Dell Data Protection | Endpoint Security Suite Erweitertes Installationshandbuch Version v1.
Anmerkungen, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen können. VORSICHT: Ein VORSICHTSHINWEIS macht darauf aufmerksam, dass bei Nichtbefolgung von Anweisungen eine Beschädigung der Hardware oder ein Verlust von Daten droht, und zeigt auf, wie derartige Probleme vermieden werden können.
Inhaltsverzeichnis 1 Einleitung....................................................................................................................................................... 6 Vor der Installation............................................................................................................................................................. 6 Verwendung des Handbuchs...........................................................................................................................
Installation durch Befehlszeile mit dem ESS-Master Installationsprogramm............................................................30 5 Deinstallation unter Verwendung des ESS-Master-Installationsprogramms................................................. 32 ESS-Master-Installationsprogramm deinstallieren....................................................................................................... 32 Deinstallation über die Befehlszeile...............................................................
12 Konfiguration des Key Servers für die Deinstallation des auf einem EE-Server aktivierten EncryptionClients............................................................................................................................................................ 55 Dialogfeld „Dienste" - Domänenbenutzerkonto hinzufügen....................................................................................... 55 Schlüsselserver-Konfigurationsdatei - Fügen Sie Benutzer für EE-Server-Kommunikation hinzu........
1 Einleitung Dieses Handbuch beschreibt die Installation und Konfiguration von Threat Prevention, des Encryption-Clients, SED-Management-Clients, Advanced Authentication und BitLocker Manager. Alle Richtlinieninformationen und deren Beschreibungen finden Sie in der AdminHelp. Vor der Installation 1 Installieren Sie den EE-Server/VE-Server, bevor Sie die Clients bereitstellen.
• • Threat Protection-Clients installieren - Folgen Sie diesen Anweisungen, um die Threat Protection-Clients zu installieren, die sich aus folgenden richtlinienbasierten Threat Protection-Funktionen zusammensetzen: • Malware-Schutz – Sucht nach Viren, Spyware, unerwünschten Programmen und anderen Bedrohungen, indem Objekte automatisch überprüft werden, wenn der Benutzer darauf zugreift, bzw. immer dann, wenn eine solche Überprüfung angefordert wird.
2 Anforderungen Alle Clients Diese Anforderungen gelten für alle Clients. Anforderungen, die in anderen Abschnitten aufgeführt sind, gelten für bestimmte Clients. • Bei der Implementierung sind die bewährten IT-Verfahren zu beachten. Dazu zählen u. a. geregelte Testumgebungen für die anfänglichen Tests und die stufenweise Bereitstellung für Benutzer.
Alle Clients - Hardware • Die folgende Tabelle enthält Informationen zur unterstützten Computer-Hardware. Hardware • Die Mindestanforderungen für die Hardware müssen den Mindestspezifikationen des Betriebssystems entsprechen. Alle Clients - Sprachunterstützung • Die Encryption-, Threat Protection-, und BitLocker Manager-Clients sind Multilingual User Interface (MUI)-konform und unterstützen die folgenden Sprachen.
des Encryption-Clients zu verwenden. Eine Anleitung zur Installation des Encryption-Clients in einem Image des Unternehmens finden Sie unter http://www.dell.com/support/article/us/en/19/SLN304039. • Der Encryption-Client wurde getestet und ist kompatibel mit McAfee, dem Symantec-Client, Kaspersky und MalwareBytes. Für diese Anbieter von Virenschutzsoftware wurden hartkodierte Ausschlüsse implementiert, um Inkompatibilitäten zwischen Virenschutzprüfung und Verschlüsselung zu verhindern.
Windows-Betriebssysteme (32-Bit und 64-Bit) ANMERKUNG: Der UEFI-Modus wird auf Windows 7, Windows Embedded Standard 7 und Windows Embedded 8.1 Industry Enterprise nicht unterstützt. Externes Medien-Shield (EMS)-Betriebssysteme • Die folgende Tabelle enthält Informationen zu den unterstützten Betriebssystemen für den Zugriff auf Medien, die von EMS geschützt werden.
Windows-Betriebssysteme (32-Bit und 64-Bit) • Windows 10: Education, Enterprise, Pro Threat Protection-Client-Ports • Um zu gewährleisten, dass die Threat Protection-Clients mit die aktuellsten Threat Protection-Aktualisierungen versorgt werden, müssen die Ports 443 und 80 auf dem Client verfügbar sein, damit er mit den verschiedenen Zielservern kommunizieren kann. Sollten die Ports gesperrt sein, können Aktualisierungen der Anti-Virus-Definitionen (DAT-Dateien) nicht heruntergeladen werden.
• Wenn der zu verschlüsselnde Computer über ein selbstverschlüsselndes Laufwerk verfügt, muss in Active Directory die Option Benutzer muss das Kennwort bei der nächsten Anmeldung ändern deaktiviert sein. Die Preboot-Authentifizierung bietet keine Unterstützung für diese Active Directory-Option. • Dell empfiehlt, die Authentifizierungsmethode nicht mehr zu ändern, nachdem die PBA aktiviert worden ist.
Dell-Computermodelle – UEFI-Unterstützung: • • • • • • • • • • • • • • • • • • • • • Latitude 7370 Latitude E5270 Latitude E5470 Latitude E5570 Latitude E7240 Latitude E7250 Latitude E7260 Latitude E7265 Latitude E7270 Latitude E7275 Latitude E7280 Latitude E7350 Latitude E7440 Latitude E7450 Latitude E7460 Latitude E7470 Latitude E7480 Latitude 12 Rugged Extreme Latitude 12 Rugged Tablet (Modell 7202) Latitude 14 Rugged Extreme Latitude 14 Rugged • • • • • • • • • Precision M5520 Precision M6800 Precisi
Windows-Betriebssysteme (32-Bit und 64-Bit) • Windows 7 SP0-SP1: Enterprise, Professional (unterstützt mit Legacy Boot-Modus aber nicht UEFI) ANMERKUNG: Legacy Boot-Modus wird auf Windows 7 unterstützt. UEFI wird auf Windows 7 nicht unterstützt. • • • Windows 8: Enterprise, Pro Windows 8.
Dell-Computermodelle – Class B/SIPR Net Card-Unterstützung • • Latitude E6440 Latitude E6540 • • • Precision M2800 Precision M4800 Precision M6800 • • • Latitude 14 Rugged Extreme Latitude 12 Rugged Extreme Latitude 14 Rugged Advanced Authentication Client - Betriebssysteme Windows-Betriebssysteme • In der folgenden Tabelle sind die unterstützten Betriebssysteme aufgeführt.
für BitLocker-verschlüsselte Clients, da Microsoft seinen Kunden mittlerweile empfiehlt, die FIPS-validierte Verschlüsselung nicht zu verwenden, da vermehrt Probleme mit der Anwendungskompatibilität, Wiederherstellung und Medienverschlüsselung aufgetreten sind: http://blogs.technet.com.
Ohne UEFI PBA Passwort Fingerab druck Windows-Authentifizierung KontaktSmartCard OTP SIPRKarte Passwort Fingerab druck Smart Card OTP SIPRKarte Windows 8.1 Update 0-1 X X2 X2 X1 X2 Windows 10 X X2 X2 X1 X2 1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der untergeordneten Installationsprogramme installiert. 2. Verfügbar, wenn die Authentifizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden.
Ohne UEFI PBA Passwort Fingerab druck Windows-Authentifizierung KontaktSmartCard OTP SIPRKarte Passwort Fingerab druck Smart Card OTP SIPRKarte Smart Card OTP SIPRKarte 2. Verfügbar, wenn die Authentifizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden. 3. Verfügbar mit einer unterstützten OPAL-SED.
UEFI PBA5 – auf unterstützten Dell Computern Passwort Fingerab druck KontaktSmartCard OTP Windows-Authentifizierung SIPRKarte Passwort Fingerab druck Smart Card OTP SIPRKarte Windows 7 Windows 8 X X2 X2 X1 X2 Windows 8,1 X X2 X2 X1 X2 Windows 10 X X2 X2 X1 X2 Windows Server 2008 R2 64-Bit X X2 1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der untergeordneten Installationsprogramme installiert. 2.
3 Registrierungseinstellungen • In diesem Abschnitt werden alle vom Dell ProSupport genehmigten Registrierungseinstellungen für lokale Client-Computer beschrieben, unabhängig vom Grund für Registrierungseinstellung. Falls eine Registrierungeinstellung für zwei Produkte gilt, wird sie in beiden Kategorien aufgeführt. • Diese Registrierungsänderungen sollten nur von Administratoren ausgeführt werden und sind möglicherweise nicht für alle Szenarios geeignet oder funktionieren nicht in allen Szenarios.
• Standardmäßig wird das Taskleistensymbol während der Installation angezeigt. Verwenden Sie die folgenden Registrierungseinstellungen , um das Taskleistensymbol für alle verwalteten Benutzer nach der ursprünglichen Installation auf einem Computer auszublenden. Erstellen oder ändern Sie die Registrierungseinstellungen wie folgt: [HKLM\Software\CREDANT\CMGShield] "HIDESYSTRAYICON"=dword:1 • Standardmäßig werden alle temporären Dateien im Verzeichnis C:\Windows\Temp während der Installation automatisch gel
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "OnlySendInvChanges"=REG_DWORD:1 Wenn kein Eintrag vorhanden ist, werden optimierte Bestandsinformationen an den EE-Server/VE-Server gesendet. • Senden vollständiger Bestandsinformationen an den EE-Server/VE-Server: Erstellen oder ändern Sie die Registrierungseinstellungen wie folgt: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "OnlySendInvChanges"=REG_DWORD:0 Wenn kein Eintrag vorhanden ist, werden optimierte
Die Standardeinstellung ist 0,86400. Für eine Wiederholung nach sieben Stunden stellen Sie 0,25200 ein. CALREPEAT wird aktiviert, sobald sich ein Benutzer anmeldet. • [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\MissThreshold] Die Anzahl der Aktivierungszeitfenster, die verpasst werden können, bevor der Computer bei der nächsten Anmeldung des Benutzers, dessen Aktivierung eingeplant wurde, eine Aktivierung durchführt.
Weitere Informationen über SDUser finden Sie unter www.dell.com/support/article/us/en/19/SLN304916. • Stellen Sie den Registrierungseintrag EnableNGMetadata ein, wenn Probleme im Zusammenhang mit Microsoft-Updates auf Computern mit gemeinsamen mittels Schlüssel verschlüsselten Daten oder mit der Verschlüsselung, der Entschlüsselung oder dem Entpacken einer großen Anzahl von Dateien in einem Ordner auftreten. Stellen Sie den Registrierungseintrag EnableNGMetadata an folgendem Pfad ein: [HKEY_LOCAL_MACHINE\S
SED-Client – Registrierungseinstellungen • Fügen Sie den folgenden Registrierungswert hinzu, um das Wiederholungsintervall festzulegen, wenn der EE-Server/VE-Server nicht mit dem SED-Client kommunizieren kann. [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] „CommErrorSleepSecs“=dword:300 Dieser Wert steht für die Anzahl der Sekunden, die der SED-Client abwartet, bis er erneut versucht, den EE-Server/VE-Server zu kontaktieren, wenn dieser nicht mit dem SED-Client kommunizieren kann.
Dieser Wert steht für die Anzahl der Sekunden, die der SED-Client abwartet, bis er erneut versucht, den EE-Server/VE-Server zu kontaktieren, wenn dieser nicht mit dem SED-Client kommunizieren kann. Der Standardwert lautet 300 Sekunden (5 Minuten). • Bei der Erstinstallation wird der Standort des Security Server-Hosts festgelegt. Diesen können Sie bei Bedarf ändern. Die Hostinformationen werden bei jeder Richtlinienänderung durch den Client-Computer gelesen.
• Um Smart Cards mit der SED-Preboot-Authentifizierung zu verwenden, muss der folgende Registrierungswert auf dem mit SED ausgestatteten Client-Computer eingestellt sein. [HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards] "MSSmartcardSupport"=dword:1 Setzen Sie in der Remote Management Console die Richtlinie für die Authentifizierungsmethode auf Smart Card, und bestätigen Sie die Änderung.
4 Installation unter Verwendung des ESS-MasterInstallationsprogramms • Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten. • Um die Installation unter Verwendung nicht standardmäßiger Ports durchzuführen, verwenden Sie untergeordnete Installationsprogramme anstelle des ESS-Master-Installationsprogramms. • Die Protokolldateien des ESSmaster-Installationsprogramms befinden sich unter C:\ProgramData\Dell\Dell Data Protection\Installer.
autet das Format wie folgt: https://server.organization.com:8443/xapi/ (einschließlich des nachfolgenden Schrägstrichs). Klicken Sie auf Weiter. 6 Klicken Sie auf Weiter, um die Produkte im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection\. zu speichern. Dell recommends installing in the default location only, da bei der Installation an anderen Speicherorten Probleme auftreten könnten. 7 Wählen Sie die zu installierenden Komponenten aus.
Parameter • In der folgenden Tabelle werden die Parameter beschrieben, die mit dem ESS-Master-Installationsprogramm verwendet werden können. Das ESS-Master-Installationsprogramm kann keine einzelnen Komponenten ausschließen, aber kann Befehle empfangen, um anzugeben, welche Komponenten installiert werden sollen. Parameter Beschreibung SUPPRESSREBOOT Unterbindet nach Abschluss der Installation den automatischen Neustart. Kann im HINTERGRUND-Modus verwendet werden.
5 Deinstallation unter Verwendung des ESSMaster-Installationsprogramms • Jede Komponente muss einzeln deinstalliert werden, gefolgt von der Deinstallation des ESS-Master-Installationsprogramms. Die Clients müssen in einer bestimmten Reihenfolge deinstalliert werden, um Fehler bei der Deinstallation zu vermeiden. • Folgen Sie den Anweisungen unter Untergeordnete Installationsprogramme aus dem ESS-Master-Installationsprogramm zum Abrufen von untergeordneten Installationsprogrammen.
6 Installation unter Verwendung der untergeordneten Installationsprogramme • Um jeden einzelnen Client separat zu installieren, müssen die untergeordneten ausführbaren Dateien aus dem ESS -Master Installationsprogramm extrahiert werden, wie in Extrahieren der untergeordneten Installationsprogramme aus dem ESS-Master Installationsprogramm gezeigt. • Bei in diesem Abschnitt enthaltenen Befehlsbeispielen wird davon ausgegangen, dass die Befehle von C:\extracted ausgeführt werden.
• Option Erläuterung /q Kein Fortschrittsdialogfeld, führt nach Abschluss der Installation selbstständig einen Neustart durch /qb Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, fordert zum Neustart auf /qb- Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, führt nach Abschluss des Vorgangs selbstständig einen Neustart durch /qb! Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, fordert zum Neustart auf /qb!- Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, führt nach Ab
Installation über die Befehlszeile • Die folgende Tabelle umfasst die für die Installation verfügbaren Parameter.
• Im folgenden Beispiel werden der Encryption-Client und die Option „Für Freigabe verschlüsseln“ installiert, das DDP-Taskleistensymbol und die Overlay-Symbole werden ausgeblendet, es gibt keine Dialogfelder, keine Statusanzeige und keinen Neustart, und die Installation erfolgt im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection.. DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.
• Parameter Beschreibung LoadCert Lädt das Zertifikat am angegebenen Verzeichnis. Die folgende Tabelle enthält die für die Datei setupEP.exe erforderlichen Parameter. Parameter Beschreibung ADDLOCAL="tp,fw,wc" Identifiziert die zu installierenden Module: tp=Threat Protection fw=Client-Firewall wc=Web-Schutz ANMERKUNG: Alle drei Module müssen installiert werden. • override "hips" Installation von Host Intrusion Prevention nicht durchführen.
Dann: \Dell Threat Protection\EndPointSecurity • Im folgenden Beispiel werden Threat Protection, Web Protection und Client Firewall mit Standard-Parametern (Hintergrundmodus, Installation von Threat Protection, Client Firewall und Web Protection, Überschreiben der Host Intrusion Prevention, keine Inhaltsaktualisierung, keine Speicherung der Einstellungen) installiert. "Dell Threat Protection\EndPointSecurity\EPsetup.exe" ADDLOCAL="tp,fw,wc" /override"hips" / nocontentupdate /nopreservesettings /qn Dann: \D
Parameter SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 Eine Liste der grundlegenden .msi-Schalter und Anzeigeoptionen, die in Befehlszeilen verwendet werden können, finden Sie unter Installation unter Verwendung der untergeordneten Installationsprogramme. Beispiel für eine Befehlszeile \Security Tools • Im folgenden Beispiel wird ein remote verwaltetes SED installiert (automatische Installation, kein Neustart, kein Eintrag in der Liste der Pr
Parameter FEATURE=BLM,SED ARPSYSTEMCOMPONENT=1 Eine Liste der grundlegenden .msi-Schalter und Anzeigeoptionen, die in Befehlszeilen verwendet werden können, finden Sie unter Installation unter Verwendung der untergeordneten Installationsprogramme.
7 Deinstallation unter Verwendung der untergeordneten Installationsprogramme • Um jeden Client einzeln zu deinstallieren, müssen die untergeordneten ausführbaren Dateien zuerst aus dem ESS -MasterInstallationsprogramm extrahiert werden, wie unter Extrahieren der untergeordneten Installationsprogramme aus dem ESS-MasterInstallationsprogramm angezeigt. Führen Sie alternativ dazu eine administrative Installation zum Extrahieren der .msi aus.
Option Erläuterung /q Kein Fortschrittsdialogfeld, führt nach Abschluss der Installation selbstständig einen Neustart durch /qb Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, fordert zum Neustart auf /qb- Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, führt nach Abschluss des Vorgangs selbstständig einen Neustart durch /qb! Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, fordert zum Neustart auf /qb!- Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, führt nach Absch
Verfahren • Vor der Deinstallation finden Sie weitere Informationen unter (Optional) Encryption Removal Agent-Protokolldatei anlegen. Diese Protokolldatei erleichtert das Beheben von Fehlern, die unter Umständen beim Deinstallieren/Entschlüsseln auftreten. Falls Sie Dateien während der Deinstallation nicht entschlüsseln möchten, müssen Sie keine Encryption Removal Agent-Protokolldatei anlegen.
Parameter Auswahl DA_RUNASPWD Passwort für den RUNAS-Benutzer. FORENSIC_ADMIN Das forensische Administratorkonto auf dem Dell Server, das für forensische Anfragen für Deinstallationen oder Schlüssel verwendet werden kann. FORENSIC_ADMIN_PWD Das Passwort für das Konto „Forensischer Administrator“. Optionale Eigenschaften • SVCLOGONUN Benutzername im UPN-Format zur Anmeldung beim Encryption Removal Agent-Dienst als Parameter. SVCLOGONPWD Passwort für die Anmeldung als Benutzer.
Deinstallation der SED- und Advanced AuthenticationClients • Zur PBA-Deaktivierung muss eine Netzwerkverbindung zum EE-Server/VE-Server bestehen. Verfahren • Deaktivieren Sie die PBA; dabei werden alle PBA-Daten vom Computer entfernt und die SED-Schlüssel entsperrt. • Deinstallieren Sie den SED-Client. • Deinstallieren Sie den Advanced Authentication-Client. PBA deaktivieren 1 Melden Sie sich als Dell Administrator bei der Remote Management Console an.
Wenn Sie fertig sind, fahren Sie den Computer herunter und starten Sie ihn neu. Dann: • Im folgenden Beispiel wird der Advanced Authentication-Client im Hintergrund deinstalliert. setup.exe /x /s /v" /qn" Wenn Sie fertig sind, fahren Sie den Computer herunter und starten Sie ihn neu. Deinstallation des BitLocker Manager-Clients Deinstallation über die Befehlszeile • Nach der Extraktion aus dem ESS-Master-Installationsprogramm befindet sich das BitLocker-Installationsprogramm unter C:\extracted \Security
8 Gängige Szenarien • Um jeden einzelnen Client separat zu installieren, müssen die untergeordneten ausführbaren Dateien aus dem ESS -Master Installationsprogramm extrahiert werden, wie in Extrahieren der untergeordneten Installationsprogramme aus dem ESS-Master Installationsprogramm gezeigt. • Da der SED-Client für Advanced Authentication in v8.x erforderlich ist, ist er in den nachfolgenden Beispielen Bestandteil der Befehlszeile.
• Option Erläuterung /qn Keine Benutzeroberfläche Weisen Sie die Benutzer an, sich mit dem folgenden Dokument und den Hilfedateien vertraut zu machen, um Unterstützung bei der Anwendung zu erhalten: • Informationen zur Verwendung der Funktionen von Encryption-Client finden Sie im Hilfedokument Dell Encrypt Help. Hier können Sie auf die Hilfe zugreifen: :\Program Files\Dell\Dell Data Protection\Encryption\Help.
\Threat Protection\ThreatProtection\WinXXR • Im folgenden Beispiel wird der Client mit den Standard-Parametern installiert (Unterdrückung des Neustarts, keine Dialogfelder, keine Fortschrittsleiste, kein Eintrag in die Liste der Programme in der Systemsteuerung). "DellThreatProtection.msi" /qn REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1 \Threat Protection\SDK • Im folgenden Beispiel wird der Threat Protection-SDK deinstalliert. EnsMgmtSdkInstaller.exe -ProtectProcesses "C:\Program Files\Dell\Dell Data Pro
Dann: • Im folgenden Beispiel wird Advanced Authentication installiert (Installation im Hintergrund, kein Neustart, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection\Authentication). setup.exe /s /v"/norestart /qn ARPSYSTEMCOMPONENT=1" Dann: • Im folgenden Beispiel wird nur EME installiert (Installation im Hintergrund, kein Neustart, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection). DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.
9 Vorinstallationskonfiguration für Einmalpasswort, SED-UEFI und BitLocker TPM initialisieren • Für diesen Vorgang müssen Sie Mitglied der lokalen Administratorgruppe oder dergleichen sein. • Der Computer muss mit einem kompatiblen BIOS und TPM ausgestattet sein. Diese Aufgabe ist bei der Verwendung von Einmalpasswort erforderlich. • Folgen Sie den Anweisungen unter http://technet.microsoft.com/en-us/library/cc753140.aspx.
Deaktivierung von Legacy-Option-ROMs Stellen Sie sicher, dass die Einstellung Legacy-Option-ROMs aktivieren im BIOS deaktiviert wurde. 1 Starten Sie den Computer neu. 2 Drücken Sie während des Neustarts wiederholt F12, um die Start-Einstellungen des UEFI-Computers aufzurufen. 3 Drücken Sie die Taste mit dem Pfeil nach unten, markieren Sie die Option BIOS-Einstellungen, und drücken Sie die Eingabetaste. 4 Wählen Sie Einstellungen > Allgemein > Erweiterte Startoptionen.
10 Gruppenrichtlinienobjekte am Domänencontroller zum Aktivieren von Berechtigungen einrichten • Wenn Sie für Ihre Clients Berechtigungen für Dell Digital Delivery (DDD) festlegen möchten, folgen Sie den Anweisungen zum Einrichten eines Gruppenrichtlinienobjekts (GPO) auf dem Domänencontroller (das muss nicht der Server sein, auf dem der EEServer/VE-Server ausgeführt wird), um diese Berechtigungen zu aktivieren.
11 Untergeordnete Installationsprogramme aus dem ESS-Master-Installationsprogramm extrahieren • Zur Einzelinstallation der Clients müssen zunächst die untergeordneten ausführbaren Dateien aus dem Installationsprogramm extrahiert werden. • Das ESS-Master-Installationsprogramm ist kein Master-Deinstallationsprogramm. Jeder Client muss einzeln deinstalliert werden, gefolgt von der Deinstallation des ESS-Master-Installationsprogramms.
12 Konfiguration des Key Servers für die Deinstallation des auf einem EE-Server aktivierten Encryption-Clients • In diesem Abschnitt wird beschrieben, wie Komponenten für die Verwendung mit der Kerberos-Authentifizierung/-Autorisierung bei Verwendung eines EE-Servers konfiguriert werden. Der VE-Server verwendet den Key Server nicht. Der Key Server ist ein Dienst, der überwacht, ob Clients eine Verbindung über ein Socket herstellen.
Das Format von „superadmin“ kann eine beliebige Methode für die Authentifizierung am EE-Server darstellen. Der SAM-Kontoname, der UPN oder das Format „Domäne\Benutzername“ sind akzeptabel. Jede Methode, die sich beim Server authentifizieren kann, ist akzeptabel, da für dieses Benutzerkonto eine Überprüfung zur Autorisierung bei Active Directory erforderlich ist.
Dialogfeld „Dienste“ - Key Server-Dienst neu starten 1 Gehen Sie zurück zum Dialogfeld „Dienste“ (Start > Ausführen... > services.msc > OK). 2 Führen Sie einen Neustart des Key Server-Dienstes durch. 3 Navigieren Sie zu „ log.txt“, um zu überprüfen, ob der Dienst korrekt gestartet wurde. 4 Schließen Sie das Dialogfeld „Dienste“.
13 Verwenden Sie das administrative Dienstprogramm zum Herunterladen (CMGAd) • Mit diesem Dienstprogramm können Sie Schlüsseldatenpakete zur Verwendung auf einem Computer herunterladen, der nicht mit einem EE-Server/VE-Server verbunden ist.
Verwenden des Administrator-DownloadDienstprogramms im Admin-Modus Der VE-Server verwendet den Key Server nicht, d. h. im Admin-Modus kann kein Schlüsselpaket über den VE-Server abgerufen werden. Verwenden Sie den forensischen Modus, um das Schlüsselpaket zu erhalten, wenn der Client auf einem VE-Server aktiviert ist. 1 Öffnen Sie am Speicherort von CMGAd eine Befehlseingabe, und geben Sie cmgad.exe -a ein.
14 Fehlerbehebung Alle Clients – Fehlerbehebung • Die Protokolldateien des ESS master-Installationsprogramms befinden sich unter C:\ProgramData\Dell\Dell Data Protection\Installer. • Windows erstellt für den angemeldeten Benutzer eindeutige Installationsprotokolldateien des untergeordneten Installationsprogramms im Verzeichnis „%temp%“ unter C:\Users\\AppData\Local\Temp. • Windows erstellt Protokolldateien für Client-Voraussetzungen, z. B.
3: Protokolliert Informationen über alle zu entschlüsselnden Datenträger und Dateien 5: Protokolliert Informationen zum Debuggen TSS-Version suchen • TSS ist eine Komponente, die als Schnittstelle zu TPM fungiert. Zur Ermittlung der TSS-Version wechseln Sie zu C:\Program Files\Dell \Dell Data Protection\Drivers\TSS\bin > tcsd_win32.exe (Standardspeicherort). Klicken Sie mit der rechten Maustaste auf die Datei, und wählen Sie Eigenschaften aus. Überprüfen Sie die Dateiversion auf der Registerkarte Details.
1 Klicken Sie auf Erweitert, um zur Ansicht Einfach zu wechseln und einen bestimmten Ordner zu durchsuchen. 2 Wechseln Sie zu „Sucheinstellungen“, und geben Sie im Feld Suchpfad den Ordnerpfad ein. Wenn Sie dieses Feld verwenden, wird die Auswahl im Drop-Down-Feld ignoriert. 3 Falls die Ausgabe des Suchdienstprogramms „WSScan“ nicht in einer Datei gespeichert werden soll, deaktivieren Sie das Kontrollkästchen Ausgabe in Datei. 4 Ändern Sie unter Pfad ggf. den Standardpfad und den Standarddateinamen.
Schalter Erläuterung -ua Auch Berichte über unverschlüsselte Dateien erstellen, aber Richtlinien für alle Benutzer anwenden, um das Feld zur Verschlüsselung anzuzeigen. -ua- Berichte nur über unverschlüsselte Dateien erstellen, aber Richtlinien für alle Benutzer anwenden, um das Feld zur Verschlüsselung anzuzeigen. -uv Berichte nur über unverschlüsselte Dateien erstellen, die die Richtlinie verletzen, d. h. Status = Nein, Verschlüsselung = Ja.
Ausgabe Erläuterung Wie im Beispiel oben angezeigt, „c:\temp\Dell - test.log“ Algorithmus Im Folgenden finden Sie den für die Verschlüsselung der Datei verwendeten Verschlüsselungsalgorithmus. Im Beispiel oben „is still AES256 encrypted“ Rijndael 128 Rijndael 256 AES 128 AES 256 3DES Verwenden von WSProbe Das Suchdienstprogramm ist zur Verwendung mit allen Versionen von Encryption-Client vorgesehen, außer EMS-Richtlinien.
wsprobe [-h] wsprobe [-f path] wsprobe [-u n] [-x process_names] [-i process_names] Parameter Parameter Um die SSL/TLS-Vertrauensprüfung für BitLocker Manager zu Pfad Gibt optional einen bestimmten Pfad auf dem Gerät an, den Sie auf mögliche Verschlüsselung/ Entschlüsselung durchsuchen möchten. Wenn kein Pfad angegeben wird, durchsucht dieses Dienstprogramm alle Ordner, auf die sich Ihre Verschlüsselungsrichtlinien beziehen. -h Zeigt die Befehlszeilenhilfe an.
• • Die Dateien waren zur Verschlüsselung markiert. • Während der Entschlüsselungssuche trat ein Fehler auf. • In sämtlichen Fällen wird eine Protokolldatei erstellt, sofern mindestens LogVerbosity=2 eingestellt ist (und die Protokollierung aktiviert wurde). Zur Fehlerbehebung sollten Sie die Ausführlichkeitsstufe auf 2 einstellen (LogVerbosity=2) und den Encryption Removal Agent-Dienst neu starten, um eine weitere Entschlüsselungssuche zu erzwingen.
12 Klicken Sie auf Anmelden, wenn der Bildschirm „Rechtshinweise“ angezeigt wird. Windows wird gestartet, und der Computer kann wie gewohnt verwendet werden. PBA-Protokolldatei für die Fehlerbehebung erstellen • Zur Behebung von PBA-Fehlern ist u. U. eine PBA-Protokolldatei erforderlich, beispielsweise in den folgenden Fällen: • Das Symbol der Netzwerkverbindung wird nicht angezeigt, obwohl Sie sicher sind, dass eine Netzwerkverbindung besteht.
3 Wählen Sie Treiber & Downloads. 4 Wählen Sie das auf dem Zielcomputer ausgeführte Betriebssystem aus. 5 Erweitern Sie die Kategorie Sicherheit. 6 Laden Sie die Dell ControlVault-Treiber herunter, und speichern Sie sie. 7 Laden Sie die Dell ControlVault-Firmware herunter, und speichern Sie sie. 8 Kopieren Sie die Treiber und die Firmware bei Bedarf auf die Zielcomputer. Installieren des Dell ControlVault-Treibers Gehen Sie zu dem Ordner, in den Sie die Treiberinstallationsdatei abgelegt haben.
: Sie werden möglicherweise dazu aufgefordert, das Administratorkennwort einzugeben, wenn Sie ein Upgrade von einer älteren Firmware-Version durchführen. Geben Sie Broadcom als Kennwort ein, und klicken Sie auf Eingabe, wenn diese Option im Dialogfeld angezeigt wird. Es werden nun verschiedene Statusmeldungen angezeigt. 10 Klicken Sie auf Neu starten, um das Firmware-Upgrade abzuschließen. Die Aktualisierung der Treiber und der Firmware für Dell ControlVault ist damit abgeschlossen.
Konstante/Wert Beschreibung TPM_E_AUDITFAILURE Ein Vorgang wurde erfolgreich abgeschlossen, aber beim Überwachen des Vorgangs ist ein Fehler aufgetreten. 0x80280004 TPM_E_CLEAR_DISABLED 0x80280005 TPM_E_DEACTIVATED Das Flag zum Deaktivieren des Löschens ist gesetzt, und für alle Löschvorgänge ist jetzt ein physikalischer Zugriff erforderlich. Aktivieren Sie das TPM. 0x80280006 TPM_E_DISABLED Aktivieren Sie das TPM. 0x80280007 TPM_E_DISABLED_CMD Der Zielbefehl wurde deaktiviert.
Konstante/Wert Beschreibung TPM_E_NOTSEALED_BLOB Ein verschlüsseltes BLOB ist ungültig oder wurde nicht mit diesem TPM erstellt. 0x80280013 TPM_E_OWNER_SET Das TPM verfügt bereits über einen Besitzer. 0x80280014 TPM_E_RESOURCES 0x80280015 TPM_E_SHORTRANDOM Das TPM verfügt nicht über ausreichend interne Ressourcen, um die angeforderte Aktion auszuführen. Eine zufällige Zeichenfolge war zu kurz.
Konstante/Wert Beschreibung TPM_E_INVALID_AUTHHANDLE Ein ungültiges Handle wurde verwendet. 0x80280022 TPM_E_NO_ENDORSEMENT Für das TPM ist kein Endorsement Key (EK) installiert. 0x80280023 TPM_E_INVALID_KEYUSAGE Die Verwendung eines Schlüssels ist unzulässig. 0x80280024 TPM_E_WRONG_ENTITYTYPE Der festgelegte Einheitstyp ist nicht zulässig.
Konstante/Wert Beschreibung TPM_E_AUDITFAIL_SUCCESSFUL Bei der TPM-Überwachungskonstruktion ist ein Fehler aufgetreten, und der zugrunde liegende Befehl war erfolgreich. 0x80280031 TPM_E_NOTRESETABLE 0x80280032 TPM_E_NOTLOCAL 0x80280033 TPM_E_BAD_TYPE Es wird versucht, ein PCR-Register zurückzusetzen, das nicht über ein Resettable-Attribut verfügt. Es wird versucht, ein PCR-Register zurückzusetzen, das erfordert, dass Ort und Ortsänderer nicht Teil eines Befehlstransports sind.
Konstante/Wert Beschreibung TPM_E_FAMILYCOUNT Fehlende Übereinstimmung beim Familienanzahlwert. 0x80280040 TPM_E_WRITE_LOCKED Der permanente Bereich wurde bereits beschrieben. 0x80280041 TPM_E_BAD_ATTRIBUTES Konflikt bei den Attributen des permanenten Bereichs. 0x80280042 TPM_E_INVALID_STRUCTURE Das Strukturtag und die Version sind ungültig oder inkonsistent.
Konstante/Wert Beschreibung TPM_E_OWNER_CONTROL Es wird versucht, einen kontrollierten Schlüssel ohne Besitzer im Kontext zu speichern. 0x8028004F TPM_E_DAA_RESOURCES 0x80280050 TPM_E_DAA_INPUT_DATA0 0x80280051 TPM_E_DAA_INPUT_DATA1 Der DAA-Befehl hat keine verfügbaren Ressourcen zum Ausführen des Befehls. Fehler bei der Konsistenzprüfung des DAA-Parameters "inputData0". Fehler bei der Konsistenzprüfung des DAA-Parameters "inputData1".
Konstante/Wert Beschreibung TPM_E_MA_SOURCE Die Migrationsquelle ist falsch. 0x8028005E TPM_E_MA_AUTHORITY Die Migrationsautorität ist falsch. 0x8028005F TPM_E_PERMANENTEK 0x80280061 TPM_E_BAD_SIGNATURE Es wurde versucht, den EK zu widerrufen, der EK kann jedoch nicht widerrufen werden. Die Signatur des CMK-Tickets ist ungültig. 0x80280062 TPM_E_NOCONTEXTSPACE In der Kontextliste ist kein Platz für weitere Kontexte verfügbar. 0x80280063 TPM_E_COMMAND_BLOCKED Der Befehl wurde geblockt.
Konstante/Wert Beschreibung TBS_E_BAD_PARAMETER Mindestens ein Eingabeparameter ist ungültig. 0x80284002 TBS_E_INVALID_OUTPUT_POINTER Ein angegebener Ausgabezeiger ist ungültig. 0x80284003 TBS_E_INVALID_CONTEXT 0x80284004 TBS_E_INSUFFICIENT_BUFFER Das angegebene Kontexthandle bezieht sich nicht auf einen gültigen Kontext. Der angegebene Ausgabepuffer ist zu klein. 0x80284005 TBS_E_IOERROR Bei der Kommunikation mit TPM ist ein Fehler aufgetreten.
Konstante/Wert Beschreibung TBS_E_NO_EVENT_LOG Es ist kein TCG-Ereignisprotokoll verfügbar. 0x80284011 TBS_E_ACCESS_DENIED 0x80284012 TBS_E_PROVISIONING_NOT_ALLOWED 0x80284013 TBS_E_PPI_FUNCTION_UNSUPPORTED 0x80284014 TBS_E_OWNERAUTH_NOT_FOUND Der Aufrufer verfügt nicht über die erforderlichen Sicherheitsrechte, um den angeforderten Vorgang durchführen zu können. Die TPM-Bereitstellungsaktion ist aufgrund der angegebenen Kennzeichnungen nicht zulässig.
Konstante/Wert Beschreibung 0x80290106 TPMAPI_E_INTERNAL_ERROR Ein interner Fehler wurde festgestellt. 0x80290107 TPMAPI_E_ACCESS_DENIED 0x80290108 TPMAPI_E_AUTHORIZATION_FAILED Der Aufrufer verfügt nicht über die erforderlichen Sicherheitsrechte, um den angeforderten Vorgang durchführen zu können. Die angegebenen Autorisierungsinformationen sind ungültig. 0x80290109 TPMAPI_E_INVALID_CONTEXT_HANDLE Das angegebene Kontexthandle ist ungültig.
Konstante/Wert Beschreibung 0x80290115 TPMAPI_E_INVALID_KEY_BLOB 0x80290116 TPMAPI_E_INVALID_PCR_DATA Bei den angegebenen Daten scheint es sich nicht um ein gültiges Schlüssel-BLOB zu handeln. Die angegebenen PCR-Daten sind ungültig. 0x80290117 TPMAPI_E_INVALID_OWNER_AUTH Das Format des Besitzers der Authentifizierungsdaten ist ungültig. 0x80290118 TPMAPI_E_FIPS_RNG_CHECK_FAILED 0x80290119 TPMAPI_E_EMPTY_TCG_LOG Die generierte Zufallszahl hat die FIPS RNG-Prüfung nicht bestanden.
Konstante/Wert Beschreibung 0x80290205 TBSIMP_E_DUPLICATE_VHANDLE 0x80290206 TBSIMP_E_INVALID_OUTPUT_POINTER 0x80290207 TBSIMP_E_INVALID_PARAMETER Das angegebene virtuelle Handle stimmt mit einem virtuellen Handle überein, das bereits verwendet wird. Der Zeiger auf den zurückgegebenen Handlespeicherort war NULL oder ungültig. Ein oder mehrere Parameter sind ungültig. 0x80290208 TBSIMP_E_RPC_INIT_FAILED Das RPC-Subsystem konnte nicht initialisiert werden.
Konstante/Wert Beschreibung 0x80290214 TBSIMP_E_NOTHING_TO_UNLOAD Es können keine Ressourcen entladen werden. 0x80290215 TBSIMP_E_HASH_TABLE_FULL Der Hashtabelle können keine neuen Einträge hinzugefügt werden. 0x80290216 TBSIMP_E_TOO_MANY_TBS_CONTEXTS 0x80290217 TBSIMP_E_TOO_MANY_RESOURCES 0x80290218 TBSIMP_E_PPI_NOT_SUPPORTED Ein neuer TBS-Kontext konnte nicht erstellt werden, da bereits zu viele offene Kontexte vorhanden sind.
Konstante/Wert Beschreibung TPM_E_PCP_INVALID_HANDLE Das für den Plattformkryptografieanbieter angegebene Handle ist ungültig. 0x80290402 TPM_E_PCP_INVALID_PARAMETER 0x80290403 TPM_E_PCP_FLAG_NOT_SUPPORTED 0x80290404 TPM_E_PCP_NOT_SUPPORTED 0x80290405 TPM_E_PCP_BUFFER_TOO_SMALL 0x80290406 TPM_E_PCP_INTERNAL_ERROR Ein für den Plattformkryptografieanbieter angegebener Parameter ist ungültig. Ein für den Plattformkryptografieanbieter angegebenes Kennzeichen wird nicht unterstützt.
Konstante/Wert Beschreibung PLA_E_DCS_ALREADY_EXISTS Der Sammlungssatz ist bereits vorhanden. 0x803000B7 PLA_S_PROPERTY_IGNORED Der Eigenschaftswert wird ignoriert. 0x00300100 PLA_E_PROPERTY_CONFLICT Konflikt beim Eigenschaftswert. 0x80300101 PLA_E_DCS_SINGLETON_REQUIRED 0x80300102 PLA_E_CREDENTIALS_REQUIRED 0x80300103 PLA_E_DCS_NOT_RUNNING Die aktuelle Konfiguration für diesen Sammlungssatz erfordert, dass er genau eine Sammlung enthält.
Konstante/Wert Beschreibung PLA_E_EXE_FULL_PATH_REQUIRED 0x8030010E Wenn Sie die ausführbare Datei angeben, die Sie verfolgen möchten, müssen Sie einen vollständigen Pfad zu der ausführbaren Datei und nicht nur einen Dateinamen angeben. PLA_E_INVALID_SESSION_NAME Der angegebene Sitzungsname ist ungültig.
Konstante/Wert Beschreibung FVE_E_NOT_ACTIVATED Die BitLocker-Laufwerkverschlüsselung ist für dieses Laufwerk nicht aktiviert. Aktivieren Sie BitLocker.
Konstante/Wert Beschreibung FVE_E_BAD_PARTITION_SIZE Das Dateisystem ist größer als die Partitionsgröße in der Partitionstabelle. Das Laufwerk ist möglicherweise beschädigt oder wurde manipuliert. Für die Verwendung des Laufwerks mit BitLocker muss die Partition neu formatiert werden. 0x80310014 FVE_E_NOT_SUPPORTED Das Laufwerk kann nicht verschlüsselt werden. 0x80310015 FVE_E_BAD_DATA Die Daten sind ungültig.
Konstante/Wert Beschreibung FVE_E_RECOVERY_KEY_REQUIRED Für das zu sperrende Laufwerk sind keine Schlüsselschutzvorrichtungen für eine Verschlüsselung verfügbar, da der BitLocker-Schutz derzeit angehalten ist. Aktivieren Sie BitLocker wieder, um das Laufwerk zu sperren.
Konstante/Wert Beschreibung FVE_E_BOOTABLE_CDDVD Im Computer wurde ein startbarer Datenträger (CD oder DVD) erkannt. Entfernen Sie den Datenträger, und starten Sie den Computer neu, bevor Sie BitLocker konfigurieren. 0x80310030 FVE_E_PROTECTOR_EXISTS 0x80310031 FVE_E_RELATIVE_PATH 0x80310032 FVE_E_PROTECTOR_NOT_FOUND 0x80310033 FVE_E_INVALID_KEY_FORMAT 0x80310034 FVE_E_INVALID_PASSWORD_FORMAT 0x80310035 FVE_E_FIPS_RNG_CHECK_FAILED Die Schlüsselschutzvorrichtung kann nicht hinzugefügt werden.
Konstante/Wert Beschreibung FVE_E_NO_PROTECTORS_TO_TEST Auf dem Laufwerk sind keine Schlüsselschutzvorrichtungen zum Ausführen des Hardwaretests vorhanden.
Konstante/Wert Beschreibung FVE_E_FIPS_DISABLE_PROTECTION_NOT_ALLOWED Die Verwendung von unverschlüsselten Schlüsseln ist gemäß der Gruppenrichtlinieneinstellung, die FIPS-Kompatibilität erfordert, untersagt. Dadurch wird das Anhalten von BitLocker auf dem Laufwerk verhindert. Weitere Informationen erhalten Sie vom Domänenadministrator.
Konstante/Wert Beschreibung werden, wenn der Computer in Vorinstallations- oder Wiederherstellungsumgebungen ausgeführt wird. FVE_E_NO_AUTOUNLOCK_MASTER_KEY 0x80310054 FVE_E_MOR_FAILED 0x80310055 FVE_E_HIDDEN_VOLUME Der Hauptschlüssel für das automatische Aufheben der Sperre war auf dem Laufwerk des Betriebssystems nicht verfügbar. Fehler beim Aktivieren des Löschens des Systemspeichers beim Neustart des Computers. Das verborgene Laufwerk kann nicht verschlüsselt werden.
Konstante/Wert Beschreibung FVE_E_POLICY_STARTUP_KEY_NOT_ALLOWED Die Gruppenrichtlinieneinstellungen lassen nicht die Verwendung eines Startschlüssels zu. Wählen Sie eine andere BitLockerStartoption. 0x80310062 FVE_E_POLICY_STARTUP_KEY_REQUIRED 0x80310063 Die Gruppenrichtlinieneinstellungen erfordern die Verwendung eines Startschlüssels. Wählen Sie diese BitLocker-Startoption.
Konstante/Wert Beschreibung 0x80310070 Ermittlungslaufwerke müssen auf mit FAT formatierten Laufwerken erstellt werden. FVE_E_DV_NOT_ALLOWED_BY_GP Der ausgewählte Ermittlungslaufwerktyp ist laut Gruppenrichtlinieneinstellungen des Computers nicht zulässig. Stellen Sie sicher, dass gemäß den Gruppenrichtlinieneinstellungen die Erstellung von Ermittlungslaufwerken für die Verwendung mit BitLocker To Go möglich ist.
Konstante/Wert Beschreibung 0x80310083 Laufwerk verwendet werden. BitLocker kann nicht für das automatische Entsperren von integrierten Datenlaufwerken konfiguriert werden, wenn die Optionen zur Wiederherstellung durch den Benutzer deaktiviert sind. Sollen durch BitLocker geschützte integrierte Datenlaufwerke nach einer Schlüsselüberprüfung automatisch entsperrt werden, bitten Sie den Systemadministrator, den Einstellungskonflikt vor dem Aktivieren von BitLocker zu beheben.
Konstante/Wert Beschreibung für das Laufwerk verwendet werden. Das Speichern von Wiederherstellungsinformationen in Active DirectoryDomänendienste kann nicht angefordert werden, wenn die Generierung von Wiederherstellungskennwörtern nicht zulässig ist. Bitten Sie den Systemadministrator, die Richtlinienkonflikte vor dem Aktivieren von BitLocker zu beheben.
Konstante/Wert Beschreibung Ableitungsfunktion zur Verschlüsselung verwendet werden. In durch FIPS eingeschränkten Umgebungen muss eine FIPS-kompatible Smartcard verwendet werden. FVE_E_ENH_PIN_INVALID 0x80310099 Der BitLocker-Verschlüsselungsschlüssel konnte nicht über das TPM oder die erweiterte PIN abgerufen werden. Verwenden Sie eine nur aus Zahlen bestehende PIN. FVE_E_INVALID_PIN_CHARS Die angeforderte PIN des TPM enthält ungültige Zeichen.
Konstante/Wert Beschreibung FVE_E_WIPE_NOT_ALLOWED_ON_TP_STORAGE Das Löschen von freiem Speicher bei schlanker Speicherzuweisung wird von der BitLocker-Laufwerkverschlüsselung nicht unterstützt. 0x803100A6 FVE_E_KEY_LENGTH_NOT_SUPPORTED_BY_EDRIVE 0x803100A7 FVE_E_NO_EXISTING_PASSPHRASE Die erforderliche Länge des Authentifizierungsschlüssels wird vom Laufwerk nicht unterstützt. Dieses Laufwerk ist nicht mit einem Kennwort geschützt.
Konstante/Wert Beschreibung FVE_E_NO_PREBOOT_KEYBOARD_DETECTED Es wurde keine Pre-Boot-Tastatur gefunden. Der Benutzer kann möglicherweise nicht die erforderlichen Angaben zum Entsperren des Volumes machen. 0x803100B5 FVE_E_NO_PREBOOT_KEYBOARD_OR_WINRE_DETECTED 0x803100B6 Es wurde keine Pre-Boot-Tastatur oder WindowsWiederherstellungsumgebung gefunden. Der Benutzer kann möglicherweise nicht die erforderlichen Angaben zum Entsperren des Volumes machen.
Konstante/Wert Beschreibung FVE_E_LIVEID_ACCOUNT_SUSPENDED Das Wiederherstellungskennwort kann von BitLocker nicht gespeichert werden, da das angegebene Microsoft-Konto derzeit angehalten ist.
15 Glossar Aktivieren – Eine Aktivierung erfolgt, wenn der Computer bei Dell Enterprise Server/VE registriert wurde und mindestens einen Satz mit Richtlinien erhalten hat. Active Directory (AD) – Ein Verzeichnisdienst von Microsoft für Windows-Domänennetzwerke. Advanced Authentication – Das Produkt Advanced Authentication bietet Optionen für vollständig integrierte Fingerabdrücke, Smart Card und kontaktlose Smart Card-Leser.
Encryption Keys – In den meisten Fällen verwendet der Encryption-Client den Benutzerschlüssel plus zwei weitere Verschlüsselungsschlüssel. Es gibt allerdings auch Ausnahmen: Alle SDE-Richtlinien und die Richtlinie „Windows-Anmeldeinformationen schützen“ verwenden den SDE-Schlüssel. Die Richtlinien „Windows-Auslagerungsdatei verschlüsseln“ und „Sichere WindowsRuhezustand-Datei“ verwenden einen eigenen Schlüssel, den General Purpose Key (GPK).
oder Offline-Angriffen SDE is not intended for user data. Zum Schutz vertraulicher Benutzerdaten empfiehlt sich die allgemeine Verschlüsselung oder die Benutzerverschlüsselung, bei denen zum Entsperren der Verschlüsselungsschlüssel ein Benutzerpasswort erforderlich ist. SDE-Richtlinien verschlüsseln keine Dateien, die das Betriebssystem zum Start des Boot-Vorgangs benötigt. SDERichtlinien erfordern keine Authentifizierung vor dem Neustart und haben auch keinerlei Auswirkungen auf den Master Boot Record.
