Dell Data Protection Security Tools-Installationshandbuch Ver. 1.12 February 2017 Rev.
Anmerkungen, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen können. VORSICHT: Ein VORSICHTSHINWEIS warnt vor möglichen Beschädigungen der Hardware oder vor Datenverlust und zeigt, wie diese vermieden werden können. WARNUNG: Mit WARNUNG wird auf eine potenziell gefährliche Situation hingewiesen, die zu Sachschäden, Verletzungen oder zum Tod führen kann. © 2017 Dell Inc. Alle Rechte vorbehalten.
Inhaltsverzeichnis Kapitel 1: Einleitung........................................................................................................................ 5 Übersicht................................................................................................................................................................................ 5 Kapitel 2: Anforderungen.................................................................................................................6 Treiber...............
Selbstwiederherstellung, Wiederherstellungsfragen zur Windows-Anmeldung..........................................................39 Selbstwiederherstellung, PBA-Wiederherstellungsfragen............................................................................................. 40 Selbstwiederherstellung, Einmalpasswort........................................................................................................................ 42 Kapitel 7: Glossar.................................................
1 Einleitung Dell Data Protection | Security Tools bietet Sicherheit und Schutz der Identität auf Dell-Computern für Administratoren und Benutzer. DDP | Security Tools ist auf allen Dell Latitude-, Optiplex- und Precision-Computern sowie auf ausgewählten Dell XPS Notebooks installiert. Falls Sie DDP | Security Tools neu installieren müssen, befolgen Sie bitte die Anweisungen in dieser Anleitung. Zusätzliche Unterstützung finden Sie unter www.dell.com/support > Endpoint Security Solutions.
2 Anforderungen • • • • • • • DDP | Security Tools ist auf allen Dell Latitude-, Optiplex- und Precision-Computern sowie auf ausgewählten Dell XPS Notebooks installiert und erfüllt die folgenden Mindestanforderungen. Wenn DDP | Security Tools erneut installiert werden muss, sollten Sie überprüfen, ob der Computer die Mindestanforderungen noch erfüllt. Weitere Informationen finden Sie unter www.dell.com/support > Endpoint Security Solutions . Windows 8.
Das Installationsprogramm installiert diese Komponente, falls sie auf Ihrem Computer fehlt. Voraussetzungen • Microsoft Visual C++ 2012 Update 4 oder höhere Redistributable Package (x86/x64) Software Windows-Betriebssysteme Die folgende Tabelle enthält detaillierte Informationen über die unterstützte Software. Windows-Betriebssysteme (32-Bit und 64-Bit) • Microsoft Windows 7 SP0 bis SP1 – Enterprise – Professional ANMERKUNG: Legacy Boot-Modus wird auf Windows 7 unterstützt.
Betriebssysteme für Mobilgeräte • • 4.4 - 4.4.4 KitKat 5.0 - 5.1.1 Lollipop iOS-Betriebssysteme • • iOS 7.x iOS 8.x Windows Phone-Betriebssysteme • • Windows Phone 8.1 Windows 10 Mobile Hardware Authentifizierung Die folgende Tabelle enthält detaillierte Informationen über die unterstützte Authentifizierungs-Hardware. Authentifizierung Fingerabdruckleser • Validity VFS495 im sicheren Modus • Broadcom Control Vault Swipe Reader • UPEK TCS1 FIPS 201 Secure Reader 1.6.3.
Dell-Computermodelle – Class B/SIPR Net Card-Unterstützung • • Latitude E6440 Latitude E6540 • • • Precision M2800 Precision M4800 Precision M6800 • • • Latitude 14 Rugged Extreme Latitude 12 Rugged Extreme Latitude 14 Rugged Dell-Computermodelle – UEFI-Unterstützung: Authentifizierungsfunktionen werden im UEFI-Modus auf ausgewählten Dell Computern unterstützt, auf denen Microsoft Windows 8, Microsoft Windows 8.1 oder Microsoft Windows 10 mit geeigneten Unterstützte Opal-konforme SEDs ausgeführt wird.
4. Wählen Sie Einstellungen > Allgemein > Erweiterte Startoptionen. 5. Heben Sie die Markierung des Kontrollkästchens Legacy-Option-ROMs aktivieren auf, und klicken Sie auf Übernehmen. Opal-fähige SEDs Für die auf dem neuesten Stand Liste der Opal kompatible SEDs unterstützt, wenn die SED-Verwaltung, beziehen sich auf dieses KBArtikel: http://www.dell.com/support/article/us/en/19/SLN296720.
In den folgenden Tabellen werden die Authentifizierungsoptionen, die in Security Tools verfügbar sind, nach Betriebssystem angezeigt, wenn die Hardware- und Konfigurationsanforderungen erfüllt sind. Ohne UEFI PBA Passwor Fingera t bdruck Windows-Authentifizierung Kontakt -SmartCard OTP SIPRKarte Passwor Fingera t bdruck Smart Card OTP SIPRKarte Windows 7 SP0- X1 SP1 X X X X X Windows 8 X1 X X X X X Microsoft Windows 8.1Windows 8.
ANMERKUNG: Wenn Sie DDP|E-Verschlüsselungsprodukte ausführen, beenden Sie eine Verschlüsselungssuche oder lassen Sie sie pausieren. Wenn Sie Microsoft BitLocker ausführen, setzen Sie die Verschlüsselungsrichtlinie aus. Sobald DDP|A deinstalliert und das Aussetzen der Microsoft BitLocker-Richtlinie beendet wurde, initialisieren Sie das TPM, indem Sie die folgenden Anweisungen unter http://technet.microsoft.com/en-us/library/cc753140.aspx ausführen. Mit DDP|A verwaltete Hardware deprovisionieren 1.
TPM initialisieren • • Für diesen Vorgang müssen Sie Mitglied der lokalen Administratorgruppe oder dergleichen sein. Der Computer muss mit einem kompatiblen BIOS und TPM ausgestattet sein. Diese Aufgabe ist bei der Verwendung von Einmalpasswort erforderlich. • Folgen Sie den Anweisungen unter http://technet.microsoft.com/en-us/library/cc753140.aspx. Zuweisung löschen und TPM aktivieren Weitere Informationen zum Löschen und Definieren der TMP-Zuweisung finden Sie unter https://technet.microsoft.
3 Installation und Aktivierung In diesem Abschnitt wird die Installation von DDP | Security Tools auf einem lokalen Computer beschrieben. DDP | Security Tools kann nur von einem Benutzer mit Administratorrechten installiert und aktiviert werden. ANMERKUNG: Nehmen Sie während der Installation keine Änderungen am Computer vor, dazu gehört auch das Einsetzen oder Entfernen von externen (USB-)Laufwerken. Installieren von DDP | Security Tools Um Security Tools zu installieren: 1.
7. Klicken Sie auf Installieren, um mit der Installation zu beginnen. 8. Nach Abschluss der Installation ist ein Neustart erforderlich. Wählen Sie Ja zum Neustart und klicken Sie dann auf Fertigstellen. Damit ist die Installation abgeschlossen. Aktivierung von DDP | Security Tools Wenn Sie die zum ersten Mal DDP Security Console ausführen und die Administratoreinstellungen auswählen, führt Sie der Aktivierungsassistent durch den Aktivierungsprozess.
3. Auf der Willkommensseite klicken Sie auf Weiter. 4. Erstellen Sie das DDP | Security Console-Passwort und klicken Sie dann auf Weiter. Das DDP | Security Console-Administratorpasswort muss vor der Konfiguration der Security Tools erstellt werden. Sie benötigen dieses Passwort jedes Mal, wenn Sie sich beim Administratoreinstellungstool anmelden. Das Passwort muss 8 bis 32 Zeichen lang sein und mindestens einen Buchstaben, eine Ziffer und ein Sonderzeichen enthalten. 5.
6. Klicken Sie auf der Zusammenfassungsseite auf Übernehmen. Die Security Tools-Aktivierung ist abgeschlossen. Basierend auf den Standardeinstellungen können Administratoren und Benutzer die Funktion von Security Tools sofort nutzen.
4 Konfigurationsaufgaben für Administratoren Die Security Tools Standardeinstellung sieht vor, dass Administratoren und Benutzer Security Tools sofort nach der Installation und Aktivierung ohne zusätzliche Konfiguration nutzen können. Benutzer werden automatisch als Security Tools-Benutzer hinzugefügt, wenn sie sich mit ihrem Windows-Passwort beim Computer anmelden. Standardmäßig ist die mehrstufige Windows-Authentifizierung jedoch deaktiviert.
6. Geben Sie das Passwort zur Bestätigung ein zweites Mal ein und klicken Sie dann auf Übernehmen. 7. Um den Speicherort des Wiederherstellungsschlüssels zu ändern, wählen Sie im linken Fensterbereich Speicherort der Sicherungsdatei ändern aus. 8. Wählen Sie einen neuen Speicherort für die Sicherung aus, und klicken Sie dann auf Übernehmen. Der Speicherort der Sicherungsdatei muss ein Netzlaufwerk oder ein Wechseldatenträger sein.
Verschlüsselung und Preboot-Authentifizierung konfigurieren Verschlüsselung- und Preboot-Authentifizierung (PBA) sind verfügbar, wenn Ihr Computer mit einem selbstverschlüsselndem Laufwerk (SED) ausgestattet ist. Beide Funktionen werden über die Registerkarte „Verschlüsselung“ konfiguriert, die nur dann sichtbar ist, wenn Ihr Computer mit einem selbstverschlüsselnden Laufwerk (SED) ausgestattet ist. Wenn Sie die Verschlüsselung oder die PBA aktivieren, wird die jeweils andere Funktion ebenfalls aktiviert.
6. Geben Sie auf der Seite „Vorstart-Anpassungen“ den benutzerdefinierten Text ein, der auf dem Preboot-Authentifizierungsbildschirm (PBA) angezeigt werden soll, und klicken Sie dann auf Weiter. PBA-Titel-Text Dieser Text erscheint oben auf dem PBA-Bildschirm. Wenn Sie dieses Feld leer lassen, wird kein Titel angezeigt. Der Text wird nicht umgebrochen und kann daher bei Eingabe von mehr als 17 Zeichen abgeschnitten werden.
7. Klicken Sie auf der Zusammenfassungsseite auf Übernehmen. 8. Klicken Sie auf Herunterfahren, wenn Sie dazu aufgefordert werden. Um mit der Verschlüsselung zu beginnen, muss der Computer vollständig heruntergefahren werden. 9. Starten Sie den Computer dann erneut. Die Authentifizierung wird jetzt von Security Tools durchgeführt. Benutzer müssen sich auf dem Bildschirm Preboot-Authentifizierung mit ihrem Windows-Passwort anmelden.
• • Preboot-Richtlinie oder -Anpassung ändern - Klicken Sie auf die Registerkarte Verschlüsselung und dann auf Ändern. Das SED entschlüsseln, beispielsweise zur Deinstallation: Klicken Sie auf Entschlüsseln.
Standardmäßig ist jede Authentifizierungsmethode so konfiguriert, dass sie individuell, also nicht in Kombination mit anderen Authentifizierungsmethoden, verwendet wird. Sie können die Standardeinstellungen folgendermaßen ändern: • Um eine Kombination von Authentifizierungsoptionen einzurichten, klicken Sie unter „Verfügbare Optionen“ auf , um die erste Authentifizierungsmethode auszuwählen.
Um den Zeitpunkt für die Durchsetzung der Anmeldeoption im Dialogfeld „Toleranzzeitraum“ von Sofort in ein anderes Datum zu ändern, wählen Sie im Dropdown-Menü die Option Bestimmtes Datum aus. Klicken Sie rechts neben dem Datumsfeld auf den Pfeil nach unten, um einen Kalender aufzurufen, in dem Sie das Datum auswählen können. Die Durchsetzung der Richtlinie beginnt in der Regel um 00:01 Uhr am ausgewählten Datum.
Password-Manager-Authentifizierung konfigurieren Auf der Seite „Password-Manager“ können Sie konfigurieren, wie sich Benutzer bei Password-Manager authentifizieren. So konfigurieren Sie die Password-Manager-Authentifizierung: 1. Wählen Sie im linken Fensterbereich, unter Authentifizierung, Password-Manager aus. 2. Um eine Rolle auszuwählen, die Sie einrichten möchten, wählen Sie die Rolle in der Liste Anmeldeoptionen anwenden auf aus: Benutzer oder Administratoren.
• Um jede Authentifizierungsmethode einzeln verwenden zu können, lassen Sie im Dialogfeld „Verfügbare Optionen“ die Einstellung für die zweite Authentifizierungsmethode auf Ohne eingestellt und klicken Sie dann auf OK. • Um eine Anmeldeoption zu entfernen, klicken Sie unter „Verfügbare Optionen“ auf der Seite „Anmeldeoption“ auf das X, um das Verfahren zu entfernen. • Um eine neue Kombination an Authentifizierungsmethoden hinzuzufügen, klicken Sie auf Eine Option hinzufügen. 5.
Authentifizierung über Fingerabdrücke konfigurieren So konfigurieren Sie die Authentifizierung über Fingerabdrücke: 1. Wählen Sie im linken Fensterbereich unter „Authentifizierung“ den Eintrag Fingerabdrücke aus. 2. Legen Sie bei „Eintragungen“ die minimale und die maximale Anzahl der Finger fest, die ein Benutzer eintragen kann.
3. Stellen Sie die Empfindlichkeit des Scanvorgangs für die Fingerabdrücke ein. Durch eine geringere Empfindlichkeit wird die Abweichungstoleranz und damit die Akzeptanz eines falschen Fingerabdrucks erhöht. Bei der höchsten Einstellung besteht die Gefahr, dass legitime Fingerabdrücke abgelehnt werden. Mit der Empfindlichkeitseinstellung „Mehr“ können Sie die Quote einer fälschlichen Akzeptanz auf 1 pro 10.000 Scanvorgänge reduzieren. 4.
ANMERKUNG: Das Aktivieren der Richtlinie Passwort erforderlich nach der Anmeldung von mobilen Geräten auf einem Computer führt dazu, dass alle mobilen Geräten abgemeldet werden. Benutzer müssen ihre mobilen Geräte erneut eintragen, nachdem diese Richtlinie aktiviert wurde. Wenn das Kontrollkästchen Kennwort erforderlich aktiviert ist, müssen Benutzer ihre mobilen Geräte für den Zugriff auf die Security Tools Mobile-App entsperren.
Wählen Sie auf der Registerkarte „Authentifizierung“ des Tools für die Administratoreinstellungen die Option Smartcard aus. Erweiterte Berechtigungen konfigurieren 1. Zum Anpassen erweiterter Endbenutzeroptionen klicken Sie auf Erweitert. Unter Erweitert können Sie Benutzern optional die Möglichkeit geben, Anmeldeinformationen selbst einzutragen. Optional können Sie Benutzern auch die Möglichkeit geben, ihre eingetragenen Anmeldeinformationen zu ändern und die Anmeldung in einen Schritt zu aktivieren. 2.
Einstufige Anmeldung zulassen – Die einstufige Anmeldung entspricht dem Single Sign-on (SSO). Das Kontrollkästchen ist standardmäßig aktiviert. Wenn diese Funktion aktiviert ist, müssen Benutzer ihre Anmeldeinformationen nur auf dem PrebootAuthentifizierungs-Bildschirm eingeben. Die Benutzer werden automatisch bei Windows angemeldet. Wenn Sie diese Markierung entfernen, müssen sich Benutzer möglicherweise wiederholt anmelden.
ANMERKUNG: Unter Anmeldung und Sitzung werden der Eintragungsstatus eines Benutzers angezeigt. Lautet der Status bei Anmeldung auf OK, wurden alle Eintragungen vorgenommen, die der Benutzer zum Durchführen von Anmeldungen benötigt. Lautet der Status bei Sitzung auf OK, wurden alle Eintragungen vorgenommen, die der Benutzer zum Verwenden von Password-Manager benötigt. Lauten beide Stati auf Nein, muss der Benutzer zusätzliche Eintragungen durchführen.
3. Geben Sie in das Textfeld den Objektnamen eines Benutzers ein, und klicken Sie auf Namen überprüfen. 4. Klicken Sie anschließend auf OK. Der Eintragungsassistent wird gestartet. Fahren Sie mit Anmelden oder Ändern der Benutzeranmeldeinformationen für weitere Anweisungen fort. Anmelden oder Ändern der Benutzeranmeldeinformationen Der Administrator kann zwar die Anmeldeinformationen für den Benutzer eintragen oder ändern, einige Eintragungsaktivitäten erfordern jedoch die Anwesenheit des Benutzers, z. B.
4. Melden Sie sich im Dialogfeld „Authentifizierung erforderlich“ mit dem Windows-Passwort des Benutzers an, und klicken Sie auf OK. 5. Um das Windows-Passwort des Benutzers zu ändern, geben Sie auf der Seite „Passwort“ ein neues Passwort ein, bestätigen Sie es, und klicken Sie auf Weiter. Um den Schritt der Passwort-Änderung zu überspringen, klicken Sie auf Überspringen. Der Assistent bietet Ihnen die Möglichkeit, eine Anmeldeinformation zu überspringen, falls Sie diese nicht eintragen möchten.
Alle eingetragenen Eintragungen eines Benutzers entfernen 1. Klicken Sie auf die Kachel Administratoreinstellungen. 2. Klicken Sie auf die Registerkarte Benutzer, und machen Sie den Benutzer ausfindig, den Sie entfernen möchten. 3. Klicken Sie auf Entfernen. (Der Befehl „Entfernen“ wird im unteren Bereich der Benutzereinstellungen in Rot angezeigt.) Nach dem er entfernt wurde, kann sich der Benutzer erst wieder am Computer anmelden, wenn er erneut Anmeldedaten eingetragen hat.
5 Deinstallationsaufgaben DDP | Security Tools kann nur von einem Benutzer mit mindestens lokalen Administratorrechten deinstalliert werden. Deinstallierung von DDP | Security Tools Die Anwendungen müssen in dieser Reihenfolge deinstalliert werden: 1. DDP | Client Security Framework 2. DDP | Security Tools Authentication 3. DDP | Security Tools Falls Sie einen Computer mit einem selbstverschlüsselnden Laufwerk haben, befolgen Sie folgende Anweisungen zur Deinstallation: 1. Deprovisionierung des SED: a.
5. Deinstallieren Sie Security Tools über die Windows-Systemsteuerung. Sie werden in einer Meldung gefragt, ob Sie die Anwendung und ihre Komponenten vollständig entfernen möchten. Klicken Sie auf Ja. Daraufhin wird das Dialogfeld Deinstallation abgeschlossen angezeigt. 6. Wählen Sie Ja, ich möchte meinen Computer jetzt neu starten und klicken Sie dann auf Fertigstellen. 7. Zum Abschluss der Deinstallation wird der Computer neu gestartet.
6 Wiederherstellung Für den Fall, dass ein Benutzer seine Anmeldeinformationen verliert oder diese ablaufen, stehen Wiederherstellungsoptionen zur Verfügung: • • Einmalpasswort (OTP): Der Benutzer generiert ein OTP mithilfe der Security Tools | Mobile-App auf einen registrierten Mobilgerät und gibt das OTP auf dem Windows-Anmeldebildschirm ein, um wieder Zugriff auf den Computer zu erlangen.
2. Geben Sie die Antworten ein, und klicken Sie auf OK. Nach der erfolgreichen Eingabe der Antworten auf die Fragen gelangen Sie in den Modus „Zugriffswiederherstellung“. Die nächste Aktion richtet sich nach den fehlgeschlagenen Anmeldeinformationen. • • Wenn Sie nicht in der Lage sind, das richtige Windows-Kennwort einzugeben, wird der Bildschirm „Kennwort ändern“ angezeigt.
3. Wird der Frage-und-Antwort-Dialog angezeigt, geben Sie die Antworten ein, die Sie auf Wiederherstellungsfragen bei der ersten Anmeldung eingegeben haben.
Selbstwiederherstellung, Einmalpasswort Hier wird beschrieben, wie Sie die Einmalpasswort-Funktion (OTP) nutzen können, um den Computerzugang wiederherzustellen, wenn Sie beispielsweise Ihr Windows-Passwort vergessen haben, dieses abgelaufen ist oder die maximal zulässige Anzahl an Anmeldeversuchen überschritten wurde. Die Einmalpasswort-Option (OTP) ist nur dann verfügbar, wenn der Benutzer ein Mobilgerät eingetragen hat und das OTP nicht zur Anmeldung bei Windows verwendet wurde.
• • Das Mobilgerät wurde nicht eingetragen bzw. nicht mit dem Computer gekoppelt, auf den Sie zugreifen möchten. Falls Sie über mehrere Windows-Benutzerkonten verfügen, ist entweder DDP | Security Tools nicht auf dem Computer installiert, auf den Sie zugreifen möchten, oder Sie versuchen, sich bei einem Benutzerkonto anzumelden, das nicht mit dem Konto übereinstimmt, das zum Koppeln zwischen Computer und Mobilgerät verwendet wurde. 4. Tippen Sie auf Einmalpasswort.
7 Glossar Deprovisionierung: Beim Deprovisionieren wird die PBA-Datenbank entfernt und die PBA deaktiviert. Die Deprovisionierung tritt erst nach dem Herunterfahren in Kraft. Einmalpasswort (OTP) – Ein Einmalpasswort ist ein Passwort mit begrenzter Gültigkeit, das nur einmal verwendet werden kann. Für die OTP-Funktion muss ein TPM vorhanden, aktiviert und zugewiesen sein.