O Dell Data Protection | Endpoint Security Suite Guia de instalação avançada v1.
Notas, avisos e advertências NOTA: Uma NOTA indica informações importantes que ajudam a melhorar a utilização do produto. AVISO: Um AVISO indica potenciais danos do hardware ou a perda de dados e explica como evitar o problema. ADVERTÊNCIA: Uma ADVERTÊNCIA indica potenciais danos no equipamento, lesões pessoais ou mesmo morte. © 2017 Dell Inc. Todos os direitos reservados.Dell, EMC e outras marcas registadas são marcas registadas da Dell Inc. ou das suas subsidiárias.
Índice 1 Introdução......................................................................................................................................................6 Antes de começar.............................................................................................................................................................. 6 Utilizar este guia..................................................................................................................................................
Instalar por linha de comandos utilizando o instalador principal do ESS ..................................................................30 5 Desinstalar utilizando o instalador principal do ESSE .................................................................................. 32 Desinstalar o instalador principal do ESSE ...................................................................................................................32 Desinstalação por linha de comando..................................
Painel de Serviços - Adicionar utilizador da conta do domínio...................................................................................55 Ficheiro de configuração do Key Server - Adicionar utilizador para comunicação do EE Server..........................55 Exemplo de ficheiro de configuração...................................................................................................................... 56 Painel de Serviços - Reiniciar o serviço Key Server.....................................
1 Introdução Este guia explica como instalar e configurar o o Threat Protection, o cliente Encryption, o cliente de gestão de SED, a Advanced Authentication e o BitLocker Manager. Todas as informações sobre políticas e as respetivas descrições podem ser encontradas em AdminHelp. Antes de começar 1 Instale o EE Server/VE Server antes de implementar os clientes. Localize o guia correto como mostrado abaixo, siga as instruções e, em seguida, volte a este guia.
• • Client Firewall - Monitoriza a comunicação entre o computador e recursos na rede e na Internet. Intercepta comunicações suspeitas. • Filtro Web - Apresenta classificações de segurança e relatórios para websites durante a navegação online e pesquisas. O Filtro Web permite ao administrador do site bloquear o acesso a websites com base no conteúdo ou na classificação de segurança.
2 Requisitos Todos os clientes Estes requisitos aplicam-se a todos os clientes. Os requisitos indicados nas outras seções aplicam-se a clientes específicos. • Durante a implementação, devem ser seguidas as melhores práticas de TI. Estas incluem, entre outras, ambientes de teste controlados para os testes iniciais e a implementação progressiva para os utilizadores.
Todos os clientes - Hardware • A tabela seguinte apresenta o hardware de computador suportado. Hardware • Os requisitos mínimos de hardware necessitam atender as especificações mínimas do sistema operativo. Todos os clientes - Suporte de idiomas • Os clientes Encryption, Threat Protection, e BitLocker Manager estão em conformidade com a norma Interface de Utilizador Multilingue (MUI) e suportam os seguintes idiomas.
• O cliente Encryption foi sujeito a testes e é compatível com McAfee, com o cliente Symantec, Kaspersky e MalwareBytes. Existem exclusões implementadas para estes fornecedores de produtos anti-vírus, para evitar incompatibilidades entre a monitorização anti-vírus e a encriptação. O cliente Encryption foi também testado com o Microsoft Enhanced Mitigation Experience Toolkit. Se a sua organização utilizar um antivírus de um fornecedor não indicado na lista, consulte http://www.dell.
Sistemas operativos do External Media Shield (EMS) • A tabela seguinte apresenta os sistemas operativos suportados ao aceder a suportes com proteção EMS. NOTA: O External Media deve ter, aproximadamente, 55 MB disponíveis, bem como espaço livre no suporte multimédia igual ao maior ficheiro a encriptar para alojar o EMS. NOTA: O Windows XP é suportado apenas quando se utiliza o EMS Explorer.
bloqueadas, as atualizações da assinatura antivírus (ficheiros DAT) não poderão ser transferidas, pelo que os computadores poderão não dispor da proteção mais recente. Certifique-se de que os computadores cliente conseguem aceder aos URL, da seguinte forma. Utilizar Protocolo de aplicação Protocolo Número da de porta transport e Destino Direção Atualizações antivírus HTTP TCP 443/ contingência 80 vs.mcafeeasap.com Porta de saída Atualizações do motor/assinatura antivírus SSL TCP 443 vs.
ou • Desative a PBA, altere o método de autenticação e, em seguida, volte a ativar a PBA. IMPORTANTE: Devido à natureza do RAID e SED, a gestão de SED não suporta RAID. O problema de RAID=On nas SED é que o RAID necessita de acesso ao disco para ler e gravar dados relacionados com o RAID num setor elevado não disponível numa SED bloqueada desde o arranque, e não pode esperar até o utilizador iniciar sessão para ler estes dados.
Modelos de computador Dell - Suporte para UEFI • • • • • • • • • • • • • Latitude E7270 • Latitude E7275 Latitude E7280 Latitude E7350 Latitude E7440 Latitude E7450 Latitude E7460 Latitude E7470 Latitude E7480 Latitude 12 Rugged Extreme Latitude 12 Rugged Tablet (Modelo 7202) Latitude 14 Rugged Extreme Latitude 14 Rugged Precision T7810 • • • • • • • Optiplex 7040 Micro, minitorre, fator de forma reduzido OptiPlex 7050 Tower, fator de forma reduzido, Micro Optiplex 3240 All-In-One OptiPlex 5250 All-In-O
Cliente Advanced Authentication • Ao utilizar Advanced Authentication, os utilizadores terão acesso seguro ao computador através de credenciais da autenticação avançada geridas e registadas utilizando o Security Tools. O Security Tools será o gestor principal das credenciais de autenticação para o Início de sessão do Windows, incluindo a palavra-passe do Windows, impressões digitais e smart cards.
Sistemas operativos Windows (32 e 64 bits) • • • • Windows 7 SP0-SP1: Enterprise, Professional, Ultimate Windows 8: Enterprise, Pro Windows 8.1 Atualização 0-1: Enterprise Edition, Pro Edition Windows 10: Education, Enterprise, Pro NOTA: O modo UEFI não é suportado pelo Windows 7. Sistemas operativos de dispositivos móveis • Os sistemas operativos móveis seguintes são suportados com a funcionalidade Palavra-passe monouso do Security Tools. Sistemas operativos para Android • • • • 4.0 - 4.0.
Pré-requisitos • • Visual C++ 2010 SP1 ou Redistributable Package posterior (x86 e x64) Visual C++ 2012 Update 4 ou Redistributable Package posterior (x86 e x64) Sistemas operativos do cliente BitLocker Manager • A tabela seguinte apresenta os sistemas operativos suportados. Sistemas operativos Windows • • • • • • • • Windows 7 SP0-SP1: Enterprise, Ultimate (32 e 64 bits) Windows 8: Enterprise (64 bits) Windows 8.
UEFI PBA - em computadores Dell suportados Autenticação do Windows Palavrapasse Palavrapasse Impressã o digital Smart card Palavra- Cartão Passe SIPR Monouso Windows 8 X X2 X2 X1 X2 Windows 8.1 Update 0-1 X X2 X2 X1 X2 Windows 10 X X2 X2 X1 X2 Impressã o digital Smart card de contacto Palavra- Cartão Passe SIPR Monouso Windows 7 SP0SP1 1. Disponível quando instalado com o instalador principal ou com o pacote Advanced Authentication quando utilizar os instaladores subordinados.
UEFI Windows 10 PBA - em computadores Dell suportados Autenticação do Windows Palavrapasse Palavrapasse Impressã o digital Smart card Palavra- Cartão Passe SIPR Monouso X X2 X2 X1 Impressã o digital Smart card de contacto Palavra- Cartão Passe SIPR Monouso X4 X2 1. Disponível quando instalado com o instalador principal ou com o pacote Advanced Authentication quando utilizar os instaladores subordinados. 2.
UEFI PBA5 - em computadores Dell suportados Autenticação do Windows Palavrapasse Palavrapasse Impressã o digital Smart card de contacto Palavra- Cartão Passe SIPR Monouso Windows Server 2008 R2 (64 bits) Impressã o digital X Smart card Palavra- Cartão Passe SIPR Monouso X2 1. Disponível quando instalado com o instalador principal ou com o pacote Advanced Authentication quando utilizar os instaladores subordinados. 2.
3 Definições de registo • Esta secção explica todas as definições de registo aprovadas pelo Dell ProSupport para computadores cliente locais, independentemente do motivo da definição de registo. Se uma configuração de registo se sobrepõe a dois produtos, será indicada em cada uma das categorias. • Estas alterações de registo apenas devem ser efetuadas por Administradores e poderão não ser adequadas ou funcionar em todos os cenários.
[HKLM\Software\CREDANT\CMGShield] "HIDESYSTRAYICON"=dword:1 • Por predefinição, durante a instalação, todos os ficheiros temporários no diretório c:\windows\temp são automaticamente eliminados. A eliminação dos ficheiros temporários acelera a encriptação inicial e ocorre antes do varrimento de encriptação inicial. No entanto, se a sua organização utiliza uma aplicação de terceiros que exija que a estrutura de ficheiros dentro do diretório \temp seja preservada, deverá evitar esta eliminação.
• Enviar inventário completo para o EE Server/VE Server: Crie ou modifique a definição de registo: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "OnlySendInvChanges"=REG_DWORD:0 Se não existir qualquer entrada, o inventário otimizado é enviado para o EE Server/VE Server. • Enviar inventário completo de todos os utilizadores ativados [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "RefreshInventory"=REG_DWORD:1 Esta entrada é eliminada do registo imediatamen
da nova ligação à rede, mesmo que o valor MISSTHRESHOLD não tenha sido excedido. Se um utilizador terminar sessão antes de ser alcançado o período de tempo de ativação, é atribuído um novo intervalo no início de sessão seguinte. • [HKCU/Software/CREDANT/ActivationSlot] (dados por utilizador) Tempo diferido para tentar a ativação em intervalos, que é definido quando o utilizador inicia sessão na rede pela primeira vez após a ativação em intervalos ser ativada.
1=Ativado • A funcionalidade de ativação dos não domínios pode ser ativada contactando o Dell ProSupport e pedindo instruções. Definições de registo do cliente Threat Protection • Os eventos do Threat Protection que o cliente envia para o EE Server/VE Server não são automaticamente arquivados no computador cliente. Defina a seguinte chave de registo para arquivar eventos no computador cliente, por exemplo, se o acesso ao EE Server/VE Server estiver indisponível. [HKLM\Software\Dell\Dell Data Protection\T
• Se for utilizado um certificado autoassinado no EE Server/VE Server para gestão SED, a validação de confiança SSL/TLS deve permanecer desativada no computador cliente (a validação de confiança SSL/TLS está desativada por predefinição na gestão SED). Antes de ativar a validação de confiança SSL/TLS no computador cliente, os requisitos seguintes devem ser cumpridos. • Deve ser importado um certificado assinado por uma autoridade raiz, como EnTrust ou Verisign, para o EE Server/VE Server.
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent] "ServerUrl"=REG_SZ:https://..com:8888/agent Definições de registo do cliente Advanced Authentication • Se não pretender que o cliente Advanced Authentication (Security Tools) altere os serviços associados a smart cards e dispositivos biométricos para um tipo de arranque "automático", desative a funcionalidade de arranque de serviços.
"DisableSSLCertTrust"=DWORD:0 0 = Ativado 1 = Desativado 28 O Dell Data Protection | Endpoint Security Suite Definições de registo
4 Instalar utilizando o instalador principal do ESSE • As opções e parâmetros da linha de comandos são sensíveis a maiúsculas e minúsculas. • Para instalar utilizando portas não predefinidas, utilize os instaladores subordinados em vez do instalador principal do ESSE . • Os ficheiros de registo do instalador principal do ESS mestão localizados em C:\ProgramData\Dell\Dell Data Protection\Installer.
Security Framework instala a framework de segurança subjacente e o Security Tools, o cliente de autenticação avançada que gere múltiplos métodos de autenticação, incluindo PBA e credenciais tais como impressões digitais e palavras-passe. Advanced Authentication instala os ficheiros e serviços necessários para a Autenticação avançada. Encriptação instala o cliente Encryption, o componente que aplica a política de segurança, quer um computador esteja ligado à rede, desligado da rede, seja perdido ou roubado.
Parâmetro Descrição SUPPRESSREBOOT Elimina o reinício automático após a conclusão da instalação. Pode ser utilizado no modo SILENCIOSO. SERVIDOR Especifica o URL do EE Server/VE Server. InstallPath Especifica o caminho da instalação. Pode ser utilizado no modo SILENCIOSO. FUNÇÕES Especifica os componentes que podem ser instalados no modo SILENCIOSO.
5 Desinstalar utilizando o instalador principal do ESSE • Cada componente deve ser desinstalado separadamente e, posteriormente, deve ser efetuada a desinstalação do instalador principal do ESSE . Os clientes devem ser desinstalados numa ordem específica para impedir falhas na desinstalação. • Siga as instruções apresentadas em Extrair os instaladores subordinados do instalador principal do ESS para obter instaladores subordinados.
6 Instalar utilizando instaladores subordinados • Para instalar cada cliente individualmente, primeiro é necessário extrair os ficheiros executáveis subordinados do instalador principal do ESS , conforme descrito em Extrair os instaladores subordinados do instalador principal do ESS. • Os exemplos de comandos incluídos nesta secção assumem que os comandos são executados a partir de C:\extracted. • As opções e parâmetros da linha de comandos são sensíveis a maiúsculas e minúsculas.
• Opção Significado /qb! Caixa de diálogo de Progresso sem botão Cancelar, solicita o reinício /qb!- Caixa de diálogo de Progresso sem botão Cancelar, reinicia-se após a conclusão do processo /qn Sem interface de utilizador /norestart Suprimir reinício Dê a instrução aos utilizadores para consultar o seguinte documento e ficheiros de ajuda para assistência de aplicação: • Consulte a Ajuda do Dell Encrypt para saber como utilizar a funcionalidade do Encryption Client.
Parâmetros SERVERHOSTNAME= (FQDN do Servidor Dell para reativação) POLICYPROXYHOSTNAME= (FQDN do Proxy de política predefinido) MANAGEDDOMAIN= (o domínio a ser utilizado pelo dispositivo) DEVICESERVERURL= (URL utilizado para ativação; normalmente inclui nome do servidor, porta e xapi) GKPORT= (Porta do Gatekeeper) MACHINEID= (Nome do computador) RECOVERYID= (ID de recuperaç
MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/" HIDESYSTRAYICON="1" HIDEOVERLAYICONS="1" NOTA: Alguns clientes mais antigos poderão requerer caracteres de \" à volta dos valores dos parâmetros. Por exemplo: DDPE_XXbit_setup.exe /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER= \"server.organization.com\" DA_PORT=\"8050\" SVCPN=\"administrator@organization.com\" DA_RUNAS=\"domain\username\" DA_RUNASPWD=\"password\" /qn" Instalar clientes Threat Protection • Threa
Parâmetros Descrição NOTA: Terão de ser instalados os três módulos. • override "hips" Não instala a Prevenção contra invasões do anfitrião INSTALLDIR Localização de instalação diferente da predefinida nocontentupdate Indica ao instalador que não deve atualizar ficheiros de conteúdo automaticamente como parte do processo de instalação. A Dell recomenda o agendamento de uma atualização o mais rapidamente possível após a conclusão da instalação. nopreservesettings Não guarda as definições.
• O exemplo seguinte instala o cliente com parâmetros predefinidos (suprime o reinício, sem caixas de diálogo, sem barra de progresso, sem entrada na lista de Programas do Painel de controlo). "Dell Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi" /qn REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1 \Dell Threat Protection\SDK • O exemplo seguinte instala o SDK do Threat Protection. "Dell Threat Protection\SDK\EnsMgmtSdkInstaller.exe" -ProtectProcesses "C:\Program Files\Dell \Dell Data Prote
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 / norestart /qn" Em seguida: \Security Tools\Authentication • O exemplo seguinte instala a Advanced Authentication (instalação silenciosa, sem reinício) setup.
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.
7 Desinstalar utilizando os instaladores subordinados • Para desinstalar cada cliente individualmente, primeiro é necessário extrair os ficheiros executáveis subordinados do instalador principal do ESS , conforme descrito em Extrair os instaladores subordinados do instalador principal do ESS. Em alternativa, execute uma instalação administrativa para extrair o .msi. • Certifique-se de que são utilizadas as mesmas versões do cliente para a desinstalação e para a instalação.
Opção Significado /qb- Caixa de diálogo de Progresso com botão Cancelar, reinicia-se após a conclusão do processo /qb! Caixa de diálogo de Progresso sem botão Cancelar, solicita o reinício /qb!- Caixa de diálogo de Progresso sem botão Cancelar, reinicia-se após a conclusão do processo /qn Sem interface de utilizador Desinstalar os clientes Threat Protection Desinstalação por linha de comando • Uma vez extraído do instalador principal do ESS, o instalador do cliente Threat Protection pode ser loca
• O Key Server (e EE Server) deve ser configurado antes da desinstalação se estiver a utilizar a opção Transferir chaves a partir do servidor do Encryption Removal Agent. Consulte Configurar o Key Server para desinstalação do Encryption Client ativado no EE Server para obter instruções. Não é necessária qualquer ação anterior se o cliente a ser desinstalado está ativado em um VE Server, uma vez que o VE Server não utiliza o Key Server.
• Parâmetro Seleção SVCLOGONUN Nome de utilizador em formato UPN para o início de sessão do serviço Encryption Removal Agent como parâmetro. SVCLOGONPWD Palavra-passe para início de sessão como utilizador. O seguinte exemplo desinstala silenciosamente o Encryption Client e transfere as chaves de encriptação a partir do EE Server. DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1 DA_SERVER=server.organization.com DA_PORT=8050 SVCPN=administrator@organization.com DA_RUNAS=domain\username DA_R
• Desinstalar o software de cliente Advanced Authentication. Desativar a PBA 1 Como Administrador Dell, inicie sessão na Remote Management Console. 2 No painel do lado esquerdo, clique em Proteger e gerir > Endpoints. 3 Selecione o Tipo de endpoint adequado. 4 Selecione Mostrar >Visível, Oculto ou Todos. 5 Se souber o Nome de anfitrião do computador, introduza-o no campo Nome de anfitrião (os caracteres universais são suportados).
• O seguinte exemplo desinstala o cliente BitLocker Manager de forma silenciosa. EMAgent_XXbit_setup.exe /x /s /v" /qn" Reinicie o computador quando concluído.
8 Cenários normalmente utilizados • Para instalar cada cliente individualmente, primeiro é necessário extrair os ficheiros executáveis subordinados do instalador principal do ESS , conforme descrito em Extrair os instaladores subordinados do instalador principal do ESS. • É necessário o cliente SED para a Advanced Authentication na v8.x, motivo pelo qual faz parte da linha de comandos nos exemplos seguintes. • As opções e parâmetros da linha de comandos são sensíveis a maiúsculas e minúsculas.
• Dê a instrução aos utilizadores para consultar o seguinte documento e ficheiros de ajuda para assistência de aplicação: • Consulte a Ajuda do Dell Encrypt para saber como utilizar a funcionalidade do Encryption Client. Aceda à ajuda a partir de :\Program Files\Dell\Dell Data Protection\Encryption\Help. • Consulte a Ajuda do EMS para saber como utilizar as funcionalidades do External Media Shield. Aceda à ajuda a partir de :\Program Files\Dell\Dell Data Protection\Encryption\E
\Threat Protection\SDK • O exemplo seguinte instala o SDK do Threat Protection. EnsMgmtSdkInstaller.exe -ProtectProcesses "C:\Program Files\Dell\Dell Data Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >"C:\ProgramData\Dell \Dell Data Protection\Installer Logs\McAfeeSDKInstallerAfterEndPoint.
Em seguida: • O exemplo seguinte instala apenas o EMS (instalação silenciosa, sem reinício, instalado na localização predefinida C:\Program Files\Dell \Dell Data Protection). DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https://server.organization.
9 Configuração da pré-instalação para Palavrapasse monouso, UEFI SED e BitLocker Inicializar o TPM • Tem de ser membro do grupo local de Administradores ou equivalente. • O computador tem de estar equipado com um BIOS e um TPM compatíveis. Esta tarefa é necessária se utilizar a Palavra-passe monouso (OTP). • Siga as instruções localizadas em http://technet.microsoft.com/en-us/library/cc753140.aspx.
Desativar ROMs de opção legadas Certifique-se de que a definição Ativar ROMs de opção legadas está desativada no BIOS. 1 Reinicie o computador. 2 À medida que se reinicia, prima F12 repetidamente to para abrir as definições de arranque do computador com UEFI. 3 Prima a seta para baixo, realce a opção Definições do BIOS e prima Enter. 4 Selecione Definições > Geral > Opções de arranque avançadas. 5 Desmarque a caixa de verificação Ativar ROMs de opção legadas e clique em Aplicar.
10 Definir GPO no controlador do domínio para ativar as elegibilidades • Se os clientes forem elegíveis partir do Dell Digital Delivery (DDD), siga estas instruções para definir o GPO no controlador do domínio e ativar as elegibilidades (poderá não ser o mesmo servidor a executar o EE Server/VE Server). • A estação de trabalho deve fazer parte da UO onde o GPO está aplicado. NOTA: Certifique-se de que a porta de saída 443 está disponível para comunicar com o EE Server/VE Server.
11 Extrair os instaladores subordinados do instalador principal do ESSE • Para instalar cada cliente individualmente, extraia os ficheiros executáveis subordinados do instalador. • O instalador principal do ESSE não é um desinstalador principal. Cada cliente deve ser desinstalado individualmente e, posteriormente, deve ser efetuada a desinstalação do instalador principal do ESSE .
12 Configurar o Key Server para desinstalação do Encryption Client ativado no EE Server • Esta seção explica como configurar componentes para utilização com a autenticação/autorização Kerberos ao utilizar um EE Server. O VE Server não utiliza o Key Server. O Key Server consiste num serviço que verifica os clientes que se ligam a um socket.
O formato "superadmin" pode incluir qualquer método que possa ser autenticado no EE Server. São aceitáveis o nome de conta SAM, UPN ou o domínio\nome de utilizador. Qualquer método que possa ser autenticado no EE Server é aceitável, uma vez que é necessária validação para essa conta de utilizador no Active Directory.
Painel de Serviços - Reiniciar o serviço Key Server 1 Volte ao painel de Serviços (Iniciar > Executar... > services.msc > OK). 2 Reinicie o serviço Key Server. 3 Navegue até \log.txt para verificar se o serviço foi iniciado adequadamente. 4 Feche o painel Serviços. Remote Management Console - Adicionar administrador forense 1 Caso necessário, inicie a sessão na Remote Management Console. 2 Clique em Populações > Domínios. 3 Selecione o Domínio adequado.
13 Utilizar o Administrative Download Utility (CMGAd) • Este utilitário permite a transferência de um pacote de material de chave para utilização num computador que não está ligado a um servidor EE Server/VE Server. • Este utilitário utiliza um dos seguintes métodos para transferir um pacote de chave, dependendo do parâmetro da linha de comandos passado à aplicação: • Modo forense - Utilizado se -f é passado na linha de comandos ou se não é utilizado qualquer parâmetro de linha de comandos.
Utilize o Administrative Download Utility no Modo de administrador O VE Server não utiliza o Key Server, portanto o modo de Administrador não pode ser utilizado para obter um pacote de chave a partir de um VE Server. Utilize o Modo forense para obter o pacote de chaves se o cliente estiver ativado em um VE Server. 1 Abra uma linha de comandos onde o CMGAd está localizado e introduza cmgad.exe -a. 2 Introduza a seguinte informação (alguns campos podem ser pré-preenchidos).
14 Resolução de problemas Todos os clientes - Resolução de problemas • Os ficheiros de registo do instalador principal do ESS m estão localizados em C:\ProgramData\Dell\Dell Data Protection\Installer. • O Windows cria ficheiros de registo de instalação do instalador subordinado únicos para o utilizador com sessão iniciada em %temp %, localizados em C:\Users\\AppData\Local\Temp.
3: regista informações acerca de todos os ficheiros e volumes de desencriptação 5: regista as informações de depuração Encontrar versão do TSS • O TSS é um componente que interage com o TPM. Para encontrar a versão do TSS, aceda a (localização predefinida) C:\Program Files \Dell\Dell Data Protection\Drivers\TSS\bin > tcsd_win32.exe. Clique com o botão direito do rato no ficheiro e selecione Propriedades. Verifique a versão do ficheiro no separador Detalhes.
2 Aceda a Definições de análise e introduza o caminho da pasta no campo Caminho da pesquisa. Se este campo for utilizado, a seleção na caixa pendente será ignorada. 3 Caso não pretenda gravar os resultados de saída do WSScan num ficheiro, desmarque a caixa de verificação Saída para ficheiro. 4 Se pretender, altere o caminho e o nome de ficheiro predefinidos em Caminho. 5 Selecione Adicionar a ficheiro existente se não pretende substituir quaisquer ficheiros de saída WSScan existentes.
Opção Significado -ua- Reportar apenas ficheiros desencriptados, mas utilizar todas as políticas do utilizador para apresentar o campo "should". -uv Reportar ficheiros desencriptados que apenas violem a política (Is=No/Should=Y) -uav Reportar ficheiros desencriptados que apenas violem a política (Is=No/Should=Y), utilizando todas as outras políticas de utilizador.
Saída Significado Tal como apresentado no exemplo acima, "continua encriptado por AES256" RIJNDAEL 128 RIJNDAEL 256 AES 128 AES 256 3DES Utilizar o WSProbe O Probing Utility pode ser utilizado com todas as versões do Encryption Client, exceto as políticas do EMS: Utilize o Probing Utility para: • Analisar ou agendar análises de um computador encriptado. O Probing Utility verifica a sua política de Prioridade de análise da estação de trabalho.
Parâmetros Parâmetro Para caminho Especificação opcional de um caminho específico no dispositivo que pretende analisar para uma possível encriptação/desencriptação. Se não especificar um caminho, este utilitário analisa todas as pastas relacionadas com as suas políticas de encriptação. -h Consulte a Ajuda da linha de comandos.
• Concluído - O varrimento da desencriptação está concluído. É agendada a eliminação do Serviço, do executável, do controlador e do executável do controlador no próximo reinício. Resolução de problemas do cliente SED Utilizar a política de Código de acesso inicial • Esta política é utilizada para iniciar sessão num computador quando o acesso à rede não se encontra disponível. Ou seja, o acesso ao EE Server/VE Server e AD não se encontram disponíveis.
Criar um ficheiro de registo de PBA para resolução de problemas • Poderão existir casos em que é necessário um ficheiro de registo de PBA para a resolução de problemas com a PBA, tais como: • Não consegue ver o ícone de ligação à rede, embora saiba que existe conectividade de rede. O ficheiro de registo contém informações de DHCP para resolver o problema. • Não consegue ver o ícone de ligação ao EE Server/VE Server.
4 Selecione o Sistema operativo do computador de destino. 5 Expanda a categoria Segurança. 6 Transfira e guarde os controladores do Dell ControlVault. 7 Transfira e guarde o firmware do Dell ControlVault. 8 Copie os controladores e o firmware nos computadores de destino, se necessário. Instale o controlador do Dell ControlVault Navegue até à pasta para onde transferiu o ficheiro de instalação do controlador.
: No caso de atualização a partir de uma versão mais antiga de firmware, ser-lhe-á pedida a palavra-passe de administrador. Introduza Broadcom como palavra-passe e clique em Enter se esta caixa de diálogo for apresentada. Várias mensagens de estado serão apresentadas. 10 Clique em Reiniciar para concluir a atualização do firmware. A atualização dos controladores e do firmware do Dell ControlVault foi concluída.
Constante/Valor Descrição TPM_E_CLEAR_DISABLED O sinalizador de desativação de limpeza está definido e todas as operações de limpeza requerem agora acesso físico. 0x80280005 TPM_E_DEACTIVATED Ativa o TPM. 0x80280006 TPM_E_DISABLED Ativa o TPM. 0x80280007 TPM_E_DISABLED_CMD O comando de destino foi desativado. 0x80280008 TPM_E_FAIL Falha na operação. 0x80280009 TPM_E_BAD_ORDINAL O ordinal era desconhecido ou inconsistente.
Constante/Valor Descrição TPM_E_OWNER_SET O TPM já tem um proprietário. 0x80280014 TPM_E_RESOURCES 0x80280015 TPM_E_SHORTRANDOM O TPM tem recursos internos insuficientes para executar a ação pedida. Uma cadeia aleatória era demasiado curta. 0x80280016 TPM_E_SIZE O TPM não tem espaço para executar a operação. 0x80280017 TPM_E_WRONGPCRVAL O valor de PCR nomeado não corresponde ao valor de PCR atual.
Constante/Valor Descrição TPM_E_NO_ENDORSEMENT O TPM não tem uma Chave de Endossamento (EK) instalada. 0x80280023 TPM_E_INVALID_KEYUSAGE Não é permitida a utilização de uma chave. 0x80280024 TPM_E_WRONG_ENTITYTYPE O tipo de entidade submetido não é permitido. 0x80280025 TPM_E_INVALID_POSTINIT 0x80280026 TPM_E_INAPPROPRIATE_SIG 0x80280027 TPM_E_BAD_KEY_PROPERTY 0x80280028 TPM_E_BAD_MIGRATION O comando foi recebido na sequência errada relativamente a TPM_Init e a um TPM_Startup subsequente.
Constante/Valor Descrição TPM_E_NOTRESETABLE Tentativa de repor um registo PCR que não tem o atributo de reposição. 0x80280032 TPM_E_NOTLOCAL 0x80280033 TPM_E_BAD_TYPE Tentativa de repor um registo PCR que necessita da localidade e o modificador de localidade não faz parte do transporte do comando. Make identity blob não está escrito corretamente.
Constante/Valor Descrição TPM_E_WRITE_LOCKED Já foram escritos dados na área NV. 0x80280041 TPM_E_BAD_ATTRIBUTES Os atributos da área NV estão em conflito. 0x80280042 TPM_E_INVALID_STRUCTURE A etiqueta de estrutura e a versão são inválidas ou inconsistentes. 0x80280043 TPM_E_KEY_OWNER_CONTROL 0x80280044 TPM_E_BAD_COUNTER A chave está sob controlo do Proprietário do TPM e só pode ser expulsa pelo Proprietário do TPM. O identificador de contador está incorreto.
Constante/Valor Descrição TPM_E_DAA_RESOURCES O comando DAA não tem quaisquer recursos disponíveis para executar o comando. 0x80280050 TPM_E_DAA_INPUT_DATA0 0x80280051 TPM_E_DAA_INPUT_DATA1 0x80280052 TPM_E_DAA_ISSUER_SETTINGS A verificação de consistência do parâmetro inputData0 de DAA falhou. A verificação de consistência do parâmetro inputData1 de DAA falhou. A verificação de consistência de DAA_issuerSettings falhou.
Constante/Valor Descrição TPM_E_MA_AUTHORITY Autoridade de migração incorreta. 0x8028005F TPM_E_PERMANENTEK Foi efetuada uma tentativa de revogar a EK e a EK não é revogável. 0x80280061 TPM_E_BAD_SIGNATURE Assinatura incorreta da permissão de CMK. 0x80280062 TPM_E_NOCONTEXTSPACE Não existe espaço na lista de contextos para contextos adicionais. 0x80280063 TPM_E_COMMAND_BLOCKED O comando foi bloqueado. 0x80280400 TPM_E_INVALID_HANDLE O identificador especificado não foi encontrado.
Constante/Valor Descrição TBS_E_INVALID_OUTPUT_POINTER Um apontador de saída especificado está incorreto. 0x80284003 TBS_E_INVALID_CONTEXT 0x80284004 TBS_E_INSUFFICIENT_BUFFER 0x80284005 TBS_E_IOERROR O identificador de contexto especificado não se refere a um contexto válido. Uma memória intermédia de saída especificada é demasiado pequena. Ocorreu um erro ao comunicar com o TPM. 0x80284006 TBS_E_INVALID_CONTEXT_PARAM Um ou mais parâmetros de contexto são inválidos.
Constante/Valor Descrição TBS_E_ACCESS_DENIED O emissor não tem os direitos adequados para executar a operação pedida. 0x80284012 TBS_E_PROVISIONING_NOT_ALLOWED 0x80284013 TBS_E_PPI_FUNCTION_UNSUPPORTED 0x80284014 TBS_E_OWNERAUTH_NOT_FOUND A ação de aprovisionamento de TPM não é permitida pelos sinalizadores especificados. Para que o aprovisionamento seja efetuado com êxito, poderá ser necessária uma de várias ações. A ação da consola de gestão de TPM (tpm.
Constante/Valor Descrição 0x80290107 TPMAPI_E_ACCESS_DENIED 0x80290108 TPMAPI_E_AUTHORIZATION_FAILED O emissor não tem os direitos adequados para executar a operação pedida. As informações de autorização especificadas são inválidas. 0x80290109 TPMAPI_E_INVALID_CONTEXT_HANDLE O identificador de contexto especificado não era válido. 0x8029010A TPMAPI_E_TBS_COMMUNICATION_ERROR Ocorreu um erro ao comunicar com o TBS. 0x8029010B TPMAPI_E_TPM_COMMAND_ERROR O TPM devolveu um resultado inesperado.
Constante/Valor Descrição 0x80290116 TPMAPI_E_INVALID_PCR_DATA Os dados de PCR especificados eram inválidos. 0x80290117 TPMAPI_E_INVALID_OWNER_AUTH O formato dos dados de autenticação do proprietário era inválido. 0x80290118 TPMAPI_E_FIPS_RNG_CHECK_FAILED O número aleatório gerado não passou na verificação FIPS RNG. 0x80290119 TPMAPI_E_EMPTY_TCG_LOG O Registo de Eventos TCG não contém quaisquer dados. 0x8029011A TPMAPI_E_INVALID_TCG_LOG_ENTRY Uma entrada no Registo de Eventos TCG era inválida.
Constante/Valor Descrição 0x80290206 TBSIMP_E_INVALID_OUTPUT_POINTER 0x80290207 TBSIMP_E_INVALID_PARAMETER O apontador para a localização do identificador devolvida era NULL ou inválido Um dos parâmetros não é válido. 0x80290208 TBSIMP_E_RPC_INIT_FAILED Não foi possível inicializar o subsistema de RPC. 0x80290209 TBSIMP_E_SCHEDULER_NOT_RUNNING O programador de TBS não está em execução. 0x8029020A TBSIMP_E_COMMAND_CANCELED O comando foi cancelado.
Constante/Valor Descrição 0x80290215 TBSIMP_E_HASH_TABLE_FULL Não podem ser adicionadas novas entradas na tabela hash. 0x80290216 TBSIMP_E_TOO_MANY_TBS_CONTEXTS 0x80290217 TBSIMP_E_TOO_MANY_RESOURCES 0x80290218 TBSIMP_E_PPI_NOT_SUPPORTED Não foi possível criar um novo contexto de TBS porque existem demasiados contextos abertos. Não foi possível criar um novo recurso virtual porque existem demasiados recursos virtuais abertos. A interface de presença física não é suportada.
Constante/Valor Descrição 0x80290403 TPM_E_PCP_FLAG_NOT_SUPPORTED 0x80290404 TPM_E_PCP_NOT_SUPPORTED 0x80290405 TPM_E_PCP_BUFFER_TOO_SMALL 0x80290406 TPM_E_PCP_INTERNAL_ERROR 0x80290407 TPM_E_PCP_AUTHENTICATION_FAILED Um sinalizador fornecido ao Fornecedor Criptográfico da Plataforma não é suportado. A operação pedida não é suportada por este Fornecedor Criptográfico da Plataforma. A memória intermédia é demasiado pequena para conter todos os dados. Não foram escritas informações na memória intermédia.
Constante/Valor Descrição 0x00300100 PLA_E_PROPERTY_CONFLICT Conflito de valores da propriedade. 0x80300101 PLA_E_DCS_SINGLETON_REQUIRED 0x80300102 PLA_E_CREDENTIALS_REQUIRED 0x80300103 PLA_E_DCS_NOT_RUNNING A configuração atual deste Conjunto de Recoletores de Dados necessita que este contenha exatamente um Recoletor de Dados. É necessária uma conta de utilizador para consolidar as propriedades atuais do Conjunto de Recoletores de Dados. O Conjunto de Recoletores de Dados não está em execução.
Constante/Valor Descrição 0x8030010F PLA_E_PLA_CHANNEL_NOT_ENABLED 0x80300110 PLA_E_TASKSCHED_CHANNEL_NOT_ENABLED 0x80300111 PLA_E_RULES_MANAGER_FAILED O canal do Registo de Eventos Microsoft-Windows-Diagnosis-PLA/ Operacional tem de estar ativado para executar esta operação. O canal do Microsoft-Windows-TaskScheduler tem de estar ativado para executar esta operação. Falha na execução do Gestor de Regras. 0x80300112 PLA_E_CABAPI_FAILURE Ocorreu um erro ao tentar comprimir ou extrair os dados.
Constante/Valor Descrição pedidos ao mesmo tempo. Aguarde alguns momentos e tente a operação novamente.
Constante/Valor Descrição 0x80310016 FVE_E_VOLUME_NOT_BOUND 0x80310017 FVE_E_TPM_NOT_OWNED 0x80310018 FVE_E_NOT_DATA_VOLUME 0x80310019 FVE_E_AD_INSUFFICIENT_BUFFER 0x8031001A FVE_E_CONV_READ 0x8031001B FVE_E_CONV_WRITE 0x8031001C FVE_E_KEY_REQUIRED 0x8031001D FVE_E_CLUSTERING_NOT_SUPPORTED 0x8031001E FVE_E_VOLUME_BOUND_ALREADY 0x8031001F FVE_E_OS_NOT_PROTECTED 0x80310020 FVE_E_PROTECTION_DISABLED 0x80310021 FVE_E_RECOVERY_KEY_REQUIRED 0x80310022 FVE_E_FOREIGN_VOLUME 0x80310023 FVE_E_OVERLAPPED_UPDATE 0x
Constante/Valor Descrição FVE_E_TPM_SRK_AUTH_NOT_ZERO Os dados da autorização para o SRK (Storage Root Key) do TPM são diferentes de zero, pelo que são incompatíveis com o BitLocker. Inicialize o TPM antes de tentar utilizá-lo com o BitLocker. 0x80310025 FVE_E_FAILED_SECTOR_SIZE 0x80310026 FVE_E_FAILED_AUTHENTICATION 0x80310027 FVE_E_NOT_OS_VOLUME O algoritmo de encriptação da unidade não pode ser utilizado neste tamanho de setores. Não é possível desbloquear a unidade com a chave fornecida.
Constante/Valor Descrição FVE_E_PROTECTOR_NOT_FOUND O protetor de chave especificado não foi encontrado na unidade. O protetor de chave especificado não foi encontrado na unidade. Tente outro protetor de chave. 0x80310033 FVE_E_INVALID_KEY_FORMAT 0x80310034 FVE_E_INVALID_PASSWORD_FORMAT 0x80310035 FVE_E_FIPS_RNG_CHECK_FAILED A chave de recuperação fornecida está danificada e não pode ser utilizada para aceder à unidade.
Constante/Valor Descrição FVE_E_KEYFILE_NO_VMK Não é possível obter a chave de encriptação do BitLocker a partir da chave de arranque ou da palavra-passe de recuperação. Verifique se tem a chave de arranque ou a palavra-passe de recuperação correta e tente novamente.
Constante/Valor Descrição 0x8031004A danificados. Utilize a Reparação do Arranque do Windows para restaurar estes ficheiros no computador. FVE_E_FS_MOUNTED Não é possível bloquear a unidade enquanto esta está a ser utilizada.
Constante/Valor Descrição 0x80310058 FVE_E_VOLUME_HANDLE_OPEN 0x80310059 FVE_E_NO_FEATURE_LICENSE 0x8031005A FVE_E_INVALID_STARTUP_OPTIONS 0x8031005B FVE_E_POLICY_RECOVERY_PASSWORD_NOT_ALLOWED 0x8031005C FVE_E_POLICY_RECOVERY_PASSWORD_REQUIRED 0x8031005D FVE_E_POLICY_RECOVERY_KEY_NOT_ALLOWED 0x8031005E FVE_E_POLICY_RECOVERY_KEY_REQUIRED 0x8031005F FVE_E_POLICY_STARTUP_PIN_NOT_ALLOWED 0x80310060 FVE_E_POLICY_STARTUP_PIN_REQUIRED 0x80310061 FVE_E_POLICY_STARTUP_KEY_NOT_ALLOWED 0x80310062 FVE_E_POLICY_STARTU
Constante/Valor Descrição FVE_E_POLICY_STARTUP_TPM_REQUIRED As definições de Política de Grupo necessitam da utilização de apenas TPM durante o arranque. Selecione esta opção de arranque do BitLocker.
Constante/Valor Descrição 0x80310075 FVE_E_POLICY_USER_CONFIGURE_RDV_AUTOUNLOCK_NOT_ As definições de Política de Grupo não permitem que unidades de ALLOWED dados amovíveis protegidas pelo BitLocker sejam automaticamente desbloqueadas.
Constante/Valor Descrição FVE_E_POLICY_PROHIBITS_SELFSIGNED Não é possível aplicar a Encriptação de Unidade BitLocker a esta unidade conforme atualmente configurada devido às definições de Política de Grupo. O certificado que forneceu para encriptação da unidade é autoassinado. As definições atuais de Política de Grupo não permitem a utilização de certificados autoassinados. Obtenha um novo certificado junto da autoridade de certificação antes de tentar ativar o BitLocker.
Constante/Valor Descrição FVE_E_PRIVATEKEY_AUTH_FAILED Não foi possível autorizar a chave privada associada ao certificado especificado. A autorização da chave privada não foi fornecida ou a autorização fornecida era inválida.
Constante/Valor Descrição FVE_E_PROTECTOR_CHANGE_BY_STD_USER_DISALLOWED Tem de ter sessão iniciada com a conta de administrador para alterar o PIN ou a palavra-passe. Clique na hiperligação para repor o PIN ou a palavra-passe como administrador. 0x803100A2 FVE_E_PROTECTOR_CHANGE_MAX_PIN_CHANGE_ATTEMPT S_REACHED 0x803100A3 FVE_E_POLICY_PASSPHRASE_REQUIRES_ASCII 0x803100A4 O BitLocker desativou alterações de PIN e palavra-passe na sequência de demasiados pedidos falhados.
Constante/Valor Descrição FVE_E_EDRIVE_BAND_IN_USE A unidade não pode ser gerida pelo BitLocker, porque a funcionalidade de encriptação de hardware da unidade já está a ser utilizada.
Constante/Valor Descrição FVE_E_POLICY_INVALID_ENHANCED_BCD_SETTINGS Não é possível aplicar a Encriptação de Unidade BitLocker a esta unidade, porque a definição de Política de Grupo para Dados de Configuração de Arranque Avançada contém dados inválidos. Peça ao administrador de sistema que resolva esta configuração inválida antes de tentar ativar o BitLocker.
Constante/Valor Descrição FVE_E_INVALID_PIN_CHARS_DETAILED O PIN só pode conter números entre 0 e 9. 0x803100CC FVE_E_DEVICE_LOCKOUT_COUNTER_UNAVAILABLE 0x803100CD FVE_E_DEVICELOCKOUT_COUNTER_MISMATCH 0x803100CE FVE_E_BUFFER_TOO_LARGE 0x803100CF 100 O Dell Data Protection | Endpoint Security Suite Resolução de problemas O BitLocker não consegue utilizar proteção de repetição de hardware, porque o PC não tem nenhum contador disponível.
15 Glossário Ativar - A ativação ocorre quando o computador tiver sido registado no Dell Enterprise Server/VE e tiver recebido, pelo menos, um conjunto inicial de políticas. Active Directory (AD) - Um serviço de directório criado pela Microsoft para as redes de domínio Windows. Advanced Authentication - O produto Advanced Authentication fornece opções de impressão digital, smart card e leitor de smart card sem contacto totalmente integradas.
Chaves de encriptação - Na maioria dos casos, o Encryption Client utiliza a chave de Utilizador em conjunto com duas chaves de encriptação adicionais. No entanto, existem exceções: Todas as políticas de SDE e a política de Credenciais Seguras do Windows utilizam a chave de SDE. A política de Encriptar ficheiro de paginação do Windows e a política de Ficheiro de hibernação seguro do Windows utilizam a sua própria chave, a General Purpose Key (GPK).
alterações ou ataques offline ao sistema operativo por um atacante. A SDE não se destina à encriptação de dados do utilizador. A encriptação de chave Comum e de Utilizador destina-se a dados confidenciais do utilizador, uma vez que estes requerem uma palavrapasse de utilizador para desbloquear as chaves de encriptação. As políticas de SDE não encriptam os ficheiros de que o sistema operativo necessita para iniciar o processo de arranque.