Dell Endpoint Security Suite Enterprise Guida all'installazione avanzata v3.1 Agosto 2021 Rev.
Messaggi di N.B., Attenzione e Avvertenza N.B.: un messaggio N.B. (Nota Bene) indica informazioni importanti che contribuiscono a migliorare l'utilizzo del prodotto. ATTENZIONE: un messaggio di ATTENZIONE evidenzia la possibilità che si verifichi un danno all'hardware o una perdita di dati ed indica come evitare il problema. AVVERTENZA: un messaggio di AVVERTENZA evidenzia un potenziale rischio di danni alla proprietà, lesioni personali o morte. © 2012-2021 Dell Inc. All rights reserved.
Sommario Capitolo 1: Introduzione...................................................................................................................6 Prima di iniziare...................................................................................................................................................................... 6 Uso di questa guida.............................................................................................................................................................
Disinstallare Protezione Web e Firewall............................................................................................................................ 63 Disinstallare Advanced Threat Prevention....................................................................................................................... 63 Disinstallare Full Disk Encryption.......................................................................................................................................
Capitolo 19: Risoluzione dei problemi............................................................................................. 103 Tutti i client - Risoluzione dei problemi............................................................................................................................103 Tutti i client - Stato di protezione....................................................................................................................................
1 Introduzione Questa guida descrive in dettaglio la procedura per installare e configurare Advanced Threat Prevention, Encryption, SED Management, Full Disk Encryption, Protezione Web e Firewall client e BitLocker Manager. Tutte le informazioni sui criteri e le relative descrizioni sono reperibili nella Guida dell'amministratore. Prima di iniziare 1. Installare il Dell Server prima di procedere con la distribuzione dei client.
Uso di questa guida Usare questa guida nell'ordine seguente: ● Per prerequisiti del client, informazioni su hardware e software del computer, limitazioni, e modifiche di registro specifiche necessarie per le funzioni, consultare Requisiti. ● Se necessario, consultare Configurazione di pre-installazione per UEFI unità autocrittografante e BitLocker.
2 Requisiti Tutti i client Questi requisiti si applicano a tutti i client. I requisiti elencati in altre sezioni si applicano a client specifici. ● Durante l'implementazione è opportuno seguire le procedure consigliate. In queste procedure sono compresi, a titolo esemplificativo, ambienti di testing controllati per i test iniziali e implementazioni scaglionate agli utenti.
Supporto lingue ES - Spagnolo DE - Tedesco PT-BR - Portoghese (Brasile) FR - Francese JA - Giapponese PT-PT - Portoghese (Portogallo) Crittografia ● Per essere attivato, il computer client deve essere dotato della connettività di rete. ● Per ridurre la durata iniziale del processo di crittografia, eseguire Pulizia disco di Windows per rimuovere i file temporanei e tutti i dati non necessari. ● Il supporto di Windows Hello for Business richiede Endpoint Security Suite Enterprise v3.
informazioni di autenticazione vengono inviate in modo sicuro al Dell Server, che le convalida per i domini di Active Directory configurati. Per ulteriori informazioni, consultare l'articolo della KB 124736. ● Dopo l'aggiornamento delle funzionalità di Windows 10, è necessario il riavvio per finalizzare Dell Encryption. Di seguito viene visualizzato il messaggio nell'area di notifica dopo l'aggiornamento di funzione di Windows 10: Hardware ● La tabella seguente descrive in dettaglio l'hardware supportato.
Sistemi operativi Windows supportati per l'accesso a media cifrati (a 32 e 64 bit) ○ Windows 8.1: Enterprise, Pro ○ Windows Embedded 8.1 Industry Enterprise ○ Windows 10: Education, Enterprise, Pro v1803-v21H1 (April 2018 Update/Redstone 4 - May 2021 Update/21H1) Nota: Windows 10 v2004 (May 2020 Update/20H1) non supporta l'architettura a 32 bit. Per ulteriori informazioni, consultare https://docs.microsoft.
l'aggiornamento a Windows 10 v1903. Qualsiasi tentativo di aggiornare direttamente da Windows 10 v1607 a v1903 genera un messaggio di errore e l'aggiornamento viene bloccato. ● Il programma di installazione principale installa questi componenti se non sono già installati nel computer di destinazione. Se si usa il programma di installazione figlio, è necessario installare questi componenti prima di installare i client.
UEFI PBA - su computer Dell supportati Password Windows 10 Impronta X1 Smart card con contatti Scheda SIPR X1 1. Disponibile con computer UEFI supportati. Modelli di computer Dell supportati con modalità di avvio UEFI ● Per l'elenco più aggiornato delle piattaforme supportate con Full Disk Encryption, consultare l'articolo della Knowledge Base 126855. ● Per un elenco delle docking station e degli adattatori supportati con Full Disk Encryption, consultare l'articolo della Knowledge Base 124241.
Prerequisito ○ Visual C++ 2017 o Redistributable Package (x86 o x64) versione successiva Visual C++ 2017 richiede Windows Update KB2999226 se installato su Windows 7. ○ A gennaio 2020, i certificati di firma SHA1 non sono più validi e non possono essere rinnovati. Per i dispositivi che eseguono Windows 7 o Windows Server 2008 R2, è necessario installare gli aggiornamenti Microsoft KB https://support.microsoft.com/ it-it/help/4474419 e https://support.microsoft.
Sistemi operativi La tabella seguente descrive in dettaglio i sistemi operativi supportati. Sistemi operativi (a 32 e 64 bit) ● Windows 7 SP1: Enterprise, Professional, Ultimate ● Windows 8.1: Enterprise, Pro ● Windows 10: Education, Enterprise, Pro v1803-v21H1 (April 2018 Update/Redstone 4 - May 2021 Update/21H1) Nota: Windows 10 v2004 (May 2020 Update/20H1) non supporta l'architettura a 32 bit. Per ulteriori informazioni, consultare https://docs.microsoft.
Sistemi operativi server supportati ● Windows Server 2012 R2 Sistemi operativi Mac supportati per l'accesso a media cifrati (kernel a 64 bit) ● macOS High Sierra 10.13.5 - 10.13.6 ● macOS Mojave 10.14.0 - 10.14.4 ● macOS Catalina 10.15.1 - 10.15.4 Advanced Threat Prevention ● Per completare l'installazione di Advanced Threat Prevention se il Dell Server che gestisce il client è in esecuzione in modalità connessa (impostazione predefinita), il computer deve disporre di connettività di rete.
Porte ● Gli agenti di Advanced Threat Prevention sono gestiti da e rispondono alla piattaforma SaaS della console di gestione. La porta 443 (https) viene utilizzata per le comunicazioni e deve essere aperta sul firewall affinché gli agenti comunichino con la console. La console è in hosting in Amazon Web Services e non è dotata di IP fissi. Se la porta 443 è bloccata per qualsiasi motivo, è impossibile scaricare gli aggiornamenti, quindi i computer potrebbero non disporre della protezione più recente.
Funzioni Criteri I Windows Shield ed macOS Linux Caricamento automatico x x x Criterio Elenco file sicuri x x x Protezione della memoria x x x Manipolazione dello stack x x x Protezione dello stack x x x Sovrascrivi codice x n/d RAM scraping x n/d Payload dannoso x Azioni memoria Sfruttamento Aggiunta di processo Allocazione remota di memoria x x n/d Mapping remoto di memoria x x n/d Scrittura remota in memoria x x n/d Scrittura remota di PE in memoria x n/d
Funzioni Criteri I Windows Shield ed Esclusioni cartella macOS Linux x x x Impostazioni agente Abilita caricamento automatico dei file di registro x Abilita notifiche desktop x Script attivo x PowerShell x Macro di Office x Blocca utilizzo console PowerShell x Approva script in cartelle (e sottocartelle) x Livello registrazione x Livello protezione automatica x Aggiornamento automatico x Esegui un rilevamento (da UI agente) x Elimina messi in quarantena (UI agente e UI console
Browser Supporto di Protezione Web Versione Microsoft Edge Sì Microsoft Edge è supportato con Endpoint Security Suite Enterprise v10.1 e versioni successive Microsoft Internet Explorer 11 Sì Tutte le versioni moderne Mozilla Firefox Sì ○ Firefox 56 e versioni successive è supportato con Endpoint Security Suite Enterprise v10.0 e versioni successive ○ Firefox 51 è supportato con Endpoint Security Suite Enterprise v1.
SED Manager ● Per installare correttamente SED Manager, il computer deve disporre di una connessione di rete cablata. ● Il computer deve essere dotato di una connessione di rete cablata per un utente smart card per accedere mediante l'autenticazione di preavvio la prima volta. ● I provider di credenziali di terze parti non funzioneranno con SED Manager installato e tutti i provider di credenziali di terze parti verranno disattivati se il PBA è abilitato. ● IPv6 non è supportato.
Prerequisito Le applicazioni e i pacchetti di installazione firmati con i certificati SHA1 funzioneranno, ma verrà visualizzato un errore sull'endpoint durante l'installazione o l'esecuzione dell'applicazione, se non sono stati installati questi aggiornamenti ● SED Manager non è supportato da Encryption sui sistemi operativi del server o da Advanced Threat Prevention nel sistema operativo di un server. ● N.B.: Con l'autenticazione di preavvio è obbligatoria una password.
UEFI PBA - su computer Dell supportati Password Impronta Smart card con contatti Scheda SIPR Windows 7 Windows 8.1 X1 X1 Windows 10 X1 X1 1. Disponibile con una SED OPAL supportata su computer UEFI supportati Tastiere internazionali Nella tabella seguente vengono elencate le tastiere internazionali supportate con l'autenticazione di preavvio su computer UEFI e non UEFI.
Supporto lingue EN - Inglese JA - Giapponese FR - Francese KO - Coreano IT - Italiano PT-BR - Portoghese (Brasile) DE - Tedesco PT-PT - Portoghese (Portogallo) ES - Spagnolo BitLocker Manager ● Se BitLocker non è ancora distribuito nel proprio ambiente, è consigliabile verificare i requisiti di Microsoft BitLocker. ● Verificare che la partizione PBA sia già stata configurata.
Hardware ● La tabella seguente descrive in dettaglio l'hardware supportato. Hardware integrato facoltativo ○ TPM 1.2 o 2.0 Sistemi operativi ● La tabella seguente descrive in dettaglio i sistemi operativi supportati. Sistemi operativi Windows ○ Windows 7 SP0-SP1: Enterprise, Ultimate (a 32 e 64 bit) N.B.: BitLocker Manager non supporta TPM 2.0 sui dispositivi Windows 7. I dispositivi con BitLocker Manager in Windows 7 potrebbero non avere l'articolo KB KB3133977 o KB3125574 installato.
3 Impostazioni di registro ● Questa sezione descrive in dettaglio tutte le impostazioni di registro approvate da Dell ProSupport per i computer client locali, indipendentemente dal motivo di tale impostazione. Se un'impostazione di registro è sovrapposta in due prodotti, viene elencata in ciascuna categoria. ● Queste modifiche di registro devono essere effettuate solo da parte degli amministratori e potrebbero non essere appropriate o non funzionare in tutti gli scenari.
Tuttavia, se l'organizzazione utilizza un'applicazione di terzi che richiede di conservare la struttura dei file nella directory \temp, è opportuno evitare l'eliminazione di questi file. Per disabilitare l'eliminazione dei file temporanei, creare o modificare l'impostazione di registro come segue: [HKLM\SOFTWARE\CREDANT\CMGShield] "DeleteTempFiles"=REG_DWORD:0 La mancata eliminazione dei file temporanei aumenta il tempo di crittografia iniziale.
Per gli utenti che richiedono l'attivazione tramite VPN, potrebbe essere necessaria una configurazione di attivazione in slot per il client, al fine di ritardare l'attivazione iniziale per un tempo sufficiente a consentire al client VPN di stabilire una connessione di rete. Per l'applicazione degli aggiornamenti, queste voci di registro richiedono un riavvio del computer.
0 =Disabilitata; impostazione predefinita 1=Abilitata ● System Data Encryption (SDE) viene applicato in base al valore del criterio per Regole di crittografia SDE. Le directory aggiuntive sono protette per impostazione predefinita quando il criterio Crittografia SDE abilitata è Selezionato. Per maggiori informazioni, cercare "Regole di crittografia SDE" nella Guida dell'amministratore.
Questo valore è il numero di secondi che Full Disk Encryption attende prima di provare a contattare il Dell Server se questo non è disponibile a comunicare con Full Disk Encryption. Il valore predefinito è 300 secondi (5 minuti).
○ SCPolicySvc - Consente al sistema di essere configurato per il blocco del desktop utente dopo la rimozione della smart card. ○ WbioSrvc - Il servizio di biometria di Windows permette alle applicazioni client di acquisire, confrontare, modificare e archiviare dati biometrici senza l'accesso diretto ad hardware o campioni biometrici. Il servizio è in hosting in un processo SVCHOST privilegiato.
Usare questa impostazione di registro solo per esecuzione di test/debug, in quanto controlla i dettagli di registro per altri componenti, inclusi la crittografia e l'Encryption Management Agent. ● La Modalità di compatibilità consente l'esecuzione delle applicazioni nel computer client mentre i criteri Protezione della memoria oppure Protezione della memoria e Controllo script sono abilitati. L'abilitazione della modalità di compatibilità richiede l'aggiunta di un valore di registro nel computer client.
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent\Parameters] "PBAIsActivated"=DWORD (32-bit):1 Il valore 1 indica che la PBA è attivata. Il valore 0 indica che la PBA non è attivata. ● Per stabilire se è presente una smart card ed è attiva, accertarsi che sia impostato il seguente valore: HKLM\SOFTWARE\Dell\Dell Data Protection\ "SmartcardEnabled"=DWORD:1 Se SmartcardEnabled è mancante o presenta un valore zero, il provider delle credenziali visualizzerà solo la password per l'autenticazione.
○ SCardSvr - Gestisce l'accesso alle smart card lette dal computer. Se il servizio viene interrotto, questo computer non può leggere le smart card. Se il servizio viene disabilitato, non sarà possibile avviare gli eventuali servizi che dipendono direttamente da esso. ○ SCPolicySvc - Consente al sistema di essere configurato per il blocco del desktop utente dopo la rimozione della smart card.
4 Installazione tramite il programma di installazione principale ● Le opzioni e i parametri della riga di comando fanno distinzione tra maiuscole e minuscole. ● Per eseguire l'installazione usando porte non predefinite, usare i programmi di installazione figlio al posto del programma di installazione principale. ● I file di registro del programma di installazione principale di Endpoint Security Suite Enterprise msi trovano al percorso C:\ProgramData\Dell\Dell Data Protection\Installer. N.B.
6. Cliccare su Avanti per installare il prodotto nel percorso predefinito C:\Program Files\Dell\Dell Data Protection\. Dell recommends installing in the default location only, in quanto potrebbero verificarsi problemi con l'installazione in altri percorsi. 7. Selezionare i componenti da installare. Security Framework consente di installare il framework di protezione sottostante.
8. Cliccare su Installa per avviare l'installazione. L'installazione richiede alcuni minuti. 9. Selezionare Sì, riavvia ora e cliccare su Fine.
L'installazione è completata. Eseguire l'installazione dalla riga di comando usando il programma di installazione principale ● È necessario prima specificare gli switch in un'installazione dalla riga di comando. Gli altri parametri devono essere inseriti nell'argomento che viene passato all'opzione /v. Opzioni ● La seguente tabella descrive gli switch utilizzabili con il programma di installazione principale di Endpoint Security Suite Enterprise. N.B.
Parametro Descrizione InstallPath Specifica il percorso di installazione. Può essere usato in MODALITÀ NON INTERATTIVA. FEATURES Specifica i componenti che è possibile installare in MODALITÀ NON INTERATTIVA. ATP = solo Advanced Threat Prevention DE-ATP = Advanced Threat Prevention ed Encryption.
"DDSSuite.exe" /s /z"\"SERVER=server.organization.com, FEATURES=ATP\"" ● (Nel sistema operativo di una workstation) In questo esempio vengono installati Advanced Threat Prevention, BitLocker Manager e Web Protection usando il programma di installazione principale di Endpoint Security Suite Enterprise sulle porte standard, nessun riavvio e con un'installazione automatica, nel percorso predefinito C:\Program Files\Dell\Dell Data Protection\ e configurati per usare il Dell Server specificato. "DDSSuite.
5 Disinstallare il programma di installazione principale ● Dell consiglia di utilizzare il Programma di disinstallazione di Data Security per rimuovere la suite Data Security. ● Ciascun componente deve essere disinstallato separatamente, seguito dalla disinstallazione del programma di installazione principale di Endpoint Security Suite Enterprise. I client devono essere disinstallati secondo un ordine specifico per impedire errori durante la disinstallazione.
6 Eseguire l'installazione usando i programmi di installazione figlio ● Per installare o aggiornare ciascun client singolarmente, i file eseguibili figlio devono essere prima estratti dal programma di installazione principale di Endpoint Security Suite Enterprise, come mostrato in Estrarre i programmi di installazione figlio dal programma di installazione principale. ● Gli esempi di comandi inclusi in questa sezione presumono che i comandi vengano eseguiti da C:\extracted.
Opzione Significato /qb!- Viene visualizzata una finestra di dialogo senza il pulsante Annulla e il sistema si riavvia automaticamente al termine del processo /qn L'interfaccia utente non viene visualizzata /norestart Viene eliminato il riavvio ● Indicare agli utenti di prendere visione del seguente documento e file della guida per assistenza sull'applicazione: ○ Consultare la Dell Encrypt Help (Guida alla crittografia di Dell) per istruzioni sull'utilizzo della funzione della crittografia.
Parametri MANAGEDDOMAIN= (dominio da utilizzare per il dispositivo) DEVICESERVERURL= (URL utilizzato per l'attivazione, che solitamente include nome server, porta e lo standard xAPI) GKPORT= (porta Gatekeeper) MACHINEID= (nome computer) RECOVERYID= (ID di ripristino) REBOOT=ReallySuppress (Null consente i riavvii automatici, ReallySuppress li disabilita) HIDEOVERLAYICONS=1 (0 abilita le icone di sovrapposizione, 1 le disabili
server.organization.com:8443/xapi/ HIDESYSTRAYICON=1 HIDEOVERLAYICONS=1 REBOOT=ReallySuppress /qn" Comando MSI: msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.
Comando MSI: msiexec.exe /i "Dell Data Protection Encryption.msi" OPTIN="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" DEVICESERVERURL="https://server.organization.
DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ ENABLE_FDE_LM=1 /norestart /qn" ● Esempio di riga di comando per installare un client di crittografia gestito in remoto su un'installazione Full esistente.
EMAgent_64bit_setup.exe /s /v"CM_EDITION=1 FEATURE=FDE SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.
tastiera e il mouse USB non funzionano e l'utente non è in grado di usare il computer a meno che venga impostata una connessione al desktop in remoto prima che venga applicato il criterio. ● Per attivarsi correttamente, il computer deve disporre di connettività di rete. ● Quando il Trusted Platform Module (TPM) è disponibile, viene usato per sigillare la GPK nell'hardware Dell. Se non è disponibile un TPM, l'API del Data Protection (DPAPI) di Microsoft è utilizzato per proteggere la General Purpose Key.
6. Fare clic su Avanti per installare nel percorso predefinito. 7. Fare clic su Avanti per ignorare la finestra di dialogo Tipo di gestione. 8. Nel Nome Security Management Server, immettere/validare il nome host qualificato completo del Dell Server per gestire l'utente di destinazione (ad esempio, server.organization.com). Immettere il nome di dominio nel campo Dominio gestito (ad esempio, organizzazione). Fare clic su Avanti. 9.
11. Fare clic su Installa per avviare l'installazione. L'installazione potrebbe richiedere alcuni minuti. 12. Una volta completata la configurazione, fare clic su Fine.
L'installazione è completata. 13. Riavviare il sistema. Dell consiglia di posporre il riavvio solo se è necessario tempo per salvare il lavoro svolto e chiudere le applicazioni. la crittografia non può iniziare finché il computer non è stato riavviato. Installare usando la riga di comando Il programma di installazione si trova in C:\extracted\Encryption ● Usare DDPE_xxbit_setup.
Componente File di registro Parametri della riga di comando MANAGEDDOMAIN= DEVICESERVERURL= GKPORT= MACHINEID= RECOVERYID= REBOOT=ReallySuppress HIDEOVERLAYICONS=1 HIDESYSTRAYICON=1 EME=1 N.B.: Anche se può essere soppresso, il riavvio è comunque necessario. la crittografia non può iniziare finché il computer non è stato riavviato.
DDPE_XXbit_setup.exe /s /v"SERVERMODE=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ /qn" Comando MSI: msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERMODE="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.
Il Dell Server emette una chiave di crittografia per l'ID della macchina, crea l'account utente del server virtuale, crea una chiave di crittografia per l'account utente, raggruppa in pacchetti le chiavi di crittografia e crea la relazione tra il pacchetto di crittografia e l'account utente del server virtuale. 3. Fare clic su Chiudi. Al termine dell'attivazione, viene avviata la crittografia. 4.
Utente del server virtuale ● Nella Management Console, è possibile trovare un server protetto con il suo nome della macchina. Inoltre, ogni server protetto ha il proprio account utente del server virtuale. Ogni account ha un nome utente statico e un nome della macchina univoci. ● L'account utente del server virtuale viene usato solo dalla crittografia del sistema operativo del server ed è altrimenti trasparente per il funzionamento del server protetto.
○ Dall'account Dell FTP - Individuare il pacchetto di installazione in Endpoint-Security-Suite-Ent-2.x.x.xxx.zip, quindi consultare Estrarre i programmi di installazione figlio dal programma di installazione principale. Dopo l'estrazione, individuare il file in C:\extracted\Advanced Threat Prevention\WinXXR\ e C:\extracted\Advanced Threat Prevention\WinNtAll\.
Nell'esempio seguente, viene installato Advanced Threat Prevention, senza SED Management o BitLocker Manager (installazione automatica, nessun riavvio, nessuna voce nell'elenco Programmi nel Pannello di controllo, nessuna icona sul desktop, installazione nel percorso predefinito C:\Program Files\Dell\Dell Data Protection). :: Installazione di Encryption Management Agent ".\Encryption Management Agent\EMAgent_64bit_setup.
Parametri Descrizione INSTALLDIR Percorso di installazione non predefinito nocontentupdate Indica al programma di installazione di non aggiornare automaticamente i file di dati nel quadro del processo di installazione. Dell consiglia la pianificazione di un aggiornamento non appena completato il processo di installazione. nopreservesettings Non salva le impostazioni. ● La tabella seguente descrive in dettaglio i parametri disponibili per il file DellThreatProtection.msi.
○ Dall'account Dell FTP - Individuare il bundle di installazione in Endpoint-Security-Suite-Ent-2.x.x.xxx.zip e poi consultare Estrarre i programmi di installazione figlio dal programma di installazione principale. Dopo l'estrazione, il file si trova in C:\extracted\Encryption Management Agent. Installazione dalla riga di comando ● La tabella seguente descrive in dettaglio i parametri disponibili per l'installazione.
Parametri CM_EDITION=1 INSTALLDIR= SERVERHOST= SERVERPORT=8888 SECURITYSERVERHOST= SECURITYSERVERPORT=8443 FEATURE=BLM FEATURE=BLM,SED ARPSYSTEMCOMPONENT=1 Per un elenco di opzioni e opzioni di visualizzazione .
7 Eseguire la disinstallazione usando i programmi di installazione figlio ● Dell consiglia di utilizzare il Programma di disinstallazione di Data Security per rimuovere la suite Data Security. ● Per disinstallare ciascun client singolarmente, i file eseguibili figlio devono essere prima estratti dal programma di installazione principale di Endpoint Security Suite Enterprise, come mostrato in Estrarre i programmi di installazione figlio dal programma di installazione principale.
Opzione Significato /qb! Viene visualizzata una finestra di dialogo senza il pulsante Annulla e viene richiesto di riavviare il sistema /qb!- Viene visualizzata una finestra di dialogo senza il pulsante Annulla e il sistema si riavvia automaticamente al termine del processo /qn L'interfaccia utente non viene visualizzata Disinstallare Protezione Web e Firewall Se le funzioni Protezione Web e Firewall non sono installate, procedere alla sezione Disinstallare il client di crittografia.
Disattivare la PBA 1. 2. 3. 4. 5. Eseguire l'accesso alla Management Console come amministratore Dell. Nel riquadro sinistro, fare clic su Popolamenti > Endpoint. Selezionare il Tipo endpoint appropriato. Selezionare Mostra >Visibili, Nascosti o Tutti. Se si conosce il nome host del computer, immetterlo nel campo Nome host (è supportato l'utilizzo dei caratteri jolly). È possibile lasciare il campo vuoto per visualizzare tutti i computer. Fare clic su Cerca.
7. 8. 9. 10. 11. 12. Fare clic su Criteri di protezione dal menu principale. Selezionare Unità autocrittografanti dalla pagina Categoria criteri. Modificare l'Unità autocrittografante (SED) e il criterio da On a Off. Fare clic su Salva. Nel riquadro sinistro, fare clic sul banner Commit criteri. Fare clic su Commit criteri. Attendere la propagazione del criterio dal Dell Server al computer da disattivare. Disinstallare SED Manager e PBA Advanced Authentication dopo aver disattivato la PBA.
Disinstallazione dalla riga di comando ● Una volta estratto dal programma di installazione principale di Endpoint Security Suite Enterprise, il programma di installazione di Encryption si trova in C:\extracted\Encryption\DDPE_XXbit_setup.exe. ● La tabella seguente descrive in dettaglio i parametri disponibili per la disinstallazione.
Comando MSI: msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" CMG_DECRYPT="1" CMGSILENTMODE="1" DA_SERVER="server.organization.com" DA_PORT="8050" SVCPN="administrator@domain.com" DA_RUNAS="domain\username" DA_RUNASPWD="password" /qn Al termine, riavviare il sistema. ● Nell'esempio seguente viene disinstallato Encryption in modo invisibile all'utente e vengono scaricate le chiavi di crittografia usando un account amministratore Forensic. DDPE_XXbit_setup.
8 Programma di disinstallazione Data Security Disinstallare Endpoint Security Suite Enterprise Dell fornisce Data Security Uninstaller come principale programma di disinstallazione. Questa utilità raccoglie i prodotti attualmente installati e li rimuove nell'ordine appropriato. N.B.: Durante la disinstallazione FDE, Dell consiglia di riavviare il computer dopo la disattivazione FDE, al fine di prevenire i problemi di sospensione del computer.
Se lo si desidera, deselezionare qualsiasi applicazione per la rimozione, quindi fare clic su Avanti. Le dipendenze necessarie vengono automaticamente selezionate o deselezionate.
Per rimuovere le applicazioni senza dover installare Encryption Removal Agent, scegliere Non installare Encryption Removal Agent e selezionare Avanti. Selezionare Scarica chiavi dal server di Encryption Removal Agent. Immettere le credenziali complete di un amministratore Forensic e selezionare Avanti.
Selezionare Rimuovi per avviare la disinstallazione. Fare clic su Fine per completare la rimozione e riavviare il computer. L'opzione Riavvia il computer al termine è selezionata per impostazione predefinita.
La disinstallazione e la rimozione sono state completate.
9 Scenari di uso comune ● Per installare ciascun client singolarmente, i file eseguibili figlio devono essere prima estratti dal programma di installazione principale di Endpoint Security Suite Enterprise, come mostrato in Estrarre i programmi di installazione figlio dal programma di installazione principale. ● Il programma di installazione figlio di Advanced Threat Prevention deve essere installato solo dalla riga di comando.
○ Consultare la Dell Encrypt Help (Guida alla crittografia di Dell) per istruzioni sull'utilizzo della funzione della crittografia. Accedere alla guida da :\Program Files\Dell\Dell Data Protection\Encryption\Help. ○ Consultare la Encryption External Media (Guida di Encryption External Media) per istruzioni sulle funzioni di Encryption External Media. Accedere alla guida da :\Program Files\Dell\Dell Data Protection\Encryption\EMS ○ Consultare (Guida di Encryption Enterprise) (Guida
"DellThreatProtection.msi" /qn REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1 \Threat Protection\SDK ● Nell'esempio seguente, viene descritta l'installazione di SDK. EnsMgmtSdkInstaller.exe "C:\Program Files\Dell\Dell Data Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >"C:\ProgramData\Dell\Dell Data Protection\Installer Logs\McAfeeSDKInstallerAfterEndPoint.
● Nell'esempio seguente, viene installato Advanced Threat Prevention (installazione automatica, nessun riavvio, file di registro di installazione e cartella di installazione nei percorsi specificati) MSIEXEC.EXE /I "ATP_CSF_Plugins_x64.msi" /qn REBOOT="ReallySuppress" ARPSYSTEMCOMPONENT="1" /l*v "C:\ProgramData\Dell\Dell Data Protection\Installer Logs\ATP.log" APPFOLDER="C:\Program Files\Dell\Dell Data Protection\Advanced Threat Prevention" e "\Advanced Threat Prevention\WinNtAll\ATP_AgentSetup.
10 Provisioning di un tenant Deve essere eseguito il provisioning di un tenant nel Dell Server prima che diventi attiva l'applicazione dei criteri di Advanced Threat Prevention. Prerequisiti ● Deve essere eseguito da un amministratore con il ruolo di amministratore di sistema. ● Deve essere dotato di connettività ad Internet per eseguire il provisioning sul Dell Server.
4. La procedura guidata di installazione si avvia quando le licenze vengono importate. Fare clic su Avanti per iniziare. 5. Leggere e accettare l'EULA e fare clic su Avanti.
6. Fornire le credenziali di identificazione al Dell Server per il provisioning del tenant. Fare clic su Avanti. Il provisioning di un tenant esistente che è prodotto da Cylance non è supportato. 7. Scaricare il certificato. Questa operazione è necessaria per il ripristino in caso di emergenza con il Dell Server. Il certificato non viene automaticamente sottoposto a backup. Eseguire il backup del certificato in una posizione sicura su un altro computer.
8. La configurazione è stata completata. Fare clic su OK.
11 Configurare l'aggiornamento automatico dell'agente di Advanced Threat Prevention Nella Management Console, è possibile registrarsi per ricevere gli aggiornamenti automatici dell'agente di Advanced Threat Prevention. La registrazione per ricevere gli aggiornamenti automatici dell'agente consente ai client di scaricare e applicare automaticamente gli aggiornamenti dal servizio Advanced Threat Prevention. Gli aggiornamenti vengono rilasciati ogni mese. N.B.
12 Configurazione di preinstallazione per UEFI unità autocrittografante e BitLocker Manager Inizializzare il TPM ● È necessario essere membro del gruppo amministratori locali o avere un ruolo equivalente. ● È necessario che il computer disponga di un BIOS o TPM compatibili. ● Seguire le istruzioni all'indirizzo http://technet.microsoft.com/en-us/library/cc753140.aspx.
Disabilitare le ROM di opzione legacy Assicurarsi che l'impostazione Abilita ROM di opzione legacy sia disabilitata nel BIOS. 1. 2. 3. 4. 5. Riavviare il sistema. Premere ripetutamente F12 durante il riavvio per visualizzare le impostazioni di avvio del computer UEFI. Premere la freccia verso il basso, evidenziare l'opzione BIOS Settings e premere Invio. Selezionare Impostazioni > Generali > Opzioni avanzate di avvio. Deselezionare la casella di controllo Enable Legacy Option ROMs e fare clic su Apply.
13 Designare il Dell Server tramite il registro ● Se i client vengono autorizzati tramite Dell Digital Delivery, attenersi a queste istruzioni per impostare un registro tramite Oggetti Criteri di gruppo per preconfigurare il Dell Server all'utilizzo al termine dell'installazione. ● La workstation deve essere un membro dell'unità organizzativa (OU) a cui sono applicati gli oggetti Criteri di gruppo, oppure è necessario impostare manualmente le impostazioni di registro sull'endpoint.
4. Fare clic con il pulsante destro del mouse sull'oggetto criterio di gruppo creato e selezionare Modifica. 5. Viene caricato l'editor di gestione dei criteri di gruppo. Accedere a Configurazione computer > Preferenze > Impostazioni di Windows > Registro. 6. Fare clic con il pulsante destro del mouse sul Registro e selezionare Nuovo > Elemento del registro. Completare i campi seguenti: Azione: Create Hive: HKEY_LOCAL_MACHINE Percorso chiave: SOFTWARE\Dell\Dell Data Protection Nome valore: Server Tipo val
8. Effettuare la disconnessione e quindi accedere nuovamente alla workstation, oppure eseguire gpupdate /force per applicare il criterio di gruppo.
14 Estrarre i programmi di installazione figlio ● Per installare ciascun client individualmente, estrarre i file eseguibili figlio dal programma di installazione. ● Il programma di installazione principale non è un programma di disinstallazione. Ciascun client deve essere disinstallato singolarmente dopo la disinstallazione del programma di installazione principale. Usare questa procedura per estrarre i client dal programma di installazione principale in modo da poterli utilizzare per la disinstallazione.
15 Configurare il Key Server ● In questa sezione, viene spiegato come configurare i componenti da usare con l'autenticazione/autorizzazione Kerberos quando si utilizza un Security Management Server. Il Security Management Server Virtual non utilizza il Key Server. Il Key Server è un servizio in ascolto dei client per la connessione tramite un socket.
4. Riavviare il servizio Key Server (lasciare aperto il pannello servizi per ulteriori operazioni). 5. Passare al file log.txt in per verificare che il servizio sia stato avviato. File di configurazione Key Server - Aggiungi utente per comunicazione del Security Management Server 1. Passare a . 2. Aprire il file Credant.KeyServer.exe.config con un editor di testo. 3.
File di configurazione di esempio [porta TCP su cui sarà in ascolto il Key Server. La porta predefinita è: 8050.] [numero di connessioni socket attive consentite dal Key Server] [URL di Security Server (ex Device Server) (il formato è 8081/xapi per un Security Management Server precedente a v7.
6. Fare clic su Utenti nel menu a sinistra. Nell'apposita casella cercare il nome utente aggiunto al punto 5. Fare clic su Cerca. 7. Una volta individuato l'utente corretto, fare clic sulla scheda Admin tab. 8. Selezionare Amministratore Forensic e fare clic su Aggiorna. I componenti sono ora configurati per l'autenticazione/autorizzazione Kerberos.
16 Usare l'Administrative Download Utility (CMGAd) ● Questa utilità consente il download di un bundle di materiale delle chiavi da usare in un computer non connesso a un Dell Server. ● Questa utilità usa uno dei metodi seguenti per scaricare un bundle di materiale delle chiavi, a seconda del parametro della riga di comando trasferito all'applicazione: ○ Modalità Forensic - Usata se -f viene trasferito alla riga di comando o se non viene usato alcun parametro della riga di comando.
3. Nel campo Passphrase, immettere una passphrase per proteggere il file di download. La passphrase deve contenere almeno otto caratteri, di cui almeno uno alfabetico e uno numerico. Confermare la passphrase. Accettare il nome e il percorso predefiniti in cui salvare il file, oppure fare clic sui tre puntini ("...") per selezionare un percorso diverso. Fare clic su Avanti. Viene visualizzato un messaggio che indica che il materiale delle chiavi è stato sbloccato. È ora possibile accedere ai file. 4.
1. Aprire un prompt dei comandi dove si trova CMGAd e digitare cmgad.exe -a. 2. Immettere le seguenti informazioni (alcuni campi possono essere già popolati). Server: nome host completo del Key Server, come serverchiavi.dominio.com Numero di porta: la porta predefinita è 8050 Account server: l'utente del dominio in cui è in esecuzione Key Server. Il formato è DOMINIO\Nome utente.
Viene visualizzato un messaggio che indica che il materiale delle chiavi è stato sbloccato. È ora possibile accedere ai file. 4. Al termine fare clic su Fine.
17 Configurare la crittografia sul sistema operativo del server Abilitare la crittografia sul sistema operativo del server N.B.: La crittografia dei sistemi operativi del server converte la crittografia dell'utente in crittografia comune. 1. Eseguire l'accesso alla Management Console come amministratore Dell. 2.
● I criteri di Encryption External Media controllano l'accesso dei supporti rimovibili al server, l'autenticazione, la crittografia e altre funzioni. ● I criteri di controllo delle porte influenzano i supporti rimovibili sui server protetti, per esempio, controllando l'accesso e l'utilizzo delle porte USB del server da parte di dispositivi USB. È possibile trovare i criteri per la crittografia dei supporti rimovibili nella Management Console nel gruppo di tecnologia Server Encryption.
N.B.: Fare clic su Ripristina per permettere alla crittografia del server di accedere ai dati cifrati nel server dopo il riavvio.
18 Configurare l'Attivazione posposta Encryption Client con l'attivazione posposta è diverso dall'attivazione del client di crittografia per due motivi: Criteri di crittografia basati su dispositivo I criteri di Encryption Client si basano sull'utente; i criteri di crittografia di Encryption Client con l'attivazione posposta si basano sul dispositivo. La crittografia utente viene convertita nella crittografia comune.
Dell consiglia vivamente di creare una password di Windows (se non ne esiste già una) per proteggere l'accesso ai dati crittografati. La creazione di una password per il computer impedisce ad altri di accedere al proprio account utente. Disinstallare le versioni precedenti del client di crittografia Prima di disinstallare una versione precedente del client di crittografia, arrestare o sospendere la ricerca dei dati da crittografare, se necessario.
Gli indirizzi e-mail non di dominio o personali non possono essere utilizzati per l'attivazione. 3. Fare clic su Chiudi. Il Dell Server associa il pacchetto chiavi di crittografia alle credenziali dell'utente e all'ID univoco del computer (ID del computer), creando una relazione indissolubile tra il pacchetto chiavi, il computer specifico e l'utente. 4. Riavviare il computer per iniziare la ricerca dei dati da crittografare. N.B.
● Controllare l'URL del Dell Server per accertarsi che corrisponda all'URL fornito dall'amministratore. L'URL e altri dati immessi dall'utente nel programma di installazione sono archiviati nel registro. Controllare la precisione dei dati in [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] e [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\Servlet] ● Disconnettersi e riconnettersi: Disconnettere il computer dalla rete. Ricollegare alla rete. Riavviare il sistema.
19 Risoluzione dei problemi Tutti i client - Risoluzione dei problemi ● I file di registro del programma di installazione principale di Endpoint Security Suite Enterprise master Suite si trovano nel percorso C:\ProgramData\Dell\Dell Data Protection\Installer. ● Windows crea file di registro di installazione dei programmi di installazione figlio univoci per l'utente che ha effettuato l'accesso a %temp%, e si trovano nel percorso C:\Users\\AppData\Local\Temp.
● Le credenziali usate per attivare non sono le credenziali dell'amministratore di dominio. Messaggio di errore: nome utente sconosciuto o password errata Il nome utente o la password non corrispondono. Soluzione possibile: cercare nuovamente di effettuare l'accesso accertandosi di digitare il nome utente e la password in modo corretto. Messaggio di errore: attivazione non riuscita perché l'account utente non ha diritti di amministratore di dominio.
3. Aprire la finestra Informazioni sulla crittografia del server per confermare che è in esecuzione in modalità server. 4. Fare clic con il tasto destro del mouse sull'icona di crittografia nell'area di notifica e selezionare Attiva Dell Encryption. 5. Immettere le credenziali di amministratore di dominio nella finestra di dialogo Attiva. N.B.
Autenticazione e attivazione del dispositivo Il diagramma seguente illustra l'autenticazione e l'attivazione del dispositivo corrette. 1. Una volta riavviato dopo una attivazione iniziale completata, un computer con Server Encryption si autentica automaticamente usando l'account utente virtuale del server ed esegue il client di crittografia in modalità Server. 2.
Interazioni tra Encryption External Media e il sistema di controllo delle porte Per garantire che il supporto non sia di sola lettura e che la porta non sia bloccata Il criterio EMS - Accesso a supporto non protetto interagisce con il criterio Sistema di controllo porte - Categoria: memorizzazione > Sottoclasse memorizzazione: Controllo unità esterne.
OPPURE 1. Fare clic su Avanzate per attivare/disattivare la visualizzazione su Semplice per sottoporre a scansione una cartella specifica. 2. Accedere a Impostazioni di scansione e inserire il percorso della cartella nel campo Percorso di ricerca. Se si utilizza questo campo, la selezione nel menu viene ignorata. 3. Se non si desidera scrivere i risultati della scansione di WSScan su file, disattivare la casella di controllo Output su file. 4.
Uso della riga di comando di WSScan WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o] [-a] [-f] [-r] [u[a][-|v]] [-d] [-q] [-e] [-x] [-y] Opzione Significato Unità Unità da sottoporre a scansione. Se non è specificato, l'impostazione predefinita è tutte le unità fisse locali. Può essere un'unità di rete mappata.
Opzione Significato -s Operazione invisibile all'utente -o Percorso del file di output -a Aggiungere al file di output. Il comportamento predefinito tronca il file di output. -f Identificatore di formato rapporto (Rapporto, Fisso, Delimitato) -r Eseguire WSScan senza i privilegi di amministratore. In questa modalità alcuni file potrebbero non essere visibili. -u Includere file non crittografati nel file di output.
Output Significato Come mostrato nell'esempio riportato sopra, "7vdlxrsb". Se si esegue la scansione di un'unità di rete mappata, il rapporto di scansione non genera un KCID. UCID L'ID utente. Come mostrato nell'esempio riportato sopra, "_SDENCR_". L'UCID è condiviso da tutti gli utenti del computer. File Il percorso del file crittografato. Come mostrato nell'esempio riportato sopra, "c:\temp\Dell - test.log". Algoritmo L'algoritmo di crittografia utilizzato per crittografare il file.
wsprobe [path] wsprobe [-h] wsprobe [-f path] wsprobe [-u n] [-x process_names] [-i process_names] Parametri Parametro Per path Specificare facoltativamente un percorso specifico nel dispositivo da sottoporre a scansione per eventuale crittografia/decrittografia. Se non viene specificato un percorso, l'utilità sottopone a scansione tutte le cartelle relative ai criteri di crittografia. -h Visualizzare la guida della riga di comando.
● Completata - La ricerca della decrittografia è stata completata. Al riavvio successivo è pianificata l'eliminazione del servizio, del driver, dell'eseguibile e dell'eseguibile del driver. Risoluzione dei problemi di Advanced Threat Prevention Trovare il codice prodotto con Windows PowerShell ● Utilizzando questo metodo è possibile identificare facilmente il codice di prodotto, se il codice di prodotto viene modificato in futuro. Get-WmiObject Win32_Product | Where-Object {$_.
Risoluzione dei problemi
Il diagramma seguente illustra il processo di comunicazione dell'agente di Advanced Threat Prevention. Processo di verifica dell'integrità dell'immagine del BIOS Il diagramma seguente illustra il processo di verifica dell'integrità dell'immagine del BIOS. Per un elenco dei modelli di computer Dell che supportano la verifica dell'integrità dell'immagine del BIOS, consultare Requisiti - Verifica dell'integrità dell'immagine del BIOS.
Risoluzione dei problemi SED Usare il Codice di accesso iniziale ● Questo criterio viene utilizzato per eseguire l'accesso a un computer se l'accesso di rete non è disponibile, Ovvero se non è possibile accedere al Dell Server e AD. Usare il criterio Codice di accesso iniziale solo in caso di stretta necessità. Dell sconsiglia di eseguire l'accesso con questo metodo.
● Il Codice di accesso iniziale può essere utilizzato una volta sola, subito dopo l'attivazione. Dopo l'accesso di un utente finale, il Codice di accesso iniziale non sarà più disponibile. Il primo accesso al dominio eseguito dopo l'immissione del Codice di accesso iniziale viene memorizzato nella cache e il valore del campo Codice di accesso iniziale non viene più visualizzato.
Driver di Dell ControlVault Aggiornare driver e firmware di Dell ControlVault ● I driver e il firmware di Dell ControlVault che vengono preinstallati nei computer Dell sono obsoleti e devono essere aggiornati seguendo l'ordine della procedura seguente.
4. Selezionare il Sistema operativo del computer di destinazione. 5. Selezionare la categoria Sicurezza.
6. Scaricare e salvare i driver di Dell ControlVault. 7. Scaricare e salvare il firmware di Dell ControlVault. 8. Copiare i driver e il firmware nei computer di destinazione, se necessario. Installare il driver di Dell ControlVault 1. Passare alla cartella in cui è stato scaricato il file di installazione del driver.
2. Cliccare due volte sul driver di Dell ControlVault per avviare il file eseguibile autoestraente. N.B.: Assicurarsi di installare prima il driver. Il nome file del driver al momento della creazione del documento è ControlVault_Setup_2MYJC_A37_ZPE.exe. 3. Cliccare su Continua per iniziare. 4. Cliccare su OK per decomprimere i file del driver nel percorso predefinito C:\Dell\Drivers\. 5. Cliccare su Sì per consentire la creazione di una nuova cartella.
6. Cliccare su OK quando viene visualizzato il messaggio di completamento della decompressione. 7. Al termine dell'estrazione, viene visualizzata la cartella contenente i file. Se ciò non accade, passare alla cartella in cui sono stati estratti i file. In questo caso, la cartella è JW22F. 8. Cliccare due volte su CVHCI64.MSI per avviare il programma di installazione del driver [in questo esempio si tratta di CVHCI64.MSI (CVHCI per un computer a 32 bit)]. 9. Cliccare su Avanti nella schermata iniziale.
10. Cliccare su Avanti per l'installazione dei driver nel percorso predefinito C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\. 11. Selezionare l'opzione Completata e cliccare su Avanti.
12. Cliccare su Installa per avviare l'installazione dei driver. 13. È possibile, facoltativamente, selezionare la casella di controllo per visualizzare il file di registro del programma di installazione. Cliccare su Fine per uscire dalla procedura guidata.
Verificare l'installazione del driver ● Device Manager avrà un dispositivo Dell ControlVault (e altri dispositivi) a seconda del sistema operativo e della configurazione dell'hardware. Installare il firmware di Dell ControlVault 1. Passare alla cartella in cui è stato scaricato il file di installazione del firmware. 2. Cliccare due volte sul firmware di Dell ControlVault per avviare il file eseguibile autoestraente. 3. Cliccare su Continua per iniziare.
4. Cliccare su OK per decomprimere i file del driver nel percorso predefinito C:\Dell\Drivers\. 5. Cliccare su Sì per consentire la creazione di una nuova cartella. 6. Cliccare su OK quando viene visualizzato il messaggio di completamento della decompressione. 7. Al termine dell'estrazione, viene visualizzata la cartella contenente i file. Se ciò non accade, passare alla cartella in cui sono stati estratti i file. Selezionare la cartella firmware.
8. Cliccare due volte su ushupgrade.exe per avviare il programma di installazione del firmware. 9. Cliccare su Avvia per avviare l'aggiornamento del firmware.
N.B.: Se si tratta dell'aggiornamento di una versione precedente del firmware, all'utente potrebbe essere richiesto di immettere la password di amministratore. Immettere Broadcom come password e cliccare su Invio se viene visualizzata questa finestra di dialogo. Vengono visualizzati alcuni messaggi di stato.
Risoluzione dei problemi 129
10. Cliccare su Riavvia per completare l'aggiornamento del firmware. L'aggiornamento dei driver e del firmware di Dell ControlVault è stato completato.
Computer UEFI Risoluzione dei problemi di connessione di rete ● Per eseguire l'autenticazione di preavvio in un computer con firmware UEFI, la modalità PBA deve disporre della connettività di rete. Per impostazione predefinita, i computer con firmware UEFI non dispongono di connettività di rete fino al caricamento del sistema operativo, che avviene dopo la modalità PBA.
Costante/valore Descrizione TPM_E_BAD_ORDINAL Ordinale sconosciuto o incoerente. 0x8028000A TPM_E_INSTALL_DISABLED Installazione del proprietario disabilitata. 0x8028000B TPM_E_INVALID_KEYHANDLE Impossibile interpretare l'handle della chiave. 0x8028000C TPM_E_KEYNOTFOUND L'handle della chiave punta a una chiave non valida. 0x8028000D TPM_E_INAPPROPRIATE_ENC Schema di crittografia non accettabile. 0x8028000E TPM_E_MIGRATEFAIL Autorizzazione della migrazione non riuscita.
Costante/valore Descrizione TPM_E_SHA_ERROR Impossibile continuare il calcolo. Errore rilevato dal thread SHA-1 esistente. 0x8028001B TPM_E_FAILEDSELFTEST 0x8028001C TPM_E_AUTH2FAIL 0x8028001D TPM_E_BADTAG Errore segnalato dal dispositivo hardware TPM durante il test automatico interno. Provare a riavviare il computer per risolvere il problema. Se il problema persiste, potrebbe essere necessario sostituire l'hardware TPM o la scheda madre. Impossibile eseguire l'autorizzazione.
Costante/valore Descrizione TPM_E_BAD_MODE 0x8028002C Parametro relativo alla modalità non valido, ad esempio capArea o subCapArea per TPM_GetCapability, phsicalPresence per TPM_PhysicalPresence o migrationType per TPM_CreateMigrationBlob. TPM_E_BAD_PRESENCE Valore errato dei bit physicalPresence o physicalPresenceLock. 0x8028002D TPM_E_BAD_VERSION TPM: impossibile eseguire questa versione della caratteristica.
Costante/valore Descrizione TPM_E_BAD_LOCALITY Località non corretta per l'operazione desiderata. 0x8028003D TPM_E_READ_ONLY L'area non volatile è di sola lettura e non può essere scritta. 0x8028003E TPM_E_PER_NOWRITE Nessuna protezione da scrittura per l'area non volatile. 0x8028003F TPM_E_FAMILYCOUNT Valore del conteggio delle famiglie non corrispondente. 0x80280040 TPM_E_WRITE_LOCKED Scrittura già eseguita nell'area non volatile.
Costante/valore Descrizione TPM_E_TRANSPORT_NOTEXCLUSIVE Comando eseguito al di fuori di una sessione di trasporto esclusiva. 0x8028004E TPM_E_OWNER_CONTROL 0x8028004F TPM_E_DAA_RESOURCES 0x80280050 TPM_E_DAA_INPUT_DATA0 0x80280051 TPM_E_DAA_INPUT_DATA1 Tentativo di salvataggio di una chiave la cui rimozione è controllata dal proprietario. Nessuna risorsa disponibile per il comando DAA per l'esecuzione del comando. Verifica di coerenza per il parametro DAA inputData0 non riuscita.
Costante/valore Descrizione TPM_E_MA_AUTHORITY Autorità di migrazione non corretta. 0x8028005F TPM_E_PERMANENTEK 0x80280061 TPM_E_BAD_SIGNATURE Tentativo di revocare la chiave di crittografia. Impossibile revocare tale chiave. Firma del ticket CMK non valida. 0x80280062 TPM_E_NOCONTEXTSPACE Spazio insufficiente per ulteriori contesti nell'elenco dei contesti. 0x80280063 TPM_E_COMMAND_BLOCKED Comando bloccato. 0x80280400 TPM_E_INVALID_HANDLE Impossibile trovare l'handle specificato.
Costante/valore Descrizione TBS_E_INSUFFICIENT_BUFFER Buffer di output specificato insufficiente. 0x80284005 TBS_E_IOERROR Errore durante la comunicazione con il TPM. 0x80284006 TBS_E_INVALID_CONTEXT_PARAM Uno o più parametri di contesto non validi. 0x80284007 TBS_E_SERVICE_NOT_RUNNING Il servizio TBS non è in esecuzione. Impossibile avviarlo. 0x80284008 TBS_E_TOO_MANY_TBS_CONTEXTS Impossibile creare un nuovo contesto. Troppi contesti aperti.
Costante/valore Descrizione valore restituito nelle informazioni aggiuntive, oppure l'abilitazione del TPM nel BIOS di sistema. TBS_E_PPI_FUNCTION_UNSUPPORTED 0x80284014 TBS_E_OWNERAUTH_NOT_FOUND L'interfaccia di presenza fisica del firmware non supporta il metodo richiesto. Impossibile trovare il valore OwnerAuth del TPM richiesto. 0x80284015 TBS_E_PROVISIONING_INCOMPLETE 0x80284016 Provisioning del TPM non completato.
Costante/valore Descrizione TPMAPI_E_MESSAGE_TOO_LARGE Messaggio troppo grande per lo schema di codifica. 0x8029010D TPMAPI_E_INVALID_ENCODING Codifica nel BLOB non riconosciuta. 0x8029010E TPMAPI_E_INVALID_KEY_SIZE Dimensioni della chiave non valide. 0x8029010F TPMAPI_E_ENCRYPTION_FAILED Crittografia non riuscita. 0x80290110 TPMAPI_E_INVALID_KEY_PARAMS Struttura dei parametri della chiave non valida.
Costante/valore Descrizione TPMAPI_E_POLICY_DENIES_OPERATION L'operazione richiesta è stata bloccata dai criteri del TPM correnti. Per ottenere assistenza, contattare l'amministratore di sistema. 0x8029011E TBSIMP_E_BUFFER_TOO_SMALL Il buffer specificato era insufficiente. 0x80290200 TBSIMP_E_CLEANUP_FAILED Impossibile eseguire la pulizia del contesto. 0x80290201 TBSIMP_E_INVALID_CONTEXT_HANDLE L'handle di contesto specificato non è valido.
Costante/valore Descrizione TBSIMP_E_NOT_ENOUGH_TPM_CONTEXTS TPM: troppi contesti in uso. 0x80290210 TBSIMP_E_COMMAND_FAILED Comando TPM non riuscito. 0x80290211 TBSIMP_E_UNKNOWN_ORDINAL TBS: impossibile riconoscere l'ordinale specificato. 0x80290212 TBSIMP_E_RESOURCE_EXPIRED La risorsa richiesta non è più disponibile. 0x80290213 TBSIMP_E_INVALID_RESOURCE Tipo di risorsa non corrispondente. 0x80290214 TBSIMP_E_NOTHING_TO_UNLOAD Nessuna risorsa scaricabile.
Costante/valore Descrizione TPM_E_PCP_ERROR_MASK Maschera per la conversione degli errori del provider di crittografia della piattaforma in errori di Windows.
Costante/valore Descrizione PLA_E_DCS_ALREADY_EXISTS Insieme agenti di raccolta dati già esistente. 0x803000B7 PLA_S_PROPERTY_IGNORED Il valore della proprietà verrà ignorato. 0x00300100 PLA_E_PROPERTY_CONFLICT Conflitto di valori di proprietà. 0x80300101 PLA_E_DCS_SINGLETON_REQUIRED 0x80300102 PLA_E_CREDENTIALS_REQUIRED 0x80300103 PLA_E_DCS_NOT_RUNNING In base alla configurazione corrente, l'Insieme agenti di raccolta dati deve contenere un solo agente di raccolta dati.
Costante/valore Descrizione PLA_E_PLA_CHANNEL_NOT_ENABLED È possibile eseguire questa operazione solo se il canale Microsoft-Windows-Diagnosis-PLA/Operational del registro eventi è attivato. 0x80300110 PLA_E_TASKSCHED_CHANNEL_NOT_ENABLED 0x80300111 PLA_E_RULES_MANAGER_FAILED È possibile eseguire questa operazione solo se il canale Microsoft-Windows-TaskScheduler del registro eventi è attivato. Impossibile eseguire Gestione regole.
Costante/valore Descrizione di Crittografia unità BitLocker o Trusted Platform Module. Contattare l'amministratore di dominio per verificare che siano state installate tutte le estensioni dello schema di Active Directory necessarie per BitLocker.
Costante/valore Descrizione FVE_E_TPM_NOT_OWNED È necessario inizializzare il TPM prima di poter utilizzare Crittografia unità BitLocker.
Costante/valore Descrizione FVE_E_FAILED_AUTHENTICATION Impossibile sbloccare l'unità con la chiave fornita. Verificare che la chiave sia corretta e riprovare. 0x80310027 FVE_E_NOT_OS_VOLUME L'unità specificata non è l'unità del sistema operativo.
Costante/valore Descrizione Verificare che il formato della password di ripristino sia corretto, quindi riprovare.
Costante/valore Descrizione modificate o è stato specificato un PIN non corretto. Verificare che l'unità non sia stata alterata e che le modifiche alle informazioni di avvio del sistema siano state apportate da una fonte attendibile. Dopo avere verificato che l'accesso all'unità è sicuro, utilizzare la Console di ripristino di emergenza di BitLocker per sbloccare l'unità, quindi sospendere e riprendere BitLocker per aggiornare le informazioni di avvio del sistema che BitLocker associa all'unità.
Costante/valore Descrizione FVE_E_DEBUGGER_ENABLED Impossibile crittografare l'unità mentre il debugger di avvio è abilitato. Per disattivare il debugger di avvio, utilizzare lo strumento da riga di comando bcdedit. 0x8031004F FVE_E_RAW_ACCESS 0x80310050 FVE_E_RAW_BLOCKED 0x80310051 FVE_E_BCD_APPLICATIONS_PATH_INCORRECT 0x80310052 FVE_E_NOT_ALLOWED_IN_VERSION 0x80310053 FVE_E_NO_AUTOUNLOCK_MASTER_KEY 0x80310054 FVE_E_MOR_FAILED 0x80310055 FVE_E_HIDDEN_VOLUME Nessuna operazione eseguita.
Costante/valore Descrizione FVE_E_POLICY_RECOVERY_KEY_REQUIRED In base alle impostazioni dei Criteri di gruppo, è necessario creare una chiave di ripristino. 0x8031005F FVE_E_POLICY_STARTUP_PIN_NOT_ALLOWED 0x80310060 FVE_E_POLICY_STARTUP_PIN_REQUIRED 0x80310061 FVE_E_POLICY_STARTUP_KEY_NOT_ALLOWED 0x80310062 FVE_E_POLICY_STARTUP_KEY_REQUIRED 0x80310063 Utilizzo di un PIN all'avvio non consentito dalle impostazioni dei Criteri di gruppo. Scegliere un'altra opzione di avvio di BitLocker.
Costante/valore Descrizione FVE_E_VOLUME_TOO_SMALL Unità troppo piccola per utilizzare la protezione tramite Crittografia unità BitLocker.
Costante/valore Descrizione FVE_E_POLICY_CONFLICT_FDV_RK_OFF_AUK_ON Impossibile applicare Crittografia unità BitLocker all'unità a causa di conflitti nelle impostazioni dei Criteri di gruppo. Non è possibile configurare BitLocker per lo sblocco automatico delle unità dati fisse quando le opzioni di ripristino dell'utente sono disabilitate.
Costante/valore Descrizione FVE_E_POLICY_CONFLICT_FDV_RP_OFF_ADB_ON Impossibile applicare Crittografia unità BitLocker all'unità a causa di conflitti nelle impostazioni dei Criteri di gruppo per le opzioni di ripristino relative alle unità dati fisse. Non è possibile richiedere l'archiviazione di informazioni di ripristino in Servizi di dominio Active Directory quando non è consentita la generazione di password di ripristino.
Costante/valore Descrizione FVE_E_INVALID_DATUM_TYPE Tipo sconosciuto nelle informazioni di gestione archiviate sull'unità. Se si utilizza una versione precedente di Windows, provare ad accedere all'unità utilizzando la versione più recente. 0x8031009B FVE_E_EFI_ONLY Funzionalità supportata solo su sistemi EFI. 0x8031009C FVE_E_MULTIPLE_NKP_CERTS Più certificati di protezione di rete con chiave trovati nel sistema.
Costante/valore Descrizione 0x803100AA FVE_E_NO_PASSPHRASE_WITH_TPM 0x803100AB FVE_E_NO_TPM_WITH_PASSPHRASE 0x803100AC FVE_E_NOT_ALLOWED_ON_CSV_STACK 0x803100AD FVE_E_NOT_ALLOWED_ON_CLUSTER 0x803100AE FVE_E_EDRIVE_NO_FAILOVER_TO_SW 0x803100AF FVE_E_EDRIVE_BAND_IN_USE 0x803100B0 FVE_E_EDRIVE_DISALLOWED_BY_GP 0x803100B1 FVE_E_EDRIVE_INCOMPATIBLE_VOLUME Impossibile aggiungere una protezione con chiave di tipo password. Protezione TPM esistente nell'unità.
Costante/valore Descrizione FVE_E_SECUREBOOT_DISABLED Impossibile utilizzare l'avvio sicuro in BitLocker per garantire l'integrità della piattaforma. L'avvio sicuro è stato disabilitato.
Costante/valore Descrizione FVE_E_DE_OS_VOLUME_NOT_PROTECTED Il PC non è configurato per supportare la crittografia del dispositivo. 0x803100C9 FVE_E_DE_DEVICE_LOCKEDOUT 0x803100CA FVE_E_DE_PROTECTION_NOT_YET_ENABLED Blocco dispositivo attivato a causa dei troppi tentativi di accesso con password errate. 0x803100CB La protezione non è abilitata nel volume. Per abilitare la protezione è necessario un account connesso.
20 Glossario Attivare - L'attivazione avviene quando il computer è stato registrato con il Dell Server e ha ricevuto almeno un insieme iniziale di criteri. Active Directory (AD) - Un servizio directory creato da Microsoft per reti di dominio di Windows.
Autenticazione di preavvio (PBA, Preboot Authentication) - L'Autenticazione di preavvio funge da estensione del BIOS o del firmware di avvio e garantisce un ambiente sicuro e a prova di manomissione, esterno al sistema operativo come livello di autenticazione affidabile. La PBA impedisce la lettura di qualsiasi informazione dal disco rigido, come il sistema operativo, finché l'utente non dimostra di possedere le credenziali corrette.