Dell Endpoint Security Suite Enterprise for Mac Guia do Administrador v2.9 Março 2021 Rev.
Notas, avisos e advertências NOTA: Uma NOTA indica informações importantes que ajudam você a usar melhor o seu produto. CUIDADO: um AVISO indica possíveis danos ao hardware ou a possibilidade de perda de dados e informa como evitar o problema. ATENÇÃO: uma ADVERTÊNCIA indica possíveis danos à propriedade, lesões corporais ou risco de morte. © 2012-2021 Dell Inc. All rights reserved.
Índice Capítulo 1: Introdução..................................................................................................................... 5 Visão geral.............................................................................................................................................................................. 5 Criptografia FileVault.........................................................................................................................................................
Como usar o Boot Camp.............................................................................................................................................. 34 How to Retrieve a Firmware Password......................................................................................................................35 Client Tool.......................................................................................................................................................................
1 Introdução O Guia do administrador do Endpoint Security Suite Enterprise para Mac fornece as informações necessárias para implantar e instalar o software cliente. Tópicos: • • • Visão geral Criptografia FileVault Entre em contato com o Dell ProSupport Visão geral O Endpoint Security Suite Enterprise para Mac oferece o Advanced Threat Prevention no sistema operacional, nas camadas de memória e na criptografia, com gerenciamento centralizado pelo Dell Server.
2 Requisitos Os requisitos de hardware e software de cliente são apresentados neste capítulo. Verifique se o ambiente de implementação atende aos requisitos antes de continuar com as tarefas de implementação. Tópicos: • • Cliente Encryption Advanced Threat Prevention Cliente Encryption Hardware do Encryption Client Os requisitos mínimos de hardware precisam atender às especificações mínimas do sistema operacional.
● FAT32 ● exFAT ● Mídia formatada HFS Plus (MacOS Extended) com esquemas de partição de Registro da Inicialização Mestre (MBR) ou Tabela de Partição GUID (GPT). Consulte Ativar o HFS Plus. NOTA: A mídia externa precisa ter 55 MB disponíveis, além de espaço livre na mídia igual ao maior arquivo a ser criptografado para hospedar o Encryption External Media.
Software do Advanced Threat Prevention A tabela a seguir detalha os softwares suportados. Sistemas operacionais (kernels de 64 bits) ● Mac OS X Mavericks 10.9.5 ● Mac OS X Yosemite 10.10.5 ● macOS Sierra 10.12.6 NOTA: Mac OS X Mavericks 10.9.5, Mac OS X Yosemite 10.10.5 e macOS Sierra 10.12 são compatíveis apenas com Advanced Threat Prevention, e não com o Encryption Client. ● macOS High Sierra 10.13.
Recursos Políticas Windows macOS Linux Quarentena automática (anormal) x x x Upload automático x x x Lista de arquivos seguros da política x x x x x x Stack Pivot x x x Proteção de pilha x x x Substituir código x n/d RAM Scraping x n/d Carga mal-intencionada x Ações de memória Proteção de memória Vulnerabilidade Injeção de processo Alocação remota de memória x x n/d Mapeamento remoto de memória x x n/d Gravação remota na memória x x n/d Gravação remota de PE
Recursos Políticas Windows macOS Linux Inspecionar se há novos arquivos x x x Tamanho máximo do arquivo morto a ser verificado x x x Excluir pastas específicas x x x Cópia de amostras de arquivo x Controle de aplicativos Alterar janela x Exclusões de pasta x x Configurações do agente Habilitar upload automático de arquivos de log x Habilitar notificações da área de trabalho x x x Controle de scripts 10 Script ativo x Powershell x Macros do Office x Bloquear uso do conso
3 Tarefas para o Encryption Client Tópicos: • • • • • • • • • • Instalar/Fazer upgrade do the Encryption Client Ativar o Encryption Client Visualizar a política e o status da criptografia Volumes do sistema Recuperação Mídia removível Coletar arquivos de log para Endpoint Security Suite Enterprise Desinstalar o Encryption Client para Mac Activation as Administrator Referência do Encryption Client Instalar/Fazer upgrade do the Encryption Client Esta seção ajudará você na instalação/upgrade e no processo de
● Certifique-se de que você tenha à mão os URLs do Servidor de segurança e do Proxy de política. Os dois são necessários para a instalação e a configuração do software cliente. ● Se a implantação usar uma configuração que não é a padrão, certifique-se de conhecer o número da porta do Servidor de segurança. Ele é necessário para a instalação e a configuração do software cliente. ● Certifique-se de que o computador de destino tenha conectividade de rede com o Servidor de segurança e com o Proxy de política.
15. Clique em Continuar a instalação. A instalação começa. 16. Ao concluir a instalação, clique em Reiniciar. 17. Em uma nova instalação do Endpoint Security Suite Enterprise, a caixa de diálogo Extensão do Sistema Bloqueada é exibida. Para o consentimento do kext, uma ou ambas as caixas de diálogo são exibidas. Extensão do sistema bloqueada Extensão do sistema bloqueada a. Clique em OK. b. Clique em OK. c. Para aprovar essas extensões, selecione Preferências do Sistema > Segurança e Privacidade. d.
* NoAuthenticateUsers [In this sample code, users from a specific domain name can log in without being prompted to activate against the Dell Server.] dsAttrTypeStandard:AuthenticationAuthority ;Kerberosv5;;*@domainName.com;domainName.com* NoAuthenticateUsers [In this sample code, specific users can log in without being prompted to authenticate against the Dell Server.
EMSTreatsUnsupportedFileSystemAs ignore [For handling Mac OS Extended media. Possible values are ignore, provisioningRejected, or unshieldable. ignore - the media is usable (default). provisioningRejected - retains the value in the Dell Server policy, EMS Access to unShielded Media. unshieldable - If the EMS Access to unShielded Media policy is set to Block, the media is ejected.
Ativar o Encryption Client O processo de ativação associa contas de usuário de rede do Dell Server ao computador Mac, recupera todas as políticas de segurança da conta, envia atualizações de inventário e de status, ativa fluxos de trabalho de recuperação e fornece relatórios de conformidade abrangentes. O software cliente executa o processo de ativação de cada conta de usuário que encontra no computador à medida que cada usuário faz login na sua conta de usuário.
Clique em Atualizar para verificar se há atualizações nas políticas. O Management Console mostra em uma lista as políticas para Mac nesses grupos de tecnologia: ● Criptografia para Mac ● Criptografia de mídia removível As políticas definidas dependem dos requisitos de criptografia da sua empresa. Esta tabela lista as opções de política. Criptografia para Mac > Dell Volume Encryption Para o High Sierra e posteriores, essas duas políticas devem ser ativadas.
Estado Descrição O volume não pode ser redimensionado O software cliente não pode iniciar a criptografia porque o volume não pode ser redimensionado adequadamente. Depois de receber esta mensagem, entre em contato com o Dell ProSupport e forneça os arquivos de log. Reparo necessário antes de iniciar a criptografia O volume falhou durante a verificação do Utilitário de disco. Preparação para criptografia concluída. Reinicialização pendente A criptografia começará depois da reinicialização.
Emblema Tipo de volume e status Um volume configurado para criptografia. O emblema Segurança e privacidade indica uma partição protegida pelo FileVault. Um volume de não inicialização configurado para criptografia. O emblema Segurança e privacidade indica uma partição protegida pelo FileVault. Múltiplas unidades e nenhuma criptografia. NOTA: O ícone de volume sem um emblema indica que nada foi feito para o disco. Não é um disco de inicialização. 5.
4. Clique no endpoint adequado 5. Clique na guia Detalhes e ações. A área Detalhes do endpoint mostra as informações sobre o computador Mac. A área do detalhe do Shield mostra informações sobre o software cliente, incluindo o horário de início e fim da varredura da criptografia para este computador. Para visualizar as políticas em vigor, clique em Visualizar políticas em vigor na área Ações. 6. Clique na guia Políticas de segurança.
Para obter as descrições de todas as políticas, consulte AdminHelp, que está disponível por meio do Management Console. 8. Quando concluído, clique em Salvar. 9. No painel à esquerda, clique em Gerenciamento > Confirmar. O número exibido por Alterações de política pendentes é cumulativo. Ele pode incluir alterações feitas em outros endpoints, ou feitas por outros administradores que estão usando a mesma conta. 10. Digite uma descrição das alterações na caixa Comentário e clique em Confirmar políticas. 11.
NOTA: Dependendo das políticas de experiência do usuário definidas no Management Console, o software cliente pode solicitar que o usuário reinicie o computador. 8. Depois que o computador reiniciar, ele precisa estar conectado à rede para que o software cliente deposite as informações de recuperação no Dell Server. O software cliente pode começar e concluir o processo de criptografia, além de relatar o status da criptografia ao Management Console antes do login do usuário.
4. Em Pesquisar, digite o nome do usuário ou role para baixo. As contas de usuário são exibidas somente se atenderem aos critérios definidos pela política. Para usuários locais e móveis, um botão Ativar usuário é exibido. Para usuários da rede, um botão Converter e ativar usuário é exibido. NOTA: Um indicador verde é exibido ao lado de contas de usuário que podem inicializar o FileVault. 5. Clique em Ativar usuário ou Converter e ativar usuário. 6. Digite a senha para a conta selecionada e clique em OK.
Reciclagem da chave de recuperação do FileVault Caso surjam problemas de segurança com um pacote de recuperação ou se houver um volume ou chaves comprometidos, é possível reciclar o material de chave desse volume. Você pode reciclar chaves de unidades de inicialização e de não inicialização no Mac OS X. Para reciclar o material de chave: 1. Faça download de um pacote de recuperação do Management Console e copie-o na área de trabalho do computador. 2.
Para excluir um dispositivo ou um grupo de dispositivos para impedir a gravação de dados criptografados na unidade Thunderbolt ou na Encryption External Media, use a regra de lista de permissões para modificar os valores.
● Um cabo FireWire ou Thunderbolt, dependendo do hardware ● O ID do dispositivo/ID único do computador que você pretende recuperar - na maioria dos casos, você pode encontrar o computador que você pretende recuperar no Management Console, procurando pelo nome de usuário do proprietário e mostrando os dispositivos criptografados para esse usuário. O formato de ID do dispositivo/ID exclusivo é "John Doe's MacBook.Z4291LK58RH". ● A mídia de instalação Dell Processo 1.
Um volume criptografado usando o FileVault pode ser recuperado apenas a partir de uma partição Recovery HD que é gravada em todas as unidades de disco com o Mac OS X 10.9.5 ou posterior em execução. Esse requisito descarta a possibilidade de realizar uma operação de recuperação diretamente do Dell Recovery Utility. Existem dois métodos de recuperação: baseado em se a chave de recuperação do FileVault é uma chave de recuperação pessoal ou institucional. Sempre existe uma chave de recuperação válida.
2. No utilitário Dell Recovery > Selecionar Volumes, selecione o volume do FileVault. ● Em caso de recuperação de sistema operacional, a prática recomentada é inicializar a partir de um computador com o mesmo sistema operacional ou superior. ● Se você tiver volumes de não inicialização criptografados, você normalmente recuperará a partição de inicialização primeiro. 3. Clique em Continuar. 4. Localize e selecione o pacote de recuperação (salvo anteriormente) e clique em Abrir. 5.
● ● ● ● Um computador ou um volume de recuperação externo com o utilitário de recuperação instalado Uma unidade USB Um cabo Firewire A mídia de instalação Dell Management Console – Salvar o pacote de recuperação 1. Abrir o Management Console 2. No painel esquerdo, clique em Populações > Pontos de extremidade. 3. 4. 5. 6. 7. Pesquise pelo dispositivo a ser recuperado. Clique no nome do dispositivo para abrir a página Detalhe do endpoint. Clique na guia Detalhes e ações.
12. Clique em Fechar. 13. Após a inicialização do volume Recovery HD, digite o nome e o caminho do script. NOTA: Armazenar os arquivos perto da raiz de um volume encurta o caminho que você precisa digitar. A caixa de diálogo Resultado da operação de recuperação mostra a chave. O Recovery Utility gera os arquivos no local selecionado e, em seguida, mostra os comandos exatos necessários para executar a partir do volume Recovery HD para montar ou descriptografar o volume do FileVault. 14.
○ Todas as outras mídias removíveis com backups do Time Machine são baseadas na política que rege mídias não provisionadas e mídias desprotegidas. Consulte as políticas Acesso do EMS a mídias não blindáveis e Bloquear acesso do EMS a mídias não blindáveis. NOTA: Para uma nova unidade que ainda não tem backups, o usuário precisará copiar sua regra de lista de permissões para especificar a unidade da Time Machine para adição à lista de permissões. Consulte Copiar regra de lista de permissões.
O DellLogs.zip contém os registros para o Mac Encryption Enterprise and Advanced Threat Prevention. Para obter informações sobre como coletar os logs, consulte http://www.dell.com/support/article/us/en/19/SLN303924. Desinstalar o Encryption Client para Mac O software cliente pode ser desinstalado por meio do aplicativo Uninstall Dell Encryption Enterprise. Para desinstalar o software cliente, siga o procedimento abaixo.
Ativar Use este comando para ativar o cliente como administrador. Exemplo: client -a username@domain.com password admin admin Ativar temporariamente Use este comando para ativar o cliente sem deixar rastros no computador. 1. Abra um shell ou use um script para ativar o software cliente: client -em username@domain.com password 2. Use a Client Tool para recuperar as informações sobre o software cliente, suas políticas, status do disco, conta de usuário dentre outros.
NOTA: Para impedir que os usuários alterem o estado de segurança do computador, o cliente não aceita alterações na chave FirmwarePasswordMode após a instalação do software cliente. É possível alterar o valor dessa chave após a instalação ou upgrade iniciando um processo de descriptografia de disco e, em seguida, reativando a criptografia.
ou ● Uma partição FAT no volume Boot Camp externo 3. Desligue o computador com o volume Boot Camp a ser recuperado. 4. Conecte a unidade externa ao computador. Essa unidade contém o volume Boot Camp criado na etapa 1. 5. Para inicializar o computador a partir da unidade externa do Boot Camp, execute uma destas ações: ● Simultaneamente, mantenha pressionadas as teclas Command-R antes do sinal sonoro de computador ligado/autoteste e durante a inicialização.
7. Para salvar o pacote de recuperação no volume de recuperação externo ou no computador que estará executando o utilitário de recuperação para realizar a operação de recuperação, clique em Download e clique em Salvar. 8. Abra o pacote de recuperação para recuperar a senha de firmware do computador que você pretende recuperar. A senha de firmware está localizada dentro das tags string após a chave Senha de firmware.
Tabela 1.
Para sondar o Dell Server quanto a políticas atualizadas em nome do cliente e exibi-las na tela. Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -d -plist Para recuperar e imprimir o status do disco do cliente.
4 Tarefas Tópicos: • • • • • • • Instalar o Advanced Threat Prevention para Mac Verificar a instalação do Advanced Threat Prevention Coletar arquivos de log para Endpoint Security Suite Enterprise Visualizar detalhes do Advanced Threat Prevention Provisionar um locatário Configurar a atualização automática do agente do Advanced Threat Prevention Solução de problemas do Advanced Threat Prevention Instalar o Advanced Threat Prevention para Mac Esta seção ajudará você na instalação do Advanced Threat Prevent
O pacote Endpoint Security Suite Enterprise para Mac é aberto. 2. Clique duas vezes no pacote do instalador do Endpoint Security Suite Enterprise. A seguinte mensagem será mostrada: Este pacote executa um programa para determinar se o software pode ser instalado. 3. Clique em Continuar. 4. Leia o texto de boas-vindas e clique em Continuar. 5. Analise o contrato de licença, clique em Continuar e, em seguida, clique em Concordar para aceitar os termos do contrato de licença. 6.
7. No campo Porta do servidor, digite 8888 e clique em Continuar. Depois que for estabelecida uma conexão, o indicador de conectividade mudará de vermelho para verde. NOTA: A porta é a porta de serviço Servidor principal, que é configurável. O número da porta padrão é 8888. 8. Na tela de instalação, clique em Instalar. 9. Quando solicitado, digite as credenciais da conta de administrador (exigidas pelo aplicativo do instalador do Mac OS X) e clique em Instalar software. 10.
Instalação do Advanced Threat Prevention por linha de comando Para instalar o cliente do Advanced Threat Prevention usando a linha de comando, siga o procedimento a seguir. 1. Na mídia de instalação da Dell, monte o arquivo Endpoint-Security-Suite-Enterprise-.dmg. O pacote Endpoint Security Suite Enterprise para Mac é aberto. 2. Da pasta utilitários, copie o arquivo com.dell.esse.plist para a unidade local. 3. Abra o arquivo .plist. 4.
ServerHost server.organization.com ServerPort 8888 NOTA: A porta é a porta de serviço Servidor principal, que é configurável. O número da porta padrão é 8888. 5. Salve e feche o arquivo. 6. Para cada computador de destino, copie o instalador do pacote Endpoint Security Suite Enterprise para Mac para uma pasta temporária e o arquivo modificado com.dell.esse.plist para /Library/Preferences. 7.
O seguinte é exibido com as configurações padrão: Current Settings: ServerHost = deviceserver.company.com ServerPort = 8888 DisableCertTrust = False DisablePolicyCheck = False DumpXmlInventory = False DumpPolicies = False 4. Digite -help para listar as opções. 5. Para desativar o Certificado de confiança SSL no cliente, altere DisableCertTrustpara Verdadeiro. 6. Para desativar o Verificador de política de assinatura no cliente, altere DisablePolicyCheck para Verdadeiro.
Coletar arquivos de log para Endpoint Security Suite Enterprise Em Preferências do sistema > Dell Encryption Enterprise > Volumes do sistema, o botão Coletar registros no canto inferior direito permite que um administrador gere registros antes do suporte. Essa ação pode afetar o desempenho durante a coleta dos registros. O DellLogs.zip contém os registros para o Mac Encryption Enterprise and Advanced Threat Prevention. Para obter informações sobre como coletar os logs, consulte http://www.dell.
Guia Ameaças A guia Ameaças mostra todas as ameaças descobertas no dispositivo e a ação executada. Ameaças são uma categoria de eventos recém-detectados como arquivos ou programas potencialmente inseguros e exigem correção orientada. A coluna Categoria pode incluir o seguinte.
● Encerrar - a chamada de processo é bloqueada se um aplicativo tenta chamar um processo de violação de memória. O aplicativo que fez a chamada é encerrado. Os seguintes tipos de exploit são detectados: ● Stack Pivot ● Proteção de pilha ● Pesquisa de memória de scanner ● Carga mal-intencionada Para obter mais informações sobre essas políticas de exploit, consulte o AdminHelp, disponível no Console de gerenciamento. Guia Eventos NOTA: Um evento não é necessariamente uma ameaça.
Provisionar um locatário 1. Como um administrador Dell, faça login no Management Console. 2. No painel esquerdo do Management Console, clique em GerenciamentoGerenciamento de serviços. 3. Clique em Configurar o serviço Advanced Threat Protection. Importe as licenças do Advanced Threat Prevention, caso ocorra uma falha nesse ponto. 4. A instalação guiada começa logo após a importação das licenças. Clique em Avançar para começar. 5. Leia e concorde com o EULA e clique em Avançar. 6.
Tarefas 49
O diagrama a seguir ilustra o processo de comunicação do agente do Advanced Threat Prevention.
5 Glossário Security Server - Usado para ativações do Dell Encryption. Policy Proxy - Usado para distribuir políticas para o software cliente. Management Console - Console administrativo do Dell Server para a implantação em toda a empresa. Shield - É possível que você veja este nome na documentação e nas interfaces do usuário. "Shield" é um nome usado para o Dell Encryption.