Dell Endpoint Security Suite Enterprise for Mac Guia do Administrador v2.9 Março de 2021 Rev.
Notas, avisos e advertências NOTA: Uma NOTA fornece informações importantes para ajudar a utilizar melhor o produto. AVISO: Um AVISO indica possíveis danos no hardware ou uma perda de dados e explica como pode evitar esse problema. ADVERTÊNCIA: Uma ADVERTÊNCIA indica possíveis danos no equipamento, lesões corporais ou morte. © 2012-2021 Dell Inc. All rights reserved.
Índice Capítulo1: Introdução...................................................................................................................... 5 Descrição geral.......................................................................................................................................................................5 Encriptação FileVault.............................................................................................................................................................
Utilizar o Boot Camp..................................................................................................................................................... 34 Como obter uma palavra-passe de firmware.............................................................................................................35 Client Tool.......................................................................................................................................................................
1 Introdução O Guia do administrador do Endpoint Security Suite Enterprise para Mac fornece as informações necessárias para implementar e instalar o software cliente. Tópicos • • • Descrição geral Encriptação FileVault Contacte o Dell ProSupport Descrição geral O Endpoint Security Suite Enterprise para Mac proporciona Advanced Threat Prevention no sistema operativo e nas camadas de memória e encriptação, tudo isto gerido de forma central a partir do Dell Server.
2 Requisitos Os requisitos de hardware e software do cliente são apresentados neste capítulo. Certifique-se de que o ambiente de implementação cumpre os requisitos antes de continuar as tarefas de implementação. Tópicos • • Cliente Encryption Advanced Threat Prevention Cliente Encryption Hardware do Encryption Client Os requisitos mínimos de hardware necessitam atender as especificações mínimas do sistema operativo.
● FAT32 ● exFAT ● São suportados suportes HFS Plus (MacOS Extended) formatados com esquemas de partição Registo de arranque principal (MBR) ou Tabela de partições GUID (GPT). Consulte Ativar HFS Plus. NOTA: O suporte externo tem de ter 55 MB disponíveis, bem como espaço livre no suporte igual ao maior ficheiro a encriptar para alojar o Encryption External Media.
Software Advanced Threat Prevention A tabela seguinte lista os softwares suportados. Sistemas operativos (kernels de 64 bits) ● Mac OS X Mavericks 10.9.5 ● Mac OS X Yosemite 10.10.5 ● macOS Sierra 10.12.6 NOTA: Mac OS X Mavericks 10.9.5, Mac OS X Yosemite 10.10.5 e macOS Sierra 10.12 apenas são compatíveis com o Advanced Threat Prevention e não com o cliente de Encriptação. ● macOS High Sierra 10.13.
Funcionalid Políticas ades Windows macOS Linux Quarentena automática (não seguro) x x x Quarentena automática (anormal) x x x Carregamento automático x x x Lista segura de políticas x x x Proteção de memória x x x Stack Pivot x x x Proteção de pilha x x x Substituir código x n/a Scraping de RAM x n/a Payload malicioso x Ações da memória Exploração Injeção de processo Alocação remota de memória x x n/a Mapeamento remoto de memória x x n/a Escrita remota na me
Funcionalid Políticas ades Windows macOS Linux Monitorizar para ver se há novos ficheiros x x x Tamanho máximo de ficheiro de arquivo a verificar x x x Excluir pastas específicas x x x Copiar amostras de ficheiros x Controlo da aplicação Alterar janela x Exclusões de pastas x x Definições do agente Ativar o carregamento automático de ficheiros de registo x Ativar notificações do ambiente de trabalho x x x Controlo de script 10 Script ativo x Powershell x Macros do Office
3 Tarefas para o cliente de encriptação Tópicos • • • • • • • • • • Instalar/Atualizar o o cliente de encriptação Ativar o cliente de encriptação Ver o estado e a política de encriptação Volumes do sistema Recuperação Suporte multimédia amovível Recolher ficheiros de registo para o Endpoint Security Suite Enterprise Desinstalar o cliente de encriptação para Mac Ativação como administrador Referência do cliente de encriptação Instalar/Atualizar o o cliente de encriptação Esta secção vai guiá-lo através do
● Se a sua implementação utilizar uma configuração não predefinida, certifique-se de que sabe o número de porta do Security Server. É necessário para a instalação e a ativação do software cliente. ● Certifique-se de que o computador de destino tem ligação por rede ao Security Server e ao proxy de políticas. ● Certifique-se de que tem uma conta de utilizador de domínio na instalação do Active Directory configurada para utilizar com o Dell Server.
16. Quando a instalação estiver concluída, clique em Reiniciar. 17. Com uma nova instalação do Endpoint Security Suite Enterprise, é apresentada a caixa de diálogo Extensão do sistema bloqueada . Para consentimento por kext, é apresentada uma ou ambas as caixas de diálogo. Extensão do Sistema Bloqueada Extensão do Sistema Bloqueada a. Clique em OK. b. Clique em OK. c. Para aprovar estas extensões, selecione Preferências do sistema > Segurança e Privacidade. d.
* NoAuthenticateUsers [In this sample code, users from a specific domain name can log in without being prompted to activate against the Dell Server.] dsAttrTypeStandard:AuthenticationAuthority ;Kerberosv5;;*@domainName.com;domainName.com* NoAuthenticateUsers [In this sample code, specific users can log in without being prompted to authenticate against the Dell Server.
EMSTreatsUnsupportedFileSystemAs ignore [For handling Mac OS Extended media. Possible values are ignore, provisioningRejected, or unshieldable. ignore - the media is usable (default). provisioningRejected - retains the value in the Dell Server policy, EMS Access to unShielded Media. unshieldable - If the EMS Access to unShielded Media policy is set to Block, the media is ejected.
Ativar o cliente de encriptação O processo de ativação associa as contas de utilizadores de rede do Dell Server ao computador Mac e obtém as políticas de segurança de cada conta, envia atualizações de inventário e de estado, ativa fluxos de trabalho de recuperação e comunicações de conformidade exaustivas. O software cliente executa o processo de ativação para cada conta de utilizador que encontrar no computador, à medida que cada utilizador iniciar sessão na sua conta.
Clique em Atualizar para verificar as atualizações de políticas. A Management Console lista as políticas Mac nos seguintes grupos de tecnologia: ● Encriptação Mac ● Encriptação de suportes amovíveis As políticas que definir dependem dos requisitos de encriptação da sua empresa. Esta tabela indica as opções de política. Encriptação Mac > Encriptação de volume Dell Para High Sierra e versões superiores, ambas as políticas têm de estar ativadas.
"Distrito", Descrição O volume não pode ser redimensionado O software cliente não pode iniciar a encriptação, pois o volume não pode ser redimensionado adequadamente. Depois de receber esta mensagem, contacte o Dell ProSupport e forneça os ficheiros de registo. Reparação necessária antes do início da encriptação O volume não conseguiu verificar o Utilitário do disco. Para reparar um volume, siga as instruções no artigo do Suporte Apple HT1782 (http:// support.apple.com/kb/HT1782).
Distintivo Tipo de volume e estado Um volume configurado para encriptação. O distintivo Segurança e Privacidade indica uma partição protegida pelo FileVault. Um volume que não é de arranque configurado para encriptação. O distintivo Segurança e Privacidade indica uma partição protegida pelo FileVault. Várias unidades e nenhuma encriptação. NOTA: O ícone do volume sem um distintivo indica que nada foi feito ao disco. Este não é um disco de arranque. 5.
4. Clique no endpoint apropriado. 5. Clique no separador Detalhes e ações. A secção Detalhes do endpoint apresenta informações sobre o computador Mac. A área de detalhes Shield apresenta informações sobre o software cliente, incluindo as horas de início e fim do varrimento de encriptação neste computador. Para ver as políticas aplicadas, na secção Ações, clique em Ver políticas aplicadas. 6. Clique no separador Políticas de segurança.
Para obter descrições de todas as políticas, consulte AdminHelp que está disponível a partir da Management Console. 8. Quando terminar, clique em Guardar. 9. No painel da esquerda, clique em Gestão > Consolidar. O número apresentado em Alterações às políticas pendentes é cumulativo. Pode incluir as alterações efetuadas noutros endpoints ou efetuadas por outros administradores que estão a utilizar a mesma conta. 10. Introduza uma descrição das alterações na caixa Comentário e clique em Consolidar políticas.
Consoante as políticas de experiência do utilizador definidas na Management Console, o software cliente pode solicitar ao utilizador que reinicie o computador. 8. Após o reinício do computador, este deve ser ligado a uma rede para que o software cliente deposite as informações de recuperação no Dell Server. O software cliente pode iniciar e concluir o processo de encriptação, bem como comunicar o estado de encriptação à Management Console antes de o utilizador iniciar a sessão.
3. Prima a tecla Control e clique na unidade Volume do sistema e selecione Adicionar utilizadores do FileVault ao arranque do FileVault. 4. Em Procurar, introduza o nome de um utilizador ou percorra para baixo. As contas de utilizador só serão apresentadas se reunirem os critérios definidos pela política. É apresentado um botão Ativar utilizador aos utilizadores locais e móveis. É apresentado um botão Converter e ativar utilizador aos utilizadores de rede.
Reciclar chaves de recuperação do FileVault Se tem problemas de segurança com um pacote de recuperação ou se um volume ou chaves estão comprometidas, pode reciclar o material de chave desse volume. Pode reciclar chaves para unidades de arranque e de não arranque no Mac OS X. Para reciclar o material de chave: 1. Transfira um pacote de recuperação da Management Console e copie-o para o ambiente de trabalho do computador. 2. Inicie Preferências do sistema e clique em Dell Encryption Enterprise. 3.
Para excluir um dispositivo ou um grupo de dispositivos para evitar a escrita de dados encriptados na unidade Thunderbolt ou em suportes Encryption External Media, utilize a regra da lista de permissões para modificar os valores.
● Um cabo FireWire ou Thunderbolt, consoante o hardware ● O ID do dispositivo/ID único do computador visado para recuperação - Na maioria dos casos, pode encontrar o computador visado para recuperação na Management Console ao pesquisar o nome de utilizador do proprietário e visualizar os dispositivos encriptados para esse utilizador. O formato do ID único/ID do dispositivo é "MacBook.Z4291LK58RH de Fulano de Tal". ● O suporte multimédia de instalação da Dell Processo 1.
Um volume encriptado pelo FileVault pode ser recuperado apenas a partir de uma partição Recovery HD que está escrita em todas as unidades de disco executadas no Mac OS X 10.9.5 ou posterior. Este requisito elimina a possibilidade de executar uma operação de recuperação diretamente a partir do utilitário Dell Recovery. Existem dois métodos de recuperação, dependendo do facto de a chave de recuperação do FileVault ser uma chave de recuperação pessoal ou institucional.
2. Em Utilitário de recuperação Dell > Selecionar volumes, selecione o volume FileVault. ● Ao recuperar um sistema operativo, a melhor prática é iniciar um computador com o mesmo sistema operativo ou posterior. ● Se tem volumes de não arranque encriptados, por norma, terá de recuperar a partição de arranque primeiro. 3. Clique em Continuar. 4. Localize e selecione o pacote de recuperação (guardado anteriormente) e clique em Abrir. 5.
● ● ● ● Um volume de recuperação externo ou computador que irá executar o utilitário de recuperação Uma unidade USB Um cabo Firewire O suporte multimédia de instalação da Dell Management Console - Guardar o pacote de recuperação 1. Abra a Management Console. 2. No painel esquerdo, clique em Populações > Endpoints. 3. 4. 5. 6. 7. Procure o dispositivo a recuperar. Clique no nome do dispositivo para abrir a página Detalhe do Endpoint. Clique no separador Detalhes e ações.
12. Clique em Fechar. 13. Depois do volume do Recovery HD reiniciar, introduza o nome e o caminho do script. NOTA: Armazenar os ficheiros perto da raiz de um volume encurta o caminho que precisará de introduzir. O Resultado da Operação de Recuperação apresenta a chave. O utilitário Recovery envia os ficheiros para a localização selecionada e, em seguida, apresenta os comandos exatos que precisa de executar a partir do volume Recovery HD para montar ou desencriptar o volume FileVault. 14.
○ Todos os outros suportes amovíveis com cópias de segurança Time Machine baseiam-se em políticas que regem os suportes de dados não indicados e os suportes de dados não protegidos. Consulte as políticas Acesso EMS a suporte UnShieldable e Bloqueio EMS a suporte UnShieldable. NOTA: Para uma nova unidade que ainda não tenha cópias de segurança, o utilizador deve copiar a respetiva regra de lista branca e enviar-lhe a regra para especificar a sua unidade Time Machine para integrar a lista de permissões.
Os ficheiros DellLogs.zip contêm os registos da Mac Encryption Enterprise e Advanced Threat Prevention. Para mais informações sobre como recolher os registos, consulte http://www.dell.com/support/article/us/en/19/SLN303924. Desinstalar o cliente de encriptação para Mac O software cliente pode ser desinstalado através da execução da aplicação Uninstall Dell Encryption Enterprise. Para desinstalar o software cliente, siga os passos abaixo.
Ativar Utilize este comando para ativar o cliente como administrador. Exemplo: client -a username@domain.com password admin admin Ativar temporariamente Utilize este comando para ativar o cliente sem deixar rastro no computador. 1. Abra uma shell ou utilize um script para ativar o software cliente: client -at username@domain.com password 2. Utilize o Client Tool para obter informações sobre o software cliente, as suas políticas, o estado do disco, a conta de utilizador e mais.
da palavra-passe do firmware não seja imposta. Após a instalação ou atualização, o cliente avalia o ficheiro instalador modificado com.dell.ddp.plist durante o reinício. NOTA: Para impedir que os utilizadores alterem a postura de segurança do computador, o cliente não aceita as alterações efetuadas à FirmwarePasswordMode após a instalação do software cliente.
● Unidade USB de arranque ou em ● Partição FAT no volume Boot Camp externo 3. Desligue o computador com o volume Boot Camp para efetuar a recuperação. 4. Ligue a unidade externa ao computador. Esta unidade contém o volume Boot Camp criado no passo 1. 5. Para arrancar o computador a partir de uma unidade Boot Camp externa, efetue um destes passos: ● Prima em simultâneo as teclas Command-R antes do sinal sonoro de Power-On/Self-Test e durante o arranque do computador.
7. Para guardar o pacote de recuperação no volume de recuperação externo ou no computador que executará o utilitário de recuperação para realizar a operação de recuperação, clique em Transferir e clique em Guardar. 8. Abra o pacote de recuperação para obter a palavra-passe de firmware para o computador alvo da recuperação. A palavra-passe de firmware encontra-se localizada nas etiquetas de string depois da chave FirmwarePassword.
Tabela 1. Comandos do Client Tool (continuação) Comando Propósito Sintaxe Resultados Se forem apresentadas chavetas vazias, significa que não existem discos encriptados.
Para obter as políticas do cliente e imprimi-las. Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -at -plist localAccount domainAccount domainPassword Para ativar o cliente temporariamente e imprimir o resultado. Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -s ; echo$? Para consultar o Dell Server para atualizar as políticas em nome do cliente e apresentá-las no ecrã. Library/PreferencePanes/Dell\ Encryption\Enterprise.
4 Tarefas Tópicos • • • • • • • Instalar o Advanced Threat Prevention for Mac Verificar a instalação do Advanced Threat Prevention Recolher ficheiros de registo para o Endpoint Security Suite Enterprise Ver detalhes do Advanced Threat Prevention Configurar um inquilino Configurar a atualização automática do Advanced Threat Prevention Resolução de problemas do Advanced Threat Prevention Instalar o Advanced Threat Prevention for Mac Esta secção vai guiá-lo através da instalação do Advanced Threat Prevention
2. Faça duplo clique no instalador do pacote Endpoint Security Suite Enterprise. É apresentada a seguinte mensagem: Este pacote executa um programa que determinará se o software pode ser instalado. 3. Clique em Continuar. 4. Leia o texto de Boas-vindas e clique em Continuar. 5. Leia o acordo da licença, clique em Continuar e clique em Aceito para aceitar os termos do acordo da licença. 6.
7. No campo Porta do servidor, introduza 8888 e clique em Continuar. Assim que a ligação tiver sido estabelecida, o indicador de conectividade muda de vermelho para verde. NOTA: A porta é a porta de serviço do Core Server, que é configurável. O número de porta predefinido é 8888. 8. No ecrã Instalação, clique em Instalar. 9. Quando solicitado, introduza as credenciais da conta de administrador (exigidas pela aplicação de instalação para o Mac OS X) e, em seguida, clique em Instalar Software. 10.
Instalação do Advanced Threat Prevention através da linha de comandos Para instalar o cliente Advanced Threat Prevention através da linha de comandos, siga os passos abaixo. 1. A partir do suporte de instalação da Dell, instale o ficheiro Endpoint-Security-Suite-Enterprise-.dmg. O pacote do Endpoint Security Suite Enterprise para Mac abre-se. 2. Na pasta Utilitários, copie o ficheiro com.dell.esse.plist para a unidade de disco local. 3. Abra o ficheiro .plist.
4. Edite os valores de variáveis com o nome do anfitrião totalmente qualificado do Dell Server para gerir o utilizador pretendido, por exemplo server.organization.com, e o número da porta 8888: ServerHost server.organization.
1. No cliente, abra uma janela Terminal. 2. Introduza o caminho para a DellCSFConfig.app: cd /Volumes/Endpoint\ Security\ Suite\ Enterprise\ for\ Mac/Utilities/DellCSFConfig.app/ Contents/MacOS/ 3. Execute a DellCSFConfig.app: sudo DellCSFConfig.app/Contents/MacOS/DellCSFConfig São apresentadas as seguintes predefinições: Current Settings: ServerHost = deviceserver.company.com ServerPort = 8888 DisableCertTrust = False DisablePolicyCheck = False DumpXmlInventory = False DumpPolicies = False 4.
● N.º de série - Utiliza esta função quando contactar a assistência técnica. Este é o identificador único da instalação. 3. Em /Applications, é criada a pasta Advanced Threat Prevention. Recolher ficheiros de registo para o Endpoint Security Suite Enterprise Em Preferências do sistema > Dell Encryption Enterprise > Volumes do sistema , um botão Recolher de registos no canto inferior direito permite que um administrador pré-gere registos para suporte.
Separador Ameaças O separador Ameaças apresenta todas as ameaças detetadas no dispositivo e a ação adotada. As ameaças são uma categoria de eventos que são recém-detetados como ficheiros ou programas potencialmente inseguros e requerem uma correção orientada. A coluna Categorias pode incluir as seguintes.
● Terminar - A invocação do processo é bloqueada se uma aplicação tentar invocar um processo de violação de memória. A aplicação que fez a invocação é terminada. São detetados os seguintes tipos de exploits: ● Stack Pivot ● Proteção de pilha ● Pesquisa de memória do detetor de vírus ● Payload malicioso Para mais informações sobre as políticas de Exploits, consulte AdminHelp, disponível na Management Console. Separador Eventos NOTA: Um evento não é necessariamente uma ameaça.
Configurar um inquilino 1. Como administrador Dell, inicie sessão na Management Console. 2. No painel esquerdo da Management Console, clique em Gestão > Gestão de serviços. 3. Clique em Configurar serviço Advanced Threat Protection. Se ocorrer qualquer falha neste momento, importe as suas licenças Advanced Threat Prevention. 4. A configuração com assistente é iniciada imediatamente após as licenças serem importadas. Clique em Seguinte para começar. 5. Leia e aceite o EULA e clique em Seguinte. 6.
Tarefas 49
O diagrama seguinte ilustra o processo de comunicação do agente do Advanced Threat Prevention.
5 Glossário Security Server - Utilizado para ativações do Dell Encryption. Policy Proxy - Utilizado para distribuir políticas para o software cliente. Management Console - A consola de administração do Dell Server para implementação em toda a empresa. Shield - Ocasionalmente, poderá ver este nome na documentação e nas interfaces do utilizador. "Shield" é um nome utilizado para representar o Dell Encryption.