Dell Data Security. Guia de instalação avançada do Endpoint Security Suite Enterprise v1.7.2

(1)

Dell Data Security

Guia de instalação avançada do Endpoint Security Suite

Enterprise v1.7.2

(2)

Notas, avisos e advertências

NOTA: Uma NOTA indica informações importantes que ajudam a melhorar a utilização do produto.

AVISO: Um AVISO indica potenciais danos do hardware ou a perda de dados e explica como evitar o problema.

ADVERTÊNCIA: Uma ADVERTÊNCIA indica potenciais danos no equipamento, lesões pessoais ou mesmo morte.

Outras marcas comerciais podem pertencer aos seus respetivos proprietários.

Marcas comerciais e marcas comerciais registas utilizadas no Dell Encryption, Endpoint Security Suite Pro, Endpoint Security Suite Enterprise, e conjunto de aplicações de documentos Data Guardian: DellTM_{e o logótipo Dell, Dell Precision}TM_{, OptiPlex}TM_{, ControlVault}TM_,

LatitudeTM_{, XPS® e KACE}TM_{são marcas comerciais da Dell Inc. Cylance®, CylancePROTECT e o logótipo Cylance são marcas registadas}

da Cylance, Inc. nos EUA e noutros países. McAfee® e o logótipo da McAfee são marcas comerciais ou marcas comerciais registadas da McAfee, Inc. nos Estados Unidos e noutros países. Intel®, Pentium®, Intel Core Inside Duo®, Itanium® e Xeon® são marcas comerciais registadas da Intel Corporation nos EUA e noutros países. Adobe®, Acrobat®, e Flash® são marcas registadas da Adobe Systems Incorporated. Authen Tec® e Eikon® são marcas registadas da Authen Tec. AMD® é marca registada da Advanced Micro Devices, Inc. Microsoft®, Windows® and Windows Server®, Internet Explorer®, MS-DOS®, Windows Vista®, MSN®, ActiveX®, Active Directory®, Access®, ActiveSync®, BitLocker®, BitLocker To Go®, Excel®, Hyper-V®, Silverlight®, Outlook®, PowerPoint®, OneDrive®, SQL Server® e Visual C++® são marcas comerciais ou marcas registadas da Microsoft Corporation nos Estados Unidos e/ou noutros países. VMware® é marca registada ou marca comercial da VMware, Inc. nos Estados Unidos ou noutros países. Box® é marca registada da Box. DropboxSM é uma marca de serviço da Dropbox, Inc. GoogleTM_{, Android}TM_{, Google}TM_ChromeTM_{, Gmail}TM_{, YouTube® e Google}TM_{Play são}

marcas comerciais ou marcas comerciais registadas da Google Inc. nos Estados Unidos e noutros países. Apple®, Aperture®, App

StoreSM, Apple Remote DesktopTM_{, Apple TV®, Boot Camp}TM_{, FileVault}TM_{, iCloud®SM, iPad®, iPhone®, iPhoto®, iTunes Music Store®,}

Macintosh®, Safari® e Siri® são marcas de serviço, marcas comerciais ou marcas comerciais registadas da Apple, Inc. nos Estados Unidos e/ou noutros países. GO ID®, RSA® e SecurID® são marcas registadas da Dell EMC. EnCaseTM_{e Guidance Software® são marcas}

comerciais ou marcas comerciais registadas da Guidance Software. Entrust® é marca registada da Entrust®, Inc. nos Estados Unidos e noutros países. InstallShield® é marca registada da Flexera Software nos Estados Unidos, China, Comunidade Europeia, Hong Kong, Japão, Taiwan, e Reino Unido. Micron® e RealSSD® são marcas registadas da Micron Technology, Inc. nos Estados Unidos e noutros países. Mozilla® Firefox® é uma marca comercial registada da Mozilla Foundation nos Estados Unidos e/ou noutros países. iOS® é uma marca comercial ou marca comercial registada da Cisco Systems, Inc. nos Estados Unidos e outros países e é utilizada sob licença. Oracle® e Java® são marcas registadas da Oracle e/ou suas afiliadas. Os outros nomes podem ser marcas comerciais dos respetivos proprietários. SAMSUNGTM_{é uma marca comercial da SAMSUNG nos Estados Unidos ou noutros países. Seagate® é marca registada da Seagate}

Technology LLC nos Estados Unidos e/ou noutros países. Travelstar® é marca registada da HGST, Inc. nos Estados Unidos e noutros países. UNIX® é marca registada da The Open Group. VALIDITYTM_{é uma marca comercial da Validity Sensors, Inc. nos Estados Unidos e}

noutros países. VeriSign® e outras marcas similares são marcas comerciais ou marcas comerciais registadas da VeriSign, Inc. ou respetivas filiais ou subsidiárias nos Estados Unidos e noutros países e licenciadas à Symantec Corporation. KVM on IP® é marca registada da Video Products. Yahoo!® é marca registada da Yahoo! Inc. Este produto utiliza partes do programa 7-Zip. O código-fonte encontra-se disponível em 7-zip.org. O licenciamento é efetuado ao abrigo da licença GNU LGPL + restrições unRAR (7-zip.org/license.txt).

Guia de instalação avançada do Endpoint Security Suite Enterprise

2018 - 03 Rev. A01

(3)

Índice

1 Introdução... 7

Antes de começar... 7

Utilizar este guia... 7

Contacte o Dell ProSupport...8

2 Requisitos...9

Todos os clientes... 9

Todos os clientes - Pré-requisitos... 9

Todos os clientes - Hardware...10

Todos os clientes - Localização...10

Cliente Encryption... 10

Pré-requisitos do Encryption Client...11

Hardware do Encryption Client...11

Sistemas operativos do Encryption Client...11

Sistemas operativos do Encryption Client com ativação diferida...11

Sistemas operativos do Encryption External Media... 12

Full Disk Encryption... 12

Pré-requisitos do cliente da Full Disk Encryption...13

Hardware do cliente da Full Disk Encryption... 13

Sistemas operativos do cliente da Full Disk Encryption... 14

Server Encryption Client...14

Hardware do Server Encryption Client... 16

Sistemas operativos do Server Encryption Client... 16

Sistemas operativos do Encryption External Media... 16

Cliente Advanced Threat Prevention...17

Sistemas operativos do Advanced Threat Prevention... 17

Portas do Advanced Threat Prevention...18

Verificação da integridade de imagem do BIOS...18

Compatibilidade do Advanced Threat Prevention... 19

Client Firewall e Web Protection Client...21

Sistemas operativos de Client Firewall e Web Protection Client...21

Portas do Client Firewall e Web Protection Client...21

Cliente SED...22

Controladores OPAL... 23

Hardware do cliente SED... 23

Opções de autenticação com cliente SED...24

Teclados internacionais do cliente SEDLocalização do cliente SEDSistemas operativos do cliente SED... 25

Cliente Advanced Authentication...26

Hardware do Cliente Advanced Authentication... 26

Sistemas operativos do Cliente Advanced Authentication...27

Cliente BitLocker Manager...27

Hardware do cliente BitLocker Manager...28

Sistemas operativos do cliente BitLocker Manager...28

Dell Data Security Endpoint Security Suite Enterprise Índice

(4)

3 Definições de registo... 29

Definições de registo do Encryption Client...29

Definições de registo do cliente da Full Disk Encryption... 33

Definições de registo do cliente Advanced Threat Prevention...35

Definições de registo do cliente SED...36

Definições de registo do cliente BitLocker Manager... 38

4 Instalar utilizando o instalador principal... 39

Instalar interativamente utilizando o instalador principal...39

Instalar por linha de comandos utilizando o instalador principal...40

5 Desinstalar utilizando o instalador principal do Endpoint Security Suite Enterprise...43

Desinstalar o instalador principal do Endpoint Security Suite Enterprise...43

Desinstalação por linha de comando... 43

6 Instalar utilizando instaladores subordinados... 44

Instalar controladores... 45

Instalar o Encryption Client...45

Instalação com linha de comandos... 45

Instalar o cliente da Full Disk Encryption... 47

Instalação com linha de comandos... 47

Instalar o Server Encryption Client... 48

Instalar o Server Encryption interativamente... 49

Instalar o Server Encryption utilizando a linha de comandos... 50

Ativar o Server Encryption...52

Instalar o cliente Advanced Threat Prevention... 54

Instalação com linha de comandos... 54

Instalar Web Protection e Firewall... 55

Instalação com linha de comandos...55

Instalar a gestão SED e os clientes Advanced Authentication... 57

Instalação com linha de comandos... 58

Instalar o cliente BitLocker Manager... 58

Instalação com linha de comandos... 59

7 Desinstalar utilizando os instaladores subordinados... 60

Desinstalar os Web Protection e Firewall...61

Desinstalação por linha de comando... 61

Desinstalar o Advanced Threat Prevention... 61

Desinstalação por linha de comando... 61

Desinstalar os clientes SED e Advanced Authentication... 62

Processo... 62

Desativar a PBA... 62

Desinstale o cliente SED e clientes Advanced Authentication... 62

Desinstalar o Encryption e o Server Encryption Client... 63

Processo... 63

(5)

Desinstalar o cliente BitLocker Manager...65

Desinstalação por linha de comando... 65

8 Desinstalar com o Dell Data Security Uninstaller...66

Desinstalar Endpoint Security Suite Enterprise...66

9 Cenários normalmente utilizados... 67

Encryption Client, Advanced Threat Prevention e Advanced Authentication...68

Cliente SED (incluindo Advanced Authentication) e Encryption External Media... 69

BitLocker Manager e Encryption External Media... 69

BitLocker Manager e Advanced Threat Prevention...70

10 Configurar um Inquilino para o Advanced Threat Prevention... 71

Configurar um inquilino...71

11 Configurar a atualização automática do Advanced Threat Prevention... 72

12 Configuração da pré-instalação para UEFI SED e BitLocker Manager...73

Inicializar o TPM... 73

Configuração da pré-instalação para computadores UEFI...73

Ativar a ligação à rede durante a Autenticação do pré-arranque UEFI...73

Desativar ROMs de opção legadas... 74

Configuração da pré-instalação para configurar uma partição de PBA do BitLocker...74

13 Definir GPO no controlador do domínio para ativar as elegibilidades...75

14 Extrair os instaladores subordinados do instalador principal do Endpoint Security Suite Enterprise...76

15 Configurar o Key Server para desinstalação do Encryption Client ativado no Security Management

Server...77

Painel de Serviços - Adicionar utilizador da conta do domínio... 77

Ficheiro de configuração do Key Server - Adicionar utilizador para comunicação do Security Management

Server... 77

Exemplo de ficheiro de configuração...78

Painel de Serviços - Reiniciar o serviço Key Server...79

Remote Management Console - Adicionar administrador forense... 79

16 Utilizar o Administrative Download Utility (CMGAd)... 80

Utilize o Administrative Download Utility no Modo forense...80

Utilize o Administrative Download Utility no Modo de administrador... 81

17 Configurar o Server Encryption... 82

Ativar o Server Encryption...82

Personalizar a caixa de diálogo Início de sessão de Ativação... 82

Configurar políticas do Encryption External Media...83

Suspender uma instância de servidor encriptado... 83

18 Configurar a Ativação diferida... 85

Dell Data Security Endpoint Security Suite Enterprise Índice

(6)

Personalização da Ativação diferida... 85

Instalar o Encryption Client com Ativação diferida... 86

Ativar o Encryption Client com Ativação diferida... 86

Resolução de problemas da Ativação diferida... 86

Resolução de problemas da ativação... 86

19 Resolução de problemas...89

Todos os clientes - Resolução de problemas...89

Todos os clientes - Estado de Proteção...89

Resolução de problemas do Encryption e do Server Encryption Client...89

Atualização para o Windows 10 Creators Update... 89

Ativação num sistema operativo de servidor...90

(Opcional) Criar um ficheiro de registo do Encryption Removal Agent... 92

Encontrar versão do TSS...93

Interações de PCS e Encryption External Media... 93

Utilizar o WSScan... 93

Utilizar o WSProbe... 96

Verificar o estado do Encryption Removal Agent... 97

Resolução de problemas do cliente Advanced Threat Prevention...98

Encontrar o código do produto com o Windows PowerShell...98

Aprovisionamento e comunicação do agente do Advanced Threat Prevention... 98

Processo de verificação da integridade de imagem do BIOS... 100

Resolução de problemas do cliente SED... 101

Utilizar a política de Código de acesso inicial...101

Criar um ficheiro de registo de PBA para resolução de problemas... 102

Controladores do Dell ControlVault... 103

Atualização de controladores e firmware do Dell ControlVault... 103

Computadores UEFI...104

Resolução de problemas de ligação à rede...104

TPM e BitLocker... 105

Códigos de erro do TPM e BitLocker... 105

(7)

Introdução

Este guia explica como instalar e configurar o Advanced Threat Prevention, o o Encryption Client, o cliente SED Management, o Advanced Authentication e o BitLocker Manager.

Todas as informações sobre políticas e as respetivas descrições podem ser encontradas em AdminHelp.

Antes de começar

1 Instale o Security Management Server/Security Management Server Virtual antes de implementar os clientes. Localize o guia correto como mostrado abaixo, siga as instruções e, em seguida, volte a este guia.

• Guia de instalação e migração do Dell Security Management Server

• Guia de instalação e Guia de início rápido do Dell Security Management Server Virtual

Certifique-se de que as políticas foram definidas da forma pretendida. Navegue no AdminHelp, disponível através de ? no lado direito do ecrã. O AdminHelp é uma ajuda ao nível da página concebida para o ajudar a definir e modificar a política e a compreender as suas opções relativamente ao seu Security Management Server/Security Management Server Virtual.

2 Aprovisionar um inquilino para o Advanced Threat Prevention. Deve ser aprovisionado um inquilino no Dell Server antes da ativação da aplicação de políticas do Advanced Threat Prevention.

3 Leia atentamente o capítulo Requisitos deste documento. 4 Implemente os clientes para utilizadores finais.

Utilizar este guia

Utilize este guia pela seguinte ordem.

• Consulte Requisitos para obter informações sobre os pré-requisitos do cliente, hardware do computador e informações, limitações e modificações de registo especiais do software necessárias às funcionalidades.

• Se necessário, consulte Configuração da pré-instalação para UEFI SED e BitLocker.

• Se os seus clientes forem elegíveis para utilizar o Dell Digital Delivery (DDD), consulte Definir GPO no controlador do domínio para ativar elegibilidades.

• Se instalar clientes utilizando o instalador principal do Endpoint Security Suite Enterprise , consulte: – Instalar interativamente utilizando o instalador principal

ou

– Instalar por linha de comandos utilizando o instalador principal

• Se instalar clientes utilizando os instaladores subordinados, os ficheiros executáveis do instalador subordinado devem ser extraídos do instalador principal. Consulte Extrair os Instaladores Subordinados do Instalador Principal e, em seguida, regresse aqui.

– Instalar instaladores subordinados através da linha de comandos:

◦ Instalar controladores - Transfira os controladores e firmware adequados com base no seu hardware de autenticação.

◦ Instalar o Encryption Client - utilize estas instruções para instalar o Encryption Client, que é o componente que aplica a política de segurança, quer o computador esteja ligado à rede, desligado da rede, ou seja perdido ou roubado.

◦ Instalar o cliente Advanced Threat Prevention - utilize estas instruções para instalar o cliente Advanced Threat Prevention, que é uma proteção antivírus de última geração que utiliza ciência algorítmica e aprendizagem automática (machine learning) para identificar, classificar e evitar que as ameaças virtuais, conhecidas e desconhecidas, sejam executadas ou danifiquem endpoints.

1

Dell Data Security Endpoint Security Suite Enterprise Introdução

(8)

◦ Instalar o Web Protection e Firewall - utilize estas instruções para instalar as funcionalidades opcionais Web Protection e Firewall. O Client Firewall é uma firewall com monitorização de estado que verifica todo o tráfego de entrada e de saída com base na respetiva lista de regras. A Proteção Web monitoriza a navegação online e as transferências para identificar ameaças e implementar ações definidas pela política quando uma ameaça é detetada, com base em classificações para Web sites.

◦ Instalar os clientes de Gestão de SED e Advanced Authentication - utilize estas instruções para instalar software de encriptação para SED. Embora as SED forneçam a sua própria encriptação, carecem de uma plataforma para gerir a sua encriptação e políticas. Com a Gestão de SED, todas as políticas, o armazenamento e a recuperação de chaves de encriptação ficam disponíveis numa só consola, reduzindo o risco de os computadores ficarem desprotegidos em caso de perda de acesso ou acesso não autorizado.

O cliente Advanced Authentication gere vários métodos de autenticação, incluindo PBA para SED, Início de sessão único (SSO) e credenciais do utilizador, como impressões digitais e palavras-passe. Além disso, fornece recursos de Advanced Authentication para aceder a Web sites e aplicações.

◦ Instalar o cliente BitLocker Manager - utilize estas instruções para instalar o cliente BitLocker Manager, concebido para melhorar a segurança das implementações do BitLocker e para simplificar e reduzir o custo de propriedade.

NOTA:

A maioria dos instaladores subordinados pode ser instalado interativamente, mas as instalações não são descritas neste

guia. Contudo, o instalador subordinado do cliente Advanced Threat Prevention apenas pode ser instalado por linha de comandos.

• Consulte Cenários normalmente utilizados para obter scripts dos nossos cenários mais comuns.

Contacte o Dell ProSupport

Contacte o número 877-459-7304, extensão 4310039 para obter suporte telefónico permanente (24 x 7) para o seu produto Dell. Adicionalmente, o suporte online para os produtos Dell encontra-se disponível em dell.com/support. O suporte online inclui controladores, manuais, conselhos técnicos, FAQ e problemas emergentes.

Ajude-nos a garantir que o direcionamos rapidamente para o especialista técnico mais indicado para si tendo o seu Código de serviço ou Código de serviço expresso disponível quando nos contactar.

(9)

Requisitos

Todos os clientes

Estes requisitos aplicam-se a todos os clientes. Os requisitos indicados nas outras seções aplicam-se a clientes específicos.

• Durante a implementação, devem ser seguidas as melhores práticas de TI. Estas incluem, entre outras, ambientes de teste controlados para os testes iniciais e a implementação progressiva para os utilizadores.

• A conta de utilizador que realiza a instalação/atualização/desinstalação deve ser um utilizador administrador local ou de domínio, que poderá ser atribuído temporariamente por uma ferramenta de implementação, como o Microsoft SMS ou Dell KACE. Não são suportados utilizadores não administradores com privilégios elevados.

• Realize uma cópia de segurança de todos os dados importantes antes de iniciar a instalação/desinstalação. • Não realize alterações no computador, incluindo inserir ou remover unidades externas (USB) durante a instalação.

• Se os clientes do instalador principal estiverem autorizados a utilizar o Dell Digital Delivery (DDD), certifique-se de que a porta de saída 443 está disponível para comunicar com o Security Management Server/Security Management Server Virtual. A funcionalidade de elegibilidade não funcionará se a porta 443 estiver bloqueada (por qualquer motivo). O DDD não é utilizado se a instalação for efetuada utilizando os instaladores subordinados.

• Assegure-se de verificar periodicamente a página www.dell.com/support para procurar a documentação mais atual e Conselhos técnicos.

• _NOTA:_{A linha de produtos Dell Data Security não é compatível com as versões do Windows Insider Preview.}

Todos os clientes - Pré-requisitos

• O instalador principal instala os seguintes pré-requisitos se ainda não estiverem instalados no computador. Quando utilizar o instalador subordinado, é necessário instalar este componente antes de instalar o cliente Encryption.

Pré-requisito

– Visual C++ 2012 Update 4 ou Redistributable Package posterior (x86 e x64) – Visual C++ 2015 Update 3 ou Redistributable Package posterior (x86 e x64) O Visual C++ 2015 requer o Windows Update KB2999226, ao instalar no Windows 7.

É necessário o Microsoft .Net Framework 4.5.2 (ou posterior) para os clientes de instalador principal e de instalador subordinado do Endpoint Security Suite Enterprise . O instalador não instala o componente Microsoft .Net Framework.

Para verificar a versão instalada do Microsoft .Net, siga estas instruções no computador onde pretende efetuar a instalação: http:// msdn.microsoft.com/en-us/library/hh925568(v=vs.110).aspx. Para instalar o Microsoft .Net Framework 4.5.2, aceda a https:// www.microsoft.com/en-us/download/details.aspx?id=42643.

• Os controladores e firmware do ControlVault, leitores de impressão digital e smart cards (conforme abaixo ilustrado) não estão incluídos nos ficheiros executáveis do instalador principal ou do instalador subordinado do Endpoint Security Suite Enterprise . Os controladores e firmware têm de ser mantidos atualizados e podem ser transferidos a partir de http://www.dell.com/support e selecionando o seu modelo de computador. Transfira os controladores e firmware adequados com base no seu hardware de autenticação.

– ControlVault

– NEXT Biometrics Fingerprint Driver – Validity FingerPrint Reader 495 Driver

2

Dell Data Security Endpoint Security Suite Enterprise Requisitos

(10)

– O2Micro Smart Card Driver

Se estiver a realizar a instalação em hardware não Dell, transfira os controladores e firmware atualizados a partir do Web site do fornecedor correspondente. As instruções de instalação dos controladores do ControlVault estão disponíveis em Atualizar firmware e controladores do Dell ControlVault.

Todos os clientes - Hardware

• A tabela seguinte apresenta o hardware de computador mínimo suportado. Hardware

– Processador Intel Pentium ou AMD – 500 MB de espaço livre em disco – 2 GB de RAM

NOTA: É necessário espaço livre em disco adicional para encriptar os ficheiros no ponto final. Este tamanho varia de acordo com as políticas e do tamanho da unidade.

Todos os clientes - Localização

• Os clientes Encryption, Advanced Threat Prevention e BitLocker Manager estão em conformidade com a norma MUI (Multilingual User Interface - Interface de utilizador multilíngue) e estão localizados nos seguintes idiomas. O Full Disk Encryption só é suportado com sistemas operativos em inglês. Os dados do Advanced Threat Prevention apresentados na Remote Management Console apenas estão disponíveis em inglês.

Suporte de idiomas

– EN - Inglês – JA - Japonês – ES - Espanhol – KO - Coreano

– FR - Francês – PT-BR - Português, Brasil

– IT - Italiano – PT-PT - Português, Portugal (Ibérico) – DE - Alemão

Cliente Encryption

• O computador cliente deve ter conectividade de rede para ativar.

• Para reduzir o tempo de encriptação inicial, execute o Assistente de limpeza de disco do Windows para remover ficheiros temporários e quaisquer outros dados desnecessários.

• Desative o modo de suspensão durante o varrimento de encriptação inicial para impedir a suspensão do computador caso este se encontre sem supervisão. A encriptação não é possível num computador em suspensão (tal como não é possível a desencriptação). • O cliente Encryption não suporta configurações de duplo arranque, uma vez que é possível encriptar ficheiros de sistema do outro

sistema operativo, o que poderia interferir com o respetivo funcionamento.

• O cliente Encryption agora suporta o modo Audit. O modo Audit permite que os administradores implementem o cliente Encryption como parte da imagem corporativa, em vez de usar um SCCM de terceiros ou uma solução similar para implementar o cliente Encryption. Para instruções sobre como instalar o cliente Encryption numa imagem corporativa, consulte http://www.dell.com/ support/article/us/en/19/SLN304039.

• O cliente Encryption foi sujeito a testes e é compatível com McAfee, com o cliente Symantec, Kaspersky e MalwareBytes. Existem exclusões implementadas para estes fornecedores de produtos anti-vírus, para evitar incompatibilidades entre a monitorização anti-vírus e a encriptação. O cliente Encryption foi também testado com o Microsoft Enhanced Mitigation Experience Toolkit.

(11)

Se a sua organização utilizar um antivírus de um fornecedor não indicado na lista, consulte http://www.dell.com/support/ article/us/en/19/SLN288353/ ou contacte o Dell ProSupport para obter assistência.

• O TPM é utilizado para selar o GPK. Assim, se o cliente Encryption Client for executado, limpe o TPM no BIOS antes de proceder à instalação de um novo sistema operativo no computador cliente.

• Não são suportadas reinstalações do sistema operativo. Para realizar a reinstalação do sistema operativo, faça uma cópia de segurança do computador em questão, realize a limpeza do computador, instale o sistema operativo e, em seguida, realize a recuperação dos dados encriptados seguindo os procedimentos de recuperação estabelecidos.

Pré-requisitos do Encryption Client

Hardware do Encryption Client

• A tabela seguinte indica o hardware suportado. Hardware opcional incorporado

– TPM 1.2 ou 2.0

Sistemas operativos do Encryption Client

• A tabela seguinte apresenta os sistemas operativos suportados. Sistemas operativos Windows (32 e 64 bits)

– Windows 7 SP0-SP1: Enterprise, Professional, Ultimate

– Windows Embedded Standard 7 com modelo de Compatibilidade entre Aplicações (a encriptação do hardware não é suportada) – Windows 8: Enterprise, Pro

– Windows 8.1 Atualização 0-1: Enterprise Edition, Pro Edition

– Windows Embedded 8.1 Industry Enterprise (a encriptação do hardware não é suportada)

– Windows 10: Home, Education, Enterprise, Pro Version 1607 (Atualização de Aniversário/Redstone 1) até à versão 1709 (Fall Creators Update/Redstone 3)

– VMware Workstation 5.5 e posterior

NOTA:

Ao utilizar o modo UEFI, a política de hibernação segura não é suportada.

Sistemas operativos do Encryption Client com ativação

diferida

• A ativação diferida permite que a conta de utilizador do Active Directory utilizada durante a ativação seja independente da conta utilizada para iniciar sessão no endpoint. Em vez de o fornecedor de serviços de rede capturar as informações de autenticação, o utilizador especifica a conta baseada no Active Directory manualmente quando solicitado. Depois de serem introduzidas as credenciais, a informação de autenticação é enviada de uma forma segura para o Dell Server que a valida relativamente aos domínios do Active Directory configurados. Para obter mais informações, consulte http://www.dell.com/support/article/us/en/19/sln306341.

• A tabela seguinte apresenta os sistemas operativos suportados com ativação diferida. Sistemas operativos Windows (32 e 64 bits)

– Windows 7 SP0-SP1: Home Basic, Home Premium, Enterprise, Professional, Ultimate

(12)

Sistemas operativos Windows (32 e 64 bits)

– Windows Embedded Standard 7 com modelo de Compatibilidade entre Aplicações (a encriptação do hardware não é suportada) – Windows 8: Home Basic, Home Premium, Enterprise, Pro

– VMware Workstation 5.5 e posterior

Sistemas operativos do Encryption External Media

• A tabela seguinte indica os sistemas operativos compatíveis ao aceder a suportes de dados protegidos pelo Encryption External Media.

NOTA:

O suporte de dados externo tem de ter aproximadamente 55 MB disponíveis, bem como espaço livre no suporte de dados igual ao maior ficheiro a encriptar para alojar o Encryption External Media.

Sistemas operativos Windows compatíveis para aceder a suportes de dados protegidos pelo Encryption External Media (32 e 64 bits)

– Windows 7 SP0-SP1: Home Basic, Home Premium, Enterprise, Professional, Ultimate

– Windows Embedded Standard 7 com modelo de Compatibilidade entre Aplicações (a encriptação do hardware não é suportada) – Windows 8: Home Basic, Home Premium, Enterprise, Pro

Sistemas operativos Mac compatíveis para aceder a suportes de dados protegidos pelo Encryption External Media (kernels de 64 bits)

– Mac OS X El Capitan 10.11.6 – macOS Sierra 10.12.6

– macOS High Sierra 10.13.2 – 10.13.3

Full Disk Encryption

• A Full Disk Encryption requer ativação num Dell Server de versão v9.8.2 ou posterior. • A Full Disk Encryption requer o modo de arranque UEFI.

• As encriptações FDE de configurações de várias unidades não são suportadas.

• O computador cliente deve ter conectividade de rede ou um código de acesso para ativar.

• As atualizações de funcionalidades do sistema operativo não são suportadas com o Full Disk Encryption. • É necessária uma ligação com fios para que a PBA comunique com o Dell Server.

• Não pode estar presente um SED no computador de destino.

• A Full Disk Encryption não é compatível com o cliente de Encriptação nesta versão. Não instale a Full Disk Encryption num computador que tenha o cliente de Encriptação instalado.

• A Full Disk Encryption não é compatível com o BitLocker ou o BitLocker Manager. Não instale a Full Disk Encryption num computador que tenha o BitLocker ou o BitLocker Manager instalado.

• Qualquer unidade NVMe que esteja a ser utilizada para PBA - O modo de funcionamento SATA do BIOS tem de ser definido para RAID ON, uma vez que a gestão de PBA da Dell não é compatível com AHCI nas unidades NVMe.

• Qualquer unidade NVMe que esteja a ser utilizada para PBA - O modo de arranque do BIOS tem de ser UEFI e as ROM de opção de legado têm de estar desativadas.

(13)

• Qualquer unidade não-NVMe que esteja a ser utilizada para PBA - O modo de funcionamento SATA do BIOS tem de ser definido para AHCI, uma vez que a gestão de PBA da Dell não é compatível com o RAID nas unidades não-NVMe.

– O modo RAID ligado não é suportado, porque o acesso de leitura e escrita de dados relacionados com RAID (num setor que não esteja disponível numa unidade não-NVMe bloqueada) não está acessível durante o arranque e não poderá aguardar para ler estes dados até o utilizador ter iniciado sessão.

– O sistema operativo falhará quando alterado de RAID ligado > AHCI, se os controladores do AHCI não estiverem pré-instalados. Para obter instruções sobre como alterar de RAID > AHCI (ou vice-versa), consulte http://www.dell.com/support/article/us/en/19/ SLN306460.

A Dell recomenda a versão 15.2.0.0 ou posterior do controlador Intel Rapid Storage Technology, com unidades NVMe. • Desative o modo de suspensão durante o varrimento de encriptação inicial para impedir a suspensão do computador caso este se

encontre sem supervisão. A encriptação não é possível num computador em suspensão (tal como não é possível a desencriptação). • O cliente da Full Disk Encryption não é compatível com configurações de duplo arranque, uma vez que é possível encriptar ficheiros de

sistema do outro sistema operativo, o que poderia interferir com o respetivo funcionamento.

• Não são suportadas reinstalações do sistema operativo. Para realizar a reinstalação do sistema operativo, faça uma cópia de segurança do computador em questão, realize a limpeza do computador, instale o sistema operativo e, em seguida, realize a recuperação dos dados encriptados seguindo os procedimentos de recuperação estabelecidos.

• Não é suportada a atualização do sistema operativo no local com a Full Disk Encryption instalada. Desinstale e desencripte o cliente da Full Disk Encryption, atualize para o novo sistema operativo e, em seguida, reinstale o cliente da Full Disk Encryption.

NOTA: A Full Disk Encryption deve ser configurada com os algoritmos de encriptação definidos como AES 256 e o modo de encriptação definido como CBC.

Pré-requisitos do cliente da Full Disk Encryption

• É necessário o Microsoft .Net Framework 4.5.2 (ou posterior) O instalador não instala o componente Microsoft .Net Framework. Para verificar a versão instalada do Microsoft .Net, siga estas instruções no computador onde pretende efetuar a instalação: http:// msdn.microsoft.com/en-us/library/hh925568(v=vs.110).aspx. Para instalar o Microsoft .Net Framework 4.5.2, aceda a https:// www.microsoft.com/en-us/download/details.aspx?id=42643.

Hardware do cliente da Full Disk Encryption

– TPM 1.2 ou 2.0

Modelos de computador Dell suportados com UEFI

• A tabela seguinte apresenta os modelos de computadores Dell compatíveis com UEFI. Modelos de computador Dell - Suporte para UEFI

– Latitude 5280 – Latitude 5480 – Latitude 5580 – Latitude 7370 – Latitude 7380 – Latitude E5250 – Latitude E5270 – Latitude E5285 – Precision M3510 – Precision M3520 – Precision M4800 – Precision M5510 – Precision M5520 – Precision M6800 – Precision M7510 – Precision M7520 – Optiplex 3040 Micro, minitorre, fator de forma reduzido

– Optiplex 3046

– OptiPlex 3050 All-In-One – OptiPlex 3050 Tower, fator

de forma reduzido, Micro – Optiplex 5040 minitorre, fator de forma reduzido

– Venue Pro 11 (Modelos 5175/5179)

– Venue Pro 11 (Modelo 7139)

(14)

Modelos de computador Dell - Suporte para UEFI – Latitude E5289 2-em-1

– Latitude E5450 – Latitude E5470 – Latitude E5550 – Latitude E5570 – Latitude E6440 – Latitude E6540 – Latitude E7240 – Latitude E7250 – Latitude E7270 – Latitude E7280 – Latitude E7350 – Latitude 7389 2-em-1 – Latitude E7440 – Latitude E7450 – Latitude E7470 – Latitude E7480

– Latitude 12 Rugged Extreme (modelo 7414)

– Latitude 12 Rugged Tablet (Modelo 7202)

– Latitude 7212 Rugged Extreme Tablet

– Latitude 14 Rugged (modelo 5414) – Precision M7710 – Precision M7720 – Precision D5720 All-in-One – Precision T1700 – Precision T3420 – Precision T3620 – Precision T5810 – Precision T7810 – Precision T7910 – XPS 13 9333 – XPS 13 9350 – XPS 15 9550 – XPS 15 9560

– OptiPlex 5050 Tower, fator de forma reduzido, Micro – OptiPlex 7020

– Optiplex 7040 Micro, minitorre, fator de forma reduzido

– OptiPlex 7050 Tower, fator de forma reduzido, Micro – Optiplex 3240 All-In-One – Optiplex 5055 Ryzen CPU – OptiPlex 5250 All-In-One – Precision 5820 Tower – Optiplex 7010 – Optiplex 7440 All-In-One – OptiPlex 7450 All-In-One – Precision 7820 Tower – Precision 7920 Rack – Optiplex 9010 – Optiplex 9020 Micro,

minitorre, fator de forma reduzido

– Optiplex 9020 All-in-One – Optiplex 9030 All-in-One – Optiplex XE2

Sistemas operativos do cliente da Full Disk Encryption

• A tabela seguinte apresenta os sistemas operativos suportados. Sistemas operativos Windows (64 bits)

– Windows 10: Education, Enterprise, Pro Versão 1607 (Atualização de Aniversário/Redstone 1) até à versão 1709 (Fall Creators Update/Redstone 3)

Server Encryption Client

O Server Encryption destina-se a ser utilizado em computadores no modo de servidor, principalmente os servidores de ficheiros. • O Server Encryption apenas é compatível com o Encryption Enterprise e com o Endpoint Security Suite Enterprise.

• O Server Encryption oferece o seguinte: – A encriptação do software

– Encriptação do armazenamento amovível – Controlo de portas

(15)

NOTA:

O servidor terá de suportar controlo de portas.

As políticas de Sistema de Controlo de Portas afetam os suportes de dados amovíveis em servidores protegidos, por exemplo, controlando o acesso e a utilização das portas USB do servidor por parte dos dispositivos USB. A política da porta USB aplica-se às portas USB externas. A funcionalidade das portas USB internas não é afetada pela política de portas USB. No caso de a política de portas USB ser desativada, o teclado e rato do cliente USB não irá funcionar e o utilizador não será capaz de utilizar o computador, salvo se, antes da aplicação da política, for estabelecida uma Ligação ao Ambiente de Trabalho Remoto.

O Server Encryption destina-se a ser utilizado em: • Servidores de ficheiros com unidades de disco locais

• Convidados de Máquina Virtual (VM) com sistema operativo de Servidor ou um sistema operativo que não seja de Servidor funcionando simplesmente como servidor de ficheiros

• Configurações suportadas:

– Servidores equipados com unidades RAID 5 ou 10; RAID 0 (repartição) e RAID 1 (espelhamento) são suportados de forma independente um do outro.

– Servidores equipados com unidades Multi TB RAID

– Servidores equipados com unidades que possam ser substituídas sem ter de desligar o computador

– O Server Encryption foi sujeito a testes e é compatível com clientes McAfee VirusScan, Symantec, Kaspersky Anti-Virus e MalwareBytes Anti-Malware. Existem exclusões pré-programadas para estes fornecedores de antivírus, por forma evitar incompatibilidades entre a deteção de vírus e a encriptação. Se a sua organização utilizar um antivírus de um fornecedor não indicado na lista, consulte o artigo KB SLN298707 ou contacte o Dell ProSupport para obter assistência.

Não Suportado

O Server Encryption não se destina a ser utilizado em:

• Dell Servers ou servidores com bases de dados em execução para o Dell Server

• O Server Encryption não é compatível com o Encryption Personal ou Advanced Authentication. • O Server Encryption não é suportado com o cliente SED Management ou BitLocker Manager.

• O Server Encryption não é suportado em servidores que fazem parte de sistemas de ficheiros distribuídos (DFS).

• A migração para ou a partir do Server Encryption não é suportada. As atualizações do Encryption External Media para o Server Encryption requerem a desinstalação completa do produto ou produtos anteriores antes de instalar o Server Encryption. • Anfitriões VM (Uma VM contém, tipicamente, múltiplos convidados VM.)

• Controladores de Domínio • Servidores Exchange

• Servidores que alberguem bases de dados (SQL, Sybase, SharePoint, Oracle, MySQL, Exchange, etc.) • Servidores que façam uso de qualquer uma das seguintes tecnologias:

– Sistemas de ficheiros resilientes – Sistemas de ficheiros fluidos

– Espaços de armazenamento Microsoft

– Soluções de armazenamento de rede SAN/NAS – Dispositivos conectados por iSCSI

– Software de eliminação de duplicados – Eliminação de duplicados de hardware

– RAIDs divididos (múltiplos volumes num único RAID) – Unidades SED (RAIDs e Não-RAID)

– Início de sessão automático (Windows OS 7, 8/8.1) para quiosques – Início de sessão automático (Windows OS 7, 8/8.1) para quiosques

• O Server Encryption não suporta configurações de duplo arranque, uma vez que é possível encriptar ficheiros de sistema do outro sistema operativo, o que poderia interferir com o respetivo funcionamento.

(16)

• A atualização de sistema operativo no local não é suportada pelo Server Encryption. Para atualizar o seu sistema operativo, desinstale e desencripte o Server Encryption, atualize para o novo sistema operativo e, em seguida, instale novamente o Server Encryption.

Além disso, não são suportadas reinstalações do sistema operativo. Se pretender reinstalar o sistema operativo, efetue uma cópia de segurança do computador de destino, limpe o computador, instale o sistema operativo e, em seguida, execute a recuperação dos dados encriptados seguindo os procedimentos de recuperação. Para obter mais informações sobre a recuperação de dados encriptados, consulte o Guia de recuperação.

Hardware do Server Encryption Client

Os requisitos mínimos de hardware necessitam atender as especificações mínimas do sistema operativo.

Sistemas operativos do Server Encryption Client

A tabela seguinte apresenta os sistemas operativos suportados. Sistemas operativos (32 e 64 bits)

• Windows 7 SP0-SP1: Home, Enterprise, Professional, Ultimate • Windows 8.0: Enterprise, Pro

• Windows 8.1 - Windows 8.1 Update 1: Enterprise Edition, Pro Edition

• Windows 10: Education, Enterprise, Pro Versão 1607 (Atualização de Aniversário/Redstone 1) até à versão 1709 (Fall Creators Update/Redstone 3)

Sistemas Operativo de Servidor Suportados

• Windows Server 2008 R2 SP1: Standard Edition, Datacenter Edition, Enterprise Edition, Webserver Edition • Windows Server 2012: Standard Edition, Essentials Edition, Datacenter Edition (o Server Core não é suportado) • Windows Server 2012 R2: Standard Edition, Essentials Edition, Datacenter Edition (o Server Core não é suportado) • Windows Server 2016: Standard Edition, Essentials Edition, Datacenter Edition (o Server Core não é suportado)

Sistemas operativos suportados com modo UEFI • Windows 8: Enterprise, Pro

• Windows 8.1 - Windows 8.1 Update 1: Enterprise Edition, Pro Edition

NOTA:

Num computador compatível com UEFI, depois de selecionar Reiniciar no menu principal, o computador reinicia-se e apresenta um de dois ecrãs de início de sessão possíveis. O ecrã de início de sessão que aparece é determinado por diferenças na arquitetura da plataforma do computador.

Sistemas operativos do Encryption External Media

(17)

NOTA:

O suporte de dados externo tem de ter aproximadamente 55 MB disponíveis, bem como espaço livre no suporte de dados igual ao maior ficheiro a encriptar para alojar o Encryption External Media.

NOTA:

O Windows XP é suportado apenas quando se utiliza o Encryption External Media Explorer.

Sistemas operativos Windows compatíveis para aceder a suportes de dados protegidos pelo Encryption External Media (32 e 64 bits)

• Windows 7 SP0-SP1: Enterprise, Professional, Ultimate, Home Premium • Windows 8: Enterprise, Pro, Consumer

• Windows 8.1 Atualização 0-1: Enterprise Edition, Pro Edition

Sistemas Operativo de Servidor Suportados • Windows Server 2012 R2

Sistemas operativos Mac compatíveis para aceder a suportes de dados protegidos pelo Encryption External Media (kernels de 64 bits)

• OS X El Capitan 10.11.6 • macOS Sierra 10.12.6

• macOS High Sierra 10.13.2 – 10.13.3

Cliente Advanced Threat Prevention

• Para concluir a instalação do Advanced Threat Prevention, quando o Security Management Server/Security Management Server Virtual que gere o cliente estiver em execução no Modo ligado (predefinido), o computador tem de estar ligado à rede. No entanto, não

é necessário haver ligação à rede durante a instalação do Advanced Threat Prevention quando o Dell Server que gere está em execução no Modo desligado.

• Para configurar um inquilino para o Advanced Threat Prevention, o Dell Server tem de estar ligado à Internet.

NOTA: Não é necessário haver ligação à Internet quando o Dell Server está em execução no Modo desligado

• As funcionalidades opcionais do Client Firewall e Web Protection não devem ser instaladas nos computadores cliente que são geridos pelo Security Management Server/Security Management Server Virtual em execução no Modo desligado.

• As aplicações de antivírus, antimalware e antispyware de outros fabricantes podem entrar em conflito com o cliente Advanced Threat Prevention. Desinstale estas aplicações, se possível. O software passível de originar conflitos não inclui o Windows Defender. São permitidas aplicações de firewall.

Se não for possível desinstalar outras aplicações de antivírus, antimalware e antispyware, tem de adicionar exclusões ao Advanced Threat Prevention no Dell Server e às outras aplicações. Para obter instruções sobre como adicionar exclusões ao Advanced Threat Prevention no Dell Server, consulte http://www.dell.com/support/article/us/en/04/SLN300970. Para obter uma lista de exclusões a adicionar às outras aplicações de antivírus, consulte http://www.dell.com/support/article/us/en/19/SLN301134.

Sistemas operativos do Advanced Threat Prevention

– Windows 7 SP0-SP1: Enterprise, Professional, Ultimate

(18)

Sistemas operativos Windows (32 e 64 bits) – Windows 8: Enterprise, Pro

– Windows Server 2008 R2 – Windows Server 2012 R2 – Windows Server 2016

Portas do Advanced Threat Prevention

• Os agentes do Advanced Threat Prevention são geridos por e informam a plataforma SaaS da consola de gestão. A porta 443 (https) é utilizada para comunicação e deve estar aberta na firewall para que os agentes comuniquem com a consola. A consola é alojada por Amazon Web Services e não tem quaisquer IP fixos. Se, por qualquer motivo, a porta 443 estiver bloqueada, não é possível transferir as atualizações, pelo que os computadores poderão não dispor da proteção mais recente. Certifique-se de que os computadores cliente conseguem aceder aos URL, da seguinte forma.

Utilizar Protocolo de

aplicação Protocolo de transporte Número da porta Destino Direção Todas as

comunicações HTTPS TCP 443 Todo o tráfego https para *.cylance.com Porta de saída Para obter informações detalhadas sobre os URL que estão a ser utilizados, consulte: http://www.dell.com/support/article/us/en/19/ SLN303898

Verificação da integridade de imagem do BIOS

Se a política Ativar garantia do BIOS for selecionada na Remote Management Console, o inquilino Cylance valida o hash do BIOS nos sistemas de utilizador final para assegurar que o BIOS não foi modificado em relação à versão de fábrica da Dell, que é um possível vetor de ataques. Se for detetada uma ameaça, é transmitida uma notificação para o Dell Server e o administrador de TI é alertado na Remote Management Console. Para uma descrição geral do processo, consulte Processo de verificação da integridade de imagem do BIOS.

NOTA: Não é possível utilizar uma imagem de fábrica personalizada com esta funcionalidade, uma vez que o BIOS foi modificado. Modelos de computador Dell suportados pela Verificação da integridade de imagem do BIOS

• Latitude 3470 • Latitude 3570 • Latitude 7275 • Latitude 7370 • Latitude E5270 • Latitude E5470 • Latitude E5570 • Latitude E7270 • Latitude E7470 • Latitude Rugged 5414 • Latitude Rugged 7214 Extreme • Latitude Rugged 7414 • OptiPlex 3040 • OptiPlex 3240 • OptiPlex 5040 • OptiPlex 7040 • OptiPlex 7440

• Estação de trabalho móvel Precision 3510 • Estação de trabalho móvel Precision 5510 • Estação de trabalho Precision 3620 • Estação de trabalho Precision 7510 • Estação de trabalho Precision 7710 • Estação de trabalho Precision T3420 • Venue 10 Pro 5056

• Venue Pro 5855 • XPS 12 9250 • XPS 13 9350 • XPS 9550

(19)

Compatibilidade do Advanced Threat Prevention

A tabela que se segue detalha a compatibilidade do Advanced Threat Prevention com Windows, Mac e Linux. n/a - a tecnologia não se aplica a esta plataforma.

Campo em branco – a política não é suportada com o Endpoint Security Suite Enterprise. Funcionalida

des Políticas Windows macOS Linux Ações do ficheiro Quarentena automática (não seguro) x x x Quarentena automática (anormal) x x x Carregamento automático x x x Lista segura de políticas x x x Ações da memória

Proteção de memória x x x Exploração

Stack Pivot x x x Proteção de pilha x x x Substituir código x n/a

Scraping de RAM x n/a Payload malicioso x Injeção de processo Alocação remota de memória x x n/a Mapeamento remoto de memória x x n/a

Escrita remota na memória x x n/a PE de Escrita remota para

memória x n/a n/a Substituir código remoto x n/a

Anular mapeamento de memória remoto

x n/a

Criação de threads remota x x

APC remoto agendado x n/a n/a

Injeção DYLD x x

Escalamento

(20)

Funcionalida

des Políticas Windows macOS Linux Leitura de LSASS x n/a n/a Alocação zero x x Definições de proteção Controlo de execução x x x Impedir o encerramento do serviço a partir do dispositivo x x

Termine processos não seguros em execução e respetivos subprocessos x x x Deteção de ameaças em segundo plano x x x

Monitorizar para ver se há novos ficheiros x x x Tamanho máximo de ficheiro de arquivo a verificar x x x

Excluir pastas específicas x x x Copiar amostras de ficheiros x Controlo da aplicação Alterar janela x x Exclusões de pastas x Definições do agente Ativar o carregamento automático de ficheiros de registo x x x Ativar notificações do ambiente de trabalho x Controlo de script Script ativo x Powershell x

Macros do Office x n/a Bloquear a utilização da

Consola da Powershell x Aprovar scripts nestas pastas (e subpastas):

x Nível de registo x Nível de autoproteção x Atualização automática x

(21)

Funcionalida

des Políticas Windows macOS Linux Executar uma deteção (a

partir da IU do Agent) x Eliminar ficheiros em quarentena (IU do Agent UI e IU do Console) x Modo Desligado x x Dados detalhados da ameaça x Lista segura de certificados x x n/a Copiar amostras de malware x x x Definições de proxy x x x Verificar política manualmente (IU do Agent) x x

Client Firewall e Web Protection Client

• Para instalar o Client Firewall e o Web Protection com êxito, o computador deve ter ligação à rede.

• Antes de instalar o Client Firewall e o Web Protection Client, elimine as aplicações antivírus, antimalware, anti-spyware e de firewall de outros fornecedores para evitar falhas na instalação. O software passível de originar conflitos não inclui o Windows Defender e o Endpoint Security Suite Enterprise.

• A funcionalidade de Proteção Web é suportada apenas no Internet Explorer.

Sistemas operativos de Client Firewall e Web Protection Client

– Windows 7 SP0-SP1: Enterprise, Professional, Ultimate – Windows 8: Enterprise, Pro

– Windows 10: Home, Education, Enterprise, Pro Version 1607 (Atualização de Aniversário/Redstone 1) até à versão 1703 (Creators Update/Redstone 2)

Portas do Client Firewall e Web Protection Client

• Para se certificar de que o Client Firewall e o Web Protection Client recebem as mais recentes atualizações do Client Firewall e Web Protection, as portas 443 e 80 devem estar disponíveis para comunicar com os vários servidores de destino. Se, por qualquer motivo, as portas estiverem bloqueadas, as atualizações da assinatura antivírus (ficheiros DAT) não poderão ser transferidas, pelo que os computadores poderão não dispor da proteção mais recente. Certifique-se de que os computadores cliente conseguem aceder aos URL, da seguinte forma.

(22)

Utilizar Protocolo de aplicação Protocolo de transport e Número da

porta Destino Direção Notas

Serviço de

reputação SSL TCP 443 tunnel.web.trustedsource.org Porta de saída Feedback do serviço de reputação SSL TCP 443 gtifeedback.trustedsource.or g Porta de saída Atualização da base de dados de reputação de URL HTTP TCP 80 list.smartfilter.com Porta de saída Pesquisa de

reputação do URL SSL TCP 443 tunnel.web.trustedsource.org Porta de saída

Cliente SED

• Para instalar a gestão SED com êxito, o computador deve possuir uma ligação à rede com fios. • O IPv6 não é suportado.

• O SED Manager não é suportado com configurações de várias unidades.

• Prepare-se para encerrar e reiniciar o computador após aplicar as políticas e quando estiver pronto para começar a implementá-las. • Os computadores equipados com unidades de encriptação automática não podem ser utilizados com placas HCA. Existem

incompatibilidades que impedem o aprovisionamento do HCA. A Dell não vende computadores com unidades de encriptação automática compatíveis com o módulo HCA. Esta configuração não suportada seria uma configuração pós-venda.

• Se o computador destinado à encriptação estiver equipado com uma unidade de encriptação automática, certifique-se de que a opção do Active Directory, O utilizador deve alterar a palavra-passe no próximo início de sessão, está desativada. A Autenticação de pré-arranque não suporta esta opção do Active Directory.

• A Dell recomenda que não mude o método de autenticação depois de a PBA ter sido ativada. Se for necessário mudar para um método de autenticação diferente, deve:

– Elimine todos os utilizadores da PBA. ou

– Desative a PBA, altere o método de autenticação e, em seguida, volte a ativar a PBA.

IMPORTANTE:

Devido à natureza do RAID e SED, a gestão de SED não suporta RAID. O problema de RAID=On nas SED é que o RAID necessita de acesso ao disco para ler e gravar dados relacionados com o RAID num setor elevado não disponível numa SED bloqueada desde o arranque, e não pode esperar até o utilizador iniciar sessão para ler estes dados. Para solucionar este problema, altere a operação SATA no BIOS de RAID=On para AHCI. Se o sistema operativo não incluir controladores AHCI pré-instalados, o sistema operativo irá apresentar um ecrã azul quando alterar de RAID=On to AHCI.

• A configuração de unidades de encriptação automática para o SED Management da Dell difere entre unidades NVMe e não-NVMe (SATA), conforme se segue.

– Qualquer unidade NVMe que esteja a ser utilizada como SED - O modo de funcionamento SATA do BIOS tem de ser definido para RAID ligado, uma vez que o SED Management da Dell não suporta o AHCI em unidades NVMe.

– Qualquer unidade NVMe que esteja a ser utilizada como SED - O modo de arranque do BIOS tem de ser UEFI e as ROMs de opção de legado devem ser desativadas.

– Qualquer unidade não-NVMe que esteja a ser utilizada como SED - O modo de funcionamento SATA do BIOS tem de ser definido para AHCI, uma vez que o SED Management da Dell não suporta o RAID com unidades não-NVMe.

◦ O modo RAID ligado não é suportado, porque o acesso de leitura e escrita de dados relacionados com RAID (num setor que não esteja disponível numa unidade não-NVMe bloqueada) não está acessível durante o arranque e não poderá aguardar para ler estes dados até o utilizador ter iniciado sessão.

(23)

◦ O sistema operativo falhará quando alterado de RAID ligado > AHCI, se os controladores do AHCI não estiverem pré-instalados. Para obter instruções sobre como alterar de RAID > AHCI (ou vice-versa), consulte http://www.dell.com/support/

article/us/en/19/SLN306460.

As SED compatíveis com OPAL suportadas requerem controladores Intel Rapid Storage Technology atualizados, localizados em http:// www.dell.com/support/home/us/en/19/product-support/product/dell-dp-endpt-security-suite-enterprise/drivers. A Dell recomenda a versão 15.2.0.0 ou posterior do controlador Intel Rapid Storage Technology, com unidades NVMe.

• A Gestão SED não é suportada com o Server Encryption ou o Advanced Threat Prevention num SO de servidor.

Controladores OPAL

• As SED compatíveis com OPAL suportadas requerem controladores Intel Rapid Storage Technology atualizados, localizados em http:// www.dell.com/support.

Hardware do cliente SED

SED compatíveis com OPAL

• Para aceder à lista mais atualizada de SED compatíveis com Opal suportadas pela gestão SED, consulte este artigo KB: http:// www.dell.com/support/article/us/en/19/SLN296720.

Modelos de computador Dell suportados com UEFI

• A tabela seguinte apresenta os modelos de computadores Dell compatíveis com UEFI. Modelos de computador Dell - Suporte para UEFI

– Latitude 5280 – Latitude 5480 – Latitude 5580 – Latitude 7370 – Latitude 7380 – Latitude E5250 – Latitude E5270 – Latitude E5285 – Latitude E5289 2-em-1 – Latitude E5450 – Latitude E5470 – Latitude E5550 – Latitude E5570 – Latitude E6440 – Latitude E6540 – Latitude E7240 – Latitude E7250 – Latitude E7270 – Latitude E7280 – Latitude E7350 – Latitude 7389 2-em-1 – Latitude E7440 – Latitude E7450 – Latitude E7470 – Latitude E7480

– Latitude 12 Rugged Extreme (modelo 7414) – Precision M3510 – Precision M3520 – Precision M4800 – Precision M5510 – Precision M5520 – Precision M6800 – Precision M7510 – Precision M7520 – Precision M7710 – Precision M7720 – Precision D5720 All-in-One – Precision T1700 – Precision T3420 – Precision T3620 – Precision T5810 – Precision T7810 – Precision T7910 – XPS 13 9333 – XPS 13 9350 – XPS 15 9550 – XPS 15 9560 – Optiplex 3040 Micro, minitorre, fator de forma reduzido

– Optiplex 3046

– OptiPlex 3050 All-In-One – OptiPlex 3050 Tower, fator

de forma reduzido, Micro – Optiplex 5040 minitorre, fator de forma reduzido – OptiPlex 5050 Tower, fator

de forma reduzido, Micro – OptiPlex 7020

– Optiplex 7040 Micro, minitorre, fator de forma reduzido

– OptiPlex 7050 Tower, fator de forma reduzido, Micro – Optiplex 3240 All-In-One – Optiplex 5055 Ryzen CPU – OptiPlex 5250 All-In-One – Precision 5820 Tower – Optiplex 7010 – Optiplex 7440 All-In-One – OptiPlex 7450 All-In-One – Precision 7820 Tower – Precision 7920 Rack – Optiplex 9010 – Optiplex 9020 Micro,

minitorre, fator de forma reduzido

– Venue Pro 11 (Modelos 5175/5179)

– Venue Pro 11 (Modelo 7139)

(24)

Modelos de computador Dell - Suporte para UEFI – Latitude 12 Rugged Tablet

(Modelo 7202) – Latitude 7212 Rugged

Extreme Tablet

– Latitude 14 Rugged (modelo 5414)

– Optiplex 9020 All-in-One – Optiplex 9030 All-in-One – Optiplex XE2

NOTA:

As funcionalidades de autenticação são suportadas com o modo UEFI nestes computadores com Windows 8, Windows 8.1 e Windows 10 com SED compatíveis com Opal qualificadas. Outros computadores com Windows 7, Windows 8, Windows 8.1 e Windows 10 em execução suportam o modo de Arranque Legado.

• Para obter uma lista das estações de ancoragem e adaptadores compatíveis com o cliente SED, consulte http://www.dell.com/ support/article/us/en/19/sln296720/.

Opções de autenticação com cliente SED

• É necessário um hardware específico, para utilizar smart cards e para autenticar em computadores UEFI. É necessária uma

configuração para utilizar smart cards com Autenticação de pré-arranque. As tabelas seguintes apresentam as opções de autenticação disponíveis por sistema operativo, quando os requisitos de hardware e de configuração são cumpridos.

Não UEFI

PBA

Palavra-passe Impressão digital Smart card de contacto Cartão SIPR Windows 7 SP0-SP1 X 1 _X1 2 Windows 8 X1 _X1 2 Windows 8,1 X1 _X1 2 Windows 10 X1 _X1 2

1. Disponível quando os controladores de autenticação são transferidos a partir de support.dell.com.

2. Disponível com uma SED com OPAL suportada.

UEFI

PBA - em computadores Dell suportados

Palavra-passe Impressão digital Smart card de contacto Cartão SIPR Windows 7 Windows 8 X1 _X1 Windows 8,1 X1 _X1

(25)

UEFI

PBA - em computadores Dell suportados

Palavra-passe Impressão digital Smart card de contacto

Cartão SIPR Windows 10 X1 _X1

1. Disponível com uma SED com OPAL suportada em computadores com UEFI suportados.

Teclados internacionais do cliente SED

• A tabela que se segue indica teclados internacionais suportados com Autenticação de pré-arranque em computadores UEFI e não-UEFI. Suporte de teclado internacional - UEFI

– DE-CH - Alemão (Suíça) – DE-FR - Francês (Suíça)

Suporte de teclado internacional - Non-UEFI – AR - Árabe (utilizando letras latinas) – DE-CH - Alemão (Suíça)

– DE-FR - Francês (Suíça)

Localização do cliente SED

Os clientes SED e Advanced Authentication estão em conformidade com a norma MUI (Multilingual User Interface - Interface de utilizador multilíngue) e estão localizados nos seguintes idiomas. O modo UEFI e Autenticação de pré-arranque são suportados nos seguintes idiomas, exceto em russo, chinês tradicional ou chinês simplificado.

Suporte de idiomas

• EN - Inglês • KO - Coreano

• FR - Francês • ZH-CN - Chinês simplificado • IT - Italiano • ZH-TW - Chinês tradicional/Taiwan • DE - Alemão • PT-BR - Português, Brasil

• ES - Espanhol • PT-PT - Português, Portugal (Ibérico) • JA - Japonês • RU - Russo

(26)

Sistemas operativos do cliente SED

• A tabela seguinte apresenta os sistemas operativos compatíveis. Sistemas operativos Windows (32 e 64 bits)

– Windows 7 SP0-SP1: Enterprise, Professional (suportado com o modo de Arranque Legacy, mas não UEFI)

NOTA:

O modo de Arranque Legacy é suportado pelo Windows 7. A UEFI não é suportada pelo Windows 7. As unidades de encriptação automática NVMe não são suportadas no Windows 7.

– Windows 8: Enterprise, Pro,

– Windows 8.1: Enterprise Edition, Pro Edition

Cliente Advanced Authentication

• As funcionalidades do Advanced Authentication só estão disponíveis quando o Preboot Authentication está ativado. Ao utilizar o Advanced Authentication, os utilizadores terão acesso seguro ao computador através de credenciais de autenticação avançada geridas e registadas utilizando o Advanced Authentication. O Advanced Authentication será o gestor principal das credenciais de autenticação para o Início de sessão do Windows, incluindo a palavra-passe do Windows, impressões digitais e smart cards. As credenciais de palavra-passe por imagem, PIN e impressão digital registadas através do sistema operativo da Microsoft não serão reconhecidas pelo Início de sessão do Windows.

Para continuar a utilizar o sistema operativo da Microsoft para gerir as credenciais de utilizador, não instale ou desinstale o Advanced Authentication.

• Uma SED não requer um TPM para facultar a Advanced Authentication ou encriptação.

NOTA: Os métodos de autenticação PBA não podem ser alterados entre palavra-passe e SmartCard quando a conta de utilizador existe na PBA.

Hardware do Cliente Advanced Authentication

• A tabela seguinte lista a autenticação de hardware suportada. Leitores de impressão digital e de smart cards

– Validity VFS495 em Modo seguro – ControlVault Swipe Reader

– UPEK TCS1 FIPS 201 Secure Reader 1.6.3.379 – Leitores USB Authentec Eikon e Eikon To Go

Cartões sem contacto

– Cartões sem contacto com leitores de cartões sem contacto incorporados nos portáteis Dell especificados

Smart Cards

(27)

Smart Cards

NOTA:

O cliente ActivIdentity não se encontra pré-carregado e tem de ser instalado separadamente. – Cartões CSP

– Cartão de acesso comum (CAC) – Cartões SIPRNet/Classe B

• A tabela seguinte apresenta os modelos de computador Dell compatíveis com cartões SIPR Net. Modelos de computador Dell - Suporte para cartões Classe B/ SIPR Net

– Latitude E6440 – Latitude E6540

– Precision M2800 – Precision M4800 – Precision M6800

– Latitude 14 Rugged Extreme – Latitude 12 Rugged Extreme – Latitude 14 Rugged

Sistemas operativos do Cliente Advanced Authentication

Sistemas operativos Windows

– Windows 7 SP0-SP1: Enterprise, Professional, Ultimate – Windows 8: Enterprise, Pro

NOTA: O modo UEFI não é suportado pelo Windows 7.

Cliente BitLocker Manager

• Se o BitLocker ainda não tiver sido implementado no seu ambiente, pondere a revisão dos requisitos do Microsoft BitLocker,

• Certifique-se de que a partição de PBA já está configurada. Se o BitLocker Manager for instalado antes da configuração da partição de PBA, não é possível ativar o BitLocker e o BitLocker Manager não irá funcionar. Consulte Configuração da pré-instalação para

configurar uma partição de PBA do BitLocker.

• É necessário um Security Management Server/Security Management Server Virtual para utilizar o BitLocker Manager.

• Certifique-se de que está disponível um certificado de assinatura na base de dados. Para obter mais informações, consulte http:// www.dell.com/support/article/us/en/19/sln307028.

• O teclado, o rato e os componentes de vídeo devem estar ligados diretamente ao computador. Não utilize um comutador KVM para gerir periféricos, uma vez que o comutador KVM pode interferir com a capacidade do computador para identificar corretamente o hardware.

• Ligue e ative o TPM. O BitLocker Manager assume a propriedade do TPM e não necessita de reinício. No entanto, se um TPM já tiver um proprietário, o BitLocker Manager inicia o processo de configuração da encriptação (não é necessário o reinício). O importante é que o TPM tenha um "proprietário" e esteja ativo.

• O cliente BitLocker Manager irá utilizar os algoritmos com validação FIPS AES aprovados se o modo FIPS for ativado para a definição de segurança GPO "Criptografia do sistema: utilizar algoritmos compatíveis com FIPS para encriptação, hashing e assinatura" no dispositivo e o mesmo for gerido através do nosso produto. Este modo não é forçado como predefinição para clientes encriptados pelo BitLocker, uma vez que a Microsoft atualmente sugere que os clientes não utilizem a respetiva encriptação validada por FIPS devido a vários problemas com a compatibilidade da aplicação, recuperação e encriptação de suportes multimédia: http://blogs.technet.com. • O BitLocker Manager não é suportado com o Server Encryption ou o Advanced Threat Prevention num SO de servidor.

(28)

Hardware do cliente BitLocker Manager

– TPM 1.2 ou 2.0

Sistemas operativos do cliente BitLocker Manager

• A tabela seguinte apresenta os sistemas operativos suportados. Sistemas operativos Windows

– Windows 7 SP0-SP1: Enterprise, Ultimate (32 e 64 bits) – Windows 8: Enterprise (64 bits)

– Windows 8.1: Enterprise Edition, Pro Edition (64 bits)

– Windows Server 2008 R2: Standard Edition, Enterprise Edition (64 bits) – Windows Server 2012 R2: Standard Edition, Enterprise Edition (64 bits) – Windows Server 2016