Deployment Guide

ManualsBrandsDell ManualsConverged InfrastructureEndpoint Security Suite Enterprise

Dell Security Management Server Virtual

クイックスタートおよびインストールガイド

v10.2.12

August 2020

Rev. A01

Summary of content (36 pages)

PAGE 1
Dell Security Management Server Virtual クイックスタートおよびインストールガイド v10.2.12 August 2020 Rev.
PAGE 2
メモ、注意、警告メモ: 製品を使いやすくするための重要な情報を説明しています。注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2012-2020 Dell Inc. All rights reserved. Registered trademarks and trademarks used in the Dell Encryption and Endpoint Security Suite Enterprise suite of documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
PAGE 3
目次章 1: クイックスタートガイド............................................................................................................ 5 インストール......................................................................................................................................................................... 5 設定......................................................................................................................................................................................... 5 管理コンソールを開く....
PAGE 4
章 5: インストール後の設定............................................................................................................. 31 マネージャの信頼チェーンチェックの妥当性検査......................................................................................................31 章 6: 管理コンソールの管理者タスク................................................................................................ 32 Dell 管理者役割の割り当て...........................................................................................................................
PAGE 5
1 クイックスタートガイドこのクイックスタートガイドは経験のあるユーザー対象で、Dell Server を素早く準備して稼動させるためのものです。原則として、デルでは最初に Dell Server をインストールし、その後クライアントをインストールすることをお勧めします。詳細な手順については、Security Management Server Virtual I インストールガイドを参照してください。 Dell Server の前提条件については、「Security Management Server Virtual の前提条件」、「管理コンソールの前提条件」、「プロキシモードの前提条件」を参照してください。既存の Dell Server をアップデートする情報については、「Security Management Server Virtual のアップデート」を参照してください。インストール 1. Dell Data Security ファイルが保存されているディレクトリを参照してダブルクリックし、VMware Security Management Server Virtual v10.x.
PAGE 6
● ● ● ● ● ● ● ● ポリシーベース暗号化は共通キー暗号化で有効にされます自己暗号化ドライブが搭載されたコンピュータは暗号化されます BitLocker 管理は無効にされます Advanced Threat Prevention は無効にされます Threat Protection は無効にされます外部メディアは暗号化されませんポート制御によるポートの管理は行われませんフルディスク暗号化がインストールされているデバイスは暗号化されません Technology Group とポリシーの説明については、AdminHelp トピックの「ポリシーの管理」を参照してください。これで、クイックスタートタスクが完了しました。 6 クイックスタートガイド
PAGE 7
2 インストール詳細ガイド本インストールガイドは、専門知識をお持ちでないユーザー向けに Security Management Server Virtual のインストールと設定について説明するものです。原則として、デルでは最初に Security Management Server Virtual をインストールし、その後クライアントをインストールすることをお勧めします。既存の Security Management Server Virtual をアップデートする詳細情報については、「Security Management Server Virtual のアップデート」を参照してください。 Security Management Server Virtual について管理者は、管理コンソールを使用して、企業全体のエンドポイント、ポリシーの適用、保護の状態を監視します。プロキシモードは、Security Management Server Virtual で使用するフロントエンド DMZ モードのオプションを提供します。 Security Management Server Virtual
PAGE 8
追加のインフラストラクチャ要件（Active Directory、および Dell Security Management Server の SQL Server）は、適切な機能のためにも必要です。仮想環境 ● VMware Workstation 14.0 64 ビット CPU（必須） 8 GB RAM（必須） 80 GB のハードドライブ容量少なくとも 2 コアが搭載されたホストコンピュータ対応ホストオペレーティングシステムの完全なリストについては、http://www.vmware.com/resources/compatibility/ search.php?deviceCategory=software&testConfig=17 を参照してください。 ○ ハードウェアは VMware 最小要件を満たしている必要があります ○ 詳細については、https://kb.vmware.com/s/article/1003746 を参照してください。 ○ ○ ○ ○ ○ ● VMware Workstation 14.
PAGE 9
仮想環境 ● VMware ESXi 6.5 64 ビット x86 CPU（必須）少なくとも 2 コアが搭載されたホストコンピュータ 8 GB 以上の RAM（必須） 80 GB のハードドライブ容量オペレーティングシステムは必要ありません対応ホストオペレーティングシステムの完全なリストについては、http://www.vmware.com/resources/compatibility/ search.php?deviceCategory=software&testConfig=17 を参照してください。 ○ ハードウェアは VMware 最小要件を満たしている必要があります ○ 詳細については、https://kb.vmware.com/s/article/1003746 を参照してください。 ○ ○ ○ ○ ○ ○ ● VMware ESXi 6.
PAGE 10
Internet Explorer はサポートされなくなったため、サードパーティー製のブラウザーをインストールして、管理コンソールに適切にアクセスできるようにする必要があります。管理コンソールの検証に Internet Explorer が必要な場合は、ログインしている管理者に対応するアカウントタイプに対して、Internet Explorer のセキュリティ強化の構成を無効にする必要があります。プロキシモードハードウェア次の表は、最小ハードウェア要件の詳細です。プロセッサ最新のデュアルコア CPU（1.5 Ghz 以上） RAM 2 GB の専用 RAM（最小）/ 4 GB の専用 RAM（推奨）空きディスク容量 1.
PAGE 11
オペレーティングシステム - Datacenter Edition ● Windows Server 2016 - Standard Edition - Datacenter Edition ● Windows Server 2012 R2 - Standard Edition - Datacenter Edition ● LDAP リポジトリ - Active Directory 2008 R2 - Active Directory 2012 R2 - Active Directory 2016 Security Management Server Virtual のアーキテクチャの設計 Encryption Enterprise および Endpoint Security Suite Enterprise ソリューションは非常に拡張性の高い製品であり、組織内の暗号化の対象となるエンドポイントの数に基づいて拡張可能です。アーキテクチャコンポーネント以下は、Dell Security Management Server Virtual の基本的な導入です。インストール詳細ガイド 11
PAGE 12
OVA ファイルのダウンロードおよびインストール Security Management Server Virtual は初期インストール時に OVA ファイルとして配信されます（Open Virtual Application（オープン仮想アプリケーション）は仮想マシンで実行されるソフトウェアを配信するために使用されます）。以下の Dell Data Security 製品における OVA ファイルは、www.dell.
PAGE 13
1. 2. 3. 4. 上記の適切な製品のドライバおよびダウンロードページにアクセスします。ドライバおよびダウンロードをクリックします。適切な VMware ESXi のバージョンを選択します。適切なバンドルをダウンロードします。 OVA ファイルのインストール手順作業を開始する前に、すべてのシステムと仮想環境の要件が満たされていることを確認してください。 1. Dell インストールメディアで、Security Management Server Virtual v10.x.x Build x.ova を見つけてダブルクリックし、VMware にインポートします。メモ: VMware ではなく Hyper-V を使用している場合は、Windows 10 の手順「https://docs.microsoft.com/en-us/ virtualization/hyper-v-on-windows/about/」に従ってください。サーバベースのオペレーティングシステムの場合は、次の手順「https://docs.microsoft.
PAGE 14
12. 13. 14. 15. 16. 17. タイムゾーンの確認プロンプトで、OK を選択します。最初の起動設定が完了したことを示すメッセージが表示されたら、OK を選択します。 SMTP 設定の構成。既存の証明書のインポートまたは新規サーバ証明書の登録。 Security Management Server Virtual のアップデート。ポート 22 で SFTP をサポートする FTP クライアントをインストールし、ファイル転送（FTP）ユーザーの設定をセットアップします。 Security Management Server Virtual インストールタスクが完了しています。管理コンソールを開く次のアドレスで管理コンソールを開きます。https://server.domain.
PAGE 15
次へをクリックします。メモ: デフォルトでは、証明書は 10 年で期限切れになります。 11. フロントエンドサーバセットアップダイアログで、バックエンドサーバの完全修飾ホスト名または DNS エイリアスを入力し、 Dell Security Management Server を選択して、次へをクリックします。 12.
PAGE 16
名前説明 Core Server エンタープライズアーキテクチャを管理するためのサービスです。また、このサービスは、すべてのアクティベーション、ポリシー、および "エージェント" ベースのデバイスからのインベントリ収集を処理します。 Core Server HA エンタープライスのアーキテクチャの管理における HTTPS 接続のセキュリティおよびパフォーマンスの強化を可能にする高可用性サービスです。 (高可用性) Inventory Server インベントリキューを処理します。 Forensic Server フォレンジック API のためのウェブサービスを提供します。 Policy Proxy セキュリティポリシーのアップデートとインベントリのアップデートを配信するためのネットワークベースの通信パスを提供します。サービスが監視され、必要に応じて自動的に再起動されます。メモ: データベースカスタマイザプロセスが失敗すると、サーバーが実行失敗状態に移行します。データベースカスタマイザログをチェックするには、メインメニューでログの表示を選択します。ホスト名の
PAGE 17
1. 詳細設定メニューから、DMZ サーバサポートを選択します。 2. スペースバーを使用して、DMZ サーバサポートの有効化フィールドに X を入力します 3. DMZ サーバーの完全修飾ドメイン名を入力して、［OK］を選択します。メモ: DMZ サーバを活用するには、上記の「プロキシモードのインストールと設定」でプロキシサーバのインストール手順を参照してください。タイムゾーンの変更このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 1. 基本設定メニューからタイムゾーンを選択します。 2. タイムゾーン画面で、矢印キーを使用してタイムゾーンを選択し、Enter を選択します。 Security Management Server Virtual のアップデート具体的なアップデートの詳細については、dell.
PAGE 18
メモ: バージョン番号は、添付の画面キャプチャとは異なる場合があります。 3.
PAGE 19
メモ: バージョン番号は、添付の画面キャプチャとは異なる場合があります。 ● ［アップデートのインストール］を選択すると、Security Management Server Virtual が、デフォルトのビルトイン Ubuntu リポジトリーと、アプリケーションのアップデートが入っているデルのカスタムリポジトリーである dist.ddspproduction.com に対して、クエリーを実行します。メモ: デルでは、ポート 443 から dist.ddspproduction.
PAGE 20
メモ: バージョン番号は、添付の画面キャプチャとは異なる場合があります。 Security Management Server Virtual のアップデート（切断モード） 1. デルは定期的にバックアップすることをお勧めします。アップデートする前に、バックアッププロセスが正常であることを確認します。「バックアップと復元」を参照してください。 2. Dell ProSupport で、最新の Dell Server アップデートを含む .deb ファイルを取得します。 3. Dell Server のセキュアな FTP サーバーで、/var/opt/dell/dsmsv/ftp/files/updates フォルダーに.deb ファイルを保存します。 FTP クライアントがポート 22 の SFTP をサポートし、FTP ユーザーがセットアップされていることを確認します。ファイル転送（FTP）ユーザーの設定を参照してください。 4. 基本設定メニューから Security Management Server Virtual のアップデートを選択します。 5.
PAGE 21
7. ［はい］を選択して、Security Management Server Virtual のサービスを停止します。 8.
PAGE 22
9. アップデートが完了したら、データベースのパスワードを変更します。メモ: バージョン番号は、添付の画面キャプチャとは異なる場合があります。ユーザーパスワードの変更このタスクはいつでも完了できます。Security Management Server Virtual を使用して開始することは必須ではありません。次のユーザーのパスワードを変更できます。 ● delluser（端末管理者） - このユーザーは、Dell Server の端末とそのメニューにアクセスできます。 ● dellconsole（シェルアクセス） - このユーザーは、Dell Server にシェルアクセスできます。シェルアクセスは、ネットワーク管理者がネットワーク接続をチェックしてトラブルシューティングを行うために使用できます。 ● dellsupport（Dell ProSupport 管理者） - このユーザーには「sudo」権限があるため、慎重に使用する必要があります。セキュリティ上の理由により、このアカウントのパスワードは管理者自身でコントロールします。 1.
PAGE 23
Secure File Transfer（SFTP）ユーザーの設定このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 1. 基本設定メニューから、SFTP を選択します。 2. SFTP 画面で、SFTP ユーザーを追加してパスワードを定義するには、ユーザーのステータスで Enter または下矢印キーを押します。スペースバーキーを押すと、既存のユーザーを更新または削除するオプションが表示されます。SFTP ユーザーを無効にするには、ユーザーを選択してから削除を選択し、次に SFTP の確認画面ではいを選択します。 3. SFTP ユーザーのユーザー名とパスワードを入力します。パスワードには次の文字が含まれている必要があります。 ● ● ● ● 少なくとも 8 文字少なくとも 1 つの大文字少なくとも 1 つの数字少なくとも 1 つの特殊文字 4.
PAGE 24
詳細端末設定タスク詳細設定タスクは、メインメニューからアクセスします。ログローテーションの設定メモ: ログローテーションに対応した Dell Security Management Server Virtual のアプリケーションに対するログローテーションの定義は、次の手順に従って行います。このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。デフォルトでは、日次ログローテーションが有効になっています。デフォルトのログローテーションを変更するには、詳細設定メニューからログローテーション設定を選択します。ログローテーションを無効にするには、スペースバーを使用してローテーションなしに X を入力し、OK を選択します。ログローテーションを有効にするには、次の手順に従います。 1.
PAGE 25
FTP サーバーにバックアップを保存するには、FTP クライアントがポート 22 上の SFTP をサポートする必要があります。バックアップは、組織のバックアップに対する要件に応じて、次の方法でダウンロードすることができます。 ● 手動 ● 自動化スクリプト経由 ● 組織が承認したバックアップソリューション経由組織のバックアップソリューションを使用してバックアップをダウンロードするには、お使いのバックアップソリューションのベンダーから詳細な手順を入手してください。メモ: Dell Server は Linux Debian Ubuntu x64 をベースにしています。 dellsupport として Dell Server にログオンし、sudo コマンドを使用してバックアップソリューションの設定を行います。 Sudo <バックアップソリューションベンダーから入手した手順> 次のフォルダの内容をバックアップします。 /backup（必須） /certificates（強く推奨） /support（オプション） sudo プロセスが完了したら、exit と入力し、ログインプロンプトが表示されるまで En
PAGE 26
1. 既存の証明書とその完全な信頼チェーンをキーストアからエクスポートします。メモ: Security Management Server Virtual への証明書のインポート時に入力するため、エクスポートパスワードは保管しておいてください。 2. Dell Server の FTP サーバ上で、証明書を /certificates に保存します。 3. 詳細設定メニューから、サーバー証明書を選択します。 4. 既存証明書のインポートを選択します。 5. Dell Server にインストールする証明書ファイルを選択します。 6. プロンプトが表示されたら、証明書のエクスポートパスワードを入力して OK を選択します。 7. インポートが完了したら、OK を選択します。メモ: 詳細については、次を参照してください http://www.dell.
PAGE 27
サービスが自動的に再起動します。データベースアクセスの有効化このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。メモ: データベースアクセスは必要な場合にのみ有効にし、必要がなくなったら無効にすることをお勧めします。 1. 詳細設定メニューから、データベースアクセスを選択します。 2. スペースバーを使用してデータベースアクセスの有効化に X を入力し、OK を選択します。データベースのパスワードがまだ構成されていない場合は、データベースのパスワードのプロンプトが表示されます。 3. データベースのパスワードを入力します。 4. データベースのパスワードを再入力します。 Dell Data Security アプリケーションのコンポーネントは自動的に停止します。端末言語の設定または変更設定変更を行ったときは、常にサービスを再起動することがベストプラクティスです。 1. メインメニューで、言語の設定を選択します。 2.
PAGE 28
● Page Up および Page Down を押すと、一度に 1 ページずつ上下に移動します。 ● スペースバーを押すと、1 ページずつログを移動します。コマンドラインインタフェースを開くコマンドラインインタフェースを開くには、メインメニューでシェルの起動を選択します。コマンドラインインタフェースを終了するには、exit と入力して Enter を押します。システムスナップショットログの生成 Dell ProSupport のシステムスナップショットログを生成するには、メインメニューでサポートツールを選択します。 1. サポートツールメニューから、システムスナップショットログの生成を選択します。 2.
PAGE 29
3 メンテナンス不要な Security Management Server Virtual バックアップを削除します。過去 10 件のバックアップのみが保持されます。ディスクパーティション容量が 10 パーセント以下になった場合、それ以上のバックアップは保存されません。この状態が発生すると、ディスク割り当て容量が少なくなっているという電子メール通知が送信されます。メンテナンス 29
PAGE 30
4 トラブルシューティング電子メール通知がすでに設定されている時にこの状態が発生すると、電子メール通知を受信することができます。電子メール通知の情報に基づいて、次の手順に従います。 1. 適切なログファイルをチェックする。 2. 必要に応じてサービスを再起動する。設定変更を行ったときは、常にサービスを再起動することがベストプラクティスです。 3. システムスナップショットログの生成 4.
PAGE 31
5 インストール後の設定インストール後、組織が使用している Dell Data Security ソリューションに応じて、環境のコンポーネントの一部を設定する必要がある場合があります。 Security Management Server Virtual のインストール後に、次のデフォルトを変更する必要があります。 ● 次の場所にあるバックエンドサーバーのパスワードを変更します。 C:\Program Files\Dell\Enterprise Edition\Message Broker\conf\application.properties ● 次の場所にある環境内のすべてのフロントエンドサーバーのパスワードを変更します。 C:\Program Files\DELL\Enterprise Edition\Beac\conf\application.properties パスワードは次のように表示されます：proxy-server.password=ENC() パスワードを変更するには、次の手順を実行します。 1. 次を選択します：ENC() 2.
PAGE 32
6 管理コンソールの管理者タスク Dell 管理者役割の割り当て 1. Security Management Server Virtual 管理者として、管理コンソール（https://server.domain.com:8443/webui/）にログインします。デフォルトの資格情報は superadmin/changeit です。 2. 左ペインでポピュレーション > ドメインをクリックします。 3. ユーザーを追加するドメインをクリックします。 4. ドメイン詳細ページで、メンバータブをクリックします。 5. ユーザーの追加をクリックします。 6.
PAGE 33
ポリシーのコミットインストールが完了したらポリシーをコミットします。ポリシーの変更を保存し、ポリシーのインストール後、またはそれ以後にポリシーをコミットするには、次の手順に従います。 1. 左側のペインで、管理 > コミットをクリックします。 2. コメントに、変更内容の説明を入力します。 3.
PAGE 34
7 ポート以下の表は、各コンポーネントとその機能について説明しています。名前デフォルトポート説明 Access Group Service TCP/ さまざまな Dell Security 製品の各種の権限とグループアクセスを管理します。 8006 Compliance Reporter HTTP(S)/ 8084 管理コンソール HTTPS/ 8443 Core Server HTTPS/ 8887（クローズ） Core Server HA HTTPS/ (高可用性) 8888 Security Server HTTPS/ 8443 Compatibility Server TCP/ 1099 (閉鎖) 34 ポートメモ: ポート 8006 は現在保護されていません。このポートがファイアウォールで適切にフィルタリングされていることを確認してください。このポートは内部専用です。監査とコンプライアンスのレポートのために、環境の詳細ビューを提供します。メモ: ポート 8084 は、ファイアウォールを介したフィルタリングが必要です。
PAGE 35
名前デフォルトポート説明メモ: ポート 1099 は、ファイアウォールを介したフィルタリングが必要です。このポートは内部でのみ使用することをお勧めします。 Message Broker サービス TCP/ 61616（クローズ）および STOMP/ 61613（閉鎖、または DMZ 用に設定済みの場合は 61613 が開放）デルサーバのサービス間の通信を処理します。ポリシープロキシのキュー操作のために Compatibility Server によって作成されるポリシー情報をステージします。メモ: ポート 61616 は、ファイアウォールを介したフィルタリングが必要です。このポートは内部でのみ使用することをお勧めします。メモ: ポート 61613 は、フロントエンドモードで構成した Security Management Server に対してのみ開かれるようにする必要があります。 Identity Server 8445（クローズ） SED Management の認証などのドメイン認証要求を処理します。 Forensic Serve
PAGE 36
名前デフォルトポート説明ポート 3268 - このポートは、特にグローバルカタログをターゲットとするクエリ用に使用されます。ポート 3268 に送信される LDAP 要求は、フォレスト全体でのオブジェクトの検索に使用することができます。ただし、返されるのはグローバルカタログへのリプリケーション用にマークされた属性のみです。たとえば、ポート 3268 を使用してユーザーの部門は返すことはできません。これは、この属性がグローバルカタログに複製されないためです。クライアント認証 HTTPS/ 8449 36 ポートクライアントサーバがデルサーバを認証できるようにします。 Server Encryption に必要です。