Dell Data Protection | Endpoint Security Suite Grundlegendes Installationshandbuch v1.4.
Legende VORSICHT: Das Symbol VORSICHT weist auf eine mögliche Beschädigung von Hardware oder den möglichen Verlust von Daten hin, wenn die Anweisungen nicht befolgt werden. WARNUNG: Das Symbol WARNUNG weist auf mögliche Personen- oder Sachschäden oder Schäden mit Todesfolge hin. WICHTIG, HINWEIS, TIPP, MOBILE oder VIDEO: Ein Informationssymbol weist auf Begleitinformationen hin. © 2016 Dell Inc. Alle Rechte vorbehalten.
Inhaltsverzeichni s 1 Einleitung...................................................................................................................................................................5 Vor der Installation..................................................................................................................................................... 5 Verwendung des Handbuchs.......................................................................................................................
Verfahren.............................................................................................................................................................. 22 PBA deaktivieren................................................................................................................................................. 22 Deinstallieren des SED-Clients und der Advanced Authentication-Clients...........................................23 Deinstallation des BitLocker Manager-Clients................
1 Einleitung In diesem Handbuch wird die Installation und Konfiguration der Anwendung unter Verwendung des ESS -MasterInstallationsprogramms beschrieben. Das Handbuch bietet eine grundlegende Hilfestellung bei der Installation.
Telefonnummern außerhalb der Vereinigten Staaten finden Sie unter Dell ProSupport – Internationale Telefonnummern.
2 Anforderungen Alle Clients • Bei der Implementierung sind die bewährten IT-Verfahren zu beachten. Dazu zählen u. a. geregelte Testumgebungen für die anfänglichen Tests und die stufenweise Bereitstellung für Benutzer. • Die Installation/Aktualisierung/Deinstallation kann nur von einem lokalen Benutzer oder einem Domänenadministrator durchgeführt werden, der über ein Implementierungstool wie Microsoft SMS oder KACE vorübergehend zugewiesen werden kann.
Alle Clients - Hardware • Die folgende Tabelle enthält Informationen zur unterstützten Computer-Hardware. Hardware • Die Mindestanforderungen für die Hardware müssen den Mindestspezifikationen des Betriebssystems entsprechen. Alle Clients - Sprachunterstützung • Die Encryption-, Threat Protection-, und BitLocker Manager-Clients sind Multilingual User Interface (MUI)-konform und unterstützen die folgenden Sprachen.
• Falls Ihr Unternehmen Virenschutzsoftware von einem hier nicht aufgeführten Anbieter verwendet, lesen Sie den KB-Artikel SLN298707 oder Dell ProSupport kontaktieren, um Hilfe zu erhalten. Eine direkte Aktualisierung des Betriebssystems wird nicht unterstützt, wenn der Encryption-Client installiert ist.
Unterstützte Windows-Betriebssysteme für den Zugriff auf EMS-geschützte Medien (32-Bit und 64-Bit) • Windows 10: Education, Enterprise, Pro Unterstützte Mac-Betriebssysteme für den Zugriff auf EMS-geschützte Medien (64-Bit-Kernel) • • • Mac OS X Yosemite 10.10.5 Mac OS X El Capitan 10.11.6 macOS Sierra 10.12.0 Threat Protection-Client • Die Threat Protection-Clients können erst installiert werden, nachdem der Encryption-Client auf dem Computer ermittelt wurde.
Verwenden Sie die Datei Anwendun Transpor Portnummer Ziel gsprotokol tprotoko l ll Aktualisierungen HTTP von Anti-SpamRegeln und Streaming TCP 80 vs.mcafeeasap.com Richtung Anmerkungen Ausgehend Pakettypen: X-SU3X-SU3Komponenten-Name X-SU3Komponenten-Type X-Su3-Status Reputation Service SSL TCP 443 tunnel.web.trustedsource. org Reputation Service Feedback SSL TCP 443 gtifeedback.trustedsource.
• SED-Verwaltung ist nicht unterstützt Server mit Verschlüsselung. SED-Client-Anforderungen • Das ESS-Master-Installationsprogramm installiert Microsoft Visual C++2010 SP1 und Microsoft Visual C++ 2012 Update 4, falls diese Komponenten noch nicht auf dem Computer vorhanden sind.
Advanced Authentication-Client-Hardware • Die folgende Tabelle enthält detaillierte Informationen über die unterstützte Authentifizierungs-Hardware. Fingerabdruck- und Smart Card-Leser • • • • Validity VFS495 im sicheren Modus Dell ControlVault Swipe Reader UPEK TCS1 FIPS 201 Secure Reader 1.6.3.
iOS-Betriebssysteme • iOS 8.x Windows Phone-Betriebssysteme • • Windows Phone 8.1 Windows 10 Mobile BitLocker Manager-Client • Lesen Sie den Abschnitt Microsoft BitLocker-Anforderungen, falls BitLocker in Ihrer Umgebung bislang noch nicht bereitgestellt wurde. • Überprüfen Sie, ob die PBA-Partition bereits eingerichtet worden ist. Wenn BitLocker Manager vor Einrichtung der PBAPartition installiert wird, kann BitLocker nicht aktiviert werden, und BitLocker Manager funktioniert nicht.
3 Installation unter Verwendung des ESSMaster-Installationsprogramms • Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten. • Um die Installation unter Verwendung nicht standardmäßiger Ports durchzuführen, verwenden Sie untergeordnete Installationsprogramme anstelle des ESS-Master-Installationsprogramms. • Die Protokolldateien des ESSmaster-Installationsprogramms befinden sich unter C:\ProgramData\Dell\Dell Data Protection \Installer.
Geben Sie im Feld URL des Dell Device Servers die URL des Device Servers (Security Servers) ein, mit dem der Client kommunizieren soll. autet das Format wie folgt: https://server.organization.com:8443/xapi/ (einschließlich des nachfolgenden Schrägstrichs). Klicken Sie auf Weiter. 6 Klicken Sie auf Weiter, um die Produkte im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection\. zu speichern.
Schalter Beschreibung -y -gm2 Vorab-Extrahierung des ESS-Master Installationsprogramms. Die Schalter -y und -gm2 müssen zusammen verwendet werden. Trennen Sie sie bitte nicht. /S Installation im Hintergrund /z Gibt Variablen an die MSI-Datei innerhalb der DDPSuite.exe-Datei weiter. Parameter • In der folgenden Tabelle werden die Parameter beschrieben, die mit dem ESS-Master-Installationsprogramm verwendet werden können.
4 Deinstallation unter Verwendung des ESSMaster-Installationsprogramms • Jede Komponente muss einzeln deinstalliert werden, gefolgt von der Deinstallation des ESS-MasterInstallationsprogramms. Die Clients müssen in einer bestimmten Reihenfolge deinstalliert werden, um Fehler bei der Deinstallation zu vermeiden. • Folgen Sie den Anweisungen unter Untergeordnete Installationsprogramme aus dem ESS-Master-Installationsprogramm zum Abrufen von untergeordneten Installationsprogrammen.
5 Deinstallation unter Verwendung der untergeordneten Installationsprogramme • Um jeden einzelnen Client separat zu installieren, müssen die untergeordneten ausführbaren Dateien aus dem ESS-Master Installationsprogramm extrahiert werden, wie unter Untergeordnete Installationsprogramme aus dem ESS-Master Installationsprogramm extrahieren beschrieben. • Stellen Sie sicher, dass Sie für die Deinstallation dieselben Client-Versionen verwenden wie bei der Installation.
Option Erläuterung /qb! Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, fordert zum Neustart auf /qb!- Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, führt nach Abschluss des Vorgangs selbständig einen Neustart durch /qn Keine Benutzeroberfläche Threat Protection-Clients deinstallieren Deinstallation über die Befehlszeile • Nach der Extraktion aus dem ESS-Master-Installationsprogramm kann das Threat Protection-Client-Installationsprogramm unter dem folgenden Speicherort abgelegt we
• Sie müssen vor dem Starten des Encryption Removal Agent das Dell Administrator-Download-Dienstprogramm (CMGAd) verwenden, falls Sie die Option Encryption Removal Agent importiert Schlüssel aus Datei verwenden möchten. Über dieses Dienstprogramm erhalten Sie das Verschlüsselungsschlüsselpaket. Weitere Informationen finden Sie unter Administrator-Download-Dienstprogramms verwenden (CMGAd). Das Dienstprogramm ist auf dem Dell Installationsmedium enthalten.
Parameter Auswahl Optionale Eigenschaften • SVCLOGONUN Benutzername im UPN-Format zur Anmeldung beim Encryption Removal Agent-Dienst als Parameter. SVCLOGONPWD Passwort für die Anmeldung als Benutzer. Im folgenden Beispiel werden der Encryption-Client deinstalliert und die Verschlüsselungsschlüssel vom EE-Server heruntergeladen. DDPE_XXbit_setup.exe /x /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER= \"server.organization.com\" DA_PORT=\"8050\" SVCPN=\"administrator@organization.com\" DA_RUNAS=\"
5 Wenn der Hostname des Computers bekannt ist, geben Sie ihn im Feld „Hostname“ ein (Platzhalter werden unterstützt). Sie können das Feld leer lassen, um alle Computer anzuzeigen. Klicken Sie auf Suchen. Wenn Sie den Hostnamen nicht kennen, machen Sie den Computer in der Liste ausfindig. Je nach Suchfilter wird ein Computer oder eine Liste von Computern angezeigt. 6 Klicken Sie auf das Symbol Details des gewünschten Computers. 7 Klicken Sie im Hauptmenü auf Sicherheitsrichtlinien.
6 Untergeordnete Installationsprogramme aus dem ESS-Master-Installationsprogramm extrahieren • Das ESS-Master-Installationsprogramm ist kein Master-Deinstallationsprogramm. Jeder Client muss einzeln deinstalliert werden, gefolgt von der Deinstallation des ESS-Master-Installationsprogramms. Verwenden Sie dieses Verfahren zum Extrahieren der Clients aus dem ESS-Master-Installationsprogramm, sodass sie für die Deinstallation verwendet werden können.
7 Konfiguration des Key Servers für die Deinstallation des auf einem EE-Server aktivierten Encryption-Clients • In diesem Abschnitt wird beschrieben, wie Komponenten für die Verwendung mit der Kerberos-Authentifizierung/Autorisierung bei Verwendung eines EE-Servers konfiguriert werden. Der VE-Server verwendet den Key Server nicht. • Wenn die Kerberos-Authentifizierung/-Autorisierung verwendet werden soll, muss der Server, der die Key ServerKomponente enthält, zur betroffenen Domäne gehören.
Wenn Sie in Schritt 3 „superadmin“ verwendet haben und das Superadmin-Passwort nicht „changeit“ lautet, muss es hier geändert werden. Speichern und schließen Sie die Datei. Dialogfeld „Dienste“ - Key Server-Dienst neu starten 1 Gehen Sie zurück zum Dialogfeld „Dienste“ (Start > Ausführen... > services.msc > OK). 2 Führen Sie einen Neustart des Key Server-Dienstes durch. 3 Navigieren Sie zu „ log.txt“, um zu überprüfen, ob der Dienst korrekt gestartet wurde.
8 Verwenden Sie das administrative Dienstprogramm zum Herunterladen (CMGAd) • Mit diesem Dienstprogramm können Sie Schlüsseldatenpakete zur Verwendung auf einem Computer herunterladen, der nicht mit einem EE-Server/VE-Server verbunden ist.
Eine Meldung zeigt an, dass die Schlüsseldaten erfolgreich entsperrt wurden. Die Dateien sind jetzt frei zugänglich. 4 Klicken Sie anschließend auf Fertig stellen. Verwenden des Administrator-DownloadDienstprogramms im Admin-Modus Der VE-Server verwendet den Key Server nicht, d. h. im Admin-Modus kann kein Schlüsselpaket über den VE-Server abgerufen werden. Verwenden Sie den forensischen Modus, um das Schlüsselpaket zu erhalten, wenn der Client auf einem VE-Server aktiviert ist.
9 Fehlerbehebung Alle Clients – Fehlerbehebung • Die Protokolldateien des ESS master-Installationsprogramms befinden sich unter C:\ProgramData\Dell\Dell Data Protection\Installer. • Windows erstellt für den angemeldeten Benutzer eindeutige Installationsprotokolldateien des untergeordneten Installationsprogramms im Verzeichnis „%temp%“ unter C:\Users\\AppData\Local\Temp. • Windows erstellt Protokolldateien für Client-Voraussetzungen, z. B.
WSScan verwenden • WSScan ermöglicht Ihnen, sicherzugehen, dass bei der Deinstallation des Clients für die Verschlüsselung alle Daten entschlüsselt werden. Es zeigt Ihnen außerdem den Verschlüsselungsstatus und erkennt unverschlüsselte Dateien, die verschlüsselt sein sollten. • Zur Ausführung dieses Dienstprogramms sind Administratorberechtigungen erforderlich. Ausführen von WSScan 1 Kopieren Sie „WSScan.exe“ von den Dell Installationsmedien auf den Windows-Computer.
Beispiel der Ausgabe: [2015-07-28 07:52:33] SysData.07vdlxrsb._SDENCR_: "c:\temp\Dell - test.log" ist noch AES256 verschlüsselt Ausgabe Erläuterung Zeitstempel Das Datum und die Uhrzeit der Durchsuchung der Datei. Verschlüsselungstyp Die Art der Verschlüsselung für die Datei. SysData: SDE-Verschlüsselungscode. Benutzer: Benutzer-Verschlüsselungscode. Allgemein: Allgemeiner Verschlüsselungscode. WSScan meldet keine Dateien, die mittels „Für Freigabe verschlüsseln“ verschlüsselt wurden.
• Entschlüsselungssuche – Dieser Dienst entschlüsselt Dateien und stellt möglicherweise eine Anfrage zur Entschlüsselung gesperrter Dateien. • Entschlüsselung bei Neustart (teilweise) – Die Entschlüsselungssuche ist abgeschlossen, und einige gesperrte Dateien (aber nicht alle) werden beim nächsten Neustart entschlüsselt. • Entschlüsselung bei Neustart – Die Entschlüsselungssuche ist abgeschlossen, und alle gesperrten Dateien werden beim nächsten Neustart entschlüsselt.
Klicken Sie zum Fortsetzen des Vorgangs auf Weiter. Klicken Sie auf OK, um die Treiberdateien in den Standardordner C:\Dell\Drivers\ zu entpacken. Klicken Sie auf Ja, um die Erstellung eines neuen Ordners zu genehmigen. Klicken Sie auf OK, wenn die Nachricht angezeigt wird, dass die Dateien erfolgreich entpackt wurden. Nach dem Entpacken wird der Ordner angezeigt, der die entpackten Dateien enthält. Ist dies nicht der Fall, gehen Sie zu dem Ordner, in den Sie die Dateien entpackt haben.
10 Glossar Advanced Authentication – Das Produkt Advanced Authentication bietet Optionen für vollständig integrierte Fingerabdrücke, Smart Card und kontaktlose Smart Card-Leser. Advanced Authentication vereinfacht die Verwaltung all dieser HardwareAuthentifizierungsmethoden, unterstützt die Anmeldung bei selbstverschlüsselnden Laufwerken, SSO und verwaltet Benutzeranmeldeinformationen und Passwörter.
Windows-Anmeldebildschirm erfolgt. Je nach Richtlinie kann die OTP-Funktion verwendet werden, um den Zugriff auf den Computer wiederherzustellen, falls das Passwort abgelaufen ist oder vergessen wurde, vorausgesetzt, das OTP wurde nicht bereits für die Anmeldung am Computer verwendet. Die OTP-Funktion kann zur Authentifizierung oder zur Wiederherstellung verwendet werden, aber nicht für beides.