Dell Data Protection | Endpoint Security Suite Guide d'installation avancée v1.
Remarques, précautions et avertissements REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit. PRÉCAUTION : Une PRÉCAUTION indique un risque d'endommagement du matériel ou de perte de données et vous indique comment éviter le problème. AVERTISSEMENT : Un AVERTISSEMENT indique un risque d'endommagement du matériel, de blessures corporelles ou même de mort. © 2017 Dell Inc. Tous droits réservés.
Table des matières 1 Introduction....................................................................................................................................................6 Avant de commencer........................................................................................................................................................ 6 Utilisation de ce Guide.....................................................................................................................................
Installation par la ligne de commande à l'aide du programme d'installation principal ESS ..................................... 30 5 Désinstallation à l'aide du programme d'installation principal ESS ............................................................... 32 Désinstaller le programme d'installation principal ESS ............................................................................................... 32 Désinstallation avec ligne de commande......................................................
12 Configurer le Key Server pour procéder à la désinstallation du client Encryption activé par rapport à EE Server....................................................................................................................................................... 55 Écran des services - Ajouter un utilisateur du compte de domaine...........................................................................
1 Introduction Ce guide présente l'installation et la configuration de Threat Protection, du client Encryption, du client de gestion SED, d'Advanced Authentication et de BitLocker Manager. Toutes les informations relatives aux règles ainsi que leur description se trouvent dans AdminHelp. Avant de commencer 1 Installez l'EE Server/VE Server avant de déployer les clients. Localisez le guide qui convient tel qu'illustré ci-dessous, suivez les instructions puis revenez à ce guide.
• • Installer les clients Threat Protection - utilisez ces instructions pour installer les clientsThreat Protection, qui comprennent les éléments de protection suivants basés sur des stratégies : • Protection contre les programmes malveillants : détecte les virus, logiciels espions, programmes indésirables et autres menaces en analysant automatiquement les éléments au moment où les utilisateurs y accèdent ou bien à tout moment, à la demande.
2 Configuration requise Tous les clients Ces exigences s'appliquent à tous les clients. Les exigences répertoriées dans d'autres sections s'appliquent à des clients particuliers. • Les meilleures pratiques informatiques doivent être suivies pendant le déploiement. Ceci inclut, sans s'y limiter, les environnements de test contrôlés pour les premiers tests et les déploiements échelonnés pour les utilisateurs.
Matériel • La configuration minimale requise doit répondre aux spécifications minimales du système d'exploitation. Tous les clients - Langues prises en charge • Les clients BitLocker Manager, Encryption Threat Protection, et sont compatibles avec l'interface utilisateur multilingue (MUI) et prennent en charge les langues suivantes.
Si votre entreprise utilise un fournisseur d'antivirus qui n'est pas répertorié, consultez http://www.dell.com/support/Article/us/en/19/ SLN298707 ou contactez Dell ProSupport • Le module TPM (Trusted Platform Module) permet de sceller la clé GPK. Par conséquent, si vous exécutez le client Encryption, supprimez le module TPM du BIOS avant d'installer un nouveau système d'exploitation sur l'ordinateur client.
Systèmes d'exploitation prenant en charge External Media Shield (EMS) • Le tableau suivant répertorie les systèmes d'exploitation pris en charge lors de l'accès aux supports protégés par EMS. REMARQUE : Pour héberger EMS, le support externe doit disposer d'environ 55 Mo ainsi que d'un espace libre sur le support égal au plus gros fichier à crypter. REMARQUE : Windows XP est pris en charge lors de l'utilisation de EMS Explorer uniquement.
Ports des clients Threat Protection • Pour garantir que les clients de la protection contre les menaces reçoivent les dernières mises à jour de protection contre les menaces, les ports 443 et 80 doivent être disponibles afin que le client puisse communiquer avec les différents serveurs de destination.
• Les ordinateurs équipés de disques auto-cryptables ne peuvent pas être utilisés avec des cartes HCA. Il existe des incompatibilités qui empêchent le provisionnement des accélérateurs HCA. Notez que Dell ne vend pas d'ordinateurs comportant des disques à autocryptage prenant en charge le module HCA. Cette configuration non prise en charge est une configuration après-vente.
Modèles d'ordinateur Dell - Prise en charge d'UEFI • • • • • • • • • • • • • • • • • • • • • • • • Latitude 5280 Latitude 5480 Latitude 5580 Latitude 7370 Latitude E5270 Latitude E5470 Latitude E5570 Latitude E7240 Latitude E7250 Latitude E7260 Latitude E7265 Latitude E7270 Latitude E7275 Latitude E7280 Latitude E7350 Latitude E740 Latitude E7450 Latitude E7460 Latitude E7470 Latitude E7480 Latitude 12 Rugged Extreme Latitude 12 Rugged Tablet (modèle 7202) Latitude 14 Rugged Extreme Latitude 14 Rugged • •
Systèmes d'exploitation du client SED • Le tableau suivant décrit les systèmes d'exploitation pris en charge. Systèmes d'exploitation Windows (32 bits et 64 bits) • Windows 7 SP0-SP1 : Enterprise, Professionnel (pris en charge par mode Legacy Boot, mais pas par UEFI) REMARQUE : Le mode Legacy Boot est pris en charge sur Windows 7. UEFI n'est pas pris en charge sur Windows 7. • • • Windows 8 : Enterprise, Pro Windows 8.
Cartes à puce • • Cartes réseau de catégorie B/SIPR Le tableau suivant répertorie les modèles d'ordinateurs Dell pris en charge avec les cartes réseau SIPR.
• Assurez-vous que la partition d'authentification avant démarrage est déjà configurée. Si vous installez BitLocker Manager avant de configurer la partition PBA, vous ne pourrez pas activer BitLocker et BitLocker Manager ne sera pas opérationnel. Voir Configuration préalable à l'installation d'une partition d'authentification avant démarrage BitLocker. • Le clavier, la souris et les composants vidéo doivent être directement connectés à l'ordinateur.
Client Encryption Non UEFI PBA Mot de passe Authentification Windows Empr. digit. Carte à puce à contact OTP Carte SIP Mot de R passe Empr. digit. Carte à puce OTP Carte SIP R Windows 7 SP0SP1 X X2 X2 X1 X2 Windows 8 X X2 X2 X1 X2 Windows 8.1 Mise à jour 0-1 X X2 X2 X1 X2 Windows 10 X X2 X2 X1 X2 1.
Client SED Non UEFI PBA Mot de passe Authentification Windows Empr. digit. Carte à puce à contact OTP Carte SIP Mot de R passe Empr. digit. Carte à puce OTP Carte SIP R Windows 7 SP0SP1 X2 X2 3 X X3 X3 X1 X3 Windows 8 X2 X2 3 X X3 X3 X1 X3 Windows 8.1 X2 X2 3 X X3 X3 X1 X3 Windows 10 X2 X2 3 X X3 X3 X1 X3 1.
Gestionnaire BitLocker Non UEFI PBA 5 Mot de passe Authentification Windows Empr. digit. Carte à puce à contact OTP Carte SIP Mot de R passe Empr. digit. Carte à puce OTP Carte SIP R Windows 7 X X2 X2 X1 X2 Windows 8 X X2 X2 X1 X2 Windows 8.1 X X2 X2 X1 X2 Windows 10 X X2 X2 X1 X2 Windows Server 2008 R2 (64 bits) X X2 1.
3 Paramètres de registre • Cette section décrit en détail tous les paramètres du registre approuvé Dell ProSupport des ordinateurs clients locaux, quel que soit le motif des paramètres de registre. Si un paramètre de registre chevauche deux produits, il est répertorié dans chaque catégorie. • Ces modifications de registre doivent être effectués par les administrateurs uniquement et peuvent ne pas être appropriées ou fonctionner dans tous les scénarios.
[HKLM\Software\CREDANT\CMGShield] "HIDESYSTRAYICON"=dword:1 • Par défaut, tous les fichiers temporaires qui figurent dans le répertoire c:\windows\temp sont automatiquement supprimés au cours de l'installation. La suppression des fichiers temporaires accélère le cryptage initial et se produit avant le balayage de cryptage initial. Cependant, si votre organisation utilise une application tierce qui nécessite de conserver la structure de fichiers dans le répertoire \temp, empêchez cette suppression.
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "OnlySendInvChanges"=REG_DWORD:0 En l'absence d'une entrée, l'inventaire optimisé est envoyé à l'EE Server/VE Server. • Envoyer l'inventaire complet de tous les utilisateurs activés [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "RefreshInventory"=REG_DWORD:1 Cette entrée est supprimée du registre dès qu'elle est traitée.
• [HKCU/Software/CREDANT/ActivationSlot] (données par utilisateur) Délai attribué pour une tentative d'activation par laps de temps. Ce délai est défini lorsque l'utilisateur se connecte au réseau pour la première fois après l'activation de l'activation par laps de temps. Le laps de temps d'activation est recalculé pour chaque tentative d'activation.
• La fonction d'activation hors domaine peut être activée en demandant les instructions à Dell ProSupport. Paramètres de registre du client Threat Protection • Les événements Threat Protection que le client envoie à l'EE Server/VE Server sont automatiquement archivés sur l'ordinateur client. Définissez la clé de registre suivante pour archiver les événements sur l'ordinateur client, par exemple, si l'accès à l'EE Server/VE Server est indisponible. [HKLM\Software\Dell\Dell Data Protection\ThreatProtection
• La chaîne d'approbation complète du certificat doit être stockée dans le magasin de clés Microsoft de l'ordinateur client. • Pour activer la validation d'approbation SSL/TLS pour la gestion SED, modifiez la valeur d'entrée de registre suivante sur 0 sur l'ordinateur client : [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "DisableSSLCertTrust"=DWORD:0 0 = Activé 1 = Désactivé • Pour utiliser des cartes à puce avec Windows Authentication, vous devez définir la valeur de registre suiv
HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent "ServerUrl"=REG_SZ:https://..com:8888/agent Paramètres de registre du client Advanced Authentication • Si vous ne voulez pas que le client Advanced Authentication (Security Tools) modifie les services associés aux cartes à puce et dispositifs biométriques selon un type de démarrage « automatique », vous pouvez désactiver la fonction de démarrage du service.
0 = Activé 1 = Désactivé 28 Dell Data Protection | Endpoint Security Suite Paramètres de registre
4 Installation à l'aide du programme d'installation principal ESS • Les commutateurs et les paramètres de ligne de commande sont sensibles à la casse. • Pour procéder à une installation de ports autres que ceux par défaut, utilisez les programmes d'installation enfants au lieu du programme d'installation principal ESSE , • Les fichiers journaux du rogramme d'installation principal ESS sont disponibles à l'adresse C:\ProgramData\Dell\Dell Data Protection \Installer.
Cliquez sur Suivant . 6 Cliquez sur Suivant pour installer le produit dans l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection\. Dell recommends installing in the default location only pour éviter les problèmes qu'une installation à un autre emplacement pourrait provoquer. 7 Sélectionnez les composants à installer.
• Le tableau suivant décrit les paramètres que vous pouvez utiliser avec le programme d'installation principal ESSE . Le programme d'installation principal ESS ne peut pas exclure des composants individuels, mais peut recevoir des commandes permettant de spécifier quels composants doivent être installés. Paramètre Description SUPPRESSREBOOT Supprime le redémarrage automatique une fois l'installation terminée. Peut être utilisé en mode SILENCIEUX. SERVEUR Spécifie l'URL de l'EE Server/VE Server.
5 Désinstallation à l'aide du programme d'installation principal ESS • Chaque composant doit être désinstallé séparément, avant la désinstallation du programme d'installation principal ESSE . Les clients doit être désinstallée dans un ordre spécifique pour éviter les échecs de désinstallation. • Suivez les instructions de la section Extraire les programmes d'installation enfants du programme d'installation principalESS pour obtenir les programmes d'installation enfants.
6 Installer à l'aide des programmes d'installation enfants • Pour installer chaque client individuellement, les fichiers exécutables enfants doivent d'abord être extraits du programme d'installation principal ESS , tel qu'illustré dans Extraire les programmes d'installation enfants à partir du programme d'installation principal ESS. • Les exemples de commande inclus dans cette section supposent que les commandes sont exécutées à partir de C:\extracted.
• Option Signification /qb- Boîte de dialogue de progression avec bouton Annuler: redémarre automatiquement à la fin du processus /qb! Boîte de dialogue de progression sans bouton Annuler : vous invite à effectuer un redémarrage /qb!- Boîte de dialogue de progression sans le bouton Annuler, redémarre automatiquement une fois le processus terminé /qn Pas d'interface utilisateur /norestart Suppression du redémarrage Dirigez les utilisateurs vers les documents suivants et les fichiers d'aide en ca
Paramètres SERVERHOSTNAME= (nom de domaine complet du serveur Dell pour la réactivation) POLICYPROXYHOSTNAME= (nom de domaine complet du proxy de la stratégie par défaut) MANAGEDDOMAIN= (domaine à utiliser pour le périphérique) DEVICESERVERURL= (utilisée pour l'activation, cette URL comprend généralement le nom du serveur, le port et xapi) GKPORT= (port du contrôleur d'accès) MACHINEID= (nom de l'ordin
msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/" HIDESYSTRAYICON="1" HIDEOVERLAYICONS="1" REMARQUE : Il est possible que quelques anciens clients nécessitent des caractères d'échappement \" autour des valeurs de paramètres. Par exemple : DDPE_XXbit_setup.exe /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SER
Paramètres Description fw=Client Firewall wc=Web Protection REMARQUE : Les trois modules doivent être installés. • remplacer "hips" Ne pas installer Host Intrusion Prevention INSTALLDIR= Emplacement d'installation autre que par défaut /nocontentupdate Avertit le programme d'installation de ne pas mettre à jour le contenu des fichiers automatiquement au cours du processus d'installation. Dell recommande la planification d'une mise à jour dès que l'installation est terminée.
Ensuite : \Dell Threat Protection\ThreatProtection\WinXXR • L'exemple suivant correspond à l'installation du client à l'aide de paramètres par défaut (supprimer le redémarrage, pas de boîte de dialogue, pas de barre de progression, pas d'entrée dans la liste des programmes du panneau de configuration). "Dell Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi" /qn REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1 \Dell Threat Protection\SDK • L'exemple suivant permet d'installer le SDK Threat Pro
• L'exemple suivant installe SED géré à distance (installation silencieuse, pas de redémarrage, aucune entrée dans la liste Programmes du Panneau de configuration, installation à l'emplacement par défaut de C:\Program Files\Dell\Dell Data Protection). EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 / norestart /qn" Ensuite : \Security Tools\Authentication • L'exemple suiva
• L'exemple suivant correspond à l'installation de BitLocker Manager avec SED (installation silencieuse, pas de redémarrage, pas d'entrée dans la liste des Programmes du panneau de configuration, installation à l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection). EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.
7 Désinstaller à l'aide des programme d'installation enfants • Pour désinstaller chaque client individuellement, les fichiers exécutables enfants doivent d'abord être extraits du programme d'installation principal ESS , tel qu'illustré dans Extraction des programmes d'installation enfants à partir du programme d'installation principal ESS. Sinon, exécutez une installation administrative pour extraire le fichier .msi.
Option Signification /qb- Boîte de dialogue de progression avec bouton Annuler: redémarre automatiquement à la fin du processus /qb! Boîte de dialogue de progression sans bouton Annuler : vous invite à effectuer un redémarrage /qb!- Boîte de dialogue de progression sans le bouton Annuler, redémarre automatiquement une fois le processus terminé /qn Pas d'interface utilisateur Désinstallation des clients Threat Protection Désinstallation de ligne de commande • Après son extraction du programme d'in
Processus • Avant de lancer la désinstallation, voir (Facultatif) Créer un fichier journal de Encryption Removal Agent. Ce fichier journal permet de diagnostiquer les erreurs, si vous rencontrez un problème lors de la désinstallation / du décryptage. Si vous ne souhaitez pas décrypter les fichiers à la désinstallation, il n'est pas nécessaire de créer un fichier journal Encryption Removal Agent.
Paramètre Sélection utilisateur doit être répertorié dans la liste des comptes Key Server, dans l'EE Server. DA_RUNASPWD Mot de passe de l'utilisateur d'exécution FORENSIC_ADMIN Compte administrateur d'analyse approfondie sur le serveur Dell, qui peut être utilisé pour des requêtes d'analyse approfondie, les désinstallations ou les clés. FORENSIC_ADMIN_PWD Mot de passe du compte de l'administrateur d'analyse approfondie.
REMARQUE : Il est possible que quelques anciens clients nécessitent des caractères d'échappement \" autour des valeurs de paramètres. Par exemple : DDPE_XXbit_setup.exe /x /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER= \"server.organization.com\" DA_PORT=\"8050\" SVCPN=\"administrator@organization.com\" DA_RUNAS=\"domain\username\" DA_RUNASPWD=\"password\" /qn" Désinstaller les clients SED et Advanced Authentication • La désactivation de l'authentification avant démarrage requiert une connexion résea
Désinstallez le client SED et les clients Advanced Authentication Désinstallation avec ligne de commande • Après son extraction du programme d'installation principal ESSE , le programme d'installation du client SED est disponible sous C: \extracted\Security Tools\EMAgent_XXbit_setup.exe. • Après son extraction du programme d'installation principal ESS , le programme d'installation du client SED se trouve sous C:\extracted \Security Tools\Authentication\\setup.exe.
8 Scénarios couramment utilisés • Pour installer chaque client individuellement, les fichiers exécutables enfants doivent d'abord être extraits du programme d'installation principal ESS , tel qu'illustré dans Extraire les programmes d'installation enfants à partir du programme d'installation principal ESS. • Le client SED est obligatoire pour Advanced Authentication en v8.x ; c'est la raison pour laquelle il fait partie de la ligne de commande dans les exemples suivants.
• Dirigez les utilisateurs vers les documents suivants et les fichiers d'aide en cas de besoin au moment de l'application : • Pour apprendre à utiliser les fonctions du client Encryption, voir Aide concernant Dell Encrypt. Accédez à l'aide depuis : \Program Files\Dell\Dell Data Protection\Encryption\Help. • Pour apprendre à utiliser les fonctions d'External Media Shield (Bouclier de support externe), voir l'Aide EMS. Accédez à l'aide depuis :\Program Files\Dell\Dell Data Protec
\Threat Protection\SDK • L'exemple suivant permet d'installer le SDK Threat Protection. EnsMgmtSdkInstaller.exe -ProtectProcesses "C:\Program Files\Dell\Dell Data Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >"C:\ProgramData\Dell \Dell Data Protection\Installer Logs\McAfeeSDKInstallerAfterEndPoint.
Ensuite : • L'exemple suivant correspond à l'installation de EMS uniquement (installation silencieuse, pas de redémarrage, installé à l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection). DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https://server.organization.
9 Configuration avant installation pour Mot de passe à usage unique (OTP), SED UEFI et BitLocker Initialiser le module TPM • Vous devez être membre du groupe des administrateurs locaux, ou équivalent. • L'ordinateur doit être pourvu d'un BIOS compatible et d'un TPM. Cette tâche est requise si vous utilisez Mot de passe à usage unique (OTP). • Suivez les instructions sous http://technet.microsoft.com/en-us/library/cc753140.aspx.
REMARQUE : Les ordinateurs ne disposant pas du micrologiciel UEFI n'ont pas besoin de configuration. Désactiver les ROM de l'option Héritée : Assurez-vous que le paramètre Activer les ROM de l'option Héritée est désactivé dans le BIOS. 1 Redémarrez l'ordinateur. 2 Au cours du redémarrage, appuyez sur F12 à plusieurs reprises jusqu'à appeler les paramètres d'amorçage de l'ordinateur UEFI. 3 Appuyez sur la flèche vers le bas, mettez en surbrillance l'option Paramètres du BIOS, puis appuyez sur Entrée.
10 Définir un objet GPO sur le contrôleur de domaine pour activer les droits • Si vos clients vont bénéficier de droits octroyés par DDD (Dell Digital Delivery), suivez les instructions ci-dessous pour définir le GPO sur le contrôleur de domaine, afin d'activer les droits en question (il peut s'agir d'un autre serveur que celui qui exécute EE Server/VE Server). • Le poste de travail doit appartenir à l'unité organisationnelle dans laquelle l'objet GPO est appliqué.
11 Extraction des programmes d'installation enfants du programme d'installation principal ESS • Pour installer chaque client individuellement, vous devez d'abord extraire les fichiers exécutables du programme d'installation. • Le programme d'installation principal ESSE n'est pas un programme de désinstallation principal. Chaque client doit être désinstallé individuellement, avant la désinstallation du programme d'installation principal ESSE .
12 Configurer le Key Server pour procéder à la désinstallation du client Encryption activé par rapport à EE Server • Cette rubrique explique comment configurer les composants requis pour utiliser l'authentification/autorisation Kerberos avec un EE Server. Le VE Server n'utilise pas le Key Server. Key Server est un service qui écoute pour savoir quels clients se connectent à un socket.
3 Naviguez jusqu'à et remplacez la valeur « superadmin » par le nom de l'utilisateur concerné (vous pouvez également laisser la valeur « superadmin »). Le format « superadmin » peut correspondre à n'importe quelle méthode permettant l'authentification sur l'EE Server. Vous pouvez utiliser le nom de compte SAM, l'UPN ou le format domaine\nom d'utilisateur.
Écran des services - Redémarrer le service Key Server 1 Retournez au panneau des Services (Démarrer > Exécuter... > services.msc > OK). 2 Redémarrez le service Key Server. 3 Naviguez jusqu'au fichier log.txt qui se trouve dans le pour vérifier que le service a correctement démarré. 4 Fermez le volet Services.
13 Utiliser l'utilitaire Administrative Download (CMGAd) • Cet utilitaire permet de télécharger un ensemble de matériel clé à l'utilisation d'un ordinateur non connecté à un EE Server/VE Server. • Cet utilitaire utilise l'une des méthodes suivantes pour télécharger un ensemble clé, selon le paramètre de ligne de commande passé à l'application : • Mode d'analyse approfondie : utilisé si -f est passé sur la ligne de commande ou si aucun paramètre de ligne de commande n'est utilisé.
Utiliser l'utilitaire de téléchargement administratif en mode Admin Le mode Admin ne peut pas être utilisé pour l'obtention d'un ensemble de clés depuis un VE Server, car le VE Server n'utilise pas le Key Server. Utiliser le mode Analyse approfondie pour obtenir l'ensemble de clés si le client est activé par rapport à un VE Server. 1 Ouvrez une invite de commande à l'emplacement de CMGAd et saisissez la commande cmgad.exe -a.
14 Dépannage Tous les clients - Dépannage • Les fichiers journaux du programme d'installation principal ESS m sont disponibles sous C:\ProgramData\Dell\Dell Data Protection \Installer. • Windows crée des fichiers journaux d'installation du programme d'installation enfant uniques destinés à l'utilisateur connecté à %temp%, à l'adresse C:\Users\\AppData\Local\Temp.
3 : consigne des informations sur tous les volumes et fichiers à décrypter 5 : consigne des informations de débogage Trouver la version de TSS • La TSS est un composant qui fait interface au TPM (Trusted Platform Module). Pour identifier la version de la TSS, rendez-vous à l'emplacement par défaut : C:\Program Files\Dell\Dell Data Protection\Drivers\TSS\bin > tcsd_win32.exe. Cliquez avec le bouton droit de la souris sur le fichier, puis sélectionnez Propriétés.
2 Accédez à Paramètres d'analyse, puis saisissez le chemin du dossier dans le champ Rechercher un chemin d'accès. Si vous utilisez ce champ, la sélection dans la liste déroulante est ignorée. 3 Si vous ne voulez pas écrire la sortie WSScan dans un fichier, décochez la case Sortie vers un fichier. 4 Si vous le souhaitez, changez le chemin et le nom de fichier par défaut à partir du champ Chemin.
Commutateur Signification -ua- Signale les fichiers non cryptés uniquement, mais utilise toutes les règles utilisateur pour afficher le champ « should ». -uv Signale les fichiers non cryptés qui violent la règle uniquement (Is=No / Should=Y) -uav Signale les fichiers non cryptés qui violent la règle uniquement (Is=No / Should=Y), en utilisant toutes les règles utilisateur.
Sortie Signification Dans l'exemple ci-dessus, « cryptage AES 256 toujours en place » RIJNDAEL 128 RIJNDAEL 256 AES 128 AES 256 3DES Utiliser WSProbe L'utilitaire Probing est destiné à être utilisé avec toutes les versions du client de cryptage, à l'exception des politiques EMS. Utilisez cet utilitaire pour : • • • Analyser ou planifier l'analyse d'un ordinateur crypté. Il respecte votre règle de priorité d'analyse de poste de travail.
Paramètres Paramètre À Chemin d'accès Éventuellement, définissez un chemin particulier sur le périphérique à analyser pour un cryptage/ Décryptage possible. Si vous ne définissez pas de chemin, cet utilitaire analyse tous les dossiers associés aux règles de cryptage. -h Afficher l'aide de la ligne de commande. -f Exécuter le dépannage comme indiqué par Dell ProSupport -u Activer ou réactiver la liste de cryptage des données d'application d'un utilisateur.
Dépannage du client SED Utiliser la règle Code d'accès initial • Cette règle permet la connexion à un ordinateur lorsqu'il est impossible de se connecter au réseau, Cela signifie que EE Server/VE Server/VE Server et AD ne sont pas disponibles. Utilisez la règle Code d'accès initial uniquement en cas de nécessité absolue. Dell ne conseille pas d'utiliser cette méthode pour se connecter.
Créer un fichier journal d'authentification avant démarrage dans une optique de dépannage • Dans certains cas, un fichier journal PBA est nécessaire pour résoudre les problèmes PBA, notamment : • L'icône de connexion réseau ne s'affiche pas, alors que la connectivité réseau fonctionne. Le fichier journal contient des informations DHCP permettant de résoudre le problème. • L'icône de connexion de EE Server/VE Server ne s'affiche pas.
4 Sélectionnez le système d'exploitation de l'ordinateur cible. 5 Développez la catégorie Sécurité. 6 Téléchargez, puis enregistrez les pilotes Dell ControlVault. 7 Téléchargez, puis enregistrez le micrologiciel Dell ControlVault. 8 Copiez les pilotes et le micrologiciel sur les ordinateurs cibles, le cas échéant. Installation du pilote Dell ControlVault Accédez au dossier dans lequel vous avez téléchargé le fichier d'installation du pilote.
: Vous devrez peut-être saisir le mot de passe admin lors d'une mise à niveau à partir d'une version antérieure du micrologiciel. Entrez Broadcom en tant que le mot de passe et cliquez sur Entrée en présence de cette boîte de dialogue. Plusieurs messages d'état s'affichent. 10 Cliquez sur Redémarrer pour terminer la mise à niveau du micrologiciel. La mise à jour des pilotes et du micrologiciel Dell ControlVault est terminée.
Constante/Valeur Description TPM_E_AUDITFAILURE Une opération s'est déroulée correctement, mais son audit a échoué. 0x80280004 TPM_E_CLEAR_DISABLED 0x80280005 TPM_E_DEACTIVATED L'indicateur de désactivation de l'effacement est défini et toutes les opérations de suppression nécessitent à présent un accès physique. Activer le module de plateforme sécurisée (TPM). 0x80280006 TPM_E_DISABLED Activer le module de plateforme sécurisée (TPM).
Constante/Valeur Description TPM_E_NOTSEALED_BLOB Un objet blob crypté n'est pas valide ou n'a pas été créé par ce module TPM. 0x80280013 TPM_E_OWNER_SET Le module TPM a déjà un propriétaire. 0x80280014 TPM_E_RESOURCES 0x80280015 TPM_E_SHORTRANDOM Le module TPM ne dispose pas des ressources suffisantes pour exécuter l'action demandée. Une chaîne aléatoire était trop courte.
Constante/Valeur Description 0x80280021 TPM_E_INVALID_AUTHHANDLE Un handle non valide a été utilisé. 0x80280022 TPM_E_NO_ENDORSEMENT Le module TPM n'a pas de clé EK (Endorsement Key) installée. 0x80280023 TPM_E_INVALID_KEYUSAGE L'utilisation d'une clé n'est pas autorisée. 0x80280024 TPM_E_WRONG_ENTITYTYPE Le type d'entité envoyé n'est pas autorisé.
Constante/Valeur Description TPM_E_AUDITFAIL_UNSUCCESSFUL La construction de l'audit du module de plateforme sécurisée (TPM) a échoué ; la commande sous-jacente renvoyait également un code d'échec. 0x80280030 TPM_E_AUDITFAIL_SUCCESSFUL 0x80280031 TPM_E_NOTRESETABLE 0x80280032 TPM_E_NOTLOCAL La construction de l'audit du module de plateforme sécurisée TPM a échoué et la commande sous-jacente a retourné un succès. Tentative de réinitialisation d'un registre PCR dépourvu de l'attribut réinitialisable.
Constante/Valeur Description TPM_E_PER_NOWRITE Aucune protection d'écriture dans la zone NV. 0x8028003F TPM_E_FAMILYCOUNT La valeur du compteur de familles ne correspond pas. 0x80280040 TPM_E_WRITE_LOCKED Des données ont déjà été écrites dans la zone NV. 0x80280041 TPM_E_BAD_ATTRIBUTES Conflit d'attributs de zone NV. 0x80280042 TPM_E_INVALID_STRUCTURE 0x80280043 TPM_E_KEY_OWNER_CONTROL 0x80280044 TPM_E_BAD_COUNTER L'indicateur et la version de structure ne sont pas valides ou sont incohérents.
Constante/Valeur Description TPM_E_TRANSPORT_NOTEXCLUSIVE Une commande a été exécutée en dehors d'une session de transport exclusive. 0x8028004E TPM_E_OWNER_CONTROL 0x8028004F TPM_E_DAA_RESOURCES 0x80280050 TPM_E_DAA_INPUT_DATA0 0x80280051 TPM_E_DAA_INPUT_DATA1 0x80280052 TPM_E_DAA_ISSUER_SETTINGS Tentative d'enregistrer en contexte une clé dont l'expulsion est contrôlée par le propriétaire. La commande DAA n'a pas de ressources disponibles pour exécuter la commande.
Constante/Valeur Description TPM_E_MA_DESTINATION Destination de migration non authentifiée. 0x8028005D TPM_E_MA_SOURCE Source de migration incorrecte. 0x8028005E TPM_E_MA_AUTHORITY Autorité de migration incorrecte. 0x8028005F TPM_E_PERMANENTEK Tentative de révocation de EK alors qu'EK n'est pas révocable. 0x80280061 TPM_E_BAD_SIGNATURE Signature incorrecte du ticket CMK. 0x80280062 TPM_E_NOCONTEXTSPACE Aucune place dans la liste de contextes pour d'autres contextes.
Constante/Valeur Description TBS_E_INTERNAL_ERROR Une erreur logicielle interne a été détectée. 0x80284001 TBS_E_BAD_PARAMETER Au moins un paramètre d'entrée n'est pas valide. 0x80284002 TBS_E_INVALID_OUTPUT_POINTER Un pointeur de sortie défini est incorrect. 0x80284003 TBS_E_INVALID_CONTEXT 0x80284004 TBS_E_INSUFFICIENT_BUFFER Le handle de contexte défini ne fait pas référence à un contexte valide. Une mémoire tampon de sortie définie est trop petite.
Constante/Valeur Description TBS_E_SERVICE_DISABLED Le service TBS a été désactivé. 0x80284010 TBS_E_NO_EVENT_LOG Aucun journal d'événements TCG disponible.
Constante/Valeur Description 0x80290104 TPMAPI_E_OUT_OF_MEMORY Mémoire insuffisante pour satisfaire la demande. 0x80290105 TPMAPI_E_BUFFER_TOO_SMALL Le tampon spécifié était trop petit. 0x80290106 TPMAPI_E_INTERNAL_ERROR Une erreur interne a été détectée. 0x80290107 TPMAPI_E_ACCESS_DENIED 0x80290108 TPMAPI_E_AUTHORIZATION_FAILED L'appelant ne dispose pas des droits appropriés pour exécuter l'opération demandée Les informations d'autorisation spécifiées étaient inexactes.
Constante/Valeur Description 0x80290113 TPMAPI_E_INVALID_DELEGATE_BLOB 0x80290114 TPMAPI_E_INVALID_CONTEXT_PARAMS Les données en question ne semblent pas correspondre à un objet BLOB de délégation valide. Au moins un paramètre de contexte n'était pas valide. 0x80290115 TPMAPI_E_INVALID_KEY_BLOB 0x80290116 TPMAPI_E_INVALID_PCR_DATA Les données en question ne semblent pas correspondre à un objet BLOB de clé valide. Les données PCR définies n'étaient pas corrects.
Constante/Valeur Description 0x80290203 TBSIMP_E_TPM_ERROR Erreur de communication avec la plateforme sécurisée (TPM). 0x80290204 TBSIMP_E_HASH_BAD_KEY Aucune entrée avec la clé spécifiée n'a été trouvée. 0x80290205 TBSIMP_E_DUPLICATE_VHANDLE Le handle virtuel spécifié correspond à un handle virtuel déjà utilisé. 0x80290206 TBSIMP_E_INVALID_OUTPUT_POINTER 0x80290207 TBSIMP_E_INVALID_PARAMETER La valeur du pointeur vers l'emplacement de handle spécifié était NUL ou incorrecte.
Constante/Valeur Description 0x80290212 TBSIMP_E_RESOURCE_EXPIRED La ressource demandée n'est plus disponible. 0x80290213 TBSIMP_E_INVALID_RESOURCE Le type de ressource ne correspondait pas. 0x80290214 TBSIMP_E_NOTHING_TO_UNLOAD Aucune ressource ne peut être déchargée. 0x80290215 TBSIMP_E_HASH_TABLE_FULL Aucune nouvelle entrée ne peut être ajoutée à la table de hachage.
Constante/Valeur Description TPM_E_PCP_ERROR_MASK Il s’agit d’un masque d’erreurs destiné à convertir les erreurs du fournisseur de cryptage de plateforme en erreurs win.
Constante/Valeur Description PLA_E_TOO_MANY_FOLDERS Impossible de démarrer l'ensemble de collecteurs de données car le nombre de dossiers est trop important. 0x80300045 PLA_E_NO_MIN_DISK 0x80300070 PLA_E_DCS_ALREADY_EXISTS L'espace disque disponible est insuffisant pour lancer l'ensemble de collecteurs de données. Le collecteur de données existe déjà. 0x803000B7 PLA_S_PROPERTY_IGNORED La valeur de propriété sera ignorée. 0x00300100 PLA_E_PROPERTY_CONFLICT Conflit de valeur de propriété.
Constante/Valeur Description PLA_E_REPORT_WAIT_TIMEOUT Le délai d'attente avant que l'outil de génération de rapport se termine a expiré. 0x8030010C PLA_E_NO_DUPLICATES Les doublons ne sont pas autorisés. 0x8030010D PLA_E_EXE_FULL_PATH_REQUIRED 0x8030010E Lorsque vous spécifiez l'exécutable à suivre, vous devez indiquer un chemin d'accès complet vers cet exécutable et pas seulement un nom de fichier. PLA_E_INVALID_SESSION_NAME Le nom de session fourni n'est pas valide.
Constante/Valeur Description FVE_E_WRONG_BOOTMGR Le gestionnaire de démarrage de ce système d’exploitation n’est pas compatible avec le cryptage de lecteur BitLocker. Utilisez l’outil bootrec.exe de l’environnement de récupération Windows pour mettre à jour ou réparer le gestionnaire de démarrage (BOOTMGR).
Constante/Valeur Description FVE_E_FAILED_WRONG_FS Impossible de crypter le disque, car le système de fichiers n'est pas pris en charge. 0x80310013 FVE_E_BAD_PARTITION_SIZE 0x80310014 FVE_E_NOT_SUPPORTED La taille du système de fichiers dépasse celle des partitions dans la table de partitions. Ce disque peut être corrompu ou a peut-être été altéré. Pour l'utiliser avec BitLocker, vous devez reformater la partition. Ce disque ne peut pas être crypté.
Constante/Valeur Description sont désactivés et le lecteur sera automatiquement déverrouillé à l’aide d’une clé non cryptée (claire).
Constante/Valeur Description FVE_E_BOOTABLE_CDDVD Le cryptage de lecteur BitLocker a détecté la présence d’un média de démarrage amovible (CD ou DVD) dans l’ordinateur. Retirez le média, puis redémarrez l’ordinateur avant de configurer BitLocker.
Constante/Valeur Description FVE_E_KEYFILE_NOT_FOUND Impossible de trouver la clé de démarrage ou le mot de passe de récupération BitLocker sur le périphérique USB. Assurez-vous que le périphérique USB correct est connecté à un port USB actif de l’ordinateur, redémarrez l’ordinateur, puis réessayez. Si le problème persiste, demandez au fabricant de l’ordinateur comment mettre à niveau le BIOS.
Constante/Valeur Description FVE_E_FIRMWARE_TYPE_NOT_SUPPORTED Impossible d'activer le cryptage de disque BitLocker sur un disque du système d'exploitation. Contactez le fabricant de l'ordinateur pour obtenir des instructions de mise à niveau du BIOS.
Constante/Valeur Description FVE_E_HIDDEN_VOLUME Le lecteur masqué ne peut pas être crypté.
Constante/Valeur Description FVE_E_POLICY_STARTUP_PIN_KEY_REQUIRED Les paramètres de règle de groupe exigent l'utilisation d'une clé de démarrage et d'un code personnel. Veuillez choisir cette option de démarrage de BitLocker.
Constante/Valeur Description FVE_E_POLICY_USER_CERT_MUST_BE_HW Les paramètres de stratégie de groupe exigent l’utilisation d’un protecteur de clé de type carte à puce avec le cryptage de lecteur BitLocker. 0x80310074 FVE_E_POLICY_USER_CONFIGURE_FDV_AUTOUNLOCK_NOT_ Les paramètres de stratégie de groupe ne permettent pas le ALLOWED déverrouillage automatique des lecteurs de données fixes protégés par BitLocker.
Constante/Valeur Description FVE_E_NON_BITLOCKER_OID L’attribut d’utilisation avancée de la clé du certificat spécifié ne permet pas au certificat spécifié d’être utilisé pour le cryptage de lecteur BitLocker. BitLocker n’exige pas qu’un certificat possède un attribut d’utilisation avancée de la clé. Toutefois, si un tel attribut est configuré, il doit être égal à un identificateur d’objet correspondant à l’identificateur d’objet configuré pour BitLocker.
Constante/Valeur Description FVE_E_NON_BITLOCKER_KU L’attribut d’utilisation de la clé ne permet pas au certificat spécifié d’être utilisé pour le cryptage de lecteur BitLocker. BitLocker n’exige pas qu’un certificat possède un attribut d’utilisation de la clé. Toutefois, si un tel attribut est configuré, il doit avoir la valeur Chiffrement de la clé ou Accord de la clé.
Constante/Valeur Description 0x803100A0 FVE_E_PROTECTOR_CHANGE_PIN_MISMATCH Veuillez enter le code confidentiel correct actuel. 0x803100A1 FVE_E_PROTECTOR_CHANGE_BY_STD_USER_DISALLOWED 0x803100A2 FVE_E_PROTECTOR_CHANGE_MAX_PIN_CHANGE_ATTEMPT S_REACHED 0x803100A3 FVE_E_POLICY_PASSPHRASE_REQUIRES_ASCII 0x803100A4 Vous devez vous connecter avec un compte d'administrateur pour pouvoir changer le code confidentiel ou le mot de passe.
Constante/Valeur Description 0x803100AE FVE_E_EDRIVE_NO_FAILOVER_TO_SW 0x803100AF FVE_E_EDRIVE_BAND_IN_USE 0x803100B0 FVE_E_EDRIVE_DISALLOWED_BY_GP 0x803100B1 FVE_E_EDRIVE_INCOMPATIBLE_VOLUME 0x803100B2 FVE_E_NOT_ALLOWED_TO_UPGRADE_WHILE_CONVERTING 0x803100B3 FVE_E_EDRIVE_DV_NOT_SUPPORTED 0x803100B4 FVE_E_NO_PREBOOT_KEYBOARD_DETECTED 0x803100B5 FVE_E_NO_PREBOOT_KEYBOARD_OR_WINRE_DETECTED 0x803100B6 BitLocker n’a pas rétabli le cryptage au niveau logiciel BitLocker en raison de la stratégie de groupe.
Constante/Valeur Description 0x803100BC FVE_E_SHADOW_COPY_PRESENT 0x803100BD FVE_E_POLICY_INVALID_ENHANCED_BCD_SETTINGS 0x803100BE FVE_E_EDRIVE_INCOMPATIBLE_FIRMWARE 0x803100BF FVE_E_PROTECTOR_CHANGE_MAX_PASSPHRASE_CHANGE_ ATTEMPTS_REACHED 0x803100C0 FVE_E_PASSPHRASE_PROTECTOR_CHANGE_BY_STD_USER_ DISALLOWED 0x803100C1 FVE_E_LIVEID_ACCOUNT_SUSPENDED 0x803100C2 FVE_E_LIVEID_ACCOUNT_BLOCKED 0x803100C3 FVE_E_NOT_PROVISIONED_ON_ALL_VOLUMES 0x803100C4 FVE_E_DE_FIXED_DATA_NOT_SUPPORTED 0x803100C5 FVE_E_DE_HARDW
Constante/Valeur Description 0x803100CA FVE_E_DE_PROTECTION_NOT_YET_ENABLED 0x803100CB FVE_E_INVALID_PIN_CHARS_DETAILED La protection n'a pas été activée sur le volume. L’activation de la protection requiert un compte connecté. Si vous possédez déjà un compte connecté et que vous obtenez cette erreur, référez-vous au journal des événements pour plus d’informations. Votre PIN ne peut contenir que des chiffres allant de 0 à 9.
15 Glossaire Activer : l'activation se produit lorsque l'ordinateur a été inscrit sur Dell Enterprise Server/VE et qu'il a reçu au moins un jeu de règles initial. Active Directory (AD) : service de répertoire créé par Microsoft pour les réseaux de domaine Windows. Advanced Authentication : le produit Advanced Authentication fournit des options totalement intégrées de lecture d'empreintes digitales, de carte à puce et de carte à puce sans contact.
Clés de cryptage : dans la plupart des cas, le client Encryption utilise la clé Utilisateur et deux clés de cryptage supplémentaires. Cependant, il y a des exceptions : toutes les règles SDE et la règle Identifiants Windows sécurisés utilisent la clé SDE. La règle Crypter le fichier de pagination Windows et la règle Fichier de mise en veille prolongée Windows utilisent leur propre clé, la clé General Purpose Key (GPK).
d'empêcher les altérations ou les attaques hors ligne du système d'exploitation. SDE n'est pas conçu pour être utilisé pour les données utilisateur. Les clés de cryptage commun et utilisateur sont destinées aux données utilisateur sensibles, car elles exigent l'utilisation d'un mot de passe pour déverrouiller les clés de cryptage. Les règles SDE ne cryptent pas les fichiers nécessaires au démarrage du système d'exploitation.