Dell Data Guardian, Encryption ユーザーガイド

  • こんにちは!Dell データセキュリティ実装ガイドに関するご質問にお答えします。このガイドでは、Security Management Server、Security Management Server Virtual、Dell Encryption Enterprise、Endpoint Security Suite Enterpriseなどの製品実装に関する詳細な手順やベストプラクティスが説明されています。どのようなご質問でもお気軽にお尋ねください!
  • Security Management ServerとSecurity Management Server Virtualの違いは何ですか?
    実装前に確認すべきことは何ですか?
    サポート対象のオペレーティングシステムは何ですか?
    クライアントソフトウェアはどこからダウンロードできますか?
    SQL Serverのベストプラクティスはどこで確認できますか?
はじめに
Dell Data Security 装サビス
メモ、注意、警告
メモ: 製品を使いやすくするための重要な情報を明しています。
注意: ドウェアの損傷やデタの損失の可能性を示し、その危を回避するための方法を明しています。
警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。
© 2012-2020 Dell Inc. All rights reserved.DellEMCおよびその他の商標は、Dell Inc. またはその子社の商標です。その他の商
標は、それぞれの所有者の商標である場合があります。
Registered trademarks and trademarks used in the Dell Encryption, Endpoint Security Suite Enterprise, and Data Guardian suite of
documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
Cylance®, CylancePROTECT, and the Cylance logo are registered trademarks of Cylance, Inc. in the U.S. and other countries. McAfee®
and the McAfee logo are trademarks or registered trademarks of McAfee, Inc. in the US and other countries. Intel®, Pentium®, Intel Core
Inside Duo®, Itanium®, and Xeon® are registered trademarks of Intel Corporation in the U.S. and other countries. Adobe®, Acrobat®,
and Flash® are registered trademarks of Adobe Systems Incorporated. Authen tec® and Eikon® are registered trademarks of Authen tec.
AMD® is a registered trademark of Advanced Micro Devices, Inc. Microsoft®, Windows®, and Windows Server®, Internet Explorer®,
Windows Vista®, Windows 7®, Windows 10®, Azure®, Active Directory®, Access®, BitLocker®, BitLocker To Go®, Excel®, Hyper-V®,
Outlook®, PowerPoint®, Word®, OneDrive®, SQL Server®, and Visual C++® are either trademarks or registered trademarks of
Microsoft Corporation in the United States and/or other countries. VMware® is a registered trademark or trademark of VMware, Inc. in
the United States or other countries. Box® is a registered trademark of Box. Dropbox is a service mark of Dropbox, Inc. Google™,
Android™, Google™ Chrome™, Gmail™, and Google™ Play are either trademarks or registered trademarks of Google Inc. in the United
States and other countries. Apple®, App Store, Apple Remote Desktop™, Boot Camp™, FileVault™, iPad®, iPhone®, iPod®, iPod
touch®, iPod shuffle®, and iPod nano®, Macintosh®, and Safari® are either servicemarks, trademarks, or registered trademarks of
Apple, Inc. in the United States and/or other countries. EnCase™ and Guidance Software® are either trademarks or registered
trademarks of Guidance Software. Entrust® is a registered trademark of Entrust®, Inc. in the United States and other countries. Mozilla®
Firefox® is a registered trademark of Mozilla Foundation in the United States and/or other countries. iOS® is a trademark or registered
trademark of Cisco Systems, Inc. in the United States and certain other countries and is used under license. Oracle® and Java® are
registered trademarks of Oracle and/or its affiliates. Travelstar® is a registered trademark of HGST, Inc. in the United States and other
countries. UNIX® is a registered trademark of The Open Group. VALIDITY™ is a trademark of Validity Sensors, Inc. in the United States
and other countries. VeriSign® and other related marks are the trademarks or registered trademarks of VeriSign, Inc. or its affiliates or
subsidiaries in the U.S. and other countries and licensed to Symantec Corporation. KVM on IP® is a registered trademark of Video
Products. Yahoo!® is a registered trademark of Yahoo! Inc. Bing® is a registered trademark of Microsoft Inc. Ask® is a registered
trademark of IAC Publishing, LLC. Other names may be trademarks of their respective owners.
2020 - 02
Rev. A01
1 装フェ.................................................................................................................................4
2 キックオフと要件確認................................................................................................................... 5
クライアントドキュメント............................................................................................................................................... 5
バドキュメント.............................................................................................................................................................6
3 準備チェックリスト - 初期....................................................................................................... 7
Security Management Server の初期装チェックリスト........................................................................................... 7
Security Management Server Virtual の初期装チェックリスト...................................................................... 10
4 準備チェックリスト - アップグレ / 移行................................................................................... 12
5 キテクチャ............................................................................................................................15
Security Management Server Virtual のアキテクチャの設計.................................................................................. 15
.............................................................................................................................................................................. 16
Security Management Server キテクチャの設計...................................................................................................19
..............................................................................................................................................................................20
6 SQL Server ベストプラクティス................................................................................................... 24
7 お客通知電子メルの例............................................................................................................25
目次
目次 3
装フェ
基本的な装プロセスは、これらのフェズで構成されます。
キックオフと要件確認」を行する
準備チェックリスト - 初期」または「準備チェックリスト - アップグレ / 移行」を完了する
次のいずれかをインストルまたはアップグレ/ 移行します。
Security Management Server
デバイスの一元管理
物理環境または仮想化環境で行されている Windows スのアプリケションです。
Security Management Server Virtual
最大 3500 台のデバイスの一元管理
仮想環境で行されます
デルサバのインスト / 移行手順については、Security Management Server
インスト
ルおよび移行ガイド
』または
Security Management Server Virtual
クイックスタ
トおよびインスト
ルガイド
』を照してください。これらのドキュメ
ントを入手するには、Dell Data Security Server するドキュメント」を照してください。
初期ポリシの設定
Security Management Server
- support.dell.com にある『Security Management Server
インスト
ルおよび移行ガイド
』の「
理タスク
」の項、および管理コンソルから利用できる AdminHelp 照してください。
Security Management Server Virtual
- support.dell.com にある『Security Management Server Virtual
クイックスタ
トおよ
びインスト
ルガイド
』の「
管理コンソ
ル管理タスク
」の項、および管理コンソルから利用できる AdminHelp 照してく
ださい。
クライアントパッケ
クライアントの要件やソフトウェアのインストルドキュメントについては、導入にじて適切なドキュメントを照してくだ
さい。
Encryption Enterprise
基本インスト
ルガイド
または Encryption Enterprise
詳細インスト
ルガイド
Endpoint Security Suite Enterprise
基本インスト
ルガイド
または Endpoint Security Suite Enterprise
詳細インスト
ルガイド
Advanced Threat Prevention
管理者ガイド
Encryption Personal
インスト
ルガイド
Encryption Enterprise for Mac
管理者ガイド
Endpoint Security Suite Enterprise for Mac
の管理者ガイド
これらのドキュメントを入手するには、Dell Data Security クライアントのドキュメント」を照してください。
Dell Security Administrator シックナレッジトランスファへの
ベストプラクティスの
デルクライアントサビスとのパイロットまたは導入サポトの調整
1
4 装フェ
キックオフと要件確認
プロジェクトのビジネスおよび技術的な目標を達成するために Dell Data Security を正しく装するには、インストルの前に、お
使いの環境と、これらの目的を理解しておくことが重要です。組織全体のデタセキュリティ要件を十分に理解しておくようにし
てください。
次の質問は、デルクライアントサビスチムがお使いの環境と要件を理解するために役立つ、一般的な主要質問です。
1. 組織のビジネスタイプは何ですか(療機など)?
2. 規制順守要件はありますか(HIPAA/HITECH PCI、など)?
3. 組織の規模は(ユー数、物理的場所の、など)?
4. 導入するエンドポイントの目標? エンドポイント将来拡張する予定はありますか?
5. にはロカル管理者限はありますか?
6. 管理および暗化する必要があるデタおよびデバイスは何ですか(ロカル固定ディスク、USB、など)?
7. 導入を討している製品は何ですか?
Encryption Enterprise
EncryptionDE 資格) - Windows EncryptionServer EncryptionEncryption External MediaSED 管理、フル ディスク暗
化、BitLocker ManagerMac Encryption
Encryption External Media
Endpoint Security Suite Enterprise
Advanced Threat Prevention - オプションの Client Firewall および Web ProtectionATP 資格)の有無を問わない
EncryptionDE 資格) - Windows EncryptionServer EncryptionEncryption External MediaSED 管理、フル ディスク暗
化、BitLocker ManagerMac Encryption
Encryption External Media
8. 組織でサポトされているユのタイプは何ですか? これには、次のようなタイプがあります。
カル LAN のみ
VPN ス、および / または企業ワイヤレスユ
リモトユ / されたユ(直接または VPN 由のいずれかでネットワクに長期間接されていないユ
非ドメインワクステション
9. エンドポイントで保護する必要のあるデタはどのデタですか? 標準的なユがエンドポイントで使用しているデタの
タイプは何ですか?
10. 重要情報を含まれる可能性があるユアプリケションは何ですか? アプリケションのファイルタイプは何ですか?
11. お使いの環境のドメインの? 化の象範となっているドメインの?
12. 化の象になるオペレティングシステムとオペレティングシステムバジョンは何ですか?
13. エンドポイントに代替ブトパティションを設定していますか?
a. リカバリパティション
b. デュアルブトワクステション
クライアントドキュメント
インストル要件、サポ象のオペレティングシステムバジョン、サポ象の自己暗化ドライブ、導入予定クライア
ントの手順については、以下の該ドキュメントを照してください。
Encryption EnterpriseWindows - www.dell.com/support/home/us/en/04/product-support/product/dell-data-protection-
encryption/manuals にある次のドキュメントを照してください。
Encryption Enterprise
詳細インスト
ルガイド
- インストルガイド(カスタムインストルのためのスイッチおよびパラメ
の詳細情報)
Dell Data Security
コンソ
ルのユ
ガイド
- 向けの指示
Encryption EnterpriseMac - www.dell.com/support/home/us/en/04/product-support/product/dell-data-protection-encryption/
manuals にある『Encryption Enterprise for Mac
管理者ガイド
』を照してください。インストルおよび導入手順も記述されていま
す。
2
キックオフと要件確認 5
Endpoint Security Suite EnterpriseWindows - www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endpt-
security-suite-enterprise/manuals にある次のドキュメントを照してください。
Endpoint Security Suite Enterprise
詳細インスト
ルガイド
- インストルガイド(カスタムインストルのためのスイッチおよ
びパラメの詳細情報)
Endpoint Security Suite Enterprise Advanced Threat Prevention
クイック
スタ
ガイド
- 管理の手順(ポリシの推事項、脅
威の識別と管理、トラブルシュティングなど)
Dell Data Security Console
ガイド
- 向けの指示
Endpoint Security Suite EnterpriseMac - www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endpt-
security-suite-enterprise/manuals にある次のドキュメントを照してください。
Endpoint Security Suite Enterprise for Mac
管理者ガイド
- インストルガイド
サポ象の自己暗化ドライブについては、https://www.dell.com/support/article/us/en/04/sln296720 照してください。
バドキュメント
インストル要件、サポ象オペレティングシステムバジョン、導入デルサバの構成については、以下の該ドキュメン
トを照してください。
Security Management Server
次のリンクから Security Management Server
インスト
ルおよび移行ガイド
照してください。
www.dell.com/support/home/us/en/04/product-support/product/dell-data-protection-encryption/manuals
または
www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endpt-security-suite-enterprise/manuals
Security Management Server Virtual
次のリンクから、Security Management Server Virtual
クイックスタ
トおよびインスト
ルガイド
』を照してください。
www.dell.com/support/home/us/en/04/product-support/product/dell-data-protection-encryption/manuals
または
www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endpt-security-suite-enterprise/manuals
6 キックオフと要件確認
準備チェックリスト - 初期
Dell Encryption または Endpoint Security Suite Enterprise のインストルを開始する前に、導入している Dell Server じた適切なチ
ェックリストを照して、すべての前提件がたされていることを確認します。
Security Management Server のチェックリスト
Security Management Server Virtual のチェックリスト
Security Management Server の初期装チェック
リスト
Proof of ConceptPOC)環境のクリンアップは完了していますか(該する場合)?
デルでインストル作業を行う前に、Proof of Concept 用のデタベスおよびアプリケションがバックアッ
プされ、アンインストルされている(同じサバを使用している場合)。アンインストルの詳細について
は、https://www.dell.com/support/manuals/us/en/04/dell-data-protection-encryption/enterpserverig/perform-
back-ups?guid=guid-2669f62a-2567-49ea-8e72-4ad06fb82442&lang=en-us 照してください。
Proof of ConceptPOC)テスト中に使用されたすべてのエンドポイントが複合化されている、または
主要バンドルがダウンロドされています。導入予定クライアントでの手順については、クライアントドキ
ュメント」を照してください。
メモ:
すべての新規の装は、新規デタベスおよび Encryption または Endpoint Security Suite Enterprise ソフトウェアの初期
インストルから始める必要があります。デルクライアントサビスは、POC 環境を使用した新規装は行いません。POC
行中に暗化されたエンドポイントはいずれも、デルによるインストル作業開始前に復化または再構築する必要があ
ります。
はハドウェアの必須要件をたしていますか?
Dell Security Management Server キテクチャの設計」を照してください。
はソフトウェア必須要件をたしていますか?
Windows Server 2012 R2
Standard または Datacenter2016Standard または DatacenterWindows Server
2019Standard または Datacenter)がインストルされている。これらのオペレティングシステムは物理ま
たは仮想ハドウェアにインストルできます。
Windows Installer 4.0 以降がインストルされている。
.NET Framework 4.5 がインストルされている。
SQL Server 2012 または SQL Server 2016 を使用している場合、Microsoft SQL Native Client 2012 がインスト
されている。もし利用可能であれば、SQL Native Client 2014 も使用できます。
メモ: SQL Express は、Security Management Server 稼動導入環境ではサポトされていません。
Windows ファイアウォルが無化されている、または(インバウンド)ポ 8000805080818084
888861613 を許可するように設定されている。
881353894436363268326949125+RPCAD へのインバウンド)由の Security
Management Server Active DirectoryAD)間での接が利用可能になっている。
3
準備チェックリスト - 初期 7
C:\Program Files にインストルする際は、Windows Server 2012 R2 にインストルする前に UAC を無にして
おく。更を有にするためにはサを再起動する必要があります。Windows コントロルパネル >
アカウントを照)
Windows Server 2012 R2 では、インストラが UAC を無にします。
Windows Server 2016 R2 では、インストラが UAC を無にします。
メモ: インストルディレクトリが保護象ディレクトリとして指定されていない限り、UAC 制的に
にされることはなくなりました。
ビスアカウントが正しく作成されていますか?
AD へのみ取り用アクセスLDAP付きのサビスアカウント - シックのユ/ドメインのユ
アカウントが適切です。
ビスアカウントには、Security Management Server アプリケションサバにするロカル管理者限が
必要です。
タベスで Windows での認証を行したい場合は、システム管理者の限を所持するドメインサビスア
カウントが必要です。ユアカウントは DOMAIN\\Username フォマットであり、SQL Server 許可のデフ
ォルトスキマ: dbo およびデタベス役割メンバシップ: db_owner を「public」にする必要があります。
SQL 認証を使用する場合、使用する SQL アカウントには SQL Server するシステム管理者限が必要です。
アカウントには、SQL Server 許可のデフォルトスキマ: dbo およびデタベス役割メンバシッ
プ: db_owner public にする必要があります。
ソフトウェアはダウンロドされていますか?
Dell Support ウェブサイトからダウンロドします。
Dell Data Security
クライアントソフトウェアと Security Management Server のダウンロドファイルは、次の
場所の ドライバおよびダウンロ フォルダにあります。
www.dell.com/support/home/us/en/04/product-support/product/dell-data-protection-encryption/research
または
www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endpt-security-suite-enterprise/
research
または
http://www.dell.com/support の製品ペジから、次の手順を行します。
1. ドライバおよびダウンロ を選します。
2. オペレティングシステムのリストから、ダウンロドする製品の正しいオペレティングシステムを選
します。例えば、Dell Enterprise Server をダウンロドしたい場合は、Windows Server オプションのいず
れかを選します。
3. するソフトウェアで、ファイルのダウンロ を選します。
Encryption または Endpoint Security Suite Enterprise を「on-the-box」でご購入いただいた場合は、Dell Digital
Deliver を使用してタゲットコンピュタにソフトウェアを配信することができます。
または
Dell Data Security ファイル送サイト(CFT)からダウンロドします
ソフトウェアは、
https://ddpe.credant.com SoftwareDownloads フォルダにあります。
インストルキおよびライセンスファイルは利用可能ですか?
ライセンスキ
は、FTP 資格情報が記載された元の電子メルにあります。お客通知電子メルの例」を
照してください。このキは、http://www.dell.com/support および https://ddpe.credant.com.からアプリケ
ョンをダウンロドしたときにも含まれています。
8 準備チェックリスト - 初期
ライセンスファイルは、FTP サイトの Client Licenses フォルダにある XML ファイルです。
メモ:
ライセンスを「on-the-box」でご購入いただいた場合は、ライセンスファイルは必要ありません。この利は新しい
Encryption PersonalEncryption Enterpriseまたは Endpoint Security Suite Enterprise クライアントのアクティブ化と同
時に、デルから自動的にダウンロドされます。
タベスが作成されていますか?
(オプション)新しいデタベスがサポトされているサバに作成されます。Security Management Server I
インスト
ルおよび移行ガイド)の
の「Requirements and Architecture(要件とアキテクチャ)を照してく
ださい。Security Management Server のインストラは、タベスがすでに作成されていない場合、インス
ル中にデタベスを作成します。
ゲットデタベスユには db_owner 限が付されています。
Security Management Server および / または部と外部のトラフィックにする Split DNS 付きの Policy Proxies して
DNS エイリアスは作成されていますか?
張性のため、DNS エイリアスを作成することをおめします。これにより、クライアントのアップデトを必要とすることな
く、後でサを追加したり、アプリケションのコンポネントを分離させることができます。
必要にじて、DNS エイリアスが作成されている。DNS エイリアス例:
Security Management Serverdds.<domain.com>
フロントエンドサバ:dds-fe.<domain.com>
メモ:
Split-DNS では、部と外部で同じ DNS 名のユが許可されます。つまり、部では dds.<domain.com> 部の c-
name として指定して Dell Security Management Server(バックエンド)につなげ、外部では dds.<domain.com> A
ドを指定して該のポSecurity Management Server のポトにする項照)をフロントエンドサバに送す
ることができます。DNS ラウンドロビンまたはロドバランサを利用して、負荷を各種フロントエンド(複存在する場
合)に分散できます。
SSL 証明書の計はありますか?
証明書の署名に使用でき、環境
のすべてのワクステションで信される社認証機CAがある、
たは VeriSign もしくは Entrust といったパブリック認証機を使用して署名み証明書を購入する計があ
る。公的認証機を使用している場合は、デルクライアントサビスのエンジニアにお知らせください。証明
書には、公開キおよび秘密キの署名が付いた Entire Chain of Trust (Root および Intermediate) が含まれてい
ます。
Certificate Request Subject Alternate NamesSANsは、デルサバのインストルに使用されているすべて
のサバに付されているすべての DNS エイリアスに一致します。Wildcard または Self Signed の証明書の要
求には適用されません。
証明書は .pfx 形式で生成されます。
Change Control 要件を特定し、それをデルにえましたか?
インスト
施前に、Encryption または Endpoint Security Suite Enterprise のインストルに必要となるすべて
の具体的な Change Control 要件をデル クライアント ビスに提出してください。これらの要件には、アプ
リケションサ、デタベス、およびクライアントワクステションへの更が含まれる場合があり
ます。
テストハドウェアの準備は整っていますか?
テストに使用するため、少なくとも
3 台のコンピュタを社のコンピュイメジで準備してください。
デルは、コンピュタをテストに使用することをめしませんコンピュタは、暗化ポリ
準備チェックリスト - 初期 9
が定義され、デル提供のテスト計を使用したテストが行われた後のパイロット期間中に使用する
ようにしてください。
Security Management Server Virtual の初期装チ
ェックリスト
Proof of ConceptPOC)環境のクリンアップは完了していますか(該する場合)?
デルでインストル作業を行う前に、Proof of Concept 用のデタベスおよびアプリケションがバックアッ
プされ、アンインストルされている(同じサバを使用している場合)。アンインストルの詳細について
は、次を照してください https://www.dell.com/support/manuals/us/en/04/dell-data-protection-encryption/
enterpserverig/perform-back-ups?guid=guid-2669f62a-2567-49ea-8e72-4ad06fb82442&lang=en-us
Proof of ConceptPOC)テスト中に使用されたすべてのエンドポイントが複合化されている、または
主要バンドルがダウンロドされています。導入予定クライアントでの手順については、クライアントドキ
ュメント」を照してください。
メモ:
すべての新規の装は、新規デタベスおよび Encryption または Endpoint Security Suite Enterprise ソフトウェアの初期
インストルから始める必要があります。デルクライアントサビスは、POC 環境を使用した新規装は行いません。POC
行中に暗化されたエンドポイントはいずれも、デルによるインストル作業開始前に復化または再構築する必要があ
ります。
ビスアカウントが正しく作成されていますか?
AD
へのみ取り用アクセスLDAP付きのサビスアカウント - シックのユ/ドメインのユ
アカウントが適切です。
ソフトウェアはダウンロドされていますか?
Dell Data Security
クライアントソフトウェアと Security Management Server のダウンロドファイルは、次の
場所の ドライバおよびダウンロ フォルダにあります。
www.dell.com/support/home/us/en/04/product-support/product/dell-data-protection-encryption/research
または
www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endpt-security-suite-enterprise/
research
または
http://www.dell.com/support の製品ペジから、次の手順を行します。
1. ドライバおよびダウンロ を選します。
2. オペレティングシステムのリストから、ダウンロドする製品の正しいオペレティングシステムを選
します。例えば、Dell Enterprise Server をダウンロドしたい場合は、Windows Server オプションのいず
れかを選します。
3. するソフトウェアで、ファイルのダウンロ を選します。
Encryption または Endpoint Security Suite Enterprise を「on-the-box」でご購入いただいた場合は、Dell Digital
Deliver を使用してタゲットコンピュタにソフトウェアを配信することができます。
ライセンスファイルが使用可能ですか?
ライセンスファイルは、
ddpe.credant.com サイトの Client Licenses フォルダにある XML ファイルです。
メモ:
10 準備チェックリスト - 初期
ライセンスを「on-the-box」でご購入いただいた場合は、ライセンスファイルは必要ありません。この利は、新しい
Encryption または Endpoint Security Suite Enterprise クライアントのアクティブ化と同時に、デルから自動的にダウンロ
ドされます。
はハドウェアの必須要件をたしていますか?
Security Management Server Virtual キテクチャの設計」を照してください。
Security Management Server Virtual および / または部と外部のトラフィックにする Split DNS 付きの Policy Proxies
して DNS エイリアスは作成されていますか?
張性のため、DNS エイリアスを作成することをおめします。これにより、クライアントのアップデトを必要とすることな
く、後でサを追加したり、アプリケションのコンポネントを分離させることができます。
必要にじて、DNS エイリアスが作成されている。DNS エイリアス例:
Security Management Serverdds.<domain.com>
フロントエンドサバ:dds-fe.<domain.com>
メモ:
Split-DNS では、部と外部で同じ DNS 名のユが許可されます。つまり、部では dds.<domain.com> 部の c-
name として指定して Dell Security Management Server(バックエンド)につなげ、外部では dds.<domain.com> A
ドを指定して該のポト(Security Management Server Virtual のポトにする項照)をフロントエンドサ
送することができます。DNS ラウンドロビンまたはロドバランサを利用して、負荷を各種フロントエンド(複存在
する場合)に分散できます。
SSL 証明書の計はありますか?
証明書の署名に使用でき、環境
のすべてのワクステションで信される社認証機CAがある、
たは VeriSign もしくは Entrust といったパブリック認証機を使用して署名み証明書を購入する計があ
る。パブリック認証機を使用している場合は、デルクライアントサビスのエンジニアにお知らせください。
Change Control 要件を特定し、それをデルにえましたか?
インスト
施前に、Encryption または Endpoint Security Suite Enterprise のインストルに必要となるすべて
の具体的な Change Control 要件をデル クライアント ビスに提出してください。これらの要件には、アプ
リケションサ、デタベス、およびクライアントワクステションへの更が含まれる場合があり
ます。
テストハドウェアの準備は整っていますか?
テストに使用するため、少なくとも
3 台のコンピュタを社のコンピュイメジで準備してください。
デルは、コンピュタをテストに使用することをめしませんコンピュタは、暗化ポリ
が定義され、デル提供のテスト計を使用したテストが行われた後のパイロット期間中に使用する
ようにしてください。
準備チェックリスト - 初期 11
準備チェックリスト - アップグレ / 移行
このチェックリストは Security Management Server のみに該するものです。
メモ:
お使いの Dell Server ミナルの 基本設定 メニュから、Security Management Server Virtual をアップデトします。詳
細については、
Security Management Server Virtual クイックスタ
トおよびインスト
ルガイド
照してください。
Encryption または Endpoint Security Suite Enterprise のアップグレドを開始する前に、次のチェックリストを照して、すべての
前提件がたされていることを確認してください。
はソフトウェア必須要件をたしていますか?
Windows Server 2012 R2Standard または DatacenterWindows Server 2016Standard または Datacenter
Windows Server 2019Standard または Datacenterがインストルされている。または、仮想化環境にインス
ルすることもできます。
Windows Installer 4.0 以降がインストルされている。
.NET Framework 4.5 がインストルされている。
SQL Server 2012 または SQL Server 2016 を使用している場合、Microsoft SQL Native Client 2012 がインスト
されている。もし利用可能であれば、SQL Native Client 2014 も使用できます。
メモ: SQL Express Security Management Server ではサポトされていません。
Windows ファイアウォルが無化されている、または(インバウンド)ポ 8000805080818084
8443888861613 を許可するように設定されている。
881353894436363268326949125+RPCAD へのインバウンド)由の Security
Management Server Active DirectoryAD)間での接が利用可能になっている。
C:\Program Files にインストルする際は、Windows Server 2012 R2 にインストルする前に UAC を無にして
おく。更を有にするためにはサを再起動する必要があります。Windows コントロルパネル >
アカウントを照)
Windows Server 2012 R2 では、インストラが UAC を無にします。
Windows Server 2016 R2 では、インストラが UAC を無にします。
ビスアカウントが正しく作成されていますか?
AD
へのみ取り用アクセスLDAP付きのサビスアカウント - シックのユ/ドメインのユ
アカウントが適切です。
ビスアカウントには、Security Management Server アプリケションサバにするロカル管理者限が
必要です。
タベスで Windows での認証を行したい場合は、システム管理者の限を所持するドメインサビスア
カウントが必要です。ユアカウントは DOMAIN\\Username フォマットであり、SQL Server 許可のデフ
ォルトスキマ: dbo およびデタベス役割メンバシップ: db_owner を「public」にする必要があります。
SQL 認証を使用する場合、使用する SQL アカウントには SQL Server するシステム管理者限が必要です。
アカウントには、SQL Server 許可のデフォルトスキマ: dbo およびデタベス役割メンバシッ
プ: db_owner public にする必要があります。
タベスおよびすべての必要なファイルはバックアップされていますか?
4
12 準備チェックリスト - アップグレ / 移行
存のすべてのインストルが別の場所にバックアップされています。バックアップには、SQL タベス、
secretKeyStore および設定ファイルを含めるようにしてください。
タベスへの接に必要な情報を保持する、次の最も重要なファイルがバックアップされていることを確
認してください。
<インストル先フォルダ>\Enterprise Edition\Compatibility Server\conf\server_config.xml
<インストル先フォルダ>\Enterprise Edition\Compatibility Server\conf\secretKeyStore
<インストル先フォルダ>\Enterprise Edition\Compatibility Server\conf\gkresource.xml
インストルキおよびライセンスファイルは利用可能ですか?
ライセンスキは、CFT 資格情報が記載された元の電子メルに含まれています。お客通知電子メルの
」を照してください。このキは、http://www.dell.com/support および https://ddpe.credant.com.からアプ
リケションをダウンロドしたときにも含まれています。
ライセンスファイルは、CFT サイトの Client Licenses フォルダにある XML ファイルです。
メモ:
ライセンスを「on-the-box」でご購入いただいた場合は、ライセンスファイルは必要ありません。この利は、新しい
Encryption または Endpoint Security Suite Enterprise クライアントのアクティブ化と同時に、デルから自動的にダウンロ
ドされます。
新規および存の Dell Data Security ソフトウェアはダウンロドされていますか?
Dell Data Security ファイル送サイト(CFT)からダウンロドします。
ソフトウェアは、
https://ddpe.credant.com SoftwareDownloads フォルダにあります。
Encryption Enterprise または Endpoint Security Suite Enterprise を「on-the-box」でご購入いただいた場合は、ソフ
トウェアの Dell Digital Delivery での出荷も可能です。www.dell.com/support または ddpe.credant.com からダウ
ンロドすることもできます。
十分なエンドポイントライセンスがありますか?
アップグレド前に、環境にあるすべてのエンドポイントへの適用に十分なのクライアントライセンスがあることを確認して
ください。インストがライセンスを上回っている場合は、アップグレドまたは移行前にデルのセルス担者にお問い合
わせください。Dell Data Security がライセンスの証を行し、使用可能なライセンスがない場合にはアクティブ化は行われませ
ん。
環境
で適用するために十分なライセンスがある。
DNS レコドは文書化されていますか?
ドウェアが更されている場合、アップデト用に DNS レコドが文書化され、ステジングされている
かを証します。
SSL 証明書の計はありますか?
証明書の署名に使用でき、環境
のすべてのワクステションで信される社認証機CAがある、
たは VeriSign もしくは Entrust といったパブリック認証機を使用して署名み証明書を購入する計があ
る。公的認証機を使用している場合は、デルクライアントサビスのエンジニアにお知らせください。証明
書には、公開キおよび秘密キの署名が付いた Entire Chain of Trust (Root および Intermediate) が含まれてい
ます。
Certificate Request Subject Alternate Names (SANs) Dell Enterprise Server のインストルに使用されてい
るすべてのサに付されているすべての DNS エイリアスに一致します。Wildcard または Self Signed
証明書の要求には適用されません。
証明書は .pfx 形式で生成されます。
準備チェックリスト - アップグレ / 移行 13
Change Control 要件を特定し、それをデルにえましたか?
インスト施前に、Encryption または Endpoint Security Suite Enterprise のインストルに必要となるすべて
の具体的な Change Control 要件をデル クライアント ビスに提出してください。これらの要件には、アプ
リケションサ、デタベス、およびクライアントワクステションへの更が含まれる場合があり
ます。
テストハドウェアの準備は整っていますか?
テストに使用するため、少なくとも 3 台のコンピュタを社のコンピュイメジで準備してください。
デルは、コンピュタをテストに使用することをめしませんコンピュタは、暗化ポリ
が定義され、デル提供のテスト計を使用したテストが行われた後のパイロット期間中に使用する
ようにしてください。
14 準備チェックリスト - アップグレ / 移行
キテクチャ
この項では、Dell Data Security 装におけるアキテクチャデザインの推する詳細を明します。展開したい Dell Server
を選してください。
Security Management Server のアキテクチャの設計
Security Management Server Virtual のアキテクチャの設計
Security Management Server Virtual のアキテク
チャの設計
Encryption Enterprise および Endpoint Security Suite Enterprise ソリュションは非常に張性の高い製品であり、組織の暗化の
象となるエンドポイントのに基づいて張可能です。
キテクチャコンポネント
以下は、Dell Security Management Server Virtual の基本的な導入です。
5
キテクチャ 15
以下の表は、各コンポネントとその機能について明しています。
名前
デフォルト
Access Group Service TCP/
8006
さまざまな Dell Security 製品の各種の
限とグル アクセスを管理します。
16 キテクチャ
名前 デフォルト
メモ: 8006 は現在保護され
ていません。このポトがファイア
ウォルで適切にフィルタリングさ
れていることを確認してください。
このポトは用です。
Compliance Reporter HTTP(S)/
8084
監査とコンプライアンスのレポトのた
めに、環境の詳細ビュを提供します。
メモ: 8084 は、ファイアウ
ルを介したフィルタリングが必
要です。このポトは部でのみ使
用することをおめします。
管理コンソ HTTPS/
8443
企業全体での導入に対応する管理コンソ
ルとコントロルセンタ
Core Server HTTPS/
8887(ク
ズ)
ポリシフロ、ライセンス、起動前認
証の登SED ManagementBitLocker
ManagerThreat ProtectionAdvanced
Threat Prevention を管理します。
Compliance Reporter および管理コンソ
ルが使用するインベントリデタを
します。認証デタを集し、保管しま
す。役割に基づいたアクセスを制御しま
す。
Core Server HA
(高可用性)
HTTPS/
8888
管理コンソル、Preboot Authentication
SED ManagementFDEBitLocker
ManagerThreat ProtectionAdvanced
Threat Prevention による HTTPS
セキュリティおよびパフォマンスの
化を可能にする高可用性サビスです。
Security Server HTTPS/
8443
Policy Proxy との通信を行います。また、
フォレンジック の取得、クライアン
トのアクティベション、SED-PBA およ
びフル ディスク暗-PBA の通信を管
理します。
Compatibility Server TCP/
1099 (閉鎖)
エンタプライズアキテクチャを管理
するためのサビスです。アクティベ
ション中の初期インベントリデタおよ
び移行時のポリシタを集、保管
します。ユグルプに基づいてデ
タを理します。
メモ: 1099 は、ファイアウォ
ルを介したフィルタリングが必要
です。このポトは部でのみ使用
することをおめします。
Message Broker ビス TCP/
61616(ク
ズ)
および
STOMP/
デルサバのサビス間の通信を理し
ます。ポリシプロキシのキュ操作の
ために Compatibility Server によって作成
されるポリシ情報をステジします。
メモ: 61616 は、ファイアウ
ルを介したフィルタリングが必
キテクチャ 17
名前 デフォルト
61613(閉
鎖、または
DMZ 用に
設定みの
場合は
61613 が開
放)
要です。このポトは部でのみ使
用することをおめします。
メモ: 61613 は、フロントエン
ドで構成した Security
Management Server してのみ
開かれるようにする必要がありま
す。
Identity Server 8445(ク
ズ)
SED Management の認証などのドメイン
認証要求を理します。
Forensic Server HTTPS/
8448
適切な限を持った管理者が、デタの
ロック解除または復化のタスクに使用
される暗化キを管理コンソルから
取得できるようにします。
Forensic API に必要です。
Inventory Server 8887 インベントリキュ理します。
Policy Proxy TCP/
8000
セキュリティポリシのアップデトと
インベントリのアップデトを配信する
ためのネットワクベスの通信パスを
提供します。
Encryption EnterpriseWindows および
Mac)に必要です。
PostGres TCP/
5432
イベンティング タ用に使用される
カル タベス。
メモ: 5432 は、ファイアウォ
ルを介したフィルタリングが必要
です。このポトは部でのみ使用
することをおめします。
LDAP 389/636
3268/3269
RPC - 135
49125+
389 - このポトはロカルドメ
インコントロラからの情報の要求に使
用されます。ポ 389 に送信される
LDAP 要求は、グロバルカタログのホ
ムドメインにあるオブジェクトの
にのみ使用できます。ただし、要求側の
アプリケションは、これらのオブジェ
クトにするすべての性を取得できま
す。たとえば、ポ 389 への要求は、
の部門を取得するために使用す
ることができます。
3268 - このポトは、特にグロ
バルカタログをタゲットとするクエリ
用に使用されます。ポ 3268 に送信
される LDAP 要求は、フォレスト全体で
のオブジェクトの索に使用することが
できます。ただし、返されるのはグロ
バルカタログへのリプリケション用に
クされた性のみです。たとえば、
3268 を使用してユの部門
は返すことはできません。これは、この
性がグロバルカタログに複製されな
いためです。
18 キテクチャ
名前 デフォルト
クライアント認証 HTTPS/
8449
クライアントサバがデルサバを認証
できるようにします。
Server Encryption に必要です。
Security Management Server キテクチャの設
Encryption Enterprise および Endpoint Security Suite Enterprise ソリュションは非常に張性の高い製品であり、組織の暗化の
象となるエンドポイントのに基づいて張可能です。
キテクチャコンポネント
以下に、ほとんどの環境に適した推ドウェア構成を示します。
Security Management Server
オペレティング システム:Windows Server 2012 R2StandardDatacenter 64 ビット)Windows Server 2016Standard
Datacenter 64 ビット)Windows Server 2019StandardDatacenter
仮想 / 物理マシン
CPU4 コア
RAM16.00 GB
ドライブ C:ログおよびアプリケションデタベス用に空きディスク容量 30 GB
メモ: PostgreSQL に保存されているロカルイベントデタベスで最大 10 GB を消費することがあります。
プロキシサ
オペレティング システム:Windows Server 2012 R2StandardDatacenter 64 ビット)Windows Server 2016Standard
Datacenter 64 ビット)Windows Server 2019StandardDatacenter
仮想 / 物理マシン
CPU2 コア
RAM8.00 GB
ドライブ C:ログ用に空きディスク容量 20 GB
SQL Server のハドウェア仕
CPU4 コア
RAM24.00 GB
タドライブ:空きディスク容量 100 150 GB(環境によって異なる)
ログドライブ:空きディスク容量 50 GB(環境によって異なる)
メモ: ほとんどの環境で上記の情報が有です。そうでない場合は、SQL Server ベストプラクティス」を照してくださ
い。
以下は、Dell Security Management Server の基本的な導入です。
キテクチャ 19
メモ: 組織に 20,000 を超えるエンドポイントがある場合は、Dell ProSupport に問い合わせてサポトを受けてください。
以下の表は、各コンポネントとその機能について明しています。
20 キテクチャ
/