DELL DATA SECURITY GUIDA ALL'INTEGRAZIONE DI ENCASE
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Dell Data Security Guida all'integrazione di EnCase
Messaggi di N.B., Attenzione e Avvertenza
N.B.: un messaggio N.B. (Nota Bene) indica informazioni importanti che contribuiscono a migliorare l'utilizzo del prodotto.
ATTENZIONE: Un messaggio di ATTENZIONE indica un danno potenziale all'hardware o la perdita di dati, e spiega come evitare il
problema.
AVVERTENZA: Un messaggio di AVVERTENZA indica un rischio di danni materiali, lesioni personali o morte.
© 2012-2018 Dell Inc. Tutti i diritti riservati.Dell, EMC e gli altri marchi sono marchi commerciali di Dell Inc. o delle sue sussidiarie. Gli altri
marchi possono essere marchi dei rispettivi proprietari.
I marchi registrati e i marchi commerciali utilizzati nella suite di documenti Dell Encryption, Endpoint Security Suite Pro, Endpoint Security
Suite Enterprise e Data Guardian: DellTM e il logo Dell, Dell PrecisionTM, OptiPlexTM, ControlVaultTM, LatitudeTM, XPS® e KACETM sono
marchi commerciali di Dell Inc. Cylance®, CylancePROTECT, e il logo Cylance sono marchi registrati di Cylance, Inc. negli Stati Uniti e in altri
Paesi. McAfee® e il logo McAfee sono marchi commerciali o marchi registrati di McAfee, Inc. negli Stati Uniti e in altri Paesi. Intel®,
Pentium®, Intel Core Inside Duo®, Itanium® e Xeon® sono marchi registrati di Intel Corporation negli Stati Uniti e in altri Paesi. Adobe®,
Acrobat® e Flash® sono marchi registrati di Adobe Systems Incorporated. Authen Tec® e Eikon® sono marchi registrati di Authen Tec.
AMD® è un marchio registrato di Advanced Micro Devices, Inc. Microsoft®, Windows® e Windows Server®, Internet Explorer®, MS-
DOS®, Windows Vista®, MSN®, ActiveX®, Active Directory®, Access®, ActiveSync®, BitLocker®, BitLocker To Go®, Excel®, Hyper-
V®, Silverlight®, Outlook®, PowerPoint®, OneDrive®, SQL Server® e Visual C++® sono marchi commerciali o marchi registrati di
Microsoft Corporation negli Stati Uniti e/o in altri Paesi. VMware® è un marchio registrato o marchio commerciale di VMware, Inc. negli
Stati Uniti o in altri Paesi. Box® è un marchio registrato di Box. DropboxSM è un marchio di servizio di Dropbox, Inc. GoogleTM, AndroidTM,
GoogleTM ChromeTM, GmailTM, YouTube® e GoogleTM Play sono marchi commerciali o marchi registrati di Google Inc. negli Stati Uniti e in
altri Paesi. Apple®, Aperture®, App StoreSM, Apple Remote DesktopTM, Apple TV®, Boot CampTM, FileVaultTM, iCloud®SM, iPad®,
iPhone®, iPhoto®, iTunes Music Store®, Macintosh®, Safari® e Siri® sono marchi di servizio, marchi commerciali o marchi registrati di
Apple, Inc. negli Stati Uniti e/o in altri Paesi. GO ID®, RSA® e SecurID® sono marchi registrati di Dell EMC. EnCaseTM e Guidance
Software® sono marchi commerciali o marchi registrati di Guidance Software. Entrust® è un marchio registrato di Entrust®, Inc. negli Stati
Uniti e in altri Paesi. InstallShield® è un marchio registrato di Flexera Software negli Stati Uniti, in Cina, nella Comunità Europea, ad Hong
Kong, in Giappone, a Taiwan e nel Regno Unito. Micron® e RealSSD® sono marchi registrati di Micron Technology, Inc. negli Stati Uniti e in
altri Paesi. Mozilla® Firefox® è un marchio registrato di Mozilla Foundation negli Stati Uniti e/o in altri Paesi. iOS® è un marchio
commerciale o un marchio registrato di Cisco Systems, Inc. negli Stati Uniti e in alcuni altri Paesi ed è concesso in licenza. Oracle® e Java®
sono marchi registrati di Oracle e/o suoi affiliate. Altri nomi possono essere marchi commerciali dei rispettivi proprietari. SAMSUNGTM è un
marchio commerciale di SAMSUNG negli Stati Uniti o in altri Paesi. Seagate® è un marchio registrato di Seagate Technology LLC negli Stati
Uniti e/o in altri Paesi. Travelstar® è un marchio registrato di HGST, Inc. negli Stati Uniti e in altri Paesi. UNIX® è un marchio registrato di
The Open Group. VALIDITYTM è un marchio commerciale di Validity Sensors, Inc. negli Stati Uniti e in altri Paesi. VeriSign® e altri marchi
correlati sono marchi commerciali o marchi registrati di VeriSign, Inc. o sue affiliate o filiali negli Stati Uniti e in altri Paesi, ed è concesso in
licenza a Symantec Corporation. KVM on IP® è un marchio registrato di Video Products. Yahoo!® è un marchio registrato di Yahoo! Inc. In
questo prodotto vengono utilizzate parti del programma 7-Zip. Il codice sorgente è disponibile all'indirizzo 7-zip.org. La gestione delle licenze
è basata sulla licenza GNU LGPL + restrizioni unRAR (7-zip.org/license.txt).
Guida all'integrazione di EnCase
2018 - 03
Rev. A01Sommario
1 Introduzione................................................................................................................................................... 4
Contattare Dell ProSupport.............................................................................................................................................. 4
2 Integrazione con EnCase............................................................................................................................... 5
Abilitare l'API EnCase......................................................................................................................................................... 5
Installare EnCase Integration Adapter............................................................................................................................. 5
3 Utilizzare Dell Data Security con EnCase....................................................................................................... 6
4 Utilizzare EnCase con Dell Data Security....................................................................................................... 7
CEGetBundle...................................................................................................................................................................... 7
Guida all'integrazione di EnCase 3
Sommario1
Introduzione
Dell Data Security si integra con i prodotti forensi digitali EnCase v6.15 di Guidance Software, Inc. per supportare le indagini online di file Dell
crittografati. Grazie a questa integrazione, gli investigatori forensi possono visualizzare, esportare o effettuare ricerche all'interno di dati
protetti Dell. Con le appropriate credenziali di amministratore forense, tutti i dati protetti Dell, indipendentemente dalle chiavi utilizzate per la
crittografia, vengono decrittografati e presentati all'investigatore senza ulteriori interazioni. L'archiviazione protetta di EnCase salva e
memorizza le credenziali di amministratore forense con la pratica, eliminando la necessità di immetterle nuovamente.
L'integrazione forense EnCase v6.15 (32 bit) supporta:
• Dell Data Security Encryption Enterprise per Windows v7.0.x o versioni successive
• Dell Security Management Server v7.0.1 o versioni successive
N.B.: Dell Data Security Encryption Enterprise per Mac non supporta l'investigazione forense di EnCase.
Contattare Dell ProSupport
Per assistenza telefonica sui prodotti Dell, chiamare il numero 877-459-7304, interno 4310039, 24h su 24, 7 giorni su 7.
Inoltre, il supporto online per i prodotti Dell è disponibile all'indirizzo dell.com/support. L'assistenza online comprende driver, manuali,
consulenze tecniche, FAQ e problemi emergenti.
Assicurarsi di avere a portata di mano il codice di matricola o il codice di servizio rapido per essere messi rapidamente in contatto con
l'esperto tecnico più adatto.
Per i numeri di telefono esterni agli Stati Uniti, controllare Numeri di telefono internazionali di Dell ProSupport.
4 Guida all'integrazione di EnCase
Introduzione2
Integrazione con EnCase
Abilitare l'API EnCase
N.B.: Non utilizzare questa API con Dell Device Server distribuiti in un DMZ. Per gestire la sicurezza utilizzare un Dell Device
Server interno con accesso limitato per l'integrazione EnCase.
Security Management Server di versioni precedenti la v7.7
1 Aprire \Enterprise Edition\Device Server\conf\context.properties.
2 Abilitare l'API di integrazione forense.
service.forensic.enable=true
3 Arrestare e riavviare Dell Device Server dal menu Start.
Per disabilitare l'integrazione forense, impostare service.forensic.enable=false.
Security Management Server v7.7 e versioni successive
• Questo servizio è abilitato in Dell Server per impostazione predefinita.
• Per disabilitare l'integrazione forense, impostare xapi.service.forensic.enable=false.
Arrestare e riavviare Dell Device Server dal menu Start.
Installare EnCase Integration Adapter
1 Su un computer su cui è in esecuzione EnCase, cliccare due volte su CMGEnCaseIntegration.exe.
2 Quando viene visualizzata la finestra di dialogo Library Installer (Programma di installazione librerie), accertarsi che la cartella di
destinazione di EnCase sia corretta.
3 Cliccare su Finish (Fine) per estrarre i file di CEGetBundle e Integration Adapter su \Program Files\EnCase6\Lib\Credant
Technologies\CMG
Guida all'integrazione di EnCase 5
Integrazione con EnCase3
Utilizzare Dell Data Security con EnCase
Ottenere le chiavi di cifratura
Utilizzare l'interfaccia utente EnCase Enterprise per ottenere le chiavi di cifratura dalla Dell Remote Management Console e decifrare tutti i
dati cifrati Dell per il computer o il file delle prove.
1 Selezionare la casella di controllo Online.
2 Digitare lo Username (nome utente) dell'amministratore forense.
3 Digitare la Password dell'amministratore forense.
4 Digitare l'URL del server con l'API EnCase abilitata. Per esempio:
https://cred01.somedomain.com:8443/xapi/ (se il Security Management Server è v7.7 o versione successiva)
https://cred01.somedomain.com:8081/xapi (se il Security Management Server è di una versione precedente alla v7.7)
Individuare l'URI del Dell Server in HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\Servlet
N.B.: Dell Server deve avere l'API EnCase abilitata per esportare le chiavi. Se si desidera, è possibile implementare un Dell
Device Server alternativo esclusivamente per l'integrazione di EnCase.
5 Digitare l'ID macchina (noto anche come MCID e ID univoco) della macchina virtuale per il computer o il file delle prove di destinazione.
Individuare l'MCID nel registro di sistema del computer di destinazione in HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Winlogon\CMGShield
Da Dell Remote Management Console, nel riquadro di sinistra, cliccare su Populations > Endpoints (Popolazioni > Endpoint)
• Cliccare sull'icona Details (Dettagli) del dispositivo appropriato.
• Dal menu principale, cliccare su Details & Actions (Dettagli e azioni).
• Individuare l'ID univoco nell'area Endpoint Detail (Dettaglio endpoint).
6 Digitare l'ID Shield (noto anche come ID dispositivo, DCID, ID di ripristino o SCID) per il computer o il file delle prove di destinazione.
Individuare il DCID nel registro di sistema del computer di destinazione in HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Winlogon\CMGShield
Da Dell Remote Management Console, nel riquadro di sinistra, cliccare su Populations > Endpoints (Popolazioni > Endpoint)
• Cliccare sull'icona Details (Dettagli) del dispositivo appropriato.
• Dal menu principale, cliccare su Details & Actions (Dettagli e azioni).
• Individuare l'ID di ripristino nell'area Shield.
N.B.: Specificare MCID, DCID o entrambi gli ID. La pratica importata contiene tutto il materiale chiave per ID macchina, ID
Shield o entrambi gli ID.
7 Fare clic su OK.
La decrittografia è ora in corso.
Una volta completata, i file sono accessibili per i controlli forensi. I file decrittografati sono visualizzabili solo attraverso il modulo
EnCase; i file di origine iniziali rimangono inalterati e crittografati.
6 Guida all'integrazione di EnCase
Utilizzare Dell Data Security con EnCase4
Utilizzare EnCase con Dell Data Security
CEGetBundle
CEGetBundle è una utility che consente agli amministratori forensi di estrarre materiale chiave da un Dell Server. Questa utility è disponibile
tramite Dell ProSupport.
La tabella seguente descrive in dettaglio i parametri disponibili per l'installazione.
Parametri
-L=Modalità Legacy per esportare le chiavi da un Server CMG 5.3.x
URL=URL del Device Server ()
AdminName=Nome utente amministratore
AdminPwd=Password amministratore
AdminDomain=Dominio amministratore
MCID=ID della macchina per il dispositivo di destinazione (noto anche come ID univoco o nome host)
SCID=ID Shield Credant per lo Shield di destinazione (noto anche come DCID o ID di ripristino)
Username=Utente previsto per l'esportazione del materiale chiave (solo modalità legacy)
OutputFile=Nome file per il bundle chiave esportato
OutputPwd =Password per il bundle chiave esportato
-R=Utilizzare la modalità di backup file
BackupFile=File eseguibile contenente i codici di backup
BackupPwd=Password amministratore utilizzata per il file di backup
N.B.: Il parametro AdminDomain deve essere fornito solo per esportare le chiavi da CMG Enterprise Edition 6.0 e server di
versioni successive configurati per il supporto di più domini.
N.B.: In modalità legacy è necessario specificare MCID, SCID e nome utente. Al file di output verrà aggiunto solo il materiale
chiave per l'utente specificato. È necessario eseguire questo strumento con lo stesso nome del file di output per ciascun utente
sul dispositivo previsto per la decrittografia se sono abilitati l'utente o la crittografia roaming utente. Il materiale chiave di ogni
utente verrà aggiunto al file di output.
Esempio di riga di comando
• L'esempio seguente utilizza MCID, SCID o entrambi. Tutti i materiali chiave associati alla macchina specificata (MCID) o SCID o entrambi
verranno salvati nel file di output che sarà sovrascritto se già esistente.
Guida all'integrazione di EnCase 7
Utilizzare EnCase con Dell Data SecurityCEGetBundle [-L] -XURL -aAdminName -AAdminPwd [-DAdminDomain] [-dMCID] [-sSCID] [-uUsername] -
oOutputFile -iOutputPwd
• L'esempio seguente estrae materiale chiave dal file di backup esportato dal programma di installazione.
CEGetBundle -R -bBackupFile -ABackupPwd -oOutputFile -iOutputPwd
8 Guida all'integrazione di EnCase
Utilizzare EnCase con Dell Data SecurityPuoi anche leggere
