Dell Security Management Server Installations- und Migrationshandbuch v10.2.12 August 2020 Rev.
Hinweise, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen können. VORSICHT: Ein VORSICHTSHINWEIS warnt vor möglichen Beschädigungen der Hardware oder vor Datenverlust und zeigt, wie diese vermieden werden können. WARNUNG: Mit WARNUNG wird auf eine potenziell gefährliche Situation hingewiesen, die zu Sachschäden, Verletzungen oder zum Tod führen kann.
Inhaltsverzeichnis Kapitel 1: Einleitung........................................................................................................................ 5 Informationen zu Security Management Server............................................................................................................... 5 Kontaktieren des Dell ProSupports.....................................................................................................................................
Ausführen von Sicherungen...............................................................................................................................................84 Sicherungen von Security Management Server........................................................................................................84 SQL Server-Sicherungen..............................................................................................................................................
1 Einleitung Informationen zu Security Management Server Der Security Management Server bietet die folgenden Funktionen: ● ● ● ● ● ● ● ● Zentrale Verwaltung von Geräten, Benutzern und Sicherheitsrichtlinie Zentrale Compliance-Prüfverfahren und -Berichterstellung Aufteilung administrativer Aufgaben Erstellung und Verwaltung rollenbasierter Sicherheitsrichtlinien Verteilung von Sicherheitsrichtlinien bei Herstellung einer Client-Verbindung Gerätewiederherstellung durch einen Administrator Vertrauenswürdige K
2 Anforderungen und Architektur In diesem Abschnitt werden die Hardware- und Softwareanforderungen und Architektur-Design-Empfehlungen für die Implementierung von Dell Security Management Server erläutert. Architektur-Design von Security Management Server Encryption Enterprise- und Endpoint Security Suite Enterprise-Lösungen sind basierend auf der Anzahl an Endpunkten zur Verschlüsselung in Ihrer Organisation hochgradig skalierbare Produkte.
ANMERKUNG: Falls die Organisation mehr als 20.000 Endpunkte hat, bitten Sie den ProSupport von Dell um Hilfe. Requirements Die Hardware- und Softwarevoraussetzungen für die Installation der Software Security Management Server sind unten aufgeführt. Bevor Sie die Installation beginnen, stellen Sie sicher, dass alle Patches und Aktualisierungen auf den Servern, die zur Installation verwendet werden, angewendet wurden.
Hardware In der folgenden Tabelle sind die Details der Hardware-Mindestanforderungen für Security Management Server aufgeführt. Siehe Architektur-Design von Security Management Server für zusätzliche Informationen zur Skalierung basierend auf der Größe Ihrer Bereitstellung.
○ ○ ○ ○ ○ ○ Hostcomputer mindestens mit Doppelkern Mindestens 8 GB RAM empfohlen Die Hardware muss die Mindestanforderungen für Hyper-V erfüllen. Mindestens 4 GB RAM für dedizierte Bildressource Muss als virtuelle Maschine der 1. Generation ausgeführt werden. Weitere Informationen finden Sie unter https://technet.microsoft.com/en-us/library/hh923062.aspx Security Management Server v10.2.11 wurde mit VMware ESXi 6.0, VMware ESXi 6.5 und VMware ESXi 6.5 validiert.
sicherzustellen. Zur Empfehlung gehört auch, den Security Management Server auf privilegierten Infrastrukturservern nicht zu installieren. Weitere Informationen zur Implementierung der Regel der geringsten Rechte finden Sie unter https:// docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/implementing-least-privilegeadministrative-models. ANMERKUNG: Die universelle Kontensteuerung (UAC) muss bei der Installation in einem geschützten Verzeichnis deaktiviert sein.
ANMERKUNG: Der Security Management Server ist kompatibel mit der Microsoft Anforderung für die LDAP-Kanalbindung und LDAP-Signierung, wenn Active Directory verwendet wird. Verwaltungskonsole and Compliance Reporter ● ● ● ● Internet Explorer 41.x oder höher Google Chrome 46.x oder höher Microsoft Edge (Chromium) Microsoft Edge ANMERKUNG: Ihr Browser muss Cookies akzeptieren.
Geben Sie Aktion Szenario SQL-Berechtigung erforderlich Back-End Installation wiederherstellen Die Wiederherstellung umfasst eine vorhandene DB und Anmeldung. db_owner Back-End Neuinstallation Vorhandene DB verwenden db_owner Back-End Neuinstallation Neue DB erstellen dbcreator, db_owner Back-End Neuinstallation Vorhandene Anmeldung verwenden db_owner Back-End Neuinstallation Neue Anmeldung erstellen securityadmin Back-End Deinstallieren von k. A. k. A.
3 Vorinstallationskonfiguration Lesen Sie vor Beginn den Technischen Ratgeber für Security Management Server, um sich über aktuelle Lösungen oder bekannte Probleme in Verbindung mit Security Management Server zu informieren. Die Vorinstallationskonfiguration des/der Server(s), auf denen Sie Security Management Server installieren möchten, ist sehr wichtig. Sehen Sie sich diesen Abschnitt genau an, um sicherzustellen, dass Security Management Server fehlerfrei installiert wird.
■ - protect-api-sae1.cylance.com - download-sae1.cylance.com Europa ■ - login-euc1.cylance.com - protect-euc1.cylance.com - data-euc1.cylance.com - update-euc1.cylance.com - api-euc1.cylance.com - protect-api-euc1.cylance.com - download-euc1.cylance.com Naher Osten und Asien ■ - login-au.cylance.com - protect-au.cylance.com - data-au.cylance.com - update-au.cylance.com - api-au.cylance.com - protect-api-au.cylance.com - download-au.cylance.com Japan, Australien und Neuseeland ○ Port login-apne1.
Die nachfolgenden Services und Anschlüsse werden intern für die Kommunikation mit den jeweiligen Services von Clients in der Domain oder über VPN verbundene verwendet. Dell empfiehlt, dass mehrere dieser Services nicht außerhalb des Netzwerks weitergeleitet werden oder dass der Service standardmäßig in der Konfiguration des Front-End-Servers gefiltert wird. Bei der Firewall- bzw.
Wenn Sie SQL Server 2012 oder SQL Server 2016 verwenden, installieren Sie SQL Native Client 2012. Optional können Sie festlegen, dass diese Komponente vom Security Management Server-Installationsprogramm installiert wird. http://www.microsoft.com/en-us/ download/details.aspx?id=35580 Importieren der Serverinstallationslizenz Bei einer neuen Installation – Kopieren Sie Ihren Produktschlüssel (der Name der Datei lautet EnterpriseServerInstallKey.ini) nach C:\Windows, um den Produktschlüssel mit 32 Zeichen aut
4 Installation oder Upgrade/Migraton Das Kapitel enthält Anweisungen für folgende Aufgaben: ● Neue Installation – Ermöglicht die Installation eines neuen Security Management Server. ● Aktualisierung/Migration – Ermöglicht die Aktualisierung eines vorhandenen, funktionsfähigen Enterprise Server ab Version 9.2. ● Security Management Server deinstallieren – Ermöglicht bei Bedarf das Entfernen der derzeitigen Installation.
● Front-End-Server installieren – die Installation eines Front-End-Servers zur Kommunikation mit dem Back-End-Server. Back-End-Server und neue Datenbank installieren 1. Wechseln Sie auf dem Dell Installationsmedium in das Security Management Server-Verzeichnis. Entpacken Sie (NICHT kopieren/ einfügen oder ziehen) Security Management Server-x64 im Stammverzeichnis des Servers, auf dem Sie Security Management Server installieren möchten.
6. Lesen Sie die Lizenzvereinbarung, akzeptieren Sie die Bedingungen und klicken Sie auf Weiter. 7. Wenn Sie optional Ihre EnterpriseServerInstallKey.ini-Datei in C:\Windows wie unter Vorinstallationskonfiguration erläutert kopiert haben, klicken Sie auf Weiter. Falls nicht, dann geben Sie den 32 Zeichen langen Produktschlüssel ein, und klicken Sie dann auf Weiter. Der Produktschlüssel befindet sich in der Datei EnterpriseServerInstallKey.ini.
8. Wählen Sie Back-End-Installation aus und klicken Sie auf Weiter. 9. Klicken Sie zur Installation des Security Management Server im Standardverzeichnis C:\Programme\Dell auf Weiter. Klicken Sie anderenfalls auf Ändern, um einen anderen Speicherort auszuwählen; klicken Sie anschließend auf Weiter.
10. Klicken Sie zur Auswahl eines Speicherorts für zu speichernde Konfigurations-Sicherungsdateien auf Ändern, navigieren Sie zum gewünschten Ordner und klicken Sie anschließend auf Weiter. Dell empfiehlt die Auswahl eines Remote-Netzwerkspeicherortes oder eines externen Sicherungslaufwerks. Nach der Installation müssen alle Änderungen an den Konfigurationsdateien, einschließlich Änderungen, die mit dem Serverkonfigurationstool vorgenommen werden, manuell in diesen Ordnern gesichert werden.
11. Sie können aus verschiedenen digitalen Zertifikatstypen auswählen. Es wird dringend empfohlen, ein digitales Zertifikat einer vertrauenswürdigen Zertifizierungsstelle zu verwenden. Wählen Sie entweder Option „a“ oder „b“ unten aus: a. Um ein vorhandenes Zertifikat zu verwenden, das Sie bei einer Zertifizierungsstelle erworben haben, wählen Sie Vorhandenes Zertifikat importieren aus, und klicken Sie dann auf Weiter. Klicken Sie auf Durchsuchen, um den Pfad zum Zertifikat einzugeben.
Zertifizierungsstelle erneut aus, und stellen Sie sicher, dass die folgenden Optionen im Assistenten für den Zertifikatsexport ausgewählt wurden: ● Privater Informationsaustausch – PKCS#12 (.PFX) ● Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen ● Alle erweiterten Eigenschaften exportieren ODER b. Wählen Sie zum Erstellen eines selbstsignierten Zertifikats Ein selbstsigniertes Zertifikat erstellen und in den Schlüsselspeicher importieren und klicken Sie auf Weiter.
12. Für die Server Encryption können Sie aus verschiedenen digitalen Zertifikattypen auswählen. Es wird dringend empfohlen, ein digitales Zertifikat einer vertrauenswürdigen Zertifizierungsstelle zu verwenden. Wählen Sie entweder Option „a“ oder „b“ unten aus: a. Um ein vorhandenes Zertifikat zu verwenden, das Sie bei einer Zertifizierungsstelle erworben haben, wählen Sie Vorhandenes Zertifikat importieren aus, und klicken Sie dann auf Weiter.
Klicken Sie auf Weiter. ANMERKUNG: Wenn Sie diese Einstellung verwenden möchten, muss das exportierte Zertifikat der Zertifizierungsstelle für den Import eine vollständige Vertrauenskette aufweisen. Wenn Sie nicht sicher sind, führen Sie den Export des Zertifikats der Zertifizierungsstelle erneut aus, und stellen Sie sicher, dass die folgenden Optionen im Assistenten für den Zertifikatsexport ausgewählt wurden: ● Privater Informationsaustausch – PKCS#12 (.
13. Über das Setup-Dialogfeld Back-End-Server-Einrichtung können Sie Hostnamen und Ports anzeigen oder bearbeiten. ● Klicken Sie zum Übernehmen der Standard-Hostnamen und -Ports im Dialogfeld Back-End-Server-Installationseinrichtung auf Weiter. ● Wenn Sie einen Front-End-Server verwenden, dann wählen Sie Nutzt für die Kommunikation mit Clients intern in Ihrem Netzwerk oder extern in der DMZ den Front-End-Server und geben Sie den Front-End-Sicherheitsserver-Hostnamen ein (zum Beispiel server.domain.com).
Klicken Sie anschließend auf OK. ● Klicken Sie zum Anzeigen oder Bearbeiten von Ports auf Ports bearbeiten. Bearbeiten Sie Portnamen nur bei Bedarf. Dell empfiehlt die Verwendung der Standardeinstellungen. Klicken Sie anschließend auf OK.
14. Zum Erstellen einer neuen Datenbank gehen Sie wie folgt vor: a. Klicken Sie auf Durchsuchen, um den Server auszuwählen, auf dem die Datenbank installiert werden soll. b. Wählen Sie die Authentifizierungsmethode aus, die das Installationsprogramm zum Einrichten der Dell Server-Datenbank verwenden soll. Nach der Installation verwendet das installierte Produkt nicht die hier angegebenen Anmeldeinformationen.
ODER ● SQL-Server-Authentifizierung über die unten angegebenen Anmeldeinformationen Bei Verwendung der SQL-Authentifizierung muss das verwendete SQL-Konto auf dem SQL-Server über Systemadministratorberechtigungen verfügen. Das Installationsprogramm muss sich anhand der folgenden Berechtigungen auf dem SQL Server authentifizieren: Datenbank erstellen, Benutzer hinzufügen, Berechtigungen zuweisen. c. Identifizierung des Datenbank-Katalogs: Geben Sie den Namen für einen neuen Datenbank-Katalog ein.
15. Wählen Sie die Authentifizierungsmethode für das zu verwendende Produkt aus. Dieser Schritt verbindet ein Konto mit dem Produkt. ● Windows-Authentifizierung Wählen Sie Windows-Authentifizierung über die unten angegebenen Anmeldeinformationen aus, geben Sie die Anmeldeinformationen für das zu verwendende Produkt ein, und klicken Sie auf Weiter. Stellen Sie sicher, dass das Konto über Administratorberechtigungen und die Fähigkeit zur Verwaltung des SQL-Servers verfügt.
16. Klicken Sie im Dialogfeld Bereit zur Installation des Programms auf Installieren. Ein Fortschritts-Dialogfeld zeigt während des gesamten Installationsvorgangs den Status an.
17. Wenn die Installation abgeschlossen wurde, klicken Sie auf Fertigstellen. Die Back-End-Server Installationsaufgaben wurden abgeschlossen. Die Dell Services werden am Ende der Installation neu gestartet. Es ist nicht erforderlich, den Dell Server neu zu starten.
Falls Sie über einen funktionsfähigen Dell Server ab v9.2 verfügen, lesen Sie die Anweisungen unter Back-End-Server-Aktualisierung/ Migration. Sie können einen neuen Security Management Server installieren und diesen mit einer im Rahmen der Vorinstallationskonfiguration erstellten oder einer vorhandenen SQL-Datenbank ab Version 9.x verbinden, wenn die Schemaversion der zu installierenden Version von Security Management Server entspricht.
5. Klicken Sie im Dialogfeld Willkommen auf Weiter. 6. Lesen Sie die Lizenzvereinbarung, akzeptieren Sie die Bedingungen und klicken Sie auf Weiter.
7. Wenn Sie optional Ihre EnterpriseServerInstallKey.ini-Datei in C:\Windows wie unter Vorinstallationskonfiguration erläutert kopiert haben, klicken Sie auf Weiter. Falls nicht, dann geben Sie den 32 Zeichen langen Produktschlüssel ein, und klicken Sie dann auf Weiter. Der Produktschlüssel befindet sich in der Datei EnterpriseServerInstallKey.ini. 8. Wählen Sie Back-End-Installation und Wiederherstellungs-Installation aus und klicken Sie auf Weiter.
9. Klicken Sie zur Installation des Security Management Server im Standardverzeichnis C:\Programme\Dell auf Weiter. Klicken Sie anderenfalls auf Ändern, um einen anderen Speicherort auszuwählen; klicken Sie anschließend auf Weiter. 10. Klicken Sie zur Auswahl eines Speicherorts für zu speichernde Konfigurations-Wiederherstellungsdateien auf Ändern, navigieren Sie zum gewünschten Ordner und klicken Sie anschließend auf Weiter.
Nach der Installation müssen alle Änderungen an den Konfigurationsdateien, einschließlich Änderungen, die mit dem Serverkonfigurationstool vorgenommen werden, manuell in diesen Ordnern gesichert werden. Konfigurationsdateien sind ein wichtiger Bestandteil der gesamten Informationen, die für die manuelle Wiederherstellung des Dell Servers verwendet werden. ANMERKUNG: Die durch das Installationsprogramm während der Installation erstellte Ordnerstruktur (Beispiel siehe unten) muss unverändert bleiben. 11.
Klicken Sie auf Durchsuchen, um den Pfad zum Zertifikat einzugeben. Geben Sie das Passwort ein, das mit diesem Zertifikat verknüpft ist. Die Keystore-Datei muss „.p12“ oder „pfx“ sein. Anleitungen finden Sie unter Zertifikat unter Verwendung der Zertifikatverwaltungskonsole in das Format PFX exportieren. Klicken Sie auf Weiter. ANMERKUNG: Wenn Sie diese Einstellung verwenden möchten, muss das exportierte Zertifikat der Zertifizierungsstelle für den Import eine vollständige Vertrauenskette aufweisen.
ODER b. Wählen Sie zum Erstellen eines selbstsignierten Zertifikats Ein selbstsigniertes Zertifikat erstellen und in den Schlüsselspeicher importieren und klicken Sie auf Weiter. Geben Sie im Dialogfeld Selbstsigniertes Zertifikat erstellen die folgenden Informationen ein: Vollständiger Computername (Beispiel: computername.domain.com) Organisation Organisationseinheit (Beispiel: Sicherheit) Ort Bundesstaat (vollständiger Name) Land: Abkürzung aus zwei Buchstaben Klicken Sie auf Weiter.
12. Über das Setup-Dialogfeld Back-End-Server-Einrichtung können Sie Hostnamen und Ports anzeigen oder bearbeiten. ● Klicken Sie zum Übernehmen der Standard-Hostnamen und -Ports im Dialogfeld Back-End-Server-Installationseinrichtung auf Weiter. ● Wenn Sie einen Front-End-Server verwenden, dann wählen Sie Nutzt für die Kommunikation mit Clients intern in Ihrem Netzwerk oder extern in der DMZ den Front-End-Server und geben Sie den Front-End-Sicherheitsserver-Hostnamen ein (zum Beispiel server.domain.com).
Klicken Sie anschließend auf OK. ● Klicken Sie zum Anzeigen oder Bearbeiten von Ports auf Ports bearbeiten. Bearbeiten Sie Portnamen nur bei Bedarf. Dell empfiehlt die Verwendung der Standardeinstellungen. Klicken Sie anschließend auf OK.
13. Geben Sie die Authentifizierungsmethode für das zu verwendende Installationsprogramm an. a. Klicken Sie auf Durchsuchen, um den Server auszuwählen, auf dem die Datenbank sich befindet. b. Wählen Sie den Authentifizierungstyp aus.
ODER ● SQL-Server-Authentifizierung über die unten angegebenen Anmeldeinformationen Bei Verwendung der SQL-Authentifizierung muss das verwendete SQL-Konto auf dem SQL-Server über Systemadministratorberechtigungen verfügen. Das Installationsprogramm muss sich anhand der folgenden Berechtigungen auf dem SQL Server authentifizieren: Datenbank erstellen, Benutzer hinzufügen, Berechtigungen zuweisen. c. Klicken Sie auf Durchsuchen, um nach dem Namen des vorhandenen Datenbank-Katalogs zu suchen. d.
Die folgenden Optionen DÜRFEN nur mit Unterstützung durch den Dell ProSupport verwendet werden: ● Die Option Diese Datenbank mit dem aktuellen Schema migrieren wird verwendet, um eine gute Datenbank aus einer fehlerhaften Serverimplementierung wiederherzustellen. Diese Option verwendet die Wiederherstellungsdateien im Ordner „\Backup“, um die Verbindung zur Datenbank wiederherzustellen, und migriert anschließend die Datenbank mit dem aktuellen Schema.
15. Wählen Sie die Authentifizierungsmethode für das zu verwendende Produkt aus. Dies ist das Konto, das das Produkt für die Zusammenarbeit mit der Datenbank und den Dell Diensten verwendet. ● Verwendung der Windows-Authentifizierung Wählen Sie Windows-Authentifizierung über die unten angegebenen Anmeldeinformationen aus, geben Sie die Anmeldeinformationen für das Konto ein, auf dem das Produkt verwendet werden kann, und klicken Sie auf Weiter.
16. Klicken Sie im Dialogfeld Bereit zur Installation des Programms auf Installieren. Ein Fortschritts-Dialogfeld zeigt während des gesamten Installationsvorgangs den Status an.
Wenn die Installation abgeschlossen wurde, klicken Sie auf Fertigstellen. Die Back-End-Server Installationsaufgaben wurden abgeschlossen. Die Dell Services werden am Ende der Installation neu gestartet. Es ist nicht erforderlich, den Server neu zu starten.
Front-End-Server installieren Front-End-Server-Installation bietet eine Front-End-Option (DMZ-Modus) für die Verwendung mit Security Management Server. Wenn Sie Dell-Komponenten in Ihre DMZ implementieren möchten, vergewissern Sie sich, dass sie ausreichend vor Angriffen geschützt sind. Für diese Installation benötigen Sie den vollständig qualifizierten Hostnamen des DMZ-Servers. 1. Wechseln Sie auf dem Dell Installationsmedium in das Security Management Server-Verzeichnis.
6. Lesen Sie die Lizenzvereinbarung, akzeptieren Sie die Bedingungen und klicken Sie auf Weiter. 7. Wenn Sie optional Ihre EnterpriseServerInstallKey.ini-Datei in C:\Windows wie unter Vorinstallationskonfiguration erläutert kopiert haben, klicken Sie auf Weiter. Falls nicht, dann geben Sie den 32 Zeichen langen Produktschlüssel ein, und klicken Sie dann auf Weiter. Der Produktschlüssel befindet sich in der Datei EnterpriseServerInstallKey.ini.
8. Wählen Sie Front-End-Installation aus, und klicken Sie dann auf Weiter. 9. Klicken Sie zur Installation des Front-End-Servers im Standardverzeichnis C:\Programme\Dell auf Weiter. Klicken Sie anderenfalls auf Ändern, um einen anderen Speicherort auszuwählen; klicken Sie anschließend auf Weiter.
10. Sie können aus verschiedenen digitalen Zertifikatstypen auswählen. ANMERKUNG: Es wird dringend empfohlen, ein digitales Zertifikat einer vertrauenswürdigen Zertifizierungsstelle zu verwenden. Wählen Sie entweder Option „a“ oder „b“ unten aus: a. Um ein vorhandenes Zertifikat zu verwenden, das Sie bei einer Zertifizierungsstelle erworben haben, wählen Sie Vorhandenes Zertifikat importieren aus, und klicken Sie dann auf Weiter. Klicken Sie auf Durchsuchen, um den Pfad zum Zertifikat einzugeben.
Klicken Sie auf Weiter. ANMERKUNG: Wenn Sie diese Einstellung verwenden möchten, muss das exportierte Zertifikat der Zertifizierungsstelle für den Import eine vollständige Vertrauenskette aufweisen. Wenn Sie nicht sicher sind, führen Sie den Export des Zertifikats der Zertifizierungsstelle erneut aus, und stellen Sie sicher, dass die folgenden Optionen im Assistenten für den Zertifikatsexport ausgewählt wurden: ● Privater Informationsaustausch – PKCS#12 (.
11. Geben Sie im Dialogfeld Front-End-Server-Setup den vollständigen Hostnamen oder DNS-Alias des Back-End-Servers ein, wählen Sie Dell Security Management Server aus und klicken Sie auf Weiter. 12. Über das Dialogfeld Front-End-Server-Installationseinrichtung können Sie Hostnamen und Ports anzeigen oder bearbeiten. ● Klicken Sie zum Übernehmen der Standard-Hostnamen und -Ports im Dialogfeld Front-End-Server-Installationseinrichtung auf Weiter.
● Klicken Sie zum Anzeigen oder Bearbeiten von Hostnamen im Dialogfeld Front-End-Server-Setup auf Hostnamen bearbeiten. Bearbeiten Sie Hostnamen nur bei Bedarf. Dell empfiehlt die Verwendung der Standardeinstellungen. ANMERKUNG: Im Hostnamen darf kein Unterstrich (_) enthalten sein. Heben Sie die Auswahl eines Proxys nur dann auf, wenn Sie sicher sind, dass Sie ihn nicht für die Installation konfigurieren wollen. Wenn Sie die Auswahl eines Proxys in diesem Dialogfeld aufheben, wird er nicht installiert.
● Klicken Sie zum Anzeigen oder Bearbeiten von Ports im Dialogfeld Front-End-Server-Setup entweder auf Externe Ports bearbeiten oder Interne Ports bearbeiten. Bearbeiten Sie Portnamen nur bei Bedarf. Dell empfiehlt die Verwendung der Standardeinstellungen. Wenn Sie die Auswahl eines Proxys im Dialogfeld Front-End-Hostnamen bearbeiten aufheben, wird sein Port in den Dialogfeldern für Externe Ports und Interne Ports nicht angezeigt. Klicken Sie anschließend auf OK.
13. Klicken Sie im Dialogfeld Bereit zur Installation des Programms auf Installieren. Ein Fortschritts-Dialogfeld zeigt während des gesamten Installationsvorgangs den Status an.
14. Wenn die Installation abgeschlossen wurde, klicken Sie auf Fertigstellen. Die Front-End-Server-Installationsaufgaben wurden abgeschlossen. Aktualisierung/Migration Sie können Enterprise Server v9.2 und höher auf Security Management Server v10.x aktualisieren. Wenn Ihre Dell Server-Version älter als v9.2 ist, müssen Sie zuerst auf v9.2 und anschließend auf höhere Versionen aktualisieren.
Vor der Aktualisierung oder Migration Bevor Sie beginnen, stellen Sie sicher, dass die Vorinstallationskonfiguration komplett durchgeführt wurde. Lesen Sie die Technischen Tipps für Security Management Server, um sich über aktuelle Lösungen oder bekannte Probleme hinsichtlich der Installation von Security Management Server zu informieren. Das Benutzerkonto, über das die Installation durchgeführt wird, muss über Datenbankbesitzerrechte für die SQL-Datenbank verfügen.
Back-End-Server-Aktualisierung/Migration 1. Wechseln Sie auf dem Dell Installationsmedium in das Security Management Server-Verzeichnis. Entpacken Sie (NICHT kopieren/ einfügen oder ziehen) Security Management Server-x64 im Stammverzeichnis des Servers, auf dem Sie Security Management Server installieren. Kopieren/Einfügen oder Ziehen führt zu Fehlern und einer nicht erfolgreichen Installation. 2. Doppelklicken Sie auf setup.exe. 3. Wählen Sie die Sprache für die Installation aus und klicken Sie auf OK. 4.
5. Lesen Sie die Lizenzvereinbarung, akzeptieren Sie die Bedingungen und klicken Sie auf Weiter. 6. Klicken Sie zur Auswahl eines Speicherorts für zu speichernde Konfigurations-Sicherungsdateien auf Ändern, navigieren Sie zum gewünschten Ordner und klicken Sie anschließend auf Weiter. Dell empfiehlt die Auswahl eines Remote-Netzwerkspeicherortes oder eines externen Sicherungslaufwerks.
Die durch das Installationsprogramm während der Installation erstellte Ordnerstruktur (Beispiel siehe unten) muss unverändert bleiben. 7. Wenn das Installationsprogramm die vorhandene Datenbank ordnungsgemäß ermittelt, wird das Dialogfeld für Sie ausgefüllt.
Um die vorhandene Datenbank zu verbinden, geben Sie die zu verwendende Authentifizierungsmethode an. Nach der Installation verwendet das installierte Produkt nicht die hier angegebenen Anmeldeinformationen. a.
9. Falls die Datenbank noch nicht gesichert wurde, müssen Sie sie unbedingt sichern, bevor Sie mit der Installation fortfahren. Datenbankaktualisierung kann nicht rückgängig gemacht werden. Wählen Sie erst nach Sicherung der Datenbank Ja, die Datenbank wurde gesichert und klicken Sie auf Weiter.
10. Klicken Sie auf Installieren, um mit der Installation zu beginnen. Ein Fortschritts-Dialogfeld zeigt während des gesamten Aktualisierungsvorgangs den Status an. 11. Wenn die Installation abgeschlossen wurde, klicken Sie auf Fertigstellen.
Die Dell Services werden am Ende der Migration neu gestartet. Es ist nicht erforderlich, den Dell Server neu zu starten. Das Installationsprogramm führt die Schritte 12‑13 für Sie aus. Es hat sich bewährt, diese Werte zu überprüfen, um sicherzustellen, dass die Änderungen ordnungsgemäß vorgenommen wurden. 12. Kopieren Sie nun von der Sicherungsinstallation \conf\secretKeyStore, und fügen Sie alles in der neuen Installation ein:
Falls Sie das Passwort nicht kennen, schneiden Sie den Abschnitt in der gesicherten Datei „\conf \server_config.xml“ aus (vergleiche Abbildung 4-2), und fügen Sie ihn in den entsprechenden Abschnitt in der neuen Datei server_config.xml ein. Unbekanntes Passwort: Speichern und schließen Sie die Datei. ANMERKUNG: Versuchen Sie keinesfalls, das Passwort für den Security Management Server durch Bearbeiten von server.pass value in server_config.xml zu ändern.
5. Klicken Sie im Dialogfeld Willkommen auf Weiter. 6. Lesen Sie die Lizenzvereinbarung, akzeptieren Sie die Bedingungen und klicken Sie auf Weiter.
7. Klicken Sie im Dialogfeld Bereit zur Installation des Programms auf Installieren. Ein Fortschritts-Dialogfeld zeigt während des gesamten Installationsvorgangs den Status an.
8. Wenn die Installation abgeschlossen wurde, klicken Sie auf Fertigstellen. 9. Richten Sie den Back-End-Server für die Kommunikation mit dem Front-End-Server ein. a. Wechseln Sie auf dem Back-End-Server zu \conf\, und öffnen Sie die Datei „application.properties“. b. Suchen Sie „publicdns.server.host“ und legen Sie den Namen auf einen extern auflösbaren Hostnamen fest. c. Suchen Sie „publicdns.server.port“, und legen Sie den Port fest (die Standardeinstellungen lautet 8443).
Installation im getrennten Modus Der getrennte Modus isoliert Security Management Server aus dem Internet und einem ungesicherten LAN oder anderen Netzwerk. Nachdem Security Management Server im getrennten Modus installiert wurde, verbleibt er im getrennten Modus und kann nicht mehr auf den verbundenen Modus umgestellt werden. Security Management Server wird im getrennten Modus über die Befehlszeile installiert . Die folgende Tabelle zeigt die verfügbaren Switches.
Parameter SSL_UNITNAME SSL_COUNTRY – Optional, Standard = „US“ SSL_STATENAME SSOS_TYPE=n – Wobei n zum Importieren eines vorhandenen Zertifikats, das von einer CA-Zertifizierungsstelle erworben wurde, „1“ und zum Erstellen eines selbstsignierten Zertifikats „2“ lautet. Der Wert SSOS_TYPE bestimmt, welche SSOS-Eigenschaften erforderlich sind.
Parameter RUNAS_KEYSERVER_PSWD – Windows-Kennwort für Windows-Benutzerkonto für Key Server "run as" festlegen. SQL_ADD_LOGIN=T – Optional. Die Standardeinstellung ist Null (diese Art der Anmeldung ist nicht hinzugefügt worden).
Deinstallation von Security Management Server 1. Wechseln Sie auf dem Dell Installationsmedium in das Security Management Server-Verzeichnis. Entpacken Sie (NICHT kopieren/ einfügen oder ziehen) Security Management Server-x64 im Stammverzeichnis des Servers, auf dem Sie Security Management Server deinstallieren möchten. Kopieren/Einfügen oder Ziehen führt zu Fehlern und einer nicht erfolgreichen Installation. 2. Doppelklicken Sie auf setup.exe. 3. Klicken Sie im Dialogfeld Willkommen auf Weiter. 4.
Ein Fortschritts-Dialogfeld zeigt während des gesamten Deinstallationsvorgangs den Status an. 5. Wenn die Deinstallation abgeschlossen wurde, klicken Sie auf Fertigstellen.
Installation oder Upgrade/Migraton 75
5 Konfiguration nach der Installation Lesen Sie die Security Management Server Technical Advisories (Technischen Tipps für Security Management Server), um sich über aktuelle Lösungen oder bekannte Probleme hinsichtlich der Konfiguration von Security Management Server zu informieren. Je nachdem, ob Sie Security Management Server zum ersten Mal installieren oder ob Sie eine Aktualisierung einer vorhandenen Installation durchführen, müssen Sie einige Komponenten Ihrer Umgebung konfigurieren.
Dell Core Server und Dell Compatibility Server dürfen nicht zusammen mit dem Serverkonfigurationstool ausgeführt werden. Halten Sie den Core Server-Dienst und den Compatibility Server-Dienst unter Dienste (Start > Ausführen an. Geben Sie services.msc ein) an, bevor Sie das Serverkonfigurationstool starten. Um das Serverkonfigurationstool zu starten, gehen Sie zu Start > Dell > Ausführen des Serverkonfigurationstools. Die vom Serverkonfigurationstool erstellten Protokolle werden im Ordner C:\Programme\Dell\E
Produktionsumgebungen empfiehlt Dell den Gebrauch von öffentlichen und von einer Zertifizierungsstelle oder Domäne signierten Zertifikaten. ● Erweitert – Wählen Sie diese Methode aus, um jede Komponente separat zu konfigurieren. Express 1. Wählen Sie aus dem Hauptmenü Aktionen > Zertifikate konfigurieren aus. 2. Nachdem der Konfigurationsassistent gestartet wurde, wählen Sie Express aus, und klicken Sie auf Weiter.
Klicken Sie anschließend auf Fertig stellen. ● Aktuelle Einstellungen verwenden – Wählen Sie diese Option aus, um eine Einstellung für ein Zertifikat zu einem beliebigen Zeitpunkt nach der erstmaligen Konfiguration von Security Management Server zu ändern. Das bereits konfigurierte Zertifikat bleibt dabei erhalten. Wenn Sie diese Option auswählen, gelangen Sie zum Fenster „Zertifikat für die Nachrichtensicherheit“.
15. Geben Sie das Passwort ein und bestätigen Sie es. Sie können das Passwort frei wählen. Wählen Sie ein Passwort, das nur Sie selbst sich leicht merken können, nicht aber andere. Klicken Sie auf Weiter. 16. Klicken Sie auf Durchsuchen, um zu dem Speicherort zu navigieren, auf dem Sie die Datei speichern möchten. 17. Geben Sie unter Dateiname einen Namen für die zu speichernde Datei ein. Klicken Sie auf Speichern. 18. Klicken Sie auf Weiter. 19. Klicken Sie auf Fertigstellen. 20.
1. Wählen Sie aus dem Hauptmenü Konfiguration > Speichern aus. Bestätigen Sie den Speichervorgang, wenn Sie dazu aufgefordert werden. 2. Schließen Sie das Dell Server-Konfigurationstool. 3. Klicken Sie auf Start > Ausführen. Geben Sie services.msc ein und klicken Sie auf OK. Wenn Services angezeigt wird, navigieren Sie zu den einzelnen Dell Services, und klicken Sie auf Service starten. Konfigurieren von SMTP-Einstellungen Klicken Sie im Server Configuration Tool auf die Registerkarte SMTP.
6. Geben Sie unter Kennwort das Kennwort für den unter „Benutzername“ aufgeführten Benutzer ein. 7. Wählen Sie aus dem Hauptmenü Konfiguration > Speichern aus. Bestätigen Sie den Speichervorgang, wenn Sie dazu aufgefordert werden. 8. Wählen Sie zum Testen der Datenbankkonfiguration Aktionen > Datenbankkonfiguration testen aus dem Hauptmenü. Daraufhin wird der Konfigurationsassistent gestartet. 9. Lesen Sie im Fenster Konfigurationstest die Testinformationen, und klicken Sie dann auf Weiter. 10.
6 Administrative Aufgaben Dell Administratorrolle zuweisen 1. Melden Sie sich als Administrator von Security Management Server Virtual an der Verwaltungskonsole an: https:// server.domain.com:8443/webui/. Die Standard-Anmeldeinformationen lauten superadmin/changeit. 2. Klicken Sie im linken Bereich auf Bestückung > Domänen. 3. Klicken Sie auf eine Domäne, der ein Benutzer hinzugefügt werden soll. 4. Klicken Sie auf der Seite „Domänendetails“ auf die Registerkarte Mitglieder. 5.
Um Richtlinien nach der Installation oder später, nachdem die Richtlinienänderungen gespeichert sind, zu bestätigen, führen Sie die folgenden Schritte aus: 1. Klicken Sie im linken Fensterbereich auf Verwaltung > Festlegen. 2. Geben Sie in Anmerkung eine Beschreibung der Änderung ein. 3. Klicken Sie auf Richtlinien bestätigen. Dell Compliance Reporter konfigurieren 1. Klicken Sie im linken Fensterbereich auf Compliance Reporter. 2.
7 Ports In der folgenden Tabelle werden die einzelnen Komponenten mit ihren Funktionen aufgeführt. Name Standardp Beschreibung ort ACL-Dienst TCP/ 8006 Verwaltet verschiedene Berechtigungen und Gruppenzugriffe für verschiedene Dell Sicherheitsprodukte. ANMERKUNG: Port 8006 ist derzeit nicht gesichert. Stellen Sie sicher, dass dieser Port ordnungsgemäß durch eine Firewall gefiltert ist. Dieser Port ist nur für die interne Verwendung.
Name Standardp Beschreibung ort Directory für die Authentifizierung oder Abstimmung, einschließlich der Identitätsvalidierung für die Authentifizierung in der Remote Management-Konsole. Erfordert Zugriff auf die SQL-Datenbank. Compatibility Server TCP/ 1099 Ein Dienst für die Verwaltung der Unternehmensarchitektur. Sammelt und speichert anfängliche Bestandslistendaten während der Aktivierung und Richtliniendaten während Migrationen. Verarbeitet Daten auf Grundlage von Benutzergruppen.
Name Standardp Beschreibung ort 389/636 (lokaler Domänenc ontroller), 3268/3269 (globaler Katalog) TCP/ 135/ 49125+ (RPC) Microsoft SQL-Datenbank TCP/ 1433 Client-Authentifizierung HTTPS/ 8449 lokalen Domänencontroller verwendet. LDAP-Anfragen, die an Port 389 gesandt wurden, können nur zur Suche nach Objekten innerhalb der Startdomäne des globalen Katalogs verwendet werden. Die anfordernde Anwendung kann jedoch alle Attribute für diese Objekte ermitteln.
8 Bewährte Verfahren für SQL Server Die folgende Liste erklärt die bewährten Verfahren für SQL Server, die implementiert werden sollten, wenn Dell Security installiert wird, falls sie noch nicht implementiert wurden. 1. Stellen Sie sicher, dass die Größe des NTFS-Blocks, der die Datendatei und Protokolldatei enthält, 64 KB beträgt. SQL Server Extents (Grundeinheit von SQL-Speicher) entspricht 64 KB.
9 Zertifikate In diesem Kapitel wird erläutert, wie Sie Zertifikate für die Verwendung des Security Management Server erhalten. Weitere Informationen über die Konfiguration der SmartCard-Authentifizierung finden Sie unter http://www.dell.com/support/ article/us/en/19/sln303783/dell-data-protection-sed-management-smartcard-setup-guide?lang=en.
\conf\eserver.properties. Bestimmen Sie den Wert eserver.keystore.password = \conf\application.properties. Bestimmen Sie den Wert keystore.password = \conf\application.properties. Bestimmen Sie den Wert keystore.password = ● Vollständiger Servername: Geben Sie den vollständigen Namen des Servers ein, auf dem die Komponente, mit der Sie arbeiten, installiert ist.
Stammzertifikate importieren Wenn die Zertifizierungsstelle für das Stammzertifikat Verisign (aber nicht Verisign Test) ist, gehen Sie zum nächsten Verfahren weiter und importieren Sie das signierte Zertifikat. Mit dem Stammzertifikat der Zertifizierungsstelle werden signierte Zertifikate validiert. 1. Führen Sie eine der folgenden Maßnahmen durch: ● Laden Sie das Stammzertifikat der Zertifizierungsstelle herunter und speichern Sie es in einer Datei.
4. Wählen Sie die Option Einreichen einer Zertifikatanforderung, die eine Base64-codierte PKCS #10-Datei verwendet, und klicken Sie auf Weiter. Erweiterte Zertifikatanforderung 5. Kopieren Sie den Inhalt der CSR-Anforderung in das Textfeld. Wählen Sie die Zertifikatvorlage Web Server aus, und klicken Sie auf Einreichen.
6. Speichern Sie das Zertifikat. Wählen Sie DER-codiert aus und klicken Sie auf Download des Zertifizierungsstellenzertifikats. Download des Zertifizierungsstellenzertifikats 7. Speichern Sie das Zertifikat. Wählen Sie DER-codiert und klicken Sie auf Download des Zertifizierungsstellenzertifikats.
8. Importieren Sie das konvertierte Zertifikat der Zertifizierungsstelle. Zurück zur Eingabeaufforderung. Geben Sie Folgendes ein: keytool -import -trustcacerts -file -keystore cacerts 9. Nach dem Import des Zertifikats der Zertifizierungsstelle kann nun das Serverzertifikat importiert werden (die Zertifikatkette kann eingerichtet werden).
8. Klicken Sie auf OK. 9. Erweitern Sie im Ordner Konsolenstamm die Zertifikate (Lokaler Computer). 10. Gehen Sie zum Ordner Privat, und suchen Sie das gewünschte Zertifikat. 11. Markieren Sie das gewünschte Zertifikat, und klicken Sie mit der rechten Maustaste auf Alle Aufgaben > Exportieren. 12. Sobald der Assistent „Zertifikat exportieren“ angezeigt wird, klicken Sie auf Weiter. 13. Wählen Sie Ja, privaten Schlüssel exportieren aus, und klicken Sie auf Weiter. 14.