Dell Security Management Server Virtual クイック スタートおよびインストール ガイド v11.0.0 2021 年 5 月 Rev.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2012-2021 Dell Inc. All rights reserved. Registered trademarks and trademarks used in the Dell Encryption and Endpoint Security Suite Enterprise suite of documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
目次 章 1: クイックスタートガイド............................................................................................................5 インストール........................................................................................................................................................................ 5 設定......................................................................................................................................................................................... 5 管理コンソールを開く......
章 5: インストール後の設定............................................................................................................. 31 マネージャの信頼チェーンチェックの妥当性検査.................................................................................................... 31 章 6: 管理コンソールの管理者タスク................................................................................................ 32 Dell 管理者役割の割り当て............................................................................................................................
1 クイックスタートガイド このクイックスタートガイドは経験のあるユーザー対象で、Dell Server を素早く準備して稼動させるためのものです。原則として、 デルでは最初に Dell Server をインストールし、その後クライアントをインストールすることをお勧めします。 詳細な手順については、Security Management Server Virtual I インストールガイドを参照してください。 Dell Server の前提条件については、「Security Management Server Virtual の前提条件」、「管理コンソールの前提条件」、「プロキシモ ードの前提条件」を参照してください。 既存の Dell Server をアップデートする情報については、「Security Management Server Virtual のアップデート」を参照してくださ い。 インストール 1. Dell Data Security ファイルが保存されているディレクトリーを参照してダブルクリックし、VMware Security Management Server Virtual v11.
組織にはベースラインポリシーが設定されていますが、次のように、特定のニーズに応じて変更する必要が生じます(すべてのア クティブ化はライセンスおよび資格によって決まります)。 ● ● ● ● ● ● ● ● ポリシーベース暗号化は共通キー暗号化で有効にされます 自己暗号化ドライブが搭載されたコンピュータは暗号化されます BitLocker 管理は無効にされます Advanced Threat Prevention は無効にされます Threat Protection は無効にされます 外部メディアは暗号化されません ポート制御によるポートの管理は行われません フルディスク暗号化がインストールされているデバイスは暗号化されません Technology Group とポリシーの説明については、AdminHelp トピックの「ポリシーの管理」を参照してください。 これで、クイックスタートタスクが完了しました。 6 クイックスタートガイド
2 インストール詳細ガイド 本インストールガイドは、専門知識をお持ちでないユーザー向けに Security Management Server Virtual のインストールと設定につ いて説明するものです。原則として、デルでは最初に Security Management Server Virtual をインストールし、その後クライアント をインストールすることをお勧めします。 既存の Security Management Server Virtual をアップデートする詳細情報については、「Security Management Server Virtual のアップ デート」を参照してください。 Security Management Server Virtual について 管理者は、管理コンソールを使用して、企業全体のエンドポイント、ポリシーの適用、保護の状態を監視します。プロキシモード は、Security Management Server Virtual で使用するフロントエンド DMZ モードのオプションを提供します。 Security Management Server Virtual
追加のインフラストラクチャ要件(Active Directory、および Dell Security Management Server の SQL Server)は、適切な機能のた めにも必要です。 仮想環境 ● VMware Workstation 14.0 64 ビット CPU(必須) 8 GB RAM(必須) 80 GB のハードドライブ容量 少なくとも 2 コアが搭載されたホストコンピュータ 対応ホストオペレーティングシステムの完全なリストについては、http://www.vmware.com/resources/compatibility/ search.php?deviceCategory=software&testConfig=17 を参照してください。 ○ ハードウェアは VMware 最小要件を満たしている必要があります ○ 詳細については、https://kb.vmware.com/s/article/1003746 を参照してください。 ○ ○ ○ ○ ○ ● VMware Workstation 14.
仮想環境 少なくとも 2 コアが搭載されたホストコンピュータ 8 GB 以上の RAM(必須) 80 GB のハードドライブ容量 オペレーティングシステムは必要ありません 対応ホストオペレーティングシステムの完全なリストについては、http://www.vmware.com/resources/compatibility/ search.php?deviceCategory=software&testConfig=17 を参照してください。 ○ ハードウェアは VMware 最小要件を満たしている必要があります ○ 詳細については、https://kb.vmware.com/s/article/1003746 を参照してください。 ○ ○ ○ ○ ○ ● VMware ESXi 6.7 64 ビット x86 CPU(必須) 少なくとも 2 コアが搭載されたホストコンピュータ 8 GB 以上の RAM(必須) 80 GB のハードドライブ容量 オペレーティングシステムは必要ありません 対応ホストオペレーティングシステムの完全なリストについては、http://www.vmware.
プロキシモード ハードウェア 次の表は、最小ハードウェア要件の詳細です。 プロセッサ 最新のデュアルコア CPU(1.5 Ghz 以上) RAM 2 GB の専用 RAM(最小)/ 4 GB の専用 RAM(推奨) 空きディスク容量 1.5 GB の空きディスク容量(その他仮想ページング容量が必要) ネットワークカード 10/100/1000 ネットワークインタフェースカード その他 IPv4、IPv6、または IPv4 と IPv6 の組み合わせがサポートされている ソフトウェア 次の表では、プロキシモードサーバをインストールする前にインストールしておく必要があるソフトウェアの詳細を説明します。 前提条件 ● Windows インストーラ 4.0 以降 Windows インストーラ 4.0 以降が、インストールを実行するサーバー上にインストールされている必要があります。 ● Microsoft Visual C++ 2010 再頒布可能パッケージ インストールされていない場合、インストーラが自動でインストールします。 ● Microsoft .NET Framework バージョン 4.6.
オペレーティングシステム - Standard Edition - Datacenter Edition ● LDAP リポジトリ - Active Directory 2008 R2 - Active Directory 2012 R2 - Active Directory 2016 Security Management Server Virtual のアーキテクチャの設計 Encryption Enterprise および Endpoint Security Suite Enterprise ソリューションは非常に拡張性の高い製品であり、組織内の暗号化の 対象となるエンドポイントの数に基づいて拡張可能です。 アーキテクチャコンポーネント 以下は、Dell Security Management Server Virtual の基本的な導入です。 インストール詳細ガイド 11
OVA ファイルのダウンロードおよびインストール Security Management Server Virtual は初期インストール時に OVA ファイルとして配信されます(Open Virtual Application(オープン 仮想アプリケーション)は仮想マシンで実行されるソフトウェアを配信するために使用されます)。以下の Dell Data Security 製品 における OVA ファイルは、www.dell.
1. 2. 3. 4. 上記の該当する製品の「ドライバーおよびダウンロード」ページにアクセスします。 ドライバおよびダウンロード をクリックします。 適切な VMware ESXi のバージョンを選択します。 適切なバンドルをダウンロードします。 OVA ファイルのインストール手順 作業を開始する前に、すべてのシステムと仮想環境の要件が満たされていることを確認してください。 1. 次のいずれかを実行します。 VMware Dell インストール メディアで、Security Management Server Virtual v11.x.x Build x.ova を見つけてダブルクリックし、 VMware にインポートします。 画面に表示される手順に従います。 メモ: VMware の使用時にインポートに失敗する場合は、 Web クライアントで OVA ファイルをインポートすること をお勧めします。詳細については、https:// kb.vmware.com/s/article/2151537 を参照してください。 Hyper-V Windows 10 の手順(https://docs.
9. ホスト名の設定 で、Backspace キーを使用してデフォルトホスト名を削除します。固有のホスト名を入力して、[OK] を選択 します。 10. ネットワークの設定 で、以下のいずれかのオプションを選択し、OK を選択します。 ● (デフォルト)DHCP を使用する(IPv4)。 ● (推奨)DHCP を使用する でスペースバーを押して X を削除し、手動で次の該当するアドレスを入力します。 静的 IP ネットワークマスク デフォルトゲートウェイ DNS サーバー 1 DNS サーバー 2 DNS サーバー 3 静的な設定では、IPv6 または IPv4 のいずれかを選択します。 ● 11. 12. 13. 14. 15. 16.
メモ: デジタル証明書は信頼のおける証明書認証局からのものを使用することが強く推奨されます。 以下のオプション「a」または「b」を選択します。 a. CA 機関から購入された既存の証明書を使用するには、既存証明書のインポート を選択し、[次へ] をクリックします。 b. 自己署名証明書を作成する場合は、 [自己署名証明書を作成してキー ストアにインポートする]を選択して、 [次へ]をクリ ックします。 自己署名証明書の作成 ダイアログで、次の情報を入力します。 完全修飾コンピュータ名(例:computername.domain.com) 組織 組織単位(例:Security) 都市 州(正式名) 国:国を表す 2 文字の略語 [次へ] をクリックします。 メモ: デフォルトでは、証明書は 10 年で期限切れになります。 11. [フロント エンド サーバー セットアップ]ダイアログで、バック エンド サーバーの完全修飾ホスト名または DNS エイリアス を入力し、[Dell Security Management Server]を選択して、[次へ]をクリックします。 12.
次の表に、サービス状態 ウィジェットの各サービスとその機能の説明を示します。 名前 説明 Message Broker Enterprise Server バス Identity Server ドメイン認証要求を処理します。 Compatibility Server エンタープライズアーキテクチャを管理するためのサ ービスです。 Security Server コマンド、および Active Directory との通信を制御する メカニズムを提供します。 Compliance Reporter 監査とコンプライアンスのレポートのために、環境の 詳細ビューを提供します。 Core Server エンタープライズアーキテクチャを管理するためのサ ービスです。また、このサービスは、すべてのアクテ ィベーション、ポリシー、および "エージェント" ベー スのデバイスからのインベントリ収集を処理します。 Core Server HA エンタープライスのアーキテクチャの管理における HTTPS 接続のセキュリティおよびパフォーマンスの 強化を可能にする高可用性サービスです。 (高可用性)
DNS サーバー 1 DNS サーバー 2 DNS サーバー 3 静的な設定では、IPv6 または IPv4 のいずれかを選択します。 メモ: 静的 IP を使用する場合は、DNS サーバーにホストエントリを作成する必要があります。 DMZ サーバサポートの設定 このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 1. 詳細設定 メニューから、DMZ サーバサポート を選択します。 2. スペースバーを使用して、DMZ サーバサポートの有効化 フィールドに X を入力します 3. DMZ サーバーの完全修飾ドメイン名を入力して、[[OK]]を選択します。 メモ: DMZ サーバを活用するには、上記の「プロキシモードのインストールと設定」でプロキシサーバのインストール手 順を参照してください。 タイムゾーンの変更 このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 1. 基本設定 メニューから タイムゾーン を選択します。 2.
メモ: バージョン番号は、添付の画面キャプチャとは異なる場合があります。 3.
メモ: バージョン番号は、添付の画面キャプチャとは異なる場合があります。 ● [アップデートのインストール]を選択すると、Security Management Server Virtual が、デフォルトのビルトイン Ubuntu リ ポジトリーと、アプリケーションのアップデートが入っているデルのカスタム リポジトリーである dist.ddspproduction.com に対して、クエリーを実行します。 メモ: デルでは、ポート 443 から dist.ddspproduction.
メモ: バージョン番号は、添付の画面キャプチャとは異なる場合があります。 Security Management Server Virtual のアップデート(切断モード) 1. デルは定期的にバックアップすることをお勧めします。アップデートする前に、バックアッププロセスが正常であることを確 認します。「バックアップと復元」を参照してください。 2. Dell ProSupport で、最新の Dell Server アップデートを含む .deb ファイルを取得します。 3. Dell Server のセキュアな FTP サーバーで、/var/opt/dell/dsmsv/ftp/files/updates フォルダーに.deb ファイルを保存します。 FTP クライアントがポート 22 の SFTP をサポートし、FTP ユーザーがセットアップされていることを確認します。ファイル転 送(FTP)ユーザーの設定 を参照してください。 4. [基本設定] メニューから [Security Management Server Virtual のアップデート] を選択します。 5.
7. [はい]を選択して、Security Management Server Virtual のサービスを停止します。 8.
9. アップデートが完了したら、データベースのパスワードを変更します。 メモ: バージョン番号は、添付の画面キャプチャとは異なる場合があります。 ユーザーパスワードの変更 このタスクはいつでも完了できます。Security Management Server Virtual を使用して開始することは必須ではありません。 次のユーザーのパスワードを変更できます。 ● delluser(端末管理者) - このユーザーは、Dell Server の端末とそのメニューにアクセスできます。 ● dellconsole(シェルアクセス) - このユーザーは、Dell Server にシェルアクセスできます。シェルアクセスは、ネットワーク管 理者がネットワーク接続をチェックしてトラブルシューティングを行うために使用できます。 ● dellsupport(Dell ProSupport 管理者) - このユーザーには「sudo」権限があるため、慎重に使用する必要があります。セキュリ ティ上の理由により、このアカウントのパスワードは管理者自身でコントロールします。 1.
Secure File Transfer(SFTP)ユーザーの設定 このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 1. 基本設定 メニューから、SFTP を選択します。 2. SFTP 画面で、SFTP ユーザーを追加してパスワードを定義するには、ユーザーの ステータス で Enter または下矢印キーを押し ます。スペースバーキーを押すと、既存のユーザーを更新または削除するオプションが表示されます。SFTP ユーザーを無効に するには、ユーザーを選択してから 削除 を選択し、次に SFTP の確認 画面で はい を選択します。 3. SFTP ユーザーのユーザー名とパスワードを入力します。 パスワードには次の文字が含まれている必要があります。 ● ● ● ● 少なくとも 8 文字 少なくとも 1 つの大文字 少なくとも 1 つの数字 少なくとも 1 つの特殊文字 4.
詳細端末設定タスク 詳細設定タスクは、メインメニューからアクセスします。 ログローテーションの設定 メモ: ログローテーションに対応した Dell Security Management Server Virtual のアプリケーションに対するログローテーショ ンの定義は、次の手順に従って行います。 このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 デフォルトでは、日次ログローテーションが有効になっています。デフォルトのログローテーションを変更するには、詳細設定メ ニューから ログローテーション設定 を選択します。 ログローテーションを無効にするには、スペースバーを使用して ローテーションなし に X を入力し、[OK] を選択します。 ログローテーションを有効にするには、次の手順に従います。 1.
FTP サーバーにバックアップを保存するには、FTP クライアントがポート 22 上の SFTP をサポートする必要があります。 バックアップは、組織のバックアップに対する要件に応じて、次の方法でダウンロードすることができます。 ● 手動 ● 自動化スクリプト経由 ● 組織が承認したバックアップソリューション経由 組織のバックアップソリューションを使用してバックアップをダウンロードするには、お使いのバックアップソリューションのベ ンダーから詳細な手順を入手してください。 メモ: Dell Server は Linux Debian Ubuntu x64 をベースにしています。 dellsupport として Dell Server にログオンし、sudo コマンドを使用してバックアップソリューションの設定を行います。 Sudo <バックアップソリューションベンダーから入手した手順> 次のフォルダの内容をバックアップします。 /backup(必須) /certificates(強く推奨) /support(オプション) sudo プロセスが完了したら、exit と入力し、ログインプロンプトが表示されるまで [E
1. 既存の証明書とその完全な信頼チェーンをキーストアからエクスポートします。 メモ: Security Management Server Virtual への証明書のインポート時に入力するため、エクスポートパスワードは保管して おいてください。 2. Dell Server の FTP サーバ上で、証明書を /certificates に保存します。 3. 詳細設定 メニューから、サーバー証明書 を選択します。 4. [既存証明書のインポート] を選択します。 5. Dell Server にインストールする証明書ファイルを選択します。 6. プロンプトが表示されたら、証明書のエクスポートパスワードを入力して [OK] を選択します。 7. インポートが完了したら、[OK] を選択します。 メモ: 詳細については、次を参照してください http://www.dell.
5. 新しい証明書がインストールされた後、「OK」を選択してサービスが再起動するのを待ちます。 サービスが自動的に再起動します。 データベースアクセスの有効化 このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 メモ: データベースアクセスは必要な場合にのみ有効にし、必要がなくなったら無効にすることをお勧めします。 1. 詳細設定 メニューから、データベースアクセス を選択します。 2. スペースバーを使用して データベースアクセスの有効化 に X を入力し、 [OK] を選択します。データベースのパスワードがま だ構成されていない場合は、データベースのパスワードのプロンプトが表示されます。 3. データベースのパスワードを入力します。 4. データベースのパスワードを再入力します。 Dell Data Security アプリケーションのコンポーネントは自動的に停止します。 端末言語の設定または変更 設定変更を行ったときは、常にサービスを再起動することがベストプラクティスです。 1.
● 矢印キーを使用すると、ナビゲーションを実行できます。 ● Page Up および Page Down を押すと、一度に 1 ページずつ上下に移動します。 ● スペースバーを押すと、1 ページずつログを移動します。 コマンドラインインタフェースを開く コマンドラインインタフェースを開くには、メインメニューで シェルの起動 を選択します。 コマンドラインインタフェースを終了するには、exit と入力して [Enter] を押します。 システムスナップショットログの生成 Dell ProSupport のシステムスナップショットログを生成するには、メインメニューで サポートツール を選択します。 1. サポートツール メニューから、システムスナップショットログの生成 を選択します。 2.
3 メンテナンス 不要な Security Management Server Virtual バックアップを削除します。 過去 10 件のバックアップのみが保持されます。ディスクパーティション容量が 10 パーセント以下になった場合、それ以上のバッ クアップは保存されません。この状態が発生すると、ディスク割り当て容量が少なくなっているという電子メール通知が送信され ます。 メンテナンス 29
4 トラブルシューティング 電子メール通知がすでに設定されている時にこの状態が発生すると、電子メール通知を受信することができます。電子メール通知 の情報に基づいて、次の手順に従います。 1. 適切なログファイルをチェックする。 2. 必要に応じてサービスを再起動する。設定変更を行ったときは、常にサービスを再起動することがベストプラクティスです。 3. システムスナップショットログの生成 4.
5 インストール後の設定 インストール後、組織が使用している Dell Data Security ソリューションに応じて、環境のコンポーネントの一部を設定する必要が ある場合があります。 Security Management Server Virtual のインストール後に、次のデフォルトを変更する必要があります。 ● 次の場所にあるバック エンド サーバーのパスワードを変更します。 C:\Program Files\Dell\Enterprise Edition\Message Broker\conf\application.properties ● 次の場所にある環境内のすべてのフロント エンド サーバーのパスワードを変更します。 C:\Program Files\DELL\Enterprise Edition\Beac\conf\application.properties パスワードは次のように表示されます:proxy-server.password=ENC() パスワードを変更するには、次の手順を実行します。 1. 次を選択します:ENC() 2.
6 管理コンソールの管理者タスク Dell 管理者役割の割り当て 1. Security Management Server Virtual 管理者として、管理コンソール(https://server.domain.com:8443/webui/)にログインしま す。デフォルトの資格情報は superadmin/changeit です。 2. 左ペインで [ポピュレーション] > ドメイン をクリックします。 3. ユーザーを追加するドメインをクリックします。 4. ドメイン詳細 ページで、[メンバー] タブをクリックします。 5. [ユーザーの追加] をクリックします。 6.
ポリシーのコミット インストールが完了したらポリシーをコミットします。 ポリシーの変更を保存し、ポリシーのインストール後、またはそれ以後にポリシーをコミットするには、次の手順に従います。 1. 左側のペインで、[管理] > コミット をクリックします。 2. コメント に、変更内容の説明を入力します。 3.
7 ポート 以下の表は、各コンポーネントとその機能について説明しています。 名前 デフォル トポート 説明 Access Group Service TCP/ さまざまな Dell Security 製品の各種の権 限とグループ アクセスを管理します。 8006 Compliance Reporter HTTP(S)/ 8084 メモ: ポート 8006 は現在保護され ていません。このポートがファイア ウォールで適切にフィルタリングさ れていることを確認してください。 このポートは内部専用です。 監査とコンプライアンスのレポートの ために、環境の詳細ビューを提供しま す。 メモ: ポート 8084 は、ファイアウォ ールを介したフィルタリングが必要 です。このポートは内部でのみ使用 することをお勧めします。 管理コンソール HTTPS/ 8443 ポリシーフロー、ライセンス、起動前認 証の登録、SED Management、BitLocker 8887(クロ Manager、Threat Protection、Advanced ーズ) Threat Prevention を管理します
名前 デフォル トポート 説明 集、保管します。ユーザーグループに基 づいてデータを処理します。 メモ: ポート 1099 は、ファイアウォ ールを介したフィルタリングが必要 です。このポートは内部でのみ使用 することをお勧めします。 Message Broker サービス TCP/ Identity Server 8445(クロ SED Management の認証などのドメイ ーズ) ン認証要求を処理します。 Forensic Server HTTPS/ デルサーバのサービス間の通信を処理 します。ポリシープロキシのキュー操 61616(クロ 作のために Compatibility Server によっ ーズ) て作成されるポリシー情報をステージ および します。 STOMP/ メモ: ポート 61616 は、ファイアウォ 61613(閉 ールを介したフィルタリングが必要 鎖、または です。このポートは内部でのみ使用 DMZ 用に することをお勧めします。 設定済み の場合は メモ: ポート 61613 は、フロントエン 61613 が開 ド モードで構成した Security 放) M
名前 デフォル トポート 説明 要求は、ユーザーの部門を取得するため に使用することができます。 ポート 3268 - このポートは、特にグロー バルカタログをターゲットとするクエ リ用に使用されます。ポート 3268 に送 信される LDAP 要求は、フォレスト全体 でのオブジェクトの検索に使用するこ とができます。ただし、返されるのはグ ローバルカタログへのリプリケーショ ン用にマークされた属性のみです。た とえば、ポート 3268 を使用してユーザ ーの部門は返すことはできません。こ れは、この属性がグローバルカタログに 複製されないためです。 クライアント認証 HTTPS/ 8449 36 ポート クライアントサーバがデルサーバを認 証できるようにします。 Server Encryption に必要です。