Dell Endpoint Security Suite Enterprise for Mac Administratorhandbuch v2.8 August 2020 Rev.
Hinweise, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen können. VORSICHT: Ein VORSICHTSHINWEIS warnt vor möglichen Beschädigungen der Hardware oder vor Datenverlust und zeigt, wie diese vermieden werden können. WARNUNG: Mit WARNUNG wird auf eine potenziell gefährliche Situation hingewiesen, die zu Sachschäden, Verletzungen oder zum Tod führen kann. © 2012-2020 Dell Inc. All rights reserved.
Inhaltsverzeichnis Kapitel 1: Einleitung........................................................................................................................ 5 Übersicht................................................................................................................................................................................ 5 FileVault-Verschlüsselung........................................................................................................................................
Verwendung von Boot Camp.......................................................................................................................................34 Anleitung zum Abrufen eines Firmwarepassworts.................................................................................................... 35 Client-Hilfsprogramm.................................................................................................................................................... 36 Kapitel 4: Aufgaben..........
1 Einleitung Im Administratorhandbuch zu Endpoint Security Suite Enterprise for Mac sind die Informationen enthalten, die zum Bereitstellen und Installieren der Client-Software benötigt werden. Themen: • • • Übersicht FileVault-Verschlüsselung Kontaktieren des Dell ProSupports Übersicht Die Endpoint Security Suite Enterprise for Mac bietet Advanced Threat Prevention auf der Betriebssystem- und der Speicherebene sowie Verschlüsselung. Alles wird dabei zentral über den Dell Server verwaltet.
2 Anforderungen In diesem Kapitel werden die Hardware- und Softwareanforderungen für den Client erläutert. Stellen Sie sicher, dass die Implementierungsumgebung die Anforderungen erfüllt, bevor Sie mit der Implementierung fortfahren. Themen: • • Encryption-Client Advanced Threat Prevention Encryption-Client Encryption-Client-Hardware Die Mindestanforderungen für die Hardware müssen den Mindestspezifikationen des Betriebssystems entsprechen.
• exFAT • HFS Plus (Mac OS Extended) formatierte Medien mit Partitionsschemata Master Boot Record (MBR) oder GUIDPartitionstabelle (GPT). Siehe dazu Aktivieren von HFS Plus. ANMERKUNG: Um Encryption External Media zu hosten, müssen 55 MB verfügbar sein und auf dem Wechselspeichermedium muss zusätzlich freier Speicherplatz vorhanden sein, dessen Größe der größten zu verschlüsselnden Datei entspricht.
Advanced Threat Prevention – Software Die folgende Tabelle enthält detaillierte Informationen über die unterstützte Software. Betriebssysteme (64-Bit-Kernel) • • • Mac OS X Mavericks 10.9.5 Mac OS X Yosemite 10.10.5 macOS Sierra 10.12.6 ANMERKUNG: Mac OS X Mavericks 10.9.5, Mac OS X Yosemite 10.10.5 und macOS Sierra 10.12 werden nur mit Advanced Threat Prevention und nicht mit dem Encryption Client unterstützt. • macOS High Sierra 10.13.
Funktionen Richtlinien Windows macOS Linux Automatische Quarantäne (Anormal) x x x Automatisch hochladen x x x Richtlinie „Sichere Liste“ x x x Speicherschutz x x x Stapeldrehung x x x Stapelschutz x x x Code überschreiben x k. A. RAM-Scraping x k. A. Schädliche Nutzlast x Speichermaßnahmen Ausnutzung Vorgangsinjektion Remote-Zuweisung von Speicher x x k. A. Remote-Zuordnung von Speicher x x k. A. Remote Schreiben in Speicher x x k. A.
Funktionen Richtlinien Windows macOS Linux Nach neuen Dateien Ausschau halten x x x Maximale Größe der zu scannenden Archivdatei x x x Bestimmte Ordner ausschließen x x x Dateimuster kopieren x Anwendungssteuerung Fenster ändern x Ordnerausschlüsse x x Agenten-Einstellungen Automatisches Hochladen von Protokolldateien aktivieren x DesktopBenachrichtigungen aktivieren x x x Skriptsteuerung 10 Aktives Skript x Powershell x Office-Makros x PowershellKonsolennutzung blockie
3 Aufgaben für den Encryption Client Themen: • • • • • • • • • • Installation/Upgrade von dem Encryption Client Aktivieren von Encryption Client Verschlüsselungsrichtlinie und Status anzeigen Systemlaufwerke Wiederherstellung Wechselmedien Sammeln von Protokolldateien für Endpoint Security Suite Enterprise Deinstallieren von dem Encryption Client for Mac Aktivierung als Administrator Encryption Client – Referenzdokument Installation/Upgrade von dem Encryption Client Dieser Abschnitt führt Sie durch den In
• • • • Achten Sie darauf, die Sicherheitsserver- und Richtlinien-Proxy-URL zur Hand zu haben. Beide werden für die Installation und Aktivierung der Client-Software benötigt. Wenn Ihre Bereitstellung eine Nicht-Standard-Konfiguration verwendet, stellen Sie sicher, dass Sie die Portnummer für den Sicherheitsserver kennen. Diese wird für die Installation und Aktivierung der Client-Software benötigt.
ANMERKUNG: Unmittelbar nach Abschluss der Installation müssen Sie einen Neustart des Computers ausführen. Wenn noch Dateien in andere Anwendungen offen sind und Sie den Neustart noch nicht durchführen möchten, klicken Sie auf Abbrechen, speichern Sie die Arbeit und schließen Sie die anderen Anwendungen. 15. Klicken Sie auf Mit der Installation fortfahren. Der Installationsvorgang beginnt. 16. Wenn die Installation abgeschlossen wurde, klicken Sie auf Neustarten. 17.
NoAuthenticateUsers [In this sample code, after one user activates the computer against the Dell Server, other users can log in without being prompted to activate.
Host policyproxy.organization.com [Replace this value with your Policy Proxy URL] Port 8000 [Leave as-is unless there is a conflict with an existing port] Version 2 [Do not modify] MaxPasswordDelay xxxx [Number of seconds to apply to the security policy, "Require password XXXX after sleep or screen saver begins." The acceptable range is 0-32400.
Im linken Fenster > Dateien und Ordner kann der Benutzer die externen Medien (EMS)-Komponenten überprüfen, um die erforderlichen Berechtigungen zu geben. 4. Wählen Sie im linken Bereich die Option Vollständiger Festplattenzugriff aus. Die External Media Dell Encryption App wird jetzt angezeigt. Wenn jedoch die Genehmigungsanforderung noch aussteht, wird das Kontrollkästchen für diese App nicht ausgewählt. 5. Erteilen Sie die Berechtigung, indem Sie das Kontrollkästchen aktivieren.
• Wenn die Verschlüsselung vor der Aktivierung aktiviert wurde, fahren Sie mit Anzeigen von Verschlüsselungsrichtlinie und Status fort. Verschlüsselungsrichtlinie und Status anzeigen Die Verschlüsselungsrichtlinie und den Status sehen Sie auf dem lokalen Computer oder in der Verwaltungskonsole.
3. Beschreibungen aller Richtlinien finden Sie in der AdminHelp, die in der Dell Server Verwaltungskonsole verfügbar ist. So finden Sie eine spezifische Richtlinie in der AdminHelp: a. Klicken Sie auf das Suchsymbol. b. Geben Sie in die Suche den Richtliniennamen in Anführungszeichen ein. c. Klicken Sie auf den angezeigten Themen-Link. Der von Ihnen in Anführungszeichen eingegebene Richtlinienname wird in diesem Thema hervorgehoben. 4.
Farbe Beschreibung Z. B. aufgrund einer Änderung an den Verschlüsselungsalgorithmen. Die Daten sind weiterhin sicher. Sie gehen lediglich in einen anderen Verschlüsselungstyp über. Die Registerkarte „Systemlaufwerke“ zeigt alle an den Computer angeschlossenen Volumes an, die sich auf einem mit GPT (GUID Partition Table) formatierten Datenträger befinden. Die folgende Tabelle enthält Beispiele für Volume-Konfigurationen für interne Laufwerke.
Zeichen Status Durch Encryption External Media verschlüsselte Medien, erkennbar an dem Dell Emblem. Anzeigen von Richtlinie und Status in der Verwaltungskonsole Gehen Sie wie nachfolgend beschrieben vor, um die Verschlüsselungsrichtlinie und den Verschlüsselungsstatus in der Verwaltungskonsole anzuzeigen. 1. Melden Sie sich als Dell Administrator bei der Verwaltungskonsole an. 2. Klicken Sie im linken Fensterbereich auf Bestückungen > Endpunkte. 3.
Verwenden Sie dieses Verfahren zur Aktivierung der Verschlüsselung auf einem Client-Computer, falls die Verschlüsselung vor der Aktivierung noch nicht aktiviert wurde. Mit diesem Verfahren kann die Verschlüsselung nur für einen einzigen Computer aktiviert werden. Falls erforderlich, können Sie die Verschlüsselung aller Mac-Computer auf Enterprise-Ebene aktivieren. Zusätzliche Anleitungen zur Aktivierung der Verschlüsselung auf Enterprise-Ebene finden Sie in der AdminHelp. 1.
1. Nach der Installation und Aktivierung müssen Sie sich an dem Konto anmelden, über das Sie nach Aktivierung der FileVaultVerschlüsselung starten möchten. 2. Warten Sie, bis das Laufwerk validiert und das Volume überprüft wurden. 3. Geben Sie das Passwort für das Konto ein. ANMERKUNG: Falls Sie die Möglichkeit der Zeitüberschreitung für dieses Dialogfeld aktiviert haben, müssen Sie einen Neustart durchführen oder sich anmelden, damit das Dialogfeld für die Eingabe des Passworts erneut angezeigt wird. 4.
dsAttrTypeStandard:NFSHomeDirectory /Users/* • • Die Beispielschlüsseleinträge AuthenticationAuthority legen ein Muster von Benutzer1, Benutzer2 und Benutzer3 oder eine beliebige Benutzer-ID, die mit z beginnt, fest. Drücken Sie die Tasten Control-Option-Command am Client, um das Dialogfeld mit der korrekten Syntax für jeden Benutzer anzuzeigen. Kopieren Sie die Syntax für den Benutzer und fügen Sie diese in der Verwaltungskonsole ein.
• Nach Abschluss des Übernahmevorgangs wird ein neuer persönlicher Wiederherstellungsschlüssel generiert und hinterlegt. Der vorherige Wiederherstellungsschlüssel wird entwertet und entfernt. Startfähige Konto-Anmeldeinformationen – wenn Sie über den Benutzernamen und das Kennwort für ein Konto verfügen, das derzeit für das Starten des Volume autorisiert ist. a. Geben Sie den Benutzernamen und das Passwort ein. b. Klicken Sie auf OK. 2.
Wenn der Computer neu gestartet wird oder in den Ruhemodus wechselt, wird die Verschlüsselungssuche angehalten. Nach dem Neustart bzw. Verlassen des Ruhemodus wird sie automatisch wieder aufgenommen. Die Client-Software bietet keine Unterstützung für die Verwendung von Ruhezustandsbildern, die die Mac OS X Funktion Safe Sleep zum Reaktivieren des Computers verwendet, wenn der Akku während des Ruhemodus vollständig entladen wurde.
size>=1T;fstype=HFS+ Wiederherstellung Eventuell benötigen Sie gelegentlich Zugriff auf Daten auf verschlüsselten Laufwerken. Als Dell Administrator können Sie auf verschlüsselte Laufwerke zugreifen, ohne diese entschlüsseln zu müssen. So sparen Sie wertvolle Zeit. Es kann aus verschiedenen Gründen erforderlich sein, auf die verschlüsselten Daten eines Benutzers zuzugreifen. Hier einige Fallbeispiele: • • Ein Mitarbeiter verlässt das Unternehmen und informiert niemanden über das Passwort.
ANMERKUNG: Die Version des Wiederherstellungsdienstprogramms muss mindestens der Version der Client-Software entsprechen, die auf dem wiederherzustellenden Computer installiert ist. 9. Wählen Sie das Volume oder Laufwerk aus, das wiederhergestellt werden soll, und klicken Sie auf Weiter. Durch Auswählen des Laufwerks werden alle darauf befindlichen Volumes gleichzeitig wiederhergestellt. 10. Wählen Sie das Wiederherstellungspaket (das Sie in Schritt 6 gespeichert haben) und klicken Sie auf Öffnen. 11.
7. Zum Speichern des Wiederherstellungspakets auf dem externen Wiederherstellungsvolume oder Computer, auf dem das Wiederherstellungsprogramm für den Wiederherstellungsvorgang ausgeführt wird, klicken Sie auf Herunterladen und klicken Sie auf Speichern. 8. Geben Sie einen Speicherort für das Wiederherstellungspaket ein und klicken Sie auf Speichern. Prozess – .dmg laden 1. Kopieren Sie das Wiederherstellungspaket und die Datei Dell-Encryption-Enterprise-.dmg auf das startfähige USBLaufwerk. 2.
Wenn das Startvolume beschädigt oder gelöscht wurde und sekundäre Volumes vorhanden sind, können Sie diese Nicht-Startvolumes laden. 1. Klicken Sie auf Entsperren. Das Volume wird geladen. 2. Klicken Sie auf Schließen. Volume entschlüsseln – klicken Sie auf die Schaltfläche 1. Klicken Sie auf Entschlüsseln. Ein Dialogfeld und eine Fortschrittsleiste zeigen den Entschlüsselungsprozess an. 2. Wenn er abgeschlossen ist, klicken Sie auf Schließen. 3. Starten Sie das entschlüsselte Volume, um es zu verwenden.
Das Dialogfeld Wiederherstellungsvorgang bestätigen wird angezeigt. 10. Markieren Sie das wiederherzustellende FileVault-Volume und klicken Sie auf Weiter. Das Dialogfeld Ort für Wiederherstellungsdateien auswählen wird mit der Aufforderung angezeigt, einen Speicherort für die Wiederherstellungsdateien auszuwählen. Diesen Speicherort müssen Sie für die Wiederherstellung verwenden, da die Skripte absolute Pfade zu den Datendateien enthalten. Kopieren Sie diese Dateien nicht auf die Recovery HD.
ANMERKUNG: Dell empfiehlt, diese Konfiguration vor der Einführung in die Produktionsumgebung zu testen. HFS Plus bietet keine Unterstützung für: • • • Versionskontrolle – vorhandenen Versionskontrolle-Daten werden vom Datenträger entfernt. Harte Links – Bei einer Verschlüsselungssuche der Wechselmedien wird die Datei nicht verschlüsselt. Ein Dialogfeld empfiehlt das Auswerfen des Datenträgers.
Sammeln von Protokolldateien für Endpoint Security Suite Enterprise In den Systemeinstellungen > Dell Encryption Enterprise >-System-Volumes kann ein Administrator über die Schaltfläche „Protokolle erfassen“ unten rechts vorab Protokolle für den Support erstellen. Diese Maßnahme kann sich auf die Performance auswirken, während Protokolle erfasst werden. DellLogs.zip enthält die Protokolle für Mac Encryption Enterprise und Advanced Threat Prevention.
Aktivieren Sie die Client-Software über ein und dasselbe Netzwerkkonto auf maximal fünf Computern. Anderenfalls kann es zu Sicherheits- und Leistungsbeeinträchtigungen Ihres Dell Server kommen. Voraussetzungen • • Der Encryption Client for Mac muss auf dem Remote-Computer installiert sein. Versuchen Sie die Aktivierung immer zuerst über einen Remote-Standort und dann über die Client-Benutzeroberfläche. Aktivieren Verwenden Sie diesen Befehl, um den Client als Administrator zu aktivieren.
Wenn Sie beabsichtigen Boot Camp (Anweisungen siehe Anleitung zum Aktivieren von Mac OS X Boot Camp) auf verschlüsselten MacComputer zu verwenden, müssen Sie den Client so konfigurieren, dass er den Firmware-Kennwortschutz nicht verwendet. Mac-Computer verwenden den Firmwarepasswortschutz zur Verbesserung der Zugriffssicherheit des Computers. Auf Mac-Computern ist der Schutz per Standardeinstellung auf AUS gesetzt.
• Geräte-ID/Eindeutige ID des für die Wiederherstellung vorgesehenen Computers In der Regel finden Sie den für die Wiederherstellung vorgesehenen Computer in der Verwaltungskonsole. Suchen Sie nach dem Benutzernamen des Besitzers und zeigen Sie die für diesen Benutzer verschlüsselten Geräte an. Das Format für die Geräte-ID/Eindeutige ID lautet „Peter Schmidts MacBook.Z4291LK58RH“. Verfahren 1. Erstellen Sie auf einem externen Laufwerk ein Boot Camp-Volume.
1. 2. 3. 4. 5. 6. 7. Melden Sie sich als Dell Administrator bei der Verwaltungskonsole an. Klicken Sie im linken Fensterbereich auf Bestückungen > Endpunkte Suchen Sie nach dem wiederherzustellenden Gerät. Klicken Sie auf den Gerätenamen, um die Seite mit den Endpunktdetails aufzurufen. Klicken Sie auf die Registerkarte Details und Aktionen. Unter dem Punkt Shield klicken Sie auf den Link Geräte-Wiederherstellungsschlüssel.
Tabelle 1. Client-Tool-Befehle (fortgesetzt) Befehl Zweck Syntax Vorübergehend aktivieren Aktiviert einen MacClient, ohne einen Fußabdruck zu hinterlassen.
Tabelle 1. Client-Tool-Befehle (fortgesetzt) Befehl Zweck Syntax Ergebnisse Version Version des MacClients anfordern -v Die Version des Mac-Clients wird angezeigt. Beispiel: 8.x.x.xxxx *Das Konto, das das Client-Hilfsprogramm ausführt, wird als lokalesKonto verwendet, es sei denn, ein anderes wurde angegeben. Plist-Option Die -plist-Option druckt die Ergebnisse des Befehls, mit dem sie kombiniert ist.
4 Aufgaben Themen: • • • • • • • Installieren von Advanced Threat Prevention for Mac Prüfen der Advanced Threat Prevention Installation Sammeln von Protokolldateien für Endpoint Security Suite Enterprise Details zu Advanced Threat Prevention anzeigen Bereitstellung eines Mandanten Konfigurieren der automatischen Aktualisierung des Advanced Threat Prevention Agenten Advanced Threat Prevention – Fehlerbehebung Installieren von Advanced Threat Prevention for Mac Dieser Abschnitt führt Sie durch die Installat
1. Laden Sie vom Dell Installationsmedium die Datei Endpoint-Security-Suite-Enterprise-.dmg. Das Paket Endpoint Security Suite Enterprise for Mac wird geöffnet. 2. Doppelklicken Sie auf das Paket-Installationsprogramm Endpoint Security Suite Enterprise. Die folgende Meldung wird angezeigt: Dieses Paket führt ein Programm aus, um festzustellen, ob die Software installiert werden kann. 3. Klicken Sie auf Weiter. 4. Lesen Sie die Informationen im Begrüßungsbildschirm und klicken Sie auf Weiter. 5.
7. Geben Sie in das Feld Server-Port den Wert 8888 ein und klicken Sie auf Weiter. Sobald eine Verbindung hergestellt ist, wechselt die Konnektivitätsanzeige von rot auf grün. ANMERKUNG: Der Port ist der konfigurierbare Serviceport des Kernservers. Die Standardportnummer ist 8888. 8. Klicken Sie im Installationsfenster auf Installieren. 9.
Installation von Advanced Threat Prevention über die Befehlszeile Führen Sie die folgenden Schritte aus, um den Advanced Threat Prevention Client unter Verwendung der Befehlszeile zu installieren. 1. Laden Sie vom Dell Installationsmedium die Datei „Endpoint-Security-Suite-Enterprise-.dmg “. Das Paket Endpoint Security Suite Enterprise for Mac wird geöffnet. 2. Kopieren Sie aus dem Ordner „Dienstprogramme“ die Datei com.dell.esse.plist auf das lokale Laufwerk. 3. Öffnen Sie die .plist-Datei.
4. Bearbeiten Sie die Platzhalterwerte mit dem vollqualifizierten Hostnamen des Dell Server, der die Verwaltung des Zielbenutzers übernimmt, wie z. B. server.unternehmen.de, und die Portnummer 8888: ServerHost server.organization.
2. Geben Sie den Pfad zur DellCSFConfig.App ein: cd /Volumes/Endpoint\ Security\ Suite\ Enterprise\ for\ Mac/Utilities/DellCSFConfig.app/ Contents/MacOS/ 3. Führen Sie die DellCSFConfig.App aus: sudo DellCSFConfig.app/Contents/MacOS/DellCSFConfig Das Folgende stellt die Standardeinstellungen dar: Current Settings: ServerHost = deviceserver.company.com ServerPort = 8888 DisableCertTrust = False DisablePolicyCheck = False DumpXmlInventory = False DumpPolicies = False 4.
• • Richtlinie – [online] zeigt die Server-basierte Richtlinie an und [offline] zeigt die Air Gap oder offline-basierte Richtlinie an Seriennummer – Verwenden Sie diese beim technischen Support. Dies ist die eindeutige Kennung für die Installation. 3. Im Ordner „/Anwendungen“ wird der Ordner für Advanced Threat Prevention erstellt.
Registerkarte „Bedrohungen“ Die Registerkarte „Bedrohungen“ zeigt alle auf dem Gerät erkannten Bedrohungen sowie die durchgeführten Maßnahmen an. „Bedrohungen“ sind eine Kategorie von Ereignissen, die als potenziell unsichere Dateien oder Programme neu erfasst wurden und eine geführte Fehlerbehebung erfordern. Die Spalte „Kategorie“ kann Folgendes enthalten.
• • Blockieren – Der Prozessaufruf wird blockiert, falls eine Anwendung versucht, einen Prozess zur Durchführung eines Arbeitsspeicherangriffs aufzurufen. Die Anwendung, die den Aufruf initiiert hat, darf weiterhin ausgeführt werden. Beenden – Der Prozessaufruf wird blockiert, falls eine Anwendung versucht, einen Prozess zur Durchführung eines Arbeitsspeicherangriffs aufzurufen. Die Anwendung, die den Aufruf durchgeführt hat, wird beendet.
• • Die Bereitstellung basiert auf einem Token, das im Rahmen der Bereitstellung aus einem Zertifikat generiert wird. Die Lizenzen für Advanced Threat Prevention müssen auf dem Dell Server vorhanden sein. Bereitstellung eines Mandanten 1. Melden Sie sich als Dell Administrator bei der Verwaltungskonsole an. 2. Klicken Sie im linken Bereich der Verwaltungskonsole auf Verwaltung > Servicemanagement. 3. Klicken Sie auf Advanced Threat Protection-Dienst einrichten.
Aufgaben 49
Das folgende Diagramm veranschaulicht die Agentenkommunikation für Advanced Threat Prevention.
5 Glossar Sicherheitsserver – wird für Aktivierungen von Dell Encryption verwendet. Richtlinien-Proxy – wird zum Verteilen von Richtlinien für Clientsoftware verwendet. Verwaltungskonsole – die Verwaltungskonsole des Dell Servers für die gesamte Enterprise Bereitstellung. Shield – Ab und an kann in der Dokumentation und auf den Benutzeroberflächen der Begriff „Shield“ auftauchen. „Shield“ steht für Dell Encryption.