Deployment Guide

ManualsBrandsDell ManualsConverged InfrastructureEndpoint Security Suite Pro

Table Of Contents

Dell Security Management Server Virtual

クイックスタートおよびインストールガイド v11.0.0

2021 年 5 月

Rev. A01

Summary of content (36 pages)

PAGE 1
Dell Security Management Server Virtual クイックスタートおよびインストールガイド v11.0.0 2021 年 5 月 Rev.
PAGE 2
メモ、注意、警告メモ: 製品を使いやすくするための重要な情報を説明しています。注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2012-2021 Dell Inc. All rights reserved. Registered trademarks and trademarks used in the Dell Encryption and Endpoint Security Suite Enterprise suite of documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
PAGE 3
目次章 1: クイックスタートガイド............................................................................................................5 インストール........................................................................................................................................................................ 5 設定......................................................................................................................................................................................... 5 管理コンソールを開く......
PAGE 4
章 5: インストール後の設定............................................................................................................. 31 マネージャの信頼チェーンチェックの妥当性検査.................................................................................................... 31 章 6: 管理コンソールの管理者タスク................................................................................................ 32 Dell 管理者役割の割り当て............................................................................................................................
PAGE 5
1 クイックスタートガイドこのクイックスタートガイドは経験のあるユーザー対象で、Dell Server を素早く準備して稼動させるためのものです。原則として、デルでは最初に Dell Server をインストールし、その後クライアントをインストールすることをお勧めします。詳細な手順については、Security Management Server Virtual I インストールガイドを参照してください。 Dell Server の前提条件については、「Security Management Server Virtual の前提条件」、「管理コンソールの前提条件」、「プロキシモードの前提条件」を参照してください。既存の Dell Server をアップデートする情報については、「Security Management Server Virtual のアップデート」を参照してください。インストール 1. Dell Data Security ファイルが保存されているディレクトリーを参照してダブルクリックし、VMware Security Management Server Virtual v11.
PAGE 6
組織にはベースラインポリシーが設定されていますが、次のように、特定のニーズに応じて変更する必要が生じます（すべてのアクティブ化はライセンスおよび資格によって決まります）。 ● ● ● ● ● ● ● ● ポリシーベース暗号化は共通キー暗号化で有効にされます自己暗号化ドライブが搭載されたコンピュータは暗号化されます BitLocker 管理は無効にされます Advanced Threat Prevention は無効にされます Threat Protection は無効にされます外部メディアは暗号化されませんポート制御によるポートの管理は行われませんフルディスク暗号化がインストールされているデバイスは暗号化されません Technology Group とポリシーの説明については、AdminHelp トピックの「ポリシーの管理」を参照してください。これで、クイックスタートタスクが完了しました。 6 クイックスタートガイド
PAGE 7
2 インストール詳細ガイド本インストールガイドは、専門知識をお持ちでないユーザー向けに Security Management Server Virtual のインストールと設定について説明するものです。原則として、デルでは最初に Security Management Server Virtual をインストールし、その後クライアントをインストールすることをお勧めします。既存の Security Management Server Virtual をアップデートする詳細情報については、「Security Management Server Virtual のアップデート」を参照してください。 Security Management Server Virtual について管理者は、管理コンソールを使用して、企業全体のエンドポイント、ポリシーの適用、保護の状態を監視します。プロキシモードは、Security Management Server Virtual で使用するフロントエンド DMZ モードのオプションを提供します。 Security Management Server Virtual
PAGE 8
追加のインフラストラクチャ要件（Active Directory、および Dell Security Management Server の SQL Server）は、適切な機能のためにも必要です。仮想環境 ● VMware Workstation 14.0 64 ビット CPU（必須） 8 GB RAM（必須） 80 GB のハードドライブ容量少なくとも 2 コアが搭載されたホストコンピュータ対応ホストオペレーティングシステムの完全なリストについては、http://www.vmware.com/resources/compatibility/ search.php?deviceCategory=software&testConfig=17 を参照してください。 ○ ハードウェアは VMware 最小要件を満たしている必要があります ○ 詳細については、https://kb.vmware.com/s/article/1003746 を参照してください。 ○ ○ ○ ○ ○ ● VMware Workstation 14.
PAGE 9
仮想環境少なくとも 2 コアが搭載されたホストコンピュータ 8 GB 以上の RAM（必須） 80 GB のハードドライブ容量オペレーティングシステムは必要ありません対応ホストオペレーティングシステムの完全なリストについては、http://www.vmware.com/resources/compatibility/ search.php?deviceCategory=software&testConfig=17 を参照してください。 ○ ハードウェアは VMware 最小要件を満たしている必要があります ○ 詳細については、https://kb.vmware.com/s/article/1003746 を参照してください。 ○ ○ ○ ○ ○ ● VMware ESXi 6.7 64 ビット x86 CPU（必須）少なくとも 2 コアが搭載されたホストコンピュータ 8 GB 以上の RAM（必須） 80 GB のハードドライブ容量オペレーティングシステムは必要ありません対応ホストオペレーティングシステムの完全なリストについては、http://www.vmware.
PAGE 10
プロキシモードハードウェア次の表は、最小ハードウェア要件の詳細です。プロセッサ最新のデュアルコア CPU（1.5 Ghz 以上） RAM 2 GB の専用 RAM（最小）/ 4 GB の専用 RAM（推奨）空きディスク容量 1.5 GB の空きディスク容量（その他仮想ページング容量が必要）ネットワークカード 10/100/1000 ネットワークインタフェースカードその他 IPv4、IPv6、または IPv4 と IPv6 の組み合わせがサポートされているソフトウェア次の表では、プロキシモードサーバをインストールする前にインストールしておく必要があるソフトウェアの詳細を説明します。前提条件 ● Windows インストーラ 4.0 以降 Windows インストーラ 4.0 以降が、インストールを実行するサーバー上にインストールされている必要があります。 ● Microsoft Visual C++ 2010 再頒布可能パッケージインストールされていない場合、インストーラが自動でインストールします。 ● Microsoft .NET Framework バージョン 4.6.
PAGE 11
オペレーティングシステム - Standard Edition - Datacenter Edition ● LDAP リポジトリ - Active Directory 2008 R2 - Active Directory 2012 R2 - Active Directory 2016 Security Management Server Virtual のアーキテクチャの設計 Encryption Enterprise および Endpoint Security Suite Enterprise ソリューションは非常に拡張性の高い製品であり、組織内の暗号化の対象となるエンドポイントの数に基づいて拡張可能です。アーキテクチャコンポーネント以下は、Dell Security Management Server Virtual の基本的な導入です。インストール詳細ガイド 11
PAGE 12
OVA ファイルのダウンロードおよびインストール Security Management Server Virtual は初期インストール時に OVA ファイルとして配信されます（Open Virtual Application（オープン仮想アプリケーション）は仮想マシンで実行されるソフトウェアを配信するために使用されます）。以下の Dell Data Security 製品における OVA ファイルは、www.dell.
PAGE 13
1. 2. 3. 4. 上記の該当する製品の「ドライバーおよびダウンロード」ページにアクセスします。ドライバおよびダウンロードをクリックします。適切な VMware ESXi のバージョンを選択します。適切なバンドルをダウンロードします。 OVA ファイルのインストール手順作業を開始する前に、すべてのシステムと仮想環境の要件が満たされていることを確認してください。 1. 次のいずれかを実行します。 VMware Dell インストールメディアで、Security Management Server Virtual v11.x.x Build x.ova を見つけてダブルクリックし、 VMware にインポートします。画面に表示される手順に従います。メモ: VMware の使用時にインポートに失敗する場合は、 Web クライアントで OVA ファイルをインポートすることをお勧めします。詳細については、https:// kb.vmware.com/s/article/2151537 を参照してください。 Hyper-V Windows 10 の手順（https://docs.
PAGE 14
9. ホスト名の設定で、Backspace キーを使用してデフォルトホスト名を削除します。固有のホスト名を入力して、［OK］を選択します。 10. ネットワークの設定で、以下のいずれかのオプションを選択し、OK を選択します。 ● （デフォルト）DHCP を使用する（IPv4）。 ● （推奨）DHCP を使用するでスペースバーを押して X を削除し、手動で次の該当するアドレスを入力します。静的 IP ネットワークマスクデフォルトゲートウェイ DNS サーバー 1 DNS サーバー 2 DNS サーバー 3 静的な設定では、IPv6 または IPv4 のいずれかを選択します。 ● 11. 12. 13. 14. 15. 16.
PAGE 15
メモ: デジタル証明書は信頼のおける証明書認証局からのものを使用することが強く推奨されます。以下のオプション「a」または「b」を選択します。 a. CA 機関から購入された既存の証明書を使用するには、既存証明書のインポートを選択し、［次へ］をクリックします。 b. 自己署名証明書を作成する場合は、［自己署名証明書を作成してキーストアにインポートする］を選択して、［次へ］をクリックします。自己署名証明書の作成ダイアログで、次の情報を入力します。完全修飾コンピュータ名（例：computername.domain.com）組織組織単位（例：Security）都市州（正式名）国：国を表す 2 文字の略語［次へ］をクリックします。メモ: デフォルトでは、証明書は 10 年で期限切れになります。 11. ［フロントエンドサーバーセットアップ］ダイアログで、バックエンドサーバーの完全修飾ホスト名または DNS エイリアスを入力し、［Dell Security Management Server］を選択して、［次へ］をクリックします。 12.
PAGE 16
次の表に、サービス状態ウィジェットの各サービスとその機能の説明を示します。名前説明 Message Broker Enterprise Server バス Identity Server ドメイン認証要求を処理します。 Compatibility Server エンタープライズアーキテクチャを管理するためのサービスです。 Security Server コマンド、および Active Directory との通信を制御するメカニズムを提供します。 Compliance Reporter 監査とコンプライアンスのレポートのために、環境の詳細ビューを提供します。 Core Server エンタープライズアーキテクチャを管理するためのサービスです。また、このサービスは、すべてのアクティベーション、ポリシー、および "エージェント" ベースのデバイスからのインベントリ収集を処理します。 Core Server HA エンタープライスのアーキテクチャの管理における HTTPS 接続のセキュリティおよびパフォーマンスの強化を可能にする高可用性サービスです。 (高可用性)
PAGE 17
DNS サーバー 1 DNS サーバー 2 DNS サーバー 3 静的な設定では、IPv6 または IPv4 のいずれかを選択します。メモ: 静的 IP を使用する場合は、DNS サーバーにホストエントリを作成する必要があります。 DMZ サーバサポートの設定このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 1. 詳細設定メニューから、DMZ サーバサポートを選択します。 2. スペースバーを使用して、DMZ サーバサポートの有効化フィールドに X を入力します 3. DMZ サーバーの完全修飾ドメイン名を入力して、［［OK］］を選択します。メモ: DMZ サーバを活用するには、上記の「プロキシモードのインストールと設定」でプロキシサーバのインストール手順を参照してください。タイムゾーンの変更このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 1. 基本設定メニューからタイムゾーンを選択します。 2.
PAGE 18
メモ: バージョン番号は、添付の画面キャプチャとは異なる場合があります。 3.
PAGE 19
メモ: バージョン番号は、添付の画面キャプチャとは異なる場合があります。 ● ［アップデートのインストール］を選択すると、Security Management Server Virtual が、デフォルトのビルトイン Ubuntu リポジトリーと、アプリケーションのアップデートが入っているデルのカスタムリポジトリーである dist.ddspproduction.com に対して、クエリーを実行します。メモ: デルでは、ポート 443 から dist.ddspproduction.
PAGE 20
メモ: バージョン番号は、添付の画面キャプチャとは異なる場合があります。 Security Management Server Virtual のアップデート（切断モード） 1. デルは定期的にバックアップすることをお勧めします。アップデートする前に、バックアッププロセスが正常であることを確認します。「バックアップと復元」を参照してください。 2. Dell ProSupport で、最新の Dell Server アップデートを含む .deb ファイルを取得します。 3. Dell Server のセキュアな FTP サーバーで、/var/opt/dell/dsmsv/ftp/files/updates フォルダーに.deb ファイルを保存します。 FTP クライアントがポート 22 の SFTP をサポートし、FTP ユーザーがセットアップされていることを確認します。ファイル転送（FTP）ユーザーの設定を参照してください。 4. ［基本設定］メニューから［Security Management Server Virtual のアップデート］を選択します。 5.
PAGE 21
7. ［はい］を選択して、Security Management Server Virtual のサービスを停止します。 8.
PAGE 22
9. アップデートが完了したら、データベースのパスワードを変更します。メモ: バージョン番号は、添付の画面キャプチャとは異なる場合があります。ユーザーパスワードの変更このタスクはいつでも完了できます。Security Management Server Virtual を使用して開始することは必須ではありません。次のユーザーのパスワードを変更できます。 ● delluser（端末管理者） - このユーザーは、Dell Server の端末とそのメニューにアクセスできます。 ● dellconsole（シェルアクセス） - このユーザーは、Dell Server にシェルアクセスできます。シェルアクセスは、ネットワーク管理者がネットワーク接続をチェックしてトラブルシューティングを行うために使用できます。 ● dellsupport（Dell ProSupport 管理者） - このユーザーには「sudo」権限があるため、慎重に使用する必要があります。セキュリティ上の理由により、このアカウントのパスワードは管理者自身でコントロールします。 1.
PAGE 23
Secure File Transfer（SFTP）ユーザーの設定このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。 1. 基本設定メニューから、SFTP を選択します。 2. SFTP 画面で、SFTP ユーザーを追加してパスワードを定義するには、ユーザーのステータスで Enter または下矢印キーを押します。スペースバーキーを押すと、既存のユーザーを更新または削除するオプションが表示されます。SFTP ユーザーを無効にするには、ユーザーを選択してから削除を選択し、次に SFTP の確認画面ではいを選択します。 3. SFTP ユーザーのユーザー名とパスワードを入力します。パスワードには次の文字が含まれている必要があります。 ● ● ● ● 少なくとも 8 文字少なくとも 1 つの大文字少なくとも 1 つの数字少なくとも 1 つの特殊文字 4.
PAGE 24
詳細端末設定タスク詳細設定タスクは、メインメニューからアクセスします。ログローテーションの設定メモ: ログローテーションに対応した Dell Security Management Server Virtual のアプリケーションに対するログローテーションの定義は、次の手順に従って行います。このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。デフォルトでは、日次ログローテーションが有効になっています。デフォルトのログローテーションを変更するには、詳細設定メニューからログローテーション設定を選択します。ログローテーションを無効にするには、スペースバーを使用してローテーションなしに X を入力し、［OK］を選択します。ログローテーションを有効にするには、次の手順に従います。 1.
PAGE 25
FTP サーバーにバックアップを保存するには、FTP クライアントがポート 22 上の SFTP をサポートする必要があります。バックアップは、組織のバックアップに対する要件に応じて、次の方法でダウンロードすることができます。 ● 手動 ● 自動化スクリプト経由 ● 組織が承認したバックアップソリューション経由組織のバックアップソリューションを使用してバックアップをダウンロードするには、お使いのバックアップソリューションのベンダーから詳細な手順を入手してください。メモ: Dell Server は Linux Debian Ubuntu x64 をベースにしています。 dellsupport として Dell Server にログオンし、sudo コマンドを使用してバックアップソリューションの設定を行います。 Sudo <バックアップソリューションベンダーから入手した手順> 次のフォルダの内容をバックアップします。 /backup（必須） /certificates（強く推奨） /support（オプション） sudo プロセスが完了したら、exit と入力し、ログインプロンプトが表示されるまで［E
PAGE 26
1. 既存の証明書とその完全な信頼チェーンをキーストアからエクスポートします。メモ: Security Management Server Virtual への証明書のインポート時に入力するため、エクスポートパスワードは保管しておいてください。 2. Dell Server の FTP サーバ上で、証明書を /certificates に保存します。 3. 詳細設定メニューから、サーバー証明書を選択します。 4. ［既存証明書のインポート］を選択します。 5. Dell Server にインストールする証明書ファイルを選択します。 6. プロンプトが表示されたら、証明書のエクスポートパスワードを入力して［OK］を選択します。 7. インポートが完了したら、［OK］を選択します。メモ: 詳細については、次を参照してください http://www.dell.
PAGE 27
5. 新しい証明書がインストールされた後、「OK」を選択してサービスが再起動するのを待ちます。サービスが自動的に再起動します。データベースアクセスの有効化このタスクはいつでも完了できます。Security Management Server Virtual の使用を開始する必要はありません。メモ: データベースアクセスは必要な場合にのみ有効にし、必要がなくなったら無効にすることをお勧めします。 1. 詳細設定メニューから、データベースアクセスを選択します。 2. スペースバーを使用してデータベースアクセスの有効化に X を入力し、［OK］を選択します。データベースのパスワードがまだ構成されていない場合は、データベースのパスワードのプロンプトが表示されます。 3. データベースのパスワードを入力します。 4. データベースのパスワードを再入力します。 Dell Data Security アプリケーションのコンポーネントは自動的に停止します。端末言語の設定または変更設定変更を行ったときは、常にサービスを再起動することがベストプラクティスです。 1.
PAGE 28
● 矢印キーを使用すると、ナビゲーションを実行できます。 ● Page Up および Page Down を押すと、一度に 1 ページずつ上下に移動します。 ● スペースバーを押すと、1 ページずつログを移動します。コマンドラインインタフェースを開くコマンドラインインタフェースを開くには、メインメニューでシェルの起動を選択します。コマンドラインインタフェースを終了するには、exit と入力して［Enter］を押します。システムスナップショットログの生成 Dell ProSupport のシステムスナップショットログを生成するには、メインメニューでサポートツールを選択します。 1. サポートツールメニューから、システムスナップショットログの生成を選択します。 2.
PAGE 29
3 メンテナンス不要な Security Management Server Virtual バックアップを削除します。過去 10 件のバックアップのみが保持されます。ディスクパーティション容量が 10 パーセント以下になった場合、それ以上のバックアップは保存されません。この状態が発生すると、ディスク割り当て容量が少なくなっているという電子メール通知が送信されます。メンテナンス 29
PAGE 30
4 トラブルシューティング電子メール通知がすでに設定されている時にこの状態が発生すると、電子メール通知を受信することができます。電子メール通知の情報に基づいて、次の手順に従います。 1. 適切なログファイルをチェックする。 2. 必要に応じてサービスを再起動する。設定変更を行ったときは、常にサービスを再起動することがベストプラクティスです。 3. システムスナップショットログの生成 4.
PAGE 31
5 インストール後の設定インストール後、組織が使用している Dell Data Security ソリューションに応じて、環境のコンポーネントの一部を設定する必要がある場合があります。 Security Management Server Virtual のインストール後に、次のデフォルトを変更する必要があります。 ● 次の場所にあるバックエンドサーバーのパスワードを変更します。 C:\Program Files\Dell\Enterprise Edition\Message Broker\conf\application.properties ● 次の場所にある環境内のすべてのフロントエンドサーバーのパスワードを変更します。 C:\Program Files\DELL\Enterprise Edition\Beac\conf\application.properties パスワードは次のように表示されます：proxy-server.password=ENC() パスワードを変更するには、次の手順を実行します。 1. 次を選択します：ENC() 2.
PAGE 32
6 管理コンソールの管理者タスク Dell 管理者役割の割り当て 1. Security Management Server Virtual 管理者として、管理コンソール（https://server.domain.com:8443/webui/）にログインします。デフォルトの資格情報は superadmin/changeit です。 2. 左ペインで［ポピュレーション］ > ドメインをクリックします。 3. ユーザーを追加するドメインをクリックします。 4. ドメイン詳細ページで、［メンバー］タブをクリックします。 5. ［ユーザーの追加］をクリックします。 6.
PAGE 33
ポリシーのコミットインストールが完了したらポリシーをコミットします。ポリシーの変更を保存し、ポリシーのインストール後、またはそれ以後にポリシーをコミットするには、次の手順に従います。 1. 左側のペインで、［管理］ > コミットをクリックします。 2. コメントに、変更内容の説明を入力します。 3.
PAGE 34
7 ポート以下の表は、各コンポーネントとその機能について説明しています。名前デフォルトポート説明 Access Group Service TCP/ さまざまな Dell Security 製品の各種の権限とグループアクセスを管理します。 8006 Compliance Reporter HTTP(S)/ 8084 メモ: ポート 8006 は現在保護されていません。このポートがファイアウォールで適切にフィルタリングされていることを確認してください。このポートは内部専用です。監査とコンプライアンスのレポートのために、環境の詳細ビューを提供します。メモ: ポート 8084 は、ファイアウォールを介したフィルタリングが必要です。このポートは内部でのみ使用することをお勧めします。管理コンソール HTTPS/ 8443 ポリシーフロー、ライセンス、起動前認証の登録、SED Management、BitLocker 8887（クロ Manager、Threat Protection、Advanced ーズ） Threat Prevention を管理します
PAGE 35
名前デフォルトポート説明集、保管します。ユーザーグループに基づいてデータを処理します。メモ: ポート 1099 は、ファイアウォールを介したフィルタリングが必要です。このポートは内部でのみ使用することをお勧めします。 Message Broker サービス TCP/ Identity Server 8445（クロ SED Management の認証などのドメイーズ）ン認証要求を処理します。 Forensic Server HTTPS/ デルサーバのサービス間の通信を処理します。ポリシープロキシのキュー操 61616（クロ作のために Compatibility Server によっーズ）て作成されるポリシー情報をステージおよびします。 STOMP/ メモ: ポート 61616 は、ファイアウォ 61613（閉ールを介したフィルタリングが必要鎖、またはです。このポートは内部でのみ使用 DMZ 用にすることをお勧めします。設定済みの場合はメモ: ポート 61613 は、フロントエン 61613 が開ドモードで構成した Security 放） M
PAGE 36
名前デフォルトポート説明要求は、ユーザーの部門を取得するために使用することができます。ポート 3268 - このポートは、特にグローバルカタログをターゲットとするクエリ用に使用されます。ポート 3268 に送信される LDAP 要求は、フォレスト全体でのオブジェクトの検索に使用することができます。ただし、返されるのはグローバルカタログへのリプリケーション用にマークされた属性のみです。たとえば、ポート 3268 を使用してユーザーの部門は返すことはできません。これは、この属性がグローバルカタログに複製されないためです。クライアント認証 HTTPS/ 8449 36 ポートクライアントサーバがデルサーバを認証できるようにします。 Server Encryption に必要です。