Endpoint Security Suite Advanced Installation Guide

Size: px
Start display at page:

Download "Endpoint Security Suite Advanced Installation Guide"

Transcription

1 고급설치안내서 v1.7

2 참고, 주의및경고 노트 : " 참고 " 는제품을보다효율적으로사용하는데도움이되는중요정보를제공합니다. 주의 : " 주의 " 는하드웨어손상이나데이터손실의가능성을설명하며, 이러한문제를방지할수있는방법을알려줍니다. 경고 : " 경고 " 는재산상의피해나심각한부상또는사망을유발할수있는위험이있음을알려줍니다 Dell Inc. All rights reserved.dell, EMC 및기타상표는 Dell Inc. 또는자회사의상표입니다. 기타상표는각소유자의상표일수있습니다. Dell Data Protection Encryption, Endpoint Security Suite, Endpoint Security Suite Enterprise 및 Dell Data Guardian 문서세트에사용된등록된상표및상표, 즉 Dell TM, Dell 로고, Dell Precision TM, OptiPlex TM, ControlVault TM, Latitude TM, XPS 및 KACE TM 는 Dell Inc. Cylance 및 CylancePROTECT 의상표이고 Cylance 로고는미국에서 Cylance, Inc. 의등록된상표입니다. 상표입니다. McAfee 및 McAfee 로고는미국및기타국가에서 McAfee, Inc. 의상표또는등록상표입니다. Intel, Pentium, Intel Core Inside Duo, Itanium 및 Xeon 은미국및기타국가에서 Intel Corporation 의등록상표입니다. Adobe, Acrobat, 및 Flash 는 Adobe Systems Incorporated 의등록상표입니다. Authen Tec 및 Eikon 은 Authen Tec 의등록상표입니다. AMD 는 Advanced Micro Devices, Inc. 의등록상표입니다. Microsoft, Windows, Windows Server, Internet Explorer, MS-DOS, Windows Vista, MSN, ActiveX, Active Directory, Access, ActiveSync, BitLocker, BitLocker To Go, Excel, Hyper-V, Silverlight, Outlook, PowerPoint, OneDrive, SQL Server, Visual C++ 는미국및 / 또는기타국가에서 Microsoft Corporation 의상표또는등록상표입니다. VMware 는미국또는기타국가에서 VMware, Inc. 의등록상표또는상표입니다. Box 는 Box 의등록상표입니다. DropboxSM 은 Dropbox, Inc. 의서비스표시입니다. Google TM, Android TM, Google TM Chrome TM, Gmail TM, YouTube 및 Google TM Play 는미국및기타국가에서 Google Inc. 의상표또는등록상표입니다. Apple, Aperture, App StoreSM, Apple Remote Desktop TM, Apple TV, Boot Camp TM, FileVault TM, icloud SM, ipad, iphone, iphoto, itunes Music Store, Macintosh, Safari 및 Siri 는미국및 / 또는기타국가에서 Apple, Inc. 의서비스표시, 상표, 또는등록상표입니다. GO ID, RSA, SecurID 는 Dell EMC 의등록상표입니다. EnCase TM 및 Guidance Software 는 Guidance Software 의상표또는등록상표입니다. Entrust 는미국및기타국가에서 Entrust, Inc. 의등록상표입니다. InstallShield 는미국, 중국, 유럽공동체, 홍콩, 일본, 대만, 및영국에서 Flexera Software 의등록상표입니다. Micron 및 RealSSD 는미국및기타국가에서 Micron Technology, Inc. 의등록상표입니다. Mozilla Firefox 는미국및 / 또는기타국가에서 Mozilla Foundation 의등록상표입니다. ios 는미국및기타특정국가에서 Cisco Systems, Inc. 의상표또는등록상표이며, 라이선스하에사용됩니다. Oracle 및 Java 는 Oracle 및 / 또는 Oracle 계열사의등록상표입니다. 기타이름은해당소유자의상표일수있습니다. SAMSUNG TM 은미국또는기타국가에서 SAMSUNG 의상표입니다. Seagate 는미국및 / 또는기타국가에서 Seagate Technology LLC 의등록상표입니다. Travelstar 는미국및기타국가에서 HGST, Inc. 의등록상표입니다. UNIX 는 The Open Group 의등록상표입니다. VALIDITY TM 는미국및기타국가에서 Validity Sensors, Inc. 의상표입니다. VeriSign 과기타관련상표는미국및기타국가에서 VeriSign, Inc. 와그계열사또는자회사의상표또는등록상표이며, Symantec Corporation 에사용허가된상표또는등록상표입니다. KVM on IP 는 Video Products 의등록상표입니다. Yahoo! 는 Yahoo! Inc. 의등록상표입니다. 본제품은 7-Zip 프로그램을일부사용합니다. 소스코드는 7- zip.org 에서찾아볼수있습니다. 라이센싱에는 GNU LGPL 라이센스 + unrar 제한이적용됩니다 ( Endpoint Security Suite 고급설치안내서 개정 A01

3 목차 1 소개... 6 시작하기전에...6 이안내서사용...6 Dell ProSupport 에문의 요구사항...8 모든클라이언트... 8 모든클라이언트 - 필수구성요소...8 모든클라이언트 - 하드웨어...8 모든클라이언트 - 언어지원...9 Encryption 클라이언트...9 Encryption 클라이언트필수구성요소 Encryption 클라이언트하드웨어...10 Encryption 클라이언트운영체제...10 EMS(External Media Shield) 운영체제 Threat Protection 클라이언트 Threat Protection 클라이언트운영체제...11 Threat Protection 클라이언트포트 SED 클라이언트...12 OPAL 드라이버 SED 클라이언트필수구성요소...13 SED 클라이언트하드웨어 SED 클라이언트운영체제...14 Advanced Authentication 클라이언트...14 Advanced Authentication 클라이언트하드웨어...15 Advanced Authentication 클라이언트운영체제...15 BitLocker Manager 클라이언트 BitLocker Manager 클라이언트필수구성요소...16 BitLocker Manager 클라이언트운영체제 인증옵션...17 Encryption 클라이언트...17 SED 클라이언트...18 BitLocker Manager 레지스트리설정 Encryption 클라이언트레지스트리설정 Threat Protection 클라이언트레지스트리설정...23 SED 클라이언트레지스트리설정...24 Advanced Authentication 클라이언트레지스트리상태 BitLocker Manager 클라이언트레지스트리설정 ESS 마스터설치프로그램을사용하여설치...27 ESS 마스터설치프로그램을사용하여대화형으로설치 목차 3

4 ESS 마스터설치프로그램을사용하여명령줄을통해설치 ESS 마스터설치프로그램을사용하여설치제거 ESS 마스터설치프로그램설치제거...30 명령줄설치제거 하위설치프로그램을사용하여설치 드라이버설치 Encryption 클라이언트설치 명령줄설치...32 hreat Protection Clients 설치...34 명령줄설치...34 SED Management 및 Advanced Authentication 클라이언트설치 명령줄설치...36 BitLocker Manager 클라이언트설치 명령줄설치 하위설치프로그램을사용하여설치제거...38 Threat Protection Clients 제거...39 명령줄설치제거 Encryption 클라이언트설치제거...39 프로세스...39 명령줄설치제거 SED 및 Advanced Authentication 클라이언트설치제거...41 프로세스...41 PBA 비활성화...41 SED 클라이언트및 Advanced Authentication 클라이언트설치제거 BitLocker Manager 클라이언트설치제거...42 명령줄설치제거 일반적으로사용되는시나리오...43 Encryption 클라이언트, Threat Protection 및 Advanced Authentication...44 Encryption 클라이언트및 Threat Protection...45 SED 클라이언트 (Advanced Authentication 포함 ) 및 External Media Shield...45 BitLocker Manager 및 External Media Shield 일회용암호, SED UEFI, BitLocker 의사전설치구성 TPM 초기화...47 UEFI 컴퓨터의사전설치구성 UEFI 부팅전인증이진행되는동안네트워크연결활성화 레거시옵션 ROM 비활성화...47 BitLocker PBA 파티션설정을위한사전설치구성 권한부여활성화를위해도메인컨트롤러에서 GPO 설정 ESS 마스터설치프로그램에서하위설치프로그램추출 EE Server 에대해활성화된 Encryption 클라이언트설치제거를위한 Key Server 구성 목차

5 서비스패널 - 도메인계정사용자추가...51 Key Server 구성파일 - EE Server 통신에대한사용자추가 예시구성파일 : 서비스패널 - Key Server 서비스재시작...52 원격관리콘솔 - Forensic Administrator 추가 Administrative Download Utility 사용 (CMGAd) Forensic 모드로 Administrative Download Utility 사용...54 관리모드로 Administrative Download Utility 사용 문제해결 모든클라이언트 - 문제해결...56 Encryption 클라이언트문제해결...56 Windows 10 Anniversary Update 로업그레이드 ( 선택사항 ) Encryption Removal Agent 로그파일생성...56 TSS 버전찾기...57 EMS 와 PCS 상호작용 WSScan 사용 WSProbe 사용 Encryption Removal Agent 상태확인 SED 클라이언트문제해결...61 초기액세스코드정책사용 문제해결을위해 PBA 로그파일생성 Dell ControlVault 드라이버...63 Dell ControlVault 드라이버및펌웨어업데이트 UEFI 컴퓨터 네트워크연결문제해결...64 TPM 및 BitLocker...65 TPM 및 BitLocker 오류코드 용어집...95 목차 5

6 1 소개 이안내서는 Threat Protection, Encryption 클라이언트, SED Management 클라이언트, Advanced Authentication 및 BitLocker Manager 를설치하고구성하는방법에대해자세히설명합니다. 모든정책정보와그설명은 AdminHelp 에서찾으시기바랍니다. 시작하기전에 1 클라이언트를배포하기전에 EE Server/VE Server 를설치하십시오. 아래나열된안내서에서해당되는안내서를찾아지침을따른후이안내서의지침을따르십시오. DDP Enterprise Server 설치및마이그레이션설명서 DDP Enterprise Server Virtual Edition 빠른시작안내서및설치안내서 정책이원하는대로설정되었는지확인합니다.? 에서사용할수있는 AdminHelp 를통해검색합니다.? 는화면맨오른쪽에있습니다. AdminHelp 는정책을설정및수정하고 EE Server/VE Server 에서의옵션을이해할수있도록돕는페이지수준의도움말입니다. 2 이문서의요구사항장을읽고숙지하십시오. 3 최종사용자에게클라이언트를배포하십시오. 이안내서사용 다음순서에따라이안내서를사용합니다. 클라이언트필수구성요소, 컴퓨터하드웨어및소프트웨어정보, 제한사항그리고제반기능에필요한특수레지스트리변경에대해서는요구사항을참조하십시오. 필요하다면 OTP( 일회용암호 ), SED UEFI 및 BitLocker 에대한설치전구성을참조하십시오. 클라이언트에 Dell Digital Delivery(DDD) 사용권한이부여되는경우, 사용권한을활성화하도록도메인컨트롤러에서 GPO 를설정을참조하십시오. ESS 마스터설치프로그램을사용하여클라이언트를설치할경우, 다음을참조하십시오. ESS 마스터설치프로그램을사용하여대화형으로설치 또는 ESS 마스터설치프로그램을사용하여명령줄을통해설치 하위설치프로그램을사용하여클라이언트를설치하는경우, 하위설치프로그램의실행파일들을 ESS 마스터설치프로그램에서반드시추출해야합니다. ESS 마스터설치프로그램에서하위설치프로그램추출을참조한다음, 여기로되돌아옵니다. 명령줄을사용하여하위설치프로그램을설치하십시오. 드라이버설치 - 인증하드웨어에따라적절한드라이버및펌웨어를다운로드하십시오. Encryption 클라이언트설치 - 컴퓨터가네트워크에연결되어있는지아니면네트워크와의연결이분리되었거나분실내지도난되었는지여부에관계없이보안정책을실행하는구성요소에해당되는 Encryption 클라이언트를설치할경우, 이지침을적용하십시오. 6 소개

7 Threat Protection 클라이언트설치 - 이지침을적용하여다음의정책기반 Threat Protection 기능들로구성된 Threat Protection 클라이언트를설치합니다. 멀웨어차단 - 사용자가액세스하거나언제든지필요할때마다항목을자동스캔하여바이러스, 스파이웨어, 원치않는프로그램및기타위협요소여부를검사합니다. 클라이언트방화벽 - 네트워크나인터넷을통한컴퓨터와리소스사이의통신을모니터링하여의심스러운통신은차단합니다. 웹필터 - 온라인탐색이나검색시웹사이트의안전등급과보고서를표시합니다. 웹필터링은사이트관리자가안전등급이나콘텐츠에따라웹사이트에대한액세스를차단할수있는기능입니다. SED Management 및 Advanced Authentication 클라이언트설치 - 이지침을적용하여 SED 에대한암호화소프트웨어를설치합니다. SED 가자체암호화를제공하기는하지만해당암호화및정책을관리할플랫폼은없습니다. SED Management 를사용하면모든정책, 저장그리고암호화키검색을단일콘솔에서이용할수있기때문에분실또는무단액세스발생시컴퓨터가무방비로노출될위험을줄입니다. Advanced Authentication 클라이언트는 SED 용 PBA, SSO(Single Sign-On), 지문및암호등과같은사용자자격증명을비롯한여러인증방법을관리합니다. 또한웹사이트및응용프로그램에액세스할수있는 Advanced Authentication 기능도제공합니다. BitLocker Manager 클라이언트설치 - BitLocker 배포의보안을강화하고소유비용을간소화하여절감할수있도록설계된 BitLocker Manager 클라이언트를설치하려면이지침을적용하십시오. 노트 : 대부분의하위설치프로그램은대화형으로설치할수있지만이안내서에서는설치에대한설명을제공하지않습니다. 가장널리사용되는시나리오에관한설명은널리사용되는시나리오를참조하십시오. Dell ProSupport 에문의 ( 내선번호 ) 로전화하면연중무휴하루 24 시간 Dell Data Protection 제품에대한전화지원을받을수있습니다. 또한, dell.com/support 에서 Dell Data Protection 제품에대한온라인지원도가능합니다. 온라인지원에는드라이버, 매뉴얼, 기술자문, FAQ 및최근에나타나는문제도포함됩니다. 올바른기술전문가에게신속히연결될수있도록전화할때서비스코드를준비하십시오. 미국외부의전화번호는 Dell ProSupport 국제전화번호를확인하십시오. 소개 7

8 2 요구사항 모든클라이언트 이요구사항은모든클라이언트에적용됩니다. 다른섹션에나열된요구사항은특정클라이언트에적용됩니다. 배포시에는 IT 모범사례를따라야합니다. 예를들어, 초기테스트에서테스트환경을통제하고사용자에대해시간별배포를수행해야합니다. 설치 / 업그레이드 / 설치제거를수행하는사용자계정은로컬또는도메인관리자여야하며, 관리자권한은 Microsoft SMS 또는 Dell KACE 등의배포도구를사용하여임시로할당할수있습니다. 관리자이외의사용자는상승된권한을가진경우에도지원되지않습니다. 설치 / 설치제거를시작하기전에중요한데이터를모두백업하십시오. 설치가진행되는동안에는외부 (USB) 드라이브삽입또는제거를비롯하여컴퓨터를변경하지마십시오. ESS 마스터설치프로그램클라이언트에 DDD(Dell Digital Delivery) 사용권한이부여되는경우아웃바운드포트 443 이 EE Server/VE Server 와통신할수있는지확인하십시오. 어떠한이유로든포트 443 이차단된경우권한부여기능이작동하지않습니다. 하위설치프로그램을사용하여설치하는경우 DDD 는사용되지않습니다. 최신문서자료와기술권고사항에대해서는 를정기적으로확인하시기바랍니다. 모든클라이언트 - 필수구성요소 Microsoft.Net Framework 이상이 ESS 마스터설치프로그램및하위설치프로그램클라이언트에필요합니다. 설치프로그램은 Microsoft.Net Framework 구성요소를설치하지않습니다. Dell 에서배송된모든컴퓨터에는전체버전의 Microsoft.Net Framework 이상이미리설치되어있습니다. 하지만 Dell 하드웨어에설치하지않거나이전 Dell 하드웨어에서클라이언트를업그레이드하는경우에는, 클라이언트를설치하기전에어떤버전의 Microsoft.Net 이설치되어있는지확인한후버전을업데이트해야만설치 / 업그레이드에따른문제를방지할수있습니다. 설치되어있는 Microsoft.Net 의버전을확인하려면설치하고자하는컴퓨터에서다음지침을따르십시오 : Microsoft.Net Framework 를설치하려면 details.aspx?id=42643 으로이동하십시오. ControlVault 용드라이버및펌웨어, 지문판독기및스마트카드는 ( 아래참조 ) ESS 마스터설치프로그램또는하위설치프로그램실행파일에포함되어있지않습니다. 드라이버및펌웨어는최신상태로유지해야하며 에서컴퓨터모델을선택하여다운로드하십시오. 인증하드웨어에따라적절한드라이버및펌웨어를다운로드하십시오. ControlVault NEXT 생채인식지문드라이버 유효지문판독기 495 드라이버 O2Micro 스마트카드드라이버 Dell 이외의하드웨어에설치하는경우해당벤더의웹사이트에서업데이트된드라이버및펌웨어를다운로드하십시오. ControlVault 드라이버설치지침은 Dell ControlVault 드라이버및펌웨어업데이트에제시되어있습니다. 모든클라이언트 - 하드웨어 다음표에지원되는컴퓨터하드웨어가나와있습니다. 8 요구사항

9 하드웨어 최소하드웨어요구사항은운영체제의최소사양을충족시켜야합니다. 모든클라이언트 - 언어지원 Encryption Threat Protection, 및 BitLocker Manager 클라이언트는 MUI( 다국어사용자인터페이스 ) 와호환되며다음언어를지원합니다. 언어지원 EN - 영어 JA - 일본어 ES - 스페인어 KO - 한국어 FR - 프랑스어 PT-BR - 포르투갈어, 브라질 IT - 이탈리아어 PT-PT - 포르투갈어, 포르투갈 ( 이베리아 ) DE - 독일어 SED 및 Advanced Authentication 클라이언트는 MUI( 다국어사용자인터페이스 ) 와호환되며다음언어를지원합니다. UEFI 모드와 Preboot Authentication 은러시아어, 중국어 ( 번체 ) 또는중국어 ( 간체 ) 로지원되지않습니다. 언어지원 EN - 영어 KO - 한국어 FR - 프랑스어 ZH-CN - 중국어 ( 간체 ) IT - 이탈리아어 ZH-TW - 중국어 ( 번체 )/ 대만 DE - 독일어 PT-BR - 포르투갈어, 브라질 ES - 스페인어 PT-PT - 포르투갈어, 포르투갈 ( 이베리아 ) JA - 일본어 RU - 러시아어 Encryption 클라이언트 클라이언트컴퓨터가네트워크에연결되어있어야활성화할수있습니다. 초기암호화시간을줄이려면 Windows 디스크정리마법사를실행하여임시파일및기타불필요한데이터를모두제거합니다. 암호화스윕이처음실행되는동안, 사용자가없는시간에컴퓨터가절전모드로전환되지않도록절전모드를해제하십시오. 절전상태의컴퓨터에서는암호화및암호해독이발생되지않습니다. 이중부팅구성은다른운영체제의시스템파일을암호화하여작업을방해할수있으므로 Encryption 클라이언트는이중부팅구성을지원하지않습니다. 이제 Encryption 클라이언트가 Audit 모드를지원합니다. Audit 모드를사용하면관리자는타사 SCCM 또는유사솔루션을사용하여 Encryption 클라이언트를배포하는대신, 암호화기업이미지의일부로서 Encryption 클라이언트를배포할수있습니다. 기업이미지에 Encryption 클라이언트를설치하는방법에대해서는 를참조하십시오. Encryption 클라이언트는 McAfee, Symantec 클라이언트, Kaspersky, MalwareBytes 에맞게테스트를거쳤으며호환가능합니다. 이러한바이러스백신공급자를위한하드코딩된제외가제공되므로바이러스백신스캔과암호화간의불일치를방지할수있습니다. 또한 Encryption 클라이언트는 Microsoft Enhanced Mitigation Experience Toolkit 에맞게테스트를거쳤습니다. 여기에나열되지않은바이러스백신공급자를조직에서사용하고있는경우 SLN 을참조하거나 Dell ProSupport 에연락하여도움을받으십시오. 요구사항 9

10 TPM 은 GPK 키봉인에사용됩니다. 따라서 Encryption 클라이언트를실행하는경우, 클라이언트컴퓨터에새운영체제를설치하기전에 BIOS 에서 TPM 을삭제하십시오. Encryption 클라이언트가설치된상태에서는내부운영체제업그레이드가지원되지않습니다. Encryption 클라이언트를설치제거및암호해독하고, 새운영체제로업그레이드한후, Encryption 클라이언트를다시설치합니다. 추가적으로운영체제재설치는지원되지않습니다. 운영체제를재설치하려는경우대상컴퓨터를백업하고, 컴퓨터를초기화하고, 운영체제를설치한뒤다음의설정된복구절차에따라암호화된데이터를복구합니다. Encryption 클라이언트필수구성요소 ESS 마스터설치프로그램에서 Microsoft Visual C 업데이트 4 를설치합니다 ( 컴퓨터에이미설치되어있지않은경우 ). 하위설치프로그램을사용할때는 Encryption 클라이언트를설치하기전에이구성요소를설치해야합니다. 필수구성요소 Visual C 업데이트 4 이상의재배포가능패키지 (x86 및 x64) Encryption 클라이언트하드웨어 다음표에지원되는하드웨어가나와있습니다. 내장하드웨어 ( 선택사항 ) TPM 1.2 또는 2.0 Encryption 클라이언트운영체제 다음표에지원되는운영체제가나와있습니다. Windows 운영체제 (32 및 64 비트 ) Windows 7 SP0-SP1: Enterprise, Professional, Ultimate Windows Embedded Standard 7, 응용프로그램호환성템플릿포함 ( 하드웨어암호화는지원되지않음 ) Windows 8: Enterprise, Pro Windows 8.1 업데이트 0-1: Enterprise Edition, Pro Edition Windows Embedded 8.1 Industry Enterprise ( 하드웨어암호화는지원되지않음 ) Windows 10: Education, Enterprise, Pro VMware Workstation 5.5 이상 노트 : UEFI 모드는 Windows 7, Windows Embedded Standard 7 또는 Windows Embedded 8.1 Industry Enterprise 에서지원되지않습니다. EMS(External Media Shield) 운영체제 다음표에는 EMS 로보호되는미디어에대한액세스가지원되는운영체제가자세히나와있습니다. 10 요구사항

11 노트 : EMS 를호스팅하려면외장형미디어에약 55MB 의사용가능한공간과암호화할파일중최대크기의파일에해당하는여유공간이있어야합니다. 노트 : Windows XP 는 EMS Explorer 를사용할때만지원됩니다. EMS 로보호받는미디어 (32 및 64 비트 ) 에대한액세스가지원되는 Windows 운영체제 Windows 7 SP0-SP1: Enterprise, Professional, Ultimate, Home Premium Windows 8: Enterprise, Pro, Consumer Windows 8.1 업데이트 0-1: Enterprise Edition, Pro Edition Windows 10: Education, Enterprise, Pro EMS 로보호되는미디어에대한액세스가지원되는 Mac 운영체제 (64 비트커널 ) Mac OS X Yosemite Mac OS X El Capitan macos Sierra Threat Protection 클라이언트 컴퓨터에서 Encryption 클라이언트가검색되지않으면 Threat Protection 클라이언트를설치할수없습니다. 설치를시도해도실패합니다. Threat Protection 을성공적으로설치하려면컴퓨터가네트워크에연결되어있어야합니다. 설치문제가발생하지않도록하려면 Threat Protection 클라이언트를설치하기전에다른벤더의안티바이러스, 안티멀웨어, 안티스파이웨어, 방화벽응용프로그램을설치제거하십시오. 충돌하는소프트웨어에 Windows Defender 및 Endpoint Security Suite 는포함되지않습니다. Internet Explorer 에서만웹차단기능이지원됩니다. Threat Protection 클라이언트운영체제 다음표에지원되는운영체제가나와있습니다. Windows 운영체제 (32 및 64 비트 ) Windows 7 SP0-SP1: Enterprise, Professional, Ultimate Windows 8: Enterprise, Pro Windows 8.1 Update 0-1: Enterprise Edition, Pro Edition Windows 10: Education, Enterprise, Pro Threat Protection 클라이언트포트 Threat Protection 클라이언트가최신 Threat Protection 업데이트를수신할수있도록하려면클라이언트가포트 443 및 80 을사용하여다양한대상서버와통신할수있어야합니다. 어떠한이유로든이러한포트가차단되면바이러스백신서명업데이트 (DAT 파일 ) 를다운로드할수없기때문에컴퓨터에최신보호기능을사용할수없습니다. 클라이언트컴퓨터가다음과같은 URL 에액세스할수있어야합니다. 요구사항 11

12 사용 응용프로그램프로토콜 전송프로토콜 포트번호대상방향참고 바이러스백신업데이트 HTTP TCP 443/80( 대체 포트 ) vs.mcafeeasap.com 아웃바운드 바이러스백신엔진 / 서명업데이트 SSL TCP 443 vs.mcafeeasap.com 아웃바운드 스팸방지엔진 HTTP TCP 443 vs.mcafeeasap.com 아웃바운드 스팸방지규칙및스트리밍업데이트 HTTP TCP 80 vs.mcafeeasap.com 아웃바운드패킷유형 : X-SU3X-SU3- 구성요소 - 이름 X-SU3- 구성요소 -Type X-SU3- 상태 신뢰도서비스 SSL TCP 443 tunnel.web.trustedsource.org 아웃바운드 신뢰도서비스피드백 SSL TCP 443 gtifeedback.trustedsource.or g 아웃바운드 격리관리자 HTTP HTTPS TCP 사용자의 EE Server/VE Server 양방향 URL 신뢰도데이터베이스업데이트 HTTP TCP 80 list.smartfilter.com 아웃바운드 URL 신뢰도조회 SSL TCP 443 tunnel.web.trustedsource.org 아웃바운드 SED 클라이언트 SED Management 를성공적으로설치하려면컴퓨터가유선네트워크에연결되어있어야합니다. IPv6 는지원되지않습니다. 정책을적용한다음실행준비를마친후에컴퓨터를종료하고다시시작할준비를하십시오. 자체암호화드라이브가장착된컴퓨터에는 HCA 카드를사용할수없습니다. HCA 의프로비저닝을방지하는비호환성이있습니다. Dell 은자체암호화드라이브가설치되어 HCA 모듈까지지원하는컴퓨터는판매하지않습니다. 이지원되지않는구성은애프터마켓구성입니다. 암호화대상으로지정된컴퓨터에자체암호화드라이브가장착된경우 Active Directory 옵션인다음로그인할때반드시암호변경이비활성화되어있는지확인하십시오. Preboot Authentication 이이 Active Directory 옵션을지원하지않습니다. PBA 가활성화된후에는인증방법을변경하지않을것을권장합니다. 인증방법을전환해야할경우 PBA 에서모든사용자를제거합니다. 또는 PBA 를비활성화하고인증방법을변경한후 PBA 를다시활성화합니다. 중요 : RAID 및 SED 특성상, SED 관리에서 RAID 가지원되지않습니다. SED 의 RAID=On 문제는잠긴 SED 에서사용할수없는높은수준의섹터에서 RAID 관련데이터를읽고쓰려면 RAID 에서처음부터디스크에액세스할수있어야하며이데이터를읽기위해사용자가로그온할때까지기다릴수없다는것입니다. 이문제를해결하려면 BIOS 에서 SATA 작동을 RAID=On 에서 AHCI 로변경합니다. 운영체제에 AHCI 컨트롤러드라이브가사전설치되어있지않은경우 RAID=On 에서 AHCI 로전환할때파란색화면이표시됩니다. 12 요구사항

13 SED Management 는 Server Encryption 과함께사용할경우에지원되지않습니다. OPAL 드라이버 지원되는 OPAL 호환 SED 에서는 에있는업데이트된 Intel Rapid Storage Technology 드라이버가필요합니다. SED 클라이언트필수구성요소 ESS 마스터설치프로그램에서 Microsoft Visual C SP1 및 Microsoft Visual C 업데이트 4 를설치합니다 ( 컴퓨터에이미설치되어있지않은경우 ). 하위설치프로그램을사용할때는 SED Management 설치에앞서이구성요소를먼저설치해야합니다. 전제조건 Visual C SP1 이상재배포가능패키지 (x86 및 x64) Visual C 업데이트 4 이상의재배포가능패키지 (x86 및 x64) SED 클라이언트하드웨어 OPAL 호환 SED SED Management 와함께지원되는 Opal 호환 SED 의최신목록은다음 KB 문서 ( SLN296720) 를참조하십시오. UEFI 가지원되는 Dell 컴퓨터모델 다음은 UEFI 가지원되는 Dell 컴퓨터모델을나타낸표입니다. Dell 컴퓨터모델 - UEFI 지원 Latitude 5280 Latitude 5480 Latitude 5580 Latitude 7370 Latitude E5270 Latitude E5470 Latitude E5570 Latitude E7240 Latitude E7250 Latitude E7260 Latitude E7265 Latitude E7270 Latitude E7275 Latitude E7280 Latitude E7350 Latitude E7440 Latitude E7450 Latitude E7460 Latitude E7470 Latitude E7480 Latitude 12 Rugged Extreme Precision M3510 Precision M4800 Precision M5510 Precision M5520 Precision M6800 Precision M7510 Precision M7520 Precision M7710 Precision M7720 Precision T3420 Precision T3620 Precision T7810 Optiplex 3040 Micro, Mini Tower, Small Form Factor Optiplex 3046 OptiPlex 3050 All-In-One OptiPlex 3050 Tower, Small Form Factor, Micro Optiplex 5040 Mini Tower, Small Form Factor OptiPlex 5050 Tower, Small Form Factor, Micro OptiPlex 7020 Optiplex 7040 Micro, Mini Tower, Small Form Factor OptiPlex 7050 Tower, Small Form Factor, Micro Optiplex 3240 All-In-One OptiPlex 5250 All-In-One Optiplex 7440 All-In-One OptiPlex 7450 All-In-One OptiPlex 9020 Micro Venue Pro 11( 모델 5175/5179) Venue Pro 11 ( 모델 7139) 요구사항 13

14 Dell 컴퓨터모델 - UEFI 지원 Latitude 12 Rugged Tablet( 모델 7202) Latitude 14 Rugged Extreme Latitude 14 Rugged 노트 : 인증된 Opal 호환 SED 를갖춘 Windows 8, Windows 8.1, Windows 10 을실행하는컴퓨터에서는 UEFI 모드로인증기능이지원됩니다. 그밖에 Windows 7, Windows 8, Windows 8.1, Windows 10 을실행하는컴퓨터에서는레거시부팅모드를지원합니다. 국제키보드 다음표에는 UEFI 및비 UEFI 컴퓨터에서사전부팅인증이지원되는국제키보드가나열되어있습니다. 국제키보드지원 - UEFI DE-CH - 독일어 ( 스위스 ) DE-FR - 프랑스어 ( 스위스 ) 국제키보드지원 - 비 UEFI AR - 아랍어 ( 라틴문자사용 ) DE-CH - 독일어 ( 스위스 ) DE-FR - 프랑스어 ( 스위스 ) SED 클라이언트운영체제 다음표에지원되는운영체제가나와있습니다. Windows 운영체제 (32 및 64 비트 ) Windows 7 SP0-SP1: Enterprise, Professional(UEFI 를제외한레거시부팅모드에서지원됨 ) 노트 : 레거시부팅모드는 Windows 7 에서지원됩니다. UEFI 는 Windows 7 에서지원되지않습니다. Windows 8: Enterprise, Pro, Windows 8.1: Enterprise Edition, Pro Edition Windows 10: Education, Enterprise, Pro Advanced Authentication 클라이언트 Advanced Authentication 을통해 Security Tools 를사용하여관리및등록하는고급인증자격증명을사용하여이컴퓨터에사용자가안전하게액세스할수있습니다. Security Tools 는 Windows 암호, 지문, 스마트카드를포함한 Windows 로그인에대한인증자격증명의기본관리자가됩니다. Microsoft 운영체제를사용하여등록한사진암호, PIN, 지문자격증명은 Windows 로그인시인식되지않습니다. 계속해서 Microsoft 운영체제를사용하여사용자의자격증명을관리하려면 Security Tools 를설치하거나설치제거하지마십시오. OTP( 일회용암호 ) 기능을사용하려면 TPM 을설치하고, 활성화해야하며, 소유권을가지고있어야합니다. OTP 는 TPM 2.0 에서지원되지않습니다. TPM 의소유권을제거한후설정하려면 을참조하십시오. 14 요구사항

15 SED 는 Advanced Authentication 이나암호화를제공하기위해 TPM 이필요하지않습니다. Advanced Authentication 클라이언트하드웨어 다음표에는지원되는인증하드웨어가자세히설명되어있습니다. 지문및스마트카드판독기 보안모드의 Validity VFS495 ControlVault 스와이프리더 UPEK TCS1 FIPS 201 보안리더 Authentec Eikon 및 Eikon To Go USB 리더 비접촉식카드 지정된 Dell 노트북에탑재된비접촉식카드리더기를이용한비접촉식카드 스마트카드 ActivIdentity 클라이언트를사용하는 PKCS #11 스마트카드 노트 : ActivIdentity 클라이언트는사전로드되어있지않으며별도로설치해야합니다. CSP 카드 CAC(Common Access Cards) 클래스 B/SIPR Net 카드 다음은 SIPR Net 카드가지원되는 Dell 컴퓨터모델을보여주는표입니다. Dell 컴퓨터모델 - 클래스 B/SIPR Net 카드지원 Latitude E6440 Latitude E6540 Precision M2800 Precision M4800 Precision M6800 Latitude 14 Rugged Extreme Latitude 12 Rugged Extreme Latitude 14 Rugged Advanced Authentication 클라이언트운영체제 Windows 운영체제 다음표에지원되는운영체제가나와있습니다. Windows 운영체제 (32 및 64 비트 ) Windows 7 SP0-SP1: Enterprise, Professional, Ultimate Windows 8: Enterprise, Pro Windows 8.1 업데이트 0-1: Enterprise Edition, Pro Edition Windows 10: Education, Enterprise, Pro 노트 : UEFI 모드는 Windows 7 에서지원되지않습니다. 모바일장치운영체제 다음모바일운영체제들은 Security Tools 일회용암호기능을지원합니다. 요구사항 15

16 Android 운영체제 Ice Cream Sandwich Jelly Bean KitKat Lollipop ios 운영체제 ios 7.x ios 8.x Windows Phone 운영체제 Windows Phone 8.1 Windows 10 Mobile BitLocker Manager 클라이언트 해당환경에 BitLocker 가배포되어있지않으면 Microsoft BitLocker 요구사항을검토하시기바랍니다. PBA 파티션이설정되었는지확인하십시오. PBA 파티션이설정되기전에 BitLocker Manager 를설치한경우 BitLocker 를사용할수없으며 BitLocker Manager 가작동하지않습니다. BitLocker PBA 파티션설정을위한사전설치구성을참조하십시오. 키보드, 마우스, 비디오구성요소를컴퓨터에직접연결해야합니다. KVM 스위치는컴퓨터가하드웨어를올바르게식별하는데방해될수있으므로 KVM 스위치를사용하여주변장치를관리하지마십시오. TPM 을켜고활성화합니다. BitLocker Manager 에서 TPM 을소유하며재부팅은필요하지않습니다. 단, TPM 소유권이이미있는경우 BitLocker Manager 에서암호화설정프로세스를시작합니다 ( 재시작이필요하지않음 ). 중요한점은 TPM 을 " 소유 " 및활성화해야한다는것입니다. 해당장치에서 GPO 보안설정인 " 시스템암호기법 : 암호화, 해싱및서명을위한 FIPS 호환알고리즘사용 " 에대해 FIPS 모드가활성화되어있으며당사의제품을통해해당장치를관리할경우, BitLocker Manager 클라이언트는승인된 AES FIPS 유효성검사알고리즘을사용합니다. Microsoft 가응용프로그램호환성, 복구및미디어암호화로인해고객에게 FIPS 유효성검사암호화를사용하지않도록권하기때문에우리는이모드를 BitLocker 암호화클라이언트에대한기본설정으로강제실행하지는않습니다. 을참조하십시오. BitLocker Manager 클라이언트필수구성요소 ESS 마스터설치프로그램에서 Microsoft Visual C SP1 및 Microsoft Visual C 업데이트 4 를설치합니다 ( 컴퓨터에이미설치되어있지않은경우 ). 하위설치프로그램을사용할때는 BitLocker Manager 를설치하기전에이구성요소를설치해야합니다. 전제조건 Visual C SP1 이상재배포가능패키지 (x86 및 x64) Visual C 업데이트 4 이상의재배포가능패키지 (x86 및 x64) BitLocker Manager 클라이언트운영체제 다음표에지원되는운영체제가나와있습니다. Windows 운영체제 Windows 7 SP0-SP1: Enterprise, Ultimate(32 비트및 64 비트 ) Windows 8: Enterprise(64 비트 ) Windows 8.1: Enterprise Edition, Pro Edition(64 비트 ) Windows 10: Education, Enterprise, Pro 16 요구사항

17 Windows 운영체제 Windows Server 2008 R2: Standard Edition, Enterprise Edition(64 비트 ) Windows Server 2012 Windows Server 2012 R2: Standard Edition, Enterprise Edition(64 비트 ) Windows Server 2016 인증옵션 다음인증옵션은특정하드웨어를필요로합니다. 지문, 스마트카드, 비접촉식카드, 클래스 B/SIPR 넷카드및 UEFI 컴퓨터에서인증 Windows 인증을사용하는스마트카드, PBA( 부팅전인증 ) 를사용하는스마트카드및일회용암호옵션에는구성이필요합니다. 다음표는하드웨어및구성요구사항이충족될때사용가능한인증옵션을운영체제별로보여줍니다. Encryption 클라이언트 비 UEFI PBA Windows 인증 암호지문접촉식스마트카드 OTP SIPR 카드 암호 지문 스마트카 드 OTP SIPR 카드 Windows 7 SP0- SP1 X X 2 X 2 X 1 X 2 Windows 8 X X 2 X 2 X 1 X 2 Windows 8.1 업데이트 0-1 X X 2 X 2 X 1 X 2 Windows 10 X X 2 X 2 X 1 X 2 1. 마스터설치프로그램또는 Advanced Authentication 패키지 ( 하위설치프로그램을사용하는경우 ) 와함께설치하는경우사용할수있습니다. 2. support.dell.com 에서인증드라이브를다운로드할때사용할수있습니다. UEFI PBA - 지원되는 Dell 컴퓨터에서 Windows 인증 암호지문접촉식스마트카드 OTP SIPR 카드 암호 지문 스마트카 드 OTP SIPR 카드 Windows 7 SP0- SP1 Windows 8 X X 2 X 2 X 1 X 2 Windows 8.1 업데이트 0-1 X X 2 X 2 X 1 X 2 Windows 10 X X 2 X 2 X 1 X 2 1. 마스터설치프로그램또는 Advanced Authentication 패키지 ( 하위설치프로그램을사용하는경우 ) 와함께설치하는경우사용할수있습니다. 2. support.dell.com 에서인증드라이브를다운로드할때사용할수있습니다. 요구사항 17

18 SED 클라이언트 비 UEFI Windows 7 SP0- SP1 PBA 암호지문접촉식스마트카드 OTP SIPR 카드 Windows 인증 암호 지문 스마트카 드 X 2 X 2 3 X X 3 X 3 X 1 X 3 OTP SIPR 카드 Windows 8 X 2 X 2 3 X X 3 X 3 X 1 X 3 Windows 8.1 X 2 X 2 3 X X 3 X 3 X 1 X 3 Windows 10 X 2 X 2 3 X X 3 X 3 X 1 X 3 1. 마스터설치프로그램또는 Advanced Authentication 패키지 ( 하위설치프로그램을사용하는경우 ) 와함께설치하는경우사용할수있습니다. 2. support.dell.com 에서인증드라이브를다운로드할때사용할수있습니다. 3. 지원되는 OPAL SED 에서사용할수있습니다. UEFI PBA - 지원되는 Dell 컴퓨터에서 Windows 인증 암호지문접촉식스마트카드 OTP SIPR 카드 암호 지문 스마트카 드 OTP SIPR 카드 Windows 7 Windows 8 X 4 X X 2 X 2 X 1 X 2 Windows 8.1 X 4 X X 2 X 2 X 1 X 2 Windows 10 X 4 X X 2 X 2 X 1 X 2 1. 마스터설치프로그램또는 Advanced Authentication 패키지 ( 하위설치프로그램을사용하는경우 ) 와함께설치하는경우사용할수있습니다. 2. support.dell.com 에서인증드라이브를다운로드할때사용할수있습니다. 4. 지원되는 UEFI 컴퓨터에서지원되는 OPAL SED 에사용할수있습니다. BitLocker Manager 비 UEFI PBA 5 암호지문접촉식스마트카드 OTP SIPR 카드 Windows 인증 암호 지문 스마트카 드 Windows 7 X X 2 X 2 X 1 X 2 Windows 8 X X 2 X 2 X 1 X 2 OTP SIPR 카드 18 요구사항

19 비 UEFI PBA 5 암호지문접촉식스마트카드 OTP SIPR 카드 Windows 인증 암호 지문 스마트카 드 Windows 8.1 X X 2 X 2 X 1 X 2 Windows 10 X X 2 X 2 X 1 X 2 OTP SIPR 카드 Windows Server 2008 R2(64 비트 ) X X 2 1. 마스터설치프로그램또는 Advanced Authentication 패키지 ( 하위설치프로그램을사용하는경우 ) 와함께설치하는경우사용할수있습니다. 2. support.dell.com 에서인증드라이브를다운로드할때사용할수있습니다. 5. BitLocker Preboot PIN 은 Microsoft 기능을통해관리됩니다. UEFI PBA 5 - 지원되는 Dell 컴퓨터에서 Windows 인증 암호지문접촉식스마트카드 OTP SIPR 카드 암호 지문 스마트카 드 OTP SIPR 카드 Windows 7 Windows 8 X X 2 X 2 X 1 X 2 Windows 8.1 X X 2 X 2 X 1 X 2 Windows 10 X X 2 X 2 X 1 X 2 Windows Server 2008 R2(64 비트 ) X X 2 1. 마스터설치프로그램또는 Advanced Authentication 패키지 ( 하위설치프로그램을사용하는경우 ) 와함께설치하는경우사용할수있습니다. 2. support.dell.com 에서인증드라이브를다운로드할때사용할수있습니다. 5. BitLocker Preboot PIN 은 Microsoft 기능을통해관리됩니다. 요구사항 19

20 3 레지스트리설정 이섹션에서는레지스트리설정이유와관계없이로컬클라이언트컴퓨터에대해 Dell ProSupport 에서승인한모든레지스트리설정에대해자세히설명합니다. 레지스트리설정에두제품이겹치면각범주에해당설정이나열됩니다. 이러한레지스트리변경작업은관리자만수행할수있으며일부시나리오에서는적절하지않거나작업하지못할수도있습니다. Encryption 클라이언트레지스트리설정 Dell 서버에서 Windows 용 Enterprise Edition 에자체서명된인증서를사용하는경우클라이언트컴퓨터에서인증서신뢰유효성검사는비활성상태로유지해야합니다 (Windows 용 Enterprise Edition 에서신뢰유효성검사는기본적으로비활성화됨 ). 클라이언트컴퓨터에서신뢰유효성검사를활성화하기전에다음조건을충족시켜야합니다. EnTrust 또는 Verisign 등루트인증기관이서명한인증서를 EE Server/VE Server 로가져와야합니다. 인증서의전체신뢰체인은클라이언트컴퓨터의 KeyStore 에저장되어야합니다. Windows 용 EE 에서신뢰유효성검사를활성화하려면클라이언트컴퓨터에서다음레지스트리항목의값을 0 으로변경하십시오. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "IgnoreCertErrors"=dword: = 인증서오류가발생할경우실패 1= 오류무시 Windows 인증과함께스마트카드를사용하려면클라이언트컴퓨터에서다음레지스트리값을설정해야합니다. [HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards] "MSSmartcardSupport"=dword:1 Encryption Removal Agent 로그파일을만들려면다음과같이암호해독대상컴퓨터에서레지스트리항목을만드십시오. ( 선택사항 ) Encryption Removal Agent 로그파일생성을참조하십시오. [HKLM\Software\Credant\DecryptionAgent] "LogVerbosity"=dword:2 0: 로깅하지않음 1: 서비스가실행되지않는오류로깅 2: 전체데이터암호해독이안되는오류로깅 ( 권장수준 ) 3: 모든암호해독볼륨및파일에대한정보로깅 5: 디버깅정보로깅 기본적으로, 설치중에시스템트레이아이콘이표시됩니다. 최초설치후에컴퓨터에서모든관리되는사용자에대해시스템트레이아이콘을숨기려면다음레지스트리설정을사용하십시오. 다음의레지스트리설정을생성하거나수정합니다. [HKLM\Software\CREDANT\CMGShield] 20 레지스트리설정

21 "HIDESYSTRAYICON"=dword:1 기본적으로, 설치중에 c:\windows\temp 디렉터리의모든임시파일이자동으로삭제됩니다. 임시파일이삭제되면초기암호화가신속하게진행되며삭제작업은초기암호화스윕이수행되기전에발생합니다. 하지만조직에서 \temp 디렉터리내에파일구조를유지해야하는타사응용프로그램을사용하는경우에는이러한삭제를방지해야합니다. 임시파일삭제를사용하지않으려면다음과같이레지스트리설정을만들거나수정하십시오. [HKLM\SOFTWARE\CREDANT\CMGShield] "DeleteTempFiles"=REG_DWORD:0 임시파일을삭제하지않으면초기암호화에시간이더걸립니다. Encryption 클라이언트는업데이트가수행될때마다각정책업데이트시간연기메시지를 5 분동안표시합니다. 사용자가메시지에응답하지않으면다음지연이시작됩니다. 최종연기메시지에카운트다운및진행률표시줄이포함되고, 사용자가응답하거나최종연기가만료되고필요한로그오프 / 재부팅이수행될때까지해당메시지가표시됩니다. 사용자가메시지에응답하지않으면암호화가처리되지않도록방지하기위해암호화를시작하거나지연하도록사용자메시지의동작을변경할수있습니다. 이렇게하려면레지스트리를다음값으로설정하십시오. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "SnoozeBeforeSweep"=DWORD:1 0 이아닌값을사용하면기본동작이다시알림으로변경됩니다. 사용자가상호작용하지않으면구성가능한허용연기횟수까지암호화처리가연기됩니다마지막연기시간이끝나면암호화처리가시작됩니다. 다음과같이최대연기시간을계산합니다 ( 사용자가 5 분동안표시되는각지연메시지에응답하지않을경우최대시간동안지연됨 ). ( 허용되는정책업데이트연기횟수 각정책업데이트연기시간 ) + (5 분 [ 허용되는정책업데이트연기횟수 - 1]) 정책업데이트를강제적용하기위해 Encryption 클라이언트가 EE Server/VE Server 를폴링하도록하려면다음레지스트리설정을사용하십시오. 다음의레지스트리설정을생성하거나수정합니다. [HKLM\SOFTWARE\Credant\CMGShield\Notify] "PingProxy"=DWORD value:1 작업이완료되면레지스트리설정이자동으로사라집니다. Encryption 클라이언트가최적화된인벤토리를 EE Server/VE Server 에보내거나, 전체인벤토리를 EE Server/VE Server 에보내거나, 활성화된모든사용자에대한전체인벤토리를 EE Server/VE Server 에보내도록허용하려면다음레지스트리설정을사용하십시오. 최적화된인벤토리를 EE Server/VE Server 에보내는경우 : 다음의레지스트리설정을생성하거나수정합니다. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "OnlySendInvChanges"=REG_DWORD:1 항목이없으면최적화된인벤토리가 EE Server/VE Server 에전송됩니다. 전체인벤토리를 EE Server/VE Serverr 에보내는경우 : 다음의레지스트리설정을생성하거나수정합니다. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] 레지스트리설정 21

22 "OnlySendInvChanges"=REG_DWORD:0 항목이없으면최적화된인벤토리가 EE Server/VE Server 에전송됩니다. 활성화된모든사용자에대한전체인벤토리를보내는경우 : [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "RefreshInventory"=REG_DWORD:1 이항목은처리되는즉시레지스트리에서삭제됩니다. 이값은자격증명모음에저장되므로인벤토리업로드가발생하기전에컴퓨터가재부팅되더라도 Encryption 클라이언트는다음에발생하는인벤토리업로드에서이요청을적용합니다. 이항목은 OnlySendInvChanges 레지스트리값을대체합니다. 슬롯된활성화는대규모배포중에 EE Server/VE Server 에서쉽게로드되도록설정된기간동안클라이언트활성화를분산시킬수있는기능입니다. 알고리즘방식으로형성된시간슬롯을기준으로활성화가지연되므로활성화횟수가원활하게분산됩니다. VPN 을통해활성화해야하는사용자의경우, VPN 클라이언트가네트워크연결을설정할수있을때까지초기활성화를지연하기위해클라이언트에슬롯된활성화구성이필요할수있습니다. 중요 : 슬롯된활성화는 Dell ProSupport 의지시에따라서만구성해야합니다. 시간슬롯을올바르지않게구성하면 EE Server/VE Server 에대해한번에많은수의클라이언트가활성화를시도하므로심각한성능문제가발생할수있습니다. 다음레지스트리항목을사용할때는컴퓨터를다시시작하여업데이트를적용해야합니다. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SlottedActivation] 슬롯된활성화사용또는사용해제 사용해제 =0 ( 기본값 ) 사용 =1 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\CalRepeat] 활성화슬롯간격이발생하는기간 ( 초 ) 입니다. 활성화슬롯간격이발생하는기간 ( 초 ) 을재정의하려면이설정을사용합니다. 7 시간동안활성화슬롯이발생되도록하려면 초로설정할수있습니다. 기본설정은 초이며활성화슬롯이매일반복됩니다. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\SlotIntervals] 모든활성화시간슬롯이발생할때반복되는간격입니다 (ACTIVATION_SLOT_CALREPEAT). 하나의간격만허용됩니다. 이설정은 0(<CalRepeat>) 이어야합니다. 0 이외의값으로설정하면예기치않은결과가발생할수있습니다. 기본설정은 0,86400 입니다. 7 시간마다반복되도록하려면 0,25200 으로설정합니다. CALREPEAT 는사용자가로그인할때활성화됩니다. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\MissThreshold] 활성화가슬롯된사용자가다음에로그온할때컴퓨터가활성화를시도하기전에생략할수있는활성화슬롯개수입니다. 이시도에서활성화에실패하면클라이언트는슬롯된활성화를다시시도합니다. 네트워크장애로인해활성화에실패하면 MISSTHRESHOLD 의값이초과하지않았더라도네트워크가다시연결될때활성화가시도됩니다. 활성화시간슬롯에도달하기전에사용자가로그아웃하면, 다음에로그인할때새슬롯이지정됩니다. [HKCU/Software/CREDANT/ActivationSlot] ( 사용자데이터별 ) 슬롯된활성화시도가지연되는시간으로서, 슬롯된활성화가사용되도록설정된후에사용자가처음으로네트워크에로그온할때설정됩니다. 활성화슬롯은활성화가시도될때마다다시계산됩니다. [HKCU/Software/CREDANT/SlotAttemptCount] ( 사용자데이터별 ) 시간슬롯에도달하여활성화를시도했지만실패할경우실패또는생략된시도의횟수입니다. 이횟수가 ACTIVATION_SLOT_MISSTHRESHOLD 의값에도달하면, 컴퓨터가네트워크에연결될때즉시활성화가시도됩니다. 22 레지스트리설정

23 클라이언트컴퓨터의관리되지않는사용자를검색하려면클라이언트컴퓨터에서다음레지스트리값을설정하십시오. [HKLM\SOFTWARE\Credant\CMGShield\ManagedUsers\] "UnmanagedUserDetected"=DWORD value:1 이컴퓨터에서관리되지않는사용자를검색하려면값을 1 로설정합니다. 이컴퓨터에서관리되지않는사용자를검색하지않으려면값을 0 으로설정합니다. 사용자가비활성화되는드문경우에서자동재활성화를사용하려면다음레지스트리값을클라이언트컴퓨터에서설정해야합니다. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CMGShield] "AutoReactivation"=dword: = 사용안함 ( 기본값 ) 1= 사용 SDE(System Data Encryption) 는 SDE 암호화규칙에대한정책값에따라적용됩니다. 추가디렉터리는 SDE 암호기능활성화정책이선택되어있는경우기본적으로보호됩니다. 자세한내용은 AdminHelp 에서 "SDE 암호화규칙 " 을검색하십시오. Encryption 클라이언트가활성 SDE 정책이포함된정책업데이트를처리하면, SDE 키 ( 장치키 ) 가아닌 SDUser 키 ( 사용자키 ) 로현재사용자프로필디렉터리가기본적으로암호화됩니다. SDE 로암호화되지않은사용자디렉터리로복사되는 ( 이동아님 ) 파일또는폴더를암호화하는데에도이 SDUser 키가사용됩니다. SDUser 키를비활성화하여 SDE 키를사용해이러한사용자디렉터리를암호화하려면, 컴퓨터에서다음레지스트리항목을생성하십시오. [HKEY_LOCAL_MACHINE\SOFTWARE\Credant\CMGShield] "EnableSDUserKeyUsage"=dword: 이레지스트리키가없거나 0 이외의다른값으로설정되어있으면, SDUser 키가이러한사용자디렉터리를암호화하는데사용됩니다. SDUser 에대한자세한내용은 을참조하십시오. 일반키암호화데이터를사용하거나암호화, 암호화해제또는수많은파일을하나의폴더에압축해제하는것과관련하여컴퓨터의 Microsoft 업데이트에문제가발생하는경우레지스트리키를 EnableNGMetadata 로설정합니다. 다음위치의 EnableNGMetadata 레지스트리항목을아래와같이설정합니다. [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CmgShieldFFE] "EnableNGMetadata" = dword:1 0= 사용안함 ( 기본값 ) 1= 사용 비도메인활성화기능을사용하려면 Dell ProSupport 에연락하여요청하십시오. Threat Protection 클라이언트레지스트리설정 클라이언트가 EE Server/VE Server 에전송하는위협차단이벤트는클라이언트컴퓨터에자동으로보관되지않습니다. 클라이언트컴퓨터에이벤트를보관하려면다음레지스트리키를설정하십시오 ( 예 : EE Server/VE Server 에액세스할수없는경우 ). [HKLM\Software\Dell\Dell Data Protection\ThreatProtection] "ArchiveEvents"=dword:1 레지스트리설정 23

24 0= 사용안함, 1= 사용 기본적으로로그의자세한표시수준이경고로설정됩니다. 디버그로그의자세한표시수준을구성하려면다음레지스트리키를설정합니다. [HKLM\Software\Dell\Dell Data Protection] "LogVerbosity"=dword:10 10= 디버그자세한표시수준 위협이감지될때클라이언트컴퓨터에팝업알림이표시됩니다. 알림을표시하지않으려면이레지스트리값을 1 로설정합니다. [HKLM\Software\Dell\Dell Data Protection] "DDPTPHideToasters"=dword:1 0= 사용안함 ( 기본값 ), 1= 사용함 ( 알림표시하지않음 ) 최소심각수준의알림을표시하려면다음과같이레지스트리키를설정합니다. [HKLM\Software\Dell\Dell Data Protection] "DDPTPEventSeverityFilter"=dword:3 0= 정보 ( 모든이벤트표시 ), 1= 경고, 2= 사소, 3= 중대 ( 기본값, 중대및위험만표시 ), 4= 위험 "DDPTPHideToasters" 가 1 로설정되어있으면 "DDPTPEventSeverityFilter" 의설정값이무시됩니다. SED 클라이언트레지스트리설정 EE Server/VE Server 가 SED 클라이언트와통신할수없을경우재시도간격을설정하려면다음레지스트리값을추가합니다. [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "CommErrorSleepSecs"=dword:300 이값은 EE Server/VE Server 가 SED 클라이언트와통신할수없는경우 SED 클라이언트가서버에연결하도록시도할때까지대기하는시간 ( 초 ) 입니다. 기본값은 300 초 (5 분 ) 입니다. EE Server/VE Server 에서 SED Management 에자체서명된인증서를사용하는경우클라이언트컴퓨터에서 SSL/TLS 신뢰유효성검사는비활성상태로유지해야합니다 (SED Management 에서 SSL/TLS 신뢰유효성검사는기본적으로비활성화됨 ). 클라이언트컴퓨터에서 SSL/TLS 신뢰유효성검사를활성화하기전에다음조건을충족시켜야합니다. EnTrust 또는 Verisign 등루트인증기관이서명한인증서를 EE Server/VE Server 로가져와야합니다. 인증서의전체신뢰체인은클라이언트컴퓨터의 KeyStore 에저장되어야합니다. SED Management 에서 SSL/TLS 신뢰유효성검사를활성화하려면클라이언트컴퓨터에서다음레지스트리항목의값을 0 으로변경하십시오. [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "DisableSSLCertTrust"=DWORD:0 0 = 활성화 1 = 비활성화 Windows 인증과함께스마트카드를사용하려면클라이언트컴퓨터에서다음레지스트리값을설정해야합니다. [HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards] "MSSmartcardSupport"=dword:1 24 레지스트리설정

25 PBA( 부팅전인증 ) 와함께스마트카드를사용하려면클라이언트컴퓨터에서다음레지스트리값을설정해야합니다. Remote Management Console 에서인증방법정책을스마트카드로설정하고변경을커밋합니다. [HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards] "MSSmartcardSupport"=dword:1 PBA 가활성화되어있는지확인하려면다음값이설정되어있어야합니다. [HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent\Parameters] "PBAIsActivated"=DWORD (32-bit):1 값이 1 이면 PBA 가활성화되어있는것입니다. 값이 0 이면 PBA 가비활성화되어있는것입니다. EE Server/VE Server 가 SED 클라이언트와통신할수없을때 SED 클라이언트가 EE Server/VE Server 에연결을시도하는간격을설정하려면클라이언트컴퓨터에다음값을설정합니다. [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "CommErrorSleepSecs"=DWORD Value:300 이값은 EE Server/VE Server 가 SED 클라이언트와통신할수없는경우 SED 클라이언트가서버에연결하도록시도할때까지대기하는시간 ( 초 ) 입니다. 기본값은 300 초 (5 분 ) 입니다. 필요에따라 Security Server 호스트는원래설치위치에서변경될수있습니다. 호스트정보는정책폴링이발생할때마다클라이언트컴퓨터에서판독합니다. 클라이언트컴퓨터에서다음레지스트리값을변경하십시오. [HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent] "ServerHost"=REG_SZ:<newname>.<organization>.com 필요에따라 Security Server 포트는원래설치위치에서변경될수있습니다. 이값은정책폴링이발생할때마다클라이언트컴퓨터에서판독합니다. 클라이언트컴퓨터에서다음레지스트리값을변경하십시오. [HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent] ServerPort=REG_SZ:8888 필요에따라 Security Server URL 은원래설치위치에서변경될수있습니다. 이값은정책폴링이발생할때마다클라이언트컴퓨터에서판독합니다. 클라이언트컴퓨터에서다음레지스트리값을변경하십시오. [HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent] "ServerUrl"=REG_SZ: Advanced Authentication 클라이언트레지스트리상태 Advanced Authentication 클라이언트 (Security Tools) 가스마트카드및생체인식장치와관련된서비스의시작유형을 " 자동 " 으로변경하지않도록서비스시작기능을비활성화할수있습니다. 이기능을비활성화하면실행해야하는필요한서비스와관련된경고도표시되지않습니다. 이기능을비활성화하면 Security Tools 가다음서비스를시작하지않습니다. SCardSvr - 컴퓨터가판독하는스마트카드에대한액세스를관리합니다. 이서비스가중지되면컴퓨터에서스마트카드를판독할수없습니다. 이서비스가비활성화되면서비스에명시적으로의존된모든서비스가시작되지않습니다. SCPolicySvc - 스마트카드가제거되면사용자의데스크톱이잠기도록시스템을구성할수있습니다. WbioSrvc - Windows 생체인식서비스를통해클라이언트응용프로그램은생체인식하드웨어또는샘플에직접액세스하지않고도생체인식데이터를캡처, 비교, 조종, 저장할수있습니다. 이서비스는권한이부여된 SVCHOST 프로세스에서호스팅됩니다. 기본적으로레지스트리키가없거나값이 0 으로설정되어있는경우이기능이사용됩니다. 레지스트리설정 25

26 [HKLM\SOFTWARE\DELL\Dell Data Protection] SmartCardServiceCheck=REG_DWORD:0 0 = 활성화 1 = 비활성화 Windows 인증과함께스마트카드를사용하려면클라이언트컴퓨터에서다음레지스트리값을설정해야합니다. [HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards] "MSSmartcardSupport"=dword:1 SED PBA( 부팅전인증 ) 와함께스마트카드를사용하려면 SED 가장착된클라이언트컴퓨터에서다음레지스트리값을설정해야합니다. [HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards] "MSSmartcardSupport"=dword:1 Remote Management Console 에서인증방법정책을스마트카드로설정하고변경을커밋합니다. BitLocker Manager 클라이언트레지스트리설정 EE Server/VE Server 에서 BitLocker Manager 에자체서명된인증서를사용하는경우클라이언트컴퓨터에서 SSL/TLS 신뢰유효성검사는비활성상태로유지해야합니다 (BitLocker Manager 에서 SSL/TLS 신뢰유효성검사는기본적으로비활성화됨 ). 클라이언트컴퓨터에서 SSL/TLS 신뢰유효성검사를활성화하기전에다음조건을충족시켜야합니다. EnTrust 또는 Verisign 등루트인증기관이서명한인증서를 EE Server/VE Server 로가져와야합니다. 인증서의전체신뢰체인은클라이언트컴퓨터의 KeyStore 에저장되어야합니다. BitLocker Manager 에서 SSL/TLS 신뢰유효성검사를활성화하려면클라이언트컴퓨터에서다음레지스트리항목의값을 0 으로변경하십시오. [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "DisableSSLCertTrust"=DWORD:0 0 = 활성화 1 = 비활성화 26 레지스트리설정

27 ESS 마스터설치프로그램을사용하여설치 4 명령줄스위치및매개변수는대 / 소문자를구분합니다. 기본이아닌포트를사용하여설치하려면 ESS 마스터설치프로그램대신하위설치프로그램을사용합니다. ESS 마스터설치프로그램로그파일은 C:\ProgramData\Dell\Dell Data Protection\Installer. 에있습니다. 응용프로그램에대한도움이필요한사용자에게는다음과같은문서및도움말파일을참조하도록안내하십시오. Encryption 클라이언트의기능사용방법에대해서는 Dell 암호화도움말을참조하십시오. <Install dir>:\program Files\Dell\Dell Data Protection\Encryption\Help 에있는도움말에액세스하십시오. External Media Shield 의기능사용방법에대해서는 EMS 도움말을참조하십시오. <Install dir>:\program Files\Dell\Dell Data Protection\Encryption\EMS 에있는도움말에액세스하십시오. Advanced Authentication 및 Threat Protection 의기능사용방법에대해서는 Endpoint Security Suite 도움말을참조하십시오. <Install dir>:\program Files\Dell\Dell Data Protection\Endpoint Security Suite\Threat Protection\Help 에서도움말에액세스하십시오. 설치후, 사용자가시스템트레이에서 Dell Data Protection 아이콘을마우스오른쪽단추로클릭하고정책업데이트확인을선택하여정책을업데이트해야합니다. ESS 마스터설치프로그램은전체제품군을설치합니다. ESS 마스터설치프로그램을사용하여설치하는방법은두가지입니다. 다음중하나를선택하십시오. ESS 마스터설치프로그램을사용하여대화형으로설치 또는 ESS 마스터설치프로그램을사용하여명령줄을통해설치 ESS 마스터설치프로그램을사용하여대화형으로설치 ESS 마스터설치프로그램의위치는다음과같습니다. Dell FTP 계정 - DDP-Endpoint-Security-Suite-1.x.x.xxx.zip 에서설치번들을찾습니다. 지침에따라 ESSE 마스터설치프로그램을사용하여 Dell Endpoint Security Suite 을대화형으로설치합니다. 이방법을사용하면제품군을한번에한대의컴퓨터에설치할수있습니다. 1 Dell 설치미디어에서 DDPSuite.exe 를찾습니다. 로컬컴퓨터로복사합니다. 2 설치프로그램을실행하려면를두번클릭합니다. 몇분정도걸릴수있습니다. 3 시작대화상자에서다음을클릭하십시오. 4 라이선스계약서를읽고조건을수락한후다음을클릭합니다. 5 Enterprise Server 이름필드에대상사용자를관리할 EE Server/VE Server 의정규화된호스트이름 ( 예 : server.organization.com) 을입력합니다. Device Server URL 필드에클라이언트가통신할 Device Server(Security Server) 의 URL 을입력합니다. 형식은 맨끝의슬래시포함 ) 입니다. 다음을클릭합니다. 6 다음을클릭하여기본위치인 C:\Program Files\Dell\Dell Data Protection\. 에제품을설치합니다. 다른위치에설치하면문제가발생할수도있으므로 Dell recommends installing in the default location only. 7 설치할구성요소를선택합니다. ESS 마스터설치프로그램을사용하여설치 27

28 Security Framework 는근본적인보안구조와, 지문과암호등의자격증명및 PBA 등을비롯한여러가지인증방법을관리하는고급인증클라이언트인 Security Tools 를설치합니다. Advanced Authentication 은고급인증에필요한파일및서비스를설치합니다. Encryption 은끝점이네트워크에연결, 네트워크에서분리, 분실또는도난여부에따라보안정책을시행하는구성요소인 Encryption 클라이언트를설치합니다. Threat Protection 은바이러스, 스파이웨어, 원치않는프로그램이있는지검사하는멀웨어및안티바이러스보호기능을제공하는 Threat Protection 클라이언트, 네트워크나인터넷을통한컴퓨터와리소스사이의통신을모니터링하는클라이언트방화벽, 웹사이트의안전등급을표시하거나온라인검색중에안전하지않은웹사이트에대한액세스를차단하는웹필터링을설치합니다. BitLocker Manager 는 BitLocker 암호화정책을중앙에서관리하여소유비용을간소화하고절감함으로써 BitLocker 배포의보안을강화하도록설계된 BitLocker Manager 클라이언트를설치합니다. Advanced Threat Protection 은알려지거나알려지지않은사이버위협의실행또는끝점손상을식별, 분류및방지하기위해알고리즘과학및장치학습을사용하는차세대안티바이러스보호기능을제공하는 Advanced Threat Prevention 클라이언트를설치합니다. 노트 : 동일한컴퓨터에서 Threat Protection 과 Advanced Threat Prevention 을함께사용할수없습니다. 설치프로그램이자동으로두구성요소중하나만선택하도록합니다. Advanced Threat Prevention 을설치하려면 Endpoint Security Suite Enterprise Advanced 설치안내서를다운로드하여지침을따르십시오. 선택이완료되면다음을클릭합니다. 8 설치를클릭하여설치를시작합니다. 설치는몇분정도걸릴수있습니다. 9 예, 컴퓨터를지금다시시작합니다를선택하고마침을클릭합니다. 설치가완료됩니다. ESS 마스터설치프로그램을사용하여명령줄을통해설치 명령줄설치에스위치를먼저지정해야합니다. 다른매개변수는인수안에포함되어 /v 스위치로전달됩니다. 스위치 다음표에 ESS 마스터설치프로그램과함께사용할수있는스위치에대한설명이나와있습니다. 스위치 설명 -y -gm2 ESS 마스터설치프로그램의사전추출. -y 및 -gm2 스위치는함께사용해야합니다. /S 자동설치 두스위치를각각사용하지마십시오. /z 변수를 DDPSuite.exe 내.msi 로전달 매개변수 다음표에 ESS 마스터설치프로그램과함께사용할수있는매개변수에대한설명이나와있습니다. ESS 마스터설치프로그램에서개별구성요소를제외할수없지만명령을수신해어떤구성요소를설치해야할지지정할수는있습니다. 28 ESS 마스터설치프로그램을사용하여설치

29 매개변수설명 SUPPRESSREBOOT 설치가완료된후자동재부팅을하지않습니다. 자동모드에서사용할수있습니다. 서버 EE Server/VE Server의 URL을지정합니다. InstallPath 설치경로를지정합니다. 자동모드에서사용할수있습니다. 기능자동모드로설치할수있는구성요소를지정합니다. DE-TP = Threat Protection 및 Encryption DE = Drive Encryption(Encryption 클라이언트 ) BLM = BitLocker Manager SED = 자체암호화드라이브관리 (EMAgent/Manager, PBA/GPE 드라이버 ) BLM_ONLY=1 명령줄에서 FEATURES=BLM을사용하여 SED Management 플러그인을제외할때사용해야합니다. 명령줄의예 명령줄매개변수는대 / 소문자를구분합니다. 이예에서는 ESS 마스터설치프로그램을사용하여표준포트에서모든구성요소를설치합니다 ( 자동설치, 기본위치인 C: \Program Files\Dell\Dell Data Protection\ 에설치, 지정된 EE Server/VE Server 를사용하도록구성 ). "DDPSuite.exe" -y -gm2 /S /z"\"server=server.organization.com\"" 이예에서는표준포트에서 ESS 마스터설치프로그램을사용하여 Threat Protection 및 Encryption 만설치합니다 ( 자동설치, 기본위치인 C:\Program Files\Dell\Dell Data Protection\ 에설치, 지정된 EE Server/VE Server 를사용하도록구성 ). "DDPSuite.exe" -y -gm2 /S /z"\"server=server.organization.com, FEATURES=DE-TP\"" 이예에서는표준포트에서 ESS 마스터설치프로그램을사용하여 Threat Protection, Encryption 및 SED Management 를설치합니다 ( 자동설치, 재부팅안함, 기본위치인 C:\Program Files\Dell\Dell Data Protection\ 에설치, 지정된 EE Server/VE Server 를사용하도록구성 ). "DDPSuite.exe" -y -gm2 /S /z"\"server=server.organization.com, FEATURES=DE-TP, SED, SUPPRESSREBOOT=1\"" ESS 마스터설치프로그램을사용하여설치 29

30 ESS 마스터설치프로그램을사용하여설치제거 5 각구성요소를별도로설치제거한후에 ESS 마스터설치프로그램을설치제거해야합니다. 설치제거장애를방지하려면특정순서대로클라이언트를설치제거해야합니다. 하위설치프로그램을가져오려면 ESS 마스터설치프로그램에서하위설치프로그램추출의지침을따릅니다. 설치작업과설치제거작업에동일한버전의 ESS 마스터설치프로그램 ( 및해당클라이언트 ) 을사용해야합니다. 이장에서는하위설치프로그램사용방법에대한자세한지침이있는다른장에대해설명합니다. 이장에서는마지막단계인 ESS 마스터설치프로그램설치제거에대해서만설명합니다. 클라이언트를다음순서로설치제거합니다. a Threat Protection 클라이언트설치제거 b Encryption 클라이언트설치제거. c d SED 및 Advanced Authentication 클라이언트설치제거 BitLocker Manager 클라이언트설치제거 드라이버패키지는설치제거할필요가없습니다. ESS 마스터설치프로그램설치제거를계속진행합니다. ESS 마스터설치프로그램설치제거 개별클라이언트가모두제거되었으면 ESS 마스터설치프로그램을설치제거할수있습니다. 명령줄설치제거 다음예에서는 ESS 마스터설치프로그램을자동으로설치제거합니다. "DDPSuite.exe" -y -gm2 /S /x 완료되면컴퓨터를다시부팅합니다. 30 ESS 마스터설치프로그램을사용하여설치제거

31 하위설치프로그램을사용하여설치 6 각클라이언트개별적으로설치하려면 ESS 마스터설치프로그램에서하위설치프로그램추출에나와있는대로먼저 ESS 마스터설치프로그램에서하위실행파일을추출해야합니다. 이섹션에포함된명령예에서는명령이 C:\extracted 에서실행된다고가정합니다. 명령줄스위치및매개변수는대 / 소문자를구분합니다. 명령줄에서공백과같은특수문자를하나이상포함하는값은이스케이프된따옴표로묶어야합니다. 이러한설치프로그램을사용하여스크립팅된설치, 배치파일또는조직에제공되는다른푸시기술을통해클라이언트를설치합니다. 명령줄예에서는재부팅을수행하지않았습니다. 하지만실제상황에서는재부팅이필요합니다. 컴퓨터를재부팅해야만암호화가시작됩니다. 로그파일 - Windows 는로그인된사용자에대해고유한하위설치프로그램설치로그파일을 C:\Users\<UserName>\AppData \Local\Temp. 의 %temp% 에생성합니다. 설치프로그램을실행할때별도의로그파일을추가하려는경우, 하위설치프로그램이첨부되지않으므로해당로그파일의이름은고유해야합니다. 표준.msi 명령을통해 /l*v C:\<any directory>\<any log file name>.log 를사용하여로그파일을생성할수있습니다. 별도로표시된경우를제외하고, 모든하위설치프로그램은명령줄설치에동일한기본.msi 스위치와표시옵션을사용합니다. 스위치를먼저지정해야합니다. /v 스위치가필요하며인수를사용합니다. 다른매개변수는인수안에포함되어 /v 스위치로전달됩니다. 표시옵션은예상동작을수행하도록 /v 스위치에전달된인수끝에지정할수있습니다. 동일한명령줄에 /q 와 /qn 을동시에사용하지마십시오. /qb 이후에! 및 - 만사용합니다. 스위치 의미 /v 변수를 setup.exe 안의.msi 로전달합니다. 콘텐츠는항상일반텍스트따옴표로묶어야합니다. /s 자동모드 /x 설치제거모드 /a 관리자설치 ( 모든파일을.msi 내에복사 ) 노트 : /v 를사용하면 Microsoft 기본옵션을사용할수있습니다. 옵션목록을보려면 windows/desktop/aa367988(v=vs.85).aspx 를참조하십시오. 옵션 의미 /q 진행률대화상자가없습니다. 프로세스완료후자동으로다시시작합니다. /qb 취소단추가있는진행률대화상자로, 다시시작할것인지묻습니다. /qb- 취소단추가있는진행률대화상자로, 프로세스완료후자동으로다시시작합니다. /qb! 취소단추가없는진행률대화상자로, 다시시작할것인지묻습니다. 하위설치프로그램을사용하여설치 31

32 옵션 의미 /qb!- 취소단추가없는진행률대화상자로, 프로세스완료후자동으로다시시작합니다. /qn /norestart 사용자인터페이스없음 재부팅안함 응용프로그램에대한도움이필요한사용자에게는다음과같은문서및도움말파일을참조하도록안내하십시오. Encryption 클라이언트의기능사용방법에대해서는 Dell 암호화도움말을참조하십시오. <Install dir>:\program Files\Dell\Dell Data Protection\Encryption\Help 에있는도움말에액세스하십시오. External Media Shield 의기능사용방법에대해서는 EMS 도움말을참조하십시오. <Install dir>:\program Files\Dell\Dell Data Protection\Encryption\EMS 에있는도움말에액세스하십시오. Advanced Authentication 및 Threat Protection 의기능사용방법에대해서는 Endpoint Security Suite 도움말을참조하십시오. <Install dir>:\program Files\Dell\Dell Data Protection\Endpoint Security Suite\Threat Protection\Help 에서도움말에액세스하십시오. 드라이버설치 ControlVault 용드라이버및펌웨어, 지문판독기및스마트카드는 ESS 마스터설치프로그램또는하위설치프로그램실행파일에포함되어있지않습니다. 드라이버및펌웨어는최신상태로유지해야하며 에서컴퓨터모델을선택하여다운로드하십시오. 인증하드웨어에따라적절한드라이버및펌웨어를다운로드하십시오. ControlVault NEXT 생채인식지문드라이버 유효지문판독기 495 드라이버 O2Micro 스마트카드드라이버 Dell 이외의하드웨어에설치하는경우해당벤더의웹사이트에서업데이트된드라이버및펌웨어를다운로드하십시오. Encryption 클라이언트설치 조직에서 EnTrust 또는 Verisign 등과같은루트인증기관이서명한인증서를사용하는경우 Encryption 클라이언트요구사항을검토하십시오. 인증서유효성검사를사용하려면클라이언트컴퓨터에서레지스트리설정을변경해야합니다. 설치후, 사용자가시스템트레이에서 Dell Data Protection 아이콘을마우스오른쪽단추로클릭하고정책업데이트확인을선택하여정책을업데이트해야합니다. Encryption 클라이언트설치프로그램의위치는다음과같습니다. Dell FTP 계정 - DDP-Endpoint-Security-Suite-1.x.x.xxx.zip 에서설치번들을찾은다음 ESS 마스터설치프로그램에서하위설치프로그램을추출합니다. 추출한후에 C:\extracted\Encryption 에서해당파일을찾습니다. 명령줄설치 다음표에설치시사용할수있는매개변수정보가나와있습니다. 매개변수 SERVERHOSTNAME=<ServerName> ( 재활성화용 Dell 서버의 FQDN) POLICYPROXYHOSTNAME=<RGKName> ( 기본정책프록시의 FQDN) MANAGEDDOMAIN=<MyDomain> ( 장치에사용할도메인 ) 32 하위설치프로그램을사용하여설치

33 매개변수 DEVICESERVERURL=<DeviceServerName/SecurityServerName> ( 활성화에사용된 URL, 보통서버이름, 포트및 xapi가포함됨 ) GKPORT=<NewGKPort> ( 게이트키퍼포트 ) MACHINEID=<MachineName> ( 컴퓨터이름 ) RECOVERYID=<RecoveryID> ( 복구 ID) REBOOT=ReallySuppress (Null이면자동재부팅허용, ReallySuppress는재부팅비활성화 ) HIDEOVERLAYICONS=1 (0은오버레이아이콘활성화, 1은오버레이아이콘비활성화 ) HIDESYSTRAYICON=1 (0은시스템아이콘활성화, 1은시스템아이콘비활성화 ) 명령줄에서사용할수있는기본.msi 스위치및표시옵션의목록은하위설치프로그램을사용하여설치를참조하십시오. 다음표에는활성화와관련된추가옵션매개변수가상세히설명되어있습니다. 매개변수 SLOTTEDACTIVATON=1 (0 은지연된 / 예약된활성화를비활성화함, 1 은지연된 / 예약된활성화를활성화함 ) SLOTINTERVAL=30,300 (x,x 표기법을통해활성화예약, 여기서첫번째값은예약의하한이며두번째값은상한이고단위는초임 ) CALREPEAT=300 (SLOTINTERVAL 에서설정한상한이상이어야함. SLOTINTERVAL 을바탕으로활성화시도를하기전에암호화클라이언트가대기하는시간 ( 초 )) 명령줄의예 다음예에서는기본매개변수로클라이언트를설치합니다 (Encryption 클라이언트, 공유를위한암호화, 대화상자표시되지않음, 진행률표시줄표시되지않음, 자동다시시작, 기본위치인 C:\Program Files\Dell\Dell Data Protection 에설치됨 ). DDPE_XXbit_setup.exe /s /v"serverhostname=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL= server.organization.com:8443/xapi/ /qn" MSI 명령 : msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL=" 다음예에서는 Encryption 클라이언트및공유를위한암호화를설치합니다 (DDP 시스템트레이아이콘숨김, 오버레이아이콘숨김, 대화상자표시하지않음, 진행률표시줄표시하지않음, 다시시작하지않음, 기본위치인 C:\Program Files\Dell\Dell Data Protection. 에설치됨 ). DDPE_XXbit_setup.exe /s /v"serverhostname=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL= server.organization.com:8443/xapi/ HIDESYSTRAYICON=1 HIDEOVERLAYICONS=1 REBOOT=ReallySuppress /qn" MSI 명령 : msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL=" HIDESYSTRAYICON="1" HIDEOVERLAYICONS="1" 하위설치프로그램을사용하여설치 33

34 노트 : 일부오래된클라이언트의경우이스케이프문자 \" 를매개변수값앞뒤에놓아야할수있습니다. 예 : DDPE_XXbit_setup.exe /v"cmg_decrypt=\"1\" CMGSILENTMODE=\"1\" DA_SERVER= \"server.organization.com\" DA_PORT=\"8050\" DA_RUNAS=\"domain\username\" DA_RUNASPWD=\"password\" /qn" hreat Protection Clients 설치 Threat Protection 및 Advanced Threat Prevention 은동일한컴퓨터에있을수없습니다. 호환성문제가발생하므로두구성요소를동일한컴퓨터에함께설치하지마십시오. Advanced Threat Prevention 을설치하려면 Endpoint Security Suite Enterprise Advanced 설치안내서를다운로드하여지침을따르십시오. 설치프로그램은지정된순서대로실행해야합니다. 구성요소를올바른순서대로설치하지않으면설치에실패하게됩니다. 설치프로그램을다음순서로실행합니다. 1 \Security Tools(Threat Protection 을사용하려면 Dell Client Security Framework 구성요소가필요합니다.) 2 \Security Tools\Authentication(Security Tools 및 Authentication 은함께설치해야합니다.) 3 Encryption 클라이언트에는 Threat Protection 구성요소가필요합니다. 설치의예를보려면명령줄의예를참조하십시오. 4 Threat Protection Clients, 명령줄설치그림참조. SED 및 Advanced Authentication 클라이언트설치프로그램의위치는다음과같습니다. Dell FTP 계정 - DDP-Endpoint-Security-Suite-1.x.x.xxx.zip 에서설치번들을찾은다음 ESS 마스터설치프로그램에서하위설치프로그램을추출합니다. 추출한후에 C:\extracted\Security Tools 및 C:\extracted\Security Tools\Authentication 에서해당파일을찾습니다. Encryption 클라이언트설치프로그램의위치는다음과같습니다. Dell FTP 계정 - DDP-Endpoint-Security-Suite-1.x.x.xxx.zip 에서설치번들을찾은다음 ESS 마스터설치프로그램에서하위설치프로그램을추출합니다. 추출한후에 C:\extracted\Encryption 에서해당파일을찾습니다. Threat Protection 클라이언트설치프로그램의위치는다음과같습니다. Dell FTP 계정 - DDP-Endpoint-Security-Suite-1.x.x.xxx.zip 에서설치번들을찾은다음 ESS 마스터설치프로그램에서하위설치프로그램을추출합니다. 추출한후에 C:\extracted\Dell Threat Protection 에서해당파일을찾습니다. 명령줄설치 다음표에는 EnsMgmtSdkInstaller.exe 파일에사용할수있는매개변수가나와있습니다. 매개변수설명 LoadCert 지정된디렉터리에서인증서를로드합니다. 다음표에는 setupep.exe 파일에사용할수있는매개변수가나와있습니다. 매개변수설명 ADDLOCAL="tp,fw,wc" 다음과같이설치할모듈을식별합니다. tp= 위협차단 fw = 클라이언트방화벽 wc = 웹보호노트 : 세가지모듈을모두설치해야합니다. override "hips" Host Intrusion Prevention을설치하지않습니다. 34 하위설치프로그램을사용하여설치

35 매개변수 INSTALLDIR nocontentupdate 설명 기본이아닌설치위치 설치프로세스를수행하는중에설치프로그램이콘텐츠파일을자동으로업데이트하지않도록지정합니다. Dell 은설치를완료한후즉시업데이트를예약할것을권장합니다. nopreservesettings 설정을저장하지않습니다. 다음표에는 DellThreatProtection.msi 파일에사용할수있는매개변수가나와있습니다. 매개변수 설명 Reboot=ReallySuppress 재부팅하지않습니다. ARP 0= 프로그램추가 / 제거에항목없음 1= 프로그램추가 / 제거에항목있음 다음표에는 EnsMgmtSdkInstaller.exe 파일에사용할수있는매개변수가나와있습니다. 매개변수 설명 ProtectProcesses 프로젝트에프로세스의파일이름및위치를지정합니다. InstallSDK 지정된위치에 SDK를설치합니다. RemoveRightClick 최종사용자의마우스오른쪽단추클릭메뉴옵션을제거합니다. RemoveMcTray 시스템트레이를제거합니다. 명령줄의예 \Dell Threat Protection\SDK 다음명령줄은인증서기본매개변수를로드합니다. "Dell Threat Protection\SDK\EnsMgmtSdkInstaller.exe" -LoadCert >"C:\ProgramData\Dell\Dell Data Protection\Installer Logs\McAfeeSDKInstallerBeforeEndPoint.log" 노트 : 업그레이드하는경우에는이설치프로그램을건너뛸수있습니다. 다음작업 : \Dell Threat Protection\EndPointSecurity 다음예에서는기본매개변수를사용하여 Threat Protection, Web Protection 및 Client Firewall 을설치합니다 ( 자동모드, 위협차단, Threat Protection, 클라이언트방화벽및웹차단설치, 호스트침입방지재정의, 콘텐츠업데이트안함, 설정이저장되지않음 ). "Dell Threat Protection\EndPointSecurity\EPsetup.exe" ADDLOCAL="tp,fw,wc" /override"hips" / nocontentupdate /nopreservesettings /qn 다음작업 : \Dell Threat Protection\ThreatProtection\WinXXR 다음예에서는기본매개변수를사용하여클라이언트를설치합니다 ( 재부팅안함, 대화상자표시하지않음, 진행률표시줄표시하지않음, 제어판프로그램목록에항목이표시되지않음 ). "Dell Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi" /qn REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1 \Dell Threat Protection\SDK 하위설치프로그램을사용하여설치 35

36 다음예에서는 Threat Protection SDK 를설치제거합니다. "Dell Threat Protection\SDK\EnsMgmtSdkInstaller.exe" -ProtectProcesses "C:\Program Files\Dell \Dell Data Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick - RemoveMcTray >"C:\ProgramData\Dell\Dell Data Protection\Installer Logs \McAfeeSDKInstallerAfterEndPoint.log" SED Management 및 Advanced Authentication 클라이언트설치 v8.x 의 Advanced Authentication 에는 SED 클라이언트가필요합니다. 조직에서 EnTrust 또는 Verisign 등과같은루트인증기관이서명한인증서를사용하는경우 SED 클라이언트요구사항을검토하십시오. SSL/TLS 신뢰유효성검사를사용하려면클라이언트컴퓨터에서레지스트리설정을변경해야합니다. 사용자가 Windows 인증서를사용하여 PBA 에로그인합니다. SED 및 Advanced Authentication 클라이언트설치프로그램의위치는다음과같습니다. Dell FTP 계정 - DDP-Endpoint-Security-Suite-1.x.x.xxx.zip 에서설치번들을찾은다음 ESS 마스터설치프로그램에서하위설치프로그램을추출합니다. 추출한후에 C:\extracted\Security Tools 및 C:\extracted\Security Tools\Authentication 에서해당파일을찾습니다. 명령줄설치 다음표에설치시사용할수있는매개변수정보가나와있습니다. 매개변수 CM_EDITION=1 < 원격관리 > INSTALLDIR=< 설치대상변경 > SERVERHOST=<securityserver.organization.com> SERVERPORT=8888 SECURITYSERVERHOST=<securityserver.organization.com> SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 < 제어판프로그램목록에항목이표시되지않음 > 명령줄에서사용할수있는기본.msi 스위치및표시옵션의목록은하위설치프로그램을사용하여설치를참조하십시오. 명령줄의예 \Security Tools 다음예에서는원격으로관리되는 SED 를설치합니다 ( 자동설치, 재부팅하지않음, 제어판프로그램목록에항목표시되지않음, 기본위치인 C:\Program Files\Dell\Dell Data Protection 에설치됨 ). EMAgent_XXbit_setup.exe /s /v"cm_edition=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 / norestart /qn" 다음작업 : \Security Tools\Authentication 다음예에서는 Advanced Authentication 을설치합니다 ( 자동설치, 재부팅하지않음 ). 36 하위설치프로그램을사용하여설치

37 setup.exe /s /v"/norestart /qn ARPSYSTEMCOMPONENT=1" BitLocker Manager 클라이언트설치 조직에서 EnTrust 또는 Verisign 등과같은루트인증기관이서명한인증서를사용하는경우 BitLocker Manager 클라이언트요구사항을검토하십시오. SSL/TLS 신뢰유효성검사를사용하려면클라이언트컴퓨터에서레지스트리설정을변경해야합니다. BtLocker Manager 클라이언트설치프로그램의위치는다음과같습니다. Dell FTP 계정 - DDP-Endpoint-Security-Suite-1.x.x.xxx.zip 에서설치번들을찾은다음 ESS 마스터설치프로그램에서하위설치프로그램을추출합니다. 추출한후에 C:\extracted\Security Tools 에서해당파일을찾습니다. 명령줄설치 다음표에설치시사용할수있는매개변수정보가나와있습니다. 매개변수 CM_EDITION=1 < 원격관리 > INSTALLDIR=< 설치대상변경 > SERVERHOST=<securityserver.organization.com> SERVERPORT=8888 SECURITYSERVERHOST=<securityserver.organization.com> SECURITYSERVERPORT=8443 FEATURE=BLM <BitLocker Manager만설치 > FEATURE=BLM,SED <SED와함께 BitLocker Manager 설치 > ARPSYSTEMCOMPONENT=1 < 제어판프로그램목록에항목이표시되지않음 > 명령줄에서사용할수있는기본.msi 스위치및표시옵션의목록은하위설치프로그램을사용하여설치를참조하십시오. 명령줄의예 다음예에서는 BitLocker Manager 만설치합니다 ( 자동설치, 재부팅하지않음, 제어판프로그램목록에항목표시되지않음, 기본위치인 C:\Program Files\Dell\Dell Data Protection 에설치됨 ). EMAgent_XXbit_setup.exe /s /v"cm_edition=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM /norestart /qn" 다음예에서는 SED 와함께 BitLocker Manager 를설치합니다 ( 자동설치, 재부팅하지않음, 제어판프로그램목록에항목표시되지않음, 기본위치인 C:\Program Files\Dell\Dell Data Protection 에설치됨 ). EMAgent_XXbit_setup.exe /s /v"cm_edition=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM,SED / norestart /qn" 하위설치프로그램을사용하여설치 37

38 하위설치프로그램을사용하여설치제거 7 각클라이언트를개별적으로설치제거하려면에나와있는대로먼저 ESS ESSE 마스터설치프로그램에서하위실행파일을추출해야합니다. 또는.msi 를추출하는관리자설치를실행해도됩니다. 설치작업과설치제거작업에동일한버전의클라이언트를사용해야합니다. 명령줄스위치및매개변수는대 / 소문자를구분합니다. 명령줄에서공백과같은특수문자를하나이상포함하는값은이스케이프된따옴표로묶어야합니다. 명령줄매개변수는대 / 소문자를구분합니다. 이러한설치프로그램을사용하여스크립팅된설치, 배치파일또는조직에제공되는다른푸시기술을통해클라이언트를설치제거합니다. 로그파일 - Windows 는로그인된사용자에대해고유한하위설치프로그램설치로그파일을 C:\Users\<UserName>\AppData \Local\Temp. 의 %temp% 에생성합니다. 설치프로그램을실행할때별도의로그파일을추가하려는경우, 하위설치프로그램이첨부되지않으므로해당로그파일의이름은고유해야합니다. 표준.msi 명령을통해 /l C:\<any directory>\<any log file name>.log 를사용하여로그파일을생성할수있습니다. 명령줄설치제거에서는사용자이름 / 암호가로그파일에기록되므로 "/l*v"( 자세한로깅 ) 를사용하지않는것이좋습니다. 별도로표시된경우를제외하고, 모든하위설치프로그램은명령줄설치제거에동일한기본.msi 스위치와표시옵션을사용합니다. 스위치를먼저지정해야합니다. /v 스위치가필요하며인수를사용합니다. 다른매개변수는인수안에포함되어 /v 스위치로전달됩니다. 표시옵션은예상동작을수행하도록 /v 스위치에전달된인수끝에지정할수있습니다. 동일한명령줄에 /q 와 /qn 을동시에사용하지마십시오. /qb 이후에! 및 - 만사용합니다. 스위치 의미 /v 변수를 setup.exe 안의.msi 로전달합니다. 콘텐츠는항상일반텍스트따옴표로묶어야합니다. /s 자동모드 /x 설치제거모드 /a 관리자설치 ( 모든파일을.msi 내에복사 ) 노트 : /v 를사용하면 Microsoft 기본옵션을사용할수있습니다. 옵션목록을보려면 windows/desktop/aa367988(v=vs.85).aspx 를참조하십시오. 옵션 의미 /q 진행률대화상자가없습니다. 프로세스완료후자동으로다시시작합니다. /qb 취소단추가있는진행률대화상자로, 다시시작할것인지묻습니다. /qb- 취소단추가있는진행률대화상자로, 프로세스완료후자동으로다시시작합니다. /qb! 취소단추가없는진행률대화상자로, 다시시작할것인지묻습니다. /qb!- 취소단추가없는진행률대화상자로, 프로세스완료후자동으로다시시작합니다. 38 하위설치프로그램을사용하여설치제거