Dell Endpoint Security Suite Enterprise for Mac Guía del administrador v2.8 August 2020 Rev.
Notas, precauciones y advertencias NOTA: Una NOTA indica información importante que le ayuda a hacer un mejor uso de su producto. PRECAUCIÓN: Una PRECAUCIÓN indica la posibilidad de daños en el hardware o la pérdida de datos, y le explica cómo evitar el problema. AVISO: Un mensaje de AVISO indica el riesgo de daños materiales, lesiones corporales o incluso la muerte. © 2012-2020 Dell Inc. All rights reserved.
Tabla de contenido Capítulo 1: Introducción...................................................................................................................5 Descripción general............................................................................................................................................................... 5 Cifrado con FileVault......................................................................................................................................................
Cómo utilizar Boot Camp..............................................................................................................................................33 Cómo recuperar una contraseña de firmware........................................................................................................... 35 Herramienta de cliente..................................................................................................................................................35 Capítulo 4: Tareas...
1 Introducción La Guía del administrador de Endpoint Security Suite Enterprise para Mac proporciona la información necesaria para implementar e instalar el software cliente. Temas: • • • Descripción general Cifrado con FileVault Cómo ponerse en contacto con Dell ProSupport Descripción general Endpoint Security Suite Enterprise para Mac ofrece Advanced Threat Prevention en el sistema operativo, capas de memoria y cifrado, todo ello administrado de forma centralizada desde Dell Server.
2 Requisitos En este capítulo se enumeran los requisitos de hardware y software. Asegúrese de que el entorno de implementación cumple los requisitos antes de continuar con las tareas de implementación. Temas: • • Cliente Encryption Advanced Threat Prevention Cliente Encryption Hardware del cliente Encryption Los requisitos de hardware mínimos deben cumplir las especificaciones mínimas del sistema operativo.
• Archivos de medios con el formato HFS Plus (MacOS Plus) que tienen esquemas de particiones de la Tabla de particiones GUID (GPT) o el Registro de arranque maestro (MBR). Consulte Activar HFS Plus. NOTA: El medio externo debe tener 55 MB disponibles, además de una cantidad de espacio libre igual al tamaño del archivo más grande que se vaya a cifrar, para alojar Encryption External Media.
Sistemas operativos (kernel de 64 bits) • • • Mac OS X Mavericks 10.9.5 Mac OS X Yosemite 10.10.5 macOS Sierra 10.12.6 NOTA: Mac OS X Mavericks 10.9.5, Mac OS X Yosemite 10.10.5 y macOS Sierra 10.12 solo son compatibles con Advanced Threat Prevention, no con el cliente Encryption. • macOS High Sierra 10.13.6 NOTA: Consulte Software del cliente Encryption para conocer las versiones específicas de macOS High Sierra compatibles con el cliente Encryption. • macOS Mojave 10.14.5 - 10.14.
Funciones Políticas Windows macOS Linux Carga automática x x x Lista segura de políticas x x x Protección de memoria x x x Dinamización de pilas x x x Protección de pilas x x x Sobrescribir código x n/d Extracción de RAM x n/d Contenido malicioso x Acciones de memoria Explotación Inyección del proceso Distribución remota de memoria x x n/d Asignación remota de memoria x x n/d Escritura remota en la memoria x x n/d Escritura remota de PE en la memoria.
Funciones Políticas Windows macOS Linux Tamaño máximo de archivo de almacenamiento para escanear x x x Excluir carpetas específicas x x x Copiar muestras de archivos x Control de la aplicación Cambiar ventana x Exclusiones de carpetas x x Configuración del agente Activar carga automática de archivos de registro x Activar las notificaciones de escritorio x x x Control de la secuencia de comandos 10 Secuencia de comandos activa x PowerShell x Macros de Office x Bloquear el us
3 Tareas para el cliente Encryption Temas: • • • • • • • • • • Instalar/actualizar el cliente Encryption Activar el cliente Encryption Ver la política y el estado del cifrado Volúmenes del sistema Recuperación Medios extraíbles Recopilar archivos de registro para Endpoint Security Suite Enterprise Desinstalar el cliente Encryption para Mac Activación como administrador Referencia del cliente Encryption Instalar/actualizar el cliente Encryption Esta sección le guiará a través del proceso de instalación/act
• • • • Asegúrese de que dispone de las URL del servidor de seguridad y de la política de proxy. Se necesitan ambas para instalar y activar el software cliente. Si la implementación utiliza una configuración distinta de la predeterminada, asegúrese de que sabe el número de puerto del servidor de seguridad. Se necesita para instalar y activar el software cliente. Asegúrese de que el equipo de destino cuenta con conectividad de red con el servidor de seguridad y la política de proxy.
Inmediatamente después de finalizar la instalación, reinicie el equipo. Si tiene archivos abiertos en otras aplicaciones y no están listos para un reinicio, haga clic en Cancelar, guarde el trabajo y cierre otras aplicaciones. 15. Haga clic en Continuar con la instalación. Empezará la instalación. 16. Cuando se complete la instalación, haga clic en Reiniciar. 17. Con una nueva instalación de Endpoint Security Suite Enterprise, se muestra un cuadro de diálogo que dice Extensión de sistema bloqueada.
NoAuthenticateUsers [In this sample code, after one user activates the computer against the Dell Server, other users can log in without being prompted to activate.] dsAttrTypeStandard:AuthenticationAuthority * NoAuthenticateUsers [In this sample code, users from a specific domain name can log in without being prompted to activate against the Dell Server.
Version 2 [Do not modify] MaxPasswordDelay xxxx [Number of seconds to apply to the security policy, "Require password XXXX after sleep or screen saver begins." The acceptable range is 0-32400.] EMSTreatsUnsupportedFileSystemAs ignore [For handling Mac OS Extended media. Possible values are ignore, provisioningRejected, or unshieldable. ignore - the media is usable (default).
Si no se muestra la aplicación Dell Encryption External Media. a. b. c. d. Haga clic en el icono de signo más (+) en el panel derecho. Vaya a /Library/Dell/EMS y seleccione Dell Encryption External Media. Haga clic en Abrir. En Acceso completo al disco, seleccione la casilla de verificación de Dell Encryption External Media. 6. Cierre Seguridad y privacidad.
Ver la política y el estado del cifrado en el equipo local Para ver la política y el estado del cifrado en el equipo local, siga los pasos a continuación. 1. Abra Preferencias del sistema y haga clic en Dell Encryption Enterprise. 2. Haga clic en la pestaña Políticas para ver el conjunto de políticas actuales configuradas para el equipo. Utilice esta vista para confirmar las políticas de cifrado específicas que están en vigor en este equipo.
Estado Descripción Excluido El volumen se excluye del cifrado. Esta opción se aplica a volúmenes no cifrados cuando se ha desactivado el cifrado, a volúmenes externos, a volúmenes con formatos distintos a Mac OS X Extended (registrados en diario) y a volúmenes que no son del sistema cuando la política Volúmenes destinados a cifrado se establece en Solo el volumen del sistema.
Placa de Identificación Tipo y estado del volumen El volumen del sistema Mac OS X actualmente iniciado. La placa de identificación X-folder indica la partición de inicio actual. Un volumen configurado para el cifrado. La placa de identificación Seguridad y privacidad indica una partición protegida por FileVault. Un volumen que no es de inicio configurado para el cifrado. La placa de identificación Seguridad y privacidad indica una partición protegida por FileVault. Varias unidades y sin cifrado.
3. En el caso de una estación de trabajo, haga clic en una opción del campo Nombre de host o, si conoce el nombre de host del terminal, ingréselo en Buscar. También puede ingresar un filtro para buscar el extremo. NOTA: Puede emplearse el carácter comodín (*), aunque no se requiere al inicio o al final del texto. Ingrese el nombre común, el nombre principal universal o el sAMAccountName. 4. Haga clic en el extremo correspondiente. 5. Haga clic en la pestaña Detalles y acciones.
Esta política requiere que la política Cifrado de volúmenes de Dell también esté establecida en Activada. Sin embargo, cuando FileVault Encryption está activado, ninguna de las demás políticas del grupo estará en vigor. Consulte Cifrado Mac > Cifrado de volúmenes de Dell. 7. Si anula la selección de FileVault (macOS Sierra e inferior), cambie otras políticas como desee. Para obtener descripciones de todas las políticas, consulte AdminHelp, que está disponible en la consola de administración. 8.
NOTA: En función de las políticas de experiencia del usuario establecidas en la consola de administración, es posible que el software cliente solicite al usuario que reinicie la computadora. 8. Después de que la computadora se reinicie, deberá conectarse a la red para que el software cliente custodie la información de recuperación en Dell Server.
3. Presione la tecla Control y haga clic en la opción de volumen del sistema y seleccione Agregar usuarios de FileVault al inicio de FileVault. 4. En Buscar, ingrese un nombre de usuario o desplácese hacia abajo. Las cuentas de usuario se muestran solo si se cumplen los criterios establecidos por la política. Para usuarios locales y móviles, se muestra el botón Activar usuario. Para usuarios de la red, se muestra el botón Convertir y activar usuario.
Para reciclar el material de la clave: 1. Descargue un paquete de recuperación desde la consola de administración y cópielo en el escritorio de la computadora. 2. Abra Preferencias del sistema y haga clic en Dell Encryption Enterprise. 3. Haga clic en la pestaña Volúmenes del sistema. 4. Arrastre el paquete de recuperación del paso 1 en la partición adecuada. Un cuadro de diálogo le solicitará si desea reciclar las claves de FileVault. 5. Haga clic en Aceptar.
NOTA: Debe activar HFS Plus. Consulte Activar HFS Plus.
NOTA: Debe recordar esta contraseña para acceder a las claves de recuperación. 6. A fin de guardar el paquete de recuperación en el volumen de recuperación o computadora externa que para que ejecute la utilidad de recuperación a fin de realizar la operación de recuperación, haga clic en Descargar y, a continuación, en Guardar. Se ha descargado el archivo de recuperación .csv. 7. Inicie el equipo de destino desde un volumen de recuperación externo creado previamente.
Clave de recuperación personal Por lo general, la práctica recomendada es recuperar el volumen de arranque antes de recuperar los volúmenes que no son de arranque. De lo contrario, se monta cualquier otro volumen que se haya cifrado. Normalmente, se corrigen los problemas de los volúmenes que no son de arranque con la recuperación del volumen de arranque. Requisitos previos • • • Una unidad de inicio externa La Id. de dispositivo/Id. exclusiva del equipo destinado a la recuperación.
• Recuperar un volumen que no es de arranque (acción poco común) Recuperar el volumen de arranque (acción más común) Para la mayoría de los casos de recuperación, utilice esta opción a fin de recuperar el volumen de arranque: 1. Digite la clave o haga clic en Imprimir clave de recuperación. 2. Haga clic en Cerrar. 3. Inicie el volumen que desea recuperar mediante el Administrador de inicio de arranque previo, si es necesario. 4. 5. 6. 7.
5. En la carpeta Utilidades, ejecute la Utilidad de recuperación de Dell. Se muestra el diálogo Utilidad de recuperación de Dell > Seleccione los volúmenes. 6. Seleccione el volumen FileVault que se va a recuperar y haga clic en Continuar. Se muestra el diálogo Elija el paquete de recuperación. 7. Seleccione el paquete de recuperación y haga clic en Abrir. Si existe más de una clave de recuperación para ese disco, se mostrará la pantalla Seleccionar registro de recuperación. 8.
Medios extraíbles Formatos admitidos Se admiten medios con formato FAT32, exFAT o HFS Plus (Mac OS Extended) con esquemas de partición de Tabla de particiones GUID (GPT) o Registro de arranque maestro (MBR). Debe activar HFS Plus. NOTA: MAC aún no admite la grabación de CD/DVD para Encryption External Media. Sin embargo, el acceso a unidades de CD/DVD no está bloqueado, incluso si se selecciona la política Bloquear acceso a medios que no se pueden proteger con EMS.
• Si se convierten archivos, el medio debe tener más espacio libre que el tamaño del archivo más grande que se va a convertir. Si se muestra un triángulo amarillo de aviso en el área de estado de Medios extraíbles, haga clic en él. Si aparece un mensaje de Espacio insuficiente, haga lo siguiente: 1. Tome en cuenta la cantidad de espacio que se debe liberar en el dispositivo. En el informe se muestra una lista de los archivos y su tamaño. 2. Vacíe la papelera.
b. Ingrese la contraseña del administrador. 2. Después de que el disco se haya descifrado totalmente, reinicie el equipo (cuando se le solicite). 3. Tras el reinicio de la computadora, inicie la aplicación Desinstalar Dell Encryption Enterprise (ubicada en la carpeta Utilidades en Dell-Encryption-Enterprise-.dmg del medio de instalación de Dell). Los mensajes muestran el estado de la desinstalación.
• iMac10.* • iMac11.* • Macmini4.* • MacBook7.* • MacBookAir2.* • MacBookPro7.* • MacPro5.* • XServe3.* Por ejemplo, iMac10.1, iMac11.1 y iMac11.2 son compatibles con la protección por contraseña para firmware opcional (como se indica con el asterisco [*]), pero iMac12.1 o versiones posteriores no lo son. NOTA: Cuando la opción de clave FirmwarePasswordMode se establece en Opcional, solo desactiva el cumplimiento de la protección por contraseña del firmware del cliente.
Si la partición de Windows es un candidato para Encryption External Media, asegúrese de incluirlo en la lista blanca o se cifrará. Consulte Copiar una regla de la lista blanca. NOTA: Antes de implementar las políticas del cliente que habilitan el cifrado, deberá asegurarse de que Windows está instalado. Después de que el cliente empiece el proceso de cifrado, no permitirá las operaciones de partición de disco requeridas por Boot Camp.
15. 16. 17. 18. 19. Haga clic en Siguiente. Haga clic en Recuperar. Haga clic en Finalizar. Cuando se le solicite que reinicie, haga clic en Sí. El sistema se reinicia y podrá iniciar sesión en Windows. Cómo recuperar una contraseña de firmware Incluso si el equipo cliente se ha configurado para la aplicación de la contraseña de firmware, quizá no se necesite para la recuperación.
Tabla 1. Comandos de la herramienta del cliente (continuación) Comando Propósito Sintaxis Resultados de usuario de dominio localAccount es opcional y es el usuario actual si y una contraseña no se especifica ninguno. válidos.
Tabla 1.
4 Tareas Temas: • • • • • • • Instalar Advanced Threat Prevention para Mac Verificar la instalación de Advanced Threat Prevention Recopilar archivos de registro para Endpoint Security Suite Enterprise Ver detalles de Advanced Threat Prevention Aprovisionamiento de un inquilino Configuración de actualización automática del agente Advanced Threat Prevention Solución de problemas de Advanced Threat Prevention Instalar Advanced Threat Prevention para Mac Esta sección le guiará por a través de la instalación d
2. Haga doble clic en el instalador del paquete Endpoint Security Suite Enterprise. Aparecerá el siguiente mensaje: Con este paquete, se ejecutará un programa para determinar si el software se puede instalar. 3. Haga clic en Continuar. 4. Lea el texto de bienvenida y haga clic en Continuar. 5. Revise el contrato de licencia, haga clic en Continuar y, a continuación, en Aceptar para mostrar su conformidad con los términos del contrato de licencia. 6.
7. En el campo Puerto del servidor, ingrese 8888 y haga clic en Continuar. Cuando se haya establecido una conexión, el indicador de conectividad cambiará de rojo a verde. NOTA: El puerto es el puerto de servicio del servidor de Core y se puede configurar. El número de puerto predeterminado es 8888. 8. En la pantalla de instalación, haga clic en Instalar. 9.
Instalación de Advanced Threat Prevention mediante la línea de comandos Para instalar el cliente Advanced Threat Prevention mediante la línea de comandos, siga estos pasos. 1. Desde el medio de instalación de Dell, monte el archivo Endpoint-Security-Suite-Enterprise-.dmg. Se abrirá el paquete Endpoint Security Suite Enterprise para Mac. 2. Desde la carpeta Utilidades, copie el archivo com.dell.esse.plist en la unidad local. 3. Abra el archivo .plist.
4. Edite los valores de los marcadores con el nombre completo del host de Dell Server para administrar el usuario de destino, como server.organization.com, y el número de puerto 8888: ServerHost server.organization.
Si tiene certificados autofirmados dentro de su entorno y no ha importado el certificado en la cadena de claves en sus dispositivos Mac, establezca DisableCertTrust y DisablePolicyCheck como Falso. 1. En el cliente, inicie una ventana de terminal. 2. Ingrese la ruta de acceso de DellCSFConfig.app: cd /Volumes/Endpoint\ Security\ Suite\ Enterprise\ for\ Mac/Utilities/DellCSFConfig.app/ Contents/MacOS/ 3. Ejecute DellCSFConfig.app: sudo DellCSFConfig.
Acerca de: incluye lo siguiente. • • • Versión Política: [en línea] indica las políticas basadas en servidor y [sin conexión] indica las políticas Airgap o basadas en desconexión Número de serie: utilice este número cuando se ponga en contacto con el servicio de asistencia. Se trata del identificador único de la instalación. 3. La carpeta de Advanced Threat Prevention se crea en /Aplicaciones.
Haga clic con el botón derecho del ratón en el ícono de Advanced Threat Protection en la barra de comandos y seleccione Mostrar detalles. La pantalla de detalles de Advanced Threat Prevention cuenta con las siguientes pestañas. Pestaña Amenazas La pestaña Amenazas muestra todas las amenazas detectadas en el dispositivo y la acción llevada a cabo. Las amenazas son una categoría de sucesos que se acaban de detectar como archivos o programas potencialmente inseguros y que requieren correcciones guiadas.
• • • • Ignorar: no se realiza ninguna acción contra las violaciones de memoria identificadas. Alertar: la violación de memoria se registra e informa a Dell Server. Bloquear: la llamada del proceso se bloquea si una aplicación intenta llamar a un proceso de violación de memoria. Se permite que la aplicación que realizó la llamada continúe ejecutándose. Finalizar: la llamada del proceso se bloquea si una aplicación intenta llamar a un proceso violación de memoria.
• • • Debe tener conexión a Internet en el cliente para mostrar la integración del servicio en línea de Advanced Threat Prevention en la consola de administración. El aprovisionamiento se basa en una señal generada a partir de un certificado durante el proceso de aprovisionamiento. Las licencias de Advanced Threat Prevention deben estar presentes en Dell Server. Aprovisionamiento de un inquilino 1. Como administrador de Dell, inicie sesión en la Consola de administración. 2.
Tareas
El siguiente diagrama muestra el proceso de comunicación de agentes de Advanced Threat Prevention.
5 Glosario Security Server: se utiliza para las activaciones de Dell Encryption. Policy Proxy: se utiliza para distribuir las políticas del software cliente. Management Console: la consola administrativa de Dell Server para la implementación de toda la empresa. Shield: en ocasiones, encontrará este término en la documentación y en las interfaces de usuario. "Shield" es el término que se utiliza para representar a Dell Encryption.