Dell Endpoint Security Suite Enterprise for Mac Guia do administrador v2.8 August 2020 Rev.
Notas, avisos e advertências NOTA: Uma NOTA indica informações importantes que ajudam você a usar melhor o seu produto. CUIDADO: um AVISO indica possíveis danos ao hardware ou a possibilidade de perda de dados e informa como evitar o problema. ATENÇÃO: uma ADVERTÊNCIA indica possíveis danos à propriedade, lesões corporais ou risco de morte. © 2012-2020 Dell Inc. All rights reserved.
Índice Capítulo 1: Introdução..................................................................................................................... 5 Visão geral.............................................................................................................................................................................. 5 Criptografia FileVault.........................................................................................................................................................
Como usar o Boot Camp.............................................................................................................................................. 33 How to Retrieve a Firmware Password......................................................................................................................34 Client Tool.......................................................................................................................................................................
1 Introdução O Guia do administrador do Endpoint Security Suite Enterprise para Mac fornece as informações necessárias para implantar e instalar o software cliente. Tópicos: • • • Visão geral Criptografia FileVault Contact Dell ProSupport Visão geral O Endpoint Security Suite Enterprise para Mac oferece o Advanced Threat Prevention no sistema operacional, nas camadas de memória e na criptografia, com gerenciamento centralizado pelo Dell Server.
2 Requisitos Os requisitos de hardware e software de cliente são apresentados neste capítulo. Verifique se o ambiente de implementação atende aos requisitos antes de continuar com as tarefas de implementação. Tópicos: • • Cliente Encryption Advanced Threat Prevention Cliente Encryption Hardware do Encryption Client Os requisitos mínimos de hardware precisam atender às especificações mínimas do sistema operacional.
• Mídia formatada HFS Plus (MacOS Extended) com esquemas de partição de Registro da Inicialização Mestre (MBR) ou Tabela de Partição GUID (GPT). Consulte Ativar o HFS Plus. NOTA: A mídia externa precisa ter 55 MB disponíveis, além de espaço livre na mídia igual ao maior arquivo a ser criptografado para hospedar o Encryption External Media.
Sistemas operacionais (kernels de 64 bits) • • • Mac OS X Mavericks 10.9.5 Mac OS X Yosemite 10.10.5 macOS Sierra 10.12.6 NOTA: Mac OS X Mavericks 10.9.5, Mac OS X Yosemite 10.10.5 e macOS Sierra 10.12 são compatíveis apenas com Advanced Threat Prevention, e não com o Encryption Client. • macOS High Sierra 10.13.6 NOTA: Consulte o Software Encryption Client para obter as versões macOS High Sierra específicas compatíveis com o Encryption Client. • macOS Mojave 10.14.5 - 10.14.
Recursos Políticas Windows macOS Linux Upload automático x x x Lista de arquivos seguros da política x x x x x x Stack Pivot x x x Proteção de pilha x x x Substituir código x n/d RAM Scraping x n/d Carga mal-intencionada x Ações de memória Proteção de memória Vulnerabilidade Injeção de processo Alocação remota de memória x x n/d Mapeamento remoto de memória x x n/d Gravação remota na memória x x n/d Gravação remota de PE na memória x n/d n/d Substituir código
Recursos Políticas Windows macOS Linux Tamanho máximo do arquivo morto a ser verificado x x x Excluir pastas específicas x x x Cópia de amostras de arquivo x Controle de aplicativos Alterar janela x Exclusões de pasta x x Configurações do agente Habilitar upload automático de arquivos de log x Habilitar notificações da área de trabalho x x x Controle de scripts 10 Script ativo x Powershell x Macros do Office x Bloquear uso do console do PowerShell x Aprovar scripts nessas
3 Tarefas para o Encryption Client Tópicos: • • • • • • • • • • Instalar/Fazer upgrade do the Encryption Client Ativar o Encryption Client Visualizar a política e o status da criptografia Volumes do sistema Recuperação Mídia removível Coletar arquivos de log para Endpoint Security Suite Enterprise Desinstalar o Encryption Client para Mac Activation as Administrator Referência do Encryption Client Instalar/Fazer upgrade do the Encryption Client Esta seção ajudará você na instalação/upgrade e no processo de
• • • Se a implantação usar uma configuração que não é a padrão, certifique-se de conhecer o número da porta do Servidor de segurança. Ele é necessário para a instalação e a configuração do software cliente. Certifique-se de que o computador de destino tenha conectividade de rede com o Servidor de segurança e com o Proxy de política. Certifique-se de que haja uma conta de usuário de domínio configurada na instalação do Active Directory para ser usada com o Dell Server.
17. Em uma nova instalação do Endpoint Security Suite Enterprise, a caixa de diálogo Extensão do Sistema Bloqueada é exibida. Para o consentimento do kext, uma ou ambas as caixas de diálogo são exibidas. Extensão do sistema bloqueada Extensão do sistema bloqueada a. Clique em OK. b. Clique em OK. c. Para aprovar essas extensões, selecione Preferências do Sistema > Segurança e Privacidade. d. Clique em Permitir ao lado de Software de sistema do desenvolvedor Credant Technologies. e. Clique em OK.
NoAuthenticateUsers [In this sample code, users from a specific domain name can log in without being prompted to activate against the Dell Server.] dsAttrTypeStandard:AuthenticationAuthority ;Kerberosv5;;*@domainName.com;domainName.com* NoAuthenticateUsers [In this sample code, specific users can log in without being prompted to authenticate against the Dell Server.
provisioningRejected, or unshieldable. ignore - the media is usable (default). provisioningRejected - retains the value in the Dell Server policy, EMS Access to unShielded Media. unshieldable - If the EMS Access to unShielded Media policy is set to Block, the media is ejected. If the EMS Access to unShielded Media policy is not set to Block, it is usable as provisioningRejected. The key and value are case sensitive.] ClientActivationTimeout 120 [Range: 5 to 300, inclusive.
Ativar o Encryption Client O processo de ativação associa contas de usuário de rede do Dell Server ao computador Mac, recupera todas as políticas de segurança da conta, envia atualizações de inventário e de status, ativa fluxos de trabalho de recuperação e fornece relatórios de conformidade abrangentes. O software cliente executa o processo de ativação de cada conta de usuário que encontra no computador à medida que cada usuário faz login na sua conta de usuário.
O Management Console mostra em uma lista as políticas para Mac nesses grupos de tecnologia: • • Criptografia para Mac Criptografia de mídia removível As políticas definidas dependem dos requisitos de criptografia da sua empresa. Esta tabela lista as opções de política. Criptografia para Mac > Dell Volume Encryption Para o High Sierra e posteriores, essas duas políticas devem ser ativadas. Para o Sierra e as versões anteriores, consulte as versões anteriores da documentação.
Estado Descrição Reparo necessário antes de iniciar a criptografia O volume falhou durante a verificação do Utilitário de disco. Preparação para criptografia concluída. Reinicialização pendente A criptografia começará depois da reinicialização. Conflito de política de criptografia O disco não pode ser colocado conforme a política porque ele está criptografado com uma configuração incorreta. Consulte Criptografar usando FileVault para Mac.
Emblema Tipo de volume e status Um volume de não inicialização configurado para criptografia. O emblema Segurança e privacidade indica uma partição protegida pelo FileVault. Múltiplas unidades e nenhuma criptografia. NOTA: O ícone de volume sem um emblema indica que nada foi feito para o disco. Não é um disco de inicialização. 5. Clique na guia Mídia removível para exibir o status de volumes direcionados para criptografia.
Para visualizar as políticas em vigor, clique em Visualizar políticas em vigor na área Ações. 6. Clique na guia Políticas de segurança. Nesta guia, você pode expandir os tipos de políticas e alterar políticas individuais. a. Quando concluído, clique em Salvar. b. No painel à esquerda, clique em Gerenciamento > Confirmar. NOTA: O número exibido por Alterações de política pendentes é cumulativo.
11. Para ver a configuração de política no computador local depois que o Dell Server enviar a política, clique em Atualizar no painel de Políticas das preferências do Dell Encryption Enterprise. Processo de criptografia O processo de criptografia varia dependendo do estado do volume de inicialização quando a criptografia é ativada. NOTA: Para manter a integridade dos dados do usuário, o software cliente não começa a criptografia de um volume até que o processo de verificação seja bem-sucedido nesse volume.
Modificar a política para adicionar usuários do FileVault O FileVault protege os dados de um disco automaticamente, por meio da criptografia. Em um volume de boot gerenciado do FileVault, para permitir que vários usuários desbloqueiem o disco, você pode modificar uma diretiva no Management Console e usar o dicionário de nomes e valores de registro do OpenDirectory para permitir que os usuários se adicionem ao disco FileVault. 1.
Assumir o Gerenciamento de um volume existente criptografado por FileVault Se o computador já tiver um volume criptografado por FileVault e a criptografia FileVault estiver ativada no Management Console, o Dell Encryption pode assumir o gerenciamento do volume. Se o Dell Encryption detectar que o volume de inicialização já está criptografado, a caixa de diálogo do Dell Encryption Enterprise é exibida. Para permitir que o Dell Encryption assuma o gerenciamento do volume, execute este procedimento. 1.
6. Clique em OK. NOTA: As chaves dessa unidade contidas nesse pacote de recuperação estão agora obsoletas. Você precisa fazer download de um novo pacote de recuperação do Management Console. Experiência do usuário Para a máxima segurança, o software cliente desativa o recurso Login automático dos computadores Mac OS X. Além disso, o software cliente automaticamente impõe o recurso exigir senha após o início da suspensão ou da proteção de tela do Mac OS X.
tem a forma de um número inteiro decimal com um sufixo opcional de {K, M, G, T} alinhado em 1000, e não 1024.
Inicialize o computador que você pretende recuperar no modo de disco de destino. Você pode executar essa ação iniciando o painel do Disco de inicialização em Preferências do sistema e clicando em Modo de disco de destino, ou mantendo pressionada a tecla T enquanto reinicia o computador. NOTA: A proteção por senha de firmware impede o uso da tecla T para colocar o computador no modo de disco de destino durante a inicialização.
• A mídia de instalação Dell Management Console – Salvar o pacote de recuperação 1. 2. 3. 4. 5. 6. 7. Abrir o Management Console No painel esquerdo, clique em Populações > Pontos de extremidade. Pesquise pelo dispositivo a ser recuperado. Clique no nome do dispositivo para abrir a página Detalhe do endpoint. Clique na guia Detalhes e ações. Em Detalhe do Shield, clique no link Chaves de recuperação do dispositivo.
6. Digite a chave de recuperação e pressione Enter. 7. Na caixa de diálogo, digite uma senha nova para o usuário. Opções para recuperar um volume de não inicialização (raramente usado) - Realize um dos seguintes procedimentos: Recuperar um volume de não inicialização Se o volume de inicialização for danificado ou apagado e existirem volumes secundários, você poderá montar esses volumes de não inicialização. 1. Clique em Desbloquear. O volume é montado. 2. Clique em Fechar.
A caixa de diálogo Instruções de recuperação do FileVault é exibida. 9. Leia as instruções e clique em Continuar. A caixa de diálogo Confirmar operação de recuperação é exibida. 10. Destaque o volume do FileVault a ser recuperado e clique em Continuar. A caixa de diálogo Escolher local para arquivos de recuperação é mostrada, solicitando que você selecione um local para armazenar os arquivos de recuperação.
Ativar o HFS Plus Para ativar o HFS Plus, adicione o seguinte ao arquivo .plist. EMSHFSPlusOptIn NOTA: A Dell recomenda testar essa configuração antes de introduzi-la no ambiente de produção. O HFS Plus não suporta: • • • Controle de versão - dados de controle de versão existentes são removidos do disco. Links físicos - durante uma varredura de criptografia da mídia removível, o arquivo não é criptografado. Uma caixa de diálogo recomenda ejetar a mídia.
Para obter mais informações, consulte AdminHelp. Coletar arquivos de log para Endpoint Security Suite Enterprise Em Preferências do sistema > Dell Encryption Enterprise > Volumes do sistema, o botão Coletar registros no canto inferior direito permite que um administrador gere registros antes do suporte. Essa ação pode afetar o desempenho durante a coleta dos registros. O DellLogs.zip contém os registros para o Mac Encryption Enterprise and Advanced Threat Prevention.
Não ative o software cliente em mais de cinco computadores com a mesma conta de rede. Isso poderia deixar o Dell Server com graves vulnerabilidades de segurança e desempenho degradado. Pré-requisitos • • O Encryption client para Mac precisa ser instalado no computador remoto. Não o ative através da interface do usuário do cliente sem antes tentar ativá-lo a partir de um local remoto. Ativar Use este comando para ativar o cliente como administrador. Exemplo: client -a username@domain.
Os computadores Mac usam a proteção por senha de firmware para melhorar a segurança de acesso do computador. Por padrão, nos computadores Mac, a proteção é DESATIVADA. Durante a instalação do cliente, seja uma nova instalação ou um upgrade de uma versão anterior do cliente, é possível editar o arquivo com.dell.ddp.plist existente para permitir que a chave FirmwarePasswordMode seja definida como Obrigatória ou Opcional.
Processo 1. Em uma unidade externa, crie um volume Boot Camp. O procedimento é semelhante à criação de um volume Boot Camp no seu sistema local. Consulte http://www.apple.com/support/ bootcamp/. 2. No Management Console, copie o pacote de recuperação para uma das seguintes opções: • Uma unidade USB inicializável ou • Uma partição FAT no volume Boot Camp externo 3. Desligue o computador com o volume Boot Camp a ser recuperado. 4. Conecte a unidade externa ao computador.
3. 4. 5. 6. 7. Pesquise pelo dispositivo a ser recuperado. Clique no nome do dispositivo para abrir a página Detalhe do endpoint. Clique na guia Detalhes e ações. Em Detalhe do Shield, clique no link Chaves de recuperação do dispositivo. Para salvar o pacote de recuperação no volume de recuperação externo ou no computador que estará executando o utilitário de recuperação para realizar a operação de recuperação, clique em Download e clique em Salvar. 8.
Tabela 1. Comandos da Client Tool (continuação) Comando Finalidade Sintaxe Resultados Se o comando retornar chaves vazias, não há discos criptografados.
Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -at -plist localAccount domainAccount domainPassword Para ativar temporariamente o cliente e imprimir o resultado. Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -s ; echo$? Para sondar o Dell Server quanto a políticas atualizadas em nome do cliente e exibi-las na tela. Library/PreferencePanes/Dell\ Encryption\Enterprise.
4 Tarefas Tópicos: • • • • • • • Instalar o Advanced Threat Prevention para Mac Verificar a instalação do Advanced Threat Prevention Coletar arquivos de log para Endpoint Security Suite Enterprise Visualizar detalhes do Advanced Threat Prevention Provisionar um locatário Configurar a atualização automática do agente do Advanced Threat Prevention Solução de problemas do Advanced Threat Prevention Instalar o Advanced Threat Prevention para Mac Esta seção ajudará você na instalação do Advanced Threat Prevent
2. Clique duas vezes no pacote do instalador do Endpoint Security Suite Enterprise. A seguinte mensagem será mostrada: Este pacote executa um programa para determinar se o software pode ser instalado. 3. Clique em Continuar. 4. Leia o texto de boas-vindas e clique em Continuar. 5. Analise o contrato de licença, clique em Continuar e, em seguida, clique em Concordar para aceitar os termos do contrato de licença. 6.
7. No campo Porta do servidor, digite 8888 e clique em Continuar. Depois que for estabelecida uma conexão, o indicador de conectividade mudará de vermelho para verde. NOTA: A porta é a porta de serviço Servidor principal, que é configurável. O número da porta padrão é 8888. 8. Na tela de instalação, clique em Instalar. 9. Quando solicitado, digite as credenciais da conta de administrador (exigidas pelo aplicativo do instalador do Mac OS X) e clique em Instalar software. 10.
Instalação do Advanced Threat Prevention por linha de comando Para instalar o cliente do Advanced Threat Prevention usando a linha de comando, siga o procedimento a seguir. 1. Na mídia de instalação da Dell, monte o arquivo Endpoint-Security-Suite-Enterprise-.dmg. O pacote Endpoint Security Suite Enterprise para Mac é aberto. 2. Da pasta utilitários, copie o arquivo com.dell.esse.plist para a unidade local. 3. Abra o arquivo .plist.
4. Edite os valores do espaço reservado com o nome do host totalmente qualificado do Dell Server para gerenciar o usuário de destino, como server.organization.com, e o número da porta 8888: ServerHost server.organization.
1. No cliente, abra uma janela Terminal. 2. Digite o caminho do DellCSFConfig.app: cd /Volumes/Endpoint\ Security\ Suite\ Enterprise\ for\ Mac/Utilities/DellCSFConfig.app/ Contents/MacOS/ 3. Execute o DellCSFConfig.app: sudo DellCSFConfig.app/Contents/MacOS/DellCSFConfig O seguinte é exibido com as configurações padrão: Current Settings: ServerHost = deviceserver.company.com ServerPort = 8888 DisableCertTrust = False DisablePolicyCheck = False DumpXmlInventory = False DumpPolicies = False 4.
• • Política - [online] indica política baseada no servidor e [offline] indica política baseada em Airgap ou offline Nº de série - use quando entrar em contato com o serviço de suporte. Esse é o identificador exclusivo da instalação. 3. Em /Aplicativos, é criada a pasta Advanced Threat Prevention.
Guia Ameaças A guia Ameaças mostra todas as ameaças descobertas no dispositivo e a ação executada. Ameaças são uma categoria de eventos recémdetectados como arquivos ou programas potencialmente inseguros e exigem correção orientada. A coluna Categoria pode incluir o seguinte.
• Encerrar - a chamada de processo é bloqueada se um aplicativo tenta chamar um processo de violação de memória. O aplicativo que fez a chamada é encerrado. Os seguintes tipos de exploit são detectados: • • • • Stack Pivot Proteção de pilha Pesquisa de memória de scanner Carga mal-intencionada Para obter mais informações sobre essas políticas de exploit, consulte o AdminHelp, disponível no Console de gerenciamento. Guia Eventos NOTA: Um evento não é necessariamente uma ameaça.
Provisionar um locatário 1. Como um administrador Dell, faça login no Management Console. 2. No painel esquerdo do Management Console, clique em GerenciamentoGerenciamento de serviços. 3. Clique em Configurar o serviço Advanced Threat Protection. Importe as licenças do Advanced Threat Prevention, caso ocorra uma falha nesse ponto. 4. A instalação guiada começa logo após a importação das licenças. Clique em Avançar para começar. 5. Leia e concorde com o EULA e clique em Avançar. 6.
Tarefas
O diagrama a seguir ilustra o processo de comunicação do agente do Advanced Threat Prevention.
5 Glossário Security Server - Usado para ativações do Dell Encryption. Policy Proxy - Usado para distribuir políticas para o software cliente. Management Console - Console administrativo do Dell Server para a implantação em toda a empresa. Shield - É possível que você veja este nome na documentação e nas interfaces do usuário. "Shield" é um nome usado para o Dell Encryption.