Dell Endpoint Security Suite Enterprise Manuale del proprietario

Tipo
Manuale del proprietario

Questo manuale è adatto anche per

Guida introduttiva
Servizi di implementazione di Dell Data Security
Maggio 2021
Rev. A01
Messaggi di N.B., Attenzione e Avvertenza
N.B.: un messaggio N.B. (Nota Bene) indica informazioni importanti che contribuiscono a migliorare l'utilizzo del prodotto.
ATTENZIONE: un messaggio di ATTENZIONE evidenzia la possibilità che si verifichi un danno all'hardware o una perdita
di dati ed indica come evitare il problema.
AVVERTENZA: un messaggio di AVVERTENZA evidenzia un potenziale rischio di danni alla proprietà, lesioni personali o
morte.
© 2012-2021 Dell Inc. All rights reserved. Registered trademarks and trademarks used in the Dell Encryption and Endpoint Security Suite Enterprise
suite of documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
Cylance®, CylancePROTECT, and the Cylance logo are registered trademarks of Cylance, Inc. in the U.S. and other countries. McAfee® and the McAfee
logo are trademarks or registered trademarks of McAfee, Inc. in the US and other countries. Intel®, Pentium®, Intel Core Inside Duo®, Itanium®, and
Xeon® are registered trademarks of Intel Corporation in the U.S. and other countries. Adobe®, Acrobat®, and Flash® are registered trademarks of
Adobe Systems Incorporated. Authen tec® and Eikon® are registered trademarks of Authen tec. AMD® is a registered trademark of Advanced Micro
Devices, Inc. Microsoft®, Windows®, and Windows Server®, Windows Vista®, Windows 7®, Windows 10®, Active Directory®, Access®, BitLocker®,
BitLocker To Go®, Excel®, Hyper-V®, Outlook®, PowerPoint®, Word®, OneDrive®, SQL Server®, and Visual C++® are either trademarks or registered
trademarks of Microsoft Corporation in the United States and/or other countries. VMware® is a registered trademark or trademark of VMware, Inc. in
the United States or other countries. Box® is a registered trademark of Box. Dropbox is a service mark of Dropbox, Inc. Google™, Android™, Google™
Chrome™, Gmail™, and Google™ Play are either trademarks or registered trademarks of Google Inc. in the United States and other countries. Apple®,
App Store, Apple Remote Desktop™, Boot Camp™, FileVault™, iPad®, iPhone®, iPod®, iPod touch®, iPod shuffle®, and iPod nano®, Macintosh®, and
Safari® are either servicemarks, trademarks, or registered trademarks of Apple, Inc. in the United States and/or other countries. EnCase™ and Guidance
Software® are either trademarks or registered trademarks of Guidance Software. Entrust® is a registered trademark of Entrust®, Inc. in the United States
and other countries. Mozilla® Firefox® is a registered trademark of Mozilla Foundation in the United States and/or other countries. iOS® is a trademark or
registered trademark of Cisco Systems, Inc. in the United States and certain other countries and is used under license. Oracle® and Java® are registered
trademarks of Oracle and/or its affiliates. Travelstar® is a registered trademark of HGST, Inc. in the United States and other countries. UNIX® is a
registered trademark of The Open Group. VALIDITY™ is a trademark of Validity Sensors, Inc. in the United States and other countries. VeriSign® and other
related marks are the trademarks or registered trademarks of VeriSign, Inc. or its affiliates or subsidiaries in the U.S. and other countries and licensed to
Symantec Corporation. KVM on IP® is a registered trademark of Video Products. Yahoo!® is a registered trademark of Yahoo! Inc. Bing® is a registered
trademark of Microsoft Inc. Ask® is a registered trademark of IAC Publishing, LLC. Other names may be trademarks of their respective owners.
Capitolo 1: Fasi di implementazione.................................................................................................. 4
Capitolo 2: Analisi dei requisiti e della preparazione........................................................................... 5
Documenti sui client.............................................................................................................................................................. 5
Documenti del server............................................................................................................................................................ 6
Capitolo 3: Elenco di controllo di preparazione - Implementazione iniziale............................................ 7
Elenco di controllo di implementazione iniziale per Security Management Server........................................................7
Elenco di controllo di implementazione iniziale per Security Management Server Virtual........................10
Capitolo 4: Elenco di controllo di preparazione - Aggiornamento/Migrazione...................................... 12
Capitolo 5: Architettura................................................................................................................. 15
Progettazione dell'architettura di Security Management Server Virtual...................................................................... 15
Porte................................................................................................................................................................................ 16
Progettazione dell'architettura di Security Management Server.................................................................................. 19
Porte................................................................................................................................................................................20
Capitolo 6: Procedure consigliate per SQL Server............................................................................ 24
Capitolo 7: Esempio di notifica al cliente tramite posta elettronica.................................................... 25
Sommario
Sommario 3
Fasi di implementazione
Il processo di implementazione di base comprende le seguenti fasi:
Eseguire Analisi dei requisiti e della preparazione
Completare Elenco di controllo di preparazione - Implementazione iniziale o Elenco di controllo di preparazione - Aggiornamento/
Migrazione
Installare o eseguire l'aggiornamento/migrazione di
uno
dei seguenti:
Security Management Server
Gestione centralizzata dei dispositivi
Un'applicazione basata su Windows eseguita in un ambiente fisico o virtualizzato.
Security Management Server Virtual
Gestione centralizzata di un massimo di 3500 dispositivi
Eseguibile in un ambiente virtualizzato
Per ulteriori informazioni sull'installazione/migrazione del Dell Server, consultare la Security Management Server Installation and
Migration Guide (Guida all'installazione e alla migrazione di Security Management Server) o la Security Management Server Virtual
Quick Start and Installation Guide (Guida introduttiva e all'installazione di Security Management Server Virtual). Per ottenere
questi documenti, fare riferimento a Documenti relativi a Dell Data Protection Server.
Configurazione dei criteri iniziali
Security Management Server
: consultare la Security Management Server Installation and Migration Guide, Administrative
Tasks (Guida alla migrazione e all'installazione di Security Management Server, attività amministrative), disponibile all'indirizzo
support.dell.com e AdminHelp (Guida dell'amministratore), disponibile nella Management Console
Security Management Server Virtual
- consultare la Guida introduttiva rapida e all'installazione di Security Management Server
Virtual, attività amministrative della Console di gestione, disponibile all'indirizzo support.dell.com e la Guida dell'amministratore,
disponibile nella Console di gestione
Imballaggio del client
Per i documenti sui requisiti dei client e sull'installazione del software, selezionare i documenti appropriati in base alla distribuzione:
Guida all'installazione di base di Encryption Enterprise o Guida all'installazione avanzata di Encryption Enterprise
Guida all'installazione di base di Endpoint Security Suite Enterprise o Guida all'installazione avanzata di Endpoint Security Suite
Enterprise
Guida dell'amministratore di Advanced Threat Prevention
Guida all'installazione di Encryption Personal
Guida dell'amministratore di Encryption Enterprise per Mac
Guida dell'amministratore di Endpoint Security Suite Enterprise per Mac
Per ottenere questi documenti, fare riferimento a Documenti relativi ai client Dell Data Security.
Partecipazione al trasferimento delle informazioni di base dell'amministratore di Dell Security Administrator
Implementazione delle procedure consigliate
Coordinamento del supporto relativo a progetti pilota o distribuzione con Dell Client Services
1
4 Fasi di implementazione
Analisi dei requisiti e della preparazione
Prima dell'installazione, è importante conoscere il proprio ambiente e gli obiettivi aziendali e tecnici del progetto al fine di completare
correttamente l'implementazione di Dell Data Security e raggiungere gli scopi preposti. Accertarsi di conoscere a fondo i requisiti di
protezione globale dei dati richiesti dall'azienda.
Di seguito sono riportate alcune delle domande più frequenti che possono aiutare il team Dell Client Services a comprendere l'ambiente e i
relativi requisiti:
1. Qual è il tipo di azienda (sanitaria, ecc.)?
2. Quali sono i requisiti di conformità a cui l'azienda deve attenersi (HIPAA/HITECH, PCI, ecc.)?
3. Qual è la dimensione dell'azienda (numero di utenti, numero di sedi fisiche, ecc.)?
4. Qual è il numero di endpoint previsto per la distribuzione? Esistono previsioni di ampliamento di tali numeri nel futuro?
5. Gli utenti dispongono di privilegi di amministratore locale?
6. Quali sono i dati e i dispositivi che l'azienda prevede di gestire e crittografare (dischi fissi locali, USB, ecc.)?
7. Quali prodotti l'utente intende distribuire?
Encryption Enterprise
Crittografia (diritto a DE) - Crittografia Windows, Server Encryption, Encryption External Media, SED Management,
Crittografia completa del disco (FDE), BitLocker Manager e Crittografia Mac.
Encryption External Media
Endpoint Security Suite Enterprise
Advanced Threat Prevention - Con o senza Firewall client e Protezione Web (diritto ad ATP)
Crittografia (diritto a DE) - Crittografia Windows, Server Encryption, Encryption External Media, SED Management,
Crittografia completa del disco (FDE), BitLocker Manager e Crittografia Mac.
Encryption External Media
8. Quale tipo di connettività utente è supportata dall'azienda? Le tipologie possono includere quanto segue:
Solo connettività LAN locale
Utenti wireless aziendali e/o tramite VPN
Utenti remoti/disconnessi (gli utenti non connessi alla rete direttamente o tramite VPN per periodi di tempo prolungati)
Workstation non di dominio
9. Quali dati è necessario proteggere nell'endpoint? Quali sono i tipi di dati di cui gli utenti tipici dispongono nell'endpoint?
10. Quali applicazioni utente potrebbero contenere informazioni riservate? Quali sono i tipi di file delle applicazioni?
11. Quanti domini sono presenti nell'ambiente? Quanti sono destinati alla crittografia?
12. Quali sistemi operativi o versioni degli stessi sono destinati alla crittografia?
13. Si dispone di partizioni di avvio alternative configurate negli endpoint?
a. Partizione di ripristino del produttore
b. Workstation ad avvio doppio
Documenti sui client
Per i requisiti di installazione, le versioni del sistema operativo supportate, le unità autocrittografanti supportate e le istruzioni per i client da
implementare, consultare i documenti applicabili, elencati di seguito.
Encryption Enterprise (Windows) - Consultare i documenti all'indirizzo: www.dell.com/support/home/us/en/04/product-support/
product/dell-data-protection-encryption/manuals
Guida all'installazione avanzata di Encryption Enterprise - Guida all'installazione con opzioni e parametri avanzati per installazioni
personalizzate.
Guida per l'utente di Dell Data Security - Istruzioni per gli utenti.
Encryption Enterprise (Mac) - Consultare la Encryption Enterprise or Mac Administrator Guide (Guida dell'amministatore
di Encryption Enterprise per Mac) ll'indirizzowww.dell.com/support/home/us/en/04/product-support/product/dell-data-protection-
encryption/manuals. Include le istruzioni sull'installazione e sulla distribuzione.
2
Analisi dei requisiti e della preparazione 5
Endpoint Security Suite Enterprise (Windows) - Consultare i documenti all'indirizzo: www.dell.com/support/home/us/en/19/
product-support/product/dell-dp-endpt-security-suite-enterprise/manuals.
Guida all'installazione avanzata di Endpoint Security Suite Enterprise - Guida all'installazione con opzioni e parametri avanzati per
installazioni personalizzate.
Endpoint Security Suite Enterprise Advanced Threat Prevention: istruzioni per l'amministrazione, incluse raccomandazioni sui criteri,
identificazione e gestione delle minacce e risoluzione dei problemi.
Guida per l'utente di Dell Data Security Console - Istruzioni per gli utenti.
Endpoint Security Suite Enterprise (Mac) - Consultare il documento all'indirizzo: www.dell.com/support/home/us/en/19/product-
support/product/dell-dp-endpt-security-suite-enterprise/manuals.
Guida dell'amministratore di Endpoint Security Suite Enterprise per Mac - Guida all'installazione
Per informazioni sui self-encrypting drive supportati, vedere https://www.dell.com/support/article/us/en/04/sln296720.
Documenti del server
Per i requisiti di installazione, le versioni dei sistemi operativi supportati e le configurazioni del Dell Server che si intende distribuire, fare
riferimento al relativo documento elencato qui di seguito.
Security Management Server
Consultare la Guida alla migrazione e all'installazione di Security Management Server all'indirizzo
www.dell.com/support/home/us/en/04/product-support/product/dell-data-protection-encryption/manuals
Oppure
www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endpt-security-suite-enterprise/manuals
Security Management Server Virtual
Consultare la Guida introduttiva rapida e all'installazione di Security Management Server Virtual all'indirizzo
www.dell.com/support/home/us/en/04/product-support/product/dell-data-protection-encryption/manuals
Oppure
www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endpt-security-suite-enterprise/manuals
6
Analisi dei requisiti e della preparazione
Elenco di controllo di preparazione -
Implementazione iniziale
In base al Dell Server implementato, utilizzare l'elenco di controllo appropriato per accertarsi di aver soddisfatto tutti i prerequisiti prima di
iniziare l'installazione di Dell Encryption o Endpoint Security Suite Enterprise.
Elenco di controllo di Security Management Server
Elenco di controllo di Security Management Server Virtual
Elenco di controllo di implementazione iniziale per
Security Management Server
La pulizia dell'ambiente per il Proof of Concept è stata eseguita (ove applicabile)?
L'applicazione e il database Proof of Concept sono stati salvati e disinstallati (se si utilizza
lo stesso server) prima dell'intervento di installazione di Dell. Per ulteriori istruzioni su
una disinstallazione, vedere https://www.dell.com/support/manuals/us/en/04/dell-data-protection-encryption/
enterpserverig/perform-back-ups?guid=guid-2669f62a-2567-49ea-8e72-4ad06fb82442&lang=en-us.
Gli endpoint di produzione utilizzati durante il test Proof of Concept sono stati decrittografati oppure sono stati
scaricati i pacchetti di chiavi. Per ulteriori informazioni sui client che si intende implementare, vedere Documenti sui
client.
N.B.:
Tutte le nuove implementazioni devono essere avviate con un nuovo database e una nuova installazione del software Encryption
o Endpoint Security Suite Enterprise. Dell Client Services non effettuerà una nuova implementazione usando un ambiente PoC. Gli
endpoint crittografati durante un POC dovranno essere decrittografati o ricostruiti prima dell'intervento di installazione di Dell.
I server soddisfano le specifiche hardware richieste?
Consultare Dell Security Management Server Architecture Design.
I server soddisfano le specifiche software richieste?
È installato Windows Server 2012 R2 (Standard o Datacenter), 2016 (Standard o Datacenter) o Windows Server
2019 (Standard o Datacenter). Questi sistemi operativi possono essere installati su hardware fisici o virtuali.
È installato Windows Installer 4.0 o versione successiva.
.NET Framework 4.6.1 è installato.
È installato Microsoft SQL Native Client 2012 se si utilizza SQL Server 2012 o SQL Server 2016. È possibile utilizzare
SQL Native Client 2014, se disponibile.
N.B.: Un'implementazione di produzione di Security Management Server non supporta SQL Express.
Windows Firewall è disabilitato o configurato per consentire il funzionamento delle porte 8000, 8050, 8081, 8084,
8888, 61613 (in entrata).
3
Elenco di controllo di preparazione - Implementazione iniziale 7
È disponibile la connettività tra Security Management Server e Active Directory (AD) sulle porte 88, 135, 389, 443,
636, 3268, 3269, 49125+ (RPC) (in entrata verso AD).
Il controllo dell'account utente viene disattivato prima dell'installazione su Windows Server 2012 R2, quando
l'installazione viene eseguita in C:\Program Files. ed è necessario riavviare il server per rendere effettiva tale
modifica. Consultare Pannello di controllo Windows > Account utente.
Windows Server 2012 R2 - Il programma di installazione disabilita il controllo dell'account utente.
Windows Server 2016 R2 - Il programma di installazione disabilita il controllo dell'account utente.
N.B.: UAC (Upgrade Authentication Code) non viene più disattivato forzatamente a meno che non venga
specificata una directory protetta per l'installazione.
Gli account di servizio sono stati creati?
Account di servizio con accesso read-only ad AD (LDAP) - L'account utente base/utente dominio è sufficiente.
L'account di servizio deve disporre dei diritti di amministratore locale per i server dell'applicazione Security
Management Server.
Per usare l'Autenticazione di Windows per il database, impostare un account dei servizi di dominio con diritti di
amministratore di sistema. L'account utente deve essere nel formato DOMINIO\Nomeutente ed essere dotato dello
Schema predefinito delle autorizzazioni dell'SQL Server: dbo e Appartenenza a ruoli del database per: dbo_owner,
public.
Per usare l'autenticazione SQL, l'account SQL usato deve avere diritti di amministratore di sistema nell'SQL
Server. L'account utente deve essere dotato dello Schema predefinito delle autorizzazioni dell'SQL Server: dbo
e Appartenenza al ruolo del database: dbo_owner, public.
Il software è stato scaricato?
Scaricarlo dal sito web di supporto Dell.
I download del software client di Dell Data Security e di Dell Security Management Server si trovano nella cartella
Driver e download all'indirizzo
www.dell.com/support/home/it/it/04/product-support/product/dell-data-protection-encryption/research
Oppure
www.dell.com/support/home/it/it/19/product-support/product/dell-dp-endpt-security-suite-enterprise/research
Oppure
Dalla pagina del prodotto all'indirizzo http://www.dell.com/support
1. Selezionare Driver e download.
2. Dall'elenco dei sistemi operativi, selezionare il sistema operativo appropriato per il prodotto che si sta scaricando.
Per esempio, per scaricare Dell Enterprise Server, selezionare una delle opzioni di server Windows.
3. Nel riquadro del software applicabile, selezionare Scarica file.
Se Encryption o Endpoint Security Suite Enterprise sono stati acquistati on-the-box, il software può essere fornito al
computer di destinazione tramite Dell Digital Delivery.
OPPURE
Scaricarlo dal sito di trasferimento file (CFT) Dell Data Security
Il software si trova all'indirizzo https://ddpe.credant.com nella cartella SoftwareDownloads.
I file della chiave di installazione e della licenza sono disponibili?
8
Elenco di controllo di preparazione - Implementazione iniziale
Il codice di licenza è incluso nel messaggio di posta elettronica originale, insieme alle credenziali FTP. Consultare
Esempio di notifica al cliente tramite posta elettronica. Questo codice è incluso anche nel download dell'applicazione
dall'indirizzo http://www.dell.com/support e https://ddpe.credant.com.
Il file della licenza è un file XML situato nel sito FTP, nella cartella Licenze client.
N.B.:
Se le licenze acquistate sono on-the-box, non sono necessari file di licenza. I diritti vengono scaricati automaticamente dal sito Dell in
seguito all'attivazione dei nuovi client Encryption Personal, Encryption Enterprise o Endpoint Security Suite Enterprise.
Il database è stato creato?
Viene creato un nuovo database in un server supportato (facoltativo). Consultare Requisiti e architettura nella Guida
alla migrazione e all'installazione di Security Management Server. Se non ne è già stato creato uno, il programma di
installazione di Security Management Server crea un database nel corso dell'installazione.
All'utente del database di destinazione sono stati assegnati i diritti db_owner.
È stato creato l'alias DNS per Security Management Server e/o i Policy Proxy con split DNS per il traffico interno ed
esterno?
Ai fini della scalabilità, si consiglia di creare gli alias DNS. Questo consente di aggiungere ulteriori server in un secondo momento o
componenti separati dell'applicazione senza dover eseguire l'aggiornamento del client.
Se lo si desidera, vengono creati gli alias DNS. Alias DNS consigliati:
Security Management Server: dds.<domain.com>
Server front-end: dds-fe.<domain.com>
N.B.:
Lo split DNS consente all'utente di usare lo stesso nome DNS internamente ed esternamente. Ciò significa che è possibile
fornire internamente dds.<domain.com> come nome c interno e indirizzarlo a Dell Security Management Server (back-end), fornire
esternamente un record a per dds.<domain.com> e inoltrare le relative porte (vedere Porte per Security Management Server ) al
server front-end. È possibile utilizzare il round robin DNS o un sistema di bilanciamento del carico per distribuire il carico sui diversi
front-end (se ne esiste più di uno).
Si prevede l'utilizzo dei certificati SSL?
Si dispone di un'autorità di certificazione (CA, Certificate Authority) interna che può essere utilizzata per firmare
i certificati ed è attendibile per tutte le workstation dell'ambiente oppure si prevede l'acquisto di un certificato
firmato tramite un'autorità di certificazione pubblica, come VeriSign o Entrust. Se si utilizza un'autorità di
certificazione pubblica, informare il tecnico di Dell Client Services. Il certificato contiene la catena di attendibilità
completa (radice e intermedia) con firme con chiave privata e pubbliche.
I Nomi soggetto alternativi (SAN, Subject Alternate Name) nella Richiesta certificato corrispondono a tutti gli alias
DNS assegnati ad ogni server usato per l'installazione di Dell Server. Non si applica a richieste di certificati Wildcard o
autofirmati.
Il certificato viene generato in un formato .pfx.
I requisiti di controllo delle modifiche sono stati identificati e comunicati a Dell?
Inviare tutti i requisiti di controllo delle modifiche specifici per l'installazione di Encryption o Endpoint Security Suite
Enterprise a Dell Client Services prima di richiedere l'intervento per l'installazione. Tali requisiti possono includere
modifiche ai server dell'applicazione, al database e alle workstation del client.
È stato preparato l'hardware per la verifica?
Elenco di controllo di preparazione - Implementazione iniziale
9
Preparare almeno tre computer con l'immagine del computer aziendale da utilizzare per la verifica. Dell sconsiglia
l'uso di computer di produzione per la verifica. I computer di produzione devono essere utilizzati durante un progetto
pilota di produzione, dopo la definizione e la verifica dei criteri di crittografia eseguite tramite il piano di verifica
fornito da Dell.
Elenco di controllo di implementazione iniziale per
Security Management Server Virtual
La pulizia dell'ambiente per il Proof of Concept è stata eseguita (ove applicabile)?
L'applicazione e il database Proof of Concept sono stati salvati e disinstallati (se si utilizza
lo stesso server) prima dell'intervento di installazione di Dell. Per ulteriori istruzioni su
una disinstallazione, vedere https://www.dell.com/support/manuals/us/en/04/dell-data-protection-encryption/
enterpserverig/perform-back-ups?guid=guid-2669f62a-2567-49ea-8e72-4ad06fb82442&lang=en-us
Gli endpoint di produzione utilizzati durante il test Proof of Concept sono stati decrittografati oppure sono stati
scaricati i pacchetti di chiavi. Per ulteriori informazioni sui client che si intende implementare, vedere Documenti sui
client.
N.B.:
Tutte le nuove implementazioni devono essere avviate con un nuovo database e una nuova installazione del software Encryption
o Endpoint Security Suite Enterprise. Dell Client Services non effettuerà una nuova implementazione usando un ambiente PoC. Gli
endpoint crittografati durante un POC dovranno essere decrittografati o ricostruiti prima dell'intervento di installazione di Dell.
Gli account di servizio sono stati creati?
Account di servizio con accesso in sola lettura ad AD (LDAP) - L'account utente base/utente dominio è sufficiente.
Il software è stato scaricato?
I download del software client di Dell Data Security e di Dell Security Management Server si trovano nella cartella
Driver e download all'indirizzo
www.dell.com/support/home/us/en/04/product-support/product/dell-data-protection-encryption/research
Oppure
www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endpt-security-suite-enterprise/
research
Oppure
Dalla pagina del prodotto all'indirizzo http://www.dell.com/support
1. Selezionare Driver e download.
2. Dall'elenco dei sistemi operativi, selezionare il sistema operativo appropriato per il prodotto che si sta scaricando.
Per esempio, per scaricare Dell Enterprise Server, selezionare una delle opzioni di server Windows.
3. Nel riquadro del software applicabile, selezionare Scarica file.
Se Encryption o Endpoint Security Suite Enterprise sono stati acquistati on-the-box, il software può essere fornito al
computer di destinazione tramite Dell Digital Delivery.
I file della licenza sono disponibili?
Il file della licenza è un file XML situato nel sito ddpe.credant.com nella cartella Licenze client.
N.B.:
10 Elenco di controllo di preparazione - Implementazione iniziale
Se le licenze acquistate sono on-the-box, non sono necessari file di licenza. I diritti vengono scaricati automaticamente dal sito Dell in
seguito all'attivazione dei nuovi client Encryption o Endpoint Security Suite Enterprise.
I server soddisfano le specifiche hardware richieste?
Vedere Progettazione dell'architettura di Security Management Server Virtual.
È stato creato l'alias DNS per Security Management Server Virtual e/o i Policy Proxy con split DNS per il traffico interno ed
esterno?
Ai fini della scalabilità, si consiglia di creare gli alias DNS. Questo consente di aggiungere ulteriori server in un secondo momento o
componenti separati dell'applicazione senza dover eseguire l'aggiornamento del client.
Se lo si desidera, vengono creati gli alias DNS. Alias DNS consigliati:
Security Management Server: dds.<domain.com>
Server front-end: dds-fe.<domain.com>
N.B.:
Lo split DNS consente all'utente di usare lo stesso nome DNS internamente ed esternamente. Ciò significa che è possibile
fornire internamente dds.<domain.com> come nome c interno e indirizzarlo a Dell Security Management Server (back-end), fornire
esternamente un record a per dds.<domain.com> e inoltrare le relative porte (vedere Porte per Security Management Server Virtual)
al server front-end. È possibile utilizzare il round robin DNS o un sistema di bilanciamento del carico per distribuire il carico sui diversi
front-end (se ne esiste più di uno).
Si prevede l'utilizzo dei certificati SSL?
Si dispone di un'autorità di certificazione (CA, Certificate Authority) interna che può essere utilizzata per firmare i
certificati ed è attendibile per tutte le workstation dell'ambiente <2><3>oppure</3></2> si prevede l'acquisto di
un certificato firmato tramite un'autorità di certificazione pubblica, come VeriSign o Entrust. Se si utilizza un'autorità
di certificazione pubblica, informare il tecnico di Dell Client Services.
I requisiti di controllo delle modifiche sono stati identificati e comunicati a Dell?
Inviare tutti i requisiti di controllo delle modifiche specifici per l'installazione di Encryption o Endpoint Security Suite
Enterprise a Dell Client Services prima di richiedere l'intervento per l'installazione. Tali requisiti possono includere
modifiche ai server dell'applicazione, al database e alle workstation del client.
È stato preparato l'hardware per la verifica?
Preparare almeno tre computer con l'immagine del computer aziendale da utilizzare per la verifica. Dell sconsiglia
l'uso di computer di produzione per la verifica. I computer di produzione devono essere utilizzati durante un progetto
pilota di produzione, dopo la definizione e la verifica dei criteri di crittografia eseguite tramite il piano di verifica
fornito da Dell.
Elenco di controllo di preparazione - Implementazione iniziale 11
Elenco di controllo di preparazione -
Aggiornamento/Migrazione
Questo elenco di controllo è valido solo per Security Management Server.
N.B.:
Aggiornamento di Security Management Server Virtual dal menu di configurazione di base nel terminale del Dell Server. Per maggiori
informazioni, consultare la Guida introduttiva rapida e all'installazione di Security Management Server Virtual.
Utilizzare il seguente elenco di controllo per verificare di aver soddisfatto tutti i prerequisiti prima di avviare l'upgrade di Encryption o
Endpoint Security Suite Enterprise.
I server soddisfano le specifiche software richieste?
È installato Windows Server 2012 R2 (Standard o Datacenter), Windows Server 2016 (Standard o Datacenter) o
Windows Server 2019 (Standard o Datacenter). In alternativa, può essere installato un ambiente virtualizzato.
N.B.: L'aggiornamento a Dell Server v11.0 o versione successiva richiede Windows Server 2019.
È installato Windows Installer 4.0 o versione successiva.
.NET Framework 4.6.1 è installato.
È installato Microsoft SQL Native Client 2012 se si utilizza SQL Server 2012 o SQL Server 2016. È possibile utilizzare
SQL Native Client 2014, se disponibile.
N.B.: Security Management Server non supporta SQL Express.
Windows Firewall è disabilitato o configurato per consentire il funzionamento delle porte 8000, 8050, 8081, 8084,
8443, 8888, 61613 (in entrata).
È disponibile la connettività tra Security Management Server e Active Directory (AD) sulle porte 88, 135, 389, 443,
636, 3268, 3269, 49125+ (RPC) (in entrata verso AD).
Il controllo dell'account utente viene disattivato prima dell'installazione su Windows Server 2012 R2, quando
l'installazione viene eseguita in C:\Program Files. ed è necessario riavviare il server per rendere effettiva tale
modifica. Consultare Pannello di controllo Windows > Account utente.
Windows Server 2012 R2 - Il programma di installazione disabilita il controllo dell'account utente.
Windows Server 2016 R2 - Il programma di installazione disabilita il controllo dell'account utente.
Gli account di servizio sono stati creati?
Account di servizio con accesso read-only ad AD (LDAP) - L'account utente base/utente dominio è sufficiente.
L'account di servizio deve disporre dei diritti di amministratore locale per i server dell'applicazione Security
Management Server.
Per usare l'Autenticazione di Windows per il database, impostare un account dei servizi di dominio con diritti di
amministratore di sistema. L'account utente deve essere nel formato DOMINIO\Nomeutente ed essere dotato dello
Schema predefinito delle autorizzazioni dell'SQL Server: dbo e Appartenenza a ruoli del database per: dbo_owner,
public.
4
12 Elenco di controllo di preparazione - Aggiornamento/Migrazione
Per usare l'autenticazione SQL, l'account SQL usato deve avere diritti di amministratore di sistema nell'SQL
Server. L'account utente deve essere dotato dello Schema predefinito delle autorizzazioni dell'SQL Server: dbo
e Appartenenza al ruolo del database: dbo_owner, public.
È stato eseguito il backup del database e di tutti i file necessari?
È stato eseguito il backup dell'installazione esistente completa in un percorso alternativo. Il backup deve includere
database SQL, secretKeyStore e file di configurazione.
Verificare che sia stato eseguito il backup dei seguenti file più importanti, che contengono le informazioni necessarie
per connettersi al database:
<cartella di installazione>\Enterprise Edition\Compatibility Server\conf\server_config.xml
<cartella di installazione>\Enterprise Edition\Compatibility Server\conf\secretKeyStore
<cartella di installazione>\Enterprise Edition\Compatibility Server\conf\gkresource.xml
I file della chiave di installazione e della licenza sono disponibili?
Il codice di licenza è incluso nel messaggio di posta elettronica originale, insieme alle credenziali CFT. Consultare
Esempio di notifica al cliente tramite posta elettronica. Questo codice è incluso anche nel download dell'applicazione
dall'indirizzo http://www.dell.com/support e https://ddpe.credant.com.
Il file della licenza è un file XML situato nel sito CFT, nella cartella Licenze client.
N.B.:
Se le licenze acquistate sono on-the-box, non sono necessari file di licenza. I diritti vengono scaricati automaticamente dal sito Dell in
seguito all'attivazione dei nuovi client Encryption o Endpoint Security Suite Enterprise.
Il software nuovo ed esistente di Dell Data Security è stato scaricato?
Scaricarlo dal sito di trasferimento file (CFT) Dell Data Security.
Il software si trova all'indirizzo https://ddpe.credant.com nella cartella SoftwareDownloads.
Se Encryption Enterprise o Endpoint Security Suite Enterprise sono stati acquistati on-the-box (OTB), il software
viene fornito in modo opzionale tramite Dell Digital Delivery. In alternativa, il software può essere scaricato dal sito
all'indirizzo www.dell.com/support o ddpe.credant.com, rispettivamente.
Si dispone di un numero sufficiente di licenze endpoint?
Prima di procedere all'aggiornamento, accertarsi di disporre di un numero sufficiente di licenze client per coprire tutti gli endpoint
dell'ambiente. Se le installazioni superano il numero di licenze, contattare il responsabile vendite Dell prima di eseguire l'aggiornamento o la
migrazione. Dell Data Security esegue la convalida delle licenze e, se queste non sono disponibili, le attivazioni non vengono eseguite.
Dispongo di un numero di licenze sufficiente a coprire l'ambiente.
I record DNS sono documentati?
Confermare che i record DNS sono documentati e organizzati per l'aggiornamento se l'hardware è stato modificato.
Si prevede l'utilizzo dei certificati SSL?
Si dispone di un'autorità di certificazione (CA, Certificate Authority) interna che può essere utilizzata per firmare
i certificati ed è attendibile per tutte le workstation dell'ambiente oppure si prevede l'acquisto di un certificato
firmato tramite un'autorità di certificazione pubblica, come VeriSign o Entrust. Se si utilizza un'autorità di
certificazione pubblica, informare il tecnico di Dell Client Services. Il certificato contiene la catena di attendibilità
completa (radice e intermedia) con firme con chiave privata e pubbliche.
Elenco di controllo di preparazione - Aggiornamento/Migrazione 13
I Nomi soggetto alternativi (SAN, Subject Alternate Name) nella Richiesta certificato corrispondono a tutti gli alias
DNS assegnati ad ogni server usato per l'installazione di Dell Enterprise Server. Non si applica a richieste di certificati
Wildcard o autofirmati.
Il certificato viene generato in un formato .pfx.
I requisiti di controllo delle modifiche sono stati identificati e comunicati a Dell?
Inviare tutti i requisiti di controllo delle modifiche specifici per l'installazione di Encryption o Endpoint Security Suite
Enterprise a Dell Client Services prima di richiedere l'intervento per l'installazione. Tali requisiti possono includere
modifiche ai server dell'applicazione, al database e alle workstation del client.
È stato preparato l'hardware per la verifica?
Preparare almeno tre computer con l'immagine del computer aziendale da utilizzare per la verifica. Dell sconsiglia
l'uso di computer di produzione per la verifica. I computer di produzione devono essere utilizzati durante un progetto
pilota di produzione, dopo la definizione e la verifica dei criteri di crittografia eseguite tramite il piano di verifica
fornito da Dell.
14 Elenco di controllo di preparazione - Aggiornamento/Migrazione
Architettura
Questa sezione descrive in dettaglio i suggerimenti sulla progettazione dell'architettura per l'implementazione di Dell Data Security.
Selezionare il Dell Server che verrà distribuito:
Progettazione dell'architettura di Security Management Server
Progettazione dell'architettura di Security Management Server Virtual
Progettazione dell'architettura di Security Management
Server Virtual
Le soluzioni Encryption Enterprise ed Endpoint Security Suite Enterprise sono prodotti altamente scalabili, in base al numero di endpoint
individuati per la crittografia all'interno dell'organizzazione.
Componenti dell'architettura
Di seguito viene fornito un distribuzione di base per la gestione della sicurezza Dell server virtuali.
5
Architettura 15
Porte
La tabella seguente descrive ciascun componente e la relativa funzione.
16
Architettura
Nome Porta
predefinit
a
Descrizione
Servizio gruppo di accesso TCP/
8006
Gestisce autorizzazioni e gruppi di accesso
per diversi prodotti Dell Security.
N.B.: La porta 8006 non è
attualmente protetta. Verificare che
la porta sia correttamente filtrata
attraverso un firewall. Questa porta è
solo interna.
Compliance Reporter HTTP(S)/
8084
Fornisce una visualizzazione completa
dell'ambiente per la creazione di rapporti
di controllo e conformità.
N.B.: La porta 8084 deve essere
filtrata attraverso un firewall. Dell
consiglia che questa porta sia solo
interna.
Management Console HTTPS/
8443
Console di amministrazione e centro di
controllo per la distribuzione a livello
aziendale.
Core Server HTTPS/
8887
(chiuso)
Gestisce il flusso dei criteri, le licenze
e la registrazione per l'autenticazione di
preavvio, SED Management, BitLocker
Manager, Threat Protection e Advanced
Threat Prevention. Elabora i dati
di inventario utilizzati da Compliance
Reporter e dalla Management Console.
Raccoglie e archivia i dati di
autenticazione. Controlla l'accesso basato
sui ruoli.
Core Server HA
(elevata disponibilità)
HTTPS/
8888
Servizio ad elevata disponibilità che
consente una maggiore sicurezza e migliori
prestazioni delle connessioni HTTPS con
la Management Console, l'autenticazione
di preavvio, SED Management, FDE,
BitLocker Manager, Threat Protection e
Advanced Threat Prevention.
Security Server HTTPS/
8443
Comunica con Policy Proxy e gestisce i
recuperi delle chiavi Forensic, le attivazioni
dei client, e la comunicazione SED-PBA e
Full Disk Encryption-PBA.
Compatibility Server TCP/
1099
(chiusa)
Servizio per la gestione dell'architettura
aziendale. Raccoglie e archivia i dati di
inventario iniziali durante l'attivazione e
i dati dei criteri durante le migrazioni.
Elabora i dati basati sui gruppi di utenti.
N.B.: La porta 1099 deve essere
filtrata attraverso un firewall. Dell
consiglia che questa porta sia solo
interna.
Message Broker Service TCP/ Gestisce la comunicazione tra i servizi di
Dell Server. Organizza le informazioni sui
Architettura 17
Nome Porta
predefinit
a
Descrizione
61616
(chiuso)
e STOMP/
61613
(chiusa o,
se
configurata
per DMZ,
61613 è
aperta)
criteri create dal Compatibility Server per
l'accodamento del Policy Proxy.
N.B.: La porta 61616 deve essere
filtrata attraverso un firewall. Dell
consiglia che questa porta sia solo
interna.
N.B.: La porta 61613 deve essere
aperta solo ai Security Management
Server configurati in modalità front-
end.
Identity Server 8445
(chiuso)
Gestisce le richieste di autenticazione del
dominio, inclusa l'autenticazione per la
gestione SED.
Forensic Server HTTPS/
8448
Consente agli amministratori che
dispongono dei privilegi appropriati di
ottenere dalla Management Console le
chiavi di crittografia, da usare per
sbloccare i dati o per le attività di
decrittografia.
Richiesto per le API Forensic.
Inventory Server 8887 Elabora la coda di inventario.
Policy Proxy TCP/
8000
Fornisce un percorso di comunicazione di
rete per fornire gli aggiornamenti dei criteri
di protezione e dell'inventario.
Richiesto per Encryption Enterprise
(Windows e Mac)
PostGres TCP/
5432
Database locale utilizzato per i dati di
eventi.
N.B.: La porta 5432 deve essere
filtrata attraverso un firewall. Dell
consiglia che questa porta sia solo
interna.
LDAP 389/636,
3268/3269
RPC - 135,
49125+
Porta 389 - Questa porta è usata per
richiedere informazioni dal controller di
dominio locale. Le richieste LDAP inviate
alla porta 389 possono essere usate
per cercare gli oggetti solo nel dominio
principale del catalogo globale. Tuttavia,
l'applicazione richiedente può ottenere
tutti gli attributi per tali oggetti. Per
esempio, una richiesta alla porta 389
potrebbe essere usata per ottenere il
reparto di un utente.
Porta 3268 - Questa porta è usata
per le query destinate specificamente
al catalogo globale. Le richieste LDAP
inviate alla porta 3268 possono essere
usate per cercare gli oggetti nell'intero
insieme di strutture. Tuttavia, è possibile
18 Architettura
Nome Porta
predefinit
a
Descrizione
restituire solo gli attributi contrassegnati
per la replica al catalogo globale. Per
esempio, non è possibile restituire il
reparto di un utente usando la porta 3268
poiché questo attributo non è replicato al
catalogo globale.
Autenticazione client HTTPS/
8449
Consente ai server client di eseguire
l'autenticazione a Dell Server.
Richiesto per Server Encryption
Progettazione dell'architettura di Security Management
Server
Le soluzioni Encryption Enterprise ed Endpoint Security Suite Enterprise sono prodotti altamente scalabili, in base al numero di endpoint
individuati per la crittografia all'interno dell'organizzazione.
Componenti dell'architettura
Di seguito, si riportano le configurazioni hardware consigliate adattabili alla maggior parte degli ambienti.
Security Management Server
Sistema operativo: Windows Server 2012 R2 (Standard, Datacenter a 64 bit), Windows Server 2016 (Standard, Datacenter a 64 bit),
Windows Server 2019 (Standard, Datacenter)
N.B.: Dell Server v11.0 o versione successiva richiede Windows Server 2019.
Macchina fisica/virtuale
CPU: 4 core
RAM: 16 GB
Unità C: 30 GB di spazio disponibile su disco per i registri e i database delle applicazioni
N.B.: È probabile che vengano consumati fino a 10 GB per un database di eventi locale archiviato su PostgreSQL.
Server proxy
Sistema operativo: Windows Server 2012 R2 (Standard, Datacenter a 64 bit), Windows Server 2016 (Standard, Datacenter a 64 bit),
Windows Server 2019 (Standard, Datacenter)
Macchina fisica/virtuale
CPU: 2 core
RAM: 8 GB
Unità C: 20 GB di spazio disponibile su disco per i registri
Specifiche hardware di SQL Server
CPU: 4 core
RAM: 24 GB
Unità dati: 100 - 150 GB di spazio disponibile su disco (variabile a seconda dell'ambiente)
Unità registro: 50 GB di spazio disponibile su disco (variabile a seconda dell'ambiente)
N.B.:
Dell consiglia di seguire le procedure consigliate per SQL Server, anche se le informazioni di cui sopra dovrebbero coprire la
maggior parte degli ambienti.
Di seguito, si riporta un deployment di base per Dell Security Management Server.
Architettura
19
N.B.: Se l'organizzazione dispone di oltre 20.000 endpoint, contattare Dell ProSupport per ricevere assistenza.
Porte
La tabella seguente descrive ciascun componente e la relativa funzione.
20
Architettura
  • Page 1 1
  • Page 2 2
  • Page 3 3
  • Page 4 4
  • Page 5 5
  • Page 6 6
  • Page 7 7
  • Page 8 8
  • Page 9 9
  • Page 10 10
  • Page 11 11
  • Page 12 12
  • Page 13 13
  • Page 14 14
  • Page 15 15
  • Page 16 16
  • Page 17 17
  • Page 18 18
  • Page 19 19
  • Page 20 20
  • Page 21 21
  • Page 22 22
  • Page 23 23
  • Page 24 24
  • Page 25 25

Dell Endpoint Security Suite Enterprise Manuale del proprietario

Tipo
Manuale del proprietario
Questo manuale è adatto anche per