Dell Data Protection | Endpoint Security Suite Guida all'installazione avanzata v1.
Messaggi di N.B., Attenzione e Avvertenza N.B.: un messaggio N.B. (Nota Bene) indica informazioni importanti che contribuiscono a migliorare l'utilizzo del prodotto. ATTENZIONE: Un messaggio di ATTENZIONE indica un danno potenziale all'hardware o la perdita di dati, e spiega come evitare il problema. AVVERTENZA: Un messaggio di AVVERTENZA indica un rischio di danni materiali, lesioni personali o morte. © 2017 Dell Inc. Tutti i diritti riservati.
Sommario 1 Introduzione................................................................................................................................................... 6 Prima di iniziare...................................................................................................................................................................6 Uso di questa guida..........................................................................................................................................
Eseguire l'installazione dalla riga di comando usando il programma di installazione principale di ESS ................. 30 5 Eseguire la disinstallazione usando il programma di installazione principale di ESSE ................................... 32 Disinstallare il programma di installazione principale di ESSE .................................................................................... 32 Disinstallazione dalla riga di comando..........................................................................
Pannello servizi - Aggiungere un account utente di dominio......................................................................................55 File di configurazione di Key Server - Aggiungere un utente per la comunicazione con EE server.......................55 File di configurazione di esempio............................................................................................................................. 56 Pannello Servizi - Riavviare il servizio Key Server................................
1 Introduzione Questa guida descrive in dettaglio la procedura per installare e configurare , Threat Protection, il client di crittografia, il client di SED Management, Autenticazione avanzata e BitLocker Manager. Tutte le informazioni sui criteri e le relative descrizioni sono reperibili nella Guida dell'amministratore. Prima di iniziare 1 Prima di distribuire i client, installare EE Server/VE Server.
• • Installare i client di Threat Protection - Usare queste istruzioni per installare i client di Threat Protection, che sono costituiti dalle seguenti funzioni di Threat Protection basate sui criteri: • Protezione malware - Al momento dell'accesso dell'utente o su richiesta in qualunque momento, verifica la presenza di virus, spyware, programmi indesiderati e altre minacce mediante scansione automatica degli elementi.
2 Requisiti Tutti i client Questi requisiti si applicano a tutti i client. I requisiti elencati in altre sezioni si applicano a client specifici. • Durante la distribuzione è opportuno seguire le procedure consigliate. In queste procedure sono compresi, a titolo esemplificativo, ambienti di testing controllati per i test iniziali e distribuzioni scaglionate agli utenti.
Hardware • I requisiti hardware minimi devono soddisfare le specifiche minime del sistema operativo. Tutti i client - Supporto lingue • I client di crittografia, Threat Protection, e BitLocker Manager sono compatibili con l'interfaccia utente multilingue (MUI, Multilingual User Interface) e supportano le lingue di seguito riportate.
Se la propria organizzazione utilizza un provider di antivirus non in elenco, consultare http://www.dell.com/support/Article/us/en/19/ SLN298707 oppure Contattare Dell ProSupport per ricevere assistenza. • Il TPM è usato per sigillare la GPK. Pertanto, se si esegue il client di crittografia, cancellare il TPM nel BIOS prima di installare un nuovo sistema operativo nel computer client. • L'aggiornamento del sistema operativo sul posto non è supportato con il client di crittografia installato.
N.B.: Per ospitare l'EMS, il supporto esterno deve disporre di circa 55 MB di spazio, più una quantità di spazio libero equivalente alle dimensioni del file più grande da crittografare. N.B.: Windows XP è supportato solo quando si utilizza EMS Explorer. Sistemi operativi Windows supportati per l'accesso a supporti protetti da EMS (a 32 e 64 bit) • • • • Windows 7 SP0-SP1: Enterprise, Professional, Ultimate, Home Premium Windows 8: Enterprise, Pro, Consumer Windows 8.
Utilizzo Protocollo dell'applica zione Protocoll Numero di o di porta trasporto Destinazione Direzione Aggiornamenti antivirus HTTP TCP 443/fallback 80 vs.mcafeeasap.com In uscita Aggiornamenti firma/motore antivirus SSL TCP 443 vs.mcafeeasap.com In uscita Motore posta indesiderata HTTP TCP 443 vs.mcafeeasap.com In uscita Regole posta indesiderata e aggiornamenti flusso HTTP TCP 80 vs.mcafeeasap.
IMPORTANTE: Per via della natura dei RAID e delle unità autocrittografanti, SED Management non supporta il RAID. Il problema di RAID=On con le unità autocrittografanti consiste nel fatto che un'unità RAID richiede l'accesso al disco per leggere e scrivere dati ad essa correlati in un settore elevato, che non è disponibile in un'unità autocrittografante bloccata fin dall'avvio, e non può attendere che l'utente abbia eseguito l'accesso per leggere tali dati.
Modelli di computer Dell - Supporto UEFI • • • • • • • • • • • Latitude E7280 Latitude E7350 Latitude E7440 Latitude E7450 Latitude E7460 Latitude E7470 Latitude E7480 Latitude 12 Rugged Extreme Tablet Latitude 12 Rugged (modello 7202) Latitude 14 Rugged Extreme Latitude 14 Rugged • • • • • Optiplex 3240 All-In-One OptiPlex 5250 All-In-One Optiplex 7440 All-In-One OptiPlex 7450 All-In-One OptiPlex 9020 Micro N.B.
Client di autenticazione avanzata • Se si usa Autenticazione avanzata, l'accesso degli utenti al computer verrà protetto utilizzando credenziali di autenticazione avanzata gestite e registrate tramite Security Tools. Security Tools sarà il gestore primario delle credenziali di autenticazione per l'accesso a Windows, incluse password, impronte digitali e smart card di Windows.
Sistemi operativi Windows (a 32 e 64 bit) • • • • Windows 7 SP0-SP1: Enterprise, Professional, Ultimate Windows 8: Enterprise, Pro Windows 8.1 Update 0-1: Enterprise Edition, Pro Edition Windows 10: Education, Enterprise, Pro N.B.: La modalità UEFI non è supportata in Windows 7. Sistemi operativi dei dispositivi mobili • I seguenti sistemi operativi dei dispositivi mobili sono supportati con la funzionalità Password monouso (OTP) di Security Tools. Sistemi operativi Android • • • • 4.0 - 4.0.
Prerequisiti • Visual C++ 2012 Update 4 o Redistributable Package (x86 e x64) successivo Sistemi operativi del client di BitLocker Manager • La tabella seguente descrive in dettaglio i sistemi operativi supportati. Sistemi operativi Windows • • • • • • • • Windows 7 SP0-SP1: Enterprise, Ultimate (a 32 e 64 bit) Windows 8: Enterprise (a 64 bit) Windows 8.
UEFI PBA - su computer Dell supportati Password Impronta Smart card con contatti Autenticazione di Windows La Scheda sicurezza SIPR della OTP Password Impronta Smart card La Scheda sicurezza SIPR della OTP Windows 7 SP0SP1 Windows 8 X X2 X2 X1 X2 Windows 8.1 Update 0-1 X X2 X2 X1 X2 Windows 10 X X2 X2 X1 X2 1.
UEFI PBA - su computer Dell supportati Password Impronta Windows 10 Smart card con contatti Autenticazione di Windows La Scheda sicurezza SIPR della OTP X4 Password Impronta X2 X Smart card La Scheda sicurezza SIPR della OTP X2 X1 X2 1. Disponibile quando installato con il programma di installazione principale o con il pacchetto di Autenticazione avanzata quando vengono usati i programmi di installazione figlio. 2.
UEFI PBA5 - in computer Dell supportati Autenticazione di Windows Password Impronta Password Impronta Smart card X X2 Smart card con contatti La Scheda sicurezza SIPR della OTP Windows Server 2008 R2 (a 64 bit) La Scheda sicurezza SIPR della OTP 1. Disponibile quando installato con il programma di installazione principale o con il pacchetto di Autenticazione avanzata quando vengono usati i programmi di installazione figlio. 2.
3 Impostazioni di registro • Questa sezione descrive in dettaglio tutte le impostazioni di registro approvate da Dell ProSupport per i computer client locali, indipendentemente dal motivo di tale impostazione. Se un'impostazione di registro è sovrapposta in due prodotti, verrà elencata in ciascuna categoria. • Queste modifiche di registro devono essere effettuate solo da parte degli amministratori e potrebbero non essere appropriate o non funzionare in tutti gli scenari.
[HKLM\Software\CREDANT\CMGShield] "HIDESYSTRAYICON"=dword:1 • Per impostazione predefinita, tutti i file temporanei nella directory c:\windows\temp vengono automaticamente eliminati durante l'installazione. L'eliminazione dei file temporanei velocizza la crittografia iniziale ed ha luogo prima della ricerca crittografia iniziale. Tuttavia, se l'organizzazione utilizza un'applicazione di terzi che richiede di conservare la struttura dei file nella directory \temp, è opportuno evitare l'eliminazione di quest
Creare o modificare l'impostazione del registro nel modo seguente: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "OnlySendInvChanges"=REG_DWORD:0 Se non è presente alcuna voce, l'inventario ottimizzato viene inviato all'EE Server/VE Server. • Inviare l'inventario completo per tutti gli utenti attivati: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "RefreshInventory"=REG_DWORD:1 Questa voce viene eliminata dal registro nel momento in cui viene elaborata.
• [HKCU/Software/CREDANT/ActivationSlot] (dati per utente) Periodo di tempo di rinvio per il tentativo di attivazione in slot, che è impostato quando l'utente accede alla rete per la prima volta dopo che è stata abilitata l'attivazione in slot. Lo slot di attivazione viene ricalcolato per ciascun tentativo di attivazione.
• È possibile abilitare la funzione di attivazione fuori dominio contattando Dell ProSupport e richiedendo le relative istruzioni. Impostazioni di registro del client di Threat Protection • Gli eventi di Threat Protection che il client invia all'EE Server/VE Server non vengono archiviati automaticamente nel computer client. Impostare la seguente chiave di registro per archiviare gli eventi nel computer client, per esempio se l'accesso all'EE Server/VE Server non è disponibile. [HKLM\Software\Dell\Dell Da
• Se viene usato un certificato autofirmato nell'EE Server/VE Server per SED Management, la convalida dell'attendibilità SSL/TLS deve rimanere disabilitata nel computer client (la convalida dell'attendibilità SSL/TLS è disabilitata per impostazione predefinita in SED Management).
• Se necessario, l'URL del Security Server può essere modificato dal percorso di installazione originale. Questo valore viene letto dal computer client ogni volta che si verifica il polling di un criterio. Modificare il seguente valore di registro nel computer client: [HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent] "ServerUrl"=REG_SZ:https://..
• Per abilitare la convalida dell'attendibilità SSL/TLS per BitLocker Manager, modificare il valore della seguente voce di registro su 0 nel computer client. [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "DisableSSLCertTrust"=DWORD:0 0 = Abilitata 1 = Disabilitata 28 Dell Data Protection | Endpoint Security Suite Impostazioni di registro
4 Eseguire l'installazione usando il programma di installazione principale di ESSE • • • Le opzioni e i parametri della riga di comando fanno distinzione tra maiuscole e minuscole. Per eseguire l'installazione usando porte non predefinite, usare i programmi di installazione figlio al posto del programma di installazione principale di ESSE . I file di registro del programma di installazione principale diESS m si trovano in C:\ProgramData\Dell\Dell Data Protection\Installer.
7 Selezionare i componenti da installare. Security Framework installa il framework di sicurezza di base e Security Tools, il client di autenticazione avanzata che gestisce più metodi di autenticazione, inclusi PBA e credenziali come impronte e password. L'autenticazione avanzata consente di installare i file e i servizi necessari per l'autenticazione avanzata.
Parametro Descrizione SUPPRESSREBOOT Sopprime il riavvio automatico al termine dell'installazione. Può essere usato in MODALITÀ NON INTERATTIVA. SERVER Specifica l'URL dell'EE Server/VE Server. InstallPath Specifica il percorso di installazione. Può essere usato in MODALITÀ NON INTERATTIVA. FEATURES Specifica i componenti che è possibile installare in MODALITÀ NON INTERATTIVA.
5 Eseguire la disinstallazione usando il programma di installazione principale di ESSE • Ciascun componente deve essere disinstallato separatamente, seguito dalla disinstallazione del programma di installazione principale di ESSE . I client devono essere disinstallati secondo un ordine specifico per impedire errori durante la disinstallazione.
6 Eseguire l'installazione usando i programmi di installazione figlio • Per installare ciascun client singolarmente, i file eseguibili figlio devono essere prima estratti dal programma di installazione principale di ESSE , come mostrato in Estrarre i programmi di installazione figlio dal programma di installazione principale di ESS. • Gli esempi di comandi inclusi in questa sezione presumono che i comandi vengano eseguiti da C:\extracted.
• Opzione Significato /qb- Viene visualizzata una finestra di dialogo con il pulsante Annulla e il sistema si riavvia automaticamente al termine del processo /qb! Viene visualizzata una finestra di dialogo senza il pulsante Annulla e viene richiesto di riavviare il sistema /qb!- Viene visualizzata una finestra di dialogo senza il pulsante Annulla e il sistema si riavvia automaticamente al termine del processo /qn L'interfaccia utente non viene visualizzata /norestart Viene eliminato il riavvio
Parametri SERVERHOSTNAME= (FQDN del server Dell per la riattivazione) POLICYPROXYHOSTNAME= (FQDN del Policy Proxy predefinito) MANAGEDDOMAIN= (dominio da utilizzare per il dispositivo) DEVICESERVERURL= (URL utilizzato per l'attivazione, che solitamente include nome server, porta e lo standard xAPI) GKPORT= (porta Gatekeeper) MACHINEID= (nome computer) RECOVERYID= (ID di ripristino) REBOOT=ReallySuppress (
MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/" HIDESYSTRAYICON="1" HIDEOVERLAYICONS="1" N.B.: Alcuni client meno recenti potrebbero richiedere caratteri di escape \" intorno ai valori dei parametri. Per esempio: DDPE_XXbit_setup.exe /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER= \"server.organization.com\" DA_PORT=\"8050\" SVCPN=\"administrator@organization.com\" DA_RUNAS=\"domain\username\" DA_RUNASPWD=\"password\" /qn" Installare i client Threat Protection
Parametri Descrizione wc=Protezione Web N.B.: Tutti e tre i moduli devono essere installati. • override "hips" Non installa Host Intrusion Prevention INSTALLDIR Percorso di installazione non predefinito nocontentupdate Indica al programma di installazione di non aggiornare automaticamente i file di dati nel quadro del processo di installazione. Dell consiglia la pianificazione di un aggiornamento non appena completato il processo di installazione. nopreservesettings Non salva le impostazioni.
\Dell Threat Protection\ThreatProtection\WinXXR • Nell'esempio seguente viene installato il client con i parametri predefiniti (eliminazione del riavvio, nessuna finestra di dialogo, nessuna barra di avanzamento, nessuna voce nell'elenco Programmi nel Pannello di controllo). "Dell Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi" /qn REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1 \Dell Threat Protection\SDK • L'esempio seguente installa SDK di Threat Protection. "Dell Threat Protection\SDK\
• Nell'esempio seguente viene installata un'unità autocrittografante gestita in remoto (installazione invisibile all'utente, nessun riavvio, nessuna voce nell'elenco Programmi nel Pannello di controllo e installazione nel percorso predefinito C:\Program Files\Dell\Dell Data Protection). EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 / norestart /qn" Quindi: \Security Tools\
• Nell'esempio seguente viene installato BitLocker Manager con un'unità autocrittografante (installazione invisibile all'utente, nessun riavvio, nessuna voce nell'elenco Programmi del Pannello di controllo e installazione nel percorso predefinito C:\Program Files\Dell\Dell Data Protection) EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.
7 Eseguire la disinstallazione usando i programmi di installazione figlio • Per disinstallare ciascun client singolarmente, i file eseguibili figlio devono essere prima estratti dal programma di installazione principale di ESS , come mostrato in Estrarre i programmi di installazione figlio dal programma di installazione principale di ESS In alternativa, eseguire un'installazione amministrativa per estrarre il file .msi.
Opzione Significato /q La finestra di dialogo non viene visualizzata e il sistema si riavvia automaticamente al termine del processo /qb Viene visualizzata una finestra di dialogo con il pulsante Annulla e viene richiesto di riavviare il sistema /qb- Viene visualizzata una finestra di dialogo con il pulsante Annulla e il sistema si riavvia automaticamente al termine del processo /qb! Viene visualizzata una finestra di dialogo senza il pulsante Annulla e viene richiesto di riavviare il sistema /qb!
Procedura • Prima di iniziare il processo di disinstallazione, Creare un file di registro dell'Encryption Removal Agent. Questo file di registro è utile per risolvere eventuali problemi di un'operazione di disinstallazione/decrittografia. Se non si desidera decrittografare file durante il processo di disinstallazione, non è necessario creare un file di registro di Encryption Removal Agent.
Parametro Selezione DA_RUNASPWD Password per l'utente runas. FORENSIC_ADMIN L'account amministratore Forensic sul server Dell, che può essere utilizzato per le richieste Forensic di disinstallazioni o chiavi. FORENSIC_ADMIN_PWD Password dell'account amministratore Forensic. Proprietà facoltative • SVCLOGONUN Nome utente in formato UPN per l'accesso al servizio Encryption Removal Agent come parametro. SVCLOGONPWD Password per l'accesso come utente.
Disinstallare i client delle unità autocrittografanti e di Autenticazione avanzata • La connessione di rete all'EE Server/VE Server è necessaria per disattivare la PBA. Procedura • Disattivare la PBA, che rimuove tutti i dati di PBA dal computer e sblocca le chiavi delle unità autocrittografanti. • Disinstallare il client dell'unità autocrittografante. • Disinstallare il client di Autenticazione avanzata.
Al termine, arrestare e riavviare il sistema. Quindi: • Nell'esempio seguente viene eseguita la disinstallazione automatica del client di Autenticazione avanzata. setup.exe /x /s /v" /qn" Al termine, arrestare e riavviare il sistema. Disinstallare il client di BitLocker Manager Disinstallazione dalla riga di comando • Una volta estratto dal programma di installazione principale di ESS , il programma di installazione del client di BitLocker è disponibile al percorso C:\extracted\Security Tools\EMAgent_XXb
8 Scenari di uso comune • Per installare ciascun client singolarmente, i file eseguibili figlio devono essere prima estratti dal programma di installazione principale di ESSE , come mostrato in Estrarre i programmi di installazione figlio dal programma di installazione principale di ESS. • Il client dell'unità autocrittografante è richiesto per l'Autenticazione avanzata nella v8.x, per questo fa parte della riga di comando negli esempi seguenti.
• Opzione Significato /qn L'interfaccia utente non viene visualizzata Indicare agli utenti di prendere visione del seguente documento e file della guida per assistenza sull'applicazione: • Consultare la Guida alla crittografia di Dell per istruzioni sull'utilizzo della funzione del client di crittografia. Accedere alla guida da :\Program Files\Dell\Dell Data Protection\Encryption\Help. • Consultare la Guida a EMS per istruzioni sulle funzioni dell'External Media Shield.
\Threat Protection\ThreatProtection\WinXXR • Nell'esempio seguente viene installato il client con i parametri predefiniti (eliminazione del riavvio, nessuna finestra di dialogo, nessuna barra di avanzamento, nessuna voce nell'elenco Programmi nel Pannello di controllo). "DellThreatProtection.msi" /qn REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1 \Threat Protection\SDK • L'esempio seguente installa SDK di Threat Protection. EnsMgmtSdkInstaller.exe -ProtectProcesses "C:\Program Files\Dell\Dell Data Protection
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 / norestart /qn" Quindi: • Nell'esempio seguente viene installata l'Autenticazione avanzata (installazione invisibile all'utente, nessun riavvio, installazione nel percorso predefinito C:\Program Files\Dell\Dell Data Protection\Authentication). setup.
9 Configurazione di preinstallazione per Password monouso, UEFI unità autocrittografante e BitLocker Inizializzare il TPM • È necessario essere membro del gruppo amministratori locali o avere un ruolo equivalente. • È necessario che il computer disponga di un BIOS o TPM compatibili. Questa operazione è necessaria se si utilizza Password monouso (OTP). • Seguire le istruzioni all'indirizzo http://technet.microsoft.com/en-us/library/cc753140.aspx.
Disabilitare le ROM di opzione legacy Assicurarsi che l'impostazione Abilita ROM di opzione legacy sia disabilitata nel BIOS. 1 Riavviare il sistema. 2 Premere ripetutamente F12 durante il riavvio per visualizzare le impostazioni di avvio del computer UEFI. 3 Premere la freccia verso il basso, evidenziare l'opzione BIOS Settings (Impostazioni BIOS) e premere Invio. 4 Selezionare Settings > General > Advanced Boot Options (Impostazioni > Generali > Opzioni di avvio avanzate).
10 Impostare l'oggetto criterio di gruppo nel controller di dominio per abilitare i diritti • Se i client ricevono i diritti da Dell Digital Delivery (DDD), seguire queste istruzioni per impostare l'oggetto criterio di gruppo nel controller di dominio per abilitare i diritti (potrebbe non trattarsi dello stesso server in cui è in esecuzione l'EE Server/VE Server). • La workstation deve appartenere all'unità organizzativa in cui è applicato l'oggetto criterio di gruppo. N.B.
11 Estrarre i programmi di installazione figlio dal programma di installazione principale di ESSE • Per installare ciascun client individualmente, estrarre i file eseguibili figlio dal programma di installazione. • Il programma di installazione principale di ESSE non è un programma di disinstallazione. Ciascun client deve essere disinstallato separatamente, seguito dalla disinstallazione del programma di installazione principale di ESSE .
12 Configurare un Key Server per la disinstallazione del client di crittografia attivato per un EE Server • In questa sezione viene spiegato come configurare i componenti da usare con l'autenticazione/autorizzazione Kerberos quando si utilizza un EE Server. Il VE Server non utilizza il Key Server. Il Key Server è un servizio in ascolto dei client per la connessione tramite un socket.
Il formato di "superadmin" può essere qualsiasi metodo in grado di eseguire l'autenticazione all'EE Server. È accettabile il nome dell'account SAM, l'UPN o il formato dominio\nome utente. È accettabile qualsiasi metodo in grado di eseguire l'autenticazione all'EE Server, poiché la convalida è richiesta per l'account utente specifico ai fini dell'autorizzazione ad Active Directory.
Pannello Servizi - Riavviare il servizio Key Server 1 Tornare al pannello Servizi (Start > Esegui... > services.msc > OK). 2 Riavviare il servizio Key Server. 3 Passare al file log.txt in per verificare che il servizio sia stato avviato. 4 Chiudere il pannello Servizi. Remote Management Console - Aggiungere un amministratore Forensic. 1 Se necessario, accedere alla Remote Management Console. 2 Fare clic su Popolamenti > Domini.
13 Usare l'Administrative Download Utility (CMGAd) • Questa utilità consente il download di un bundle di materiale delle chiavi da usare in un computer non connesso ad un EE Server/VE Server. • Questa utilità usa uno dei seguenti metodi per scaricare un bundle di chiavi, a seconda del parametro della riga di comando trasferito all'applicazione: • Modalità Forensic - Usata se -f viene trasferito alla riga di comando o se non viene usato alcun parametro della riga di comando.
Usare l'Administrative Download Utility in modalità Amministratore Il VE Server non usa il Key Server, quindi non è possibile usare la modalità Amministratore per ottenere un bundle di chiavi da un VE Server. Usare la modalità Forensic per ottenere il bundle di chiavi se il client è attivato per un VE Server. 1 Aprire un prompt dei comandi dove si trova CMGAd e digitare cmgad.exe -a. 2 Immettere le seguenti informazioni (alcuni campi possono essere già popolati).
14 Risoluzione dei problemi Tutti i client - Risoluzione dei problemi • I file di registro del programma di installazione principale di ESS si trovano in C:\ProgramData\Dell\Dell Data Protection\Installer. • Windows crea file di registro di installazione dei programmi di installazione figlio univoci per l'utente che ha effettuato l'accesso a %temp%, e si trovano nel percorso C:\Users\\AppData\Local\Temp.
3: registra informazioni su tutti i file e i volumi di cui è in corso la decrittografia 5: registra informazioni sul debug Trovare la versione TSS • TSS è un componente che si interfaccia con il TPM. Per trovare tale versione TSS, accedere a (percorso predefinito) C:\Program Files \Dell\Dell Data Protection\Drivers\TSS\bin > tcsd_win32.exe. Fare clic con il pulsante destro del mouse sul file e selezionare Proprietà. Verificare la versione del file nella scheda Dettagli.
2 Accedere a Impostazioni di scansione e inserire il percorso della cartella nel campo Percorso di ricerca. Se si utilizza questo campo, la selezione nella casella di riepilogo viene ignorata. 3 Se non si desidera scrivere i risultati della scansione di WSScan su file, disattivare la casella di controllo Output su file. 4 Modificare il percorso e il nome del file predefiniti in Percorso, se lo si desidera.
Opzione Significato -uv Riportare solo i file non crittografati che violano il criterio (Is=No / Should=Y) -uav Riportare solo i file non crittografati che violano il criterio (Is=No / Should=Y), usando tutti i criteri utente. -d Specifica cosa usare come separatore di valori per l'output delimitato -q Specifica i valori che devono essere racchiusi tra virgolette per l'output delimitato -e Includere i campi di crittografia estesi nell'output delimitato -x Escludere la directory dalla scansione.
Output Significato RIJNDAEL 256 AES 128 AES 256 3DES Usare WSProbe La Probing Utility può essere usata con tutte le versioni del client di crittografia, ad eccezione dei criteri di EMS. Utilizzare la Probing Utility per: • Sottoporre a scansione o pianificare la scansione di un computer crittografato. La Probing Utility rispetta il criterio Priorità scansione workstation. • Disabilitare temporaneamente o abilitare di nuovo l'Elenco Application Data Encryption dell'utente corrente.
Parametro Per path Specificare facoltativamente un percorso specifico nel dispositivo che si desidera sottoporre a scansione per eventuale crittografia/decrittografia. Se non viene specificato un percorso, l'utilità sottopone a scansione tutte le cartelle relative ai criteri di crittografia. -h Visualizzare la guida della riga di comando.
Risoluzione dei problemi del client dell'unità autocrittografante Usare il criterio Codice di accesso iniziale • Questo criterio viene utilizzato per eseguire l'accesso a un computer se l'accesso di rete non è disponibile, ovvero non è possibile accedere all'EE Server/VE Server né a AD. Usare il criterio Codice di accesso iniziale solo in caso di stretta necessità. Dell sconsiglia di eseguire l'accesso con questo metodo.
Come creare un file di registro PBA per la risoluzione dei problemi • Potrebbe essere necessario usare un file di registro PBA per la risoluzione di problemi relativi a PBA, ad esempio: • Non è possibile visualizzare l'icona della connettività di rete, sebbene sia presente una connettività di rete. Il file di registro contiene informazioni DHCP per la soluzione del problema. • Non è possibile visualizzare l'icona di connessione all'EE Server/VE Server.
5 Espandere la categoria Sicurezza. 6 Scaricare e salvare i driver di Dell ControlVault. 7 Scaricare e salvare il firmware di Dell ControlVault. 8 Copiare i driver e il firmware nei computer di destinazione, se necessario. Installare il driver di Dell ControlVault Passare alla cartella in cui è stato scaricato il file di installazione del driver. Fare doppio clic sul driver di Dell ControlVault per avviare il file eseguibile autoestraente. : Assicurarsi di installare prima il driver.
: Se si tratta dell'aggiornamento di una versione precedente del firmware, all'utente potrebbe essere richiesto di immettere la password di amministratore. In tal caso, immettere la password Broadcom e fare clic su Invio. Vengono visualizzati alcuni messaggi di stato. 10 Fare clic su Riavvia per completare l'aggiornamento del firmware. L'aggiornamento dei driver e del firmware di Dell ControlVault è stato completato.
Costante/valore Descrizione TPM_E_CLEAR_DISABLED Il flag di disattivazione della cancellazione è impostato. Per le operazioni di cancellazione è necessario l'accesso fisico. 0x80280005 TPM_E_DEACTIVATED Attivare il TPM. 0x80280006 TPM_E_DISABLED Abilitare il TPM. 0x80280007 TPM_E_DISABLED_CMD Comando di destinazione disabilitato. 0x80280008 TPM_E_FAIL Operazione non riuscita. 0x80280009 TPM_E_BAD_ORDINAL Ordinale sconosciuto o incoerente.
Costante/valore Descrizione TPM_E_OWNER_SET Un proprietario del TPM (Trusted Platform Module) esiste già. 0x80280014 TPM_E_RESOURCES TPM: risorse interne insufficienti per eseguire l'azione richiesta. 0x80280015 TPM_E_SHORTRANDOM Stringa casuale troppo breve. 0x80280016 TPM_E_SIZE TPM: spazio insufficiente per eseguire l'operazione. 0x80280017 TPM_E_WRONGPCRVAL Il valore PCR denominato non corrisponde al valore PCR corrente.
Costante/valore Descrizione TPM_E_NO_ENDORSEMENT Per il TPM non è installata alcuna chiave di verifica dell'autenticità. 0x80280023 TPM_E_INVALID_KEYUSAGE Utilizzo di una chiave non consentito. 0x80280024 TPM_E_WRONG_ENTITYTYPE Il tipo dell'entità inviata non è consentito. 0x80280025 TPM_E_INVALID_POSTINIT 0x80280026 TPM_E_INAPPROPRIATE_SIG Sequenza del comando non corretta. La sequenza corretta è TPM_Init e successivamente TPM_Startup.
Costante/valore Descrizione TPM_E_NOTRESETABLE Tentativo di reimpostazione di una registrazione PCR priva dell'attributo necessario per questa operazione. 0x80280032 TPM_E_NOTLOCAL 0x80280033 Tentativo di reimpostazione di una registrazione PCR per la quale la località e il modificatore di località non devono far parte del trasporto del comando. TPM_E_BAD_TYPE BLOB di creazione dell'identità digitato non correttamente.
Costante/valore Descrizione TPM_E_WRITE_LOCKED Scrittura già eseguita nell'area non volatile. 0x80280041 TPM_E_BAD_ATTRIBUTES Conflitto tra attributi dell'area non volatile. 0x80280042 TPM_E_INVALID_STRUCTURE Tag e versione della struttura non validi o incoerenti. 0x80280043 TPM_E_KEY_OWNER_CONTROL 0x80280044 TPM_E_BAD_COUNTER La chiave è sotto il controllo del proprietario del TPM e può essere rimossa solo da quest'ultimo. Handle del contatore non corretto.
Costante/valore Descrizione TPM_E_DAA_RESOURCES Nessuna risorsa disponibile per il comando DAA per l'esecuzione del comando. 0x80280050 TPM_E_DAA_INPUT_DATA0 Verifica di coerenza per il parametro DAA inputData0 non riuscita. 0x80280051 TPM_E_DAA_INPUT_DATA1 Verifica di coerenza per il parametro DAA inputData1 non riuscita. 0x80280052 TPM_E_DAA_ISSUER_SETTINGS Verifica di coerenza per DAA_issuerSettings non riuscita.
Costante/valore Descrizione TPM_E_MA_AUTHORITY Autorità di migrazione non corretta. 0x8028005F TPM_E_PERMANENTEK 0x80280061 TPM_E_BAD_SIGNATURE Tentativo di revocare la chiave di crittografia. Impossibile revocare tale chiave. Firma del ticket CMK non valida. 0x80280062 TPM_E_NOCONTEXTSPACE Spazio insufficiente per ulteriori contesti nell'elenco dei contesti. 0x80280063 TPM_E_COMMAND_BLOCKED Comando bloccato. 0x80280400 TPM_E_INVALID_HANDLE Impossibile trovare l'handle specificato.
Costante/valore Descrizione TBS_E_INVALID_OUTPUT_POINTER Il puntatore di output specificato non è valido. 0x80284003 TBS_E_INVALID_CONTEXT L'handle di contesto fa riferimento a un contesto non valido. 0x80284004 TBS_E_INSUFFICIENT_BUFFER Buffer di output specificato insufficiente. 0x80284005 TBS_E_IOERROR Errore durante la comunicazione con il TPM. 0x80284006 TBS_E_INVALID_CONTEXT_PARAM Uno o più parametri di contesto non validi.
Costante/valore Descrizione TBS_E_ACCESS_DENIED Il chiamante non dispone dei diritti appropriati per eseguire l'operazione richiesta. 0x80284012 TBS_E_PROVISIONING_NOT_ALLOWED 0x80284013 TBS_E_PPI_FUNCTION_UNSUPPORTED 0x80284014 TBS_E_OWNERAUTH_NOT_FOUND L'azione di provisioning del TPM non è consentita dai contrassegni specificati. Per eseguire il provisioning, potrebbe essere necessaria una delle azioni riportate di seguito. Può essere utile l'azione della console di gestione TPM (tpm.
Costante/valore Descrizione TPMAPI_E_ACCESS_DENIED Il chiamante non dispone dei diritti appropriati per eseguire l'operazione richiesta. 0x80290108 TPMAPI_E_AUTHORIZATION_FAILED Informazioni di autorizzazione specificate non valide. 0x80290109 TPMAPI_E_INVALID_CONTEXT_HANDLE Handle di contesto specificato non valido. 0x8029010A TPMAPI_E_TBS_COMMUNICATION_ERROR Errore durante la comunicazione con il servizio TBS. 0x8029010B TPMAPI_E_TPM_COMMAND_ERROR Risultato imprevisto restituito dal TPM.
Costante/valore Descrizione TPMAPI_E_INVALID_PCR_DATA Dati PCR specificati non validi. 0x80290117 TPMAPI_E_INVALID_OWNER_AUTH Il formato dei dati di autorizzazione del proprietario non è valido. 0x80290118 TPMAPI_E_FIPS_RNG_CHECK_FAILED Il numero casuale generato non ha superato il controllo FIPS RNG. 0x80290119 TPMAPI_E_EMPTY_TCG_LOG Il registro eventi TCG non contiene dati. 0x8029011A TPMAPI_E_INVALID_TCG_LOG_ENTRY Voce nel registro eventi TCG non valida.
Costante/valore Descrizione TBSIMP_E_INVALID_OUTPUT_POINTER Il puntatore alla posizione dell'handle restituita è NULL o non valido 0x80290207 TBSIMP_E_INVALID_PARAMETER Uno o più parametri non validi 0x80290208 TBSIMP_E_RPC_INIT_FAILED Impossibile inizializzare il sottosistema RPC. 0x80290209 TBSIMP_E_SCHEDULER_NOT_RUNNING Utilità di pianificazione TBS non in esecuzione. 0x8029020A TBSIMP_E_COMMAND_CANCELED Il comando è stato annullato.
Costante/valore Descrizione TBSIMP_E_HASH_TABLE_FULL Impossibile aggiungere nuove voci alla tabella hash. 0x80290216 TBSIMP_E_TOO_MANY_TBS_CONTEXTS Impossibile creare un nuovo contesto TBS. Troppi contesti aperti. 0x80290217 TBSIMP_E_TOO_MANY_RESOURCES 0x80290218 TBSIMP_E_PPI_NOT_SUPPORTED Non è stato possibile creare una nuova risorsa virtuale perché ci sono troppe risorse virtuali aperte. L'interfaccia di presenza fisica non è supportata.
Costante/valore Descrizione TPM_E_PCP_FLAG_NOT_SUPPORTED Un contrassegno fornito al provider di crittografia della piattaforma non è supportato. 0x80290404 TPM_E_PCP_NOT_SUPPORTED 0x80290405 TPM_E_PCP_BUFFER_TOO_SMALL 0x80290406 TPM_E_PCP_INTERNAL_ERROR 0x80290407 TPM_E_PCP_AUTHENTICATION_FAILED L'operazione richiesta non è supportata dal provider di crittografia della piattaforma. Buffer troppo piccolo per contenere tutti i dati. Nessuna informazione scritta nel buffer.
Costante/valore Descrizione PLA_E_PROPERTY_CONFLICT Conflitto di valori di proprietà. 0x80300101 PLA_E_DCS_SINGLETON_REQUIRED 0x80300102 PLA_E_CREDENTIALS_REQUIRED 0x80300103 PLA_E_DCS_NOT_RUNNING In base alla configurazione corrente, l'Insieme agenti di raccolta dati deve contenere un solo agente di raccolta dati. Per il commit delle proprietà dell'Insieme agenti di raccolta dati è necessario un account utente. Insieme agenti di raccolta dati non in esecuzione.
Costante/valore Descrizione PLA_E_PLA_CHANNEL_NOT_ENABLED È possibile eseguire questa operazione solo se il canale MicrosoftWindows-Diagnosis-PLA/Operational del registro eventi è attivato. 0x80300110 PLA_E_TASKSCHED_CHANNEL_NOT_ENABLED 0x80300111 PLA_E_RULES_MANAGER_FAILED È possibile eseguire questa operazione solo se il canale MicrosoftWindows-TaskScheduler del registro eventi è attivato. Impossibile eseguire Gestione regole.
Costante/valore Descrizione 0x8031000A Crittografia unità BitLocker o Trusted Platform Module. Contattare l'amministratore di dominio per verificare che siano state installate tutte le estensioni dello schema di Active Directory necessarie per BitLocker. FVE_E_AD_INVALID_DATATYPE Il tipo di dati ottenuti da Active Directory era imprevisto. Le informazioni di ripristino di BitLocker potrebbero essere mancanti o danneggiate.
Costante/valore Descrizione FVE_E_TPM_NOT_OWNED È necessario inizializzare il TPM prima di poter utilizzare Crittografia unità BitLocker. 0x80310018 FVE_E_NOT_DATA_VOLUME 0x80310019 FVE_E_AD_INSUFFICIENT_BUFFER 0x8031001A FVE_E_CONV_READ 0x8031001B FVE_E_CONV_WRITE 0x8031001C FVE_E_KEY_REQUIRED 0x8031001D FVE_E_CLUSTERING_NOT_SUPPORTED Impossibile eseguire l'operazione tentata sull'unità del sistema operativo. Il buffer assegnato a una funzione non è sufficiente per contenere i dati restituiti.
Costante/valore Descrizione 0x80310026 FVE_E_FAILED_AUTHENTICATION 0x80310027 FVE_E_NOT_OS_VOLUME Impossibile sbloccare l'unità con la chiave fornita. Verificare che la chiave sia corretta e riprovare. L'unità specificata non è l'unità del sistema operativo.
Costante/valore Descrizione FVE_E_INVALID_PASSWORD_FORMAT Il formato di file della password di ripristino fornita non è valido. Le password di ripristino di BitLocker devono essere di 48 cifre. Verificare che il formato della password di ripristino sia corretto, quindi riprovare.
Costante/valore Descrizione 0x80310041 o è stato specificato un PIN non corretto. Verificare che l'unità non sia stata alterata e che le modifiche alle informazioni di avvio del sistema siano state apportate da una fonte attendibile. Dopo avere verificato che l'accesso all'unità è sicuro, utilizzare la Console di ripristino di emergenza di BitLocker per sbloccare l'unità, quindi sospendere e riprendere BitLocker per aggiornare le informazioni di avvio del sistema che BitLocker associa all'unità.
Costante/valore Descrizione 0x8031004E FVE_E_DEBUGGER_ENABLED 0x8031004F FVE_E_RAW_ACCESS 0x80310050 FVE_E_RAW_BLOCKED 0x80310051 FVE_E_BCD_APPLICATIONS_PATH_INCORRECT 0x80310052 FVE_E_NOT_ALLOWED_IN_VERSION 0x80310053 FVE_E_NO_AUTOUNLOCK_MASTER_KEY 0x80310054 FVE_E_MOR_FAILED 0x80310055 FVE_E_HIDDEN_VOLUME Impossibile crittografare l'unità mentre il debugger di avvio è abilitato. Per disattivare il debugger di avvio, utilizzare lo strumento da riga di comando bcdedit. Nessuna operazione eseguita.
Costante/valore Descrizione FVE_E_POLICY_RECOVERY_PASSWORD_REQUIRED In base alle impostazioni dei Criteri di gruppo, è necessario creare una password di ripristino.
Costante/valore Descrizione FVE_E_FIPS_PREVENTS_PASSPHRASE 0x8031006C Le impostazioni dei Criteri di gruppo che richiedono la conformità FIPS impediscono la generazione o l'utilizzo di una password. Per ulteriori informazioni, contattare l'amministratore di dominio. FVE_E_OS_VOLUME_PASSPHRASE_NOT_ALLOWED Impossibile aggiungere una password all'unità del sistema operativo.
Costante/valore Descrizione FVE_E_POLICY_INVALID_PASSPHRASE_LENGTH La password in uso non soddisfa i requisiti di lunghezza minima delle password. Per impostazione predefinita, le password devono contenere almeno 8 caratteri. Per verificare i requisiti di lunghezza minima della password in vigore nell'organizzazione, contattare l'amministratore di sistema.
Costante/valore Descrizione FVE_E_VIRTUALIZED_SPACE_TOO_BIG La dimensione di virtualizzazione richiesta è eccessiva.
Costante/valore Descrizione 0x80310099 FVE_E_INVALID_PIN_CHARS Il PIN del TPM richiesto contiene caratteri non validi. 0x8031009A FVE_E_INVALID_DATUM_TYPE 0x8031009B Tipo sconosciuto nelle informazioni di gestione archiviate sull'unità. Se si utilizza una versione precedente di Windows, provare ad accedere all'unità utilizzando la versione più recente. FVE_E_EFI_ONLY Funzionalità supportata solo su sistemi EFI.
Costante/valore Descrizione FVE_E_NO_EXISTING_PASSPHRASE L'unità non è protetta con una password. 0x803100A8 FVE_E_PROTECTOR_CHANGE_PASSPHRASE_MISMATCH Immettere la password corrente corretta. 0x803100A9 FVE_E_PASSPHRASE_TOO_LONG La password non può superare i 256 caratteri.
Costante/valore Descrizione FVE_E_POLICY_REQUIRES_STARTUP_PIN_ON_TOUCH_DEVICE In base alle impostazioni dei Criteri di gruppo è necessario creare un PIN di avvio, ma in questo dispositivo non è disponibile una tastiera 0x803100B7 prima dell'avvio. L'utente potrebbe non essere in grado di fornire l'input necessario per sbloccare il volume.
Costante/valore Descrizione FVE_E_NOT_PROVISIONED_ON_ALL_VOLUMES Il PC non è configurato per supportare la crittografia del dispositivo. Abilitare BitLocker in tutti i volumi in modo che il PC sia conforme ai criteri di crittografia del dispositivo.
15 Glossario Attivare/Attivato - L'attivazione avviene quando il computer è stato registrato con il Dell Enterprise Server/VE e ha ricevuto almeno un insieme iniziale di criteri. Active Directory (AD) - Un servizio directory creato da Microsoft per reti di dominio di Windows. Autenticazione avanzata - Il prodotto Autenticazione avanzata fornisce le opzioni integrate complete del lettore di impronte, smart card e smart card senza contatti.
Crittografia file di paging Windows e il criterio Proteggi file di sospensione di Windows usano la propria chiave, la General Purpose Key (GPK). La chiave Comune rende i file accessibili a tutti gli utenti gestiti nel dispositivo in cui sono stati creati. La chiave Utente rende i file accessibili solo all'utente che li ha creati, solo nel dispositivo in cui sono stati creati.
attiva la decrittografia automatica di tutte le directory e i file crittografati con SDE per i relativi utenti, indipendentemente dagli altri criteri SDE, come le Regole di crittografia SDE. Threat Protection – Il prodotto Threat Protection si basa su criteri gestiti centralmente che proteggono i computer aziendali dalle minacce alla sicurezza.
