はじめに
Dell Data Security 実装サービス
メモ、注意、警告
メモ: 製品を使いやすくするための重要な情報を説明しています。
注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。
警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。
© 2012-2020 Dell Inc. All rights reserved.Dell、EMC、およびその他の商標は、Dell Inc. またはその子会社の商標です。その他の商
標は、それぞれの所有者の商標である場合があります。
Registered trademarks and trademarks used in the Dell Encryption, Endpoint Security Suite Enterprise, and Data Guardian suite of
documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
Cylance®, CylancePROTECT, and the Cylance logo are registered trademarks of Cylance, Inc. in the U.S. and other countries. McAfee®
and the McAfee logo are trademarks or registered trademarks of McAfee, Inc. in the US and other countries. Intel®, Pentium®, Intel Core
Inside Duo®, Itanium®, and Xeon® are registered trademarks of Intel Corporation in the U.S. and other countries. Adobe®, Acrobat®,
and Flash® are registered trademarks of Adobe Systems Incorporated. Authen tec® and Eikon® are registered trademarks of Authen tec.
AMD® is a registered trademark of Advanced Micro Devices, Inc. Microsoft®, Windows®, and Windows Server®, Internet Explorer®,
Windows Vista®, Windows 7®, Windows 10®, Azure®, Active Directory®, Access®, BitLocker®, BitLocker To Go®, Excel®, Hyper-V®,
Outlook®, PowerPoint®, Word®, OneDrive®, SQL Server®, and Visual C++® are either trademarks or registered trademarks of
Microsoft Corporation in the United States and/or other countries. VMware® is a registered trademark or trademark of VMware, Inc. in
the United States or other countries. Box® is a registered trademark of Box. Dropbox ℠ is a service mark of Dropbox, Inc. Google™,
Android™, Google™ Chrome™, Gmail™, and Google™ Play are either trademarks or registered trademarks of Google Inc. in the United
States and other countries. Apple®, App Store℠, Apple Remote Desktop™, Boot Camp™, FileVault™, iPad®, iPhone®, iPod®, iPod
touch®, iPod shuffle®, and iPod nano®, Macintosh®, and Safari® are either servicemarks, trademarks, or registered trademarks of
Apple, Inc. in the United States and/or other countries. EnCase™ and Guidance Software® are either trademarks or registered
trademarks of Guidance Software. Entrust® is a registered trademark of Entrust®, Inc. in the United States and other countries. Mozilla®
Firefox® is a registered trademark of Mozilla Foundation in the United States and/or other countries. iOS® is a trademark or registered
trademark of Cisco Systems, Inc. in the United States and certain other countries and is used under license. Oracle® and Java® are
registered trademarks of Oracle and/or its affiliates. Travelstar® is a registered trademark of HGST, Inc. in the United States and other
countries. UNIX® is a registered trademark of The Open Group. VALIDITY™ is a trademark of Validity Sensors, Inc. in the United States
and other countries. VeriSign® and other related marks are the trademarks or registered trademarks of VeriSign, Inc. or its affiliates or
subsidiaries in the U.S. and other countries and licensed to Symantec Corporation. KVM on IP® is a registered trademark of Video
Products. Yahoo!® is a registered trademark of Yahoo! Inc. Bing® is a registered trademark of Microsoft Inc. Ask® is a registered
trademark of IAC Publishing, LLC. Other names may be trademarks of their respective owners.
2020 - 02
Rev. A01
1 実装フェーズ.................................................................................................................................4
2 キックオフと要件確認................................................................................................................... 5
クライアントドキュメント............................................................................................................................................... 5
サーバドキュメント.............................................................................................................................................................6
3 準備チェックリスト - 初期実装....................................................................................................... 7
Security Management Server の初期実装チェックリスト........................................................................................... 7
Security Management Server Virtual の初期実装チェックリスト...................................................................... 10
4 準備チェックリスト - アップグレード / 移行................................................................................... 12
5 アーキテクチャ............................................................................................................................15
Security Management Server Virtual のアーキテクチャの設計.................................................................................. 15
ポート.............................................................................................................................................................................. 16
Security Management Server アーキテクチャの設計...................................................................................................19
ポート..............................................................................................................................................................................20
6 SQL Server ベストプラクティス................................................................................................... 24
7 お客様通知電子メールの例............................................................................................................25
目次
目次 3
実装フェーズ
基本的な実装プロセスは、これらのフェーズで構成されます。
• 「キックオフと要件確認」を実行する
• 「準備チェックリスト - 初期実装」または「準備チェックリスト - アップグレード / 移行」を完了する
• 次のいずれかをインストールまたはアップグレード/ 移行します。
•
Security Management Server
• デバイスの一元管理
• 物理環境または仮想化環境で実行されている Windows ベースのアプリケーションです。
•
Security Management Server Virtual
• 最大 3500 台のデバイスの一元管理
• 仮想環境で実行されます
デルサーバのインストール / 移行手順については、『Security Management Server
インスト
ー
ルおよび移行ガイド
』または
『Security Management Server Virtual
クイックスタ
ー
トおよびインスト
ー
ルガイド
』を参照してください。これらのドキュメ
ントを入手するには、「Dell Data Security Server に関するドキュメント」を参照してください。
• 初期ポリシーの設定
•
Security Management Server
- support.dell.com にある『Security Management Server
インスト
ー
ルおよび移行ガイド
』の「
管
理タスク
」の項、および管理コンソールから利用できる AdminHelp を参照してください。
•
Security Management Server Virtual
- support.dell.com にある『Security Management Server Virtual
クイックスタ
ー
トおよ
びインスト
ー
ルガイド
』の「
管理コンソ
ー
ル管理タスク
」の項、および管理コンソールから利用できる AdminHelp を参照してく
ださい。
• クライアントパッケージ
クライアントの要件やソフトウェアのインストールドキュメントについては、導入に応じて適切なドキュメントを参照してくだ
さい。
• Encryption Enterprise
基本インスト
ー
ルガイド
または Encryption Enterprise
詳細インスト
ー
ルガイド
• Endpoint Security Suite Enterprise
基本インスト
ー
ルガイド
または Endpoint Security Suite Enterprise
詳細インスト
ー
ルガイド
• Advanced Threat Prevention
管理者ガイド
• Encryption Personal
インスト
ー
ルガイド
• Encryption Enterprise for Mac
管理者ガイド
• Endpoint Security Suite Enterprise for Mac
の管理者ガイド
• これらのドキュメントを入手するには、「Dell Data Security クライアントのドキュメント」を参照してください。
• Dell Security Administrator ベーシックナレッジトランスファーへの参加
• ベストプラクティスの実装
• デルクライアントサービスとのパイロットまたは導入サポートの調整
1
4 実装フェーズ
キックオフと要件確認
プロジェクトのビジネスおよび技術的な目標を達成するために Dell Data Security を正しく実装するには、インストールの前に、お
使いの環境と、これらの目的を理解しておくことが重要です。組織全体のデータセキュリティ要件を十分に理解しておくようにし
てください。
次の質問は、デルクライアントサービスチームがお使いの環境と要件を理解するために役立つ、一般的な主要質問です。
1. 組織のビジネスタイプは何ですか(医療機関など)?
2. 規制順守要件はありますか(HIPAA/HITECH、 PCI、など)?
3. 組織の規模は(ユーザー数、物理的場所の数、など)?
4. 導入するエンドポイントの目標数は? エンドポイント数を将来拡張する予定はありますか?
5. ユーザーにはローカル管理者権限はありますか?
6. 管理および暗号化する必要があるデータおよびデバイスは何ですか(ローカル固定ディスク、USB、など)?
7. 導入を検討している製品は何ですか?
• Encryption Enterprise
• Encryption(DE 資格) - Windows Encryption、Server Encryption、Encryption External Media、SED 管理、フル ディスク暗
号化、BitLocker Manager、Mac Encryption。
• Encryption External Media
• Endpoint Security Suite Enterprise
• Advanced Threat Prevention - オプションの Client Firewall および Web Protection(ATP 資格)の有無を問わない
• Encryption(DE 資格) - Windows Encryption、Server Encryption、Encryption External Media、SED 管理、フル ディスク暗
号化、BitLocker Manager、Mac Encryption。
• Encryption External Media
8. 組織でサポートされているユーザー接続のタイプは何ですか? これには、次のようなタイプがあります。
• ローカル LAN 接続のみ
• VPN ベース、および / または企業ワイヤレスユーザー
• リモートユーザー / 切断されたユーザー(直接または VPN 経由のいずれかでネットワークに長期間接続されていないユーザ
ー)
• 非ドメインワークステーション
9. エンドポイントで保護する必要のあるデータはどのデータですか? 標準的なユーザーがエンドポイントで使用しているデータの
タイプは何ですか?
10. 重要情報を含まれる可能性があるユーザーアプリケーションは何ですか? アプリケーションのファイルタイプは何ですか?
11. お使いの環境内のドメインの数は? 暗号化の対象範囲となっているドメインの数は?
12. 暗号化の対象になるオペレーティングシステムとオペレーティングシステムバージョンは何ですか?
13. エンドポイントに代替ブートパーティションを設定していますか?
a. メーカーリカバリパーティション
b. デュアルブートワークステーション
クライアントドキュメント
インストール要件、サポート対象のオペレーティングシステムバージョン、サポート対象の自己暗号化ドライブ、導入予定クライア
ントの手順については、以下の該当ドキュメントを参照してください。
Encryption Enterprise(Windows) - www.dell.com/support/home/us/en/04/product-support/product/dell-data-protection-
encryption/manuals にある次のドキュメントを参照してください。
• Encryption Enterprise
詳細インスト
ー
ルガイド
- インストールガイド(カスタムインストールのためのスイッチおよびパラメー
ターの詳細情報)
• Dell Data Security
コンソ
ー
ルのユ
ー
ザ
ー
ガイド
- ユーザー向けの指示
Encryption Enterprise(Mac) - www.dell.com/support/home/us/en/04/product-support/product/dell-data-protection-encryption/
manuals にある『Encryption Enterprise for Mac
管理者ガイド
』を参照してください。インストールおよび導入手順も記述されていま
す。
2
キックオフと要件確認 5
Endpoint Security Suite Enterprise(Windows) - www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endpt-
security-suite-enterprise/manuals にある次のドキュメントを参照してください。
• Endpoint Security Suite Enterprise
詳細インスト
ー
ルガイド
- インストールガイド(カスタムインストールのためのスイッチおよ
びパラメーターの詳細情報)
• Endpoint Security Suite Enterprise Advanced Threat Prevention
クイック
スタ
ー
ト
ガイド
- 管理の手順(ポリシーの推奨事項、脅
威の識別と管理、トラブルシューティングなど)。
• Dell Data Security Console
ユ
ー
ザ
ー
ガイド
- ユーザー向けの指示
Endpoint Security Suite Enterprise(Mac) - www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endpt-
security-suite-enterprise/manuals にある次のドキュメントを参照してください。
• Endpoint Security Suite Enterprise for Mac
管理者ガイド
- インストールガイド
サポート対象の自己暗号化ドライブについては、https://www.dell.com/support/article/us/en/04/sln296720 を参照してください。
サーバドキュメント
インストール要件、サポート対象オペレーティングシステムバージョン、導入デルサーバの構成については、以下の該当ドキュメン
トを参照してください。
Security Management Server
• 次のリンクから Security Management Server
インスト
ー
ルおよび移行ガイド
を参照してください。
www.dell.com/support/home/us/en/04/product-support/product/dell-data-protection-encryption/manuals
または
www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endpt-security-suite-enterprise/manuals
Security Management Server Virtual
• 次のリンクから、『Security Management Server Virtual
クイックスタ
ー
トおよびインスト
ー
ルガイド
』を参照してください。
www.dell.com/support/home/us/en/04/product-support/product/dell-data-protection-encryption/manuals
または
www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endpt-security-suite-enterprise/manuals
6 キックオフと要件確認
準備チェックリスト - 初期実装
Dell Encryption または Endpoint Security Suite Enterprise のインストールを開始する前に、導入している Dell Server に応じた適切なチ
ェックリストを参照して、すべての前提条件が満たされていることを確認します。
• Security Management Server のチェックリスト
• Security Management Server Virtual のチェックリスト
Security Management Server の初期実装チェック
リスト
Proof of Concept(POC)環境のクリーンアップは完了していますか(該当する場合)?
デルでインストール作業を行う前に、Proof of Concept 用のデータベースおよびアプリケーションがバックアッ
プされ、アンインストールされている(同じサーバを使用している場合)。アンインストールの詳細について
は、https://www.dell.com/support/manuals/us/en/04/dell-data-protection-encryption/enterpserverig/perform-
back-ups?guid=guid-2669f62a-2567-49ea-8e72-4ad06fb82442&lang=en-us を参照してください。
Proof of Concept(POC)テスト中に使用されたすべての実稼働エンドポイントが複合化されている、または
主要バンドルがダウンロードされています。導入予定クライアントでの手順については、「クライアントドキ
ュメント」を参照してください。
メモ:
すべての新規の実装は、新規データベースおよび Encryption または Endpoint Security Suite Enterprise ソフトウェアの初期
インストールから始める必要があります。デルクライアントサービスは、POC 環境を使用した新規実装は行いません。POC
の実行中に暗号化されたエンドポイントはいずれも、デルによるインストール作業開始前に復号化または再構築する必要があ
ります。
サーバーはハードウェアの必須要件を満たしていますか?
「
Dell Security Management Server アーキテクチャの設計」を参照してください。
サーバーはソフトウェア必須要件を満たしていますか?
Windows Server 2012 R2
(Standard または Datacenter)、2016(Standard または Datacenter)、Windows Server
2019(Standard または Datacenter)がインストールされている。これらのオペレーティングシステムは物理ま
たは仮想ハードウェアにインストールできます。
Windows Installer 4.0 以降がインストールされている。
.NET Framework 4.5 がインストールされている。
SQL Server 2012 または SQL Server 2016 を使用している場合、Microsoft SQL Native Client 2012 がインストール
されている。もし利用可能であれば、SQL Native Client 2014 も使用できます。
メモ: SQL Express は、Security Management Server の実稼動導入環境ではサポートされていません。
Windows ファイアウォールが無効化されている、または(インバウンド)ポート 8000、8050、8081、8084、
8888、61613 を許可するように設定されている。
ポート 88、135、389、443、636、3268、3269、49125+(RPC)(AD へのインバウンド)経由の Security
Management Server と Active Directory(AD)間での接続が利用可能になっている。
3
準備チェックリスト - 初期実装 7
C:\Program Files にインストールする際は、Windows Server 2012 R2 にインストールする前に UAC を無効にして
おく。変更を有効にするためにはサーバーを再起動する必要があります。(Windows コントロールパネル > ユー
ザーアカウントを参照)
• Windows Server 2012 R2 では、インストーラが UAC を無効にします。
• Windows Server 2016 R2 では、インストーラが UAC を無効にします。
メモ: インストールディレクトリが保護対象ディレクトリとして指定されていない限り、UAC が強制的に
無効にされることはなくなりました。
サービスアカウントが正しく作成されていますか?
AD への読み取り専用アクセス(LDAP)付きのサービスアカウント - ベーシックのユーザー/ドメインのユーザー
アカウントが適切です。
サービスアカウントには、Security Management Server アプリケーションサーバに対するローカル管理者権限が
必要です。
データベースで Windows での認証を実行したい場合は、システム管理者の権限を所持するドメインサービスア
カウントが必要です。ユーザーアカウントは DOMAIN\\Username フォーマットであり、SQL Server 許可のデフ
ォルトスキーマ: dbo およびデータベース役割メンバーシップ: db_owner を「public」にする必要があります。
SQL 認証を使用する場合、使用する SQL アカウントには SQL Server に対するシステム管理者権限が必要です。
ユーザーアカウントには、SQL Server 許可のデフォルトスキーマ: dbo およびデータベース役割メンバーシッ
プ: db_owner を public にする必要があります。
ソフトウェアはダウンロードされていますか?
Dell Support ウェブサイトからダウンロードします。
Dell Data Security
クライアントソフトウェアと Security Management Server のダウンロードファイルは、次の
場所の ドライバおよびダウンロード フォルダにあります。
www.dell.com/support/home/us/en/04/product-support/product/dell-data-protection-encryption/research
または
www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endpt-security-suite-enterprise/
research
または
http://www.dell.com/support の製品ページから、次の手順を実行します。
1. ドライバおよびダウンロード を選択します。
2. オペレーティングシステムのリストから、ダウンロードする製品の正しいオペレーティングシステムを選択
します。例えば、Dell Enterprise Server をダウンロードしたい場合は、Windows Server オプションのいず
れかを選択します。
3. 該当するソフトウェアで、ファイルのダウンロード を選択します。
Encryption または Endpoint Security Suite Enterprise を「on-the-box」でご購入いただいた場合は、Dell Digital
Deliver を使用してターゲットコンピュータにソフトウェアを配信することができます。
または
Dell Data Security ファイル転送サイト(CFT)からダウンロードします
ソフトウェアは、
https://ddpe.credant.com の SoftwareDownloads フォルダにあります。
インストールキーおよびライセンスファイルは利用可能ですか?
ライセンスキ
ーは、FTP 資格情報が記載された元の電子メールにあります。「お客様通知電子メールの例」を参
照してください。このキーは、http://www.dell.com/support および https://ddpe.credant.com.からアプリケーシ
ョンをダウンロードしたときにも含まれています。
8 準備チェックリスト - 初期実装
ライセンスファイルは、FTP サイトの Client Licenses フォルダにある XML ファイルです。
メモ:
ライセンスを「on-the-box」でご購入いただいた場合は、ライセンスファイルは必要ありません。この権利は新しい
Encryption Personal、Encryption Enterprise、または Endpoint Security Suite Enterprise クライアントのアクティブ化と同
時に、デルから自動的にダウンロードされます。
データベースが作成されていますか?
(オプション)新しいデータベースがサポートされているサーバに作成されます。Security Management Server I
インスト
ー
ルおよび移行ガイド)の
の「Requirements and Architecture」(要件とアーキテクチャ)を参照してく
ださい。Security Management Server のインストーラは、データベースがすでに作成されていない場合、インス
トール中にデータベースを作成します。
ターゲットデータベースユーザーには db_owner 権限が付与されています。
Security Management Server および / または内部と外部のトラフィックに対する Split DNS 付きの Policy Proxies に対して
DNS エイリアスは作成されていますか?
拡張性のため、DNS エイリアスを作成することをお勧めします。これにより、クライアントのアップデートを必要とすることな
く、後でサーバーを追加したり、アプリケーションのコンポーネントを分離させることができます。
必要に応じて、DNS エイリアスが作成されている。DNS エイリアス例:
• Security Management Server:dds.<domain.com>
• フロントエンドサーバ:dds-fe.<domain.com>
メモ:
Split-DNS では、内部と外部で同じ DNS 名のユーザーが許可されます。つまり、内部では dds.<domain.com> を内部の c-
name として指定して Dell Security Management Server(バックエンド)につなげ、外部では dds.<domain.com> の A レ
コードを指定して該当のポート(Security Management Server のポートに関する項を参照)をフロントエンドサーバに転送す
ることができます。DNS ラウンドロビンまたはロードバランサーを利用して、負荷を各種フロントエンド(複数存在する場
合)に分散できます。
SSL 証明書の計画はありますか?
証明書の署名に使用でき、環境
内のすべてのワークステーションで信頼される社内認証機関(CA)がある、ま
たは VeriSign もしくは Entrust といったパブリック認証機関を使用して署名済み証明書を購入する計画があ
る。公的認証機関を使用している場合は、デルクライアントサービスのエンジニアにお知らせください。証明
書には、公開キーおよび秘密キーの署名が付いた Entire Chain of Trust (Root および Intermediate) が含まれてい
ます。
Certificate Request の Subject Alternate Names(SANs)は、デルサーバのインストールに使用されているすべて
のサーバに付与されているすべての DNS エイリアスに一致します。Wildcard または Self Signed の証明書の要
求には適用されません。
証明書は .pfx 形式で生成されます。
Change Control 要件を特定し、それをデルに伝えましたか?
インスト
ール実施前に、Encryption または Endpoint Security Suite Enterprise のインストールに必要となるすべて
の具体的な Change Control 要件をデル クライアント サービスに提出してください。これらの要件には、アプ
リケーションサーバー、データベース、およびクライアントワークステーションへの変更が含まれる場合があり
ます。
テストハードウェアの準備は整っていますか?
テストに使用するため、少なくとも
3 台のコンピュータを会社のコンピューターイメージで準備してください。
デルは、実稼働コンピュータをテストに使用することをお勧めしません。実稼働コンピュータは、暗号化ポリ
準備チェックリスト - 初期実装 9
シーが定義され、デル提供のテスト計画を使用したテストが行われた後の実稼働パイロット期間中に使用する
ようにしてください。
Security Management Server Virtual の初期実装チ
ェックリスト
Proof of Concept(POC)環境のクリーンアップは完了していますか(該当する場合)?
デルでインストール作業を行う前に、Proof of Concept 用のデータベースおよびアプリケーションがバックアッ
プされ、アンインストールされている(同じサーバを使用している場合)。アンインストールの詳細について
は、次を参照してください: https://www.dell.com/support/manuals/us/en/04/dell-data-protection-encryption/
enterpserverig/perform-back-ups?guid=guid-2669f62a-2567-49ea-8e72-4ad06fb82442&lang=en-us
Proof of Concept(POC)テスト中に使用されたすべての実稼働エンドポイントが複合化されている、または
主要バンドルがダウンロードされています。導入予定クライアントでの手順については、「クライアントドキ
ュメント」を参照してください。
メモ:
すべての新規の実装は、新規データベースおよび Encryption または Endpoint Security Suite Enterprise ソフトウェアの初期
インストールから始める必要があります。デルクライアントサービスは、POC 環境を使用した新規実装は行いません。POC
の実行中に暗号化されたエンドポイントはいずれも、デルによるインストール作業開始前に復号化または再構築する必要があ
ります。
サービスアカウントが正しく作成されていますか?
AD
への読み取り専用アクセス(LDAP)付きのサービスアカウント - ベーシックのユーザー/ドメインのユーザー
アカウントが適切です。
ソフトウェアはダウンロードされていますか?
Dell Data Security
クライアントソフトウェアと Security Management Server のダウンロードファイルは、次の
場所の ドライバおよびダウンロード フォルダにあります。
www.dell.com/support/home/us/en/04/product-support/product/dell-data-protection-encryption/research
または
www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endpt-security-suite-enterprise/
research
または
http://www.dell.com/support の製品ページから、次の手順を実行します。
1. ドライバおよびダウンロード を選択します。
2. オペレーティングシステムのリストから、ダウンロードする製品の正しいオペレーティングシステムを選択
します。例えば、Dell Enterprise Server をダウンロードしたい場合は、Windows Server オプションのいず
れかを選択します。
3. 該当するソフトウェアで、ファイルのダウンロード を選択します。
Encryption または Endpoint Security Suite Enterprise を「on-the-box」でご購入いただいた場合は、Dell Digital
Deliver を使用してターゲットコンピュータにソフトウェアを配信することができます。
ライセンスファイルが使用可能ですか?
ライセンスファイルは、
ddpe.credant.com サイトの Client Licenses フォルダにある XML ファイルです。
メモ:
10 準備チェックリスト - 初期実装
ライセンスを「on-the-box」でご購入いただいた場合は、ライセンスファイルは必要ありません。この権利は、新しい
Encryption または Endpoint Security Suite Enterprise クライアントのアクティブ化と同時に、デルから自動的にダウンロー
ドされます。
サーバーはハードウェアの必須要件を満たしていますか?
「Security Management Server Virtual アーキテクチャの設計」を参照してください。
Security Management Server Virtual および / または内部と外部のトラフィックに対する Split DNS 付きの Policy Proxies に対
して DNS エイリアスは作成されていますか?
拡張性のため、DNS エイリアスを作成することをお勧めします。これにより、クライアントのアップデートを必要とすることな
く、後でサーバーを追加したり、アプリケーションのコンポーネントを分離させることができます。
必要に応じて、DNS エイリアスが作成されている。DNS エイリアス例:
• Security Management Server:dds.<domain.com>
• フロントエンドサーバ:dds-fe.<domain.com>
メモ:
Split-DNS では、内部と外部で同じ DNS 名のユーザーが許可されます。つまり、内部では dds.<domain.com> を内部の c-
name として指定して Dell Security Management Server(バックエンド)につなげ、外部では dds.<domain.com> の A レ
コードを指定して該当のポート(Security Management Server Virtual のポートに関する項を参照)をフロントエンドサーバ
に転送することができます。DNS ラウンドロビンまたはロードバランサーを利用して、負荷を各種フロントエンド(複数存在
する場合)に分散できます。
SSL 証明書の計画はありますか?
証明書の署名に使用でき、環境
内のすべてのワークステーションで信頼される社内認証機関(CA)がある、ま
たは VeriSign もしくは Entrust といったパブリック認証機関を使用して署名済み証明書を購入する計画があ
る。パブリック認証機関を使用している場合は、デルクライアントサービスのエンジニアにお知らせください。
Change Control 要件を特定し、それをデルに伝えましたか?
インスト
ール実施前に、Encryption または Endpoint Security Suite Enterprise のインストールに必要となるすべて
の具体的な Change Control 要件をデル クライアント サービスに提出してください。これらの要件には、アプ
リケーションサーバー、データベース、およびクライアントワークステーションへの変更が含まれる場合があり
ます。
テストハードウェアの準備は整っていますか?
テストに使用するため、少なくとも
3 台のコンピュータを会社のコンピューターイメージで準備してください。
デルは、実稼働コンピュータをテストに使用することをお勧めしません。実稼働コンピュータは、暗号化ポリ
シーが定義され、デル提供のテスト計画を使用したテストが行われた後の実稼働パイロット期間中に使用する
ようにしてください。
準備チェックリスト - 初期実装 11
準備チェックリスト - アップグレード / 移行
このチェックリストは Security Management Server のみに該当するものです。
メモ:
お使いの Dell Server ターミナルの 基本設定 メニューから、Security Management Server Virtual をアップデートします。詳
細については、
Security Management Server Virtual クイックスタ
ー
トおよびインスト
ー
ルガイド
を参照してください。
Encryption または Endpoint Security Suite Enterprise のアップグレードを開始する前に、次のチェックリストを参照して、すべての
前提条件が満たされていることを確認してください。
サーバーはソフトウェア必須要件を満たしていますか?
Windows Server 2012 R2(Standard または Datacenter)、Windows Server 2016(Standard または Datacenter)、
Windows Server 2019(Standard または Datacenter)がインストールされている。または、仮想化環境にインス
トールすることもできます。
Windows Installer 4.0 以降がインストールされている。
.NET Framework 4.5 がインストールされている。
SQL Server 2012 または SQL Server 2016 を使用している場合、Microsoft SQL Native Client 2012 がインストール
されている。もし利用可能であれば、SQL Native Client 2014 も使用できます。
メモ: SQL Express は Security Management Server ではサポートされていません。
Windows ファイアウォールが無効化されている、または(インバウンド)ポート 8000、8050、8081、8084、
8443、8888、61613 を許可するように設定されている。
ポート 88、135、389、443、636、3268、3269、49125+(RPC)(AD へのインバウンド)経由の Security
Management Server と Active Directory(AD)間での接続が利用可能になっている。
C:\Program Files にインストールする際は、Windows Server 2012 R2 にインストールする前に UAC を無効にして
おく。変更を有効にするためにはサーバーを再起動する必要があります。(Windows コントロールパネル > ユー
ザーアカウントを参照)
• Windows Server 2012 R2 では、インストーラが UAC を無効にします。
• Windows Server 2016 R2 では、インストーラが UAC を無効にします。
サ
ービスアカウントが正しく作成されていますか?
AD
への読み取り専用アクセス(LDAP)付きのサービスアカウント - ベーシックのユーザー/ドメインのユーザー
アカウントが適切です。
サービスアカウントには、Security Management Server アプリケーションサーバに対するローカル管理者権限が
必要です。
データベースで Windows での認証を実行したい場合は、システム管理者の権限を所持するドメインサービスア
カウントが必要です。ユーザーアカウントは DOMAIN\\Username フォーマットであり、SQL Server 許可のデフ
ォルトスキーマ: dbo およびデータベース役割メンバーシップ: db_owner を「public」にする必要があります。
SQL 認証を使用する場合、使用する SQL アカウントには SQL Server に対するシステム管理者権限が必要です。
ユーザーアカウントには、SQL Server 許可のデフォルトスキーマ: dbo およびデータベース役割メンバーシッ
プ: db_owner を public にする必要があります。
データベースおよびすべての必要なファイルはバックアップされていますか?
4
12 準備チェックリスト - アップグレード / 移行
既存のすべてのインストールが別の場所にバックアップされています。バックアップには、SQL データベース、
secretKeyStore および設定ファイルを含めるようにしてください。
データベースへの接続に必要な情報を保持する、次の最も重要なファイルがバックアップされていることを確
認してください。
<インストール先フォルダ>\Enterprise Edition\Compatibility Server\conf\server_config.xml
<インストール先フォルダ>\Enterprise Edition\Compatibility Server\conf\secretKeyStore
<インストール先フォルダ>\Enterprise Edition\Compatibility Server\conf\gkresource.xml
インストールキーおよびライセンスファイルは利用可能ですか?
ライセンスキーは、CFT 資格情報が記載された元の電子メールに含まれています。「お客様通知電子メールの
例」を参照してください。このキーは、http://www.dell.com/support および https://ddpe.credant.com.からアプ
リケーションをダウンロードしたときにも含まれています。
ライセンスファイルは、CFT サイトの Client Licenses フォルダにある XML ファイルです。
メモ:
ライセンスを「on-the-box」でご購入いただいた場合は、ライセンスファイルは必要ありません。この権利は、新しい
Encryption または Endpoint Security Suite Enterprise クライアントのアクティブ化と同時に、デルから自動的にダウンロー
ドされます。
新規および既存の Dell Data Security ソフトウェアはダウンロードされていますか?
Dell Data Security ファイル転送サイト(CFT)からダウンロードします。
ソフトウェアは、
https://ddpe.credant.com の SoftwareDownloads フォルダにあります。
Encryption Enterprise または Endpoint Security Suite Enterprise を「on-the-box」でご購入いただいた場合は、ソフ
トウェアの Dell Digital Delivery での出荷も可能です。www.dell.com/support または ddpe.credant.com からダウ
ンロードすることもできます。
十分なエンドポイントライセンスがありますか?
アップグレード前に、環境内にあるすべてのエンドポイントへの適用に十分な数のクライアントライセンスがあることを確認して
ください。インストール数がライセンス数を上回っている場合は、アップグレードまたは移行前にデルのセールス担当者にお問い合
わせください。Dell Data Security がライセンスの検証を実行し、使用可能なライセンスがない場合にはアクティブ化は行われませ
ん。
環境
内で適用するために十分なライセンスがある。
DNS レコードは文書化されていますか?
ハ
ードウェアが変更されている場合、アップデート用に DNS レコードが文書化され、ステージングされている
かを検証します。
SSL 証明書の計画はありますか?
証明書の署名に使用でき、環境
内のすべてのワークステーションで信頼される社内認証機関(CA)がある、ま
たは VeriSign もしくは Entrust といったパブリック認証機関を使用して署名済み証明書を購入する計画があ
る。公的認証機関を使用している場合は、デルクライアントサービスのエンジニアにお知らせください。証明
書には、公開キーおよび秘密キーの署名が付いた Entire Chain of Trust (Root および Intermediate) が含まれてい
ます。
Certificate Request の Subject Alternate Names (SANs) が Dell Enterprise Server のインストールに使用されてい
るすべてのサーバーに付与されているすべての DNS エイリアスに一致します。Wildcard または Self Signed の
証明書の要求には適用されません。
証明書は .pfx 形式で生成されます。
準備チェックリスト - アップグレード / 移行 13
Change Control 要件を特定し、それをデルに伝えましたか?
インストール実施前に、Encryption または Endpoint Security Suite Enterprise のインストールに必要となるすべて
の具体的な Change Control 要件をデル クライアント サービスに提出してください。これらの要件には、アプ
リケーションサーバー、データベース、およびクライアントワークステーションへの変更が含まれる場合があり
ます。
テストハードウェアの準備は整っていますか?
テストに使用するため、少なくとも 3 台のコンピュータを会社のコンピューターイメージで準備してください。
デルは、実稼働コンピュータをテストに使用することをお勧めしません。実稼働コンピュータは、暗号化ポリ
シーが定義され、デル提供のテスト計画を使用したテストが行われた後の実稼働パイロット期間中に使用する
ようにしてください。
14 準備チェックリスト - アップグレード / 移行
アーキテクチャ
この項では、Dell Data Security の実装におけるアーキテクチャデザインの推奨に関する詳細を説明します。展開したい Dell Server
を選択してください。
• Security Management Server のアーキテクチャの設計
• Security Management Server Virtual のアーキテクチャの設計
Security Management Server Virtual のアーキテク
チャの設計
Encryption Enterprise および Endpoint Security Suite Enterprise ソリューションは非常に拡張性の高い製品であり、組織内の暗号化の
対象となるエンドポイントの数に基づいて拡張可能です。
アーキテクチャコンポーネント
以下は、Dell Security Management Server Virtual の基本的な導入です。
5
アーキテクチャ 15
ポート
以下の表は、各コンポーネントとその機能について説明しています。
名前
デフォルト
ポート
説明
Access Group Service TCP/
8006
さまざまな Dell Security 製品の各種の権
限とグループ アクセスを管理します。
16 アーキテクチャ
名前 デフォルト
ポート
説明
メモ: ポート 8006 は現在保護され
ていません。このポートがファイア
ウォールで適切にフィルタリングさ
れていることを確認してください。
このポートは内部専用です。
Compliance Reporter HTTP(S)/
8084
監査とコンプライアンスのレポートのた
めに、環境の詳細ビューを提供します。
メモ: ポート 8084 は、ファイアウ
ォールを介したフィルタリングが必
要です。このポートは内部でのみ使
用することをお勧めします。
管理コンソール HTTPS/
8443
企業全体での導入に対応する管理コンソ
ールとコントロールセンター。
Core Server HTTPS/
8887(ク
ローズ)
ポリシーフロー、ライセンス、起動前認
証の登録、SED Management、BitLocker
Manager、Threat Protection、Advanced
Threat Prevention を管理します。
Compliance Reporter および管理コンソー
ルが使用するインベントリデータを処理
します。認証データを収集し、保管しま
す。役割に基づいたアクセスを制御しま
す。
Core Server HA
(高可用性)
HTTPS/
8888
管理コンソール、Preboot Authentication、
SED Management、FDE、BitLocker
Manager、Threat Protection、Advanced
Threat Prevention による HTTPS 接続の
セキュリティおよびパフォーマンスの強
化を可能にする高可用性サービスです。
Security Server HTTPS/
8443
Policy Proxy との通信を行います。また、
フォレンジック キーの取得、クライアン
トのアクティベーション、SED-PBA およ
びフル ディスク暗号化-PBA の通信を管
理します。
Compatibility Server TCP/
1099 (閉鎖)
エンタープライズアーキテクチャを管理
するためのサービスです。アクティベー
ション中の初期インベントリデータおよ
び移行時のポリシーデータを収集、保管
します。ユーザーグループに基づいてデ
ータを処理します。
メモ: ポート 1099 は、ファイアウォ
ールを介したフィルタリングが必要
です。このポートは内部でのみ使用
することをお勧めします。
Message Broker サービス TCP/
61616(ク
ローズ)
および
STOMP/
デルサーバのサービス間の通信を処理し
ます。ポリシープロキシのキュー操作の
ために Compatibility Server によって作成
されるポリシー情報をステージします。
メモ: ポート 61616 は、ファイアウ
ォールを介したフィルタリングが必
アーキテクチャ 17
名前 デフォルト
ポート
説明
61613(閉
鎖、または
DMZ 用に
設定済みの
場合は
61613 が開
放)
要です。このポートは内部でのみ使
用することをお勧めします。
メモ: ポート 61613 は、フロントエン
ド モードで構成した Security
Management Server に対してのみ
開かれるようにする必要がありま
す。
Identity Server 8445(ク
ローズ)
SED Management の認証などのドメイン
認証要求を処理します。
Forensic Server HTTPS/
8448
適切な権限を持った管理者が、データの
ロック解除または復号化のタスクに使用
される暗号化キーを管理コンソールから
取得できるようにします。
Forensic API に必要です。
Inventory Server 8887 インベントリキューを処理します。
Policy Proxy TCP/
8000
セキュリティポリシーのアップデートと
インベントリのアップデートを配信する
ためのネットワークベースの通信パスを
提供します。
Encryption Enterprise(Windows および
Mac)に必要です。
PostGres TCP/
5432
イベンティング データ用に使用される
ローカル データベース。
メモ: ポート 5432 は、ファイアウォ
ールを介したフィルタリングが必要
です。このポートは内部でのみ使用
することをお勧めします。
LDAP 389/636、
3268/3269
RPC - 135、
49125+
ポート 389 - このポートはローカルドメ
インコントローラからの情報の要求に使
用されます。ポート 389 に送信される
LDAP 要求は、グローバルカタログのホー
ムドメイン内にあるオブジェクトの検索
にのみ使用できます。ただし、要求側の
アプリケーションは、これらのオブジェ
クトに対するすべての属性を取得できま
す。たとえば、ポート 389 への要求は、
ユーザーの部門を取得するために使用す
ることができます。
ポート 3268 - このポートは、特にグロー
バルカタログをターゲットとするクエリ
用に使用されます。ポート 3268 に送信
される LDAP 要求は、フォレスト全体で
のオブジェクトの検索に使用することが
できます。ただし、返されるのはグロー
バルカタログへのリプリケーション用に
マークされた属性のみです。たとえば、
ポート 3268 を使用してユーザーの部門
は返すことはできません。これは、この
属性がグローバルカタログに複製されな
いためです。
18 アーキテクチャ
名前 デフォルト
ポート
説明
クライアント認証 HTTPS/
8449
クライアントサーバがデルサーバを認証
できるようにします。
Server Encryption に必要です。
Security Management Server アーキテクチャの設
計
Encryption Enterprise および Endpoint Security Suite Enterprise ソリューションは非常に拡張性の高い製品であり、組織内の暗号化の
対象となるエンドポイントの数に基づいて拡張可能です。
アーキテクチャコンポーネント
以下に、ほとんどの環境に適した推奨ハードウェア構成を示します。
Security Management Server
• オペレーティング システム:Windows Server 2012 R2(Standard、Datacenter 64 ビット)、Windows Server 2016(Standard、
Datacenter 64 ビット)、Windows Server 2019(Standard、Datacenter)
• 仮想 / 物理マシン
• CPU:4 コア
• RAM:16.00 GB
• ドライブ C:ログおよびアプリケーションデータベース用に空きディスク容量 30 GB
メモ: PostgreSQL 内に保存されているローカルイベントデータベースで最大 10 GB を消費することがあります。
プロキシサーバー
• オペレーティング システム:Windows Server 2012 R2(Standard、Datacenter 64 ビット)、Windows Server 2016(Standard、
Datacenter 64 ビット)、Windows Server 2019(Standard、Datacenter)
• 仮想 / 物理マシン
• CPU:2 コア
• RAM:8.00 GB
• ドライブ C:ログ用に空きディスク容量 20 GB
SQL Server のハードウェア仕様
• CPU:4 コア
• RAM:24.00 GB
• データドライブ:空きディスク容量 100 ~ 150 GB(環境によって異なる)
• ログドライブ:空きディスク容量 50 GB(環境によって異なる)
メモ: ほとんどの環境で上記の情報が有効です。そうでない場合は、「SQL Server ベストプラクティス」を参照してくださ
い。
以下は、Dell Security Management Server の基本的な導入です。
アーキテクチャ 19
メモ: 組織に 20,000 を超えるエンドポイントがある場合は、Dell ProSupport に問い合わせてサポートを受けてください。
ポート
以下の表は、各コンポーネントとその機能について説明しています。
20 アーキテクチャ
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
-
1
-
2
-
3
-
4
-
5
-
6
-
7
-
8
-
9
-
10
-
11
-
12
-
13
-
14
-
15
-
16
-
17
-
18
-
19
-
20
-
21
-
22
-
23
-
24
-
25
関連論文
-
Dell Endpoint Security Suite Pro 取扱説明書
-
-
-
-
-
-
-
-
-