Dell Data Protection | Endpoint Security Suite Guía de instalación avanzada v1.
Notas, precauciones y avisos NOTA: Una NOTA indica información importante que le ayuda a hacer un mejor uso de su producto. PRECAUCIÓN: Una PRECAUCIÓN indica la posibilidad de daños en el hardware o la pérdida de datos, y le explica cómo evitar el problema. AVISO: Un mensaje de AVISO indica el riesgo de daños materiales, lesiones corporales o incluso la muerte. © 2017 Dell Inc. Todos los derechos reservados.Dell, EMC, y otras marcas comerciales son marcas comerciales de Dell Inc. o de sus filiales.
Tabla de contenido 1 Introducción................................................................................................................................................... 6 Antes de empezar.............................................................................................................................................................. 6 Utilización de esta guía................................................................................................................................
Instalación mediante la línea de comandos con el instalador maestro de ESS ........................................................30 5 Desinstalación mediante el instalador maestro de ESS ................................................................................32 Desinstalación del instalador maestro de ESS .............................................................................................................32 Desinstalación con la línea de comandos............................................
Panel Servicios: Agregar el usuario de cuenta de dominio..........................................................................................55 Archivo de configuración de Key Server: Agregar usuario para EE Server Communication.................................. 55 Ejemplo de archivo de configuración.......................................................................................................................56 Panel Servicios: Reiniciar el servicio Key Server...................................
1 Introducción Esta guía detalla cómo instalar y configurar Threat Protection, el cliente Encryption, el cliente SED Management, Advanced Authentication y BitLocker Manager. Toda la información sobre la política y sus descripciones se encuentran en la AdminHelp. Antes de empezar 1 Instale EE Server/VE Server antes de implementar los clientes. Localice la guía correcta, tal como se indica a continuación, siga las instrucciones y, a continuación, vuelva a esta guía.
• • Instalación de clientes Threat Protection: utilice estas instrucciones para instalar los clientes Threat Protection, que se componen de las siguientes funciones de Threat Protection basadas en políticas: • Protección contra malware: comprueba si hay virus, spyware, programas no deseados y otras amenazas escaneando elementos automáticamente cuando los usuarios acceden a ellos o a petición en cualquier momento.
2 Requisitos Todos los clientes Estos requisitos se aplican a todos los clientes. Los requisitos que aparecen en otras secciones se aplican a clientes específicos. • Durante la implementación se deberán seguir las prácticas recomendadas para TI. Entre los que se incluyen, a modo de ejemplo, entornos de prueba controlados, para las pruebas iniciales e implementaciones escalonadas para los usuarios.
Hardware • Los requisitos de hardware mínimos deben cumplir las especificaciones mínimas del sistema operativo. Todos los clientes: Compatibilidad de idiomas • Los clientes EncryptionThreat Protection, y BitLocker Manager son compatibles con la Interfaz de usuario multilingüe (MUI) y admiten los idiomas siguientes.
• El TPM se utiliza para sellar la GPK. Por lo tanto, si ejecuta el cliente Encryption, borre el TPM en el BIOS antes de instalar un sistema operativo nuevo en el equipo cliente. • La actualización en el lugar del sistema operativo no es compatible con la instalación del cliente Encryption. Desinstale y descifre el cliente Encryption, actualice al nuevo sistema operativo y, a continuación, vuelva a instalar el cliente Encryption. De manera adicional, no se admite la reinstalación del sistema operativo.
NOTA: El medio externo debe tener aproximadamente 55 MB disponibles, además de una cantidad de espacio libre en el medio igual al tamaño del archivo más grande que vaya a cifrar para alojar EMS. NOTA: Es compatible con Windows XP solo cuando se utiliza EMS Explorer. Sistemas operativos Windows compatibles para el acceso a medios protegidos de EMS (32 y 64 bits) • • • • Windows 7 SP0-SP1: Enterprise, Professional, Ultimate, Home Premium Windows 8: Enterprise, Pro, Consumer Windows 8.
Utilizar Protocolo de aplicación Protocolo Número de de puerto transport e Destino Dirección Actualizaciones del antivirus HTTP TCP 443/reserva 80 vs.mcafeeasap.com Saliente Motor antivirus/ SSL Actualizaciones de firma TCP 443 vs.mcafeeasap.com Saliente Motor contra el HTTP correo electrónico no deseado TCP 443 vs.mcafeeasap.com Saliente Reglas contra el HTTP correo electrónico no deseado y actualizaciones de transmisiones TCP 80 vs.mcafeeasap.
O bien • Desactivar la PBA, cambiar el método de autenticación y, a continuación, volver a activar la PBA. IMPORTANTE: Debido a la naturaleza de RAID y SED, SED Management no es compatible con RAID.
Modelos de equipos Dell - Compatibilidad con UEFI • • • • • • • • • • • • • Latitude E7270 • Latitude E7275 Latitude E7280 Latitude E7350 Latitude E7440 Latitude E7450 Latitude E7460 Latitude E7470 Latitude E7480 Latitude 12 Rugged Extreme Latitude 12 Rugged Tablet (Modelo 7202) Latitude 14 Rugged Extreme Latitude 14 Rugged Precision T7810 • • • • • • • Optiplex 7040 Micro, minitorre, factor de forma pequeña OptiPlex 7050 torre, factor de forma pequeña, Micro Optiplex 3240 Todo en uno OptiPlex 5250 All-
Sistemas operativos Windows (de 32 y 64 bits) • Windows 10: Education, Enterprise, Pro Cliente Advanced Authentication • Cuando se utiliza Advanced Authentication, los usuarios protegerán el acceso a este equipo por medio de credenciales de autenticación avanzada que son administradas y registradas mediante Security Tools.
Sistemas operativos del cliente Advanced Authentication Sistemas operativos Windows • La tabla siguiente indica los sistemas operativos compatibles. Sistemas operativos Windows (de 32 y 64 bits) • • • • Windows 7 SP0-SP1: Enterprise, Professional, Ultimate Windows 8: Enterprise, Pro Windows 8.1 actualización 0-1: Enterprise Edition, Pro Edition Windows 10: Education, Enterprise, Pro NOTA: El modo UEFI no es compatible con Windows 7.
Requisitos previos del cliente BitLocker Manager • El instalador maestro de ESS instala Microsoft Visual C++2010 SP1 y Microsoft Visual C++ 2012 actualización 4 si todavía no están instalados en el equipo. Cuando utiliza el instalador secundario, debe instalar estos componentes antes de instalar BitLocker Manager.
Sin UEFI PBA Contrase ña Autenticación de Windows Huellas digitales Tarjeta OTP inteligent e con contacto Tarjeta SIPR Contrase ña Huellas digitales Tarjeta OTP inteligent e Tarjeta SIPR 1. Disponible cuando se instala con el instalador maestro o con el paquete de Advanced Authentication si se utilizan instaladores secundarios. 2. Disponible cuando se descargan los controladores de autenticación desde support.dell.com.
Sin UEFI PBA Contrase ña Autenticación de Windows Huellas digitales Tarjeta OTP inteligent e con contacto Tarjeta SIPR Contrase ña Huellas digitales Tarjeta OTP inteligent e Tarjeta SIPR 3. Disponible con SED OPAL admitido. UEFI PBA - en equipos Dell admitidos Contrase ña Huellas digitales Tarjeta OTP inteligent e con contacto Autenticación de Windows Tarjeta SIPR Contrase ña Huellas digitales Tarjeta OTP inteligent e Tarjeta SIPR Windows 7 Windows 8 X4 X X2 X2 X1 X2 Windows 8.
UEFI PBA5: en equipos Dell admitidos Contrase ña Huellas digitales Tarjeta OTP inteligent e con contacto Autenticación de Windows Tarjeta SIPR Contrase ña Huellas digitales Tarjeta OTP inteligent e Tarjeta SIPR Windows 8 X X2 X2 X1 X2 Windows 8.1 X X2 X2 X1 X2 Windows 10 X X2 X2 X1 X2 Windows Server 2008 R2 (64 bits) X Windows 7 X2 1. Disponible cuando se instala con el instalador maestro o con el paquete de Advanced Authentication si se utilizan instaladores secundarios. 2.
3 Configuración de registro • Esta sección detalla toda la configuración de registro aprobada por Dell ProSupport para equipos cliente locales, con independencia del motivo de la configuración de registro. Si una configuración de registro coincide en dos productos, aparecerá en cada categoría. • Los cambios de registro deben realizarlos únicamente los administradores y es posible que no sean adecuados para todas las situaciones.
• De forma predeterminada, durante la instalación, aparece el icono de la bandeja del sistema. Utilice la siguiente configuración de registro para ocultar el icono de la bandeja del sistema de todos los usuarios administrados en un equipo tras la instalación original. Cree o modifique la configuración de registro tal como se muestra a continuación: [HKLM\Software\CREDANT\CMGShield] "HIDESYSTRAYICON"=dword:1 • De forma predeterminada, todos los archivos temporales del directorio c:\windows\temp se elimina
"OnlySendInvChanges"=REG_DWORD:1 Si no hay ninguna entrada, el inventario optimizado se enviará al EE Server/VE Server. • Enviar el inventario completo a EE Server/VE Server: Cree o modifique la configuración de registro tal como se muestra a continuación: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "OnlySendInvChanges"=REG_DWORD:0 Si no hay ninguna entrada, el inventario optimizado se enviará al EE Server/VE Server.
El número de ranuras de activación que se pueden perder antes de que el equipo intente activarse en el siguiente inicio de sesión del usuario cuyas activaciones se han ranurado. Si la activación falla durante este intento inmediato, el cliente reanudará los intentos de activación ranurada. Si la activación falla debido a un error de red, la activación se intentará en la próxima reconexión de red, aunque el valor de MISSTHRESHOLD no se haya superado.
"EnableNGMetadata" = dword:1 0 =Deshabilitado (valor predeterminado) 1 =Habilitado • La función de activación no de dominio se puede habilitar poniéndose en contacto con Dell ProSupport y solicitando instrucciones. Ajustes del registro del cliente Threat Protection • Los eventos de Threat Protection que el cliente envía a EE Server/VE Server no se archivan automáticamente en el equipo cliente.
predeterminada con SED Management). Antes de habilitar la validación de confianza de SSL/TLS en el equipo cliente, deberán cumplirse los siguientes requisitos. • Un certificado firmado por una autoridad raíz, como por ejemplo EnTrust o Verisign, deberá ser importado a EE Server/VE Server. • La cadena completa de confianza del certificado deberá ser almacenada en el keystore de Microsoft del equipo cliente.
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent] "ServerUrl"=REG_SZ:https://..com:8888/agent Ajustes del registro del cliente Advanced Authentication • Si no desea que el cliente Advanced Authentication (Security Tools) cambie los servicios asociados a las tarjetas inteligentes y los dispositivos biométricos a un tipo de inicio "automático", puede deshabilitar la función de inicio del servicio.
"DisableSSLCertTrust"=DWORD:0 0 = Habilitado 1 = Deshabilitado 28 Dell Data Protection | Endpoint Security Suite Configuración de registro
4 Instalación mediante el instalador maestro de ESS • Los modificadores y parámetros de línea de comandos distinguen entre mayúsculas y minúsculas. • Para instalar mediante puertos no predeterminados, utilice los instaladores secundarios en lugar del instalador maestro de ESS. • Los archivos de registro del instalador maestro de ESS se encuentran en C:\ProgramData\Dell\Dell Data Protection\Installer.
7 Seleccione los componentes que deben instalarse. Security Framework instala Security Framework y Security Tools subyacentes, el cliente Advanced Authentication que administra varios métodos de autenticación, incluido PBA y credenciales como huellas digitales y contraseñas. Advanced Authentication instala los archivos y servicios necesarios para Advanced Authentication.
Parámetro Descripción SUPPRESSREBOOT Suprime el reinicio automático al terminar la instalación. Se puede utilizar en modo SILENCIOSO. SERVER Especifica la dirección URL de EE Server/VE Server. InstallPath Indica la ruta de la instalación. Se puede utilizar en modo SILENCIOSO. FEATURES Especifica los componentes que se pueden instalar en modo SILENCIOSO. DE-ATP = Threat Protection y Encryption.
5 Desinstalación mediante el instalador maestro de ESS • Cada componente debe desinstalarse por separado, seguido de la desinstalación del instalador maestro de ESS. Los clientes se deben desinstalar en un orden específico para evitar errores en la desinstalación. • Siga las instrucciones que se indican en Extracción de instaladores secundarios del instalador maestro de ESS para obtener instaladores secundarios.
6 Instalación mediante los instaladores secundarios • Para instalar cada cliente por separado, en primer lugar es necesario extraer los archivos ejecutables secundarios del instalador maestro de ESS, como se muestra en Extracción de los instaladores secundarios del instalador maestro de ESS. • Para los ejemplos de comandos incluidos en esta sección, se asume que los comandos se ejecutan desde C:\extracted. • Los modificadores y parámetros de línea de comandos distinguen entre mayúsculas y minúsculas.
• Opción Significado /qb! Diálogo de progreso sin botón Cancelar, indica que es necesario reiniciar /qb!- Diálogo de progreso sin botón Cancelar , se reinicia automáticamente al terminar el proceso /qn Sin interfaz de usuario /norestart Se elimina el reinicio Indique a los usuarios que consulten el siguiente documento y los archivos de ayuda para obtener ayuda sobre la aplicación: • Consulte la Ayuda de cifrado de Dell para saber cómo usar la función del cliente Encryption.
Parámetros SERVERHOSTNAME= (FQDN del servidor Dell para la reactivación) POLICYPROXYHOSTNAME= (FQDN de la política de proxy predeterminada) MANAGEDDOMAIN= (dominio que utilizará el dispositivo) DEVICESERVERURL= (URL utilizada para la activación; normalmente, incluye nombre del servidor, puerto y xapi) GKPORT= (puerto del equipo selector) MACHINEID= (nombre de equipo) RECOVERYID= (Id.
MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/" HIDESYSTRAYICON="1" HIDEOVERLAYICONS="1" NOTA: Es posible que algunos clientes más antiguos requieran que los valores de los parámetros estén entre caracteres de escape \". Por ejemplo: DDPE_XXbit_setup.exe /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER= \"server.organization.com\" DA_PORT=\"8050\" SVCPN=\"administrator@organization.com\" DA_RUNAS=\"domain\username\" DA_RUNASPWD=\"password\" /qn" Instalación de cl
Parámetros Descripción wc = Protección web NOTA: Deben instalarse los tres módulos. • override "hips" No instala Host Intrusion Prevention INSTALLDIR Ubicación de instalación no predeterminada nocontentupdate Indica al instalador que no actualice automáticamente archivos de contenido como parte del proceso de instalación. Dell recomienda programar una actualización tan pronto como la instalación se haya completado. nopreservesettings No guarda la configuración.
• En el siguiente ejemplo se instala el cliente con los parámetros predeterminados (supresión del reinicio, sin diálogo, sin barra de progreso, sin entrada en la lista de programas del Panel de control). "Dell Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi" /qn REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1 \Dell Threat Protection\SDK • El siguiente ejemplo instala el SDK de Threat Protection. "Dell Threat Protection\SDK\EnsMgmtSdkInstaller.exe" -ProtectProcesses "C:\Program Files\Dell \D
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 / norestart /qn" Luego: \Security Tools\Authentication • En el siguiente ejemplo se instala Advanced Authentication (instalación silenciosa, sin reinicio) setup.
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.
7 Desinstalación mediante los instaladores secundarios • Para desinstalar cada cliente por separado, en primer lugar es necesario extraer los archivos ejecutables secundarios del instalador maestro de ESS, como se muestra en Extracción de los instaladores secundarios del instalador maestro de ESS También puede ejecutar una instalación administrativa para extraer el .msi. • Asegúrese de que se utiliza la misma versión de cliente tanto para la desinstalación como para la instalación.
Opción Significado /qb- Diálogo de progreso con botón Cancelar, se reinicia automáticamente al terminar el proceso /qb! Diálogo de progreso sin botón Cancelar, indica que es necesario reiniciar /qb!- Diálogo de progreso sin botón Cancelar , se reinicia automáticamente al terminar el proceso /qn Sin interfaz de usuario Desinstalación de clientes Threat Protection Desinstalación con la línea de comandos • Una vez extraído del instalador maestro de ESS, el instalador del cliente Threat Protection se
• Key Server (y EE Server) deben estar configurados antes de la desinstalación si utilizan la opción Descargar claves del Encryption Removal Agent del servidor. Consulte Configurar Key Server para la desinstalación de cliente Encryption activado en EE Server para obtener instrucciones. No es necesaria ninguna acción si el cliente que vaya a realizar la desinstalación se activa en un VE Server, ya que VE Server no utiliza Key Server.
Parámetro Selección Propiedades opcionales • SVCLOGONUN Nombre de usuario en formato UPN para inicio de sesión del servicio Encryption Removal Agent como parámetro. SVCLOGONPWD Contraseña para el inicio de sesión como usuario. El siguiente ejemplo desinstala el cliente Encryption de forma silenciosa y descarga las claves de cifrado desde el EE Server. DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1 DA_SERVER=server.organization.com DA_PORT=8050 SVCPN=administrator@organization.
Proceso • Desactivar la PBA, que quita todos los datos de PBA del equipo y desbloquea las claves de SED. • Desinstale el cliente SED. • Desinstale el cliente Advanced Authentication. Desactivación de la PBA 1 Como administrador de Dell, inicie sesión en la Remote Management Console. 2 En el panel izquierdo, haga clic en Proteger y administrar > Extremos. 3 Seleccione el tipo de extremo correspondiente. 4 Seleccione Mostrar > Visibles, Ocultos o Todos.
Desinstalación del cliente BitLocker Manager Desinstalación con la línea de comandos • Una vez extraído del instalador maestro de ESS , el instalador del cliente BitLocker se encuentra en C:\extracted\Security Tools \EMAgent_XXbit_setup.exe. • El siguiente ejemplo desinstala de forma silenciosa el cliente de BitLocker Manager. EMAgent_XXbit_setup.exe /x /s /v" /qn" Reinicie el equipo cuando finalice.
8 Situaciones frecuentes • Para instalar cada cliente por separado, en primer lugar es necesario extraer los archivos ejecutables secundarios del instalador maestro de ESS, como se muestra en Extracción de los instaladores secundarios del instalador maestro de ESS. • El cliente SED es necesario para Advanced Authentication en v8.x, motivo por el que forma parte de la línea de comandos en los siguientes ejemplos.
• Indique a los usuarios que consulten el siguiente documento y los archivos de ayuda para obtener ayuda sobre la aplicación: • Consulte la Ayuda de cifrado de Dell para saber cómo usar la función del cliente Encryption. Acceda a la ayuda de : \Program Files\Dell\Dell Data Protection\Encryption\Help. • Consulte la Ayuda de EMS para obtener ayuda sobre las funciones de External Media Shield. Acceda a la ayuda desde : \Program Files\Dell\Dell Data Protection\Encryption\EMS.
\Threat Protection\SDK • El siguiente ejemplo instala el SDK de Threat Protection. EnsMgmtSdkInstaller.exe -ProtectProcesses "C:\Program Files\Dell\Dell Data Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >"C:\ProgramData\Dell \Dell Data Protection\Installer Logs\McAfeeSDKInstallerAfterEndPoint.
Luego: • En el ejemplo siguiente se instala solo EMS (instalación silenciosa, sin reinicio e instalado en la ubicación predeterminada C:\Program Files\Dell\Dell Data Protection). DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https://server.organization.
9 Configuración previa a la instalación para la Contraseña de un solo uso, SED UEFI y BitLocker Inicialización del TPM • Deberá ser miembro del grupo de administradores locales, o de otro equivalente. • El equipo debe tener un TPM y un BIOS compatibles. Esta tarea es necesaria si usa la Contraseña de un solo uso (OTP). • Siga las instrucciones que se encuentran en http://technet.microsoft.com/en-us/library/cc753140.aspx.
Deshabilitar las ROM de opción heredadas Asegúrese de que la configuración Habilitar las ROM de opción heredadas está deshabilitada en el BIOS. 1 Reinicie el equipo. 2 Mientras se reinicia, pulse F12 varias veces para que aparezca la configuración de inicio del equipo UEFI. 3 Pulse la flecha Abajo, resalte la opción Configuración del BIOS y pulse Intro. 4 Seleccione Configuración > General > Opciones de arranque avanzadas .
10 Configuración de GPO en la controladora de dominio para habilitar derechos • Si sus clientes están autorizados por Dell Digital Delivery (DDD), siga estas instrucciones para establecer GPO en la controladora de dominio, a fin de habilitar los derechos (es posible que no sea el mismo servidor que ejecuta EE Server/VE Server). • La estación de trabajo debe ser miembro del OU donde se aplica el GPO.
11 Extracción de instaladores secundarios del instalador maestro de ESS • Para instalar cada cliente de manera individual, extraiga los archivos secundarios ejecutables del instalador. • El instalador maestro de ESS no es un desinstalador maestro. Cada cliente debe desinstalarse por separado, seguido por la desinstalación del instalador maestro de ESS. Utilice este proceso para extraer los clientes del instalador maestro de ESS de modo que se puedan utilizar para la desinstalación.
12 Configurar Key Server para la desinstalación de cliente Encryption activado en EE Server • Esta sección explica cómo configurar los componentes a fin de utilizarlos con la autenticación/autorización Kerberos al utilizar un EE Server. VE Server no utiliza Key Server. Key Server es un servicio que está atento a la conexión de clientes a un socket.
El formato “superadmin” puede ser cualquier método que pueda autenticarse con EE Server. El nombre de la cuenta del SAM, el nombre UPN y también el formato "dominio/nombre de usuario" son aceptables. Cualquier método que se pueda autenticar con EE Server es aceptable porque se requiere la validación de esa cuenta de usuario a fin de obtener autorización de Active Directory.
Panel Servicios: Reiniciar el servicio Key Server 1 Regrese al panel Servicios (Inicio > Ejecutar... > services.msc > Aceptar). 2 Reinicie el servicio Key Server. 3 Vaya hasta log.txt a fin de comprobar que el servicio arrancó correctamente. 4 Cierre el panel Servicios. Remote Management Console: Agregar administrador forense 1 De ser necesario, inicie una sesión en la Remote Management Console. 2 Haga clic en Poblaciones > Dominios.
13 Usar la utilidad de descarga administrativa (CMGAd) • Esta herramienta permite la descarga de una agrupación de material de claves para usar en un equipo que no esté conectado a un EE Server/VE Server. • Esta utilidad utiliza uno de los siguientes métodos para descargar una agrupación de claves, dependiendo del parámetro de línea de comandos pasado a la aplicación: • Modo Forense: se utiliza si se pasa -f en la línea de comandos o si no se utiliza ningún parámetro de línea de comandos.
Uso de la Utilidad de descarga administrativa en modo Administración El VE Server no utiliza el Key Server, así que el modo Administración no podrá usarse para obtener una agrupación de claves de un VE Server. Utilice el modo Forense para obtener la agrupación de claves si el cliente está activado en un VE Server. 1 Abra un símbolo del sistema donde se encuentre CMGAd y escriba cmgad.exe -a. 2 Introduzca la siguiente información (algunos campos pueden estar previamente rellenados).
14 Solución de problemas Todos los clientes: Solución de problemas • Los archivos de registro del instalador del maestro de ESS se encuentran disponibles en C:\ProgramData\Dell\Dell Data Protection \Installer. • Windows crea archivos de registro de instalación de instaladores secundarios para el usuario que haya iniciado sesión en %temp%, que se encuentra en C:\Users\\AppData\Local\Temp.
3: registra la información relacionada con todos los volúmenes y archivos de descifrado 5: registra la información de depuración Búsqueda de versión TSS • TSS es un componente que funciona como interfaz con TPM. Para encontrar la versión TSS, vaya a (ubicación predeterminada) C: \Program Files\Dell\Dell Data Protection\Drivers\TSS\bin > tcsd_win32.exe. Haga clic con el botón derecho del mouse y seleccione Propiedades. Compruebe la versión del archivo en la pestaña Detalles.
2 Vaya a Configuración de exploración e introduzca la ruta de acceso de la carpeta en el campo Ruta de búsqueda. Si se utiliza este campo, se ignora la selección realizada en el cuadro desplegable. 3 Si no desea escribir la salida de WSScan en un archivo, desactive la casilla de verificación Salida a archivo. 4 Cambie la ruta de acceso y el nombre de archivo predeterminados en Ruta de acceso, si lo desea.
Modificador Significado -ua- Informar solo de archivos no cifrados, pero usar todas las políticas de usuario para mostrar el campo "should". -uv Informar de archivos no cifrados que violen solo la política (Is=No / Should=Y) -uav Informar de archivos no cifrados que violen solo la política (Is=No / Should=Y), usando todas las políticas de usuario.
Salida Significado Como se muestra en el ejemplo anterior, "todavía está cifrado según AES256" RIJNDAEL 128 RIJNDAEL 256 AES 128 AES 256 3DES Usar WSProbe La utilidad de sondeo debe usarse con todas las versiones del cliente Encryption, con excepción de las políticas de EMS. Utilice la utilidad de sondeo para: • • • Explorar o programar la exploración de un equipo cifrado. La utilidad de sondeo observa su política de prioridad de exploración de estación de trabajo.
Parámetros Parámetro A path Especificar, opcionalmente, una ruta de acceso concreta en el dispositivo que desea explorar en busca de posible cifrado/descifrado. Si no especifica una ruta de acceso, esta utilidad explorará todas las carpetas relacionadas con sus políticas de cifrado. -h Ver la Ayuda de la línea de comandos. -f Solucionar problemas según lo indicado por Dell ProSupport -u Deshabilitar temporalmente o volver a habilitar la lista de cifrado de datos de aplicación del usuario.
Resolución de problemas del cliente SED Usar la política del código de acceso inicial • Esta política se utiliza para iniciar sesión en un equipo cuando el acceso a la red no está disponible. Es decir, no hay acceso disponible a EE Server/VE Server ni a AD. Utilice la política del Código de acceso inicial solo si es absolutamente necesario. Dell no recomienda utilizar este método para iniciar sesión.
Crear un archivo de registro de PBA para la solución de problemas • Es posible que en ciertas situaciones se requiera un archivo de registro de PBA para solucionar problemas de PBA; por ejemplo: • No puede ver el icono de conexión a la red, aunque sabe que hay conectividad de red. El archivo de registro contiene información de DHCP para resolver el problema. • No puede ver el icono de conexión con EE Server/VE Server.
4 Seleccione el Sistema operativo del equipo de destino. 5 Expanda la categoría Seguridad. 6 Descargue y guarde los controladores Dell ControlVault. 7 Descargue y guarde el firmware Dell ControlVault. 8 Si es necesario, copie el firmware y los controladores en los equipos de destino. Instalación del controlador Dell ControlVault Vaya hasta la carpeta en la que haya descargado el archivo para la instalación del controlador.
: Si está realizando la actualización desde una versión de firmware más antigua, es posible que necesite introducir su contraseña de administrador. Introduzca Broadcom como contraseña y haga clic en Intro si aparece este diálogo. Aparecerán varios mensajes de estado. 10 Haga clic en Reiniciar para finalizar la actualización del firmware. Ha finalizado la actualización del firmware y de los controladores Dell ControlVault.
Constante/Valor Descripción TPM_E_CLEAR_DISABLED Se establece el marcador para deshabilitar borrados, por lo que ahora todas las operaciones de borrado requerirán el acceso físico. 0x80280005 TPM_E_DEACTIVATED Activar el TPM. 0x80280006 TPM_E_DISABLED Habilitar el TPM. 0x80280007 TPM_E_DISABLED_CMD Se ha deshabilitado el comando de destino. 0x80280008 TPM_E_FAIL Ha fallado la operación. 0x80280009 TPM_E_BAD_ORDINAL El ordinal no se reconoce o no es consistente.
Constante/Valor Descripción TPM_E_OWNER_SET El TPM ya tiene un propietario. 0x80280014 TPM_E_RESOURCES 0x80280015 TPM_E_SHORTRANDOM El TPM no tiene recursos internos suficientes para realizar la acción solicitada. Una cadena aleatoria es demasiado corta. 0x80280016 TPM_E_SIZE El TPM no cuenta con el espacio para realizar la operación. 0x80280017 TPM_E_WRONGPCRVAL 0x80280018 TPM_E_BAD_PARAM_SIZE El valor de PCR especificado no coincide con el valor de PRC actual.
Constante/Valor Descripción TPM_E_NO_ENDORSEMENT El TPM no tiene ninguna Clave de aprobación (EK) instalada. 0x80280023 TPM_E_INVALID_KEYUSAGE No se permite el uso de una clave. 0x80280024 TPM_E_WRONG_ENTITYTYPE No se permite el tipo de entidad enviado. 0x80280025 TPM_E_INVALID_POSTINIT 0x80280026 TPM_E_INAPPROPRIATE_SIG El comando se recibió con una secuencia incorrecta, con respecto a TPM_Init y un TPM_Startup subsiguiente. Los datos firmados no pueden incluir información DER adicional.
Constante/Valor Descripción TPM_E_NOTRESETABLE Se intentó restablecer un registro PCR sin el atributo restablecible. 0x80280032 TPM_E_NOTLOCAL 0x80280033 TPM_E_BAD_TYPE Se intentó restablecer un registro PCR que requiere localidad, pero el modificador de localidad no es parte del transporte de comando. El blob para hacer identidades no se escribió correctamente.
Constante/Valor Descripción TPM_E_WRITE_LOCKED Ya se escribió en el área no volátil. 0x80280041 TPM_E_BAD_ATTRIBUTES Conflicto de atributos en el área no volátil. 0x80280042 TPM_E_INVALID_STRUCTURE La etiqueta y versión de estructura no son válidas ni consistentes. 0x80280043 TPM_E_KEY_OWNER_CONTROL 0x80280044 TPM_E_BAD_COUNTER La clave está bajo el control del Propietario de TPM, y solo dicho propietario la puede expulsar. El identificador de contador no es correcto.
Constante/Valor Descripción TPM_E_DAA_RESOURCES El comando DAA no tiene recursos disponibles para ejecutar el comando. 0x80280050 TPM_E_DAA_INPUT_DATA0 0x80280051 TPM_E_DAA_INPUT_DATA1 0x80280052 TPM_E_DAA_ISSUER_SETTINGS 0x80280053 TPM_E_DAA_TPM_SETTINGS 0x80280054 TPM_E_DAA_STAGE 0x80280055 TPM_E_DAA_ISSUER_VALIDITY 0x80280056 TPM_E_DAA_WRONG_W Error en la comprobación de consistencia en el parámetro de DAA inputData0. Error en la comprobación de consistencia en el parámetro de DAA inputData1.
Constante/Valor Descripción TPM_E_MA_AUTHORITY La autoridad de migración no es correcta. 0x8028005F TPM_E_PERMANENTEK Se intentó revocar el EK, pero el EK no es revocable. 0x80280061 TPM_E_BAD_SIGNATURE El vale CMK no tiene una firma correcta. 0x80280062 TPM_E_NOCONTEXTSPACE 0x80280063 TPM_E_COMMAND_BLOCKED No hay espacio en la lista de contextos para ningún contexto adicional. Se bloqueó el comando.
Constante/Valor Descripción TBS_E_INVALID_OUTPUT_POINTER Un puntero de salida especificado es erróneo. 0x80284003 TBS_E_INVALID_CONTEXT 0x80284004 TBS_E_INSUFFICIENT_BUFFER El identificador de contexto especificado no hace referencia a ningún contexto válido. Un búfer de salida especificado es demasiado pequeño. 0x80284005 TBS_E_IOERROR Error al comunicarse con el TPM. 0x80284006 TBS_E_INVALID_CONTEXT_PARAM Uno o más parámetros de contexto son inválidos.
Constante/Valor Descripción TBS_E_ACCESS_DENIED El autor de la llamada no dispone de los permisos necesarios para realizar la operación solicitada. 0x80284012 TBS_E_PROVISIONING_NOT_ALLOWED 0x80284013 TBS_E_PPI_FUNCTION_UNSUPPORTED 0x80284014 TBS_E_OWNERAUTH_NOT_FOUND Las marcas especificadas no admiten la acción de aprovisionamiento de TPM. Para realizar el aprovisionamiento correctamente, es necesaria una de entre diversas acciones. La acción de la consola de administración del TPM (tpm.
Constante/Valor Descripción 0x80290107 TPMAPI_E_ACCESS_DENIED 0x80290108 TPMAPI_E_AUTHORIZATION_FAILED El autor de la llamada no dispone de los permisos necesarios para realizar la operación solicitada. La información de autorización especificada no es válida. 0x80290109 TPMAPI_E_INVALID_CONTEXT_HANDLE El identificador de contexto especificado no es válido. 0x8029010A TPMAPI_E_TBS_COMMUNICATION_ERROR Error al comunicarse con el TBS.
Constante/Valor Descripción 0x80290116 TPMAPI_E_INVALID_PCR_DATA Los datos PCR especificados no son válidos.. 0x80290117 TPMAPI_E_INVALID_OWNER_AUTH El formato de los datos de autenticación de propietario no es válido. 0x80290118 TPMAPI_E_FIPS_RNG_CHECK_FAILED 0x80290119 TPMAPI_E_EMPTY_TCG_LOG El número aleatorio generado no aprobó la comprobación RNG de FIPS. El registro de eventos de TCG no contiene datos.
Constante/Valor Descripción 0x80290206 TBSIMP_E_INVALID_OUTPUT_POINTER 0x80290207 TBSIMP_E_INVALID_PARAMETER El puntero a la ubicación de identificador devuelta era NULL o no era válida Uno o más parámetros no son válidos. 0x80290208 TBSIMP_E_RPC_INIT_FAILED No se puede inicializar el subsistema RPC. 0x80290209 TBSIMP_E_SCHEDULER_NOT_RUNNING El programador de TBS no está en ejecución. 0x8029020A TBSIMP_E_COMMAND_CANCELED Se ha cancelado el comando.
Constante/Valor Descripción 0x80290215 TBSIMP_E_HASH_TABLE_FULL No se puede agregar ninguna nueva entrada a la tabla de hash. 0x80290216 TBSIMP_E_TOO_MANY_TBS_CONTEXTS 0x80290217 TBSIMP_E_TOO_MANY_RESOURCES 0x80290218 TBSIMP_E_PPI_NOT_SUPPORTED No se puede crear un nuevo contexto de TBS porque ya hay demasiados contextos abiertos. No se puede crear un nuevo recurso virtual porque ya hay demasiados recursos virtuales abiertos. La interfaz de presencia física no es compatible.
Constante/Valor Descripción 0x80290403 TPM_E_PCP_FLAG_NOT_SUPPORTED 0x80290404 TPM_E_PCP_NOT_SUPPORTED 0x80290405 TPM_E_PCP_BUFFER_TOO_SMALL 0x80290406 TPM_E_PCP_INTERNAL_ERROR 0x80290407 TPM_E_PCP_AUTHENTICATION_FAILED Una marca proporcionada al proveedor de servicios criptográficos de plataforma no es compatible. Este proveedor de servicios criptográficos de plataforma no admite la operación solicitada. El búfer es demasiado pequeño para contener todos los datos.
Constante/Valor Descripción 0x00300100 PLA_E_PROPERTY_CONFLICT Conflicto con el valor de la propiedad. 0x80300101 PLA_E_DCS_SINGLETON_REQUIRED 0x80300102 PLA_E_CREDENTIALS_REQUIRED 0x80300103 PLA_E_DCS_NOT_RUNNING La configuración actual de este Conjunto de recopiladores de datos requiere que contenga exactamente un recopilador de datos. Se requiere una cuenta de usuario para confirmar las propiedades del Conjunto de recopiladores de datos actual.
Constante/Valor Descripción 0x8030010F PLA_E_PLA_CHANNEL_NOT_ENABLED 0x80300110 PLA_E_TASKSCHED_CHANNEL_NOT_ENABLED 0x80300111 PLA_E_RULES_MANAGER_FAILED El canal del registro de eventos Microsoft-Windows-Diagnosis-PLA/ Operational debe estar habilitado para realizar esta operación. El canal del registro de eventos Microsoft-Windows-TaskScheduler debe estar habilitado para realizar esta operación. Error al ejecutar el Administrador de reglas.
Constante/Valor Descripción al mismo tiempo. Espere un momento e intente la operación de nuevo.
Constante/Valor Descripción FVE_E_VOLUME_NOT_BOUND La unidad de datos especificada no está establecida para desbloquearse automáticamente en el equipo actual y no se puede desbloquear automáticamente. 0x80310017 FVE_E_TPM_NOT_OWNED 0x80310018 FVE_E_NOT_DATA_VOLUME 0x80310019 FVE_E_AD_INSUFFICIENT_BUFFER 0x8031001A FVE_E_CONV_READ 0x8031001B FVE_E_CONV_WRITE 0x8031001C FVE_E_KEY_REQUIRED 0x8031001D FVE_E_CLUSTERING_NOT_SUPPORTED Debe inicializar el TPM para poder utilizar Cifrado de unidad deBitLocker.
Constante/Valor Descripción 0x80310025 son compatibles con BitLocker. Inicialice el TPM antes de intentar usarlo con BitLocker. FVE_E_FAILED_SECTOR_SIZE El algoritmo de cifrado de unidad no se puede usar en este tamaño de sector. 0x80310026 FVE_E_FAILED_AUTHENTICATION 0x80310027 FVE_E_NOT_OS_VOLUME La unidad no se puede desbloquear con la clave proporcionada. Confirme que proporcionó la clave correcta e inténtelo de nuevo. La unidad especificada no es la unidad del sistema operativo.
Constante/Valor Descripción FVE_E_INVALID_KEY_FORMAT La clave de recuperación proporcionada está dañada y no se puede usar para obtener acceso a la unidad. Debe usarse un método de recuperación alternativo, como una contraseña de recuperación, un agente de recuperación de datos o una versión de copia de seguridad de la clave de recuperación para recuperar el acceso a la unidad.
Constante/Valor Descripción FVE_E_TPM_DISABLED El TPM está deshabilitado. El TPM debe estar habilitado, inicializado y tener la propiedad válida para poder usarse con Cifrado de unidad BitLocker.
Constante/Valor Descripción FVE_E_TOKEN_NOT_IMPERSONATED El token de acceso asociado con el subproceso actual no es un token suplantado.
Constante/Valor Descripción 0x8031005A FVE_E_INVALID_STARTUP_OPTIONS 0x8031005B FVE_E_POLICY_RECOVERY_PASSWORD_NOT_ALLOWED 0x8031005C FVE_E_POLICY_RECOVERY_PASSWORD_REQUIRED 0x8031005D FVE_E_POLICY_RECOVERY_KEY_NOT_ALLOWED 0x8031005E FVE_E_POLICY_RECOVERY_KEY_REQUIRED 0x8031005F FVE_E_POLICY_STARTUP_PIN_NOT_ALLOWED 0x80310060 FVE_E_POLICY_STARTUP_PIN_REQUIRED 0x80310061 FVE_E_POLICY_STARTUP_KEY_NOT_ALLOWED 0x80310062 FVE_E_POLICY_STARTUP_KEY_REQUIRED 0x80310063 La configuración de la directiva de grupo
Constante/Valor Descripción FVE_E_KEY_PROTECTOR_NOT_SUPPORTED El protector de clave no es compatible con la versión de Cifrado de unidad BitLocker actualmente en la unidad. Actualice la unidad para agregar el protector de clave.
Constante/Valor Descripción FVE_E_POLICY_USER_CONFIGURE_RDV_NOT_ALLOWED La configuración de la directiva de grupo no permite configurar Cifrado de unidad BitLocker en unidades de datos extraíbles.
Constante/Valor Descripción FVE_E_POLICY_CONFLICT_RO_AND_STARTUP_KEY_REQUIRED No se puede aplicar Cifrado de BitLocker a esta unidad porque la configuración de la directiva de grupo tiene conflictos. Cuando se 0x80310087 deniega el acceso de escritura a unidades no protegidas con BitLocker, el uso de una clave de inicio USB no puede ser obligatorio. Pida al administrador del sistema que resuelva estos conflictos de directiva antes de intentar habilitar BitLocker.
Constante/Valor Descripción FVE_E_OPERATION_NOT_SUPPORTED_ON_VISTA_VOLUME Esta unidad se cifró con la versión de Cifrado de unidad BitLocker incluida en Windows Vista y Windows Server 2008, que no admite identificadores de organización. Para especificar identificadores de organización para esta unidad, actualice el cifrado de la unidad a la versión más reciente con el comando "manage-bde -upgrade".
Constante/Valor Descripción 0x803100A3 FVE_E_POLICY_PASSPHRASE_REQUIRES_ASCII 0x803100A4 El administrador del sistema requiere que las contraseñas contengan únicamente caracteres ASCII imprimibles. Esto incluye letras no acentuadas (A-Z, a-z), números (0-9), espacios, símbolos aritméticos, puntuación común, separadores y los siguientes símbolos: # $ & @ ^ _ ~ .
Constante/Valor Descripción FVE_E_EDRIVE_INCOMPATIBLE_VOLUME La unidad especificada no admite el uso de cifrado basado en hardware. 0x803100B2 FVE_E_NOT_ALLOWED_TO_UPGRADE_WHILE_CONVERTING 0x803100B3 FVE_E_EDRIVE_DV_NOT_SUPPORTED 0x803100B4 FVE_E_NO_PREBOOT_KEYBOARD_DETECTED 0x803100B5 FVE_E_NO_PREBOOT_KEYBOARD_OR_WINRE_DETECTED 0x803100B6 BitLocker no se puede actualizar durante el cifrado o descifrado del disco. Los volúmenes de detección no se admiten en volúmenes que usan cifrado de hardware.
Constante/Valor Descripción FVE_E_PROTECTOR_CHANGE_MAX_PASSPHRASE_CHANGE_ ATTEMPTS_REACHED BitLocker ha deshabilitado los cambios de contraseña después de demasiadas solicitudes con error.
Constante/Valor Descripción 0x803100CE FVE_E_BUFFER_TOO_LARGE 0x803100CF 100 Dell Data Protection | Endpoint Security Suite Solución de problemas El búfer de entrada es demasiado grande.
15 Glosario Activar: la activación se produce cuando el equipo se ha registrado en Dell Enterprise Server/VE y ha recibido al menos un conjunto de políticas inicial. Active Directory (AD): es un servicio de directorios creado por Microsoft para las redes de dominio de Windows. Advanced Authentication: el producto Advanced Authentication ofrece opciones de lectura de huellas digitales, tarjetas inteligentes y tarjetas inteligentes sin contacto.
Claves de cifrado: en la mayoría de los casos, el cliente Encryption utiliza la clave de usuario más dos claves de cifrado adicionales. Sin embargo, hay excepciones: todas las políticas de SDE y la política Proteger credenciales de Windows utilizan la clave de SDE. La política Cifrar archivo de paginación de Windows y Proteger archivo de hibernación de Windows utilizan su propia clave, la Clave de propósito general (GPK).
usuario. Los procesos de cifrado común y de usuario están pensados para proteger información de usuarios que se considera confidencial, ya que particular, exigen una contraseña de usuario para efectuar el desbloqueo de las claves de cifrado. Las políticas de SDE no cifran los archivos que necesita el sistema operativo para el proceso de inicio. Las políticas de SDE no requieren de autenticación antes del inicio ni interfieren de manera alguna con el registro de inicio maestro.