Dell Encryption Enterprise Erweitertes Installationshandbuch Version v11.0 Mai 2021 Rev.
Hinweise, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen können. VORSICHT: Ein VORSICHTSHINWEIS warnt vor möglichen Beschädigungen der Hardware oder vor Datenverlust und zeigt, wie diese vermieden werden können. WARNUNG: Mit WARNUNG wird auf eine potenziell gefährliche Situation hingewiesen, die zu Sachschäden, Verletzungen oder zum Tod führen kann. © 2012-2021 Dell Inc. All rights reserved.
Inhaltsverzeichnis Kapitel 1: Einleitung........................................................................................................................ 6 Vor der Installation.................................................................................................................................................................6 Verwendung des Handbuchs..............................................................................................................................................
Kapitel 9: Gängige Szenarien..........................................................................................................66 Encryption Client................................................................................................................................................................. 67 SED Manager (einschließlich Advanced Authentication) und Encryption-Client........................................................67 SED Manager und Encryption External Media...................
Kapitel 19: Glossar.......................................................................................................................
1 Einleitung Dieses Handbuch beschreibt die Installation und Konfiguration von Encryption, SED-Verwaltung, Full Disk Encryption, Web Protection und Client Firewall und BitLocker Manager. Für die Einhaltung und Überwachung von Gerätedetails, Shield-Details und Audit-Ereignissen, siehe Berichterstellung > Verwalten von Berichten. Vor der Installation 1. Installieren Sie den Dell Server vor der Bereitstellung von Clients.
Verwendung des Handbuchs Wenden Sie das Handbuch in der folgenden Reihenfolge an. ● Unter Anforderungen finden Sie Informationen über Client-Voraussetzungen, Computer-Hardware und -Software, Einschränkungen und spezielle Registrierungsänderungen, die für bestimmte Funktionen erforderlich sind. ● Lesen Sie bei Bedarf die Abschnitte Vorinstallationskonfiguration für SED UEFI und BitLocker.
2 Anforderungen Alle Clients Diese Anforderungen gelten für alle Clients. Anforderungen, die in anderen Abschnitten aufgeführt sind, gelten für bestimmte Clients. ● Bei der Bereitstellung sind die bewährten IT-Verfahren zu beachten. Dazu zählen u. a. geregelte Testumgebungen für die anfänglichen Tests und die stufenweise Bereitstellung für Benutzer.
Sprachunterstützung ES: Spanisch DE: Deutsch PT-BR: Portugiesisch, Brasilien FR: Französisch JA: Japanisch PT-PT: Portugiesisch, Portugal Verschlüsselung ● Der Client-Computer muss über Netzwerkverbindung verfügen. ● Zum Aktivieren eines Microsoft Live-Kontos mit Dell Encryption lesen Sie den KB-Artikel 124722. ● Entfernen Sie mithilfe des Windows-Datenträgerbereinigungs-Assistenten temporäre Dateien und andere unnötige Daten, um den Zeitaufwand für die anfängliche Verschlüsselung zu verringern.
Voraussetzungen Anwendungen und Installationspakete, die mit SHA1-Zertifikaten signiert sind, funktionieren, aber wenn diese Aktualisierungen nicht installiert sind, wird während der Installation oder Ausführung der Anwendung auf dem Endpunkt ein Fehler angezeigt. ● Die Richtlinien Sichere Windows-Ruhezustand-Datei und Ungeschützten Ruhezustand unterbinden werden im UEFI-Modus nicht unterstützt.
Encryption External Media Betriebssysteme ● Zur Verwendung von Encryption External Media müssen ungefähr 55 MB auf dem Wechseldatenträger frei sein. Des Weiteren muss die Größe des freien Speicherplatzes der Größe der umfangreichsten zu verschlüsselnden Datei entsprechen.
○ RAID EIN wird nicht unterstützt, da der Lese- und Schreibzugriff auf RAID-bezogene Daten (in einem Sektor, der auf einem gesperrten nicht-NVMe-Laufwerk nicht verfügbar ist) beim Start nicht verfügbar ist und mit dem Lesen dieser Daten nicht gewartet werden kann, bis der Benutzer angemeldet ist. ○ Das Betriebssystem stürzt ab, wenn es von RAID EIN auf AHCI umgeschaltet wird, wenn den AHCI-Controller-Treiber nicht vorinstalliert wurde.
Authentifizierungsoptionen mit Full Disk Encryption-Client ● Es wird eine spezifische Hardware zum Verwenden von Smartcards und zum Authentifizieren bei UEFI-Computern benötigt. Eine Konfiguration ist erforderlich, um Smartcards mit Preboot-Authentifizierung zu verwenden. In den folgenden Tabellen werden die verfügbaren Authentifizierungsoptionen nach Betriebssystem angezeigt, wenn die Hardware- und Konfigurationsanforderungen erfüllt sind.
○ Software-Verschlüsselung ○ Verschlüsselung von Wechselmedien ○ Portsteuerung ANMERKUNG: Der Server muss Portsteuerungen unterstützen. Die Portsteuerungssystem-Richtlinien wirken sich auf die auf geschützten Servern befindlichen Wechselmedien aus, indem z. B. der Zugriff und die Nutzung der USB-Ports des Servers durch USB-Geräte gesteuert wird. Die USB-Port-Richtlinie gilt für externe USB-Ports. Die interne USB-Port-Funktionalität wird durch die USB-Port-Richtlinie nicht beeinflusst.
○ Microsoft-Speicherplätze ○ SAN/NAS-Netzwerkspeicherlösungen ○ Über iSCSI verbundene Geräte ○ Deduplizierungssoftware ○ Hardware-Deduplizierung ○ Aufgeteilte RAIDs (mehrere Volumes über ein einzelnes RAID) ○ SEDs (RAIDs und NICHT-RAID) ○ Auto-Anmeldung (Windows 7, 8/8.
Encryption External Media Betriebssysteme ● Zur Verwendung von Encryption External Media müssen ungefähr 55 MB auf dem Wechseldatenträger frei sein. Des Weiteren muss die Größe des freien Speicherplatzes der Größe der umfangreichsten zu verschlüsselnden Datei entsprechen.
Aufgrund der Struktur von RAID und SEDs wird RAID vom SED Manager nicht unterstützt. Das Problem bei RAID=On mit SEDs besteht darin, dass zum Lesen und Schreiben der RAID-Daten Zugriff auf einen höheren Sektor erforderlich ist. Dieser Sektor ist auf einem gesperrten SED beim Start nicht verfügbar, und RAID benötigt diese Daten bereits vor der Benutzeranmeldung. Sie können das Problem umgehen, indem Sie im BIOS für SATA statt AHCI den Eintrag RAID=On auswählen.
Hardware OPAL-kompatible SEDs ● Für die auf dem neuesten Stand Liste der Opal kompatible SEDs unterstützt, wenn die SED-Verwaltung, beziehen sich auf dieses KB-Artikel: 126855. ● Für die aktuellste Liste von Plattformen, die mit SED-Verwaltung unterstützt werden, lesen Sie KB-Artikel: 126855. ● Eine Liste der Docking-Stationen und Adapter, die von der SED-Verwaltung unterstützt werden, finden Sie im KB-Artikel 124241.
International Keyboard Support - UEFI EN-US – Englisch (Amerikanisches Englisch) Internationale Tastatur-Unterstützung – Nicht-UEFI AR – Arabisch (mit lateinischen Buchstaben) EN-US – Englisch (Amerikanisches Englisch) DE-FR – (Französisch – Schweiz) EN-GB – Englisch (Britisches Englisch) DE-CH – (Deutsch – Schweiz) EN-CA – Englisch (Kanadisches Englisch) Betriebssysteme ● Die folgende Tabelle enthält Informationen zu den unterstützten Betriebssystemen.
● Stellen Sie sicher, dass ein Signaturzertifikat in der Datenbank zur Verfügung steht. Weitere Informationen finden Sie im KB-Artikel 124931. ● Tastatur, Maus und Videokomponenten müssen direkt an den Computer angeschlossen sein. Setzen Sie keinen KVM-Schalter zur Verwaltung der Peripherie ein, da dies die ordnungsgemäße Erfassung der Hardware durch den Computer behindern kann. ● Aktivieren Sie das TPM. BitLocker Manager übernimmt automatisch die Zuweisung des TPM und erfordert keinen Neustart.
Windows-Betriebssysteme ANMERKUNG: BitLocker Manager unterstützt keine TPM 2.0 auf Windows 7 Geräten. Auf Geräten mit BitLocker Manager auf Windows 7 ist möglicherweise kein Artikel der Wissensdatenbank KB3133977 oder KB3125574 installiert. Um Probleme mit BitLocker Manager auf Windows 7 zu beheben, stellen Sie sicher, dass diese Artikel der Wissensdatenbank nicht installiert sind. ○ Windows 8.
3 Registrierungseinstellungen ● In diesem Abschnitt werden alle vom Dell ProSupport genehmigten Registrierungseinstellungen für lokale Client-Computer beschrieben, unabhängig vom Grund für Registrierungseinstellung. Falls eine Registrierungseinstellung für zwei Produkte gilt, wird sie in beiden Kategorien aufgeführt. ● Diese Registrierungsänderungen sollten nur von Administratoren ausgeführt werden und sind möglicherweise nicht für alle Szenarios geeignet oder funktionieren nicht in allen Szenarios.
Wenn Ihre Organisation jedoch eine Drittanbieter-Anwendung einsetzt, die auf die Dateistruktur im Verzeichnis \Temp angewiesen ist, sollten Sie das Löschen verhindern. Durch die Erstellung oder Änderung des folgenden Registrierungseintrags können Sie das Löschen temporärer Dateien verhindern: [HKLM\SOFTWARE\CREDANT\CMGShield] "DeleteTempFiles"=REG_DWORD:0 Werden temporäre Dateien nicht gelöscht, verlängert sich die Verschlüsselungsdauer.
● Die Aktivierung mit Zeitfenster ist eine Funktion, mit der Sie Aktivierungen von Clients über einen vorgegebenen Zeitraum verteilen können, um während einer Massenimplementierung eine Überlastung des Dell Server zu vermeiden. Aktivierungen werden basierend auf Zeitfenstern verzögert, die durch Algorithmen generiert werden, um eine gleichmäßige Verteilung der Aktivierungszeiten zu erreichen.
● Um nicht verwaltete Benutzer auf dem Client-Computer zu ermitteln, stellen Sie den Registrierungswert auf dem Client-Computer ein: [HKLM\SOFTWARE\Credant\CMGShield\ManagedUsers\] "UnmanagedUserDetected"=DWORD value:1 Nicht verwaltete Benutzer auf diesem Computer ermitteln = 1 Nicht verwaltete Benutzer nicht auf diesem Computer ermitteln = 0 ● Der Zugriff auf mit Encryption External Media verschlüsselte externe Datenträger kann auf Computern mit Zugriff auf den Dell Server eingeschränkt werden, der die Ver
" DumpPolicies" = DWORD Wert=1 Hinweis: Protokolle werden in C:\ProgramData\Dell\Dell Data Protection\Policy geschrieben. ● Um die Option Encrypt for Sharing im Kontextmenü zu deaktivieren oder zu aktivieren, verwenden Sie den folgenden Registrierungsschlüssel. HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection\Encryption "DisplaySharing"=DWORD 0 = Deaktivieren der Option „Encrypt for Sharing“ im Rechtsklick-Kontextmenü. 1 = Aktivieren der Option „Encrypt for Sharing“ im Rechtsklick-Kontextmenü.
● Erstellen Sie den folgenden Registrierungsschlüssel, um zu verhindern, dass SED Manager Drittanbieter von Anmeldeinformationen deaktiviert: HKLM\SOFTWARE\Dell\Dell Data Protection\ "AllowOtherCredProviders" = DWORD:1 0 = Deaktiviert (Standardeinstellung) 1 = Aktiviert Hinweis: Dieser Wert kann anfänglich verhindern, dass der Dell-Anmeldeinformationsanbieter die Anmeldeinformationen korrekt synchronisiert, da die Anmeldeinformationen von Drittanbietern deaktiviert sind.
"MSSmartcardSupport"=DWORD:1 Setzen Sie in der Managementkonsole die Richtlinie für die Authentifizierungsmethode auf Smartcard und bestätigen Sie die Änderung. ● Zur Unterdrückung aller Toaster-Benachrichtigungen vom Encryption Management Agent muss der folgende Registrierungswert auf dem Client-Computer gesetzt werden. [HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection] "PbaToastersAllowClose" =DWORD:1 0 = Aktiviert (Standard) 1 = Deaktiviert Vollständige Datenträgerverschlüsselung ● In diesem Abschn
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify "SmartCardLogonNotify"=DWORD:1 0 = Deaktiviert 1 = Aktiviert ● Bei der Erstinstallation wird der Standort des Security Server-Hosts festgelegt. Diesen können Sie bei Bedarf ändern. Die Hostinformationen werden bei jeder Richtlinienänderung durch den Client-Computer gelesen. Ändern Sie den folgenden Registrierungswert auf dem Client-Computer: [HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent] "ServerHost"=REG_SZ:.
[HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection] " EnableFDE" = DWORD: 1 0 = Deaktiviert (Standardeinstellung) 1 = Aktiviert BitLocker Manager ● Falls auf dem Dell Server für BitLocker Manager ein selbstsigniertes Zertifikat verwendet wird, muss die SSL/TLS-Vertrauensprüfung auf dem Client-Computer deaktiviert bleiben (die SSL/TLS-Vertrauensprüfung ist standardmäßig deaktiviert bei BitLocker Manager).
4 Installation unter Verwendung des MasterInstallationsprogramms ● Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten. ● Um die Installation unter Verwendung nicht standardmäßiger Ports durchzuführen, verwenden Sie untergeordnete Installationsprogramme anstelle des Master-Installationsprogramms. ● Master-Installationsprogramm-Protokolldateien befinden sich unter C:\ProgramData\Dell\Dell Data Protection\Installer.
Klicken Sie auf Weiter. 6. Klicken Sie auf Weiter, um das Produkt am standardmäßigen Speicherort C:\Program Files\Dell\Dell Data Protection\. Dell recommends installing in the default location only zu speichern, da es zu Problemen kommen kann, falls dieser an anderen Speicherorten installiert wird. 7. Wählen Sie die zu installierenden Komponenten aus. Security Framework installiert das zugrunde liegende Sicherheits-Framework, den Encryption Management Agent und die PBAAuthentifizierung.
8. Klicken Sie auf Installieren, um mit der Installation zu beginnen. Die Installation kann mehrere Minuten dauern. 9. Wählen Sie Ja, ich möchte meinen Computer jetzt neu starten aus, und klicken Sie auf Fertig stellen.
Damit ist die Installation abgeschlossen. Installation durch Befehlszeile mit dem Master Installationsprogramm ● Bei einer Installation über die Befehlszeile müssen die Switches zuerst angegeben werden. Andere Parameter gehen in ein Argument ein, das an den /v-Schalter weitergegeben wird. Schalter ● Die folgende Tabelle beschreibt die Switches, die mit dem Master-Installationsprogramm verwendet werden können.
Parameter Beschreibung FUNKTIONEN Gibt die Komponenten an, die im HINTERGRUND-Modus installiert werden können. DE = nur Laufwerk Encryption Client EME = Encryption External Media allein BLM = BitLocker Manager SED = SED Manager (Encryption Management Agent/Manager, PBA/GPE Drivers) BLM_ONLY=1 Muss verwendet werden, wenn FEATURES=BLM in der Befehlszeile verwendet wird, um das Plugin SED Manager auszuschließen.
5 Deinstallation des MasterInstallationsprogramms ● Dell empfiehlt die Verwendung des Data Security-Deinstallationsprogramm, um die Data Security-Suite zu entfernen. ● Jede Komponente muss separat deinstalliert werden, gefolgt von der Deinstallation des Master-Installationsprogramms. Die Clients müssen in einer bestimmten Reihenfolge deinstalliert werden, um Fehler bei der Deinstallation zu vermeiden.
6 Installation unter Verwendung der untergeordneten Installationsprogramme ● Um jeden Client einzeln zu installieren oder zu erweitern, müssen die untergeordneten ausführbaren Dateien zuerst aus dem Master-Installationsprogramm extrahiert werden, wie unter Extrahieren der untergeordneten Installationsprogramme aus dem MasterInstallationsprogramm erläutert. ● Bei in diesem Abschnitt enthaltenen Befehlsbeispielen wird davon ausgegangen, dass die Befehle von C:\extracted ausgeführt werden.
Option Erläuterung /qb! Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, fordert zum Neustart auf /qb!- Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, führt nach Abschluss des Vorgangs selbständig einen Neustart durch /qn Keine Benutzeroberfläche /norestart Neustart unterdrücken ● Weisen Sie die Benutzer an, sich mit dem folgenden Dokument und den Hilfedateien vertraut zu machen, um Unterstützung bei der Anwendung zu erhalten: ○ Informationen zur Verwendung der Funktionen von Encry
Installation über die Befehlszeile ● Die folgende Tabelle umfasst die für die Installation verfügbaren Parameter.
msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.
MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/" REINSTALL="ALL" EME="0" REINSTALLMODE="vamus" ● Beispiel für Befehlszeile zum Installieren im verzögerten Aktivierungsmodus ● Im folgenden Beispiel wird Dell Encryption im Modus mit verzögerter Aktivierung im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection\Encryption installiert. DDPE_XXbit_setup.exe /s /v"OPTIN=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.
EMAgent_64bit_setup.exe /s /v"CM_EDITION=1 ENABLE_FDE_LM=1 FEATURE=FDE SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 /norestart /qn" ● Beispiel für eine Befehlszeile zur Installation von Encryption External Media über eine bestehende Installation mit vollständiger Datenträgerverschlüsselung.
Parameter ENABLE_FDE_LM=1 (ermöglicht die Installation einer vollständigen Datenträgerverschlüsselung auf einem Computer mit aktiver Dell Encryption) Eine Liste der grundlegenden .msi-Schalter und Anzeigeoptionen, die in Befehlszeilen verwendet werden können, finden Sie unter Installation unter Verwendung der untergeordneten Installationsprogramme.
● Als Teil der Installation wird ein virtuelles Serverbenutzerkonto ausschließlich für die Verwendung von Encryption auf einem Serverbetriebssystem erstellt. Passwort und DPAPI-Authentifizierung werden deaktiviert, sodass nur der virtuelle Serverbenutzer auf Verschlüsselungsschlüssel zugreifen kann. Vor der Installation ● Bei dem die Installation durchführenden Benutzerkonto muss es sich um einen Domänen-Benutzer mit Berechtigungen auf Administratorebene handeln.
5. Wählen Sie Lokaler Dell Management Server und klicken Sie auf Weiter. 6. Klicken Sie auf Weiter für die Installation im Standardverzeichnis. 7. Klicken Sie auf Weiter, um das Verwaltungstyp-Dialogfeld zu überspringen. 8. Geben Sie im Feld Security Management Server-Name den vollständigen qualifizierten Hostnamen des Dell Servers ein, mit dem der Zielbenutzer verwaltet werden soll (z. B. server.organization.com) bzw. validieren Sie ihn. Geben Sie den Domänennamen in das Feld Verwaltete Domäne (z. B.
10. Geben Sie unter Geräte-Server-URL die Informationen ein bzw. validieren Sie sie und klicken Sie auf Weiter. 11. Klicken Sie auf Installieren, um mit der Installation zu beginnen.
Die Installation kann mehrere Minuten dauern. 12. Wenn die Konfiguration abgeschlossen ist, klicken Sie auf Fertigstellen. Damit ist die Installation abgeschlossen. 13. Starten Sie den Computer neu. Dell empfiehlt das kurzfristige Verschieben des Neustarts nur, wenn Zeit benötigt wird, um Ihre Arbeit zu speichern und Anwendungen zu schließen. Die Verschlüsselung kann erst nach dem Neustart des Computers beginnen.
Über die Befehlszeile installieren Suchen Sie das Installationsprogramm in C:\extracted\Encryption. ● Verwenden Sie die Datei DDPE_xxbit_setup.exe für die Installation oder die Aktualisierung. Nutzen Sie dazu eine skriptgesteuerte Installation, Batchdateien oder eine andere in Ihrem Unternehmen verfügbare Push-Technologie. Schalter Die folgende Tabelle umfasst die für die Installation verfügbaren Schalter. Schalter Erläuterung /v Gibt Variablen an die .msi-Datei innerhalb der Datei DDPE_XXbit_setup.
Option Erläuterung /qb Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, fordert zum Neustart auf /qb- Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, führt nach Abschluss des Vorgangs selbstständig einen Neustart durch /qb! Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, fordert zum Neustart auf /qb!- Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, führt nach Abschluss des Vorgangs selbständig einen Neustart durch /qn Keine Benutzeroberfläche ANMERKUNG: Verwenden Sie
Aktivieren ● Stellen Sie sicher, dass es sich beim Computernamen des Servers um den Endpunktnamen handelt, der in der Verwaltungskonsole angezeigt werden soll. ● Ein interaktiver Benutzer mit Domänenadministrator-Anmeldeinformationen muss sich für die Erstaktivierung mindestens einmal auf dem Server anmelden.
Nach der Aktivierung beginnt die Verschlüsselung. 4. Nachdem die Verschlüsselungssuche abgeschlossen wurde, starten Sie den Computer neu, um Dateien, die zuvor verwendet wurden, zu verarbeiten. Dies ist ein wichtiger Schritt, der der Sicherheit dient. ANMERKUNG: Wenn die Richtlinie Sichere Windows-Anmeldeinformationen aktiviert wird, verschlüsselt Encryption auf Serverbetriebssystemen die \Windows\system32\config-Dateien einschließlich der Windows-Anmeldeinformationen. Die Dateien in \Windows\system32\confi
Virtueller Serverbenutzer ● In der Verwaltungskonsole finden Sie einen geschützten Server unter seinem Computernamen. Darüber hinaus verfügt jeder geschützte Server über sein eigenes virtuelles Serverbenutzerkonto. Jedes Konto hat einen eindeutigen statischen Benutzernamen und einen eindeutigen Computernamen. ● Das virtuelle Serverbenutzerkonto wird ausschließlich von Encryption auf Serverbetriebssystemen verwendet und ist ansonsten für den Betrieb des geschützten Servers transparent.
Installation über die Befehlszeile ● Die folgende Tabelle umfasst die für die Installation verfügbaren Parameter. Parameter CM_EDITION=1 INSTALLDIR= SERVERHOST= SERVERPORT=8888 SECURITYSERVERHOST= SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 Eine Liste der grundlegenden .
Parameter CM_EDITION=1 INSTALLDIR= SERVERHOST= SERVERPORT=8888 SECURITYSERVERHOST= SECURITYSERVERPORT=8443 FEATURE=BLM FEATURE=BLM,SED ARPSYSTEMCOMPONENT=1 Eine Liste der grundlegenden .
7 Deinstallation unter Verwendung der untergeordneten Installationsprogramme ● Dell empfiehlt die Verwendung des Data Security-Deinstallationsprogramm, um die Data Security-Suite zu entfernen. ● Um jeden Client einzeln zu deinstallieren, müssen die untergeordneten ausführbaren Dateien zuerst aus dem MasterInstallationsprogramm extrahiert werden, wie unter Extrahieren der untergeordneten Installationsprogramme aus dem MasterInstallationsprogramm erläutert.
Option Erläuterung /qb- Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, führt nach Abschluss des Vorgangs selbstständig einen Neustart durch /qb! Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, fordert zum Neustart auf /qb!- Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, führt nach Abschluss des Vorgangs selbständig einen Neustart durch /qn Keine Benutzeroberfläche Encryption und Encryption auf einem Serverbetriebssystem deinstallieren ● Entfernen Sie mithilfe des Windows F
Parameter Auswahl CMG_DECRYPT Eigenschaft zur Auswahl des Installationstyps des Encryption Removal Agent 3 – LSARecovery-Paket verwenden 2 – Zuvor heruntergeladenes Material für forensischen Schlüssel verwenden 1 – Schlüssel vom Dell Server herunterladen 0 – Encryption Removal Agent nicht installieren CMGSILENTMODE Eigenschaft für Deinstallation im Hintergrund: 1 – Leise: erforderlich bei msiexec-Variablen, die /q oder /qn enthalten.
● Im folgenden Beispiel werden im Hintergrund Encryption deinstalliert und die Verschlüsselungsschlüssel über ein Konto vom Typ „Forensischer Administrator“ heruntergeladen. DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1 FORENSIC_ADMIN=forensicadmin@organization.com FORENSIC_ADMIN_PWD=tempchangeit /qn" MSI-Befehl: msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn CMG_DECRYPT=1 CMGSILENTMODE=1 FORENSIC_ADMIN=forensicadmin@organization.
Je nach Suchfilter wird ein Computer oder eine Liste von Computern angezeigt. 6. 7. 8. 9. 10. 11. 12. Klicken Sie auf den Hostnamen des gewünschten Computers. Klicken Sie im Hauptmenü auf Sicherheitsrichtlinien. Wählen Sie Full Disk Encryption aus der Gruppe Windows Encryption aus. Ändern Sie Full Disk Encryption und die Richtlinie von On zu Off. Klicken Sie auf Speichern. Klicken Sie im linken Bereich auf das Banner Richtlinien festlegen. Klicken Sie auf Richtlinien bestätigen.
SED-Client deinstallieren Deinstallation über die Befehlszeile ● Nach der Extraktion aus dem Master-Installationsprogramm befindet sich das Installationsprogramm für SED Manager unter C:\extracted\Encryption Management Agent\EMAgent_XXbit_setup.exe. ○ Im folgenden Beispiel wird SED Manager im Hintergrund deinstalliert. EMAgent_XXbit_setup.exe /x /s /v" /qn" Wenn Sie fertig sind, fahren Sie den Computer herunter und starten Sie ihn neu.
8 Data Security-Deinstallationsprogramm Deinstallieren von Dell liefert das Deinstallationsprogramm von Data Security als Master-Deinstallationsprogramm. Dieses Dienstprogramm sammelt die derzeit installierten Produkte und entfernt diese in der entsprechenden Reihenfolge. Dieses Deinstallationsprogramm für die Datensicherheit ist verfügbar in: C:\Program Files (x86)\Dell\Dell Data Protection Für weitere Informationen oder für die Verwendung der Befehlszeilenoberfläche (CLI) siehe KB-Artikel 125052.
Optional löschen Sie eine beliebige Anwendung vom Entfernen und klicken auf Weiter. Erforderliche Abhängigkeiten werden automatisch ausgewählt oder gelöscht.
Um Anwendungen ohne vorherige Installation des Encryption Removal Agent zu entfernen, wählen Sie Encryption Removal Agent nicht installieren und anschließend Weiter.
Wählen Sie Encryption Removal Agent – Schlüssel von Server herunterladen. Geben Sie die vollständig qualifizierten Anmeldeinformationen für einen forensischen Administrator ein und wählen Sie Weiter. Wählen Sie Entfernen, um den Deinstallationsvorgang zu starten.
Klicken Sie auf Fertigstellen, um das Entfernen abzuschließen, und starten Sie den Computer neu. Rechner nach dem Klicken auf Fertig stellen neu starten ist standardmäßig ausgewählt. Deinstallation und Entfernen sind abgeschlossen.
9 Gängige Szenarien ● Um jeden Client einzeln zu installieren, müssen die untergeordneten ausführbaren Dateien zuerst aus dem MasterInstallationsprogramm extrahiert werden, wie unter Extrahieren der untergeordneten Installationsprogramme aus dem MasterInstallationsprogramm erläutert. ● Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten. ● Stellen Sie sicher, dass Werte, die ein oder mehrere Sonderzeichen enthalten, z. B.
○ Informationen zur Verwendung der Funktionen von Encryption finden Sie in der Dell Encrypt Help (Hilfe zu Dell Encrypt). Hier können Sie auf die Hilfe zugreifen: :\Program Files\Dell\Dell Data Protection\Encryption\Help. ○ In der Encryption External Media Help (Hilfe zu Encryption External Media) finden Sie die Funktionen von Encryption External Media. Sie können über den folgenden Pfad auf die Hilfe zugreifen: :\Program Files\Dell\Dell Data Protection\Encryption\EMS ○ Siehe Encry
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ /norestart /qn" Ersetzen Sie DEVICESERVERURL=https://server.organization.com:8081/xapi (ohne den nachgestellten Schrägstrich), wenn Sie einen Security Management Server in einer Version vor v7.7 haben.
10 Herunterladen der Software Dieser Abschnitt erläutert den Bezug der Software unter dell.com/support. Wenn Sie die Software bereits haben, können Sie diesen Abschnitt überspringen. Rufen Sie dell.com/support auf, um zu beginnen. 1. Wählen Sie auf der Dell Support-Webseite Alle Produkte durchsuchen aus. 2. Wählen Sie Sicherheit aus der Produktliste aus. 3. Wählen Sie Dell Data Security aus. Wenn diese Auswahl einmal vorgenommen wurde, wird sie von der Website gespeichert.
4. Wählen Sie das Dell Produkt. Beispiele: Dell Encryption Enterprise Dell Endpoint Security Suite Enterprise 5. Wählen Sie Treiber und Downloads aus. 6. Wählen Sie den gewünschten Client-Betriebssystemtyp aus. 7. Wählen Sie aus den Übereinstimmungen Dell Encryption aus. Da es sich hierbei nur um ein Beispiel handelt, wird es sich wahrscheinlich ein wenig anders darstellen. Beispielsweise stehen möglicherweise keine vier Dateien zur Auswahl. 8. Klicken Sie auf Herunterladen.
11 Vorinstallationskonfiguration für die SED-UEFI und BitLocker Manager TPM initialisieren ● Für diesen Vorgang müssen Sie Mitglied der lokalen Administratorgruppe oder dergleichen sein. ● Der Computer muss mit einem kompatiblen BIOS und TPM ausgestattet sein. ● Folgen Sie den Anweisungen unter http://technet.microsoft.com/en-us/library/cc753140.aspx.
Deaktivierung von Legacy-Option-ROMs Stellen Sie sicher, dass die Einstellung Legacy-Option-ROMs aktivieren im BIOS deaktiviert wurde. 1. 2. 3. 4. 5. Starten Sie den Computer neu. Drücken Sie während des Neustarts wiederholt F12, um die Start-Einstellungen des UEFI-Computers aufzurufen. Drücken Sie die Taste mit dem Pfeil nach unten, markieren Sie die Option BIOS-Einstellungen, und drücken Sie die Eingabetaste. Wählen Sie Einstellungen > Allgemein > Erweiterte Startoptionen.
12 Festlegen des Dell Server über die Registrierung ● Wenn Ihre Clients über Dell Digital Delivery berechtigt sind, befolgen Sie diese Anweisungen, um eine Registrierung über Gruppenrichtlinienobjekte einzurichten, um den Dell Server für die Verwendung nach der Installation einzurichten. ● Die Workstation muss ein Mitglied der Organisationseinheit sein, in der die Gruppenrichtlinienobjekte angewendet werden, oder die Registrierungseinstellungen müssen manuell auf dem Endpunkt festgelegt werden.
4. Klicken Sie mit der rechten Maustaste auf das neu erstellte Gruppenrichtlinienobjekt, und wählen Sie Bearbeiten aus. 5. Der Group Policy Management Editor wird geladen. Rufen Sie Computerkonfiguration > Einstellungen > WindowsEinstellungen > Registrierung auf. 6. Klicken Sie mit der rechten Maustaste auf die Registrierung und wählen Sie Neu > Registrierungseintrag aus. Nehmen Sie die folgenden Einstellungen vor: Action: Create Hive: HKEY_LOCAL_MACHINE Key Path: SOFTWARE\Dell\Dell Data Protection Value
Value type: REG_SZ Wertedaten: 7. Klicken Sie auf OK. 8. Melden Sie sich von der Workstation ab und dann wieder an, oder führen Sie gpupdate /force aus, um die Gruppenrichtlinie zu übernehmen.
13 Untergeordnete Installationsprogramme extrahieren ● Zur Einzelinstallation der Clients müssen zunächst die untergeordneten ausführbaren Dateien aus dem Installationsprogramm extrahiert werden. ● Das Master-Installationsprogramm ist kein Master-Deinstallationsprogramm. Jede Komponente muss einzeln deinstalliert werden, gefolgt von der Deinstallation des Master-Installationsprogramms.
14 Konfigurieren von Key Server ● In diesem Abschnitt wird beschrieben, wie Komponenten für die Verwendung mit der Kerberos-Authentifizierung/-Autorisierung bei Verwendung eines Security Management Server konfiguriert werden. Der Security Management Server Virtual verwendet den Key Server nicht. Der Key Server ist ein Dienst, der überwacht, ob Clients eine Verbindung über ein Socket herstellen.
4. Starten Sie den Key Server-Dienst neu (lassen Sie das Dialogfeld „Dienste“ für weitere Arbeitsschritte geöffnet). 5. Navigieren Sie zu „ log.txt“, um zu überprüfen, ob der Dienst korrekt gestartet wurde. Key-Server-Konfigurationsdatei – Fügen Sie Benutzer für Security Management Server-Kommunikation hinzu 1. Navigieren Sie zu . 2. Öffnen Sie die Datei Credant.KeyServer.exe.config mit einem Texteditor. 3.
Beispielkonfigurationsdatei [TCP-Port, den der Key Server hört. Die Standardeinstellung ist 8050.] [Anzahl der vom Key Server zugelassenen aktiven Sockelverbindungen] [Security Server (früher: Device Server) URL (das Format lautet 8081/xapi für Security Management Server vor Version 7.
6. Klicken Sie im linken Menü auf Benutzer. Geben Sie in das Suchfeld den in Schritt 5 hinzugefügten Benutzernamen ein. Klicken Sie auf Suchen. 7. Sobald der korrekte Benutzer gefunden wurde, klicken Sie auf die Registerkarte Admin. 8. Wählen Sie Forensischer Administrator aus, und klicken Sie dann auf Aktualisieren. Die Komponenten sind nun für die Kerberos-Authentifizierung/-Autorisierung konfiguriert.
15 Verwenden Sie das administrative Dienstprogramm zum Herunterladen (CMGAd) ● Mit diesem Dienstprogramm können Sie Schlüsseldatenpakete zur Verwendung auf einem Computer herunterladen, der nicht mit einem Dell Server verbunden ist.
3. Geben Sie unter Passphrase: eine Passphrase ein, um die heruntergeladene Datei zu schützen. Die Passphrase muss mindestens acht Zeichen enthalten, darunter mindestens einen Buchstaben und eine Ziffer. Bestätigen Sie die Passphrase. Akzeptieren Sie entweder die Standardwerte für Dateinamen und Speicherort oder klicken Sie auf …, um einen anderen Speicherort auszuwählen. Klicken Sie auf Weiter. Eine Meldung zeigt an, dass die Schlüsseldaten erfolgreich entsperrt wurden.
Verwenden des Admin-Modus Der Security Management Server Virtual verwendet den Key Server nicht, d. h. im Admin-Modus kann kein Schlüsselpaket über den Security Management Server Virtual abgerufen werden. Verwenden Sie den forensischen Modus, um das Schlüsselpaket zu erhalten, wenn der Client auf einem Security Management Server Virtual aktiviert ist. 1. Öffnen Sie am Speicherort von CMGAd eine Befehlseingabe, und geben Sie cmgad.exe -a ein. 2.
Eine Meldung zeigt an, dass die Schlüsseldaten erfolgreich entsperrt wurden. Die Dateien sind jetzt frei zugänglich. 4. Klicken Sie anschließend auf Fertig stellen.
16 Encryption auf einem Serverbetriebssystem konfigurieren Encryption auf einem Serverbetriebssystem aktivieren ANMERKUNG: Encryption auf Serverbetriebssystemen wandelt Benutzerverschlüsselung in allgemeine Verschlüsselung um. 1. Melden Sie sich als Dell Administrator bei der Verwaltungskonsole an. 2.
– ist und der geschützte Server zuerst erkennt, dass ein Wechselmedium angeschlossen ist, wird der Benutzer aufgefordert, das Wechselmedium zu verschlüsseln. ● Richtlinien für Encryption External Media steuern den Zugriff von Wechselmedien auf den Server, Authentifizierung, Verschlüsselung und mehr.
Klicken Sie unter Servergerätesteuerung auf Sperren und dann auf Ja. ANMERKUNG: Klicken Sie auf die Schaltfläche Reaktivieren, um Encryption auf Serverbetriebssystemen den Zugriff auf die verschlüsselten Daten auf dem Server zu ermöglichen, nachdem dieser neu gestartet wurde.
17 Verzögerte Aktivierung konfigurieren Der Encryption-Client mit verzögerter Aktivierung unterscheidet sich von der Encryption-Client-Aktivierung auf zwei Arten: Gerätebasierte Verschlüsselungsrichtlinien Die Encryption-Client-Richtlinien sind benutzerbasiert; die Verschlüsselungsrichtlinien von Encryption-Client mit verzögerter Aktivierung sind gerätebasiert. Benutzerverschlüsselung wird in allgemeine Verschlüsselung konvertiert.
Dell empfiehlt, ein Windows-Kennwort einzurichten (sofern noch nicht vorhanden), um den Zugriff auf Ihre verschlüsselten Daten zu beschränken. Wenn Sie den Computer durch ein Kennwort schützen, können sich andere nicht ohne dieses Kennwort bei Ihrem Benutzerkonto anmelden. Deinstallieren Sie frühere Versionen des Encryption-Clients Stoppen oder halten Sie vor der Deinstallation einer früheren Version des Encryption-Clients einen Verschlüsselungsdurchgang, falls erforderlich, an.
ANMERKUNG: Persönliche oder E-Mail-Adressen, die nicht zur Domain gehören, können nicht für die Aktivierung verwendet werden. 3. Klicken Sie auf Schließen. Der Dell Server kombiniert das Verschlüsselungsschlüsselpaket mit den Anmeldeinformationen des Benutzers und mit der eindeutigen ID (Maschinen-ID) des Computers. Dadurch erstellt er eine unknackbare Beziehung zwischen dem Schlüsselpaket, dem entsprechenden Computer und dem Benutzer. 4.
Der Encryption-Client konnte nicht mit dem Dell Server kommunizieren. Mögliche Lösungen ● Verbinden Sie sich direkt mit dem Netzwerk der Organisation und nehmen Sie die Aktivierung erneut vor. ● Wenn für die Verbindung mit dem Netzwerk ein VPN-Zugriff erforderlich ist, überprüfen Sie die VPN-Verbindung und versuchen Sie es erneut. ● Überprüfen Sie die Dell Server-URL, um sicherzustellen, dass diese mit der durch den Administrator bereitgestellten URL übereinstimmt.
18 Fehlerbehebung Alle Clients – Fehlerbehebung ● Master-Installationsprogramm-Protokolldateien befinden sich unter C:\ProgramData\Dell\Dell Data Protection\Installer. ● Windows erstellt für den angemeldeten Benutzer eindeutige Installationsprotokolldateien des untergeordneten Installationsprogramms im Verzeichnis „%temp%“ unter C:\Users\\AppData\Local\Temp. ● Windows erstellt Protokolldateien für Client-Voraussetzungen, z. B.
Der Benutzername oder das Passwort stimmen nicht überein. Mögliche Lösung: Versuchen Sie, sich erneut anzumelden, und achten Sie genau auf die korrekte Eingabe von Benutzernamen und Passwort. Fehlermeldung: Die Aktivierung ist fehlgeschlagen, weil das Benutzerkonto nicht über Domänenadministrator-Rechte verfügt. Die für die Aktivierung verwendeten Anmeldeinformationen haben keine Domänenadministrator-Rechte, oder der AdministratorBenutzername lag nicht im UPN-Format vor.
2. Bei Erkennung eines neuen (nicht verwalteten) Benutzers wird das Dialogfenster Aktivieren angezeigt. Der Benutzer klickt auf Abbrechen. 3. Der Benutzer öffnet das Feld „Info“ der Serververschlüsselung, um zu bestätigen, dass sie im Servermodus ausgeführt wird. 4. Der Benutzer klickt mit der rechten Maustaste im Infobereich auf das Encryption-Symbol und wählt Dell Encryption aktivieren. 5. Der Benutzer gibt die Anmeldeinformationen des Domänenadministrators im Dialogfenster für die Aktivierung ein.
Weitere Informationen zur Richtlinie ntervall für Neuversuch nach Netzwerkfehlerfinden Sie in der Administratorhilfe, verfügbar in der Verwaltungskonsole. Authentifizierung und Geräteaktivierung Das folgende Diagramm stellt eine erfolgreiche Authentifizierung und Geräteaktivierung dar. 1.
TSS-Version suchen ● TSS ist eine Komponente, die als Schnittstelle zu TPM fungiert. Zur Ermittlung der TSS-Version wechseln Sie zu C:\Program Files\Dell\Dell Data Protection\Drivers\TSS\bin > tcsd_win32.exe (Standardspeicherort). Klicken Sie mit der rechten Maustaste auf die Datei, und wählen Sie Eigenschaften aus. Überprüfen Sie die Dateiversion auf der Registerkarte Details.
ODER 1. Klicken Sie auf Erweitert, um zur Ansicht Einfach zu wechseln und einen bestimmten Ordner zu durchsuchen. 2. Wechseln Sie zu „Sucheinstellungen“ und geben Sie im Feld Suchpfad den Ordnerpfad ein. Wenn Sie dieses Feld verwenden, wird die Auswahl im Menü ignoriert. 3. Falls die Ausgabe des Suchdienstprogramms „WSScan“ nicht in einer Datei gespeichert werden soll, deaktivieren Sie das Kontrollkästchen Ausgabe in Datei. 4. Ändern Sie unter Pfad ggf. den Standardpfad und den Standarddateinamen. 5.
Verwenden der WSScan-Befehlszeile WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o] [-a] [-f] [-r] [u[a][-|v]] [-d] [-q] [-e] [-x] [-y] Schalter Erläuterung Laufwerk Zu durchsuchendes Laufwerk. Falls keine Angabe gemacht wird, werden standardmäßig alle lokalen Festplattenlaufwerke durchsucht. Kann ein zugeordnetes Netzwerklaufwerk sein.
Schalter Erläuterung -s Hintergrundbetrieb -o Ausgabedateipfad -a An Ausgabedatei anhängen. Die Ausgabedatei wird standardmäßig abgeschnitten. -f Berichtsformat angeben (Bericht, fest, begrenzt). -r WSScan ohne Administratorrechte ausführen. In diesem Modus sind einige Dateien möglicherweise nicht sichtbar. -u Einbeziehen unverschlüsselter Dateien in die Ausgabedatei. Dieser „-u“-Switch ist hochempfindlich. Entweder müssen zuerst „u“ gefolgt von „a“ eingegeben (bzw.
Ausgabe Erläuterung KCID Die ID des Schlüssel-Computers. Im Beispiel oben „7vdlxrsb“ Wenn Sie ein zugeordnetes Netzwerklaufwerk durchsuchen, gibt der Abfragebericht keine KCID aus. UCID Die Benutzer-ID. Im Beispiel oben „_SDENCR_“ Die UCID ist für alle Benutzer des Computers gleich. Datei Der Pfad der verschlüsselten Datei. Wie im Beispiel oben angezeigt, „c:\temp\Dell - test.log“ Algorithmus Im Folgenden finden Sie den für die Verschlüsselung der Datei verwendeten Verschlüsselungsalgorithmus.
Verwenden des Suchdienstprogramms WSProbe.exe befindet sich auf den Installationsmedien. Syntax wsprobe [path] wsprobe [-h] wsprobe [-f path] wsprobe [-u n] [-x process_names] [-i process_names] Parameter Parameter Um die SSL/TLS-Vertrauensprüfung für BitLocker Manager zu Pfad Gibt optional einen bestimmten Pfad auf dem Gerät an, der auf mögliche Verschlüsselung/ Entschlüsselung durchsucht werden soll.
○ ○ ○ ○ Die Dateien konnten nicht richtliniengemäß entschlüsselt werden. Die Dateien waren zur Verschlüsselung markiert. Während der Entschlüsselungssuche trat ein Fehler auf. In sämtlichen Fällen wird eine Protokolldatei erstellt, sofern mindestens LogVerbosity=2 eingestellt ist (und die Protokollierung aktiviert wurde).
7. Melden Sie sich mit den Benutzerdaten für den Computer bei Windows an. Diese Anmeldedaten müssen zur Domäne gehören. 8. Öffnen Sie nach der Anmeldung die Data Security Console und überprüfen Sie, ob der PBA-Benutzer richtig erstellt worden ist. Klicken Sie dazu im Menü oben auf Protokoll, und suchen Sie nach der Meldung PBA-Benutzer für erstellt, welche angibt, dass der Vorgang erfolgreich war. 9. Fahren Sie den Computer herunter und starten Sie ihn neu. 10.
Herunterladen der aktuellen Treiber 1. Gehen Sie zu dell.com/support. 2. Wählen Sie Ihr Computermodell aus. 3. Wählen Sie Treiber & Downloads. 4. Wählen Sie das auf dem Zielcomputer ausgeführte Betriebssystem aus.
5. Wählen Sie die Kategorie Sicherheit. 6. Laden Sie die Dell ControlVault-Treiber herunter, und speichern Sie sie. 7. Laden Sie die Dell ControlVault-Firmware herunter, und speichern Sie sie.
8. Kopieren Sie die Treiber und die Firmware bei Bedarf auf die Zielcomputer. Installieren des Dell ControlVault-Treibers 1. Gehen Sie zu dem Ordner, in den Sie die Treiberinstallationsdatei abgelegt haben. 2. Doppelklicken Sie auf den Dell ControlVault-Treiber, um die selbstextrahierende EXE-Datei aufzurufen. ANMERKUNG: Achten Sie darauf, als Erstes den Treiber zu installieren. Der Dateiname des Treibers zum Zeitpunkt der Erstellung dieses Dokuments lautet „ControlVault_Setup_2MYJC_A37_ZPE.exe“. 3.
4. Klicken Sie auf OK, um die Treiberdateien in den Standardordner C:\Dell\Drivers\ zu entpacken. 5. Klicken Sie auf Ja, um die Erstellung eines neuen Ordners zu genehmigen. 6. Klicken Sie auf OK, wenn die Nachricht angezeigt wird, dass die Dateien erfolgreich entpackt wurden. 7. Nach dem Entpacken wird der Ordner angezeigt, der die entpackten Dateien enthält. Ist dies nicht der Fall, gehen Sie zu dem Ordner, in den Sie die Dateien entpackt haben.
8. Doppelklicken Sie auf die Datei CVHCI64.MSI, um das Treiberinstallationsprogramm zu starten. [Die Datei CVHCI64.MSI in diesem Beispiel bezieht sich auf ein 64-Bit-System. Bei einem 32-Bit-System wählen Sie die Datei CVHCI32.MSI aus]. 9. Klicken Sie auf dem Begrüßungsbildschirm auf Weiter. 10. Klicken Sie auf Weiter für die Installation im Standardverzeichnis von C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\.
11. Wählen Sie die Option Abschließen aus, und klicken Sie auf Weiter. 12. Klicken Sie auf Installieren, um mit der Installation der Treiber zu beginnen.
13. Aktivieren Sie optional das Kontrollkästchen, um die Protokolldatei für das Installationsprogramm anzuzeigen. Klicken Sie zum Beenden des Assistenten auf Fertig stellen. Überprüfen der Treiberinstallation ● Der Device Manager zeigt je nach Betriebssystem und Hardwarekonfiguration ein Dell ControlVault-Gerät (sowie weitere Geräte) an. Installieren der Dell ControlVault-Firmware 1. Gehen Sie zu dem Ordner, in den Sie die Firmware-Installationsdatei abgelegt haben.
2. Doppelklicken Sie auf die Dell ControlVault-Firmware, um die selbstextrahierende EXE-Datei aufzurufen. 3. Klicken Sie zum Fortsetzen des Vorgangs auf Weiter. 4. Klicken Sie auf OK, um die Treiberdateien in den Standardordner C:\Dell\Drivers\ zu entpacken. 5. Klicken Sie auf Ja, um die Erstellung eines neuen Ordners zu genehmigen. 6. Klicken Sie auf OK, wenn die Nachricht angezeigt wird, dass die Dateien erfolgreich entpackt wurden.
7. Nach dem Entpacken wird der Ordner angezeigt, der die entpackten Dateien enthält. Ist dies nicht der Fall, gehen Sie zu dem Ordner, in den Sie die Dateien entpackt haben. Wählen Sie den Ordner Firmware aus. 8. Doppelklicken Sie auf die Datei ushupgrade.exe, um das Firmware-Installationsprogramm zu starten. 9. Klicken Sie zum Starten der Firmware auf Start.
ANMERKUNG: Sie werden möglicherweise dazu aufgefordert, das Administratorkennwort einzugeben, wenn Sie ein Upgrade von einer älteren Firmware-Version durchführen. Geben Sie Broadcom als Kennwort ein, und klicken Sie auf Eingabe, wenn diese Option im Dialogfeld angezeigt wird. Es werden verschiedene Statusmeldungen angezeigt.
Fehlerbehebung
10. Klicken Sie auf Neu starten, um das Firmware-Upgrade abzuschließen. Die Aktualisierung der Treiber und der Firmware für Dell ControlVault ist damit abgeschlossen.
UEFI Computers Fehlerbehebung bei Problemen mit der Netzwerkverbindung ● Damit die Preboot-Authentifizierung auf einem Computer mit UEFI-Firmware erfolgreich verläuft, muss der PBA-Modus mit Netzwerkkonnektivität ausgerüstet sein. Auf Computern mit UEFI-Firmware ist standardmäßig erst dann Netzwerkkonnektivität verfügbar, wenn das Betriebssystem geladen wurde. Dies geschieht in der Regel nach dem PBA-Modus.
Konstante/Wert Beschreibung TPM_E_FAIL Der Vorgang ist fehlgeschlagen. 0x80280009 TPM_E_BAD_ORDINAL Die Ordnungszahl war unbekannt oder nicht konsistent. 0x8028000A TPM_E_INSTALL_DISABLED Die Option zum Installieren eines Besitzers ist deaktiviert. 0x8028000B TPM_E_INVALID_KEYHANDLE Das Schlüsselhandle kann nicht interpretiert werden. 0x8028000C TPM_E_KEYNOTFOUND Das Schlüsselhandle zeigt auf einen ungültigen Schlüssel. 0x8028000D TPM_E_INAPPROPRIATE_ENC Unzulässiges Verschlüsselungsschema.
Konstante/Wert Beschreibung TPM_E_SHA_THREAD Es ist kein SHA-1-Thread vorhanden. 0x8028001A TPM_E_SHA_ERROR 0x8028001B TPM_E_FAILEDSELFTEST 0x8028001C TPM_E_AUTH2FAIL 0x8028001D TPM_E_BADTAG Die Berechnung kann nicht fortgesetzt werden, da beim vorhandenen SHA-1-Thread bereits ein Fehler aufgetreten ist. Vom TPM-Hardwaregerät wurde beim internen Selbsttest ein Fehler gemeldet. Starten Sie den Computer neu, um das Problem zu beheben. Falls das Problem weiterhin besteht, muss ggf.
Konstante/Wert Beschreibung TPM_E_BAD_DATASIZE Die Größe des Datenparameters (oder BLOB-Parameters) ist unzulässig oder nicht mit dem Schlüssel konsistent, auf den verwiesen wird. 0x8028002B TPM_E_BAD_MODE 0x8028002C TPM_E_BAD_PRESENCE 0x8028002D TPM_E_BAD_VERSION Ein Modusparameter ist ungültig, z. B. capArea oder subCapArea für TPM_GetCapability, phsicalPresenceParameter für TPM_PhysicalPresence oder migrationType für TPM_CreateMigrationBlob.
Konstante/Wert Beschreibung TPM_E_AUTH_CONFLICT Das BLOB "NV_LoadKey" erfordert eine Besitzerautorisierung und eine BLOB-Autorisierung. 0x8028003B TPM_E_AREA_LOCKED Der permanente Bereich ist gesperrt und nicht beschreibbar. 0x8028003C TPM_E_BAD_LOCALITY Der Ort für den Vorgang ist falsch. 0x8028003D TPM_E_READ_ONLY 0x8028003E TPM_E_PER_NOWRITE Der permanente Bereich ist schreibgeschützt und daher nicht beschreibbar. Der permanente Bereich ist nicht schreibgeschützt.
Konstante/Wert Beschreibung TPM_E_DELEGATE_FAMILY Es wurde versucht, eine andere als die delegierte Familie zu verwalten. 0x8028004C TPM_E_DELEGATE_ADMIN Die Verwaltung der Delegierungstabelle ist nicht aktiviert. 0x8028004D TPM_E_TRANSPORT_NOTEXCLUSIVE 0x8028004E TPM_E_OWNER_CONTROL 0x8028004F TPM_E_DAA_RESOURCES 0x80280050 TPM_E_DAA_INPUT_DATA0 0x80280051 TPM_E_DAA_INPUT_DATA1 0x80280052 TPM_E_DAA_ISSUER_SETTINGS Es wurde ein Befehl außerhalb einer exklusiven Transportsitzung ausgeführt.
Konstante/Wert Beschreibung TPM_E_MA_DESTINATION Das Migrationsziel wurde nicht authentifiziert. 0x8028005D TPM_E_MA_SOURCE Die Migrationsquelle ist falsch. 0x8028005E TPM_E_MA_AUTHORITY Die Migrationsautorität ist falsch. 0x8028005F TPM_E_PERMANENTEK 0x80280061 TPM_E_BAD_SIGNATURE Es wurde versucht, den EK zu widerrufen, der EK kann jedoch nicht widerrufen werden. Die Signatur des CMK-Tickets ist ungültig.
Konstante/Wert Beschreibung TBS_E_INVALID_OUTPUT_POINTER Ein angegebener Ausgabezeiger ist ungültig. 0x80284003 TBS_E_INVALID_CONTEXT 0x80284004 TBS_E_INSUFFICIENT_BUFFER Das angegebene Kontexthandle bezieht sich nicht auf einen gültigen Kontext. Der angegebene Ausgabepuffer ist zu klein. 0x80284005 TBS_E_IOERROR Bei der Kommunikation mit TPM ist ein Fehler aufgetreten. 0x80284006 TBS_E_INVALID_CONTEXT_PARAM Mindestens ein Kontextparameter ist ungültig.
Konstante/Wert Beschreibung verschiedenen Aktionen ausgeführt werden. Die Aktion der TPM-Verwaltungskonsole ("Start" -> "tpm.msc") zur Herstellung der TPM-Bereitschaft ist dabei möglicherweise hilfreich. Weitere Informationen finden Sie in der Dokumentation zur Win32_Tpm WMI-Methode 'Provision'.
Konstante/Wert Beschreibung TPMAPI_E_INVALID_CONTEXT_HANDLE Das angegebene Kontexthandle ist ungültig. 0x8029010A TPMAPI_E_TBS_COMMUNICATION_ERROR Bei der Kommunikation mit TBS ist ein Fehler aufgetreten. 0x8029010B TPMAPI_E_TPM_COMMAND_ERROR TPM hat ein unerwartetes Ergebnis zurückgeliefert. 0x8029010C TPMAPI_E_MESSAGE_TOO_LARGE Die Nachricht ist zu lang für das Codierungsschema. 0x8029010D TPMAPI_E_INVALID_ENCODING Die Codierung des BLOB wurde nicht erkannt.
Konstante/Wert Beschreibung TPMAPI_E_INVALID_TCG_LOG_ENTRY Ein Eintrag im TCG-Ereignisprotokoll war ungültig. 0x8029011B TPMAPI_E_TCG_SEPARATOR_ABSENT Es wurde kein TCG-Trennzeichen gefunden. 0x8029011C TPMAPI_E_TCG_INVALID_DIGEST_ENTRY 0x8029011D TPMAPI_E_POLICY_DENIES_OPERATION 0x8029011E TBSIMP_E_BUFFER_TOO_SMALL Ein Digestwert in einem TCG-Protokolleintrag stimmte nicht mit den Hashdaten überein. Der angeforderte Vorgang wurde von der aktuellen TPMRichtlinie blockiert.
Konstante/Wert Beschreibung TBSIMP_E_LIST_NO_MORE_ITEMS Die angegebene Liste ist leer, oder die Iteration hat das Ende der Liste erreicht. 0x8029020D TBSIMP_E_LIST_NOT_FOUND Das angegebene Element wurde nicht in der Liste gefunden. 0x8029020E TBSIMP_E_NOT_ENOUGH_SPACE 0x8029020F TBSIMP_E_NOT_ENOUGH_TPM_CONTEXTS Das TPM verfügt nicht über genügend Speicherplatz, um die angeforderte Ressource zu laden. Es werden zu viele TPM-Kontexte verwendet.
Konstante/Wert Beschreibung TPM_E_PPI_BIOS_FAILURE 0x80290302 Aufgrund des BIOS-Fehlers konnte der angeforderte TPMVorgang nicht erfolgreich ausgeführt werden (z. B. ungültige TPM-Vorgangsanforderung, BIOS-Kommunikationsfehler beim TPM). TPM_E_PPI_NOT_SUPPORTED Das BIOS unterstützt die Anwesenheitsschnittstelle nicht.
Konstante/Wert Beschreibung 0x80300002 PLA_E_DCS_IN_USE 0x803000AA PLA_E_TOO_MANY_FOLDERS 0x80300045 PLA_E_NO_MIN_DISK 0x80300070 PLA_E_DCS_ALREADY_EXISTS Der Sammlungssatz oder eine der Abhängigkeiten wird bereits verwendet. Der Sammlungssatz konnte nicht gestartet werden, da zu viele Ordner vorhanden sind. Es ist nicht genügend freier Speicherplatz verfügbar, um den Sammlungssatz zu starten. Der Sammlungssatz ist bereits vorhanden.
Konstante/Wert Beschreibung PLA_E_REPORT_WAIT_TIMEOUT Zeitüberschreitung beim Warten auf den Abschluss des Berichtgenerierungstools. 0x8030010C PLA_E_NO_DUPLICATES Elementduplikate sind nicht zulässig. 0x8030010D PLA_E_EXE_FULL_PATH_REQUIRED 0x8030010E PLA_E_INVALID_SESSION_NAME Wenn Sie die ausführbare Datei angeben, die Sie verfolgen möchten, müssen Sie einen vollständigen Pfad zu der ausführbaren Datei und nicht nur einen Dateinamen angeben. Der angegebene Sitzungsname ist ungültig.
Konstante/Wert Beschreibung Wiederherstellungsumgebung, um den Start-Manager (BOOTMGR) zu aktualisieren oder zu reparieren.
Konstante/Wert Beschreibung die als Betriebssystem-Laufwerk verwendet wird. Verschlüsseln Sie anschließend das Betriebssystem-Laufwerk. FVE_E_FAILED_WRONG_FS 0x80310013 FVE_E_BAD_PARTITION_SIZE Das Laufwerk kann nicht verschlüsselt werden, da das Dateisystem nicht unterstützt wird. 0x80310014 Das Dateisystem ist größer als die Partitionsgröße in der Partitionstabelle. Das Laufwerk ist möglicherweise beschädigt oder wurde manipuliert.
Konstante/Wert Beschreibung deaktiviert, und das Laufwerk wird automatisch mithilfe eines unverschlüsselten Schlüssels entsperrt.
Konstante/Wert Beschreibung FVE_E_CANNOT_ENCRYPT_NO_KEY Das angegebene Laufwerk kann mit der BitLockerLaufwerkverschlüsselung nicht verschlüsselt werden, da kein Verschlüsselungsschlüssel verfügbar ist. Fügen Sie zum Verschlüsseln des Laufwerks eine Schlüsselschutzvorrichtung hinzu.
Konstante/Wert Beschreibung FVE_E_NOT_DECRYPTED Das Laufwerk muss zum Ausführen dieses Vorgangs vollständig entschlüsselt werden.
Konstante/Wert Beschreibung FVE_E_AUTH_INVALID_APPLICATION Eine Startanwendung hat sich geändert, nachdem die BitLockerLaufwerkverschlüsselung aktiviert wurde.
Konstante/Wert Beschreibung FVE_E_BCD_APPLICATIONS_PATH_INCORRECT Der in den Startkonfigurationsdaten (BCD) für eine durch die BitLocker-Laufwerkverschlüsselung integritätsgeschützte Anwendung angegebene Pfad ist falsch. Überprüfen und korrigieren Sie die BCD-Einstellungen, und wiederholen Sie den Vorgang.
Konstante/Wert Beschreibung FVE_E_POLICY_STARTUP_PIN_REQUIRED Die Gruppenrichtlinieneinstellungen erfordern die Verwendung einer PIN beim Start. Wählen Sie diese BitLocker-Startoption. 0x80310061 FVE_E_POLICY_STARTUP_KEY_NOT_ALLOWED 0x80310062 FVE_E_POLICY_STARTUP_KEY_REQUIRED 0x80310063 Die Gruppenrichtlinieneinstellungen lassen nicht die Verwendung eines Startschlüssels zu. Wählen Sie eine andere BitLockerStartoption. Die Gruppenrichtlinieneinstellungen erfordern die Verwendung eines Startschlüssels.
Konstante/Wert Beschreibung FVE_E_DV_NOT_SUPPORTED_ON_FS Der ausgewählte Ermittlungslaufwerktyp ist nicht mit dem Dateisystem auf dem Laufwerk kompatibel. BitLocker To Go-Ermittlungslaufwerke müssen auf mit FAT formatierten Laufwerken erstellt werden.
Konstante/Wert Beschreibung FVE_E_POLICY_CONFLICT_FDV_RK_OFF_AUK_ON Die BitLocker-Laufwerkverschlüsselung kann aufgrund von in Konflikt stehenden Gruppenrichtlinieneinstellungen nicht für das Laufwerk verwendet werden. BitLocker kann nicht für das automatische Entsperren von integrierten Datenlaufwerken konfiguriert werden, wenn die Optionen zur Wiederherstellung durch den Benutzer deaktiviert sind.
Konstante/Wert Beschreibung 0x80310089 FVE_E_POLICY_CONFLICT_OSV_RP_OFF_ADB_ON 0x80310090 FVE_E_POLICY_CONFLICT_FDV_RP_OFF_ADB_ON 0x80310091 FVE_E_POLICY_CONFLICT_RDV_RP_OFF_ADB_ON 0x80310092 FVE_E_NON_BITLOCKER_KU 0x80310093 FVE_E_PRIVATEKEY_AUTH_FAILED 0x80310094 FVE_E_REMOVAL_OF_DRA_FAILED 0x80310095 FVE_E_OPERATION_NOT_SUPPORTED_ON_VISTA_VOLUM E 0x80310096 FVE_E_CANT_LOCK_AUTOUNLOCK_ENABLED_VOLUME 0x80310097 Die BitLocker-Laufwerkverschlüsselung kann aufgrund in Konflikt stehender Gruppenrichtl
Konstante/Wert Beschreibung FVE_E_FIPS_HASH_KDF_NOT_ALLOWED Die standardmäßige BitLocker-Schlüsselableitungsfunktion "SP800-56A" für ECC-Smartcards wird von der verwendeten Smartcard nicht unterstützt. Aufgrund der Gruppenrichtlinieneinstellung, durch die die FIPS-Kompatibilität vorgeschrieben wird, kann von BitLocker keine andere Ableitungsfunktion zur Verschlüsselung verwendet werden. In durch FIPS eingeschränkten Umgebungen muss eine FIPSkompatible Smartcard verwendet werden.
Konstante/Wert Beschreibung 0x803100A5 verschlüsselt wird, nur für Speicher, der für schlanke Speicherzuweisung geeignet ist. FVE_E_WIPE_NOT_ALLOWED_ON_TP_STORAGE Das Löschen von freiem Speicher bei schlanker Speicherzuweisung wird von der BitLockerLaufwerkverschlüsselung nicht unterstützt. 0x803100A6 FVE_E_KEY_LENGTH_NOT_SUPPORTED_BY_EDRIVE 0x803100A7 FVE_E_NO_EXISTING_PASSPHRASE Die erforderliche Länge des Authentifizierungsschlüssels wird vom Laufwerk nicht unterstützt.
Konstante/Wert Beschreibung FVE_E_NO_PREBOOT_KEYBOARD_DETECTED Keine Preboot-Tastatur erkannt. Der Benutzer kann möglicherweise nicht die erforderlichen Angaben zum Entsperren des Volumes machen. 0x803100B5 FVE_E_NO_PREBOOT_KEYBOARD_OR_WINRE_DETECTED 0x803100B6 FVE_E_POLICY_REQUIRES_STARTUP_PIN_ON_TOUCH_DE VICE 0x803100B7 FVE_E_POLICY_REQUIRES_RECOVERY_PASSWORD_ON_T OUCH_DEVICE Es wurde keine Preboot-Tastatur oder WindowsWiederherstellungsumgebung gefunden.
Konstante/Wert Beschreibung FVE_E_LIVEID_ACCOUNT_SUSPENDED Das Wiederherstellungskennwort kann von BitLocker nicht gespeichert werden, da das angegebene Microsoft-Konto derzeit angehalten ist.
19 Glossar Aktivieren – Eine Aktivierung erfolgt, wenn der Computer beim Dell Server registriert wurde und mindestens einen Satz mit Richtlinien erhalten hat. Active Directory (AD) – Ein Verzeichnisdienst von Microsoft für Windows-Domänennetzwerke. Anwendungsdatenverschlüsselung – ADE (Application Data Encryption) verschlüsselt jede Datei, die von einer geschützten Anwendung geschrieben wird, mit einer Aufhebung der Kategorie 2.
Server tauscht während der Aktivierung Zertifikate mit dem Dell Server aus und verwendet das Zertifikat für die folgenden Authentifizierungsereignisse. Preboot-Authentifizierung (PBA) – Die Preboot-Authentifizierung dient als Erweiterung des BIOS oder der Systemstart-Firmware und schafft eine sichere, manipulationsgeschützte Umgebung außerhalb des Betriebssystems als vertrauenswürdige Authentifizierungsebene.