Dell Security Management Server Virtual クイック スタートおよびインストール ガイド v10.2.12 August 2020 Rev.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2012-2020 Dell Inc. All rights reserved. Registered trademarks and trademarks used in the Dell Encryption and Endpoint Security Suite Enterprise suite of documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
目次 章 1: クイックスタートガイド............................................................................................................ 5 インストール......................................................................................................................................................................... 5 設定......................................................................................................................................................................................... 5 管理コンソールを開く....
章 5: インストール後の設定............................................................................................................. 31 マネージャの信頼チェーンチェックの妥当性検査......................................................................................................31 章 6: 管理コンソールの管理者タスク................................................................................................ 32 Dell 管理者役割の割り当て...........................................................................................................................
1 クイックスタートガイド このクイックスタートガイドは経験のあるユーザー対象で、Dell Server を素早く準備して稼動させるためのものです。原則として、 デルでは最初に Dell Server をインストールし、その後クライアントをインストールすることをお勧めします。 詳細な手順については、Security Management Server Virtual I インストールガイドを参照してください。 Dell Server の前提条件については、「Security Management Server Virtual の前提条件」、「管理コンソールの前提条件」、「プロキシモー ドの前提条件」を参照してください。 既存の Dell Server をアップデートする情報については、「Security Management Server Virtual のアップデート」を参照してください。 インストール 1. Dell Data Security ファイルが保存されているディレクトリを参照してダブルクリックし、VMware Security Management Server Virtual v10.x.
● ● ● ● ● ● ● ● ポリシーベース暗号化は共通キー暗号化で有効にされます 自己暗号化ドライブが搭載されたコンピュータは暗号化されます BitLocker 管理は無効にされます Advanced Threat Prevention は無効にされます Threat Protection は無効にされます 外部メディアは暗号化されません ポート制御によるポートの管理は行われません フルディスク暗号化がインストールされているデバイスは暗号化されません Technology Group とポリシーの説明については、AdminHelp トピックの「ポリシーの管理」を参照してください。 これで、クイックスタートタスクが完了しました。 6 クイックスタートガイド
2 インストール詳細ガイド 本インストールガイドは、専門知識をお持ちでないユーザー向けに Security Management Server Virtual のインストールと設定につい て説明するものです。原則として、デルでは最初に Security Management Server Virtual をインストールし、その後クライアントを インストールすることをお勧めします。 既存の Security Management Server Virtual をアップデートする詳細情報については、「Security Management Server Virtual のアップ デート」を参照してください。 Security Management Server Virtual について 管理者は、管理コンソールを使用して、企業全体のエンドポイント、ポリシーの適用、保護の状態を監視します。プロキシモード は、Security Management Server Virtual で使用するフロントエンド DMZ モードのオプションを提供します。 Security Management Server Virtual
追加のインフラストラクチャ要件(Active Directory、および Dell Security Management Server の SQL Server)は、適切な機能のた めにも必要です。 仮想環境 ● VMware Workstation 14.0 64 ビット CPU(必須) 8 GB RAM(必須) 80 GB のハードドライブ容量 少なくとも 2 コアが搭載されたホストコンピュータ 対応ホストオペレーティングシステムの完全なリストについては、http://www.vmware.com/resources/compatibility/ search.php?deviceCategory=software&testConfig=17 を参照してください。 ○ ハードウェアは VMware 最小要件を満たしている必要があります ○ 詳細については、https://kb.vmware.com/s/article/1003746 を参照してください。 ○ ○ ○ ○ ○ ● VMware Workstation 14.
仮想環境 ● VMware ESXi 6.5 64 ビット x86 CPU(必須) 少なくとも 2 コアが搭載されたホストコンピュータ 8 GB 以上の RAM(必須) 80 GB のハードドライブ容量 オペレーティングシステムは必要ありません 対応ホストオペレーティングシステムの完全なリストについては、http://www.vmware.com/resources/compatibility/ search.php?deviceCategory=software&testConfig=17 を参照してください。 ○ ハードウェアは VMware 最小要件を満たしている必要があります ○ 詳細については、https://kb.vmware.com/s/article/1003746 を参照してください。 ○ ○ ○ ○ ○ ○ ● VMware ESXi 6.
Internet Explorer はサポートされなくなったため、サード パーティー製のブラウザーをインストールして、管理コンソールに適切にア クセスできるようにする必要があります。 管理コンソールの検証に Internet Explorer が必要な場合は、ログインしている管理者に対応するアカウント タイプに対して、Internet Explorer のセキュリティ強化の構成を無効にする必要があります。 プロキシモード ハードウェア 次の表は、最小ハードウェア要件の詳細です。 プロセッサ 最新のデュアルコア CPU(1.5 Ghz 以上) RAM 2 GB の専用 RAM(最小)/ 4 GB の専用 RAM(推奨) 空きディスク容量 1.
オペレーティングシステム - Datacenter Edition ● Windows Server 2016 - Standard Edition - Datacenter Edition ● Windows Server 2012 R2 - Standard Edition - Datacenter Edition ● LDAP リポジトリ - Active Directory 2008 R2 - Active Directory 2012 R2 - Active Directory 2016 Security Management Server Virtual のアーキテクチャの設計 Encryption Enterprise および Endpoint Security Suite Enterprise ソリューションは非常に拡張性の高い製品であり、組織内の暗号化の 対象となるエンドポイントの数に基づいて拡張可能です。 アーキテクチャコンポーネント 以下は、Dell Security Management Server Virtual の基本的な導入です。 インストール詳細ガイド 11
OVA ファイルのダウンロードおよびインストール Security Management Server Virtual は初期インストール時に OVA ファイルとして配信されます(Open Virtual Application(オープン 仮想アプリケーション)は仮想マシンで実行されるソフトウェアを配信するために使用されます)。以下の Dell Data Security 製品に おける OVA ファイルは、www.dell.
1. 2. 3. 4. 上記の適切な製品の ドライバおよびダウンロード ページにアクセスします。 ドライバおよびダウンロード をクリックします。 適切な VMware ESXi のバージョンを選択します。 適切なバンドルをダウンロードします。 OVA ファイルのインストール手順 作業を開始する前に、すべてのシステムと仮想環境の要件が満たされていることを確認してください。 1. Dell インストール メディアで、Security Management Server Virtual v10.x.x Build x.ova を見つけてダブルクリックし、VMware に インポートします。 メモ: VMware ではなく Hyper-V を使用している場合は、Windows 10 の手順「https://docs.microsoft.com/en-us/ virtualization/hyper-v-on-windows/about/」に従ってください。サーバベースのオペレーティングシステムの場合は、次の手 順「https://docs.microsoft.
12. 13. 14. 15. 16. 17. タイムゾーンの確認プロンプトで、OK を選択します。 最初の起動設定が完了したことを示すメッセージが表示されたら、OK を選択します。 SMTP 設定の構成。 既存の証明書のインポートまたは新規サーバ証明書の登録。 Security Management Server Virtual のアップデート。 ポート 22 で SFTP をサポートする FTP クライアントをインストールし、ファイル転送(FTP)ユーザーの設定をセットアップし ます。 Security Management Server Virtual インストールタスクが完了しています。 管理コンソールを開く 次のアドレスで管理コンソールを開きます。https://server.domain.
次へ をクリックします。 メモ: デフォルトでは、証明書は 10 年で期限切れになります。 11. フロントエンドサーバセットアップ ダイアログで、バックエンドサーバの完全修飾ホスト名または DNS エイリアスを入力し、 Dell Security Management Server を選択して、次へ をクリックします。 12.
名前 説明 Core Server エンタープライズアーキテクチャを管理するためのサ ービスです。また、このサービスは、すべてのアクティ ベーション、ポリシー、および "エージェント" ベースの デバイスからのインベントリ収集を処理します。 Core Server HA エンタープライスのアーキテクチャの管理における HTTPS 接続のセキュリティおよびパフォーマンスの強 化を可能にする高可用性サービスです。 (高可用性) Inventory Server インベントリキューを処理します。 Forensic Server フォレンジック API のためのウェブサービスを提供し ます。 Policy Proxy セキュリティポリシーのアップデートとインベントリ のアップデートを配信するためのネットワークベース の通信パスを提供します。 サービスが監視され、必要に応じて自動的に再起動されます。 メモ: データベースカスタマイザプロセスが失敗すると、サーバーが実行失敗状態に移行します。データベースカスタマイザログ をチェックするには、メインメニューで ログの表示 を選択します。 ホスト名の
1. 詳細設定 メニューから、DMZ サーバサポート を選択します。 2. スペースバーを使用して、DMZ サーバサポートの有効化 フィールドに X を入力します 3. DMZ サーバーの完全修飾ドメイン名を入力して、[OK]を選択します。 メモ: DMZ サーバを活用するには、上記の「プロキシモードのインストールと設定」でプロキシサーバのインストール手順を 参照してください。 タイムゾーンの変更 このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 1. 基本設定 メニューから タイムゾーン を選択します。 2. タイムゾーン 画面で、矢印キーを使用してタイムゾーンを選択し、Enter を選択します。 Security Management Server Virtual のアップデート 具体的なアップデートの詳細については、dell.
メモ: バージョン番号は、添付の画面キャプチャとは異なる場合があります。 3.
メモ: バージョン番号は、添付の画面キャプチャとは異なる場合があります。 ● [アップデートのインストール]を選択すると、Security Management Server Virtual が、デフォルトのビルトイン Ubuntu リ ポジトリーと、アプリケーションのアップデートが入っているデルのカスタム リポジトリーである dist.ddspproduction.com に対して、クエリーを実行します。 メモ: デルでは、ポート 443 から dist.ddspproduction.
メモ: バージョン番号は、添付の画面キャプチャとは異なる場合があります。 Security Management Server Virtual のアップデート(切断モード) 1. デルは定期的にバックアップすることをお勧めします。アップデートする前に、バックアッププロセスが正常であることを確認 します。「バックアップと復元」を参照してください。 2. Dell ProSupport で、最新の Dell Server アップデートを含む .deb ファイルを取得します。 3. Dell Server のセキュアな FTP サーバーで、/var/opt/dell/dsmsv/ftp/files/updates フォルダーに.deb ファイルを保存します。 FTP クライアントがポート 22 の SFTP をサポートし、FTP ユーザーがセットアップされていることを確認します。ファイル転送 (FTP)ユーザーの設定 を参照してください。 4. 基本設定 メニューから Security Management Server Virtual のアップデート を選択します。 5.
7. [はい]を選択して、Security Management Server Virtual のサービスを停止します。 8.
9. アップデートが完了したら、データベースのパスワードを変更します。 メモ: バージョン番号は、添付の画面キャプチャとは異なる場合があります。 ユーザーパスワードの変更 このタスクはいつでも完了できます。Security Management Server Virtual を使用して開始することは必須ではありません。 次のユーザーのパスワードを変更できます。 ● delluser(端末管理者) - このユーザーは、Dell Server の端末とそのメニューにアクセスできます。 ● dellconsole(シェルアクセス) - このユーザーは、Dell Server にシェルアクセスできます。シェルアクセスは、ネットワーク管理 者がネットワーク接続をチェックしてトラブルシューティングを行うために使用できます。 ● dellsupport(Dell ProSupport 管理者) - このユーザーには「sudo」権限があるため、慎重に使用する必要があります。セキュリテ ィ上の理由により、このアカウントのパスワードは管理者自身でコントロールします。 1.
Secure File Transfer(SFTP)ユーザーの設定 このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 1. 基本設定 メニューから、SFTP を選択します。 2. SFTP 画面で、SFTP ユーザーを追加してパスワードを定義するには、ユーザーの ステータス で Enter または下矢印キーを押しま す。スペースバーキーを押すと、既存のユーザーを更新または削除するオプションが表示されます。SFTP ユーザーを無効にする には、ユーザーを選択してから 削除 を選択し、次に SFTP の確認 画面で はい を選択します。 3. SFTP ユーザーのユーザー名とパスワードを入力します。 パスワードには次の文字が含まれている必要があります。 ● ● ● ● 少なくとも 8 文字 少なくとも 1 つの大文字 少なくとも 1 つの数字 少なくとも 1 つの特殊文字 4.
詳細端末設定タスク 詳細設定タスクは、メインメニューからアクセスします。 ログローテーションの設定 メモ: ログローテーションに対応した Dell Security Management Server Virtual のアプリケーションに対するログローテーション の定義は、次の手順に従って行います。 このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 デフォルトでは、日次ログローテーションが有効になっています。デフォルトのログローテーションを変更するには、詳細設定メニ ューから ログローテーション設定 を選択します。 ログローテーションを無効にするには、スペースバーを使用して ローテーションなし に X を入力し、OK を選択します。 ログローテーションを有効にするには、次の手順に従います。 1.
FTP サーバーにバックアップを保存するには、FTP クライアントがポート 22 上の SFTP をサポートする必要があります。 バックアップは、組織のバックアップに対する要件に応じて、次の方法でダウンロードすることができます。 ● 手動 ● 自動化スクリプト経由 ● 組織が承認したバックアップソリューション経由 組織のバックアップソリューションを使用してバックアップをダウンロードするには、お使いのバックアップソリューションのベン ダーから詳細な手順を入手してください。 メモ: Dell Server は Linux Debian Ubuntu x64 をベースにしています。 dellsupport として Dell Server にログオンし、sudo コマンドを使用してバックアップソリューションの設定を行います。 Sudo <バックアップソリューションベンダーから入手した手順> 次のフォルダの内容をバックアップします。 /backup(必須) /certificates(強く推奨) /support(オプション) sudo プロセスが完了したら、exit と入力し、ログインプロンプトが表示されるまで En
1. 既存の証明書とその完全な信頼チェーンをキーストアからエクスポートします。 メモ: Security Management Server Virtual への証明書のインポート時に入力するため、エクスポートパスワードは保管してお いてください。 2. Dell Server の FTP サーバ上で、証明書を /certificates に保存します。 3. 詳細設定 メニューから、サーバー証明書 を選択します。 4. 既存証明書のインポート を選択します。 5. Dell Server にインストールする証明書ファイルを選択します。 6. プロンプトが表示されたら、証明書のエクスポートパスワードを入力して OK を選択します。 7. インポートが完了したら、OK を選択します。 メモ: 詳細については、次を参照してください http://www.dell.
サービスが自動的に再起動します。 データベースアクセスの有効化 このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 メモ: データベースアクセスは必要な場合にのみ有効にし、必要がなくなったら無効にすることをお勧めします。 1. 詳細設定 メニューから、データベースアクセス を選択します。 2. スペースバーを使用して データベースアクセスの有効化 に X を入力し、OK を選択します。データベースのパスワードがまだ構 成されていない場合は、データベースのパスワードのプロンプトが表示されます。 3. データベースのパスワードを入力します。 4. データベースのパスワードを再入力します。 Dell Data Security アプリケーションのコンポーネントは自動的に停止します。 端末言語の設定または変更 設定変更を行ったときは、常にサービスを再起動することがベストプラクティスです。 1. メインメニューで、言語の設定 を選択します。 2.
● Page Up および Page Down を押すと、一度に 1 ページずつ上下に移動します。 ● スペースバーを押すと、1 ページずつログを移動します。 コマンドラインインタフェースを開く コマンドラインインタフェースを開くには、メインメニューで シェルの起動 を選択します。 コマンドラインインタフェースを終了するには、exit と入力して Enter を押します。 システムスナップショットログの生成 Dell ProSupport のシステムスナップショットログを生成するには、メインメニューで サポートツール を選択します。 1. サポートツール メニューから、システムスナップショットログの生成 を選択します。 2.
3 メンテナンス 不要な Security Management Server Virtual バックアップを削除します。 過去 10 件のバックアップのみが保持されます。ディスクパーティション容量が 10 パーセント以下になった場合、それ以上のバッ クアップは保存されません。この状態が発生すると、ディスク割り当て容量が少なくなっているという電子メール通知が送信され ます。 メンテナンス 29
4 トラブルシューティング 電子メール通知がすでに設定されている時にこの状態が発生すると、電子メール通知を受信することができます。電子メール通知の 情報に基づいて、次の手順に従います。 1. 適切なログファイルをチェックする。 2. 必要に応じてサービスを再起動する。設定変更を行ったときは、常にサービスを再起動することがベストプラクティスです。 3. システムスナップショットログの生成 4.
5 インストール後の設定 インストール後、組織が使用している Dell Data Security ソリューションに応じて、環境のコンポーネントの一部を設定する必要があ る場合があります。 Security Management Server Virtual のインストール後に、次のデフォルトを変更する必要があります。 ● 次の場所にあるバック エンド サーバーのパスワードを変更します。 C:\Program Files\Dell\Enterprise Edition\Message Broker\conf\application.properties ● 次の場所にある環境内のすべてのフロント エンド サーバーのパスワードを変更します。 C:\Program Files\DELL\Enterprise Edition\Beac\conf\application.properties パスワードは次のように表示されます:proxy-server.password=ENC() パスワードを変更するには、次の手順を実行します。 1. 次を選択します:ENC() 2.
6 管理コンソールの管理者タスク Dell 管理者役割の割り当て 1. Security Management Server Virtual 管理者として、管理コンソール(https://server.domain.com:8443/webui/)にログインしま す。デフォルトの資格情報は superadmin/changeit です。 2. 左ペインで ポピュレーション > ドメイン をクリックします。 3. ユーザーを追加するドメインをクリックします。 4. ドメイン詳細 ページで、メンバー タブをクリックします。 5. ユーザーの追加 をクリックします。 6.
ポリシーのコミット インストールが完了したらポリシーをコミットします。 ポリシーの変更を保存し、ポリシーのインストール後、またはそれ以後にポリシーをコミットするには、次の手順に従います。 1. 左側のペインで、管理 > コミット をクリックします。 2. コメント に、変更内容の説明を入力します。 3.
7 ポート 以下の表は、各コンポーネントとその機能について説明しています。 名前 デフォル トポート 説明 Access Group Service TCP/ さまざまな Dell Security 製品の各種の権 限とグループ アクセスを管理します。 8006 Compliance Reporter HTTP(S)/ 8084 管理コンソール HTTPS/ 8443 Core Server HTTPS/ 8887(ク ローズ) Core Server HA HTTPS/ (高可用性) 8888 Security Server HTTPS/ 8443 Compatibility Server TCP/ 1099 (閉 鎖) 34 ポート メモ: ポート 8006 は現在保護されて いません。このポートがファイアウ ォールで適切にフィルタリングされ ていることを確認してください。こ のポートは内部専用です。 監査とコンプライアンスのレポートのた めに、環境の詳細ビューを提供します。 メモ: ポート 8084 は、ファイアウォ ールを介したフィルタリングが必要 です。
名前 デフォル トポート 説明 メモ: ポート 1099 は、ファイアウォ ールを介したフィルタリングが必要 です。このポートは内部でのみ使用 することをお勧めします。 Message Broker サービス TCP/ 61616(ク ローズ) および STOMP/ 61613(閉 鎖、または DMZ 用に 設定済み の場合は 61613 が開 放) デルサーバのサービス間の通信を処理し ます。ポリシープロキシのキュー操作の ために Compatibility Server によって作 成されるポリシー情報をステージしま す。 メモ: ポート 61616 は、ファイアウ ォールを介したフィルタリングが必 要です。このポートは内部でのみ使 用することをお勧めします。 メモ: ポート 61613 は、フロントエン ド モードで構成した Security Management Server に対してのみ開 かれるようにする必要があります。 Identity Server 8445(ク ローズ) SED Management の認証などのドメイ ン認証要求を処理します。 Forensic Serve
名前 デフォル トポート 説明 ポート 3268 - このポートは、特にグロー バルカタログをターゲットとするクエリ 用に使用されます。ポート 3268 に送信 される LDAP 要求は、フォレスト全体で のオブジェクトの検索に使用すること ができます。ただし、返されるのはグ ローバルカタログへのリプリケーション 用にマークされた属性のみです。たとえ ば、ポート 3268 を使用してユーザーの部 門は返すことはできません。これは、こ の属性がグローバルカタログに複製され ないためです。 クライアント認証 HTTPS/ 8449 36 ポート クライアントサーバがデルサーバを認証 できるようにします。 Server Encryption に必要です。