Dell Data Protection | Endpoint Security Suite Guia de Instalação Básica v1.4.
Legendas CUIDADO: o ícone de CUIDADO indica a possibilidade de danos ao hardware ou perda de dados caso as instruções não sejam seguidas. ATENÇÃO: o ícone de AVISO indica a possibilidade de danos à propriedade, ferimentos pessoais ou morte. IMPORTANTE, NOTA, DICA, MÓVEL ou VÍDEO: o ícone de informações indica uma informação extra/de apoio. © 2016 Dell Inc. Todos os direitos reservados. Este produto é protegido por leis de copyright e de propriedade intelectual dos EUA e internacionais.
Índice 1 Introdução.................................................................................................................................................................5 Antes de começar.......................................................................................................................................................5 Usar este guia...................................................................................................................................................
Processo................................................................................................................................................................21 Desativar o PBA................................................................................................................................................... 21 Desinstalar o cliente de SED e os clientes Advanced Authentication..................................................... 22 Desinstalar o cliente BitLocker Manager.............
1 Introdução Este guia detalha como instalar e configurar o aplicativo usando o instalador mestre do ESS. Este guia fornece assistência básica de instalação. Consulte o Guia de Instalação Avançada se precisar de informações sobre a instalação de instaladores filhos, configuração do EE Server/VE Server ou informações além da assistência básica para o instalador mestre do ESS. Todas as informações sobre as políticas e suas descrições podem ser encontradas no AdminHelp.
2 Requisitos Todos os clientes • As práticas recomendadas de TI devem ser seguidas durante a implementação. Isso inclui, sem limitações, ambientes de teste controlados para testes iniciais e implantações escalonadas para os usuários. • A conta de usuário que executa a instalação/upgrade/desinstalação precisa ser a de um usuário Admin local ou de domínio, que pode ser temporariamente atribuída por uma ferramenta de implementação, como o Microsoft SMS ou o Dell KACE.
Hardware • Os requisitos mínimos de hardware precisam atender às especificações mínimas do sistema operacional.
Além disso, não há suporte para reinstalação de sistema operacional. Para reinstalar o sistema operacional, faça um backup do computador de destino, formate o computador, instale o sistema operacional e, depois, faça a recuperação dos dados criptografados seguindo os procedimentos de recuperação estabelecidos. Pré-requisitos do cliente Encryption • O instalador mestre do ESS instala o Microsoft Visual C++ 2012 Update 4 caso não esteja instalado no computador.
Cliente Threat Protection • Os clientes Threat Protection não podem ser instalados sem que o cliente Encryption seja detectado no computador. Se você tentar fazer a instalação, ela falhará. • Para que o Threat Protection seja instalado satisfatoriamente, o computador precisa ter conectividade de rede. • Desinstale os aplicativos de antivírus, antimalware, antispyware e firewall de outros fornecedores antes de instalar os clientes Threat Protection para evitar falhas de instalação.
Uso Protocolo de aplicativo Protocol Número da o de porta transpor te Destino Feedback do serviço de reputação SSL TCP 443 gtifeedback.trustedsource. Saída org Gerenciador de quarentena HTTP TCP 80 Seu EE Server/VE Server Bidirecional Atualização do banco de dados de reputação de URL HTTP TCP 80 list.smartfilter.com Saída Consulta de reputação de URL SSL TCP 443 tunnel.web.trustedsource.
Pré-requisitos • • Visual C++ 2010 SP1 ou Redistributable Package mais recente (x86 e x64) Visual C++ 2012 Update 4 ou Redistributable Package mais recente (x86 e x64) Sistemas operacionais do Cliente de SED • A tabela a seguir detalha os sistemas operacionais suportados. Sistemas operacionais Windows (32 e 64 bits) • Windows 7 SP0-SP1: Enterprise, Professional (suportado com o modo de Inicialização herdada, mas não com UEFI) • • • NOTA: O modo de inicialização herdada é suportado no Windows 7.
Leitores de cartões inteligentes e de impressão digital • Leitores USB Authentec Eikon e Eikon To Go Cartões sem contato • Cartões sem contato que usam leitores de cartões sem contato integrados em laptops Dell específicos Cartões inteligentes • Cartões inteligentes PKCS #11 usando o cliente ActivIdentity • • • NOTA: O cliente ActivIdentity não é pré-carregado e precisa ser instalado separadamente.
Cliente BitLocker Manager • Considere a revisão dos Requisitos do Microsoft BitLocker caso o BitLocker ainda não esteja implementado no ambiente, • Verifique se a partição de PBA já está configurada. Se o BitLocker Manager for instalado antes de a partição de PBA ser configurada, o BitLocker não poderá ser ativado e o BitLocker Manager não ficará operacional. • O teclado, o mouse e os componentes de vídeo precisam estar diretamente conectados ao computador.
3 Instalar usando o instalador mestre do ESSE • Parâmetros e opções de linha de comando fazem distinção entre maiúsculas e minúsculas. • Para instalar usando portas que não são as portas padrão, use os instaladores filhos em vez do instalador mestre do ESSE. • Os arquivos de log do instalador mestre do ESS estão localizados em C:\ProgramData\Dell\Dell Data Protection\Installer.
A opção Security Framework instala a estrutura de segurança subjacente e o Security Tools, o cliente de autenticação avançada que gerencia múltiplos métodos de autenticação, incluindo PBA e credenciais como impressões digitais e senhas. A opção Drivers inclui drivers necessários para aplicativos DDP. A opção Encryption instala o cliente Encryption, o qual impõe a política de segurança, esteja o computador conectado ou não à rede, seja perdido ou roubado.
Parâmetro Descrição SUPPRESSREBOOT Suprime a reinicialização automática após a conclusão da instalação. Pode ser usado no modo SILENCIOSO. Servidor Especifica a URL do EE Server/VE Server. InstallPath Especifica o caminho da instalação. Pode ser usado no modo SILENCIOSO. FEATURES Especifica os componentes que podem ser instalados no modo SILENCIOSO.
4 Desinstalar usando o instalador mestre do ESSE • Cada componente precisa ser desinstalado separadamente, seguido pela desinstalação do instalador mestre do ESSE . Os clientes precisam ser desinstalados em uma ordem específica para evitar falhas de desinstalação. • Siga as instruções em Extrair os instaladores filhos do instalador mestre do ESS para obter os instaladores filhos.
5 Desinstalar usando os instaladores filhos • Para desinstalar cada cliente individualmente, os arquivos executáveis filhos precisam primeiro ser extraídos do instalador mestre do ESSE , como mostrado em Extrair os instaladores filhos do instalador mestre do ESS. • Certifique-se de que as mesmas versões dos clientes usadas na instalação sejam usadas na desinstalação. • Parâmetros e opções de linha de comando fazem distinção entre maiúsculas e minúsculas.
Desinstalar clientes Threat Protection Desinstalação por linha de comando • Depois de ser extraído do instalador mestre do ESS, o instalador do cliente Threat Protection pode ser encontrado em C: \extracted\Dell Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi. • O exemplo a seguir desinstala o cliente Threat Protection. MSIEXEC.EXE /x "DellThreatProtection.
Parâmetro Seleção CMG_DECRYPT Propriedade para selecionar o tipo de instalação do Encryption Removal Agent: 3 - Use o pacote LSARecovery 2 - Use o material de chave forense previamente baixado 1 - Baixe as chaves do EE Server/VE Server 0 - Não instalar o Agente de remoção de criptografia CMGSILENTMODE Propriedade de desinstalação silenciosa: 1 - Silenciosa 0 - Não silenciosa Propriedades necessárias DA_SERVER FQHN para o EE Server que hospeda a sessão de negociação.
DDPE_XXbit_setup.exe /x /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" FORENSIC_ADMIN= \"tempsuperadmin\" FORENSIC_ADMIN_PWD=\"tempchangeit\" /qn" Reinicie o computador ao terminar. IMPORTANTE: A Dell recomenda as seguintes ações ao usar uma senha de administrador forense na linha de comando quando um cliente é ativado em um VE Server: 1 Criar uma conta de Administrador forense no Console de gerenciamento remoto para fazer a desinstalação silenciosa.
Desinstalar o cliente de SED e os clientes Advanced Authentication Desinstalação por linha de comando • Depois de extraído do instalador mestre do ESSE , o instalador do cliente SED pode ser localizado em C:\extracted\Security Tools\EMAgent_XXbit_setup.exe. • Depois de extraído do instalador mestre do ESS, o instalador do cliente SED pode ser encontrado em C:\extracted\Security Tools\Authentication\\setup.exe. • O exemplo a seguir desinstala silenciosamente o cliente SED. EMAgent_XXbit_setup.
6 Extrair os instaladores filhos do instalador mestre do ESSE • O instalador mestre do ESSE não é um desinstalador mestre. Cada cliente precisa ser desinstalado individualmente, seguido pela desinstalação do instalador mestre do ESSE . Use esse processo para extrair os clientes do instalador mestre do ESSE para que possam ser usados para desinstalação. 1 A partir da mídia de instalação da Dell, copie o arquivo para o computador local.
7 Configurar o Key Server para desinstalação do cliente Encryption ativado no EE Server • Esta seção explica como configurar os componentes para uso com autenticação/autorização Kerberos usando um EE Server. O VE Server não usa o Key Server. • Se a autorização/autenticação do Kerberos for usada, então o servidor que contém o componente do Servidor de chaves terá de fazer parte do domínio afetado. • Uma vez que o VE Server não usa o Key Server, a desinstalação típica é afetada.
Painel Serviços - Reiniciar o serviço do servidor de chaves 1 Volte para o painel Serviços (Iniciar > Executar... > services.msc > OK). 2 Reinicie o serviço do Key Server. 3 Navegue até log.txt para verificar se o serviço foi iniciado corretamente. 4 Feche o painel Serviços. Remote Management Console - Adicionar administrador forense 1 Se necessário, faça login no Remote Management Console. 2 Clique em Populações > Domínios.
8 Usar o utilitário de download administrativo (CMGAd) • Este utilitário possibilita fazer download de um pacote de materiais de chaves para uso em um computador não conectado a um EE Server/VE Server. • O utilitário usa um dos métodos a seguir para fazer download de um pacote de chaves, dependendo do parâmetro de linha de comando passado ao aplicativo: • Forensic Mode (Modo forense) - Usado se "-f" for incluído na linha de comando ou se nenhum parâmetro de linha de comando for usado.
Usar o utilitário de download administrativo no modo administrativo O VE Server não usa o Key Server, de forma que o modo administrativo não pode ser usado para obter um pacote de chaves de um VE Server. Use o modo forense para obter um pacote de chaves se o cliente estiver ativado em um VE Server. 1 Abra um prompt de comando onde o CMGAd está localizado e digite cmgad.exe -a. 2 Digite as informações a seguir (alguns campos podem já estar preenchidos).
9 Solução de problemas Todos os clientes - solução de problemas • Os arquivos de log do instalador mestre do ESS estão localizados em C:\ProgramData\Dell\Dell Data Protection\Installer. • O Windows cria arquivos de log de desinstalação do instalador filho exclusivos para o usuário logado em %temp%, localizados em C:\Users\\AppData\Local\Temp. • O Windows cria arquivos de log referentes a pré-requisitos do cliente, como Visual C++, para o usuário logado em %temp %, localizados em C:\Users\
Execute o WSScan 1 Copie o WSScan.exe da mídia de instalação Dell para o computador Windows a ser verificado. 2 Inicie uma linha de comando no local acima e digite wsscan.exe no prompt de comando. O WSScan é aberto. 3 Clique em Avançado. 4 Selecione o tipo de unidade a ser analisada no menu suspenso: Todas as unidades, Unidades fixas, Unidades removíveis ou CDROM/DVDROM.
Saída Significado Usuário: chave de criptografia do usuário. Comum: chave de criptografia comum. O WSScan não mostra arquivos que foram criptografados com o recurso Criptografar para compartilhamento. DCID A ID do dispositivo. Como mostrado no exemplo acima, "7vdlxrsb" Se você estiver verificando uma unidade de rede mapeada, o relatório de verificação não retornará um DCID. UCID O ID do usuário. Como mostrado no exemplo acima, "_SDENCR_" O UCID é compartilhado por todos os usuários do computador.
• • Ocorreu um erro de entrada/saída durante a descriptografia de arquivos. • Não foi possível descriptografar os arquivos por política. • Os arquivos estão marcados como se devessem ser criptografados. • Ocorreu um erro durante a varredura de descriptografia. • Em todos os casos, um arquivo de log é criado (se o registro em log estiver configurado) quando LogVerbosity=2 (ou superior) é definido.
12 Clique em Instalar para iniciar a instalação dos drivers. 13 Opcionalmente marque a caixa para mostrar o arquivo de log do instalador. Clique em Concluir para sair do assistente. Verificação da instalação de drivers • O Gerenciador de dispositivos terá um dispositivo Dell ControlVault (e outros dispositivos) dependendo da configuração de hardware e do sistema operacional. Instalação do firmware Dell ControlVault 1 Navegue até a pasta na qual você fez o download do arquivo de instalação do firmware.
10 Glossário Advanced Authentication – O produto Advanced Authentication oferece opções totalmente integradas de leitor de impressões digitais, cartão inteligente e cartão inteligente sem contato. O Advanced Authentication ajuda a gerenciar esses diversos métodos de autenticação de hardware, oferece suporte para login com unidades de criptografia automática, SSO e gerencia credenciais e senhas de usuário.
Windows. Conforme a política, o recurso de OTP pode ser usado para recuperar o acesso ao computador em caso de vencimento ou esquecimento da senha, desde que a OTP não tenha sido usada para o login no computador. O recurso de OTP pode ser usado para autenticação ou para recuperação, mas não para ambos. A segurança da Senha de uso único é superior a de alguns outros métodos de autenticação, pois a senha gerada pode ser utilizada apenas uma vez e vence em pouco tempo.