Dell Endpoint Security Suite Enterprise Guía de instalación avanzada v2.9 December 2020 Rev.
Notas, precauciones y advertencias NOTA: Una NOTA indica información importante que le ayuda a hacer un mejor uso de su producto. PRECAUCIÓN: Una PRECAUCIÓN indica la posibilidad de daños en el hardware o la pérdida de datos, y le explica cómo evitar el problema. AVISO: Un mensaje de AVISO indica el riesgo de daños materiales, lesiones corporales o incluso la muerte. © 2012-2020 Dell Inc. All rights reserved.
Tabla de contenido Capítulo 1: Introducción...................................................................................................................6 Antes de empezar..................................................................................................................................................................6 Utilización de esta guía....................................................................................................................................................
Desinstalación de la Protección web y el Servidor de seguridad.................................................................................. 65 Desinstalación de Advanced Threat Prevention..............................................................................................................65 Desinstalar Full Disk Encryption.........................................................................................................................................65 Desinstalación de SED Manager......
Capítulo 19: Solución de problemas............................................................................................... 105 Todos los clientes: Solución de problemas..................................................................................................................... 105 Todos los clientes: estado de la protección....................................................................................................................
1 Introducción En esta guía se detalla cómo instalar y configurar Advanced Threat Prevention, Encryption, SED Management, Full Disk Encryption, Protección web y firewall de cliente, y BitLocker Manager. Toda la información sobre la política y sus descripciones se encuentran en la AdminHelp. Antes de empezar 1. Instale el Dell Server antes de implementar los clientes. Localice la guía correcta, tal como se indica a continuación, siga las instrucciones y, a continuación, vuelva a esta guía.
Utilización de esta guía Use esta guía en el orden siguiente. ● Consulte Requisitos para los requisitos previos del cliente, la información de hardware y software del equipo, las limitaciones, y las modificaciones de registro especiales necesarias para funciones. ● Si es necesario, consulte Configuración previa a la instalación para SED UEFI y BitLocker.
2 Requisitos Todos los clientes Estos requisitos se aplican a todos los clientes. Los requisitos que aparecen en otras secciones se aplican a clientes específicos. ● Durante la implementación se deberán seguir las prácticas recomendadas para TI. Entre los que se incluyen, a modo de ejemplo, entornos de prueba controlados, para las pruebas iniciales e implementaciones escalonadas para los usuarios.
Compatibilidad de idiomas Español (ES) Alemán (DE) Portugués brasileño (PT-BR) Francés (FR) Japonés (JA) Portugués europeo (PT-PT) Cifrado ● El equipo cliente debe tener conectividad de red para activarse. ● Para reducir la duración inicial de cifrado, ejecute el asistente de liberación de espacio en disco de Windows para eliminar los archivos temporales y otros archivos innecesarios.
Hardware ● La siguiente tabla indica el hardware compatible. Hardware integrado opcional ○ TPM 1.2 o 2.0 Sistemas operativos ● La tabla siguiente indica los sistemas operativos compatibles. Sistemas operativos Windows (de 32 y 64 bits) ○ ○ ○ ○ ○ Windows 7 SP1: Enterprise, Professional, Ultimate Windows Embedded Standard 7 con plantilla de compatibilidad de aplicaciones Windows 8.1: Enterprise, Pro Windows Embedded 8.
Sistemas operativos Windows compatibles para el acceso a medios cifrados (32 y 64 bits) ○ Windows 10: Education, Enterprise, Pro v1803-v20H2 (actualización de abril del 2018/Redstone 4: actualización de octubre del 2020/20H2) Nota: Windows 10 v2004 (actualización de mayo del 2020/20H1) no es compatible con la arquitectura de 32 bits. Para obtener más información, consulte https://docs.microsoft.
● No se admite la reinstalación del sistema operativo en el lugar. Para volver a instalar el sistema operativo, realice una copia de seguridad del equipo de destino, borre el equipo, instale el sistema operativo y, a continuación, recupere los datos cifrados siguiendo los procedimientos de recuperación establecidos. ● Las actualizaciones de función directas de Windows 10 versión 1607 (Anniversary Update/Redstone 1) a Windows 10 versión 1903 (actualización de mayo del 2019/19H1) no son compatibles con FDE.
Sin UEFI PBA Contraseña Windows 7 SP0-SP1 Huellas digitales X1 Tarjeta inteligente con contacto Tarjeta SIPR X1 2 1. Disponible cuando se descargan los controladores de autenticación desde support.dell.com. UEFI PBA - en computadoras Dell compatibles Contraseña Windows 10 Huellas digitales X1 Tarjeta inteligente con contacto Tarjeta SIPR X1 1. Disponible con computadoras con UEFI compatible.
NOTA: El servidor debe admitir controles de puerto. Las políticas de sistema de control de puertos afectan a medios extraíbles en servidores protegidos, por ejemplo, mediante el control del acceso y el uso de los puertos USB del servidor por parte de dispositivos USB. La política de puertos USB se aplica a los puertos USB externos. La funcionalidad interna de puerto USB no se ve afectada por la política de puertos USB.
○ Software de desduplicación ○ Desduplicación de hardware ○ RAID divididos (varios volúmenes a través de un único RAID) ○ SED (RAID y distinto de RAID) ○ Inicio de sesión automático (Windows 7, 8/8.1) para quioscos ○ Microsoft Storage Server 2012 ● Encryption en sistema operativo de servidor no es compatible con las configuraciones de inicio doble, dado que es posible cifrar archivos de sistema del otro sistema operativo, lo cual podría interferir en su funcionamiento.
Encryption External Media Sistemas operativos ● El medio externo debe tener aproximadamente 55 MB disponibles, además de una cantidad de espacio libre igual al tamaño del archivo más grande que se vaya a cifrar, para alojar Encryption External Media.
Sistemas operativos Windows (de 32 y 64 bits) ○ Windows 7 SP1: Enterprise, Professional, Ultimate ■ En enero del 2020, los certificados de firma SHA1 dejan de ser válidos y no se pueden renovar. Los dispositivos que ejecutan Windows 7 o Windows Server 2008 R2 deben instalar Microsoft KB https://support.microsoft.com/help/4474419 y https://support.microsoft.com/help/4490628 para validar los certificados de firma SHA256 en las aplicaciones y los paquetes de instalación.
Modelos de equipos de Dell compatibles con la verificación de la integridad de la imagen del BIOS ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● Latitude 7275 Latitude 7370 Latitude E5270 Latitude E5470 Latitude E5570 Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extreme Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 OptiPlex 7440 Estación de trabajo Precision 3510 Estación de trabajo Precision 5510 Estación de trabajo Precision 3620 Estación de trabajo Precision 7510 Estació
Funciones Políticas Windows macOS Linux Escritura remota de PE en la memoria.
Funciones Políticas Windows macOS Linux Macros de Office x n/d Bloquear el uso de la consola PowerShell x Aprobar los scripts en estas carpetas (y subcarpetas) x Nivel de registro x Nivel de protección automática x Actualización automática x Ejecutar una detección (de la UI de agente) x Eliminar cuarentena (UI de agente y de consola) x Modo desconectado x Datos detallados de la amenaza x Lista segura de certificados x x n/d Copiar muestras de malware x x x Configuración de
Navegador Compatibilidad con protección web Versión Microsoft Internet Explorer 11 Sí Todas las versiones modernas Mozilla Firefox Sí ○ Firefox 56 es compatible con la versión 10.0 de Endpoint Security Suite Enterprise y posteriores ○ Firefox 51 es compatible con la versión 1.
Sistemas operativos Windows (de 32 y 64 bits) Nota: Windows 10 v2004 (actualización de mayo del 2020/20H1) no es compatible con la arquitectura de 32 bits. Para obtener más información, consulte https://docs.microsoft.com/windows-hardware/design/minimum/minimum-hardwarerequirements-overview ■ ■ Windows 10 2016 LTSB Windows 10 2019 LTSC SED Manager ● La computadora debe tener una conexión de red por cable para que SED Manager se instale correctamente.
■ El sistema operativo se bloqueará cuando se cambie de RAID Encendido > AHCI si los controladores de la controladora AHCI no están previamente instalados. Para obtener instrucciones sobre cómo cambiar de RAID a AHCI (o viceversa), consulte el artículo de la base de conocimientos (KB) SLN306460. Las SED compatibles que cumplen con OPAL necesitan controladores actualizados Intel Rapid Storage Technology, que se pueden encontrar en www.dell.com/support.
Sin UEFI PBA Contraseña Huellas digitales Tarjeta inteligente con contacto Windows 7 SP0-SP1 X1 X1 2 Windows 8.1 X1 X1 2 Windows 10 X1 X1 2 Tarjeta SIPR 1. Disponible cuando se descargan los controladores de autenticación de dell.com/support 2. Disponible con SED OPAL compatible UEFI PBA - en computadoras Dell compatibles Contraseña Huellas digitales Tarjeta inteligente con contacto Tarjeta SIPR Windows 7 Windows 8.1 X1 X1 Windows 10 X1 X1 1.
Sistemas operativos Windows (de 32 y 64 bits) ○ Windows 7 SP0-SP1: Enterprise, Professional, Ultimate (compatibles con el modo de arranque heredado, pero no UEFI) NOTA: Unidades NVMe con autocifrado no son compatibles con Windows 7. ○ Windows 8.1: Enterprise, Pro ○ Windows 10: Education, Enterprise, Pro v1803-v20H2 (actualización de abril del 2018/Redstone 4: actualización de octubre del 2020/20H2) Nota: Windows 10 v2004 (actualización de mayo del 2020/20H1) no es compatible con la arquitectura de 32 bits.
● Cuando se utiliza una conexión a escritorio remoto con un terminal que aprovecha BitLocker Manager, Dell recomienda ejecutar cualquier sesión de escritorio remoto en modo de consola para evitar que no haya ningún problema de interacción con la interfaz de usuario en la sesión de usuario existente a través del siguiente comando: mstsc /admin /v: ● El instalador maestro instala estos componentes si aún no se encuentran instalados en la computadora de destino.
Sistemas operativos Windows ○ Windows Server 2012 R2: Standard Edition, Enterprise Edition (64 bits) ○ Windows Server 2016: Standard Edition, Datacenter Edition (64 bits) ○ Windows Server 2019: Standard Edition, Datacenter Edition (64 bits) No se deben instalar las actualizaciones de Windows KB3133977 y KB3125574 si instala BitLocker Manager en Windows 7.
3 Configuración de registro ● Esta sección detalla toda la configuración de registro aprobada por Dell ProSupport para equipos cliente locales, con independencia del motivo de la configuración de registro. Si una configuración de registro coincide en dos productos, aparecerá en cada categoría. ● Solo los administradores deben realizar los cambios de registro y es posible que no sean adecuados para todos los escenarios. Cifrado ● Si un certificado autofirmado se utiliza en Dell Server.
Para deshabilitar la eliminación de archivos temporales, cree o modifique la configuración de registro de la siguiente forma: [HKLM\SOFTWARE\CREDANT\CMGShield] "DeleteTempFiles"=REG_DWORD:0 No eliminar los archivos temporales aumenta el tiempo de cifrado inicial. ● Encryption muestra el indicador de duración de cada retraso de actualización de política durante cinco minutos cada vez. Si el usuario no responde a la indicación, comenzará el siguiente retraso.
Estas entradas de registro requieren un reinicio del equipo para que las actualizaciones surtan efecto. ○ Activación ranurada Para habilitar o deshabilitar esta función, cree un DWORD con el nombre SlottedActivation en la clave principal: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\] ○ Ranura de activación Para habilitar o deshabilitar esta función, cree una subclave con el nombre ActivationSlot en la clave principal: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGS
1 =Habilitado ● El Cifrado de datos del sistema (SDE) se exige según el valor de la política para las Reglas del cifrado de SDE. Cuando se selecciona la política de Cifrado de SDE habilitado, se protegen otros directorios de forma predeterminada. Para obtener más información, busque "Reglas de Cifrado de SDE" en AdminHelp.
Este valor es la cantidad de segundos que Full Disk Encryption espera para intentar contactarse con Dell Server si este no está disponible para comunicarse con Full Disk Encryption. El valor predeterminado es 300 segundos (5 minutos).
○ SCPolicySvc: permite que el sistema se configure para bloquear el escritorio del usuario cuando se retire la tarjeta inteligente. ○ WbioSrvc: el servicio biométrico de Windows otorga a las aplicaciones de cliente la capacidad de capturar, comparar, manipular y almacenar datos biométricos sin obtener acceso directo a ningún hardware o muestras biométricos. El servicio está alojado en un proceso SVCHOST privilegiado.
El valor de registro se comprueba cuando se inicia el servicio Advanced Threat Prevention o cuando el valor cambia. Si el valor de registro no existe, no se produce ningún cambio a nivel de registro. Utilice esta configuración de registro solo para realizar pruebas o depuraciones, ya que este ajuste controla el nivel de detalle de registro de otros componentes, incluidos Encryption y Encryption Management Agent.
1 = Deshabilitado ● Para determinar si la PBA está activada, asegúrese de que esté establecido el siguiente valor: [HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent\Parameters] "PBAIsActivated"=DWORD (32-bit):1 Un valor de 1 significa que la PBA está activada. Un valor de 0 significa que la PBA no está activada. ● Para determinar si una tarjeta inteligente está presente y activa, asegúrese de establecer el siguiente valor: HKLM\SOFTWARE\Dell\Dell Data Protection\ "SmartcardEnabled"=DWORD:1 Si SmartcardE
● (Solo con autenticación previa al arranque) Si no desea que PBA Advanced Authentication cambie los servicios asociados a las tarjetas inteligentes y los dispositivos biométricos a un tipo de inicio “automático”, deshabilite la función de inicio del servicio. La deshabilitación de esta función también suprime los avisos asociados con el mal funcionamiento de los servicios necesarios.
4 Instalación mediante el instalador maestro ● Los modificadores y parámetros de línea de comandos distinguen entre mayúsculas y minúsculas. ● Para instalar mediante puertos no predeterminados, utilice los instaladores secundarios en lugar del instalador maestro. ● Los archivos de registro del instalador maestro Endpoint Security Suite Enterprise se encuentran en C:\ProgramData\Dell\Dell Data Protection\Installer.
6. Haga clic en Siguiente para instalar el producto en la ubicación predeterminada C:\Program Files\Dell\Dell Data Protection\. Dell recommends installing in the default location only, ya que se pueden producir problemas si lo instala en otras ubicaciones. 7. Seleccione los componentes que deben instalarse. Security Framework instala la infraestructura de seguridad subyacente.
8. Haga clic en Instalar para comenzar la instalación. La instalación tarda varios minutos. 9. Seleccione Sí, deseo reiniciar ahora mi equipo y haga clic en Finalizar.
La instalación finalizó. Instalación mediante la línea de comandos con el instalador maestro ● Los conmutadores se deben especificar en primer lugar en la instalación de una línea de comandos. Otros parámetros se introducen en el argumento que luego pasa al modificador /v. Modificadores ● En la siguiente tabla se describen los switches que se pueden utilizar con el instalador maestro de Endpoint Security Suite Enterprise.
Parámetro Descripción FEATURES Especifica los componentes que se pueden instalar en modo SILENCIOSO. ATP = Advanced Threat Prevention solamente DE-ATP = Advanced Threat Prevention y Encryption.
"DDSSuite.exe" /s /z"\"SERVER=server.organization.com, FEATURES=ATP\"" ● (En un sistema operativo de servidor) En este ejemplo se instala Encryption solo con el instalador maestro de Endpoint Security Suite Enterprise en puertos estándar, de forma silenciosa, en la ubicación predeterminada C:\Program Files\Dell\Dell Data Protection\, y se configura para utilizar el Dell Server especificado. "DDSSuite.exe" /s /z"\"SERVER=server.organization.com, FEATURES=DE\"" 42 Instalación mediante el instalador maestro
5 Desinstalación del instalador maestro ● Dell recomienda utilizar el Desinstalador de Data Security para eliminar la suite de Data Security. ● Cada componente se debe desinstalar por separado, seguido de la desinstalación del instalador maestro de Endpoint Security Suite Enterprise. Los clientes se deben desinstalar en un orden específico para evitar errores en la desinstalación. ● Siga las instrucciones en Extracción de instaladores secundarios del instalador maestro para obtener instaladores secundarios.
6 Instalación mediante los instaladores secundarios ● Para instalar o actualizar cada cliente individualmente, en primer lugar es necesario extraer los archivos ejecutables secundarios del instalador principal de Endpoint Security Suite Enterprise, como se muestra en Extracción de instaladores secundarios del instalador principal. ● Para los ejemplos de comandos incluidos en esta sección, se asume que los comandos se ejecutan desde C:\extracted.
Opción Significado /qb!- Diálogo de progreso sin botón Cancelar , se reinicia automáticamente al terminar el proceso /qn Sin interfaz de usuario /norestart Se elimina el reinicio ● Indique a los usuarios que consulten el siguiente documento y los archivos de ayuda para obtener ayuda sobre la aplicación: ○ Consulte Dell Encrypt Help (Ayuda de cifrado de Dell) para saber cómo usar las funciones de Encryption. Acceda a la ayuda en \Program Files\Dell\Dell Data Protection\Encryption\Help.
Parámetros MANAGEDDOMAIN= (dominio que utilizará el dispositivo) DEVICESERVERURL= (URL utilizada para la activación; normalmente, incluye nombre del servidor, puerto y xapi) GKPORT= (puerto del equipo selector) MACHINEID= (nombre de equipo) RECOVERYID= (Id.
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ HIDESYSTRAYICON=1 HIDEOVERLAYICONS=1 REBOOT=ReallySuppress /qn" Comando MSI: msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.
Comando MSI: msiexec.exe /i "Dell Data Protection Encryption.msi" OPTIN="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" DEVICESERVERURL="https://server.organization.
DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ ENABLE_FDE_LM=1 /norestart /qn" ● Ejemplo de línea de comandos para instalar el cliente Remotely Managed Encryption mediante una instalación existente de Full Disk Encryption.
EMAgent_64bit_setup.exe /s /v"CM_EDITION=1 FEATURE=FDE SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 / norestart /qn" ● Encryption Management Agent ● En el siguiente ejemplo, se instala Full Disk Encryption administrado de forma remota y permite la instalación en una computadora protegida Dell Encryption (instalación silenciosa, sin reinicio, instalado en la ubicación predeterminada de C:\Program Files\Dell \Dell Data Protection\Encrypt
puertos USB, el teclado y el mouse USB no funcionarán y el usuario no podrá utilizar la computadora, a menos que se configure una conexión de escritorio remota antes de aplicar la política. ● Para activar correctamente, la computadora debe tener conectividad de red. ● Cuando Trusted Platform Module (TPM) está disponible, se utiliza para sellar la clave de finalidad general en el hardware de Dell.
7. Haga clic en Siguiente para omitir el cuadro de diálogo Tipo de administración. 8. En Nombre de Security Management Server, introduzca/valide el nombre completo del host del Dell Server para administrar el usuario de destino (por ejemplo, server.organization.com). Escriba el nombre de dominio en Dominio administrado (por ejemplo, organización). Haga clic en Siguiente. 9. En el nombre de host y el puerto de Proxy de política, introduzca/valide la información y haga clic en Siguiente. 10.
11. Haga clic en Instalar para comenzar la instalación. La instalación puede tardar varios minutos. 12. Cuando se complete la configuración, haga clic en Finalizar.
La instalación ha finalizado. 13. Reinicie el equipo. Dell recomienda suspender el reinicio solo si se necesita tiempo para guardar su trabajo y cerrar las aplicaciones. El cifrado no puede comenzar hasta que no se reinicie el equipo. Instalar mediante la línea de comandos Busque el instalador en C:\extracted\Encryption ● Utilice DDPE_xxbit_setup.
Componente Archivo de registro Parámetros de línea de comandos MANAGEDDOMAIN= DEVICESERVERURL= GKPORT= MACHINEID= RECOVERYID= REBOOT=ReallySuppress HIDEOVERLAYICONS=1 HIDESYSTRAYICON=1 EME=1 NOTA: Aunque se puede suprimir el reinicio, se requerirá eventualmente. El cifrado no puede comenzar hasta que no se reinicie el equipo.
Comando MSI: msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERMODE="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.
El Dell Server emite una clave de cifrado para la Id. de máquina, crea la cuenta de usuario de servidor virtual, crea una clave de cifrado para la cuenta de usuario, empaqueta las claves de cifrado, y crea la relación entre el paquete de cifrado y la cuenta de usuario de servidor virtual. 3. Haga clic en Cerrar. Después de la activación, comienza el cifrado. 4. Después de que haya terminado el barrido de cifrado, reinicie el equipo para procesar todos los archivos que estaban anteriormente en uso.
Usuario de servidor virtual ● En la consola de administración, se puede encontrar un servidor protegido bajo su nombre de máquina. Además, cada servidor protegido tiene su propia cuenta de usuario de servidor virtual. Cada cuenta tiene un nombre de usuario estático exclusivo y un nombre de máquina exclusivo. ● La cuenta de usuario de servidor virtual solo la utiliza Encryption en sistemas operativos de servidor y no afecta el funcionamiento del servidor protegido.
● El instalador del cliente Advanced Threat Prevention se puede encontrar en: ○ En su cuenta FTP de Dell: localice el paquete de instalación en Endpoint-Security-Suite-Ent-2.x.x.xxx.zip y extraiga los instaladores secundarios del instalador maestro. Después de la extracción, busque el archivo en C:\extracted\Advanced Threat Prevention\WinXXR\ y C:\extracted\Advanced Threat Prevention\WinNtAll\.
En el siguiente ejemplo se instala Advanced Threat Prevention, sin SED Management ni BitLocker Manager (instalación silenciosa, sin reinicio, sin entrada en la lista de programas del Panel de control, sin ícono de escritorio, instalado en la ubicación predeterminada de C:\Program Files\Dell\Dell Data Protection). :: Instalando Encryption Management Agent ".\Encryption Management Agent\EMAgent_64bit_setup.
Parámetros Descripción nocontentupdate Indica al instalador que no actualice automáticamente archivos de contenido como parte del proceso de instalación. Dell recomienda programar una actualización tan pronto como la instalación se haya completado. nopreservesettings No guarda la configuración. ● La siguiente tabla detalla los parámetros disponibles para el archivo DellThreatProtection.msi. Parámetros Descripción Reboot=ReallySuppress Suprime el reinicio.
Instalación con la línea de comandos ● La tabla a continuación indica los parámetros disponibles para la instalación. Parámetros CM_EDITION=1 INSTALLDIR= SERVERHOST= SERVERPORT=8888 SECURITYSERVERHOST= SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 Para obtener una lista de modificadores basic .
Parámetros SERVERHOST= SERVERPORT=8888 SECURITYSERVERHOST= SECURITYSERVERPORT=8443 FEATURE=BLM FEATURE=BLM,SED ARPSYSTEMCOMPONENT=1 Para obtener una lista de modificadores basic .msi y las opciones de visualización que se pueden utilizar en líneas de comandos, consulte instalación mediante instaladores secundarios.
7 Desinstalación mediante los instaladores secundarios ● Dell recomienda utilizar el Desinstalador de Data Security para eliminar la suite de Data Security. ● Para desinstalar cada cliente por separado, en primer lugar, es necesario extraer los archivos ejecutables secundarios del instalador maestro de Endpoint Security Suite Enterprise, como se muestra en Extracción de los instaladores secundarios del instalador maestro De forma alternativa, ejecute una instalación administrativa para extraer el .msi.
Opción Significado /qb!- Diálogo de progreso sin botón Cancelar , se reinicia automáticamente al terminar el proceso /qn Sin interfaz de usuario Desinstalación de la Protección web y el Servidor de seguridad Si la Protección web y el Servidor de seguridad no están instalados, proceda con la Desinstalación del cliente Encryption.
Desactivación de la PBA 1. 2. 3. 4. 5. Como administrador de Dell, inicie sesión en la Consola de administración. En el panel izquierdo, haga clic en Poblaciones > Terminales. Seleccione el tipo de extremo correspondiente. Seleccione Mostrar > Visibles, Ocultos o Todos. Si conoce el nombre de host del equipo, introdúzcalo en el campo Nombre de host (se admiten caracteres comodín). Puede dejar el campo en blanco para que aparezcan todos los equipos. Haga clic en Buscar.
6. 7. 8. 9. 10. 11. 12. Seleccione el hostname de la computadora que desea. Haga clic en Políticas de seguridad en el menú superior. Seleccione Unidades de cifrado automático en la página Categoría de política. Cambie la Unidad de cifrado automático (SED) y la política de On a Off. Haga clic en Guardar. En el panel izquierdo, haga clic en Confirmar políticas. Haga clic en Confirmar políticas. Espere a que se propague la política del Dell Server a la computadora de destino para la desactivación.
● Periódicamente Compruebe el estado de Encryption Removal Agent. El descifrado de datos sigue en curso si el servicio Encryption Removal Agent continúa existiendo en el panel de servicios. Desinstalación con la línea de comandos ● Una vez que se extrae del el instalador maestro de Endpoint Security Suite Enterprise, el instalador de Encryption se puede encontrar en C:\extracted\Encryption\DDPE_XXbit_setup.exe. ● La tabla a continuación indica los parámetros disponibles para la desinstalación.
DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1 DA_SERVER=server.organization.com DA_PORT=8050 SVCPN=administrator@organization.com DA_RUNAS=domain\username DA_RUNASPWD=password /qn" Comando MSI: msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" CMG_DECRYPT="1" CMGSILENTMODE="1" DA_SERVER="server.organization.com" DA_PORT="8050" SVCPN="administrator@domain.com" DA_RUNAS="domain\username" DA_RUNASPWD="password" /qn Reinicie el equipo cuando finalice.
8 Desinstalador de Data Security Desinstalar Endpoint Security Suite Enterprise Dell proporciona el desinstalador de Data Security como un desinstalador maestro. Esta utilidad reúne los productos actualmente instalados y los elimina en el orden adecuado. NOTA: Cuando se desinstala FDE, Dell recomienda reiniciar la computadora después de completar la desactivación de FDE para prevenir problemas de hibernación en la computadora. Este desinstalador de Data Security está disponible en: C:\Program Files (x86)\De
Opcionalmente, borre cualquier aplicación desde la extracción y haga clic en Siguiente. Las dependencias necesarias se seleccionan o borran automáticamente.
Para quitar aplicaciones sin tener que instalar el agente de eliminación de cifrado, seleccione No instalar Agente de eliminación de cifrado y seleccione Siguiente. Seleccione Agente de eliminación de cifrado: descargar claves desde servidor. Ingrese las credenciales totalmente calificadas de un administrador forense y seleccione Siguiente.
Seleccione Eliminar para iniciar la desinstalación. Haga clic en Terminar para finalizar la desinstalación y reinicie la computadora. De forma predeterminada, se selecciona Reiniciar computadora tras hacer clic en Finalizar.
La desinstalación y eliminación se han completado.
9 Situaciones frecuentes ● Para instalar cada cliente individualmente, en primer lugar, se deben extraer los archivos ejecutables secundarios del instalador maestro de Endpoint Security Suite Enterprise, como se muestra en Extracción de instaladores secundarios del instalador maestro. ● El componente de instalador secundario de Advanced Threat Prevention se debe instalar únicamente desde la línea de comandos.
○ Consulte Encryption External Media Help (Ayuda de Encryption External Media) para saber cómo usar las funciones de Encryption External Media. Acceda a la ayuda desde :\Program Files\Dell\Dell Data Protection \Encryption\EMS. ○ Consulte la ayuda de Endpoint Security Suite Enterprise para obtener información sobre el uso de estas funciones de y Advanced Threat Prevention. Puede acceder a esta ayuda en :\Program Files\Dell\Dell Data Protection \Advanced Threat Prevention\Help.
\Threat Protection\SDK ● El siguiente ejemplo instala el SDK. EnsMgmtSdkInstaller.exe "C:\Program Files\Dell\Dell Data Protection\Threat Protection \DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >"C:\ProgramData\Dell\Dell Data Protection\Installer Logs\McAfeeSDKInstallerAfterEndPoint.
MSIEXEC.EXE /I "ATP_CSF_Plugins_x64.msi" /qn REBOOT="ReallySuppress" ARPSYSTEMCOMPONENT="1" /l*v "C:\ProgramData\Dell\Dell Data Protection\Installer Logs\ATP.log" APPFOLDER="C:\Program Files\Dell\Dell Data Protection\Advanced Threat Prevention" y "\Advanced Threat Prevention\WinNtAll\ATP_AgentSetup.
10 Aprovisionamiento de un inquilino Debe aprovisionar un inquilino en Dell Server antes de que se active la aplicación de las políticas de Advanced Threat Prevention. Requisitos previos ● Lo debe llevar a cabo el administrador con el rol de administrador del sistema. ● Debe tener conexión a Internet para el aprovisionamiento en Dell Server. ● Debe tener conexión a Internet en el cliente para mostrar la integración del servicio en línea de Advanced Threat Prevention en la consola de administración.
4. La configuración guiada inicia una vez que se han importado las licencias. Haga clic en Siguiente para empezar. 5. Lea y acepte el EULA y haga clic en Siguiente.
6. Proporcione las credenciales de identificación a Dell Server para aprovisionar el inquilino. Haga clic en Siguiente. No se permite aprovisionar un inquilino existente con marca Cylance. 7. Descargue el certificado. Esto es necesario para poder llevar a cabo una recuperación si se produce algún problema con Dell Server. No se realiza automáticamente una copia de seguridad de este certificado. Realice una copia de seguridad del certificado en una ubicación segura de otro equipo.
8. La configuración ha terminado. Haga clic en Aceptar.
11 Configuración de actualización automática del agente Advanced Threat Prevention En la consola de administración, puede inscribirse para recibir actualizaciones automáticas del agente Advanced Threat Prevention. La inscripción para recibir las actualizaciones automáticas del agente permite a los clientes descargar y aplicar automáticamente las actualizaciones desde el servicio de Advanced Threat Prevention. Las actualizaciones se efectúan mensualmente.
12 Configuración previa a la preinstalación para SED UEFI y BitLocker Manager Inicialización del TPM ● Debe ser miembro del grupo de administradores locales o de otro equivalente. ● El equipo debe tener un TPM y un BIOS compatibles. ● Siga las instrucciones que se encuentran en http://technet.microsoft.com/en-us/library/cc753140.aspx.
Deshabilitar las ROM de opción heredadas Asegúrese de que la configuración Habilitar las ROM de opción heredadas está deshabilitada en el BIOS. 1. 2. 3. 4. 5. Reinicie el equipo. Mientras se reinicia, pulse F12 varias veces para que aparezca la configuración de inicio del equipo UEFI. Pulse la flecha Abajo, resalte la opción Configuración del BIOS y pulse Intro. Seleccione Configuración > General > Opciones de arranque avanzadas.
13 Designación del Dell Server a través del registro ● Si sus clientes tienen derechos mediante Dell Digital Delivery, siga estas instrucciones para establecer un registro mediante los objetos de política de grupo con el fin de preestablecer el servidor Dell que se utilizará después de la instalación. ● La estación de trabajo debe ser un miembro de la OU en la que se aplican los objetos de política de grupo, o bien se debe establecer manualmente la configuración del registro en el terminal.
4. Haga clic con el botón derecho del ratón en GPO que fue creado y seleccione Editar. 5. Se carga el Editor de administración de políticas de grupo. Acceda a Configuración de la computadora > Preferencias > Configuración de Windows > Registro. 6. Haga clic con el botón secundario en el registro y seleccione Nuevo > Elemento de registro. Complete lo siguiente. Acción: Crear Subárbol: HKEY_LOCAL_MACHINE Ruta de la clave: SOFTWARE\Dell\Dell Data Protection Nombre del valor: Servidor Tipo de valor: REG_SZ D
Datos de valor: 7. Haga clic en Aceptar. 8. Cierre sesión y vuelva a iniciarla en la estación de trabajo o ejecute gpupdate /force para aplicar la política del grupo.
14 Extracción de instaladores secundarios ● Para instalar cada cliente de manera individual, extraiga los archivos secundarios ejecutables del instalador. ● El instalador maestro no es un desinstalador maestro. Cada componente se debe desinstalar por separado, seguido de la desinstalación del instalador maestro. Utilice este proceso para extraer los clientes del instalador maestro con el fin de poder utilizarlos para la desinstalación. 1. Desde el medio de instalación de Dell, copie el archivo DDSSuite.
15 Configurar Key Server ● En esta sección se explica cómo configurar los componentes a fin de utilizarlos con la autenticación/autorización Kerberos al utilizar un Security Management Server. Security Management Server Virtual no utiliza Key Server. Key Server es un servicio que está atento a la conexión de clientes a un socket.
4. Reinicie el servicio de Key Server (deje abierto el panel servicios para ejecutar acciones posteriores). 5. Vaya a log.txt a fin de comprobar que el servicio arrancó correctamente. Archivo de configuración del Key Server: agregar usuario para la comunicación de Security Management Server 1. Vaya a . 2. Abra Credant.KeyServer.exe.config con un editor de texto. 3.
Si se utiliza "superadmin" en el paso 3, y la contraseña del superadministrador no es "changeit", se debe cambiar aquí. Guarde y cierre el archivo. Ejemplo de archivo de configuración [El puerto TCP que escuchará Key Server. El valor predeterminado es 8050].
6. En el menú de la izquierda, haga clic en Usuarios. En la casilla de búsqueda, escriba el nombre de usuario que se agregó en el paso 5. Haga clic en Buscar. 7. Una vez que haya encontrado al usuario correcto, haga clic en la pestaña Admin. 8. Seleccione Administrador forense y haga clic en Actualizar. Los componentes estarán ya configurados para la autenticación/autorización Kerberos.
16 Uso de la Utilidad de descarga administrativa (CMGAd) ● Esta herramienta permite la descarga de un paquete de material de claves para usar en una computadora que no esté conectada a Dell Server. ● Esta utilidad emplea uno de los siguientes métodos para descargar un paquete de materiales de claves según el parámetro de línea de comandos pasado a la aplicación: ○ Modo Forense: se utiliza si se pasa -f en la línea de comandos o si no se utiliza ningún parámetro de línea de comandos.
3. En Frase de contraseña: introduzca una frase de contraseña para proteger el archivo de descarga. La frase de contraseña debe tener al menos ocho caracteres de longitud, y contener al menos un carácter alfabético y uno numérico. Confirme la frase de contraseña. Acepte el nombre y la ubicación predeterminados de donde el archivo se guardará o haga clic en ... para seleccionar otra ubicación. Haga clic en Siguiente. Aparecerá un mensaje, indicando que el material de claves se ha desbloqueado correctamente.
1. Abra un símbolo del sistema donde se encuentre CMGAd y escriba cmgad.exe -a. 2. Introduzca la siguiente información (algunos campos pueden estar previamente rellenados). Servidor: nombre de host completo del Key Server, por ejemplo, keyserver.domain.com Número de puerto: el puerto predeterminado es 8050. Cuenta de servidor: usuario de dominio con el que se ejecuta Key Server. El formato es DOMINIO\Nombre de usuario.
Aparecerá un mensaje, indicando que el material de claves se ha desbloqueado correctamente. Los archivos son ahora accesibles. 4. Haga clic en Finalizar cuando haya terminado.
17 Configurar Encryption en un sistema operativo de servidor Habilitación de Encryption en un sistema operativo de servidor NOTA: Encryption de sistemas operativos de servidor convierte el cifrado de usuario en cifrado común. 1. Como un administrador de Dell, inicie sesión en la Management Console. 2.
Establecer políticas de Encryption External Media La computadora de cifrado original es la computadora que cifra originalmente un dispositivo extraíble. Cuando la computadora original es un servidor protegido, un servidor con Encryption en un sistema operativo de servidor instalado y activado, y el servidor protegido detecta primero la presencia de un dispositivo extraíble, al usuario se le pide que cifre el dispositivo extraíble.
En el panel izquierdo de la consola de administración, haga clic en Poblaciones > Terminales. Busque o seleccione un nombre de host y, a continuación, haga clic en la pestaña Detalles y acciones. En Control de dispositivo del servidor, haga clic en Suspender y, a continuación, Sí. NOTA: Haga clic en Restablecer para permitir que Encryption de sistemas operativos de servidor acceda a los datos cifrados en el servidor después de su reinicio.
18 Configurar la activación aplazada El cliente Encryption con activación aplazada difiere de la activación del cliente Encryption de dos maneras: Políticas de cifrado basadas en dispositivos Las políticas del cliente Encryption se basan en usuarios; las políticas de cifrado con activación aplazada del cliente Encryption se basan en dispositivos. El cifrado de usuario se convierte en cifrado común.
Desinstalar versiones anteriores del cliente Encryption Antes de desinstalar una versión anterior del cliente Encryption, detenga o pause el barrido de cifrado si es necesario. Si el equipo está ejecutando una versión de Dell Encryption anterior a v8.6, desinstale el cliente Encryption desde la línea de comandos. Para obtener instrucciones, consulte Desinstalación de los clientes Encryption y Server Encryption.
El servidor Dell combina el paquete de claves de cifrado con las credenciales de usuario y el ID exclusivo del equipo (ID de máquina). De esta manera, crea una relación irrompible entre el paquete de claves, el equipo específico y el usuario. 4. Reinicie el equipo para empezar el barrido de cifrado. NOTA: En la consola de administración local, accesible desde el ícono del área de notificación, se muestran las políticas que envía el servidor, no la política vigente.
La URL y otros datos que el usuario introduzca en el instalador se guardan en el registro. Compruebe la precisión de los datos en [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] y [HKLM\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Winlogon\CMGShield\Servlet] ● Desconecte y vuelva a conectar: Desconecte el equipo de la red. Vuelva a conectar a la red. Reinicie el equipo. Intente volver a conectar a la red.
19 Solución de problemas Todos los clientes: Solución de problemas ● Los archivos de registro del instalador del conjunto maestro Endpoint Security Suite Enterprise se encuentran en C:\ProgramData\Dell\Dell Data Protection\Installer. ● Windows crea archivos de registro de instalación de instaladores secundarios para el usuario que haya iniciado sesión en %temp %, que se encuentra en C:\Users\\AppData\Local\Temp.
Mensaje de error: Nombre de usuario desconocido o contraseña incorrecta El nombre de usuario o contraseña no coinciden. Posible solución: intente volver a iniciar sesión, asegurándose de introducir el nombre de usuario y contraseña de forma exacta. Mensaje de error: Se produjo un error en la activación debido a que la cuenta de usuario no tiene derechos de administración del dominio.
3. El usuario abre el cuadro Acerca de Server Encryption para confirmar que se está ejecutando en modo Servidor. 4. El usuario hace clic con el botón secundario en el icono Encryption en el área de notificaciones y selecciona Activar Dell Encryption. 5. El usuario ingresa las credenciales de administrador de dominios en el cuadro de diálogo Activar.
Autenticación y activación de dispositivo El siguiente diagrama muestra la autenticación correcta y la activación del dispositivo. 1. Cuando se haya reiniciado después de una activación inicial satisfactoria, un equipo con cifrado del servidor se autentica automáticamente mediante la cuenta de usuario de servidor virtual y se ejecuta el cliente Encryption en modo Servidor. 2.
Encryption External Media e interacciones con PCS Asegurarse de que los medios no sean de Solo lectura y de que el puerto no esté bloqueado. La política de Acceso EMS a medios no protegidos por Shield interactúa con el Sistema de control de puertos (política Clase: almacenamiento > Almacenamiento de subclase: Control de unidad externa).
O bien 1. Haga clic en Avanzado para cambiar la vista a Simple para explorar una carpeta específica. 2. Vaya a Configuración de exploración e introduzca la ruta de acceso de la carpeta en el campo Ruta de búsqueda. Si se utiliza este campo, se ignora la selección en el menú. 3. Si no desea escribir la salida de WSScan en un archivo, desactive la casilla de verificación Salida a archivo. 4. Si lo desea, cambie la ruta de acceso y el nombre de archivo predeterminados en Ruta de acceso. 5.
Uso de la línea de comandos de WSScan WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o] [-a] [-f] [-r] [u[a][-|v]] [-d] [-q] [-e] [-x] [-y] Modificador Significado Unidad Unidad que explorar. Si no se especifica, el valor predeterminado es todas las unidades de disco duro fijas locales. Puede ser una unidad de red asignada.
Modificador Significado -s Operación silenciosa -o Ruta de acceso del archivo de salida -a Anexar a archivo de salida. El comportamiento predeterminado trunca el archivo de salida. -f Informar sobre el especificador de formato (Informar, Fijo, Delimitado) -r Ejecutar WSScan sin privilegios de administrador. En este modo, es posible que algunos archivos no se puedan visualizar. -u Incluir archivos no cifrados en el archivo de salida.
Salida Significado Como se muestra en el ejemplo anterior, "7vdlxrsb" Si se exploró una unidad de red asignada, el informe de exploración no proporciona una KCID. UCID La Id. del usuario. Como se muestra en el ejemplo anterior, "_SDENCR_" La UCID la comparten todos los usuarios de ese equipo. Archivo La ruta de acceso del archivo cifrado. Como se muestra en el ejemplo anterior, "c: \temp\Dell: test.log" Algoritmo El algoritmo de cifrado utilizado para cifrar el archivo.
wsprobe [path] wsprobe [-h] wsprobe [-f path] wsprobe [-u n] [-x process_names] [-i process_names] Parámetros Parámetro A path Opcionalmente, especifique una ruta de acceso concreta en el dispositivo para escanear un posible cifrado/descifrado. Si no especifica una ruta de acceso, esta utilidad explorará todas las carpetas relacionadas con sus políticas de cifrado. -h Ver la Ayuda de la línea de comandos.
● Completado: el barrido de descifrado se ha completado. El servicio, el ejecutable, el controlador y el ejecutable del controlador están programados para ser eliminados en el siguiente reinicio. Solución de problemas de Advanced Threat Prevention Buscar el código del producto con Windows PowerShell ● Mediante este método, es muy sencillo identificar el código del producto si dicho código cambia más adelante. Get-WmiObject Win32_Product | Where-Object {$_.
Solución de problemas
El siguiente diagrama muestra el proceso de comunicación de agentes de Advanced Threat Prevention. Proceso de verificación de la integridad de la imagen del BIOS El siguiente diagrama muestra el proceso de verificación de la imagen del BIOS. Para obtener una lista de los modelos de equipos de Dell compatibles con la verificación de la integridad de la imagen del BIOS, consulte Requisitos: Verificación de la integridad de la imagen del BIOS.
Solución de problemas de SED Uso del código de acceso inicial ● Esta política se utiliza para iniciar sesión en un equipo cuando el acceso a la red no está disponible. Es decir, no hay acceso disponible al Dell Server ni a AD. Utilice la política del Código de acceso inicial solo si es absolutamente necesario. Dell no recomienda utilizar este método para iniciar sesión.
● El Código de acceso inicial solo se puede utilizar una vez, inmediatamente después de la activación. Después de que el usuario final haya iniciado la sesión, el Código de acceso inicial ya no volverá a estar disponible. El primer inicio de sesión en el dominio que ocurre tras la introducción del Código de acceso inicial se guarda en la memoria caché, y el campo de entrada de Código de acceso inicial no se volverá a mostrar.
3. Extraiga la unidad USB después de reproducir el problema que requiere los registros. El archivo PBAErr.log se actualiza y se graba en tiempo real. Controladores Dell ControlVault Actualización del firmware y de los controladores Dell ControlVault ● El firmware y los controladores Dell ControlVault instalados en fábrica en los equipos Dell son obsoletos y necesitan ser actualizados siguiendo este procedimiento, en el orden indicado.
4. Seleccione el Sistema operativo del equipo de destino. 5. Seleccione la categoría Seguridad.
6. Descargue y guarde los controladores Dell ControlVault. 7. Descargue y guarde el firmware Dell ControlVault. 8. Si es necesario, copie el firmware y los controladores en los equipos de destino. Instalación del controlador Dell ControlVault 1. Vaya hasta la carpeta en la que haya descargado el archivo para la instalación del controlador.
2. Haga doble clic sobre el controlador Dell ControlVault para iniciar el archivo ejecutable autoextraíble. NOTA: Asegúrese de instalar primer el controlador. El nombre de archivo del controlador cuando se creó este documento era ControlVault_Setup_2MYJC_A37_ZPE.exe. 3. Haga clic en Continuar para empezar. 4. Haga clic en Aceptar para descomprimir los archivos del controlador en la ubicación predeterminada de C:\Dell\Drivers\. 5. Haga clic en Sí para permitir la creación de una nueva carpeta.
6. Haga clic en Aceptar cuando aparezca el mensaje correctamente descomprimido. 7. Tras la extracción, debería aparecer la carpeta que contiene los archivos. Si no aparece, vaya hasta la carpeta en la que haya extraído los archivos. En este caso, la carpeta es JW22F. 8. Haga doble clic sobre CVHCI64.MSI para iniciar el instalador del controlador. [este ejemplo es CVHCI64.MSI en este ejemplo (CVHCI para un equipo de 32 bits)]. 9. Haga clic en Siguiente en la pantalla de bienvenida.
10. Haga clic en Siguiente para instalar los controladores en la ubicación predeterminada de C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\. 11. Seleccione la opción Completar y haga clic en Siguiente.
12. Haga clic en Instalar para empezar la instalación de los controladores. 13. De forma opcional, puede marcar la casilla de verificación para ver el archivo de registro del instalador. Haga clic en Finalizar para salir del asistente.
Comprobación de la instalación del controlador ● Device Manager tendrá un dispositivo Dell ControlVault (y otros dispositivos) dependiendo de la configuración del hardware y del sistema operativo. Instalación del firmware Dell ControlVault 1. Vaya hasta la carpeta en la que haya descargado el archivo para la instalación del firmware. 2. Haga doble clic sobre el firmware Dell ControlVault para iniciar el archivo ejecutable autoextraíble. 3. Haga clic en Continuar para empezar.
4. Haga clic en Aceptar para descomprimir los archivos del controlador en la ubicación predeterminada de C:\Dell\Drivers\. 5. Haga clic en Sí para permitir la creación de una nueva carpeta. 6. Haga clic en Aceptar cuando aparezca el mensaje correctamente descomprimido. 7. Tras la extracción, debería aparecer la carpeta que contiene los archivos. Si no aparece, vaya hasta la carpeta en la que haya extraído los archivos. Seleccione la carpeta firmware.
8. Haga doble clic en ushupgrade.exe para iniciar el instalador de firmware. 9. Haga clic en Iniciar para empezar la actualización del firmware.
NOTA: Si está realizando la actualización desde una versión de firmware más antigua, es posible que deba ingresar su contraseña de administrador. Introduzca Broadcom como contraseña y haga clic en Intro si aparece este diálogo. Aparecerán varios mensajes de estado.
Solución de problemas 131
10. Haga clic en Reiniciar para finalizar la actualización del firmware. Ha finalizado la actualización del firmware y de los controladores Dell ControlVault.
Equipos UEFI Solución de problemas de conexiones de red ● Para que la autenticación previa al arranque sea correcta en una computadora con firmware UEFI, el modo PBA debe tener conectividad de red. De manera predeterminada, los equipos con firmware UEFI no tienen conectividad de red hasta que se haya cargado el sistema operativo, lo que se produce después del modo PBA.
Constante/Valor Descripción 0x80280009 TPM_E_BAD_ORDINAL El ordinal no se reconoce o no es consistente. 0x8028000A TPM_E_INSTALL_DISABLED La capacidad para instalar un propietario está deshabilitada. 0x8028000B TPM_E_INVALID_KEYHANDLE No puede interpretarse el identificador de claves. 0x8028000C TPM_E_KEYNOTFOUND El identificador de claves apunta a una clave no válida. 0x8028000D TPM_E_INAPPROPRIATE_ENC Combinación de cifrado no aceptable.
Constante/Valor Descripción 0x8028001A TPM_E_SHA_ERROR 0x8028001B TPM_E_FAILEDSELFTEST El cálculo no puede continuar por un error en el subproceso SHA-1 existente. 0x8028001C El dispositivo de hardware de TPM informó de un error durante la prueba automática interna. Intente reiniciar el equipo para solucionar el problema. Si éste continúa, es posible que deba reemplazar el hardware de TPM o la placa base. TPM_E_AUTH2FAIL Error al autorizar la segunda clave en una función de 2 claves.
Constante/Valor Descripción TPM_E_BAD_DATASIZE El tamaño del parámetro de datos (o blob) no es correcto o no es consistente con la clave especificada. 0x8028002B TPM_E_BAD_MODE 0x8028002C TPM_E_BAD_PRESENCE 0x8028002D TPM_E_BAD_VERSION Un parámetro de modo no es correcto, como capArea o subCapArea para TPM_GetCapability, phsicalPresence para TPM_PhysicalPresence o migrationType para TPM_CreateMigrationBlob. El bit physicalPresence o el bit physicalPresenceLock tiene el valor incorrecto.
Constante/Valor Descripción TPM_E_AREA_LOCKED El área no volátil está bloqueada y no se puede escribir en ella. 0x8028003C TPM_E_BAD_LOCALITY La localidad no es la correcta para la operación que se intentó. 0x8028003D TPM_E_READ_ONLY El área no volátil solo es de lectura y no se puede escribir en ella. 0x8028003E TPM_E_PER_NOWRITE No hay ninguna protección en el área no volátil de escritura. 0x8028003F TPM_E_FAMILYCOUNT El valor de conteo de familia no coincide.
Constante/Valor Descripción TPM_E_DELEGATE_ADMIN La administración de la tabla de delegación no está habilitada.
Constante/Valor Descripción TPM_E_MA_SOURCE El origen de migración no es correcto. 0x8028005E TPM_E_MA_AUTHORITY La autoridad de migración no es correcta. 0x8028005F TPM_E_PERMANENTEK Se intentó revocar el EK, pero el EK no es revocable. 0x80280061 TPM_E_BAD_SIGNATURE El vale CMK no tiene una firma correcta. 0x80280062 TPM_E_NOCONTEXTSPACE 0x80280063 TPM_E_COMMAND_BLOCKED No hay espacio en la lista de contextos para ningún contexto adicional. Se bloqueó el comando.
Constante/Valor Descripción TBS_E_INVALID_CONTEXT El identificador de contexto especificado no hace referencia a ningún contexto válido. 0x80284004 TBS_E_INSUFFICIENT_BUFFER Un búfer de salida especificado es demasiado pequeño. 0x80284005 TBS_E_IOERROR Error al comunicarse con el TPM. 0x80284006 TBS_E_INVALID_CONTEXT_PARAM Uno o más parámetros de contexto son inválidos. 0x80284007 TBS_E_SERVICE_NOT_RUNNING El servicio TBS no está en ejecución y no se puede iniciar.
Constante/Valor Descripción que sean necesarias, se incluyen importar el valor de autorización de propietario de TPM al sistema, llamar al método WMI Win32_Tpm para aprovisionar el TPM, especificar TRUE en 'ForceClear_Allowed' o en 'PhysicalPresencePrompts_Allowed' [tal y como indica el valor devuelto en la información adicional] o habilitar el TPM en el sistema BIOS).
Constante/Valor Descripción TPMAPI_E_TPM_COMMAND_ERROR El TPM devolvió un resultado inesperado. 0x8029010C TPMAPI_E_MESSAGE_TOO_LARGE 0x8029010D TPMAPI_E_INVALID_ENCODING El mensaje es demasiado largo para la combinación de codificación. No se reconoce la codificación en el blob. 0x8029010E TPMAPI_E_INVALID_KEY_SIZE El tamaño de clave no es válido. 0x8029010F TPMAPI_E_ENCRYPTION_FAILED Error en la operación de cifrado.
Constante/Valor Descripción TPMAPI_E_TCG_INVALID_DIGEST_ENTRY Un valor implícito en una entrada del registro de TCG no coincidía con los datos con hash. 0x8029011D TPMAPI_E_POLICY_DENIES_OPERATION 0x8029011E TBSIMP_E_BUFFER_TOO_SMALL La directiva de TPM actual bloqueó la operación solicitada. Póngase en contacto con el administrador del sistema para solicitar ayuda. El búfer especificado es demasiado pequeño. 0x80290200 TBSIMP_E_CLEANUP_FAILED No se puede limpiar el contexto.
Constante/Valor Descripción TBSIMP_E_NOT_ENOUGH_SPACE El TPM no tiene suficiente espacio para cargar el recurso solicitado. 0x8029020F TBSIMP_E_NOT_ENOUGH_TPM_CONTEXTS Demasiados contextos de TPM en uso. 0x80290210 TBSIMP_E_COMMAND_FAILED Error en el comando TPM. 0x80290211 TBSIMP_E_UNKNOWN_ORDINAL El TBS no reconoce el ordinal especificado. 0x80290212 TBSIMP_E_RESOURCE_EXPIRED El recurso solicitado ya no está disponible. 0x80290213 TBSIMP_E_INVALID_RESOURCE El tipo de recurso no coincide.
Constante/Valor Descripción TPM_E_PPI_BLOCKED_IN_BIOS La configuración de BIOS actual bloqueó el comando de presencia física. El propietario del sistema puede reconfigurar el sistema BIOS para permitir el comando.
Constante/Valor Descripción PLA_E_NO_MIN_DISK No hay suficiente espacio en disco para iniciar el Conjunto de recopiladores de datos. 0x80300070 PLA_E_DCS_ALREADY_EXISTS El Conjunto de recopiladores de datos ya existe. 0x803000B7 PLA_S_PROPERTY_IGNORED Se omitirá el valor de la propiedad. 0x00300100 PLA_E_PROPERTY_CONFLICT Conflicto con el valor de la propiedad.
Constante/Valor Descripción PLA_E_INVALID_SESSION_NAME El nombre de sesión proporcionado no es válido. 0x8030010F PLA_E_PLA_CHANNEL_NOT_ENABLED 0x80300110 PLA_E_TASKSCHED_CHANNEL_NOT_ENABLED 0x80300111 PLA_E_RULES_MANAGER_FAILED El canal del registro de eventos Microsoft-Windows-DiagnosisPLA/Operational debe estar habilitado para realizar esta operación. El canal del registro de eventos Microsoft-WindowsTaskScheduler debe estar habilitado para realizar esta operación.
Constante/Valor Descripción FVE_E_AD_SCHEMA_NOT_INSTALLED El bosque de los servicios de dominio de Active Directory no contiene los atributos y clases requeridos para hospedar la información del Cifrado de unidad BitLocker ni del TPM. Póngase en contacto con el administrador del dominio para comprobar que se instalaron todas las extensiones de esquema de Active Directory para BitLocker necesarias.
Constante/Valor Descripción FVE_E_VOLUME_NOT_BOUND La unidad de datos especificada no está establecida para desbloquearse automáticamente en el equipo actual y no se puede desbloquear automáticamente.
Constante/Valor Descripción FVE_E_FAILED_SECTOR_SIZE El algoritmo de cifrado de unidad no se puede usar en este tamaño de sector. 0x80310026 FVE_E_FAILED_AUTHENTICATION 0x80310027 FVE_E_NOT_OS_VOLUME La unidad no se puede desbloquear con la clave proporcionada. Confirme que proporcionó la clave correcta e inténtelo de nuevo. La unidad especificada no es la unidad del sistema operativo.
Constante/Valor Descripción de copia de seguridad de la clave de recuperación para recuperar el acceso a la unidad.
Constante/Valor Descripción FVE_E_NOT_ALLOWED_IN_SAFE_MODE La configuración de BitLocker de la unidad especificada no se puede administrar porque este equipo funciona en modo seguro. Mientras el equipo funcione en modo seguro, Cifrado de unidad BitLocker sólo se podrá usar con fines de recuperación.
Constante/Valor Descripción FVE_E_DRY_RUN_FAILED No se puede obtener la clave de cifrado de BitLocker. Compruebe que el Módulo de plataforma segura (TPM) esté habilitado y que se haya tomado posesión. Si el equipo no tiene ningún TPM, compruebe que la unidad USB esté insertada y disponible.
Constante/Valor Descripción FVE_E_POLICY_RECOVERY_PASSWORD_NOT_ALLOWED La configuración de la directiva de grupo no permite la creación de una contraseña de recuperación.
Constante/Valor Descripción FVE_E_OS_VOLUME_PASSPHRASE_NOT_ALLOWED No se puede agregar una contraseña a la unidad del sistema operativo.
Constante/Valor Descripción FVE_E_POLICY_PASSPHRASE_TOO_SIMPLE La contraseña no cumple los requisitos de complejidad establecidos por el administrador del sistema. Intente agregar caracteres en mayúsculas y minúsculas, números y símbolos.
Constante/Valor Descripción 0x80310089 FVE_E_POLICY_CONFLICT_OSV_RP_OFF_ADB_ON 0x80310090 FVE_E_POLICY_CONFLICT_FDV_RP_OFF_ADB_ON 0x80310091 FVE_E_POLICY_CONFLICT_RDV_RP_OFF_ADB_ON 0x80310092 FVE_E_NON_BITLOCKER_KU 0x80310093 FVE_E_PRIVATEKEY_AUTH_FAILED 0x80310094 FVE_E_REMOVAL_OF_DRA_FAILED 0x80310095 FVE_E_OPERATION_NOT_SUPPORTED_ON_VISTA_VOLUM E 0x80310096 FVE_E_CANT_LOCK_AUTOUNLOCK_ENABLED_VOLUME 0x80310097 FVE_E_FIPS_HASH_KDF_NOT_ALLOWED 0x80310098 No se puede aplicar Cifrado de unidad BitLock
Constante/Valor Descripción Debe usar una tarjeta inteligente compatible con FIPS en entornos restringidos para FIPS. FVE_E_ENH_PIN_INVALID 0x80310099 FVE_E_INVALID_PIN_CHARS No se puede obtener la clave de cifrado de BitLocker a partir del TPM y el PIN mejorado. Intente usar un PIN qué solo contenga números. El PIN de TPM solicitado contiene caracteres no válidos. 0x8031009A FVE_E_INVALID_DATUM_TYPE 0x8031009B La información de administración almacenada en la unidad contenía un tipo desconocido.
Constante/Valor Descripción FVE_E_KEY_LENGTH_NOT_SUPPORTED_BY_EDRIVE La unidad no admite la longitud de la de clave de autenticación requerida. 0x803100A7 FVE_E_NO_EXISTING_PASSPHRASE Esta unidad no está protegida con una contraseña. 0x803100A8 FVE_E_PROTECTOR_CHANGE_PASSPHRASE_MISMATCH Escriba la contraseña actual correcta. 0x803100A9 FVE_E_PASSPHRASE_TOO_LONG La contraseña no puede superar los 256 caracteres.
Constante/Valor Descripción 0x803100B7 disponible en este dispositivo. Es posible que el usuario no pueda especificar la información necesaria para desbloquear el volumen. FVE_E_POLICY_REQUIRES_RECOVERY_PASSWORD_ON_T OUCH_DEVICE La configuración de la política de grupo requiere la creación de una contraseña de recuperación, pero no hay ni teclado previo al arranque ni ambiente de recuperación de Windows disponibles en este dispositivo.
Constante/Valor Descripción FVE_E_DE_HARDWARE_NOT_COMPLIANT Este equipo no cumple con los requisitos de hardware necesarios para admitir el cifrado del dispositivo. 0x803100C6 FVE_E_DE_WINRE_NOT_CONFIGURED 0x803100C7 FVE_E_DE_PROTECTION_SUSPENDED 0x803100C8 FVE_E_DE_OS_VOLUME_NOT_PROTECTED 0x803100C9 FVE_E_DE_DEVICE_LOCKEDOUT 0x803100CA FVE_E_DE_PROTECTION_NOT_YET_ENABLED Este equipo no puede admitir el cifrado del dispositivo porque WinRE no está configurado correctamente.
20 Glosario Activar: la activación se produce cuando la computadora se registró en el Dell Server y recibió al menos un conjunto de políticas inicial. Active Directory (AD): es un servicio de directorios creado por Microsoft para las redes de dominio de Windows.
carpetas de cifrado, los algoritmos de cifrado, el uso de claves de cifrado (común frente a usuario), desencadena un barrido. Además, cambiar entre cifrado habilitado y deshabilitado desencadenará un barrido de cifrado. Autenticación previa al arranque (PBA): la autenticación previa al arranque sirve como extensión del BIOS o del firmware de arranque y garantiza un entorno a prueba de alteración seguro, externo al sistema operativo como una capa de autenticación confiable.
