Dell Endpoint Security Suite Enterprise Erweitertes Installationshandbuch Version v3.0 Mai 2021 Rev.
Hinweise, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen können. VORSICHT: Ein VORSICHTSHINWEIS warnt vor möglichen Beschädigungen der Hardware oder vor Datenverlust und zeigt, wie diese vermieden werden können. WARNUNG: Mit WARNUNG wird auf eine potenziell gefährliche Situation hingewiesen, die zu Sachschäden, Verletzungen oder zum Tod führen kann. © 2012-2021 Dell Inc. All rights reserved.
Inhaltsverzeichnis Kapitel 1: Einleitung........................................................................................................................ 6 Vor der Installation.................................................................................................................................................................6 Verwendung des Handbuchs..............................................................................................................................................
Web Protection und Firewall deinstallieren...................................................................................................................... 67 Advanced Threat Prevention deinstallieren..................................................................................................................... 67 Full Disk Encryption deinstallieren......................................................................................................................................
Kapitel 19: Fehlerbehebung........................................................................................................... 107 Alle Clients – Fehlerbehebung..........................................................................................................................................107 Alle Clients – Schutzstatus...............................................................................................................................................
1 Einleitung Dieses Handbuch beschreibt die Installation und Konfiguration von Advanced Threat Prevention, Encryption, SED-Verwaltung, Full Disk Encryption, Web Protection und Client Firewall und BitLocker Manager. Für die Einhaltung und Überwachung von Gerätedetails, Shield-Details und Audit-Ereignissen, siehe Berichterstellung > Verwalten von Berichten. Vor der Installation 1. Installieren Sie den Dell Server vor der Bereitstellung von Clients.
4. Stellen Sie Clients für die Benutzer bereit. Verwendung des Handbuchs Wenden Sie das Handbuch in der folgenden Reihenfolge an. ● Unter Anforderungen finden Sie Informationen über Client-Voraussetzungen, Computer-Hardware und -Software, Einschränkungen und spezielle Registrierungsänderungen, die für bestimmte Funktionen erforderlich sind. ● Lesen Sie bei Bedarf die Abschnitte Vorinstallationskonfiguration für SED UEFI und BitLocker.
Halten Sie bei Ihrem Anruf Ihre Service-Tag-Nummer oder Ihren Express-Servicecode bereit, damit wir Sie schneller mit dem richtigen Ansprechpartner für Ihr technisches Problem verbinden können. Telefonnummern außerhalb der Vereinigten Staaten finden Sie unter Dell ProSupport – Internationale Telefonnummern.
2 Anforderungen Alle Clients Diese Anforderungen gelten für alle Clients. Anforderungen, die in anderen Abschnitten aufgeführt sind, gelten für bestimmte Clients. ● Bei der Bereitstellung sind die bewährten IT-Verfahren zu beachten. Dazu zählen u. a. geregelte Testumgebungen für die anfänglichen Tests und die stufenweise Bereitstellung für Benutzer.
Sprachunterstützung EN: Englisch IT: Italienisch KO: Koreanisch ES: Spanisch DE: Deutsch PT-BR: Portugiesisch, Brasilien FR: Französisch JA: Japanisch PT-PT: Portugiesisch, Portugal Verschlüsselung ● Der Client-Computer muss über Netzwerkverbindung verfügen. ● Entfernen Sie mithilfe des Windows-Datenträgerbereinigungs-Assistenten temporäre Dateien und andere unnötige Daten, um den Zeitaufwand für die anfängliche Verschlüsselung zu verringern.
● Die verzögerte Aktivierung dient dazu, dass das Active Directory-Nutzerkonto, das im Rahmen der Aktivierung verwendet wird, unabhängig von dem Konto sein kann, das zur Anmeldung beim Endpunkt verwendet wird. Statt dass der Netzwerkanbieter die Authentifizierungsinformationen erfasst, gibt der Benutzer das Active Directory-basierte Konto an, wenn er dazu aufgefordert wird.
Unterstützte Windows-Betriebssysteme für den Zugriff auf verschlüsselte Medien (32-Bit und 64-Bit) ○ ○ ○ ○ ○ Windows 7 SP1: Enterprise, Professional, Ultimate Windows Embedded Standard 7 mit Anwendungskompatibilitätsvorlage Windows 8.1: Enterprise, Pro Windows Embedded 8.1 Industry Enterprise Windows 10: Education, Enterprise, Pro v1803-v21H1 (April 2018 Update/Redstone 4 – Mai 2021 Update/21H1) Hinweis: Windows 10 V2004 (Mai 2020 Update/20H1) unterstützt keine 32-Bit-Architektur.
● Direkte Funktionsupdates von Windows 10 v1607 (Anniversary Update/Redstone 1) auf Windows 10 v1903 (May 2019 Update/19H1) werden von FDE nicht unterstützt. Dell empfiehlt, bei der Aktualisierung auf Windows 10 v1903 das Betriebssystem auf ein neueres Funktionsupdate zu aktualisieren. Beim Versuch, direkt von Windows 10 v1607 auf v1903 zu aktualisieren, wird eine Fehlermeldung angezeigt und die Aktualisierung wird verhindert.
Ohne UEFI PBA Kennwort Windows 7 SP0-SP1 Fingerabdruck X1 KontaktSmartcard SIPR-Karte X1 2 1. Verfügbar, wenn die Authentifizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden. UEFI PBA – auf unterstützten Dell Computern Kennwort Windows 10 Fingerabdruck X1 KontaktSmartcard SIPR-Karte X1 1. Verfügbar auf unterstützten UEFI-Computern.
Die Portsteuerungssystem-Richtlinien wirken sich auf die auf geschützten Servern befindlichen Wechselmedien aus, indem z. B. der Zugriff und die Nutzung der USB-Ports des Servers durch USB-Geräte gesteuert wird. Die USB-Port-Richtlinie gilt für externe USB-Ports. Die interne USB-Port-Funktionalität wird durch die USB-Port-Richtlinie nicht beeinflusst.
○ SEDs (RAIDs und NICHT-RAID) ○ Auto-Anmeldung (Windows 7, 8/8.1) für Kiosk-Systeme ○ Microsoft Storage Server 2012 ● Encryption auf einem Serverbetriebssystem unterstützt keine Dual-Boot-Konfigurationen, da es hierdurch zur Verschlüsselung von Systemdateien des anderen Betriebssystems kommen kann, was den Betrieb stören würde. ● Die Neuinstallation zur direkten Aktualisierung des Betriebssystems wird nicht unterstützt.
Unterstützte Windows-Betriebssysteme für den Zugriff auf verschlüsselte Medien (32-Bit und 64-Bit) ● Windows 7 SP1: Enterprise, Professional, Ultimate ● Windows 8.1: Enterprise, Pro ● Windows 10: Education, Enterprise, Pro v1803-v21H1 (April 2018 Update/Redstone 4 – Mai 2021 Update/21H1) Hinweis: Windows 10 V2004 (Mai 2020 Update/20H1) unterstützt keine 32-Bit-Architektur. Weitere Informationen finden Sie unter https://docs.microsoft.
Windows-Betriebssysteme (32-Bit und 64-Bit) Hinweis: Windows 10 V2004 (Mai 2020 Update/20H1) unterstützt keine 32-Bit-Architektur. Weitere Informationen finden Sie unter https://docs.microsoft.com/windows-hardware/design/minimum/minimum-hardware-requirements-overview.
Kompatibilität Die folgende Tabelle zeigt die Kompatibilität mit Windows, Mac und Linux. Nicht verfügbar – Die Technologie gilt nicht für diese Plattform. Leeres Feld – Die Richtlinie wird nicht mit Endpoint Security Suite Enterprise unterstützt.
Funktionen Richtlinien Zu Beginn einer ShieldDeinstallation aktualisieren Windows macOS Linux Unsichere Prozesse und ihre Unterprozesse, die gerade ausgeführt werden, beenden x x x Entdeckung einer Hintergrundsbedrohung x x x Nach neuen Dateien Ausschau halten x x x Maximale Größe der zu scannenden Archivdatei x x x Bestimmte Ordner ausschließen x x x Dateimuster kopieren x Anwendungssteuerung Fenster ändern x Ordnerausschlüsse x x Agenten-Einstellungen Automatisches Hochlade
Client Firewall und Web Protection ● Für die erfolgreiche Installation von Client Firewall und Web Protection muss der Computer mit dem Netzwerk verbunden sein. ● Deinstallieren Sie die Viren-, Malware- und Spyware-Schutzprogramme sowie die Firewall-Anwendungen anderer Hersteller, bevor Sie die Client Firewall- und Web Protection-Clients installieren, um Fehler bei der Installation zu vermeiden.
Betriebssysteme ● In der folgenden Tabelle sind die unterstützten Betriebssysteme aufgeführt. Windows-Betriebssysteme (32-Bit und 64-Bit) ○ Windows 7 SP1: Enterprise, Professional, Ultimate ■ Ab Januar 2020 sind SHA1-Signaturzertifikate nicht mehr gültig und können nicht verlängert werden. Auf Geräten, auf denen Windows 7 oder Windows Server 2008 R2 ausgeführt wird, müssen Microsoft KBs https://support.Microsoft.com/ help/4474419 und https://support.Microsoft.
● Die Konfiguration von selbstverschlüsselnden Laufwerken für SED Manager weicht bei NVMe- und Nicht-NVMe-Laufwerken (SATA) folgendermaßen ab: ○ NVMe-Laufwerke, die als SED genutzt werden: ■ Der SATA-Betrieb im BIOS muss auf „RAID EIN“ eingestellt sein, da SED Manager keine Unterstützung für AHCI auf NVMeLaufwerken bietet. ■ Der Startmodus des BIOS muss UEFI sein und Legacy-Option-ROMs müssen deaktiviert sein.
● Für die aktuellste Liste von Plattformen, die mit SED-Verwaltung unterstützt werden, lesen Sie KB-Artikel: 126855. ● Eine Liste der Docking-Stationen und Adapter, die von der SED-Verwaltung unterstützt werden, finden Sie im KB-Artikel 124241. Preboot-Authentifizierungsoptionen mit SED Manager ● Es wird eine spezifische Hardware zum Verwenden von Smartcards und zum Authentifizieren bei UEFI-Computern benötigt. Eine Konfiguration ist erforderlich, um Smartcards mit Preboot-Authentifizierung zu verwenden.
Internationale Tastatur-Unterstützung – Nicht-UEFI DE-CH – (Deutsch – Schweiz) EN-CA – Englisch (Kanadisches Englisch) Betriebssysteme ● Die folgende Tabelle enthält Informationen zu den unterstützten Betriebssystemen. Windows-Betriebssysteme (32-Bit und 64-Bit) ○ Windows 7 SP0-SP1: Enterprise, Professional, Ultimate (unterstützt mit Legacy Boot-Modus aber nicht UEFI) ANMERKUNG: Selbstverschlüsselnde NVMe-Laufwerke werden nicht unter Windows 7 unterstützt. ○ Windows 8.
auf dem Gerät aktiviert ist und Sie dieses Gerät über unser Produkt verwalten. BitLocker Manager erzwingt diesen Modus nicht als Standardeinstellung für BitLocker-verschlüsselte Clients, da Microsoft seinen Kunden mittlerweile empfiehlt, die FIPSvalidierte Verschlüsselung nicht zu verwenden, da vermehrt Probleme mit der Anwendungskompatibilität, Wiederherstellung und Medienverschlüsselung aufgetreten sind: http://blogs.technet.com.
Windows-Betriebssysteme ○ ○ ○ ○ ■ Windows 10 2016 LTSB ■ Windows 10 2019 LTSC Windows Server 2008 R2: Standard Edition, Enterprise Edition (64-Bit) Windows Server 2012 R2: Standard Edition, Enterprise Edition (64-Bit) Windows Server 2016: Standard Edition, Datacenter Edition (64-Bit) Windows Server 2019: Standard Edition, Datacenter Edition (64-Bit) Die Windows-Updates KB3133977 und KB3125574 dürfen nicht installiert sein, wenn BitLocker Manager auf Systemen mit Windows 7 installiert wird.
3 Registrierungseinstellungen ● In diesem Abschnitt werden alle vom Dell ProSupport genehmigten Registrierungseinstellungen für lokale Client-Computer beschrieben, unabhängig vom Grund für Registrierungseinstellung. Falls eine Registrierungseinstellung für zwei Produkte gilt, wird sie in beiden Kategorien aufgeführt. ● Diese Registrierungsänderungen sollten nur von Administratoren ausgeführt werden und sind möglicherweise nicht für alle Szenarios geeignet oder funktionieren nicht in allen Szenarios.
Wenn Ihre Organisation jedoch eine Drittanbieter-Anwendung einsetzt, die auf die Dateistruktur im Verzeichnis \Temp angewiesen ist, sollten Sie das Löschen verhindern. Durch die Erstellung oder Änderung des folgenden Registrierungseintrags können Sie das Löschen temporärer Dateien verhindern: [HKLM\SOFTWARE\CREDANT\CMGShield] "DeleteTempFiles"=REG_DWORD:0 Werden temporäre Dateien nicht gelöscht, verlängert sich die Verschlüsselungsdauer.
● Die Aktivierung mit Zeitfenster ist eine Funktion, mit der Sie Aktivierungen von Clients über einen vorgegebenen Zeitraum verteilen können, um während einer Massenimplementierung eine Überlastung des Dell Server zu vermeiden. Aktivierungen werden basierend auf Zeitfenstern verzögert, die durch Algorithmen generiert werden, um eine gleichmäßige Verteilung der Aktivierungszeiten zu erreichen.
● Um nicht verwaltete Benutzer auf dem Client-Computer zu ermitteln, stellen Sie den Registrierungswert auf dem Client-Computer ein: [HKLM\SOFTWARE\Credant\CMGShield\ManagedUsers\] "UnmanagedUserDetected"=DWORD value:1 Nicht verwaltete Benutzer auf diesem Computer ermitteln = 1 Nicht verwaltete Benutzer nicht auf diesem Computer ermitteln = 0 ● Um die automatische Reaktivierung im Hintergrund zu aktivieren, für den seltenen Fall, dass ein Benutzer deaktiviert wird, muss der Registrierungseintrag auf dem Cli
Vollständige Datenträgerverschlüsselung ● In diesem Abschnitt werden alle vom Dell ProSupport genehmigten Registrierungseinstellungen für lokale Computer beschrieben, unabhängig vom Grund für die Registrierungseinstellung. Falls eine Registrierungeinstellung für zwei Produkte gilt, wird sie in beiden Kategorien aufgeführt. ● Diese Registrierungsänderungen sollten nur von Administratoren ausgeführt werden und sind möglicherweise nicht für alle Szenarios geeignet oder funktionieren nicht in allen Szenarios.
● Bei der Erstinstallation wird der Standort des Security Server-Ports festgelegt. Diesen können Sie bei Bedarf ändern. Dieser Wert wird bei jeder Richtlinienänderung durch den Clientcomputer gelesen. Ändern Sie den folgenden Registrierungswert auf dem ClientComputer: [HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent] ServerPort=REG_SZ:8888 ● (Nur mit Preboot-Authentifizierung) Wenn Sie nicht möchten, dass die erweiterte PBA-Authentifizierung die Dienste in Verbindung mit Smartcards und biometrischen Ge
Advanced Threat Prevention ● Damit das Advanced Threat Prevention-Plugin „HKLM\SOFTWARE\Dell\Dell Data Protection“ Änderungen des Werts „LogVerbosity“ überwacht und die Client-Protokollierungsebene entsprechend aktualisiert, legen Sie den folgenden Wert fest. [HKLM\SOFTWARE\Dell\Dell Data Protection] "LogVerbosity"=DWORD: Dump: 0 Schwerwiegender Fehler: 1 Fehler 3 Warnung 5 Info 10 Ausführlich 12 Verfolgen 14 Debuggen 15 Der Registrierungswert ist aktiviert, wenn der Advanced Threat Prevention-Di
SED Manager ● Fügen Sie den folgenden Registrierungswert hinzu, um das Wiederholungsintervall festzulegen, wenn der Dell Server nicht mit dem SED Manager kommunizieren kann. [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "CommErrorSleepSecs"=DWORD:300 Dieser Wert steht für die Anzahl der Sekunden, die SED Manager abwartet, bis sie erneut versucht, den Dell Server zu kontaktieren, wenn dieser nicht kommunizieren kann. Der Standardwert lautet 300 Sekunden (5 Minuten).
"CommErrorSleepSecs"=DWORD Value:300 Dieser Wert steht für die Anzahl der Sekunden, die SED Manager abwartet, bis sie erneut versucht, den Dell Server zu kontaktieren, wenn dieser nicht kommunizieren kann. Der Standardwert lautet 300 Sekunden (5 Minuten). ● Bei der Erstinstallation wird der Standort des Security Server-Hosts festgelegt. Diesen können Sie bei Bedarf ändern. Die Hostinformationen werden bei jeder Richtlinienänderung gelesen.
BitLocker Manager ● Falls auf dem Dell Server für BitLocker Manager ein selbstsigniertes Zertifikat verwendet wird, muss die SSL/TLS-Vertrauensprüfung auf dem Client-Computer deaktiviert bleiben (die SSL/TLS-Vertrauensprüfung ist standardmäßig deaktiviert bei BitLocker Manager). Vor dem Aktivieren der SSL/TLS-Vertrauensprüfung auf dem Client-Computer müssen die folgenden Voraussetzungen erfüllt sein.
4 Installation unter Verwendung des MasterInstallationsprogramms ● Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten. ● Um die Installation unter Verwendung nicht standardmäßiger Ports durchzuführen, verwenden Sie untergeordnete Installationsprogramme anstelle des Master-Installationsprogramms. ● Endpoint Security Suite Enterprise master-Installationsprogramm-Protokolldateien befinden sich unter C:\ProgramData\Dell\Dell Data Protection\Installer.
Klicken Sie auf Weiter. 6. Klicken Sie auf Weiter, um das Produkt am standardmäßigen Speicherort C:\Program Files\Dell\Dell Data Protection\. Dell recommends installing in the default location only zu speichern, da es zu Problemen kommen kann, falls dieser an anderen Speicherorten installiert wird. 7. Wählen Sie die zu installierenden Komponenten aus. Security Framework installiert das zugrunde liegende Sicherheits-Framework.
8. Klicken Sie auf Installieren, um mit der Installation zu beginnen. Die Installation kann mehrere Minuten dauern. 9. Wählen Sie Ja, ich möchte meinen Computer jetzt neu starten aus, und klicken Sie auf Fertig stellen.
Damit ist die Installation abgeschlossen. Installation durch Befehlszeile mit dem Master Installationsprogramm ● Bei einer Installation über die Befehlszeile müssen die Switches zuerst angegeben werden. Andere Parameter gehen in ein Argument ein, das an den /v-Schalter weitergegeben wird. Schalter ● Die folgende Tabelle beschreibt die Switches, die mit dem Endpoint Security Suite EnterpriseMaster-Installationsprogramm verwendet werden können.
Parameter Beschreibung SERVER Gibt die URL des Dell Server an. InstallPath Gibt den Pfad für die Installation an. Kann im HINTERGRUND-Modus verwendet werden. FUNKTIONEN Gibt die Komponenten an, die im HINTERGRUND-Modus installiert werden können. ATP = nur Advanced Threat Prevention DE-ATP = Advanced Threat Prevention und Encryption. Dies ist die standardmäßige Installation, wenn der Parameter FUNKTIONEN nicht festgelegt ist.
● (Auf einem Server-Betriebssystem) In diesem Beispiel werden Advanced Threat Prevention, Encryption, Web Protection und ClientFirewall unter Verwendung des Endpoint Security Suite Enterprise-Master-Installationsprogramms auf Standardports, im Hintergrund und am Standardspeicherort installiert: C:\Program Files\Dell\Dell Data Protection\ "DDSSuite.exe" /s /z"\"SERVER=server.organization.com, FEATURES=DE-ATP-WEBFIREWALL\"" ● (Auf einem Server-Betriebssystem) In diesem Beispiel wird nur Advanced Threat Preven
5 Deinstallation des MasterInstallationsprogramms ● Dell empfiehlt die Verwendung des Data Security-Deinstallationsprogramm, um die Data Security-Suite zu entfernen. ● Jede Komponente muss separat deinstalliert werden, gefolgt von der Deinstallation des Endpoint Security Suite EnterpriseMasterInstallationsprogramms. Die Clients müssen in einer bestimmten Reihenfolge deinstalliert werden, um Fehler bei der Deinstallation zu vermeiden.
6 Installation unter Verwendung der untergeordneten Installationsprogramme ● Um jeden Client einzeln zu installieren oder zu erweitern, müssen die untergeordneten ausführbaren Dateien zuerst aus dem Endpoint Security Suite EnterpriseMaster-Installationsprogramm extrahiert werden, wie unter Extrahieren der untergeordneten Installationsprogramme aus dem Master-Installationsprogramm erläutert. ● Bei in diesem Abschnitt enthaltenen Befehlsbeispielen wird davon ausgegangen, dass die Befehle von C:\extracted ausg
Option Erläuterung /qb! Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, fordert zum Neustart auf /qb!- Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, führt nach Abschluss des Vorgangs selbständig einen Neustart durch /qn Keine Benutzeroberfläche /norestart Neustart unterdrücken ● Weisen Sie die Benutzer an, sich mit dem folgenden Dokument und den Hilfedateien vertraut zu machen, um Unterstützung bei der Anwendung zu erhalten: ○ Informationen zur Verwendung der Funktionen von Encry
Parameter SERVERHOSTNAME= (Vollqualifizierter Domänenname des Dell Server für erneute Aktivierung) POLICYPROXYHOSTNAME= (Vollqualifizierter Domänenname des Standard-Richtlinien-Proxys) MANAGEDDOMAIN= (Für das Gerät zu verwendende Domäne) DEVICESERVERURL= (Zur Aktivierung verwendet URL; enthält normalerweise Servernamen, Port und xapi) GKPORT= (Gatekeeper-Port) MACHINEID= (Computername) RECOVERYID= (Wieder
● Im folgenden Beispiel werden Encryption und die Option „Für Freigabe verschlüsseln“ installiert, das Dell EncryptionInfobereichssymbol und die Überlagerungssymbole werden ausgeblendet, es gibt keine Dialogfelder, keine Statusanzeige und keinen Neustart und die Installation erfolgt im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection\Encryption. DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.
● Im folgenden Beispiel wird Dell Encryption im Modus mit verzögerter Aktivierung im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection\Encryption installiert. DDPE_XXbit_setup.exe /s /v"OPTIN=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https:// server.organization.com:8443/xapi/ MANAGEDDOMAIN=ORGANIZATION" MSI-Befehl: msiexec.exe /i "Dell Data Protection Encryption.msi" OPTIN="1" SERVERHOSTNAME="server.organization.
EMAgent_64bit_setup.exe /s /v"CM_EDITION=1 ENABLE_FDE_LM=1 FEATURE=FDE SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 /norestart /qn" ● Beispiel für eine Befehlszeile zur Installation von Encryption External Media über eine bestehende Installation mit vollständiger Datenträgerverschlüsselung.
Parameter ENABLE_FDE_LM=1 (ermöglicht die Installation einer vollständigen Datenträgerverschlüsselung auf einem Computer mit aktiver Dell Encryption) Eine Liste der grundlegenden .msi-Schalter und Anzeigeoptionen, die in Befehlszeilen verwendet werden können, finden Sie unter Installation unter Verwendung der untergeordneten Installationsprogramme.
● Als Teil der Installation wird ein virtuelles Serverbenutzerkonto ausschließlich für die Verwendung von Encryption auf einem Serverbetriebssystem erstellt. Passwort und DPAPI-Authentifizierung werden deaktiviert, sodass nur der virtuelle Serverbenutzer auf Verschlüsselungsschlüssel zugreifen kann. Vor der Installation ● Bei dem die Installation durchführenden Benutzerkonto muss es sich um einen Domänen-Benutzer mit Berechtigungen auf Administratorebene handeln.
5. Wählen Sie Lokaler Dell Management Server und klicken Sie auf Weiter. 6. Klicken Sie auf Weiter für die Installation im Standardverzeichnis. 7. Klicken Sie auf Weiter, um das Verwaltungstyp-Dialogfeld zu überspringen. 8. Geben Sie im Feld Security Management Server-Name den vollständigen qualifizierten Hostnamen des Dell Servers ein, mit dem der Zielbenutzer verwaltet werden soll (z. B. server.organization.com) bzw. validieren Sie ihn. Geben Sie den Domänennamen in das Feld Verwaltete Domäne (z. B.
10. Geben Sie unter Geräte-Server-URL die Informationen ein bzw. validieren Sie sie und klicken Sie auf Weiter. 11. Klicken Sie auf Installieren, um mit der Installation zu beginnen.
Die Installation kann mehrere Minuten dauern. 12. Wenn die Konfiguration abgeschlossen ist, klicken Sie auf Fertigstellen. Damit ist die Installation abgeschlossen. 13. Starten Sie den Computer neu. Dell empfiehlt das kurzfristige Verschieben des Neustarts nur, wenn Zeit benötigt wird, um Ihre Arbeit zu speichern und Anwendungen zu schließen. Die Verschlüsselung kann erst nach dem Neustart des Computers beginnen.
Über die Befehlszeile installieren Suchen Sie das Installationsprogramm in C:\extracted\Encryption. ● Verwenden Sie die Datei DDPE_xxbit_setup.exe für die Installation oder die Aktualisierung. Nutzen Sie dazu eine skriptgesteuerte Installation, Batchdateien oder eine andere in Ihrem Unternehmen verfügbare Push-Technologie. Schalter Die folgende Tabelle umfasst die für die Installation verfügbaren Schalter. Schalter Erläuterung /v Gibt Variablen an die .msi-Datei innerhalb der Datei DDPE_XXbit_setup.
Option Erläuterung /qb Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, fordert zum Neustart auf /qb- Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, führt nach Abschluss des Vorgangs selbstständig einen Neustart durch /qb! Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, fordert zum Neustart auf /qb!- Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, führt nach Abschluss des Vorgangs selbständig einen Neustart durch /qn Keine Benutzeroberfläche ANMERKUNG: Verwenden Sie
Aktivieren ● Stellen Sie sicher, dass es sich beim Computernamen des Servers um den Endpunktnamen handelt, der in der Verwaltungskonsole angezeigt werden soll. ● Ein interaktiver Benutzer mit Domänenadministrator-Anmeldeinformationen muss sich für die Erstaktivierung mindestens einmal auf dem Server anmelden.
Nach der Aktivierung beginnt die Verschlüsselung. 4. Nachdem die Verschlüsselungssuche abgeschlossen wurde, starten Sie den Computer neu, um Dateien, die zuvor verwendet wurden, zu verarbeiten. Dies ist ein wichtiger Schritt, der der Sicherheit dient. ANMERKUNG: Wenn die Richtlinie Sichere Windows-Anmeldeinformationen aktiviert wird, verschlüsselt Encryption auf Serverbetriebssystemen die \Windows\system32\config-Dateien einschließlich der Windows-Anmeldeinformationen. Die Dateien in \Windows\system32\confi
Virtueller Serverbenutzer ● In der Verwaltungskonsole finden Sie einen geschützten Server unter seinem Computernamen. Darüber hinaus verfügt jeder geschützte Server über sein eigenes virtuelles Serverbenutzerkonto. Jedes Konto hat einen eindeutigen statischen Benutzernamen und einen eindeutigen Computernamen. ● Das virtuelle Serverbenutzerkonto wird ausschließlich von Encryption auf Serverbetriebssystemen verwendet und ist ansonsten für den Betrieb des geschützten Servers transparent.
(Nur auf einem Serverbetriebssystem) Komponente Dell Encryption Management Agent, wie in Installation über die Befehlszeile gezeigt. 2. Advanced Threat Prevention-Client, gemäß Beschreibung unter Installation über die Befehlszeile. 3. Advanced Threat Prevention-Plug-in, gemäß Beschreibung unter Installation über die Befehlszeile.
"\Advanced Threat Prevention\WinNtAll\ATP_AgentSetup.exe" /s EXTRACT_INSTALLERS /v"/qb!" ANMERKUNG: Diese Komponenten dürfen nur über die Befehlszeile installiert werden. Wenn Sie doppelklicken, um diese Komponente zu installieren, wird eine Dell-fremde, nicht verwaltete Version des Produkts installiert, die nicht unterstützt wird. Wenn dies versehentlich erfolgte, gehen Sie zu „Programme hinzufügen/entfernen“, und deinstallieren Sie diese Version.
Parameter Beschreibung ADDLOCAL="fw,wc" Identifiziert die zu installierenden Module: fw=Client-Firewall wc=Web-Schutz „HIPS“ überschreiben Installation von Host Intrusion Prevention nicht durchführen. INSTALLDIR Kein standardmäßiges Installationsverzeichnis. nocontentupdate Weist das Installationsprogramm an, die Inhaltsdateien im Rahmen der Installation nicht automatisch zu aktualisieren. Dell empfiehlt, umgehend nach der Installation eine Aktualisierung einzuplanen.
SED Manager und PBA Advanced Authentication installieren ● Überprüfen Sie die SED-Anforderungen, wenn Ihr Unternehmen ein Zertifikat verwendet, das von einer Stammstelle, wie z. B. EnTrust oder Verisign, signiert wurde. Zur Aktivierung der SSL/TLS-Vertrauensprüfung muss eine Registrierungseinstellung auf dem Client-Computer geändert werden. ● Benutzer melden sich mit ihren Windows-Anmeldeinformationen an der PBA an.
● Die BitLocker Manager-Installationsprogramme können wie folgt bezogen werden: ○ Über Ihr Dell FTP-Konto – Suchen Sie das Installationspaket in der Datei Endpoint-Security-Suite-Ent-2.x.x.xxx.zip und extrahieren Sie dann die untergeordneten Installationsprogramme aus dem Master-Installationsprogramm. Nach dem Extrahieren finden Sie die Datei unter C:\extracted\Encryption Management Agent. Installation über die Befehlszeile ● Die folgende Tabelle umfasst die für die Installation verfügbaren Parameter.
7 Deinstallation unter Verwendung der untergeordneten Installationsprogramme ● Dell empfiehlt die Verwendung des Data Security-Deinstallationsprogramm, um die Data Security-Suite zu entfernen. ● Um jeden Client einzeln zu deinstallieren, müssen die untergeordneten ausführbaren Dateien zuerst aus dem Endpoint Security Suite EnterpriseMaster-Installationsprogramm extrahiert werden, wie unter Extrahieren der untergeordneten Installationsprogramme aus dem Master-Installationsprogramm erläutert.
Option Erläuterung /qb- Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, führt nach Abschluss des Vorgangs selbstständig einen Neustart durch /qb! Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, fordert zum Neustart auf /qb!- Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, führt nach Abschluss des Vorgangs selbständig einen Neustart durch /qn Keine Benutzeroberfläche Web Protection und Firewall deinstallieren Wenn Web Protection und Firewall nicht installiert sind, fahren Sie
Verfahren ● Deaktivieren Sie die PBA; dabei werden alle PBA-Daten vom Computer entfernt und die Schlüssel für Full Disc Encryption entsperrt. ● Full Disk Encryption deinstallieren PBA deaktivieren 1. 2. 3. 4. 5. Melden Sie sich als Dell Administrator bei der Verwaltungskonsole an. Klicken Sie im linken Fensterbereich auf Bestückungen > Endpunkte. Wählen Sie den entsprechenden Endpunkttyp aus. Wählen Sie Anzeigen >Sichtbar, Ausgeblendet oder Alle aus.
5. Wenn der Hostname des Computers bekannt ist, geben Sie ihn im Feld „Hostname“ ein (Platzhalter werden unterstützt). Sie können das Feld leer lassen, um alle Computer anzuzeigen. Klicken Sie auf Suchen. Wenn Sie den Hostnamen nicht kennen, machen Sie den Computer in der Liste ausfindig. Je nach Suchfilter wird ein Computer oder eine Liste von Computern angezeigt. 6. 7. 8. 9. 10. 11. 12. Klicken Sie auf den Hostnamen des gewünschten Computers. Klicken Sie im Hauptmenü auf Sicherheitsrichtlinien.
● Sie müssen vor dem Starten des Encryption Removal Agent das Dell Administrator-Download-Dienstprogramm (CMGAd) verwenden, falls Sie die Option Encryption Removal Agent importiert Schlüssel aus Datei verwenden möchten. Über dieses Dienstprogramm erhalten Sie das Verschlüsselungsschlüsselpaket. Weitere Informationen finden Sie unter Administrator-Download-Dienstprogramms verwenden (CMGAd). Das Dienstprogramm ist auf dem Dell Installationsmedium enthalten.
Parameter Auswahl SVCLOGONUN Benutzername im UPN-Format zur Anmeldung beim Encryption Removal Agent-Dienst als Parameter. SVCLOGONPWD Passwort für die Anmeldung als Benutzer. ● Im folgenden Beispiel werden im Hintergrund Encryption deinstalliert und die Verschlüsselungsschlüssel vom Security Management Server heruntergeladen. DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1 DA_SERVER=server.organization.com DA_PORT=8050 SVCPN=administrator@organization.com DA_RUNAS=domain\username DA_RUNASP
8 Data Security-Deinstallationsprogramm Deinstallieren von Endpoint Security Suite Enterprise Dell liefert das Deinstallationsprogramm von Data Security als Master-Deinstallationsprogramm. Dieses Dienstprogramm sammelt die derzeit installierten Produkte und entfernt diese in der entsprechenden Reihenfolge. ANMERKUNG: Bei der Deinstallation von FDE empfiehlt Dell einen Neustart des Computers nach Abschluss der Deaktivierung von FDE, um Probleme mit dem Ruhezustand des Computers zu verhindern.
Optional löschen Sie eine beliebige Anwendung vom Entfernen und klicken auf Weiter. Erforderliche Abhängigkeiten werden automatisch ausgewählt oder gelöscht.
Um Anwendungen ohne vorherige Installation des Encryption Removal Agent zu entfernen, wählen Sie Encryption Removal Agent nicht installieren und anschließend Weiter. Wählen Sie Encryption Removal Agent – Schlüssel von Server herunterladen. Geben Sie die vollständig qualifizierten Anmeldeinformationen für einen forensischen Administrator ein und wählen Sie Weiter.
Wählen Sie Entfernen, um den Deinstallationsvorgang zu starten. Klicken Sie auf Fertigstellen, um das Entfernen abzuschließen, und starten Sie den Computer neu. Rechner nach dem Klicken auf Fertig stellen neu starten ist standardmäßig ausgewählt.
Deinstallation und Entfernen sind abgeschlossen.
9 Gängige Szenarien ● Um jeden Client einzeln zu installieren, müssen die untergeordneten ausführbaren Dateien zuerst aus dem Endpoint Security Suite EnterpriseMaster-Installationsprogramm extrahiert werden, wie unter Extrahieren der untergeordneten Installationsprogramme aus dem Master-Installationsprogramm erläutert. ● Die Komponente für das untergeordnete Installationsprogramm für Advanced Threat Prevention darf nur über die Befehlszeile installiert werden.
● Weisen Sie die Benutzer an, sich mit dem folgenden Dokument und den Hilfedateien vertraut zu machen, um Unterstützung bei der Anwendung zu erhalten: ○ Informationen zur Verwendung der Funktionen von Encryption finden Sie in der Dell Encrypt Help (Hilfe zu Dell Encrypt). Hier können Sie auf die Hilfe zugreifen: :\Program Files\Dell\Dell Data Protection\Encryption\Help.
\Threat Protection\ThreatProtection\WinXXR ● Im folgenden Beispiel wird der Client mit den Standard-Parametern installiert (Unterdrückung des Neustarts, keine Dialogfelder, keine Fortschrittsleiste, kein Eintrag in die Liste der Programme in der Systemsteuerung). "DellThreatProtection.msi" /qn REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1 \Threat Protection\SDK ● Im folgenden Beispiel wird der SDK deinstalliert. EnsMgmtSdkInstaller.exe "C:\Program Files\Dell\Dell Data Protection\Threat Protection\DellAVAgent.
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM / norestart /qn" Dann: ● Im folgenden Beispiel wird Advanced Threat Prevention installiert (automatische Installation, kein Neustart, Installationsprotokolldatei und Installationsordner in den angegebenen Speicherorten). MSIEXEC.EXE /I "ATP_CSF_Plugins_x64.msi" /qn REBOOT="ReallySuppress" ARPSYSTEMCOMPONENT="1" /l*v "C:\ProgramData\Dell\
10 Bereitstellung eines Mandanten Ein Tenant muss im Dell Server bereitgestellt werden, bevor die Durchsetzung von Advanced Threat Prevention-Richtlinien aktiv wird. Voraussetzungen ● Muss durch einen Administrator mit der Systemadministratorrolle durchgeführt werden. ● Muss über eine Verbindung mit dem Internet verfügen, um auf dem Dell Server bereitgestellt zu werden.
4. Die geführte Einrichtung beginnt, sobald die Lizenzen importiert wurden. Klicken Sie zum Starten auf Weiter. 5. Lesen Sie die EULA, stimmen Sie ihr zu und klicken Sie dann auf Weiter.
6. Geben Sie die Anmeldeinformationen für den Dell Server ein, um den Mandanten bereitzustellen. Klicken Sie auf Weiter. Die Bereitstellung eines vorhandenen Mandanten der Marke Cylance wird nicht unterstützt. 7. Laden Sie das Zertifikat herunter. Dies ist erforderlich, um eine Wiederherstellung im Falle von Notfallszenarien mit dem Dell Server durchzuführen. Dieses Zertifikat wird nicht automatisch gesichert. Sichern Sie das Zertifikat auf einem sicheren Speicherplatz auf einem anderen Computer.
8. Die Einrichtung ist abgeschlossen. Klicken Sie auf OK.
11 Konfigurieren der automatischen Aktualisierung des Advanced Threat Prevention Agenten Sie können sich in der Verwaltungskonsole anmelden, um automatische Aktualisierungen für den Advanced Threat Prevention-Agenten zu erhalten. Durch die Anmeldung für den Empfang automatischer Agent-Aktualisierungen können Clients Aktualisierungen automatisch herunterladen und über den Advanced Threat Prevention Dienst anwenden. Aktualisierungen werden monatlich herausgegeben.
12 Vorinstallationskonfiguration für die SED-UEFI und BitLocker Manager TPM initialisieren ● Für diesen Vorgang müssen Sie Mitglied der lokalen Administratorgruppe oder dergleichen sein. ● Der Computer muss mit einem kompatiblen BIOS und TPM ausgestattet sein. ● Folgen Sie den Anweisungen unter http://technet.microsoft.com/en-us/library/cc753140.aspx.
Deaktivierung von Legacy-Option-ROMs Stellen Sie sicher, dass die Einstellung Legacy-Option-ROMs aktivieren im BIOS deaktiviert wurde. 1. 2. 3. 4. 5. Starten Sie den Computer neu. Drücken Sie während des Neustarts wiederholt F12, um die Start-Einstellungen des UEFI-Computers aufzurufen. Drücken Sie die Taste mit dem Pfeil nach unten, markieren Sie die Option BIOS-Einstellungen, und drücken Sie die Eingabetaste. Wählen Sie Einstellungen > Allgemein > Erweiterte Startoptionen.
13 Festlegen des Dell Server über die Registrierung ● Wenn Ihre Clients über Dell Digital Delivery berechtigt sind, befolgen Sie diese Anweisungen, um eine Registrierung über Gruppenrichtlinienobjekte einzurichten, um den Dell Server für die Verwendung nach der Installation einzurichten. ● Die Workstation muss ein Mitglied der Organisationseinheit sein, in der die Gruppenrichtlinienobjekte angewendet werden, oder die Registrierungseinstellungen müssen manuell auf dem Endpunkt festgelegt werden.
4. Klicken Sie mit der rechten Maustaste auf das neu erstellte Gruppenrichtlinienobjekt, und wählen Sie Bearbeiten aus. 5. Der Group Policy Management Editor wird geladen. Rufen Sie Computerkonfiguration > Einstellungen > WindowsEinstellungen > Registrierung auf. 6. Klicken Sie mit der rechten Maustaste auf die Registrierung und wählen Sie Neu > Registrierungseintrag aus. Nehmen Sie die folgenden Einstellungen vor: Action: Create Hive: HKEY_LOCAL_MACHINE Key Path: SOFTWARE\Dell\Dell Data Protection Value
Value type: REG_SZ Wertedaten: 7. Klicken Sie auf OK. 8. Melden Sie sich von der Workstation ab und dann wieder an, oder führen Sie gpupdate /force aus, um die Gruppenrichtlinie zu übernehmen.
14 Untergeordnete Installationsprogramme extrahieren ● Zur Einzelinstallation der Clients müssen zunächst die untergeordneten ausführbaren Dateien aus dem Installationsprogramm extrahiert werden. ● Das Master-Installationsprogramm ist kein Master-Deinstallationsprogramm. Jede Komponente muss einzeln deinstalliert werden, gefolgt von der Deinstallation des Master-Installationsprogramms.
15 Konfigurieren von Key Server ● In diesem Abschnitt wird beschrieben, wie Komponenten für die Verwendung mit der Kerberos-Authentifizierung/-Autorisierung bei Verwendung eines Security Management Server konfiguriert werden. Der Security Management Server Virtual verwendet den Key Server nicht. Der Key Server ist ein Dienst, der überwacht, ob Clients eine Verbindung über ein Socket herstellen.
4. Starten Sie den Key Server-Dienst neu (lassen Sie das Dialogfeld „Dienste“ für weitere Arbeitsschritte geöffnet). 5. Navigieren Sie zu „ log.txt“, um zu überprüfen, ob der Dienst korrekt gestartet wurde. Key-Server-Konfigurationsdatei – Fügen Sie Benutzer für Security Management Server-Kommunikation hinzu 1. Navigieren Sie zu . 2. Öffnen Sie die Datei Credant.KeyServer.exe.config mit einem Texteditor. 3.
Beispielkonfigurationsdatei [TCP-Port, den der Key Server hört. Die Standardeinstellung ist 8050.] [Anzahl der vom Key Server zugelassenen aktiven Sockelverbindungen] [Security Server (früher: Device Server) URL (das Format lautet 8081/xapi für Security Management Server vor Version 7.
6. Klicken Sie im linken Menü auf Benutzer. Geben Sie in das Suchfeld den in Schritt 5 hinzugefügten Benutzernamen ein. Klicken Sie auf Suchen. 7. Sobald der korrekte Benutzer gefunden wurde, klicken Sie auf die Registerkarte Admin. 8. Wählen Sie Forensischer Administrator aus, und klicken Sie dann auf Aktualisieren. Die Komponenten sind nun für die Kerberos-Authentifizierung/-Autorisierung konfiguriert.
16 Verwenden Sie das administrative Dienstprogramm zum Herunterladen (CMGAd) ● Mit diesem Dienstprogramm können Sie Schlüsseldatenpakete zur Verwendung auf einem Computer herunterladen, der nicht mit einem Dell Server verbunden ist.
3. Geben Sie unter Passphrase: eine Passphrase ein, um die heruntergeladene Datei zu schützen. Die Passphrase muss mindestens acht Zeichen enthalten, darunter mindestens einen Buchstaben und eine Ziffer. Bestätigen Sie die Passphrase. Akzeptieren Sie entweder die Standardwerte für Dateinamen und Speicherort oder klicken Sie auf …, um einen anderen Speicherort auszuwählen. Klicken Sie auf Weiter. Eine Meldung zeigt an, dass die Schlüsseldaten erfolgreich entsperrt wurden.
Verwenden des Admin-Modus Der Security Management Server Virtual verwendet den Key Server nicht, d. h. im Admin-Modus kann kein Schlüsselpaket über den Security Management Server Virtual abgerufen werden. Verwenden Sie den forensischen Modus, um das Schlüsselpaket zu erhalten, wenn der Client auf einem Security Management Server Virtual aktiviert ist. 1. Öffnen Sie am Speicherort von CMGAd eine Befehlseingabe, und geben Sie cmgad.exe -a ein. 2.
Eine Meldung zeigt an, dass die Schlüsseldaten erfolgreich entsperrt wurden. Die Dateien sind jetzt frei zugänglich. 4. Klicken Sie anschließend auf Fertig stellen.
17 Encryption auf einem Serverbetriebssystem konfigurieren Encryption auf einem Serverbetriebssystem aktivieren ANMERKUNG: Encryption auf Serverbetriebssystemen wandelt Benutzerverschlüsselung in allgemeine Verschlüsselung um. 1. Melden Sie sich als Dell Administrator bei der Verwaltungskonsole an. 2.
– ist und der geschützte Server zuerst erkennt, dass ein Wechselmedium angeschlossen ist, wird der Benutzer aufgefordert, das Wechselmedium zu verschlüsseln. ● Richtlinien für Encryption External Media steuern den Zugriff von Wechselmedien auf den Server, Authentifizierung, Verschlüsselung und mehr.
Klicken Sie unter Servergerätesteuerung auf Sperren und dann auf Ja. ANMERKUNG: Klicken Sie auf die Schaltfläche Reaktivieren, um Encryption auf Serverbetriebssystemen den Zugriff auf die verschlüsselten Daten auf dem Server zu ermöglichen, nachdem dieser neu gestartet wurde.
18 Verzögerte Aktivierung konfigurieren Der Encryption-Client mit verzögerter Aktivierung unterscheidet sich von der Encryption-Client-Aktivierung auf zwei Arten: Gerätebasierte Verschlüsselungsrichtlinien Die Encryption-Client-Richtlinien sind benutzerbasiert; die Verschlüsselungsrichtlinien von Encryption-Client mit verzögerter Aktivierung sind gerätebasiert. Benutzerverschlüsselung wird in allgemeine Verschlüsselung konvertiert.
Dell empfiehlt, ein Windows-Kennwort einzurichten (sofern noch nicht vorhanden), um den Zugriff auf Ihre verschlüsselten Daten zu beschränken. Wenn Sie den Computer durch ein Kennwort schützen, können sich andere nicht ohne dieses Kennwort bei Ihrem Benutzerkonto anmelden. Deinstallieren Sie frühere Versionen des Encryption-Clients Stoppen oder halten Sie vor der Deinstallation einer früheren Version des Encryption-Clients einen Verschlüsselungsdurchgang, falls erforderlich, an.
ANMERKUNG: Persönliche oder E-Mail-Adressen, die nicht zur Domain gehören, können nicht für die Aktivierung verwendet werden. 3. Klicken Sie auf Schließen. Der Dell Server kombiniert das Verschlüsselungsschlüsselpaket mit den Anmeldeinformationen des Benutzers und mit der eindeutigen ID (Maschinen-ID) des Computers. Dadurch erstellt er eine unknackbare Beziehung zwischen dem Schlüsselpaket, dem entsprechenden Computer und dem Benutzer. 4.
Der Encryption-Client konnte nicht mit dem Dell Server kommunizieren. Mögliche Lösungen ● Verbinden Sie sich direkt mit dem Netzwerk der Organisation und nehmen Sie die Aktivierung erneut vor. ● Wenn für die Verbindung mit dem Netzwerk ein VPN-Zugriff erforderlich ist, überprüfen Sie die VPN-Verbindung und versuchen Sie es erneut. ● Überprüfen Sie die Dell Server-URL, um sicherzustellen, dass diese mit der durch den Administrator bereitgestellten URL übereinstimmt.
19 Fehlerbehebung Alle Clients – Fehlerbehebung ● Endpoint Security Suite Enterprise master-Installationsprogramm-Protokolldateien befinden sich unter C:\ProgramData\Dell\Dell Data Protection\Installer. ● Windows erstellt für den angemeldeten Benutzer eindeutige Installationsprotokolldateien des untergeordneten Installationsprogramms im Verzeichnis „%temp%“ unter C:\Users\\AppData\Local\Temp. ● Windows erstellt Protokolldateien für Client-Voraussetzungen, z. B.
Der Benutzername oder das Passwort stimmen nicht überein. Mögliche Lösung: Versuchen Sie, sich erneut anzumelden, und achten Sie genau auf die korrekte Eingabe von Benutzernamen und Passwort. Fehlermeldung: Die Aktivierung ist fehlgeschlagen, weil das Benutzerkonto nicht über Domänenadministrator-Rechte verfügt. Die für die Aktivierung verwendeten Anmeldeinformationen haben keine Domänenadministrator-Rechte, oder der AdministratorBenutzername lag nicht im UPN-Format vor.
2. Bei Erkennung eines neuen (nicht verwalteten) Benutzers wird das Dialogfenster Aktivieren angezeigt. Der Benutzer klickt auf Abbrechen. 3. Der Benutzer öffnet das Feld „Info“ der Serververschlüsselung, um zu bestätigen, dass sie im Servermodus ausgeführt wird. 4. Der Benutzer klickt mit der rechten Maustaste im Infobereich auf das Encryption-Symbol und wählt Dell Encryption aktivieren. 5. Der Benutzer gibt die Anmeldeinformationen des Domänenadministrators im Dialogfenster für die Aktivierung ein.
Weitere Informationen zur Richtlinie ntervall für Neuversuch nach Netzwerkfehlerfinden Sie in der Administratorhilfe, verfügbar in der Verwaltungskonsole. Authentifizierung und Geräteaktivierung Das folgende Diagramm stellt eine erfolgreiche Authentifizierung und Geräteaktivierung dar. 1.
TSS-Version suchen ● TSS ist eine Komponente, die als Schnittstelle zu TPM fungiert. Zur Ermittlung der TSS-Version wechseln Sie zu C:\Program Files\Dell\Dell Data Protection\Drivers\TSS\bin > tcsd_win32.exe (Standardspeicherort). Klicken Sie mit der rechten Maustaste auf die Datei, und wählen Sie Eigenschaften aus. Überprüfen Sie die Dateiversion auf der Registerkarte Details.
ODER 1. Klicken Sie auf Erweitert, um zur Ansicht Einfach zu wechseln und einen bestimmten Ordner zu durchsuchen. 2. Wechseln Sie zu „Sucheinstellungen“ und geben Sie im Feld Suchpfad den Ordnerpfad ein. Wenn Sie dieses Feld verwenden, wird die Auswahl im Menü ignoriert. 3. Falls die Ausgabe des Suchdienstprogramms „WSScan“ nicht in einer Datei gespeichert werden soll, deaktivieren Sie das Kontrollkästchen Ausgabe in Datei. 4. Ändern Sie unter Pfad ggf. den Standardpfad und den Standarddateinamen. 5.
Verwenden der WSScan-Befehlszeile WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o] [-a] [-f] [-r] [u[a][-|v]] [-d] [-q] [-e] [-x] [-y] Schalter Erläuterung Laufwerk Zu durchsuchendes Laufwerk. Falls keine Angabe gemacht wird, werden standardmäßig alle lokalen Festplattenlaufwerke durchsucht. Kann ein zugeordnetes Netzwerklaufwerk sein.
Schalter Erläuterung -s Hintergrundbetrieb -o Ausgabedateipfad -a An Ausgabedatei anhängen. Die Ausgabedatei wird standardmäßig abgeschnitten. -f Berichtsformat angeben (Bericht, fest, begrenzt). -r WSScan ohne Administratorrechte ausführen. In diesem Modus sind einige Dateien möglicherweise nicht sichtbar. -u Einbeziehen unverschlüsselter Dateien in die Ausgabedatei. Dieser „-u“-Switch ist hochempfindlich. Entweder müssen zuerst „u“ gefolgt von „a“ eingegeben (bzw.
Ausgabe Erläuterung KCID Die ID des Schlüssel-Computers. Im Beispiel oben „7vdlxrsb“ Wenn Sie ein zugeordnetes Netzwerklaufwerk durchsuchen, gibt der Abfragebericht keine KCID aus. UCID Die Benutzer-ID. Im Beispiel oben „_SDENCR_“ Die UCID ist für alle Benutzer des Computers gleich. Datei Der Pfad der verschlüsselten Datei. Wie im Beispiel oben angezeigt, „c:\temp\Dell - test.log“ Algorithmus Im Folgenden finden Sie den für die Verschlüsselung der Datei verwendeten Verschlüsselungsalgorithmus.
Verwenden des Suchdienstprogramms WSProbe.exe befindet sich auf den Installationsmedien. Syntax wsprobe [path] wsprobe [-h] wsprobe [-f path] wsprobe [-u n] [-x process_names] [-i process_names] Parameter Parameter Um die SSL/TLS-Vertrauensprüfung für BitLocker Manager zu Pfad Gibt optional einen bestimmten Pfad auf dem Gerät an, der auf mögliche Verschlüsselung/ Entschlüsselung durchsucht werden soll.
○ ○ ○ ○ Die Dateien konnten nicht richtliniengemäß entschlüsselt werden. Die Dateien waren zur Verschlüsselung markiert. Während der Entschlüsselungssuche trat ein Fehler auf. In sämtlichen Fällen wird eine Protokolldatei erstellt, sofern mindestens LogVerbosity=2 eingestellt ist (und die Protokollierung aktiviert wurde).
Fehlerbehebung
Das folgende Diagramm veranschaulicht die Agentenkommunikation für Advanced Threat Prevention. Integritätsüberprüfung des BIOS-Abbildes Das folgende Diagramm veranschaulicht die Integritätsüberprüfung des BIOS-Abbildes. Eine Liste der Dell Computermodelle, auf denen die Integritätsüberprüfung des BIOS-Abbildes unterstützt wird, finden Sie unter Anforderungen – Integritätsüberprüfung des BIOS-Abbilds.
SED-Fehlerbehebung Den ersten Zugriffscode verwenden ● Diese Richtlinie wird zur Anmeldung bei einem Computer verwendet, wenn kein Netzwerkzugriff verfügbar und dadurch auch der Zugriff auf den Dell Server und Active Directory (AD) nicht möglich ist. Verwenden Sie die Richtlinie Erster Zugriffscode nur, wenn es keine andere Möglichkeit gibt. Dell rät von dieser Vorgehensweise für die Anmeldung ausdrücklich ab.
Antwortcode vom Dell Server erstellt werden kann, wenn der Benutzer das Kennwort falsch eingibt oder die Selbsthilfe-Fragen nicht beantworten kann. ● Der erste Zugriffscode kann nur ein Mal – unmittelbar nach der Aktivierung – verwendet werden. Nach der Anmeldung eines Benutzers steht der erste Zugriffscode nicht mehr zur Verfügung. Die erste Domänenanmeldung nach der Eingabe des ersten Zugriffscodes wird zwischengespeichert, und das Eingabefeld für den ersten Zugriffscode wird nicht mehr angezeigt.
1. Erstellen Sie eine Datei mit der Bezeichnung PBAErr.log im Stammverzeichnis des USB-Laufwerks. 2. Setzen Sie das USB-Laufwerk vor dem Einschalten des Computers ein. 3. Entfernen Sie das USB-Laufwerk nach der Reproduzierung des Problems in Bezug auf die Erforderlichkeit der Protokolle. Die Datei „PBAErr.log“ wird in Echtzeit aktualisiert und geschrieben.
4. Wählen Sie das auf dem Zielcomputer ausgeführte Betriebssystem aus. 5. Wählen Sie die Kategorie Sicherheit.
6. Laden Sie die Dell ControlVault-Treiber herunter, und speichern Sie sie. 7. Laden Sie die Dell ControlVault-Firmware herunter, und speichern Sie sie. 8. Kopieren Sie die Treiber und die Firmware bei Bedarf auf die Zielcomputer. Installieren des Dell ControlVault-Treibers 1. Gehen Sie zu dem Ordner, in den Sie die Treiberinstallationsdatei abgelegt haben.
2. Doppelklicken Sie auf den Dell ControlVault-Treiber, um die selbstextrahierende EXE-Datei aufzurufen. ANMERKUNG: Achten Sie darauf, als Erstes den Treiber zu installieren. Der Dateiname des Treibers zum Zeitpunkt der Erstellung dieses Dokuments lautet „ControlVault_Setup_2MYJC_A37_ZPE.exe“. 3. Klicken Sie zum Fortsetzen des Vorgangs auf Weiter. 4. Klicken Sie auf OK, um die Treiberdateien in den Standardordner C:\Dell\Drivers\ zu entpacken. 5.
6. Klicken Sie auf OK, wenn die Nachricht angezeigt wird, dass die Dateien erfolgreich entpackt wurden. 7. Nach dem Entpacken wird der Ordner angezeigt, der die entpackten Dateien enthält. Ist dies nicht der Fall, gehen Sie zu dem Ordner, in den Sie die Dateien entpackt haben. Der Ordner ist als JW22F bezeichnet 8. Doppelklicken Sie auf die Datei CVHCI64.MSI, um das Treiberinstallationsprogramm zu starten. [Die Datei CVHCI64.MSI in diesem Beispiel bezieht sich auf ein 64-Bit-System.
10. Klicken Sie auf Weiter für die Installation im Standardverzeichnis von C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\. 11. Wählen Sie die Option Abschließen aus, und klicken Sie auf Weiter.
12. Klicken Sie auf Installieren, um mit der Installation der Treiber zu beginnen. 13. Aktivieren Sie optional das Kontrollkästchen, um die Protokolldatei für das Installationsprogramm anzuzeigen. Klicken Sie zum Beenden des Assistenten auf Fertig stellen.
Überprüfen der Treiberinstallation ● Der Device Manager zeigt je nach Betriebssystem und Hardwarekonfiguration ein Dell ControlVault-Gerät (sowie weitere Geräte) an. Installieren der Dell ControlVault-Firmware 1. Gehen Sie zu dem Ordner, in den Sie die Firmware-Installationsdatei abgelegt haben. 2. Doppelklicken Sie auf die Dell ControlVault-Firmware, um die selbstextrahierende EXE-Datei aufzurufen. 3. Klicken Sie zum Fortsetzen des Vorgangs auf Weiter.
4. Klicken Sie auf OK, um die Treiberdateien in den Standardordner C:\Dell\Drivers\ zu entpacken. 5. Klicken Sie auf Ja, um die Erstellung eines neuen Ordners zu genehmigen. 6. Klicken Sie auf OK, wenn die Nachricht angezeigt wird, dass die Dateien erfolgreich entpackt wurden. 7. Nach dem Entpacken wird der Ordner angezeigt, der die entpackten Dateien enthält. Ist dies nicht der Fall, gehen Sie zu dem Ordner, in den Sie die Dateien entpackt haben. Wählen Sie den Ordner Firmware aus.
8. Doppelklicken Sie auf die Datei ushupgrade.exe, um das Firmware-Installationsprogramm zu starten. 9. Klicken Sie zum Starten der Firmware auf Start.
ANMERKUNG: Sie werden möglicherweise dazu aufgefordert, das Administratorkennwort einzugeben, wenn Sie ein Upgrade von einer älteren Firmware-Version durchführen. Geben Sie Broadcom als Kennwort ein, und klicken Sie auf Eingabe, wenn diese Option im Dialogfeld angezeigt wird. Es werden verschiedene Statusmeldungen angezeigt.
Fehlerbehebung 133
10. Klicken Sie auf Neu starten, um das Firmware-Upgrade abzuschließen. Die Aktualisierung der Treiber und der Firmware für Dell ControlVault ist damit abgeschlossen.
UEFI Computers Fehlerbehebung bei Problemen mit der Netzwerkverbindung ● Damit die Preboot-Authentifizierung auf einem Computer mit UEFI-Firmware erfolgreich verläuft, muss der PBA-Modus mit Netzwerkkonnektivität ausgerüstet sein. Auf Computern mit UEFI-Firmware ist standardmäßig erst dann Netzwerkkonnektivität verfügbar, wenn das Betriebssystem geladen wurde. Dies geschieht in der Regel nach dem PBA-Modus.
Konstante/Wert Beschreibung TPM_E_FAIL Der Vorgang ist fehlgeschlagen. 0x80280009 TPM_E_BAD_ORDINAL Die Ordnungszahl war unbekannt oder nicht konsistent. 0x8028000A TPM_E_INSTALL_DISABLED Die Option zum Installieren eines Besitzers ist deaktiviert. 0x8028000B TPM_E_INVALID_KEYHANDLE Das Schlüsselhandle kann nicht interpretiert werden. 0x8028000C TPM_E_KEYNOTFOUND Das Schlüsselhandle zeigt auf einen ungültigen Schlüssel. 0x8028000D TPM_E_INAPPROPRIATE_ENC Unzulässiges Verschlüsselungsschema.
Konstante/Wert Beschreibung TPM_E_SHA_THREAD Es ist kein SHA-1-Thread vorhanden. 0x8028001A TPM_E_SHA_ERROR 0x8028001B TPM_E_FAILEDSELFTEST 0x8028001C TPM_E_AUTH2FAIL 0x8028001D TPM_E_BADTAG Die Berechnung kann nicht fortgesetzt werden, da beim vorhandenen SHA-1-Thread bereits ein Fehler aufgetreten ist. Vom TPM-Hardwaregerät wurde beim internen Selbsttest ein Fehler gemeldet. Starten Sie den Computer neu, um das Problem zu beheben. Falls das Problem weiterhin besteht, muss ggf.
Konstante/Wert Beschreibung TPM_E_BAD_DATASIZE Die Größe des Datenparameters (oder BLOB-Parameters) ist unzulässig oder nicht mit dem Schlüssel konsistent, auf den verwiesen wird. 0x8028002B TPM_E_BAD_MODE 0x8028002C TPM_E_BAD_PRESENCE 0x8028002D TPM_E_BAD_VERSION Ein Modusparameter ist ungültig, z. B. capArea oder subCapArea für TPM_GetCapability, phsicalPresenceParameter für TPM_PhysicalPresence oder migrationType für TPM_CreateMigrationBlob.
Konstante/Wert Beschreibung TPM_E_AUTH_CONFLICT Das BLOB "NV_LoadKey" erfordert eine Besitzerautorisierung und eine BLOB-Autorisierung. 0x8028003B TPM_E_AREA_LOCKED Der permanente Bereich ist gesperrt und nicht beschreibbar. 0x8028003C TPM_E_BAD_LOCALITY Der Ort für den Vorgang ist falsch. 0x8028003D TPM_E_READ_ONLY 0x8028003E TPM_E_PER_NOWRITE Der permanente Bereich ist schreibgeschützt und daher nicht beschreibbar. Der permanente Bereich ist nicht schreibgeschützt.
Konstante/Wert Beschreibung TPM_E_DELEGATE_FAMILY Es wurde versucht, eine andere als die delegierte Familie zu verwalten. 0x8028004C TPM_E_DELEGATE_ADMIN Die Verwaltung der Delegierungstabelle ist nicht aktiviert. 0x8028004D TPM_E_TRANSPORT_NOTEXCLUSIVE 0x8028004E TPM_E_OWNER_CONTROL 0x8028004F TPM_E_DAA_RESOURCES 0x80280050 TPM_E_DAA_INPUT_DATA0 0x80280051 TPM_E_DAA_INPUT_DATA1 0x80280052 TPM_E_DAA_ISSUER_SETTINGS Es wurde ein Befehl außerhalb einer exklusiven Transportsitzung ausgeführt.
Konstante/Wert Beschreibung TPM_E_MA_DESTINATION Das Migrationsziel wurde nicht authentifiziert. 0x8028005D TPM_E_MA_SOURCE Die Migrationsquelle ist falsch. 0x8028005E TPM_E_MA_AUTHORITY Die Migrationsautorität ist falsch. 0x8028005F TPM_E_PERMANENTEK 0x80280061 TPM_E_BAD_SIGNATURE Es wurde versucht, den EK zu widerrufen, der EK kann jedoch nicht widerrufen werden. Die Signatur des CMK-Tickets ist ungültig.
Konstante/Wert Beschreibung TBS_E_INVALID_OUTPUT_POINTER Ein angegebener Ausgabezeiger ist ungültig. 0x80284003 TBS_E_INVALID_CONTEXT 0x80284004 TBS_E_INSUFFICIENT_BUFFER Das angegebene Kontexthandle bezieht sich nicht auf einen gültigen Kontext. Der angegebene Ausgabepuffer ist zu klein. 0x80284005 TBS_E_IOERROR Bei der Kommunikation mit TPM ist ein Fehler aufgetreten. 0x80284006 TBS_E_INVALID_CONTEXT_PARAM Mindestens ein Kontextparameter ist ungültig.
Konstante/Wert Beschreibung verschiedenen Aktionen ausgeführt werden. Die Aktion der TPM-Verwaltungskonsole ("Start" -> "tpm.msc") zur Herstellung der TPM-Bereitschaft ist dabei möglicherweise hilfreich. Weitere Informationen finden Sie in der Dokumentation zur Win32_Tpm WMI-Methode 'Provision'.
Konstante/Wert Beschreibung TPMAPI_E_INVALID_CONTEXT_HANDLE Das angegebene Kontexthandle ist ungültig. 0x8029010A TPMAPI_E_TBS_COMMUNICATION_ERROR Bei der Kommunikation mit TBS ist ein Fehler aufgetreten. 0x8029010B TPMAPI_E_TPM_COMMAND_ERROR TPM hat ein unerwartetes Ergebnis zurückgeliefert. 0x8029010C TPMAPI_E_MESSAGE_TOO_LARGE Die Nachricht ist zu lang für das Codierungsschema. 0x8029010D TPMAPI_E_INVALID_ENCODING Die Codierung des BLOB wurde nicht erkannt.
Konstante/Wert Beschreibung TPMAPI_E_INVALID_TCG_LOG_ENTRY Ein Eintrag im TCG-Ereignisprotokoll war ungültig. 0x8029011B TPMAPI_E_TCG_SEPARATOR_ABSENT Es wurde kein TCG-Trennzeichen gefunden. 0x8029011C TPMAPI_E_TCG_INVALID_DIGEST_ENTRY 0x8029011D TPMAPI_E_POLICY_DENIES_OPERATION 0x8029011E TBSIMP_E_BUFFER_TOO_SMALL Ein Digestwert in einem TCG-Protokolleintrag stimmte nicht mit den Hashdaten überein. Der angeforderte Vorgang wurde von der aktuellen TPMRichtlinie blockiert.
Konstante/Wert Beschreibung TBSIMP_E_LIST_NO_MORE_ITEMS Die angegebene Liste ist leer, oder die Iteration hat das Ende der Liste erreicht. 0x8029020D TBSIMP_E_LIST_NOT_FOUND Das angegebene Element wurde nicht in der Liste gefunden. 0x8029020E TBSIMP_E_NOT_ENOUGH_SPACE 0x8029020F TBSIMP_E_NOT_ENOUGH_TPM_CONTEXTS Das TPM verfügt nicht über genügend Speicherplatz, um die angeforderte Ressource zu laden. Es werden zu viele TPM-Kontexte verwendet.
Konstante/Wert Beschreibung TPM_E_PPI_BIOS_FAILURE 0x80290302 Aufgrund des BIOS-Fehlers konnte der angeforderte TPMVorgang nicht erfolgreich ausgeführt werden (z. B. ungültige TPM-Vorgangsanforderung, BIOS-Kommunikationsfehler beim TPM). TPM_E_PPI_NOT_SUPPORTED Das BIOS unterstützt die Anwesenheitsschnittstelle nicht.
Konstante/Wert Beschreibung 0x80300002 PLA_E_DCS_IN_USE 0x803000AA PLA_E_TOO_MANY_FOLDERS 0x80300045 PLA_E_NO_MIN_DISK 0x80300070 PLA_E_DCS_ALREADY_EXISTS Der Sammlungssatz oder eine der Abhängigkeiten wird bereits verwendet. Der Sammlungssatz konnte nicht gestartet werden, da zu viele Ordner vorhanden sind. Es ist nicht genügend freier Speicherplatz verfügbar, um den Sammlungssatz zu starten. Der Sammlungssatz ist bereits vorhanden.
Konstante/Wert Beschreibung PLA_E_REPORT_WAIT_TIMEOUT Zeitüberschreitung beim Warten auf den Abschluss des Berichtgenerierungstools. 0x8030010C PLA_E_NO_DUPLICATES Elementduplikate sind nicht zulässig. 0x8030010D PLA_E_EXE_FULL_PATH_REQUIRED 0x8030010E PLA_E_INVALID_SESSION_NAME Wenn Sie die ausführbare Datei angeben, die Sie verfolgen möchten, müssen Sie einen vollständigen Pfad zu der ausführbaren Datei und nicht nur einen Dateinamen angeben. Der angegebene Sitzungsname ist ungültig.
Konstante/Wert Beschreibung Wiederherstellungsumgebung, um den Start-Manager (BOOTMGR) zu aktualisieren oder zu reparieren.
Konstante/Wert Beschreibung die als Betriebssystem-Laufwerk verwendet wird. Verschlüsseln Sie anschließend das Betriebssystem-Laufwerk. FVE_E_FAILED_WRONG_FS 0x80310013 FVE_E_BAD_PARTITION_SIZE Das Laufwerk kann nicht verschlüsselt werden, da das Dateisystem nicht unterstützt wird. 0x80310014 Das Dateisystem ist größer als die Partitionsgröße in der Partitionstabelle. Das Laufwerk ist möglicherweise beschädigt oder wurde manipuliert.
Konstante/Wert Beschreibung deaktiviert, und das Laufwerk wird automatisch mithilfe eines unverschlüsselten Schlüssels entsperrt.
Konstante/Wert Beschreibung FVE_E_CANNOT_ENCRYPT_NO_KEY Das angegebene Laufwerk kann mit der BitLockerLaufwerkverschlüsselung nicht verschlüsselt werden, da kein Verschlüsselungsschlüssel verfügbar ist. Fügen Sie zum Verschlüsseln des Laufwerks eine Schlüsselschutzvorrichtung hinzu.
Konstante/Wert Beschreibung FVE_E_NOT_DECRYPTED Das Laufwerk muss zum Ausführen dieses Vorgangs vollständig entschlüsselt werden.
Konstante/Wert Beschreibung FVE_E_AUTH_INVALID_APPLICATION Eine Startanwendung hat sich geändert, nachdem die BitLockerLaufwerkverschlüsselung aktiviert wurde.
Konstante/Wert Beschreibung FVE_E_BCD_APPLICATIONS_PATH_INCORRECT Der in den Startkonfigurationsdaten (BCD) für eine durch die BitLocker-Laufwerkverschlüsselung integritätsgeschützte Anwendung angegebene Pfad ist falsch. Überprüfen und korrigieren Sie die BCD-Einstellungen, und wiederholen Sie den Vorgang.
Konstante/Wert Beschreibung FVE_E_POLICY_STARTUP_PIN_REQUIRED Die Gruppenrichtlinieneinstellungen erfordern die Verwendung einer PIN beim Start. Wählen Sie diese BitLocker-Startoption. 0x80310061 FVE_E_POLICY_STARTUP_KEY_NOT_ALLOWED 0x80310062 FVE_E_POLICY_STARTUP_KEY_REQUIRED 0x80310063 Die Gruppenrichtlinieneinstellungen lassen nicht die Verwendung eines Startschlüssels zu. Wählen Sie eine andere BitLockerStartoption. Die Gruppenrichtlinieneinstellungen erfordern die Verwendung eines Startschlüssels.
Konstante/Wert Beschreibung FVE_E_DV_NOT_SUPPORTED_ON_FS Der ausgewählte Ermittlungslaufwerktyp ist nicht mit dem Dateisystem auf dem Laufwerk kompatibel. BitLocker To Go-Ermittlungslaufwerke müssen auf mit FAT formatierten Laufwerken erstellt werden.
Konstante/Wert Beschreibung FVE_E_POLICY_CONFLICT_FDV_RK_OFF_AUK_ON Die BitLocker-Laufwerkverschlüsselung kann aufgrund von in Konflikt stehenden Gruppenrichtlinieneinstellungen nicht für das Laufwerk verwendet werden. BitLocker kann nicht für das automatische Entsperren von integrierten Datenlaufwerken konfiguriert werden, wenn die Optionen zur Wiederherstellung durch den Benutzer deaktiviert sind.
Konstante/Wert Beschreibung 0x80310089 FVE_E_POLICY_CONFLICT_OSV_RP_OFF_ADB_ON 0x80310090 FVE_E_POLICY_CONFLICT_FDV_RP_OFF_ADB_ON 0x80310091 FVE_E_POLICY_CONFLICT_RDV_RP_OFF_ADB_ON 0x80310092 FVE_E_NON_BITLOCKER_KU 0x80310093 FVE_E_PRIVATEKEY_AUTH_FAILED 0x80310094 FVE_E_REMOVAL_OF_DRA_FAILED 0x80310095 FVE_E_OPERATION_NOT_SUPPORTED_ON_VISTA_VOLUM E 0x80310096 FVE_E_CANT_LOCK_AUTOUNLOCK_ENABLED_VOLUME 0x80310097 160 Fehlerbehebung Die BitLocker-Laufwerkverschlüsselung kann aufgrund in Konflikt st
Konstante/Wert Beschreibung FVE_E_FIPS_HASH_KDF_NOT_ALLOWED Die standardmäßige BitLocker-Schlüsselableitungsfunktion "SP800-56A" für ECC-Smartcards wird von der verwendeten Smartcard nicht unterstützt. Aufgrund der Gruppenrichtlinieneinstellung, durch die die FIPS-Kompatibilität vorgeschrieben wird, kann von BitLocker keine andere Ableitungsfunktion zur Verschlüsselung verwendet werden. In durch FIPS eingeschränkten Umgebungen muss eine FIPSkompatible Smartcard verwendet werden.
Konstante/Wert Beschreibung 0x803100A5 verschlüsselt wird, nur für Speicher, der für schlanke Speicherzuweisung geeignet ist. FVE_E_WIPE_NOT_ALLOWED_ON_TP_STORAGE Das Löschen von freiem Speicher bei schlanker Speicherzuweisung wird von der BitLockerLaufwerkverschlüsselung nicht unterstützt. 0x803100A6 FVE_E_KEY_LENGTH_NOT_SUPPORTED_BY_EDRIVE 0x803100A7 FVE_E_NO_EXISTING_PASSPHRASE Die erforderliche Länge des Authentifizierungsschlüssels wird vom Laufwerk nicht unterstützt.
Konstante/Wert Beschreibung FVE_E_NO_PREBOOT_KEYBOARD_DETECTED Keine Preboot-Tastatur erkannt. Der Benutzer kann möglicherweise nicht die erforderlichen Angaben zum Entsperren des Volumes machen. 0x803100B5 FVE_E_NO_PREBOOT_KEYBOARD_OR_WINRE_DETECTED 0x803100B6 FVE_E_POLICY_REQUIRES_STARTUP_PIN_ON_TOUCH_DE VICE 0x803100B7 FVE_E_POLICY_REQUIRES_RECOVERY_PASSWORD_ON_T OUCH_DEVICE Es wurde keine Preboot-Tastatur oder WindowsWiederherstellungsumgebung gefunden.
Konstante/Wert Beschreibung FVE_E_LIVEID_ACCOUNT_SUSPENDED Das Wiederherstellungskennwort kann von BitLocker nicht gespeichert werden, da das angegebene Microsoft-Konto derzeit angehalten ist.
20 Glossar Aktivieren – Eine Aktivierung erfolgt, wenn der Computer beim Dell Server registriert wurde und mindestens einen Satz mit Richtlinien erhalten hat. Active Directory (AD) – Ein Verzeichnisdienst von Microsoft für Windows-Domänennetzwerke.
sich auf die Definition der Verschlüsselungsordner, der Verschlüsselungsalgorithmen oder der Verwendung der Verschlüsselungsschlüssel („Allgemein“ oder „Benutzer“) bezieht, löst eine Suche aus. Auch beim Umschalten zwischen aktivierter und deaktivierter Verschlüsselung wird eine Verschlüsselungssuche ausgelöst.