Dell Endpoint Security Suite Enterprise Guia de Instalação Avançada v3.1 Agosto de 2021 Rev.
Notas, avisos e advertências NOTA: Uma NOTA fornece informações importantes para ajudar a utilizar melhor o produto. AVISO: Um AVISO indica possíveis danos no hardware ou uma perda de dados e explica como pode evitar esse problema. ADVERTÊNCIA: Uma ADVERTÊNCIA indica possíveis danos no equipamento, lesões corporais ou morte. © 2012-2021 Dell Inc. All rights reserved.
Índice Capítulo1: Introdução...................................................................................................................... 6 Antes de começar..................................................................................................................................................................6 Utilizar este guia.....................................................................................................................................................................
Desinstalar os Web Protection e Firewall......................................................................................................................... 64 Desinstalar o Advanced Threat Prevention......................................................................................................................64 Desinstalar o Full Disk Encryption......................................................................................................................................
Capítulo19: Resolução de problemas.............................................................................................. 104 Todos os clientes - Resolução de problemas................................................................................................................. 104 Todos os clientes - Estado de Proteção.........................................................................................................................
1 Introdução Este guia explica como instalar e configurar o Advanced Threat Prevention, Encryption, SED Management, Full Disk Encryption, Web Protection and Client Firewall e BitLocker Manager. Todas as informações sobre políticas e as respetivas descrições podem ser encontradas em AdminHelp. Antes de começar 1. Instale o Dell Server antes de implementar os clientes. Localize o guia correto como mostrado abaixo, siga as instruções e, em seguida, volte a este guia.
Utilizar este guia Utilize este guia pela seguinte ordem. ● Consulte Requisitos para obter informações sobre os pré-requisitos do cliente, hardware do computador e informações, limitações e modificações de registo especiais do software necessárias às funcionalidades. ● Se necessário, consulte Configuração da pré-instalação para UEFI SED e BitLocker. ● Se os seus clientes forem elegíveis para utilizar o Dell Digital Delivery, consulte Definir GPO no controlador do domínio para ativar elegibilidades.
2 Requisitos Todos os clientes Estes requisitos aplicam-se a todos os clientes. Os requisitos indicados nas outras seções aplicam-se a clientes específicos. ● Durante a implementação, devem ser seguidas as melhores práticas de TI. Estas incluem, entre outras, ambientes de teste controlados para os testes iniciais e a implementação progressiva para os utilizadores.
Suporte de idiomas ES - Espanhol DE - Alemão PT-BR - Português, Brasil FR - Francês JA - Japonês PT-PT - Português, Portugal (Ibérico) Encryption ● O computador cliente deve ter conectividade de rede para ativar. ● Para reduzir o tempo de encriptação inicial, execute o Assistente de limpeza de disco do Windows para remover ficheiros temporários e quaisquer outros dados desnecessários. ● O suporte do Windows Hello for Business requer o Endpoint Security Suite Enterprise v3.0 ou posterior no Windows 10.
● Após a atualização de funcionalidades do Windows 10, é necessário reiniciar para finalizar o Dell Encryption. A seguinte mensagem é exibida na área de notificação após as atualizações de funcionalidades do Windows 10: Hardware ● A tabela seguinte indica o hardware suportado. Hardware opcional incorporado ○ TPM 1.2 ou 2.0 Sistemas operativos ● A tabela seguinte apresenta os sistemas operativos suportados.
Sistemas operativos Windows compatíveis para aceder a suportes de dados encriptados (32 e 64 bits) ○ Windows Embedded 8.1 Industry Enterprise ○ Windows 10: Education, Enterprise, Pro v1803-v21H1 (Atualização de abril de 2018/Redstone 4 – Atualização de maio de 2021/21H1) Nota: o Windows 10 v2004 (atualização de maio de 2020/20H1) não suporta a arquitetura de 32 bits. Para obter mais informações, consulte https://docs.microsoft.
● As Atualizações de Funcionalidades Diretas do Windows 10 v1607 (Atualização de Aniversário/Redstone 1) para o Windows 10 v1903 (Atualização de maio de 2019/19H1) não são suportadas com o FDE. A Dell recomenda a atualização do sistema operativo para uma Atualização de Funcionalidades mais recente se estiver a atualizar para o Windows 10 v1903. Qualquer tentativa de atualização direta do Windows 10 v1607 para o v1903 resulta numa mensagem de erro e a atualização é impedida.
Não UEFI PBA Palavra-passe Impressão digital Smart card de contacto Cartão SIPR 1. Disponível quando os controladores de autenticação são transferidos a partir de support.dell.com. UEFI PBA - em computadores Dell suportados Palavra-passe Windows 10 Impressão digital X1 Smart card de contacto Cartão SIPR X1 1. Disponível com computadores UEFI compatíveis.
As políticas do Sistema de controlo de portas afetam os suportes de dados amovíveis em servidores protegidos, por exemplo, controlando o acesso e a utilização das portas USB do servidor pelos dispositivos USB. A política da porta USB aplica-se às portas USB externas. A funcionalidade das portas USB internas não é afetada pela política de portas USB.
○ SED (RAID e NÃO-RAID) ○ Início de sessão automático (Windows 7, 8/8.1) para quiosques ○ Microsoft Storage Server 2012 ● O Encryption em sistemas operativos de servidor não suporta configurações de duplo arranque, uma vez que é possível encriptar ficheiros de sistema do outro sistema operativo, o que poderia interferir com o respetivo funcionamento. ● Não são suportadas reinstalações de sistema operativo no local.
Encryption External Media Sistemas operativos ● O suporte de dados externo tem de ter aproximadamente 55 MB disponíveis, bem como espaço livre no suporte de dados igual ao maior ficheiro a encriptar para alojar o Encryption External Media.
Sistemas operativos Windows (32 e 64 bits) ■ Em janeiro de 2020, os certificados de assinatura SHA1 deixam de ser válidos e não podem ser renovados. Os dispositivos que executam o Windows 7 ou o Windows Server 2008 R2 devem instalar os artigos da BDC da Microsoft https://support.microsoft.com/help/4474419 e https://support.microsoft.com/help/4490628 para validar os certificados de assinatura SHA256 nas aplicações e nos pacotes de instalação.
Modelos de computador Dell suportados pela Verificação da integridade de imagem do BIOS ● ● ● ● ● ● ● Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extreme Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 ● ● ● ● ● ● ● Estação de trabalho Precision 7710 Estação de trabalho Precision T3420 Venue 10 Pro 5056 Venue Pro 5855 XPS 12 9250 XPS 13 9350 XPS 9550 Compatibilidade A tabela que se segue detalha a compatibilidade com Windows, Mac e Linux.
Funcionalidades Políticas O Windows macOS Linux Leitura de LSASS x n/a n/a Alocação zero x x Controlo de execução x x Impedir o encerramento do serviço a partir do dispositivo x x Termine processos não seguros em execução e respetivos subprocessos x x x Deteção de ameaças em segundo plano x x x Monitorizar para ver se há novos ficheiros x x x Tamanho máximo de ficheiro de arquivo a verificar x x x Excluir pastas específicas x x x Copiar amostras de ficheiros x Definiç
Funcionalidades Políticas O Windows macOS x x Verificar política manualmente (IU do Agent) Linux Client Firewall e Web Protection ● Para instalar o Client Firewall e o Web Protection com êxito, o computador deve ter ligação à rede. ● Antes de instalar o Client Firewall e o Web Protection Client, elimine as aplicações antivírus, antimalware, anti-spyware e de firewall de outros fornecedores para evitar falhas na instalação.
Utilize Protocolo de aplicação Protocol o de transpor te Número da porta Destino Direção Pesquisa de reputação do URL SSL TCP 443 tunnel.web.trustedsource.or g Porta de saída Sistemas operativos ● A tabela seguinte apresenta os sistemas operativos suportados. Sistemas operativos Windows (32 e 64 bits) ○ Windows 7 SP1: Enterprise, Professional, Ultimate ■ Em janeiro de 2020, os certificados de assinatura SHA1 deixam de ser válidos e não podem ser renovados.
● A configuração de unidades de encriptação automática para o SED Manager difere entre unidades NVMe e não-NVMe (SATA), conforme se segue. ○ Qualquer unidade NVMe que esteja a ser utilizada para PBA: ■ Se o dispositivo Dell tiver sido fabricado em 2018 ou mais tarde: o RAID ON ou AHCI podem ser utilizados com unidades NVMe.
● Para aceder à lista mais atualizada de plataformas compatíveis com o SED Management, consulte o artigo 126855 da BDC. ● Para obter uma lista das estações de acoplamento e adaptadores compatíveis com o SED Manager, consulte o artigo 124241 da BDC. Opções de Autenticação de Pré-arranque com o SED Manager ● É necessário um hardware específico, para utilizar smart cards e para autenticar em computadores UEFI. É necessária uma configuração para utilizar smart cards com autenticação de pré-arranque.
Sistemas operativos ● A tabela seguinte apresenta os sistemas operativos compatíveis. Sistemas operativos Windows (32 e 64 bits) ○ Windows 7 SP0-SP1: Enterprise, Professional, Ultimate (suportado com o modo de Arranque Legacy, mas não UEFI) NOTA: As unidades de encriptação automática NVMe não são suportadas no Windows 7. ○ Windows 8.
validada por FIPS devido a vários problemas com a compatibilidade da aplicação, a recuperação e a encriptação de suportes de dados: http://blogs.technet.com. ● O BitLocker Manager não é suportado com o Encryption em sistemas operativos de servidor ou o Advanced Threat Prevention no sistema operativo de um servidor.
Sistemas operativos Windows ○ ○ ○ ○ Windows Server 2008 R2: Standard Edition, Enterprise Edition (64 bits) Windows Server 2012 R2: Standard Edition, Enterprise Edition (64 bits) Windows Server 2016: Standard Edition, Datacenter Edition (64 bits) Windows Server 2019: Standard Edition, Datacenter Edition (64 bits) As atualizações do Windows KB3133977 e KB3125574 não podem estar instaladas, se instalar o BitLocker Manager no Windows 7.
3 Definições de registo ● Esta secção explica todas as definições de registo aprovadas pelo Dell ProSupport para computadores cliente locais, independentemente do motivo da definição de registo. Se uma definição de registo se sobrepõe a dois produtos, tal é indicado em cada uma das categorias. ● Estas alterações de registo apenas devem ser efetuadas por administradores e podem não ser adequadas ou funcionar em todos os cenários. Encryption ● Se for utilizado um certificado autoassinado no Dell Server.
No entanto, se a sua organização utiliza uma aplicação de terceiros que exija que a estrutura de ficheiros dentro do diretório \temp seja preservada, deverá evitar esta eliminação. Para desativar a eliminação de ficheiros temporários, crie ou modifique a configuração de registo da seguinte forma: [HKLM\SOFTWARE\CREDANT\CMGShield] "DeleteTempFiles"=REG_DWORD:0 A não eliminação dos ficheiros temporários aumenta o tempo de encriptação inicial.
Para utilizadores que necessitam de ativação através de VPN, poderá ser necessária um configuração de ativação em intervalos para o cliente, de modo a atrasar a ativação inicial pelo tempo suficiente para permitir ao cliente VPN estabelecer uma ligação de rede. Estas entradas de registo requerem o reinício do computador para que as atualizações sejam aplicadas. ○ Ativação em intervalos Para ativar ou desativar esta funcionalidade, crie um DWORD com o nome SlottedActivation na chave principal: [HKLM\Software
0=Desativado (predefinição) 1=Ativado ● System Data Encryption (SDE) é imposta com base no valor da política para SDE Encryption Rules. Os diretórios adicionais são protegidos por predefinição quando a política SDE Encryption Enabled é Selecionada. Para obter mais informações, procure "SDE Encryption Rules" em AdminHelp.
● Se for utilizado um certificado autoassinado no Dell Server para a Full Disk Encryption, a validação de confiança SSL/TLS tem de permanecer desativada no computador cliente (a validação de confiança SSL/TLS está desativada por predefinição com a Full Disk Encryption). Antes de ativar a validação de confiança SSL/TLS no computador cliente, os requisitos seguintes devem ser cumpridos. ○ É necessário importar para o Dell Server um certificado assinado por uma autoridade raiz, como EnTrust ou Verisign.
Por predefinição, se a chave de registo não existe ou o valor está definido para 0, esta funcionalidade está ativada. [HKLM\SOFTWARE\DELL\Dell Data Protection] SmartCardServiceCheck=REG_DWORD:0 0 = Ativado 1 = Desativado ● Para evitar que o Full Disk Encryption desative fornecedores de credenciais externos, crie a seguinte chave de registo: HKLM\SOFTWARE\Dell\Dell Data Protection\ "AllowOtherCredProviders" = DWORD:1 0=Desativado (predefinição) 1=Ativado Nota: este valor pode impedir que o fornecedor de cred
● O Modo de Compatibilidade permite que as aplicações sejam executadas no computador cliente enquanto as políticas de Controlo de Script e Proteção de Memória ou Proteção de Memória estão ativadas. A ativação do modo de compatibilidade requer a adição de um valor de registo no computador cliente. Para ativar o modo de compatibilidade, siga estes passos: 1. Na Management Console, desative a política de Proteção de memória ativada. Se a política de Controlo de script estiver ativada, desative-a. 2.
O valor 1 significa que a PBA está ativada. O valor 0 significa que a PBA não está ativada. ● Para determinar se o smart card está presente e ativo, certifique-se de que está definido o seguinte valor: HKLM\SOFTWARE\Dell\Dell Data Protection\ "SmartcardEnabled"=DWORD:1 Se SmartcardEnabled não existir ou tiver zero como valor, o Fornecedor de Credenciais irá apresentar apenas a palavra-passe para autenticação.
○ WbioSrvc - O serviço de biometria do Windows permite que aplicações cliente capturem, comparem, manipulem e armazenem dados biométricos sem obter acesso direto a amostras ou hardware de biometria. O serviço é alojado num processo SVCHOST privilegiado. Por predefinição, se a chave de registo não existe ou o valor está definido para 0, esta funcionalidade está ativada. [HKLM\SOFTWARE\DELL\Dell Data Protection] SmartCardServiceCheck=REG_DWORD:0 0 = Ativado 1 = Desativado ● Para utilizar smart cards com Auten
4 Instalar utilizando o instalador principal ● As opções e parâmetros da linha de comandos são sensíveis a maiúsculas e minúsculas. ● Para instalar utilizando portas não predefinidas, utilize os instaladores subordinados em vez do instalador principal. ● Os ficheiros de registo do instalador principal do Endpoint Security Suite Enterprise encontram-se em C:\ProgramData\Dell\Dell Data Protection\Installer.
6. Clique em Seguinte para instalar o produto na localização predefinida C:\Program Files\Dell\Dell Data Protection\. Dell recommends installing in the default location only, uma vez que podem surgir problemas ao efetuar a instalação noutras localizações. 7. Selecione os componentes a serem instalados. O Security Framework instala a framework de segurança subjacente.
8. Clique em Instalar para dar início à instalação. A instalação demora vários minutos. 9. Selecione Sim, desejo reiniciar o computador agora e clique em Concluir.
A instalação está concluída. Instalar por linha de comandos utilizando o instalador principal ● Numa instalação com linha de comandos, primeiro é necessário especificar as opções. Outros parâmetros vão dentro de um argumento que é passado para a opção /v. Opções ● A tabela seguinte descreve as opções que podem ser utilizadas com o instalador principal do Endpoint Security Suite Enterprise.
Parâmetro Descrição FUNÇÕES Especifica os componentes que podem ser instalados no modo SILENCIOSO. ATP = Advanced Threat Prevention apenas DE-ATP = Advanced Threat Prevention e Encryption.
● (No sistema operativo de uma estação de trabalho) Este exemplo instala o Advanced Threat Prevention, o BitLocker Manager e o Web Protection utilizando o instalador principal do Endpoint Security Suite Enterprise nas portas padrão, de forma silenciosa, com um reinício suprimido, na localização predefinida C:\Program Files\Dell\Dell Data Protection\, e configura-os para utilizar o Dell Server especificado. "DDSSuite.exe" -y -gm2 /S /z"\"SERVER=server.domain.
5 Desinstalar o Instalador Principal ● A Dell recomenda a utilização do Desinstalador do Data Security para remover o conjunto de aplicações do Data Security. ● Cada componente deve ser desinstalado separadamente e, em seguida, deve ser efetuada a desinstalação do instalador principal do Endpoint Security Suite Enterprise. Os clientes devem ser desinstalados numa ordem específica para impedir falhas na desinstalação.
6 Instalar utilizando instaladores subordinados ● Para instalar ou atualizar cada cliente individualmente, primeiro é necessário extrair os ficheiros executáveis subordinados do instalador principal do Endpoint Security Suite Enterprise, conforme descrito em Extrair os Instaladores Subordinados do Instalador Principal. ● Os exemplos de comandos incluídos nesta secção assumem que os comandos são executados a partir de C:\extracted.
Opção Significado /norestart Suprimir reinício ● Dê a instrução aos utilizadores para consultar o seguinte documento e ficheiros de ajuda para assistência de aplicação: ○ Consulte a Dell Encrypt Help (Ajuda do Dell Encrypt) para saber como utilizar as funcionalidades do Encryption. Aceda à ajuda a partir de \Program Files\Dell\Dell Data Protection\Encryption\Help.
Parâmetros GKPORT= (Porta do Gatekeeper) MACHINEID= (Nome do computador) RECOVERYID= (ID de recuperação) REBOOT=ReallySuppress (o valor zero permite a reinicialização automática, ReallySuppress desativa a reinicialização) HIDEOVERLAYICONS=1 (0 ativa os ícones sobrepostos, 1 desativa os ícones sobrepostos) HIDESYSTRAYICON=1 (0 ativa o ícone na área de notificação, 1 desativa o ícone na área de notificação) ENABLE_FDE_LM=1 (permite a instalação do Dell Encryption num comput
msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/" HIDESYSTRAYICON="1" HIDEOVERLAYICONS="1" Exemplo de linha de comandos para instalar apenas o Encryption External Media ● Instalação silenciosa, sem barra de progresso, reinício automático, instalado na localização predefinida C:\Program Files\Dell\Dell Data
● O exemplo seguinte instala o Dell Encryption no modo de ativação diferida e com parâmetros predefinidos (Encryption, Encrypt for Sharing, sem caixas de diálogo, sem barra de progresso, sem reinício, oculta os ícones sobrepostos, instalado na localização predefinida C:\Program Files\Dell\Dell Data Protection\Encryption). DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.
O exemplo seguinte permite instalar o Dell Encryption e substituir uma instalação Full Disk Encryption existente com parâmetros predefinidos (cliente do Encryption, Encrypt for Sharing, sem caixas de diálogo, sem barra de progresso, reinício automático, instalado na localização predefinida C:\Program Files\Dell\Dell Data Protection) e com registos de instalação em C:\Dell. Nota: para uma criação de registos bem-sucedida, o diretório C:\Dell tem de existir antes da instalação. DDPE_XXbit_setup.
● O exemplo seguinte instala a Full Disk Encryption gerida remotamente e permite a instalação num computador protegido por Dell Encryption (instalação automática, sem reinício e instalada na localização predefinida C:\Program Files\Dell\Dell Data Protection\Encryption). EMAgent_64bit_setup.exe /s /v"CM_EDITION=1 ENABLE_FDE_LM=1 FEATURE=FDE SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.
● Quando o Trusted Platform Module (TPM) estiver disponível, é utilizado para selar a Chave para Fins Gerais no hardware Dell. Se não estiver disponível um TPM, é utilizada a API de Proteção de Dados (DPAPI) da Microsoft para proteger a Chave para Fins Gerais. Quando instalar um novo sistema operativo num computador Dell com TPM e com o Server Encryption em execução, elimine o TPM do BIOS. Consulte este artigo para obter instruções.
Introduza o nome de domínio em Domínio gerido (por exemplo, organização). Clique em Seguinte. 9. Na porta e nome do anfitrião da Policy Proxy, introduza/valide a informação e clique em Seguinte. 10. No URL do Device Server, introduza/valide a informação e clique em Seguinte.
11. Clique em Instalar para dar início à instalação. A instalação poderá demorar vários minutos. 12. Quando a configuração estiver concluída, clique em Concluir.
A instalação está concluída. 13. Reinicie o computador. A Dell recomenda suspender o reinício apenas se precisar de tempo para guardar o seu trabalho e fechar aplicações. A encriptação só pode ser iniciada após o reinício do computador. Instalar utilizando a Linha de comandos Localize o instalador em C:\extracted\Encryption ● Utilize o DDPE_xxbit_setup.exe para instalar ou atualizar utilizando uma instalação com script, ficheiros de batch ou qualquer outra tecnologia disponível na sua organização.
Componente Ficheiro de registo Parâmetros da Linha de Comandos MANAGEDDOMAIN= DEVICESERVERURL= GKPORT= MACHINEID= RECOVERYID= REBOOT=ReallySuppress HIDEOVERLAYICONS=1 HIDESYSTRAYICON=1 EME=1 NOTA: Embora seja possível suprimir o reinício, este será eventualmente necessário. A encriptação só pode ser iniciada após o reinício do computador.
Comando MSI: msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERMODE="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.
O Dell Server emite uma chave de encriptação para a ID de máquina, cria a conta de utilizador do servidor virtual, cria uma chave de encriptação para a conta de utilizador, agrupa as chaves de encriptação e cria a relação entre o pacote de encriptação e a conta de utilizador do servidor virtual. 3. Clique em Fechar. Após a ativação, é iniciada a encriptação. 4. Quando o varrimento de encriptação estiver concluído, reinicie o computador para processar quaisquer ficheiros anteriormente utilizados.
Utilizador do servidor virtual ● Na Management Console, os servidores protegidos podem ser encontrados pelo nome da máquina. Além disso, cada servidor protegido tem a sua própria conta de utilizador do servidor virtual. Cada conta tem um nome de utilizador estático exclusivo e um nome de máquina exclusivo. ● A conta de utilizador do servidor virtual apenas é utilizada pelo Encryption em sistemas operativos de servidor e é, de outra forma, transparente na operação do servidor protegido.
3. O plug-in Advanced Threat Prevention, conforme descrito em Instalação com linha de comandos. ● O instalador do cliente Advanced Threat Prevention pode ser localizado em: ○ Na sua conta FTP Dell - Localize o pacote de instalação em Endpoint-Security-Suite-Ent-2.x.x.xxx.zip e, em seguida, Extrair os instaladores subordinados do instalador principal. Após a extração, localize o ficheiro em C:\extracted\Advanced Threat Prevention\WinXXR\ e C:\extracted\Advanced Threat Prevention\WinNtAll\.
Script de exemplo O exemplo seguinte instala o Advanced Threat Prevention, sem o SED Management ou o BitLocker Manager (instalação silenciosa, sem reinício, sem entrada na lista de Programas do Painel de controlo, sem ícone na área de trabalho, instalado na localização predefinida C:\Program Files\Dell\Dell Data Protection). :: Instalar o Encryption Management Agent ".\Encryption Management Agent\EMAgent_64bit_setup.
Parâmetros Descrição INSTALLDIR Localização de instalação diferente da predefinida nocontentupdate Indica ao instalador que não deve atualizar ficheiros de conteúdo automaticamente como parte do processo de instalação. A Dell recomenda o agendamento de uma atualização o mais rapidamente possível após a conclusão da instalação. nopreservesettings Não guarda as definições. ● A tabela seguinte descreve os parâmetros disponíveis para o ficheiro DellThreatProtection.msi.
○ Na sua conta FTP Dell - Localize o pacote de instalação em Endpoint-Security-Suite-Ent-2.x.x.xxx.zip e, em seguida, Extrair os instaladores subordinados do instalador principal. Após a extração, localize o ficheiro em C:\extracted\Encryption Management Agent. Instalação com linha de comandos ● A tabela seguinte descreve os parâmetros disponíveis para a instalação. Parâmetros CM_EDITION=1 INSTALLDIR= SERVERHOST=
Parâmetros CM_EDITION=1 INSTALLDIR= SERVERHOST= SERVERPORT=8888 SECURITYSERVERHOST= SECURITYSERVERPORT=8443 FEATURE=BLM FEATURE=BLM,SED ARPSYSTEMCOMPONENT=1 Para obter uma lista comutadores basic .
7 Desinstalar utilizando os instaladores subordinados ● A Dell recomenda a utilização do Desinstalador do Data Security para remover o conjunto de aplicações do Data Security. ● Para desinstalar cada cliente individualmente, primeiro é necessário extrair os ficheiros executáveis subordinados do instalador principal do Endpoint Security Suite Enterprise, conforme descrito em Extrair os Instaladores Subordinados do Instalador Principal. Em alternativa, execute uma instalação administrativa para extrair o .
Opção Significado /qb!- Caixa de diálogo de Progresso sem botão Cancelar, reinicia-se após a conclusão do processo /qn Sem interface de utilizador Desinstalar os Web Protection e Firewall Se o Web Protection e a Firewall não estiverem instalados, avance para Desinstalar o Encryption Client. Desinstalação por linha de comando ● Uma vez extraído do instalador principal do Endpoint Security Suite Enterprise, o instalador do cliente Web Protection e Firewall pode ser localizado em C:\extracted\Threat Pro
Desativar a PBA 1. 2. 3. 4. 5. Como administrador Dell, inicie sessão na Management Console. No painel esquerdo, clique em Populações > Pontos terminais. Selecione o Tipo de endpoint adequado. Selecione Mostrar >Visível, Oculto ou Todos. Se souber o Nome de anfitrião do computador, introduza-o no campo Nome de anfitrião (os caracteres universais são suportados). Pode deixar o campo em branco, de modo a que sejam apresentados todos os computadores. Clique em Procurar.
7. 8. 9. 10. 11. 12. Clique em Políticas de segurança no menu superior. Selecione Unidades de encriptação automática na página Categoria de política. Altere a Unidade de encriptação automática (SED) e a política de On para Off. Clique em Guardar. No painel do lado esquerdo, clique na faixa Consolidar políticas. Clique em Consolidar políticas. Aguarde que a política seja propagada do Dell Server para o computador onde pretende efetuar a desativação.
● Periodicamente, verifique o estado do Encryption Removal Agent. Se o serviço Encryption Removal Agent ainda se encontrar no painel de serviços, a desencriptação de dados ainda está a ser processada. Desinstalação por linha de comando ● Uma vez extraído do instalador principal do Endpoint Security Suite Enterprise, o instalador do Encryption pode ser localizado em C:\extracted\Encryption\DDPE_XXbit_setup.exe. ● A tabela seguinte descreve os parâmetros disponíveis para a desinstalação.
DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1 DA_SERVER=server.organization.com DA_PORT=8050 SVCPN=administrator@organization.com DA_RUNAS=domain\username DA_RUNASPWD=password /qn" Comando MSI: msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" CMG_DECRYPT="1" CMGSILENTMODE="1" DA_SERVER="server.organization.com" DA_PORT="8050" SVCPN="administrator@domain.com" DA_RUNAS="domain\username" DA_RUNASPWD="password" /qn Reinicie o computador quando concluído.
8 Desinstalador do Data Security Desinstalar Endpoint Security Suite Enterprise A Dell fornece o Data Security Uninstaller como o desinstalador principal. Este utilitário reúne os produtos instalados atualmente e remove-os na ordem apropriada. NOTA: Durante a desinstalação do FDE, a Dell recomenda reiniciar o computador após a desativação do FDE estar concluída para impedir problemas com a hibernação do computador. Este Data Security Uninstaller está disponível em: C:\Program Files (x86)\Dell\Dell Data Prot
Opcionalmente, desmarque a remoção de qualquer aplicação e clique em Seguinte. As dependências necessárias são automaticamente selecionadas ou desmarcadas.
Para remover aplicações sem instalar o Encryption Removal Agent, escolha Não instalar o Encryption Removal Agent e selecione Seguinte. Selecione Encryption Removal Agent - Transferir chaves a partir do servidor. Introduza as credenciais totalmente qualificadas de um administrador forense e selecione Seguinte.
Selecione Remover para iniciar a desinstalação. Clique em Terminar para concluir a remoção e reinicie o computador. Reiniciar o computador depois de clicar em terminar está selecionado por predefinição.
A desinstalação e remoção estão concluídas.
9 Cenários normalmente utilizados ● Para instalar cada cliente individualmente, primeiro é necessário extrair os ficheiros executáveis subordinados do instalador principal do Endpoint Security Suite Enterprise, conforme descrito em Extrair os Instaladores Subordinados do Instalador Principal. ● O componente do instalador subordinado do Advanced Threat Prevention apenas deve ser instalado por linha de comandos.
○ Consulte a Encryption External Media Help (Ajuda do Encryption External Media) para saber como utilizar as funcionalidades do Encryption External Media. Aceda à ajuda a partir de :\Program Files\Dell\Dell Data Protection\Encryption\EMS ○ Consulte a Endpoint Security Suite Enterprise Help (Ajuda do Endpoint Security Suite Enterprise) para saber como utilizar as funcionalidades do Advanced Threat Prevention. Aceda à ajuda a partir de :\Program Files\Dell\Dell Data Protection\Advanc
\Threat Protection\SDK ● O exemplo seguinte instala o SDK. EnsMgmtSdkInstaller.exe "C:\Program Files\Dell\Dell Data Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >"C:\ProgramData\Dell\Dell Data Protection\Installer Logs\McAfeeSDKInstallerAfterEndPoint.
MSIEXEC.EXE /I "ATP_CSF_Plugins_x64.msi" /qn REBOOT="ReallySuppress" ARPSYSTEMCOMPONENT="1" /l*v "C:\ProgramData\Dell\Dell Data Protection\Installer Logs\ATP.log" APPFOLDER="C:\Program Files\Dell\Dell Data Protection\Advanced Threat Prevention" e "\Advanced Threat Prevention\WinNtAll\ATP_AgentSetup.
10 Configurar um inquilino Deve ser aprovisionado um inquilino no Dell Server antes da ativação da aplicação de políticas do Advanced Threat Prevention. Pré-requisitos ● Tem de ser efetuado por um administrador com função de administrador de sistema. ● Deve ter ligação à Internet para configuração no Dell Server. ● Tem de ter ligação à Internet no cliente para visualizar a integração do serviço online do Advanced Threat Prevention na Management Console.
4. A configuração com assistente é iniciada imediatamente após as licenças serem importadas. Clique em Seguinte para começar. 5. Leia e aceite o EULA e clique em Seguinte.
6. Disponibilize credenciais de identificação no Dell Server para configuração do Inquilino. Clique em Seguinte. A configuração de um Inquilino existente da marca Cylance não é suportada. 7. Transfira o Certificado. Este é necessário para recuperação em caso de desastres no Dell Server. Não é efetuada uma cópia de segurança deste Certificado. Efetue uma cópia de segurança do Certificado numa localização segura num computador diferente.
8. A configuração está concluída. Clique em OK.
11 Configurar a atualização automática do Advanced Threat Prevention Na Management Console, pode inscrever-se para receber atualizações automáticas do agente Advanced Threat Prevention. A subscrição da receção de atualizações automáticas do agente permite aos clientes transferir e aplicar autoatualizações a partir do serviço de Advanced Threat Prevention. As atualizações são mensais. NOTA: As autoatualizações do agente são suportadas com o Dell Server v9.4.1 ou posterior.
12 Configuração da pré-instalação para UEFI SED e BitLocker Manager Inicializar o TPM ● Tem de ser membro do grupo de administradores locais ou equivalente. ● O computador tem de estar equipado com um BIOS e um TPM compatíveis. ● Siga as instruções localizadas em http://technet.microsoft.com/en-us/library/cc753140.aspx.
Desativar ROMs de opção legadas Certifique-se de que a definição Ativar ROMs de opção legadas está desativada no BIOS. 1. 2. 3. 4. 5. Reinicie o computador. À medida que se reinicia, prima F12 repetidamente to para abrir as definições de arranque do computador com UEFI. Prima a seta para baixo, realce a opção Definições do BIOS e prima Enter. Selecione Definições > Geral > Opções de arranque avançadas. Desmarque a caixa de verificação Ativar ROMs de opção legadas e clique em Aplicar.
13 Designar o Dell Server através do Registo ● Se os seus clientes obtiverem elegibilidade através do Dell Digital Delivery, siga estas instruções para definir um registo através dos Objetos de Política de Grupo para predefinir o Dell Server a utilizar após a instalação. ● A estação de trabalho deve fazer parte da UO onde os Objetos de Política de Grupo estão aplicados ou as definições de registo devem ser definidas manualmente no ponto terminal.
4. Clique com o botão direito no GPO que foi criado e selecione Editar. 5. É carregado o Editor de gestão de política de grupo. Aceda a Configuração do computador > Preferências > Definições do Windows > Registo. 6. Clique com o botão direito do rato no Registo e selecione Novo > Item do registo. Execute as seguintes ações. Ação: Criar Ramo de registo: HKEY_LOCAL_MACHINE Caminho da chave: SOFTWARE\Dell\Dell Data Protection Nome do valor: Servidor Tipo do valor: REG_SZ Dados do valor:
8. Termine sessão e, em seguida, inicie novamente sessão na estação de trabalho ou execute gpupdate /force para aplicar a política de grupo.
14 Extrair os instaladores subordinados ● Para instalar cada cliente individualmente, extraia os ficheiros executáveis subordinados do instalador. ● O instalador principal não é um desinstalador principal. Cada cliente tem de ser desinstalado separadamente, seguido pela desinstalação do instalador principal. Utilize este processo para extrair os clientes do instalador principal para que possam ser utilizados para a desinstalação. 1.
15 Configurar o Key Server ● Esta secção explica como configurar componentes para utilização com a autenticação/autorização Kerberos ao utilizar um Security Management Server. O Security Management Server Virtual não utiliza o Key Server. O Key Server consiste num serviço que verifica os clientes que se ligam a um socket.
4. Reinicie o serviço do Key Server (deixe o painel de serviços aberto para o continuar a utilizar). 5. Navegue até log.txt para verificar se o serviço foi iniciado adequadamente. Ficheiro de configuração do Key Server - Adicionar utilizador para comunicação com o Security Management Server 1. Navegue até . 2. Abra Credant.KeyServer.exe.config com um editor de texto. 3.
Exemplo de ficheiro de configuração [porta TCP escutada pelo Key Server. A predefinição é 8050.] [número de ligações de socket ativas permitidas pelo Key Server] [URL do Security Server (anteriormente Device Server) (o formato é 8081/xapi para um Security Management Server anterior a v7.
6. Clique em Utilizadores no menu à esquerda. Na caixa de pesquisa, procure o nome de utilizador adicionado no Passo 5. Clique em Procurar. 7. Depois de encontrar o utilizador correto, clique no separador Administrador. 8. Selecione Administrador forense e clique em Atualizar. Os componentes estão agora configurados para autenticação/autorização Kerberos.
16 Utilizar o Administrative Download Utility (CMGAd) ● Este utilitário permite a transferência de um pacote de material de chave para utilização num computador que não está ligado a um Dell Server. ● Este utilitário utiliza um dos seguintes métodos para transferir um pacote de material de chave, dependendo do parâmetro da linha de comandos passado à aplicação: ○ Modo forense - Utilizado se -f é passado na linha de comandos ou se não é utilizado qualquer parâmetro de linha de comandos.
3. Em Frase de acesso, introduza uma frase de acesso para proteger o ficheiro de transferência. A frase de acesso deve ter pelo menos oito caracteres de comprimento, e conter pelo menos um carácter alfabético e um carácter numérico. Confirme a frase de acesso. Aceite o nome e localização padrão onde o ficheiro será guardado ou clique em ... para selecionar outra localização. Clique em Seguinte. É apresentada uma mensagem, indicando que o material de chave foi desbloqueado satisfatoriamente.
Utilizar o Modo de administrador O Security Management Server Virtual não utiliza o Key Server, portanto o modo de Administrador não pode ser utilizado para obter um pacote de chave a partir de um Security Management Server Virtual. Utilize o Modo forense para obter o pacote de chaves se o cliente estiver ativado em um Security Management Server Virtual. 1. Abra uma linha de comandos onde o CMGAd está localizado e introduza cmgad.exe -a. 2.
É apresentada uma mensagem, indicando que o material de chave foi desbloqueado satisfatoriamente. Os ficheiros estão agora acessíveis. 4. Clique em Concluir quando tiver terminado.
17 Configurar o Encryption em sistemas operativos de servidor Ativar o Encryption em sistemas operativos de servidor NOTA: A encriptação de sistemas operativos de servidor converte a encriptação de Utilizador para encriptação Comum. 1. Como administrador Dell, inicie sessão na Management Console. 2. Selecione Grupo de endpoints (ou Endpoint), procure o endpoint ou grupo de endpoints a ativar, selecione Políticas de segurança e, em seguida, selecione a categoria de política Encriptação do servidor. 3.
o servidor protegido detetar a presença, pela primeira vez, de um dispositivo amovível, é solicitado ao utilizador que encripte o dispositivo amovível. ● As políticas do Encryption External Media controlam, entre outros aspetos, o acesso de suportes de dados amovíveis ao servidor, autenticação e encriptação. ● As políticas de controlo de portas afetam os suportes de dados amovíveis em servidores protegidos, por exemplo, controlando o acesso e a utilização das portas USB do servidor pelos dispositivos USB.
Em Controlo de dispositivos do servidor, clique em Suspender e, em seguida, em Sim. NOTA: Clique em Restabelecer para permitir que o Encryption em sistemas operativos de servidor aceda a dados encriptados no servidor após reiniciar.
18 Configurar a Ativação diferida O Encryption Client com Ativação diferida é diferente da ativação do Encryption Client de duas formas: Políticas de encriptação com base no dispositivo As políticas do Encryption Client são baseadas no utilizador; as políticas de encriptação do Encryption Client com Ativação diferida baseiam-se no dispositivo. A encriptação de utilizador é convertida em encriptação Comum.
A Dell recomenda vivamente que seja criada uma palavra-passe do Windows (se ainda não existir nenhuma) para proteger o acesso aos dados encriptados. A criação de uma palavra-passe para o computador evita que outros iniciem sessão na sua conta de utilizador sem a sua palavra-passe. Desinstalar versões anteriores do Encryption Client Antes de desinstalar uma versão anterior do Encryption Client, pare ou interrompa um varrimento de encriptação, se necessário.
Os endereços de e-mail fora do domínio ou pessoais não podem ser utilizados para a ativação. 3. Clique em Fechar. O Servidor Dell combina o grupo de chaves de encriptação com as credenciais do utilizador e com o ID exclusivo do computador (ID de máquina), criando uma relação inquebrável entre o grupo de chaves, o computador específico e o utilizador. 4. Reinicie o computador para dar início ao varrimento de encriptação.
● Verifique o URL do Dell Server para garantir que corresponde ao URL fornecido pelo administrador. O URL e outros dados que o utilizador introduziu no programa de instalação estão armazenados no registo. Verifique a exatidão dos dados em [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] e [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\Servlet] ● Desligue e ligue novamente: Desligue o computador da rede. Volte a conectar à rede. Reinicie o computador.
19 Resolução de problemas Todos os clientes - Resolução de problemas ● Os ficheiros de registo do instalador do conjunto principal do Endpoint Security Suite Enterprise encontram-se em C:\ProgramData\Dell\Dell Data Protection\Installer. ● O Windows cria ficheiros de registo de instalação do instalador subordinado únicos para o utilizador com sessão iniciada em %temp%, localizados em C:\Users\\AppData\Local\Temp.
Mensagem de erro: Nome de utilizador desconhecido ou palavra-passe inválida O nome de utilizador ou a palavra-passe não correspondem. Solução possível: Tente iniciar sessão novamente, certificando-se que introduz o nome de utilizador e palavra-passe corretos. Mensagem de erro: a ativação falhou porque a conta de utilizador não possui direitos de administrador de domínio.
4. O utilizador clica com o botão direito do rato no ícone Encryption na área de notificação e seleciona Ativar o Dell Encryption. 5. O utilizador introduz as credenciais de administrador de domínio na caixa de diálogo Ativar. NOTA: O requisito de credenciais de administrador do domínio é uma medida de segurança que impede que o Encryption em sistemas operativos de servidor seja implementada em ambientes de servidor não suportados.
O diagrama seguinte ilustra a autenticação e ativação do dispositivo bem-sucedidas. 1. Quando reiniciar após uma ativação inicial bem-sucedida, um computador com Server Encryption efetua automaticamente a autenticação utilizando a conta de utilizador do servidor virtual e executa o Encryption Client no modo de Servidor. 2.
Interações de PCS e Encryption External Media Para garantir que o suporte multimédia não está definido como apenas de leitura e que a porta não está bloqueada A política Aceder a suportes multimédia desprotegidos do EMS interage com o Sistema de controlo das portas - Classe: Armazenamento > Subclasse de armazenamento: Política de controlo da unidade externa.
OU 1. Clique em Avançadas para alternar a visualização para Simples para analisar uma pasta particular. 2. Aceda a Definições de análise e introduza o caminho da pasta no campo Caminho da pesquisa. Se este campo for utilizado, a seleção no menu é ignorada. 3. Caso não pretenda gravar os resultados de saída do WSScan num ficheiro, desmarque a caixa de verificação Saída para ficheiro. 4. Se pretender, altere o caminho e o nome de ficheiro predefinidos em Caminho. 5.
Utilização da linha de comandos do WSScan WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o] [-a] [-f] [-r] [-u[a][-|v]] [-d] [-q] [-e] [-x] [-y] Opção Significado Unidade Unidade a analisar. Se não for especificada, serão assumidas, por predefinição, todas as unidades de disco rígido fixas locais. Pode ser uma unidade de rede mapeada.
Opção Significado -s Operação silenciosa -o Caminho do ficheiro de saída -a Anexar ao ficheiro de saída. O ficheiro de saída é truncado pelo comportamento predefinido. -f Reportar o especificador de formato (Reportar, Fixo, Delimitado) -r Executar o WSScan sem privilégios de administrador. Neste modo, alguns ficheiros podem não ficar visíveis. -u Incluir ficheiros desencriptados no ficheiro de saída.
Saída Significado Tal como apresentado no exemplo acima, "7vdlxrsb" Se estiver a analisar uma unidade de rede mapeada, o relatório da análise não apresenta uma KCID. UCID A ID do utilizador. Tal como apresentado no exemplo acima, "_SDENCR_" A UCID é partilhada por todos os utilizadores desse computador. Ficheiro O caminho do ficheiro encriptado. Tal como apresentado no exemplo acima, "c:\temp\Dell - test.log" Algoritmo O algoritmo de encriptação utilizado para encriptar o ficheiro.
wsprobe [path] wsprobe [-h] wsprobe [-f path] wsprobe [-u n] [-x process_names] [-i process_names] Parâmetros Parâmetro Para caminho Especificação opcional de um caminho específico no dispositivo a analisar para uma possível encriptação/desencriptação. Se não especificar um caminho, este utilitário analisa todas as pastas relacionadas com as suas políticas de encriptação. -h Consulte a Ajuda da linha de comandos.
de Remoção de Encriptação para forçar outro varrimento de desencriptação. Consulte (Opcional) Criar um ficheiro de registo do Encryption Removal Agent para obter instruções. ● Concluído - O varrimento da desencriptação está concluído. É agendada a eliminação do serviço, do executável, do controlador e do executável do controlador para a reinicialização de sistema seguinte.
Resolução de problemas 115
O diagrama seguinte ilustra o processo de comunicação do agente do Advanced Threat Prevention. Processo de verificação da integridade de imagem do BIOS O diagrama seguinte ilustra o processo de verificação da integridade de imagem do BIOS. Para aceder a uma lista de modelos de computador Dell suportados pela verificação da integridade de imagem do BIOS, consulte Requisitos - Verificação da integridade de imagem do BIOS.
Resolução de problemas SED Utilizar o Código de acesso inicial ● Esta política é utilizada para iniciar sessão num computador quando o acesso à rede não se encontra disponível. Ou seja, o acesso ao Dell Server e ao AD não se encontram disponíveis. Utilize a política de Código de acesso inicial apenas se for absolutamente necessário. A Dell não recomenda este método para iniciar sessão.
● O Código de acesso inicial só pode ser utilizado uma vez, imediatamente após a ativação. Após o início de sessão de um utilizador final, o Código de acesso inicial fica indisponível. O primeiro início de sessão do domínio que ocorre depois de introduzir o Código de acesso inicial, será colocado em cache e o campo para a introdução do Código de acesso inicial não é apresentado novamente.
3. Remova a unidade USB depois de reproduzir o problema que requer os registos. O ficheiro PBAErr.log é atualizado e gravado em tempo real. Controladores do Dell ControlVault Atualização de controladores e firmware do Dell ControlVault ● Os controladores e firmware do Dell ControlVault instalados de fábrica nos computadores Dell estão desatualizados e devem ser atualizados mediante o procedimento abaixo descrito e na ordem em que se encontra.
4. Selecione o Sistema operativo do computador de destino. 5. Selecione a categoria Segurança.
6. Transfira e guarde os controladores do Dell ControlVault. 7. Transfira e guarde o firmware do Dell ControlVault. 8. Copie os controladores e o firmware nos computadores de destino, se necessário. Instale o controlador do Dell ControlVault 1. Navegue até à pasta para onde transferiu o ficheiro de instalação do controlador.
2. Clique duas vezes no controlador do Dell ControlVault para iniciar o ficheiro executável de extração automática. NOTA: Instale o controlador primeiro. O nome de ficheiro do controlador quando este documento foi criado é ControlVault_Setup_2MYJC_A37_ZPE.exe. 3. Clique em Continuar para iniciar. 4. Clique em Ok para descomprimir os ficheiros de controladores na localização predefinida em C:\Dell\Drivers\. 5. Clique em Sim para permitir a criação de uma nova pasta.
6. Clique em Ok quando for apresentada a mensagem de que a descompressão dos ficheiros foi bem-sucedida. 7. A pasta que contém os ficheiros deve ser apresentada após a extração. Caso não seja apresentada, navegue até à pasta na qual extraiu os ficheiros. Neste caso, a pasta é JW22F. 8. Clique duas vezes em CVHCI64.MSI para iniciar o programa de instalação dos controladores. [este exemplo é CVHCI64.MSI neste modelo (CVHCI para um computador de 32 bits)]. 9. Clique em Seguinte no ecrã de boas-vindas.
10. Clique em Seguinte para instalar os controladores na localização predefinida em C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\. 11. Selecione a opçã Completo e clique em Seguinte.
12. Clique em Instalar para iniciar a instalação dos controladores. 13. Opcionalmente, marque a caixa para apresentar o ficheiro de registo do programa de instalação. Clique em Concluir para sair do assistente.
Verificação da instalação dos controladores ● O Gestor de dispositivos terá um dispositivo Dell ControlVault (e outros dispositivos) dependendo da configuração de hardware e do sistema operativo. Instalação do firmware do Dell ControlVault 1. Navegue até à pasta para onde transferiu o ficheiro de instalação do firmware. 2. Clique duas vezes no firmware do Dell ControlVault para iniciar o ficheiro executável de extração automática. 3. Clique em Continuar para iniciar.
4. Clique em Ok para descomprimir os ficheiros de controladores na localização predefinida em C:\Dell\Drivers\. 5. Clique em Sim para permitir a criação de uma nova pasta. 6. Clique em Ok quando for apresentada a mensagem de que a descompressão dos ficheiros foi bem-sucedida. 7. A pasta que contém os ficheiros deve ser apresentada após a extração. Caso não seja apresentada, navegue até à pasta na qual extraiu os ficheiros. Selecione a pasta de firmware.
8. Clique duas vezes em ushupgrade.exe para iniciar o programa de instalação do firmware. 9. Clique em Iniciar para iniciar a atualização do firmware.
NOTA: No caso de atualização a partir de uma versão mais antiga de firmware, pode ser-lhe solicitada a palavra-passe de administrador. Introduza Broadcom como palavra-passe e clique em Enter se esta caixa de diálogo for apresentada. Várias mensagens de estado serão apresentadas.
Resolução de problemas
10. Clique em Reiniciar para concluir a atualização do firmware. A atualização dos controladores e do firmware do Dell ControlVault foi concluída.
Computadores UEFI Resolução de problemas de ligação à rede ● Para que a autenticação de pré-arranque seja bem-sucedida num computador com firmware UEFI, o modo PBA tem de ter ligação à rede. Por predefinição, os computadores com firmware UEFI não têm ligação à rede até que o sistema operativo seja carregado, o que ocorre depois do modo PBA.
Constante/Valor Descrição TPM_E_BAD_ORDINAL O ordinal era desconhecido ou inconsistente. 0x8028000A TPM_E_INSTALL_DISABLED A capacidade de instalar um proprietário está desativada. 0x8028000B TPM_E_INVALID_KEYHANDLE Não é possível interpretar o identificador da chave. 0x8028000C TPM_E_KEYNOTFOUND O identificador da chave aponta para uma chave inválida. 0x8028000D TPM_E_INAPPROPRIATE_ENC Esquema de encriptação inaceitável. 0x8028000E TPM_E_MIGRATEFAIL Falha na autorização de migração.
Constante/Valor Descrição TPM_E_SHA_ERROR O cálculo não pode prosseguir porque o thread SHA-1 existente já encontrou um erro. 0x8028001B TPM_E_FAILEDSELFTEST 0x8028001C TPM_E_AUTH2FAIL 0x8028001D TPM_E_BADTAG O dispositivo de hardware de TPM reportou uma falha durante o respetivo autoteste interno. Experimente reiniciar o computador para resolver o problema. Se o problema continuar, poderá ser necessário substituir a placa principal ou o hardware de TPM.
Constante/Valor Descrição TPM_E_BAD_MODE Um parâmetro de modo é incorreto, tal como capArea ou subCapArea para TPM_GetCapability, o parâmetro phsicalPresence para TPM_PhysicalPresence ou migrationType para TPM_CreateMigrationBlob. 0x8028002C TPM_E_BAD_PRESENCE 0x8028002D TPM_E_BAD_VERSION Os bits de physicalPresence ou physicalPresenceLock têm um valor incorreto. O TPM não pode executar esta versão da capacidade. 0x8028002E TPM_E_NO_WRAP_TRANSPORT O TPM não permite sessões de transporte moldadas.
Constante/Valor Descrição TPM_E_BAD_LOCALITY A localidade está incorreta para a operação tentada. 0x8028003D TPM_E_READ_ONLY A área NV é só de leitura e não é possível escrever na mesma. 0x8028003E TPM_E_PER_NOWRITE Não existe proteção para a escrita na área NV. 0x8028003F TPM_E_FAMILYCOUNT O valor de contador de famílias não coincide. 0x80280040 TPM_E_WRITE_LOCKED Já foram escritos dados na área NV. 0x80280041 TPM_E_BAD_ATTRIBUTES Os atributos da área NV estão em conflito.
Constante/Valor Descrição TPM_E_TRANSPORT_NOTEXCLUSIVE Foi executado um comando fora de uma sessão de transporte exclusiva. 0x8028004E TPM_E_OWNER_CONTROL 0x8028004F TPM_E_DAA_RESOURCES 0x80280050 TPM_E_DAA_INPUT_DATA0 0x80280051 TPM_E_DAA_INPUT_DATA1 0x80280052 TPM_E_DAA_ISSUER_SETTINGS Foi efetuada uma tentativa de guardar o contexto de uma chave com expulsão controlada pelo proprietário. O comando DAA não tem quaisquer recursos disponíveis para executar o comando.
Constante/Valor Descrição TPM_E_MA_AUTHORITY Autoridade de migração incorreta. 0x8028005F TPM_E_PERMANENTEK 0x80280061 TPM_E_BAD_SIGNATURE Foi efetuada uma tentativa de revogar a EK e a EK não é revogável. Assinatura incorreta da permissão de CMK. 0x80280062 TPM_E_NOCONTEXTSPACE 0x80280063 TPM_E_COMMAND_BLOCKED Não existe espaço na lista de contextos para contextos adicionais. O comando foi bloqueado. 0x80280400 TPM_E_INVALID_HANDLE O identificador especificado não foi encontrado.
Constante/Valor Descrição TBS_E_INSUFFICIENT_BUFFER Uma memória intermédia de saída especificada é demasiado pequena. 0x80284005 TBS_E_IOERROR Ocorreu um erro ao comunicar com o TPM. 0x80284006 TBS_E_INVALID_CONTEXT_PARAM Um ou mais parâmetros de contexto são inválidos. 0x80284007 TBS_E_SERVICE_NOT_RUNNING O serviço TBS não está em execução e não pode ser iniciado.
Constante/Valor Descrição devolvido nas Informações Adicionais), ou ativar o TPM no BIOS do sistema.) TBS_E_PPI_FUNCTION_UNSUPPORTED 0x80284014 TBS_E_OWNERAUTH_NOT_FOUND A Interface de Presença Física deste firmware não suporta o método pedido. O valor OwnerAuth de TPM pedido não foi encontrado. 0x80284015 TBS_E_PROVISIONING_INCOMPLETE 0x80284016 O aprovisionamento de TPM não foi concluído.
Constante/Valor Descrição TPMAPI_E_MESSAGE_TOO_LARGE A mensagem era demasiado grande para o esquema de codificação. 0x8029010D TPMAPI_E_INVALID_ENCODING A codificação do blob não foi reconhecida. 0x8029010E TPMAPI_E_INVALID_KEY_SIZE O tamanho da chave não é válido. 0x8029010F TPMAPI_E_ENCRYPTION_FAILED Falha na operação de encriptação.
Constante/Valor Descrição TPMAPI_E_POLICY_DENIES_OPERATION A operação pedida foi bloqueada pela política de TPM atual. Contacte o administrador de sistema para obter assistência. 0x8029011E TBSIMP_E_BUFFER_TOO_SMALL A memória intermédia especificada era demasiado pequena. 0x80290200 TBSIMP_E_CLEANUP_FAILED Não foi possível limpar o contexto. 0x80290201 TBSIMP_E_INVALID_CONTEXT_HANDLE O identificador de contexto especificado é inválido.
Constante/Valor Descrição TBSIMP_E_NOT_ENOUGH_TPM_CONTEXTS Existem demasiados contextos de TPM em utilização. 0x80290210 TBSIMP_E_COMMAND_FAILED Falha do comando de TPM. 0x80290211 TBSIMP_E_UNKNOWN_ORDINAL O TBS não reconhece o ordinal especificado. 0x80290212 TBSIMP_E_RESOURCE_EXPIRED O recurso pedido já não se encontra disponível. 0x80290213 TBSIMP_E_INVALID_RESOURCE O tipo de recurso não é igual. 0x80290214 TBSIMP_E_NOTHING_TO_UNLOAD Não é possível descarregar recursos.
Constante/Valor Descrição TPM_E_PCP_ERROR_MASK Trata-se de uma máscara de erro para converter erros do Fornecedor Criptográfico da Plataforma em erros do Windows.
Constante/Valor Descrição PLA_E_DCS_ALREADY_EXISTS O Conjunto de Recoletores de Dados já existe. 0x803000B7 PLA_S_PROPERTY_IGNORED O valor da propriedade será ignorado. 0x00300100 PLA_E_PROPERTY_CONFLICT Conflito de valores da propriedade. 0x80300101 PLA_E_DCS_SINGLETON_REQUIRED 0x80300102 PLA_E_CREDENTIALS_REQUIRED 0x80300103 PLA_E_DCS_NOT_RUNNING A configuração atual deste Conjunto de Recoletores de Dados necessita que este contenha exatamente um Recoletor de Dados.
Constante/Valor Descrição PLA_E_PLA_CHANNEL_NOT_ENABLED O canal do Registo de Eventos Microsoft-Windows-Diagnosis-PLA/Operacional tem de estar ativado para executar esta operação. 0x80300110 PLA_E_TASKSCHED_CHANNEL_NOT_ENABLED 0x80300111 PLA_E_RULES_MANAGER_FAILED O canal do Microsoft-Windows-TaskScheduler tem de estar ativado para executar esta operação. Falha na execução do Gestor de Regras. 0x80300112 PLA_E_CABAPI_FAILURE Ocorreu um erro ao tentar comprimir ou extrair os dados.
Constante/Valor Descrição informações de Encriptação de Unidade BitLocker ou do TPM. Contacte o administrador do domínio para verificar se quaisquer extensões de esquema do Active Directory para o BitLocker necessárias foram instaladas.
Constante/Valor Descrição FVE_E_TPM_NOT_OWNED É necessário inicializar o TPM antes de poder utilizar a Encriptação de Unidade BitLocker.
Constante/Valor Descrição FVE_E_FAILED_AUTHENTICATION Não é possível desbloquear a unidade com a chave fornecida. Confirme se forneceu a chave correta e tente novamente. 0x80310027 FVE_E_NOT_OS_VOLUME A unidade especificada não é a unidade do sistema operativo.
Constante/Valor Descrição FVE_E_INVALID_PASSWORD_FORMAT 0x80310035 O formato da palavra-passe de recuperação fornecida é inválido. As palavras-passe de recuperação do BitLocker têm 48 dígitos. Verifique se a palavra-passe de recuperação tem e formato correto e tente novamente. FVE_E_FIPS_RNG_CHECK_FAILED Falha no teste de verificação do gerador de números aleatórios.
Constante/Valor Descrição no Modo de Segurança. Enquanto estiver no Modo de Segurança, a Encriptação de Unidade BitLocker só poderá ser utilizada para fins de recuperação.
Constante/Valor Descrição FVE_E_DRY_RUN_FAILED Não é possível obter a chave de encriptação do BitLocker. Verifique se o TPM está ativado e se a propriedade foi obtida. Se este computador não tiver um TPM, verifique se a unidade USB está introduzida e disponível.
Constante/Valor Descrição FVE_E_POLICY_RECOVERY_PASSWORD_NOT_ALLOWED As definições de Política de Grupo não permitem a criação de uma palavra-passe de recuperação.
Constante/Valor Descrição FVE_E_FIPS_PREVENTS_PASSPHRASE A definição de política de grupo que necessita da compatibilidade com FIPS impediu a geração ou a utilização da palavra-passe. Contacte o administrador do domínio para obter mais informações.
Constante/Valor Descrição FVE_E_POLICY_INVALID_PASSPHRASE_LENGTH A sua palavra-passe não satisfaz as necessidades de comprimento mínimo. Por predefinição, as palavras-passe têm de ter um comprimento mínimo de 8 caracteres. Contacte o administrador de sistema para obter as necessidades de comprimento de palavras-passe da organização.
Constante/Valor Descrição do sistema operativo. O armazenamento de informações de recuperação nos Serviços de Domínio do Active Directory não pode ser exigido quando a geração de palavras-passe de recuperação não é permitida. Peça ao administrador de sistema para resolver os conflitos de política antes de tentar ativar o BitLocker. FVE_E_VIRTUALIZED_SPACE_TOO_BIG O tamanho de virtualização pedido é demasiado grande.
Constante/Valor Descrição FVE_E_CANT_LOCK_AUTOUNLOCK_ENABLED_VOLUME Não é possível bloquear a unidade, porque esta é desbloqueada automaticamente neste computador. Remova o protetor de desbloqueio automático para bloquear esta unidade. 0x80310097 FVE_E_FIPS_HASH_KDF_NOT_ALLOWED 0x80310098 FVE_E_ENH_PIN_INVALID 0x80310099 FVE_E_INVALID_PIN_CHARS A Função de Derivação de Chaves SP800-56A para smart cards ECC predefinida do BitLocker não é suportada pelo seu smart card.
Constante/Valor Descrição FVE_E_FULL_ENCRYPTION_NOT_ALLOWED_ON_TP_STOR AGE A Encriptação de Unidade BitLocker só suporta a encriptação Apenas do Espaço Utilizado em armazenamento com aprovisionamento dinâmico. 0x803100A5 FVE_E_WIPE_NOT_ALLOWED_ON_TP_STORAGE 0x803100A6 FVE_E_KEY_LENGTH_NOT_SUPPORTED_BY_EDRIVE 0x803100A7 FVE_E_NO_EXISTING_PASSPHRASE A Encriptação de Unidade BitLocker não suporta a limpeza do espaço livre em armazenamento com aprovisionamento dinâmico.
Constante/Valor Descrição FVE_E_NO_PREBOOT_KEYBOARD_DETECTED Nenhum teclado de pré-arranque detetado. O utilizador poderá não conseguir introduzir os dados necessários para desbloquear o volume.
Constante/Valor Descrição FVE_E_LIVEID_ACCOUNT_BLOCKED O BitLocker não consegue guardar a palavra-passe de recuperação, porque a conta Microsoft especificada está Bloqueada.
20 Glossário Ativado - A ativação ocorre quando o computador tiver sido registado no Dell Server e tiver recebido, pelo menos, um conjunto inicial de políticas. Active Directory (AD) - Um serviço de directório criado pela Microsoft para as redes de domínio Windows.
utilizador. - Um varrimento pode ser acionado novamente sob determinadas alterações de política subsequentes. Qualquer alteração de política relacionada com a definição das pastas de encriptação, algoritmos de encriptação, utilização da chave de encriptação (utilizador de versos comuns), aciona um varrimento. Adicionalmente, a alternância entre a encriptação ativada e desativada aciona um varrimento de encriptação.