Dell Endpoint Security Suite Enterprise Guia de instalação avançada v3.0 Maio 2021 Rev.
Notas, avisos e advertências NOTA: Uma NOTA indica informações importantes que ajudam você a usar melhor o seu produto. CUIDADO: um AVISO indica possíveis danos ao hardware ou a possibilidade de perda de dados e informa como evitar o problema. ATENÇÃO: uma ADVERTÊNCIA indica possíveis danos à propriedade, lesões corporais ou risco de morte. © 2012-2021 Dell Inc. All rights reserved.
Índice Capítulo 1: Introdução..................................................................................................................... 6 Antes de começar..................................................................................................................................................................6 Uso deste Guia.......................................................................................................................................................................
Desinstalar , Web Protection e Firewall............................................................................................................................ 64 Desinstalar o Advanced Threat Prevention......................................................................................................................64 Desinstalar o Full Disk Encryption......................................................................................................................................
Capítulo 19: Troubleshooting........................................................................................................ 104 Todos os clientes - solução de problemas...................................................................................................................... 104 Todos os clients - Status de proteção............................................................................................................................
1 Introdução Este guia detalha como instalar e configurar o Advanced Threat Prevention, o , o Encryption, o gerenciamento de SED, o Full Disk Encryption, a proteção da Web e firewall de client e o BitLocker Manager. Todas as informações sobre as políticas e suas descrições podem ser encontradas no AdminHelp. Antes de começar 1. Instale o Dell Server antes de implementar os clientes. Localize o guia correto conforme mostrado abaixo, siga as instruções descritas e retorne para este guia.
Uso deste Guia Use este guia na seguinte ordem. ● Consulte Requisitos para obter os pré-requisitos do cliente, as informações sobre o hardware e o software do computador, as limitações e as modificações especiais de registro necessárias para os recursos. ● Caso seja necessário, consulte Configuração de pré-instalação do UEFI da SED e do BitLocker. ● Se os seus clientes forem habilitados usando o Dell Digital Delivery, consulte Definir GPO no controlador de domínio para ativar a habilitação.
2 Requisitos Todos os clients Estes requisitos se aplicam a todos os clientes. Os requisitos apresentados em outras seções se aplicam a clientes específicos. ● As práticas recomendadas de TI devem ser seguidas durante a implementação. Isso inclui, sem limitações, ambientes de teste controlados para testes iniciais e implantações escalonadas para os usuários.
Suporte de idioma FR - Francês JA - Japonês PT-PT - Português, Portugal (ibérico) Criptografia ● O computador cliente precisa ter conectividade de rede para realizar a ativação. ● Para reduzir o tempo inicial de criptografia, execute o Assistente de Limpeza de Disco do Windows para remover arquivos temporários e todos os outros dados desnecessários. ● O suporte do Windows Hello for Business requer o Endpoint Security Suite Enterprise v3.0 ou posterior em execução no Windows 10.
Hardware ● A tabela a seguir detalha o hardware suportado. Hardware integrado opcional ○ TPM 1.2 ou 2.0 Sistemas operacionais ● A tabela a seguir detalha os sistemas operacionais suportados. Sistemas operacionais Windows (32 e 64 bits) ○ ○ ○ ○ ○ Windows 7 SP1: Enterprise, Professional, Ultimate Windows Embedded Standard 7 com modelo de compatibilidade de aplicativo Windows 8.1: Enterprise, Pro Windows Embedded 8.
Sistemas operacionais Windows suportados para acessar mídia criptografada (32 e 64 bits) Nota: o Windows 10 v2004 (Atualização de maio de 2020/20H1) não é compatível com a arquitetura de 32 bits. Para obter mais informações, acesse https://docs.microsoft.com/windows-hardware/design/minimum/minimum-hardware-requirementsoverview ■ ■ Windows 10 2016 LTSB Windows 10 2019 LTSC Sistemas operacionais Mac suportados para acessar mídias criptografadas (kernels de 64 bits) ○ macOS High Sierra 10.13.5 - 10.13.
Pré-requisito ○ Visual C++ 2017 ou Redistributable Package mais recente (x86 ou x64) O Visual C++ 2017 exige o Windows Update KB2999226 se estiver instalado no Windows 7. ○ Em janeiro de 2020, os certificados de autenticação SHA1 não serão mais válidos e não poderão ser renovados. Os dispositivos que executam o Windows 7 ou o Windows Server 2008 R2 devem instalar os artigos https://support.microsoft.com/help/ 4474419 e https://support.microsoft.
UEFI PBA - em computadores Dell compatíveis Senha Windows 10 Impressão digital X1 Smart Card de contato Cartão SIPR X1 1. Disponível em computadores com suporte a UEFI. Modelos de computadores Dell compatíveis com modo de inicialização UEFI ● Para obter a lista mais atualizada de plataformas que são compatíveis com o Full Disk Encryption, consulte o artigo da base de conhecimento 126855.
Pré-requisito ○ Visual C++ 2012 Update 4 ou Redistributable Package mais recente (x86 ou x64) ○ Visual C++ 2017 ou Redistributable Package mais recente (x86 ou x64) O Visual C++ 2017 exige o Windows Update KB2999226 se estiver instalado no Windows 7. ○ Em janeiro de 2020, os certificados de autenticação SHA1 não serão mais válidos e não poderão ser renovados. Os dispositivos que executam o Windows 7 ou o Windows Server 2008 R2 devem instalar os artigos https://support.microsoft.
Sistemas operacionais A tabela a seguir detalha os sistemas operacionais suportados. Sistemas operacionais (32 e 64 bits) ● Windows 7 SP1: Enterprise, Professional, Ultimate ● Windows 8.1: Enterprise, Pro ● Windows 10: Education, Enterprise, Pro v1803-v21H1 (Atualização de abril de 2018/Redstone 4 – atualização de maio de 2021/21H1) Nota: o Windows 10 v2004 (Atualização de maio de 2020/20H1) não é compatível com a arquitetura de 32 bits. Para obter mais informações, acesse https://docs.microsoft.
Sistemas operacionais Windows suportados para acessar mídia criptografada (32 e 64 bits) Nota: o Windows 10 v2004 (Atualização de maio de 2020/20H1) não é compatível com a arquitetura de 32 bits. Para obter mais informações, acesse https://docs.microsoft.
Sistemas operacionais Windows (32 e 64 bits) Nota: o Windows 10 v2004 (Atualização de maio de 2020/20H1) não é compatível com a arquitetura de 32 bits. Para obter mais informações, acesse https://docs.microsoft.
Compatibilidade A tabela a seguir detalha a compatibilidade com Windows, Mac e Linux. n/a - a tecnologia não se aplica a essa plataforma. Campo em branco - a política não é suportada com o Endpoint Security Suite Enterprise.
Recursos Políticas O Windows macOS Linux Detecção de ameaças em segundo plano x x x Inspecionar se há novos arquivos x x x Tamanho máximo do arquivo morto a ser verificado x x x Excluir pastas específicas x x x Cópia de amostras de arquivo x Controle de aplicativos Alterar janela x Exclusões de pasta x x Configurações do agente Habilitar upload automático de arquivos de log x x x Habilitar notificações da área de trabalho x Script ativo x Powershell x Macros do Office
Pré-requisito ○ Visual C++ 2012 Update 4 Redistributable Package (x86 e x64) ○ Visual C++ 2015 ou Redistributable Package mais recente (x86 ou x64) O Visual C++ 2017 exige o Windows Update KB2999226 se estiver instalado no Windows 7. ● O recurso Web Protection é suportado apenas com os navegadores a seguir: Navegador Suporte do Web Protection Versão Google Chrome Sim Todas as versões modernas Microsoft Edge Sim O Microsoft Edge é suportado com o Endpoint Security Suite Enterprise v10.
Sistemas operacionais Windows (32 e 64 bits) ■ Em janeiro de 2020, os certificados de autenticação SHA1 não serão mais válidos e não poderão ser renovados. Os dispositivos que executam o Windows 7 ou o Windows Server 2008 R2 devem instalar os artigos https:// support.microsoft.com/help/4474419 e https://support.microsoft.com/help/4490628 da KB da Microsoft para validar os certificados de autenticação SHA256 nos aplicativos e pacotes de instalação.
■ A operação SATA do BIOS deve ser definida como AHCI, já que o Gerenciador SED não suporte RAID com unidades não NVMe. ■ RAID ON não é suportado porque o acesso de leitura e gravação a dados relacionados ao RAID (em um setor que não está disponível em uma unidade travada não-NVMe) não está acessível na inicialização e não pode esperar para ler esses dados até depois de o usuário estar conectado.
Opções de autenticação de pré-inicialização com o Gerenciador SED ● Hardware específico é necessário, para usar Smart Cards e para autenticar em computadores UEFI. Configuração é necessária para usar Smart Cards com autenticação de pré-inicialização. As tabelas a seguir mostram as opções de autenticação disponíveis pelo sistema operacional, quando os requisitos de hardware e configuração são atendidos. Não UEFI PBA Senha Impressão digital Smart Card de contato Windows 7 SP0-SP1 X1 X1 2 Windows 8.
Sistemas operacionais ● A tabela a seguir detalha os sistemas operacionais suportados. Sistemas operacionais Windows (32 e 64 bits) ○ Windows 7 SP0-SP1: Enterprise, Professional, Ultimate (suportado com o modo de Inicialização herdada, mas não com UEFI) NOTA: Unidades de autocriptografia NVMe não são suportadas com o Windows 7. ○ Windows 8.
● O BitLocker Manager não é suportado com a criptografia de sistemas operacionais de servidor ou Advanced Threat Prevention em um sistema operacional de servidor.
Sistemas operacionais Windows ○ Windows Server 2016: Standard Edition, Datacenter Edition (64 bits) ○ Windows Server 2019: Standard Edition, Datacenter Edition (64 bits) As atualizações do Windows KB3133977 e KB3125574 não devem estar instaladas se estiver instalando o BitLocker Manager no Windows 7.
3 Configurações de registro ● Esta seção detalha todas as configurações de registro aprovadas pelo Dell ProSupport para computadores clientes locais, independentemente do motivo para a configuração do registro. Se uma configuração de registro envolve dois produtos, ela será listada em cada categoria. ● Essas alterações no registro devem ser feitas apenas por administradores e podem não ser adequadas nem funcionar em todos os cenários. Criptografia ● Se um certificado autoassinado é usado no Dell Server.
Entretanto, se a sua organização usa um aplicativo de terceiro que exige que a estrutura de arquivos dentro do diretório \temp seja preservada, você deve evitar esta exclusão. Para desativar a exclusão de arquivo temporário, crie ou modifique a configuração de registro da seguinte forma: [HKLM\SOFTWARE\CREDANT\CMGShield] "DeleteTempFiles"=REG_DWORD:0 Não apagar os arquivos temporários aumenta o tempo da criptografia inicial.
Para usuários que exigem uma ativação através de VPN, uma configuração de ativação dividida no cliente pode ser necessária, a fim de atrasar a ativação inicial o suficiente para permitir que o cliente VPN estabeleça uma conexão de rede. Essas entradas de registro exigem que o computador seja reinicializado para que as atualizações sejam aplicadas. ○ Ativação dividida Para habilitar ou desabilitar esse recurso, crie uma DWORD com o nome SlottedActivation na chave principal: [HKLM\Software\Microsoft\Windows N
0 = Desativado (padrão) 1 = Ativado ● O System Data Encryption (SDE) é forçado com base no valor da política para as Regras de Criptografia do SDE. Diretórios adicionais são protegidos por padrão quando a política Criptografia do SDE Ativada é selecionada. Para obter mais informações, pesquise as "Regras de Criptografia do SDE" no AdminHelp.
Esse valor é o tempo em segundos que o Full Disk Encryption esperará para tentar entrar em contato com o Dell Server caso esteja indisponível para se comunicar com o Full Disk Encryption. O padrão é 300 segundos (5 minutos). ● Se um certificado autoassinado for usado no Dell Server para o Full Disk Encryption, a validação de confiança de SSL/TLS precisa permanecer desativada no computador cliente (a validação de confiança de SSL/TLS é desativada por padrão com o Full Disk Encryption).
○ WbioSrvc – O serviço biométrico do Windows oferece aos aplicativos de clientes a capacidade de capturar, comparar, manipular e armazenar dados biométricos sem obter acesso direto a nenhum hardware biométrico nem amostras. O serviço é hospedado em um processo privilegiado de SVCHOST. Por padrão, se a chave de registro não existir ou se o valor estiver definido como 0, esse recurso é ativado. [HKLM\SOFTWARE\DELL\Dell Data Protection] SmartCardServiceCheck=REG_DWORD:0 0 = Ativado 1 = Desativado ● Para impedi
Use essa configuração de registro apenas para teste/depuração, pois ela controla o detalhamento do log para outros componentes, incluindo Encryption e o Encryption Management Agent. ● O Modo de compatibilidade permite a execução de aplicativos no computador cliente mesmo com as políticas Proteção de memória e Controle de scripts ativadas. A ativação do modo de compatibilidade precisa adicionar um valor de registro no computador cliente. Para ativar o modo de compatibilidade, execute este procedimento: 1.
O valor 1 significa que a PBA está ativada. O valor 0 significa que a PBA não está ativada. ● Para determinar se um smart card está presente e ativo, defina o seguinte valor: HKLM\SOFTWARE\Dell\Dell Data Protection\ "SmartcardEnabled"=DWORD:1 Se SmartcardEnabled estiver ausente ou tiver um valor de zero, o Credential Provider mostrará apenas a senha para autenticação. Se SmartcardEnabled tiver um valor diferente de zero, o Credential Provider mostrará opções para senha e autenticação de smart card.
○ WbioSrvc – O serviço biométrico do Windows oferece aos aplicativos de clientes a capacidade de capturar, comparar, manipular e armazenar dados biométricos sem obter acesso direto a nenhum hardware biométrico nem amostras. O serviço é hospedado em um processo privilegiado de SVCHOST. Por padrão, se a chave de registro não existir ou se o valor estiver definido como 0, esse recurso é ativado. [HKLM\SOFTWARE\DELL\Dell Data Protection] SmartCardServiceCheck=REG_DWORD:0 0 = Ativado 1 = Desativado ● Para usar s
4 Instalar usando o instalador mestre ● Parâmetros e opções de linha de comando fazem distinção entre maiúsculas e minúsculas. ● Para instalar usando portas que não são as portas padrão, use os instaladores filhos, em vez do instalador mestre. ● Os arquivos de registro do instalador mestre do Endpoint Security Suite Enterprise estão localizados em C:\ProgramData\Dell\Dell Data Protection\Installer.
6. Clique em Avançar para instalar o produto no local padrão C:\Program Files\Dell\Dell Data Protection\. Dell recommends installing in the default location only, uma vez que podem ocorrer problemas ao instalar em outros locais. 7. Selecione os componentes a serem instalados. O Security Framework instala a estrutura de segurança subjacente.
8. Clique em Instalar para iniciar a instalação. A instalação demora vários minutos. 9. Selecione Sim, quero reiniciar meu computador agora e clique em Concluir.
Instalação concluída. Instalar por linha de comando usando o instalador mestre ● Em uma instalação de linha de comando, é necessário especificar primeiramente os switches. Outros parâmetros vão dentro de um argumento que é passado para a opção /v. Opções ● A tabela a seguir descreve os switches que podem ser usados com o instalador mestre do Endpoint Security Suite Enterprise.
Parâmetro Descrição InstallPath Especifica o caminho da instalação. Pode ser usado no modo SILENCIOSO. FEATURES Especifica os componentes que podem ser instalados no modo SILENCIOSO.
"DDSSuite.exe" /s /z"\"SERVER=server.organization.com, FEATURES=ATP\"" ● (Em um sistema operacional de servidor) Este exemplo instala apenas o Encryption, usando o instalador mestre do Endpoint Security Suite Enterprise em portas padrão, silenciosamente, no local padrão C:\Program Files\Dell\Dell Data Protection\ e o configura para usar o Dell Server especificado. "DDSSuite.exe" /s /z"\"SERVER=server.organization.com, FEATURES=DE\"" Instalar usando o instalador mestre 41
5 Desinstalar o instalador mestre ● A Dell recomenda usar o Desinstalador do Data Security para remover o pacote Data Security. ● Cada componente deve ser desinstalado separadamente, seguido pela desinstalação do instalador mestre do Endpoint Security Suite Enterprise. Os clientes precisam ser desinstalados em uma ordem específica para evitar falhas de desinstalação. ● Siga as instruções em Extrair os instaladores filhos do instalador mestre para obter os instaladores filhos.
6 Instalar usando os instaladores filho ● Para instalar ou fazer upgrade de cada cliente individualmente, os arquivos executáveis filhos devem, primeiro, ser extraídos do instalador mestre do Endpoint Security Suite Enterprise, conforme mostrado em Extrair os instaladores filhos do instalador mestre. ● Os exemplos de comandos incluídos nesta seção presumem que eles sejam executados a partir de C:\extracted. ● Parâmetros e opções de linha de comando fazem distinção entre maiúsculas e minúsculas.
Opção Significado /norestart Suprime a reinicialização ● Oriente os usuários a consultar o documento e os arquivos de ajuda a seguir para obter ajuda com o aplicativo: ○ Consulte Dell Encrypt Help para aprender como usar os recursos do Encryption. Acesse a ajuda em \Program Files\Dell\Dell Data Protection\Encryption\Help. ○ Consulte Encryption External Media (Ajuda de criptografia de mídia externa) para aprender sobre os recursos do Encryption External Media.
Parâmetros MACHINEID= (Nome do computador) RECOVERYID= (ID de recuperação) REBOOT=ReallySuppress (Null ativa a reinicialização automática, ReallySuppress desativa a reinicialização) HIDEOVERLAYICONS=1 (0 ativa ícones de sobreposição, 1 desativa os ícones de sobreposição) HIDESYSTRAYICON=1 (0 ativa o ícone na área de notificação, 1 desativa o ícone na área de notificação) ENABLE_FDE_LM=1 (Permite a instalação do Dell Encryption em um computador com o Full Disk Encryption ativo) EME=1
MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/" HIDESYSTRAYICON="1" HIDEOVERLAYICONS="1" Exemplo de linha de comando para Instalar apenas o Encryption External Media ● Instalação silenciosa, nenhuma barra de andamento, reinicialização automática, no local padrão C:\Program Files\Dell\Dell Data Protection\Encryption. DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ OPTIN=1 HIDEOVERLAYICONS=1 REBOOT=ReallySuppress /qn" Comando MSI: msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" OPTIN="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.
registros de instalação no C:\Dell. Nota: para que a geração de registros seja bem-sucedida, o diretório C:\Dell já deve existir antes da instalação. DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ ENABLE_FDE_LM=1 /norestart /qn /l*v C:\Dell\DellEncryptionInstall.log" NOTA: algumas versões mais antigas podem precisar de caracteres de escape, como "\", ao redor dos
EMAgent_64bit_setup.exe /s /v"CM_EDITION=1 ENABLE_FDE_LM=1 FEATURE=FDE SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 /norestart /qn" ● Linha de comando de exemplo para Instalar a Criptografia completa de disco e o Encryption External Media. Criptografia O exemplo a seguir instala apenas o Encryption External Media com instalação silenciosa, sem barra de progresso, reinicialização automática, instalada no local padrão C:\Program Files\De
● O arquivo de log da instalação está localizado no diretório %temp%, localizado em C:\Users\\AppData\Local\Temp. Para localizar o arquivo de log correto, procure o nome de arquivo que comece com MSI e termine com uma extensão .log. O arquivo inclui uma marca de data/hora correspondente a quando o instalador foi executado. ● O Encryption não é suportado em servidores que fazem parte de sistemas de arquivos distribuídos (DFS).
9. No nome de host e porta do Policy Proxy, digite/valide as informações e clique em Avançar. 10. Na URL do servidor de dispositivo, digite/valide as informações e clique em Avançar.
11. Clique em Instalar para iniciar a instalação. A instalação pode levar vários minutos. 12. Quando a configuração for concluída, clique em Concluir.
A instalação está concluída. 13. Reinicie o computador. A Dell recomenda a suspensão da reinicialização somente se for necessário tempo para salvar seu trabalho e fechar os aplicativos. Não será possível iniciar a criptografia até o computador ser reinicializado. Instalar usando a linha de comando Localize o instalador em C:\extracted\Encryption ● Use DDPE_xxbit_setup.
Componente Arquivo de log Parâmetros de linha de comando MANAGEDDOMAIN= DEVICESERVERURL= GKPORT= MACHINEID= RECOVERYID= REBOOT=ReallySuppress HIDEOVERLAYICONS=1 HIDESYSTRAYICON=1 EME=1 NOTA: Embora a reinicialização possa ser suprimida, uma reinicialização eventual será necessária. Não será possível iniciar a criptografia até o computador ser reinicializado.
Comando MSI: msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERMODE="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.
O Dell Server emite uma chave de criptografia para o ID do computador, cria a conta de usuário virtual do servidor, cria uma chave de criptografia para a conta de usuário, agrupa as chaves de criptografia e cria a relação entre o pacote de criptografia e a conta de usuário virtual do servidor. 3. Clique em Fechar. Após a ativação, a criptografia será iniciada. 4. Depois de terminar a varredura da criptografia, reinicie o computador para processar todos os arquivos que estavam anteriormente em uso.
Usuário do servidor virtual ● No Management Console, um servidor protegido pode ser encontrado sob o nome do computador. Além disso, cada servidor protegido tem sua própria conta de usuário virtual do servidor. Toda conta tem um nome de usuário estático e um nome de computador exclusivos. ● A conta de usuário virtual do servidor só é usada somente pelo Encryption em sistemas operacionais do servidor e, em outros casos, é transparente para a operação do servidor protegido.
3. Plugin do Advanced Threat Prevention, conforme mostrado em Instalação da linha de comando. ● O instalador do cliente do Advanced Threat Prevention pode ser localizado em: ○ Da sua conta de FTP na Dell - Localize o pacote de instalação em Endpoint-Security-Suite-Ent-2.x.x.xxx.zip e, em seguida Extraia os instaladores filhos do instalador mestre. Depois da extração, localize o arquivo em C:\extracted\Advanced Threat Prevention\WinXXR\ e C:\extracted\Advanced Threat Prevention\WinNtAll\.
Exemplo de script O exemplo a seguir instala o Advanced Threat Prevention, sem o gerenciamento de SED ou o BitLocker Manager (instalação silenciosa, nenhuma reinicialização, nenhuma entrada na lista de programas do Painel de controle, nenhum ícone na área de trabalho, instalado no local padrão C:\Program Files\Dell\Dell Data Protection). :: Instalação do Encryption Management Agent ".\Encryption Management Agent\EMAgent_64bit_setup.
Parâmetros Descrição INSTALLDIR Local de instalação não padrão nocontentupdate Diz ao instalador para não atualizar automaticamente os arquivos de conteúdo como parte do processo de instalação. A Dell recomenda programar uma atualização logo após a instalação. nopreservesettings Não salva as configurações. ● A tabela a seguir detalha os parâmetros disponíveis para o arquivo DellThreatProtection.msi. Parâmetros Descrição Reboot=ReallySuppress Suprime a reinicialização.
○ Da sua conta de FTP da Dell - Localize o pacote de instalação em Endpoint-Security-Suite-Ent-2.x.x.xxx.zip e, em seguida, Extraia os instaladores filhos do instalador mestre. Depois da extração, localize o arquivo em C:\extracted\Encryption Management Agent. Instalação por linha de comando ● A tabela a seguir detalha os parâmetros disponíveis para a instalação. Parâmetros CM_EDITION=1 INSTALLDIR= SERVERHOST=
Parâmetros CM_EDITION=1 INSTALLDIR= SERVERHOST= SERVERPORT=8888 SECURITYSERVERHOST= SECURITYSERVERPORT=8443 FEATURE=BLM FEATURE=BLM,SED ARPSYSTEMCOMPONENT=1 Para obter uma lista de opções de .
7 Desinstalar usando os instaladores filhos ● A Dell recomenda usar o Desinstalador do Data Security para remover o pacote Data Security. ● Para desinstalar cada cliente individualmente, os arquivos executáveis filhos devem, primeiro, ser extraídos do instalador mestre do Endpoint Security Suite Enterprise , conforme mostrado em Extrair os instaladores filhos do instalador mestre Execute, como alternativa, uma instalação administrativa para extrair o .msi.
Opção Significado /qn Sem interface do usuário Desinstalar , Web Protection e Firewall Se Proteção da Web e firewall não estiver instalada, vá para Desinstalar client do Encryption. Desinstalação por linha de comando ● Depois de extraído do instalador mestre do Endpoint Security Suite Enterprise, o instalador do client do Web Protection e Firewall poderá ser encontrado em C:\extracted\Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi.
2. 3. 4. 5. No painel esquerdo, clique em Populações > Endpoints. Selecione o Tipo de endpoint apropriado. Selecione Mostrar >Visível, Oculto ou Todos. Se você souber o nome de host do computador, digite-o no campo Nome de host (há suporte para caracteres curinga). Você pode deixar o campo em branco para ver todos os computadores. Clique em Pesquisar. Se você não souber o nome de host, navegue pela lista para localizar o computador.
10. Clique em Salvar. 11. No painel esquerdo, clique no banner Confirmar políticas. 12. Clique em Confirmar políticas. Aguarde a política ser propagada do Dell Server para o computador de destino para desativação. Desinstale o Gerenciador SED e o PBA Advanced Authentication depois que o PBA for desativado. Desinstalar cliente SED Desinstalação por linha de comando ● Depois de extraído do instalador mestre, o instalador do Gerenciador SED pode ser encontrado em C:\extracted\Encryption Management Agent\EMAge
Desinstalação por linha de comando ● Depois de extraído do instalador mestre do Endpoint Security Suite Enterprise , o instalador do Encryption poderá ser localizado em C:\extracted\Encryption\DDPE_XXbit_setup.exe. ● A tabela a seguir detalha os parâmetros disponíveis para a desinstalação.
msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" CMG_DECRYPT="1" CMGSILENTMODE="1" DA_SERVER="server.organization.com" DA_PORT="8050" SVCPN="administrator@domain.com" DA_RUNAS="domain\username" DA_RUNASPWD="password" /qn Reinicie o computador ao terminar. ● O exemplo a seguir desinstala silenciosamente o Encryption e faz download das chaves de criptografia usando uma conta de administrador forense. DDPE_XXbit_setup.
8 Desinstalador do Data Security Desinstalar Endpoint Security Suite Enterprise A Dell fornece o Desinstalador do Data Security como um desinstalador principal. Esse utilitário reúne os produtos instalados atualmente e os remove na ordem correta. NOTA: Ao desinstalar o FDE, a Dell recomenda reiniciar o computador depois que a desativação do FDE for concluída, para evitar problemas de hibernação do computador. Este Desinstalador do Data Security está disponível em: C:\Program Files (x86)\Dell\Dell Data Prote
Opcionalmente, desmarque qualquer aplicativo da remoção e clique em Avançar. Dependências obrigatórias são selecionadas ou apagadas automaticamente.
Para remover aplicativos sem instalar o Encryption Removal Agent, escolha Não instalar o Encryption Removal Agent e selecione Avançar. Selecione Encryption Removal Agent - Fazer download das chaves do servidor. Digite as credenciais totalmente qualificadas de um administrador forense e selecione Avançar.
Selecione Remover para começar a desinstalação. Clique em Concluir para concluir a remoção e reinicialize o computador. Reiniciar o computador após clicar em concluído é selecionado por padrão.
A desinstalação e a remoção estão concluídas.
9 Cenários mais utilizados ● Para instalar cada cliente individualmente, os arquivos filhos executáveis deverão ser extraídos do instalador mestre do Endpoint Security Suite Enterprise , conforme mostrado em Extrair os instaladores filhos do instalador mestre. ● O componente do instalador filho do Advanced Threat Prevention deve ser instalado apenas por linha de comandos.
○ Consulte Encryption External Media (Ajuda de criptografia de mídia externa) para aprender sobre os recursos do Encryption External Media. Acesse a ajuda em :\Program Files\Dell\Dell Data Protection\Encryption\EMS. ○ Consulte a , a do Endpoint Security Suite Pro e a Ajuda do Endpoint Security Suite Enterprise para saber como usar os recursos do Advanced Threat Prevention. Acesse a ajuda em :\Program Files\Dell\Dell Data Protection\Advanced Threat Prevention\Help.
\Threat Protection\SDK ● O exemplo a seguir instala o SDK. EnsMgmtSdkInstaller.exe "C:\Program Files\Dell\Dell Data Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >"C:\ProgramData\Dell\Dell Data Protection\Installer Logs\McAfeeSDKInstallerAfterEndPoint.
● O exemplo a seguir instala o Advanced Threat Prevention (instalação silenciosa, nenhuma reinicialização, arquivo de log da instalação e pasta de instalação nos locais especificados) MSIEXEC.EXE /I "ATP_CSF_Plugins_x64.msi" /qn REBOOT="ReallySuppress" ARPSYSTEMCOMPONENT="1" /l*v "C:\ProgramData\Dell\Dell Data Protection\Installer Logs\ATP.log" APPFOLDER="C:\Program Files\Dell\Dell Data Protection\Advanced Threat Prevention" e "\Advanced Threat Prevention\WinNtAll\ATP_AgentSetup.
10 Provisionar um locatário Um locatário precisa ser provisionado no Dell Server para que a imposição de políticas do Advanced Threat Prevention possa ser ativada. Pré-requisitos ● Precisa ser realizado por um administrador com a função de administrador do sistema. ● É necessária conectividade com a Internet para provisionar no Dell Server. ● É necessária conectividade do cliente com a Internet para exibir a integração do serviço online do Advanced Threat Prevention no Management Console.
4. A instalação guiada começa logo após a importação das licenças. Clique em Avançar para começar. 5. Leia e concorde com o EULA e clique em Avançar.
6. Forneça credenciais de identificação ao Dell Server para provisionamento do Usuário. Clique em Avançar. Não há suporte para o provisionamento de um usuário existente da marca Cylance. 7. Baixe o certificado. Isso é necessário para a recuperação se ocorrer um desastre com o Dell Server. O backup deste certificado não é feito automaticamente. Faça backup do certificado em um local seguro em outro computador. Marque a caixa de seleção para confirmar que você fez o backup do Certificado e clique em Avançar.
8. A configuração foi concluída. Clique em OK.
11 Configurar a atualização automática do agente do Advanced Threat Prevention No Management Console do Dell Server, você pode se inscrever para receber atualizações automáticas do agente do Advanced Threat Prevention. A inscrição para receber atualizações do agente automáticas permite aos clientes fazer download automaticamente das atualizações e aplicá-las a partir do serviço Advanced Threat Prevention. As atualizações são liberadas mensalmente.
12 Configuração pré-instalação para UFEI SED e BitLocker Manager Inicializar o TPM ● É preciso ser membro do grupo de administradores locais ou ter função equivalente. ● O computador precisa estar equipado com BIOS e módulo TPM compatíveis. ● Siga as instruções disponíveis em http://technet.microsoft.com/en-us/library/cc753140.aspx.
Desativar ROMs de opção preexistentes Verifique se a configuração de Ativar ROMs de opção preexistentes está desativada no BIOS. 1. 2. 3. 4. 5. Reinicie o computador. Quando a reinicialização começar, pressione F12 repetidamente para abrir as configurações de inicialização do computador com UEFI. Pressione a seta para baixo, realce a opção Configurações do BIOS e pressione Enter. Selecione Configurações > Geral > Opções de inicialização avançadas.
13 Designar o Dell Server por meio do registro ● Se seus clients tiverem direitos por meio do Dell Digital Delivery, siga estas instruções para definir um registro por meio de Objetos de política de grupo para predefinir o servidor Dell a ser usado após a instalação. ● A estação de trabalho deve ser membro da unidade organizacional onde os Objetos de política de grupo são aplicados ou as configurações do registro devem ser definidas manualmente no endpoint.
5. O Editor de gerenciamento de política de grupo é carregado. Acesse Configuração do computador > Preferências > Configurações do Windows > Registro. 6. Clique com o botão direito no Registro e selecione Novo > Item de registro. Preencha o seguinte: Ação: Create Hive: HKEY_LOCAL_MACHINE Caminho da chave: SOFTWARE\Dell\Dell Data Protection Nome do valor: Server Tipo do valor: REG_SZ Dados do valor: 7. Clique em OK.
8. Faça logout e depois login na estação de trabalho ou execute gpupdate /force para aplicar a política de grupo.
14 Extrair instaladores filhos ● Para instalar cada cliente individualmente, extraia os arquivos executáveis filhos do instalador. ● O instalador mestre não é um desinstalador mestre. Cada cliente precisa ser desinstalado separadamente, seguido pela desinstalação do instalador mestre. Use esse processo para extrair os clientes do instalador mestre para que eles possam ser usados para desinstalação. 1. A partir da mídia de instalação da Dell, copie o arquivo DDSSuite.exe para o computador local. 2.
15 Configurar o Key Server ● Esta seção explica como configurar os componentes para uso com autenticação/autorização Kerberos usando um Security Management Server. O Security Management Server Virtual não usa o Key Server. O Key Server é um serviço que escuta os clientes conectarem em um soquete. Assim que um cliente se conecta, uma conexão segura é negociada, autenticada e criptografada usando APIs Kerberos (se uma conexão segura não puder ser negociada, o cliente será desconectado).
4. Reinicie o serviço do Key Server (deixe o painel serviços aberto para continuar a operação). 5. Navegue até log.txt para verificar se o serviço foi iniciado corretamente. Arquivo de configuração do Key Server - Adicionar usuário para comunicação com o Security Management Server 1. Navegue até . 2. Abra Credant.KeyServer.exe.config com um editor de texto. 3.
Exemplo de arquivo de configuração [porta TCP que o Key Server escutará. O padrão é 8050.] [número de conexões ativas de soquete que o Key Server permitirá] [URL do Security Server (anteriormente conhecido como Device Server) (o formato é 8081/xapi para um Security Management Server pré-versão 7.
6. Clique em Usuários no menu à esquerda. Na caixa de pesquisa, pesquise o nome de usuário adicionado na Etapa 5. Clique em Pesquisar. 7. Assim que o usuário correto for localizado, clique na guia Administrador. 8. Selecione Administrador forense e clique em Atualizar. Agora os componentes estão configurados para a autorização/autenticação do Kerberos.
16 Usar o utilitário de download administrativo (CMGAd) ● Este utilitário possibilita fazer download de um pacote de materiais de chaves para uso em um computador não conectado a um Dell Server. ● O utilitário usa um dos métodos a seguir para fazer download de um pacote de materiais de chaves, dependendo do parâmetro de linha de comando passado ao aplicativo: ○ Modo forense - Usado se "-f" for incluído na linha de comando ou se nenhum parâmetro de linha de comando for usado.
3. Em Senha:, digite uma senha para proteger o arquivo de download. A senha deve ter no mínimo oito caracteres e conter pelo menos um caractere alfabético e um numérico. Confirme a senha. Aceite o nome e o local padrão onde o arquivo será salvo ou clique em ... para selecionar outro local. Clique em Avançar. Uma mensagem indicando que o material de chave foi desbloqueado corretamente é mostrada. Os arquivos estão acessíveis agora. 4. Clique em Concluir quando terminar.
1. Abra um prompt de comando onde o CMGAd está localizado e digite cmgad.exe -a. 2. Digite as informações a seguir (alguns campos podem já estar preenchidos). Servidor: nome de Host totalmente qualificado do Key Server, por exemplo, keyserver.domain.com Número da porta: a porta padrão é 8050 Conta de servidor: o usuário de domínio com o qual o Key Server está sendo executado. O formato é DOMAIN\Username.
Uma mensagem indicando que o material de chave foi desbloqueado corretamente é mostrada. Os arquivos estão acessíveis agora. 4. Clique em Concluir quando terminar.
17 Configurar Encryption em um sistema operacional do servidor Ativar Encryption em um sistema operacional do servidor NOTA: A criptografia de sistemas operacionais do servidor converte a criptografia de Usuário em criptografia Comum. 1. Como um administrador Dell, faça login no Management Console. 2. Selecione Endpoint Group (ou Endpoint), procure o endpoint ou grupo de endpoints que você deseja ativar, selecione Políticas de segurança e, em seguida, selecione a categoria de políticas Server Encryption. 3.
servidor - e o servidor protegido primeiro detecta a presença de um dispositivo removível, o usuário é solicitado a criptografar o dispositivo removível. ● As políticas do Encryption External Media controlam o acesso de mídias removíveis ao servidor, a autenticação, a criptografia e muito mais. ● As políticas de controle de porta afetam as mídias removíveis em servidores protegidos, por exemplo, controlando o acesso e o uso das portas USB do servidor por dispositivos USB.
Em Server Device Control, clique em Suspender e, em seguida, em Sim. NOTA: Clique em Reintegrar para permitir que o Encryption de sistemas operacionais do servidor acesse os dados criptografados no servidor após sua reinicialização.
18 Configurar o Deferred Activation O cliente Encryption com Deferred Activation difere da ativação do cliente Encryption de duas formas: Políticas de criptografia baseadas em dispositivo As políticas do cliente Encryption são baseadas em usuário, já as políticas de criptografia do cliente Encryption com Deferred Activation são baseadas em dispositivo. A criptografia de usuário é convertida para a criptografia Comum.
A Dell recomenda fortemente que uma senha do Windows seja criada (se ela ainda não existir) para proteger o acesso aos dados criptografados. Criar uma senha para o computador impede que outras pessoas façam login na sua conta de usuário sem a sua senha. Desinstalar versões anteriores do cliente Encryption Antes de desinstalar uma versão anterior do cliente Encryption, interrompa ou pause uma varredura de criptografia, caso seja necessário.
O Dell Server combina o pacote de chave de criptografia com as credenciais do usuário e com o ID exclusivo do computador (ID da máquina), criando uma relação indissolúvel entre o pacote de chave, o computador especificado e o usuário. 4. Reinicie o computador para que a varredura de criptografia seja iniciada. NOTA: O Console de gerenciamento local, acessível a partir do ícone da área de notificação, mostra as políticas enviadas pelo servidor, não a política efetiva.
O URL e outros dados que o usuário digitou no instalador ficam armazenados no registro. Verifique a precisão dos dados em [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] e [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\Servlet] ● Desconecte e reconecte: Desconecte o computador da rede. Reconecte-o à rede. Reinicie o computador. Tente conectar-se à rede novamente.
19 Troubleshooting Todos os clientes - solução de problemas ● Endpoint Security Suite Enterprise marquivos de log do Suite do instalador mestre estão localizados em C:\ProgramData\Dell\Dell Data Protection\Installer. ● O Windows cria arquivos de log de desinstalação do instalador filho exclusivos para o usuário logado em %temp%, localizados em C:\Users\\AppData\Local\Temp.
Mensagem de erro: Nome de usuário desconhecido ou senha incorreta O nome de usuário ou a senha não correspondem. Possível solução: Tente fazer login novamente, garantindo que você digite o nome de usuário e a senha corretamente. Mensagem de erro: A ativação falhou porque a conta de usuário não tem direitos de administrador de domínio. As credenciais usadas para ativar não têm direitos de administrador de domínio ou o nome de usuário do administrador não estava no formato UPN.
5. O usuário digita as credenciais do administrador no domínio na caixa de diálogo Ativar. NOTA: A necessidade de credenciais de administrador do domínio é uma medida de segurança que impede que o Encryption de sistemas operacionais do servidor seja implementado em ambientes de servidor não suportados. Para desativar a necessidade de credenciais do administrador do domínio, consulte Antes de começar. 6.
O diagrama a seguir ilustra a ativação do dispositivo e autenticação bem-sucedida. 1. Quando reinicializado após uma ativação inicial bem-sucedida, um computador com Server Encryption autentica automaticamente usando a conta de usuário de servidor virtual e executa o cliente Encryption no modo de servidor. 2.
Encryption External Media e interações de PCs Para garantir que a mídia não está como somente leitura e a porta não está bloqueada A política EMS - Acesso a mídia não protegida interage com a política Sistema de controle de portas - Classe: Armazenamento > Armazenamento de subclasse: Controle de unidade externa.
OU 1. Clique em Avançado para alternar a exibição para Simples para verificar uma pasta específica. 2. Acesse Configurações de varredura e digite o caminho da pasta no campo Caminho de pesquisa. Se este campo for usado, a seleção no menu será ignorada. 3. Se você não quiser gravar a saída de WSScan em um arquivo, desmarque a caixa de seleção Saída para arquivo. 4. Se quiser, altere o caminho padrão e o nome do arquivo em Caminho. 5.
Uso da linha de comando do WSScan WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o] [-a] [-f] [-r] [u[a][-|v]] [-d] [-q] [-e] [-x] [-y] Switch Significado Unidade Unidade a ser verificada. Se não for especificada, o padrão é todos os discos rígidos fixos locais. Pode ser uma unidades de rede mapeada.
Switch Significado -s Operação silenciosa -o Caminho do arquivo de saída -a Acrescenta ao arquivo de saída. O comportamento padrão trunca o arquivo de saída. -f Especificador do formato de relatório (Relatório, Fixo, Delimitado) -r Executa o WSScan sem privilégios de administrador. Alguns arquivos podem não ser visíveis nesse modo. -u Inclui arquivos descriptografados no arquivo de saída.
Saída Significado KCID A identificação do computador-chave. Como mostrado no exemplo acima, "7vdlxrsb" Se você estiver verificando uma unidade de rede mapeada, o relatório de verificação não retornará um KCID. UCID O ID do usuário. Como mostrado no exemplo acima, "_SDENCR_" O UCID é compartilhado por todos os usuários do computador. Arquivo O caminho do arquivo criptografado. Como mostrado no exemplo acima, "c:\temp\Dell - test.
O WSProbe.exe está disponível na mídia de instalação. Sintaxe wsprobe [path] wsprobe [-h] wsprobe [-f path] wsprobe [-u n] [-x process_names] [-i process_names] Parâmetros Parâmetro Para caminho Opcionalmente, especifique um determinado caminho no dispositivo para verificar quanto à possível criptografia/descriptografia. Se você não especificar um caminho, o utilitário verificará todas as pastas relacionadas com as suas políticas de criptografia. -h Mostra a Ajuda da linha de comando.
○ Em todos os casos, um arquivo de log é criado (se o registro em log estiver configurado) quando LogVerbosity=2 (ou superior) é definido. Para solucionar o problema, defina o detalhamento do log como 2 e reinicie o serviço Agente de remoção de criptografia para forçar outra varredura de descriptografia. Consulte (Opcional) Criar um arquivo de log do Agente de remoção de criptografia para obter instruções. ● Concluída – A varredura de descriptografia está concluída.
Troubleshooting 115
O diagrama a seguir ilustra o processo de comunicação do agente do Advanced Threat Prevention. Processo de verificação de integridade da imagem do BIOS O diagrama a seguir ilustra o processo de verificação de integridade da imagem do BIOS. Para obter uma lista dos modelos de computador Dell compatíveis com a verificação de integridade da imagem do BIOS, consulte Requisitos - Verificação de integridade da imagem do BIOS.
Solução de problemas de SED Usar o Código de acesso inicial ● Essa política é usada para fazer login em um computador quando o acesso à rede está indisponível. Ou seja, o acesso está indisponível tanto ao Dell Server quanto ao AD. Use a política Código de acesso inicial apenas se for absolutamente necessário. A Dell não recomenda esse método para fazer login.
● O Código de acesso inicial pode ser usado apenas uma vez, imediatamente após a ativação. Após um usuário final ter feito login, o Código de acesso inicial não estará disponível novamente. O primeiro login de domínio que ocorre após Código de acesso inicial ser inserido é armazenado em cache, e o campo de entrada Código de acesso inicial não será mostrado novamente. ● O Código de acesso inicial será mostrado apenas nas seguintes circunstâncias: ○ O usuário nunca foi ativado no PBA.
O arquivo PBAErr.log é atualizado e gravado em tempo real. Drivers do Dell ControlVault Atualização dos drivers e firmware Dell ControlVault ● Os drivers e firmware Dell ControlVault instalados de fábrica nos computadores Dell estão desatualizados e precisam ser atualizados. Siga o procedimento adiante e na ordem em que ele é apresentado.
4. Selecione o Sistema operacional do computador em questão. 5. Selecione a categoria Segurança.
6. Faça o download e salve os drivers Dell ControlVault. 7. Faça o download e salve o firmware Dell ControlVault. 8. Copie os drivers e o firmware nos computadores de destino, se necessário. Instale o driver Dell ControlVault. 1. Navegue até a pasta na qual você fez o download do arquivo de instalação do driver.
2. Clique duas vezes no driver Dell ControlVault para abrir o arquivo executável autoextraível. NOTA: Instale o driver primeiro. O nome de arquivo do driver quando este documento foi criado é ControlVault_Setup_2MYJC_A37_ZPE.exe. 3. Clique em Continuar para começar. 4. Clique em OK para descompactar os arquivos do driver no local padrão C:\Dell\Drivers\. 5. Clique em Sim para criar uma nova pasta.
6. Clique em Ok quando for mostrada a mensagem de que a descompactação foi bem-sucedida. 7. A pasta que contém os arquivos deve ser mostrada após a extração. Se ela não for mostrada, navegue até à pasta na qual você extraiu os arquivos. Neste caso, a pasta é JW22F. 8. Clique duas vezes em CVHCI64.MSI para abrir o instalador de drivers. [este exemplo é CVHCI64.MSI neste modelo (CVHCI para um computador de 32 bits)]. 9. Clique em Avançar na tela de boas-vindas.
10. Clique em Avançar para instalar os drivers no local padrão C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\. 11. Selecione a opção Concluir e clique em Avançar.
12. Clique em Instalar para iniciar a instalação dos drivers. 13. Opcionalmente marque a caixa para mostrar o arquivo de log do instalador. Clique em Concluir para sair do assistente.
Verificação da instalação de drivers ● O Gerenciador de dispositivos terá um dispositivo Dell ControlVault (e outros dispositivos) dependendo da configuração de hardware e do sistema operacional. Instalação do firmware Dell ControlVault 1. Navegue até a pasta na qual você fez o download do arquivo de instalação do firmware. 2. Clique duas vezes no firmware Dell ControlVault para abrir o arquivo executável autoextraível. 3. Clique em Continuar para começar.
4. Clique em OK para descompactar os arquivos do driver no local padrão C:\Dell\Drivers\. 5. Clique em Sim para criar uma nova pasta. 6. Clique em Ok quando for mostrada a mensagem de que a descompactação foi bem-sucedida. 7. A pasta que contém os arquivos deve ser mostrada após a extração. Se ela não for mostrada, navegue até à pasta na qual você extraiu os arquivos. Selecione a pasta firmware.
8. Clique duas vezes em ushupgrade.exe para abrir o instalador do firmware. 9. Clique em Iniciar para começar o upgrade do firmware.
NOTA: Se estiver fazendo o upgrade de uma versão mais antiga do firmware, será solicitado que você digite a senha de administrador. Digite Broadcom como a senha e clique em Enter se essa caixa de diálogo for mostrada. Várias mensagens de status serão mostradas.
Troubleshooting
10. Clique em Reiniciar para concluir o upgrade do firmware. A atualização dos drivers e firmware Dell ControlVault foi concluída.
Computadores UEFI Solucionar problemas de conexão de rede ● Para a autenticação de pré-inicialização ser bem-sucedida em um computador com firmware de UEFI, o modo de PBA precisa ter conectividade de rede. Por padrão, os computadores com firmware de UEFI não têm conectividade de rede até que o sistema operacional seja carregado, o que ocorre após o modo de PBA.
Constante/Valor Descrição 0x80280009 TPM_E_BAD_ORDINAL O ordinal era desconhecido ou estava inconsistente. 0x8028000A TPM_E_INSTALL_DISABLED A capacidade de instalar um proprietário está desabilitada. 0x8028000B TPM_E_INVALID_KEYHANDLE Não é possível interpretar o identificador de chave. 0x8028000C TPM_E_KEYNOTFOUND O identificador de chave aponta para uma chave inválida. 0x8028000D TPM_E_INAPPROPRIATE_ENC Esquema de criptografia inaceitável.
Constante/Valor Descrição 0x8028001A TPM_E_SHA_ERROR 0x8028001B TPM_E_FAILEDSELFTEST 0x8028001C TPM_E_AUTH2FAIL 0x8028001D TPM_E_BADTAG Não é possível prosseguir com o cálculo porque o thread SHA-1 existente já encontrou um erro. O dispositivo de hardware de TPM relatou uma falha durante autoteste interno. Tente reiniciar o computador para solucionar o problema. Se o problema continuar, talvez seja necessário substituir o hardware de TPM ou a placa-mãe.
Constante/Valor Descrição TPM_E_BAD_DATASIZE O tamanho do parâmetro de dados (ou blob) é inválido ou está inconsistente com a chave referenciada. 0x8028002B TPM_E_BAD_MODE 0x8028002C TPM_E_BAD_PRESENCE 0x8028002D TPM_E_BAD_VERSION Um parâmetro de modo é inválido, como capArea ou subCapArea para TPM_GetCapability, o parâmetro phsicalPresence para TPM_PhysicalPresence ou migrationType para TPM_CreateMigrationBlob. Os bits de physicalPresence ou physicalPresenceLock têm o valor incorreto.
Constante/Valor Descrição TPM_E_AREA_LOCKED A área NV está bloqueada e não é gravável. 0x8028003C TPM_E_BAD_LOCALITY A localidade está incorreta para a operação tentada. 0x8028003D TPM_E_READ_ONLY A área NV é somente leitura e não é possível gravar nela. 0x8028003E TPM_E_PER_NOWRITE Não há proteção contra gravação na área NV. 0x8028003F TPM_E_FAMILYCOUNT O valor de contagem da família não corresponde. 0x80280040 TPM_E_WRITE_LOCKED A área NV já foi gravada.
Constante/Valor Descrição TPM_E_DELEGATE_ADMIN O gerenciamento de tabela de delegação não está habilitado. 0x8028004D TPM_E_TRANSPORT_NOTEXCLUSIVE 0x8028004E TPM_E_OWNER_CONTROL 0x8028004F TPM_E_DAA_RESOURCES Um comando foi executado fora de uma sessão de transporte exclusiva. Tentativa de salvar em contexto uma chave controlada de remoção de proprietário. O comando DAA não tem recursos disponíveis para execução.
Constante/Valor Descrição TPM_E_MA_SOURCE Origem de migração incorreta. 0x8028005E TPM_E_MA_AUTHORITY Autoridade de migração incorreta. 0x8028005F TPM_E_PERMANENTEK Tentativa de revogar o EK que não é revogável. 0x80280061 TPM_E_BAD_SIGNATURE Assinatura inválida de tíquete CMK. 0x80280062 TPM_E_NOCONTEXTSPACE Não há espaço na lista de contexto para contextos adicionais. 0x80280063 TPM_E_COMMAND_BLOCKED O comando foi bloqueado.
Constante/Valor Descrição TBS_E_INVALID_CONTEXT O identificador de contexto especificado não se refere a um contexto válido. 0x80284004 TBS_E_INSUFFICIENT_BUFFER Um buffer de saída especificado é pequeno demais. 0x80284005 TBS_E_IOERROR Erro ao comunicar-se com o TPM. 0x80284006 TBS_E_INVALID_CONTEXT_PARAM Um ou mais parâmetros de contexto são inválidos. 0x80284007 TBS_E_SERVICE_NOT_RUNNING O serviço TBS não está em execução e não foi possível iniciá-lo.
Constante/Valor Descrição outras: importar o valor Autorização de Proprietário de TPM no sistema, chamar o método WMI do Win32_Tpm para provisionar o TPM e especificar TRUE para 'ForceClear_Allowed' ou 'PhysicalPresencePrompts_Allowed' (conforme indicado pelo valor retornado nas Informações Adicionais) ou habilitar o TPM no BIOS do sistema.) TBS_E_PPI_FUNCTION_UNSUPPORTED 0x80284014 TBS_E_OWNERAUTH_NOT_FOUND A Interface de Presença Física deste firmware não dá suporte para o método solicitado.
Constante/Valor Descrição TPMAPI_E_TPM_COMMAND_ERROR O TPM retornou um resultado inesperado. 0x8029010C TPMAPI_E_MESSAGE_TOO_LARGE A mensagem era grande demais para o esquema de codificação. 0x8029010D TPMAPI_E_INVALID_ENCODING A codificação no blob não foi reconhecida. 0x8029010E TPMAPI_E_INVALID_KEY_SIZE O tamanho da chave não é válido. 0x8029010F TPMAPI_E_ENCRYPTION_FAILED Falha na operação de criptografia.
Constante/Valor Descrição TPMAPI_E_TCG_INVALID_DIGEST_ENTRY Um valor de resumo em uma entrada de log TCG não correspondeu os dados de hash. 0x8029011D TPMAPI_E_POLICY_DENIES_OPERATION 0x8029011E TBSIMP_E_BUFFER_TOO_SMALL A operação solicitada foi bloqueada pela política de TPM atual. Entre em contato com o administrador de sistema para obter assistência. O buffer especificado era pequeno demais. 0x80290200 TBSIMP_E_CLEANUP_FAILED Não foi possível limpar o contexto.
Constante/Valor Descrição TBSIMP_E_NOT_ENOUGH_SPACE O TPM não tem espaço suficiente para carregar o recurso solicitado. 0x8029020F TBSIMP_E_NOT_ENOUGH_TPM_CONTEXTS Há muitos contextos de TPM em uso. 0x80290210 TBSIMP_E_COMMAND_FAILED Falha no comando de TPM. 0x80290211 TBSIMP_E_UNKNOWN_ORDINAL O TBS não reconhece o ordinal especificado. 0x80290212 TBSIMP_E_RESOURCE_EXPIRED O recurso solicitado não está mais disponível. 0x80290213 TBSIMP_E_INVALID_RESOURCE O tipo de recurso não corresponde.
Constante/Valor Descrição TPM_E_PPI_BLOCKED_IN_BIOS O comando Presença Física foi bloqueado pelas configurações atuais do BIOS. Talvez o proprietário do sistema possa reconfigurar as configurações do BIOS para permitir o comando.
Constante/Valor Descrição PLA_E_NO_MIN_DISK Não há espaço livre em disco suficiente para iniciar o Conjunto de Coletores de Dados. 0x80300070 PLA_E_DCS_ALREADY_EXISTS O Conjunto de Coletores de Dados já existe. 0x803000B7 PLA_S_PROPERTY_IGNORED O valor da propriedade será ignorado. 0x00300100 PLA_E_PROPERTY_CONFLICT Conflito de valor de propriedade.
Constante/Valor Descrição PLA_E_INVALID_SESSION_NAME O nome de sessão fornecido é inválido. 0x8030010F PLA_E_PLA_CHANNEL_NOT_ENABLED 0x80300110 PLA_E_TASKSCHED_CHANNEL_NOT_ENABLED 0x80300111 PLA_E_RULES_MANAGER_FAILED O canal de Log de Eventos Microsoft-Windows-Diagnosis-PLA/ Operational deve ser habilitado para a execução desta operação. O canal de Log de Eventos Microsoft-Windows-TaskScheduler deve ser habilitado para a execução desta operação. Falha na execução do Gerenciador de Regras.
Constante/Valor Descrição solicitações forem emitidas ao mesmo tempo. Espere alguns segundos e tente novamente.
Constante/Valor Descrição FVE_E_VOLUME_NOT_BOUND A unidade de dados especificada não é definida para desbloquear automaticamente o computador atual e não pode ser desbloqueada automaticamente.
Constante/Valor Descrição FVE_E_FAILED_SECTOR_SIZE O algoritmo de criptografia da unidade não pode ser usado neste tamanho de setor. 0x80310026 FVE_E_FAILED_AUTHENTICATION 0x80310027 FVE_E_NOT_OS_VOLUME A unidade não pode ser desbloqueada com a chave fornecida. Confirme se você forneceu a chave correta e tente novamente. A unidade especificada não é a unidade do sistema operacional.
Constante/Valor Descrição alternativo, como a senha de recuperação, um agente de recuperação de dados ou uma versão de backup da chave de recuperação deve ser usado para recuperar o acesso à unidade. FVE_E_INVALID_PASSWORD_FORMAT 0x80310035 O formato da senha de recuperação é inválido. As senhas de recuperação do BitLocker são de 48 dígitos. Verifique se a senha de recuperação está no formato correto e, em seguida, tente novamente.
Constante/Valor Descrição FVE_E_NOT_ALLOWED_IN_SAFE_MODE A configuração do BitLocker da unidade especificada não pode ser gerenciada porque este computador está atualmente operando no Modo de Segurança. A Criptografia da Unidade BitLocker só pode ser usada para fins de recuperação no modo de segurança.
Constante/Valor Descrição FVE_E_TOKEN_NOT_IMPERSONATED O token de acesso associado ao thread atual não é um token de representação.
Constante/Valor Descrição FVE_E_INVALID_STARTUP_OPTIONS As configurações de Política de Grupo para opções de inicialização do BitLocker estão em conflito e não podem ser aplicadas. Entre em contato com o administrador do sistema para obter mais informações.
Constante/Valor Descrição FVE_E_POLICY_PASSPHRASE_REQUIRED As configurações de Política de Grupo requerem a criação de uma senha.
Constante/Valor Descrição FVE_E_POLICY_USER_DISABLE_RDV_NOT_ALLOWED As configurações de Política de Grupo não permitem que você desative a Criptografia de Unidade de Disco BitLocker em unidades de dados removíveis. Entre em contato com o administrador do sistema se precisar desativar o BitLocker.
Constante/Valor Descrição administrador de sistema que resolva os conflitos de política antes de tentar habilitar o BitLocker. FVE_E_CONV_RECOVERY_FAILED 0x80310088 FVE_E_VIRTUALIZED_SPACE_TOO_BIG A Criptografia de Unidade de Disco BitLocker não pode ser aplicada nesta unidade devido a conflito de configurações de Política de Grupo para opções de recuperação em unidades do sistema operacional.
Constante/Valor Descrição para essa unidade, atualize a criptografia da unidade para a última versão usando o comando "manage-bde -upgrade". FVE_E_CANT_LOCK_AUTOUNLOCK_ENABLED_VOLUME 0x80310097 FVE_E_FIPS_HASH_KDF_NOT_ALLOWED 0x80310098 FVE_E_ENH_PIN_INVALID 0x80310099 FVE_E_INVALID_PIN_CHARS A unidade não pode ser bloqueada porque ela foi desbloqueada automaticamente neste computador. Remova o protetor de desbloqueio automático para bloquear essa unidade.
Constante/Valor Descrição acento (A–Z, a–z), números (0–9), espaço, sinais aritméticos, pontuação comum, separadores e os seguintes símbolos: # $ & @^_~. FVE_E_FULL_ENCRYPTION_NOT_ALLOWED_ON_TP_STOR AGE 0x803100A5 FVE_E_WIPE_NOT_ALLOWED_ON_TP_STORAGE 0x803100A6 FVE_E_KEY_LENGTH_NOT_SUPPORTED_BY_EDRIVE 0x803100A7 FVE_E_NO_EXISTING_PASSPHRASE A Criptografia de Unidade de Disco BitLocker só dá suporte ao modo de criptografia somente espaço usado em armazenamento com provisionamento dinâmico.
Constante/Valor Descrição FVE_E_EDRIVE_DV_NOT_SUPPORTED Os Volumes de Descoberta não têm suporte para volumes que usam criptografia de hardware. 0x803100B4 FVE_E_NO_PREBOOT_KEYBOARD_DETECTED 0x803100B5 FVE_E_NO_PREBOOT_KEYBOARD_OR_WINRE_DETECTED 0x803100B6 FVE_E_POLICY_REQUIRES_STARTUP_PIN_ON_TOUCH_DE VICE 0x803100B7 FVE_E_POLICY_REQUIRES_RECOVERY_PASSWORD_ON_T OUCH_DEVICE 0x803100B8 FVE_E_WIPE_CANCEL_NOT_APPLICABLE Nenhum teclado de inicialização detectado.
Constante/Valor Descrição FVE_E_LIVEID_ACCOUNT_SUSPENDED O BitLocker não pode salvar a senha de recuperação porque a conta da Microsoft especificada foi Suspensa.
20 Glossário Ativar: a ativação ocorre quando o computador é registrado no Dell Server e recebe pelo menos um conjunto inicial de políticas. Active Directory (AD) - Um serviço de diretório criado pela Microsoft para redes de domínio Windows.
de criptografia, algoritmos de criptografia e uso de chave de criptografia (comum x usuário) ativa uma varredura. Além disso, alternar entre a ativação e a desativação da criptografia aciona uma varredura de criptografia. Autenticação de pré-inicialização (PBA) - A autenticação de pré-inicialização serve como uma extensão do BIOS ou do firmware de inicialização e garante um ambiente seguro e à prova de falsificação externo ao sistema operacional, como uma camada de autenticação confiável.
