Dell Endpoint Security Suite Enterprise Guide d'installation avancée v3.0 Mai 2021 Rév.
Remarques, précautions et avertissements REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit. PRÉCAUTION : ATTENTION vous avertit d’un risque de dommage matériel ou de perte de données et vous indique comment éviter le problème. AVERTISSEMENT : un AVERTISSEMENT signale un risque d’endommagement du matériel, de blessure corporelle, voire de décès. © 2012-2021 Dell Inc. All rights reserved.
Table des matières Chapitre 1: Introduction...................................................................................................................6 Avant de commencer............................................................................................................................................................6 Utilisation de ce Guide.........................................................................................................................................................
Désinstallation de Web Protection et Firewall................................................................................................................. 66 Désinstallation d'Advanced Threat Prevention................................................................................................................66 Installez le chiffrement complet du disque.......................................................................................................................
Chapitre 19: Dépannage................................................................................................................107 Tous les clients - Dépannage............................................................................................................................................107 Tous les clients - État de la protection............................................................................................................................
1 Introduction Ce guide présente l’installation et la configuration d’Advanced Threat Prevention, de d’Encryption, de la gestion SED, du chiffrement complet de disque, de la protection Web, du pare-feu client et de BitLocker Manager. Toutes les informations relatives aux règles ainsi que leur description se trouvent dans AdminHelp. Avant de commencer 1. Installez le Dell Server avant de déployer les clients.
Utilisation de ce Guide Utilisez le présent guide dans l'ordre suivant : ● Voir Configuration requise pour connaître les prérequis du client, des informations sur le matériel et le logiciel de l'ordinateur, les limites et les modifications spéciales du registre nécessaires aux fonctions. ● Si nécessaire, voir la section Configuration avant installation pour SED UEFI et BitLocker.
2 Configuration requise Tous les clients Ces exigences s'appliquent à tous les clients. Les exigences répertoriées dans d'autres sections s'appliquent à des clients particuliers. ● Les meilleures pratiques IT doivent être suivies pendant le déploiement. Ceci inclut, sans s'y limiter, les environnements de test contrôlés pour les premiers tests et les déploiements échelonnés pour les utilisateurs.
Langues prises en charge FR : français JA : japonais PT-PT : portugais du Portugal (ibère) Chiffrement ● L'ordinateur client doit posséder une connectivité réseau pour être activé. ● Pour réduire la durée du chiffrement initial, lancez l'Assistant Nettoyage de disque Windows qui supprimera les fichiers temporaires et toute autre donnée inutile. ● La prise en charge de Windows Hello for Business nécessite Endpoint Security Suite Enterprise v3.0 ou une version ultérieure exécutée sur Windows 10.
saisies, les informations d'authentification sont envoyées de manière sécurisée au Dell Server qui les valide par rapport aux domaines Active Directory configurés. Pour plus d’informations, reportez-vous à l’article de la base de connaissances 124736. ● Suite à la mise à niveau des fonctionnalités de Windows 10, un redémarrage est nécessaire pour finaliser Dell Encryption.
Systèmes d’exploitation Windows pris en charge pour accéder à un support chiffré (32 bits et 64 bits) ○ ○ ○ ○ Windows Embedded Standard 7 avec modèle de compatibilité des applications Windows 8.1 : Enterprise, Pro Windows Embedded 8.1 Industry Enterprise Windows 10 : Éducation, Entreprise, Pro v1803-v21H1 (mise à jour avril 2018/Redstone 4 - Mise à jour mai 2021/21H1) Remarque : Windows 10 V2004 (mise à jour de mai 2020/20H1) ne prend pas en charge l’architecture 32 bits.
● Les mises à jour des fonctions Direct à partir de Windows 10 v1607 (mise à jour anniversaire/Redstone 1) vers Windows 10 v1903 (mise à jour mai 2019/19H1) ne sont pas prises en charge avec FDE. Dell vous recommande de mettre à jour le système d’exploitation avec une mise à jour des fonctionnalités plus récente en cas de mise à jour vers Windows 10 v1903. Si vous tentez d’effectuer la mise à jour directement de Windows 10 v1607 à v1903, un message d’erreur s’affiche et la mise à jour est impossible.
Non UEFI PBA Mot de passe Windows 7 SP0-SP1 Empr. digit. X1 Carte à puce à contact Carte SIPR X1 2 1. Disponible lorsque les pilotes d'authentification sont téléchargés depuis support.dell.com. UEFI PBA - sur les ordinateurs Dell pris en charge Mot de passe Windows 10 Empr. digit. X1 Carte à puce à contact Carte SIPR X1 1. Disponible pour les ordinateurs UEFI pris en charge.
Le serveur doit prendre en charge les contrôles de port. Les règles du système de contrôle de port affectent le support amovible des serveurs protégés, en contrôlant par exemple l’accès et l’utilisation des ports USB du serveur par des périphériques USB. La règle du port USB s'applique aux ports USB externes. La fonction du port USB interne n'est pas affectée par la règle du port USB.
○ RAID fractionnés (plusieurs volumes sur un RAID unique) ○ Lecteurs SED (RAID et NON RAID) ○ Connexion automatique (Windows 7, 8/8.1) des bornes ○ Microsoft Storage Server 2012 ● Encryption sur un système d’exploitation de serveur ne prend pas en charge les configurations à double amorçage, car il est possible de chiffrer les fichiers système de l’autre système d’exploitation, ce qui perturberait son fonctionnement. ● La réinstallation du système d'exploitation sur place n'est pas prise en charge.
Encryption External Media Systèmes d'exploitation ● Le support externe doit disposer d'environ 55 Mo, ainsi que d'un espace libre sur le support égal au plus gros fichier à crypter, pour héberger Encryption External Media.
Systèmes d'exploitation Windows (32 bits et 64 bits) ■ Depuis janvier 2020, les certificats de signature SHA1 ne sont plus valides et ne peuvent pas être renouvelés. Vous devez installer les mises à jour https://support.microsoft.com/help/4474419 et https://support.microsoft.com/help/4490628 de la Base de connaissances Microsoft sur les appareils exécutant Windows 7 ou Windows Server 2008 R2 pour valider les certificats de signature SHA256 dans les applications et les modules d’installation.
Modèles d'ordinateur Dell pris en charge avec la vérification de l'intégrité de l'image BIOS ● ● ● ● ● ● ● ● Latitude E5570 Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extrême Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 ● ● ● ● ● ● ● ● Precision Workstation 7510 Precision Workstation 7710 Precision Workstation T3420 Venue 10 Pro 5056 Venue Pro 5855 Venue XPS 12 9250 XPS 13 9350 XPS 9550 Compatibilité Le tableau suivant indique la compatibilité avec Windows, Mac et Linux.
Fonctionnalités Stratégies Windows macOS Linux Lecture LSASS x Sans objet Sans objet Attribution nulle x x Contrôle de l'exécution x x Interdire l'arrêt du service depuis le périphérique x x Arrêter les processus et sous-processus dangereux en cours d'exécution x x x Détection de menace d'arrière plan x x x recherche de nouveaux fichiers x x x Taille de fichier d'archive maximale à analyser x x x Exclure des dossiers spécifiques x x x Copier les fichiers exemples x Es
Fonctionnalités Stratégies Windows macOS Linux Copier les échantillons de logiciel malveillant x x x Paramètres de proxy x x x Vérification manuelle des stratégies (interface utilisateur de l'agent) x x Pare-feu client et protection Web ● L’installation du pare-feu client et des clients de protection Web exige la connexion réseau de l’ordinateur.
Utilisation Protocole d'applicati on Protocol e de transpor t: Numéro de port Destination Direction Mise à jour de la base de données de la réputation des URL HTTP TCP 80 list.smartfilter.com Sortant Recherche de réputation des URL SSL TCP 443 tunnel.web.trustedsource.or g Sortant Systèmes d'exploitation ● Le tableau suivant décrit les systèmes d'exploitation pris en charge.
ou ○ Désactivez la PBA, changez de méthode d'authentification, puis ré-activez la PBA. REMARQUE : En raison de la nature du RAID et des SED, SED Manager ne prend pas en charge le RAID. RAID=On avec disques SED présente un problème : le RAID exige un accès au disque pour la lecture et l'écriture des données associées au RAID dans un secteur élevé non disponible sur un SED verrouillé dès le début, et, pour lire ces données, ne peut pas attendre que l'utilisateur se connecte.
● REMARQUE : Les mises à niveau du système d’exploitation sur place vers une version plus récente (telle que Windows 7 ou Windows 8.1) pour Windows 10 ne sont pas prises en charge. Matériel Lecteurs SED compatibles Opal ● Pour consulter la toute dernière liste de SED compatibles Opal pris en charge avec SED Manager, reportez-vous à l’article de la base de connaissances 126855.
Clavier international pris en charge - UEFI DE-FR - Suisse (français) EN-GB - Anglais (anglais britannique) DE-CH - Suisse (allemand) EN-CA - Anglais (anglais canadien) EN-US - Anglais (anglais américain) Clavier International prise en charge : Non-UEFI AR - Arabe (avec lettres latines) EN-US - Anglais (anglais américain) DE-FR - Suisse (français) EN-GB - Anglais (anglais britannique) DE-CH - Suisse (allemand) EN-CA - Anglais (anglais canadien) Systèmes d'exploitation ● Le tableau suivant décrit l
● Assurez-vous que la partition d'authentification avant démarrage est déjà configurée. Si vous installez BitLocker Manager avant de configurer la partition PBA, vous ne pourrez pas activer BitLocker et BitLocker Manager ne sera pas opérationnel. Voir Configuration préalable à l'installation d'une partition d'authentification avant démarrage BitLocker. ● Un Dell Server est nécessaire pour utiliser BitLocker Manager. ● Assurez-vous qu'un certificat de signature est disponible dans la base de données.
Systèmes d'exploitation Windows ○ Windows 7 SP0-SP1 : Enterprise, Ultimate (32 et 64 bits) REMARQUE : BitLocker Manager ne prend pas en charge les modules TPM 2.0 sur les périphériques Windows 7. Les périphériques sur lesquels BitLocker Manager est installé sur Windows 7 peuvent ne pas avoir l’article de la base de connaissances KB3133977 ou KB3125574 installé. Pour résoudre les problèmes liés à BitLocker Manager sur Windows 7, assurez-vous que ces articles de la base de connaissances ne sont pas installés.
3 Paramètres de registre ● Cette section décrit en détail tous les paramètres du registre approuvé Dell ProSupport des ordinateurs clients locaux, quel que soit le motif des paramètres de registre. Si un paramètre de registre chevauche deux produits, il est répertorié dans chaque catégorie. ● Ces modifications de registre doivent être effectuées par les administrateurs uniquement et peuvent ne pas être appropriées ou fonctionner dans tous les cas de figure.
Cependant, si votre organisation utilise une application tierce qui nécessite de conserver la structure de fichiers dans le répertoire \temp, empêchez cette suppression. Pour désactiver la suppression des fichiers temporaires, créez ou modifiez le paramètre de registre de la façon suivante : [HKLM\SOFTWARE\CREDANT\CMGShield] "DeleteTempFiles"=REG_DWORD:0 Ne pas supprimer les fichiers temporaires augmente le temps de chiffrement initial.
Dans le cas des utilisateurs exigeant une activation par l'intermédiaire d'un VPN, une configuration d'activation du client par laps de temps peut être requise, afin de retarder l'activation initiale assez longtemps pour réserver du temps nécessaire au client VPN pour établir une connexion réseau. Pour que les mises à jour de ces entrées de registre entrent en vigueur, l'ordinateur doit être redémarré.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CMGShield] "AutoReactivation"=DWORD:00000001 0 = Désactivé (valeur par défaut) 1 = Activé ● Le chiffrement de données système (SDE) est appliqué en fonction de la valeur de la règle « Règles du chiffrement SDE ». Les répertoires supplémentaires sont protégés par défaut lorsque la règle « Activer le chiffrement SDE » est sélectionnée. Pour plus d'informations, rechercher « Règles du chiffrement SDE » dans AdminHelp.
Cette valeur correspond au nombre de secondes pendant lesquelles le chiffrement complet du disque tente de contacter le Dell Server si celui-ci est indisponible pour communiquer avec le chiffrement complet du disque. La valeur par défaut est de 300 secondes (5 minutes).
○ SCardSvr : gère l'accès aux cartes à puce lues par l'ordinateur. Si ce service est arrêté, cet ordinateur ne peut pas lire les cartes à puce. Si ce service est désactivé, tout service qui en dépend explicitement ne peut pas démarrer. ○ SCPolicySvc : permet de configurer le système de sorte à verrouiller le bureau de l'utilisateur sur retrait d'une carte à puce.
Debug 15 La valeur de registre est vérifiée lorsque le service Advanced Threat Prevention démarre ou à chaque fois que la valeur change. Si la valeur de registre n'existe pas, il n'y a pas de modification du niveau de journalisation. Utilisez ce paramètre de registre uniquement pour les tests/le débogage, car ce paramètre de registre contrôle la verbosité du log pour les autres composants, y compris Encryption et Encryption Management Agent.
1 = Désactivé ● Pour déterminer si l'authentification avant démarrage est activée, assurez-vous que la valeur suivante est définie : [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "PBAIsActivated"=DWORD (32-bit):1 La valeur 1 signifie que l'authentification avant démarrage est activée. La valeur 0 signifie que l'authentification avant démarrage n'est pas activée. ● Pour déterminer si une carte à puce est présente et active, vérifiez que la valeur suivante est définie : HKLM\SOFTWARE\Dell\
● (Avec l’authentification avant démarrage uniquement) Si vous ne souhaitez pas que PBA Advanced Authentication modifie les services associés aux cartes à puce et dispositifs biométriques selon un type de démarrage « automatique », désactivez la fonctionnalité de démarrage du service. La désactivation de cette fonction supprime également les avertissements associés aux services requis non exécutés.
4 Installation à l'aide du programme d'installation principal ● Les commutateurs et les paramètres de ligne de commande sont sensibles à la casse. ● Pour procéder à une installation de ports autres que ceux par défaut, utilisez les programmes d'installation enfants au lieu du programme d'installation principal. ● Les fichiers journaux du programme d’installation principal d’Endpoint Security Suite Enterprise se trouvent sur C:\ProgramData\Dell\Dell Data Protection\Installer.
6. Cliquez sur Suivant pour installer le produit à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection\. Dell recommends installing in the default location only. Dell recommande de procéder à l’installation uniquement à l’emplacement par défaut pour éviter les problèmes qu’une installation dans un autre emplacement pourrait provoquer. 7. Sélectionnez les composants à installer. Security Framework installe le cadre de sécurité sous-jacent.
8. Cliquez sur Installer pour démarrer l'installation. L'installation peut prendre plusieurs minutes. 9. Sélectionnez Oui, je souhaite redémarrer mon ordinateur maintenant, puis cliquez sur Terminer.
L'installation est terminée. Installation par la ligne de commande à l'aide du programme d'installation principal ● Les commutateurs doivent d'abord être spécifiés dans une installation par ligne de commande. D'autres paramètres figurent dans un argument transmis au commutateur /v. Commutateurs ● Le tableau suivant décrit les commutateurs qui peuvent être utilisés avec le programme d'installation principal d'Endpoint Security Suite Enterprise.
Paramètre Description InstallPath Spécifie le chemin de l'installation. Peut être utilisé en mode SILENCIEUX. FONCTIONS Spécifie les composants qui peuvent être installés en mode SILENCIEUX : ATP = Advanced Threat Prevention uniquement DE-ATP = Advanced Threat Prevention et Encryption.
"DDSSuite.exe" /s /z"\"SERVER=server.organization.com, FEATURES=DE-ATP-WEBFIREWALL\"" ● (Sur le système d'exploitation d'un serveur) Cet exemple correspond à l'installation d'Advanced Threat Prevention uniquement avec le programme d'installation principal d'Endpoint Security Suite Enterprise, sur des ports standard, de manière silencieuse, à l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection\ et avec la configuration pour utiliser le Dell Server spécifié. "DDSSuite.exe" /s /z"\"SERVER=serve
5 Désinstaller le programme d'installation principal ● Dell recommande d'utiliser le programme de désinstallation de Data Security pour supprimer la suite Data Security. ● Chaque composant doit être désinstallé séparément, avant la désinstallation à l’aide du programme d’installation principal d’Endpoint Security Suite Enterprise. Les clients doit être désinstallée dans un ordre spécifique pour éviter les échecs de désinstallation.
6 Installation à l'aide des programmes d'installation enfants ● Pour installer ou mettre à niveau chaque client individuellement, vous devez d'abord extraire les fichiers exécutables enfants du programme d'installation principal d'Endpoint Security Suite Enterprise, tel qu'indiqué dans la section Extraire les programmes d'installation enfants du programme d'installation principal. ● Les exemples de commande inclus dans cette section supposent que les commandes sont exécutées à partir de C:\extracted.
Option Signification /qb!- Boîte de dialogue de progression sans le bouton Annuler, redémarre automatiquement une fois le processus terminé /qn Pas d'interface utilisateur /norestart Suppression du redémarrage ● Dirigez les utilisateurs vers les documents suivants et les fichiers d'aide en cas de besoin au moment de l'application : ○ Pour apprendre à utiliser les fonctions d’Encryption, reportez-vous à Dell Encrypt Help (Aide concernant Dell Encrypt). Accédez à l'aide depuis \Program Fi
Paramètres MANAGEDDOMAIN= (domaine à utiliser pour le périphérique) DEVICESERVERURL= (utilisée pour l'activation, cette URL comprend généralement le nom du serveur, le port et xapi) GKPORT= (port du contrôleur d'accès) MACHINEID= (nom de l'ordinateur) RECOVERYID= (identifiant de récupération) REBOOT=ReallySuppress (Null permet les redémarrages automatiques, ReallySuppress désactive le redémarrage) HIDEOVERLAYICONS=1 (0 active
server.organization.com:8443/xapi/ HIDESYSTRAYICON=1 HIDEOVERLAYICONS=1 REBOOT=ReallySuppress /qn" Commande MSI : msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.
msiexec.exe /i "Dell Data Protection Encryption.msi" OPTIN="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" DEVICESERVERURL="https://server.organization.
DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ ENABLE_FDE_LM=1 /norestart /qn" ● Exemple ligne de commande pour installer le client Encryption géré à distance sur une installation existante avec chiffrement complet du disque.
● L’exemple suivant correspond à l’installation du chiffrement complet du disque géré à distance (installation silencieuse, pas de redémarrage et installation dans l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection\Encryption). EMAgent_64bit_setup.exe /s /v"CM_EDITION=1 FEATURE=FDE SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.
Security Management Server - /Security Server/conf/application.properties Security Management Server Virtual - /opt/dell/server/security-server/conf/application.properties ● Le serveur doit prendre en charge les contrôles de port. Les règles du système de contrôle de port affectent le support amovible des serveurs protégés, en contrôlant par exemple l’accès et l’utilisation des ports USB du serveur par des périphériques USB. La règle du port USB s'applique aux ports USB externes.
5. Sélectionnez Serveur Dell Management local, puis cliquez sur Suivant. 6. Cliquez sur Suivant pour effectuer l’installation à l’emplacement par défaut. 7. Cliquez sur Suivant pour ignorer la boîte de dialogue Type de gestion. 8. Dans le champ Nom Security Management Server, entrez/validez le nom d’hôte complet de Dell Server pour gérer l’utilisateur cible (par exemple, server.organization.com). Entrez le nom de domaine dans Domaine géré (par exemple, « entreprise »). Cliquez sur Suivant. 9.
10. Dans l’URL du serveur du périphérique, entrez/validez les informations et cliquez sur Suivant. 11. Cliquez sur Installer pour démarrer l'installation.
L'installation peut prendre quelques minutes. 12. Une fois la configuration terminée, cliquez sur Terminer. L'installation est terminée. 13. Redémarrez l'ordinateur. Dell recommande de mettre en attente le redémarrage uniquement s’il vous faut du temps pour enregistrer votre travail et fermer les applications. Le cryptage ne pourra commencer que lorsque l'ordinateur aura redémarré.
Installation à l’aide de la ligne de commande Recherche du programme d’installation dans C:\extracted\Encryption ● Utilisez DDPE_xxbit_setup.exe pour une installation ou mise à niveau par installation scriptée, à l'aide de fichiers batch ou toute autre technologie Push disponible dans votre entreprise. Commutateurs Le tableau suivant indique les commutateurs disponibles dans le cadre de l'installation. Commutateur Signification /v Transmission des variables au fichier .msi dans DDPE_XXbit_setup.
Option Signification /qb Boîte de dialogue de progression dotée du bouton Annuler : vous invite à effectuer un redémarrage /qb- Boîte de dialogue de progression avec bouton Annuler: redémarre automatiquement à la fin du processus /qb! Boîte de dialogue de progression sans bouton Annuler : vous invite à effectuer un redémarrage /qb!- Boîte de dialogue de progression sans le bouton Annuler, redémarre automatiquement une fois le processus terminé /qn Pas d'interface utilisateur REMARQUE : N'utilisez
Activer ● Vérifiez que le nom d'ordinateur du serveur est bien le nom de point de terminaison à afficher dans la console de gestion. ● Pour l'activation initiale, un utilisateur interactif doté d'informations d'identification d'administrateur de domaine doit se connecter au serveur au moins une fois. L'utilisateur connecté peut être de n'importe quel type : membre du domaine ou non, connecté en mode Bureau à distance ou utilisateur interactif sur le serveur.
Après l'activation, le cryptage commence. 4. Une fois le balayage de cryptage terminé, redémarrez l'ordinateur pour traiter tous les fichiers précédemment en cours d'utilisation. Ceci constitue une étape importante à effectuer pour des raisons de sécurité. REMARQUE : Si la règle Sécuriser les informations d’identification Windows est activée, Encryption sur systèmes d’exploitation de serveur chiffre les fichiers du dossier \Windows\system32\config, y compris les informations d’identification Windows.
Utilisateur de serveur virtuel ● Dans la console de gestion, un serveur protégé peut être identifié grâce au nom de son ordinateur. De plus, chaque serveur protégé possède son propre d'utilisateur de serveur virtuel. Chaque compte est doté d'un nom d'utilisateur statique unique et d'un nom d'ordinateur unique. ● Le compte d’utilisateur de serveur virtuel est utilisé uniquement par Encryption sur systèmes d’exploitation de serveur. Sinon, il est transparent pour le fonctionnement du serveur protégé.
3. Plug-in Advanced Threat Prevention, tel qu'illustré dans la section Installation depuis la ligne de commande. ● Vous pouvez récupérer le programme d'installation du client Advanced Threat Prevention de la manière suivante : ○ À partir de votre compte FTP Dell - Repérez le lot d'installation Endpoint-Security-Suite-Ent-2.x.x.xxx.zip, puis extrayez les programmes d'installation enfants depuis le programme d'installation principal. Après l’extraction, localisez le fichier dans C:\extracted\Advanced Threat P
Exemple de script L’exemple suivant correspond à l’installation d’Advanced Threat Prevention sans la gestion SED ni BitLocker Manager (installation silencieuse, pas de redémarrage, aucune entrée dans la liste Programmes du Panneau de configuration, installation à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection). :: Installation d'Encryption Management Agent ".\Encryption Management Agent\EMAgent_64bit_setup.
Paramètres Description wc=Web Protection override"hips" Ne pas installer Host Intrusion Prevention INSTALLDIR Emplacement d'installation autre que par défaut /nocontentupdate Avertit le programme d'installation de ne pas mettre à jour le contenu des fichiers automatiquement au cours du processus d'installation. Dell recommande la planification d'une mise à jour dès que l'installation est terminée. /nopreservesettings N'enregistre pas les paramètres.
Installation de SED Manager et PBA Advanced Authentication ● Passez en revue les exigences SED si votre organisation utilise un certificat signé par une autorité racine telle qu’EnTrust or Verisign. Une modification de paramètre de registre est nécessaire sur l'ordinateur client pour activer la validation d'approbation SSL/TLS. ● Les utilisateurs se connectent par l'intermédiaire de l'authentification avant démarrage au moyen de leur mot de passe Windows.
○ À partir de votre compte FTP Dell : repérez le lot d'installation Endpoint-Security-Suite-Ent-2.x.x.xxx.zip, puis extrayez les programmes d'installation enfant depuis le programme d'installation principal. Après l'extraction, localisez le fichier dans C:\extracted\Encryption Management Agent. Installation avec ligne de commande ● Le tableau suivant indique les paramètres disponibles dans le cadre de l'installation.
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.
7 Désinstaller à l'aide des programme d'installation enfants ● Dell recommande d'utiliser le programme de désinstallation de Data Security pour supprimer la suite Data Security. ● Pour désinstaller chaque client individuellement, vous devez d’abord extraire les fichiers exécutables enfant du programme d’installation principal d’Endpoint Security Suite Enterprise ; tel qu’indiqué dans la section Extraire les programmes d’installation enfants du programme d’installation principal.
Option Signification /qb! Boîte de dialogue de progression sans bouton Annuler : vous invite à effectuer un redémarrage /qb!- Boîte de dialogue de progression sans le bouton Annuler, redémarre automatiquement une fois le processus terminé /qn Pas d'interface utilisateur Désinstallation de Web Protection et Firewall Si Web Protection et Firewall ne sont pas installés, procédez à la désinstallation du client Encryption.
Processus ● Désactivation de l’authentification avant démarrage, ce qui supprime toutes les données d’authentification avant démarrage de l’ordinateur et déverrouille les clés de chiffrement complet du disque. ● Désinstallez le chiffrement complet du disque. Désactiver l'authentification avant démarrage 1. 2. 3. 4. 5. Connectez-vous à la console de gestion en tant qu'administrateur Dell. Dans le volet de gauche, cliquez sur Populations > Points de terminaison.
2. 3. 4. 5. Dans le volet de gauche, cliquez sur Populations > Points de terminaison. Sélectionnez le type de point final approprié. Sélectionnez Afficher >Visible, Masqué, ou Tout. Si vous connaissez le nom d'hôte de l'ordinateur, saisissez-le dans le champ Nom d'hôte (les jokers sont pris en charge). Pour afficher tous les ordinateurs, laissez ce champ vide. Cliquez sur Rechercher.
la désinstallation du client Encryption activé auprès de Security Management Server pour obtenir les instructions. Aucune action préalable n'est nécessaire si le client à désinstaller est activé auprès d'un Security Management Server Virtual, car le Security Management Server Virtual n'utilise pas le Key Server.
Paramètre Sélection FORENSIC_ADMIN_PWD Mot de passe du compte d'administrateur d'analyse approfondie. Propriétés facultatives SVCLOGONUN Nom d'utilisateur au format UPN pour le paramètre Connexion en tant que service Encryption Removal Agent. SVCLOGONPWD Mot de passe pour se connecter en tant qu'utilisateur. ● L’exemple suivant correspond à la désinstallation silencieuse d’Encryption et au téléchargement des clés de chiffrement depuis Security Management Server. DDPE_XXbit_setup.
Lorsque vous avez terminé, redémarrez l'ordinateur.
8 Programme de désinstallation de Data Security Désinstaller Endpoint Security Suite Enterprise Dell fournit le programme de désintallation de Data Security comme programme de désinstallation maître. Cet utilitaire rassemble les produits actuellement installés et les supprime dans l'ordre approprié. REMARQUE : Lors de la désinstallation de FDE, Dell recommande de redémarrer l'ordinateur une fois la désactivation de FDE terminée afin d'éviter les problèmes de veille prolongée de l'ordinateur.
Vous pouvez également effacer n'importe quelle application de la suppression et cliquer sur Suivant. Les dépendances requises sont automatiquement sélectionnées ou effacées.
Pour supprimer des applications sans installer Encryption Removal Agent, choisissez Ne pas installer Encryption Removal Agent et sélectionnez Suivant. Sélectionnez Encryption Removal Agent : télécharger des clés depuis un serveur. Saisissez les informations d'identification complètes d'un administrateur d'analyse approfondie et sélectionnez Suivant.
Sélectionnez Supprimer pour lancer la désinstallation. Cliquez sur Terminer pour terminer la suppression et redémarrez l'ordinateur. L'option Redémarrer la machine après avoir cliqué sur Terminé est sélectionnée par défaut.
La désinstallation et la suppression sont terminées.
9 Scénarios couramment utilisés ● Pour installer chaque client individuellement, vous devez d’abord extraire les fichiers exécutables enfant du programme d’installation principal d’Endpoint Security Suite Enterprise ; tel qu’indiqué dans la section Extraire les programmes d’installation enfants du programme d’installation principal. ● Le composant du programme d'installation enfant Advanced Threat Prevention doit être installé par la ligne de commande uniquement.
○ Pour apprendre à utiliser les fonctions d’Encryption, reportez-vous à Dell Encrypt Help (Aide concernant Dell Encrypt). Accédez à l'aide depuis :\Program Files\Dell\Dell Data Protection\Encryption\Help. ○ Voir Encryption External Media Help (Aide concernant Encryption External Media) pour apprendre à utiliser les fonctions d'Encryption External Media. Accédez à l'aide depuis :\Program Files\Dell\Dell Data Protection\Encryption\EMS ○ Voir (Aide d'Encryption Enterprise) d'Endpoint
"DellThreatProtection.msi" /qn REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1 \Threat Protection\SDK ● L'exemple suivant permet d'installer le SDK. EnsMgmtSdkInstaller.exe "C:\Program Files\Dell\Dell Data Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >"C:\ProgramData\Dell\Dell Data Protection\Installer Logs\McAfeeSDKInstallerAfterEndPoint.
● L'exemple suivant correspond à l'installation d'Advanced Threat Prevention (installation silencieuse, pas de redémarrage, fichier journal d'installation et dossier d'installation aux emplacements spécifiés) MSIEXEC.EXE /I "ATP_CSF_Plugins_x64.msi" /qn REBOOT="ReallySuppress" ARPSYSTEMCOMPONENT="1" /l*v "C:\ProgramData\Dell\Dell Data Protection\Installer Logs\ATP.log" APPFOLDER="C:\Program Files\Dell\Dell Data Protection\Advanced Threat Prevention" et "\Advanced Threat Prevention\WinNtAll\ATP_AgentSetup.
10 Provision a Tenant Un locataire doit être provisionné dans Dell Server pour que l'application des stratégies Advanced Threat Prevention devienne active. Pré-requis ● Doit être effectué par un administrateur doté du rôle Administrateur système. ● Doit disposer d'une connexion à Internet pour provisionner sur Dell Server. ● Doit disposer d'une connexion à Internet sur le client pour afficher l'intégration de service en ligne Advanced Threat Prevention dans la console de gestion.
4. La configuration guidée commence une fois que les licences sont importées. Cliquez sur Suivant pour commencer. 5. Lisez et acceptez les termes du CLUF et cliquez sur Suivant.
6. Fournissez les identifiants à Dell Server pour le provisionnement du service partagé. Cliquez sur Suivant. Le provisionnement d'un service partagé existant de marque Cylance n'est pas pris en charge. 7. Téléchargez le certificat. Celui-ci est nécessaire à la récupération en cas de sinistre affectant Dell Server. Ce certificat n'est pas automatiquement sauvegardé. Sauvegardez le certificat à un emplacement sûr sur un autre ordinateur.
8. La configuration est terminée. Cliquez sur OK.
11 Configuration de la mise à jour automatique de l'agent Advanced Threat Prevention Pour recevoir les mises à jour automatiques de l'agent Advanced Threat Prevention, vous pouvez vous inscrire dans la console de gestion. Le fait de s'inscrire pour recevoir les mises à jour automatiques de l'agent permet aux clients de télécharger et d'appliquer les mises à jour depuis le service Advanced Threat Prevention. Mises à jour et publications mensuelles.
12 Configuration préalable à l'installation pour SED UEFI, et BitLocker Manager Initialiser le module TPM ● Vous devez être membre du groupe des administrateurs locaux, ou équivalent. ● L'ordinateur doit être pourvu d'un BIOS compatible et d'un TPM. ● Suivez les instructions sous http://technet.microsoft.com/en-us/library/cc753140.aspx.
Les ordinateurs ne disposant pas du micrologiciel UEFI n'ont pas besoin de configuration. Désactiver les ROM de l'option Héritée : Assurez-vous que le paramètre Activer les ROM de l'option Héritée est désactivé dans le BIOS. 1. 2. 3. 4. 5. Redémarrez l'ordinateur. Au cours du redémarrage, appuyez sur F12 à plusieurs reprises jusqu'à appeler les paramètres d'amorçage de l'ordinateur UEFI. Appuyez sur la flèche vers le bas, mettez en surbrillance l'option Paramètres du BIOS, puis appuyez sur Entrée.
13 Définir le Dell Server par le biais du registre ● Si les droits sont accordés à vos clients par le biais de Dell Digital Delivery, suivez les instructions ci-dessous pour définir un registre à l’aide d’objets de la stratégie de groupe afin de prédéfinir le serveur Dell à utiliser après l’installation. ● La station de travail doit être membre de l’unité organisationnelle dans laquelle les objets de stratégie de groupe sont appliqués.
4. Cliquez-droit sur l'objet GPO créé et sélectionnez Modifier. 5. L'Éditeur de gestion des règles de groupe se charge. Accédez à Configuration ordinateur > Préférences > Paramètres Windows > Registre. 6. Cliquez avec le bouton droit sur le registre, puis sélectionnez Nouveau > Élément du Registre. Renseignez les éléments suivants : Action : Create Ruche : HKEY_LOCAL_MACHINE Chemin d'accès à la clé : SOFTWARE\Dell\Dell Data Protection Nom de la valeur : Server Type de valeur : REG_SZ Définir le Dell Serv
Value data: 7. Cliquez sur OK. 8. Déconnectez-vous, puis reconnectez-vous au poste de travail, ou exécutez gpupdate /force pour appliquer la règle de groupe.
14 Extraire les programmes d'installation enfant ● Pour installer chaque client individuellement, vous devez d'abord extraire les fichiers exécutables du programme d'installation. ● Le programme d'installation principal n'est pas un programme de désinstallation principal. Chaque client doit être désinstallé séparément avant la désinstallation du programme d'installation principal.
15 Configurer Key Server ● Cette section explique comment configurer les composants requis pour utiliser l'authentification/autorisation Kerberos avec un Security Management Server. Security Management Server Virtual n'utilise pas Key Server. Key Server est un service qui écoute pour savoir quels clients se connectent à un socket.
4. Redémarrez le service Key Server (laissez ouvert le panneau de services pour pouvoir y revenir ultérieurement). 5. Accédez au fichier log.txt qui se trouve dans pour vérifier que le service a correctement démarré. Fichier de configuration de Key Server - Ajouter un utilisateur pour la communication avec le Security Management Server 1. Naviguez jusqu'au . 2. Ouvrez Credant.KeyServer.exe.config dans un éditeur de texte. 3.
Si vous avez utilisé « superadmin » à l'étape 3, et si le mot de passe superadmin n'est pas « changeit », vous devez le modifier ici. Enregistrez le fichier, puis fermez-le. Exemple de fichier de configuration [port TCP sur lequel Dell Key Server écoutera. La valeur par défaut est 8050.
5. Dans Compte, ajoutez l'utilisateur pour effectuer les activités d'administrateur. Le format est DOMAINE\Nom d'utilisateur. Cliquez sur Ajouter un compte. 6. Cliquez sur Utilisateurs dans le menu de gauche. Dans la zone de recherche, recherchez le nom d'utilisateur que vous avez ajouté à l'étape 5. Cliquez sur Rechercher. 7. Une fois que vous avez localisé l'utilisateur approprié, cliquez sur l'onglet Admin. 8. Sélectionnez Administrateur d'analyse approfondie, puis cliquez sur Mettre à jour.
16 Utiliser l'utilitaire Administrative Download (CMGAd) ● Cet utilitaire permet de télécharger un bundle de matériel clé à utiliser sur un ordinateur non connecté à un Dell Server. ● Cet utilitaire utilise l’une des méthodes suivantes pour télécharger un bundle de ressources de clé, selon le paramètre de ligne de commande passé à l’application : ○ Mode d'analyse approfondie : utilisé si -f est passé sur la ligne de commande ou si aucun paramètre de ligne de commande n'est utilisé.
3. Dans le champ Phrase de passe :, entrez la phrase de passe pour protéger le fichier de téléchargement. La phrase de passe doit contenir au moins huit caractères, au moins un caractère alphabétique et un caractère numérique. Confirmer la phrase de passe. Acceptez le nom et l’emplacement par défaut auquel le fichier sera enregistré, ou cliquez sur ... pour sélectionner un emplacement différent. Cliquez sur Suivant. Le message qui s'affiche indique que le matériel clé a été déverrouillé avec succès.
Utilisation du mode Admin Le mode Admin ne peut pas être utilisé pour l'obtention d'un ensemble de clés depuis un Security Management Server Virtual, car le Security Management Server Virtual n'utilise pas le Key Server. Utilisez le mode Analyse approfondie pour obtenir l'ensemble de clés si le client est activé par rapport à un Security Management Server Virtual. 1. Ouvrez une invite de commande à l'emplacement de CMGAd et saisissez la commande cmgad.exe -a. 2.
Le message qui s'affiche indique que le matériel clé a été déverrouillé avec succès. Les fichiers sont désormais accessibles. 4. Cliquez sur Terminer lorsque vous avez terminé.
17 Configuration d’Encryption sur un système d’exploitation de serveur Activer Encryption sur un système d’exploitation de serveur REMARQUE : Le chiffrement des systèmes d’exploitation de serveur convertit le chiffrement Utilisateur en chiffrement Courant. 1. Connectez-vous à la console de gestion en tant qu'administrateur Dell. 2.
Configuration de règles Encryption External Media L'ordinateur de cryptage d'origine est l'ordinateur qui crypte un périphérique amovible à l'origine. Lorsque l’ordinateur d’origine est un serveur protégé (un serveur sur lequel Encryption sur un système d’exploitation de serveur est installé et activé) et dès que le serveur protégé détecte la présence d’un périphérique amovible, l’utilisateur est invité à le chiffrer.
● Des droits d'administrateur du service d'assistance technique, attribués dans la console de gestion, sont requis pour interrompre un point de terminaison. ● L’administrateur doit être connecté à la console de gestion. Dans le volet de gauche de la console de gestion, cliquez sur Populations > Points de terminaison. Recherchez ou sélectionnez un nom d’hôte, puis cliquez sur l’onglet Détails et actions. Sous Contrôle des périphériques du serveur, cliquez sur Suspendre, puis sur Oui.
18 Configuration de l'activation différée Le client Encryption avec activation différée est différent de l'activation du client Encryption sur deux aspects : Règles de cryptage basées sur le périphérique Les règles du client Encryption reposent sur l'utilisateur, tandis que les règles de cryptage du client Encryption avec activation différée sont basées sur le périphérique. Le cryptage Utilisateur est converti en cryptage Courant.
Dell vous recommande vivement de créer un mot de passe Windows (s'il n'en existe pas déjà un) pour protéger l'accès aux données cryptées. La création d'un mot de passe sur l'ordinateur permet de bloquer l'accès à votre compte utilisateur à toute personne qui ne dispose pas du mot de passe. Désinstaller les versions précédentes du client Encryption Avant de désinstaller une version précédente du client Encryption, arrêtez ou suspendez le balayage de cryptage, si nécessaire.
Les adresses e-mail personnelles ou extérieures au domaine ne peuvent pas être utilisées pour l'activation. 3. Cliquez sur Fermer. Le serveur Dell regroupe le jeu de clés de cryptage et les identifiants de l'utilisateur ainsi que l'ID unique de l'ordinateur (ID d'ordinateur), créant ainsi une relation solide entre le jeu de clés, l'ordinateur concerné et l'utilisateur. 4. Redémarrez l'ordinateur afin de commencer l'analyse de cryptage.
● Si l'accès VPN est requis pour se connecter au réseau, vérifiez la connexion VPN et faites une nouvelle tentative. ● Vérifiez l'adresse URL de Dell Server pour vous assurer qu'elle correspond à l'URL fournie par l'administrateur. L'adresse URL ainsi que d'autres données saisies par l'utilisateur dans le programme d'installation sont stockées dans le répertoire. Assurez-vous que les données sous [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] et [HKLM\SOFTWARE\Microsoft\Windows NT\Cu
19 Dépannage Tous les clients - Dépannage ● Les fichiers log du programme d’installation de la suite principale d’Endpoint Security Suite Enterprise se trouvent dans C:\ProgramData\Dell\Dell Data Protection\Installer. ● Windows crée des fichiers journaux d'installation du programme d'installation enfant uniques destinés à l'utilisateur connecté à %temp%, à l'adresse C:\Users\\AppData\Local\Temp.
Le nom d'utilisateur ou le mot de passe n'est pas valide. Solution possible : connectez-vous à nouveau en vous assurant de saisir le nom d'utilisateur et le mot de passe correctement. Message d'erreur : l'activation a échoué car le compte d'utilisateur ne dispose pas de droits d'administrateur du domaine. Les informations d'identification utilisées pour l'activation ne sont pas dotées des droits d'administrateur de domaine ou bien le nom d'utilisateur de l'administrateur n'était pas au format UPN.
5. L'utilisateur entre les références de l'administrateur de domaine dans la boîte de dialogue Activer. REMARQUE : La nécessité de fournir les informations d'identification de l'administrateur de domaine est une mesure de sécurité qui empêche Encryption pour systèmes d’exploitation de serveur d'être déployé dans d'autres environnements de serveur non pris en charge. Pour désactiver l'exigence des informations d'identification de l'administrateur de domaine, voir Avant de commencer. 6.
Le schéma suivant illustre une authentification et une activation réussies d'un périphérique. 1. Après un redémarrage suite à une activation initiale réussie, un ordinateur équipé de Server Encryption s'authentifie automatiquement à l'aide du compte d'utilisateur de serveur virtuel et exécute le client Encryption en mode Serveur. 2.
Encryption External Media et interactions PCS Pour veiller à ce que le support ne soit pas en lecture seule et que le port ne soit pas bloqué La règle d'accès EMS aux supports non blindés interagit avec le système de contrôle des ports - Catégorie : stockage > Sous-catégorie de stockage : règle de contrôle des lecteurs externes.
OU 1. Cliquez sur Avancé pour basculer la vue vers Simple afin d'analyser un dossier particulier. 2. Accédez à Paramètres d'analyse, puis saisissez le chemin du dossier dans le champ Rechercher un chemin d'accès. Si vous utilisez ce champ, la sélection dans le menu est ignorée. 3. Si vous ne voulez pas écrire la sortie WSScan dans un fichier, décochez la case Sortie vers un fichier. 4. Si vous le souhaitez, changez le chemin et le nom de fichier par défaut à partir du champ Chemin. 5.
Utilisation de la ligne de commande WSScan WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o] [-a] [-f] [-r] [u[a][-|v]] [-d] [-q] [-e] [-x] [-y] Commutateur Signification Lecteur Disque à analyser. S'il n'est pas défini, tous les disques durs fixes locaux sont utilisés par défaut. Il peut s'agir d'un lecteur réseau mappé.
Commutateur Signification -s Opération silencieuse -o Chemin d'accès au fichier de sortie. -a Ajouter au fichier de sortie . Par défaut, le fichier de sortie est tronqué. -f Spécificateur de format de rapport (Rapport, Fixe, Délimité) -r Exécutez WSScan dans les privilèges administrateur. Certains fichiers peuvent ne pas être visibles si ce mode est utilisé. -u Inclure les fichiers non cryptés dans le fichier de sortie.
Sortie Signification KCID Identification de l'ordinateur principal. Dans l'exemple ci-dessus : « 7vdlxrsb » Si vous analysez un disque réseau mappé, le rapport d'analyse ne comporte pas de KCID. UCID ID d'utilisateur. Comme dans l'exemple ci-dessus , « _SDENCR_ » Tous les utilisateurs de l'ordinateur partagent le même UCID. Fichier Chemin d'accès du fichier crypté. Comme dans l'exemple ci-dessus, « c:\temp\Dell - test.log » Algorithme Algorithme utilisé pour crypter le fichier.
Syntaxe wsprobe [path] wsprobe [-h] wsprobe [-f path] wsprobe [-u n] [-x process_names] [-i process_names] Paramètres Paramètre À Chemin d'accès Éventuellement, définissez un chemin particulier sur le périphérique à analyser pour un chiffrement/déchiffrement possible. Si vous ne définissez pas de chemin, cet utilitaire analyse tous les dossiers associés aux règles de cryptage. -h Afficher l'aide de la ligne de commande.
Encryption Removal Agent pour forcer l'exécution d'un nouveau balayage de déchiffrement. Voir Création d'un fichier journal Encryption Removal Agent (facultatif) pour obtenir des instructions. ● Terminé : l'analyse de déchiffrage est terminée. Le service, le fichier exécutable, le pilote et le fichier exécutable du pilote seront supprimés au prochain redémarrage.
Dépannage
Le diagramme suivant illustre le processus de communication agent d'Advanced Threat Prevention. Processus de vérification de l'intégrité de l'image BIOS Le diagramme suivant illustre le processus de vérification de l'intégrité de l'image BIOS. Pour consulter la liste des modèles d'ordinateur Dell pris en charge avec la vérification de l'intégrité de l'image du BIOS, voir la section « Configuration requise : vérification de l'intégrité de l'image BIOS ».
Dépannage SED Utiliser le code d’accès initial ● Cette règle permet la connexion à un ordinateur lorsqu'il est impossible de se connecter au réseau, c'est-à-dire lorsque le Dell Server et Active Directory (AD) sont indisponibles. Utilisez la règle Code d'accès initial uniquement en cas de nécessité absolue. Dell ne conseille pas d'utiliser cette méthode pour se connecter.
● Le Code d'accès initial ne peut être utilisé qu'une seule fois, immédiatement après l'activation. Dès lors qu'un utilisateur s'est connecté, le Code d'accès initial n'est plus disponible. La première connexion au domaine survenant après saisie du Code d'accès initial occasionnera une mise en cache, et le champ de saisie du Code d'accès initial ne sera plus affiché.
1. Créez un fichier appelé PBAErr.log au niveau de la racine du lecteur USB. 2. Insérez le lecteur USB avant la mise sous tension de l'ordinateur. 3. Retirez le lecteur USB après avoir reproduit le problème nécessitant les journaux. Le fichier PBAErr.log est mis à jour et écrit en temps réel.
4. Sélectionnez le système d'exploitation de l'ordinateur cible. 5. Sélectionnez la catégorie Sécurité.
6. Téléchargez, puis enregistrez les pilotes Dell ControlVault. 7. Téléchargez, puis enregistrez le firmware Dell ControlVault. 8. Copiez les pilotes et le firmware sur les ordinateurs cibles, le cas échéant. Installation du pilote Dell ControlVault 1. Accédez au dossier dans lequel vous avez téléchargé le fichier d'installation du pilote.
2. Double-cliquez sur le pilote Dell ControlVault pour lancer le fichier exécutable à extraction automatique. REMARQUE : Assurez-vous d'installer le pilote en premier. Le nom de fichier du pilote au moment de la création de ce document est ControlVault_Setup_2MYJC_A37_ZPE.exe. 3. Cliquez sur Continuer pour commencer. 4. Cliquez sur Ok pour décompresser les fichiers de pilote dans l’emplacement par défaut C:\Dell\Drivers\. 5. Cliquez sur Oui pour permettre la création d'un nouveau dossier.
6. Cliquez sur OK lorsque le message décompression réussie s'affiche. 7. Le dossier contenant les fichiers s'affiche après l'extraction. Sinon, naviguez vers le dossier dans lequel vous avez extrait les fichiers. Dans ce cas, le dossier est JW22F. 8. Double-cliquez sur CVHCI64.MSI pour lancer le programme d'installation du pilote. [CVHCI64.MSI dans cet exemple, (CVHCI pour un ordinateur 32 bits)]. 9. Cliquez sur Suivant sur l’écran de bienvenue.
10. Cliquez sur Suivant pour installer les pilotes à l’emplacement par défaut C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\. 11. Sélectionnez l'option Terminer, puis cliquez sur Suivant.
12. Cliquez sur Installer pour démarrer l'installation des pilotes. 13. Facultativement, cochez la case permettant d'afficher le fichier journal du programme d'installation. Cliquez sur Terminer pour fermer l'Assistant.
Vérifiez l'installation du pilote. ● Le Gestionnaire de périphérique disposera d'un périphérique Dell ControlVault (et d'autres périphériques) en fonction du système d'exploitation et de la configuration matérielle. Installer le firmware Dell ControlVault 1. Accédez au dossier dans lequel vous avez téléchargé le fichier d’installation du firmware. 2. Double-cliquez sur le firmware Dell ControlVault pour lancer le fichier exécutable à extraction automatique. 3. Cliquez sur Continuer pour commencer.
4. Cliquez sur Ok pour décompresser les fichiers de pilote dans l’emplacement par défaut C:\Dell\Drivers\. 5. Cliquez sur Oui pour permettre la création d'un nouveau dossier. 6. Cliquez sur OK lorsque le message décompression réussie s'affiche. 7. Le dossier contenant les fichiers s'affiche après l'extraction. Sinon, naviguez vers le dossier dans lequel vous avez extrait les fichiers. Sélectionnez le dossier firmware.
8. Double-cliquez sur ushupgrade.exe pour lancer le programme d’installation du firmware. 9. Cliquez sur Démarrer pour commencer la mise à niveau du firmware.
REMARQUE : Vous devrez peut-être saisir le mot de passe d’administrateur lors d’une mise à niveau à partir d’une version antérieure du firmware. Entrez Broadcom en tant que le mot de passe et cliquez sur Entrée en présence de cette boîte de dialogue. Plusieurs messages d'état s'affichent.
Dépannage 133
10. Cliquez sur Redémarrer pour terminer la mise à niveau du firmware. La mise à jour des pilotes et du firmware Dell ControlVault est terminée.
UEFI Computers Résolution des problèmes de réseau ● Pour que l’authentification avant démarrage réussisse sur un ordinateur équipé du micrologiciel UEFI, le mode d’authentification avant démarrage (PBA) doit disposer de la connectivité réseau. Par défaut, les ordinateurs équipés d'un micrologiciel UEFI ne disposent pas de connectivité réseau tant que le système d'exploitation n'est pas chargé, ce qui intervient après le mode d'authentification avant démarrage.
Constante/Valeur Description TPM_E_FAIL L'opération a échoué. 0x80280009 TPM_E_BAD_ORDINAL L'ordinal était inconnu ou incohérent. 0x8028000A TPM_E_INSTALL_DISABLED La fonction d'installation d'un propriétaire est désactivée. 0x8028000B TPM_E_INVALID_KEYHANDLE Impossible d'interpréter le descripteur de clé. 0x8028000C TPM_E_KEYNOTFOUND Le descripteur de clé pointe vers une clé non valide. 0x8028000D TPM_E_INAPPROPRIATE_ENC Schéma de cryptage inacceptable.
Constante/Valeur Description TPM_E_SHA_THREAD Il n'existe pas d'unité d'exécution SHA-1 existante 0x8028001A TPM_E_SHA_ERROR 0x8028001B TPM_E_FAILEDSELFTEST 0x8028001C TPM_E_AUTH2FAIL 0x8028001D TPM_E_BADTAG 0x8028001E TPM_E_IOERROR 0x8028001F TPM_E_ENCRYPT_ERROR Le calcul ne peut pas être exécuté, car une erreur s'est déjà produite sur l'unité d'exécution SHA-1. Le périphérique matériel du Module de plateforme sécurisée (TPM) a signalé une erreur lors de son auto-test interne.
Constante/Valeur Description TPM_E_BAD_SCHEME La signature ou le schéma de cryptage de cette clé sont incorrects ou non autorisés dans ce cas.
Constante/Valeur Description 0x8028003A TPM_E_AUTH_CONFLICT 0x8028003B TPM_E_AREA_LOCKED L'objet blob NV_LoadKey nécessite un propriétaire et une autorisation blob. La zone NV est verrouillée et non inscriptible. 0x8028003C TPM_E_BAD_LOCALITY La localité est incorrecte pour l'opération tentée. 0x8028003D TPM_E_READ_ONLY 0x8028003E TPM_E_PER_NOWRITE La zone NV est en lecture seule et aucune donnée ne peut y être écrite. Aucune protection d'écriture dans la zone NV.
Constante/Valeur Description 0x8028004B TPM_E_DELEGATE_FAMILY Tentative de gestion d'une famille autre que la famille déléguée. 0x8028004C TPM_E_DELEGATE_ADMIN Gestion de table de délégation non activée. 0x8028004D TPM_E_TRANSPORT_NOTEXCLUSIVE 0x8028004E TPM_E_OWNER_CONTROL 0x8028004F TPM_E_DAA_RESOURCES 0x80280050 TPM_E_DAA_INPUT_DATA0 0x80280051 TPM_E_DAA_INPUT_DATA1 0x80280052 TPM_E_DAA_ISSUER_SETTINGS Une commande a été exécutée en dehors d'une session de transport exclusive.
Constante/Valeur Description 0x8028005C TPM_E_MA_DESTINATION Destination de migration non authentifiée. 0x8028005D TPM_E_MA_SOURCE Source de migration incorrecte. 0x8028005E TPM_E_MA_AUTHORITY Autorité de migration incorrecte. 0x8028005F TPM_E_PERMANENTEK Tentative de révocation de EK alors qu'EK n'est pas révocable. 0x80280061 TPM_E_BAD_SIGNATURE Signature incorrecte du ticket CMK. 0x80280062 TPM_E_NOCONTEXTSPACE Aucune place dans la liste de contextes pour d'autres contextes.
Constante/Valeur Description 0x80284002 TBS_E_INVALID_OUTPUT_POINTER Un pointeur de sortie défini est incorrect. 0x80284003 TBS_E_INVALID_CONTEXT 0x80284004 TBS_E_INSUFFICIENT_BUFFER Le handle de contexte défini ne fait pas référence à un contexte valide. Une mémoire tampon de sortie définie est trop petite. 0x80284005 TBS_E_IOERROR Erreur de communication avec le module TPM.
Constante/Valeur Description 0x80284013 configuration soit prise en compte, l’une des nombreuses actions peut être requise. L’action de la console de gestion du module de plateforme sécurisée (tpm.msc) permettant de préparer le module de plateforme sécurisée (TPM) peut s’avérer utile. Pour plus d’informations, consultez la documentation relative à la méthode WMI Win32_Tpm « Provision ».
Constante/Valeur Description TPMAPI_E_AUTHORIZATION_FAILED Les informations d'autorisation spécifiées étaient inexactes. 0x80290109 TPMAPI_E_INVALID_CONTEXT_HANDLE Le handle de contexte spécifié était incorrect. 0x8029010A TPMAPI_E_TBS_COMMUNICATION_ERROR Erreur de communication avec le TBS. 0x8029010B TPMAPI_E_TPM_COMMAND_ERROR La plateforme sécurisée (TPM) a renvoyé un résultat imprévu. 0x8029010C TPMAPI_E_MESSAGE_TOO_LARGE Le message était trop volumineux pour le schéma de codage.
Constante/Valeur Description TPMAPI_E_EMPTY_TCG_LOG Le journal des événements TCG ne contient pas de données. 0x8029011A TPMAPI_E_INVALID_TCG_LOG_ENTRY Une entrée du journal d'événements TCG n'était pas valide. 0x8029011B TPMAPI_E_TCG_SEPARATOR_ABSENT Un séparateur TCG est introuvable.
Constante/Valeur Description TBSIMP_E_OUT_OF_MEMORY Mémoire insuffisante pour répondre à la demande 0x8029020C TBSIMP_E_LIST_NO_MORE_ITEMS La liste spécifiée est vide ou l'itération a atteint la fin de la liste. 0x8029020D TBSIMP_E_LIST_NOT_FOUND L'élément spécifié est introuvable dans la liste.
Constante/Valeur Description TPM_E_PPI_USER_ABORT L'utilisateur n'a pas pu confirmer la demande d'opération du module de plateforme sécurisée (TPM).
Constante/Valeur Description 0x8029040C PLA_E_DCS_NOT_FOUND Ensemble Data Collector introuvable. 0x80300002 PLA_E_DCS_IN_USE 0x803000AA PLA_E_TOO_MANY_FOLDERS 0x80300045 PLA_E_NO_MIN_DISK 0x80300070 PLA_E_DCS_ALREADY_EXISTS L'ensemble de collecteurs de données ou l'une des ses dépendances est déjà utilisé. Impossible de démarrer l'ensemble de collecteurs de données car le nombre de dossiers est trop important. L'espace disque disponible est insuffisant pour lancer l'ensemble de collecteurs de données.
Constante/Valeur Description PLA_E_DC_START_WAIT_TIMEOUT Le délai d'attente avant que l'ensemble de collecteurs de données démarre a expiré. 0x8030010B PLA_E_REPORT_WAIT_TIMEOUT 0x8030010C PLA_E_NO_DUPLICATES Le délai d'attente avant que l'outil de génération de rapport se termine a expiré. Les doublons ne sont pas autorisés.
Constante/Valeur Description FVE_E_WRONG_BOOTMGR Le gestionnaire de démarrage de ce système d’exploitation n’est pas compatible avec le cryptage de lecteur BitLocker. Utilisez l’outil bootrec.exe de l’environnement de récupération Windows pour mettre à jour ou réparer le gestionnaire de démarrage (BOOTMGR).
Constante/Valeur Description du système d’exploitation, puis chiffrez le lecteur du système d’exploitation. FVE_E_FAILED_WRONG_FS 0x80310013 FVE_E_BAD_PARTITION_SIZE Impossible de crypter le disque, car le système de fichiers n'est pas pris en charge. 0x80310014 La taille du système de fichiers dépasse celle des partitions dans la table de partitions. Ce disque peut être corrompu ou a peut-être été altéré. Pour l'utiliser avec BitLocker, vous devez reformater la partition.
Constante/Valeur Description FVE_E_RECOVERY_KEY_REQUIRED Aucun protecteur de clé pour le chiffrage n’est disponible pour le lecteur que vous essayez de verrouiller car la protection BitLocker est actuellement suspendue. Activez de nouveau BitLocker pour verrouiller ce lecteur.
Constante/Valeur Description Retirez le média, puis redémarrez l’ordinateur avant de configurer BitLocker. FVE_E_PROTECTOR_EXISTS 0x80310031 FVE_E_RELATIVE_PATH 0x80310032 FVE_E_PROTECTOR_NOT_FOUND 0x80310033 FVE_E_INVALID_KEY_FORMAT 0x80310034 FVE_E_INVALID_PASSWORD_FORMAT Impossible d’ajouter ce protecteur de clé. Un seul protecteur de clé de ce type est autorisé pour ce lecteur. Le fichier de mot de passe de récupération est introuvable car un chemin d’accès relatif a été spécifié.
Constante/Valeur Description que le périphérique USB correct est connecté à un port USB actif de l’ordinateur, redémarrez l’ordinateur, puis réessayez. Si le problème persiste, demandez au fabricant de l’ordinateur comment mettre à niveau le BIOS.
Constante/Valeur Description FVE_E_FIRMWARE_TYPE_NOT_SUPPORTED Impossible d'activer le cryptage de disque BitLocker sur un disque du système d'exploitation. Contactez le fabricant de l'ordinateur pour obtenir des instructions de mise à niveau du BIOS.
Constante/Valeur Description FVE_E_TRANSIENT_STATE Les clés de cryptage BitLocker ont été ignorées du fait de l’état transitoire du lecteur.
Constante/Valeur Description FVE_E_POLICY_STARTUP_TPM_NOT_ALLOWED La stratégie de groupe ne permet pas l’utilisation exclusive d’un module de plateforme sécurisée au démarrage. Veuillez choisir une autre option de démarrage de BitLocker.
Constante/Valeur Description FVE_E_POLICY_USER_CONFIGURE_FDV_AUTOUNLOCK_N OT_ALLOWED Les paramètres de stratégie de groupe ne permettent pas le déverrouillage automatique des lecteurs de données fixes protégés par BitLocker.
Constante/Valeur Description attribut est configuré, il doit être égal à un identificateur d’objet correspondant à l’identificateur d’objet configuré pour BitLocker. FVE_E_POLICY_PROHIBITS_SELFSIGNED 0x80310086 Le cryptage de lecteur BitLocker tel qu’il est configuré ne peut pas être appliqué à ce lecteur en raison des paramètres de la stratégie de groupe. Le certificat fourni pour le cryptage de lecteur est auto-signé.
Constante/Valeur Description FVE_E_NON_BITLOCKER_KU L’attribut d’utilisation de la clé ne permet pas au certificat spécifié d’être utilisé pour le cryptage de lecteur BitLocker. BitLocker n’exige pas qu’un certificat possède un attribut d’utilisation de la clé. Toutefois, si un tel attribut est configuré, il doit avoir la valeur Chiffrement de la clé ou Accord de la clé.
Constante/Valeur Description 0x803100A0 FVE_E_PROTECTOR_CHANGE_PIN_MISMATCH Veuillez enter le code confidentiel correct actuel.
Constante/Valeur Description FVE_E_EDRIVE_NO_FAILOVER_TO_SW BitLocker n’a pas rétabli le cryptage au niveau logiciel BitLocker en raison de la stratégie de groupe. 0x803100AF FVE_E_EDRIVE_BAND_IN_USE 0x803100B0 FVE_E_EDRIVE_DISALLOWED_BY_GP 0x803100B1 FVE_E_EDRIVE_INCOMPATIBLE_VOLUME 0x803100B2 FVE_E_NOT_ALLOWED_TO_UPGRADE_WHILE_CONVERTIN G Le lecteur ne peut pas être géré par BitLocker, car la fonction de cryptage matériel du lecteur est déjà en cours d'utilisation.
Constante/Valeur Description FVE_E_SHADOW_COPY_PRESENT BitLocker ne peut pas activer le volume car il contient un cliché instantané de volume. Supprimez tous les clichés instantanés de volumes avant de crypter le volume.
Constante/Valeur Description un compte connecté et que vous obtenez cette erreur, référezvous au journal des événements pour plus d’informations. FVE_E_INVALID_PIN_CHARS_DETAILED Votre PIN ne peut contenir que des chiffres allant de 0 à 9.
20 Glossaire Activer : l'activation se produit lorsque l'ordinateur a été inscrit sur le Dell Server et qu'il a reçu au moins un jeu de règles initial. Active Directory (AD) : service de répertoire créé par Microsoft pour les réseaux de domaine Windows.
avec la définition des dossiers de chiffrement, les algorithmes de chiffrement, l'utilisation de clés de chiffrement (commun par rapport à utilisateur), déclenchera une analyse. De plus, le basculement entre l'activation et la désactivation du cryptage déclenche un balayage de cryptage.
