Dell Endpoint Security Suite Enterprise for Mac Administratorhandbuch v2.9 März 2021 Rev.
Hinweise, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen können. VORSICHT: Ein VORSICHTSHINWEIS warnt vor möglichen Beschädigungen der Hardware oder vor Datenverlust und zeigt, wie diese vermieden werden können. WARNUNG: Mit WARNUNG wird auf eine potenziell gefährliche Situation hingewiesen, die zu Sachschäden, Verletzungen oder zum Tod führen kann. © 2012-2021 Dell Inc. All rights reserved.
Inhaltsverzeichnis Kapitel 1: Einleitung........................................................................................................................ 5 Übersicht................................................................................................................................................................................ 5 FileVault-Verschlüsselung........................................................................................................................................
Verwendung von Boot Camp.......................................................................................................................................35 Anleitung zum Abrufen eines Firmwarepassworts.................................................................................................... 36 Client-Hilfsprogramm.................................................................................................................................................... 37 Kapitel 4: Aufgaben..........
1 Einleitung Im Administratorhandbuch zu Endpoint Security Suite Enterprise for Mac sind die Informationen enthalten, die zum Bereitstellen und Installieren der Client-Software benötigt werden. Themen: • • • Übersicht FileVault-Verschlüsselung Kontaktieren des Dell ProSupports Übersicht Die Endpoint Security Suite Enterprise for Mac bietet Advanced Threat Prevention auf der Betriebssystem- und der Speicherebene sowie Verschlüsselung. Alles wird dabei zentral über den Dell Server verwaltet.
2 Anforderungen In diesem Kapitel werden die Hardware- und Softwareanforderungen für den Client erläutert. Stellen Sie sicher, dass die Implementierungsumgebung die Anforderungen erfüllt, bevor Sie mit der Implementierung fortfahren. Themen: • • Encryption-Client Advanced Threat Prevention Encryption-Client Encryption-Client-Hardware Die Mindestanforderungen für die Hardware müssen den Mindestspezifikationen des Betriebssystems entsprechen.
Encryption External Media unterstützt Medien, die mit: ● FAT32 ● exFAT ● HFS Plus (Mac OS Extended) formatierte Medien mit Partitionsschemata Master Boot Record (MBR) oder GUIDPartitionstabelle (GPT). Siehe dazu Aktivieren von HFS Plus. ANMERKUNG: Um Encryption External Media zu hosten, müssen 55 MB verfügbar sein und auf dem Wechselspeichermedium muss zusätzlich freier Speicherplatz vorhanden sein, dessen Größe der größten zu verschlüsselnden Datei entspricht.
Advanced Threat Prevention – Software Die folgende Tabelle enthält detaillierte Informationen über die unterstützte Software. Betriebssysteme (64-Bit-Kernel) ● Mac OS X Mavericks 10.9.5 ● Mac OS X Yosemite 10.10.5 ● macOS Sierra 10.12.6 ANMERKUNG: Mac OS X Mavericks 10.9.5, Mac OS X Yosemite 10.10.5 und macOS Sierra 10.12 werden nur mit Advanced Threat Prevention und nicht mit dem Encryption Client unterstützt. ● macOS High Sierra 10.13.
Funktionen Richtlinien Windows macOS Linux Automatische Quarantäne (Anormal) x x x Automatisch hochladen x x x Richtlinie „Sichere Liste“ x x x Speicherschutz x x x Stapeldrehung x x x Stapelschutz x x x Code überschreiben x k. A. RAM-Scraping x k. A. Schädliche Nutzlast x Speichermaßnahmen Ausnutzung Vorgangsinjektion Remote-Zuweisung von Speicher x x k. A. Remote-Zuordnung von Speicher x x k. A. Remote Schreiben in Speicher x x k. A.
Funktionen Richtlinien Windows macOS Linux Nach neuen Dateien Ausschau halten x x x Maximale Größe der zu scannenden Archivdatei x x x Bestimmte Ordner ausschließen x x x Dateimuster kopieren x Anwendungssteuerung Fenster ändern x Ordnerausschlüsse x x Agenten-Einstellungen Automatisches Hochladen von Protokolldateien aktivieren x DesktopBenachrichtigungen aktivieren x x x Skriptsteuerung 10 Aktives Skript x Powershell x Office-Makros x PowershellKonsolennutzung blockie
3 Aufgaben für den Encryption Client Themen: • • • • • • • • • • Installation/Upgrade von dem Encryption Client Aktivieren von Encryption Client Verschlüsselungsrichtlinie und Status anzeigen Systemlaufwerke Wiederherstellung Wechselmedien Sammeln von Protokolldateien für Endpoint Security Suite Enterprise Deinstallieren von dem Encryption Client for Mac Aktivierung als Administrator Encryption Client – Referenzdokument Installation/Upgrade von dem Encryption Client Dieser Abschnitt führt Sie durch den In
Security Management Server Virtual Quick Start Guide and Installation Guide (Schnellanleitung und Installationshandbuch für Security Management Server Virtual) ● Achten Sie darauf, die Sicherheitsserver- und Richtlinien-Proxy-URL zur Hand zu haben. Beide werden für die Installation und Aktivierung der Client-Software benötigt. ● Wenn Ihre Bereitstellung eine Nicht-Standard-Konfiguration verwendet, stellen Sie sicher, dass Sie die Portnummer für den Sicherheitsserver kennen.
. Geben Sie bei entsprechender Aufforderung die Anmeldeinformationen für das Administratorkonto ein. (Die Anwendung „MacOS X Installer“ erfordert Anmeldedaten.) 14. Klicken Sie auf OK. ANMERKUNG: Unmittelbar nach Abschluss der Installation müssen Sie einen Neustart des Computers ausführen. Wenn noch Dateien in andere Anwendungen offen sind und Sie den Neustart noch nicht durchführen möchten, klicken Sie auf Abbrechen, speichern Sie die Arbeit und schließen Sie die anderen Anwendungen. 15.
um einer solchen Situation Rechnung zu tragen. Sobald Apple eine neue Version veröffentlicht, beginnt Dell mit dem Testen dieser Versionen, um sicherzustellen, dass sie mit dem Encryption Client for Mac kompatibel sind. PAGE 15 PolicyProxies Host policyproxy.organization.com [Replace this value with your Policy Proxy URL] Port 8000 [Leave as-is unless there is a conflict with an existing port] Version 2 [Do not modify] MaxPasswordDelay xxxx [Number of seconds to apply to the security policy, "Require password XXXX after sleep or screen saver begins.
Im linken Fenster > Dateien und Ordner kann der Benutzer die externen Medien (EMS)-Komponenten überprüfen, um die erforderlichen Berechtigungen zu geben. 4. Wählen Sie im linken Bereich die Option Vollständiger Festplattenzugriff aus. Die External Media Dell Encryption App wird jetzt angezeigt. Wenn jedoch die Genehmigungsanforderung noch aussteht, wird das Kontrollkästchen für diese App nicht ausgewählt. 5. Erteilen Sie die Berechtigung, indem Sie das Kontrollkästchen aktivieren.
Verschlüsselungsrichtlinie und Status anzeigen Die Verschlüsselungsrichtlinie und den Status sehen Sie auf dem lokalen Computer oder in der Verwaltungskonsole. Anzeigen von Verschlüsselungsrichtlinie und Status auf dem lokalen Computer Gehen Sie wie nachfolgend beschrieben vor, um die Verschlüsselungsrichtlinie und den Verschlüsselungsstatus auf dem lokalen Computer anzuzeigen. 1. Starten Sie die Systemeinstellungen und klicken Sie auf Dell Encryption Enterprise. 2.
3. Beschreibungen aller Richtlinien finden Sie in der AdminHelp, die in der Dell Server Verwaltungskonsole verfügbar ist. So finden Sie eine spezifische Richtlinie in der AdminHelp: a. Klicken Sie auf das Suchsymbol. b. Geben Sie in die Suche den Richtliniennamen in Anführungszeichen ein. c. Klicken Sie auf den angezeigten Themen-Link. Der von Ihnen in Anführungszeichen eingegebene Richtlinienname wird in diesem Thema hervorgehoben. 4.
Farbe Beschreibung Z. B. aufgrund einer Änderung an den Verschlüsselungsalgorithmen. Die Daten sind weiterhin sicher. Sie gehen lediglich in einen anderen Verschlüsselungstyp über. Die Registerkarte „Systemlaufwerke“ zeigt alle an den Computer angeschlossenen Volumes an, die sich auf einem mit GPT (GUID Partition Table) formatierten Datenträger befinden. Die folgende Tabelle enthält Beispiele für Volume-Konfigurationen für interne Laufwerke.
Zeichen Status Durch Encryption External Media verschlüsselte Medien, erkennbar an dem Dell Emblem. Anzeigen von Richtlinie und Status in der Verwaltungskonsole Gehen Sie wie nachfolgend beschrieben vor, um die Verschlüsselungsrichtlinie und den Verschlüsselungsstatus in der Verwaltungskonsole anzuzeigen. 1. Melden Sie sich als Dell Administrator bei der Verwaltungskonsole an. 2. Klicken Sie im linken Fensterbereich auf Bestückungen > Endpunkte. 3.
Verwenden Sie dieses Verfahren zur Aktivierung der Verschlüsselung auf einem Client-Computer, falls die Verschlüsselung vor der Aktivierung noch nicht aktiviert wurde. Mit diesem Verfahren kann die Verschlüsselung nur für einen einzigen Computer aktiviert werden. Falls erforderlich, können Sie die Verschlüsselung aller Mac-Computer auf Enterprise-Ebene aktivieren. Zusätzliche Anleitungen zur Aktivierung der Verschlüsselung auf Enterprise-Ebene finden Sie in der AdminHelp. 1.
1. Nach der Installation und Aktivierung müssen Sie sich an dem Konto anmelden, über das Sie nach Aktivierung der FileVaultVerschlüsselung starten möchten. 2. Warten Sie, bis das Laufwerk validiert und das Volume überprüft wurden. 3. Geben Sie das Passwort für das Konto ein. ANMERKUNG: Falls Sie die Möglichkeit der Zeitüberschreitung für dieses Dialogfeld aktiviert haben, müssen Sie einen Neustart durchführen oder sich anmelden, damit das Dialogfeld für die Eingabe des Passworts erneut angezeigt wird. 4.
;Kerberosv5;;user1@LKDC:* ;Kerberosv5;;user2@LKDC:* ;Kerberosv5;;user3@LKDC:* ;Kerberosv5;;z*@LKDC:* dsAttrTypeStandard:NFSHomeDirectory /Users/* ● Die Beispielschlüsseleinträge AuthenticationAuthority legen ein Muster von Benutzer1, Benutzer2 und Benutzer3 oder eine beliebige Benutzer-ID, die mit z beginnt, fest.
b. Klicken Sie auf OK. ANMERKUNG: Nach Abschluss des Übernahmevorgangs wird ein neuer persönlicher Wiederherstellungsschlüssel generiert und hinterlegt. Der vorherige Wiederherstellungsschlüssel wird entwertet und entfernt. ● Startfähige Konto-Anmeldeinformationen – wenn Sie über den Benutzernamen und das Kennwort für ein Konto verfügen, das derzeit für das Starten des Volume autorisiert ist. a. Geben Sie den Benutzernamen und das Passwort ein. b. Klicken Sie auf OK. 2.
Ruhemodus/Bildschirmschoners durchgesetzt wird. Die Client-Software ermöglicht dem Nutzer die Festlegung eines Werts von maximal fünf Minuten, bevor die Authentifizierung durchgesetzt wird. Nutzer können den Computer während der Verschlüsselungssuche ganz normal nutzen. Alle Daten, die sich auf dem derzeit gestarteten Systemlaufwerk befinden, werden verschlüsselt, einschließlich des Betriebssystems. Das Betriebssystem ist währenddessen weiterhin funktionsfähig.
size >= 500000K size >= 500M ● Dateisystemtyp Zulassungsregel: fstype= Mögliche Werte für sind ExFAT, FAT oder HFS+ Um beides auszuschließen, finden Sie hier ein Beispiel für ein HFS+-Medium ab 1 TB: size>=1T;fstype=HFS+ Wiederherstellung Eventuell benötigen Sie gelegentlich Zugriff auf Daten auf verschlüsselten Laufwerken. Als Dell Administrator können Sie auf verschlüsselte Laufwerke zugreifen, ohne diese entschlüsseln zu müssen. So sparen Sie wertvolle Zeit.
oder auf Starten Sie den für die Wiederherstellung vorgesehenen Computer im Zieldatenträgermodus. Sie erreichen dies, indem Sie entweder den Bereich „Startlaufwerk“ in der Systemeinstellung starten und auf Ziellaufwerkmodus klicken oder indem Sie die Taste T während des Neustarts dieses Computers gedrückt halten. ANMERKUNG: Der Firmwarepasswortschutz blockiert die Verwendung der Taste T beim Starten zum Aufrufen des Zieldatenträgermodus.
● Externes, startfähiges Laufwerk ● Geräte-ID/Eindeutige ID des für die Wiederherstellung vorgesehenen Computers In der Regel finden Sie den für die Wiederherstellung vorgesehenen Computer in der Verwaltungskonsole. Suchen Sie nach dem Benutzernamen des Besitzers und zeigen Sie die für diesen Benutzer verschlüsselten Geräte an. Das Format für die Geräte-ID/Eindeutige ID lautet „Peter Schmidts MacBook.Z4291LK58RH“. ● Die Dell Installationsmedien Verwaltungskonsole – Wiederherstellungspaket speichern 1.
Wiederherstellen des Startvolumes (am häufigsten verwendet) Für die meisten Wiederherstellungsfälle verwenden Sie diese Option, um das Startvolume wiederherzustellen: 1. Schreiben Sie den Schlüssel entweder auf oder klicken Sie auf Wiederherstellungsschlüssel drucken. 2. Klicken Sie auf Schließen. 3. Starten Sie das Volume, das Sie wiederherstellen möchten, unter Verwendung des Preboot Startup Managers, falls erforderlich. Der Computer zeigt Symbole für mehrere Benutzer an oder verlangt ein Kennwort. 4.
2. Starten Sie über das externe Laufwerk, indem Sie die Taste Option gedrückt halten, und verwenden Sie die Startauswahl, um dieses Volume auszuwählen und darüber zu starten. 3. Kopieren Sie das Wiederherstellungspaket aus der Verwaltungskonsole. 4. Laden Sie die Installationsdatei .dmg. 5. Starten Sie im Ordner „Dienstprogramme“ das Dell Wiederherstellungsdienstprogramm. Das Dialogfeld Dell Recovery Utility > Volumes auswählen wird angezeigt. 6.
Das Dialogfeld Mac OS X Dienstprogramme wird angezeigt. 16. Wählen Sie aus dem Extras-Menü die Option Dienstprogramme > Terminal. 17. So laden Sie das Volume, damit Sie Dateien aus dem Terminal kopieren oder ein Abbild der Festplatte mit Disk Utility erstellen können: Geben Sie im Terminalmodus den vollständigen Pfad und den Skriptnamen fv2mount.sh ein, zum Beispiel: /Volumes/recoveryFOB/fv2mount.sh 18. Starten Sie den Computer neu.
Fehler auf der Registerkarte „Wechselmedien“ ● Ersetzen Sie auf einem Computer ohne Shield eine verschlüsselte Datei nicht durch eine entschlüsselte Version der Datei. Dies könnte eine spätere Entschlüsselung verhindern. Möglicherweise wird auch auf der Registerkarte „Wechselmedien“ ein Fehler angezeigt. ● Bei der Entwertung einer Dateiende-Markierung, z. B.
ANMERKUNG: Damit Sie die Deinstallationsanwendung ausführen können, muss der Datenträger vollständig entschlüsselt sein. 1. Wenn die Festplatte gegenwärtig verschlüsselt ist, setzen Sie die Richtlinie Dell Volume Encryption des Computers in der Verwaltungskonsole auf Aus und bestätigen die Richtlinie. Es wird ein Dialogfeld angezeigt, in dem der Zugriff auf die Systemvoreinstellungen und die Steuerung des Computers angefordert werden, damit die Client-Software den Datenträger entschlüsseln kann. a.
Nach der Aktivierung stehen die Informationen zu Client-Software, Richtlinien, Datenträgerstatus und Benutzer auch bei den Systemvoreinstellungen in den Dell Encryption Enterprise-Voreinstellungen zur Verfügung. Encryption Client – Referenzdokument Informationen zum optionalen Firmware-Kennwortschutz ANMERKUNG: Neuere Mac-Computer bieten keine Unterstützung für den Firmwarepasswortschutz. Der Firmwarepasswortschutz wird auf folgenden Modellen unterstützt: ● iMac10.* ● iMac11.* ● Macmini4.* ● MacBook7.
Verwendung von Boot Camp Unterstützung für Mac OS X Boot Camp ANMERKUNG: Bei Verwendung von Boot Camp verschlüsselt Dell Encryption Enterprise das Windows Betriebssystem nicht. Außerdem verschlüsselt Encryption Enterprise nur das primäre Volume, wenn zwei oder mehr startfähige macOS-Partitionen auf dem Gerät vorhanden sind. Boot Camp ist ein in Mac OS X integriertes Dienstprogramm, das Sie bei der Installation von Windows auf Mac-Computern mit dualer Startkonfiguration unterstützt.
● Drücken und halten Sie gleichzeitig die Taste Befehl und R (Befehl-R), bevor der Signalton für das Einschalten/den Selbsttest erklingt sowie während des Computerstarts. oder ● Für frühere Versionen von Apple drücken Sie die Wahltaste, während Sie den Computer einschalten. Das Dialogfeld Mac OS X Dienstprogramme wird angezeigt. 6. Wählen Sie das Boot Camp-Volume (Windows) aus, das sich auf dem externen Laufwerk befindet. 7.
Bo$vun8WDn Client-Hilfsprogramm Das Client-Tool ist ein Shell-Befehl, der auf einem Mac-Endpunkt ausgeführt wird. Es wird verwendet, um den Client von einem Remote-Standort aus zu aktivieren, oder ein Skript über ein Remote-Verwaltungsdienstprogramm auszuführen.
Tabelle 1. Client-Tool-Befehle (fortgesetzt) Befehl Zweck Syntax Ergebnisse Datenträger verschlüsselt sind.
Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -at -plist localAccount domainAccount domainPassword Zum temporären Aktivieren des Clients und dem Drucken des Ergebnisses. Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -s ; echo$? Zum Abfragen des Dell Server für aktualisierte Richtlinien im Namen des Clients und deren Anzeige auf dem Bildschirm. Library/PreferencePanes/Dell\ Encryption\Enterprise.
4 Aufgaben Themen: • • • • • • • Installieren von Advanced Threat Prevention for Mac Prüfen der Advanced Threat Prevention Installation Sammeln von Protokolldateien für Endpoint Security Suite Enterprise Details zu Advanced Threat Prevention anzeigen Bereitstellung eines Mandanten Konfigurieren der automatischen Aktualisierung des Advanced Threat Prevention Agenten Advanced Threat Prevention – Fehlerbehebung Installieren von Advanced Threat Prevention for Mac Dieser Abschnitt führt Sie durch die Installat
1. Laden Sie vom Dell Installationsmedium die Datei Endpoint-Security-Suite-Enterprise-.dmg. Das Paket Endpoint Security Suite Enterprise for Mac wird geöffnet. 2. Doppelklicken Sie auf das Paket-Installationsprogramm Endpoint Security Suite Enterprise. Die folgende Meldung wird angezeigt: Dieses Paket führt ein Programm aus, um festzustellen, ob die Software installiert werden kann. 3. Klicken Sie auf Weiter. 4. Lesen Sie die Informationen im Begrüßungsbildschirm und klicken Sie auf Weiter. 5.
7. Geben Sie in das Feld Server-Port den Wert 8888 ein und klicken Sie auf Weiter. Sobald eine Verbindung hergestellt ist, wechselt die Konnektivitätsanzeige von rot auf grün. ANMERKUNG: Der Port ist der konfigurierbare Serviceport des Kernservers. Die Standardportnummer ist 8888. 8. Klicken Sie im Installationsfenster auf Installieren. 9.
Installation von Advanced Threat Prevention über die Befehlszeile Führen Sie die folgenden Schritte aus, um den Advanced Threat Prevention Client unter Verwendung der Befehlszeile zu installieren. 1. Laden Sie vom Dell Installationsmedium die Datei „Endpoint-Security-Suite-Enterprise-.dmg “. Das Paket Endpoint Security Suite Enterprise for Mac wird geöffnet. 2. Kopieren Sie aus dem Ordner „Dienstprogramme“ die Datei com.dell.esse.plist auf das lokale Laufwerk. 3. Öffnen Sie die .plist-Datei. 4.
ServerHost server.organization.com ServerPort 8888 ANMERKUNG: Der Port ist der konfigurierbare Serviceport des Kernservers. Die Standardportnummer ist 8888. 5. Speichern und schließen Sie die Datei. 6. Kopieren Sie für jeden Zielcomputer das Paket-Installationsprogramm für Endpoint Security Suite Enterprise for Mac in einen temporären Ordner und die geänderten Datei com.dell.esse.
Das Folgende stellt die Standardeinstellungen dar: Current Settings: ServerHost = deviceserver.company.com ServerPort = 8888 DisableCertTrust = False DisablePolicyCheck = False DumpXmlInventory = False DumpPolicies = False 4. Geben Sie -help ein, um eine Liste mit den Optionen anzuzeigen. 5. Zum Deaktivieren von SSL Certificate Trust auf dem Client ändern Sie DisableCertTrust in True. 6. Zum Deaktivieren von Policy Signing Check auf dem Client ändern Sie DisablePolicyCheck in True.
Sammeln von Protokolldateien für Endpoint Security Suite Enterprise In den Systemeinstellungen > Dell Encryption Enterprise >-System-Volumes kann ein Administrator über die Schaltfläche „Protokolle erfassen“ unten rechts vorab Protokolle für den Support erstellen. Diese Maßnahme kann sich auf die Performance auswirken, während Protokolle erfasst werden. DellLogs.zip enthält die Protokolle für Mac Encryption Enterprise und Advanced Threat Prevention.
Registerkarte „Bedrohungen“ Die Registerkarte „Bedrohungen“ zeigt alle auf dem Gerät erkannten Bedrohungen sowie die durchgeführten Maßnahmen an. „Bedrohungen“ sind eine Kategorie von Ereignissen, die als potenziell unsichere Dateien oder Programme neu erfasst wurden und eine geführte Fehlerbehebung erfordern. Die Spalte „Kategorie“ kann Folgendes enthalten.
● Blockieren – Der Prozessaufruf wird blockiert, falls eine Anwendung versucht, einen Prozess zur Durchführung eines Arbeitsspeicherangriffs aufzurufen. Die Anwendung, die den Aufruf initiiert hat, darf weiterhin ausgeführt werden. ● Beenden – Der Prozessaufruf wird blockiert, falls eine Anwendung versucht, einen Prozess zur Durchführung eines Arbeitsspeicherangriffs aufzurufen. Die Anwendung, die den Aufruf durchgeführt hat, wird beendet.
● Die Bereitstellung basiert auf einem Token, das im Rahmen der Bereitstellung aus einem Zertifikat generiert wird. ● Die Lizenzen für Advanced Threat Prevention müssen auf dem Dell Server vorhanden sein. Bereitstellung eines Mandanten 1. Melden Sie sich als Dell Administrator bei der Verwaltungskonsole an. 2. Klicken Sie im linken Bereich der Verwaltungskonsole auf Verwaltung > Servicemanagement. 3. Klicken Sie auf Advanced Threat Protection-Dienst einrichten.
Aufgaben
Das folgende Diagramm veranschaulicht die Agentenkommunikation für Advanced Threat Prevention.
5 Glossar Sicherheitsserver – wird für Aktivierungen von Dell Encryption verwendet. Richtlinien-Proxy – wird zum Verteilen von Richtlinien für Clientsoftware verwendet. Verwaltungskonsole – die Verwaltungskonsole des Dell Servers für die gesamte Enterprise Bereitstellung. Shield – Ab und an kann in der Dokumentation und auf den Benutzeroberflächen der Begriff „Shield“ auftauchen. „Shield“ steht für Dell Encryption.
