Dell Security Management Server インストールおよび移行ガイド v10.2.12 August 2020 Rev.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。
目次 章 1: はじめに..................................................................................................................................5 Security Management Server について............................................................................................................................ 5 Dell ProSupport へのお問い合わせ................................................................................................................................... 5 章 2: 要件およびアーキテクチャ...................................
バックアップの実行..........................................................................................................................................................83 Security Management Server バックアップ............................................................................................................ 83 SQL Server のバックアップ.......................................................................................................................................83 PostgreSQL Server のバックアップ....................
1 はじめに Security Management Server について Security Management Server の機能は、次のとおりです。 ● ● ● ● ● ● ● ● デバイス、ユーザー、セキュリティポリシーの一元管理 一元的なコンプライアンス監査とレポート 管理者職務の分割 役割ベースのセキュリティポリシーの作成と管理 クライアント接続時のセキュリティポリシー配布 管理者がサポートするデバイス復元 コンポーネント間での通信のための信頼済みパス 固有暗号化キーの生成および自動かつセキュアなキーエスクロー Dell ProSupport へのお問い合わせ デル製品向けの 24 時間 365 日対応電話サポート(877-459-7304、内線 4310039)にご連絡ください。 さらに、デル製品のオンラインサポートも dell.
2 要件およびアーキテクチャ この項では、Dell Security Management Server を実装する場合のハードウェアおよびソフトウェア要件、および推奨するアーキテク チャ設計について、詳細を説明します。 Security Management Server アーキテクチャの設計 Encryption Enterprise および Endpoint Security Suite Enterprise ソリューションは非常に拡張性の高い製品であり、組織内の暗号化の 対象となるエンドポイントの数に基づいて拡張可能です。 アーキテクチャコンポーネント 以下に、ほとんどの環境に適した推奨ハードウェア構成を示します。 Security Management Server ● オペレーティング システム:Windows Server 2012 R2(Standard、Datacenter 64 ビット)、Windows Server 2016(Standard、 Datacenter 64 ビット)、Windows Server 2019(Standard、Datacenter) ● 仮想 / 物理マシ
メモ: 組織に 20,000 を超えるエンドポイントがある場合は、Dell ProSupport に問い合わせてサポートを受けてください。 要件 Security Management Server ソフトウェアをインストールするためのハードウェアおよびソフトウェアの前提条件は、次のとおりで す。 インストールを開始する前に、すべてのパッチとアップデートがインストールに使用されるサーバーに適用されていることを確認し ます。 要件およびアーキテクチャ 7
ハードウェア 次の表に、Security Management Server の最小ハードウェア要件の詳細を示します。導入環境のサイズに基づいて拡張を行う場合の 詳細については、「Security Management Server のアーキテクチャの設計」を参照してください。 ハードウェア要件 プロセッサ 現行のクアッドコア CPU(1.
○ ○ ○ ○ ハードウェアは Hyper-V 最小要件を満たしている必要があります イメージ専用リソース用に最小 4 GB の RAM 第 1 世代の仮想マシンとして実行する必要があります 詳細については、https://technet.microsoft.com/en-us/library/hh923062.aspx を参照してください。 Security Management Server v10.2.11 は、VMware ESXi 6.0 および VMware ESXi 6.5 で動作確認済みです。 メモ: Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 のいずれかと VMware ESXi を実行する場合 は、VMXNET3 Ethernet アダプターの使用をお勧めします。 ● VMware ESXi 6.0 64 ビット x86 CPU(必須) 少なくとも 2 コアが搭載されたホストコンピュータ 最小 8 GB RAM(推奨) 対応ホストオペレーティングシステムの完全なリストについては、http://www.
docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/implementing-least-privilegeadministrative-models」を参照してください。 メモ: 保護されたディレクトリにインストールする場合は、ユニバーサルアカウント制御(UAC)を無効にする必要がありま す。UAC を無効化した後は、変更を有効にするためにサーバーを再起動する必要があります。 メモ: ポリシープロキシ(インストールされている場合)のレジストリの場所:HKLM\SOFTWARE\Wow6432Node\Dell メモ: Windows Server のレジストリの場所:HKLM\SOFTWARE\Dell 前提条件 ● Visual C++ 2010 再頒布可能パッケージ インストールされていない場合、インストーラーによってインストールされます。 ● Visual C++ 2013 再頒布可能パッケージ インストールされていない場合、インストーラーによってインストールされます。 ● Visual
管理コンソールおよび Compliance Reporter ● ● ● ● Mozilla Firefox 41.x 以降 Google Chrome 46.
タイプ アクション シナリオ 必要な SQL 特権 バックエンド 新規インストール 新規のログインを作成 securityadmin バックエンド アンインストール 該当なし 該当なし プロキシのフロントエンド 任意 該当なし 該当なし メモ: ユーザー アカウント制御(UAC)が有効になっている場合、C:\Program Files にインストールする際は、Windows Server 2012 R2 にインストールする前に UAC を無効にしておく必要があります。変更を有効にするためにはサーバーを再起動 する必要があります。 インストール中にデータベースを設定するために Windows または SQL 認証資格情報が必要です。使用された認証資格情報の種類 にかかわらず、アカウントには処置を実行するための適切な権限が必要です。上の表には、インストールのタイプ別に必要な権限 が記載されています。また、データベースの作成とセットアップに使用するアカウントでは、デフォルト スキーマを dbo に設定す る必要があります。 これらの権限は、インストール時にデータベースをセットアップす
3 インストール前の設定 作業を開始する前に、Security Management Server に関連する最新の回避策または既知の問題について Security Management Server テクニカルアドバイザリーをお読みください。 Security Management Server をインストールするサーバのインストール前の設定は非常に重要です。Security Management Server を 円滑にインストールするためにこの項を特に注意してお読みください。 設定 管理コンソールへのアクセス Internet Explorer はサポートされなくなったため、サード パーティー製のブラウザーをインストールして、管理コンソールに適切にア クセスできるようにする必要があります。 管理コンソールの検証に Internet Explorer が必要な場合は、ログインしている管理者に対応するアカウント タイプに対して、Internet Explorer のセキュリティ強化の構成を無効にする必要があります。 ポートとファイアウォールの構成 クライアントとサーバーのパブリック(アウトバウンド)通信
■ - protect-api-sae1.cylance.com - download-sae1.cylance.com ヨーロッパ ■ - login-euc1.cylance.com - protect-euc1.cylance.com - data-euc1.cylance.com - update-euc1.cylance.com - api-euc1.cylance.com - protect-api-euc1.cylance.com - download-euc1.cylance.com 中東およびアジア ■ - login-au.cylance.com - protect-au.cylance.com - data-au.cylance.com - update-au.cylance.com - api-au.cylance.com - protect-api-au.cylance.com - download-au.cylance.com 日本、オーストラリア、ニュージーランド ○ ポート login-apne1.cylance.com protect-apne1.
次のサービスとポートは、ドメイン上に存在するか VPN を介して接続されているクライアントによって、各サービスとの内部的な 通信に使用されます。Dell Technologies では、これらのサービスの一部をネットワーク外に転送しないことを、またはフロントエン ド サーバー構成でサービスをデフォルトでフィルタリングすることをお勧めしています。ファイアウォールまたはルーティングの 構成で、内部ネットワークからバックエンド Security Management Server へのインバウンドとして、ポートが設定されている必要が あります。 ● Dell Security Server でホストされている管理コンソール:HTTPS/8443 ● Dell Compliance Reporter から送信されてくるレポート:HTTP(S)/8084 メモ: このサービスは、デフォルトで無効になっています。代わりに、Dell Security Server によってホストされている管理コ ンソールで使用可能な管理対象レポートを使用します。Dell Compliance Reporter の履歴レポートを有効にする方
SQL Server 2012 または SQL Server 2016 を使用している場合は、SQL Native Client 2012 をインストールしてください。オプション で、Security Management Server インストーラーにこのコンポーネントのインストールを許可することができます。http:// www.microsoft.com/en-us/download/details.aspx?id=35580 サーバー インストール ライセンスのインポート 新規インストールの場合-プロダクト キー(ファイルの名前は EnterpriseServerInstallKey.ini)を C:\Windows にコピーして、Security Management Server インストーラーで 32 文字のプロダクト キーが自動的に入力されるようにします。 メモ: EnterpriseServerInstallKey.
4 インストールまたはアップグレード / 移行 本章では、次の操作に対する手順を説明します。 ● 新規インストール - 新しい Security Management Server をインストールします。 ● アップグレード / 移行 - 既存の Enterprise Server v9.
バックエンドサーバーと新規データベースのインストール 1. Dell インストールメディアで、Security Management Server ディレクトリに移動します。Security Management Server-x64 を、 Security Management Server をインストールするサーバのルートディレクトリに解凍(コピー / 貼り付けまたはドラッグ / ドロ ップではなく)します。コピー / 貼り付けまたはドラッグ / ドロップを行うと、エラーが発生し、インストールは失敗します。 2. setup.exe をダブルクリックします。 3. インストール用言語を選択して OK をクリックします。 4. 前提条件対象のものがインストールされていない場合、それらをインストールするように伝えるメッセージが表示されます。イ ンストール をクリックします。 5.
6. ライセンス契約を読み、その条件に同意して 次へ をクリックします。 7. 「インストール前の設定」で説明したとおり、EnterpriseServerInstallKey boot.ini ファイルを C: ¥ Windows にコ ピーした場合は、次へ をクリックします。完了していない場合は、32 文字のプロダクトキーを入力し、次へ をクリックしま す。プロダクトキーはファイル「EnterpriseServerInstallKey.
8. バックエンドインストール を選択し、次へ をクリックします。 9. Security Management Server をデフォルトの C:\Program Files\Dell にインストールする場合は、次へ をクリックします。 それ以外の場所にインストールする場合は、変更 をクリックして別の場所を選択し、次へ をクリックします。 20 インストールまたはアップグレード / 移行
10.
11. 使用するデジタル証明書のタイプを選択することができます。デジタル証明書は信頼のおける証明書認証局からのものを使用 することが強く推奨されます。 以下のオプション「a」または「b」を選択します。 a. CA 機関から購入された既存の証明書を使用するには、既存証明書のインポート を選択し、次へ をクリックします。 参照 をクリックして、証明書のパスを入力します。 この証明書に関連付けられているパスワードを入力します。キーストアファイルは .p12 または pfx である必要があります。 手順については、「証明書管理コンソールを使用した証明書の .PFX へのエクスポート」を参照してください。 次へ をクリックします。 メモ: この設定を使用するには、インポートされるエクスポート済み CA 証明書に完全な信頼チェーンがある必要があります。 不明な場合は、CA 証明書を再エクスポートし、「証明書のエクスポートウィザード」で次のオプションが選択されている ことを確認します。 ● Personal Information Exchange - PKCS#12(.
● 可能な場合は証明書パスにすべての証明書を含める ● すべての拡張プロパティをエクスポートする または b. 自己署名証明書を作成する場合は、自己署名証明書を作成してキーストアにインポートする を選択し、次へ をクリックしま す。 Create Self-Signed Certificate(自己署名証明書の作成)ダイアログで、次の情報を入力します。 完全修飾コンピュータ名(例:computername.domain.
12. サーバ暗号化では、使用するデジタル証明書のタイプを選択することができます。デジタル証明書は信頼のおける証明書認証局 からのものを使用することが強く推奨されます。 以下のオプション「a」または「b」を選択します。 a. CA 機関から購入された既存の証明書を使用するには、既存証明書のインポート を選択し、次へ をクリックします。 参照 をクリックして、証明書のパスを入力します。 この証明書に関連付けられているパスワードを入力します。キーストアファイルは .p12 または pfx である必要があります。 手順については、「証明書管理コンソールを使用した証明書の .
メモ: この設定を使用するには、インポートされるエクスポート済み CA 証明書に完全な信頼チェーンがある必要があります。 不明な場合は、CA 証明書を再エクスポートし、「証明書のエクスポートウィザード」で次のオプションが選択されている ことを確認します。 ● Personal Information Exchange - PKCS#12(.PFX) ● 可能な場合は証明書パスにすべての証明書を含める ● すべての拡張プロパティをエクスポートする または b. 自己署名証明書を作成する場合は、自己署名証明書を作成してキーストアにインポートする を選択して 次へ をクリックし ます。 自己署名証明書の作成 ダイアログで、次の情報を入力します。 完全修飾コンピュータ名(例:computername.domain.
13. バックエンドサーバーインストール設定ダイアログから、ホスト名とポートを表示または編集できます。 ● デフォルトのホスト名とポートを使用する場合は、バックエンドサーバーインストール設定 ダイアログで、次へ をクリック します。 ● フロントエンドサーバを使用している場合は、ネットワークのクライアントとの内部通信、または DMZ のクライアントと の外部通信のために、フロントエンドと連携 を選択し、フロントエンドのセキュリティサーバのホスト名を入力します (server.domain.
終了したら、OK をクリックします。 ● ポートを表示または編集するには、ポートの編集 をクリックします。必要に応じて、ポートを編集します。Dell はデフォル トの使用を推奨します。終了したら、OK をクリックします。 インストールまたはアップグレード / 移行 27
14. 新規データベースを作成するには、次の手順に従います。 a. 参照 をクリックして、データベースをインストールするサーバーを選択します。 b.
または ● 以下の資格情報を使った SQL server 認証 SQL 認証を使用する場合、使用する SQL アカウントには SQL サーバーに対するシステム管理者権限が必要です。 インストーラは、データベースの作成、ユーザーの追加、およびアクセス権限の割り当ての許可を持つ SQL サーバーに認 証する必要があります。 c. データベースカタログを指定します。 新規データベースカタログの名前を入力します。次に表示されるダイアログで、新規カタログの作成を促すプロンプトが表 示されます。 d. 次へ をクリックします。 e. はい をクリックして、インストーラにデータベースを作成させることを確認します。前の画面に戻って設定を変更するには、 いいえ をクリックします。 15.
● Windows 認証 以下の資格情報を使用した Windows 認証 を選択し、製品が使用する資格情報を入力してから、次へ をクリックします。 アカウントではシステム管理者権限があること、SQL サーバーを管理することができることを確認してください。ユーザー アカウントには、SQL Server 許可のデフォルトスキーマ: dbo およびデータベース役割メンバーシップ: db_owner を public にする必要があります。 これらの資格情報も Dell サービスが Security Management Server で作業する際に使用されます。 または ● SQL Server 認証 以下の資格情報を使用した SQL サーバ認証 を選択し、Dell サービスが Security Management Server で動作する際に使用する SQL サーバ資格情報を入力して、次へ をクリックします。 ユーザーアカウントには、SQL Server 許可のデフォルトスキーマ: dbo およびデータベース役割メンバーシップ: db_owner を public にする必要があります。 30 インストー
16.
17. インストールが完了したら、終了 をクリックします。 これでバックエンドサーバーインストールタスクは完了です。 Dell サービスはインストール終了時に再起動されます。デルサーバを再起動する必要はありません。 既存データベースでのバックエンドサーバーのインストール メモ: デルサーバ v9.
スキーマバージョンがインストールする Security Management Server のバージョンに一致する場合は、新しい Security Management Server をインストールして、インストール前の設定 で作成された SQL データベースまたは v9.
5. ようこそ ダイアログで 次へ をクリックします。 6.
7. 「インストール前の設定」で説明したとおり、EnterpriseServerInstallKey boot.ini ファイルを C: ¥ Windows にコ ピーした場合は、次へ をクリックします。完了していない場合は、32 文字のプロダクトキーを入力し、次へ をクリックしま す。プロダクトキーはファイル「EnterpriseServerInstallKey.ini」にあります。 8.
9. Security Management Server をデフォルトの C:\Program Files\Dell にインストールする場合は、次へ をクリックします。 それ以外の場所にインストールする場合は、変更 をクリックして異なる場所を選択し、次へ をクリックします。 10.
サーバー設定ツールで行われた変更を含む、インストール後に設定ファイルに対して行われた変更は、これらのフォルダに手動 でバックアップする必要があります。設定ファイルは、デルサーバを手動で復元するときに使用する情報全体の中でも重要な要 素です。 メモ: インストール中、インストーラによって作成されたフォルダの構造(例は下記参照)は変更しないでください。 11. 使用するデジタル証明書のタイプを選択することができます。デジタル証明書は信頼のおける証明書認証局からのものを使用 することが強く推奨されます。 以下のオプション「a」または「b」を選択します。 a.
参照 をクリックして、証明書のパスを入力します。 この証明書に関連付けられているパスワードを入力します。キーストアファイルは .p12 または pfx である必要があります。 手順については、「証明書管理コンソールを使用した証明書の .PFX へのエクスポート」を参照してください。 次へ をクリックします。 メモ: この設定を使用するには、インポートされるエクスポート済み CA 証明書に完全な信頼チェーンがある必要があります。 不明な場合は、CA 証明書を再エクスポートし、「証明書のエクスポートウィザード」で次のオプションが選択されている ことを確認します。 ● Personal Information Exchange - PKCS#12(.
または b. 自己署名証明書を作成する場合は、自己署名証明書を作成してキーストアにインポートする を選択して 次へ をクリックし ます。 自己署名証明書の作成 ダイアログで、次の情報を入力します。 完全修飾コンピュータ名(例:computername.domain.
12. バックエンドサーバインストール設定 ダイアログから、ホスト名とポートを表示または編集できます。 ● デフォルトのホスト名とポートを使用する場合は、バックエンドサーバインストール設定 ダイアログで、次へ をクリックし ます。 ● フロントエンドサーバを使用している場合は、ネットワークのクライアントとの内部通信、または DMZ のクライアントと の外部通信のために、フロントエンドと連携 を選択し、フロントエンドのセキュリティサーバのホスト名を入力します (server.domain.
終了したら、OK をクリックします。 ● ポートを表示または編集するには、ポートの編集 をクリックします。必要に応じて、ポートを編集します。Dell はデフォル トの使用を推奨します。終了したら、OK をクリックします。 インストールまたはアップグレード / 移行 41
13. インストーラが使用するための認証メソッドを指定します。 a. 参照 をクリックしてデータベースが存在するサーバを選択します。 b.
または ● 以下の資格情報を使った SQL server 認証 SQL 認証を使用する場合、使用する SQL アカウントには SQL サーバーに対するシステム管理者権限が必要です。 インストーラは、データベースの作成、ユーザーの追加、およびアクセス権限の割り当ての許可を持つ SQL サーバーに認 証する必要があります。 c. 参照 をクリックして、既存のデータベースカタログの名前を選択します。 d. 次へ をクリックします。 14. 既存のデータベースエラー ダイアログが表示された場合は、適切なオプションを選択します。 インストーラがデータベースの問題を検出すると、既存のデータベースエラー ダイアログが表示されます。ダイアログ内のオプ ションは状況により異なります。 ● データベーススキーマは以前のバージョンのものとなります。(手順 a を参照してください。) ● このデータベースには、現在インストール中のバージョンに一致するデータベーススキーマがすでに含まれています。(手順 b を参照してください。) a.
次のオプションは Dell ProSupport からの指示のもとでのみ使用します。 ● このデータベースを現在のスキーマに移行する オプションは、故障したサーバー実装から良好なデータベースを復元する のに使用します。このオプションでは \Backup フォルダ内の復元ファイルを使用してデータベースに再接続し、その後 データベースを現在のスキーマに移行します。正しいバージョンの Security Management Server を再インストールし、最 新のインストーラを実行してアップグレードをするという方法を試した後にのみ、このオプションを使用するようにして ください。 ● データベースの移行なしで続行する オプションでは、データベースを完全に設定せずに Security Management Server ファ イルをインストールします。後にサーバー設定ツールを使用してデータベースの設定を手動で行う必要があります。ま た、その後も手動での変更が必要になります。 b.
15.
16.
インストールが完了したら、終了 をクリックします。 これでバックエンドサーバのインストールタスクは完了です。 Dell サービスはインストール終了時に再起動されます。サーバを再起動する必要はありません。 インストールまたはアップグレード / 移行 47
フロントエンドサーバのインストール フロントエンドサーバのインストールには、Security Management Server を使用するフロントエンド(DMZ モード)オプションがあ ります。DMZ 内に Dell コンポーネントをデプロイする場合は、攻撃から適切に保護されていることを確認してください。 このインストールを実行するには、DMZ サーバの完全修飾ホスト名が必要です。 1. Dell インストールメディアで、Security Management Server ディレクトリに移動します。Security Management Server-x64 を、 Security Management Server をインストールするサーバのルートディレクトリに解凍(コピー / 貼り付けまたはドラッグ / ドロ ップではなく)します。コピー / 貼り付けまたはドラッグ / ドロップを行うと、エラーが発生し、インストールは失敗します。 2. setup.exe をダブルクリックします。 3. インストール用言語を選択して OK をクリックします。 4.
6. ライセンス契約を読み、その条件に同意して 次へ をクリックします。 7. 「インストール前の設定」で説明したとおり、EnterpriseServerInstallKey boot.ini ファイルを C: ¥ Windows にコ ピーした場合は、次へ をクリックします。完了していない場合は、32 文字のプロダクトキーを入力し、次へ をクリックしま す。プロダクトキーは、EnterpriseServerInstallKey.
8. フロントエンドインストール を選択し、次へ をクリックします。 9. フロントエンドサーバをデフォルトの C:\Program Files\Dell にインストールする場合は、次へ をクリックします。それ 以外の場所にインストールする場合は、変更 をクリックして別の場所を選択し、次へ をクリックします。 50 インストールまたはアップグレード / 移行
10. 使用するデジタル証明書のタイプを選択することができます。 メモ: デジタル証明書は信頼のおける証明書認証局からのものを使用することが強く推奨されます。 以下のオプション「a」または「b」を選択します。 a. CA 機関から購入された既存の証明書を使用するには、既存証明書のインポート を選択し、次へ をクリックします。 参照 をクリックして、証明書のパスを入力します。 この証明書に関連付けられているパスワードを入力します。キーストアファイルは .p12 または pfx である必要があります。 手順については、「証明書管理コンソールを使用した証明書の .
メモ: この設定を使用するには、インポートされるエクスポート済み CA 証明書に完全な信頼チェーンがある必要があります。 不明な場合は、CA 証明書を再エクスポートし、「証明書のエクスポートウィザード」で次のオプションが選択されている ことを確認します。 ● Personal Information Exchange - PKCS#12(.PFX) ● 可能な場合は証明書パスにすべての証明書を含める ● すべての拡張プロパティをエクスポートする b. 自己署名証明書を作成する場合は、自己署名証明書を作成してキーストアにインポートする を選択して 次へ をクリックし ます。 自己署名証明書の作成 ダイアログで、次の情報を入力します。 完全修飾コンピュータ名(例:computername.domain.
11. フロントエンドサーバセットアップ ダイアログで、バックエンドサーバの完全修飾ホスト名または DNS エイリアスを入力し、 Dell Security Management Server を選択して、次へ をクリックします。 12.
● ホスト名を表示または編集する場合は、フロントエンドサーバーセットアップ ダイアログで ホスト名の編集 をクリックし ます。必要に応じて、ホスト名を編集します。Dell はデフォルトの使用を推奨します。 メモ: ホスト名に下線(「_」)は使用できません。 インストール時にプロキシを設定しない場合にのみ、プロキシの選択を外してください。このダイアログで選択しないと、 プロキシはインストールされません。 終了したら、OK をクリックします。 54 インストールまたはアップグレード / 移行
● ポートを表示または編集する場合は、フロントエンドサーバセットアップ ダイアログで 外向きポートの編集、または 内部接 続ポートの編集 のいずれかをクリックします。必要に応じて、ポートを編集します。Dell はデフォルトの使用を推奨します。 フロントエンドのホスト名の編集 ダイアログでプロキシの選択を解除すると、そのポートは 外部ポート または 内部ポート ダイアログには表示されません。 終了したら、OK をクリックします。 13.
ステータスは、インストールプロセスの全体を通して進捗状況ダイアログに表示されます。 14.
これでフロントエンドサーバーインストールタスクは完了です。 アップグレード / 移行 Enterprise Server v9.2 以降を Security Management Server v10.x にアップグレードできます。Dell Server のバージョンが v9.2 より前 の場合は、まず v9.
● Security Management Server v9.2 以降からのアップグレード / 移行(v9.2 より前の Security Management Server から移行する際 は、Dell ProSupport に問い合わせてサポートを受けてください。) 新しいポリシーが導入されたバージョンに Security Management Server をアップグレード / 移行する場合は、更新されたポリシーを アップグレード / 移行後にコミットして、デフォルト値ではなく、独自のポリシー設定が新しいポリシーに実装されるようにして ください。 一般的に推奨されるアップグレードパスは Security Management Server およびそのコンポーネントをアップグレード / 移行し、次に Client をインストール / アップグレードすることです。 ポリシーの変更の適用 1. 管理コンソールに Dell 管理者としてログインします。 2. 左側のメニューで、管理 > コミット の順にクリックします。 3. コメント に変更内容を入力します。 4.
4. ようこそ ダイアログで 次へ をクリックします。 5.
6.
7. インストーラが的確に既存のデータベースを検出すると、ダイアログは自動入力されます。 既存のデータベースに接続するには、使用する認証メソッドを指定します。製品がインストールされた後は、ここで指定された 資格情報を使用しません。 a.
または ● 以下の資格情報を使った SQL server 認証 SQL 認証を使用する場合、使用する SQL アカウントには SQL サーバーに対するシステム管理者権限が必要です。 インストーラは、データベースの作成、ユーザーの追加、およびアクセス権限の割り当ての許可を持つ SQL サーバーに認 証する必要があります。 b. 次へ をクリックします。 8. サービスランタイムアカウント情報が事前に入力されていない場合は、インストール後に製品が使用する認証メソッドを指定し ます。 a. 認証タイプを選択します。 b. SQL Server へアクセスするために Dell サービスが使用する、ドメインサービスのアカウントのユーザー名およびパスワードを 入力して、次へ をクリックします。 ユーザーアカウントは DOMAIN\\Username フォーマットであり、SQL Server 許可のデフォルトスキーマ: dbo およびデータ ベース役割メンバーシップ: db_owner を「public」にする必要があります。 9.
10.
11. インストールが完了したら、終了 をクリックします。 Dell サービスは移行終了時に再起動されます。Dell Server を再起動する必要はありません。 インストーラは手順 12~13 を自動的に実行します。これらの値に注目して変更が適切に行われたかを確認することが重要で す。 12. バックアップされたインストールで、\conf\secretKeyStore を新しいインストールにコピー / 貼り 付けします。 \conf\secretKeyStore に貼り付けます。 64 インストールまたはアップグレード / 移行
13. 新しいインストールで、\conf\server_config.xml を開き、次のように、server.pass 値を、バック アップした \conf\server_config.xml の値に置き換えます。 server.pass に関する手順: パスワードがわかっている場合は、server_config.
4. 前提条件対象のものがインストールされていない場合、それらをインストールするように伝えるメッセージが表示されます。イ ンストール をクリックします。 5.
6. ライセンス契約を読み、その条件に同意して 次へ をクリックします。 7.
ステータスは、インストールプロセスの全体を通して進捗状況ダイアログに表示されます。 8.
9. バックエンドサーバーがフロントエンドサーバーと通信するように設定します。 a. バックエンドサーバーで、\conf\ に移動して、application.properties ファイルを開きます。 b. publicdns.server.host を探し、外部で解決可能なホスト名を設定します。 c. publicdns.server.
次の表は、インストールで使用できるパラメータの詳細です。これらのパラメータは、コマンドラインで指定することもできます し、プロパティを使用してファイルから呼び出すこともできます。 INSTALL_VALUES_FILE=\"\" " パラメータ AGREE_TO_LICENSE=Yes - この値は「Yes」である必要があります。 PRODUCT_SN=xxxxx - 標準的な場所にライセンス情報を持っている場合は任意です。そうでない場合はこちらに入力しま す。 INSTALLDIR= - オプション。 BACKUPDIR= - ここにリカバリファイルが保存されます。 メモ: このインストール中にインストーラによって作成されたフォルダの構造(例は下記参照)は変更しないでください。 AIRGAP=1 - 切断モードで Security Management Server をインストールするには、この値を「1」にする必要があります。 SSL_TYPE=n - n が 1 の場合は CA 機関から購入した既存の証明書をインポートし、2 の場合は自己署名証明書を作成します
パラメータ 新しいデータベースを作成するには、この値を TRUE に設定します。 IS_SQLSERVER_AUTHENTICATION=0 - オプション。デフォルト値は 0 で、現在ログインしているユーザーの Windows 認証 用資格情報を SQL サーバの認証に使用するように指定します。SQL 認証を使用するには、この値を 1 に設定します。 メモ: インストーラは、データベースの作成、ユーザーの追加、およびアクセス権限の割り当ての許可を持つ SQL Server に 認証する必要があります。この資格情報は、インストール時の資格情報であり、実行時の資格情報ではありません。 SQL 認証を使用する場合は、以下が必要です。 IS_SQLSERVER_USERNAME IS_SQLSERVER_PASSWORD EE_SQLSERVER_AUTHENTICATION - 必須。製品が使用するための認証メソッドを指定します。このステップによりアカウ ントと製品が関連付けられます。これらの資格情報も、Dell サービスが Security Management Server で作業する際に使用され ます。Wi
パラメータ REPORTERPORT - オプション。 DEVICEPORT - オプション。 KEYSERVERPORT - オプション。 GKPORT - オプション。 TIGAPORT - オプション。 SMTP_PORT - オプション。 ACTIVEMQ_TCP - オプション。 ACTIVEMQ_STOMP - オプション。 切断モードでの Security Management Server のインストール 次の例では、C:\mysetups\eeoptions.txt\" " のファイルにリストされたインストールパラメータを使用して、進捗状況ダイ アログを表示しながらサイレントモードで Security Management Server をインストールします。 Setup.exe /s /v"/qb INSTALL_VALUES_FILE=\"C:\mysetups\eeoptions.txt\" " Security Management Server のアンインストール 1.
4.
5.
5 インストール後の設定 Security Management Server の設定に関連する最新の回避策や既知の問題については、『Security Management Server Technical Advisories』(Security Management Server テクニカル アドバイザリー)をお読みください。 Security Management Server を初めてインストールするのか、既存のインストールをアップグレードするのかによって、環境のいく つかのコンポーネントを設定する必要があります。 Security Management Server のインストール後に、次のデフォルトを変更する必要があります。 ● 次の場所にあるバック エンド サーバーのパスワードを変更します。 C:\Program Files\Dell\Enterprise Edition\Message Broker\conf\application.properties ● 次の場所にある環境内のすべてのフロント エンド サーバーのパスワードを変更します。 C:\Program Files\DELL\Ente
Dell Core Server および Compatibility Server をサーバ設定ツールと同時に実行することはできません。Core Server サービスおよ び Compatibility Server サービスを サービス 画面で停止します(スタート > 実行 をクリックし、Services.msc と入力)。その後 に、サーバ設定ツールを起動します。 サーバ設定ツールを起動するには、スタート > Dell > サーバ設定ツールの実行 の順に選択します。 サーバ設定ツールのログは、C:\Program Files\Dell\Enterprise Edition\Server Configuration Tool\Logs に 保存されます。 新規またはアップデートされた証明書の追加 証明書は、自己署名証明書または署名付き証明書のどちらを使用するか選択できます。 ● 自己署名証明書は、作成者自身によって署名されます。自己署名証明書は、パイロット、POC などに適しています。実稼働環 境の場合は、パブリック CA 署名付き証明書またはドメイン署名付き証明書の使用をお勧めします。 ● 署名付き(
高速 1. 最上部のメニューから、[アクション] > [証明書の設定]を選択します。 2. 設定ウィザードが起動されたら、高速 を選択し、次へ をクリックします。利用できる場合は、Security Management Server の インストール時に作成された自己署名証明書の情報が使用されます。 3. 最上部のメニューから、[設定] > [保存]を選択します。プロンプトが表示されたら、保存を確定します。 これで証明書セットアップは完了です。本項の残りの部分では、証明書の詳細な作成方法について詳しく説明します。 詳細 証明書を作成するには、[自己署名付き証明書の生成]と[現在の設定の使用]の 2 つの方法があります。いずれかひとつのパス を選択します。 ● 方法 1 – 自己署名付き証明書の生成 ● 方法 2 - 現在の設定の使用 方法 1 – 自己署名付き証明書の生成 1. 最上部のメニューから、[アクション] > [証明書の設定]を選択します。 2. 設定ウィザードが起動されたら、詳細 を選択し、次へ をクリックします。 3.
○ 自己署名証明書の生成 - 利用できる場合は、Security Management Server のインストール時に作成された自己署名証明書 の情報が使用されます。 次へ をクリックします。 完了したら、終了 をクリックします。 これで証明書セットアップは完了です。 変更が完了したら、次の手順に従います。 1. 最上部のメニューから、[設定] > [保存]を選択します。プロンプトが表示されたら、保存を確定します。 2. Dell Server 設定ツールを閉じます。 3. スタート > ファイル名を指定して実行 をクリックします。services.
23. エクスポートしたファイルが保存されている場所に移動します。ファイルを選択し、開く をクリックします。 24. そのファイルに関連付けられているパスワードを入力し、OK をクリックします。 これで Dell Manager 証明書のインポートが完了しました。 変更が完了したら、次の手順に従います。 1. 最上部のメニューから 設定 > 保存 を選択します。プロンプトが表示されたら、保存を確定します。 2. Dell Server 設定ツールを閉じます。 3. スタート > ファイル名を指定して実行 をクリックします。services.msc と入力し、OK をクリックします。サービス が開いた ら、各 Dell サービスに移動し、サービスの開始 をクリックします。 SSL/TLS 証明書のベータ版のインポート 導入にサーバーの暗号化が含まれている場合は、新しく作成した(または既存の)証明書をインポートする必要があります。 SSL/TLS 証明書のベータ版は、クライアントサーバに送信されるポリシーバンドルの署名に使用する秘密キーを保護します。 1.
1. ホスト名 に、SMTP サーバの FQDN(smtpservername.domain.com など)を入力します。 2. ユーザー名 に、メールサーバにログインするユーザー名を入力します。書式は、DOMAIN\jdoe、jdoe、あるいは組織の要件に従 ったものになります。 3. パスワード に、このユーザー名に関連付けられているパスワードを入力します。 4. 送信元アドレス に、電子メールの送信元アドレスを入力します。これはユーザー名のアカウントと同じ(jdoe@domain.com)に しても、特定のユーザー名が電子メールを送信するために使用する別のアカウント(CloudRegistration@domain.com)にしても かまいません。 5. ポート に、ポート番号(通常は 25)を入力します。 6. [認証]メニューで、[True]または[False]のいずれかを選択します。 メモ: 認証を 偽 に設定した場合、ユーザー名とパスワードは空白にする必要があります。 変更が完了したら、次の手順に従います。 1.
1. 最上部のメニューから 設定 > 保存 を選択します。プロンプトが表示されたら、保存を確定します。 2. Dell Server 設定ツールを閉じます。 3. スタート > ファイル名を指定して実行 をクリックします。services.msc と入力し、OK をクリックします。サービス が開いた ら、各 Dell サービスに移動し、サービスの開始 をクリックします。 データベースの移行 最新アップグレードのサーバを使用して、v9.2 以降のデータベースを最新のスキーマに移行することができます。 サーバ設定ツールで、データベース タブをクリックします。 1. 既存のデルサーバデータベースのバックアップをまだ実行していない場合は、今すぐ実行してください。 2. 最上部のメニューから、アクション > データベースの移行 を選択します。設定ウィザードが起動します。 3.
6 管理作業 Dell 管理者役割の割り当て 1. Security Management Server Virtual 管理者として、管理コンソール(https://server.domain.com:8443/webui/)にログインしま す。デフォルトの資格情報は superadmin/changeit です。 2. 左ペインで ポピュレーション > ドメイン をクリックします。 3. ユーザーを追加するドメインをクリックします。 4. ドメイン詳細 ページで、メンバー タブをクリックします。 5. ユーザーの追加 をクリックします。 6.
2. コメント に、変更内容の説明を入力します。 3. ポリシーのコミット をクリックします。 Dell Compliance Reporter の設定 1. 左側のペインで、Compliance Reporter をクリックします。 2. Dell Compliance Reporter が起動されたら、デフォルトの資格情報 superadmin/changeit を使用してログインします。 バックアップの実行 災害復旧のため、夜間に作成される差分で、次の場所のバックアップが毎週作成されるようにしてください。災害復旧の計画に関 する詳細については、http://www.dell.
7 ポート 以下の表は、各コンポーネントとその機能について説明しています。 名前 デフォル トポート 説明 ACL サービス TCP/ さまざまな Dell Security 製品の各種の権 限とグループ アクセスを管理します。 8006 Compliance Reporter HTTP(S)/ 8084 管理コンソール HTTP(S)/ 8443 Core Server HTTPS/ 8888 Device Server HTTPS/ 8081 メモ: ポート 8006 は現在保護されて いません。このポートがファイアウ ォールで適切にフィルタリングされ ていることを確認してください。こ のポートは内部専用です。 監査とコンプライアンスのレポートのた めに、環境の詳細ビューを提供します。 メモ: ポート 8084 は、ファイアウォ ールを介したフィルタリングが必要 です。このポートは内部でのみ使用 することをお勧めします。 企業全体での導入に対応する管理コン ソールとコントロールセンター。 ポリシーフロー、ライセンス、起動前認 証の登録、SED Management、BitLo
名前 デフォル トポート 説明 ション中の初期インベントリデータおよ び移行時のポリシーデータを収集、保管 します。ユーザーグループに基づいてデ ータを処理します。 メモ: ポート 1099 は、ファイアウォ ールを介したフィルタリングが必要 です。このポートは内部でのみ使用 することをお勧めします。 Message Broker サービス および STOMP/ デルサーバのサービス間の通信を処理し ます。ポリシープロキシのキュー操作の ために Compatibility Server によって作 成されるポリシー情報をステージしま す。 61613 SQL データベースアクセスが必要です。 TCP/ 61616 メモ: ポート 61616 は、ファイアウ ォールを介したフィルタリングが必 要です。このポートは内部でのみ使 用することをお勧めします。 メモ: ポート 61613 は、フロントエン ド モードで構成した Security Management Server に対してのみ開 かれるようにする必要があります。 Key Server TCP/ 8050 Kerberos API
名前 デフォル トポート 説明 135/ 49125+ ポート 3268 - このポートは、特にグロー バルカタログをターゲットとするクエリ 用に使用されます。ポート 3268 に送信 される LDAP 要求は、フォレスト全体で のオブジェクトの検索に使用すること ができます。ただし、返されるのはグ ローバルカタログへのリプリケーション 用にマークされた属性のみです。たとえ ば、ポート 3268 を使用してユーザーの部 門は返すことはできません。これは、こ の属性がグローバルカタログに複製され ないためです。 (RPC) Microsoft SQL データベース TCP/ 1433 クライアント認証 HTTPS/ 8449 86 ポート デフォルトの SQL Server ポートは 1433 であり、クライアントポートには 1024 か ら 5000 の間の値がランダムに割り当て られます。 クライアントサーバがデルサーバを認証 できるようにします。Server Encryption に必要です。
8 SQL Server ベストプラクティス 以下に、SQL Server のベストプラクティスを説明するリストを示します。ベストプラクティスをまだ実装していない場合は、Dell Security のインストール時に実装するようにしてください。 1. データファイルおよびログファイルが格納される NTFS ブロックサイズが 64 KB になっていることを確認します。SQL Server エクステント(SQL ストレージの基本単位)は 64 KB です。 詳細については、Microsoft の TechNet 記事「ページとエクステントについて」を検索してください。 2. 一般的なガイドラインとして、SQL Server の最大メモリ数は、インストールされているメモリの 80 パーセントに設定します。 詳細については、Microsoft の TechNet 記事「サーバー メモリーの構成オプション」を検索してください。 ● Microsoft SQL Server 2012 - https://technet.microsoft.com/en-us/library/ms178067(v=sql.
9 証明書 この章では、Security Management Server を使用して証明書を取得する方法について説明します。 スマートカード認証を設定する方法の詳細については、「http://www.dell.com/support/article/us/en/19/sln303783/dell-dataprotection-sed-management-smartcard-setup-guide?lang=en」を参照してください。 Dell Data Security Server で使用する SSL/TLS 証明書を要求するための最小要件については、「http://www.dell.
\conf\application.properties.Set the value keystore.password = ● 完全修飾サーバー名:現在作業中のコンポーネントがインストールされているサーバーの完全修飾名を入力します。この完全修 飾名には、ホスト名とドメイン名を含めます(例:server.domain.
1. 次のいずれかを実行します。 ● 証明機関のルート証明書をダウンロードして、ファイルに保存します。 ● エンタープライズディレクトリサーバーのルート証明書を取得します。 2. 次のいずれかを実行します。 ● Compliance Reporter、Security Server、Device Server に対して SSL を有効にする場合は、コンポーネントの conf ディレクト リに変更します。 ● Security Management Server とエンタープライズディレクトリサーバ間の SSL を有効にする場合は、\Java Runtimes\jre1.x.x_xx\lib\security に変更します(JRE cacerts のデフォルトのパスワードは changeit です)。 3. 次のようにして Keytool を実行し、ルート証明書をインストールします。 keytool -import -trustcacerts -alias -keystore .\cacerts -file
4. base64 エンコード PKCS #10 ファイルを使用して証明書要求を送信する オプションを選択し、次へ をクリックします。 高度な証明書の要求 5.
6. 証明書を保存します。DER エンコード を選択し、CA 証明書のダウンロード をクリックします。 CA 証明書のダウンロード 7.
8. 変換された署名機関証明書をインポートします。コマンドプロンプトに戻ります。タイプ: keytool -import -trustcacerts -file -keystore cacerts 9. 署名機関証明書がインポートされたので、次にサーバー証明書をインポートできます(信頼チェーンを確立できます)。タイプ: keytool -import -alias sslkey -file -keystore cacerts 自己署名証明書の別名を使用して、CSR 要求とサーバー証明書をペアにします。 10. cacerts ファイルのリストは、サーバ証明書の証明書チェーンの長さが 2 であることを示しています。これは、証明書が自己署 名されていないことを示します。タイプ: keytool -list -v -keystore cacerts チェーン内の 2 番目の証明書の証明書指紋は、インポートされた署名機関証明書です(リストのサーバー証明書の下にもリスト されます) 証明書管理コンソールを使用した証明書の .
11. 目的の証明書をハイライトし、全てのタスク > エクスポート を右クリックします。 12. 証明書のエクスポートウィザードが開いたら、次へ をクリックします。 13. はい、秘密キーをエクスポートします を選択し、次へ をクリックします。 14. Personal Information Exchange - PKCS #12(.PFX) を選択してから、サブオプションの 可能な場合は証明書パスにすべての 証明書を含める と すべての拡張プロパティをエクスポートする を選択します。次へ をクリックします。 15. パスワードを入力し、確認します。ここにはどのようなパスワードを選んでも問題ありません。自分に覚えやすく、他人にはわ かりにくいパスワードを選んでください。次へ をクリックします。 16. 参照 をクリックしてファイルを保存する場所を指定します。 17. ファイル名 に、保存するファイルの名前を入力します。保存 をクリックします。 18. 次へ をクリックします。 19.