Dell Encryption Enterprise for Mac Administratorhandbuch v10.9 März 2021 Rev.
Hinweise, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen können. VORSICHT: Ein VORSICHTSHINWEIS warnt vor möglichen Beschädigungen der Hardware oder vor Datenverlust und zeigt, wie diese vermieden werden können. WARNUNG: Mit WARNUNG wird auf eine potenziell gefährliche Situation hingewiesen, die zu Sachschäden, Verletzungen oder zum Tod führen kann. © 2012-2021 Dell Inc. All rights reserved.
Inhaltsverzeichnis Kapitel 1: Einleitung........................................................................................................................ 5 Übersicht................................................................................................................................................................................ 5 FileVault-Verschlüsselung........................................................................................................................................
Kapitel 7: Glossar..........................................................................................................................
1 Einleitung Im Administratorhandbuch zu Encryption Enterprise for Mac sind die Informationen enthalten, die zum Bereitstellen und Installieren der Client-Software benötigt werden. Themen: • • • Übersicht FileVault-Verschlüsselung Kontaktieren des Dell ProSupports Übersicht Encryption Enterprise for Mac kann die vollständige FileVault Datenträgerverschlüsselung verwalten.
2 Anforderungen In diesem Kapitel werden die Hardware- und Softwareanforderungen für den Client erläutert. Stellen Sie sicher, dass die Implementierungsumgebung die Anforderungen erfüllt, bevor Sie mit der Implementierung fortfahren. Themen: • • Encryption-Client-Hardware Encryption Client Software Encryption-Client-Hardware Die Mindestanforderungen für die Hardware müssen den Mindestspezifikationen des Betriebssystems entsprechen.
● HFS Plus (Mac OS Extended) formatierte Medien mit Partitionsschemata Master Boot Record (MBR) oder GUIDPartitionstabelle (GPT). Siehe dazu Aktivieren von HFS Plus. ANMERKUNG: Um Encryption External Media zu hosten, müssen 55 MB verfügbar sein und auf dem Wechselspeichermedium muss zusätzlich freier Speicherplatz vorhanden sein, dessen Größe der größten zu verschlüsselnden Datei entspricht.
3 Aufgaben für den Encryption Client Themen: • • • • • • • • • Installation/Upgrade von Encryption Enterprise for Mac Aktivieren von Encryption Enterprise for Mac Sammeln von Protokolldateien für Encryption Enterprise Verschlüsselungsrichtlinie und Status anzeigen Systemlaufwerke Wiederherstellung Wechselmedien Deinstallieren von Encryption Enterprise for Mac Encryption External Media deinstallieren Installation/Upgrade von Encryption Enterprise for Mac Dieser Abschnitt führt Sie durch den Installations-/
Security Management Server Virtual Quick Start Guide and Installation Guide (Schnellanleitung und Installationshandbuch für Security Management Server Virtual) ● Achten Sie darauf, die Sicherheitsserver- und Richtlinien-Proxy-URL zur Hand zu haben. Beide werden für die Installation und Aktivierung der Client-Software benötigt. ● Wenn Ihre Bereitstellung eine Nicht-Standard-Konfiguration verwendet, stellen Sie sicher, dass Sie die Portnummer für den Sicherheitsserver kennen.
13. Geben Sie bei entsprechender Aufforderung die Anmeldeinformationen für das Administratorkonto ein. (Die Anwendung „MacOS X Installer“ erfordert Anmeldedaten.) 14. Klicken Sie auf OK. ANMERKUNG: Unmittelbar nach Abschluss der Installation müssen Sie einen Neustart des Computers ausführen. Wenn noch Dateien in andere Anwendungen offen sind und Sie den Neustart noch nicht durchführen möchten, klicken Sie auf Abbrechen, speichern Sie die Arbeit und schließen Sie die anderen Anwendungen. 15.
NoAuthenticateUsers [In this sample code, after one user activates the computer against the Dell Server, other users can log in without being prompted to activate.
Host policyproxy.organization.com [Replace this value with your Policy Proxy URL] Port 8000 [Leave as-is unless there is a conflict with an existing port] Version 2 [Do not modify] MaxPasswordDelay xxxx [Number of seconds to apply to the security policy, "Require password XXXX after sleep or screen saver begins." The acceptable range is 0-32400.
Die External Media Dell Encryption App wird jetzt angezeigt. Wenn jedoch die Genehmigungsanforderung noch aussteht, wird das Kontrollkästchen für diese App nicht ausgewählt. 5. Erteilen Sie die Berechtigung, indem Sie das Kontrollkästchen aktivieren. Wenn die Dell Encryption externe Medien App nicht angezeigt wird: a. b. c. d. Klicken Sie auf das Plus-Symbol (+) im rechten Fensterbereich. Gehen Sie zu /Library/Dell/EMS und wählen Sie Dell Encryption External Media aus. Klicken Sie auf Öffnen.
Sammeln von Protokolldateien für Encryption Enterprise In den Systemeinstellungen > Dell Encryption Enterprise >-System-Volumes kann ein Administrator über die Schaltfläche „Protokolle erfassen“ unten rechts vorab Protokolle für den Support erstellen. Diese Maßnahme kann sich auf die Performance auswirken, während Protokolle erfasst werden. DellLogs.zip enthält die Protokolle für Mac Encryption Enterprise. Informationen über das Sammeln der Protokolle finden Sie unter http:// www.dell.
Diese Richtlinie ist die „Master-Richtlinie“ für allen anderen Dell VolumeVerschlüsselungsrichtlinien. Diese Richtlinie muss auf Ein eingestellt werden, damit andere Dell Volume Verschlüsselungsrichtlinien angewendet werden können. Ein aktiviert die Verschlüsselung und initiiert die Verschlüsselung für unverschlüsselte Volumes gemäß den Richtlinien Für die Verschlüsselung vorgesehene Volumes oder Verschlüsseln mit FileVault for Mac. Die Standardeinstellung ist Ein.
Status Beschreibung Warte auf Hinterlegung der Schlüssel Um sicherzustellen, dass alle verschlüsselten Daten wiederhergestellt werden beim Dell Server können, beginnt der Client erst dann mit dem Verschlüsselungsvorgang, wenn alle Verschlüsselungsschlüssel erfolgreich beim Dell Server hinterlegt wurden. Der Client sendet eine Abfrage zur Sicherheitsserver-Verbindung, während sie in diesem Zustand ist, bis die Schlüssel hinterlegt wurden.
Zeichen Volume-Typ und Status Mehrere Laufwerke und keine Verschlüsselung. ANMERKUNG: Das Volume-Symbol ohne Zeichen weist darauf hin, dass keine Maßnahmen am Datenträger vorgenommen worden sind. Dies ist kein Startdatenträger. 5. Klicken Sie auf die Registerkarte Wechselmedien, um den Status der zur Verschlüsselung vorgesehenen Volumes anzuzeigen. Die folgende Tabelle enthält Beispiele für Volume-Konfigurationen für Wechselmedien.
Klicken Sie zum Anzeigen der derzeit wirksamen Richtlinien des Endpunkts im Bereich „Maßnahmen“ auf effektive Richtlinien anzeigen. 6. Klicken Sie auf die Registerkarte Sicherheitsrichtlinien. Über diese Registerkarte können Sie die einzelnen Richtlinientypen erweitern und ggf. einzelne Richtlinien ändern. a. Wenn Sie fertig sind, klicken Sie auf Speichern. b. Klicken Sie im linken Fensterbereich auf Verwaltung > Festlegen.
8. Wenn Sie fertig sind, klicken Sie auf Speichern. 9. Klicken Sie im linken Fensterbereich auf Verwaltung > Festlegen. Die Anzahl, die unter by „Offene Richtlinienänderungen“ angezeigt wird, ist kumulativ. Sie enthält ggf. Änderungen, die auf anderen Endpunkten oder von anderen Administratoren vorgenommen wurden, die das gleiche Konto verwenden. 10. Geben Sie eine Beschreibung der Änderungen in das Kommentarfeld ein und klicken Sie dann auf Richtlinien bestätigen. 11.
Je nach den Benutzerfreundlichkeitsrichtlinien, die in der Verwaltungskonsole festgelegt wurden, kann der Benutzer durch die Client-Software aufgefordert werden, den Computer neu zu starten. 8. Nach dem Neustart des Computers muss dieser mit dem Netzwerk verbunden werden, damit die Client-Software die Wiederherstellungsinformationen beim Dell Server hinterlegen kann.
2. Klicken Sie auf die Registerkarte Systemvolumes. 3. Klicken Sie auf das Systemvolume-Laufwerk und wählen Sie FileVault Benutzer zu Start von FileVault hinzufügen. 4. Geben Sie unter Suche den Namen eines Benutzers ein oder scrollen Sie nach unten. Benutzerkonten werden nur angezeigt, wenn Sie die Kriterien der Richtlinie erfüllen. Für lokale und mobile Benutzer wird die Schaltfläche Benutzer aktivieren angezeigt. Für Benutzer im Netzwerk wird die Schaltfläche Konvertieren & Benutzer aktivieren angezeigt.
Austauschen der FileVault-Wiederherstellungsschlüssel Falls Sie Sicherheitsprobleme mit einem Wiederherstellungspaket haben sollten, oder falls ein Volume oder Schlüssel beschädigt sind, können Sie das Schlüsselmaterial für das betreffende Volume austauschen. Sie können die Schlüssel für Startlaufwerke und Nicht-Startlaufwerke auf Mac OS X austauschen. So tauschen Sie das Schlüsselmaterial aus: 1.
Wenn die Richtlinie Mac Media Encryption auf Ein geschaltet ist, werden Daten verschlüsselt, einschließlich der Thunderbolt-Laufwerke. Um ein Gerät oder eine Gerätegruppe auszuschließen und zu verhindern, dass verschlüsselte Daten auf das Thunderbolt-Laufwerk oder das Encryption External Media geschrieben werden, ändern Sie die Werte der Zulassungslistenregel.
Das Dell Recovery Utility vereinfacht den Betrieb der Apple Wiederherstellungstools durch Skripte, die dem Laden eines Volumes oder, in manchen Fällen, dem Entschlüsseln eines Volumes dienen. Die FileVault-Wiederherstellungsfunktionalität richtet sich nach dem Betriebssystem, das auf der Recovery HD und der gekoppelten Zielpartition installiert ist.
Das Dialogfeld Dell Recovery Utility > Volumes auswählen wird angezeigt. ANMERKUNG: Die Version des Wiederherstellungsdienstprogramms muss mindestens der Version der Client-Software entsprechen, die auf dem wiederherzustellenden Computer installiert ist. 2. Wählen Sie unter Dell Recovery Utility > Volumes auswählen das FileVault-Volume aus. ● Bei der Wiederherstellung eines Betriebssystems ist die beste Methode, auf einem Computer mit dem gleichen oder einem höheren Betriebssystem zu starten.
Wiederherstellungsschlüsselkette Das Dell Wiederherstellungsdienstprogramm muss über ein unverschlüsseltes Wiederherstellungsvolume gestartet und ausgeführt werden. Voraussetzungen ● ● ● ● Externes Wiederherstellungsvolume oder Computer, auf dem das Wiederherstellungsdienstprogramm ausgeführt wird USB-Laufwerk Firewire-Kabel Die Dell Installationsmedien Verwaltungskonsole – Wiederherstellungspaket speichern 1. Öffnen Sie die Verwaltungskonsole. 2.
Stellen Sie sicher, dass alle Benutzer Lese-/Schreibzugriff auf das USB-Laufwerk bzw. den Datenträger mit dem Wiederherstellungsschlüssel haben und dass darauf genügend Speicherplatz verfügbar ist. Wenn Sie keine Rechte für einen ausgewählten Datenträger besitzen, oder wenn darauf nicht genügend Speicherplatz verfügbar ist, wird eine Fehlermeldung angezeigt, die darauf hinweist, dass die Wiederherstellungsschlüssel nicht gespeichert wurden. 11. Wählen Sie einen Speicherort aus und klicken Sie auf Speichern.
Dell empfiehlt, diese Konfiguration vor der Einführung in die Produktionsumgebung zu testen. HFS Plus bietet keine Unterstützung für: ● Versionskontrolle – vorhandenen Versionskontrolle-Daten werden vom Datenträger entfernt. ● Harte Links – Bei einer Verschlüsselungssuche der Wechselmedien wird die Datei nicht verschlüsselt. Ein Dialogfeld empfiehlt das Auswerfen des Datenträgers.
1. Wenn die Festplatte gegenwärtig verschlüsselt ist, setzen Sie die Richtlinie Dell Volume Encryption des Computers in der Verwaltungskonsole auf Aus und bestätigen die Richtlinie. Es wird ein Dialogfeld angezeigt, in dem der Zugriff auf die Systemvoreinstellungen und die Steuerung des Computers angefordert werden, damit die Client-Software den Datenträger entschlüsseln kann. a. Klicken Sie auf Systemeinstellungen öffnen.
4 Aktivierung als Administrator Das Client-Tool bietet dem Administrator neue Methoden zum Aktivieren der Client-Software auf einem Mac-Computer sowie zum Untersuchen der Client-Software. Es stehen zwei Aktivierungsmethoden zur Verfügung: ● Aktivierung unter Verwendung von Administrator-Anmeldeinformationen ● Vorübergehende Aktivierung, die den Benutzer emuliert, ohne Fußabdrücke auf dem Computer zu hinterlassen. Beide Methoden können direkt über eine Shell oder in einem Skript verwendet werden.
5 Verwendung von Boot Camp Themen: • • Unterstützung für Mac OS X Boot Camp Wiederherstellung von Encryption Enterprise for Windows auf Boot Camp Unterstützung für Mac OS X Boot Camp ANMERKUNG: Bei Verwendung von Boot Camp verschlüsselt Dell Encryption Enterprise das Windows Betriebssystem nicht. Außerdem verschlüsselt Encryption Enterprise nur das primäre Volume, wenn zwei oder mehr startfähige macOS-Partitionen auf dem Gerät vorhanden sind.
2. Kopieren Sie aus der Verwaltungskonsole das Wiederherstellungspaket auf eines der Folgenden: ● Startfähiges USB-Laufwerk oder auf ● FAT-Partition auf dem externen Boot Camp-Volume 3. Fahren Sie den Computer mit dem wiederherzustellenden Boot Camp-Volume herunter. 4. Schließen Sie das externe Laufwerk an den Computer an. Das Laufwerk enthält das in Schritt 1 erstellte Boot Camp Volume. 5.
6 Client-Hilfsprogramm Das Client-Tool ist ein Shell-Befehl, der auf einem Mac-Endpunkt ausgeführt wird. Es wird verwendet, um den Client von einem Remote-Standort aus zu aktivieren, oder ein Skript über ein Remote-Verwaltungsdienstprogramm auszuführen.
Tabelle 1. Client-Tool-Befehle (fortgesetzt) Befehl Zweck Syntax Ergebnisse Wenn leere Klammern ausgegeben werden, weist dies darauf hin, dass keine Datenträger verschlüsselt sind.
Zum Abrufen der Richtlinien vom Client und Drucken der Richtlinien. Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -at -plist localAccount domainAccount domainPassword Zum temporären Aktivieren des Clients und dem Drucken des Ergebnisses. Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -s ; echo$? Zum Abfragen des Dell Server für aktualisierte Richtlinien im Namen des Clients und deren Anzeige auf dem Bildschirm.
7 Glossar Sicherheitsserver – wird für Aktivierungen von Dell Encryption verwendet. Richtlinien-Proxy – wird zum Verteilen von Richtlinien für Clientsoftware verwendet. Verwaltungskonsole – die Verwaltungskonsole des Dell Servers für die gesamte Enterprise Bereitstellung. Shield – Ab und an kann in der Dokumentation und auf den Benutzeroberflächen der Begriff „Shield“ auftauchen. „Shield“ steht für Dell Encryption.
