Dell Endpoint Security Suite Enterprise for Mac Guía del administrador v2.9 Marzo 2021 Rev.
Notas, precauciones y advertencias NOTA: Una NOTA indica información importante que le ayuda a hacer un mejor uso de su producto. PRECAUCIÓN: Una PRECAUCIÓN indica la posibilidad de daños en el hardware o la pérdida de datos, y le explica cómo evitar el problema. AVISO: Un mensaje de AVISO indica el riesgo de daños materiales, lesiones corporales o incluso la muerte. © 2012-2021 Dell Inc. All rights reserved.
Tabla de contenido Capítulo 1: Introducción...................................................................................................................5 Descripción general............................................................................................................................................................... 5 Cifrado con FileVault......................................................................................................................................................
Cómo utilizar Boot Camp..............................................................................................................................................34 Cómo recuperar una contraseña de firmware........................................................................................................... 35 Herramienta de cliente..................................................................................................................................................36 Capítulo 4: Tareas...
1 Introducción La Guía del administrador de Endpoint Security Suite Enterprise para Mac proporciona la información necesaria para implementar e instalar el software cliente. Temas: • • • Descripción general Cifrado con FileVault Cómo comunicarse con Dell ProSupport Descripción general Endpoint Security Suite Enterprise para Mac ofrece Advanced Threat Prevention en el sistema operativo, capas de memoria y cifrado, todo ello administrado de forma centralizada desde Dell Server.
2 Requisitos En este capítulo se enumeran los requisitos de hardware y software. Asegúrese de que el entorno de implementación cumple los requisitos antes de continuar con las tareas de implementación. Temas: • • Cliente Encryption Advanced Threat Prevention Cliente Encryption Hardware del cliente Encryption Los requisitos de hardware mínimos deben cumplir las especificaciones mínimas del sistema operativo.
● FAT32 ● exFAT ● Archivos de medios con el formato HFS Plus (MacOS Plus) que tienen esquemas de particiones de la Tabla de particiones GUID (GPT) o el Registro de arranque maestro (MBR). Consulte Activar HFS Plus. NOTA: El medio externo debe tener 55 MB disponibles, además de una cantidad de espacio libre igual al tamaño del archivo más grande que se vaya a cifrar, para alojar Encryption External Media.
Software de Advanced Threat Prevention La tabla a continuación muestra qué software es compatible. Sistemas operativos (kernel de 64 bits) ● Mac OS X Mavericks 10.9.5 ● Mac OS X Yosemite 10.10.5 ● macOS Sierra 10.12.6 NOTA: Mac OS X Mavericks 10.9.5, Mac OS X Yosemite 10.10.5 y macOS Sierra 10.12 solo son compatibles con Advanced Threat Prevention, no con el cliente Encryption. ● macOS High Sierra 10.13.
Funciones Políticas Windows macOS Linux Cuarentena automática (anormal) x x x Carga automática x x x Lista segura de políticas x x x Protección de memoria x x x Dinamización de pilas x x x Protección de pilas x x x Sobrescribir código x n/d Extracción de RAM x n/d Contenido malicioso x Acciones de memoria Explotación Inyección del proceso Distribución remota de memoria x x n/d Asignación remota de memoria x x n/d Escritura remota en la memoria x x n/d Escri
Funciones Políticas Windows macOS Linux Detectar nuevos archivos x x x Tamaño máximo de archivo de almacenamiento para escanear x x x Excluir carpetas específicas x x x Copiar muestras de archivos x Control de la aplicación Cambiar ventana x Exclusiones de carpetas x x Configuración del agente Activar carga automática de archivos de registro x Activar las notificaciones de escritorio x x x Control de la secuencia de comandos 10 Secuencia de comandos activa x PowerShell x
3 Tareas para el cliente Encryption Temas: • • • • • • • • • • Instalar/actualizar el cliente Encryption Activar el cliente Encryption Ver la política y el estado del cifrado Volúmenes del sistema Recuperación Medios extraíbles Recopilar archivos de registro para Endpoint Security Suite Enterprise Desinstalar el cliente Encryption para Mac Activación como administrador Referencia del cliente Encryption Instalar/actualizar el cliente Encryption Esta sección le guiará a través del proceso de instalación/act
● Asegúrese de que dispone de las URL del servidor de seguridad y de la política de proxy. Se necesitan ambas para instalar y activar el software cliente. ● Si la implementación utiliza una configuración distinta de la predeterminada, asegúrese de que sabe el número de puerto del servidor de seguridad. Se necesita para instalar y activar el software cliente. ● Asegúrese de que el equipo de destino cuenta con conectividad de red con el servidor de seguridad y la política de proxy.
Inmediatamente después de finalizar la instalación, reinicie el equipo. Si tiene archivos abiertos en otras aplicaciones y no están listos para un reinicio, haga clic en Cancelar, guarde el trabajo y cierre otras aplicaciones. 15. Haga clic en Continuar con la instalación. Empezará la instalación. 16. Cuando se complete la instalación, haga clic en Reiniciar. 17. Con una nueva instalación de Endpoint Security Suite Enterprise, se muestra un cuadro de diálogo que dice Extensión de sistema bloqueada.
NoAuthenticateUsers [In this sample code, after one user activates the computer against the Dell Server, other users can log in without being prompted to activate.] dsAttrTypeStandard:AuthenticationAuthority * NoAuthenticateUsers [In this sample code, users from a specific domain name can log in without being prompted to activate against the Dell Server.
port] Version 2 [Do not modify] MaxPasswordDelay xxxx [Number of seconds to apply to the security policy, "Require password XXXX after sleep or screen saver begins." The acceptable range is 0-32400.] EMSTreatsUnsupportedFileSystemAs ignore [For handling Mac OS Extended media. Possible values are ignore, provisioningRejected, or unshieldable. ignore - the media is usable (default).
a. b. c. d. Haga clic en el icono de signo más (+) en el panel derecho. Vaya a /Library/Dell/EMS y seleccione Dell Encryption External Media. Haga clic en Abrir. En Acceso completo al disco, seleccione la casilla de verificación de Dell Encryption External Media. 6. Cierre Seguridad y privacidad.
2. Haga clic en la pestaña Políticas para ver el conjunto de políticas actuales configuradas para el equipo. Utilice esta vista para confirmar las políticas de cifrado específicas que están en vigor en este equipo. NOTA: Haga clic en Actualizar para comprobar si ha habido actualizaciones de políticas.
Estado Descripción Preparación del volumen para el cifrado en curso El software cliente está iniciando actualmente el proceso de cifrado para el volumen, pero no ha empezado el barrido de cifrado. No puede cambiarse el tamaño del volumen El software cliente no puede iniciar el cifrado porque no puede cambiarse el tamaño del volumen de forma adecuada. Tras recibir este mensaje, póngase en contacto con Dell ProSupport y proporcione los archivos de registro.
Placa de Identificación Tipo y estado del volumen Un volumen configurado para el cifrado. La placa de identificación Seguridad y privacidad indica una partición protegida por FileVault. Un volumen que no es de inicio configurado para el cifrado. La placa de identificación Seguridad y privacidad indica una partición protegida por FileVault. Varias unidades y sin cifrado. NOTA: El ícono del volumen sin una placa de identificación indica que no se ha hecho nada en el disco. Este disco no es de inicio. 5.
4. Haga clic en el extremo correspondiente. 5. Haga clic en la pestaña Detalles y acciones. En el área Detalle del extremo se muestra información sobre el equipo Mac. El área de detalle Shield muestra información sobre el software cliente, incluidas las horas de inicio y finalización del barrido de cifrado del equipo. Para consultar las políticas vigentes, haga clic en Ver políticas vigentes. 6. Haga clic en la pestaña Políticas de seguridad.
Para obtener descripciones de todas las políticas, consulte AdminHelp, que está disponible en la consola de administración. 8. Cuando termine, haga clic en Guardar. 9. En el panel izquierdo, haga clic en Administración > Confirmar. La cifra que se muestra junto a Cambios pendientes de políticas es acumulativa. Puede incluir cambios realizados en otros extremos, o realizados mediante otros administradores que están utilizando la misma cuenta. 10.
En función de las políticas de experiencia del usuario establecidas en la consola de administración, es posible que el software cliente solicite al usuario que reinicie la computadora. 8. Después de que la computadora se reinicie, deberá conectarse a la red para que el software cliente custodie la información de recuperación en Dell Server.
4. En Buscar, ingrese un nombre de usuario o desplácese hacia abajo. Las cuentas de usuario se muestran solo si se cumplen los criterios establecidos por la política. Para usuarios locales y móviles, se muestra el botón Activar usuario. Para usuarios de la red, se muestra el botón Convertir y activar usuario. NOTA: Un indicador verde aparece junto a las cuentas de usuario que pueden iniciar FileVault. 5. Haga clic en Activar usuario o en Convertir y activar usuario. 6.
Reciclado de claves de recuperación de FileVault Si tiene problemas de seguridad con un paquete de recuperación o si algún riesgo afecta a un volumen o a las claves, puede reciclar el material de la clave de ese volumen. Puede reciclar las claves de unidades de inicio y de unidades que no son de inicio en Mac OS X. Para reciclar el material de la clave: 1. Descargue un paquete de recuperación desde la consola de administración y cópielo en el escritorio de la computadora. 2.
Si la política de Cifrado de los medios de Mac se establece en Activada, se cifrarán los datos, incluidas las unidades Thunderbolt. A fin de excluir un dispositivo o un grupo de estos para impedir que se escriban datos cifrados en la unidad Thunderbolt o en Encryption External Media, puede utilizar la regla de la lista de aceptación para modificar los valores.
● El ID de dispositivo/ID único de la computadora destinada para la recuperación: en la mayoría de los casos, puede encontrar la computadora destinada para la recuperación en la consola de administración buscando el nombre de usuario del propietario y visualizando los dispositivos cifrados para él. El formato del ID exclusivo/ID de dispositivo es "MacBook.Z4291LK58RH de Juan García". ● Medio de instalación de Dell Proceso 1. Como administrador de Dell, inicie sesión en la Consola de administración. 2.
Un volumen cifrado de FileVault se puede recuperar solo desde la partición de Recovery HD que se escribe en todas las unidades de disco que ejecuten Mac OS X 10.9.5 o posterior. Este requisito elimina la posibilidad de realizar una operación de recuperación directamente desde la utilidad de recuperación de Dell. Existen dos métodos de recuperación, en función de si la clave de recuperación de FileVault es una clave de recuperación personal o institucional. Siempre existe una clave de recuperación válida.
2. En Utilidad de recuperación Dell > Seleccionar volúmenes, seleccione el volumen FileVault. ● Cuando se recupera un sistema operativo, la práctica recomendada es arrancar una computadora con el mismo sistema operativo o superior. ● Si tiene volúmenes cifrados que no son de inicio, normalmente recuperará primero la partición de inicio. 3. Haga clic en Continuar. 4. Encuentre y seleccione el paquete de recuperación (guardado anteriormente) y haga clic en Abrir. 5.
● ● ● ● Un equipo o un volumen externo de recuperación que ejecutará la utilidad de recuperación Una unidad USB Un cable FireWire Medio de instalación de Dell Consola de administración: almacenamiento del paquete de recuperación 1. Abra la consola de administración. 2. En el panel izquierdo, haga clic en Poblaciones > Extremos. 3. 4. 5. 6. 7. Busque el dispositivo que se recuperará. Haga clic en el nombre de dispositivo para abrir la página Detalle del extremo.
Se muestra el diálogo Resultado de la operación de recuperación, que indica los archivos se han creado. 12. Haga clic en Cerrar. 13. Después de iniciarse el volumen de Recovery HD, ingrese el nombre y la ruta de acceso de la secuencia de comandos. NOTA: Si almacena los archivos cerca de la raíz de un volumen, se acortará la ruta de acceso que debe escribir. En la sección Resultado de la operación de recuperación, se muestra la clave.
○ Los medios que se pueden reconocer como destino para un respaldo de Time Machine se introducen automáticamente en la lista de aceptación para permitir que los respaldos continúen. ○ El resto de medios extraíbles con copias de seguridad de Time Machine se basan en la política que rige los medios no aprovisionados y sin protección. Consulte las políticas Acceder a medios sin blindaje en EMS y Bloquear el acceso a medios que no se pueden proteger en EMS.
DellLogs.zip contiene los registros de Mac Encryption Enterprise y Advanced Threat Prevention. Para obtener información sobre cómo recopilar los registros, consulte http://www.dell.com/support/article/us/en/19/SLN303924. Desinstalar el cliente Encryption para Mac Para desinstalar el software cliente puede ejecutar la aplicación Desinstalar Dell Encryption Enterprise. Para desinstalar el software cliente, siga los pasos que se indican a continuación.
Activar Utilice este comando para activar el cliente como administrador. Ejemplo: client -a username@domain.com password admin admin Activar temporalmente Utilice este comando para activar el cliente sin dejar huella en el equipo. 1. Abra un shell o utilice una secuencia de comandos para activar el software cliente: client -at username@domain.com password 2.
NOTA: Para impedir que los usuarios cambien la posición de seguridad del equipo, el cliente no acepta cambios en la clave FirmwarePasswordMode tras la instalación del software cliente. Para cambiar el valor de esta clave tras la instalación o la actualización, inicie un proceso de descifrado del disco y, a continuación, vuelva a habilitar el cifrado.
O bien ● Partición FAT en el volumen Boot Camp externo 3. Apague el equipo con el volumen Boot Camp que se va a recuperar. 4. Conecte la unidad externa al equipo. Esta unidad contiene el volumen Boot Camp creado en el paso 1. 5. Para arrancar la computadora desde la unidad externa de Boot Camp, realice uno de los siguientes pasos: ● Mantenga presionadas simultáneamente las teclas Comando y R antes del timbre de encendido/autoprueba y durante el arranque de la computadora.
7. Para guardar el paquete de recuperación en el volumen de recuperación o equipo externo que ejecutará la utilidad de recuperación para realizar la operación de recuperación, haga clic en Descargar, y haga clic en Guardar. 8. Abra el paquete de recuperación para recuperar la contraseña de firmware del equipo destinado a la recuperación. La contraseña del firmware se encuentra en las etiquetas de la cadena después de la clave FirmwarePassword.
Tabla 1. Comandos de la herramienta del cliente (continuación) Comando Propósito Sintaxis Resultados el estado del cifrado y las políticas Si se devuelven llaves vacías, significa que ningún disco está cifrado.
Ejemplos Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -p -plist Para recuperar las políticas desde el cliente e imprimirlas. Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -at -plist localAccount domainAccount domainPassword Para activar temporalmente el cliente e imprimir el resultado. Library/PreferencePanes/Dell\ Encryption\Enterprise.
4 Tareas Temas: • • • • • • • Instalar Advanced Threat Prevention para Mac Verificar la instalación de Advanced Threat Prevention Recopilar archivos de registro para Endpoint Security Suite Enterprise Ver detalles de Advanced Threat Prevention Aprovisionamiento de un inquilino Configuración de actualización automática del agente Advanced Threat Prevention Solución de problemas de Advanced Threat Prevention Instalar Advanced Threat Prevention para Mac Esta sección le guiará por a través de la instalación d
Se abrirá el paquete Endpoint Security Suite Enterprise para Mac. 2. Haga doble clic en el instalador del paquete Endpoint Security Suite Enterprise. Aparecerá el siguiente mensaje: Con este paquete, se ejecutará un programa para determinar si el software se puede instalar. 3. Haga clic en Continuar. 4. Lea el texto de bienvenida y haga clic en Continuar. 5.
7. En el campo Puerto del servidor, ingrese 8888 y haga clic en Continuar. Cuando se haya establecido una conexión, el indicador de conectividad cambiará de rojo a verde. NOTA: El puerto es el puerto de servicio del servidor de Core y se puede configurar. El número de puerto predeterminado es 8888. 8. En la pantalla de instalación, haga clic en Instalar. 9.
Instalación de Advanced Threat Prevention mediante la línea de comandos Para instalar el cliente Advanced Threat Prevention mediante la línea de comandos, siga estos pasos. 1. Desde el medio de instalación de Dell, monte el archivo Endpoint-Security-Suite-Enterprise-.dmg. Se abrirá el paquete Endpoint Security Suite Enterprise para Mac. 2. Desde la carpeta Utilidades, copie el archivo com.dell.esse.plist en la unidad local. 3. Abra el archivo .plist.
4. Edite los valores de los marcadores con el nombre completo del host de Dell Server para administrar el usuario de destino, como server.organization.com, y el número de puerto 8888: ServerHost server.organization.
1. En el cliente, inicie una ventana de terminal. 2. Ingrese la ruta de acceso de DellCSFConfig.app: cd /Volumes/Endpoint\ Security\ Suite\ Enterprise\ for\ Mac/Utilities/DellCSFConfig.app/ Contents/MacOS/ 3. Ejecute DellCSFConfig.app: sudo DellCSFConfig.app/Contents/MacOS/DellCSFConfig Aparecerán los siguientes valores predeterminados: Current Settings: ServerHost = deviceserver.company.
● Número de serie: utilice este número cuando se ponga en contacto con el servicio de asistencia. Se trata del identificador único de la instalación. 3. La carpeta de Advanced Threat Prevention se crea en /Aplicaciones. Recopilar archivos de registro para Endpoint Security Suite Enterprise En Preferencias del sistema > Dell Encryption Enterprise > Volúmenes del sistema, el botón Recopilar registros en la parte inferior derecha permite a un administrador generar previamente registros para la compatibilidad.
Haga clic con el botón derecho del ratón en el ícono de Advanced Threat Protection en la barra de comandos y seleccione Mostrar detalles. La pantalla de detalles de Advanced Threat Prevention cuenta con las siguientes pestañas. Pestaña Amenazas La pestaña Amenazas muestra todas las amenazas detectadas en el dispositivo y la acción llevada a cabo. Las amenazas son una categoría de sucesos que se acaban de detectar como archivos o programas potencialmente inseguros y que requieren correcciones guiadas.
● Ignorar: no se realiza ninguna acción contra las violaciones de memoria identificadas. ● Alertar: la violación de memoria se registra e informa a Dell Server. ● Bloquear: la llamada del proceso se bloquea si una aplicación intenta llamar a un proceso de violación de memoria. Se permite que la aplicación que realizó la llamada continúe ejecutándose. ● Finalizar: la llamada del proceso se bloquea si una aplicación intenta llamar a un proceso violación de memoria.
● Debe tener conexión a Internet en el cliente para mostrar la integración del servicio en línea de Advanced Threat Prevention en la consola de administración. ● El aprovisionamiento se basa en una señal generada a partir de un certificado durante el proceso de aprovisionamiento. ● Las licencias de Advanced Threat Prevention deben estar presentes en Dell Server. Aprovisionamiento de un inquilino 1. Como administrador de Dell, inicie sesión en la Consola de administración. 2.
Tareas 49
El siguiente diagrama muestra el proceso de comunicación de agentes de Advanced Threat Prevention.
5 Glosario Security Server: se utiliza para las activaciones de Dell Encryption. Policy Proxy: se utiliza para distribuir las políticas del software cliente. Management Console: la consola administrativa de Dell Server para la implementación de toda la empresa. Shield: en ocasiones, encontrará este término en la documentación y en las interfaces de usuario. "Shield" es el término que se utiliza para representar a Dell Encryption.