Dell Data Protection | Endpoint Security Suite Guia de instalação avançada v1.
Notas, avisos e advertências NOTA: Uma NOTA indica informações importantes que ajudam você a usar melhor o seu produto. CUIDADO: Um AVISO indica possíveis danos ao hardware ou perda de dados e ensina como evitar o problema. ATENÇÃO: Uma ADVERTÊNCIA indica possíveis danos à propriedade, risco de lesões corporais ou mesmo risco de vida. © 2017 Dell Inc. Todos os direitos reservados.A Dell, a EMC, e outras marcas são marcas comerciais da Dell Inc. ou suas subsidiárias.
Índice 1 Introdução......................................................................................................................................................6 Antes de começar.............................................................................................................................................................. 6 Usar este guia......................................................................................................................................................
Instalar por linha de comando usando o instalador mestre do ESSE ....................................................................... 30 5 Desinstalar usando o instalador mestre do ESSE ........................................................................................ 32 Desinstalar o instalador mestre do ESSE ..................................................................................................................... 32 Desinstalação por linha de comando....................................
Painel Serviços - Adicionar usuário da conta de domínio............................................................................................55 Arquivo de configuração do servidor de chaves - Adicionar usuário para comunicação com o EE Server..........55 Exemplo de arquivo de configuração...................................................................................................................... 56 Painel Serviços - Reiniciar o serviço do servidor de chaves....................................
1 Introdução Este guia descreve como instalar e configurar o Threat Protection, o cliente Encryption, o cliente de gerenciamento de SED, o Advanced Authentication e o BitLocker Manager. Todas as informações sobre as políticas e suas descrições podem ser encontradas no AdminHelp. Antes de começar 1 Instale o EE Server/VE Server antes de implantar clientes. Localize o guia correto conforme mostrado abaixo, siga as instruções descritas e retorne para este guia.
• • Client Firewall - Monitora a comunicação entre o computador e os recursos na rede e na Internet. Intercepta comunicações potencialmente maliciosas. • Filtro da Web - mostra as classificações de segurança e relatórios de sites ao navegar e fazer pesquisas on-line. A filtragem da Web permite que o administrador do site bloqueie o acesso a sites baseado na classificação de segurança ou no conteúdo.
2 Requisitos Todos os clientes Estes requisitos se aplicam a todos os clientes. Os requisitos apresentados em outras seções se aplicam a clientes específicos. • As práticas recomendadas de TI devem ser seguidas durante a implementação. Isso inclui, sem limitações, ambientes de teste controlados para testes iniciais e implantações escalonadas para os usuários.
Hardware • Os requisitos mínimos de hardware precisam atender às especificações mínimas do sistema operacional.
Se sua organização usa um fornecedor de antivírus que não está na lista, consulte http://www.dell.com/support/Article/us/en/19/ SLN298707 ou entre em contato com o Dell ProSupport para obter ajuda. • O TPM é usado para selar a GPK. Entretanto, se estiver executando o cliente Encryption, limpe o TPM no BIOS antes de instalar um novo sistema operacional no computador cliente. • Não há suporte para upgrade de sistema operacional instalado quando o cliente Encryption está instalado.
NOTA: A mídia externa precisa ter aproximadamente 55 MB disponíveis, além de espaço livre na mídia igual ao maior arquivo a ser criptografado para hospedar o EMS. NOTA: O Windows XP só é suportado ao usar o EMS Explorer. Sistemas operacionais Windows suportados para acessar mídia protegida por EMS (32 e 64 bits) • • • • Windows 7 SP0-SP1: Enterprise, Professional, Ultimate, Home Premium Windows 8: Enterprise, Pro, Consumer Windows 8.
Uso Protocolo de aplicativo Protocolo Número da de porta transport e Destino Direção Atualizações de antivírus HTTP TCP 443/fallback 80 vs.mcafeeasap.com Saída Mecanismo de antivírus/ atualizações de assinatura SSL TCP 443 vs.mcafeeasap.com Saída Mecanismo de antispam HTTP TCP 443 vs.mcafeeasap.com Saída Regras de antispam e atualizações de streaming HTTP TCP 80 vs.mcafeeasap.
ou • Desative a PBA, altere o método de autenticação e ative novamente a PBA. IMPORTANTE: Em função da natureza do RAID e das SEDs, o gerenciamento de SED não suporta o RAID. O problema de RAID=On com SEDs é que o RAID exige acesso ao disco para ler e gravar dados relacionados ao RAID em um alto setor não disponível em uma SED bloqueada desde o início e não consegue aguardar para ler esses dados até o usuário ter feito login. Altere a operação de SATA no BIOS de RAID=On para AHCI para resolver o problema.
Modelos de computador Dell - Suporte para UEFI • • • • • • • • • • • • • • Latitude E7265 • Latitude E7270 • Latitude E7275 Latitude E7280 Latitude E7350 Latitude E7440 Latitude E7450 Latitude E7460 Latitude E7470 Latitude E7480 Latitude 12 Rugged Extreme Latitude 12 Rugged Tablet (Modelo 7202) Latitude 14 Rugged Extreme Latitude 14 Rugged Precision T3620 Precision T7810 • • • • • • • • OptiPlex 7020 Optiplex 7040 Micro, Minitorre, Fator de forma pequeno OptiPlex 7050 Tower, Small Form Factor, Micro Opt
Sistemas operacionais Windows (32 e 64 bits) • Windows 10: Education, Enterprise, Pro Cliente Advanced Authentication • Ao usarem o Advanced Authentication, os usuários estarão protegendo o acesso ao computador com o uso de credenciais de autenticação avançadas que são gerenciadas e inscritas usando o Security Tools. O Security Tools se tornará o gerenciador principal das credenciais de autenticação para login no Windows, incluindo, senha, impressão digital e cartões inteligentes do Windows.
Sistemas operacionais do cliente de autenticação avançada Sistemas operacionais Windows • A tabela a seguir detalha os sistemas operacionais suportados. Sistemas operacionais Windows (32 e 64 bits) • • • • Windows 7 SP0-SP1: Enterprise, Professional, Ultimate Windows 8: Enterprise, Pro Windows 8.1 Update 0-1: Enterprise Edition, Pro Edition Windows 10: Education, Enterprise, Pro NOTA: O modo UEFI não é suportado no Windows 7.
Pré-requisitos do cliente BitLocker Manager • O instalador mestre do ESS instalará o Microsoft Visual C++2010 SP1 e o Microsoft Visual C++ 2012 Update 4 caso ainda não estejam instalados no computador. Quando estiver usando o instalador filho, você precisará instalar esses componentes antes de instalar o BitLocker Manager.
Não UEFI PBA Senha Autenticação do Windows Impressã o digital Cartão OTP inteligent e de contato Cartão SIPR Windows 10 Senha Impressã o digital Cartão OTP inteligent e Cartão SIPR X X2 X2 X2 X1 1. Disponível quando instalado com o Instalador Mestre ou com o pacote Advanced Authentication ao usar instaladores filhos. 2. Disponível quando os drivers de autenticação forem baixados do site support.dell.com.
UEFI PBA - em computadores Dell compatíveis Senha Impressã o digital Cartão OTP inteligent e de contato Autenticação do Windows Cartão SIPR Senha Impressã o digital Cartão OTP inteligent e Cartão SIPR Windows 7 Windows 8 X4 X X2 X2 X1 X2 Windows 8.1 X4 X X2 X2 X1 X2 Windows 10 X4 X X2 X2 X1 X2 1. Disponível quando instalado com o Instalador Mestre ou com o pacote Advanced Authentication ao usar instaladores filhos. 2.
UEFI PBA5 - em computadores Dell compatíveis Senha Impressã o digital Cartão OTP inteligent e de contato Autenticação do Windows Cartão SIPR Senha Impressã o digital Cartão OTP inteligent e Cartão SIPR Windows 8.1 X X2 X2 X1 X2 Windows 10 X X2 X2 X1 X2 Windows Server 2008 R2 (64 bits) X X2 1. Disponível quando instalado com o Instalador Mestre ou com o pacote Advanced Authentication ao usar instaladores filhos. 2.
3 Configurações de registro • Esta seção detalha todas as configurações de registro aprovadas pelo Dell ProSupport para computadores clientes locais, independentemente do motivo para a configuração do registro. Se uma configuração de registro envolve dois produtos, ela será apresentada na lista de cada categoria. • Essas alterações no registro devem ser feitas apenas por administradores e podem não ser adequadas ou podem não funcionar em todos os cenários.
• Por padrão, o ícone da bandeja de sistema será mostrado durante a instalação. Use a seguinte configuração de registro para ocultar o ícone da bandeja de sistema para todos os usuários gerenciados em um computador após a instalação original. Crie ou modifique a configuração do registro como indicado abaixo: [HKLM\Software\CREDANT\CMGShield] "HIDESYSTRAYICON"=dword:1 • Por padrão, todos os arquivos temporários no diretório c:\windows\temp são automaticamente apagados durante a instalação.
Se não houver uma entrada presente, o inventário otimizado será enviado ao EE Server/VE Server. • Enviar um inventário completo ao EE Server/VE Server: Crie ou modifique a configuração do registro como indicado abaixo: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "OnlySendInvChanges"=REG_DWORD:0 Se não houver uma entrada presente, o inventário otimizado será enviado ao EE Server/VE Server. • Enviar um inventário completo de todos os usuários ativados [HKLM\SOFTWARE\Microsoft\Win
ativação falhar devido a uma falha de rede, a ativação será tentada após a reconexão da rede, mesmo que o valor em MISSTHRESHOLD não tenha excedido. Se um usuário fizer o logout antes de o tempo de ativação ser atingido, um novo intervalo será atribuído no próximo login. • [HKCU/Software/CREDANT/ActivationSlot] (dados por usuário) O tempo adiado para tentar a ativação dividida, o qual é definido quando o usuário faz o login na rede pela primeira vez depois de habilitar a ativação dividida.
0 = Desativado (padrão) 1 = Ativado • O recurso de ativação fora de domínio pode ser ativado entrando em contato com o Dell ProSupport e solicitando instruções. Configurações de registro do cliente Threat Protection • Os eventos do Threat Protection que o cliente envia ao EE Server/VE Server não são automaticamente arquivados no computador cliente. Configure a seguinte chave de registro para arquivar eventos no computador cliente, por exemplo, se o acesso ao EE Server/VE Server está indisponível. [HKLM\S
gerenciamento de SED). Antes de ativar a validação de confiança de SSL/TLS no computador cliente, os seguintes requisitos precisam ser atendidos. • Um certificado assinado por uma autoridade raiz, como EnTrust ou Verisign, precisa ser importado para o EE Server/VE Server. • A cadeia completa de confiança do certificado precisa ser armazenada no Microsoft keystore no computador do cliente.
• O URL do Security Server pode ser alterado do local de instalação original, se necessário. Esse valor é lido pelo computador cliente toda vez que ocorre uma mudança de política. Altere o valor de registro a seguir no computador cliente: [HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent] "ServerUrl"=REG_SZ:https://..
Configurações de registro do cliente BitLocker Manager • Se um certificado autoassinado for usado no EE Server/VE Server para o BitLocker Manager, a validação de confiança de SSL/TLS precisa permanecer desativada no computador cliente (a validação de confiança de SSL/TLS é desativada por padrão com o BitLocker Manager). Antes de ativar a validação de confiança de SSL/TLS no computador cliente, os seguintes requisitos precisam ser atendidos.
4 Instalar usando o instalador mestre do ESSE • Parâmetros e opções de linha de comando fazem distinção entre maiúsculas e minúsculas. • Para instalar usando portas que não são as portas padrão, use os instaladores filhos em vez do instalador mestre do ESSE. • Os arquivos de log do instalador mestre do ESS estão localizados em C:\ProgramData\Dell\Dell Data Protection\Installer.
7 Selecione os componentes a serem instalados. A opção Security Framework instala a estrutura de segurança subjacente e o Security Tools, o cliente de autenticação avançada que gerencia múltiplos métodos de autenticação, incluindo PBA e credenciais como impressões digitais e senhas. A Advanced Authentication (Autenticação avançada) instala os arquivos e serviços necessários para a Autenticação avançada.
Parâmetro Descrição SUPPRESSREBOOT Suprime a reinicialização automática após a conclusão da instalação. Pode ser usado no modo SILENCIOSO. Servidor Especifica a URL do EE Server/VE Server. InstallPath Especifica o caminho da instalação. Pode ser usado no modo SILENCIOSO. FEATURES Especifica os componentes que podem ser instalados no modo SILENCIOSO.
5 Desinstalar usando o instalador mestre do ESSE • Cada componente precisa ser desinstalado separadamente, seguido pela desinstalação do instalador mestre do ESSE . Os clientes precisam ser desinstalados em uma ordem específica para evitar falhas de desinstalação. • Siga as instruções em Extrair os instaladores filhos do instalador mestre do ESS para obter os instaladores filhos.
6 Instalar usando os instaladores filhos • Para instalar cada cliente individualmente, os arquivos executáveis filhos precisam primeiro ser extraídos do instalador mestre do ESSE , como mostrado em Extrair os instaladores filhos do instalador mestre do ESS. • Os exemplos de comandos incluídos nesta seção presumem que eles sejam executados a partir de C:\extracted. • Parâmetros e opções de linha de comando fazem distinção entre maiúsculas e minúsculas.
• Opção Significado /qb! Caixa de diálogo de andamento sem o botão Cancelar, solicita a reinicialização /qb!- Caixa de diálogo de andamento sem o botão Cancelar, reinicia-se após a conclusão do processo /qn Sem interface do usuário /norestart Suprime a reinicialização Oriente os usuários a consultar o documento e os arquivos de ajuda a seguir para obter ajuda com o aplicativo: • Consulte a Ajuda de criptografia Dell para aprender como usar o recurso do cliente Encryption.
Parâmetros SERVERHOSTNAME= (FQDN do Dell Server para reativação) POLICYPROXYHOSTNAME= (FQDN of the default Policy Proxy) MANAGEDDOMAIN= (Domínio a ser usado pelo dispositivo) DEVICESERVERURL= (URL usado para ativação, normalmente inclui o nome do servidor, porta e xapi) GKPORT= (Porta de gatekeeper) MACHINEID= (Nome do computador) RECOVERYID= (ID de recupe
msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/" HIDESYSTRAYICON="1" HIDEOVERLAYICONS="1" NOTA: Alguns clientes mais antigos podem precisar de caracteres de escape, como "\", ao redor dos valores de parâmetros. Por exemplo: DDPE_XXbit_setup.exe /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER= \"server.
Parâmetros Descrição wc=Web Protection NOTA: Todos os três módulos precisam ser instalados. • override "hips" Não instalar o Host Intrusion Prevention INSTALLDIR Local de instalação não padrão nocontentupdate Diz ao instalador para não atualizar automaticamente os arquivos de conteúdo como parte do processo de instalação. A Dell recomenda agendar uma atualização logo após a instalação. nopreservesettings Não salva as configurações.
• O exemplo a seguir instala o cliente com os parâmetros padrão (suprime a reinicialização, nenhum diálogo, nenhuma barra de andamento, nenhuma entrada na lista de programas do Painel de controle). "Dell Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi" /qn REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1 \Dell Threat Protection\SDK • O exemplo a seguir instala o Threat Protection SDK. "Dell Threat Protection\SDK\EnsMgmtSdkInstaller.exe" -ProtectProcesses "C:\Program Files\Dell \Dell Data Pro
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 / norestart /qn" Em seguida: \Security Tools\Authentication • O exemplo a seguir instala o Advanced Authentication (instalação silenciosa, nenhuma reinicialização) setup.
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.
7 Desinstalar usando os instaladores filhos • Para desinstalar cada cliente individualmente, os arquivos executáveis filhos precisam primeiro ser extraídos do instalador mestre do ESS , como mostrado em Extrair os instaladores filhos do instalador mestre do ESS. Como alternativa, execute uma instalação administrativa para extrair o .msi. • Certifique-se de que as mesmas versões dos clientes usadas na instalação sejam usadas na desinstalação.
Opção Significado /qb!- Caixa de diálogo de andamento sem o botão Cancelar, reinicia-se após a conclusão do processo /qn Sem interface do usuário Desinstalar clientes Threat Protection Desinstalação por linha de comando • Depois de ser extraído do instalador mestre do ESS, o instalador do cliente Threat Protection pode ser encontrado em C:\extracted \Dell Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi.
• Você precisa usar o Dell Administrative Utility (CMGAd) antes de iniciar o Encryption Removal Agent se estiver usando a opção Importar chaves de um arquivo do Encryption Removal Agent. Esse utilitário é usado para obter o pacote de chaves de criptografia. Consulte Usar o Administrative Download Utility (CMGAd) para obter instruções. O utilitário pode ser encontrado na mídia de instalação Dell.
• Parâmetro Seleção SVCLOGONPWD Senha para login como usuário. O exemplo a seguir desinstala silenciosamente o cliente Encryption e faz download das chaves de criptografia do EE Server. DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1 DA_SERVER=server.organization.com DA_PORT=8050 SVCPN=administrator@organization.com DA_RUNAS=domain\username DA_RUNASPWD=password /qn" Comando MSI: msiexec.exe /s /x "Dell Data Protection Encryption.
Desativar o PBA 1 Como um administrador Dell, faça login no Remote Management Console. 2 No painel esquerdo, clique em > Proteger e gerenciar endpoints. 3 Selecione o Tipo de endpoint apropriado. 4 Selecione Mostrar >Visível, Oculto ou Todos. 5 Se você souber o nome de host do computador, digite-o no campo Nome de host (há suporte para caracteres curinga). Você pode deixar o campo em branco para ver todos os computadores. Clique em Pesquisar.
Desinstalar o cliente BitLocker Manager Desinstalação por linha de comando • Depois de extraído do instalador mestre do ESSE , o instalador do cliente BitLocker pode ser localizado em C:\extracted\Security Tools \EMAgent_XXbit_setup.exe. • O exemplo a seguir desinstala silenciosamente o cliente BitLocker Manager. EMAgent_XXbit_setup.exe /x /s /v" /qn" Reinicie o computador ao terminar.
8 Cenários mais utilizados • Para instalar cada cliente individualmente, os arquivos executáveis filhos precisam primeiro ser extraídos do instalador mestre do ESSE , como mostrado em Extrair os instaladores filhos do instalador mestre do ESS. • O cliente de SED é necessário para o Advanced Authentication na v8.x, e é por isso que ele faz parte da linha de comando nos exemplos a seguir. • Parâmetros e opções de linha de comando fazem distinção entre maiúsculas e minúsculas.
• Oriente os usuários a consultar o documento e os arquivos de ajuda a seguir para obter ajuda com o aplicativo: • Consulte a Ajuda de criptografia Dell para aprender como usar o recurso do cliente Encryption. Acesse a ajuda em : \Program Files\Dell\Dell Data Protection\Encryption\Help. • Consulte a Ajuda EMS para aprender sobre os recursos do External Media Shield. Acesse a ajuda em :\Program Files \Dell\Dell Data Protection\Encryption\EMS.
• O exemplo a seguir instala o Threat Protection SDK. EnsMgmtSdkInstaller.exe -ProtectProcesses "C:\Program Files\Dell\Dell Data Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >"C:\ProgramData\Dell \Dell Data Protection\Installer Logs\McAfeeSDKInstallerAfterEndPoint.
• O exemplo a seguir instala apenas o EMS (instalação silenciosa, sem reinicialização, no local padrão C:\Program Files\Dell\Dell Data Protection). DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https://server.organization.
9 Configuração de pré-instalação para senha de uso único, SED UEFI e BitLocker Inicializar o TPM • É preciso ser membro do grupo de administradores locais ou ter função equivalente. • O computador precisa estar equipado com BIOS e módulo TPM compatíveis. Essa tarefa é necessária se você estiver usando uma senha de uso único (OTP). • Siga as instruções disponíveis em http://technet.microsoft.com/en-us/library/cc753140.aspx.
Desativar ROMs de opção preexistentes Verifique se a configuração de Ativar ROMs de opção preexistentes está desativada no BIOS. 1 Reinicie o computador. 2 Quando a reinicialização começar, pressione F12 repetidamente para abrir as configurações de inicialização do computador com UEFI. 3 Pressione a seta para baixo, realce a opção Configurações do BIOS e pressione Enter. 4 Selecione Configurações > Geral > Opções avançadas de inicialização.
10 Configurar GPO no controlador de domínio para ativar direitos • Se os seus clientes forem habilitados no Dell Digital Delivery (DDD), siga estas instruções para definir o GPO no controlador de domínio para ativar a habilitação (esse pode não ser o mesmo servidor que executa o EE Server/VE Server). • A estação de trabalho precisa ser membro do OU em que o GPO é aplicado. NOTA: Verifique se a porta de saída 443 está disponível para se comunicar com o EE Server/VE Server.
11 Extrair os instaladores filhos do instalador mestre do ESSE • Para instalar cada cliente individualmente, extraia os arquivos executáveis filhos do instalador. • O instalador mestre do ESSE não é um desinstalador mestre. Cada cliente precisa ser desinstalado individualmente, seguido pela desinstalação do instalador mestre do ESSE . Use esse processo para extrair os clientes do instalador mestre do ESSE para que possam ser usados para desinstalação.
12 Configurar o Key Server para desinstalação do cliente Encryption ativado no EE Server • Esta seção explica como configurar os componentes para uso com autenticação/autorização Kerberos usando um EE Server. O VE Server não usa o Key Server. O Servidor de chaves é um serviço que escuta os clientes conectarem em um soquete.
O formato "superadmin" pode ser qualquer método que puder autenticar no EE Server. O nome de conta SAM, UPN ou domínio \nome de usuário são aceitáveis. Qualquer método que puder autenticar no EE Server é aceitável porque a validação é necessária para essa conta de usuário de autorização em relação ao Active Directory.
Painel Serviços - Reiniciar o serviço do servidor de chaves 1 Volte para o painel Serviços (Iniciar > Executar... > services.msc > OK). 2 Reinicie o serviço do Key Server. 3 Navegue até log.txt para verificar se o serviço foi iniciado corretamente. 4 Feche o painel Serviços. Remote Management Console - Adicionar administrador forense 1 Se necessário, faça login no Remote Management Console. 2 Clique em Populações > Domínios.
13 Usar o utilitário de download administrativo (CMGAd) • Este utilitário possibilita fazer download de um pacote de materiais de chaves para uso em um computador não conectado a um EE Server/VE Server. • O utilitário usa um dos métodos a seguir para fazer download de um pacote de chaves, dependendo do parâmetro de linha de comando passado ao aplicativo: • Forensic Mode (Modo forense) - Usado se "-f" for incluído na linha de comando ou se nenhum parâmetro de linha de comando for usado.
Usar o utilitário de download administrativo no modo administrativo O VE Server não usa o Key Server, de forma que o modo administrativo não pode ser usado para obter um pacote de chaves de um VE Server. Use o modo forense para obter um pacote de chaves se o cliente estiver ativado em um VE Server. 1 Abra um prompt de comando onde o CMGAd está localizado e digite cmgad.exe -a. 2 Digite as informações a seguir (alguns campos podem já estar preenchidos).
14 Solução de problemas Todos os clientes - solução de problemas • Os arquivos de log do instalador mestre do ESS estão localizados em C:\ProgramData\Dell\Dell Data Protection\Installer. • O Windows cria arquivos de log de desinstalação do instalador filho exclusivos para o usuário logado em %temp%, localizados em C: \Users\\AppData\Local\Temp. • O Windows cria arquivos de log referentes a pré-requisitos do cliente, como Visual C++, para o usuário logado em %temp%, localizados em C:\Users\
3: registra as informações sobre todos os volumes e arquivos de descriptografia 5: registra as informações de depuração Localizar a versão do TSS • O TSS é um componente que faz interface com o TPM. Para localizar a versão do TSS, acesse (local padrão) C:\Program Files\Dell \Dell Data Protection\Drivers\TSS\bin > tcsd_win32.exe. Clique com o botão direito no arquivo e selecione Propriedades. Verifique a versão do arquivo na guia Detalhes.
2 Acesse Configurações de varredura e digite o caminho da pasta no campo Caminho de pesquisa. Se este campo for usado, a seleção na caixa suspensa será ignorada. 3 Se você não quiser gravar a saída de WSScan em um arquivo, desmarque a caixa de seleção Saída para arquivo. 4 Se quiser, altere o caminho padrão e o nome do arquivo em Caminho. 5 Selecione Adicionar a arquivo existente se você não deseja substituir nenhum arquivo de saída WSScan existente.
Switch Significado -uv Reporta apenas arquivos descriptografados que violam política (É=Não / Deve=S) -uav Reporta apenas arquivos descriptografados que violam política (É=Não / Deve=S), usando todas as políticas de usuário. -d Especifica o que usar como separador de valor para saída delimitada -q Especifica que valores devem estar aspas para saída delimitada -e Inclui campos de criptografia estendida na saída delimitada -x Exclui um diretório da verificação. Múltiplas exclusões são permitidas.
Saída Significado Rijndael 128 Rijndael 256 AES 128 AES 256 3DES Usar o WSProbe O Utilitário de sondagem é para uso com todas as versões do cliente Encryption, com exceção das políticas de EMS. Use o Utilitário de sondagem para: • Verificar ou agendar uma verificação de um computador criptografado. O Utilitário de sondagem segue a política Prioridade da verificação de estações de trabalho. • Desativar temporariamente ou reativar a Lista de criptografia de dados de aplicativos do usuário atual.
Parâmetros Parâmetro Para caminho Opcionalmente, especifique um determinado caminho no dispositivo que você quer verificar quanto à possível criptografia/descriptografia. Se você não especificar um caminho, o utilitário verificará todas as pastas relacionadas com as suas políticas de criptografia. -h Mostra a Ajuda da linha de comando. -f Solucionar problemas conforme instruído pelo Dell ProSupport -u Desativa temporariamente ou reativa a Lista de criptografia de dados de aplicativos do usuário.
Solução de problemas do cliente SED Usar a política Código de acesso inicial • Essa política é usada para fazer login em um computador quando o acesso à rede está indisponível. Ou seja, o acesso ao EE Server/VE Server e ao AD não está disponível a ambos. Use a política Código de acesso inicial apenas se for absolutamente necessário. A Dell não recomenda esse método para fazer login.
• Você não consegue ver o ícone de conexão do DDP EE Server/VE Server. O arquivo de log contém informações para ajudar o diagnóstico de problemas de conectividade do EE Server/VE Server. • A autenticação falha mesmo com a digitação das credenciais corretas. O arquivo de log usado com os logs do EE Server/VE Server pode ajudar a diagnosticar o problema. Capturar logs ao fazer a inicialização na PBA (PBA herdada) 1 Crie uma pasta em uma unidade USB e a nomeie \CredantSED, no nível da raiz da unidade USB.
DICA: Instale o driver primeiro. O nome de arquivo do driver quando este documento foi criado é ControlVault_Setup_2MYJC_A37_ZPE.exe. 3 Clique em Continue (Continuar) para começar. 4 Clique em OK para descompactar os arquivos do driver no local padrão C:\Dell\Drivers\. 5 Clique em Sim para criar uma nova pasta. 6 Clique em Ok quando for mostrada a mensagem de que a descompactação foi bem-sucedida. 7 A pasta que contém os arquivos deve ser mostrada após a extração.
Computadores com UEFI Solucionar problemas de conexão de rede • Para a autenticação de pré-inicialização ser bem-sucedida em um computador com firmware de UEFI, o modo de PBA precisa ter conectividade de rede. Por padrão, os computadores com firmware de UEFI não têm conectividade de rede até que o sistema operacional seja carregado, o que ocorre após o modo de PBA.
Constante/Valor Descrição TPM_E_DISABLED_CMD O comando de destino foi desabilitado. 0x80280008 TPM_E_FAIL A operação falhou. 0x80280009 TPM_E_BAD_ORDINAL O ordinal era desconhecido ou estava inconsistente. 0x8028000A TPM_E_INSTALL_DISABLED A capacidade de instalar um proprietário está desabilitada. 0x8028000B TPM_E_INVALID_KEYHANDLE Não é possível interpretar o identificador de chave. 0x8028000C TPM_E_KEYNOTFOUND O identificador de chave aponta para uma chave inválida.
Constante/Valor Descrição TPM_E_SIZE O TPM não tem espaço para executar a operação. 0x80280017 TPM_E_WRONGPCRVAL O valor de PCR nomeado não corresponde ao valor de PCR atual. 0x80280018 TPM_E_BAD_PARAM_SIZE O argumento paramSize para o comando tem o valor incorreto 0x80280019 TPM_E_SHA_THREAD Não existe nenhum thread SHA-1.
Constante/Valor Descrição TPM_E_INVALID_POSTINIT O comando foi recebido na sequência incorreta em relação a TPM_Init e TPM_Startup subsequente. 0x80280026 TPM_E_INAPPROPRIATE_SIG 0x80280027 TPM_E_BAD_KEY_PROPERTY 0x80280028 TPM_E_BAD_MIGRATION Os dados assinados não podem incluir informações adicionais de DER. Não há suporte para as propriedades principais em TPM_KEY_PARMs deste TPM. As propriedades de migração desta chave estão incorretas.
Constante/Valor Descrição TPM_E_INVALID_RESOURCE Tipo de recurso identificado no contexto ao salvar não correspondente ao recurso real. 0x80280035 TPM_E_NOTFIPS 0x80280036 TPM_E_INVALID_FAMILY O TPM está tentando executar um comando disponível apenas no modo FIPS. O comando está tentando usar uma identificação de família inválida. 0x80280037 TPM_E_NO_NV_PERMISSION Permissão para manipular o armazenamento NV não disponível. 0x80280038 TPM_E_REQUIRES_SIGN A operação requer um comando assinado.
Constante/Valor Descrição TPM_E_KEY_OWNER_CONTROL A chave está sob o controle do Proprietário de TPM e só pode ser removida por ele. 0x80280044 TPM_E_BAD_COUNTER Identificador de contador incorreto. 0x80280045 TPM_E_NOT_FULLWRITE A gravação da área não está completa. 0x80280046 TPM_E_CONTEXT_GAP O intervalo entre as contagens de contexto salvo é muito grande. 0x80280047 TPM_E_MAXNVWRITES 0x80280048 TPM_E_NOOPERATOR O número máximo de gravações NV sem proprietário foi ultrapassado.
Constante/Valor Descrição TPM_E_DAA_ISSUER_SETTINGS Falha na verificação de consistência em DAA_issuerSettings. 0x80280053 TPM_E_DAA_TPM_SETTINGS Falha na verificação de consistência em DAA_tpmSpecific. 0x80280054 TPM_E_DAA_STAGE 0x80280055 TPM_E_DAA_ISSUER_VALIDITY O processo atômico indicado pelo comando DAA enviado não é o processo esperado. A verificação de validade do emissor detectou uma inconsistência. 0x80280056 TPM_E_DAA_WRONG_W Falha na verificação de consistência em w.
Constante/Valor Descrição TPM_E_NOCONTEXTSPACE Não há espaço na lista de contexto para contextos adicionais. 0x80280063 TPM_E_COMMAND_BLOCKED O comando foi bloqueado. 0x80280400 TPM_E_INVALID_HANDLE O identificador especificado não foi encontrado. 0x80280401 TPM_E_DUPLICATE_VHANDLE 0x80280402 TPM_E_EMBEDDED_COMMAND_BLOCKED O TPM retornou um identificador duplicado e é necessário reenviar o comando. O comando no transporte estava bloqueado.
Constante/Valor Descrição TBS_E_IOERROR Erro ao comunicar-se com o TPM. 0x80284006 TBS_E_INVALID_CONTEXT_PARAM Um ou mais parâmetros de contexto são inválidos. 0x80284007 TBS_E_SERVICE_NOT_RUNNING O serviço TBS não está em execução e não foi possível iniciá-lo. 0x80284008 TBS_E_TOO_MANY_TBS_CONTEXTS 0x80284009 TBS_E_TOO_MANY_RESOURCES 0x8028400A TBS_E_SERVICE_START_PENDING Não foi possível criar um novo contexto porque há muitos contextos abertos.
Constante/Valor Descrição 'ForceClear_Allowed' ou 'PhysicalPresencePrompts_Allowed' (conforme indicado pelo valor retornado nas Informações Adicionais) ou habilitar o TPM no BIOS do sistema.) TBS_E_PPI_FUNCTION_UNSUPPORTED 0x80284014 TBS_E_OWNERAUTH_NOT_FOUND A Interface de Presença Física deste firmware não dá suporte para o método solicitado. O valor OwnerAuth de TPM solicitado não foi encontrado.
Constante/Valor Descrição TPMAPI_E_TBS_COMMUNICATION_ERROR Erro ao comunicar-se com o TBS. 0x8029010B TPMAPI_E_TPM_COMMAND_ERROR O TPM retornou um resultado inesperado. 0x8029010C TPMAPI_E_MESSAGE_TOO_LARGE A mensagem era grande demais para o esquema de codificação. 0x8029010D TPMAPI_E_INVALID_ENCODING A codificação no blob não foi reconhecida. 0x8029010E TPMAPI_E_INVALID_KEY_SIZE O tamanho da chave não é válido. 0x8029010F TPMAPI_E_ENCRYPTION_FAILED Falha na operação de criptografia.
Constante/Valor Descrição TPMAPI_E_EMPTY_TCG_LOG O Log de Eventos TCG não contém dados. 0x8029011A TPMAPI_E_INVALID_TCG_LOG_ENTRY Uma entrada no Log de Eventos TCG foi inválida. 0x8029011B TPMAPI_E_TCG_SEPARATOR_ABSENT Um Separador TCG não foi detectado. 0x8029011C TPMAPI_E_TCG_INVALID_DIGEST_ENTRY 0x8029011D TPMAPI_E_POLICY_DENIES_OPERATION Um valor de resumo em uma entrada de log TCG não correspondeu os dados de hash. 0x8029011E A operação solicitada foi bloqueada pela política de TPM atual.
Constante/Valor Descrição TBSIMP_E_SCHEDULER_NOT_RUNNING O agendador TBS não está em execução. 0x8029020A TBSIMP_E_COMMAND_CANCELED O comando foi cancelado. 0x8029020B TBSIMP_E_OUT_OF_MEMORY Não havia memória suficiente para atender à solicitação 0x8029020C TBSIMP_E_LIST_NO_MORE_ITEMS A lista especificada está vazia ou a iteração alcançou o fim da lista. 0x8029020D TBSIMP_E_LIST_NOT_FOUND O item especificado não foi encontrado na lista.
Constante/Valor Descrição TBSIMP_E_PPI_NOT_SUPPORTED Não há suporte para a interface de presença física. 0x80290219 TBSIMP_E_TPM_INCOMPATIBLE 0x8029021A TBSIMP_E_NO_EVENT_LOG O TBS não é compatível com a versão do TPM encontrada no sistema. Nenhum log de evento TCG disponível. 0x8029021B TPM_E_PPI_ACPI_FAILURE 0x80290300 TPM_E_PPI_USER_ABORT Um erro geral foi detectado durante a tentativa de aquisição da resposta da BIOS a um comando de Presença Física.
Constante/Valor Descrição TPM_E_PCP_INTERNAL_ERROR Erro interno inesperado no Provedor de Criptografia de Plataforma. 0x80290407 TPM_E_PCP_AUTHENTICATION_FAILED Falha da autorização ao usar um objeto do provedor. 0x80290408 TPM_E_PCP_AUTHENTICATION_IGNORED 0x80290409 TPM_E_PCP_POLICY_NOT_FOUND O Dispositivo de Criptografia de Plataforma ignorou a autorização para o objeto do provedor para reduzir ataques de dicionário. A política referenciada não foi encontrada.
Constante/Valor Descrição PLA_E_DCS_NOT_RUNNING O Conjunto de Coletores de Dados não está em execução. 0x80300104 PLA_E_CONFLICT_INCL_EXCL_API 0x80300105 PLA_E_NETWORK_EXE_NOT_VALID 0x80300106 PLA_E_EXE_ALREADY_CONFIGURED 0x80300107 PLA_E_EXE_PATH_NOT_VALID 0x80300108 PLA_E_DC_ALREADY_EXISTS Conflito detectado na lista de APIs de inclusão/exclusão. Não especifique a mesma API nas listas de inclusão e exclusão. O caminho executável especificado refere-se a um compartilhamento de rede ou caminho UNC.
Constante/Valor Descrição PLA_E_CABAPI_FAILURE Erro ao tentar compactar ou extrair os dados. 0x80300113 FVE_E_LOCKED_VOLUME 0x80310000 Essa unidade está bloqueada pela Criptografia de Unidade de Disco BitLocker. É necessário desbloquear essa unidade a partir do Painel de controle. FVE_E_NOT_ENCRYPTED Esta unidade não está criptografada.
Constante/Valor Descrição FVE_E_AD_INVALID_DATASIZE O tamanho de dados obtido do Active Directory não era o esperado. As informações de recuperação do BitLocker podem estar faltando ou danificadas.
Constante/Valor Descrição FVE_E_AD_INSUFFICIENT_BUFFER O buffer fornecido a uma função era insuficiente para conter os dados retornados. Aumente o tamanho de buffer antes de executar a função novamente.
Constante/Valor Descrição 0x80310028 FVE_E_AUTOUNLOCK_ENABLED 0x80310029 FVE_E_WRONG_BOOTSECTOR 0x8031002A FVE_E_WRONG_SYSTEM_FS 0x8031002B FVE_E_POLICY_PASSWORD_REQUIRED 0x8031002C FVE_E_CANNOT_SET_FVEK_ENCRYPTED 0x8031002D FVE_E_CANNOT_ENCRYPT_NO_KEY 0x8031002E FVE_E_BOOTABLE_CDDVD 0x80310030 FVE_E_PROTECTOR_EXISTS 0x80310031 FVE_E_RELATIVE_PATH 0x80310032 FVE_E_PROTECTOR_NOT_FOUND 0x80310033 FVE_E_INVALID_KEY_FORMAT 0x80310034 FVE_E_INVALID_PASSWORD_FORMAT 0x80310035 88 Dell Data Protection |
Constante/Valor Descrição FVE_E_FIPS_RNG_CHECK_FAILED Falha no teste de verificação do gerador de número aleatório.
Constante/Valor Descrição 0x80310041 fornecido um PIN corretamente. Verifique se a unidade não foi alterada e se as alterações feitas nas informações de inicialização do sistema foram causadas por uma fonte confiável. Depois de verificar se a unidade oferece acesso seguro, use o console de recuperação do BitLocker para desbloquear a unidade e, em seguida, suspenda e continue o BitLocker para atualizar as informações de inicialização do sistema que o BitLocker associa a essa unidade.
Constante/Valor Descrição FVE_E_REBOOT_REQUIRED É necessário reiniciar o seu computador antes de continuar com a Criptografia de Unidade de Disco BitLocker.
Constante/Valor Descrição 0x8031005C FVE_E_POLICY_RECOVERY_PASSWORD_REQUIRED 0x8031005D FVE_E_POLICY_RECOVERY_KEY_NOT_ALLOWED 0x8031005E FVE_E_POLICY_RECOVERY_KEY_REQUIRED 0x8031005F FVE_E_POLICY_STARTUP_PIN_NOT_ALLOWED 0x80310060 FVE_E_POLICY_STARTUP_PIN_REQUIRED 0x80310061 FVE_E_POLICY_STARTUP_KEY_NOT_ALLOWED 0x80310062 FVE_E_POLICY_STARTUP_KEY_REQUIRED 0x80310063 As configurações de Política de Grupo requerem a criação de uma senha de recuperação.
Constante/Valor Descrição 0x8031006B FVE_E_FIPS_PREVENTS_PASSPHRASE 0x8031006C FVE_E_OS_VOLUME_PASSPHRASE_NOT_ALLOWED 0x8031006D FVE_E_INVALID_BITLOCKER_OID 0x8031006E FVE_E_VOLUME_TOO_SMALL 0x8031006F FVE_E_DV_NOT_SUPPORTED_ON_FS 0x80310070 FVE_E_DV_NOT_ALLOWED_BY_GP 0x80310071 FVE_E_POLICY_USER_CERTIFICATE_NOT_ALLOWED 0x80310072 FVE_E_POLICY_USER_CERTIFICATE_REQUIRED 0x80310073 FVE_E_POLICY_USER_CERT_MUST_BE_HW 0x80310074 A configuração de política de grupo que requer conformidade com FIPS impediu a g
Constante/Valor Descrição 0x80310079 de dados removíveis. Entre em contato com o administrador do sistema se precisar desativar o BitLocker. FVE_E_POLICY_INVALID_PASSPHRASE_LENGTH A senha não corresponde aos requisitos de comprimento mínimo de senha. Por padrão, as senhas devem ter, pelo menos, oito caracteres de comprimento. Verifique com o administrador do sistema quanto ao requisito de comprimento de senha na sua empresa.
Constante/Valor Descrição operacional. Armazenar informações de recuperação para Active Directory Domain Services não pode ser exigido quando a geração de senhas de recuperação não é permitida. Solicite ao seu administrador de sistema que resolva os conflitos de política antes de tentar habilitar o BitLocker. FVE_E_VIRTUALIZED_SPACE_TOO_BIG O tamanho solicitado da virtualização é muito grande.
Constante/Valor Descrição FVE_E_FIPS_HASH_KDF_NOT_ALLOWED A Função de Derivação de Chaves BitLocker SP800-56A padrão para cartões inteligentes ECC não é aceita por seu cartão inteligente. A configuração de Política de Grupo que exige conformidade com FIPS impede que o BitLocker use qualquer outra função de derivação de chaves para criptografia. É necessário usar um cartão inteligente compatível com FIPS em ambientes restritos para FIPS.
Constante/Valor Descrição FVE_E_FULL_ENCRYPTION_NOT_ALLOWED_ON_TP_STORAGE A Criptografia de Unidade de Disco BitLocker só dá suporte ao modo de criptografia somente espaço usado em armazenamento 0x803100A5 com provisionamento dinâmico. FVE_E_WIPE_NOT_ALLOWED_ON_TP_STORAGE 0x803100A6 FVE_E_KEY_LENGTH_NOT_SUPPORTED_BY_EDRIVE 0x803100A7 FVE_E_NO_EXISTING_PASSPHRASE A Criptografia de Unidade de Disco BitLocker não dá suporte para apagar espaço livre em armazenamento com provisionamento dinâmico.
Constante/Valor Descrição FVE_E_EDRIVE_DV_NOT_SUPPORTED Os Volumes de Descoberta não têm suporte para volumes que usam criptografia de hardware. 0x803100B4 FVE_E_NO_PREBOOT_KEYBOARD_DETECTED 0x803100B5 FVE_E_NO_PREBOOT_KEYBOARD_OR_WINRE_DETECTED 0x803100B6 Não foi detectado nenhum teclado de pré-inicialização. O usuário não pode fornecer os dados necessários para desbloquear o volume. Não foi detectado nenhum teclado de pré-inicialização ou Ambiente de Recuperação do Windows.
Constante/Valor Descrição FVE_E_PASSPHRASE_PROTECTOR_CHANGE_BY_STD_USER_ DISALLOWED Você precisa estar conectado com uma conta de administrador para alterar a senha. Clique no link para redefinir a senha como um administrador.
Constante/Valor 0x803100CF 100 Dell Data Protection | Endpoint Security Suite Solução de problemas Descrição
15 Glossário Ativar - a ativação ocorre quando o computador é registrado com o Dell Enterprise Server/VE e recebe pelo menos um conjunto inicial de políticas. Active Directory (AD) - Um serviço de diretório criado pela Microsoft para redes de domínio Windows. Advanced Authentication – O produto Advanced Authentication oferece opções totalmente integradas de leitor de impressões digitais, cartão inteligente e cartão inteligente sem contato.
Chaves de criptografia – Na maioria dos casos, o cliente Encryption usa a chave de usuário e mais duas chaves de criptografia adicionais. Entretanto, existem exceções: todas as políticas do SDE e a política Proteger credenciais do Windows usam a chave do SDE. As políticas Criptografar arquivo de paginação do Windows e Proteger arquivo de hibernação do Windows usam suas próprias chaves, a Chave de uso geral (GPK - General Purpose Key).
invasor altere ou ataque o sistema operacional off-line. O SDE não se destina a dados de usuário. Criptografia comum e de chave de usuário são destinadas a dados confidenciais do usuário, pois exigem uma senha de usuário para desbloquear as chaves de criptografia. As políticas de SDE não criptografam os arquivos necessários para que o sistema operacional comece o processo de inicialização.