Dell Endpoint Security Suite Enterprise for Mac Guia do Administrador v2.8 August 2020 Rev.
Notas, avisos e advertências NOTA: Uma NOTA fornece informações importantes para ajudar a utilizar melhor o produto. AVISO: Um AVISO indica possíveis danos no hardware ou uma perda de dados e explica como pode evitar esse problema. ADVERTÊNCIA: Uma ADVERTÊNCIA indica possíveis danos no equipamento, lesões corporais ou morte. © 2012-2020 Dell Inc. All rights reserved.
Índice Capítulo1: Introdução...................................................................................................................... 5 Descrição geral.......................................................................................................................................................................5 Encriptação FileVault.............................................................................................................................................................
Utilizar o Boot Camp..................................................................................................................................................... 33 Como obter uma palavra-passe de firmware.............................................................................................................34 Client Tool.......................................................................................................................................................................
1 Introdução O Guia do administrador do Endpoint Security Suite Enterprise para Mac fornece as informações necessárias para implementar e instalar o software cliente. Tópicos • • • Descrição geral Encriptação FileVault Contacte o Dell ProSupport Descrição geral O Endpoint Security Suite Enterprise para Mac proporciona Advanced Threat Prevention no sistema operativo e nas camadas de memória e encriptação, tudo isto gerido de forma central a partir do Dell Server.
2 Requisitos Os requisitos de hardware e software do cliente são apresentados neste capítulo. Certifique-se de que o ambiente de implementação cumpre os requisitos antes de continuar as tarefas de implementação. Tópicos • • Cliente Encryption Advanced Threat Prevention Cliente Encryption Hardware do Encryption Client Os requisitos mínimos de hardware necessitam atender as especificações mínimas do sistema operativo.
• São suportados suportes HFS Plus (MacOS Extended) formatados com esquemas de partição Registo de arranque principal (MBR) ou Tabela de partições GUID (GPT). Consulte Ativar HFS Plus. NOTA: O suporte externo tem de ter 55 MB disponíveis, bem como espaço livre no suporte igual ao maior ficheiro a encriptar para alojar o Encryption External Media.
Sistemas operativos (kernels de 64 bits) • • • Mac OS X Mavericks 10.9.5 Mac OS X Yosemite 10.10.5 macOS Sierra 10.12.6 NOTA: Mac OS X Mavericks 10.9.5, Mac OS X Yosemite 10.10.5 e macOS Sierra 10.12 apenas são compatíveis com o Advanced Threat Prevention e não com o cliente de Encriptação. • macOS High Sierra 10.13.6 NOTA: Consulte o Encryption Client Software relativamente a versões específicas do macOS High Sierra compatíveis com a encriptação de cliente. • macOS Mojave 10.14.5 - 10.14.
Funcionalid Políticas ades Windows macOS Linux Carregamento automático x x x Lista segura de políticas x x x Proteção de memória x x x Stack Pivot x x x Proteção de pilha x x x Substituir código x n/a Scraping de RAM x n/a Payload malicioso x Ações da memória Exploração Injeção de processo Alocação remota de memória x x n/a Mapeamento remoto de memória x x n/a Escrita remota na memória x x n/a PE de Escrita remota para memória x n/a n/a Substituir código rem
Funcionalid Políticas ades Windows macOS Linux Tamanho máximo de ficheiro de arquivo a verificar x x x Excluir pastas específicas x x x Copiar amostras de ficheiros x Controlo da aplicação Alterar janela x Exclusões de pastas x x Definições do agente Ativar o carregamento automático de ficheiros de registo x Ativar notificações do ambiente de trabalho x x x Controlo de script 10 Script ativo x Powershell x Macros do Office x Bloquear a utilização da Consola da Powershell x
3 Tarefas para o cliente de encriptação Tópicos • • • • • • • • • • Instalar/Atualizar o o cliente de encriptação Ativar o cliente de encriptação Ver o estado e a política de encriptação Volumes do sistema Recuperação Suporte multimédia amovível Recolher ficheiros de registo para o Endpoint Security Suite Enterprise Desinstalar o cliente de encriptação para Mac Ativação como administrador Referência do cliente de encriptação Instalar/Atualizar o o cliente de encriptação Esta secção vai guiá-lo através do
• • • Se a sua implementação utilizar uma configuração não predefinida, certifique-se de que sabe o número de porta do Security Server. É necessário para a instalação e a ativação do software cliente. Certifique-se de que o computador de destino tem ligação por rede ao Security Server e ao proxy de políticas. Certifique-se de que tem uma conta de utilizador de domínio na instalação do Active Directory configurada para utilizar com o Dell Server.
16. Quando a instalação estiver concluída, clique em Reiniciar. 17. Com uma nova instalação do Endpoint Security Suite Enterprise, é apresentada a caixa de diálogo Extensão do sistema bloqueada . Para consentimento por kext, é apresentada uma ou ambas as caixas de diálogo. Extensão do Sistema Bloqueada Extensão do Sistema Bloqueada a. Clique em OK. b. Clique em OK. c. Para aprovar estas extensões, selecione Preferências do sistema > Segurança e Privacidade. d.
* NoAuthenticateUsers [In this sample code, users from a specific domain name can log in without being prompted to activate against the Dell Server.] dsAttrTypeStandard:AuthenticationAuthority ;Kerberosv5;;*@domainName.com;domainName.com* NoAuthenticateUsers [In this sample code, specific users can log in without being prompted to authenticate against the Dell Server.
EMSTreatsUnsupportedFileSystemAs ignore [For handling Mac OS Extended media. Possible values are ignore, provisioningRejected, or unshieldable. ignore - the media is usable (default). provisioningRejected - retains the value in the Dell Server policy, EMS Access to unShielded Media. unshieldable - If the EMS Access to unShielded Media policy is set to Block, the media is ejected.
Ativar o cliente de encriptação O processo de ativação associa as contas de utilizadores de rede do Dell Server ao computador Mac e obtém as políticas de segurança de cada conta, envia atualizações de inventário e de estado, ativa fluxos de trabalho de recuperação e comunicações de conformidade exaustivas. O software cliente executa o processo de ativação para cada conta de utilizador que encontrar no computador, à medida que cada utilizador iniciar sessão na sua conta.
A Management Console lista as políticas Mac nos seguintes grupos de tecnologia: • • Encriptação Mac Encriptação de suportes amovíveis As políticas que definir dependem dos requisitos de encriptação da sua empresa. Esta tabela indica as opções de política. Encriptação Mac > Encriptação de volume Dell Para High Sierra e versões superiores, ambas as políticas têm de estar ativadas. Para Sierra e versões anteriores, consulte as versões anteriores da documentação.
"Distrito", Descrição Reparação necessária antes do início da encriptação O volume não conseguiu verificar o Utilitário do disco. Para reparar um volume, siga as instruções no artigo do Suporte Apple HT1782 (http:// support.apple.com/kb/HT1782). Preparação da encriptação concluída. A encriptação inicia após o reinício. Reinício pendente Conflito da política de encriptação A política não pode ser aplicada ao disco pois este está encriptado com uma definição incorreta.
Distintivo Tipo de volume e estado Um volume que não é de arranque configurado para encriptação. O distintivo Segurança e Privacidade indica uma partição protegida pelo FileVault. Várias unidades e nenhuma encriptação. NOTA: O ícone do volume sem um distintivo indica que nada foi feito ao disco. Este não é um disco de arranque. 5. Clique no separador Suporte amovível para ver o estado dos volumes definidos para encriptação.
A área de detalhes Shield apresenta informações sobre o software cliente, incluindo as horas de início e fim do varrimento de encriptação neste computador. Para ver as políticas aplicadas, na secção Ações, clique em Ver políticas aplicadas. 6. Clique no separador Políticas de segurança. Neste separador, pode expandir os tipos de políticas e alterar cada uma das políticas. a. Quando terminar, clique em Guardar. b. No painel da esquerda, clique em Gestão > Consolidar.
10. Introduza uma descrição das alterações na caixa Comentário e clique em Consolidar políticas. 11. Para ver a definição da política no computador local depois de o Dell Server enviar a política, no painel Políticas das Preferências do Dell Encryption Enterprise, clique em Atualizar. Processo de encriptação O processo de encriptação varia consoante o estado do volume de arranque quando a encriptação está ativada.
Modificar a política para adicionar utilizadores do FileVault O FileVault protege os dados num disco, encriptando-o automaticamente. Para permitir que vários utilizadores desbloqueiem o disco num volume de arranque gerido do FileVault, pode modificar uma política na Management Console e utilizar o seu dicionário de nomes e valores de registo do OpenDirectory para permitir que os utilizadores se adicionem ao disco do FileVault. 1.
6. Introduza a palavra-passe da conta selecionada e clique em OK. É apresentado um indicador de progresso. 7. Depois de a caixa de diálogo de êxito ter sido apresentada, clique em Concluído. Assumir a gestão de um volume com encriptação FileVault já existente Se o computador já tiver um volume encriptado pelo FileVault e a encriptação do FileVault estiver ativada na Management Console, o Dell Encryption pode assumir a gestão do volume.
6. Clique em OK. NOTA: As chaves presentes no pacote de recuperação desta unidade são agora obsoletas. Tem de transferir um novo pacote de recuperação da Management Console. Experiência do utilizador Para máxima segurança, o software cliente desativa a funcionalidade de Início de sessão automático dos computadores com Mac OS X. Além disso, o software cliente adota automaticamente a funcionalidade de solicitar palavra-passe após suspensão ou início da proteção de ecrã do Mac OS X.
pode ser =, <=, >=, <, > tem uma forma de número inteiro decimal com um sufixo opcional de {K, M, G, T} alinhado a 1000, não 1024. Por exemplo, para excluir suportes ou uma unidade maiores do que 500.000.
Reinicie o computador alvo da recuperação no Modo disco de destino. Poderá conseguir isso executando o painel Iniciar disco, nas Preferências do sistema e clicando em Modo de disco de destino, ou mantendo premida a tecla T enquanto reinicia este computador. NOTA: A proteção de palavra-passe de firmware impede que utilize a tecla T no arranque para entrar no Modo disco de destino. Encontre mais informações sobre o Modo de disco de destino disponibilizadas pela Apple em http:// support.apple.com/kb/HT1661.
• O suporte multimédia de instalação da Dell Management Console - Guardar o pacote de recuperação 1. 2. 3. 4. 5. 6. 7. Abra a Management Console. No painel esquerdo, clique em Populações > Endpoints. Procure o dispositivo a recuperar. Clique no nome do dispositivo para abrir a página Detalhe do Endpoint. Clique no separador Detalhes e ações. Em Detalhe de proteção, clique na ligação Chaves de recuperação de dispositivos.
7. Na caixa de diálogo, introduza uma nova palavra-passe para o utilizador. Opções para recuperar volumes de não arranque (raramente utilizada) – Efetue uma das seguintes ações: Recuperar um volume de não arranque Se o volume de arranque estiver danificado ou tiver sido apagado e existirem volumes secundários, pode montar estes volumes de não arranque. 1. Clique em Desbloquear. O volume é montado. 2. Clique em Fechar. Desencriptar volume - clique no botão 1. Clique em Desencriptar.
É apresentada a caixa de diálogo Instruções de recuperação FileVault. 9. Leia as instruções e clique em Continuar. É apresentada a caixa de diálogo Confirmar operação de recuperação. 10. Destaque o volume FileVault a recuperar e clique em Continuar. É apresentada a caixa de diálogo Escolher localização para os ficheiros de recuperação, solicitando que escolha uma localização para os ficheiros de recuperação.
EMSHFSPlusOptIn NOTA: A Dell recomenda o teste desta configuração antes de ser introduzida no ambiente de produção. O HFS Plus não suporta: • • • Versões - Os dados de versões existentes são removidos do disco. Ligações físicas - Durante um varrimento de encriptação dos suportes de dados amovíveis, o ficheiro não é encriptado. Uma caixa de diálogo recomenda que o suporte de dados seja ejetado.
Recolher ficheiros de registo para o Endpoint Security Suite Enterprise Em Preferências do sistema > Dell Encryption Enterprise > Volumes do sistema , um botão Recolher de registos no canto inferior direito permite que um administrador pré-gere registos para suporte. Esta ação pode afetar o desempenho enquanto os registos são recolhidos. Os ficheiros DellLogs.zip contêm os registos da Mac Encryption Enterprise e Advanced Threat Prevention.
Não ative o software cliente em mais de cinco computadores com a mesma conta de rede. Tal poderá resultar em graves vulnerabilidades em termos de segurança e num desempenho degradado do seu Dell Server. Pré-requisitos • • O cliente de encriptação para Mac tem de ser instalado no computador remoto. Não efetue a ativação através da interface do utilizador do cliente antes de tentar efetuá-la a partir de uma localização remota. Ativar Utilize este comando para ativar o cliente como administrador.
Se pretender utilizar o Boot Camp (consulte Como ativar Mac OS X Boot Camp para mais instruções) em computadores Mac encriptados, deve configurar o cliente para não utilizar a proteção da palavra-passe do firmware. Os computadores Mac utilizam a proteção de palavra-passe de firmware para melhorar a segurança do acesso ao computador. Por predefinição, em computadores Mac, a proteção está definida para DESLIGADA.
• O ID do dispositivo/ID único do computador visado para recuperação. Na maioria dos casos, pode encontrar o computador visado para recuperação na Management Console ao pesquisar o nome de utilizador do proprietário e visualizar os dispositivos encriptados para esse utilizador. O formato do ID do dispositivo/ID único é "MacBook.Z4291LK58RH de Fulano de Tal". Processo 1. Numa unidade externa, crie um volume Boot Camp. Os passos são semelhantes à criação de um volume Boot Camp no seu sistema local.
1. 2. 3. 4. 5. 6. 7. Como administrador Dell, inicie sessão na Management Console. No painel esquerdo, clique em Populações > Endpoints Procure o dispositivo a recuperar. Clique no nome do dispositivo para abrir a página Detalhe do Endpoint. Clique no separador Detalhes e ações. Em Detalhe de proteção, clique na ligação Chaves de recuperação de dispositivos.
Tabela 1. Comandos do Client Tool (continuação) Comando Propósito Sintaxe Resultados Disco Solicita o estado do disco -d É apresentado o estado do disco, incluindo o ID do disco, o estado da encriptação e as políticas Se forem apresentadas chavetas vazias, significa que não existem discos encriptados.
A opção -plist imprime os resultados do comando com o qual é combinada. Segue o comando e deve aparecer antes dos argumentos para fazer com que os resultados sejam imprimidos como uma plist. Exemplos Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -p -plist Para obter as políticas do cliente e imprimi-las. Library/PreferencePanes/Dell\ Encryption\Enterprise.
4 Tarefas Tópicos • • • • • • • Instalar o Advanced Threat Prevention for Mac Verificar a instalação do Advanced Threat Prevention Recolher ficheiros de registo para o Endpoint Security Suite Enterprise Ver detalhes do Advanced Threat Prevention Configurar um inquilino Configurar a atualização automática do Advanced Threat Prevention Resolução de problemas do Advanced Threat Prevention Instalar o Advanced Threat Prevention for Mac Esta secção vai guiá-lo através da instalação do Advanced Threat Prevention
2. Faça duplo clique no instalador do pacote Endpoint Security Suite Enterprise. É apresentada a seguinte mensagem: Este pacote executa um programa que determinará se o software pode ser instalado. 3. Clique em Continuar. 4. Leia o texto de Boas-vindas e clique em Continuar. 5. Leia o acordo da licença, clique em Continuar e clique em Aceito para aceitar os termos do acordo da licença. 6.
7. No campo Porta do servidor, introduza 8888 e clique em Continuar. Assim que a ligação tiver sido estabelecida, o indicador de conectividade muda de vermelho para verde. NOTA: A porta é a porta de serviço do Core Server, que é configurável. O número de porta predefinido é 8888. 8. No ecrã Instalação, clique em Instalar. 9. Quando solicitado, introduza as credenciais da conta de administrador (exigidas pela aplicação de instalação para o Mac OS X) e, em seguida, clique em Instalar Software. 10.
Instalação do Advanced Threat Prevention através da linha de comandos Para instalar o cliente Advanced Threat Prevention através da linha de comandos, siga os passos abaixo. 1. A partir do suporte de instalação da Dell, instale o ficheiro Endpoint-Security-Suite-Enterprise-.dmg. O pacote do Endpoint Security Suite Enterprise para Mac abre-se. 2. Na pasta Utilitários, copie o ficheiro com.dell.esse.plist para a unidade de disco local. 3. Abra o ficheiro .plist.
4. Edite os valores de variáveis com o nome do anfitrião totalmente qualificado do Dell Server para gerir o utilizador pretendido, por exemplo server.organization.com, e o número da porta 8888: ServerHost server.organization.
1. No cliente, abra uma janela Terminal. 2. Introduza o caminho para a DellCSFConfig.app: cd /Volumes/Endpoint\ Security\ Suite\ Enterprise\ for\ Mac/Utilities/DellCSFConfig.app/ Contents/MacOS/ 3. Execute a DellCSFConfig.app: sudo DellCSFConfig.app/Contents/MacOS/DellCSFConfig São apresentadas as seguintes predefinições: Current Settings: ServerHost = deviceserver.company.com ServerPort = 8888 DisableCertTrust = False DisablePolicyCheck = False DumpXmlInventory = False DumpPolicies = False 4.
• N.º de série - Utiliza esta função quando contactar a assistência técnica. Este é o identificador único da instalação. 3. Em /Applications, é criada a pasta Advanced Threat Prevention. Recolher ficheiros de registo para o Endpoint Security Suite Enterprise Em Preferências do sistema > Dell Encryption Enterprise > Volumes do sistema , um botão Recolher de registos no canto inferior direito permite que um administrador pré-gere registos para suporte.
Separador Ameaças O separador Ameaças apresenta todas as ameaças detetadas no dispositivo e a ação adotada. As ameaças são uma categoria de eventos que são recém-detetados como ficheiros ou programas potencialmente inseguros e requerem uma correção orientada. A coluna Categorias pode incluir as seguintes.
• Terminar - A invocação do processo é bloqueada se uma aplicação tentar invocar um processo de violação de memória. A aplicação que fez a invocação é terminada. São detetados os seguintes tipos de exploits: • • • • Stack Pivot Proteção de pilha Pesquisa de memória do detetor de vírus Payload malicioso Para mais informações sobre as políticas de Exploits, consulte AdminHelp, disponível na Management Console. Separador Eventos NOTA: Um evento não é necessariamente uma ameaça.
Configurar um inquilino 1. Como administrador Dell, inicie sessão na Management Console. 2. No painel esquerdo da Management Console, clique em Gestão > Gestão de serviços. 3. Clique em Configurar serviço Advanced Threat Protection. Se ocorrer qualquer falha neste momento, importe as suas licenças Advanced Threat Prevention. 4. A configuração com assistente é iniciada imediatamente após as licenças serem importadas. Clique em Seguinte para começar. 5. Leia e aceite o EULA e clique em Seguinte. 6.
Tarefas
O diagrama seguinte ilustra o processo de comunicação do agente do Advanced Threat Prevention.
5 Glossário Security Server - Utilizado para ativações do Dell Encryption. Policy Proxy - Utilizado para distribuir políticas para o software cliente. Management Console - A consola de administração do Dell Server para implementação em toda a empresa. Shield - Ocasionalmente, poderá ver este nome na documentação e nas interfaces do utilizador. "Shield" é um nome utilizado para representar o Dell Encryption.