
-
36
-
37
-
38
-
39
-
40
-
41
-
42
-
43
-
44
Dell Encryption Manuale del proprietario
- Tipo
- Manuale del proprietario
Documenti correlati
-
Dell Data Guardian Manuale del proprietario
-
-
-
-
-
-
-
-
-