Dell Data Protection Guida all'installazione di Security Tools v1.12 February 2017 Rev.
Messaggi di N.B., Attenzione e Avvertenza N.B.: un messaggio N.B. (Nota Bene) indica informazioni importanti che contribuiscono a migliorare l'utilizzo del prodotto. ATTENZIONE: un messaggio di ATTENZIONE evidenzia la possibilità che si verifichi un danno all'hardware o una perdita di dati ed indica come evitare il problema. AVVERTENZA: un messaggio di AVVERTENZA evidenzia un potenziale rischio di danni alla proprietà, lesioni personali o morte. © 2017 Dell Inc. Tutti i diritti riservati.
Sommario Capitolo 1: Introduzione...................................................................................................................5 Panoramica.............................................................................................................................................................................5 Capitolo 2: Requisiti........................................................................................................................6 Driver............................
Ripristino autonomo, domande di ripristino dell'accesso a Windows............................................................................39 Ripristino autonomo, domande di ripristino di PBA......................................................................................................... 40 Ripristino autonomo, Password monouso.........................................................................................................................41 Capitolo 7: Glossario............................
1 Introduzione Dell Data Protection | Security Tools fornisce sicurezza e protezione dell'identità agli amministratori e agli utenti dei computer Dell. DDP | Security Tools è preinstallato in tutti i computer Dell Latitude, Optiplex e Precision, e in alcuni notebook Dell XPS. Se si desidera procedere alla reinstallazione di DDP | Security Tools, seguire le istruzioni riportate in questa guida. Per ulteriore assistenza, consultare www.dell.com/support > Soluzioni per la sicurezza degli endpoint.
2 Requisiti • • • • • • • DDP | Security Tools è preinstallato in tutti i computer Dell Latitude, Optiplex e Precision, e in alcuni notebook Dell XPS che soddisfano i requisiti minimi seguenti. Qualora fosse necessario reinstallare DDP | Security Tools, verificare che il computer soddisfi ancora tali requisiti minimi. Per maggiori informazioni, consultare www.dell.com/support > Soluzioni per la sicurezza degli endpoint. Windows 8.1 non deve essere installato nell'unità 1 delle unità autocrittografanti.
Prerequisiti • Microsoft Visual C++ 2012 Update 4 o versione successiva del Redistributable Package (x86/x64) Software Sistemi operativi Windows La tabella seguente descrive in dettaglio il software supportato. Sistemi operativi Windows (a 32 e 64 bit) • Microsoft Windows 7 SP0-SP1 - Enterprise - Professional N.B.: La modalità di avvio Legacy è supportata in Windows 7. UEFI non è supportato in Windows 7. • Microsoft Windows 8 - Enterprise - Pro - Windows 8 (Consumer) N.B.
Sistemi operativi dei dispositivi mobili Sistemi operativi iOS • • iOS 7.x iOS 8.x Sistemi operativi Windows Phone • • Windows Phone 8.1 Windows 10 Mobile Hardware Autenticazione La tabella seguente descrive in dettaglio l'hardware di autenticazione supportato. Autenticazione Lettori di impronte digitali • Validity VFS495 in modalità protetta • Lettore di bande magnetiche Broadcom Control Vault • UPEK TCS1 FIPS 201 Secure Reader 1.6.3.379 • Lettori USB Authentec Eikon e Eikon To Go N.B.
Modelli di computer Dell - Supporto schede Classe B/SIPR Net • Latitude E6540 • • Precision M4800 Precision M6800 • • Latitude 12 Rugged Extreme Latitude 14 Rugged Modelli di computer Dell - Supporto UEFI Le funzionalità di autenticazione sono supportate in modalità UEFI in computer Dell selezionati in cui sono in esecuzione Microsoft Windows 8, Microsoft Windows 8.1 e Microsoft Windows 10 e dispongono di Unità autocrittografanti compatibili con OPAL qualificate.
4. Selezionare Settings > General > Advanced Boot Options. 5. Deselezionare la casella di controllo Enable Legacy Option ROMs e cliccare su Apply. Unità autocrittografanti compatibili con Opal Per l'elenco più aggiornato di unità autocrittografanti compatibili con Opal supportate da SED Management, fare riferimento a questo articolo KB: http://www.dell.com/support/article/us/en/19/SLN296720.
Le seguenti tabelle mostrano le opzioni di autenticazione disponibili con Security Tools a seconda del sistema operativo, quando i requisiti hardware e di configurazione vengono soddisfatti. Non UEFI PBA Passwor Impront d a Autenticazione di Windows Smart card con contatti Passwor Scheda d SIPR monous o (OTP) Passwor Impront d a Smart card Passwor Scheda d SIPR monous o (OTP) Windows 7 SP0- X1 SP1 X X X X X Windows 8 X1 X X X X X Microsoft Windows 8.1Windows 8.
N.B.: Se sono in esecuzione prodotti con crittografia DDP|E, interrompere o mettere in pausa la ricerca della crittografia. Se è in esecuzione Microsoft BitLocker, sospendere il criterio di crittografia. Una volta disinstallato DDP|A e annullata la sospensione del criterio Microsoft BitLocker, inizializzare il TPM seguendo le istruzioni riportate in http:// technet.microsoft.com/en-us/library/cc753140.aspx. Effettuare il deprovisioning dell'hardware gestito da DDP| A 1.
Inizializzare il TPM • • È necessario essere membro del gruppo amministratori locali o avere un ruolo equivalente. È necessario che il computer disponga di un BIOS o TPM compatibili. Questa operazione è necessaria se si utilizza Password monouso (OTP). • Seguire le istruzioni all'indirizzo http://technet.microsoft.com/en-us/library/cc753140.aspx. Cancellare la proprietà e attivare il TPM Per cancellare e impostare la proprietà del TPM, consultare https://technet.microsoft.
3 Installazione e attivazione Questa sezione illustra l'installazione di DDP | Security Tools in un computer locale. Per installare e attivare DDP | Security Tools, è necessario accedere al computer come amministratore. N.B.: Durante l'installazione non apportare modifiche al computer, quali l'inserimento o la rimozione di unità esterne (USB). Installare DDP | Security Tools Per installare Security Tools: 1. Individuare il file di installazione nel supporto di installazione di DDP | Security Tools.
7. Fare clic su Installa per avviare l'installazione. 8. Al termine dell'installazione sarà necessario riavviare il sistema. Selezionare Sì per riavviare il sistema e fare clic su Fine. L'installazione è completata. Attivare DDP | Security Tools La prima volta che si esegue la DDP Security Console e si seleziona Impostazioni amministratore, la procedura guidata di attivazione accompagna l'utente in questo processo. Se la DDP Security Console non è ancora attivata, l'utente finale potrà comunque eseguirla.
3. Nella schermata iniziale, fare clic su Avanti. 4. Creare la password di DDP | Security Tools e fare clic su Avanti. Prima di configurare Security Tools, è necessario creare una password amministratore di DDP | Security Tools. La password scelta verrà richiesta ad ogni esecuzione dello strumento Impostazioni amministratore. La password deve essere compresa fra gli 8 e i 32 caratteri e deve contenere almeno una lettera, un numero e un carattere speciale. 5.
6. Nella pagina di riepilogo, fare clic su Applica. L'attivazione di Security Tools è completata. Gli amministratori e gli utenti possono subito iniziare ad utilizzare le funzioni di Security Tools in base alle impostazioni predefinite.
4 Attività di configurazione per gli amministratori Le impostazioni predefinite di Security Tools consentono ad amministratori e utenti di utilizzare Security Tools immediatamente dopo la sua attivazione, senza necessità di ulteriore configurazione. Al momento dell'accesso al computer con le rispettive password di Windows gli utenti sono automaticamente aggiunti come utenti di Security Tools. Tuttavia, per impostazione predefinita, non è abilitata l'autenticazione a più fattori di Windows.
6. Immettere la password una seconda volta per confermarla, quindi fare clic su Applica. 7. Per modificare il percorso in cui è archiviata la chiave di ripristino, nel riquadro sinistro selezionare Modifica percorso di backup. 8. Selezionare un nuovo percorso per il backup e fare clic su Applica. Il file di backup deve essere salvato in un'unità di rete o in un supporto rimovibile. Il file di backup contiene le chiavi necessarie per il ripristino dei dati nel computer.
Configurare la crittografia e l'autenticazione di preavvio La crittografia e l'autenticazione di preavvio (PBA) sono disponibili se il computer è dotato di un'unità autocrittografante (SED). Vengono configurati entrambi tramite la scheda Crittografia, visualizzabile solo se il computer è dotato di un'unità autocrittografante. Abilitando la crittografia o la PBA, verrà abilitata anche l'altra funzione.
6. Nella pagina Personalizzazione preavvio, inserire un testo personalizzato da visualizzare nella schermata Autenticazione di preavvio (PBA) e fare clic su Avanti. Testo titolo di preavvio Questo testo viene visualizzato nella parte superiore della schermata PBA. Se si lascia vuoto questo campo non verrà visualizzato alcun titolo. Il testo non va a capo, pertanto l'immissione di più di 17 caratteri potrebbe comportare il troncamento del testo.
7. Nella pagina di riepilogo, fare clic su Applica. 8. Quando richiesto, fare clic su Arresta il sistema. Prima di poter avviare la crittografia è necessario l'arresto completo del sistema. 9. Dopo l'arresto, riavviare il sistema. L'autenticazione è ora gestita da Security Tools. Gli utenti devono accedere alla schermata Autenticazione di preavvio con le relative password di Windows.
• • Modifica criterio o personalizzazione di preavvio - Fare clic sulla scheda Crittografia quindi fare clic su Modifica. Decrittografia dell'unità autocrittografante, ad esempio per la disinstallazione - Fare clic su Decrittografa.
Per impostazione predefinita, ogni metodo di autenticazione è configurato per essere utilizzato singolarmente e non in combinazione con altri metodi di autenticazione. Le impostazioni predefinite possono essere modificate nei seguenti modi: • Per impostare una combinazione di opzioni di autenticazione, in Opzioni disponibili, fare clic su per selezionare il primo metodo di autenticazione. Nella finestra di dialogo Opzioni disponibili, selezionare il secondo metodo di autenticazione, quindi fare clic su OK.
Gli utenti possono ricevere un promemoria per la registrazione delle proprie credenziali richieste al successivo accesso a Windows (impostazione predefinita) oppure possono essere impostati promemoria periodici. Selezionare l'intervallo di tempo del promemoria dall'elenco a discesa Promemoria utenti. N.B.: Il promemoria visualizzato varia leggermente a seconda che al momento della sua attivazione l'utente si trovi nella schermata di accesso di Windows o in una sessione di Windows.
Configurare l'autenticazione in Password Manager Nella pagina Password Manager è possibile configurare le modalità di autenticazione degli utenti in Password Manager. Per configurare l'autenticazione in Password Manager: 1. Nel riquadro sinistro, sotto Autenticazione, selezionare Password Manager. 2. Per scegliere il ruolo che si desidera impostare selezionarlo dall'elenco Applica opzioni di accesso a: Utenti o Amministratori.
• Per consentire che ciascun metodo di autenticazione possa essere utilizzato singolarmente, nella finestra di dialogo Opzioni disponibili, lasciare come impostazione del secondo metodo di autenticazione Nessuno e fare clic su OK. • Per rimuovere un'opzione di accesso, sotto Opzioni disponibili nella pagina Opzioni di accesso, fare clic sulla X per rimuovere il metodo. • Per aggiungere una nuova combinazione di metodi di autenticazione, fare clic su Aggiungi un'opzione. 5.
Configurare l'autenticazione con scansione dell'impronta digitale Per configurare l'autenticazione con scansione dell'impronta digitale: 1. Nel riquadro sinistro, in Autenticazione, selezionare Impronte. 2. In Registrazioni, impostare il numero minimo e massimo di dita che un utente può registrare.
3. Impostare la sensibilità della scansione dell'impronta digitale. Una bassa sensibilità aumenta la variazione accettabile e la probabilità che una scansione falsificata venga accettata. Con l'impostazione massima il sistema potrebbe rifiutare anche le impronte digitali legittime. L'impostazione Maggiore sensibilità abbassa la percentuale di accettazione di scansioni false a 1 su 10.000. 4.
Se la casella di controllo Richiedi password è stata selezionata, gli utenti devono sbloccare il dispositivo mobile per accedere all'applicazione Security Tools Mobile. Se non è presente un blocco dispositivo nel dispositivo mobile, sarà richiesta la password. 3. Per selezionare la lunghezza della Password monouso (OTP), in Lunghezza password monouso, selezionare il numero di caratteri della password da richiedere. 4.
Configurare le autorizzazioni avanzate 1. Fare clic su Avanzate per modificare le opzioni avanzate per gli utenti finali. In Avanzate è possibile consentire agli utenti che lo desiderano di registrare autonomamente le credenziali o, facoltativamente, di modificare le credenziali registrate e abilitare l'accesso singolo. 2. Selezionare o deselezionare le caselle di controllo: Consenti agli utenti di registrare le credenziali - Questa casella di controllo è selezionata per impostazione predefinita.
Consenti accesso singolo - L'accesso singolo equivale al Single Sign-on (SSO). Questa casella è selezionata per impostazione predefinita. Quando questa funzione è abilitata, gli utenti devono immettere le proprie credenziali solo nella schermata di Autenticazione di preavvio. Gli utenti accedono automaticamente a Windows. Se la casella di controllo viene deselezionata, può essere richiesto all'utente di effettuare l'accesso più volte. N.B.
N.B.: Le voci Accesso e Sessione mostrano lo stato di registrazione di un utente. Quando lo stato Accesso è OK, tutte le registrazioni di cui l'utente necessita per poter effettuare l'accesso sono state portate a termine. Quando lo stato Sessione è OK, tutte le registrazioni di cui l'utente necessita per poter utilizzare Password Manager sono state portate a termine. Se per uno degli stati risulta No, l'utente deve portare a termine altre registrazioni.
4. Al termine fare clic su OK. Si apre la registrazione guidata. Per istruzioni, passare a Registrare o modificare le credenziali utente. Registrare o modificare le credenziali utente L'amministratore può registrare o modificare le credenziali di un utente per suo conto; tuttavia vi sono alcune attività correlate alla registrazione che richiedono la presenza dell'utente, come rispondere alle domande di ripristino o la scansione delle impronte digitali dell'utente.
5. Nella pagina Password, per modificare la password Windows dell'utente, immettere e confermare una nuova password, quindi fare clic su Avanti. Se non si desidera modificare la password, fare clic su Ignora. La procedura guidata consente di ignorare una credenziale se non si desidera registrarla. Per tornare a una data pagina, fare clic su Indietro. 6. Seguire le istruzioni presenti in ogni pagina e fare clic sul pulsante appropriato: Avanti, Ignora o Indietro. 7.
Rimuovere tutte le credenziali registrate di un utente 1. Fare clic sul riquadro Impostazioni amministratore. 2. Fare clic sulla scheda Utenti e trovare l'utente che si desidera rimuovere. 3. Fare clic su Rimuovi (il comando Rimuovi viene visualizzato in rosso in fondo alle impostazioni dell'utente). Dopo la rimozione, l'utente non potrà accedere al computer a meno che effettui nuovamente la registrazione.
5 Attività di disinstallazione Per disinstallare DDP | Security Tools è necessario che il ruolo utente sia almeno quello di amministratore locale. Disinstallare DDP | Security Tools È necessario disinstallare le applicazioni in questo ordine: 1. DDP | Client Security Framework 2. DDP | Security Tools Authentication 3. DDP | Security Tools Se si dispone di un computer con un'unità autocrittografante, seguire queste istruzioni per procedere con la disinstallazione: 1.
5. Dal Pannello di controllo di Windows, disinstallare Security Tools. Viene visualizzato un messaggio con la richiesta se si desidera disinstallare completamente l'applicazione e i suoi componenti. Fare clic su Sì. Viene visualizzata la finestra di dialogo Disinstallazione completata. 6. Fare clic su Sì, riavvia ora quindi su Fine. 7. Il computer viene riavviato e la disinstallazione è completata.
6 Ripristino Le opzioni di ripristino sono disponibili nel caso in cui le credenziali utente siano scadute o smarrite: • • Password monouso (OTP): per poter effettuare nuovamente l'accesso, l'utente dovrà generare una OTP tramite l'app Security Tools Mobile in un dispositivo mobile registrato ed inserire l'OTP nella schermata di accesso di Windows. Questa opzione è disponibile solo se l'utente ha effettuato la registrazione di un dispositivo mobile nel computer tramite Security Tools.
Rispondendo correttamente alle domande, si passa alla modalità di ripristino dell'accesso. I passaggi successivi dipendono dalle credenziali non corrette. • • Se è stata inserita una password di Windows non corretta, viene visualizzata la schermata Modifica password. Se un'impronta digitale non viene riconosciuta, viene visualizzata la pagina di registrazione delle impronte digitali per poter registrare nuovamente le impronte digitali.
Ripristino autonomo, Password monouso La presente procedura descrive le modalità di utilizzo della funzione di Password monouso (OTP) per ripristinare l'accesso al computer nel caso in cui, ad esempio, la password di Windows sia scaduta, venga dimenticata o si superi il limite massimo di tentativi di accesso consentiti.
• Se l'utente possiede più di un account utente Windows, DDP | Security Tools non è installato nel computer al quale si sta cercando di accedere o si sta tentando di accedere a un account utente differente da quello utilizzato per associare il computer al dispositivo mobile. 4. Toccare Password monouso. Viene visualizzata una password nella schermata del dispositivo mobile. N.B.: Se necessario, fare clic sul simbolo Aggiorna per ottenere un nuovo codice.
7 Glossario Deprovisioning - Il deprovisioning rimuove il database di PBA e disattiva la PBA. Affinché il deprovisioning abbia effetto, è necessario arrestare il sistema. Password monouso (OTP) - La Password monouso è una password utilizzabile solo una volta e valida per una durata limitata. L'OTP richiede che il TPM sia presente, abilitato e di proprietà. Per abilitare la OTP, deve essere associato un dispositivo mobile al computer tramite la Security Console e l'app Security Tools Mobile.