Dell Encryption Enterprise Guida all'installazione avanzata v10.9 December 2020 Rev.
Messaggi di N.B., Attenzione e Avvertenza N.B.: un messaggio N.B. (Nota Bene) indica informazioni importanti che contribuiscono a migliorare l'utilizzo del prodotto. ATTENZIONE: un messaggio di ATTENZIONE evidenzia la possibilità che si verifichi un danno all'hardware o una perdita di dati ed indica come evitare il problema. AVVERTENZA: un messaggio di AVVERTENZA evidenzia un potenziale rischio di danni alla proprietà, lesioni personali o morte. © 2012-2020 Dell Inc. All rights reserved.
Sommario Capitolo 1: Introduzione...................................................................................................................6 Prima di iniziare...................................................................................................................................................................... 6 Uso di questa guida.............................................................................................................................................................
Capitolo 9: Scenari di uso comune.................................................................................................. 67 Encryption Client................................................................................................................................................................. 68 Client di SED Manager (inclusa Advanced Authentication) ed Encryption................................................................. 68 SED Manager ed Encryption External Media.................
Capitolo 19: Glossario...................................................................................................................
1 Introduzione Questa guida descrive in dettaglio la procedura per installare e configurare Encryption, SED Management, Full Disk Encryption, Protezione Web e Firewall client e BitLocker Manager. Tutte le informazioni sui criteri e le relative descrizioni sono reperibili nella Guida dell'amministratore. Prima di iniziare 1. Installare il Dell Server prima di procedere con la distribuzione dei client.
Uso di questa guida Usare questa guida nell'ordine seguente: ● Per prerequisiti del client, informazioni su hardware e software del computer, limitazioni, e modifiche di registro specifiche necessarie per le funzioni, consultare Requisiti. ● Se necessario, consultare Configurazione di pre-installazione per UEFI unità autocrittografante e BitLocker.
2 Requisiti Tutti i client Questi requisiti si applicano a tutti i client. I requisiti elencati in altre sezioni si applicano a client specifici. ● Durante l'implementazione è opportuno seguire le procedure consigliate. In queste procedure sono compresi, a titolo esemplificativo, ambienti di testing controllati per i test iniziali e implementazioni scaglionate agli utenti.
Supporto lingue FR - Francese JA - Giapponese PT-PT - Portoghese (Portogallo) Crittografia ● Per essere attivato, il computer client deve essere dotato della connettività di rete. ● Per attivare un account Microsoft live con Dell Encryption, fare riferimento a questo articolo della KB: SLN290988. ● Per ridurre la durata iniziale del processo di crittografia, eseguire Pulizia disco di Windows per rimuovere i file temporanei e tutti i dati non necessari.
informazioni di autenticazione vengono inviate in modo sicuro al Dell Server, che le convalida per i domini di Active Directory configurati. Per ulteriori informazioni, consultare l'articolo della KB SLN306341. ● Dopo l'aggiornamento delle funzionalità di Windows 10, è necessario il riavvio per finalizzare Dell Encryption.
Sistemi operativi Windows supportati per l'accesso a media cifrati (a 32 e 64 bit) ○ ○ ○ ○ Windows Embedded Standard 7 con modello compatibilità applicazioni Windows 8.1: Enterprise, Pro Windows Embedded 8.1 Industry Enterprise Windows 10: Education, Enterprise, Pro v1803-v20H2 (April 2018 Update/Redstone 4 - October 2020 Update/20H2) Nota: Windows 10 v2004 (May 2020 Update/20H1) non supporta l'architettura a 32 bit. Per ulteriori informazioni, consultare https://docs.microsoft.
● Gli aggiornamenti delle funzionalità diretti da Windows 10 v1607 (Anniversary Update/Redstone 1) a Windows 10 v1903 (May 2019 Update/19H1) non sono supportati con FDE. Dell consiglia di scegliere un aggiornamento delle funzionalità più recente, se si esegue l'aggiornamento a Windows 10 v1903. Qualsiasi tentativo di aggiornare direttamente da Windows 10 v1607 a v1903 genera un messaggio di errore e l'aggiornamento viene bloccato.
Non UEFI PBA Password Impronta Smart card con contatti Scheda SIPR 1. Disponibile quando i driver di autenticazione vengono scaricati dal sito support.dell.com. UEFI PBA - su computer Dell supportati Password Windows 10 Impronta X1 Smart card con contatti Scheda SIPR X1 1. Disponibile con computer UEFI supportati.
I criteri di sistema del controllo delle porte influenzano i supporti rimovibili sui server protetti, per esempio, controllando l'accesso e l'utilizzo delle porte USB del server da parte di dispositivi USB. Il criterio delle porte USB si applica alle porte USB esterne. La funzionalità delle porte USB interne non è influenzata dal criterio delle porte USB.
○ Accesso automatico (Windows 7, 8/8.1) per chioschi ○ Microsoft Storage Server 2012 ● La crittografia sul sistema operativo del server non supporta le configurazioni di avvio doppio poiché è possibile crittografare file di sistema dell'altro sistema operativo, il che interferirebbe con il suo funzionamento. ● Le reinstallazioni del sistema operativo sul posto non sono supportate.
Sistemi operativi Windows supportati per l'accesso a media cifrati (a 32 e 64 bit) ● Windows 7 SP1: Enterprise, Professional, Ultimate ● Windows 8.1 Enterprise, Pro ● Windows 10: Education, Enterprise, Pro v1803-v20H2 (April 2018 Update/Redstone 4 - October 2020 Update/20H2) Nota: Windows 10 v2004 (May 2020 Update/20H1) non supporta l'architettura a 32 bit. Per ulteriori informazioni, consultare https://docs.microsoft.
● La configurazione delle unità autocrittografanti per SED Manager è diversa tra unità NVMe e non NVMe (SATA) nel seguente modo. ○ Qualsiasi unità NVMe che viene utilizzata al meglio per SED: ■ L'operazione SATA del BIOS deve essere impostata su RAID ON, in quanto SED Manager non supporta AHCI su unità NVMe. ■ La modalità di avvio del BIOS deve essere UEFI e le ROM opzione legacy devono essere disattivate.
Opzioni di autenticazione di preavvio con SED Manager ● Per utilizzare le smart card e per eseguire l'autenticazione su computer UEFI, è necessario un hardware specifico. È necessaria la configurazione per utilizzare smart card con l'autenticazione di preavvio. Le seguenti tabelle mostrano le opzioni di autenticazione disponibili a seconda del sistema operativo, quando i requisiti hardware e di configurazione vengono soddisfatti.
Sistemi operativi ● La tabella seguente descrive in dettaglio i sistemi operativi supportati. Sistemi operativi Windows (a 32 e 64 bit) ○ Windows 7 SP0-SP1: Enterprise, Professional, Ultimate (supportato con modalità di avvio Legacy ma non UEFI) N.B.: Le unità autocrittografanti NVMe non sono supportate con Windows 7. ○ Windows 8.
● Quando si utilizza una connessione remota del desktop con BitLocker Manager che sfrutta un endpoint, Dell consiglia l'esecuzione di eventuali sessioni di desktop in remoto in modalità di console per evitare eventuali problemi di interazione dell'interfaccia utente con la sessione esistente dell'utente tramite il seguente comando: mstsc /admin /v: ● Il programma di installazione principale installa questi componenti se non sono già installati nel computer di destinazione.
Gli aggiornamenti Windows KB3133977 e KB3125574 non devono essere installati se si installa BitLocker Manager su Windows 7.
3 Impostazioni di registro ● Questa sezione descrive in dettaglio tutte le impostazioni di registro approvate da Dell ProSupport per i computer client locali, indipendentemente dal motivo di tale impostazione. Se un'impostazione di registro è sovrapposta in due prodotti, viene elencata in ciascuna categoria. ● Queste modifiche di registro devono essere effettuate solo da parte degli amministratori e potrebbero non essere appropriate o non funzionare in tutti gli scenari.
Tuttavia, se l'organizzazione utilizza un'applicazione di terzi che richiede di conservare la struttura dei file nella directory \temp, è opportuno evitare l'eliminazione di questi file. Per disabilitare l'eliminazione dei file temporanei, creare o modificare l'impostazione di registro come segue: [HKLM\SOFTWARE\CREDANT\CMGShield] "DeleteTempFiles"=REG_DWORD:0 La mancata eliminazione dei file temporanei aumenta il tempo di crittografia iniziale.
Per gli utenti che richiedono l'attivazione tramite VPN, potrebbe essere necessaria una configurazione di attivazione in slot per il client, al fine di ritardare l'attivazione iniziale per un tempo sufficiente a consentire al client VPN di stabilire una connessione di rete. Per l'applicazione degli aggiornamenti, queste voci di registro richiedono un riavvio del computer.
"EnterpriseUsage"=DWORD:0 Disattivato (predefinito)=0 Accesso ai file limitato a enterprise=1 Se questo valore viene modificato successivamente alla crittografia dei file nel supporto esterno, i file vengono crittografati nuovamente in base al valore della chiave di registro aggiornata quando il supporto verrà collegato al computer in cui l'impostazione di registro è stata aggiornata.
SED Manager ● Per impostare l'intervallo tra tentativi quando il Dell Server non è disponibile a comunicare con SED Manager, aggiungere il seguente valore del Registro di sistema: [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "CommErrorSleepSecs"=DWORD:300 Questo valore corrisponde al numero di secondi per cui SED Manager attende prima di provare a contattare il Dell Server se questo non è disponibile a comunicare. Il valore predefinito è 300 secondi (5 minuti).
"CommErrorSleepSecs"=DWORD Value:300 Questo valore corrisponde al numero di secondi per cui SED Manager attende prima di provare a contattare il Dell Server se questo non è disponibile a comunicare. Il valore predefinito è 300 secondi (5 minuti). ● Se necessario, l'host del Security Server può essere modificato dal percorso di installazione originale. Le informazioni sull'host vengono lette ogni volta che si verifica il polling di un criterio.
● Queste modifiche di registro devono essere effettuate solo da parte degli amministratori e potrebbero non essere appropriate o non funzionare in tutti gli scenari. ● Per impostare l'intervallo tra tentativi quando il Dell Server non è disponibile a comunicare con Full Disk Encryption, aggiungere il seguente valore di registro. [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "CommErrorSleepSecs"=DWORD:300 Questo valore è il numero di secondi che Full Disk Encryption attende prima di prova
● (Solo con autenticazione di preavvio) Se non si desidera che PBA Advanced Authentication modifichi i servizi associati alle smart card e ai dispositivi biometrici in un tipo di avvio "automatico", disabilitare la funzione di avvio del servizio. La disabilitazione di questa funzione comporta anche l'annullamento degli avvisi associati ai servizi richiesti non in esecuzione.
1 = Disabilitata ○ Per impedire a Bitlocker Manager di rilevare dischi rimovibili come dischi fissi, aggiungere la seguente chiave del Registro di sistema: HKLM\Software\Dell\Dell Data Protection\ "UseEncryptableVolumeType" = DWORD:1 0 =Disabilitata; impostazione predefinita 1=Abilitata 30 Impostazioni di registro
4 Installazione tramite il programma di installazione principale ● Le opzioni e i parametri della riga di comando fanno distinzione tra maiuscole e minuscole. ● Per eseguire l'installazione usando porte non predefinite, usare i programmi di installazione figlio al posto del programma di installazione principale. ● I file di registro del programma di installazione principale di si trovano al percorso C:\ProgramData\Dell\Dell Data Protection\Installer. N.B.
6. Nel campo Nome On-Prem Dell Management Server, immettere il nome host completo del Dell Server che gestirà l'utente di destinazione, ad esempio server.organization.com. Nel campo URL Dell Device Server, immettere l'URL del Dell Server con cui comunicherà il client. TIl formato è https://server.organization.com:8443/xapi/ (inclusa la barra finale). Cliccare su Avanti. 7. Cliccare su Avanti per installare il prodotto nel percorso predefinito C:\Program Files\Dell\Dell Data Protection\.
Il Framework di sicurezza consente di installare il framework di sicurezza sottostante, l'Encryption Management Agent e l'autenticazione PBA. BitLocker Manager installa il client di BitLocker Manager, progettato per potenziare la protezione delle distribuzioni di BitLocker semplificando e riducendo il costo di proprietà tramite la gestione centralizzata dei criteri di crittografia di BitLocker.
10. Selezionare Sì, riavvia ora e cliccare su Fine. L'installazione è completata.
Eseguire l'installazione dalla riga di comando usando il programma di installazione principale ● È necessario prima specificare gli switch in un'installazione dalla riga di comando. Gli altri parametri devono essere inseriti nell'argomento che viene passato all'opzione /v. Opzioni ● La seguente tabella descrive gli switch utilizzabili con il programma di installazione principale di . N.B.
● In questo esempio, viene installato SED Manager usando il programma di installazione principale tramite porte standard, installazione automatica, nel percorso predefinito C:\Program Files\Dell\Dell Data Protection\ e configurato per usare il Dell Server specificato. "DDSSetup.exe" /s /z"\"SERVER=server.organization.com, FEATURES=SED\"" ● In questo esempio, vengono installati Encryption e BitLocker Manager (senza il plug-in SED Management) usando il programma di installazione principale tramite porte stand
5 Disinstallare il programma di installazione principale ● Dell consiglia di utilizzare il Programma di disinstallazione di Data Security per rimuovere la suite Data Security. ● Ciascun componente deve essere disinstallato separatamente, seguito dalla disinstallazione del programma di installazione principale di . I client devono essere disinstallati secondo un ordine specifico per impedire errori durante la disinstallazione.
6 Eseguire l'installazione usando i programmi di installazione figlio ● Per installare o aggiornare ciascun client singolarmente, i file eseguibili figlio devono essere prima estratti dal programma di installazione principale di , come mostrato in Estrarre i programmi di installazione figlio dal programma di installazione principale. ● Gli esempi di comandi inclusi in questa sezione presumono che i comandi vengano eseguiti da C:\extracted.
Opzione Significato /qb!- Viene visualizzata una finestra di dialogo senza il pulsante Annulla e il sistema si riavvia automaticamente al termine del processo /qn L'interfaccia utente non viene visualizzata /norestart Viene eliminato il riavvio ● Indicare agli utenti di prendere visione del seguente documento e file della guida per assistenza sull'applicazione: ○ Consultare la Dell Encrypt Help (Guida alla crittografia di Dell) per istruzioni sull'utilizzo della funzione della crittografia.
Parametri POLICYPROXYHOSTNAME= (FQDN del Policy Proxy predefinito) MANAGEDDOMAIN= (dominio da utilizzare per il dispositivo) DEVICESERVERURL= (URL utilizzato per l'attivazione, che solitamente include nome server, porta e lo standard xAPI) GKPORT= (porta Gatekeeper) MACHINEID= (nome computer) RECOVERYID= (ID di ripristino) REBOOT=ReallySuppress (Null consente i riavvii automatici, ReallySuppress li disabilita) HIDEOV
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ HIDESYSTRAYICON=1 HIDEOVERLAYICONS=1 REBOOT=ReallySuppress /qn" Comando MSI: msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.
DDPE_XXbit_setup.exe /s /v"OPTIN=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https:// server.organization.com:8443/xapi/ MANAGEDDOMAIN=ORGANIZATION" Comando MSI: msiexec.exe /i "Dell Data Protection Encryption.msi" OPTIN="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" DEVICESERVERURL="https://server.organization.
Nell'esempio seguente viene installato Encryption External Media su un'installazione Full Disk Encryption esistente con installazione invisibile all'utente, senza indicatore di stato, riavvio automatico, installazione nel percorso predefinito C:\Program Files\Dell \Dell Data Protection. DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.
● Nell'esempio seguente viene installato Full Disk Encryption gestita (installazione automatica, nessun riavvio, installazione nel percorso predefinito C:\Program Files\Dell\Dell Data Protection). EMAgent_64bit_setup.exe /s /v"CM_EDITION=1 FEATURE=FDE SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.
I criteri di sistema del controllo delle porte influenzano i supporti rimovibili sui server protetti, per esempio, controllando l'accesso e l'utilizzo delle porte USB del server da parte di dispositivi USB. Il criterio delle porte USB si applica alle porte USB esterne. La funzionalità delle porte USB interne non è influenzata dal criterio delle porte USB.
5. Selezionare On-Prem Dell Management Server , quindi fare clic su Avanti. 6. Fare clic su Avanti per installare nel percorso predefinito. 7. Fare clic su Avanti per ignorare la finestra di dialogo Tipo di gestione. 8. Nel Nome Security Management Server, immettere/validare il nome host qualificato completo del Dell Server per gestire l'utente di destinazione (ad esempio, server.organization.com). Immettere il nome di dominio nel campo Dominio gestito (ad esempio, organizzazione). Fare clic su Avanti. 9.
10. Nell'URL Device Server, immettere/validare le informazioni, quindi fare clic su Avanti. 11. Fare clic su Installa per avviare l'installazione.
L'installazione potrebbe richiedere alcuni minuti. 12. Una volta completata la configurazione, fare clic su Fine. L'installazione è completata. 13. Riavviare il sistema. Dell consiglia di posporre il riavvio solo se è necessario tempo per salvare il lavoro svolto e chiudere le applicazioni. la crittografia non può iniziare finché il computer non è stato riavviato.
Installare usando la riga di comando Il programma di installazione si trova in C:\extracted\Encryption ● Usare DDPE_xxbit_setup.exe per eseguire l'installazione o l'aggiornamento mediante file batch, un'installazione tramite script o qualsiasi altra tecnologia push disponibile alla propria organizzazione. Opzioni La tabella seguente descrive in dettaglio le opzioni disponibili per l'installazione. Opzione Significato /v Consente di passare variabili al file .msi all'interno di DDPE_XXbit_setup.
Opzione Significato /qb Viene visualizzata una finestra di dialogo con il pulsante Annulla e viene richiesto di riavviare il sistema /qb- Viene visualizzata una finestra di dialogo con il pulsante Annulla e il sistema si riavvia automaticamente al termine del processo /qb! Viene visualizzata una finestra di dialogo senza il pulsante Annulla e viene richiesto di riavviare il sistema /qb!- Viene visualizzata una finestra di dialogo senza il pulsante Annulla e il sistema si riavvia automaticamente al
● Un utente interattivo con credenziali di amministratore di dominio deve effettuare l'accesso al server almeno una volta per l'attivazione iniziale. L'utente che effettua l'accesso al server può essere di qualsiasi tipo: utente di dominio o non di dominio, connesso al desktop in remoto o interattivo, ma l'attivazione richiede credenziali di amministratore di dominio. ● Dopo il riavvio che segue l'installazione, viene visualizzata la finestra di dialogo Attivazione.
4. Al termine della ricerca della crittografia, riavviare il sistema per elaborare i file che erano in uso in precedenza. Si tratta di un passaggio importante ai fini della sicurezza. N.B.: Se il criterio Credenziali Windows di protezione è attivato, la crittografia del sistema operativo del server crittografa i file \Windows\system32\config, che includono le credenziali di Windows. I file in \Windows\system32\config vengono cifrati se il criterio Crittografia SDE abilitata non è selezionato.
Installare SED Manager e PBA Advanced Authentication ● Se la propria organizzazione sta usando un certificato firmato da un'autorità root, come EnTrust o Verisign, consultare i Requisiti SED. Per abilitare la convalida del certificato SSL/TLS, è necessario modificare le impostazioni di registro nel computer client. ● Gli utenti accederanno alla PBA utilizzando le proprie credenziali di Windows. ● I programmi di installazione di SED Manager e PBA Advanced Authentication si trovano in: ○ Da dell.
○ Da dell.com/support - Se necessario, consultare Ottenere il software da dell.com/support e poi consultare Estrarre i programmi di installazione figlio dal programma di installazione principale. Dopo l'estrazione, il file si trova in C:\extracted\Encryption Management Agent. ○ Dall'account Dell FTP - Individuare il bundle di installazione in Encryption-Enterprise-10.x.x.xxx.zip e poi consultare Estrarre i programmi di installazione figlio dal programma di installazione principale.
Nell'esempio seguente viene installato il client con i parametri predefiniti (client di crittografia ed Encrypt for Sharing, senza finestra di dialogo, senza barra di stato, riavvio automatico, installazione nel percorso predefinito C:\Program Files\Dell\Dell Data Protection). DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.
7 Eseguire la disinstallazione usando i programmi di installazione figlio ● Dell consiglia di utilizzare il Programma di disinstallazione di Data Security per rimuovere la suite Data Security. ● Per disinstallare ciascun client singolarmente, i file eseguibili figlio devono essere prima estratti dal programma di installazione principale di , come mostrato in Estrarre i programmi di installazione figlio dal programma di installazione principale.
Opzione Significato /qb! Viene visualizzata una finestra di dialogo senza il pulsante Annulla e viene richiesto di riavviare il sistema /qb!- Viene visualizzata una finestra di dialogo senza il pulsante Annulla e il sistema si riavvia automaticamente al termine del processo /qn L'interfaccia utente non viene visualizzata Disinstallare la crittografia e la crittografia sul sistema operativo del server ● Per ridurre la durata del processo di decrittografia, eseguire Pulizia disco di Windows per rimuov
Parametro Selezione 3 - Utilizzare il pacchetto LSARecovery 2 - Utilizzare il materiale della chiave Forensic scaricato in precedenza 1 - Scaricare le chiavi dal Dell Server 0 - Non installare Encryption Removal Agent CMGSILENTMODE Proprietà che consente di eseguire la disinstallazione invisibile all'utente: 1 - Invisibile all'utente - opzione richiesta per l'esecuzione con variabili msiexec contenenti /q o /qn 0 - Visibile all'utente - possibile solo quando le variabili msiexec con /q non sono presenti
DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1 FORENSIC_ADMIN=forensicadmin@organization.com FORENSIC_ADMIN_PWD=tempchangeit /qn" Comando MSI: msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn CMG_DECRYPT=1 CMGSILENTMODE=1 FORENSIC_ADMIN=forensicadmin@organization.com FORENSIC_ADMIN_PWD=tempchangeit REBOOT=REALLYSUPPRESS Al termine, riavviare il sistema. N.B.
8. 9. 10. 11. 12. Selezionare Full Disk Encryption dal gruppo Crittografia Windows. Modificare Full Disk Encryption e il criterio da On a Off. Fare clic su Salva. Nel riquadro sinistro, fare clic sul banner Commit criteri. Fare clic su Commit criteri. Attendere la propagazione del criterio dal Dell Server al computer da disattivare. Disinstallare Full Disk Encryption e PBA Advanced Authentication dopo aver disattivato la PBA.
Disinstallare il client dell'unità autocrittografante Disinstallazione dalla riga di comando ● Una volta estratto dal programma di installazione principale, il programma di installazione di SED Manager è disponibile al percorso C:\extracted\Encryption Management Agent\EMAgent_XXbit_setup.exe. ○ Nell'esempio seguente, viene eseguita la disinstallazione invisibile all'utente di SED Manager. EMAgent_XXbit_setup.exe /x /s /v" /qn" Al termine, arrestare e riavviare il sistema.
8 Data Security Uninstaller Disinstallare Dell fornisce Data Security Uninstaller come principale programma di disinstallazione. Questa utilità raccoglie i prodotti attualmente installati e li rimuove nell'ordine appropriato. Il Programma di disinstallazione di Data Security è disponibile al percorso: C:\Program Files (x86)\Dell\Dell Data Protection Per ulteriori informazioni o per utilizzare l'interfaccia della riga di comando (CLI), vedere l'articolo della KB SLN307791. I registri vengono generati in C: \
Se lo si desidera, deselezionare qualsiasi applicazione per la rimozione, quindi fare clic su Avanti. Le dipendenze necessarie vengono automaticamente selezionate o deselezionate.
Per rimuovere le applicazioni senza dover installare Encryption Removal Agent, scegliere Non installare Encryption Removal Agent e selezionare Avanti.
Selezionare Scarica chiavi dal server di Encryption Removal Agent. Immettere le credenziali complete di un amministratore Forensic e selezionare Avanti. Selezionare Rimuovi per avviare la disinstallazione.
Fare clic su Fine per completare la rimozione e riavviare il computer. L'opzione Riavvia il computer al termine è selezionata per impostazione predefinita. La disinstallazione e la rimozione sono state completate.
9 Scenari di uso comune ● Per installare ciascun client singolarmente, i file eseguibili figlio devono essere prima estratti dal programma di installazione principale di come mostrato in Estrarre i programmi di installazione figlio dal programma di installazione principale. ● Le opzioni e i parametri della riga di comando fanno distinzione tra maiuscole e minuscole.
○ Consultare la Encryption External Media (Guida di Encryption External Media) per istruzioni sulle funzioni di Encryption External Media. Accedere alla guida da :\Program Files\Dell\Dell Data Protection\Encryption\EMS ○ Consultare Encryption Enterprise Help (Guida di Encryption Enterprise) (Guida diEndpoint Security Suite Pro) (Guida di Endpoint Security Suite Enterprise)per istruzioni sull'utilizzo delle funzioni di. Accedere alla guida da :\Program Files \Dell\Dell Data Protecti
Sostituire DEVICESERVERURL=https://server.organization.com:8081/xapi (senza la barra finale) se la versione di Security Management Server è precedente alla 7.7. SED Manager ed Encryption External Media ● Nell'esempio seguente, vengono installati SED Manager, Encryption Management Agent e la console di sicurezza locale (installazione automatica, nessun riavvio, nessuna voce nell'elenco Programmi nel Pannello di controllo, installazione nel percorso predefinito C:\Program Files\Dell\Dell Data Protection\Encr
10 Scaricare il software Questa sezione descrive in dettaglio come ottenere il software dal sito dell.com/support. Se l'utente dispone già del software è possibile ignorare questa sezione. Accedere a dell.com/support per iniziare. 1. Nella pagina del supporto Dell, selezionare Scegli tra tutti i prodotti. 2. Selezionare Sicurezza dall'elenco di prodotti. 3. Selezionare Dell Data Security. Dopo aver effettuato la selezione una volta, il sito Web la memorizza.
4. Selezionare il prodotto Dell. Esempi: Dell Encryption Enterprise Dell Endpoint Security Suite Enterprise 5. Selezionare Driver e download. 6. Selezionare il tipo di sistema operativo del client desiderato. 7. Selezionare Dell Encryption nei risultati. Questo è solo un esempio, è probabile che si presenti in modo leggermente differente. Per esempio, potrebbero non esserci quattro file tra cui scegliere. 8. Selezionare Scarica.
11 Configurazione di preinstallazione per UEFI unità autocrittografante e BitLocker Manager Inizializzare il TPM ● È necessario essere membro del gruppo amministratori locali o avere un ruolo equivalente. ● È necessario che il computer disponga di un BIOS o TPM compatibili. ● Seguire le istruzioni all'indirizzo http://technet.microsoft.com/en-us/library/cc753140.aspx.
Disabilitare le ROM di opzione legacy Assicurarsi che l'impostazione Abilita ROM di opzione legacy sia disabilitata nel BIOS. 1. 2. 3. 4. 5. Riavviare il sistema. Premere ripetutamente F12 durante il riavvio per visualizzare le impostazioni di avvio del computer UEFI. Premere la freccia verso il basso, evidenziare l'opzione BIOS Settings e premere Invio. Selezionare Impostazioni > Generali > Opzioni avanzate di avvio. Deselezionare la casella di controllo Enable Legacy Option ROMs e fare clic su Apply.
12 Designare il Dell Server tramite il registro ● Se i client vengono autorizzati tramite Dell Digital Delivery, attenersi a queste istruzioni per impostare un registro tramite Oggetti Criteri di gruppo per preconfigurare il Dell Server all'utilizzo al termine dell'installazione. ● La workstation deve essere un membro dell'unità organizzativa (OU) a cui sono applicati gli oggetti Criteri di gruppo, oppure è necessario impostare manualmente le impostazioni di registro sull'endpoint.
4. Fare clic con il pulsante destro del mouse sull'oggetto criterio di gruppo creato e selezionare Modifica. 5. Viene caricato l'editor di gestione dei criteri di gruppo. Accedere a Configurazione computer > Preferenze > Impostazioni di Windows > Registro. 6. Fare clic con il pulsante destro del mouse sul Registro e selezionare Nuovo > Elemento del registro. Completare i campi seguenti: Azione: Create Hive: HKEY_LOCAL_MACHINE Percorso chiave: SOFTWARE\Dell\Dell Data Protection Nome valore: Server Tipo val
8. Effettuare la disconnessione e quindi accedere nuovamente alla workstation, oppure eseguire gpupdate /force per applicare il criterio di gruppo.
13 Estrarre i programmi di installazione figlio ● Per installare ciascun client individualmente, estrarre i file eseguibili figlio dal programma di installazione. ● Il programma di installazione principale non è un programma di disinstallazione. Ciascun client deve essere disinstallato singolarmente dopo la disinstallazione del programma di installazione principale. Usare questa procedura per estrarre i client dal programma di installazione principale in modo da poterli utilizzare per la disinstallazione.
14 Configurare il Key Server ● In questa sezione, viene spiegato come configurare i componenti da usare con l'autenticazione/autorizzazione Kerberos quando si utilizza un Security Management Server. Il Security Management Server Virtual non utilizza il Key Server. Il Key Server è un servizio in ascolto dei client per la connessione tramite un socket.
4. Riavviare il servizio Key Server (lasciare aperto il pannello servizi per ulteriori operazioni). 5. Passare al file log.txt in per verificare che il servizio sia stato avviato. File di configurazione Key Server - Aggiungi utente per comunicazione del Security Management Server 1. Passare a . 2. Aprire il file Credant.KeyServer.exe.config con un editor di testo. 3.
File di configurazione di esempio [porta TCP su cui sarà in ascolto il Key Server. La porta predefinita è: 8050.] [numero di connessioni socket attive consentite dal Key Server] [URL di Security Server (ex Device Server) (il formato è 8081/xapi per un Security Management Server precedente a v7.
6. Fare clic su Utenti nel menu a sinistra. Nell'apposita casella cercare il nome utente aggiunto al punto 5. Fare clic su Cerca. 7. Una volta individuato l'utente corretto, fare clic sulla scheda Admin tab. 8. Selezionare Amministratore Forensic e fare clic su Aggiorna. I componenti sono ora configurati per l'autenticazione/autorizzazione Kerberos.
15 Usare l'Administrative Download Utility (CMGAd) ● Questa utilità consente il download di un bundle di materiale delle chiavi da usare in un computer non connesso a un Dell Server. ● Questa utilità usa uno dei metodi seguenti per scaricare un bundle di materiale delle chiavi, a seconda del parametro della riga di comando trasferito all'applicazione: ○ Modalità Forensic - Usata se -f viene trasferito alla riga di comando o se non viene usato alcun parametro della riga di comando.
3. Nel campo Passphrase, immettere una passphrase per proteggere il file di download. La passphrase deve contenere almeno otto caratteri, di cui almeno uno alfabetico e uno numerico. Confermare la passphrase. Accettare il nome e il percorso predefiniti in cui salvare il file, oppure fare clic sui tre puntini ("...") per selezionare un percorso diverso. Fare clic su Avanti. Viene visualizzato un messaggio che indica che il materiale delle chiavi è stato sbloccato. È ora possibile accedere ai file. 4.
1. Aprire un prompt dei comandi dove si trova CMGAd e digitare cmgad.exe -a. 2. Immettere le seguenti informazioni (alcuni campi possono essere già popolati). Server: nome host completo del Key Server, come serverchiavi.dominio.com Numero di porta: la porta predefinita è 8050 Account server: l'utente del dominio in cui è in esecuzione Key Server. Il formato è DOMINIO\Nome utente.
Viene visualizzato un messaggio che indica che il materiale delle chiavi è stato sbloccato. È ora possibile accedere ai file. 4. Al termine fare clic su Fine.
16 Configurare la crittografia sul sistema operativo del server Abilitare la crittografia sul sistema operativo del server N.B.: La crittografia dei sistemi operativi del server converte la crittografia dell'utente in crittografia comune. 1. Eseguire l'accesso alla Management Console come amministratore Dell. 2.
Configurare i criteri di Encryption External Media Il computer crittografante originale è il computer che crittografa originariamente un dispositivo rimovibile. Quando il computer originale è un server protetto (un server con crittografia installata e attivata sul sistema operativo del server) e il server protetto rileva per la prima volta la presenza di un dispositivo rimovibile, all'utente viene richiesto di crittografare il dispositivo rimovibile.
Nel riquadro sinistro della Management Console, fare clic su Popolamenti > Endpoint. Ricercare o selezionare un hostname, quindi fare clic sulla scheda Dettagli e azioni. In Controllo dispositivo server, fare clic su Sospendi quindi Sì. N.B.: Fare clic su Ripristina per permettere alla crittografia del server di accedere ai dati cifrati nel server dopo il riavvio.
17 Configurare l'Attivazione posposta Encryption Client con l'attivazione posposta è diverso dall'attivazione del client di crittografia per due motivi: Criteri di crittografia basati su dispositivo I criteri di Encryption Client si basano sull'utente; i criteri di crittografia di Encryption Client con l'attivazione posposta si basano sul dispositivo. La crittografia utente viene convertita nella crittografia comune.
Dell consiglia vivamente di creare una password di Windows (se non ne esiste già una) per proteggere l'accesso ai dati crittografati. La creazione di una password per il computer impedisce ad altri di accedere al proprio account utente. Disinstallare le versioni precedenti del client di crittografia Prima di disinstallare una versione precedente del client di crittografia, arrestare o sospendere la ricerca dei dati da crittografare, se necessario.
Gli indirizzi e-mail non di dominio o personali non possono essere utilizzati per l'attivazione. 3. Fare clic su Chiudi. Il Dell Server associa il pacchetto chiavi di crittografia alle credenziali dell'utente e all'ID univoco del computer (ID del computer), creando una relazione indissolubile tra il pacchetto chiavi, il computer specifico e l'utente. 4. Riavviare il computer per iniziare la ricerca dei dati da crittografare. N.B.
● Controllare l'URL del Dell Server per accertarsi che corrisponda all'URL fornito dall'amministratore. L'URL e altri dati immessi dall'utente nel programma di installazione sono archiviati nel registro. Controllare la precisione dei dati in [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] e [HKLM\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Winlogon\CMGShield\Servlet] ● Disconnettersi e riconnettersi: Disconnettere il computer dalla rete. Ricollegare alla rete. Riavviare il sistema.
18 Risoluzione dei problemi Tutti i client - Risoluzione dei problemi ● I file di registro del programma di installazione principale di Master Suite si trovano nel percorso C:\ProgramData\Dell\Dell Data Protection\Installer. ● Windows crea file di registro di installazione dei programmi di installazione figlio univoci per l'utente che ha effettuato l'accesso a %temp%, e si trovano nel percorso C:\Users\\AppData\Local\Temp.
● Le credenziali usate per attivare non sono le credenziali dell'amministratore di dominio. Messaggio di errore: nome utente sconosciuto o password errata Il nome utente o la password non corrispondono. Soluzione possibile: cercare nuovamente di effettuare l'accesso accertandosi di digitare il nome utente e la password in modo corretto. Messaggio di errore: attivazione non riuscita perché l'account utente non ha diritti di amministratore di dominio.
2. 3. 4. 5. Quando viene rilevato un nuovo utente (non gestito), viene visualizzata la finestra di dialogo Attiva. Fare clic su Annulla. Aprire la finestra Informazioni sulla crittografia del server per confermare che è in esecuzione in modalità server. Fare clic con il tasto destro del mouse sull'icona di crittografia nell'area di notifica e selezionare Attiva Dell Encryption. Immettere le credenziali di amministratore di dominio nella finestra di dialogo Attiva. N.B.
Per dettagli sul criterio di Intervallo tra tentativi a seguito di un errore di rete, fare riferimento ad AdminHelp, disponibile nella Management console. Autenticazione e attivazione del dispositivo Il diagramma seguente illustra l'autenticazione e l'attivazione del dispositivo corrette. 1.
Trovare la versione TSS ● TSS è un componente che si interfaccia con il TPM. Per trovare tale versione TSS, accedere a (percorso predefinito) C:\Program Files\Dell\Dell Data Protection\Drivers\TSS\bin > tcsd_win32.exe. Fare clic con il pulsante destro del mouse sul file e selezionare Proprietà. Verificare la versione del file nella scheda Dettagli.
OPPURE 1. Fare clic su Avanzate per attivare/disattivare la visualizzazione su Semplice per sottoporre a scansione una cartella specifica. 2. Accedere a Impostazioni di scansione e inserire il percorso della cartella nel campo Percorso di ricerca. Se si utilizza questo campo, la selezione nel menu viene ignorata. 3. Se non si desidera scrivere i risultati della scansione di WSScan su file, disattivare la casella di controllo Output su file. 4.
Uso della riga di comando di WSScan WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o] [-a] [-f] [-r] [u[a][-|v]] [-d] [-q] [-e] [-x] [-y] Opzione Significato Unità Unità da sottoporre a scansione. Se non è specificato, l'impostazione predefinita è tutte le unità fisse locali. Può essere un'unità di rete mappata.
Opzione Significato -s Operazione invisibile all'utente -o Percorso del file di output -a Aggiungere al file di output. Il comportamento predefinito tronca il file di output. -f Identificatore di formato rapporto (Rapporto, Fisso, Delimitato) -r Eseguire WSScan senza i privilegi di amministratore. In questa modalità alcuni file potrebbero non essere visibili. -u Includere file non crittografati nel file di output.
Output Significato Come mostrato nell'esempio riportato sopra, "7vdlxrsb". Se si esegue la scansione di un'unità di rete mappata, il rapporto di scansione non genera un KCID. UCID L'ID utente. Come mostrato nell'esempio riportato sopra, "_SDENCR_". L'UCID è condiviso da tutti gli utenti del computer. File Il percorso del file crittografato. Come mostrato nell'esempio riportato sopra, "c:\temp\Dell - test.log". Algoritmo L'algoritmo di crittografia utilizzato per crittografare il file.
wsprobe [path] wsprobe [-h] wsprobe [-f path] wsprobe [-u n] [-x process_names] [-i process_names] Parametri Parametro Per path Specificare facoltativamente un percorso specifico nel dispositivo da sottoporre a scansione per eventuale crittografia/decrittografia. Se non viene specificato un percorso, l'utilità sottopone a scansione tutte le cartelle relative ai criteri di crittografia. -h Visualizzare la guida della riga di comando.
● Completata - La ricerca della decrittografia è stata completata. Al riavvio successivo è pianificata l'eliminazione del servizio, del driver, dell'eseguibile e dell'eseguibile del driver. Risoluzione dei problemi SED Usare il Codice di accesso iniziale ● Questo criterio viene utilizzato per eseguire l'accesso a un computer se l'accesso di rete non è disponibile, Ovvero se non è possibile accedere al Dell Server e AD. Usare il criterio Codice di accesso iniziale solo in caso di stretta necessità.
Il formato del nome utente deve corrispondere a quello utilizzato durante la creazione dell'utente PBA. Pertanto, se è stato usato il formato DOMINIO/nome utente, è necessario inserire DOMINIO/nome utente come nome utente. 11. Quando viene visualizzata la schermata Note legali, fare clic su Accedi. Windows viene quindi avviato ed è possibile usare normalmente il computer.
2. Selezionare il modello di computer. 3. Selezionare Driver e download. 4. Selezionare il Sistema operativo del computer di destinazione.
5. Selezionare la categoria Sicurezza. 6. Scaricare e salvare i driver di Dell ControlVault. 7. Scaricare e salvare il firmware di Dell ControlVault.
8. Copiare i driver e il firmware nei computer di destinazione, se necessario. Installare il driver di Dell ControlVault 1. Passare alla cartella in cui è stato scaricato il file di installazione del driver. 2. Cliccare due volte sul driver di Dell ControlVault per avviare il file eseguibile autoestraente. N.B.: Assicurarsi di installare prima il driver. Il nome file del driver al momento della creazione del documento è ControlVault_Setup_2MYJC_A37_ZPE.exe. 3. Cliccare su Continua per iniziare.
4. Cliccare su OK per decomprimere i file del driver nel percorso predefinito C:\Dell\Drivers\. 5. Cliccare su Sì per consentire la creazione di una nuova cartella. 6. Cliccare su OK quando viene visualizzato il messaggio di completamento della decompressione. 7. Al termine dell'estrazione, viene visualizzata la cartella contenente i file. Se ciò non accade, passare alla cartella in cui sono stati estratti i file. In questo caso, la cartella è JW22F.
8. Cliccare due volte su CVHCI64.MSI per avviare il programma di installazione del driver [in questo esempio si tratta di CVHCI64.MSI (CVHCI per un computer a 32 bit)]. 9. Cliccare su Avanti nella schermata iniziale. 10. Cliccare su Avanti per l'installazione dei driver nel percorso predefinito C:\Program Files\Broadcom Corporation \Broadcom USH Host Components\.
11. Selezionare l'opzione Completata e cliccare su Avanti. 12. Cliccare su Installa per avviare l'installazione dei driver.
13. È possibile, facoltativamente, selezionare la casella di controllo per visualizzare il file di registro del programma di installazione. Cliccare su Fine per uscire dalla procedura guidata. Verificare l'installazione del driver ● Device Manager avrà un dispositivo Dell ControlVault (e altri dispositivi) a seconda del sistema operativo e della configurazione dell'hardware. Installare il firmware di Dell ControlVault 1. Passare alla cartella in cui è stato scaricato il file di installazione del firmware.
2. Cliccare due volte sul firmware di Dell ControlVault per avviare il file eseguibile autoestraente. 3. Cliccare su Continua per iniziare. 4. Cliccare su OK per decomprimere i file del driver nel percorso predefinito C:\Dell\Drivers\. 5. Cliccare su Sì per consentire la creazione di una nuova cartella. 6. Cliccare su OK quando viene visualizzato il messaggio di completamento della decompressione.
7. Al termine dell'estrazione, viene visualizzata la cartella contenente i file. Se ciò non accade, passare alla cartella in cui sono stati estratti i file. Selezionare la cartella firmware. 8. Cliccare due volte su ushupgrade.exe per avviare il programma di installazione del firmware. 9. Cliccare su Avvia per avviare l'aggiornamento del firmware.
N.B.: Se si tratta dell'aggiornamento di una versione precedente del firmware, all'utente potrebbe essere richiesto di immettere la password di amministratore. Immettere Broadcom come password e cliccare su Invio se viene visualizzata questa finestra di dialogo. Vengono visualizzati alcuni messaggi di stato.
Risoluzione dei problemi 115
10. Cliccare su Riavvia per completare l'aggiornamento del firmware. L'aggiornamento dei driver e del firmware di Dell ControlVault è stato completato.
Computer UEFI Risoluzione dei problemi di connessione di rete ● Per eseguire l'autenticazione di preavvio in un computer con firmware UEFI, la modalità PBA deve disporre della connettività di rete. Per impostazione predefinita, i computer con firmware UEFI non dispongono di connettività di rete fino al caricamento del sistema operativo, che avviene dopo la modalità PBA.
Costante/valore Descrizione TPM_E_BAD_ORDINAL Ordinale sconosciuto o incoerente. 0x8028000A TPM_E_INSTALL_DISABLED Installazione del proprietario disabilitata. 0x8028000B TPM_E_INVALID_KEYHANDLE Impossibile interpretare l'handle della chiave. 0x8028000C TPM_E_KEYNOTFOUND L'handle della chiave punta a una chiave non valida. 0x8028000D TPM_E_INAPPROPRIATE_ENC Schema di crittografia non accettabile. 0x8028000E TPM_E_MIGRATEFAIL Autorizzazione della migrazione non riuscita.
Costante/valore Descrizione TPM_E_SHA_ERROR Impossibile continuare il calcolo. Errore rilevato dal thread SHA-1 esistente. 0x8028001B TPM_E_FAILEDSELFTEST 0x8028001C TPM_E_AUTH2FAIL 0x8028001D TPM_E_BADTAG Errore segnalato dal dispositivo hardware TPM durante il test automatico interno. Provare a riavviare il computer per risolvere il problema. Se il problema persiste, potrebbe essere necessario sostituire l'hardware TPM o la scheda madre. Impossibile eseguire l'autorizzazione.
Costante/valore Descrizione TPM_E_BAD_MODE 0x8028002C Parametro relativo alla modalità non valido, ad esempio capArea o subCapArea per TPM_GetCapability, phsicalPresence per TPM_PhysicalPresence o migrationType per TPM_CreateMigrationBlob. TPM_E_BAD_PRESENCE Valore errato dei bit physicalPresence o physicalPresenceLock. 0x8028002D TPM_E_BAD_VERSION TPM: impossibile eseguire questa versione della caratteristica.
Costante/valore Descrizione TPM_E_BAD_LOCALITY Località non corretta per l'operazione desiderata. 0x8028003D TPM_E_READ_ONLY L'area non volatile è di sola lettura e non può essere scritta. 0x8028003E TPM_E_PER_NOWRITE Nessuna protezione da scrittura per l'area non volatile. 0x8028003F TPM_E_FAMILYCOUNT Valore del conteggio delle famiglie non corrispondente. 0x80280040 TPM_E_WRITE_LOCKED Scrittura già eseguita nell'area non volatile.
Costante/valore Descrizione TPM_E_TRANSPORT_NOTEXCLUSIVE Comando eseguito al di fuori di una sessione di trasporto esclusiva. 0x8028004E TPM_E_OWNER_CONTROL 0x8028004F TPM_E_DAA_RESOURCES 0x80280050 TPM_E_DAA_INPUT_DATA0 0x80280051 TPM_E_DAA_INPUT_DATA1 Tentativo di salvataggio di una chiave la cui rimozione è controllata dal proprietario. Nessuna risorsa disponibile per il comando DAA per l'esecuzione del comando. Verifica di coerenza per il parametro DAA inputData0 non riuscita.
Costante/valore Descrizione TPM_E_MA_AUTHORITY Autorità di migrazione non corretta. 0x8028005F TPM_E_PERMANENTEK 0x80280061 TPM_E_BAD_SIGNATURE Tentativo di revocare la chiave di crittografia. Impossibile revocare tale chiave. Firma del ticket CMK non valida. 0x80280062 TPM_E_NOCONTEXTSPACE Spazio insufficiente per ulteriori contesti nell'elenco dei contesti. 0x80280063 TPM_E_COMMAND_BLOCKED Comando bloccato. 0x80280400 TPM_E_INVALID_HANDLE Impossibile trovare l'handle specificato.
Costante/valore Descrizione TBS_E_INSUFFICIENT_BUFFER Buffer di output specificato insufficiente. 0x80284005 TBS_E_IOERROR Errore durante la comunicazione con il TPM. 0x80284006 TBS_E_INVALID_CONTEXT_PARAM Uno o più parametri di contesto non validi. 0x80284007 TBS_E_SERVICE_NOT_RUNNING Il servizio TBS non è in esecuzione. Impossibile avviarlo. 0x80284008 TBS_E_TOO_MANY_TBS_CONTEXTS Impossibile creare un nuovo contesto. Troppi contesti aperti.
Costante/valore Descrizione valore restituito nelle informazioni aggiuntive, oppure l'abilitazione del TPM nel BIOS di sistema. TBS_E_PPI_FUNCTION_UNSUPPORTED 0x80284014 TBS_E_OWNERAUTH_NOT_FOUND L'interfaccia di presenza fisica del firmware non supporta il metodo richiesto. Impossibile trovare il valore OwnerAuth del TPM richiesto. 0x80284015 TBS_E_PROVISIONING_INCOMPLETE 0x80284016 Provisioning del TPM non completato.
Costante/valore Descrizione TPMAPI_E_MESSAGE_TOO_LARGE Messaggio troppo grande per lo schema di codifica. 0x8029010D TPMAPI_E_INVALID_ENCODING Codifica nel BLOB non riconosciuta. 0x8029010E TPMAPI_E_INVALID_KEY_SIZE Dimensioni della chiave non valide. 0x8029010F TPMAPI_E_ENCRYPTION_FAILED Crittografia non riuscita. 0x80290110 TPMAPI_E_INVALID_KEY_PARAMS Struttura dei parametri della chiave non valida.
Costante/valore Descrizione TPMAPI_E_POLICY_DENIES_OPERATION L'operazione richiesta è stata bloccata dai criteri del TPM correnti. Per ottenere assistenza, contattare l'amministratore di sistema. 0x8029011E TBSIMP_E_BUFFER_TOO_SMALL Il buffer specificato era insufficiente. 0x80290200 TBSIMP_E_CLEANUP_FAILED Impossibile eseguire la pulizia del contesto. 0x80290201 TBSIMP_E_INVALID_CONTEXT_HANDLE L'handle di contesto specificato non è valido.
Costante/valore Descrizione TBSIMP_E_NOT_ENOUGH_TPM_CONTEXTS TPM: troppi contesti in uso. 0x80290210 TBSIMP_E_COMMAND_FAILED Comando TPM non riuscito. 0x80290211 TBSIMP_E_UNKNOWN_ORDINAL TBS: impossibile riconoscere l'ordinale specificato. 0x80290212 TBSIMP_E_RESOURCE_EXPIRED La risorsa richiesta non è più disponibile. 0x80290213 TBSIMP_E_INVALID_RESOURCE Tipo di risorsa non corrispondente. 0x80290214 TBSIMP_E_NOTHING_TO_UNLOAD Nessuna risorsa scaricabile.
Costante/valore Descrizione TPM_E_PCP_ERROR_MASK Maschera per la conversione degli errori del provider di crittografia della piattaforma in errori di Windows.
Costante/valore Descrizione PLA_E_DCS_ALREADY_EXISTS Insieme agenti di raccolta dati già esistente. 0x803000B7 PLA_S_PROPERTY_IGNORED Il valore della proprietà verrà ignorato. 0x00300100 PLA_E_PROPERTY_CONFLICT Conflitto di valori di proprietà. 0x80300101 PLA_E_DCS_SINGLETON_REQUIRED 0x80300102 PLA_E_CREDENTIALS_REQUIRED 0x80300103 PLA_E_DCS_NOT_RUNNING In base alla configurazione corrente, l'Insieme agenti di raccolta dati deve contenere un solo agente di raccolta dati.
Costante/valore Descrizione PLA_E_PLA_CHANNEL_NOT_ENABLED È possibile eseguire questa operazione solo se il canale Microsoft-Windows-Diagnosis-PLA/Operational del registro eventi è attivato. 0x80300110 PLA_E_TASKSCHED_CHANNEL_NOT_ENABLED 0x80300111 PLA_E_RULES_MANAGER_FAILED È possibile eseguire questa operazione solo se il canale Microsoft-Windows-TaskScheduler del registro eventi è attivato. Impossibile eseguire Gestione regole.
Costante/valore Descrizione Crittografia unità BitLocker o Trusted Platform Module. Contattare l'amministratore di dominio per verificare che siano state installate tutte le estensioni dello schema di Active Directory necessarie per BitLocker.
Costante/valore Descrizione FVE_E_TPM_NOT_OWNED È necessario inizializzare il TPM prima di poter utilizzare Crittografia unità BitLocker.
Costante/valore Descrizione FVE_E_FAILED_AUTHENTICATION Impossibile sbloccare l'unità con la chiave fornita. Verificare che la chiave sia corretta e riprovare. 0x80310027 FVE_E_NOT_OS_VOLUME L'unità specificata non è l'unità del sistema operativo.
Costante/valore Descrizione Verificare che il formato della password di ripristino sia corretto, quindi riprovare.
Costante/valore Descrizione modificate o è stato specificato un PIN non corretto. Verificare che l'unità non sia stata alterata e che le modifiche alle informazioni di avvio del sistema siano state apportate da una fonte attendibile. Dopo avere verificato che l'accesso all'unità è sicuro, utilizzare la Console di ripristino di emergenza di BitLocker per sbloccare l'unità, quindi sospendere e riprendere BitLocker per aggiornare le informazioni di avvio del sistema che BitLocker associa all'unità.
Costante/valore Descrizione FVE_E_DEBUGGER_ENABLED Impossibile crittografare l'unità mentre il debugger di avvio è abilitato. Per disattivare il debugger di avvio, utilizzare lo strumento da riga di comando bcdedit. 0x8031004F FVE_E_RAW_ACCESS 0x80310050 FVE_E_RAW_BLOCKED 0x80310051 FVE_E_BCD_APPLICATIONS_PATH_INCORRECT 0x80310052 FVE_E_NOT_ALLOWED_IN_VERSION 0x80310053 FVE_E_NO_AUTOUNLOCK_MASTER_KEY 0x80310054 FVE_E_MOR_FAILED 0x80310055 FVE_E_HIDDEN_VOLUME Nessuna operazione eseguita.
Costante/valore Descrizione FVE_E_POLICY_RECOVERY_KEY_REQUIRED In base alle impostazioni dei Criteri di gruppo, è necessario creare una chiave di ripristino. 0x8031005F FVE_E_POLICY_STARTUP_PIN_NOT_ALLOWED 0x80310060 FVE_E_POLICY_STARTUP_PIN_REQUIRED 0x80310061 FVE_E_POLICY_STARTUP_KEY_NOT_ALLOWED 0x80310062 FVE_E_POLICY_STARTUP_KEY_REQUIRED 0x80310063 Utilizzo di un PIN all'avvio non consentito dalle impostazioni dei Criteri di gruppo. Scegliere un'altra opzione di avvio di BitLocker.
Costante/valore Descrizione FVE_E_VOLUME_TOO_SMALL Unità troppo piccola per utilizzare la protezione tramite Crittografia unità BitLocker.
Costante/valore Descrizione FVE_E_POLICY_CONFLICT_FDV_RK_OFF_AUK_ON Impossibile applicare Crittografia unità BitLocker all'unità a causa di conflitti nelle impostazioni dei Criteri di gruppo. Non è possibile configurare BitLocker per lo sblocco automatico delle unità dati fisse quando le opzioni di ripristino dell'utente sono disabilitate.
Costante/valore Descrizione FVE_E_POLICY_CONFLICT_FDV_RP_OFF_ADB_ON Impossibile applicare Crittografia unità BitLocker all'unità a causa di conflitti nelle impostazioni dei Criteri di gruppo per le opzioni di ripristino relative alle unità dati fisse. Non è possibile richiedere l'archiviazione di informazioni di ripristino in Servizi di dominio Active Directory quando non è consentita la generazione di password di ripristino.
Costante/valore Descrizione FVE_E_INVALID_DATUM_TYPE Tipo sconosciuto nelle informazioni di gestione archiviate sull'unità. Se si utilizza una versione precedente di Windows, provare ad accedere all'unità utilizzando la versione più recente. 0x8031009B FVE_E_EFI_ONLY Funzionalità supportata solo su sistemi EFI. 0x8031009C FVE_E_MULTIPLE_NKP_CERTS Più certificati di protezione di rete con chiave trovati nel sistema.
Costante/valore Descrizione 0x803100AA FVE_E_NO_PASSPHRASE_WITH_TPM 0x803100AB FVE_E_NO_TPM_WITH_PASSPHRASE 0x803100AC FVE_E_NOT_ALLOWED_ON_CSV_STACK 0x803100AD FVE_E_NOT_ALLOWED_ON_CLUSTER 0x803100AE FVE_E_EDRIVE_NO_FAILOVER_TO_SW 0x803100AF FVE_E_EDRIVE_BAND_IN_USE 0x803100B0 FVE_E_EDRIVE_DISALLOWED_BY_GP 0x803100B1 FVE_E_EDRIVE_INCOMPATIBLE_VOLUME Impossibile aggiungere una protezione con chiave di tipo password. Protezione TPM esistente nell'unità.
Costante/valore Descrizione FVE_E_SECUREBOOT_DISABLED Impossibile utilizzare l'avvio sicuro in BitLocker per garantire l'integrità della piattaforma. L'avvio sicuro è stato disabilitato.
Costante/valore Descrizione FVE_E_DE_OS_VOLUME_NOT_PROTECTED Il PC non è configurato per supportare la crittografia del dispositivo. 0x803100C9 FVE_E_DE_DEVICE_LOCKEDOUT 0x803100CA FVE_E_DE_PROTECTION_NOT_YET_ENABLED Blocco dispositivo attivato a causa dei troppi tentativi di accesso con password errate. 0x803100CB La protezione non è abilitata nel volume. Per abilitare la protezione è necessario un account connesso.
19 Glossario Attivare - L'attivazione avviene quando il computer è stato registrato con il Dell Server e ha ricevuto almeno un insieme iniziale di criteri. Active Directory (AD) - Un servizio directory creato da Microsoft per reti di dominio di Windows. Crittografia dei dati applicativi - Crittografia dei dati applicativi crittografa tutti i file scritti da un'applicazione protetta, utilizzando una Categoria 2 Sostituisci.
SED Manager - Fornisce una piattaforma per gestire in modo protetto le unità autocrittografanti. Sebbene le unità autocrittografanti forniscano la propria crittografia, non dispongono di una piattaforma per la gestione di tale crittografia e dei criteri disponibili. SED Manager è un componente di gestione centrale e scalabile che consente di proteggere e gestire più efficacemente i propri dati. SED Manager garantisce all'utente di amministrare la propria azienda in maniera più rapida e semplice.