Dell Endpoint Security Suite Enterprise for Mac Guide de l'administrateur v2.9 Mars 2021 Rév.
Remarques, précautions et avertissements REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit. PRÉCAUTION : ATTENTION vous avertit d’un risque de dommage matériel ou de perte de données et vous indique comment éviter le problème. AVERTISSEMENT : un AVERTISSEMENT signale un risque d’endommagement du matériel, de blessure corporelle, voire de décès. © 2012-2021 Dell Inc. All rights reserved.
Table des matières Chapitre 1: Introduction.................................................................................................................. 5 Présentation........................................................................................................................................................................... 5 Chiffrement FileVault.................................................................................................................................................
Utilisation de Boot Camp.............................................................................................................................................. 35 Récupération d'un mot de passe du programme interne..........................................................................................37 Outil client.......................................................................................................................................................................
1 Introduction Le Guide de l'administrateur d'Endpoint Security Suite Enterprise pour Mac fournit les informations nécessaires pour déployer et installer le logiciel client. Sujets : • • • Présentation Chiffrement FileVault Contacter Dell ProSupport Présentation Endpoint Security Suite Enterprise pour Mac offre Advanced Threat Prevention au niveau du système d’exploitation et de la mémoire, ainsi qu’un chiffrement, le tout géré de manière centralisée depuis Dell Server.
2 Configuration requise Ce chapitre présente la configuration matérielle et logicielle requise pour le client. Avant d'effectuer toute opération de déploiement, assurez-vous que l'environnement de déploiement respecte les exigences suivantes. Sujets : • • Client Encryption Advanced Threat Prevention Client Encryption Matériel du client Encryption La configuration minimale requise doit répondre aux spécifications minimales du système d'exploitation.
● FAT32 ● exFAT ● Les supports au format HFS Plus (MacOS étendu) dotés de schémas de partition MBR (Master Boot Record) ou GPT (tableau de partition GUID). Voir la section Activer HFS Plus. REMARQUE : Le support externe doit disposer d’environ 55 Mo, ainsi que d’un espace libre sur le support égal au plus gros fichier à chiffrer, pour héberger Encryption External Media.
Logiciel Advanced Threat Prevention Le tableau suivant décrit les logiciels pris en charge. Systèmes d'exploitation (noyaux de 64 bits) ● Mac OS X Mavericks 10.9.5 ● Mac OS X Yosemite 10.10.5 ● macOS Sierra 10.12.6 REMARQUE : Les versions Mac OS X Mavericks 10.9.5, Mac OS X Yosemite 10.10.5 et macOS Sierra 10.12 sont prises en charge avec Advanced Threat Prevention uniquement, et pas avec le client Encryption. ● macOS High Sierra 10.13.
Fonctionnal Stratégies ités Windows macOS Linux Quarantaine automatique (Dangereux) x x x Quarantaine automatique (Anormal) x x x Téléchargement auto x x x Liste de confiance de la stratégie x x x Protection de la mémoire x x x Zone dynamique d'empilement x x x Protection de l'empilement x x x Écraser le code x Sans objet Collecte de données stockées en RAM x Sans objet Charge malveillante x Actions de mémoire Exploitation Injection de processus Attribution à distan
Fonctionnal Stratégies ités Windows macOS Linux Arrêter les processus et sous-processus dangereux en cours d'exécution x x x Détection de menace d'arrière plan x x x recherche de nouveaux fichiers x x x Taille de fichier d'archive maximale à analyser x x x Exclure des dossiers spécifiques x x x Copier les fichiers exemples x Contrôle des applications Fenêtre de modification x Exclusion de dossiers x x Paramètres de l'agent Activer le téléchargement automatique des fichiers jou
Fonctionnal Stratégies ités Windows macOS Linux Liste de confiance des certificats x x Sans objet Copier les échantillons de programme malveillant x x x Paramètres de proxy x x x Vérification manuelle des stratégies (interface utilisateur de l'agent) x x Configuration requise 11
3 Tâches associées à Encryption Client Sujets : • • • • • • • • • • Installation/mise à niveau d’Encryption Client Activation de Encryption Client Affichage de la règle et de l'état de cryptage Volumes système Récupération Support amovible Collecte de fichiers journaux pour Endpoint Security Suite Enterprise Désinstallation d'Encryption Client pour Mac Activation en tant qu'administrateur Référence d'Encryption Client Installation/mise à niveau d’Encryption Client Cette section présente le processus d'ins
● Assurez-vous de disposer des URLs de serveur de sécurité et de proxy de règles. Vous en avez besoin pour l'installation du logiciel client et l'activation. ● Si votre déploiement utilise une autre configuration que celle par défaut, vérifiez que vous connaissez le numéro de port du serveur de sécurité. Vous en avez besoin pour l'installation du logiciel client et l'activation. ● Vérifiez que l'ordinateur cible dispose d'une connectivité réseau vers le serveur de sécurité et le proxy de règles.
Immédiatement après la fin de l'installation, vous devez redémarrer l'ordinateur. Si des fichiers sont ouverts dans d'autres applications et que vous n'êtes pas prêt à redémarrer, cliquez sur Annuler, enregistrez votre travail et fermez les autres applications. 15. Cliquez sur Continuer l'installation. L'installation commence. 16. Une fois l’installation terminée, cliquez sur Redémarrer. 17.
NoAuthenticateUsers [In this sample code, after one user activates the computer against the Dell Server, other users can log in without being prompted to activate.] dsAttrTypeStandard:AuthenticationAuthority * NoAuthenticateUsers [In this sample code, users from a specific domain name can log in without being prompted to activate against the Dell Server.
port] Version 2 [Do not modify] MaxPasswordDelay xxxx [Number of seconds to apply to the security policy, "Require password XXXX after sleep or screen saver begins." The acceptable range is 0-32400.] EMSTreatsUnsupportedFileSystemAs ignore [For handling Mac OS Extended media. Possible values are ignore, provisioningRejected, or unshieldable. ignore - the media is usable (default).
Si l’application Dell Encryption External Media ne s’affiche pas : a. b. c. d. Cliquez sur l’icône plus (+) dans le volet de droite. Accédez à /Library/Dell/EMS, puis sélectionnez Dell Encryption External Media. Cliquez sur Ouvrir. Dans Accès intégral au disque, cochez la case Dell Encryption External Media. 6. Fermez Sécurité et confidentialité. Activation de Encryption Client Le processus d'activation associe les comptes d'utilisateur réseau dans Dell Server à l'ordinateur Mac.
Afficher la règle et l'état sur l'ordinateur local Pour afficher la règle et l'état de cryptage sur l'ordinateur local, suivez les étapes ci-dessous. 1. Lancez les Préférences système, puis cliquez sur Dell Encryption Enterprise. 2. Cliquez sur l'onglet Règles pour afficher la règle actuellement définie pour cet ordinateur. Utilisez cette vue pour confirmer les règles de cryptage spécifiques en vigueur pour cet ordinateur. REMARQUE : cliquez sur Actualiser pour rechercher des mises à jour de règles.
État Description Exclus Le volume est exclu du cryptage. Cela s'applique aux volumes non cryptés lorsque le cryptage est désactivé, aux volumes externes, aux volumes ayant un autre format que Mac OS X étendu (journalisé) et aux volumes hors volume système lorsque la règle Volumes ciblés pour le cryptage est définie sur Volume système uniquement.
Badge Type et état du volume Le volume système Mac OS X démarré. Le badge Dossier X désigne la partition de démarrage actuelle. Un volume configuré pour le cryptage. Le badge Sécurité et Confidentialité représente une partition protégée par FileVault. Un volume non de démarrage configuré pour le cryptage. Le badge Sécurité et Confidentialité représente une partition protégée par FileVault. Plusieurs disques et aucun cryptage.
3. Pour Station de travail, cliquez sur une option dans le champ Hostname ou, si vous connaissez le hostname du point de terminaison, entrez-le dans le champ Rechercher. Vous pouvez également saisir un filtre pour rechercher le point de terminaison. REMARQUE : Le caractère générique (*) peut être utilisé mais n'est pas obligatoire au début ou à la fin du texte. Entrez le nom commun, le nom principal universel, ou sAMAccountName. 4. Cliquez sur le point de terminaison approprié : 5.
REMARQUE : Cette stratégie exige que la règle Cryptage de volume Dell soit également activée. Cependant, lorsque le chiffrement FileVault est activé, aucune autre stratégie du groupe n'est appliquée. Voir Cryptage Mac > Cryptage de volume Dell. 7. Si FileVault est désélectionné (macOS Sierra et versions antérieures), modifiez les autres règles à votre convenance. Pour obtenir une description de toutes les règles, voir l'assistance AdminHelp disponible dans la console de gestion. 8.
● Connectez-vous à un compte local et initialisez FileVault à partir de cet emplacement. 6. Cliquez sur OK. 7. À la fin de la préparation du cryptage, redémarrez l'ordinateur. REMARQUE : En fonction des stratégies d'expérience utilisateur définies dans la console de gestion, le logiciel client peut inviter l'utilisateur à redémarrer l'ordinateur. 8.
4. Demandez aux utilisateurs d'activer le démarrage FileVault pour leur compte d'utilisateur. L'utilisateur doit posséder un compte local ou mobile. les comptes réseau sont automatiquement convertis en comptes mobiles. Pour qu'un utilisateur active son compte FileVault : 1. Lancez les Préférences système, puis cliquez sur Dell Encryption Enterprise. 2. Cliquez sur l'onglet Volumes système. 3.
REMARQUE : Dans la console de gestion, l'administrateur peut voir que Dell Server gère désormais le point de terminaison. Recyclage des clés de restauration FileVault Si vous avez des problèmes de sécurité avec un bundle de récupération ou si un volume ou des clés sont compromis, vous pouvez recycler le matériel de clés de ce volume. Vous pouvez recycler les clés des disques de démarrage et de non-démarrage sur Mac OS X. Pour recycler le matériel de clés : 1.
4. Cliquez sur Copier une règle de liste autorisée pour le support amovible actuel. La règle de liste autorisée est copiée dans le Presse-papiers. 5. Accédez au Presse-papiers, copiez la règle de liste autorisée et envoyez-la à votre administrateur. Si la règle Cryptage de support Mac est activée, les données sont cryptées, y compris celles des disques Thunderbolt.
Montage du volume Pré-requis ● Un volume de restauration externe non chiffré ou un ordinateur non chiffré qui exécute l'utilitaire de restauration ● Un câble FireWire ou Thunderbolt, en fonction de votre matériel ● L'ID de périphérique/ID unique de l'ordinateur ciblé pour la restauration : dans la plupart des cas, vous pouvez trouver l'ordinateur ciblé pour la restauration dans la console de gestion en recherchant le nom d'utilisateur de son propriétaire et en examinant les périphériques chiffrés pour cet u
Récupération FileVault La récupération d’un volume géré chiffré par FileVault est dictée par Apple et automatisée dans la mesure du possible, mais elle nécessite quelques étapes supplémentaires. Dell Recovery Utility simplifie l'utilisation des outils de récupération d'Apple avec des scripts pour aider à monter un volume ou, dans certains cas, à le décrypter.
Processus : lancer Dell Recovery Utility et restaurer le volume FileVault 1. Dans le dossier Utilitaires se trouvant sur le support d'installation Dell, lancez Dell Recovery Utility. La boîte de dialogue Dell Recovery Utility > Sélectionner des volumes s'affiche. REMARQUE : Recovery Utility doit être la même version ou une version plus récente que la version du logiciel client installé sur l'ordinateur à récupérer. 2. Dans Dell Recovery Utility > Sélectionner des volumes, sélectionnez le volume FileVault.
2. Cliquez sur Fermer. 3. Exécutez la commande dans le terminal. Trousseau de récupération Vous devez exécuter Dell Recovery Utility lorsqu'il est démarré à partir d'un volume de récupération non crypté. Pré-requis ● ● ● ● Un volume de récupération externe ou un ordinateur qui exécutera l'utilitaire de récupération Un disque USB Un câble Firewire Le support d'installation Dell Console de gestion : enregistrer le bundle de récupération 1. Ouvrez la console de gestion. 2.
Dell vous recommande d'enregistrer ces fichiers à la racine d'un disque amovible, comme un disque USB. REMARQUE : veillez à ce que tous les utilisateurs aient un accès en lecture/écriture au disque USB ou autre que vous utilisez pour stocker la clé de récupération, et que le disque ait un espace suffisant. Si vous ne disposez pas des droits par rapport à un disque sélectionné ou si le disque n'a plus d'espace libre, une erreur indiquant que les clés de récupération n'ont pas été stockées s'affiche. 11.
REMARQUE : Dell recommande de tester cette configuration avant de l'introduire dans l'environnement de production. HFS Plus ne prend pas en charge les éléments suivants : ● Contrôle de version : les données de contrôle de version existantes sont supprimées du disque. ● Liens physiques : pendant l'analyse de cryptage du support amovible, le fichier n'est pas crypté. Une boîte de dialogue recommande d'éjecter le support.
Collecte de fichiers journaux pour Endpoint Security Suite Enterprise Dans Préférences système > Dell Encryption Enterprise > Volumes système, le bouton collecter les journaux en bas à droite permet à un administrateur de pré-générer des journaux pour le support. Cette action peut avoir un impact sur les performances lors de la collecte des fichiers log. DellLogs.zip contient les journaux du logiciel Encryption Enterprise et Advanced Threat Prevention.
REMARQUE : ne pas activer le logiciel client sur plus de cinq ordinateurs ayant le même compte réseau. Cela pourrait entraîner des failles de sécurité graves et une dégradation des performances de Dell Server. Pré-requis ● Le client Encryption for Mac doit être installé sur l'ordinateur distant. ● Ne pas activer via l'interface utilisateur client avant de tenter d'activer depuis un emplacement distant. Activer Utilisez cette commande pour activer le client en tant qu'administrateur.
existante. Vous pouvez supprimer tout mot de passe du programme interne existant à l'aide de l'Utilitaire de mot de passe du programme interne Mac OS X. Si vous avez l'intention d'utiliser Boot Camp (voir Activation de Mac OS X Boot Camp pour obtenir des instructions) sur des ordinateurs Mac cryptés, vous devez impérativement configurer le client de sorte qu'il n'utilise pas la protection par mot de passe du programme interne.
Pré-requis ● Un disque de démarrage externe ● L'ID de périphérique/ID unique de l'ordinateur à récupérer. Dans la plupart des cas, vous pouvez trouver l'ordinateur ciblé pour la restauration dans la console de gestion en recherchant le nom d'utilisateur de son propriétaire et en examinant les périphériques chiffrés pour cet utilisateur. Le format de l'ID de périphérique/ID unique est « MacBook.Z4291LK58RH de Pierre Dupont ». Processus 1. Sur un disque externe, créez un volume Boot Camp.
Récupération d'un mot de passe du programme interne Même si l'ordinateur client est configuré pour appliquer un mot de passe du programme interne, celui-ci n'est pas forcément nécessaire pour effectuer la récupération. Si l'ordinateur à récupérer peut être démarré, configurez la cible de démarrage dans le volet Disque de démarrage de Préférences Système.
Tableau 1. Commandes de l'outil client (suite) Commande Objectif Syntaxe un autre utilisateur local que celui qui est connecté et lui affecter les informations d'identification du domaine. client -a Activer temporairement Active un client Mac sans laisser d'empreinte.
Tableau 1. Commandes de l'outil client (suite) Commande Objectif Syntaxe Résultats Utilisateur Demander les informations de l'utilisateur -u CompteLocal* Les informations sur le compte utilisateur s'affichent : 0 (informations de compte) = Réussite 6 = Utilisateur introuvable Version Demander la version du client Mac -v La version du client Mac s'affiche. Par exemple : 8.x.x.xxxx * Le compte exécutant l'outil client est utilisé pour le CompteLocal, sauf spécification contraire.
4 Tâches Sujets : • • • • • • • Installation d'Advanced Threat Prevention pour Mac Vérification de l'installation d'Advanced Threat Prevention Collecte de fichiers journaux pour Endpoint Security Suite Enterprise Affichage des détails d'Advanced Threat Prevention Provision a Tenant Configuration de la mise à jour automatique de l'agent Advanced Threat Prevention Dépannage d’Advanced Threat Prevention Installation d'Advanced Threat Prevention pour Mac Cette section vous guide dans l’installation de Advance
Le package Endpoint Security Suite Enterprise pour Mac s'ouvre. 2. Double-cliquez sur le programme d'installation d'Endpoint Security Suite Enterprise. Le message suivant est affiché : Ce package exécute un programme pour déterminer si le logiciel peut être installé. 3. Cliquez sur Continuer. 4. Lisez le texte d'accueil et cliquez sur Continuer. 5. Après avoir lu le contrat de licence, cliquez sur Continuer, puis sur Accepter pour accepter ses conditions. 6.
7. Dans le champ Port du serveur, entrez 8888 et cliquez sur Continuer. Une fois qu'une connexion a été établie, l'indicateur de connectivité passe du rouge au vert. REMARQUE : ce port correspond au port de service du serveur Core, lequel peut être configuré. Le numéro de port par défaut est 8888. 8. Sur l'écran d'installation, cliquez sur Installer. 9.
Installation d'Advanced Threat Prevention avec la ligne de commande Pour installer le client Advanced Threat Prevention à l'aide de la ligne de commande, suivez les étapes ci-dessous. 1. À partir du support d'installation Dell, montez le fichier Endpoint-Security-Suite-Enterprise-.dmg. Le package Endpoint Security Suite Enterprise pour Mac s'ouvre. 2. Depuis le dossier Utilitaires, copiez le fichier com.dell.esse.plist sur le disque local. 3. Ouvrez le fichier .plist. 4.
ServerHost server.organization.com ServerPort 8888 REMARQUE : ce port correspond au port de service du serveur Core, lequel peut être configuré. Le numéro de port par défaut est 8888. 5. Enregistrez le fichier, puis fermez-le. 6. Pour chaque ordinateur ciblé, copiez le programme d'installation du package Endpoint Security Suite Enterprise pour Mac dans un dossier temporaire et le fichier com.dell.
sudo DellCSFConfig.app/Contents/MacOS/DellCSFConfig Les paramètres par défaut sont indiqués ci-après : Current Settings: ServerHost = deviceserver.company.com ServerPort = 8888 DisableCertTrust = False DisablePolicyCheck = False DumpXmlInventory = False DumpPolicies = False 4. Saisissez -help pour répertorier les options. 5. Pour désactiver le certificat SSL de confiance sur le client, définissez DisableCertTrust sur Vrai. 6.
Collecte de fichiers journaux pour Endpoint Security Suite Enterprise Dans Préférences système > Dell Encryption Enterprise > Volumes système, le bouton collecter les journaux en bas à droite permet à un administrateur de pré-générer des journaux pour le support. Cette action peut avoir un impact sur les performances lors de la collecte des fichiers log. DellLogs.zip contient les journaux du logiciel Encryption Enterprise et Advanced Threat Prevention.
Onglet Menaces L'onglet Menaces affiche toutes les menaces détectées sur le périphérique, ainsi que l'action appliquée. Les menaces sont une catégorie d'événements récemment détectés comme fichiers ou programmes potentiellement dangereux qui nécessitent une action corrective guidée. La colonne Catégorie peut inclure les éléments suivants.
● Bloquer : bloque l'appel de processus si une application tente d'appeler un processus qui constitue une violation de mémoire. L'application qui a émis l'appel est autorisée à continuer à s'exécuter. ● Mettre fin : bloque l'appel de processus si une application tente d'appeler un processus qui constitue une violation de mémoire. L'application qui a lancé l'appel est interrompue.
● Le provisionnement est basé sur un jeton qui est généré à partir d'un certificat pendant le provisionnement. ● Les licences Advanced Threat Prevention doivent être présentes sur Dell Server. Provisionner un service partagé 1. Connectez-vous à la console de gestion en tant qu'administrateur Dell. 2. Dans le volet de gauche de la console de gestion, cliquez sur Gestion > Services de gestion. 3. Cliquez sur Configurer le service Advanced Threat Protection.
Tâches
Le diagramme suivant illustre le processus de communication agent d'Advanced Threat Prevention.
5 Glossaire Security Server : utilisé pour les activations de Dell Encryption. Policy Proxy : utilisé pour distribuer des règles au logiciel client. Console de gestion : console d'administration de Dell Server pour tout le déploiement d'entreprise. Bouclier : vous pourrez parfois rencontrer ce nom dans la documentation et dans les interfaces utilisateur. « Bouclier » est un nom utilisé pour désigner Dell Encryption.