Dell Endpoint Security Suite Enterprise 고급 설치 가이드 v2.
참고, 주의 및 경고 노트: 참고"는 제품을 보다 효율적으로 사용하는 데 도움이 되는 중요 정보를 제공합니다. 주의: 주의사항은 하드웨어의 손상 또는 데이터 유실 위험을 설명하며, 이러한 문제를 방지할 수 있는 방법을 알려줍니다. 경고: 경고는 재산 손실, 신체적 상해 또는 사망 위험이 있음을 알려줍니다. © 2012-2020 Dell Inc. All rights reserved. Registered trademarks and trademarks used in the Dell Encryption and Endpoint Security Suite Enterprise suite of documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
목차 장 1: 소개........................................................................................................................................ 6 시작하기 전에....................................................................................................................................................................... 6 이 가이드 사용......................................................................................................................................................................
Web Protection 및 Firewall 제거....................................................................................................................................... 61 Advanced Threat Prevention 설치 제거...........................................................................................................................61 Full Disk Encryption을 설치 제거합니다.......................................................................................................................... 61 SED Manager 설치 제거..............
장 19: 문제 해결............................................................................................................................100 모든 클라이언트 - 문제 해결..........................................................................................................................................100 모든 클라이언트 - 보호 상태..........................................................................................................................................100 Dell Encryption 문제 해결(클라이언트 및 서버) .......................
1 소개 이 가이드에서는 Advanced Threat Prevention, , Encryption, SED management, Full Disk Encryption, Web Protection 및 Client Firewall, BitLocker Manager를 설치하고 구성하는 방법을 자세히 설명합니다. 모든 정책 정보와 그 설명은 AdminHelp에서 찾으시기 바랍니다. 시작하기 전에 1. 클라이언트 배포에 앞서 Dell Server를 설치합니다. 아래 나열된 가이드에서 해당되는 가이드를 찾아 지침을 따른 후 이 가이드의 지침을 따르십시오. ● Security Management Server 설치 및 마이그레이션 가이드 ● Security Management Server Virtual 퀵 스타트 가이드 및 설치 가이드 ● 정책이 원하는 대로 설정되었는지 확인합니다. ?에서 사용할 수 있는 AdminHelp를 통해 검색합니다. ?는 화면 맨 오른쪽에 있 습니다.
이 가이드 사용 다음 순서에 따라 이 가이드를 사용합니다. ● 클라이언트 사전 요구 사항, 컴퓨터 하드웨어 및 소프트웨어 정보, 제한 사항 그리고 제반 기능에 필요한 특수 레지스트리 변경에 대해서는 요구 사항을 참조하십시오. ● 필요하다면 SED UEFI 및 BitLocker에 대한 설치 전 구성을 참조하십시오. ● 클라이언트에 Dell Digital Delivery 사용 권한이 부여되는 경우, 사용 권한을 활성화하도록 도메인 컨트롤러에서 GPO를 설정을 참 조하십시오. ● Endpoint Security Suite Enterprise 마스터 설치 프로그램을 사용하여 클라이언트를 설치하는 경우 다음을 참조하십시오. ○ 마스터 설치 프로그램을 사용하여 대화형으로 설치 또는 ○ 마스터 설치 프로그램을 사용하여 명령줄을 통해 설치 ● 하위 설치 프로그램을 사용하여 클라이언트를 설치하는 경우, 하위 설치 프로그램의 실행 파일들을 마스터 설치 프로그램에서 반 드시 추출해야 합니다.
2 요구 사항 모든 클라이언트 이 요구 사항은 모든 클라이언트에 적용됩니다. 다른 섹션에 나열된 요구 사항은 특정 클라이언트에 적용됩니다. ● 배포 시에는 IT 모범 사례를 따라야 합니다. 예를 들어, 초기 테스트에서 테스트 환경을 통제하고 사용자에 대해 시간별 배포를 수 행해야 합니다. ● 설치/업그레이드/설치 제거를 수행하는 사용자 계정은 로컬 또는 도메인 관리자여야 하며, 관리자 권한은 Microsoft SCCM과 같 은 배포 툴을 사용하여 임시로 할당할 수 있습니다. 관리자 이외의 사용자는 상승된 권한을 가진 경우에도 지원되지 않습니다. ● 설치/설치 제거를 시작하기 전에 중요한 데이터를 모두 백업하십시오. ● 설치가 진행되는 동안에는 외부(USB) 드라이브 삽입 또는 제거를 비롯하여 컴퓨터를 변경하지 마십시오. ● 관리자는 필요한 모든 포트가 사용 가능한지 확인해야 합니다. ● 최신 문서 자료와 기술 권장 사항은 www.dell.com/support에서 정기적으로 확인하시기 바랍니다.
언어 지원 FR - 프랑스어 JA - 일본어 PT-PT - 포르투갈어, 포르투갈(이베리아) 암호화 ● 클라이언트 컴퓨터가 네트워크에 연결되어 있어야 활성화할 수 있습니다. ● 초기 암호화 시간을 줄이려면 Windows 디스크 정리 마법사를 실행하여 임시 파일 및 기타 불필요한 데이터를 모두 제거합니다. ● 암호화 스윕이 처음 실행되는 동안, 사용자가 없는 시간에 컴퓨터가 절전 모드로 전환되지 않도록 절전 모드를 해제하십시오. 절 전 상태의 컴퓨터에서는 암호화 및 암호 해독이 발생되지 않습니다. ● 이중 부팅 구성은 다른 운영 체제의 시스템 파일을 암호화하여 작업을 방해할 수 있으므로 Encryption에서 이중 부팅 구성을 지원 하지 않습니다. ● Dell Encryption v1.6.0 이전 버전에서 v2.7 버전으로 업그레이드할 수 없습니다. v1.6.0 이전 버전을 실행하는 엔드포인트는 v1.6.0 버전으로 업그레이드한 후에 v2.7 버전으로 업그레이드해야 합니다.
하드웨어 ● 다음 표에 지원되는 하드웨어가 나와 있습니다. 내장 하드웨어(선택 사항) ○ TPM 1.2 또는 2.0 운영 체제 ● 다음 표에 지원되는 운영 체제가 나와 있습니다. Windows 운영 체제(32 및 64비트) ○ ○ ○ ○ ○ Windows 7 SP1: Enterprise, Professional, Ultimate 애플리케이션 호환성 템플릿이 포함된 Windows Embedded Standard 7 Windows 8.1: Enterprise, Pro Windows Embedded 8.1 Industry Enterprise Windows 10: Education, Enterprise, Pro v1803-v20H2(2018년 4월 업데이트/Redstone 4 - 2020년 10월 업데이트/20H2) 참고: Windows 10 v2004(2020년 5월 업데이트/20H1)는 32비트 아키텍처를 지원하지 않습니다. 자세한 내용은 https:// docs.microsoft.
암호화된 미디어에 대한 액세스가 지원되는 Windows 운영 체제(32 및 64비트) 참고: Windows 10 v2004(2020년 5월 업데이트/20H1)는 32비트 아키텍처를 지원하지 않습니다. 자세한 내용은 https:// docs.microsoft.com/windows-hardware/design/minimum/minimum-hardware-requirements-overview를 참조하십시오. ■ ■ Windows 10 2016 LTSB Windows 10 2019 LTSC 암호화된 미디어에 대한 액세스가 지원되는 Mac 운영 체제(64비트 커널) ○ macOS High Sierra 10.13.5 - 10.13.6 ○ macOS Mojave 10.14.0 - 10.14.4 ○ macOS Catalina 10.15.5 - 10.15.6 Full Disk Encryption ● ● ● ● ● ● ● ● ● ● ● ● ● Full Disk Encryption은 v9.8.
사전 요구 사항 ○ Visual C++ 2017 이상 재배포 가능 패키지(x86 또는 x64) Windows 7에 설치한 경우 Visual C++ 2017에 Windows 업데이트 KB2999226이 필요합니다. ○ 2020년 1월부터 SHA1 서명 인증서는 더 이상 유효하지 않으며 갱신할 수 없습니다. Windows 7 또는 Windows Server 2008 R2를 실행하는 디바이스는 애플리케이션 및 설치 패키지의 SHA256 서명 인증서를 확인하기 위해 Microsoft KB https:// support.microsoft.com/help/4474419 및 https://support.microsoft.com/help/4490628을 설치해야 합니다. SHA1 인증서로 서명된 애플리케이션 및 설치 패키지는 작동하지만 이러한 업데이트가 설치되지 않은 상태에서 애플리케이 션을 설치하거나 실행하는 동안 엔드포인트에 오류가 표시됩니다. ● 노트: 암호는 사전 부팅 인증에 필요합니다.
UEFI 부팅 모드가 지원되는 Dell 컴퓨터 모델 ● Full Disk Encryption이 지원되는 플랫폼의 최신 목록은 KB 문서 SLN296720을 참조하십시오. ● Full Disk Encryption이 지원되는 도킹 스테이션 및 어댑터 목록은 KB 문서 SLN314695를 참조하십시오. 운영 체제 ● 다음 표에 지원되는 운영 체제가 나와 있습니다. Windows 운영 체제(64비트) ○ Windows 7 SP1: Enterprise, Professional, Ultimate(레거시 부팅 모드 필요) ○ Windows 10: Education, Enterprise, Pro v1803-v20H2(2018년 4월 업데이트/Redstone 4 - 2020년 10월 업데이트/20H2) 참고: Windows 10 v2004(2020년 5월 업데이트/20H1)는 32비트 아키텍처를 지원하지 않습니다. 자세한 내용은 https:// docs.microsoft.
○ ○ ○ ○ RAID 5 또는 10 드라이브가 장착된 서버, RAID 0(스트라이핑) 및 RAID 1(미러링)은 서로 독립적으로 지원됩니다. 여러 개의 TB RAID 드라이브가 장착된 서버 컴퓨터를 종료하지 않고도 변경할 수 있는 드라이브가 장착된 서버 Server Encryption는 업계 최고의 바이러스 백신 공급자의 검증을 거쳤습니다. 안티바이러스 스캐닝과 암호화 간의 불일치를 방지하기 위해 안티바이러스 공급자를 위해 하드 코딩된 제외가 제공됩니다. 여기에 나열되지 않은 안티바이러스 공급자를 조직에서 사용하고 있는 경우 KB 문서 SLN298707을 참조하거나 Dell ProSupport에 연락하여 도움을 받으십시오. 서버 운영 체제의 Encryption은 다음과 함께 사용되지 않습니다.
지원되는 서버 운영 체제 ● ● ● ● Windows Server 2012: Standard Edition, Essentials Edition, Datacenter Edition(Server Core은 지원되지 않음) Windows Server 2012 R2: Standard Edition, Essentials Edition, Datacenter Edition(Server Core는 지원되지 않음) Windows Server 2016: Standard Edition, Essentials Edition, Datacenter Edition(Server Core은 지원되지 않음) Windows Server 2019: Standard Edition, Datacenter Edition UEFI 모드가 지원되는 운영 체제 ● Windows 8.
Advanced Threat Prevention ● 클라이언트를 관리하는 Dell Server가 연결된 모드(기본)로 실행되고 있을 때 Advanced Threat Prevention 설치를 완료하려면 컴퓨 터가 네트워크에 연결되어 있어야 합니다. 하지만 관리하는 Dell Server가 연결되지 않은 모드로 실행되고 있을 때는 Advanced Threat Prevention 설치에 네트워크 연결이 필요하지 않습니다. ● Advanced Threat Prevention에 대한 테넌트를 프로비저닝하려면 Dell Server가 인터넷에 연결되어 있어야 합니다. ● 연결되지 않은 모드로 실행되는 Dell Server에서 관리하는 클라이언트 컴퓨터에는 선택 사양인 클라이언트 방화벽 및 웹 보호 기 능을 설치해서는 안 됩니다. ● 다른 공급업체의 안티바이러스, 안티멀웨어 및 안티스파이웨어 애플리케이션이 Advanced Threat Prevention 클라이언트와 충돌 할 수 있습니다.
BIOS 이미지 무결성 확인 관리 콘솔에서 Enable BIOS Assurance 정책이 선택되어 있으면 Cylance 테넌트가 엔드포인트 컴퓨터에서 BIOS 해시의 유효성을 검사 해 Dell 초기 버전에서 BIOS가 수정되지 않았음을 확인합니다. 수정된 경우 공격 벡터의 가능성이 있습니다. 위협이 감지되면 Dell Server에 알림이 전달되고 IT 관리자가 관리 콘솔에서 경고를 받습니다. 프로세스 개요는 BIOS 이미지 무결성 확인 프로세스를 참조 하십시오. 노트: 사용자 지정 출하 시 이미지는 BIOS가 수정되었기 때문에 이 기능과 함께 사용할 수 없습니다.
기능 정책 Windows macOS Linux 메모리 원격 할당 x x 해당 없음 메모리 원격 매핑 x x 해당 없음 메모리에 원격으로 쓰기 x x 해당 없음 메모리에 PE를 원격으로 쓰기 x 해당 없음 해당 없음 원격 덮어쓰기 코드 x 해당 없음 메모리 원격 매핑 해제 x 해당 없음 원격 스레드 생성 x x 원격 APC 예약됨 x 해당 없음 해당 없음 x x 해당 없음 프로세스 주입 DYLD 주입 에스컬레이션 LSASS 읽기 x 해당 없음 제로 할당 x x 실행 제어 x x 장치의 서비스 종료 방지 x x 안전하지 않은 실행 프로 세스 및 하위 프로세스 삭 제 x x x 백그라운드 위협 감지 x x x 새 파일 감시 x x x 스캔할 최대 아카이브 파 일 크기 x x x 특정 폴더 제외 x x x 파일 샘플 복사 x 보호 설정 x 응용 프로그램 제어 창 변경 x 폴더 제
기능 정책 Windows macOS Linux 로깅 수준 x 자체 보호 수준 x 자동 업데이트 x 탐지 실행(에이전트 UI에 서) x 격리됨 삭제(에이전트 UI 및 콘솔 UI) x 연결되지 않은 모드 x 상세 위협 데이터 x 인증서 안전 목록 x x 해당 없음 맬웨어 샘플 복사 x x x 프록시 설정 x x x 수동 정책 확인(에이전트 UI) x x x Client Firewall 및 Web Protection ● Client Firewall 및 Web Protection을 성공적으로 설치하려면 컴퓨터가 네트워크에 연결되어 있어야 합니다. ● 설치 문제가 발생하지 않도록 하려면 Client Firewall 및 Web Protection 클라이언트를 설치하기 전에 다른 벤더의 안티바이러스, 안 티멀웨어, 안티스파이웨어, 방화벽 애플리케이션을 설치 제거하십시오.
사용 애플리케이 전송 프 션 프로토 로토콜 콜 포트 번호 대상 방향 신뢰도 서비스 SSL TCP 443 tunnel.web.trustedsource.or g 아웃바운드 신뢰도 서비스 피 SSL 드백 TCP 443 gtifeedback.trustedsource.or 아웃바운드 g URL 신뢰도 데이 터베이스 업데이 트 HTTP TCP 80 list.smartfilter.com 아웃바운드 URL 신뢰도 조회 SSL TCP 443 tunnel.web.trustedsource.or g 아웃바운드 운영 체제 ● 다음 표에 지원되는 운영 체제가 나와 있습니다. Windows 운영 체제(32 및 64비트) ○ Windows 7 SP1: Enterprise, Professional, Ultimate ■ 2020년 1월부터 SHA1 서명 인증서는 더 이상 유효하지 않으며 갱신할 수 없습니다.
또는 ○ PBA를 비활성화하고 인증 방법을 변경한 후 PBA를 다시 활성화합니다. 노트: RAID 및 SED 특성 상, SED Manager에서 RAID가 지원되지 않습니다. SED의 RAID=On 문제는 잠긴 SED에서 사용할 수 없는 높 은 수준의 섹터에서 RAID 관련 데이터를 읽고 쓰려면 RAID에서 처음부터 디스크에 액세스할 수 있어야 하며 이 데이터를 읽 기 위해 사용자가 로그온할 때까지 기다릴 수 없다는 것입니다. 이 문제를 해결하려면 BIOS에서 SATA 작동을 RAID=On에서 AHCI 로 변경합니다. 운영 체제에 AHCI 컨트롤러 드라이브가 사전 설치되어 있지 않은 경우 RAID=On에서 AHCI 로 전환하면 운영 체제가 충돌합니다. ● 다음과 같이 NVMe 드라이브와 비 NVMe(SATA) 드라이브의 SED Manager용 SED(Self-Encrypting Drive) 구성이 다릅니다.
● SED Manager에서 지원되는 Opal 호환 SED의 최신 목록은 KB 문서 SLN296720을 참조하십시오. ● SED Manager가 지원되는 플랫폼의 최신 목록은 KB 문서 SLN296720을 참조하십시오. ● SED Manager에서 지원되는 도킹 스테이션 및 어댑터 목록은 KB 문서 SLN314695를 참조하십시오. SED Manager 포함 사전 부팅 인증 옵션 ● 스마트 카드를 사용하여 UEFI 컴퓨터에서 인증하려면 특정 하드웨어가 필요합니다. 사전 부팅 인증으로 스마트 카드를 사용하려 면 구성이 필요합니다. 다음 표는 하드웨어 및 구성 요구 사항이 충족될 때 사용 가능한 인증 옵션을 운영 체제 별로 보여줍니다. 비 UEFI PBA 암호 지문 접촉식 스마트 카드 Windows 7 SP0-SP1 X1 X1 2 Windows 8.1 X1 X1 2 Windows 10 X1 X1 2 SIPR 카드 1. dell.
운영 체제 ● 다음 표에 지원되는 운영 체제가 나와 있습니다. Windows 운영 체제(32 및 64비트) ○ Windows 7 SP0-SP1: Enterprise, Professional, Ultimate(UEFI를 제외한 레거시 부팅 모드에서 지원됨) 노트: NVMe SED(Self-Encrypting Drive)는 Windows 7에서 지원되지 않습니다. ○ Windows 8.1: Enterprise, Pro ○ Windows 10: Education, Enterprise, Pro v1803-v20H2(2018년 4월 업데이트/Redstone 4 - 2020년 10월 업데이트/20H2) 참고: Windows 10 v2004(2020년 5월 업데이트/20H1)는 32비트 아키텍처를 지원하지 않습니다. 자세한 내용은 https:// docs.microsoft.
● 아래 구성 요소가 타겟 컴퓨터에 이미 설치되어 있지 않으면 마스터 설치 프로그램에서 해당 구성 요소를 설치합니다. 하위 설치 프로그램을 사용할 때는 클라이언트를 설치하기 전에 이러한 구성 요소를 설치해야 합니다. 사전 요구 사항 ○ Visual C++ 2017 이상 재배포 가능 패키지(x86 또는 x64) Windows 7에 설치한 경우 Visual C++ 2017에 Windows 업데이트 KB2999226이 필요합니다. ○ 2020년 1월부터 SHA1 서명 인증서는 더 이상 유효하지 않으며 갱신할 수 없습니다. Windows 7 또는 Windows Server 2008 R2를 실행하는 디바이스는 애플리케이션 및 설치 패키지의 SHA256 서명 인증서를 확인하기 위해 Microsoft KB https:// support.microsoft.com/help/4474419 및 https://support.microsoft.com/help/4490628을 설치해야 합니다.
3 레지스트리 설정 ● 이 섹션에서는 레지스트리 설정 이유와 관계 없이 로컬 클라이언트 컴퓨터에 대해 Dell ProSupport에서 승인한 모든 레지스트리 설정에 대해 자세히 설명합니다. 레지스트리 설정에 두 제품이 겹치면 각 범주에 해당 설정이 나열됩니다. ● 이러한 레지스트리 변경 작업은 관리자만 수행할 수 있으며 일부 시나리오에서는 적절하지 않거나 작업하지 못할 수도 있습니다. 암호화 ● 자체 서명된 인증서는 Dell Server에서 사용됩니다. Windows의 경우, 인증서 신뢰 유효성 검사가 클라이언트 컴퓨터에서 계속 비 활성 상태여야 합니다(Dell Server에서는 기본적으로 신뢰 유효성 검사가 비활성화). 클라이언트 컴퓨터에서 신뢰 유효성 검사를 활성화하기 전에 다음 조건을 충족시켜야 합니다. ○ EnTrust 또는 Verisign 등 루트 인증 기관이 서명한 인증서를 Dell Server로 가져와야 합니다.
"DeleteTempFiles"=REG_DWORD:0 임시 파일을 삭제하지 않으면 초기 암호화에 시간이 더 걸립니다. ● Encryption에서는 매번 각 정책 업데이트 지연 시간 프롬프트를 5분 동안 표시합니다. 사용자가 메시지에 응답하지 않으면 다음 지연이 시작됩니다. 최종 연기 메시지에 카운트다운 및 진행률 표시줄이 포함되고, 사용자가 응답하거나 최종 연기가 만료되고 필요한 로그오프/재부팅이 수행될 때까지 해당 메시지가 표시됩니다. 사용자가 메시지에 응답하지 않으면 암호화가 처리되지 않도록 방지하기 위해 암호화를 시작하거나 지연하도록 사용자 메시지 의 동작을 변경할 수 있습니다. 이렇게 하려면 다음과 같이 값을 설정합니다. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "SnoozeBeforeSweep"=DWORD:1 0이 아닌 값을 사용하면 기본 동작이 다시 알림으로 변경됩니다.
○ 활성화 슬롯 이 기능을 활성화 또는 비활성화하려면 다음과 같은 상위 키에서 ActivationSlot이라는 이름이 있는 서브키를 생성합니다. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\] 활성화 슬롯 - Encryption이 Dell Server에서 활성화를 시도하는 기간을 정의하는 문자열입니다. 이러한 값은 초 단위로 정의되 며, 구문은 , 로 정의됩니다. 예를 들어 120,300이 될 수 있습니다. 즉, Encryption에서는 사용자 로그 인 후 2~5분 사이의 임의의 시간에 활성화를 시도합니다. ■ 캘린더 반복 이 기능을 활성화 또는 비활성화하려면 다음과 같은 상위 키에서 CalRepeat이라는 이름이 있는 서브키를 생성합니다. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\Activatio
[HKEY_LOCAL_MACHINE\SOFTWARE\Credant\CMGShield] "EnableSDUserKeyUsage"=DWORD:00000000 이 레지스트리 키가 없거나 0 이외의 다른 값으로 설정되어 있으면, SDUser 키가 이러한 사용자 디렉토리를 암호화하는 데 사용 됩니다. SDUser에 대한 자세한 내용은 KB 문서 SLN304916을 참조하십시오. ● 일반 키 암호화 데이터를 사용하거나 암호화, 암호화 해제 또는 수많은 파일을 하나의 폴더에 압축 해제하는 것과 관련하여 컴퓨 터의 Microsoft 업데이트에 문제가 발생하는 경우 레지스트리 항목을 EnableNGMetadata로 설정합니다. 다음 위치의 EnableNGMetadata 레지스트리 항목을 아래와 같이 설정합니다. [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CmgShieldFFE] "EnableNGMetadata" = DWORD:1 0=비활성화(기본값) 1=활성화 ● 비
● PBA가 활성화되어 있는지 확인하려면 다음 값이 설정되어 있어야 합니다. [HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent\Parameters] "PBAIsActivated"=DWORD (32-bit):1 값이 1이면 PBA가 활성화되어 있는 것입니다. 값이 0이면 PBA가 비활성화되어 있는 것입니다. 노트: 이 키를 수동으로 삭제하면 PBA와 동기화되는 사용자에게 의도하지 않은 결과가 생성되어 수동 복구가 필요할 수 있습 니다. ● 스마트 카드의 존재 여부 및 활성 상태 여부를 판단하려면 다음 값이 설정되어 있어야 합니다. HKLM\SOFTWARE\Dell\Dell Data Protection\ "SmartcardEnabled"=DWORD:1 SmartcardEnabled가 누락되었거나 값이 0인 경우, 자격 증명 공급자는 인증을 위해 암호 옵션만 표시하게 됩니다.
참고: 이 값을 사용하면 타사 자격 증명 공급자가 비활성화되어 Dell 자격 증명 공급자가 처음에 자격 증명을 제대로 동기화하지 못할 수 있습니다. 이 레지스트리 키를 사용하는 디바이스가 Dell 서버와 제대로 통신할 수 있는지 확인합니다. ● Encryption Management Agent에서 모든 Toaster 알림을 표시하지 않으려면 클라이언트 컴퓨터에서 다음 레지스트리 값을 설정해 야 합니다. [HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection] "PbaToastersAllowClose" =DWORD:1 0=활성화(기본값) 1=비활성화 ● Policy Based Encryption과 함께 Full Disk Encryption을 설치하려면 클라이언트 컴퓨터에 다음 레지스트리 값이 설정되어 있어야 합 니다. [HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection] " EnableFDE" = DWORD: 1 0=
psexec -s reg add HKEY_LOCAL_MACHINE\SOFTWARE\Cylance\Desktop /v CompatibilityMode /t REG_BINARY /d 01 ○ (여러 개의 컴퓨터용) 명령 호출 cmdlet: $servers = "testComp1","testComp2","textComp3" $credential = Get-Credential -Credential {UserName}\administrator Invoke-Command -ComputerName $servers -Credential $credential -ScriptBlock {New-Item Path HKCU:\Software\Cylance\Desktop -Name CompatibilityMode -Type REG_BINARY -Value 01} 3. 관리 콘솔에서 메모리 보호 활성화 정책을 다시 활성화합니다. 스크립트 제어 정책을 이전에 활성화한 경우 다시 활성화합니 다.
0=비활성화(기본값) 1=활성화 참고: 이 값을 사용하면 타사 자격 증명 공급자가 비활성화되어 Dell 자격 증명 공급자가 처음에 자격 증명을 제대로 동기화하지 못할 수 있습니다. 이 레지스트리 키를 사용하는 디바이스가 Dell 서버와 제대로 통신할 수 있는지 확인합니다. ● Dell Server에서 통신할 수 없는 경우 SED Manager에서 연결을 시도하는 간격을 설정하려면 타겟 컴퓨터에서 다음 값을 설정합니 다. [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "CommErrorSleepSecs"=DWORD Value:300 이 값은 Dell Server에서 통신할 수 없는 경우 SED Manager에서 연결 시도를 기다리는 시간(초)입니다. 기본값은 300초(5분)입니 다. ● 필요에 따라 Security Server 호스트는 원래 설치 위치에서 변경될 수 있습니다. 호스트 정보는 정책 폴링이 발생할 때마다 판독합 니다.
BitLocker Manager ● Dell Server에서 BitLocker Manager에 자체 서명된 인증서를 사용하는 경우 클라이언트 컴퓨터에서 SSL/TLS 신뢰 유효성 검사는 비활성 상태로 유지해야 합니다(BitLocker Manager에서 SSL/TLS 신뢰 유효성 검사는 기본적으로 비활성화됨). 클라이언트 컴퓨 터에서 SSL/TLS 신뢰 유효성 검사를 활성화하기 전에 다음 조건을 충족시켜야 합니다. ○ EnTrust 또는 Verisign 등 루트 인증 기관이 서명한 인증서를 Dell Server로 가져와야 합니다. ○ 인증서의 전체 신뢰 체인은 클라이언트 컴퓨터의 KeyStore에 저장되어야 합니다. ○ BitLocker Manager에서 SSL/TLS 신뢰 유효성 검사를 활성화하려면 클라이언트 컴퓨터에서 다음 레지스트리 항목의 값을 0으 로 변경하십시오. [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "DisableS
4 마스터 설치 프로그램을 사용하여 설치 ● 명령줄 스위치 및 매개 변수는 대/소문자를 구분합니다. ● 기본이 아닌 포트를 사용하여 설치하려면 마스터 설치 프로그램 대신 하위 설치 프로그램을 사용합니다. ● Endpoint Security Suite Enterprise m스터 설치 프로그램 로그 파일은 다음 위치에 있습니다. C:\ProgramData\Dell\Dell Data Protection\Installer. 노트: Encryption Management Agent를 설치하기 전에 정책 기반 암호화를 설치하면 컴퓨터 충돌이 발생할 수 있습니다. 이 문 제는 PBA 환경을 관리하는 암호화 절전 드라이버를 로드하지 못해 발생합니다. 이 문제를 해결하려면 마스터 설치 프로그램 을 사용하거나 Encryption Management Agent를 설치한 후에 정책 기반 암호화가 설치되어 있는지 확인합니다.
6. 다음을 클릭하여 기본 위치인 C:\Program Files\Dell\Dell Data Protection\. Dell recommends installing in the default location only에 제품을 설치합니다. 다른 위치에 설치하면 문제가 발생할 수도 있으므로 기본 위치에만 설치할 것을 권장합니다. 7. 설치할 구성 요소를 선택합니다. Security Framework는 기반 보안 프레임워크를 설치합니다. BitLocker Manager는 BitLocker 암호화 정책을 중앙에서 관리하여 소유 비용을 간소화하고 절감함으로써 BitLocker 배포의 보안을 강화하도록 설계된 BitLocker Manager 클라이언트를 설치합니다. Encryption은 컴퓨터가 네트워크에 연결, 네트워크에서 분리, 분실 또는 도난 여부에 따라 보안 정책을 시행하는 구성 요소인 Encryption 클라이언트를 설치합니다.
8. 설치를 클릭하여 설치를 시작합니다. 설치는 몇 분 정도 걸립니다. 9. 예, 컴퓨터를 지금 다시 시작합니다를 선택하고 마침을 클릭합니다.
설치가 완료됩니다. 마스터 설치 프로그램을 사용하여 명령줄을 통해 설치 ● 명령줄에서 스위치를 가장 먼저 지정해야 합니다. 다른 매개 변수는 인수 안에 포함되어 /v 스위치로 전달됩니다. 스위치 ● 다음 표는 Endpoint Security Suite Enterprise 마스터 설치 프로그램에서 사용할 수 있는 스위치에 대해 설명합니다. 노트: 조직에서 타사 자격 증명 제공업체를 사용해야 할 경우, Encryption Management Agent가 설치되거나 FEATURE=BLM 또는 FEATURE=BASIC 매개변수로 업그레이드되어야 합니다. 스위치 설명 /s 자동 설치 /z 변수를 DDSSuite.exe 내 .msi로 전달 매개 변수 ● 다음 표는 Endpoint Security Suite Enterprise마스터 설치 프로그램에서 사용할 수 있는 매개 변수에 대해 설명합니다.
매개변수 설명 DE-ATP = Advanced Threat Prevention 및 암호화. FEATURES 매개변수가 지정되어 있지 않을 경우 기 본 설치 옵션입니다 DE = 드라이브 Encryption 클라이언트만 BLM = BitLocker Manager SED = SED Manager(Encryption Management Agent/Manager, PBA/GPE 드라이버)(워크스테이션 OS 에 설치할 때만 사용 가능) ATP-WEBFIREWALL = 클라이언트 방화벽 및 웹 보호를 포함한 Advanced Threat Prevention DE-ATP-WEBFIREWALL = 암호화 및 클라이언트 방화벽과 웹 보호를 포함한 Advanced Threat Prevention 노트: Encryption Enterprise 또는 v1.
5 마스터 설치 프로그램을 사용하여 설치 제거 ● Dell은 Data Security Uninstaller를 사용해 Data Security 제품군을 제거하도록 권장하고 있습니다. ● 각 구성 요소를 개별적으로 제거한 다음 Endpoint Security Suite Enterprise 마스터 설치 프로그램을 제거해야 합니다. 설치 제거 장 애를 방지하려면 특정 순서대로 클라이언트를 설치 제거해야 합니다. ● 하위 설치 프로그램을 가져오려면 마스터 설치 프로그램에서 하위 설치 프로그램 추출의 지침을 따릅니다. ● 설치 시 사용한 같은 버전의 Endpoint Security Suite Enterprise 마스터 설치 프로그램(및 클라이언트)이 제거용으로 사용되는지 확 인합니다. ● 이 장에서는 하위 설치 프로그램 사용 방법에 대한 자세한 지침이 있는 다른 장에 대해 설명합니다. 이 장에서는 마지막 단계인 마 스터 설치 프로그램 설치 제거에 대해서만 설명합니다. ● 클라이언트를 다음 순서로 설치 제거합니다.
6 하위 설치 프로그램을 사용하여 설치 ● 각 클라이언트를 개별적으로 설치하거나 업그레이드하려면 마스터 설치 프로그램의 하위 설치 프로그램 추출에 나와 있듯이 하 위 실행 파일을 먼저 Endpoint Security Suite Enterprise 마스터 설치 프로그램에서 추출해야 합니다. ● 이 섹션에 포함된 명령 예에서는 명령이 C:\extracted에서 실행된다고 가정합니다. ● 명령줄 스위치 및 매개 변수는 대/소문자를 구분합니다. ● 명령줄에서 공백과 같은 특수 문자를 하나 이상 포함하는 값은 이스케이프된 따옴표로 묶어야 합니다. ● 이러한 설치 프로그램을 사용하여 스크립팅된 설치, 배치 파일 또는 조직에 제공되는 다른 푸시 기술을 통해 클라이언트를 설치 합니다. ● 명령줄 예에서는 재부팅을 수행하지 않았습니다. 하지만 실제 상황에서는 재부팅이 필요합니다. 참고: 컴퓨터를 재부팅하지 않으면 정책 기반 암호화를 시작할 수 없습니다.
○ Encryption의 기능 사용 방법을 알아보려면 Dell Encrypt Help(Dell Encrypt 도움말)를 참조하십시오. :\Program Files\Dell\Dell Data Protection\Encryption\Help에 있는 도움말에 액세스하십시오. ○ Encryption External Media 기능 사용법을 확인하려면 Encryption External Media 도움말)를 참조하십시오. :\Program Files\Dell\Dell Data Protection\Encryption\EMS에 있는 도움말에 액세스하십시오. ○ Advanced Threat Prevention의 기능 사용 방법을 알아보려면 Endpoint Security Suite Enterprise 도움말을 참조하십시오. :\Program Files\Dell\Dell Data Protection\Client Security Framework\Hel
매개 변수 HIDEOVERLAYICONS=1 (0은 오버레이 아이콘 활성화, 1은 오버레이 아이콘 비활성화) HIDESYSTRAYICON=1 (0은 알림 영역에서 아이콘 활성화, 1은 알림 영역에서 아이콘 비활성화) ENABLE_FDE_LM=1 (활성 Full Disk Encryption으로 컴퓨터에 Dell Encryption 설치 허용) EME=1 (Encryption External Media 모드 설치) OPTIN=1 (Deferred Activation 모드에서 설치) 명령줄에서 사용할 수 있는 기본 .msi 스위치 및 표시 옵션의 목록은 하위 설치 프로그램을 사용하여 설치를 참조하십시오. ● 다음 표에는 활성화와 관련된 추가 옵션 매개 변수가 상세히 설명되어 있습니다.
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ EME=1 /qn" MSI 명령: msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/" ● 자동 설치, 재부팅하지 않음, 기본 위치인 C:\Program Files\D
MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/" HIDEOVERLAYICONS="1" ● Full Disk Encryption을 사용한 Dell Encryption 설치를 위한 명령줄의 예 \암호화 ● 다음 예에서는 기본 매개변수로 Dell Encryption을 설치합니다(Encryption, Encrypt for Sharing, 대화 상자 표시되지 않음, 진행 표시 줄 표시되지 않음, 자동 다시 시작, 기본 위치인 C:\Program Files\Dell\Dell Data Protection\Encryption에 설치 됨). DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.
Full Disk Encryption 설치 ● 조직에서 EnTrust 또는 Verisign 등과 같은 루트 인증 기관이 서명한 인증서를 사용하는 경우 Full Disk Encryption 요구 사항을 검토 하십시오. SSL/TLS 신뢰 유효성 검사를 사용하려면 클라이언트 컴퓨터에서 레지스트리 설정을 변경해야 합니다. ● 사용자가 Windows 인증서를 사용하여 PBA에 로그인합니다. 명령줄 설치 ● 다음 표에 설치 시 사용할 수 있는 매개 변수 정보가 나와 있습니다. 매개 변수 CM_EDITION=1(원격 관리) INSTALLDIR=(설치 대상 변경) SERVERHOST=(securityserver.organization.com) SERVERPORT=8888 SECURITYSERVERHOST=(securityserver.organization.
다음 예에서는 원격으로 관리되는 Full Disk Encryption을 설치하고 Dell Encryption의 보호를 받는 컴퓨터에 설치를 허용합니다(자 동 설치, 재부팅하지 않음, 제어판 프로그램 목록에 항목 표시되지 않음, 기본 위치인 C:\Program Files\Dell\Dell Data Protection\Encryption에 설치됨). EMAgent_64bit_setup.exe /s /v"CM_EDITION=1 ENABLE_FDE_LM=1 FEATURE=FDE SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 /norestart /qn" 서버 운영 체제에 Encryption 설치 두 가지 방법을 사용하여 서버 운영 체제에 Encryption을 설치할 수 있습니다. 다음 중 한 가지 방법을 선택하십시오.
노트: 서버 운영 체제(예: Windows Server 2012 R2)를 실행 중인 컴퓨터에 서버 운영 체제의 Encryption을 설치하면 설치 프로그램 에서 자동으로 SERVERMODE에서 설치합니다. 3. 시작 대화상자에서 다음을 클릭합니다. 4. 라이센스 계약서 화면에서 라이센스 계약서를 읽고 조건을 수락한 후 다음을 클릭합니다. 5. 사내 Dell Management Server를 선택하고 다음을 클릭합니다. 6. 다음을 클릭하여 기본 위치에 설치합니다. 7. 다음을 클릭하여 관리 유형 대화 상자를 건너뜁니다. 8. Security Management Server 이름에서 Dell 서버의 정규화된 호스트 이름을 입력/유효성 검사하여 타겟 사용자(예: server.organization.com)를 관리합니다. 관리되는 도메인에 도메인 이름을 입력합니다(예: 조직). 다음을 클릭합니다.
9. 정책 프록시 hostname 및 포트에서 정보를 입력/검증하고 다음을 클릭합니다. 10. Device Server URL에서 정보를 입력/검증하고 다음을 클릭합니다.
11. 설치를 클릭하여 설치를 시작합니다. 설치는 몇 분 정도 걸릴 수 있습니다. 12. 구성이 완료되면 마침을 클릭합니다.
설치가 완료됩니다. 13. 컴퓨터를 다시 시작합니다. 작업을 저장하고 애플리케이션을 닫는 데 시간이 필요한 경우에만 재부팅 다시 알림을 사용하는 것이 좋습니다. 컴퓨터를 재부팅해야만 암호화가 시작됩니다. 명령줄을 사용하여 설치 C:\extracted\Encryption에서 설치 프로그램을 찾습니다. ● DDPE_xxbit_setup.exe를 사용하여 스크립팅된 설치, 배치 파일 또는 조직에 제공되는 다른 푸시 기술을 통해 설치 또는 업그레 이드합니다. 스위치 다음 표에 설치 시 사용할 수 있는 스위치 정보가 나와 있습니다. 스위치 의미 /v 변수를 DDPE_XXbit_setup.exe 안의 .msi로 전달합니다. /a 관리 설치 /s 자동 모드 매개 변수 다음 표에 설치 시 사용할 수 있는 매개 변수 정보가 나와 있습니다. 구성 요소 로그 파일 명령줄 매개 변수 모두 /l*v [fullpath][filename].
구성 요소 로그 파일 명령줄 매개 변수 MANAGEDDOMAIN= DEVICESERVERURL= GKPORT= MACHINEID= RECOVERYID= REBOOT=ReallySuppress HIDEOVERLAYICONS=1 HIDESYSTRAYICON=1 EME=1 노트: 여기에서는 재부팅을 하지 않지만 실제로는 재부팅이 필요합니다. 컴퓨터를 재부팅해야만 암호화가 시작됩니다. 옵션 다음 표에는 /v 스위치에 전달하는 인수 끝에 지정할 수 있는 표시 옵션이 나와 있습니다. 옵션 의미 /q 진행률 대화 상자가 없습니다. 프로세스 완료 후 자동으로 다시 시작합니다. /qb 취소 단추가 있는 진행률 대화 상자로, 다시 시작할 것인지 묻습니다. /qb- 취소 단추가 있는 진행률 대화 상자로, 프로세스 완료 후 자동으로 다시 시작합니다.
POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/" ● 다음 예에서는 로그 파일 및 기본 매개변수로 서버 운영 체제 모드에서 Encryption을 설치하고(Encryption, 자동 설치, Encrypt for Sharing, 대화 상자 표시되지 않음, 진행 표시줄 표시되지 않음, 다시 시작하지 않음, 기본 위치인 C:\Program Files\Dell \Dell Data Protection에 설치됨), 명령줄이 같은 서버에서 두 번 이상 실행될 경우 증가하는 숫자로 끝나는 사용자 지정 로 그 파일 이름(DDP_ssos-090.log)을 지정합니다. 실행 파일이 있는 기본 위치와 다른 로그 위치를 지정하려면 명령에 전체 경로를 입력합니다. 예를 들면, /l*v C:\Logs\DDP_ssos-090.log에서는 C:\Log
Dell Server가 컴퓨터 ID용 암호화 키를 발급하고, 가상 서버 사용자 계정을 만들고, 사용자 계정용 암호화 키를 만들고, 암호화 키 를 번들로 묶고, 암호화 번들과 가상 서버 사용자 계정 간에 관계를 만듭니다. 3. 닫기를 클릭합니다. 활성화 후 암호화가 시작됩니다. 4. 암호화 스윕이 완료되면 컴퓨터를 다시 시작해 이전에 사용 중이던 파일을 처리합니다. 이는 보안을 위한 중요한 단계입니다. 노트: Secure Windows Credentials 정책을 활성화하면 서버 운영 체제의 Encryption에서 \Windows\system32\config 파일을 암 호화하여 Windows 자격 증명을 포함합니다. \Windows\system32\config에 있는 파일은 SDE Encryption Enabled 정책을 비활성화하더라도 암호화됩니다. 기본적으로 Secure Windows Credentials 정책은 선택되어 있습니다.
가상 서버 사용자 ● 관리 콘솔에서 해당 컴퓨터 이름 아래에서 보호되는 서버를 볼 수 있습니다. 또한 보호되는 서버마다 고유한 가상 서버 사용자 계 정이 있습니다. 각 계정에는 고유한 고정 사용자 이름과 고유한 컴퓨터 이름이 있습니다. ● 가상 서버 사용자 계정은 서버 운영 체제의 Encryption에서만 사용하며 그 외에는 보호되는 서버의 작업에 표시되지 않습니다. 가 상 서버 사용자는 암호화 키 번들 및 정책 프록시와 연결되어 있습니다. ● 활성화 이후에 가상 서버 사용자 계정은 활성화되고 서버와 연결된 사용자 계정입니다. ● 가상 서버 사용자 계정이 활성화되면 모든 로그온/로그오프 알림이 무시됩니다. 대신, 시작되는 동안 컴퓨터가 가상 서버 사용자 를 통해 자동 인증한 후 Dell 서버에서 컴퓨터 키를 다운로드합니다.
○ Dell FTP 계정 - Endpoint-Security-Suite-1.x.x.xxx.zip에서 설치 번들을 찾은 다음 마스터 설치 프로그램에서 하위 설치 프로그 램을 추출합니다. 추출 후, C:\extracted\Advanced Threat Prevention\WinXXR\ 및 C:\extracted\Advanced Threat Prevention\WinNtAll\에서 파일을 찾습니다. ● Encryption Management Agent 설치 프로그램의 다음 위치에서 찾을 수 있습니다. ○ Dell FTP 계정 - Endpoint-Security-Suite-1.x.x.xxx.zip에서 설치 번들을 찾은 다음 마스터 설치 프로그램에서 하위 설치 프로그 램을 추출합니다. 추출 후, C:\extracted\Encryption Management Agent에서 파일을 찾습니다. 명령줄 설치 ● 기본 .msi 명령을 설치에 사용할 수 있습니다.
:: Encryption Management Agent 설치 중 ".\Encryption Management Agent\EMAgent_64bit_setup.exe" /s /v" FEATURE=BASIC CM_EDITION=1 SERVERHOST=%SERVER% SERVERPORT=8888 SECURITYSERVERHOST=%SERVER% SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 / norestart /qn" :: ATP 플러그인 설치 중 MSIEXEC.EXE /I "Advanced Threat Prevention\Win64R\ATP_CSF_Plugins_x64.msi" /qn REBOOT=ReallySuppress APPFOLDER="C:\Program Files\Dell\Dell Data Protection\Advanced Threat Prevention\Plugins" ARPSYSTEMCOMPONENT=1 /l*v "C:\ProgramData\Dell\Dell
매개 변수 설명 nopreservesettings 설정을 저장하지 않습니다. ● 다음 표에는 DellThreatProtection.msi 파일에 사용할 수 있는 매개 변수가 나와 있습니다. 매개 변수 설명 Reboot=ReallySuppress 재부팅하지 않습니다. ARP 0=프로그램 추가/제거에 항목 없음 1=프로그램 추가/제거에 항목 있음 설치하거나 업그레이드하려면 다음 워크플로를 사용합니다. ● 명령줄의 예 \Threat Protection\EndPointSecurity 다음 예에서는 기본 매개 변수를 사용하여 웹 보호 및 클라이언트 방화벽을 설치합니다(자동 모드, 클라이언트 방화벽 및 웹 보호 설치, 호스트 침입 방지 재정의, 콘텐츠 업데이트 안 함, C:\ProgramData\Dell\Dell Data Protection에서 기록한 설정이 저장되지 않 음). ".\Threat Protection\EndPointSecurity\EPsetup.
매개 변수 CM_EDITION=1 INSTALLDIR= SERVERHOST= SERVERPORT=8888 SECURITYSERVERHOST= SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 명령줄에서 사용할 수 있는 기본 .msi 스위치 및 표시 옵션의 목록은 하위 설치 프로그램을 사용하여 설치를 참조하십시오. 다음 예제 명령은 Encryption Management Agent를 설치하거나 업그레이드합니다. 명령줄의 예 \Encryption Management Agent ● 다음 예에서는 원격으로 관리되는 SED Manager, Encryption Management Agen
매개 변수 FEATURE=BLM FEATURE=BLM,SED ARPSYSTEMCOMPONENT=1 명령줄에서 사용할 수 있는 기본 .msi 스위치 및 표시 옵션의 목록은 하위 설치 프로그램을 사용하여 설치를 참조하십시오. 명령줄의 예 ● 다음 예에서는 BitLocker Manager만 설치합니다(자동 설치, 재부팅하지 않음, 제어판 프로그램 목록에 항목 표시되지 않음, 기본 위치인 C:\Program Files\Dell\Dell Data Protection에 설치됨). EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.
7 하위 설치 프로그램을 사용하여 설치 제거 ● Dell은 Data Security Uninstaller를 사용해 Data Security 제품군을 제거하도록 권장하고 있습니다. ● 각 클라이언트를 개별적으로 설치하려면 마스터 설치 프로그램의 하위 설치 프로그램 추출에 나와 있듯이 하위 실행 파일을 먼저 Endpoint Security Suite Enterprise 마스터 설치 프로그램에서 추출해야 합니다. 또는 .msi를 추출하는 관리 설치를 실행해도 됩니 다. ● 설치 작업과 설치 제거 작업에 동일한 버전의 클라이언트를 사용해야 합니다. ● 명령줄 스위치 및 매개 변수는 대/소문자를 구분합니다. ● 명령줄에서 공백과 같은 특수 문자를 하나 이상 포함하는 값은 이스케이프된 따옴표로 묶어야 합니다. 명령줄 매개 변수는 대/소 문자를 구분합니다. ● 이러한 설치 프로그램을 사용하여 스크립팅된 설치, 배치 파일 또는 조직에 제공되는 다른 푸시 기술을 통해 클라이언트를 설치 제거합니다.
Web Protection 및 Firewall 제거 Web Protection 및 Firewall이 설치되어 있지 않은 경우 Encryption 클라이언트 설치 제거를 수행하십시오. 명령줄 설치 제거 ● Endpoint Security Suite Enterprise 마스터 설치 프로그램에서 추출된 후에 Web Protection 및 Firewall 클라이언트 설치 프로그램은 C:\extracted\Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi에서 찾을 수 있습니 다. ● 제어판의 프로그램 추가/제거로 이동하여 이 순서대로 다음의 구성 요소를 설치 제거하십시오. ○ McAfee Endpoint Security 방화벽 ○ McAfee Endpoint Security 웹 컨트롤 ○ McAfee 에이전트 ● 다음 작업: ● 다음 예에서는 Web Protection 및 Firewall을 제거합니다. MSIEXEC.
호스트 이름을 모르는 경우 목록을 스크롤하여 컴퓨터를 찾습니다. 검색 필터를 기준으로 하나의 컴퓨터 또는 컴퓨터 목록이 표시됩니다. 6. 7. 8. 9. 10. 11. 12. 원하는 컴퓨터의 호스트 이름을 선택합니다. 상단 메뉴에서 보안 정책을 클릭합니다. Windows 암호화 그룹에서 Full Disk Encryption을 선택합니다. Full Disk Encryption 및 정책을 On에서 Off로 변경합니다. 저장을 클릭합니다. 왼쪽 창에서 정책 커밋 배너를 클릭합니다. 정책 커밋을 클릭합니다. 정책이 Dell Server에서 비활성화 대상 컴퓨터로 전파될 때까지 기다립니다. PBA가 비활성화된 후 Full Disk Encryption과 PBA Advanced Authentication을 제거합니다. Full Disk Encryption 클라이언트 설치 제거 명령줄 설치 제거 ● Full Disk Encryption은 마스터 설치 프로그램에서 추출한 후 C:\extracted\Encryption
PBA가 비활성화된 후 SED Manager와 PBA Advanced Authentication을 설치 제거합니다. SED 클라이언트 설치 제거 명령줄 설치 제거 ● SED Manager 설치 프로그램은 마스터 설치 프로그램에서 추출한 후 C:\extracted\Encryption Management Agent \EMAgent_XXbit_setup.exe에서 찾을 수 있습니다. ○ 다음 예에서는 SED Manager를 자동으로 제거합니다. EMAgent_XXbit_setup.exe /x /s /v" /qn" 완료되면 컴퓨터를 종료하고 다시 시작합니다. Encryption 및 서버 운영 체제의 Encryption 제거 ● 암호 해독 시간을 줄이려면 Windows 디스크 정리 마법사를 실행하여 임시 파일 및 기타 불필요한 데이터를 제거합니다. ● 가능하면 야간에 암호 해독을 실행할 수 있도록 계획하십시오. ● 사용자가 없는 시간에 컴퓨터가 절전 모드로 전환되지 않도록 절전 모드를 해제하십시오.
매개변수 선택 2 - 이전에 다운로드한 Forensics 키 자료 사용 1 - Dell Server에서 키 다운로드 0 - Encryption Removal Agent를 설치하지 않음 CMGSILENTMODE 자동 설치 제거 속성: 1 - 자동 - /q 또는 /qn이 포함된 msiexec 변수를 실행할 때 필 요 0 - 수동 - 명령줄 구문에 /q가 포함된 msiexec 변수가 없는 경 우에만 가능 필수 속성 DA_SERVER 협상 세션을 호스팅하는 Security Management Server의 FQHN DA_PORT 요청용 Security Management Server 포트(기본값 8050) SVCPN Security Management Server에서 Key Server 서비스가 로그인 된 사용자 이름(UPN 형식) DA_RUNAS 키 가져오기 요청을 수행할 컨텍스트의 사용자 이름(SAM 호 환 형식).
노트: 명령줄에 포렌식 관리자 암호를 사용하는 경우 다음 작업이 권장됩니다. 1. 자동 설치 제거를 수행하기 위해 관리 콘솔에서 포렌식 관리자 계정을 만듭니다. 2. 해당 계정과 기간에만 사용할 수 있는 임시 계정 암호를 사용합니다. 3. 자동 설치 제거가 완료되면 관리자 목록에서 임시 계정을 제거하거나 암호를 변경합니다. 일부 오래된 클라이언트의 경우 이스케이프 문자 \"를 매개변수 값 앞뒤에 놓아야 할 수 있습니다. 예: DDPE_XXbit_setup.exe /x /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER= \"server.organization.com\" DA_PORT=\"8050\" SVCPN=\"administrator@organization.com\" DA_RUNAS= \"domain\username\" DA_RUNASPWD=\"password\" /qn" BitLocker Manager 제거 명령줄 설치 제거 ● BitLocker Manage
8 Data Security 제거 프로그램 Endpoint Security Suite Enterprise 제거 Dell은 Data Security 제거 프로그램을 마스터 제거 프로그램으로 제공합니다. 이 유틸리티는 현재 설치된 제품을 수집하고 적절한 순 서로 제거합니다. 노트: FDE를 제거할 때 FDE 비활성화를 완료한 후 컴퓨터를 다시 시작하여 Hibernation 문제를 방지하는 것이 좋습니다. 이 Data Security 제거 프로그램은 C:\Program Files (x86)\Dell\Dell Data Protection에서 사용할 수 있습니다. 자세한 내용을 보거나 명령줄 인터페이스(CLI)를 사용하려면 KB 문서 SLN307791를 참조하십시오. 제거된 모든 구성 요소에 대한 로그가 C:\ProgramData\Dell\Dell Data Protection\에 생성됩니다. 유틸리티를 실행하려면 포함하는 폴더를 열고 DataSecurityUninstaller.
선택에 따라 애플리케이션을 제거에서 선택 취소한 후 다음을 클릭합니다. 필수 종속성은 자동으로 선택되거나 선택 취소됩니다.
Encryption Removal Agent를 설치하지 않고 애플리케이션을 제거하려면 Encryption Removal Agent 설치 안 함을 선택하고 다음을 선택합니다. Encryption Removal Agent - 서버에서 키 다운로드를 선택합니다. 포렌식 관리자의 정규화된 자격 증명을 입력하고 다음을 선택합니다.
제거를 선택하여 제거를 시작합니다. 마침을 클릭하여 제거를 완료하고 컴퓨터를 재부팅합니다. 기본적으로 마침을 클릭한 후 시스템 재부팅이 선택되어 있습니다.
제거가 완료되었습니다.
9 일반적으로 사용되는 시나리오 ● 각 클라이언트를 개별적으로 설치하려면 마스터 설치 프로그램의 하위 설치 프로그램 추출에 나와 있듯이 하위 실행 파일을 먼저 Endpoint Security Suite Enterprise 마스터 설치 프로그램에서 추출해야 합니다. ● Advanced Threat Prevention 하위 설치 프로그램 구성 요소는 명령줄을 통해서만 설치해야 합니다. 이 구성 요소를 설치하기 위해 두 번 클릭하면 비관리형 버전의 Dell 이외의 제품이 설치되며 이 버전은 지원되지 않습니다. 실수로 구성 요소를 두 번 클릭한 경 우 프로그램 추가/제거로 이동하여 해당 버전을 설치 제거하면 됩니다. ● 명령줄 스위치 및 매개 변수는 대/소문자를 구분합니다. ● 명령줄에서 공백과 같은 특수 문자를 하나 이상 포함하는 값은 이스케이프된 따옴표로 묶어야 합니다. ● 이러한 설치 프로그램을 사용하여 스크립팅된 설치, 배치 파일 또는 조직에 제공되는 다른 푸시 기술을 통해 클라이언트를 설치 합니다.
○ 및 Advanced Threat Prevention의 기능 사용 방법에 대해서는 Endpoint Security Suite Enterprise 도움말)를 참조하십시오. :\Program Files\Dell\Dell Data Protection\Advanced Threat Prevention\Help에 있는 도움말에 액세스하십시오. Encryption 클라이언트 및 Advanced Threat Prevention ● 다음 예에서는 SED management와 Encryption Management Agent를 설치합니다(자동 설치, 재부팅하지 않음, 제어판 프로그램 목 록에 항목 표시되지 않음, 기본 위치인 C:\Program Files\Dell\Dell Data Protection\Encryption에 설치됨). 이 구 성 요소에서는 Advanced Threat Prevention에 필요한 Encryption Management Agent를 설치합니다.
EnsMgmtSdkInstaller.exe "C:\Program Files\Dell\Dell Data Protection\Threat Protection \DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >"C:\ProgramData\Dell\Dell Data Protection\Installer Logs\McAfeeSDKInstallerAfterEndPoint.log" SED Manager 및 Encryption External Media ● 다음 예에서는 SED Manager, Encryption Management Agent 및 로컬 보안 콘솔을 설치합니다(자동 설치, 재부팅하지 않음, 제어판 프로그램 목록에 항목 표시되지 않음, 기본 위치인 C:\Program Files\Dell\Dell Data Protection\Encryption에 설 치됨). EMAgent_XXbit_setup.
및 "\Advanced Threat Prevention\WinNtAll\ATP_AgentSetup.
10 테넌트 프로비저닝 Advanced Threat Prevention의 정책 집행이 활성화되기 전에 테넌트가 Dell Server에서 프로비전되어야 합니다. 사전 요구 사항 ● 시스템 관리자 역할의 관리자가 수행해야 합니다. ● Dell Server에서 프로비저닝하려면 인터넷에 연결되어 있어야 합니다. ● Management Console에서 Advanced Threat Prevention 온라인 서비스 통합을 표시하려면 클라이언트에서 인터넷이 연결되어 있 어야 합니다. ● 프로비저닝은 프로비저닝 중에 인증서에서 생성되는 토큰을 기반으로 합니다. ● Dell Server에 Advanced Threat Prevention 라이센스가 있어야 합니다. 테넌트 프로비저닝 1. Dell 관리자 계정으로 Management Console에 로그인합니다. 2. Management Console의 왼쪽 창에서 관리 > 서비스 관리를 클릭합니다. 3.
4. 라이센스를 가져오면 지침 제공되는 설정이 시작됩니다. 다음을 클릭하여 시작합니다. 5. EULA를 읽고 동의한 후 다음을 클릭합니다.
6. 테넌트 프로비저닝을 위해 Dell Server에 유효한 자격 증명을 제공합니다. 다음을 클릭합니다. Cylance 상표의 기존 테넌트의 프로 비저닝은 지원되지 않습니다. 7. 인증서를 다운로드합니다. 이 인증서는 Dell Server에서 재해가 발생할 경우 복구에 필요합니다. 이 인증서는 자동으로 백업되지 않습니다. 인증서를 다른 컴퓨터의 안전한 위치에 백업합니다. 인증서를 백업한다는 옵션의 확인란을 선택하고 다음을 클릭합니 다.
8. 설정이 완료됩니다. 확인을 클릭합니다.
11 Advanced Threat Prevention 에이전트 자동 업 데이트 구성 Management Console에서 Advanced Threat Prevention 에이전트 자동 업데이트를 받도록 등록할 수 있습니다. 에이전트 자동 업데이 트를 받도록 등록하면 클라이언트가 Advanced Threat Prevention 서비스에서 업데이트를 자동으로 다운로드하여 적용할 수 있습니 다. 업데이트는 매월 릴리스됩니다. 노트: 에이전트 자동 업데이트는 Dell Server v9.4.1 이상에서 지원됩니다. 에이전트 자동 업데이트 받기 에이전트 자동 업데이트를 받도록 등록하려면 다음을 수행합니다. 1. Management Console의 왼쪽 창에서 관리 > 서비스 관리를 클릭합니다. 2. Advanced Threat 탭의 에이전트 자동 업데이트에서 켜짐 단추를 클릭한 후 환경설정 저장 단추를 클릭합니다. 정보가 채워지고 자동 업데이트가 표시되기까지 시간이 소요될 수 있습니다.
12 SED UEFI 및 BitLocker Manager용 설치 전 구성 TPM 초기화 ● 로컬 관리자 그룹(또는 이와 동등)의 구성원이어야 합니다. ● 컴퓨터에 호환되는 BIOS 및 TPM이 장착되어 있어야 합니다. ● http://technet.microsoft.com/en-us/library/cc753140.aspx의 지침을 따릅니다. UEFI 컴퓨터의 사전 설치 구성 UEFI 사전 부팅 인증 중 네트워크 접속 구성 활성화 UEFI 펌웨어가 설치된 컴퓨터에서 사전 부팅 인증을 성공적으로 수행하려면 PBA에 네트워크 접속 구성이 있어야 합니다. 기본적으 로, UEFI 펌웨어가 설치된 컴퓨터는 운영 체제가 로드될 때까지 네트워크에 연결되지 않고 PBA 모드가 끝나야 연결됩니다. 다음 절차에 따라 PBA가 진행되는 동안 UEFI를 사용할 수 있는 컴퓨터의 네트워크 연결을 활성화합니다.
3. 아래쪽 화살표를 누르고 BIOS 설정 옵션을 강조 표시한 후 Enter를 누릅니다. 4. 설정 > 일반 > 고급 부팅 옵션을 선택합니다. 5. 레거시 옵션 ROM 활성화 확인란을 선택 해제하고 적용을 클릭합니다. BitLocker PBA 파티션 설정을 위한 사전 설치 구성 ● BitLocker Manager를 설치하기 전에 PBA 파티션을 생성해야 합니다. ● BitLocker Manager를 설치하기 전에 TPM을 켜고 활성화합니다. BitLocker Manager가 TPM의 소유권을 가져오며 재부팅은 필요하 지 않습니다. 단, TPM 소유권이 이미 있는 경우 BitLocker Manager에서 암호화 설정 프로세스를 시작합니다. 중요한 점은 TPM을 소유 및 활성화해야 한다는 것입니다. ● 디스크를 수동으로 파티션해야 할 수 있습니다. 자세한 내용은 Microsoft의 BitLocker 드라이브 준비 도구 설명을 참조하십시오. ● BdeHdCfg.
13 레지스트리를 통해 Dell Server 지정 ● 클라이언트에 Dell Digital Delivery 사용 권한이 부여되는 경우, 설치 후 사용할 Dell Server를 사전 설정하려면 이러한 지침에 따라 그룹 정책 개체를 통해 레지스트리를 설정합니다. ● 워크스테이션은 그룹 정책 개체가 적용된 OU의 구성원이거나 엔드포인트에서 레지스트리 설정을 수동으로 설정해야 합니다. ● 아웃바운드 포트 443을 사용하여 Dell Server에서 cloud.dell.com으로 통신할 수 있는지 확인하십시오. 어떠한 이유로든 포트 443이 차단된 경우 권한 취득이 실패하고 사용 가능한 풀에서 권한이 사용됩니다. 노트: Dell Digital Delivery를 통해 설치하거나 마스터 설치 프로그램에서 서버를 지정하지 않을 때 이 레지스트리 값을 설정하 지 않으면 활성화 URL이 기본적으로 199.199.199.199로 설정됩니다.
5. 그룹 정책 관리 편집기가 로드됩니다. 컴퓨터 구성 > 환경설정 > Windows 설정 > 레지스트리에 액세스합니다. 6. 레지스트리를 마우스 오른쪽 버튼으로 클릭하고 새로 만들기 > 레지스트리 항목을 선택합니다. 다음 작업을 완료합니다. 작업: 생성 하이브: HKEY_LOCAL_MACHINE 키 경로: SOFTWARE\Dell\Dell Data Protection 값 이름: Server 값 유형: REG_SZ 값 데이터: 7. 확인을 클릭합니다.
8. 워크스테이션에서 로그아웃했다가 다시 로그인하거나 gpupdate /force를 실행하여 그룹 정책을 적용합니다.
14 하위 설치 프로그램 추출 ● 각 클라이언트를 개별적으로 설치하려면 설치 프로그램에서 하위 실행 파일을 추출합니다. ● 마스터 설치 프로그램은 마스터 설치 제거 프로그램이 아닙니다. 각 클라이언트는 별도로 설치 제거한 후에 마스터 설치 프로그 램을 설치 제거해야 합니다. 클라이언트를 설치 제거할 수 있도록 이 프로세스에 따라 마스터 설치 프로그램에서 클라이언트를 추출하십시오. 1. Dell 설치 미디어에서 DDSSuite.exe 파일을 로컬 컴퓨터로 복사합니다. 2. DDSSuite.exe 파일과 동일한 위치에서 명령 프롬프트를 열고 다음을 입력합니다. DDSSuite.exe /z"\"EXTRACT_INSTALLERS=C:\extracted\"" 추출 경로는 63자를 초과할 수 없습니다. 설치를 시작하기 전에 설치하고자 하는 각 하위 설치 프로그램에 필요한 모든 필수 조건이 충족되었고 필요한 모든 소프트웨어가 설치되었는지 확인하십시오. 자세한 내용은 요구 사항을 참조하십시오.
15 Key Server 구성 ● 이 섹션에서는 Security Management Server를 사용할 경우 Kerberos 인증/권한 부여에 사용할 구성 요소를 구성하는 방법에 대해 설명합니다. Security Management Server Virtual은 Key Server를 사용하지 않습니다. Key Server는 소켓에 연결할 클라이언트를 수신 대기하는 서비스입니다. 클라이언트가 연결되면 보안 연결이 협상, 인증되고 Kerberos API를 사용하여 암호화됩니다(보안 연결을 협상할 수 없는 경우 클라이언트 연결이 끊어집니다). 그런 다음 Key Server가 Security Server(이전에는 Device Server라고 함)와 함께 클라이언트를 실행하는 사용자가 키에 액세스할 수 있는지 여부를 확인합니다. Management Console의 개별 도메인을 통해 이 액세스 권한이 부여됩니다.
4. Key Server 서비스를 다시 시작합니다(추가 작업을 위해 서비스 패널은 열어 둠). 5. log.txt를 탐색하여 서비스가 올바르게 시작되었는지 확인합니다. Key Server 구성 파일 - Security Management Server 통 신을 위한 사용자 추가 1. 를 탐색합니다. 2. 텍스트 편집기를 사용해 Credant.KeyServer.exe.config를 엽니다. 3. 으로 이동한 다음 "superadmin" 값을 적절한 사용자 이름으로 변경합니다("superadmin"을 유지할 수도 있음). "superadmin" 형식으로는 Security Management Server에 인증할 수 있는 모든 방법이 허용됩니다. SAM 계정 이름, UPN 또는 도메 인\사용자 이름이 허용됩니다.
예시 구성 파일: [Key Server가 수신하는 TCP 포트. 기본값은 8050.] [Key Server에서 허용할 활성 소켓 연결 수] [Security Server(이전에는 Device Server라고 함) URL (v7.
6. 왼쪽 메뉴에서 사용자를 클릭합니다. 검색 상자에서, 5단계에서 추가한 사용자 이름을 검색합니다. 검색을 클릭합니다. 7. 올바른 사용자를 찾았으면 관리자 탭을 클릭합니다. 8. Forensic 관리자를 선택하고 업데이트를 클릭합니다. Kerberos 인증을 위한 요소가 구성되었습니다.
16 Administrative Download Utility(CMGAd) 사용 ● 이 유틸리티를 사용하면 Dell 서버에 연결되지 않은 컴퓨터에 키 자료 번들을 다운로드하여 사용할 수 있습니다. ● 이 유틸리티에서는 애플리케이션에 전달되는 명령줄 매개변수에 따라 다음 방법 중 하나를 사용하여 키 자료 번들을 다운로드합 니다. ○ Forensic 모드: -f가 명령줄에 전달되거나 사용된 명령줄 매개변수가 없는 경우에 사용됩니다. ○ 관리 모드: -a가 명령줄에 전달되는 경우에 사용됩니다. 로그 파일은 C:\ProgramData\CmgAdmin.log에서 볼 수 있습니다. Forensic 모드 사용 1. cmgad.exe를 두 번 클릭하여 유틸리티를 실행하거나 CMGAd가 있는 명령 프롬프트를 열고 cmgad.exe -f(또는 cmgad.exe) 를 입력합니다. 2. 다음 정보를 입력합니다(일부 필드는 미리 채워져 있을 수 있음).
3. 암호:에서 다운로드 파일을 보호할 암호를 입력합니다. 패스프레이즈는 8자 이상이어야 하며 하나 이상의 영문자 및 숫자가 포함 되어야 합니다. 패스프레이즈를 확인합니다. 파일을 저장할 기본 이름과 위치를 수락하거나 ... 기호를 클릭하여 다른 위치를 선택합니다. 다음을 클릭합니다. 키 자료가 성공적으로 잠금 해제되었다는 메시지가 표시됩니다. 이제 파일에 액세스할 수 있습니다. 4. 완료되면 마침을 클릭합니다. 관리 모드 사용 Security Management Server Virtual은 Key Server를 사용하지 않으므로 관리 모드로 Security Management Server Virtual에서 키 번들 을 가져올 수 없습니다. 클라이언트가 Security Management Server Virtual에 대해 활성화된 경우 Forensic 모드로 키 번들을 가져오십 시오. 1. CMGAd가 있는 명령 프롬프트를 열고 cmgad.exe -a를 입력합니다. 2.
3. 암호:에서 다운로드 파일을 보호할 암호를 입력합니다. 패스프레이즈는 8자 이상이어야 하며 하나 이상의 영문자 및 숫자가 포함 되어야 합니다. 패스프레이즈를 확인합니다. 파일을 저장할 기본 이름과 위치를 수락하거나 ... 기호를 클릭하여 다른 위치를 선택합니다. 다음을 클릭합니다. 키 자료가 성공적으로 잠금 해제되었다는 메시지가 표시됩니다. 이제 파일에 액세스할 수 있습니다. 4. 완료되면 마침을 클릭합니다.
17 서버 운영 체제에 Encryption 구성 서버 운영 체제에서 Encryption 활성화 노트: 서버 운영 체제의 Encryption에서는 사용자 암호화를 일반 암호화로 변환합니다. 1. Dell 관리자 계정으로 관리 콘솔에 로그인합니다. 2. 엔드포인트 그룹(또는 엔드포인트)을 선택하고, 활성화할 엔드포인트 그룹을 검색하고, 보안 정책을 선택한 후에, 서버 암호화 정 책 범주를 선택합니다. 3. 다음 정책을 설정합니다. ● ● ● ● Server Encryption - 서버 운영 체제와 관련 정책에서 Encryption을 활성화하려면 선택합니다. SDE Encryption Enabled - 선택하여 SDE 암호화를 켭니다. Encryption Enabled - 선택하여 Common 암호화를 켭니다. Secure Windows Credentials - 이 정책은 기본적으로 선택됨으로 설정됩니다.
● 포트 제어 정책은 보호되는 서버의 이동식 미디어에 영향을 줍니다(예: USB 장치별로 서버의 USB 포트의 액세스 및 사용 제어). 이동식 미디어 암호화에 대한 정책은 관리 콘솔의 Server Encryption 기술 그룹 아래에서 찾을 수 있습니다. 서버 운영 체제 및 외부 미디어의 Encryption 보호된 서버의 EMS Encrypt External Media 정책이 선택되어 있으면 외부 미디어가 암호화됩니다. Encryption에서 해당 장치를 컴퓨 터 키를 사용하여 보호되는 서버에 연결하고, 이동식 장치의 소유자/사용자의 사용자 로밍 키를 사용하여 해당 사용자에게 연결합니 다. 그러면 장치가 연결된 컴퓨터와 관계없이 동일한 키를 사용하여 이동식 장치에 추가된 모든 파일이 암호화됩니다. 노트: 서버 운영 체제의 Encryption에서는 사용자 암호화를 일반 암호화로 변환합니다(이동식 장치에서는 예외). 이동식 장치에서 컴퓨 터와 연관된 사용자 로밍 키를 사용하여 암호화가 수행됩니다.
노트: 서버가 다시 시작한 후 서버 운영 체제의 Encryption에서 서버의 암호화된 데이터에 액세스할 수 있게 허용하려면 복원을 클 릭합니다.
18 지연된 활성화 구성 지연된 활성화가 있는 Encryption 클라이언트는 두 가지 면에서 Encryption 클라이언트 활성화와 다릅니다. 장치 기반 암호화 정책 Encryption 클라이언트 정책은 사용자 기반이며, 지연된 활성화의 암호화 정책이 있는 Encryption 클라이언트는 장치 기반입니다. 사 용자 암호화가 일반 암호화로 변환됩니다. 이러한 차이로 인해 중앙에서 관리하는 암호화 정책으로 조직의 보안을 유지하면서 사용 자가 개인 장치를 가져와 조직의 도메인 내에서 사용할 수 있습니다. 활성화 Encryption 클라이언트를 사용하면 활성화가 자동으로 구성됩니다. 지연된 활성화가 있는 Endpoint Security Suite Enterprise가 설치되 면 자동 활성화가 비활성화됩니다. 대신, 사용자가 암호화 활성화 여부 및 시기를 선택합니다.
이전 버전의 Encryption 클라이언트 설치 제거 Encryption 클라이언트의 이전 버전을 설치 제거하기 전에, 필요한 경우, 암호화 스윕을 중지 또는 일시 중지합니다. 컴퓨터에서 Dell Encryption 버전 v8.6보다 이전 버전을 실행 중인 경우 명령줄에서 Encryption 클라이언트를 설치 제거합니다. 지침을 보려면 암호화 및 서버 암호화 클라이언트 설치 제거를 참조하십시오. 노트: 설치 제거 후에 바로 Encryption 클라이언트의 최신 버전을 설치하려는 경우, Encryption Removal Agent를 실행하여 파일의 암호 화를 해제하지 않아도 됩니다. 지연된 활성화가 있는 이전 버전의 Encryption 클라이언트를 업그레이드하려면 Data Security 제거 프로그램 또는 하위 설치 프로 그램을 사용해 제거합니다. OPTIN이 비활성화된 경우에도 이 설치 제거 방법이 가능합니다.
Dell 서버는 암호화 키 번들을 사용자의 자격 증명 및 컴퓨터의 고유한 ID(시스템 ID)와 결합하여, 키 번들, 특정 컴퓨터 및 사용자 간에 견고한 관계를 생성합니다. 4. 컴퓨터를 다시 시작하여 암호화 스윕을 시작합니다. 노트: 알림 영역 아이콘에서 액세스할 수 있는 로컬 관리 콘솔에 서버에서 전송한 정책이 표시됩니다(유효 정책 아님). 지연된 활성화 문제 해결 활성화 문제 해결 문제: 특정 파일 및 폴더에 액세스할 수 없음 특정 파일 및 폴더에 액세스할 수 없는 것은 사용자가 활성화한 계정이 아닌 다른 계정으로 로그인하고 있을 때 나타나는 현상 중 하 나입니다. 사용자가 이전에 계정을 활성화했더라도 활성화 로그온 대화 상자가 자동으로 표시됩니다. 가능한 해결 방법 로그아웃하고 활성화된 계정의 자격 증명으로 다시 로그인하고 파일을 다시 액세스해 봅니다.
● 연결을 분리했다가 다시 연결합니다. 컴퓨터의 네트워크 연결을 끊습니다. 네트워크에 다시 연결합니다. 컴퓨터를 다시 시작합니다. 네트워크에 다시 연결해 보십시오. 오류 메시지: 레거시 서버가 지원되지 않음 Encryption을 레거시 서버에 대해 활성화할 수 없습니다. Dell Server 버전이 v9.1 이상이어야 합니다. 가능한 해결 방법 ● Dell Server URL이 관리자가 제공한 URL과 일치하는지 확인합니다. 사용자가 설치 프로그램에 입력한 URL 및 기타 데이터는 레지스트리에 저장됩니다. ● [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] 및 [HKLM\Software\Microsoft\Windows NT \CurrentVersion\Winlogon\CMGShield\Servlet]에서 데이터가 정확한지 확인합니다.
19 문제 해결 모든 클라이언트 - 문제 해결 ● Endpoint Security Suite Enterprise master Suite 설치 프로그램 로그 파일은 C:\ProgramData\Dell\Dell Data Protection\Installer에 있습니다. ● Windows는 로그인된 사용자에 대해 고유한 하위 설치 프로그램 설치 로그 파일을 C:\Users\<사용자 이름>\AppData\Local \Temp.에 생성합니다. ● Windows는 로그인된 사용자에 대해 Visual C++ 등과 같은 클라이언트 필수 구성 요소의 로그 파일을 C:\Users\<사용자 이름> \AppData\Local\Temp.의 %temp%에 생성합니다. 예: C:\Users\<사용자 이름>\AppData\Local\Temp \dd_vcredist_amd64_20160109003943.log ● 설치 대상 컴퓨터에 설치되는 Microsoft .Net 버전을 확인하려면 http://msdn.microsoft.
오류 메시지: 사용자 계정에 도메인 관리자 권한이 없기 때문에 활성화에 실패했습니다. 활성화에 사용된 자격 증명에 도메인 관리자 권한이 없거나 관리자의 사용자 이름이 UPN 형식이 아닙니다. 가능한 해결 방법: "활성화" 대화 상자에 도메인 관리자의 자격 증명을 UPN 형식으로 입력합니다. 오류 메시지: 서버와의 연결을 설정할 수 없습니다. 또는 The operation timed out. Server Encryption이 Dell Server에 대한 HTTPS를 통해 포트 8449와 통신할 수 없습니다. 가능한 해결 방법 ● 네트워크를 직접 연결하고 다시 활성화해 보십시오. ● VPN에 연결된 경우, 네트워크에 직접 연결하고 다시 활성화해 보십시오. ● Dell Server URL이 관리자가 제공한 URL과 일치하는지 확인합니다. 사용자가 설치 프로그램에 입력한 URL 및 기타 데이터는 레지 스트리에 저장됩니다. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
6. Dell Server는 엔터프라이즈 자격 증명 모음(Active Directory 또는 동급)에 자격 증명이 있는지 확인해 자격 증명이 도메인 관리자 자격 증명인지 확인합니다. 7. UPN은 자격 증명을 사용하여 구성됩니다. 8. Dell Server는 UPN을 사용하여 가상 서버 사용자를 위한 새 사용자 계정을 생성하고 Dell Server의 자격 증명 모음에 자격 증명을 저장합니다. 가상 서버 사용자 계정은 Encryption 클라이언트에만 독점적으로 사용됩니다. 서버를 인증하고, 일반 암호화 키를 처리하고, 정책 업데이트를 수신하는 데 사용됩니다. 노트: 암호 및 DPAPI 인증은 이 계정에 사용되지 않으므로 가상 서버 사용자만 컴퓨터의 암호화 키에 액세스할 수 있습니다. 이 계 정은 컴퓨터나 도메인의 기타 사용자 계정에 해당되지 않습니다. 9. 활성화가 성공적으로 완료되고 사용자가 컴퓨터를 다시 시작하면 두 번째 단계인 활성화 및 장치 활성화가 시작됩니다.
1. 성공적인 초기 활성화 이후에 다시 시작하면 Server Encryption이 있는 컴퓨터가 가상 서버 사용자 계정을 사용하여 자동으로 인 증하고 서버 모드에서 Encryption 클라이언트를 실행합니다. 2. 컴퓨터가 Dell Server와 비교해 장치 활성화 상태를 확인합니다. ● 컴퓨터가 이전에 장치 활성화되지 않은 경우에는 Dell Server가 컴퓨터에 MCID, DCID 및 신뢰 인증서를 할당하고Dell Server의 자격 증명 모음에 모든 정보를 저장합니다. ● 컴퓨터가 이전에 장치 활성화된 경우에는 Dell Server가 신뢰 인증서를 확인합니다. 3. Dell Server가 서버에 신뢰 인증서를 할당하고 나면 서버가 해당 암호화 키에 액세스할 수 있습니다. 4. 장치가 성공적으로 활성화됩니다. 노트: 서버 모드에서 실행할 경우 Encryption 클라이언트가 장치 활성화에 사용된 것과 동일한 인증서에 액세스하여 암호화 키에 액 세스해야 합니다.
Encryption External Media 및 PCS 상호 작용 미디어가 읽기 전용이 아니고 포트가 차단되지 않았는지 확인하려면 "Shield로 보호되지 않은 미디어에 대한 EMS 액세스" 정책은 "포트 제어 시스템 - 클래스: 스토리지 > 하위 클래스 스토리지: 외부 드 라이브 제어" 정책과 상호 작용합니다. "Shield로 보호되지 않은 미디어에 대한 EMS 액세스" 정책을 전체 액세스로 설정하고 싶으면 "하위 클래스 스토리지: 외부 드라이브 제어" 정책도 전체 액세스로 설정해야 미디어가 읽기 전용으로 설정되지 않고 포트가 차단되 지 않습니다. CD/DVD에 쓴 데이터를 암호화하려면 ● Windows 미디어 암호화 = 켜짐으로 설정합니다 ● EMS CD/DVD 암호화 제외 = 선택되지 않음으로 설정합니다. ● 하위 클래스 스토리지: 옵티컬 드라이브 제어 = UDF 전용으로 설정합니다.
또는 1. 2. 3. 4. 5. 6. 고급을 클릭하여 보기 모드를 간단히로 전환하여 특정 폴더를 스캔합니다. 검색 설정으로 이동하고 경로 검색 필드에 폴더 경로를 입력합니다. 이 필드를 사용할 경우 메뉴에서 선택한 사항이 무시됩니다. WSScan 출력을 파일에 쓰지 않으려는 경우 파일로 출력 확인란의 선택을 취소합니다. 필요할 경우 경로에서 기본 경로와 파일 이름을 변경합니다. 기존 WSScan 출력 파일을 덮어쓰지 않으려는 경우 기존 파일에 추가을 선택합니다. 다음과 같이 출력 형식을 선택합니다. ● 스캔된 출력을 보고서 형식의 목록으로 표시하려면 "보고서 형식"을 선택합니다. 이 모드가 기본 형식입니다. ● 스프레드시트 애플리케이션으로 가져올 수 있는 출력을 사용하려면 "값 구분 파일"을 선택합니다. 기본 구분 기호는 "|"이며, 최대 9자의 영숫자, 공백 또는 키보드 문장 부호 문자로 변경할 수 있습니다. ● 각 값을 큰따옴표 표시 안에 포함하려면 "따옴표 붙은 값"을 선택합니다.
WSScan 명령줄 사용법 WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o] [-a] [-f] [-r] [u[a][-|v]] [-d] [-q] [-e] [-x] [-y] 스위치 의미 드라이브 스캔할 드라이브입니다. 지정되지 않으면, 모든 고정된 로컬 하드 드라이브가 기본적으로 스캔됩니다. 매핑된 네트워크 드라이브일 수 있습니다.
스위치 의미 -s 자동 작업 -o 출력 파일 경로 -a 출력 파일에 첨부합니다. 기본적으로 출력 파일이 잘립니다. -f 보고서 형식 지정자(보고서, 고정, 구분) -r 관리자 권한 없이 WSScan을 실행합니다. 이 모드에서는 일부 파일이 표시되지 않을 수 있 습니다. -u 암호화되지 않은 파일을 출력 파일에 포함합니다. 이 스위치에서는 순서가 중요합니다. "u"가 첫 번째, "a"가 두 번째(또는 생략) 순서여야 합 니다. "-" 또는 "v"가 마지막으로 와야 합니다. -u- 암호화되지 않은 파일만 출력 파일에 포함합니다. -ua 암호화되지 않은 파일도 보고하지만 모든 사용자 정책을 사용하여 “should” 필드를 표시합 니다. -ua- 암호화되지 않은 파일만 보고하지만 모든 사용자 정책을 사용하여 “should” 필드를 표시합 니다. -uv 정책을 위반하는 암호화되지 않은 파일만 보고합니다(Is=No / Should=Y).
출력 의미 위의 예에서와 같이, "7vdlxrsb"입니다. 매핑된 네트워크 드라이브를 스캔하는 경우 스캔 보고서가 KCID를 반환하지 않습니다. 사용자 ID입니다. UCID 위의 예에서와 같이, "_SDENCR_"입니다. UCID는 해당 컴퓨터의 모든 사용자가 공유합니다. 파일 암호화된 파일의 경로입니다. 위의 예에서와 같이, "c:\temp\Dell - test.log"입니다. 알고리즘 파일을 암호화하는 데 사용하는 암호화 알고리즘입니다. 위의 예에서와 같이, "is still AES256 encrypted"입니다. Rijndael 128 Rijndael 256 AES-128 AES-256 3DES WSProbe 사용 이 검색 유틸리티는 Encryption External Media 정책을 제외하고 모든 버전의 Encryption에서 사용할 수 있습니다. 이 검색 유틸리티의 기능은 다음과 같습니다. ● ● ● ● 암호화된 컴퓨터를 스캔하거나 스캔 일정을 예약합니다.
wsprobe [-f path] wsprobe [-u n] [-x process_names] [-i process_names] 매개 변수 매개변수 해당 경로 선택에 따라 암호화/암호 해독을 위해 스캔할 장치에서 특정 경로를 지정할 수 있습니다. 경로를 지정하지 않으면 이 유틸리티는 암호화 정책과 관련된 모든 폴더를 스캔합니다. -h 명령줄 도움말을 봅니다. -f Dell ProSupport의 지시에 따라 문제를 해결합니다. -u 사용자의 Application Data Encryption 목록을 임시로 비활성화하거나 재활성화합니다. 이 목록은 현재 사용자에 대해 암호화 활성화됨이 선택되어 있는 경우에만 적용됩니다. 비활 성화하려면 0을 지정하고 재활성화하려면 1을 지정하십시오. 해당 사용자에게 적용되는 현 재 정책이 다음 로그온 시에 복원됩니다. -x 권한 부여된 목록에 프로세스 이름을 추가합니다. 이 목록에 있는 컴퓨터 및 설치 프로그램 프로세스 이름과 이 매개변수 또는 HKLM\So
Advanced Threat Prevention 문제 해결 Windows PowerShell을 사용하여 제품 코드 찾기 ● 이 방법을 사용하면 제품 코드를 쉽게 식별할 수 있으며, 나중에 제품 코드가 변경되는 경우에도 찾을 수 있습니다. Get-WmiObject Win32_Product | Where-Object {$_.Name -like '*Cylance*'} | FT IdentifyingNumber, Name, LocalPackage 전체 경로 및 .msi 파일 이름(파일의 변환된 16진수 이름)과 함께 출력이 표시됩니다. Advanced Threat Prevention 프로비저닝 및 에이전트 통신 다음 다이어그램은 Advanced Threat Prevention 서비스 프로비저닝 프로세스를 보여 줍니다.
문제 해결 111
다음 그림은 Advanced Threat Prevention 에이전트 통신 프로세스를 보여 줍니다. BIOS 이미지 무결성 확인 프로세스 다음 다이어그램은 BIOS 이미지 무결성 확인 프로세스를 보여 줍니다. BIOS 이미지 무결성 확인이 지원되는 Dell 컴퓨터 모델 목록은 요구 사항 - BIOS 이미지 무결성 확인을 참조하십시오.
SED 문제 해결 초기 액세스 코드 사용 ● 이 정책은 네트워크 액세스를 사용할 수 없을 경우 컴퓨터에 로그온하기 위해 사용합니다. 즉, Dell Server 및 AD를 둘 다 사용할 수 없는 경우입니다. 초기 액세스 코드 정책은 반드시 필요한 경우에만 사용하십시오. Dell에서는 이 방법을 사용하여 로그인하는 것 을 권장하지 않습니다. 초기 액세스 코드 정책을 사용할 경우 사용자 이름, 도메인 및 암호를 사용하여 로그인하는 일반적인 로그 인 방법과 동일한 보안 수준이 제공되지 않습니다. 최종 사용자가 초기 액세스 코드를 사용하여 활성화된 경우 로그인 방법의 보안이 약화될 뿐 아니라 이 컴퓨터에서 활성화하는 해당 사용자의 Dell Server에 레코드가 없습니다. 또한 최종 사용자가 틀린 암호를 입력하거나 자체 질문에 틀린 대답을 입력할 경 우 Dell Server에서 응답 코드를 생성할 방법이 없습니다.
● 초기 액세스 코드는 활성화 이후 즉시 한 번만 사용할 수 있습니다. 최종 사용자가 로그인한 후에는 초기 액세스 코드를 다시 사용 할 수 없습니다. 초기 액세스 코드를 입력한 후에 발생하는 첫 번째 도메인 로그인은 캐시되며 초기 액세스 코드 입력 필드가 다시 표시되지 않습니다. ● 초기 액세스 코드는 오직 다음과 같은 경우에만 표시됩니다. ○ 사용자가 PBA 내에서 등록한 적이 없는 경우 ○ 클라이언트가 네트워크 또는 Dell Server에 연결되지 않는 경우 초기 액세스 코드 사용 1. 2. 3. 4. 5. 6. 7. 8. 원격 관리 콘솔에서 초기 액세스 코드 정책에 대한 값을 설정합니다. 정책을 저장 및 커밋합니다. 로컬 컴퓨터를 시작합니다. 액세스 코드 화면이 표시되면 초기 액세스 코드를 입력합니다. 파란색 화살표를 클릭합니다. 법적 고지 사항 화면이 표시되면 확인을 클릭합니다. 이 컴퓨터의 사용자 자격 증명을 사용하여 Windows에 로그인합니다.
Dell ControlVault 드라이버 Dell ControlVault 드라이버 및 펌웨어 업데이트 ● 출하 시 Dell 컴퓨터에 설치된 Dell ControlVault 드라이버 및 펌웨어는 오래되었으며 다음 절차에 따라 다음 순서대로 업데이트해 야 합니다. ● 클라이언트를 설치하는 동안 Dell ControlVault 드라이버를 업데이트하기 위해 설치 프로그램을 종료하라는 오류 메시지가 표시되 면, 이 메시지를 안전하게 해제하여 클라이언트 설치를 계속할 수 있습니다. Dell ControlVault 드라이버 (및 펌웨어)는 클라이언트 설치를 완료한 후에 업데이트할 수 있습니다. 최신 드라이버 다운로드 1. dell.com/support로 이동합니다. 2. 컴퓨터 모델을 선택합니다. 3. 드라이버 및 다운로드를 선택합니다.
4. 타겟 컴퓨터의 운영 체제를 선택합니다. 5. 보안 범주를 선택합니다.
6. Dell ControlVault 드라이버를 다운로드하고 저장합니다. 7. Dell ControlVault 펌웨어를 다운로드하고 저장합니다. 8. 필요한 경우, 드라이버와 펌웨어를 타겟 컴퓨터에 복사합니다. Dell ControlVault 드라이버 설치 1. 드라이버 설치 파일을 다운로드한 폴더로 이동합니다.
2. Dell ControlVault 드라이버를 더블 클릭하여 자동 압축 해제 실행 파일을 시작합니다. 노트: 반드시 드라이버부터 설치하십시오. 이 문서 생성 시 드라이버의 파일 이름은 ControlVault_Setup_2MYJC_A37_ZPE.exe입니 다. 3. 계속을 클릭하여 시작합니다. 4. 확인을 클릭하여 기본 위치인 C:\Dell\Drivers\에 드라이버 파일들을 압축을 풉니다. 5. 예를 클릭하여 새 폴더 생성을 허용합니다.
6. 성공적으로 압축 해제했다는 메시지가 표시되면 확인을 클릭합니다. 7. 압축 해제가 끝나면 파일들이 들어 있는 폴더가 표시될 것입니다. 그렇지 않다면, 파일들을 추출한 폴더로 이동하십시오. 이 경우, 폴더는 JW22F입니다. 8. CVHCI64.MSI를 더블 클릭하여 드라이버 설치 프로그램을 시작합니다. [이 예에서는 CVHCI64.MSI가 보기로 나옵니다.(32비트 컴퓨터에서는 CVHCI)] 9. 시작 화면에서 다음을 클릭합니다.
10. 다음을 클릭하여 다음 기본 위치에 드라이버를 설치합니다. C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\. 11. 완료 옵션을 선택하고 다음을 클릭합니다.
12. 설치을 클릭하여 드라이버 설치를 시작합니다. 13. 필요에 따라, 설치 프로그램 로그 파일을 표시하기 위해 확인란을 선택합니다. 마침을 클릭하여 마법사를 종료합니다.
드라이버 설치 확인 ● 운영 체제 및 하드웨어 구성에 따라 장치 관리자에 Dell ControlVault 장치 (및 기타 장치)가 있을 것입니다. Dell ControlVault 펌웨어 설치 1. 펌웨어 설치 파일을 다운로드한 폴더로 이동합니다. 2. Dell ControlVault 펌웨어를 더블 클릭하여 자동 압축 해제 실행 파일을 시작합니다. 3. 계속을 클릭하여 시작합니다.
4. 확인을 클릭하여 기본 위치인 C:\Dell\Drivers\에 드라이버 파일들을 압축을 풉니다. 5. 예를 클릭하여 새 폴더 생성을 허용합니다. 6. 성공적으로 압축 해제했다는 메시지가 표시되면 확인을 클릭합니다. 7. 압축 해제가 끝나면 파일들이 들어 있는 폴더가 표시될 것입니다. 그렇지 않다면, 파일들을 추출한 폴더로 이동하십시오. 펌웨어 폴더를 선택합니다.
8. ushupgrade.exe를 더블 클릭하여 펌웨어 설치 프로그램을 시작합니다. 9. 시작을 클릭하여 펌웨어 업그레이드를 시작합니다.
노트: 이전 버전 펌웨어를 업그레이드하는 경우, 관리자 암호를 입력하라는 요청을 받을 수 있습니다. 이 대화 상자가 표시되면 암 호로 Broadcom을 입력하고 Enter를 클릭합니다. 몇 가지 상태 메시지가 표시됩니다.
문제 해결
10. 재시작을 클릭하여 펌웨어 업그레이드를 완료합니다. Dell ControlVault 드라이버 및 펌웨어 업데이트가 완료됩니다.
UEFI 컴퓨터 네트워크 연결 문제 해결 ● UEFI 펌웨어가 설치된 컴퓨터에서 사전 부팅 인증을 성공적으로 수행하려면 PBA 모드에 네트워크 접속 구성이 있어야 합니다. 기 본적으로, UEFI 펌웨어가 설치된 컴퓨터는 운영 체제가 로드될 때까지 네트워크에 연결되지 않고 PBA 모드가 끝나야 연결됩니다. UEFI 컴퓨터의 사전 설치 구성에 설명된 컴퓨터 절차를 완료하여 제대로 구성하면, 컴퓨터가 네트워크에 연결될 때 사전 부팅 인 증 화면에 네트워크 연결 아이콘이 표시됩니다. ● 사전 부팅 인증이 진행되는 동안에도 네트워크 연결 아이콘이 표시되지 않으면 네트워크 케이블이 컴퓨터에 연결되었는지 확인 하십시오. 네트워크 케이블이 컴퓨터에 연결되어 있지 않거나 느슨하면 컴퓨터를 다시 시작하여 PBA 모드를 다시 시작하십시오.
상수/값 설명 TPM_E_BAD_ORDINAL 서수를 알 수 없거나 일치하지 않습니다. 0x8028000A TPM_E_INSTALL_DISABLED 소유자 설치 기능을 사용할 수 없습니다. 0x8028000B TPM_E_INVALID_KEYHANDLE 키 핸들을 해석할 수 없습니다. 0x8028000C TPM_E_KEYNOTFOUND 키 핸들이 잘못된 키를 가리킵니다. 0x8028000D TPM_E_INAPPROPRIATE_ENC 허용되지 않는 암호화 구성표입니다. 0x8028000E TPM_E_MIGRATEFAIL 마이그레이션 인증에 실패했습니다. 0x8028000F TPM_E_INVALID_PCR_INFO PCR 정보를 해석할 수 없습니다. 0x80280010 TPM_E_NOSPACE 키를 로드할 공간이 없습니다. 0x80280011 TPM_E_NOSRK SRK(저장소 루트 키) 집합이 없습니다.
상수/값 설명 TPM_E_SHA_ERROR 기존 SHA-1 스레드에서 이미 오류가 발생하여 계산을 진행할 수 없습니다. 0x8028001B 0x8028001C TPM 하드웨어 장치가 내부 자체 테스트를 진행하는 동안 오류 를 보고했습니다. 문제를 해결하려면 컴퓨터를 다시 시작해 보 십시오. 문제가 계속되면 TPM 하드웨어 또는 마더보드를 교체 해야 합니다. TPM_E_AUTH2FAIL 2 키 함수의 두 번째 키에 대한 인증이 실패했습니다. TPM_E_FAILEDSELFTEST 0x8028001D TPM_E_BADTAG 명령에 대해 보낸 태그 값이 잘못되었습니다. 0x8028001E TPM_E_IOERROR TPM으로 정보를 전송하는 동안 IO 오류가 발생했습니다. 0x8028001F TPM_E_ENCRYPT_ERROR 암호화 프로세스에 문제가 있습니다. 0x80280020 TPM_E_DECRYPT_ERROR 암호 해독 프로세스가 완료되지 않았습니다.
상수/값 설명 TPM_E_BAD_MODE TPM_GetCapability의 capArea나 subCapArea, TPM_PhysicalPresence의 phsicalPresence 매개 변수 또는 TPM_CreateMigrationBlob의 migrationType과 같은 모드 매개 변수가 잘못되었습니다. 0x8028002C TPM_E_BAD_PRESENCE 0x8028002D TPM_E_BAD_VERSION physicalPresence 또는 physicalPresenceLock 비트에 잘못된 값 이 있습니다. TPM에서 이 버전의 기능을 수행할 수 없습니다. 0x8028002E TPM_E_NO_WRAP_TRANSPORT TPM에는 래핑한 전송 세션을 사용할 수 없습니다.
상수/값 설명 TPM_E_BAD_LOCALITY 시도한 작업의 위치가 잘못되었습니다. 0x8028003D TPM_E_READ_ONLY NV 영역이 읽기 전용이므로 이 영역에 쓸 수 없습니다. 0x8028003E TPM_E_PER_NOWRITE NV 영역에 쓰기 금지가 설정되어 있지 않습니다. 0x8028003F TPM_E_FAMILYCOUNT 패밀리 수 값이 일치하지 않습니다. 0x80280040 TPM_E_WRITE_LOCKED NV 영역에 이미 썼습니다. 0x80280041 TPM_E_BAD_ATTRIBUTES NV 영역 특성이 충돌합니다. 0x80280042 TPM_E_INVALID_STRUCTURE 구조 태그와 버전이 잘못되었거나 일치하지 않습니다. 0x80280043 TPM_E_KEY_OWNER_CONTROL 0x80280044 TPM_E_BAD_COUNTER TPM 소유자가 제어하는 키이며 TPM 소유자만이 이 키를 제거 할 수 있습니다.
상수/값 설명 TPM_E_TRANSPORT_NOTEXCLUSIVE 단독 전송 세션 밖에서 실행된 명령이 있습니다. 0x8028004E TPM_E_OWNER_CONTROL 소유자 제어 키를 저장하려고 합니다. 0x8028004F TPM_E_DAA_RESOURCES 명령 실행에 사용할 수 있는 리소스가 DAA 명령에 없습니다. 0x80280050 TPM_E_DAA_INPUT_DATA0 DAA 매개 변수 inputData0의 일관성을 확인하지 못했습니다. 0x80280051 TPM_E_DAA_INPUT_DATA1 DAA 매개 변수 inputData1의 일관성을 확인하지 못했습니다. 0x80280052 TPM_E_DAA_ISSUER_SETTINGS DAA_issuerSettings의 일관성을 확인하지 못했습니다. 0x80280053 TPM_E_DAA_TPM_SETTINGS DAA_tpmSpecific의 일관성을 확인하지 못했습니다.
상수/값 설명 TPM_E_MA_AUTHORITY 마이그레이션 권한이 잘못되었습니다. 0x8028005F TPM_E_PERMANENTEK EK를 해지하려고 하지만 EK를 해지할 수 없습니다. 0x80280061 TPM_E_BAD_SIGNATURE CMK 티켓의 서명이 잘못되었습니다. 0x80280062 TPM_E_NOCONTEXTSPACE 컨텍스트 목록에 컨텍스트를 추가할 공간이 없습니다. 0x80280063 TPM_E_COMMAND_BLOCKED 명령이 차단되었습니다. 0x80280400 TPM_E_INVALID_HANDLE 지정한 핸들을 찾을 수 없습니다. 0x80280401 TPM_E_DUPLICATE_VHANDLE 0x80280402 TPM_E_EMBEDDED_COMMAND_BLOCKED TPM에서 중복 핸들을 반환했으며 명령을 다시 전송해야 합니 다. 전송 내의 명령이 차단되었습니다.
상수/값 설명 TBS_E_INSUFFICIENT_BUFFER 지정한 출력 버퍼가 너무 작습니다. 0x80284005 TBS_E_IOERROR TPM과 통신하는 동안 오류가 발생했습니다. 0x80284006 TBS_E_INVALID_CONTEXT_PARAM 하나 이상의 컨텍스트 매개 변수가 잘못되었습니다. 0x80284007 TBS_E_SERVICE_NOT_RUNNING TBS 서비스를 실행하고 있지 않으며 시작할 수 없습니다. 0x80284008 TBS_E_TOO_MANY_TBS_CONTEXTS 0x80284009 TBS_E_TOO_MANY_RESOURCES 0x8028400A TBS_E_SERVICE_START_PENDING 열린 컨텍스트가 너무 많으므로 새 컨텍스트를 만들 수 없습니 다. 열린 가상 리소스가 너무 많아 새 가상 리소스를 만들 수 없습 니다. TBS 서비스가 시작되었지만 아직 실행되고 있지 않습니다.
상수/값 설명 TBS_E_PPI_FUNCTION_UNSUPPORTED 이 펌웨어의 실제 존재 인터페이스가 요청한 메서드를 지원하 지 않습니다. 0x80284014 TBS_E_OWNERAUTH_NOT_FOUND 요청한 TPM OwnerAuth 값을 찾을 수 없습니다. 0x80284015 0x80284016 TPM 프로비저닝이 완료되지 않았습니다. 프로비저닝 완료에 대한 자세한 내용을 보려면 TPM 프로비저닝을 위한 Win32_Tpm WMI 메서드를 호출하고('Provision') 반환된 정보 를 확인하십시오. TPMAPI_E_INVALID_STATE 명령 버퍼 상태가 올바르지 않습니다. TBS_E_PROVISIONING_INCOMPLETE 0x80290100 TPMAPI_E_NOT_ENOUGH_DATA 명령 버퍼에 데이터가 부족하여 요청을 만족할 수 없습니다. 0x80290101 TPMAPI_E_TOO_MUCH_DATA 명령 버퍼에 데이터를 추가할 수 없습니다.
상수/값 설명 TPMAPI_E_INVALID_ENCODING blob의 인코딩이 인식되지 않았습니다. 0x8029010E TPMAPI_E_INVALID_KEY_SIZE 키 크기가 잘못되었습니다. 0x8029010F TPMAPI_E_ENCRYPTION_FAILED 암호화 작업이 실패했습니다. 0x80290110 TPMAPI_E_INVALID_KEY_PARAMS 키 매개 변수 구조가 잘못되었습니다. 0x80290111 TPMAPI_E_INVALID_MIGRATION_AUTHORIZATION_BLOB 0x80290112 TPMAPI_E_INVALID_PCR_INDEX 요청한 제공 데이터가 올바른 마이그레이션 인증 blob이 아닌 것 같습니다. 지정한 PCR 색인이 잘못되었습니다. 0x80290113 TPMAPI_E_INVALID_DELEGATE_BLOB 지정한 데이터가 올바른 위임 blob이 아닌 것 같습니다.
상수/값 설명 TBSIMP_E_BUFFER_TOO_SMALL 지정한 버퍼가 너무 작습니다. 0x80290200 TBSIMP_E_CLEANUP_FAILED 컨텍스트를 정리할 수 없습니다. 0x80290201 TBSIMP_E_INVALID_CONTEXT_HANDLE 지정한 컨텍스트 핸들이 잘못되었습니다. 0x80290202 TBSIMP_E_INVALID_CONTEXT_PARAM 잘못된 컨텍스트 매개 변수가 지정되었습니다. 0x80290203 TBSIMP_E_TPM_ERROR TPM과 통신하는 동안 오류가 발생했습니다. 0x80290204 TBSIMP_E_HASH_BAD_KEY 지정한 키를 가진 항목을 찾을 수 없습니다. 0x80290205 TBSIMP_E_DUPLICATE_VHANDLE 지정한 가상 핸들이 이미 사용 중인 가상 핸들과 일치합니다.
상수/값 설명 TBSIMP_E_COMMAND_FAILED TPM 명령이 실패했습니다. 0x80290211 TBSIMP_E_UNKNOWN_ORDINAL TBS에서 지정한 서수가 인식되지 않습니다. 0x80290212 TBSIMP_E_RESOURCE_EXPIRED 요청한 리소스를 더 이상 사용할 수 없습니다. 0x80290213 TBSIMP_E_INVALID_RESOURCE 리소스 종류가 일치하지 않습니다. 0x80290214 TBSIMP_E_NOTHING_TO_UNLOAD 리소스를 언로드할 수 없습니다. 0x80290215 TBSIMP_E_HASH_TABLE_FULL 해시 테이블에 새 항목을 추가할 수 없습니다.
상수/값 설명 TPM_E_PCP_DEVICE_NOT_READY 플랫폼 암호화 공급자가 현재 준비되지 않았습니다. 이 공급자 가 완전히 프로비저닝되어야 작동됩니다. 0x80290401 TPM_E_PCP_INVALID_HANDLE 플랫폼 암호화 공급자에 제공된 핸들이 잘못되었습니다. 0x80290402 TPM_E_PCP_INVALID_PARAMETER 플랫폼 암호화 공급자에 제공된 매개 변수가 잘못되었습니다. 0x80290403 TPM_E_PCP_FLAG_NOT_SUPPORTED 플랫폼 암호화 공급자에 제공된 플래그가 지원되지 않습니다. 0x80290404 TPM_E_PCP_NOT_SUPPORTED 0x80290405 TPM_E_PCP_BUFFER_TOO_SMALL 0x80290406 TPM_E_PCP_INTERNAL_ERROR 0x80290407 TPM_E_PCP_AUTHENTICATION_FAILED 요청한 작업은 이 플랫폼 암호화 공급자에서 지원되지 않습니 다.
상수/값 설명 PLA_S_PROPERTY_IGNORED 속성 값이 무시됩니다. 0x00300100 PLA_E_PROPERTY_CONFLICT 속성 값이 충돌합니다. 0x80300101 PLA_E_DCS_SINGLETON_REQUIRED 0x80300102 PLA_E_CREDENTIALS_REQUIRED 0x80300103 PLA_E_DCS_NOT_RUNNING 현재 이 데이터 수집기 세트는 데이터 수집기를 하나만 포함하 도록 구성되어 있습니다. 데이터 수집기 세트 속성을 커밋하려면 사용자 계정이 필요합 니다. 데이터 수집기 세트가 실행되고 있지 않습니다.
상수/값 설명 PLA_E_TASKSCHED_CHANNEL_NOT_ENABLED 이 작업을 수행하려면 이벤트 로그 채널 Microsoft-WindowsTaskScheduler를 사용해야 합니다. 0x80300111 PLA_E_RULES_MANAGER_FAILED 규칙 관리자를 실행하지 못했습니다. 0x80300112 PLA_E_CABAPI_FAILURE 데이터를 압축하거나 압축을 푸는 동안 오류가 발생했습니다. 0x80300113 FVE_E_LOCKED_VOLUME 0x80310000 FVE_E_NOT_ENCRYPTED 이 드라이브는 BitLocker 드라이브 암호화로 잠겨 있습니다. 제 어판에서 이 드라이브의 잠금을 해제해야 합니다. 드라이브가 암호화되지 않았습니다.
상수/값 설명 FVE_E_AD_INVALID_DATASIZE Active Directory에서 가져온 데이터의 크기가 잘못되었습니다. BitLocker 복구 정보가 없거나 손상되었을 수 있습니다. 0x8031000C FVE_E_AD_NO_VALUES 0x8031000D FVE_E_AD_ATTR_NOT_SET 0x8031000E FVE_E_AD_GUID_NOT_FOUND 0x8031000F FVE_E_BAD_INFORMATION 0x80310010 FVE_E_TOO_SMALL 0x80310011 FVE_E_SYSTEM_VOLUME 0x80310012 FVE_E_FAILED_WRONG_FS 0x80310013 FVE_E_BAD_PARTITION_SIZE 0x80310014 FVE_E_NOT_SUPPORTED Active Directory에서 읽은 특성에 값이 없습니다. BitLocker 복 구 정보가 없거나 손상되었을 수 있습니다. 특성이 설정되지 않았습니다.
상수/값 설명 FVE_E_CONV_WRITE 드라이브를 변환하는 동안 쓰기 작업이 실패했습니다. 드라이 브가 변환되지 않았습니다. BitLocker를 사용하도록 다시 설정 하십시오.
상수/값 설명 FVE_E_WRONG_SYSTEM_FS BitLocker 드라이브 암호화 운영 체제 드라이브를 암호화하려 면 NTFS 파일 시스템으로 포맷해야 합니다. 드라이브를 NTFS 로 변환하고 BitLocker를 켜십시오.
상수/값 설명 0x8031003A FVE_E_NO_PROTECTORS_TO_TEST 0x8031003B FVE_E_KEYFILE_NOT_FOUND 0x8031003C FVE_E_KEYFILE_INVALID 0x8031003D FVE_E_KEYFILE_NO_VMK 0x8031003E FVE_E_TPM_DISABLED 0x8031003F FVE_E_NOT_ALLOWED_IN_SAFE_MODE 0x80310040 FVE_E_TPM_INVALID_PCR 0x80310041 FVE_E_TPM_NO_VMK 하드웨어 테스트를 수행하기 위한 드라이브에 키 보호기가 없 습니다. BitLocker 시작 키나 복구 암호를 USB 장치에서 찾을 수 없습니 다. 올바른 USB 장치를 사용하는지, USB 장치가 컴퓨터의 활 성 USB 포트에 연결되어 있는지 확인한 다음 컴퓨터를 다시 시 작하고 다시 시도하십시오. 문제가 계속되면 BIOS 업그레이드 지침에 대해 컴퓨터 제조업체에 문의하십시오.
상수/값 설명 FVE_E_FIRMWARE_TYPE_NOT_SUPPORTED BitLocker 드라이브 암호화를 운영 체제 드라이브에서 사용하 도록 설정할 수 없습니다. 컴퓨터 제조업체에 BIOS 업그레이드 지침에 대해 문의하십시오. 0x80310048 FVE_E_NO_LICENSE 0x80310049 FVE_E_NOT_ON_STACK 0x8031004A FVE_E_FS_MOUNTED 이 버전의 Windows에서는 BitLocker 드라이브 암호화를 지원 하지 않습니다. BitLocker 드라이브 암호화를 사용하려면 운영 체제를 업그레이드하십시오. 중요한 BitLocker 시스템 파일이 없거나 손상되어 BitLocker 드 라이브 암호화를 사용할 수 없습니다. Windows 시작 복구를 사 용하여 해당 파일을 컴퓨터로 복원하십시오. 드라이브를 사용하는 동안에는 드라이브를 잠글 수 없습니다.
상수/값 설명 FVE_E_PUBKEY_NOT_ALLOWED 이 드라이브에서는 공개 키 기반 보호기를 사용할 수 없습니 다. 0x80310058 FVE_E_VOLUME_HANDLE_OPEN 0x80310059 FVE_E_NO_FEATURE_LICENSE 0x8031005A FVE_E_INVALID_STARTUP_OPTIONS 0x8031005B FVE_E_POLICY_RECOVERY_PASSWORD_NOT_ALLOWED BitLocker 드라이브 암호화가 이 드라이브에서 작업을 이미 수 행하고 있습니다. 계속하기 전에 모든 작업을 완료하십시오. 이 버전의 Windows는 이 BitLocker 드라이브 암호화 기능을 지 원하지 않습니다. 이 기능을 사용하려면 운영 체제를 업그레이 드하십시오. BitLocker 시작 옵션에 대한 그룹 정책 설정이 충돌하여 적용할 수 없습니다. 자세한 내용은 시스템 관리자에게 문의하십시오. 복구 암호를 만들 수 없도록 그룹 정책이 설정되어 있습니다.
상수/값 설명 FVE_E_KEY_PROTECTOR_NOT_SUPPORTED 드라이브의 현재 BitLocker 드라이브 암호화 버전에서는 키 보 호기가 지원되지 않습니다. 드라이브를 업그레이드하여 키 보 호기를 추가하십시오 0x80310069 FVE_E_POLICY_PASSPHRASE_NOT_ALLOWED 암호를 만들 수 없도록 그룹 정책이 설정되어 있습니다. 0x8031006A FVE_E_POLICY_PASSPHRASE_REQUIRED 암호를 만들도록 그룹 정책이 설정되어 있습니다. 0x8031006B FVE_E_FIPS_PREVENTS_PASSPHRASE 0x8031006C FVE_E_OS_VOLUME_PASSPHRASE_NOT_ALLOWED FIPS를 따라야 하는 그룹 정책 설정 때문에 암호를 생성하거나 사용할 수 없습니다. 자세한 내용은 도메인 관리자에게 문의하 십시오. 운영 체제 드라이브에 암호를 추가할 수 없습니다.
상수/값 설명 FVE_E_POLICY_USER_ENABLE_RDV_NOT_ALLOWED 이동식 데이터 드라이브에서 BitLocker 드라이브 암호화를 켤 수 없도록 그룹 정책이 설정되어 있습니다. BitLocker를 켜야 하는 경우 시스템 관리자에게 문의하십시오.
상수/값 설명 FVE_E_VIRTUALIZED_SPACE_TOO_BIG 요청한 가상화 크기가 너무 큽니다.
상수/값 설명 FVE_E_INVALID_DATUM_TYPE 드라이브에 저장된 관리 정보에 알 수 없는 유형이 있습니다. 이전 버전의 Windows를 사용하는 경우 최신 버전을 사용하여 드라이브에 액세스해 보십시오. 0x8031009B FVE_E_EFI_ONLY 해당 기능은 EFI 시스템에서만 지원됩니다. 0x8031009C FVE_E_MULTIPLE_NKP_CERTS 0x8031009D FVE_E_REMOVAL_OF_NKP_FAILED 0x8031009E FVE_E_INVALID_NKP_CERT 0x8031009F FVE_E_NO_EXISTING_PIN 둘 이상의 네트워크 키 보호기 인증서가 시스템에서 발견되었 습니다. 네트워크 키 보호기 인증서를 제거하려면 인증서 스냅인을 사 용해야 합니다. 네트워크 키 보호기 인증서 저장소에서 잘못된 인증서가 발견 되었습니다. 이 드라이브가 PIN으로 보호되지 않습니다.
상수/값 설명 FVE_E_NO_PASSPHRASE_WITH_TPM 드라이브에 TPM 보호기가 있으므로 암호 키 보호기를 추가할 수 없습니다. 0x803100AB FVE_E_NO_TPM_WITH_PASSPHRASE 0x803100AC FVE_E_NOT_ALLOWED_ON_CSV_STACK 0x803100AD FVE_E_NOT_ALLOWED_ON_CLUSTER 드라이브에 암호 보호기가 있으므로 TPM 키 보호기를 추가할 수 없습니다. 이 명령은 지정한 CSV 볼륨의 코디네이터 노드에서만 수행할 수 있습니다. 이 명령은 클러스터에 포함된 볼륨에서 수행할 수 없습니다.
상수/값 설명 FVE_E_SECUREBOOT_CONFIGURATION_INVALID 보안 부팅 구성이 BitLocker에 대한 요구 사항을 충족하지 않으 므로 BitLocker는 플랫폼 무결성을 위해 보안 부팅을 사용할 수 없습니다. 0x803100BB FVE_E_EDRIVE_DRY_RUN_FAILED 0x803100BC FVE_E_SHADOW_COPY_PRESENT 0x803100BD FVE_E_POLICY_INVALID_ENHANCED_BCD_SETTINGS 0x803100BE FVE_E_EDRIVE_INCOMPATIBLE_FIRMWARE 사용하는 컴퓨터가 BitLocker 하드웨어 기반 암호화를 지원하 지 않습니다. 펌웨어 업데이트가 있는지 컴퓨터 제조업체에 문 의하십시오. 드라이브에 볼륨 섀도 복사본이 포함되어 있으므로 볼륨에 대 해 BitLocker를 사용하도록 설정할 수 없습니다. 볼륨을 암호화 하기 전에 모든 볼륨 섀도 복사본을 제거하십시오.
상수/값 설명 FVE_E_DE_DEVICE_LOCKEDOUT 너무 여러 번 잘못된 암호로 시도하여 장치 잠금이 트리거되었 습니다. 0x803100CA 0x803100CB 해당 볼륨에서 보호가 사용되지 않았습니다. 보호를 사용하도 록 설정하려면 연결된 계정이 필요합니다. 이미 연결된 계정이 있는데 이 오류가 표시되면 이벤트 로그에서 자세한 내용을 참 조하십시오. FVE_E_INVALID_PIN_CHARS_DETAILED PIN에는 숫자 0 ~ 9만 포함할 수 있습니다. FVE_E_DE_PROTECTION_NOT_YET_ENABLED 0x803100CC FVE_E_DEVICE_LOCKOUT_COUNTER_UNAVAILABLE 0x803100CD FVE_E_DEVICELOCKOUT_COUNTER_MISMATCH 0x803100CE FVE_E_BUFFER_TOO_LARGE PC에서 카운터를 사용할 수 없으므로 BitLocker가 하드웨어 재 생 보호를 사용할 수 없습니다.
20 용어집 활성화 - 컴퓨터가 Dell Server에 등록되고 최소한 초기 정책 집합을 수신하면 활성화가 발생합니다. Active Directory(AD) - Microsoft에서 Windows 도메인 네트워크용으로 만든 디렉터리 서비스입니다. Advanced Threat Prevention - Advanced Threat Prevention 제품은 알려지거나 알려지지 않은 사이버 위협의 실행 또는 엔드포인트 손 상을 식별, 분류 및 방지하기 위해 알고리즘 과학 및 장치 학습을 사용하는 차세대 안티바이러스 보호 기능을 제공합니다. 클라이언트 방화벽 기능(선택 사항)은 네트워크나 인터넷을 통한 컴퓨터와 리소스 사이의 통신을 모니터링하여 악의적일 수 있는 통신을 차단합 니다. 웹 차단 기능(선택 사항)은 웹 사이트의 안전 등급과 보고에 기반하여 온라인 검색 중에 안전하지 않은 웹 사이트 및 이러한 웹 사이트로부터의 다운로드를 차단합니다.
SED Manager – SED Manager에서는 자체 암호화 드라이브를 안전하게 관리하는 플랫폼을 제공합니다. SED가 자체 암호화를 제공하 기는 하지만 해당 암호화 및 사용 가능한 정책을 관리할 플랫폼은 없습니다. SED Manager는 데이터를 더 효과적으로 보호하고 관리 할 수 있는 확장 가능한 중앙 관리 구성 요소입니다. SED Manager를 통해 더 빠르고 쉽게 엔터프라이즈를 관리할 수 있습니다. Server 사용자 - 서버 운영 체제의 암호화 키 및 정책 업데이트 대응을 위해 Encryption에서 생성하는 가상 사용자 계정입니다. 이 사용 자 계정은 컴퓨터나 도메인의 기타 사용자 계정에 해당되지 않으며, 실제로 사용할 수 있는 사용자 이름 및 암호가 없습니다. 이 계정 에는 관리 콘솔에서 고유한 UCID 값이 할당됩니다. SDE(System Data Encryption) – SDE는 운영 체제와 프로그램 파일을 암호화하도록 설계되었습니다.