Dell Endpoint Security Suite Enterprise for Mac Guida dell'amministratore v2.8 August 2020 Rev.
Messaggi di N.B., Attenzione e Avvertenza N.B.: un messaggio N.B. (Nota Bene) indica informazioni importanti che contribuiscono a migliorare l'utilizzo del prodotto. ATTENZIONE: un messaggio di ATTENZIONE evidenzia la possibilità che si verifichi un danno all'hardware o una perdita di dati ed indica come evitare il problema. AVVERTENZA: un messaggio di AVVERTENZA evidenzia un potenziale rischio di danni alla proprietà, lesioni personali o morte. © 2012-2020 Dell Inc. All rights reserved.
Sommario Capitolo 1: Introduzione...................................................................................................................5 Panoramica.............................................................................................................................................................................5 Crittografia tramite FileVault................................................................................................................................................
Utilizzare il Boot Camp..................................................................................................................................................33 Come recuperare una password del firmware........................................................................................................... 34 Strumento client............................................................................................................................................................
1 Introduzione La Guida dell'amministratore di Endpoint Security Suite Enterprise per Mac fornisce le informazioni necessarie a distribuire e installare il software client. Argomenti: • • • Panoramica Crittografia tramite FileVault Contattare Dell ProSupport Panoramica Endpoint Security Suite Enterprise per Mac offre funzioni di crittografia e Advanced Threat Prevention a livello di sistema operativo e memoria: il tutto gestito centralmente da Dell Server.
2 Requisiti In questo capitolo sono specificati i requisiti hardware e software client. Prima di continuare con le attività di distribuzione, accertarsi che l'ambiente di distribuzione soddisfi i requisiti. Argomenti: • • Client di crittografia Advanced Threat Prevention Client di crittografia Hardware del client di crittografia I requisiti hardware minimi devono soddisfare le specifiche minime del sistema operativo.
• Supporti formattati con HFS Plus (MacOS Extended) con gli schemi di partizione Master Boot Record (MBR) o Tabella di partizione GUID (GPT). Consultare Abilitare HFS Plus. N.B.: Per ospitare Encryption External Media, il supporto esterno deve disporre di circa 55 MB di spazio, più una quantità di spazio libero equivalente alle dimensioni del file più grande da crittografare.
Sistemi operativi (kernel a 64 bit) • • • Mac OS X Mavericks 10.9.5 Mac OS X Yosemite 10.10.5 macOS Sierra 10.12.6 N.B.: Mac OS X Mavericks 10.9.5, Mac OS X Yosemite 10.10.5 e macOS Sierra 10.12 sono supportati solo con Advanced Threat Prevention e non con il client di crittografia. • macOS High Sierra 10.13.6 N.B.: Fare riferimento a Software per il client di crittografia per informazioni su specifiche versioni di MacOS High Sierra supportate con il client di crittografia. • macOS Mojave 10.14.5 - 10.
Funzioni Criteri Windows macOS Linux Caricamento automatico x x x Criterio Elenco file sicuri x x x x x x Manipolazione dello stack x x x Protezione dello stack x x x Sovrascrivi codice x n/d RAM scraping x n/d Payload dannoso x Azioni memoria Protezione della memoria Sfruttamento Aggiunta di processo Allocazione remota di memoria x x n/d Mapping remoto di memoria x x n/d Scrittura remota in memoria x x n/d Scrittura remota di PE in memoria x n/d n/d Codice d
Funzioni Criteri Windows macOS Linux Dimensione massima del file di archivio da sottoporre a scansione x x x Escludi cartelle specifiche x x x Copia campioni di file x Controllo delle applicazioni Modifica finestra x Esclusioni cartella x x Impostazioni agente Abilita caricamento automatico dei file di registro x Abilita notifiche desktop x x x Controllo script 10 Script attivo x PowerShell x Macro di Office x Blocca utilizzo console PowerShell x Approva script in cartell
3 Attività per il client di crittografia Argomenti: • • • • • • • • • • Installare/Aggiornare Encryption Client Attivare Encryption Client Visualizzare il criterio e lo stato della crittografia Volumi di sistema Ripristino Supporto rimovibile Raccogliere i file di registro per Endpoint Security Suite Enterprise Disinstallare Encryption Client for Mac Attivazione come amministratore Riferimento del client di crittografia Installare/Aggiornare Encryption Client Questa sezione guida l'utente nel processo di
• • • • Assicurarsi di avere a portata di mano l'URL del Security Server e del Policy Proxy. Sono entrambi necessari per l'installazione e l'attivazione del software client. Se la distribuzione utilizza una configurazione non predefinita, assicurarsi di conoscere il numero di porta del Security Server. È necessario per l'installazione e l'attivazione del software client. Assicurarsi che il computer di destinazione disponga di connettività di rete con Security Server e Policy Proxy.
15. Cliccare su Continuare l'installazione. L'installazione viene avviata. 16. Al completamento dell'installazione, cliccare su Riavvia. 17. Se si tratta di una nuova installazione di Endpoint Security Suite Enterprise, viene visualizzata la finestra di dialogo Estensione sistema bloccata. Per il consenso kext, vengono visualizzate una o entrambe le finestre di dialogo di seguito. Estensione sistema bloccata Estensione sistema bloccata a. Cliccare su OK. b. Cliccare su OK. c.
dsAttrTypeStandard:AuthenticationAuthority * NoAuthenticateUsers [In this sample code, users from a specific domain name can log in without being prompted to activate against the Dell Server.] dsAttrTypeStandard:AuthenticationAuthority ;Kerberosv5;;*@domainName.com;domainName.
xxxx [Number of seconds to apply to the security policy, "Require password XXXX after sleep or screen saver begins." The acceptable range is 0-32400.] EMSTreatsUnsupportedFileSystemAs ignore [For handling Mac OS Extended media. Possible values are ignore, provisioningRejected, or unshieldable. ignore - the media is usable (default). provisioningRejected - retains the value in the Dell Server policy, EMS Access to unShielded Media.
6. Chiudere la finestra Protezione e privacy. Attivare Encryption Client Il processo di attivazione associa gli account utente di rete in Dell Server al computer Mac e recupera ciascun criterio della protezione degli account, invia l'inventario e gli aggiornamenti di stato, consente il ripristino dei flussi di lavoro e fornisce un report di conformità completo.
N.B.: Fare clic su Aggiorna per verificare gli aggiornamenti del criterio. La Management Console elenca i criteri Mac nei seguenti gruppi di tecnologia: • • Crittografia Mac Crittografia dei supporti rimovibili I criteri impostati dipendono dai requisiti di crittografia dell'azienda. La tabella seguente elenca le opzioni per i criteri. Crittografia Mac > Crittografia dei volumi Dell Per High Sierra e versioni successive, entrambi i criteri devono essere abilitati.
Stato Descrizione Impossibile ridimensionare il volume Il software client non può avviare la crittografia perché è impossibile ridimensionare appropriatamente il volume. Dopo aver ricevuto questo messaggio, contattare Dell ProSupport e fornire i file di registro. Ripristino necessario prima dell'inizio della crittografia Il volume non ha superato la verifica di Utility Disco. Preparazione della crittografia completata. Riavvio in sospeso La crittografia inizia dopo il riavvio.
Badge Tipo e stato del volume Un volume configurato per la crittografia. Il badge Sicurezza e Privacy indica una partizione protetta tramite FileVault. Un volume non di avvio configurato per la crittografia. Il badge Sicurezza e Privacy indica una partizione protetta tramite FileVault. Unità multiple e nessuna crittografia. N.B.: L'icona del volume senza un badge indica che al disco non è stato fatto nulla. Non è un disco di avvio. 5.
5. Fare clic sulla scheda Dettagli e azioni. L'area Dettagli endpoint mostra informazioni sul computer Mac. Lo schermo area dettagli visualizza le informazioni sul software client, inclusa l'ora di fine e di avvio di una ricerca di crittografia per questo computer. Per visualizzare i criteri validi, nell'area Azioni, fare clic su Visualizza criteri effettivi. 6. Fare clic sulla scheda Criteri di protezione. Da questa scheda è possibile espandere i tipi di criteri e modificare i singoli criteri. a.
Il numero visualizzato accanto a Modifiche dei criteri in sospeso è cumulativo. Può includere le modifiche eseguite in altri endpoint o eseguite da altri amministratori che usano lo stesso account. 10. Immettere una descrizione delle modifiche nella casella Commenti e fare clic su Eseguire il commit dei criteri. 11.
Modificare il criterio per aggiungere utenti FileVault FileVault protegge i dati presenti sul disco mediante la crittografia automatica. In un volume di avvio FileVault gestito, per consentire a più utenti di sbloccare il disco, è possibile modificare un criterio nella Management Console e utilizzare il dizionario di nomi e valori OpenDirectory, affinché gli utenti possano aggiungersi al disco FileVault. 1.
Assumere la gestione di un volume crittografato di FileVault esistente Se il computer ha già un volume crittografato tramite FileVault e la crittografia tramite FileVault è abilitata nella Management Console, Dell Encryption può assumere la gestione del volume. Se Dell Encryption rileva che il volume di avvio è già crittografato, viene visualizzata la finestra di dialogo di Dell Encryption Enterprise. Per consentire alla crittografia Dell di assumere la gestione del volume, seguire la seguente procedura. 1.
Le chiavi nel pacchetto di ripristino per questa unità ora sono obsolete. È necessario scaricare un nuovo pacchetto di ripristino dalla Management Console. Esperienza utente Per ottenere la massima sicurezza, il software client disabilita la funzione di accesso automatico ai computer Mac OS X. Inoltre, il software client applica automaticamente la funzione per MAC OS X richiedi password dopo che viene avviata la modalità stop/ salvaschermo.
è nel formato intero decimale con un suffisso facoltativo da {K, M, G, T} allineato su 1000, non 1024.
Avviare il computer destinato al ripristino in Modalità disco di destinazione. È possibile portarlo a termine tramite l'avvio del riquadro del disco di avvio nelle Preferenze di sistema e facendo clic su Modalità disco di destinazione, o tenendo premuta la chiave T mentre si riavvia il computer. N.B.: La protezione con password del firmware blocca la possibilità di utilizzare il tasto T all'avvio per entrare in Modalità disco di destinazione.
Management Console - Salvare il bundle di ripristino 1. 2. 3. 4. 5. 6. 7. Aprire la Management Console. Nel riquadro sinistro, fare clic su Popolamenti > Endpoint. Cercare il dispositivo da ripristinare. Fare clic sul nome del dispositivo per aprire la pagina Dettagli endpoint. Fare clic sulla scheda Dettagli e azioni. In Dettagli Shield, fare clic sul collegamento Chiavi di ripristino dispositivo.
7. Nella finestra di dialogo, immettere una nuova password per l'utente. Opzioni di ripristino di un volume non di avvio (usato raramente) - Eseguire una delle seguenti operazioni: Ripristinare un volume non di avvio Se il volume di avvio è danneggiato o cancellato ed esistono volumi secondari, è possibile montare questi volumi non di avvio. 1. Fare clic su Sblocca. Il volume viene montato. 2. Fare clic su Chiudi. Decrittografa volume - Fare clic sul pulsante 1. Fare clic su Decrittografa.
9. Leggere le istruzioni e fare clic su Continua. Viene visualizzata la finestra di dialogo conferma l'operazione di ripristino. 10. Evidenziare il volume di FileVault da ripristinare e fare clic su Continua. Viene visualizzata la finestra di dialogo scegliere la posizione per i file di ripristino, che richiede di selezionarne una per archiviare i file di ripristino. È necessario che il percorso sia quello che verrà utilizzato per il ripristino poiché gli script contengono percorsi assoluti ai file di dati.
N.B.: Dell consiglia di testare questa configurazione prima di introdurla nell'ambiente di produzione. HFS Plus non supporta: • • • Versioni - I dati esistenti delle versioni vengono rimossi dal disco. Collegamenti reali - Durante la ricerca di crittografia dei supporti rimovibili, il file non viene crittografato. Una finestra di dialogo consiglia di espellere il supporto.
Raccogliere i file di registro per Endpoint Security Suite Enterprise In Preferenze di sistema > Dell Encryption Enterprise > Volumi di sistema, un pulsante Raccogli registri in basso a destra consente a un amministratore di pregenerare i registri per il supporto. Questa azione può influire sulle prestazioni mentre i registri vengono raccolti. DellLogs.zip contiene i registri per Mac Encryption Enterprise e Advanced Threat Prevention. Per informazioni su come raccogliere i registri, consultare http://www.
Non attivare il software client in più di cinque computer con lo stesso account di rete. Ne potrebbero conseguire gravi vulnerabilità di sicurezza e prestazioni diminuite di Dell Server. Prerequisiti • • Encryption Client for Mac deve essere installato sul computer remoto. Non attivare tramite l'interfaccia utente del client prima di tentare di attivare da una postazione remota. Attiva Utilizzare questo comando per attivare il client come amministratore. Esempio: client -a username@domain.
esistente. È possibile rimuovere eventuali protezioni con password del firmware esistenti utilizzando l'Utility Password Firmware di Mac OS X. Se si intende utilizzare il Boot Camp (consultare in che modo è possibile attivare Mac OS X Boot Camp per le istruzioni) su computer Mac crittografati, è necessario configurare il client per non utilizzare la protezione della password del firmware. I computer Mac utilizzano la protezione con password del firmware per potenziare la protezione di accesso del computer.
• ID dispositivo/ID univoco del computer destinato al ripristino. Nella maggior parte dei casi, è possibile trovare il computer destinato al ripristino nella Management Console cercando il nome utente del proprietario e visualizzando i dispositivi crittografati per tale utente. Il formato dell'ID dispositivo/ID univoco è "MacBook.Z4291LK58RH di Mario Rossi". Procedura 1. Su un'unità esterna, creare un volume di Boot Camp.
2. 3. 4. 5. 6. 7. Nel riquadro sinistro, fare clic su Popolamenti > Endpoint Cercare il dispositivo da ripristinare. Fare clic sul nome del dispositivo per aprire la pagina Dettagli endpoint. Fare clic sulla scheda Dettagli e azioni. In Dettagli Shield, fare clic sul collegamento Chiavi di ripristino dispositivo.
Tabella 1. Comandi di Client Tool (continua) Comando Scopo Sintassi Risultati Disk Richiedere lo stato del disco -d Viene visualizzato lo stato del disco, inclusi l'ID, lo stato di crittografia e i criteri del disco Se vengono restituite parentesi graffe vuote significa che nessun disco è crittografato.
L'opzione -plist stampa i risultati del comando con cui è combinata. Segue il comando e deve apparire prima dei suoi argomenti affinché i risultati vengano stampati come plist. Esempi Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -p -plist Per recuperare i criteri dal client e stamparli. Library/PreferencePanes/Dell\ Encryption\Enterprise.
4 Attività Argomenti: • • • • • • • Installare Advanced Threat Prevention per Mac Verificare l'installazione di Advanced Threat Prevention Raccogliere i file di registro per Endpoint Security Suite Enterprise Visualizzare i dettagli di Advanced Threat Prevention Provisioning di un tenant Configurare l'aggiornamento automatico dell'agente di Advanced Threat Prevention Risoluzione dei problemi di Advanced Threat Prevention Installare Advanced Threat Prevention per Mac Questa sezione guida l'utente nell'inst
2. Fare doppio clic sul programma di installazione del pacchetto Endpoint Security Suite Enterprise. Viene visualizzato il seguente messaggio: Il pacchetto esegue un programma per determinare se il software può essere installato. 3. Fare clic su Continua. 4. Leggere il testo iniziale e fare clic su Continua. 5. Per verificare il contratto di licenza, fare clic su Continua, quindi su Accetto per accettare i termini del contratto di licenza. 6.
7. Nel campo Porta server, immettere 8888 e fare clic su Continua. Una volta stabilita la connessione, l'indicatore della connettività cambia da rosso a verde. N.B.: La porta di servizio del Core Server configurabile. Il numero di porta predefinito è 8888. 8. Nella schermata di installazione, fare clic su Installa. 9. Quando richiesto, immettere le credenziali dell'account amministratore (richieste dall'applicazione del programma di installazione di Mac OS X), quindi fare clic su Installa software. 10.
Installazione di Advanced Threat Prevention dalla riga di comando Per installare il client Advanced Threat Prevention utilizzando la riga di comando, seguire la procedura seguente. 1. Dal supporto di installazione Dell, montare il file Endpoint-Security-Suite-Enterprise-.dmg. Si apre il pacchetto Endpoint Security Suite Enterprise per Mac. 2. Dalla cartella Utility, copiare la com.dell.esse denominato release.plist file per l'unità locale. 3. Aprire il file .plist.
4. Modificare i valori segnaposto con il nome host completo dell'istanza di Dell Server che gestisce l'utente di destinazione, come ad esempio server.organizzazione.com, e il numero di porta 8888: ServerHost server.organization.com ServerPort 8888 N.B.
1. Sul client, avviare una finestra terminale. 2. Inserire il percorso per DellCSFConfig.app: cd /Volumes/Endpoint\ Security\ Suite\ Enterprise\ for\ Mac/Utilities/DellCSFConfig.app/ Contents/MacOS/ 3. Eseguire DellCSFConfig.app: sudo DellCSFConfig.app/Contents/MacOS/DellCSFConfig Di seguito vengono visualizzate le impostazioni predefinite: Current Settings: ServerHost = deviceserver.company.
• • Criterio - [online] indica un criterio basato su server e [offline] indica un criterio basato su offline o airgap N. seriale - Utilizzarlo quando si contatta il supporto tecnico. Il presente è l'identificatore univoco dell'installazione. 3. Nelle applicazioni viene creata la cartella Advanced Threat Prevention.
Scheda Minacce La scheda Minacce visualizza tutte le minacce individuate nel dispositivo e l'azione intrapresa. Le minacce sono una categoria di eventi appena rilevati come file o programmi potenzialmente pericolosi e necessitano di misure correttive. La colonna Categoria può includere le seguenti informazioni.
• Termina - Se un'applicazione tenta di chiamare un processo di violazione della memoria, la chiamata al processo viene bloccata. L'applicazione che ha effettuato la chiamata è terminata. Vengono rilevati i seguenti tipi di exploit: • • • • Manipolazione dello stack Protezione dello stack Ricerca memoria scanner Payload dannoso Per ulteriori informazioni sui criteri Exploit, consultare AdminHelp, disponibile nella Management Console. Scheda Eventi N.B.: Un evento non è necessariamente una minaccia.
Eseguire il provisioning di un tenant 1. Eseguire l'accesso alla Management Console come amministratore Dell. 2. Nel riquadro sinistro della Management Console, fare clic su Gestione > Gestione dei servizi. 3. Fare clic su Imposta il servizio Advanced Threat Protection. Se si verifica un guasto a questo punto, importare le licenze di Advanced Threat Prevention. 4. La procedura guidata di installazione si avvia quando le licenze vengono importate. Fare clic su Avanti per iniziare. 5.
Attività
Il diagramma seguente illustra il processo di comunicazione dell'agente di Advanced Threat Prevention.
5 Glossario Security Server - Utilizzato per le attivazioni di Dell Encryption. Policy Proxy - Utilizzato per distribuire le policy per il software client. Management Console - La console di amministrazione del Dell Server per la distribuzione nell'intera azienda. Shield - Occasionalmente, è possibile vedere questo nome nella documentazione e nelle interfacce utente. "Shield" è il nome utilizzato per rappresentare Dell Encryption.