Dell Data Protection Encryption | Enterprise Edition – Erweitertes Installationshandbuch Version 8.10.1 User Manual Weitere Dokumente V8.17.1 Administrator Guide7 De

User Manual: Dell dell-data-protection-encryption Weitere Dokumente - Encryption Enterprise – Erweitertes Installationshandbuch v8.17.1

Open the PDF directly: View PDF .
Page Count: 130

Download
Open PDF In Browser	View PDF

Dell Data Protection | Encryption
Enterprise Edition – Erweitertes Installationshandbuch
Version 8.10.1

Legende
VORSICHT: Das Symbol VORSICHT weist auf eine mögliche Beschädigung von Hardware oder den möglichen Verlust von Daten hin, wenn die
Anweisungen nicht befolgt werden.
WARNUNG: Das Symbol WARNUNG weist auf mögliche Personen- oder Sachschäden oder Schäden mit Todesfolge hin.
WICHTIG, HINWEIS, TIPP, MOBILE oder VIDEO: Ein Informationssymbol weist auf Begleitinformationen hin.

© 2016 Dell Inc. Alle Rechte vorbehalten. This product is protected by U.S. and international copyright and intellectual property laws. Dell and the Dell logo
are trademarks of Dell Inc. in the United States and/or other jurisdictions. All other marks and names mentioned herein may be trademarks of their
respective companies. Eingetragene Marken und in der Dell Data Protection | Verschlüsselung, Dell Data Protection | Endpunkt Security, Dell Data
Protection | Endpunkt Security Enterprise, Dell Data Protection |Sicherheits-tools und Dell Data Protection | Cloud Edition Suite von Dokumenten
verwendete Marken: DellTM und das Dell-Logo, Dell PrecisionTM, OptiPlexTM, ControlVaultTM, LatitudeTM, XPS®, und KACETM sind Marken von Dell Inc.
McAfee® und McAfee Logo sind Marken oder eingetragene Marken von McAfee, Inc. in den USA und anderen Ländern. Intel®, Pentium®, Intel Core Inside
Duo®, Itanium®, und Xeon® sind eingetragene Marken der Intel Corporation in den USA und anderen Ländern. Adobe®, Acrobat® und Flash® sind
eingetragene Marken von Adobe Systems Incorporated. Authen Tec® und Eikon® sind eingetragene Marken von Authen Tec. AMD® ist eine eingetragene
Marke von Advanced Micro Devices, Inc. Microsoft®, Windows® und Windows Server®, Internet Explorer®, MS-DOS®, Windows Vista®, MSN®,
ActiveX®, Active Directory®, Access®, ActiveSync®, BitLocker®, BitLocker To Go®, Excel®, Hyper-V®, Silverlight®, Outlook®, PowerPoint®,
OneDrive®, SQL Server®, und Visual C++® sind entweder Marken oder eingetragene Marken von Microsoft Corporation in den USA und/oder anderen
Ländern. VMware® ist eine eingetragene Marke oder eine Marke von VMware, Inc. in den USA oder anderen Ländern. Box® ist eine eingetragene Marke
von Box. DropboxSM ist eine Dienstleistungsmarke von Dropbox, Inc. GoogleTM, AndroidTM, GoogleTM ChromeTM, GmailTM, YouTube® und GoogleTM Play
sind entweder Marken oder eingetragene Marken von Google Inc. in den Vereinigten Staaten oder anderen Ländern. Apple®, Aperture®, App StoreSM,
Apple Remote DesktopTM, Apple TV®, Boot CampTM, FileVaultTM, iCloud®SM, iPad®, iPhone®, iPhoto®, iTunes Music Store®, Macintosh®, Safari® und
Siri® sind entweder Dienstleistungsmarken, Marken oder eingetragene Marken von Apple, Inc. in den Vereinigten Staaten oder anderen Ländern. GO ID®,
RSA® und SecurID® sind eingetragene Marken der EMC Corporation. EnCaseTM™ und Guidance Software® sind entweder Marken oder eingetragene
Marken von Guidance Software. Entrust® ist eine eingetragene Marke von Entrust®, Inc. in den USA und anderen Ländern. InstallShield® ist eine
eingetragene Marke von Flexera Software in den USA, China, der EU, Hong Kong, Japan, Taiwan und Großbritannien. Micron® und RealSSD® sind
eingetragene Marken von Micron Technology, Inc. in den USA und anderen Ländern. Mozilla® Firefox® ist eine eingetragene Marke von Mozilla
Foundateion in den USA und/oder anderen Ländern. iOS® ist eine Marke oder eingetragene Marke von Cisco Systems, Inc. in den USA und bestimmten
anderen Ländern und wird in Lizenz verwendet. Oracle® und Java® sind eingetragene Marken von Oracle und/oder seinen Tochtergesellschaften. Andere
Namen können Marken ihrer jeweiligen Inhaber sein. SAMSUNGTM™ ist eine Marke von SAMSUNG in den USA oder anderen Ländern. Seagate® ist eine
eingetragene Marke von Seagate Technology LLC in den USA und/oder anderen Ländern. Travelstar® ist eine eingetragene Marke von HGST, Inc. in den
USA und anderen Ländern. UNIX® ist eine eingetragene Marke von The Open Group. VALIDITYTM™ ist eine Marke von Validity Sensors, Inc. in den USA
und anderen Ländern. VeriSign® und andere zugehörige Marken sind Marken oder eingetragene Marken von VeriSign, Inc. oder seinen
Tochtergesellschaften und verbundenen Unternehmen in den USA und anderen Ländern und werden von der Symantec Corporation in Lizenz verwendet.
KVM on IP® ist eine eingetragene Marke von Video Products. Yahoo!® ist eine eingetragene Marke von Yahoo! Inc. Dieses Produkt verwendet Teile des
Programms 7-Zip. Der Quellcode ist unter www.7-zip.org verfügbar. Die Lizenzierung erfolgt gemäß der GNU LGPL-Lizenz und den unRARBeschränkungen (www.7-zip.org/license.txt).

Enterprise Edition – Erweitertes Installationshandbuch
2016 - 09
Rev. A00

Inhaltsverzeichnis
1 Einleitung....................................................................................................................................................... 7
Vor der Installation............................................................................................................................................................. 7
Verwendung des Handbuchs............................................................................................................................................7
Kontaktaufnahme mit dem Dell ProSupport...................................................................................................................8
2 Anforderungen...............................................................................................................................................9
Alle Clients...........................................................................................................................................................................9
Alle Clients - Voraussetzungen.................................................................................................................................. 9
Alle Clients - Hardware.............................................................................................................................................. 10
Alle Clients - Sprachunterstützung.......................................................................................................................... 10
Encryption-Client..............................................................................................................................................................10
Encryption-Client-Anforderungen.............................................................................................................................11
Encryption-Client-Hardware......................................................................................................................................11
Encryption-Client-Betriebssysteme..........................................................................................................................11
Externes Medien-Shield (EMS)-Betriebssysteme................................................................................................. 12
Serververschlüsselungs-Client........................................................................................................................................12
Serververschlüsselungs-Client – Anforderungen...................................................................................................14
Serververschlüsselungs-Client – Hardware............................................................................................................14
Serververschlüsselungs-Client – Betriebssysteme................................................................................................14
External Media Shield (EMS) – Betriebssysteme.................................................................................................. 14
SED-Client......................................................................................................................................................................... 15
OPAL-Treiber.............................................................................................................................................................. 16
SED-Client-Anforderungen....................................................................................................................................... 16
OPAL-kompatible SEDs.............................................................................................................................................16
SED-Client-Betriebssysteme.................................................................................................................................... 16
Internationale Tastaturen.......................................................................................................................................... 16
Advanced Authentication-Client.....................................................................................................................................17
Advanced Authentication-Client-Hardware............................................................................................................ 17
Advanced Authentication Client - Betriebssysteme.............................................................................................. 18
BitLocker Manager-Client............................................................................................................................................... 19
Voraussetzungen für den BitLocker Manager-Client............................................................................................ 19
BitLocker Manager Client-Betriebssysteme........................................................................................................... 19
Cloud Edition-Client......................................................................................................................................................... 19
Cloud Edition-Client – Voraussetzungen................................................................................................................20
Cloud Sync Clients.....................................................................................................................................................20
Webbrowser............................................................................................................................................................... 20
Cloud Edition-Client – Betriebssysteme.................................................................................................................20
Authentifizierungsoptionen............................................................................................................................................. 21
Encryption-Client........................................................................................................................................................21
SED-Client.................................................................................................................................................................. 22
BitLocker Manager.................................................................................................................................................... 23
3 Registrierungseinstellungen.........................................................................................................................25
Dell Data Protection | Enterprise Edition
Inhaltsverzeichnis

Encryption Client – Registrierungseinstellungen......................................................................................................... 25
SED-Client – Registrierungseinstellungen....................................................................................................................29
Advanced Authentication-Client – Registrierungseinstellungen............................................................................... 30
BitLocker Manager-Client – Registrierungseinstellungen...........................................................................................31
Cloud Edition-Client – Registrierungseinstellungen..................................................................................................... 31
4 Installation unter Verwendung des -Master-Installationsprogramms........................................................... 33
Interaktive Installation unter Verwendung des -Master Installationsprogramms.................................................... 33
Installation durch Befehlszeile mit dem -Master Installationsprogramm.................................................................. 34
5 Deinstallation unter Verwendung des -Master-Installationsprogramms....................................................... 37
-Master-Installationsprogramm deinstallieren.............................................................................................................. 37
Deinstallation über die Befehlszeile..........................................................................................................................37
6 Installation unter Verwendung der untergeordneten Installationsprogramme.............................................. 38
Installieren des Treiber-Clients.......................................................................................................................................39
Installation über die Befehlszeile.............................................................................................................................. 39
Encryption-Client installieren..........................................................................................................................................40
Installation über die Befehlszeile.............................................................................................................................. 40
Installation des Serververschlüsselungs-Client............................................................................................................ 42
Interaktive Installation des Serververschlüsselungs-Client.................................................................................. 43
Installation von Serververschlüsselung unter Verwendung der Befehlszeile..................................................... 43
Serververschlüsselung aktivieren............................................................................................................................ 45
SED Management- und Advanced Authentication-Clients installieren.....................................................................47
Installation über die Befehlszeile.............................................................................................................................. 47
Installieren von Cloud Edition......................................................................................................................................... 48
Installation über die Befehlszeile.............................................................................................................................. 48
BitLocker Manager-Client installieren........................................................................................................................... 49
Installation über die Befehlszeile.............................................................................................................................. 49
7 Deinstallation unter Verwendung der untergeordneten Installationsprogramme........................................... 51
Client für Verschlüsselung und Serververschlüsselung deinstallieren.......................................................................52
Verfahren.................................................................................................................................................................... 52
Deinstallation über die Befehlszeile......................................................................................................................... 52
External Media Edition deinstallieren.......................................................................................................................54
Deinstallation der SED- und Advanced Authentication-Clients................................................................................. 54
Verfahren.................................................................................................................................................................... 54
PBA deaktivieren........................................................................................................................................................54
Deinstallieren des SED-Clients und der Advanced Authentication-Clients........................................................55
Deinstallation des BitLocker Manager-Clients............................................................................................................. 55
Deinstallation über die Befehlszeile......................................................................................................................... 55
Cloud Edition deinstallieren.............................................................................................................................................56
Deinstallation über die Befehlszeile......................................................................................................................... 56
8 Gängige Szenarien.......................................................................................................................................57
Encryption-Client und Advanced Authentication........................................................................................................ 58
SED-Client (einschließlich Advanced Authentication) und External Media Shield..................................................58

Dell Data Protection | Enterprise Edition
Inhaltsverzeichnis

SED-Client (einschließlich Advanced Authentication), External Media Edition und Cloud Edition.......................59
Encryption-Client and Cloud Edition............................................................................................................................. 60
BitLocker Manager und External Media Shield............................................................................................................60
BitLocker Manager, External Media Edition und Cloud Edition................................................................................. 60
SED-Client (einschließlich Advanced Authentication), Encryption-Client und Cloud Edition................................ 61
9 Herunterladen der Software........................................................................................................................ 62
10 Vorinstallationskonfiguration für Einmalpasswort, SED-UEFI und BitLocker.............................................. 63
TPM initialisieren.............................................................................................................................................................. 63
Vorinstallationskonfiguration für UEFI-Computer....................................................................................................... 63
Aktivieren der Netzwerkkonnektivität während der UEFI-Preboot-Authentifizierung.....................................63
Deaktivierung von Legacy-Option-ROMs.............................................................................................................. 64
Vorinstallationskonfiguration zum Einrichten einer BitLocker PBA-Partition.......................................................... 64
11 Gruppenrichtlinienobjekte am Domänencontroller zum Aktivieren von Berechtigungen einrichten............. 65
12 Untergeordnete Installationsprogramme aus dem -Master-Installationsprogramm extrahieren..................66
13 Konfiguration des Key Servers für die Deinstallation des auf einem EE-Server aktivierten EncryptionClients............................................................................................................................................................ 67
Dialogfeld „Dienste" - Domänenbenutzerkonto hinzufügen.......................................................................................67
Schlüsselserver-Konfigurationsdatei - Fügen Sie Benutzer für EE-Server-Kommunikation hinzu....................... 67
Beispielkonfigurationsdatei....................................................................................................................................... 68
Dialogfeld „Dienste“ - Key Server-Dienst neu starten................................................................................................ 69
Remote Management-Konsole - Hinzufügen eines forensischen Administrators.................................................. 69
14 Verwenden Sie das administrative Dienstprogramm zum Herunterladen (CMGAd)....................................70
Verwenden des Administrator-Download-Dienstprogramms im forensischen Modus...........................................70
Verwenden des Administrator-Download-Dienstprogramms im Admin-Modus.......................................................71
15 Serververschlüsselung konfigurieren.......................................................................................................... 72
Serververschlüsselung aktivieren...................................................................................................................................72
Aktivierung des Anmeldedialogfelds anpassen.............................................................................................................72
EMS-Richtlinien zur Serververschlüsselung festlegen................................................................................................73
Anhalten einer verschlüsselten Serverinstanz..............................................................................................................73
16 Server für Cloud Edition konfigurieren....................................................................................................... 75
VE-Server für Cloud Edition konfigurieren................................................................................................................... 75
EE-Server für Cloud Edition konfigurieren................................................................................................................... 75
Profile für Cloud-Speicherschutz-Anbieter verwalten..........................................................................................76
Zulassen/Ablehnen von Benutzern auf der Positivliste/Negativliste................................................................. 76
17 Cloud Edition mit Dropbox für Business verwenden....................................................................................79
Richtlinie für Unternehmens- und persönliche Konten............................................................................................... 79
Unternehmens- und persönliche Ordner...................................................................................................................... 80
Remote-Löschen eines Mitarbeiterkontos................................................................................................................... 80
Berichte ausführen........................................................................................................................................................... 81
Dell Data Protection | Enterprise Edition
Inhaltsverzeichnis

18 Fehlerbehebung......................................................................................................................................... 82
Alle Clients – Fehlerbehebung........................................................................................................................................82
Fehlerbehebung für den Client für Verschlüsselung und Serververschlüsselung .................................................. 82
Upgrade auf die Windows 10 Anniversary-Aktualisierung.................................................................................... 82
Aktivierung auf einem Serverbetriebssystem.........................................................................................................82
Erstellen einer Encryption Removal Agent-Protokolldatei (optional)................................................................. 85
TSS-Version suchen..................................................................................................................................................85
EMS und PCS Interaktionen.................................................................................................................................... 85
WSScan verwenden.................................................................................................................................................. 86
Verwenden von WSProbe........................................................................................................................................ 88
Überprüfen des Encryption-Removal-Agent-Status............................................................................................ 90
SED-Client – Fehlerbehebung....................................................................................................................................... 90
Richtlinie „Erster Zugriffscode“ verwenden...........................................................................................................90
PBA-Protokolldatei für die Fehlerbehebung erstellen............................................................................................91
Dell ControlVault-Treiber................................................................................................................................................ 92
Aktualisieren von Treibern und Firmware für Dell ControlVault...........................................................................92
Cloud Edition – Fehlerbehebung....................................................................................................................................93
Verwenden Sie den Bildschirm „Details“.................................................................................................................93
Verwenden Sie den Bildschirm „Erweiterte Details“............................................................................................. 94
Protokolldateien anzeigen.........................................................................................................................................94
Temporäre Ordnerverwaltungsrechte gewähren.................................................................................................. 94
Häufig gestellte Fragen............................................................................................................................................. 94
UEFI-Computer................................................................................................................................................................95
Fehlerbehebung bei Problemen mit der Netzwerkverbindung............................................................................ 95
TPM und BitLocker......................................................................................................................................................... 96
Fehlercodes für TPM und BitLocker....................................................................................................................... 96
19 Glossar......................................................................................................................................................128

Dell Data Protection | Enterprise Edition
Inhaltsverzeichnis

1
Einleitung
Dieses Handbuch beschreibt die Installation und Konfiguration von des Encryption-Clients, SED-Management-Clients, Advanced
Authentication, BitLocker Manager und Cloud Edition.
Alle Richtlinieninformationen und deren Beschreibungen finden Sie in der AdminHelp.

Vor der Installation
1

Installieren Sie den EE-Server/VE-Server, bevor Sie die Clients bereitstellen. Machen Sie das richtige Handbuch ausfindig (siehe
unten), folgen Sie den Anweisungen, und kehren Sie anschließend zu diesem Handbuch zurück.
•

Installations- und Migrationshandbuch für DDP Enterprise Server

•

Erste Schritte und Installationshandbuch für DDP Enterprise Server – Virtual Edition
Stellen Sie sicher, dass Richtlinien wie gewünscht eingestellt sind. Durchsuchen Sie das AdminHelp erhältlich auf der ? ganz
rechts auf dem Bildschirm. Die AdminHelp ist Hilfe auf Seitenebene, die dazu entworfen wurde, Ihnen beim Festlegen und Ändern
von Richtlinien und zum Verständnis Ihrer Optionen mit Ihrem EE-Server/VE Server zu helfen.

Lesen Sie das Kapitel Anforderungen dieses Dokuments gründlich durch.

Stellen Sie Clients für die Endbenutzer bereit.

Verwendung des Handbuchs
Wenden Sie das Handbuch in der folgenden Reihenfolge an.
•
•
•
•

Unter Anforderungen finden Sie Informationen über Client-Voraussetzungen, Computer-Hardware und -Software, Einschränkungen
und spezielle Registrierungsänderungen, die für bestimmte Funktionen erforderlich sind.
Lesen Sie bei Bedarf die Abschnitte Vorinstallationskonfiguration zur Aktivierung von Einmalpasswort, SED UEFI und BitLocker.
Wenn Ihren Clients über Dell Digital Delivery (DDD) Rechte zugewiesen werden sollen, lesen Sie GPO auf Domänen-Controller zur
Aktivierung von Rechten einstellen.
Falls Sie Clients unter Verwendung des -Master-Installationsprogramms installieren möchten, lesen Sie:
•

Interaktive Installation unter Verwendung des -Master-Installationsprogramms
oder

•
•

Installation durch Befehlszeile mit dem -Master Installationsprogramm

Falls Sie Clients unter Verwendung der untergeordneten Installationsprogramme installieren möchten, müssen Sie die untergeordneten
ausführbaren Dateien zuerst aus dem -Master-Installationsprogramm extrahieren. Lesen Sie den Abschnitt Extrahieren der
untergeordneten Installationsprogramme aus dem Master-Installationsprogramm, und kehren Sie anschließend hierher zurück.
•

Installation der untergeordneten Installationsprogramme über die Befehlszeile:
•
•

•

Treiber-Client installieren – Folgen Sie diesen Anweisungen, wenn Sie den Encryption-Client auf einem Computer mit dem
Trusted Platform Module (TPM) oder auf Dell Hardware installieren möchten.
Encryption-Client installieren - Verwenden Sie diese Anweisungen zum Installieren des Encryption-Clients, der Komponente, die
Sicherheitsrichtlinien durchsetzt, egal ob ein Computer mit dem Netzwerk verbunden oder vom Netzwerk getrennt ist, verloren
gegangen ist oder gestohlen wurde.
SED Managemtent- und Advanced Authentication-Clients installieren - Verwenden Sie diese Anweisungen zur Installation der
Verschlüsselungssoftware für SEDs. Selbstverschlüsselnde Laufwerke haben zwar eine eigene Verschlüsselungsfunktion, ihnen
Dell Data Protection | Enterprise Edition
Einleitung

fehlt aber eine Plattform für die Verwaltung ihrer Verschlüsselung und Richtlinien. Bei Verwendung von SED Management sind
sämtliche Richtlinien, Speicher und der Abruf von Verschlüsselungsschlüsseln über eine einzige Konsole verfügbar. Dadurch
verringert sich das Risiko, dass Computer bei Verlust oder unberechtigtem Zugriff ungeschützt sind.
Der Advanced Authentication-Client verwaltet mehrere Authentifizierungsmethoden, darunter PBA für SEDs, Single Sign-on
(SSO) und Benutzer-Anmeldeinformationen wie Fingerabdrücke und Passwörter. Darüber hinaus kann Advanced
Authentication auch für den Zugriff auf Websites und Anwendungen verwendet werden.
•

Cloud Edition installieren - Verwenden Sie diese Anweisungen zum Installieren des Cloud Edition-Clients. Daten werden
geschützt, wenn sie in öffentlichen Cloud-Services wie Dropbox, Dropbox für Unternehmen, Box und OneDrive gespeichert
sind. Daten werden bei der Übertragung an die und aus der Cloud transparent verschlüsselt.

•

BitLocker Manager Client installieren - Folgen Sie diesen Anweisungen, um den BitLocker Manager-Client zu installieren. Dieser
wurde speziell dafür entwickelt, die Sicherheit von BitLocker-Implementierungen zu erhöhen und zu vereinfachen sowie
Betriebskosten zu senken.
ANMERKUNG: Die meisten untergeordneten Installationsprogramme können interaktiv installiert werden. Dies
ist jedoch nicht Gegenstand dieses Handbuchs.

•

Unter Üblicherweise verwendete Szenarien finden Sie Skripte von unseren gängigsten Szenarien.

Kontaktaufnahme mit dem Dell ProSupport
Telefonischen Support rund um die Uhr für Ihr Dell Data Protection-Produkt erhalten Sie unter der Rufnummer 877-459-7304, Durchwahl
4310039.
Zusätzlich steht Ihnen unser Online-Support für Dell Data Protection-Produkte unter dell.com/support zur Verfügung. Der Online-Support
enthält Treiber, Handbücher, technische Ratgeber, FAQs und eine Beschreibung festgestellter Probleme.
Halten Sie bei Ihrem Anruf Ihren Service Code bereit, damit wir Sie schneller mit dem richtigen Ansprechpartner für Ihr technisches
Problem verbinden können.
Telefonnummern außerhalb der Vereinigten Staaten finden Sie unter Dell ProSupport – Internationale Telefonnummern.

Dell Data Protection | Enterprise Edition
Einleitung

2
Anforderungen
Alle Clients
Diese Anforderungen gelten für alle Clients. Anforderungen, die in anderen Abschnitten aufgeführt sind, gelten für bestimmte Clients.
•

Bei der Implementierung sind die bewährten IT-Verfahren zu beachten. Dazu zählen u. a. geregelte Testumgebungen für die
anfänglichen Tests und die stufenweise Bereitstellung für Benutzer.

•

Die Installation/Aktualisierung/Deinstallation kann nur von einem lokalen Benutzer oder einem Domänenadministrator durchgeführt
werden, der über ein Implementierungstool wie Microsoft SMS oder KACE vorübergehend zugewiesen werden kann. Benutzer ohne
Administratorstatus, aber mit höheren Rechten, werden nicht unterstützt.

•

Sichern Sie vor der Installation/Deinstallation alle wichtigen Daten.

•

Nehmen Sie während der Installation oder Deinstallation keine Änderungen am Computer vor, dazu gehört auch das Einsetzen oder
Entfernen von externen (USB-)Laufwerken.

•

Stellen Sie sicher, dass der ausgehende Port 443 für die Datenübertragung zum EE-Server/VE-Server zur Verfügung steht, falls die
Clients des -Master-Installationsprogramms für die Verwendung von Dell Digital Delivery (DDD) berechtigt werden sollen. Die
Berechtigung kann nicht eingerichtet werden, wenn Port 443 blockiert ist. DDD wird nicht verwendet, wenn die Installation über die
untergeordneten Installationsprogramme erfolgt.

•

Überprüfen Sie regelmäßig die Website www.dell.com/support, um stets über die neueste Dokumentation und die neuesten
technischen Ratgeber zu verfügen.

Alle Clients - Voraussetzungen
•

Die vollständige Version von Microsoft .Net Framework 4.5 (oder höher) ist sowohl für das -Master-Installationsprogramm als auch die
untergeordneten Installationsprogramme erforderlich (ausgenommen hiervon ist das untergeordnete Installationsprogramm für Cloud
Edition, für das lediglich Microsoft .Net Framework 4.0 Client Profile erforderlich ist.). Das Installationsprogramm installiert die
Microsoft .Net Framework-Komponente nicht.
Auf allen von Dell werksseitig ausgelieferten Computern ist Microsoft .Net Framework 4.5 in der Vollversion vorinstalliert. Wenn Sie
jedoch keine Dell Hardware verwenden oder den Client auf älterer Dell Hardware aktualisieren, sollten Sie überprüfen, welche Version
von Microsoft .Net installiert ist und diese gegebenenfalls aktualisieren, bevor Sie den Client installieren, um Fehler bei der Installation/
Aktualisierung zu vermeiden. Um die installierte Version von Microsoft .Net zu überprüfen, folgen Sie auf dem Computer, auf dem die
Installation vollzogen werden soll, den folgenden Anweisungen: http://msdn.microsoft.com/en-us/library/hh925568(v=vs.110).aspx.
Informationen zur Installation der vollständigen Version von Microsoft .Net Framework 4.5 finden Sie unter http://
www.microsoft.com/en-us/download/details.aspx?id=30653.

•

Treiber und Firmware für Dell ControlVault, Fingerabdruckleser und Smartcards (siehe unten) sind nicht im -MasterInstallationsprogramm oder in den untergeordneten ausführbaren Dateien enthalten. Treiber und Firmware müssen jederzeit auf dem
aktuellen Stand sein und können nach Auswahl des jeweiligen Computermodells von der Website http://www.dell.com/support
heruntergeladen werden. Laden Sie die jeweiligen Treiber und die Firmware basierend auf Ihrer Authentifizierungshardware herunter.
•

Dell ControlVault

•

NEXT Biometrics Fingerprint-Treiber

•

Validity Fingerprint Reader 495-Treiber

•

O2Micro Smart Card-Treiber
Falls Sie Hardware installieren möchten, die nicht von Dell stammt, müssen Sie die aktualisierten Treiber und die Firmware von der
Website des jeweiligen Herstellers herunterladen. Installationsanweisungen für Dell ControlVault-Treiber finden Sie unter Dell
ControlVault-Treiber und Firmware aktualisieren.

Dell Data Protection | Enterprise Edition
Anforderungen

Alle Clients - Hardware
•

Die folgende Tabelle enthält Informationen zur unterstützten Computer-Hardware.
Hardware
•

Die Mindestanforderungen für die Hardware müssen den Mindestspezifikationen des Betriebssystems entsprechen.

Alle Clients - Sprachunterstützung
•

Die Encryption-, Cloud Edition-, und BitLocker Manager-Clients sind Multilingual User Interface (MUI)-konform und unterstützen die
folgenden Sprachen.
Sprachunterstützung

•

EN: Englisch

•

JA: Japanisch

•

ES: Spanisch

•

KO: Koreanisch

•

FR: Französisch

•

PT-BR: Portugiesisch, Brasilien

•

IT: Italienisch

•

PT-PT: Portugiesisch, Portugal

•

DE: Deutsch

Der SED-Client und der Advanced Authentication-Client sind MUI-kompatibel (Multilingual User Interface) und unterstützen folgende
Sprachen. Der UEFI-Modus sowie die Preboot-Authentifizierung werden auf Russisch sowie auf traditionellem und vereinfachtem
Chinesisch nicht unterstützt.
Sprachunterstützung
•

EN: Englisch

•

KO: Koreanisch

•

FR: Französisch

•

ZH-CN: Chinesisch, vereinfacht

•

IT: Italienisch

•

ZH-TW: Chinesisch, traditionell/Taiwan

•

DE: Deutsch

•

PT-BR: Portugiesisch, Brasilien

•

ES: Spanisch

•

PT-PT: Portugiesisch, Portugal

•

JA: Japanisch

•

RU: Russisch

Encryption-Client
•

Der Client-Computer muss über Netzwerkkonnektivität verfügen.

•

Entfernen Sie mithilfe des Windows-Desktopbereinigungs-Assistenten temporäre Dateien und andere unnötige Daten, um den
Zeitaufwand für die anfängliche Verschlüsselung zu verringern.

•

Schalten Sie den Energiesparmodus bei der ersten Verschlüsselungssuche aus, um zu verhindern, dass ein unbeaufsichtigter Computer
in diesen Modus umschaltet. Im Energiesparmodus kann keine Verschlüsselung (oder Entschlüsselung) erfolgen.

•

Der Encryption-Client unterstützt keine Dual-Boot-Konfigurationen, da es hierdurch zur Verschlüsselung von Systemdateien des
anderen Betriebssystems kommen kann, was den Betrieb stören würde.

•

Das Master-Installationsprogramm unterstützt keine Aktualisierungen von Komponenten vor Version 8.0. Extrahieren Sie
untergeordnete Installationsprogramme aus dem Master-Installationsprogramm und aktualisieren Sie einzeln die Komponente.

Dell Data Protection | Enterprise Edition
Anforderungen

•

•
•

Anweisungen zum Extrahieren finden Sie unter Extrahieren der untergeordneten Installationsprogramme aus dem MasterInstallationsprogramm.
Der Encryption-Client unterstützt jetzt den Audit-Modus. Der Audit-Modus ermöglicht Administratoren die Bereitstellung des
Encryption-Clients als Teil des Unternehmens-Image, anstatt das SCCM eines Drittanbieters oder ähnliche Lösungen zur Bereitstellung
des Encryption-Clients zu verwenden. Standardmäßig wird die Aktivierung erst nach vollständiger Bereitstellung des Image
fortgesetzt.
Der Encryption-Client wurde getestet und ist kompatibel mit McAfee, dem Symantec-Client, Kaspersky und MalwareBytes. Für diese
Anbieter von Virenschutzsoftware wurden hartkodierte Ausschlüsse implementiert, um Inkompatibilitäten zwischen
Virenschutzprüfung und Verschlüsselung zu verhindern. Der Encryption-Client wurde außerdem mit dem Microsoft Enhanced
Mitigation Experience Toolkit getestet.
Falls Ihr Unternehmen Virenschutzsoftware von einem hier nicht aufgeführten Anbieter verwendet, lesen Sie den KB-Artikel
SLN298707 oder Dell ProSupport kontaktieren, um Hilfe zu erhalten.
Das TPM wird zum Versiegeln des GPK-Schlüssels verwendet. Falls Sie den Encryption-Client ausführen, löschen Sie daher das TPM
im BIOS, bevor Sie ein neues Betriebssystem auf dem Client-Computer installieren.
Eine direkte Aktualisierung des Betriebssystems wird nicht unterstützt, wenn der Encryption-Client installiert ist. Deinstallieren Sie den
Encryption-Client, führen Sie eine Entschlüsselung durch, aktualisieren Sie das Betriebssystem auf die neue Version, und führen Sie
anschließend eine Neuinstallation von Encryption-Client durch.
Die Neuinstallation des Betriebssystems wird ebenfalls nicht unterstützt. Zur Neuinstallation des Betriebssystems sichern Sie den
Zielcomputer, setzen Sie den Computer zurück, installieren Sie das Betriebssystem, und stellen Sie anschließend die verschlüsselten
Daten gemäß den üblichen Wiederherstellungsverfahren wieder her.

Encryption-Client-Anforderungen
•

Das -Master-Installationsprogramm installiert Microsoft Visual C++ 2012 Update 4, falls diese Komponente noch nicht auf dem
Computer vorhanden ist. Wenn Sie das untergeordnete Installationsprogramm verwenden, müssen Sie diese Komponente
installieren, bevor Sie den Encryption-Client installieren.
Voraussetzungen
•

Visual C++ 2012 Update 4 oder höheres Redistributable Package (x86 und x64)

Encryption-Client-Hardware
•

Die folgende Tabelle enthält detaillierte Informationen über die unterstützte Hardware.
Optionale integrierte Hardware
•

TPM 1.2 oder 2.0

Encryption-Client-Betriebssysteme
•

In der folgenden Tabelle sind die unterstützten Betriebssysteme aufgeführt.
Windows-Betriebssysteme (32-Bit und 64-Bit)
•
•
•
•
•
•

Windows 7 SP0-SP1: Enterprise, Professional, Ultimate
Windows Embedded Standard 7 mit Application Compatibility-Vorlage (Hardwareverschlüsselung wird nicht unterstützt)
Windows 8: Enterprise, Pro
Windows 8.1 Update 0-1: Enterprise Edition, Pro Edition
Windows Embedded 8.1 Industry Enterprise (Hardwareverschlüsselung wird nicht unterstützt)
Windows 10: Education, Enterprise, Pro

Dell Data Protection | Enterprise Edition
Anforderungen

Windows-Betriebssysteme (32-Bit und 64-Bit)
•

VMWare Workstation 5.5 und höher
ANMERKUNG: Der UEFI-Modus wird auf Windows 7, Windows Embedded Standard 7 und Windows Embedded 8.1
Industry Enterprise nicht unterstützt.

Externes Medien-Shield (EMS)-Betriebssysteme
•

Die folgende Tabelle enthält Informationen zu den unterstützten Betriebssystemen für den Zugriff auf Medien, die von EMS geschützt
werden.
ANMERKUNG: Zur Verwendung von EMS müssen ungefähr 55 MB auf dem externen Speichermedium frei sein sowie weiterer
freier Speicherplatz, in der Größe der umfangreichsten zu verschlüsselnden Datei, verfügbar sein.
ANMERKUNG:
Windows XP wird nur bei Verwendung von EMS Explorer unterstützt.
Unterstützte Windows-Betriebssysteme für den Zugriff auf EMS-geschützte Medien (32-Bit und 64-Bit)
•
•
•
•

Windows 7 SP0-SP1: Enterprise, Professional, Ultimate, Home Premium
Windows 8: Enterprise, Pro, Consumer
Windows 8.1 Update 0-1: Enterprise Edition, Pro Edition
Windows 10: Education, Enterprise, Pro

Unterstützte Mac-Betriebssysteme für den Zugriff auf EMS-geschützte Medien (64-Bit-Kernel)
•
•
•

Mac OS X Yosemite 10.10.5
Mac OS X El Capitan 10.11.6
macOS Sierra 10.12.0

Serververschlüsselungs-Client
Die Serververschlüsselung ist für die Verwendung auf Computern gedacht, die im Servermodus ausgeführt werden, insbesondere
Dateiserver.
•

Die Serververschlüsselung ist nur kompatibel mit Dell Data Protection | Enterprise Edition und Dell Data Protection | Endpoint Security
Suite Enterprise.

•

Die Serververschlüsselung bietet Folgendes:
•

Software-Verschlüsselung wird

•

Wechselspeichermedien-Verschlüsselung

•

Portsteuerung
ANMERKUNG:
Der Server muss Portsteuerungen unterstützen.
Die Richtlinien des Server-Portsteuerungssystems wirken sich auf die Wechselmedien auf geschützten Servern aus, indem
z. B. der Zugriff auf und die Nutzung der USB-Ports des Servers durch USB-Geräte gesteuert wird. Die USB-Port-Richtlinie
ist auf externe USB-Ports anwendbar. Die interne USB-Port-Funktionalität wird durch die USB-Port-Richtlinie nicht
beeinflusst. Bei deaktivierter USB-Port-Richtlinie funktionieren USB-Tastatur und Maus des Clients nicht und der Benutzer
kann den Computer nicht verwenden, wenn vor Anwenden der Richtlinie keine Remote Desktop-Verbindung eingerichtet
wurde.

Dell Data Protection | Enterprise Edition
Anforderungen

Die Serververschlüsselung wird angewendet auf:
•

Dateiserver mit lokalen Laufwerken

•

Virtual Machine (VM)-Gäste, die ein Server-Betriebssystem oder Nicht-Server-Betriebssystem als einfachen Dateiserver ausführen

•

Unterstützte Konfigurationen:
•

Mit RAID 5- oder 10-Laufwerken ausgestattete Server; RAID 0 (Striping) und RAID 1 (Mirroring) werden unabhängig voneinander
unterstützt.

•

Mit Multi TB RAID-Laufwerken ausgestattete Server

•

Server, die mit Laufwerken ausgestattet sind, die ohne Herunterfahren des Computers ausgetauscht werden können.

•

Die Serververschlüsselung wurde getestet für und ist kompatibel mit McAfee® VirusScan®, Symantec™ Clients, Kaspersky AntiVirus und MalwareBytes Anti-Malware™. Für diese Antivirus-Anbieter wurden hart kodierte Ausnahmen eingerichtet, um
Inkompatibilitäten zwischen Antivirus-Überprüfungen und Verschlüsselung zu verhindern. Falls Ihr Unternehmen
Virenschutzsoftware von einem hier nicht aufgeführten Anbieter verwendet, lesen Sie den KB-Artikel SLN298707 oder
kontaktieren Sie Dell ProSupport, um Hilfe zu erhalten.

Nicht unterstützt
Die Serververschlüsselung wird nicht angewendet auf:
•

Dell Data Protection Server oder Server, die Datenbanken für den Dell Data Protection Server betreiben

•

Die Serververschlüsselung ist nicht kompatibel mit Dell Data Protection | Endpunkt Security Suite, Dell Data Protection | Personal
Edition oder Dell Data Protection | Security Tools.

•

Serververschlüsselung wird nicht unterstützt mit SED-Management oder BitLocker Manager Client.

•

Migration zu oder von der Serververschlüsselung wird nicht unterstützt. Upgrades von Dell Data Protection | External Media Edition
auf Serververschlüsselung erfordern, dass das vorherige Produkt oder die vorherigen Produkte vor der Installation der
Serververschlüsselung vollständig deinstalliert werden.

•

VM-Hosts (ein VM-Host enthält typischerweise mehrere VM-Gäste.)

•

Domain-Controller

•

Exchange-Server

•

Server, die Datenbanken hosten (SQL, Sybase, SharePoint, Oracle, MySQL, Exchange, etc.)

•

Server, die eine der folgenden Technologien verwenden:
•

Robuste Dateisysteme (ReFS)

•

Fluid-Dateisysteme

•

Microsoft-Speicherplätze

•

SAN/NAS-Netzwerkspeicherlösungen

•

Über iSCSI verbundene Geräte

•

Deduplizierungssoftware

•

Hardware-Deduplizierung

•

Aufgeteilte RAIDs (mehrere Volumes über ein einzelnes RAID)

•

SED-Laufwerke (RAIDs und NICHT-RAID)

•

Auto-Anmeldung (Windows BS 7, 8/8.1) für Kiosk-Systeme

•

Microsoft Storage Server 2012

•

Die Serververschlüsselung unterstützt keine Dual-Boot-Konfigurationen, da es hierdurch zur Verschlüsselung von Systemdateien des
anderen Betriebssystems kommen kann, was den Betrieb stören würde.

•

Eine direkte Aktualisierung des Betriebssystems wird von der Serververschlüsselung nicht unterstützt. Um das Betriebssystem zu
aktualisieren, deinstallieren und entschlüsseln Sie die Serververschlüsselung, aktualisieren Sie auf das neue Betriebssystem und
installieren Sie danach erneut die Serververschlüsselung.
Die Neuinstallation des Betriebssystems wird ebenfalls nicht unterstützt. Falls Sie eine Neuinstallation des Betriebssystems durchführen
möchten, sichern Sie den Zielcomputer, setzen Sie den Computer zurück, installieren Sie das Betriebssystem, und stellen Sie
anschließend die verschlüsselten Daten gemäß den Wiederherstellungsverfahren wieder her. Weitere Informationen zur
Wiederherstellung von verschlüsselten Daten finden Sie in der Recovery Guide (Wiederherstellungsanleitung).

Dell Data Protection | Enterprise Edition
Anforderungen

Serververschlüsselungs-Client – Anforderungen
•

Sie müssen diese Komponente vor der Installation des Serververschlüsselungs-Clients installieren.
Voraussetzungen
•

Visual C++ 2012 Update 4 oder höheres Redistributable Package (x86 und x64)

Serververschlüsselungs-Client – Hardware
Die Mindestanforderungen für die Hardware müssen den Mindestspezifikationen des Betriebssystems entsprechen.

Serververschlüsselungs-Client – Betriebssysteme
In der folgenden Tabelle sind die unterstützten Betriebssysteme aufgeführt.
Betriebssystem (32- und 64-Bit)
•
•
•
•

Windows 7 SP0-SP1: Home, Enterprise, Professional, Ultimate
Windows 8.0: Enterprise, Pro
Windows 8.1 - Windows 8.1 Update 1: Enterprise Edition, Pro Edition
Windows 10: Education Edition, Enterprise Edition, Pro Edition

Unterstützte Server-Betriebssysteme
•
•
•
•

Windows Server 2008 SP2: Standard Edition, Datacenter Edition mit und ohne Hyper-V, Enterprise Edition mit und ohne Hyper-V,
Foundation Server Edition
Windows Server 2008 R2 SP1: Standard Edition, Datacenter Edition mit und ohne Hyper-V, Enterprise Edition mit und ohne Hyper-V,
Foundation Edition, Webserver Edition
Windows Server 2012: Standard Edition, Essentials Edition, Foundation Edition, Datacenter Edition
Windows Server 2012 R2: Standard Edition, Essentials Edition, Foundation Edition, Datacenter Edition

Betriebssysteme, die vom UEFI-Modus unterstützt werden
•
•
•

Windows 8: Enterprise, Pro
Windows 8.1 - Windows 8.1 Update 1: Enterprise Edition, Pro Edition
Windows 10: Education Edition, Enterprise Edition, Pro Edition
ANMERKUNG: Auf einem unterstützten UEFI-Computer startet der Computer neu, nachdem Sie die Option Neustart im
Hauptmenü ausgewählt haben, und zeigt einen von zwei möglichen Anmeldebildschirmen an. Der angezeigte Anmeldebildschirm
richtet sich nach der jeweiligen Architektur der Computer-Plattform.

External Media Shield (EMS) – Betriebssysteme
Die folgende Tabelle enthält Informationen zu den unterstützten Betriebssystemen für den Zugriff auf Medien, die von EMS geschützt
werden.

Dell Data Protection | Enterprise Edition
Anforderungen

ANMERKUNG: Zur Verwendung von EMS müssen ungefähr 55 MB auf dem externen Speichermedium frei sein sowie weiterer
freier Speicherplatz, in der Größe der umfangreichsten zu verschlüsselnden Datei, verfügbar sein.
ANMERKUNG:
Windows XP wird nur bei Verwendung von EMS Explorer unterstützt.
Unterstützte Windows-Betriebssysteme für den Zugriff auf EMS-geschützte Medien (32-Bit und 64-Bit)
•
•
•
•

Windows 7 SP0-SP1: Enterprise, Professional, Ultimate, Home Premium
Windows 8: Enterprise, Pro, Consumer
Windows 8.1 Update 0-1: Enterprise Edition, Pro Edition
Windows 10: Education, Enterprise, Pro

Unterstützte Server-Betriebssysteme
•
•

Windows Server 2008 SP1 (oder höher)
Windows Server 2012 R2

Unterstützte Mac-Betriebssysteme für den Zugriff auf EMS-geschützte Medien (64-Bit-Kernel)
•
•
•

OS X Mavericks 10.9.5
OS X Yosemite 10.10.5
OS X El Capitan 10.11.4 und 10.11.5

SED-Client
•

Der Computer muss über Netzwerkkonnektivität verfügen, damit SED Management erfolgreich installiert werden kann.

•

IPv6 wird nicht unterstützt.

•

Nach der Übernahme von Richtlinien, die nun angewendet werden sollen, müssen Sie den Computer u. U. herunterfahren und neu
starten.

•

Computer, die mit selbstverschlüsselnden Laufwerken ausgerüstet sind, können nicht mit HCA-Karten verwendet werden. Sie sind
nicht kompatibel, was die Bereitstellung der HCA verhindert. Dell verkauft keine Computer mit selbstverschlüsselnden Laufwerken, die
das HCA-Modul unterstützen. Eine solche Konfiguration wäre nur als After-Market-Konfiguration möglich.

•

Wenn der zu verschlüsselnde Computer über ein selbstverschlüsselndes Laufwerk verfügt, muss in Active Directory die Option
Benutzer muss das Kennwort bei der nächsten Anmeldung ändern deaktiviert sein. Die Preboot-Authentifizierung bietet keine
Unterstützung für diese Active Directory-Option.

•

Dell empfiehlt, die Authentifizierungsmethode nicht mehr zu ändern, nachdem die PBA aktiviert worden ist. Wenn Sie zu einer anderen
Authentifizierungsmethode wechseln müssen, gibt es zwei Möglichkeiten:
•

Entfernen Sie alle Benutzer aus der PBA.

oder
•

Deaktivieren Sie die PBA, ändern Sie die Authentifizierungsmethode, und aktivieren Sie die PBA erneut.
WICHTIG: Aufgrund der Struktur von RAID und SEDs wird RAID von der SED-Verwaltung nicht unterstützt. Das
Problem bei RAID=On mit SEDs besteht darin, dass zum Lesen und Schreiben der RAID-Daten Zugriff auf einen
höheren Sektor erforderlich ist. Dieser Sektor ist auf einem gesperrten SED beim Start nicht verfügbar, und RAID
benötigt diese Daten bereits vor der Benutzeranmeldung. Sie können das Problem umgehen, indem Sie im BIOS für
SATA statt AHCI den Eintrag RAID=On auswählen. Wenn die Treiber für den AHCI-Controller im Betriebssystem nicht
bereits vorinstalliert sind, führt der Wechsel von RAID=On zu AHCI allerdings zum Betriebssystemabsturz
(„Bluescreen“).

•

SED-Verwaltung ist nicht unterstützt Server mit Verschlüsselung.

Dell Data Protection | Enterprise Edition
Anforderungen

OPAL-Treiber
•

Unterstützte Opal-konforme SEDs erfordern aktualisierte Intel Rapid Storage Technology-Treiber, die unter http://www.dell.com/
support. verfügbar sind.

SED-Client-Anforderungen
•

Das -Master-Installationsprogramm installiert Microsoft Visual C++2010 SP1 und Microsoft Visual C++ 2012 Update 4, falls diese
Komponenten noch nicht auf dem Computer vorhanden sind. Wenn Sie das untergeordnete Installationsprogramm verwenden,
müssen Sie diese Komponenten installieren, bevor Sie die SED Management installieren.
Voraussetzungen
•
•

Visual C++ Redistributable Package ab Version 2010 SP1 (x86 und x64)
Visual C++ 2012 Update 4 oder höheres Redistributable Package (x86 und x64)

OPAL-kompatible SEDs
•

Für die auf dem neuesten Stand Liste der Opal kompatible SEDs unterstützt, wenn die SED-Verwaltung, beziehen sich auf dieses KBArtikel: http://www.dell.com/support/article/us/en/19/SLN296720.

SED-Client-Betriebssysteme
•

Die folgende Tabelle enthält Informationen zu den unterstützten Betriebssystemen.
Windows-Betriebssysteme (32-Bit und 64-Bit)
•

Windows 7 SP0-SP1: Enterprise, Professional (unterstützt mit Legacy Boot-Modus aber nicht UEFI)

•
•
•

ANMERKUNG: Legacy Boot-Modus wird auf Windows 7 unterstützt. UEFI wird auf Windows 7 nicht unterstützt.
Windows 8: Enterprise, Pro
Windows 8.1: Enterprise Edition, Pro Edition
Windows 10: Education, Enterprise, Pro

Internationale Tastaturen
•

Die folgende Tabelle listet unterstützte internationale Tastaturen mit Preboot Authentication.
ANMERKUNG: Diese Tastaturen unterstützt werden mit UEFI nur.
International Keyboard Support - UEFI

•

DE-CH: Deutsch

•

DE-FR: Französisch

Dell Data Protection | Enterprise Edition
Anforderungen

Advanced Authentication-Client
•

Bei Verwendung von Advanced Authentication sichern Benutzer den Zugriff auf den Computer durch erweiterte
Anmeldeinformationen, die mit Dell Data Protection | Security Tools verwaltet und eingetragen werden. Security Tools ist damit das
primäre Programm zur Verwaltung der Authentifizierungsinformationen für die Windows-Anmeldung, einschließlich WindowsPasswort, Fingerabdrücke und Smart Cards. Über das Microsoft-Betriebssystem eingetragene Authentifizierungsinformationen für die
Anmeldung per Bildcode, PIN und Fingerabdruck werden bei der Windows-Anmeldung nicht erkannt.
Wenn Sie Ihre Anmeldeinformationen weiterhin mit dem Microsoft-Betriebssystem verwalten möchten, installieren Sie Security Tools
nicht, bzw. deinstallieren Sie das Programm.

•

Für die Einmalpasswort (OTP)-Funktion in Security Tools muss ein TPM vorhanden, aktiviert und zugewiesen sein. OTP wird nicht mit
TPM 2.0 unterstützt. Weitere Informationen zum Löschen und Definieren der TMP-Zuweisung finden Sie unter https://
technet.microsoft.com.

•

Ein SED benötigt für die Bereitstellung von Advanced Authentication oder der Verschlüsselung kein TPM.

Advanced Authentication-Client-Hardware
•

Die folgende Tabelle enthält detaillierte Informationen über die unterstützte Authentifizierungs-Hardware.
Fingerabdruck- und Smart Card-Leser
•
•
•
•

Validity VFS495 im sicheren Modus
Dell ControlVault Swipe Reader
UPEK TCS1 FIPS 201 Secure Reader 1.6.3.379
Authentec Eikon und Eikon To Go USB-Lesegeräte

Kontaktlose Karte
•

Kontaktlose Karten nutzen die entsprechenden Lesegeräte, die auf bestimmten Dell Laptops installiert sind

Smart Cards

•

PKCS #11 Smart Cards verwenden den ActivIdentity-Client.

•
•
•

ANMERKUNG: Der ActivIdentity-Client ist nicht vorinstalliert und muss daher separat installiert werden.
CSP Cards
Common Access Cards (CACs)
Net-Karten der B/SIPR-Klasse

In der folgenden Tabelle werden die Dell-Computermodelle mit Unterstützung von Netzkarten der Klasse SIPR aufgelistet.
Dell-Computermodelle – Class B/SIPR Net Card-Unterstützung
•
•

•

Latitude E6440
Latitude E6540

•
•
•

Precision M2800
Precision M4800
Precision M6800

•
•
•

Latitude 14 Rugged Extreme
Latitude 12 Rugged Extreme
Latitude 14 Rugged

Die folgende Tabelle enthält detaillierte Informationen zu Dell-Computermodellen, die UEFI unterstützen.
Dell-Computermodelle – UEFI-Unterstützung:
•
•
•
•

Latitude 7370
Latitude E5270
Latitude E5470
Latitude E5570

•
•
•
•

Precision M3510
Precision M4800
Precision M5510
Precision M6800

•
•

Bedienfeld von 3040
Optiplex Micro, Minitower,
Kompaktgehäuse
Optiplex 3046

•
•

Venue Pro 11 (Modell 5175)
Venue Pro 11 (Modell 7139)

Dell Data Protection | Enterprise Edition
Anforderungen

Dell-Computermodelle – UEFI-Unterstützung:
•
•
•
•
•
•
•
•
•
•
•
•

Latitude E7240
Latitude E7250
Latitude E7270
Latitude E7275
Latitude E7350
Latitude E7440
Latitude E7450
Latitude E7470
Latitude 12 Rugged Extreme
Latitude 12 Rugged Tablet
(Modell 7202)
Latitude 14 Rugged Extreme
Latitude 14 Rugged

•
•
•
•
•

Precision M7510
Precision M7710
Precision T3420
Precision T3620
Precision T7810

•
•
•
•
•
•

Optiplex 5040 Minitower,
Kompaktgehäuse
OptiPlex 7020
Optiplex 7040-Micro,
Minitower,
Kompaktgehäuse
Optiplex 3240 All-In-One
Optiplex 7440 All-In-One
OptiPlex 9020 Micro

ANMERKUNG: Authentifizierungsfunktionen werden im UEFI-Modus auf diesen Computern unterstützt, auf denen Windows
8, Windows 8.1 oder Windows 10 mit geeigneten OPAL Compliant SEDs ausgeführt wird. Andere Computer mit Windows 7,
Windows 8, Windows 8.1 und Windows 10 unterstützen den Legacy Boot-Modus.

Advanced Authentication Client - Betriebssysteme
Windows-Betriebssysteme
•

In der folgenden Tabelle sind die unterstützten Betriebssysteme aufgeführt.
Windows-Betriebssysteme (32-Bit und 64-Bit)
•
•
•
•

Windows 7 SP0-SP1: Enterprise, Professional, Ultimate
Windows 8: Enterprise, Pro
Windows 8.1 Update 0-1: Enterprise Edition, Pro Edition
Windows 10: Education, Enterprise, Pro
ANMERKUNG: Der UEFI-Modus wird auf Windows 7 nicht unterstützt.

Betriebssysteme für Mobilgeräte
•

Die folgenden mobilen Betriebssystem werden von der Einmal-Passwort-Funktion von Security Tools unterstützt.
Android-Betriebssysteme
•
•
•
•

4.0 - 4.0.4 Ice Cream Sandwich
4.1 - 4.3.1 Jelly Bean
4.4 - 4.4.4 KitKat
5.0 - 5.1.1 Lollipop

iOS-Betriebssysteme
•
•

iOS 7.x
iOS 8.x

Windows Phone-Betriebssysteme
•
•

Windows Phone 8.1
Windows 10 Mobile

Dell Data Protection | Enterprise Edition
Anforderungen

BitLocker Manager-Client
•

Lesen Sie den Abschnitt Microsoft BitLocker-Anforderungen, falls BitLocker in Ihrer Umgebung bislang noch nicht bereitgestellt wurde.

•

Überprüfen Sie, ob die PBA-Partition bereits eingerichtet worden ist. Wenn BitLocker Manager vor Einrichtung der PBA-Partition
installiert wird, kann BitLocker nicht aktiviert werden, und BitLocker Manager funktioniert nicht. Lesen Sie Vorinstallationskonfiguration
zum Einrichten einer BitLocker PBA-Partition.

•

Tastatur, Maus und Videokomponenten müssen direkt an den Computer angeschlossen sein. Setzen Sie keinen KVM-Schalter zur
Verwaltung der Peripherie ein, da dies die ordnungsgemäße Erfassung der Hardware durch den Computer behindern kann.

•

Aktivieren Sie das TPM. BitLocker Manager übernimmt automatisch die Zuweisung des TPM und erfordert keinen Neustart. Wenn das
TPM bereits zugewiesen ist, leitet BitLocker Manager den Einrichtungsvorgang für die Verschlüsselung ein (kein Neustart erforderlich).
Wichtig ist, dass das TPM „zugewiesen“ und aktiviert ist.

•

Der BitLocker Manager Client verwendet die zulässigen von AES FIPS validierten Algorithmen, falls der FIPS-Modus für die GPOSicherheitseinstellung „System-Kryptographie: FIPS-konforme Algorithmen für Verschlüsselung, Hashing und Signatur verwenden“ auf
dem Gerät aktiviert ist und Sie dieses Gerät über unser Produkt verwalten. Wir erzwingen diesen Modus nicht als Standardeinstellung
für BitLocker-verschlüsselte Clients, da Microsoft seinen Kunden mittlerweile empfiehlt, die FIPS-validierte Verschlüsselung nicht zu
verwenden, da vermehrt Probleme mit der Anwendungskompatibilität, Wiederherstellung und Medienverschlüsselung aufgetreten sind:
http://blogs.technet.com.

•

BitLocker Manager wird nicht unterstützt, wenn Server Verschlüsselung.

Voraussetzungen für den BitLocker Manager-Client
•

Das -Master-Installationsprogramm installiert Microsoft Visual C++2010 SP1 und Microsoft Visual C++ 2012 Update 4, falls diese
Komponenten noch nicht auf dem Computer vorhanden sind. Wenn Sie das untergeordnete Installationsprogramm verwenden,
müssen Sie diese Komponenten installieren, bevor Sie BitLocker Manager installieren.
Voraussetzungen
•
•

Visual C++ Redistributable Package ab Version 2010 SP1 (x86 und x64)
Visual C++ 2012 Update 4 oder höheres Redistributable Package (x86 und x64)

BitLocker Manager Client-Betriebssysteme
•

In der folgenden Tabelle sind die unterstützten Betriebssysteme aufgeführt.
Windows-Betriebssysteme
•
•
•
•
•

Windows 7 SP0-SP1: Enterprise, Ultimate (32- und 64-Bit)
Windows 8: Enterprise (64-Bit)
Windows 8.1: Enterprise Edition, Pro Edition (64-Bit)
Windows 10: Education, Enterprise, Pro
Windows Server 2008 R2: Standard Edition, Enterprise Edition (64-Bit)

Cloud Edition-Client
•

Cloud Edition bietet keine Unterstützung für Microsoft Office 365.

•

Der Computer muss über ein zuweisbares Festplattenlaufwerk (Buchstabenwert) verfügen.

•

Stellen Sie sicher, dass die Zielgeräte eine Verbindung zu https://sicherheitsservername.domäne.de:8443/cloudweb/register und
https://sicherheitsservername.domäne.de:8443/cloudweb herstellen können.

•

Vor der Implementierung der Cloud Edition sollten auf den Zielgeräten möglichst keine Cloud-Speicher-Konten eingerichtet sein.
Falls Endbenutzer ihre bereits vorhandenen Konten behalten möchten, ist darauf zu achten, dass sämtliche Dateien, die
unverschlüsselt bleiben sollen, vor der Installation von Cloud Edition aus dem Sync Client verschoben werden.
Dell Data Protection | Enterprise Edition
Anforderungen

•

Benutzer sollten beachten, dass ihre Computer nach Installation des Clients neu gestartet werden müssen.

•

Cloud Edition hat keinen Einfluss auf das Verhalten der Synchronisierungs-Clients. Aus diesem Grund sollten sich Administratoren und
Endbenutzer mit der Funktionsweise dieser Anwendungen vertraut machen, bevor sie Cloud Edition implementieren. Weitere
Informationen finden Sie im Abschnitt Box-Support unter https://support.box.com/home, Dropbox-Support unter https://
www.dropbox.com/help oder OneDrive-Support unter http://windows.microsoft.com/en-us/onedrive/onedrivehelp#onedrive=other.

•

IPv6 wird nicht unterstützt.

Cloud Edition-Client – Voraussetzungen
•

Das Master-Installationsprogramm installiert Microsoft .Net Framework 4.0 Client Profile und Microsoft Visual C++ 2010 SP1, falls
diese Komponenten noch nicht auf dem Computer vorhanden sind. Wenn Sie das untergeordnete Installationsprogramm verwenden,
müssen Sie diese Komponenten installieren, bevor Sie Cloud Edition installieren.
Voraussetzungen
•
•

.Net Framework 4.0 Client Profile
Visual C++ 2010 SP1 Redistributable Package (x86 und x64)

Cloud Sync Clients
•

In der folgenden Tabelle sind die Cloud-Synchronisierungs-Clients für Cloud Edition aufgeführt. Synchronisierungs-Client-Anbieter
geben ziemlich häufig Aktualisierungen heraus. Deshalb empfiehlt Dell, neue Versionen von Synchronisierungs-Clients vor der
Implementierung in die Produktionsumgebung zunächst mit Cloud Edition zu testen.
Cloud Sync Clients
•
•
•
•
•

Dropbox
Box® ist eine eingetragene Marke von Box.
Google Drive
OneDrive
OneDrive für Unternehmen
ANMERKUNG:
Dropbox für Unternehmen erfordert eine Dropbox-Version v2.8 oder höher und VE-Server v8.4 oder höher oder EE-Server
v8.5 oder höher.
Für Dropbox für Unternehmen schützt der Client mit einem VE-Server vor v8.4 oder einem EE-Server vor v8.5 alle Dateien
und Ordner. Mit VE v8.4 oder höher oder EE-Server v8.5 oder höher kann der Benutzer Dateien zu einem persönlichen
Dropbox-Konto hochladen, basierend auf der jeweiligen Richtlinie können diese Dateien unverschlüsselt bleiben.
Bei Verwendung von Cloud Edition mit Google Drive oder OneDrive für Unternehmen ist EE-Server/VE-Server ab Version v9.1
erforderlich.

Webbrowser
•

Unterstützte Browser sind: Internet Explorer, Mozilla Firefox und Google Chrome. Cloud Edition bietet keine Unterstützung für
Microsoft Edge Browser.

Cloud Edition-Client – Betriebssysteme
•
20

In der folgenden Tabelle sind die unterstützten Betriebssysteme aufgeführt.
Dell Data Protection | Enterprise Edition
Anforderungen

Windows-Betriebssysteme (32-Bit und 64-Bit)
•
•
•
•

Windows 7 SP0-SP1
Windows 8
Windows 8.1
Windows 10

Android-Betriebssysteme
•
•
•
•

4.0 Ice Cream Sandwich
4.1–4.3 Jelly Bean
4.4 - 4.4.4 KitKat
5.0 - 5.1.1 Lollipop

iOS-Betriebssysteme
•
•
•

iOS 7.x
iOS 8.x
iOS 9.x

Authentifizierungsoptionen
•

Die folgenden Authentisierungsoptionen erfordern spezifische Hardware: Fingerabdrücke, Smart Cards, Kontaktlose Karten, Klasse-B-/
SIPR Net-Karten und Authentifizierung auf UEFI-Computern. Die folgenden Optionen müssen konfiguriert werden: Smart Cards mit
Windows-Authentifizierung, Smart Cards mit Preboot-Authentifizierung und Einmalpasswort. In den folgenden Tabellen werden die
verfügbaren Authentifizierungsoptionen nach Betriebssystem angezeigt, wenn die Hardware- und Konfigurationsanforderungen erfüllt
sind.

Encryption-Client
Ohne UEFI
PBA
Passwort Fingerab
druck

Windows-Authentifizierung
KontaktSmartCard

OTP

SIPRKarte

Passwort Fingerab
druck

Smart
Card

OTP

SIPRKarte

Windows 7 SP0SP1

Windows 8

Windows 8.1
Update 0-1

Windows 10

Dell Data Protection | Enterprise Edition
Anforderungen

UEFI
PBA – auf unterstützten Dell Computern
Passwort Fingerab
druck

KontaktSmartCard

OTP

Windows-Authentifizierung
SIPRKarte

Passwort Fingerab
druck

Smart
Card

OTP

SIPRKarte

Windows 7 SP0SP1
Windows 8

Windows 8.1
Update 0-1

Windows 10

SED-Client
Ohne UEFI
PBA

Windows-Authentifizierung

Passwort Fingerab
druck

KontaktSmartCard

Windows 7 SP0SP1

Windows 8

OTP

SIPRKarte

Passwort Fingerab
druck

Smart
Card

OTP

SIPRKarte

X2 3

Windows 8,1

X2 3

Windows 10

X2 3

1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der
untergeordneten Installationsprogramme installiert.
2. Verfügbar, wenn die Authentifizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden.
3. Verfügbar mit einer unterstützten OPAL-SED.
UEFI
PBA – auf unterstützten Dell Computern
Passwort Fingerab
druck

KontaktSmartCard

OTP

Windows-Authentifizierung
SIPRKarte

Passwort Fingerab
druck

Smart
Card

OTP

SIPRKarte

Windows 7
Windows 8

Windows 8,1

Dell Data Protection | Enterprise Edition
Anforderungen

UEFI
PBA – auf unterstützten Dell Computern
Passwort Fingerab
druck
Windows 10

KontaktSmartCard

OTP

Windows-Authentifizierung
SIPRKarte

Passwort Fingerab
druck
X

Smart
Card

OTP

SIPRKarte

1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der
untergeordneten Installationsprogramme installiert.
2. Verfügbar, wenn die Authentifizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden.
4. Verfügbar mit einer unterstützten OPAL-SED auf unterstützten UEFI-Computern.

BitLocker Manager
Ohne UEFI
PBA 5
Passwort Fingerab
druck

Windows-Authentifizierung
KontaktSmartCard

OTP

SIPRKarte

Passwort Fingerab
druck

Smart
Card

OTP

SIPRKarte

Windows 7

Windows 8

Windows 8,1

Windows 10

Windows Server
2008 R2 64-Bit

1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der
untergeordneten Installationsprogramme installiert.
2. Verfügbar, wenn die Authentifizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden.
5. Die BitLocker-Preboot-PIN wird über die Microsoft-Funktionalität verwaltet.
UEFI
PBA5 – auf unterstützten Dell Computern
Passwort Fingerab
druck

KontaktSmartCard

OTP

Windows-Authentifizierung
SIPRKarte

Passwort Fingerab
druck

Smart
Card

OTP

SIPRKarte

Windows 7
Windows 8

Windows 8,1

Windows 10

Dell Data Protection | Enterprise Edition
Anforderungen

UEFI
PBA5 – auf unterstützten Dell Computern
Passwort Fingerab
druck

KontaktSmartCard

OTP

Windows-Authentifizierung
SIPRKarte

Windows Server
2008 R2 64-Bit

Passwort Fingerab
druck

Smart
Card

OTP

1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der
untergeordneten Installationsprogramme installiert.
2. Verfügbar, wenn die Authentifizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden.
5. Die BitLocker-Preboot-PIN wird über die Microsoft-Funktionalität verwaltet.

Dell Data Protection | Enterprise Edition
Anforderungen

SIPRKarte

3
Registrierungseinstellungen
•

In diesem Abschnitt werden alle vom Dell ProSupport genehmigten Registrierungseinstellungen für lokale Client-Computer
beschrieben, unabhängig vom Grund für Registrierungseinstellung. Falls eine Registrierungeinstellung für zwei Produkte gilt, wird sie in
beiden Kategorien aufgeführt.

•

Diese Registrierungsänderungen sollten nur von Administratoren ausgeführt werden und sind möglicherweise nicht für alle Szenarios
geeignet oder funktionieren nicht in allen Szenarios.

Encryption Client – Registrierungseinstellungen
•

Falls auf dem EE-Server/VE-Server für EE für Windows ein selbstsigniertes Zertifikat verwendet wird, muss die
Zertifikatsvertrauensprüfung auf dem Client-Computer deaktiviert bleiben (bei EE für Windows ist sie standardmäßig deaktiviert). Vor
dem Aktivieren der Vertrauensprüfung auf dem Client-Computer müssen die folgenden Voraussetzungen erfüllt sein:
•

Ein von einer Stammzertifizierungsstelle wie Ensign oder Verisign signiertes Zertifikat muss in den EE-Server/VE-Server importiert
werden.

•

Die vollständige Vertrauenskette des Zertifikats muss im Microsoft Keystore des Client-Computers gespeichert werden.

•

Um die Vertrauensprüfung für EE für Windows zu aktivieren, ändern Sie den Wert des folgenden Registrierungseintrags auf dem
Client-Computer in 0.
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"IgnoreCertErrors"=dword:00000000
0 = bei Zertifikatsfehler fehlschlagen
1= Fehler ignorieren

•

Um Smart Cards mit der Windows-Authentifizierung zu verwenden, muss der folgende Registrierungswert auf dem Client-Computer
eingestellt sein.
[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]
"MSSmartcardSupport"=dword:1

•

Um eine Encryption Removal Agent-Protokolldatei anzulegen, erstellen Sie auf dem für die Entschlüsselung vorgesehenen Computer
den folgenden Registrierungseintrag. Weitere Informationen finden Sie unter (Optional) Encryption Removal Agent-Protokolldatei.
[HKLM\Software\Credant\DecryptionAgent]
"LogVerbosity"=dword:2
0: Keine Protokollierung
1: Protokolliert Fehler, die den Betrieb des Dienstes verhindern
2: Protokolliert Fehler, die eine vollständige Datenentschlüsselung verhindern (empfohlene Protokollebene)
3: Protokolliert Informationen über alle zu entschlüsselnden Datenträger und Dateien
5: Protokolliert Informationen zum Debuggen

Dell Data Protection | Enterprise Edition
Registrierungseinstellungen

•

Standardmäßig wird das Taskleistensymbol während der Installation angezeigt. Verwenden Sie die folgenden
Registrierungseinstellungen , um das Taskleistensymbol für alle verwalteten Benutzer nach der ursprünglichen Installation auf einem
Computer auszublenden. Erstellen oder ändern Sie die Registrierungseinstellungen wie folgt:
[HKLM\Software\CREDANT\CMGShield]
"HIDESYSTRAYICON"=dword:1

•

Standardmäßig werden alle temporären Dateien im Verzeichnis C:\Windows\Temp während der Installation automatisch gelöscht.
Durch das Löschen der temporären Dateien vor der ersten Verschlüsselungssuche wird die Verschlüsselungsdauer verkürzt.
Wenn Ihre Organisation jedoch eine Drittanbieter-Anwendung einsetzt, die auf die Dateistruktur im Verzeichnis \Temp angewiesen ist,
sollten Sie das Löschen verhindern.
Durch die Erstellung oder Änderung des folgenden Registrierungseintrags können Sie das Löschen temporärer Dateien verhindern:
[HKLM\SOFTWARE\CREDANT\CMGShield]
"DeleteTempFiles"=REG_DWORD:0
Werden temporäre Dateien nicht gelöscht, verlängert sich die Verschlüsselungsdauer.

•

Der Encryption-Client zeigt die Eingabeaufforderung Verzögerung der einzelnen Richtlinienaktualisierungen jeweils fünf Minuten lang
an. Reagiert der Benutzer nicht auf die Aufforderung, beginnt die nächste Verzögerung. Die endgültige Verzögerungsaufforderung
enthält einen Countdown und einen Fortschrittsbalken und wird angezeigt, bis der Benutzer reagiert oder die endgültige Verzögerung
abläuft und die verlangte Abmeldung bzw. der verlangte Neustart durchgeführt wird.
Sie können das Verhalten der Benutzeraufforderung dahingehend ändern, dass die Verschlüsselung begonnen oder verzögert wird,
damit keine Verschlüsselung durchgeführt wird, wenn der Benutzer nicht auf die Aufforderung reagiert. Legen Sie dazu den folgenden
Registrierungswert fest:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"SnoozeBeforeSweep"=DWORD:1
Jeder Wert ungleich Null ändert das Standardverhalten auf Schlummern. Ohne Benutzerinteraktion wird die Verschlüsselung bis zur
maximal konfigurierbaren Anzahl von Verzögerungen verzögert. Die Verarbeitung der Verschlüsselung beginnt, nachdem die letzte
Verzögerung abgelaufen ist.
Berechnen Sie die maximal mögliche Verzögerung wie folgt (eine maximale Verzögerung bedeutet, dass der Benutzer auf keine der
Verzögerungsaufforderungen reagiert, die jeweils 5 Minuten lang angezeigt werden):
(ANZAHL DER ZULÄSSIGEN VERZÖGERUNGEN BEI AKTUALISIERUNG DER RICHTLINIE LÄNGE DER VERZÖGERUNG BEI
AKTUALISIERUNG DER RICHTLINIE) + (5 MINUTEN x [ANZAHL DER ZULÄSSIGEN VERZÖGERUNGEN BEI AKTUALISIERUNG DER
RICHTLINIE - 1])

•

Über die folgende Registrierungseinstellung wird der Encryption-Client veranlasst, beim EE-Server/VE-Server eine durchgesetzte
Richtlinienaktualisierung abzufragen. Erstellen oder ändern Sie die Registrierungseinstellungen wie folgt:
[HKLM\SOFTWARE\Credant\CMGShield\Notify]
"PingProxy"=DWORD value:1
Nach erfolgter Änderung werden die Registrierungseinstellungen automatisch geschlossen.

•

Verwenden Sie die folgenden Registrierungseinstellungen, um dem Encryption-Client das Senden optimierter Bestandsinformationen
an den EE-Server/VE-Server, das Senden vollständiger Bestandsinformationen an den EE-Server/VE-Server oder das Senden
vollständiger Bestandsinformationen an den EE-Server/VE-Server für alle aktivierten Benutzer zu erlauben.
•

Senden optimierter Bestandsinformationen an den EE-Server/VE-Server:
Erstellen oder ändern Sie die Registrierungseinstellungen wie folgt:

Dell Data Protection | Enterprise Edition
Registrierungseinstellungen

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"OnlySendInvChanges"=REG_DWORD:1
Wenn kein Eintrag vorhanden ist, werden optimierte Bestandsinformationen an den EE-Server/VE-Server gesendet.
•

Senden vollständiger Bestandsinformationen an den EE-Server/VE-Server:
Erstellen oder ändern Sie die Registrierungseinstellungen wie folgt:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"OnlySendInvChanges"=REG_DWORD:0
Wenn kein Eintrag vorhanden ist, werden optimierte Bestandsinformationen an den EE-Server/VE-Server gesendet.

•

Senden vollständiger Bestandsinformationen für alle aktivierten Benutzer
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"RefreshInventory"=REG_DWORD:1
Dieser Eintrag wird nach der Verarbeitung aus der Registrierung gelöscht, der Wert wird jedoch gespeichert. Dadurch ist der
Encryption-Client in der Lage, die Anfrage beim nächsten Upload zu erfüllen, selbst wenn der Computer neu gestartet wird, bevor
die Bestandsinformationen hochgeladen wurden.
Dieser Eintrag ersetzt den Registrierungswert für OnlySendInvChanges.

•

Die Aktivierung mit Zeitfenster ist eine Funktion, mit der Sie Aktivierungen von Clients über einen vorgegebenen Zeitraum verteilen
können, um während einer Massenimplementierung eine Überlastung des EE-Servers/VE-Servers zu vermeiden. Aktivierungen werden
basierend auf Zeitfenstern verzögert, die durch Algorithmen generiert werden, um eine gleichmäßige Verteilung der Aktivierungszeiten
zu erreichen.
Für Benutzer, die eine Aktivierung durch VPN benötigen, kann eine Aktivierungskonfiguration mit Zeitfenster erforderlich sein, damit
die anfängliche Aktivierung lange genug verzögert wird, um dem VPN-Client den Aufbau einer Netzwerkverbindung zu erlauben.
WICHTIG: Konfigurieren Sie die Aktivierung mit Zeitfenster nur unter Anleitung des Dell ProSupports. Werden die Zeitfenster
falsch konfiguriert, kann möglicherweise eine große Anzahl von Clients gleichzeitig versuchen, sich bei einem EE-Server/VEServer zu aktivieren, was erhebliche Leistungseinbußen zur Folge haben kann.
Die folgenden Änderungen an der Registrierung treten erst nach einem Neustart des Computers in Kraft.
•

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SlottedActivation]
Aktiviert oder deaktiviert die gestaffelte Aktivierung
Deaktiviert=0 (Standard)
Aktiviert=1

•

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\CalRepeat]
Der Zeitraum in Sekunden, in dem das Aktivierungszeitintervall auftritt. Mit dieser Einstellung überschreiben Sie den Zeitraum in
Sekunden, in dem das Aktivierungszeitintervall auftritt. 25.200 Sekunden stehen zur Verfügung, um Aktivierungen während eines
Zeitraums von sieben Stunden einzuplanen. Die Standardeinstellung ist 86400 Sekunden, was einer täglichen Wiederholung
entspricht.

•

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\SlotIntervals]
Das Intervall innerhalb der Wiederholung, ACTIVATION_SLOT_CALREPEAT, in dem alle Aktivierungszeitfenster auftreten. Es ist
nur ein Intervall erlaubt. Diese Einstellung sollte 0, sein. Eine Verschiebung von 0 kann zu unerwarteten Ergebnissen
führen. Die Standardeinstellung ist 0,86400. Für eine Wiederholung nach sieben Stunden stellen Sie 0,25200 ein. CALREPEAT wird
aktiviert, sobald sich ein Benutzer anmeldet.

Dell Data Protection | Enterprise Edition
Registrierungseinstellungen

•

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\MissThreshold]
Die Anzahl der Aktivierungszeitfenster, die verpasst werden können, bevor der Computer bei der nächsten Anmeldung des
Benutzers, dessen Aktivierung eingeplant wurde, eine Aktivierung durchführt. Wenn die Aktivierung während dieses unmittelbaren
Versuchs fehlschlägt, nimmt der Client die Aktivierungsversuche mit Zeitfenster wieder auf. Wenn die Aktivierung aufgrund eines
Netzwerkfehlers fehlschlägt, wird die Aktivierung bei Wiederherstellung der Netzwerkverbindung erneut versucht, auch wenn der
Wert in MISSTHRESHOLD nicht überschritten wurde. Wenn ein Benutzer sich abmeldet, bevor das Aktivierungszeitfenster
erreicht ist, wird bei der nächsten Anmeldung ein neues Zeitfenster zugewiesen.

•

[HKCU/Software/CREDANT/ActivationSlot] (Daten pro Benutzer)
Verzögerungszeit bis zum Versuch der Aktivierung mit Zeitfenster, die eingestellt wird, wenn sich der Benutzer zum ersten Mal
beim Netzwerk anmeldet, nachdem die Aktivierung mit Zeitfenster aktiviert wurde. Das Aktivierungszeitfenster wird für jeden
Aktivierungsversuch neu berechnet.

•

[HKCU/Software/CREDANT/SlotAttemptCount] (Daten pro Benutzer)
Anzahl der fehlgeschlagenen oder verpassten Versuche, wenn das Zeitfenster beginnt und ein Aktivierungsversuch gestartet wird,
aber fehlschlägt. Wenn diese Anzahl den in ACTIVATION_SLOT_MISSTHRESHOLD festgelegten Wert erreicht, versucht der
Computer bei der Verbindung mit dem Netzwerk noch eine einzige Aktivierung.

•

Um nicht verwaltete Benutzer auf dem Client-Computer zu ermitteln, stellen Sie den folgenden Registrierungswert auf dem ClientComputer ein:
[HKLM\SOFTWARE\Credant\CMGShield\ManagedUsers\]
"UnmanagedUserDetected"=DWORD value:1
Nicht verwaltete Benutzer auf diesem Computer ermitteln = 1
Nicht verwaltete Benutzer nicht auf diesem Computer ermitteln = 0

•

Der Zugriff auf mit External Media Edition verschlüsselte externe Datenträger kann auf Computer mit Zugriff auf den EE-Server/VEServer eingeschränkt werden, der die Verschlüsselungsschlüssel produziert hat, mit dem die Datenträger verschlüsselt wurden.
Diese Funktion wird aktiviert, indem der folgende Registrierungswert festgelegt wird:
[HKLM\SYSTEM\CurrentControlSet\Services\EMS]
"EnterpriseUsage"=dword:0
Aus (Standardeinstellung)=0
Dateizugriff beschränkt auf Unternehmen=1
Wenn dieser Wert nach dem Verschlüsseln von Dateien auf externen Datenträgern geändert wird, werden die Dateien basierend auf
dem Wert des aktualisierten Registrierungsschlüssels neu verschlüsselt, sobald der Datenträger mit dem Computer verbunden wird, auf
dem die Registrierungseinstellung aktualisiert wurde.

•

Um die automatische Reaktivierung im Hintergrund zu aktivieren, für den seltenen Fall, dass ein Benutzer deaktiviert wird, muss der
folgende Registrierungseintrag auf dem Client-Computer festgelegt werden:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CMGShield]
„AutoReactivation“=dword:00000001
0 = Deaktiviert (Standardeinstellung)
1 = Aktiviert

•

Die Systemdatenverschlüsselung (System Data Encryption, SDE) wird auf Basis des Richtlinienwerts für SDE-Verschlüsselungsregeln
durchgesetzt. Zusätzliche Verzeichnisse werden standardmäßig geschützt, wenn die Richtlinie „SDE-Verschlüsselung – Aktiviert“
markiert ist. Weitere Informationen finden Sie unter dem Stichwort „SDE-Verschlüsselungsregeln“ in der Adminhilfe. Wenn der

Dell Data Protection | Enterprise Edition
Registrierungseinstellungen

Encryption-Client eine Richtlinienaktualisierung mit einer aktiven SDE-Richtlinie verarbeitet, wird das aktuelle Benutzerprofilverzeichnis
standardmäßig mit dem Benutzerschlüssel SDUser verschlüsselt, und nicht mit dem Geräteschlüssel SDE. Der SDUser-Schlüssel wird
außerdem zur Verschlüsselung von Dateien oder Ordnern verwendet, die in ein Benutzerverzeichnis kopiert (nicht verschoben)
werden, das nicht mit SDE verschlüsselt ist.
Erstellen Sie den folgenden Registrierungseintrag auf dem Computer, um den SDUser-Schlüssel zu deaktivieren und stattdessen den
SDE-Schlüssel für die Verschlüsselung dieser Benutzerverzeichnisse zu verwenden:
[HKEY_LOCAL_MACHINE\SOFTWARE\Credant\CMGShield]
„EnableSDUserKeyUsage“=dword:00000000
Wenn dieser Registrierungsschlüssel nicht vorhanden ist oder einen anderen Wert aufweist als 0, wird der SDUser-Schlüssel für die
Verschlüsselung dieser Benutzerverzeichnisse verwendet.
•

Wenn Sie die Funktion zur Nicht-Domänen-Aktivierung aktivieren möchten, wenden Sie sich bitte an den Dell ProSupport, um die
entsprechenden Anweisungen zu erhalten.

SED-Client – Registrierungseinstellungen
•

Fügen Sie den folgenden Registrierungswert hinzu, um das Wiederholungsintervall festzulegen, wenn der EE-Server/VE-Server nicht
mit dem SED-Client kommunizieren kann.
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
„CommErrorSleepSecs“=dword:300
Dieser Wert steht für die Anzahl der Sekunden, die der SED-Client abwartet, bis er erneut versucht, den EE-Server/VE-Server zu
kontaktieren, wenn dieser nicht mit dem SED-Client kommunizieren kann. Der Standardwert lautet 300 Sekunden (5 Minuten).

•

Falls auf dem EE-Server/VE-Server für SED Management ein selbstsigniertes Zertifikat verwendet wird, muss die SSL/TLSVertrauensprüfung auf dem Client-Computer deaktiviert bleiben (bei SED Management ist sie standardmäßig deaktiviert). Vor dem
Aktivieren der SSL/TLS-Vertrauensprüfung auf dem Client-Computer müssen die folgenden Voraussetzungen erfüllt sein.
•

Ein von einer Stammzertifizierungsstelle wie Ensign oder Verisign signiertes Zertifikat muss in den EE-Server/VE-Server importiert
werden.

•

Die vollständige Vertrauenskette des Zertifikats muss im Microsoft Keystore des Client-Computers gespeichert werden.

•

Um die SSL/TLS-Vertrauensprüfung für SED Management zu aktivieren, ändern Sie den Wert des folgenden
Registrierungseintrags auf dem Client-Computer in 0.
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
„DisableSSLCertTrust“=DWORD:0
0 = Aktiviert
1 = Deaktiviert

•

Zur Verwendung von Smartcards mit der Preboot-Authentifizierung muss der folgende Registrierungswert auf dem Client-Computer
eingestellt werden: Setzen Sie außerdem in der Remote Management Console die Richtlinie für die Authentifizierungsmethode auf
Smart Card, und bestätigen Sie die Änderung.
[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]
"MSSmartcardSupport"=dword:1
Dell Data Protection | Enterprise Edition
Registrierungseinstellungen

•

Um festzustellen, ob die PBA aktiviert ist, stellen Sie sicher, dass der folgende Wert festgelegt ist:
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent\Parameters]
"PBAIsActivated"=DWORD (32-bit):1
Der Wert „1“ bedeutet, dass die PBA aktiviert ist. Der Wert „0“ bedeutet, dass die PBA nicht aktiviert ist.

•

Um das Intervall festzulegen, in dem der SED-Client versucht, den EE-Server/VE-Server anzusprechen, wenn dieser nicht in der Lage
ist, mit dem SED-Client zu kommunizieren, definieren Sie den folgenden Wert auf dem Client-Computer:
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
"CommErrorSleepSecs"=DWORD Value:300
Dieser Wert steht für die Anzahl der Sekunden, die der SED-Client abwartet, bis er erneut versucht, den EE-Server/VE-Server zu
kontaktieren, wenn dieser nicht mit dem SED-Client kommunizieren kann. Der Standardwert lautet 300 Sekunden (5 Minuten).

•

Bei der Erstinstallation wird der Standort des Security Server-Hosts festgelegt. Diesen können Sie bei Bedarf ändern. Die
Hostinformationen werden bei jeder Richtlinienänderung durch den Client-Computer gelesen. Ändern Sie den folgenden
Registrierungswert auf dem Client-Computer:
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]
"ServerHost"=REG_SZ:..com

•

Bei der Erstinstallation wird der Standort des Security Server-Ports festgelegt. Diesen können Sie bei Bedarf ändern. Dieser Wert wird
bei jeder Richtlinienänderung durch den Clientcomputer gelesen. Ändern Sie den folgenden Registrierungswert auf dem ClientComputer:
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]
ServerPort=REG_SZ:8888

•

Bei der Erstinstallation wird die URL des Security Server-Ports festgelegt. Diese können Sie bei Bedarf ändern. Dieser Wert wird bei
jeder Richtlinienänderung durch den Clientcomputer gelesen. Ändern Sie den folgenden Registrierungswert auf dem Client-Computer:
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]
"ServerUrl"=REG_SZ:https://..com:8888/agent

Advanced Authentication-Client –
Registrierungseinstellungen
•

Wenn Sie nicht möchten, dass der Advanced Authentification-Client (Security Tools) die Dienste in Verbindung mit Smart Cards und
biometrischen Geräten in den Starttyp „Automatisch“ ändert, deaktivieren Sie die Funktion zum Starten von Diensten. Das
Deaktivieren der Funktion bewirkt auch, dass keine Warnmeldungen in Verbindung zu den nicht ausgeführten Diensten angezeigt
werden.
Ist diese Funktion deaktiviert, unternimmt Security Tools für folgende drei Dienste keinen Startversuch:
•

SCardSvr – Verwaltet den Zugang zu den von einem Computer gelesenen Smartcards. Wird dieser Dienst gestoppt, kann der
Computer keine Smartcards lesen. Wird dieser Dienst deaktiviert, können alle direkt davon abhängigen Dienste nicht gestartet
werden.

•

SCPolicySvc – Ermöglicht es, das System so zu konfigurieren, dass der Benutzer-Desktop bei Entfernen der Smartcard gesperrt
wird.

•

WbioSrvc – Der Biometrie-Dienst von Windows ermöglicht es Client-Anwendungen, biometrische Daten ohne direkten Zugriff auf
Biometrie-Hardware oder -Proben zu erfassen, zu vergleichen, zu ändern und zu speichern. Der Dienst wird in einem bevorzugten
SVCHOST-Prozess gehostet.
Falls der Registrierungsschlüssel nicht existiert oder auf 0 gesetzt ist, ist diese Funktion standardmäßig aktiviert.

Dell Data Protection | Enterprise Edition
Registrierungseinstellungen

[HKLM\SOFTWARE\DELL\Dell Data Protection]
SmartCardServiceCheck=REG_DWORD:0
0 = Aktiviert
1 = Deaktiviert
•

•

Um Smart Cards mit der SED-Preboot-Authentifizierung zu verwenden, muss der folgende Registrierungswert auf dem mit SED
ausgestatteten Client-Computer eingestellt sein.
[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]
"MSSmartcardSupport"=dword:1
Setzen Sie in der Remote Management Console die Richtlinie für die Authentifizierungsmethode auf Smart Card, und bestätigen Sie
die Änderung.

BitLocker Manager-Client –
Registrierungseinstellungen
•

Falls auf dem EE-Server/VE-Server für BitLocker Manager ein selbstsigniertes Zertifikat verwendet wird, muss die SSL/TLSVertrauensprüfung auf dem Client-Computer deaktiviert bleiben (bei BitLocker Manager ist sie standardmäßig deaktiviert). Vor dem
Aktivieren der SSL/TLS-Vertrauensprüfung auf dem Client-Computer müssen die folgenden Voraussetzungen erfüllt sein.
•

Ein von einer Stammzertifizierungsstelle wie Ensign oder Verisign signiertes Zertifikat muss in den EE-Server/VE-Server importiert
werden.

•

Die vollständige Vertrauenskette des Zertifikats muss im Microsoft Keystore des Client-Computers gespeichert werden.

•

Um die SSL/TLS-Vertrauensprüfung für BitLocker Manager zu aktivieren, ändern Sie den Wert des folgenden
Registrierungseintrags auf dem Client-Computer in 0.
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
„DisableSSLCertTrust“=DWORD:0
0 = Aktiviert
1 = Deaktiviert

Cloud Edition-Client – Registrierungseinstellungen
•

Protokollebenen können zur Fehlerbehebung erhöht werden. So erstellen oder ändern Sie die folgenden Registrierungseinstellungen:
[HKLM\SOFTWARE\Dell\Dell Data Protection\Cloud Edition]
„LogVerbosity“=dword:0x1f (31)
Die Protokollebene ist standardmäßig auf 0xf (15) gesetzt.
Aus= 0x0 (0)
Kritisch= 0x1 (1)
Dell Data Protection | Enterprise Edition
Registrierungseinstellungen

Fehler= 0x3 (3)
Warnung= 0x7 (7)
Information= 0xf (15)
Debuggen= 0x1f (31)

Dell Data Protection | Enterprise Edition
Registrierungseinstellungen

4
Installation unter Verwendung des -MasterInstallationsprogramms
•

Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten.

•

Um die Installation unter Verwendung nicht standardmäßiger Ports durchzuführen, verwenden Sie untergeordnete
Installationsprogramme anstelle des -Master-Installationsprogramms.

•

Die Protokolldateien des Master-Installationsprogramms befinden sich unter C:\ProgramData\Dell\Dell Data Protection\Installer.

•

Weisen Sie die Benutzer an, sich mit dem folgenden Dokument und den Hilfedateien vertraut zu machen, um Unterstützung bei der
Anwendung zu erhalten:
•

Informationen zur Verwendung der Funktionen von Encryption-Client finden Sie im Hilfedokument Dell Encrypt Help. Hier können
Sie auf die Hilfe zugreifen: :\Program Files\Dell\Dell Data Protection\Encryption\Help.

•

Informationen zur Verwendung der Funktionen von External Media Shield finden Sie im Hilfedokument EMS Help. Hier können Sie
auf die Hilfe zugreifen: :\Program Files\Dell\Dell Data Protection\Encryption\EMS.

•

Weitere Informationen zur Verwendung der Funktionen der Advanced Authentification und finden Sie in der Security Tools-Hilfe .
Greifen Sie auf die Hilfe über :\Program Files\Dell\Dell Data Protection\Security Tools \Help auf.

•

Im Benutzerhandbuch Cloud Edition User Guide erhalten Sie Informationen zur Verwendung der Funktionen von Cloud Edition.
Rufen Sie das Dokument über support.dell.com ab.

•

Nach Abschluss der Installation sollten Endbenutzer die Richtlinien aktualisieren, indem sie in der Taskleiste mit der rechten Maustaste
auf das Symbol für „Dell Data Protection“ klicken und die Option Nach Richtlinienaktualisierungen suchen auswählen.

•

Das -Master-Installationsprogramm installiert die gesamte Suite von Produkten. Es gibt zwei Methoden zur Installation unter
Verwendung des -Master-Installationsprogramms. Wählen Sie eine der folgenden Optionen aus:
•

Interaktive Installation unter Verwendung des -Master-Installationsprogramms

oder
•

Installation durch Befehlszeile mit dem -Master Installationsprogramm

Interaktive Installation unter Verwendung des -Master
Installationsprogramms
•

•

Das -Master-Installationsprogramm finden Sie hier:
•

Über die Website support.dell.com – Erhalten Sie ggf. die Software von support.dell.com, und extrahieren Sie dann die
untergeordneten Installationsprogramme aus dem -Master-Installationsprogramm. Nach dem Extrahieren finden Sie Datei unter:

•

Über Ihr Dell FTP-Konto – Suchen Sie das Installationspaket unter DDP-Enterprise-Edition-8.x.x.xxx.zip

Verwenden Sie diese Anweisungen für die interaktive Installation von Dell Data Protection | Enterprise Edition über das -MasterInstallationsprogramm. Sie können dieses Verfahren anwenden, um die gesamte Produkt-Suite gleichzeitig auf einem Computer zu
installieren.

Suchen Sie die Datei DDPSetup.exe auf dem Dell-Installationsmedium. Kopieren Sie sie auf den lokalen Computer.

Doppelklicken Sie auf , um das Installationsprogramm zu starten. Dieser Vorgang kann mehrere Minuten dauern.

Klicken Sie im Dialogfeld „Willkommen“ auf Weiter.

Lesen Sie die Lizenzvereinbarung, akzeptieren Sie die Bedingungen, und klicken Sie auf Weiter.

Wählen Sie Enterprise Edition und klicken Sie auf Weiter.
Dell Data Protection | Enterprise Edition
Installation unter Verwendung des -MasterInstallationsprogramms

Wählen Sie die External Media Edition nur aus, wenn Sie nur die External Media Edition installieren möchten.
6

Geben Sie im Feld Name des Dell Enterprise Server den vollständigen Hostnamen des EE-Servers/VE-Servers ein, mit dem der
Benutzer verwaltet werden soll, z. B. Server.organisation.de.
Geben Sie im Feld URL des Dell Device Servers die URL des Device Servers (Security Servers) ein, mit dem der Client
kommunizieren soll.
Wenn Sie einen EE-Server vor Version 7.7 verwenden, lautet das Format wie folgt: https://server.organisation.de:8081/xapi.
Wenn Sie über einen EE-Server ab Version 7.7 verfügen, lautet das Format wie folgt: https://server.organization.com:8443/xapi/
(einschließlich des nachfolgenden Schrägstrichs).
Klicken Sie auf Weiter.

Klicken Sie auf Weiter, um die Produkte im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection\. zu speichern. Dell
recommends installing in the default location only, da bei der Installation an anderen Speicherorten Probleme auftreten könnten.

Wählen Sie die zu installierenden Komponenten aus.
Security Framework installiert das unterliegende Sicherheitsrahmenwerk und Security Tools, den erweiterten AuthentifizierungsClient, der mehrere Authentifizierungsmethoden verwaltet, darunter PBA und Anmeldeinformationen wie Fingerabdrücke und
Passwörter.
Drivers enthält Treiber, die für DDP-Anwendungen benötigt werden.
Encryption installiert den Encryption-Client, die Komponente, die Sicherheitsrichtlinien durchsetzt, egal ob ein Computer mit dem
Netzwerk verbunden oder vom Netzwerk getrennt ist, verloren gegangen ist oder gestohlen wurde.
Cloud Edition installiert den Cloud-Client, die Komponente, die die Daten schützt, die in öffentlichen Cloud-Services wie Dropbox,
Dropbox for Business, Box und OneDrive gespeichert sind. Daten werden bei der Übertragung an die und aus der Cloud transparent
verschlüsselt.
BitLocker Manager installiert den BitLocker Manager-Client, der speziell auf die Verbesserung der Sicherheit von BitLockerBereitstellungen ausgelegt ist. Er sorgt für Vereinfachung und senkt gleichzeitig die Betriebskosten durch eine zentralisierte
Verwaltung der BitLocker- Verschlüsselungsrichtlinien.
Klicken Sie auf Weiter, wenn Ihre Auswahl abgeschlossen sind.

Klicken Sie auf Installieren, um mit der Installation zu beginnen. Die Installation kann mehrere Minuten dauern.

Wählen Sie Ja, ich möchte meinen Computer jetzt neu starten aus, und klicken Sie auf Fertig stellen.
Damit ist die Installation abgeschlossen.

Installation durch Befehlszeile mit dem -Master
Installationsprogramm
•

Bei einer Installation über die Befehlszeile müssen die Schalter zuerst angegeben werden. Andere Parameter gehen in ein Argument
ein, das an den /v-Schalter weitergegeben wird.
Schalter

•

In der folgenden Tabelle werden die Schalter beschrieben, die mit dem -Master-Installationsprogramm verwendet werden können.
Schalter

Beschreibung

-y -gm2

Vorab-Extrahierung des -Master Installationsprogramms. Die Schalter -y und -gm2 müssen zusammen
verwendet werden.
Trennen Sie sie bitte nicht.

Installation im Hintergrund

Dell Data Protection | Enterprise Edition
Installation unter Verwendung des -Master-Installationsprogramms

Schalter

Beschreibung

Gibt Variablen an die MSI-Datei innerhalb der DDPSetup.exe-Datei weiter.

Parameter
•

In der folgenden Tabelle werden die Parameter beschrieben, die mit dem -Master-Installationsprogramm verwendet werden können.
Parameter

Beschreibung

SUPPRESSREBOOT

Unterbindet nach Abschluss der Installation den automatischen Neustart. Kann im HINTERGRUND-Modus
verwendet werden.

SERVER

Gibt die URL des EE-Servers/VE-Servers an.

InstallPath

Gibt den Pfad für die Installation an. Kann im HINTERGRUND-Modus verwendet werden.

FUNKTIONEN

Gibt die Komponenten an, die im HINTERGRUND-Modus installiert werden können.
DE = Drive Encryption (Laufwerksverschlüsselung) (Encryption-Client)
EME = Nur External Media Edition
BLM = BitLocker Manager
SED = Self-encrypting Drive management (Verwaltung eines selbstverschlüsselnde Laufwerks) (EMAgent/
Manager, PBA/GPE-Treiber)
CE = Cloud Edition

BLM_ONLY=1

Muss verwendet werden, wenn FEATURES=BLM in der Befehlszeile verwendet wird, um das SED
Management-Plugin auszuschließen.

Beispiel für eine Befehlszeile
•

Bei den Befehlszeilenparametern ist die Groß- und Kleinschreibung zu beachten.

•

In diesem Beispiel wird lediglich ESSE Manager unter Verwendung des -Master-Installationsprogramms auf Standardports, im
Hintergrund und am Standardspeicherort C:\Program Files\Dell\Dell Data Protection\ installiert und für die Verwendung des
angegebenen EE-Servers/VE-Servers konfiguriert.
"DDPSetup.exe" -y -gm2 /S /z"\"SERVER=server.organization.com\""

•

In diesem Beispiel wird lediglich SED Management unter Verwendung des Master-Installationsprogramms auf Standardports, im
Hintergrund und am Standardspeicherort C:\Program Files\Dell\Dell Data Protection\ mit einem unterdrückten Neustart installiert und
für die Verwendung des angegebenen EE-Servers/VE-Servers konfiguriert.
"DDPSetup.exe" -y -gm2 /S /z"\"SERVER=server.organization.com, FEATURES=EME-SED,
SUPPRESSREBOOT=1\""

•

In diesem Beispiel wird lediglich SED Management unter Verwendung des Master-Installationsprogramms auf Standardports, im
Hintergrund und am Standardspeicherort C:\Program Files\Dell\Dell Data Protection\ installiert und für die Verwendung des
angegebenen EE-Servers/VE-Servers konfiguriert.
"DDPSetup.exe" -y -gm2 /S /z"\"SERVER=server.organization.com, FEATURES=SED\""

•

In diesem Beispiel werden der Encryption-Client und BitLocker Manager (ohne das SED Management-Plugin) unter Verwendung des
Master-Installationsprogramms auf Standardports, im Hintergrund und am Standardspeicherort C:\Program Files\Dell\Dell Data
Protection\ installiert und für die Verwendung des angegebenen EE-Servers/VE-Servers konfiguriert.
Dell Data Protection | Enterprise Edition
Installation unter Verwendung des -MasterInstallationsprogramms

"DDPSetup.exe" -y -gm2 /S /z"\"SERVER=server.organization.com, FEATURES=DE-BLM, BLM_ONLY=1\""
•

In diesem Beispiel wird BitLocker Manager (mit dem SED-Management-Plugin) und die External Media Edition mit dem MasterInstallationsprogramm auf Standard-Ports, im Hintergrund und mit unterdrücktem Neustart auf dem Standardspeicherort C:\Program
Files\Dell\Dell Data Protection\ installiert und für die Verwendung des angegebenen EE-Servers/VE-Servers konfiguriert.
"DDPSetup.exe" -y -gm2 /S /z"\"SERVER=server.organization.com, FEATURES=BLM-EME,
SUPPRESSREBOOT=1\""

•

In diesem Beispiel wird BitLocker Manager (ohne das SED Management-Plugin) und die External Media Edition mit dem MasterInstallationsprogramm auf Standardports, im Hintergrund und unterdrücktem Neustart auf dem Standardspeicherort C:\Program Files
\Dell\Dell Data Protection\ installiert und für die Verwendung des angegebenen EE-Servers/VE-Servers konfiguriert.
"DDPSetup.exe" -y -gm2 /S /z"\"SERVER=server.organization.com, FEATURES=BLM-EME, BLM_ONLY=1,
SUPPRESSREBOOT=1\""

Dell Data Protection | Enterprise Edition
Installation unter Verwendung des -Master-Installationsprogramms

5
Deinstallation unter Verwendung des -MasterInstallationsprogramms
•

Jede Komponente muss einzeln deinstalliert werden, gefolgt von der Deinstallation des -Master-Installationsprogramms. Die Clients
müssen in einer bestimmten Reihenfolge deinstalliert werden, um Fehler bei der Deinstallation zu vermeiden.

•

Folgen Sie den Anweisungen unter Untergeordnete Installationsprogramme aus dem -Master-Installationsprogramm zum Abrufen von
untergeordneten Installationsprogrammen.

•

Stellen Sie sicher, dass Sie für die Deinstallation dieselbe Version des -Master-Installationsprogramms (und damit der Clients)
verwenden, wie bei der Installation.

•

Dieses Kapitel verweist auf weitere Kapitel, die ausführliche Informationen zum Deinstallieren der untergeordneten
Installationsprogramme enthalten. In diesem Kapitel wird nur der letzte Schritt beschrieben, die Deinstallation des -MasterInstallationsprogramms.

•

Deinstallieren Sie die Clients in der folgenden Reihenfolge.
a

Encryption-Client deinstallieren.

SED- und Advanced Authentication-Clients deinstallieren.

BitLocker Manager-Client deinstallieren.

Cloud Edition deinstallieren.

Das Treiberpaket muss nicht deinstalliert werden.
•

Fahren Sie mit dem Schritt -Master-Installationsprogramm deinstallieren fort.

-Master-Installationsprogramm deinstallieren
Nach der Deinstallation der einzelnen Clients kann nun auch das -Master Installationsprogramm deinstalliert werden.

Deinstallation über die Befehlszeile
•

Im folgenden Beispiel wird das -Master-Installationsprogramm im Hintergrund deinstalliert.
"DDPSetup.exe" -y -gm2 /S /x
Führen Sie einen Neustart des Computers durch, wenn Sie fertig sind.

Dell Data Protection | Enterprise Edition
Deinstallation unter Verwendung des -MasterInstallationsprogramms

6
Installation unter Verwendung der
untergeordneten Installationsprogramme
•

Um jeden einzelnen Client separat zu installieren, müssen die untergeordneten ausführbaren Dateien aus dem -Master
Installationsprogramm extrahiert werden, wie in Extrahieren der untergeordneten Installationsprogramme aus dem -Master
Installationsprogramm gezeigt.

•

Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten.

•

Stellen Sie sicher, dass Werte, die ein oder mehrere Sonderzeichen enthalten, z. B. eine Leerstelle in der Befehlszeile, zwischen in
Escape-Zeichen gesetzte Anführungszeichen gesetzt werden.

•

Verwenden Sie diese Installationsprogramme zur Installation der Clients. Nutzen Sie dazu eine skriptgesteuerte Installation,
Batchdateien oder eine andere verfügbare Push-Technologie.

•

Der Neustart wurde in den Befehlszeilenbeispielen unterdrückt. Es ist jedoch ein abschließender Neustart erforderlich. Die
Verschlüsselung kann erst nach dem Neustart des Computers beginnen.

•

Protokolldateien – Windows erstellt eindeutige Installationsprotokolldateien des untergeordneten Installationsprogramms für den
angemeldeten Benutzers unter „%Temp%“ mit dem folgenden Verzeichnispfad C:\Users\\AppData\Local\Temp.
Falls Sie sich dafür entscheiden, beim Ausführen des Installationsprogramms eine separate Protokolldatei hinzuzufügen, stellen Sie
sicher, dass die Protokolldatei einen eindeutigen Namen hat, da Protokolldateien des untergeordneten Installationsprogramms keine
Anhänge zulassen. Der Standard-MSI-Befehl kann dazu verwendet werden, um eine Protokolldatei durch die Verwendung von /l*v C:
\\.log zu erstellen.

•

Für Installationen über die Befehlszeile verwenden alle untergeordneten Installationsprogramme, soweit nicht anders angegeben, die
gleichen grundlegenden .msi-Schalter und Anzeigeoptionen. Die Schalter müssen zuerst angegeben werden. Der /v-Schalter ist
erforderlich und benötigt ein Argument. Andere Parameter gehen in ein Argument ein, das an den /v-Schalter weitergegeben wird.
Anzeigeoptionen können am Ende des Arguments angegeben werden, das an den /v-Schalter weitergegeben wird, um das erwartete
Verhalten zu erzielen. Verwenden Sie /q und /qn nicht in derselben Befehlszeile. Verwenden Sie ! und - nur nach /qb.

Schalter

Erläuterung

Gibt Variablen an die .msi-Datei innerhalb der *.exe-Datei weiter.

Im Hintergrund

Installationsmodus

Option

Erläuterung

Kein Fortschrittsdialogfeld, führt nach Abschluss der Installation selbstständig einen
Neustart durch

/qb

Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, fordert zum Neustart auf

/qb-

Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, führt nach Abschluss des
Vorgangs selbstständig einen Neustart durch

/qb!

Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, fordert zum Neustart auf

/qb!-

Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, führt nach Abschluss des
Vorgangs selbständig einen Neustart durch

Dell Data Protection | Enterprise Edition
Installation unter Verwendung der untergeordneten Installationsprogramme

•

Option

Erläuterung

/qn

Keine Benutzeroberfläche

Weisen Sie die Benutzer an, sich mit dem folgenden Dokument und den Hilfedateien vertraut zu machen, um Unterstützung bei der
Anwendung zu erhalten:
•

•

Weitere Informationen zur Verwendung der Funktionen Advanced Authentification, und finden Sie in der Security Tools-Hilfe .
Greifen Sie auf die Hilfe über :\Program Files\Dell\Dell Data Protection\Security Tools \Help zu.

•

Im Benutzerhandbuch Cloud Edition User Guide erhalten Sie Informationen zur Verwendung der Funktionen von Cloud Edition.
Rufen Sie das Dokument über support.dell.com ab.

Installieren des Treiber-Clients
•

Treiber und Firmware für Dell ControlVault, Fingerabdruckleser und Smart Cards sind nicht im -Master-Installationsprogramm oder in
den untergeordneten ausführbaren Installationsdateien enthalten. Treiber und Firmware müssen jederzeit auf dem aktuellen Stand sein
und können nach Auswahl des jeweiligen Computermodells von der Website http://www.dell.com/support heruntergeladen werden.
Laden Sie die jeweiligen Treiber und die Firmware basierend auf Ihrer Authentifizierungshardware herunter.
•

Dell ControlVault

•

NEXT Biometrics Fingerprint-Treiber

•

Validity Fingerprint Reader 495-Treiber

•

O2Micro Smart Card-Treiber

Falls Sie Hardware installieren möchten, die nicht von Dell stammt, müssen Sie die aktualisierten Treiber und die Firmware von der
Website des jeweiligen Herstellers herunterladen.
•

Dieses Installationsprogramm installiert Treiber für Trusted Software Stack (TSS) für das TPM und Microsoft-Hotfixes.
Diese Treiber müssen bei der Installation des Verschlüsselungs-Clients installiert sein.

•

Das Treiber-Installationsprogramm kann wie folgt ermittelt werden:
•

Über die Website support.dell.com – Beziehen Sie ggf. die Software über support.dell.com, und extrahieren Sie dann die
untergeordneten Installationsprogramme aus dem -Master-Installationsprogramm. Machen Sie die Datei unter C:\extracted
\Drivers ausfindig.

•

Über Ihr Dell FTP-Konto – Suchen Sie das Installationspaket in der Datei DDP-Enterprise-Edition-8.x.x.xxx.zip, und extrahieren Sie
dann die untergeordneten Installationsprogramme aus dem -Master-Installationsprogramm. Machen Sie die Datei unter C:
\extracted\Drivers ausfindig.

Installation über die Befehlszeile
•

Die folgende Tabelle umfasst die für die Installation verfügbaren Parameter.
Parameter
SUPPRESSREBOOT=1
INSTALLPATH=
ARPSYSTEMCOMPONENT=1

Dell Data Protection | Enterprise Edition
Installation unter Verwendung der untergeordneten
Installationsprogramme

Eine Liste der grundlegenden .msi-Schalter und Anzeigeoptionen, die in Befehlszeilen verwendet werden können, finden Sie unter
Installation unter Verwendung der untergeordneten Installationsprogramme.
Beispiel für eine Befehlszeile
•

Im folgenden Beispiel werden die Treiber für Trusted Software Stack (TSS) für das TPM sowie Microsoft-Hotfixes am angegebenen
Speicherort installiert, es wird kein Eintrag in der Programmliste der Systemsteuerung erstellt, und der Neustart wird unterdrückt.
setup.exe /S /z"\"InstallPath=, ARPSYSTEMCOMPONENT=1, SUPPRESSREBOOT=1\""

Encryption-Client installieren
•

Für den Encryption-Client benötigen Sie Treiber. Gehen Sie für Installationsanweisungen zu Treiber Client installieren. Diese Treiber
sind für Trusted Software Stack (TSS) für das TPM und Microsoft-Hotfixes geeignet. Diese Treiber müssen bei der Installation des
Verschlüsselungs-Clients installiert sein. Kehren Sie an diese Stelle zurück, wenn Sie mit der Installation der Treiber fertig sind.

•

Lesen Sie den Abschnitt Encryption-Client-Anforderungen, wenn Ihr Unternehmen ein Zertifikat verwendet, das von einer Stammstelle
signiert wurde, z. B. EnTrust oder Verisign. Zur Aktivierung der Zertifikatsprüfung muss eine Registrierungseinstellung auf dem ClientComputer geändert werden.

•

Das Encryption-Client-Installationsprogramm kann wie folgt bezogen werden:
•

Über die Website support.dell.com – Beziehen Sie ggf. die Software über support.dell.com, und extrahieren Sie dann die
untergeordneten Installationsprogramme aus dem -Master-Installationsprogramm. Suchen Sie nach dem Extrahieren die Datei
unter C:\extracted\Encryption.

•

Über Ihr Dell FTP-Konto – Suchen Sie das Installationspaket in der Datei DDP-Enterprise-Edition-8.x.x.xxx.zip, und extrahieren Sie
dann die untergeordneten Installationsprogramme aus dem -Master-Installationsprogramm. Suchen Sie nach dem Extrahieren die
Datei unter C:\extracted\Encryption.

Installation über die Befehlszeile
•

Die folgende Tabelle umfasst die für die Installation verfügbaren Parameter.
Parameter
SERVERHOSTNAME=
POLICYPROXYHOSTNAME=
MANAGEDDOMAIN=
DEVICESERVERURL=
GKPORT=
MACHINEID=
RECOVERYID=
REBOOT=ReallySuppress
HIDEOVERLAYICONS=1
HIDESYSTRAYICON=1
EME=1

Dell Data Protection | Enterprise Edition
Installation unter Verwendung der untergeordneten Installationsprogramme

Im folgenden Beispiel wird der Client mit den Standardparametern installiert (Encryption-Client, für Freigabe verschlüsseln, kein
Dialogfeld, keine Statusanzeige, automatischer Neustart, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data
Protection).
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi /qn"

•

Ersetzen Sie DEVICESERVERURL=https://server.organization.com:8081/xapi (ohne den nachgestellten Schrägstrich),
wenn Sie einen EE-Server in einer Version vor Version 7.7 besitzen.

•

Im folgenden Beispiel werden der Encryption-Client und die Option „Für Freigabe verschlüsseln“ installiert, das DDP-Taskleistensymbol
und die Overlay-Symbole werden ausgeblendet, es gibt keine Dialogfelder, keine Statusanzeige und keinen Neustart, und die Installation
erfolgt im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection..
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ HIDESYSTRAYICON=1 HIDEOVERLAYICONS=1
REBOOT=ReallySuppress /qn"

•

Installation im Hintergrund, keine Statusanzeige, automatischer Neustart, Installation im Standardverzeichnis C:\Program Files\Dell
\Dell Data Protection..
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ EME=1 /qn"

•

Ersetzen Sie DEVICESERVERURL=https://server.organization.com:8081/xapi (ohne den nachgestellten Schrägstrich),
wenn Sie einen EE-Server in einer Version vor Version 7.7 besitzen.

•

Installation im Hintergrund, kein Neustart, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection.
DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https://server.organization.com:8443/
xapi/ MANAGEDDOMAIN=ORGANIZATION /norestart /qn"

•

Ersetzen Sie DEVICESERVERURL=https://server.organization.com:8081/xapi (ohne den nachgestellten Schrägstrich),
wenn Sie einen EE-Server in einer Version vor Version 7.7 besitzen.
ANMERKUNG:
Im Dialogfeld „Info“ des Clients wird die Versionsnummer der Software angezeigt, nicht jedoch, ob der gesamte Client oder nur EME
installiert ist. Gehen Sie zum Auffinden dieser Informationen zu C:\ProgramData\Dell\Dell Data Protection\Encryption
\CMGShield.log, und machen Sie den folgenden Eintrag ausfindig:
[ DeviceInfo: < >] Shield-Informationen - SM=Nur External Media, SB=DELL, UNF=FQUN, last sweep={0,
0}
Beispiel für eine Befehlszeile, um External Media Edition in vollständige Shield-Version zu konvertieren

•

Entschlüsselung ist beim Konvertieren einer External Media Edition in eine vollständige Shield-Version nicht erforderlich.
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ REINSTALL=ALL EME=0 REINSTALLMODE=vemus /qn"

•

Installation des Serververschlüsselungs-Client
Es gibt zwei Methoden für die Installation des Serververschlüsselungs-Client. Wählen Sie eine der beiden folgenden Methoden aus:
•

Interaktive Installation des Serververschlüsselungs-Client
ANMERKUNG: Die Serververschlüsselung kann nur interaktiv auf Computern installiert werden, die Serverbetriebssysteme
ausführen. Installation auf Computern mit Nicht-Serverbetriebssystemen muss über die Befehlszeile durchgeführt werden, mit
dem festgelegten Parameter SERVERMODE=1.

•

Installation von Serververschlüsselung unter Verwendung der Befehlszeile

Virtuelles Benutzerkonto
•

Als Teil der Installation wird ein virtuelles Serverbenutzerkonto ausschließlich für die Serververschlüsselung erstellt. Das Kennwort
und die DPAPI-Authentifizierung sind deaktiviert, sodass nur der virtuelle Serverbenutzer auf die Verschlüsselungsschlüssel auf dem
Computer zugreifen kann.

Vor der Installation
•

Bei dem die Installation durchführenden Benutzerkonto muss es sich um einen lokalen oder Domänen-Benutzer mit Berechtigungen auf
Administratorebene handeln.

•

Um die Anforderung außer Kraft zu setzen, dass ein Domänenadministrator die Serververschlüsselung aktiviert, oder um die
Serververschlüsselung auf einem nicht-Domänen oder mehr-Domänen-Server auszuführen, setzen Sie die ssos.domainadmin.verifyEigenschaft in der Datei application.properties auf „Falsch“. Die Datei gespeichert ist in den folgenden Dateipfaden gespeichert,
basierend auf dem DDP-Server, den Sie verwenden:
Dell Enterprise-Server - /Security Server/conf/application.properties
Virtual Edition - /opt/dell/server/security-server/conf/application.properties

•

Der Server muss Portsteuerungen unterstützen.
Die Richtlinien des Server-Portsteuerungssystems wirken sich auf die Wechselmedien auf geschützten Servern aus, indem z. B. der
Zugriff auf und die Nutzung der USB-Ports des Servers durch USB-Geräte gesteuert wird. Die USB-Port-Richtlinie ist auf externe
USB-Ports anwendbar. Die interne USB-Port-Funktionalität wird durch die USB-Port-Richtlinie nicht beeinflusst. Bei deaktivierter
USB-Port-Richtlinie funktionieren USB-Tastatur und Maus des Clients nicht und der Benutzer kann den Computer nicht verwenden,
wenn vor Anwenden der Richtlinie keine Remote Desktop-Verbindung eingerichtet wurde.

•

Für eine erfolgreiche Aktivierung der Serververschlüsselung muss der Computer mit dem Netzwerk verbunden sein.

•

Wenn das Trusted Platform Module (TPM) verfügbar ist, wird es zum Versiegeln des GPK-Schlüssels auf Dell-Hardware verwendet.
Wenn kein TPM verfügbar ist, verwendet die Serververschlüsselung Microsoft Data Protection API (DPAPI) zum Schutz des
Mehrzweckschlüssels.
ANMERKUNG: Beim Installieren eines neuen Betriebssystems auf einem Dell Computer mit TPM der Serververschlüsselung
ausführt, deaktivieren Sie das TPM im BIOS. Siehehttps://technet.microsoft.com/en-us/library/cc749022%28v=ws.
10%29.aspx#BKMK_S2 für Anweisungen.

Extrahieren Sie das untergeordnete Installationsprogramm
•

Serververschlüsselung benötigt nur eines der im Master Installer enthaltenen Installationsprogramme. Zum Installieren der
Serververschlüsselung müssen Sie zuerst das dem Encryption Client untergeordnete Serververschlüsselung-Installationsprogramm
(den „Child Installer“) E_xxbit_setup.exe aus dem Master Installer DDPE_xxbit_setup.exe extrahieren. Weitere Informationen finden
Sie unter Untergeordnete Installer aus dem Master Installer extrahieren.

Dell Data Protection | Enterprise Edition
Installation unter Verwendung der untergeordneten Installationsprogramme

Interaktive Installation des Serververschlüsselungs-Client
•

Verwenden Sie diese Anweisungen zur interaktiven Installation der Serververschlüsselung. In diesem Installationsprogramm sind die für
die Softwareverschlüsselung erforderlichen Komponenten enthalten.

Suchen Sie die Datei DDPE_XXbit_setup.exe im Ordner C:\extracted\Encryption. Kopieren Sie sie auf den lokalen Computer.

Wenn Sie die Serververschlüsselung auf einem Server installieren, doppelklicken Sie auf die Datei DDPE_XXbit_setup.exe, um das
Installationsprogramm zu starten.
ANMERKUNG: Wenn die Serververschlüsselung auf einem Computer installiert wird, auf dem ein Serverbetriebssystem wie
beispielsweise Windows Server 2012 R2 ausgeführt wird, installiert das Installationsprogramm die Verschlüsselung
standardmäßig im Servermodus.

Klicken Sie im Begrüßungsdialogfeld auf Weiter.

Lesen Sie auf dem Lizenzvereinbarungsbildschirm die Lizenzvereinbarung, stimmen Sie den Bedingungen zu, und klicken Sie auf
Weiter.

Klicken Sie auf Weiter, um die Serververschlüsselung im Standardverzeichnis zu installieren.
ANMERKUNG: Dell empfiehlt die Installation auf dem Standardspeicherort. Die Installation an einem anderen Speicherort als
dem Standardverzeichnis – ob es sich hierbei um ein anderes Verzeichnis, um das Laufwerk „D“ oder ein USB-Laufwerk
handelt – wird nicht empfohlen.

Klicken Sie auf Weiter, um das Verwaltungstyp-Dialogfeld zu überspringen.

Geben Sie im Feld „Name des Dell Enterprise Servers“ den vollständigen Hostnamen des Dell Enterprise Servers oder der Virtual
Edition ein, mit dem oder der der Benutzer verwaltet wird, z. B. server.organisation.de.

Geben Sie den Domainnamen in das Feld Verwaltete Domäne (z. B. Organisation) ein und klicken Sie auf Weiter.

Klicken Sie auf Weiter, um das automatisch ausgefüllte Dialogfeld Dell Richtlinien-Proxy-Informationen zu überspringen.

Klicken Sie auf Weiter, um das automatisch ausgefüllte Dialogfeld Dell Device-Serverinformationen zu überspringen.

Klicken Sie auf Installieren, um mit der Installation zu beginnen.
Die Installation kann mehrere Minuten dauern.

Klicken Sie im Dialogfeld Konfiguration abgeschlossen auf „Fertigstellen“.
Damit ist die Installation abgeschlossen.
ANMERKUNG: Die Protokolldatei für die Installation befindet sich im Verzeichnis „%temp%“ des Kontos auf C:\Users
\\AppData\Local\Temp. Um die Protokolldatei der Installation ausfindig zu machen, suchen Sie nach einem
Dateinamen, der mit MSI beginnt und mit der Erweiterung .log endet. Die Datei muss einen Datums-/Zeitstempel haben, der
mit dem Zeitpunkt übereinstimmt, zu dem Sie das Installationsprogramm ausgeführt haben.
ANMERKUNG: Als Teil der Installation wird ein virtuelles Serverbenutzerkonto ausschließlich für die Serververschlüsselung
erstellt. Das Kennwort und die DPAPI-Authentifizierung sind deaktiviert, sodass nur der virtuelle Serverbenutzer auf die
Verschlüsselungsschlüssel auf dem Computer zugreifen kann.

Starten Sie den Computer neu.
WICHTIG: Wählen Sie Snooze Reboot nur dann aus, wenn Sie Zeit zum Speichern Ihrer Arbeit und zum Schließen von
offenen Anwendungen benötigen.

Installation von Serververschlüsselung unter Verwendung der
Befehlszeile
Serververschlüsselungs-Client – Sie finden das Installationsprogramm unter C:\extracted\Encryption
•

Verwenden Sie die Datei DDPE_xxbit_setup.exe für die Installation oder die Aktualisierung. Nutzen Sie dazu eine skriptgesteuerte
Installation, Batchdateien oder eine andere in Ihrem Unternehmen verfügbare Push-Technologie.
Dell Data Protection | Enterprise Edition
Installation unter Verwendung der untergeordneten
Installationsprogramme

Schalter
Die folgende Tabelle umfasst die für die Installation verfügbaren Schalter.
Schalter

Erläuterung

Gibt Variablen an die .msi-Datei innerhalb der Datei DDPE_XXbit_setup.exe weiter

Administrative Installation

Im Hintergrund

Parameter
Die folgende Tabelle umfasst die für die Installation verfügbaren Parameter.
Komponente

Protokolldatei

Befehlszeilenparameter

Alle

/l*v [vollständiger Pfad]
[Dateiname].log *

SERVERHOSTNAME=
SERVERMODE=1
POLICYPROXYHOSTNAME=
MANAGEDDOMAIN=
DEVICESERVERURL=
GKPORT=
MACHINEID=
RECOVERYID=
REBOOT=ReallySuppress
HIDEOVERLAYICONS=1
HIDESYSTRAYICON=1
EME=1

ANMERKUNG: Der Neustart kann zwar unterbunden werden, ist jedoch letztendlich erforderlich. Die Verschlüsselung kann
erst nach dem Neustart des Computers beginnen.
Optionen
Die folgende Tabelle umfasst die Anzeigeoptionen, die am Ende des Arguments, das an den /v-Schalter weitergegeben wird, festgelegt
werden können.
Option

Erläuterung

Kein Fortschrittsdialogfeld, führt nach Abschluss der Installation selbstständig einen
Neustart durch

/qb

Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, fordert zum Neustart auf

Dell Data Protection | Enterprise Edition
Installation unter Verwendung der untergeordneten Installationsprogramme

Option

Erläuterung

/qb-

Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, führt nach Abschluss des Vorgangs
selbstständig einen Neustart durch

/qb!

Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, fordert zum Neustart auf

/qb!-

Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, führt nach Abschluss des Vorgangs
selbständig einen Neustart durch

/qn

Keine Benutzeroberfläche
ANMERKUNG: Verwenden Sie /q und /qn nicht in derselben Befehlszeile. Verwenden Sie nur ! und - nach /qb.

•

Der Befehlszeilenparameter SERVERMODE=1 wird nur während neuer Installationen berücksichtigt. Der Parameter wird bei
Deinstallationen ignoriert.

•

Das Installieren auf einem anderen Speicherort als dem Standardspeicherort – ob es sich hierbei um ein anderes Verzeichnis, ein
anderes Laufwerk als „C:“ oder ein USB-Laufwerk handelt – wird nicht empfohlen. Dell empfiehlt die Installation auf dem
Standardspeicherort.

•

Geben Sie einen Wert ein, der eines oder mehrere Sonderzeichen, z. B. eine Leerstelle, zwischen in Escape-Zeichen gesetzten
Anführungszeichen enthält.

•

Bei der Dell Activation Server-URL (DEVICESERVERURL) ist auf Groß- und Kleinschreibung zu achten.

Beispiel einer Installation über die Befehlszeile
•

Im folgenden Beispiel wird der Serververschlüsselungs-Client mit den Standardparametern installiert (Serververschlüsselungs-Client,
„Für Freigabe verschlüsseln“, kein Dialog, keine Statusanzeige, automatischer Neustart, Installation im Standardverzeichnis von C:
\Programme\Dell\Dell Data Protection).
DDPE_XXbit_setup.exe /s /v"SERVERMODE=1 SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/qn"

•

Das folgende Beispiel installiert den Serververschlüsselungs-Client mit einer Protokolldatei und Standardparametern
(Serververschlüsselungs-Client, Installation im Hintergrund, „Für Freigabe verschlüsseln“, kein Dialog, keine Fortschrittsleiste, kein
Neustart, Installation im Standardverzeichnis von C:\Programme\Dell\Dell Data Protection\Encryption) und gibt einen
benutzerdefinierten Protokolldateinamen an, der mit einer Zahl endet (DDP_ssos-090.log) und erhöht werden sollte, wenn die
Befehlszeile mehr als einmal auf demselben Server ausgeführt wird.
DDPE_XXbit_setup.exe /s /v"SERVERMODE=1 SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ /l*v DDP_ssos-090.log /norestart/qn"
Wenn Sie das Protokoll nicht im Standardverzeichnis mit der ausführbaren Datei speichern möchten, geben Sie den vollständigen
neuen Speicherpfad im Befehl an. Beispiel: Mit dem Befehl /l*v C:\Logs\DDP_ssos-090.log werden die Installationsprotokolle in einem
C:\Logs-Ordner erstellt.

Starten Sie den Computer neu
Starten Sie den Computer nach der Installation neu. Der Computer muss so früh wie möglich neu gestartet werden.
WICHTIG: Wählen Sie Snooze Reboot nur dann aus, wenn Sie Zeit zum Speichern Ihrer Arbeit und zum Schließen von offenen
Anwendungen benötigen.

Serververschlüsselung aktivieren
•

Der Server muss mit dem Netzwerk der Organisation verbunden sein.

•

Stellen Sie sicher, dass es sich beim Computernamen des Servers um den Endpunktnamen handelt, der in der Remote Management
Console angezeigt werden soll.
Dell Data Protection | Enterprise Edition
Installation unter Verwendung der untergeordneten
Installationsprogramme

•

•
•
•

Ein interaktiver Live-Benutzer mit Domänen-Administrator-Anmeldeinformationen muss sich für die Erstaktivierung mindestens einmal
auf dem Server anmelden. Der angemeldete Benutzertyp kann ein Domänen- oder Nicht-Domänen-Benutzer, über eine RemoteDesktop-Verbindung verbunden oder ein interaktiver Benutzer am Server sein, aber die Aktivierung erfordert Domänen-AdministratorAnmeldeinformationen.
Nach dem Neustart nach der Installation wird der Aktivierungsdialog angezeigt. Der Administrator muss die Domänen-AdministratorAnmeldeinformationen mit einem Benutzernamen im Format User Principal Name (UPN, Benutzerprinzipalnamen) eingeben. Der
Serververschlüsselungs-Client wird nicht automatisch aktiviert.
Bei der Erstaktivierung wird ein virtuelles Serverbenutzerkonto erstellt. Nach der Erstaktivierung wird der Computer neu gestartet,
sodass die Geräteaktivierung beginnen kann.
Während der Authentifizierungs- und Geräteaktivierungsphase wird dem Computer eine eindeutige Computer-ID zugewiesen,
Verschlüsselungsschlüssel werden erstellt und gebündelt und eine Beziehung zwischen dem Verschlüsselungsschlüsselpaket und dem
virtuellen Serverbenutzer wird hergestellt. Das Verschlüsselungsschlüsselpaket verknüpft die Verschlüsselungsschlüssel und Richtlinien
mit dem neuen virtuellen Serverbenutzer, um eine untrennbare Beziehung zwischen den verschlüsselten Daten, dem spezifischen
Computer und dem virtuellen Serverbenutzer zu erstellen. Nach der Aktivierung wird der virtuelle Serverbenutzer in der Remote
Management Console als SERVER-USER@ angezeigt. Weitere Informationen zur Aktivierung finden
Sie unter Aktivierung auf einem Serverbetriebssystem.
ANMERKUNG:
Wenn Sie den Server nach der Aktivierung umbenennen, ändert sich sein Anzeigename in der Remote Management Console nicht.
Wenn der Serververschlüsselungs-Client jedoch nach der Änderung des Servernamens erneut aktiviert wird, erscheint der neue
Servername in der Remote Management Console.

Bei jedem Neustart wird ein Aktivierungsdialog angezeigt, mit dem der Benutzer zur Aktivierung der Serververschlüsselung aufgefordert
wird. Wenn die Aktivierung noch nicht abgeschlossen ist, führen Sie die folgenden Schritte aus:
1

Melden Sie sich entweder am Server oder über die Remote-Desktop-Verbindung auf dem Server an.

Klicken Sie mit der rechten Maustaste auf das Verschlüsselungssymbol

Überprüfen Sie, ob die Verschlüsselung im Servermodus ausgeführt wird.

Wählen Sie Dell Data Protection | Verschlüsselung aktivieren aus dem Menü aus.

Geben Sie den Benutzernamen eines Domänen-Administrators im UPN-Format ein sowie ein Kennwort, und klicken Sie auf
Aktivieren. Hierbei handelt es sich um den gleichen Aktivierungsdialog, der auch bei jedem Neustart eines nicht aktivierten Systems
angezeigt wird.

in der Taskleiste, und klicken Sie auf Info.

Der DDP-Server stellt einen Verschlüsselungsschlüssel für die Computer-ID aus, erstellt das virtuelle Serverbenutzerkonto, erstellt
einen Verschlüsselungsschlüssel für das Benutzerkonto, bündelt die Verschlüsselungsschlüssel und erstellt die Beziehung zwischen
dem Verschlüsselungspaket und dem virtuellen Serverbenutzerkonto.
6

Klicken Sie auf Schließen.
Nach der Aktivierung beginnt die Verschlüsselung.

Nachdem die Verschlüsselungssuche abgeschlossen wurde, starten Sie den Computer neu, um Dateien, die zuvor verwendet wurden,
zu verarbeiten. Dies ist ein wichtiger Schritt, der der Sicherheit dient.
ANMERKUNG: Wenn die Richtlinie Sichere Windows-Anmeldeinformationen auf „Wahr“ gesetzt wird, verschlüsselt die
Serververschlüsselung die \Windows\system32\config-Dateien einschließlich der Windows-Anmeldeinformationen. Die
Dateien in \Windows\system32\config werden auch dann verschlüsselt, wenn die Richtlinie SDE-Verschlüsselung aktiviert
auf Nicht ausgewählt eingestellt ist. Standardmäßig ist die Richtlinie Sichere Windows-Anmeldeinformationen auf
Ausgewählt eingestellt.
ANMERKUNG:
Nach dem Computerneustart ist für die Authentifizierung des allgemeinen Schlüsselmaterials immer der Computerschlüssel des
geschützten Servers erforderlich. Der DDP-Server gibt einen Entschlüsselungsschlüssel für den Zugriff auf die
Verschlüsselungsschlüssel und Richtlinien im Vault zurück. (Die Schlüssel und Richtlinien sind für den Server und nicht den
Benutzer bestimmt). Ohne den Computerschlüssel des Servers kann der allgemeine Dateiverschlüsselungsschlüssel nicht
entsperrt werden, und der Computer kann keine Richtlinienaktualisierungen beziehen.

Aktivierung bestätigen

Dell Data Protection | Enterprise Edition
Installation unter Verwendung der untergeordneten Installationsprogramme

Öffnen Sie von der lokalen Konsole aus den Info-Dialog, um zu bestätigen, dass die Serververschlüsselung installiert und authentifiziert
wurde und sich im Servermodus befindet. Wenn die Shield-ID rot ist, wurde die Verschlüsselung noch nicht aktiviert.

Der virtuelle Serverbenutzer
•

In der Remote Management Console finden Sie einen geschützten Server unter seinem Computernamen. Darüber hinaus verfügt jeder
geschützte Server über sein eigenes virtuelles Serverbenutzerkonto. Jedes Konto hat einen eindeutigen statischen Benutzernamen
und einen eindeutigen Computernamen.

•

Das virtuelle Serverbenutzerkonto wird ausschließlich von der Serververschlüsselung verwendet und ist ansonsten für den Betrieb des
geschützten Servers transparent. Der virtuelle Serverbenutzer wird mit dem Verschlüsselungsschlüsselpaket und dem RichtlinienProxy verknüpft.

•

Nach der Aktivierung ist das virtuelle Serverbenutzerkonto das Benutzerkonto, das aktiviert und dem Server zugeordnet ist.

•

Nach Aktivierung des virtuellen Serverbenutzerkontos werden alle zukünftigen Serveranmelde- und -abmeldebenachrichtigungen
ignoriert. Stattdessen authentifiziert der Computer den virtuellen Serverbenutzer automatisch während des Hochfahrens und lädt
anschließend den Computerschlüssel vom Dell Data Protection-Server herunter.

SED Management- und Advanced AuthenticationClients installieren
•

Für Advanced Authentication in Version 8.x ist der SED-Client erforderlich.

•

Überprüfen Sie die SED-Client-Anforderungen, wenn Ihr Unternehmen ein Zertifikat verwendet, das von einer Stammstelle, wie z. B.
EnTrust oder Verisign, signiert wurde. Zur Aktivierung der SSL/TLS-Vertrauensprüfung muss eine Registrierungseinstellung auf dem
Client-Computer geändert werden.

•

Benutzer melden sich mit ihren Windows-Anmeldeinformationen an der PBA an.

•

Die Installationsprogramme für SED und den Advanced Authentication-Client befinden sich unter:
•

Über die Website support.dell.com – Beziehen Sie ggf. die Software über support.dell.com, und extrahieren Sie dann die
untergeordneten Installationsprogramme aus dem -Master-Installationsprogramm. Suchen Sie nach der Extrahierung die Datei
unter C:\extracted\Security Tools und C:\extracted\Security Tools\Authentication.

•

Über Ihr Dell FTP-Konto – Suchen Sie das Installationspaket in der Datei DDP-Enterprise-Edition-8.x.x.xxx.zip, und extrahieren Sie
dann die untergeordneten Installationsprogramme aus dem -Master-Installationsprogramm. Suchen Sie nach der Extrahierung die
Datei unter C:\extracted\Security Tools und C:\extracted\Security Tools\Authentication.

Installation über die Befehlszeile
•

Die folgende Tabelle umfasst die für die Installation verfügbaren Parameter.
Parameter
CM_EDITION=1
INSTALLDIR=
SERVERHOST=
SERVERPORT=8888
SECURITYSERVERHOST=
SECURITYSERVERPORT=8443
ARPSYSTEMCOMPONENT=1
Eine Liste der grundlegenden .msi-Schalter und Anzeigeoptionen, die in Befehlszeilen verwendet werden können, finden Sie unter
Installation unter Verwendung der untergeordneten Installationsprogramme.
Dell Data Protection | Enterprise Edition
Installation unter Verwendung der untergeordneten
Installationsprogramme

Beispiel für eine Befehlszeile
\Security Tools
•

Im folgenden Beispiel wird ein remote verwaltetes SED installiert (automatische Installation, kein Neustart, kein Eintrag in der Liste der
Programme in der Systemsteuerung, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 /
norestart /qn"
Dann:
\Security Tools\Authentication

•

Im folgenden Beispiel wird Advanced Authentication installiert (Installation im Hintergrund, kein Neustart).
setup.exe /s /v"/norestart /qn ARPSYSTEMCOMPONENT=1"

Installieren von Cloud Edition
•

Vor der Installation von Cloud Edition sind einige Schritte auf dem EE-Server/VE-Server erforderlich. Siehe Server für Cloud Edition
konfigurieren.

•

Siehe Cloud Edition mit Dropbox für Business verwenden, wenn in Ihrer Organisation Dropbox für Unternehmen verwendet wird.

•

Cloud Edition-Benutzer müssen die folgenden Schritte ausführen, um die Dateien und Ordner in ihren Cloud Synchronisierungs-Clients
zu schützen. Nach der Installation des Cloud-Clients müssen Benutzer folgende Schritte ausführen:
•

Cloud Edition aktivieren.

•

Einen Cloud-Speicheranbieter herunterladen:
•

Der Administrator sollte angeben, welchen Anbieter der Cloud-Synchronisation Ihr Unternehmen bevorzugt.
oder

•

Falls Ihr Unternehmen Dropbox für Unternehmen oder OneDrive für Unternehmen verwendet, stellen Sie den Benutzern einen
Link zum Herunterladen und Installieren bereit. Beachten Sie, dass Dropbox für Unternehmen-Benutzer die Verbindung zu
Dropbox für Unternehmen über Cloud Edition herstellen müssen.
Benutzer können Informationen über Aktivierung und andere Cloud Edition-Benutzertasks im Benutzerhandbuch Cloud Edition
User Guide finden.

•

Das Cloud Edition-Client-Installationsprogramm kann wie folgt bezogen werden:
•

Über die Website support.dell.com – Falls erforderlich, beziehen Sie die Software über support.dell.com und extrahieren Sie dann
die untergeordneten Installationsprogramme aus dem -Master-Installationsprogramm. Suchen Sie nach dem Extrahieren die Datei
unter C:\extracted\Cloud.

•

Über Ihr Dell FTP-Konto – Suchen Sie das Installationspaket in der Datei „DDP-Enterprise-Edition-8.x.x.xxx.zip“, und extrahieren
dann die untergeordneten Installationsprogramme aus dem -Master-Installationsprogramm. Suchen Sie nach dem Extrahieren
suchen die Datei unter C:\extracted\Cloud.

Installation über die Befehlszeile
•

Die folgende Tabelle umfasst die für die Installation verfügbaren Parameter.
Parameter
SERVER=
Beispiel für eine Befehlszeile

Dell Data Protection | Enterprise Edition
Installation unter Verwendung der untergeordneten Installationsprogramme

•

Im folgenden Beispiel wird nur Cloud Edition installiert (Installation im Hintergrund, kein Neustart, Installation im Standardverzeichnis C:
\Program Files\Dell\Dell Data Protection).
Cloud_XXbit_setup.exe /s /v"SERVER=securityserver.organization.com /norestart /qn"

BitLocker Manager-Client installieren
•

Überprüfen Sie Anforderungen für den BitLocker Manager-Client, wenn Ihr Unternehmen ein Zertifikat verwendet, das von einer
Stammstelle, wie z. B. EnTrust oder Verisign, signiert wurde. Zur Aktivierung der SSL/TLS-Vertrauensprüfung muss eine
Registrierungseinstellung auf dem Client-Computer geändert werden.

•

Die BtLocker Manager-Installationsprogramme können wie folgt bezogen werden:
•

Über die Website support.dell.com – Beziehen Sie ggf. die Software über support.dell.com, und extrahieren Sie dann die
untergeordneten Installationsprogramme aus dem -Master-Installationsprogramm. Suchen Sie nach dem Extrahierungsvorgang die
Datei im folgenden Verzeichnis: C:\extracted\Security Tools.

•

Über Ihr Dell FTP-Konto – Suchen Sie das Installationspaket in der Datei DDP-Enterprise-Edition-8.x.x.xxx.zip, und extrahieren Sie
dann die untergeordneten Installationsprogramme aus dem -Master-Installationsprogramm. Suchen Sie nach dem
Extrahierungsvorgang die Datei im folgenden Verzeichnis: C:\extracted\Security Tools.

Installation über die Befehlszeile
•

Die folgende Tabelle umfasst die für die Installation verfügbaren Parameter.
Parameter
CM_EDITION=1
INSTALLDIR=
SERVERHOST=
SERVERPORT=8888
SECURITYSERVERHOST=
SECURITYSERVERPORT=8443
FEATURE=BLM
FEATURE=BLM,SED
ARPSYSTEMCOMPONENT=1
Eine Liste der grundlegenden .msi-Schalter und Anzeigeoptionen, die in Befehlszeilen verwendet werden können, finden Sie unter
Installation unter Verwendung der untergeordneten Installationsprogramme.
Beispiel für eine Befehlszeile

•

Im folgenden Beispiel wird nur BitLocker Manager installiert (automatische Installation, kein Neustart, kein Eintrag in der Liste der
Programme in der Systemsteuerung, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM /norestart /qn"

•

Im folgenden Beispiel wird BitLocker Manager mit SED installiert (automatische Installation, kein Neustart, kein Eintrag in der Liste der
Programme in der Systemsteuerung, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection).

Dell Data Protection | Enterprise Edition
Installation unter Verwendung der untergeordneten
Installationsprogramme

EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM,SED /
norestart /qn"

Dell Data Protection | Enterprise Edition
Installation unter Verwendung der untergeordneten Installationsprogramme

7
Deinstallation unter Verwendung der
untergeordneten Installationsprogramme
•

Um jeden einzelnen Client separat zu installieren, müssen die untergeordneten ausführbaren Dateien aus dem -Master
Installationsprogramm extrahiert werden, wie unter Untergeordnete Installationsprogramme aus dem -Master Installationsprogramm
extrahieren beschrieben.

•

Stellen Sie sicher, dass Sie für die Deinstallation dieselben Client-Versionen verwenden wie bei der Installation.

•

Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten.

•

Stellen Sie sicher, dass Werte, die ein oder mehrere Sonderzeichen enthalten, z. B. eine Leerstelle in der Befehlszeile, zwischen in
Escape-Zeichen gesetzte Anführungszeichen gesetzt werden. Bei den Befehlszeilenparametern ist die Groß- und Kleinschreibung zu
beachten.

•

Verwenden Sie diese Installationsprogramme zur Deinstallation der Clients. Nutzen Sie dazu eine skriptgesteuerte Installation,
Batchdateien oder eine andere verfügbare Push-Technologie.

•

Protokolldateien – Windows erstellt eindeutige Deinstallationsprotokolldateien des untergeordneten Installationsprogramms für den
angemeldeten Benutzer unter C:\Users\\AppData\Local\Temp.
Falls Sie sich dafür entscheiden, beim Ausführen des Installationsprogramms eine separate Protokolldatei hinzuzufügen, stellen Sie
sicher, dass die Protokolldatei einen eindeutigen Namen hat, da Protokolldateien des untergeordneten Installationsprogramms keine
Anhänge zulassen. Mit dem standardmäßigen .msi-Befehl kann eine Protokolldatei unter Verwendung von /l C:\\.log erstellt werden. Der Benutzername und das Passwort werden in der Protokolldatei aufgezeichnet, daher rät Dell von
der Verwendung von "/l*v" (ausführliche Protokollierung) bei der Deinstallation über die Befehlszeile ab.

•

Für Deinstallationen über die Befehlszeile verwenden alle untergeordneten Installationsprogramme, soweit nicht anders angegeben, die
gleichen grundlegenden .msi-Schalter und Anzeigeoptionen. Die Schalter müssen zuerst angegeben werden. Der /v-Schalter ist
erforderlich und benötigt ein Argument. Andere Parameter gehen in ein Argument ein, das an den /v-Schalter weitergegeben wird.
Anzeigeoptionen können am Ende des Arguments angegeben werden, das an den /v-Schalter weitergegeben wird, um das erwartete
Verhalten zu erzielen. Verwenden Sie /q und /qn nicht in derselben Befehlszeile. Verwenden Sie ! und - nur nach /qb.
Schalter

Erläuterung

Gibt Variablen an die .msi-Datei innerhalb der setup.exe-Datei weiter

Im Hintergrund

Deinstallationsmodus

Option

Erläuterung

Kein Fortschrittsdialogfeld, führt nach Abschluss der Installation selbstständig einen
Neustart durch

/qb

Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, fordert zum Neustart auf

/qb-

Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, führt nach Abschluss des
Vorgangs selbstständig einen Neustart durch

/qb!

Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, fordert zum Neustart auf

Dell Data Protection | Enterprise Edition
Deinstallation unter Verwendung der untergeordneten
Installationsprogramme

Option

Erläuterung

/qb!-

Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, führt nach Abschluss des
Vorgangs selbständig einen Neustart durch

/qn

Keine Benutzeroberfläche

Client für Verschlüsselung und Serververschlüsselung
deinstallieren
•

Entfernen Sie mithilfe des Windows Festplattenbereinigungs-Assistenten temporäre Dateien und andere nicht benötigte Daten, um den
Zeitaufwand für die Entschlüsselung zu verringern.

•

Führen Sie die Entschlüsselung nach Möglichkeit über Nacht durch.

•

Schalten Sie den Energiesparmodus aus, um zu verhindern, dass ein unbeaufsichtigter Computer in diesen Modus umschaltet. Im
Energiesparmodus kann keine Entschlüsselung erfolgen.

•

Schließen Sie alle Prozesse und Anwendungen, um Entschlüsselungsfehler aufgrund gesperrter Dateien zu vermeiden.

•

Sobald die Deinstallation abgeschlossen ist und die Entschlüsselung läuft, deaktivieren Sie die gesamte Netzwerkkonnektivität.
Andernfalls werden womöglich neue Richtlinien erfasst, mit denen die Verschlüsselung wieder aktiviert wird.

•

Befolgen Sie das übliche Verfahren für die Verschlüsselung von Daten, z. B. die Ausgabe einer Richtlinienaktualisierung.

•

Zu Beginn einer Shield-Deinstallation aktualisieren Windows und EME Shields den EE-Server/VE-Server, um den Status in
Ungeschützt zu ändern. Wenn der Client jedoch keine Verbindung zum EE-Server/VE-Server herstellen kann, ist keine
Statusaktualisierung möglich. In diesem Fall müssen Sie ein manuelles Entfernen des Endpunkts in der Remote-Verwaltungskonsole
durchführen. Falls Ihr Unternehmen diese Vorgehensweise im Rahmen der Compliance einsetzt, empfiehlt Dell, zu überprüfen, ob in der
Remote-Verwaltungskonsole oder in Compliance Reporter erwartungsgemäß der Status Ungeschützt erscheint.

Verfahren
•

Vor der Deinstallation finden Sie weitere Informationen unter (Optional) Encryption Removal Agent-Protokolldatei anlegen. Diese
Protokolldatei erleichtert das Beheben von Fehlern, die unter Umständen beim Deinstallieren/Entschlüsseln auftreten. Falls Sie Dateien
während der Deinstallation nicht entschlüsseln möchten, müssen Sie keine Encryption Removal Agent-Protokolldatei anlegen.

•

Der Key Server (und EE-Server) müssen vor der Deinstallation konfiguriert werden, falls Sie die Option Encryption Removal Agent
lädt Schlüssel von Server herunter verwenden möchten. Weitere Informationen finden Sie unter Key Server für die Deinstallation von
auf EE-Server aktiviertem Encryption-Client konfigurieren. Falls der zu deaktivierende Client auf einem VE-Server aktiviert ist, sind
keine weiteren Maßnahmen erforderlich, da der VE-Server den Key Server nicht verwendet.

•

Sie müssen vor dem Starten des Encryption Removal Agent das Dell Administrator-Download-Dienstprogramm (CMGAd) verwenden,
falls Sie die Option Encryption Removal Agent importiert Schlüssel aus Datei verwenden möchten. Über dieses Dienstprogramm
erhalten Sie das Verschlüsselungsschlüsselpaket. Weitere Informationen finden Sie unter Administrator-Download-Dienstprogramms
verwenden (CMGAd). Das Dienstprogramm ist auf dem Dell Installationsmedium enthalten.

•

Führen nach Abschluss der Deinstallation aber vor dem Neustart des Computers WSScan aus, um sicherzustellen, dass alle Daten
entschlüsselt wurden. Siehe WSScan verwenden, um Anweisungen zu erhalten.

•

Führen Sie gelegentlich Überprüfen des Encryption-Removal-Agent-Status durch. Die Datenentschlüsselung läuft noch, falls der
Encryption Removal Agent-Dienst weiterhin im Dialogfeld „Dienste“ angezeigt wird.

Deinstallation über die Befehlszeile
•

Nach der Extraktion aus dem -Master-Installationsprogramm befindet sich das Installationsprogramm für den Client für die
Verschlüsselung unter C:\extracted\Encryption\DDPE_XXbit_setup.exe.

•

Die folgende Tabelle umfasst die für die Deinstallation verfügbaren Parameter.

Dell Data Protection | Enterprise Edition
Deinstallation unter Verwendung der untergeordneten Installationsprogramme

Parameter

Auswahl

CMG_DECRYPT

Eigenschaft zur Auswahl des Installationstyps des Encryption
Removal Agent
3 – LSARecovery-Paket verwenden
2 – Zuvor heruntergeladenes Material für forensischen Schlüssel
verwenden
1 – Schlüssel vom EE-Server/VE-Server herunterladen
0 – Encryption Removal Agent nicht installieren

CMGSILENTMODE

Eigenschaft für Deinstallation im Hintergrund:
1 – Im Hintergrund
0 – Nicht im Hintergrund

Erforderliche Eigenschaften
DA_SERVER

Vollständig qualifizierter Hostname (FQHN) für den EE-Server,
auf dem die Vermittlungssitzung gehostet wird.

DA_PORT

EE-Server-Port für die Anfrage (die Standardeinstellung ist
8050).

SVCPN

Benutzername im UPN-Format, unter dem der Key Server-Dienst
beim EE-Server angemeldet ist.

DA_RUNAS

Benutzername im mit SAM kompatiblen Format, unter dem die
Anfrage zum Schlüsselabruf erfolgt. Dieser Benutzer muss in der
Key Server-Liste des EE-Servers enthalten sein.

DA_RUNASPWD

Passwort für den RUNAS-Benutzer.

FORENSIC_ADMIN

Konto des forensischen Administrators auf dem VE-Server.
Dieses Konto wird nur verwendet, wenn es sich beim Server um
einen VE-Server handelt.
ANMERKUNG: Das Konto „Forensischer Administrator“ wird
in der Remote Management Console erstellt. Wenn es sich um
einen EE-Server handelt, verwenden Sie die Parameter
DA_PORT und SVCPN.

FORENSIC_ADMIN_PWD

Das Passwort für das Konto „Forensischer Administrator“. Dieses
Konto wird nur verwendet, wenn es sich beim Server um einen
VE-Server handelt.

Optionale Eigenschaften

•

SVCLOGONUN

Benutzername im UPN-Format zur Anmeldung beim Encryption
Removal Agent-Dienst als Parameter.

SVCLOGONPWD

Passwort für die Anmeldung als Benutzer.

Im folgenden Beispiel werden der Encryption-Client deinstalliert und die Verschlüsselungsschlüssel vom EE-Server heruntergeladen.
DDPE_XXbit_setup.exe /x /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER=
\"server.organization.com\" DA_PORT=\"8050\" SVCPN=\"administrator@organization.com\"
DA_RUNAS=\"ORGANIZATION\UserInKeyServerList\" DA_RUNASPWD=\"password\" /qn"
Dell Data Protection | Enterprise Edition
Deinstallation unter Verwendung der untergeordneten
Installationsprogramme

Führen Sie einen Neustart des Computers durch, wenn Sie fertig sind.
•

Im folgenden Beispiel werden der Encryption-Client deinstalliert und die Verschlüsselungsschlüssel über ein Konto vom Typ
„Forensischer Administrator“ vom VE-Server heruntergeladen.
DDPE_XXbit_setup.exe /x /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" FORENSIC_ADMIN=
\"tempsuperadmin\" FORENSIC_ADMIN_PWD=\"tempchangeit\" /qn"
Führen Sie einen Neustart des Computers durch, wenn Sie fertig sind.
WICHTIG:
Wenn ein Client auf einem VE-Server aktiviert ist und das Passwort eines forensischen Administrators in der Befehlszeile verwendet
wird, empfiehlt Dell die folgenden Maßnahmen:
1

Erstellen Sie in der Remote Management Console ein Konto vom Typ „Forensischer Administrator“ zum Durchführen der
Deinstallation im Hintergrund.

Verwenden Sie für dieses Konto ein temporäres und befristetes Passwort.

Nach Abschluss der Deinstallation im Hintergrund entfernen Sie das temporäre Konto dann aus der Liste der Administratoren
oder ändern das entsprechende Passwort.

External Media Edition deinstallieren
Nach der Extraktion aus dem Master-Installationsprogramm befindet sich das Encryption-Client-Installationsprogramm unter C:\extracted
\Encryption\DDPE_XXbit_setup.exe.
Deinstallation über die Befehlszeile
Führen Sie einen Befehl nach folgendem Schema aus:
DDPE_XXbit_setup.exe /s /x /v"/qn"
Führen Sie einen Neustart des Computers durch, wenn Sie fertig sind.

Deinstallation der SED- und Advanced
Authentication-Clients
•

Zur PBA-Deaktivierung muss eine Netzwerkverbindung zum EE-Server/VE-Server bestehen.

Verfahren
•

Deaktivieren Sie die PBA; dabei werden alle PBA-Daten vom Computer entfernt und die SED-Schlüssel entsperrt.

•

Deinstallieren Sie den SED-Client.

•

Deinstallieren Sie den Advanced Authentication-Client.

PBA deaktivieren
1

Melden Sie sich als Dell Administrator bei der Remote Management Console an.

Klicken Sie im linken Bereich auf Schutz und Verwaltung > Endpunkte.

Wählen Sie den entsprechenden Endpunkttyp aus.

Wählen Sie Anzeigen >Sichtbar, Ausgeblendet oder Alle aus.

Wenn der Hostname des Computers bekannt ist, geben Sie ihn im Feld „Hostname“ ein (Platzhalter werden unterstützt). Sie können
das Feld leer lassen, um alle Computer anzuzeigen. Klicken Sie auf Suchen.

Dell Data Protection | Enterprise Edition
Deinstallation unter Verwendung der untergeordneten Installationsprogramme

Wenn Sie den Hostnamen nicht kennen, machen Sie den Computer in der Liste ausfindig.
Je nach Suchfilter wird ein Computer oder eine Liste von Computern angezeigt.
6

Klicken Sie auf das Symbol Details des gewünschten Computers.

Klicken Sie im Hauptmenü auf Sicherheitsrichtlinien.

Wählen Sie Selbstverschlüsselnde Laufwerke aus dem Drop-down-Menü Richtlinienkategorie aus.

Erweitern Sie den Bereich SED-Verwaltung, und ändern Sie die Richtlinien SED-Verwaltung aktivieren und PBA aktivieren von
True in False.

Klicken Sie auf Speichern.

Klicken Sie im linken Bereich auf Aktionen > Richtlinien bestätigen.

Klicken Sie auf Änderungen anwenden.
Warten Sie, während die Richtlinie vom EE-Server/VE-Server auf den für die Deaktivierung vorgesehenen Computer übertragen
wird.
Deinstallieren Sie nach der Deaktivierung von PBA den SED- und die Authentication-Clients.

Deinstallieren des SED-Clients und der Advanced
Authentication-Clients
Deinstallation über die Befehlszeile
•

Nach der Extrahierung aus dem -Master-Installationsprogramm befindet sich das SED-Client-Installationsprogramm unter C:\extracted
\Security Tools\EMAgent_XXbit_setup.exe.

•

Nach der Extrahierung aus dem -Master-Installationsprogramm befindet sich das SED-Client-Installationsprogramm unter C:\extracted
\Security Tools\Authentication\\setup.exe.

•

Im folgenden Beispiel wird der SED-Client im Hintergrund deinstalliert.
EMAgent_XXbit_setup.exe /x /s /v" /qn"
Wenn Sie fertig sind, fahren Sie den Computer herunter und starten Sie ihn neu.
Dann:

•

Im folgenden Beispiel wird der Advanced Authentication-Client im Hintergrund deinstalliert.
setup.exe /x /s /v" /qn"
Wenn Sie fertig sind, fahren Sie den Computer herunter und starten Sie ihn neu.

Deinstallation des BitLocker Manager-Clients
Deinstallation über die Befehlszeile
•

Nach der Extraktion aus dem -Master-Installationsprogramm befindet sich das BitLocker-Installationsprogramm unter C:\extracted
\Security Tools\EMAgent_XXbit_setup.exe.

•

Im folgenden Beispiel wird der BitLocker Manager-Client im Hintergrund deinstalliert.
EMAgent_XXbit_setup.exe /x /s /v" /qn"
Führen Sie einen Neustart des Computers durch, wenn Sie fertig sind.

Dell Data Protection | Enterprise Edition
Deinstallation unter Verwendung der untergeordneten
Installationsprogramme

Cloud Edition deinstallieren
•

Wenn ein Endbenutzer über ein lokales Administratorkonto verfügt, kann er Cloud Edition selbst deinstallieren. Weitere Informationen
finden Sie im Benutzerhandbuch Cloud Edition User Guide . In diesem Abschnitt wird beschrieben, wie Administratoren Cloud Edition
deinstallieren.
WICHTIG: Stellen Sie vor dem Deinstallieren von Cloud Edition sicher, dass wichtige Dateien an einen Speicherort außerhalb
des virtuellen Cloud Edition-Laufwerks verschoben wurden. Wenn Cloud Edition auf Endbenutzercomputern deinstalliert ist,
sind die Ordner und Dateien in der Cloud verschlüsselt und nicht lesbar. Falls dieser Benutzer das Unternehmen verlassen hat
und kein anderer Benutzer den Ordner oder die Datei über eine Freigabe verwendet, können die Daten nicht mehr gelesen
werden; sie sind jedoch sicher (um die Dateien anzuzeigen, können Sie Cloud Edition erneut installieren).

Deinstallation über die Befehlszeile
•

Nach der Extraktion aus dem Master-Installationsprogramm befindet sich das Cloud Edition-Client-Installationsprogramm unter C:
\extracted\Cloud\Cloud_XXbit_setup.exe.

•

Im folgenden Beispiel wird der Cloud Edition-Client im Hintergrund deinstalliert.
Cloud_XXbit_setup.exe /x /s /v" /qn"
Führen Sie einen Neustart durch, wenn Sie dazu aufgefordert werden.

Dell Data Protection | Enterprise Edition
Deinstallation unter Verwendung der untergeordneten Installationsprogramme

8
Gängige Szenarien
•

•

Da der SED-Client für Advanced Authentication in v8.x erforderlich ist, ist er in den nachfolgenden Beispielen Bestandteil der
Befehlszeile.

•

Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten.

•

Stellen Sie sicher, dass Werte, die ein oder mehrere Sonderzeichen enthalten, z. B. eine Leerstelle in der Befehlszeile, zwischen in
Escape-Zeichen gesetzte Anführungszeichen gesetzt werden.

•

Verwenden Sie diese Installationsprogramme zur Installation der Clients. Nutzen Sie dazu eine skriptgesteuerte Installation,
Batchdateien oder eine andere verfügbare Push-Technologie.

•

Der Neustart wurde in den Befehlszeilenbeispielen unterdrückt. Es ist jedoch ein abschließender Neustart erforderlich. Die
Verschlüsselung kann erst nach dem Neustart des Computers beginnen.

•

Protokolldateien - Windows erstellt eindeutige Installationsprotokolldateien des untergeordneten Installationsprogramms für den
angemeldeten Benutzers unter „%Temp%“ mit dem folgenden Verzeichnispfad C:\Users\\AppData\Local\Temp.
Falls Sie sich dafür entscheiden, beim Ausführen des Installationsprogramms eine separate Protokolldatei hinzuzufügen, stellen Sie
sicher, dass die Protokolldatei einen eindeutigen Namen hat, da Protokolldateien des untergeordneten Installationsprogramms keine
Anhänge zulassen. Der Standard-MSI-Befehl kann dazu verwendet werden, um eine Protokolldatei durch die Verwendung von /l*v C:
\\.log zu erstellen.

•

Erläuterung

Gibt Variablen an die .msi-Datei innerhalb der *.exe-Datei weiter.

Im Hintergrund

Installationsmodus

Option

Erläuterung

Kein Fortschrittsdialogfeld, führt nach Abschluss der Installation selbstständig einen
Neustart durch

/qb

Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, fordert zum Neustart auf

/qb-

Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, führt nach Abschluss des
Vorgangs selbstständig einen Neustart durch

/qb!

Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, fordert zum Neustart auf

/qb!-

Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, führt nach Abschluss des
Vorgangs selbständig einen Neustart durch

Dell Data Protection | Enterprise Edition
Gängige Szenarien

•

Option

Erläuterung

/qn

Keine Benutzeroberfläche

Weisen Sie die Benutzer an, sich mit dem folgenden Dokument und den Hilfedateien vertraut zu machen, um Unterstützung bei der
Anwendung zu erhalten:
•

•

Informationen zur Verwendung der Funktionen von External Media Shield finden Sie im Hilfedokument EMS Help. Sie können über
den folgenden Pfad auf die Hilfe zugreifen: :\Program Files\Dell\Dell Data Protection\Encryption\EMS

•

Encryption-Client und Advanced Authentication
•

Im folgenden Beispiel werden die Treiber für Trusted Software Stack (TSS) für das TPM sowie Microsoft-Hotfixes am angegebenen
Speicherort installiert, es wird kein Eintrag in der Programmliste der Systemsteuerung erstellt, und der Neustart wird unterdrückt.
Diese Treiber müssen bei der Installation des Verschlüsselungs-Clients installiert sein.
setup.exe /S /z"\"InstallPath=, ARPSYSTEMCOMPONENT=1, SUPPRESSREBOOT=1\""
Dann:

•

Im folgenden Beispiel wird Advanced Authentication installiert (Installation im Hintergrund, kein Neustart, Installation im
Standardverzeichnis C:\Program Files\Dell\Dell Data Protection\Authentication).
setup.exe /s /v"/norestart /qn ARPSYSTEMCOMPONENT=1"

•

Dann:

•

Im folgenden Beispiel wird der Encryption-Client mit den standardmäßigen Parametern installiert (Encryption-Client und Für Freigabe
verschlüsseln, keine Dialogfelder, keine Statusanzeige, kein Neustart, Installation im Standardverzeichnis C:\Program Files\Dell\Dell
Data Protection).
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ /norestart /qn"
Ersetzen Sie DEVICESERVERURL=https://server.organization.com:8081/xapi (ohne den nachgestellten Schrägstrich),
wenn Sie einen EE-Server in einer Version vor Version 7.7 besitzen.

SED-Client (einschließlich Advanced Authentication)
und External Media Shield
•

Dell Data Protection | Enterprise Edition
Gängige Szenarien

•

Im folgenden Beispiel wird nur EME installiert (Installation im Hintergrund, kein Neustart, Installation im Standardverzeichnis C:
\Program Files\Dell\Dell Data Protection).
DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https://server.organization.com:8443/
xapi/ MANAGEDDOMAIN=ORGANIZATION /norestart /qn"
Ersetzen Sie DEVICESERVERURL=https://server.organization.com:8081/xapi (ohne den nachgestellten Schrägstrich),
wenn Sie einen EE-Server in einer Version vor Version 7.7 besitzen.

SED-Client (einschließlich Advanced Authentication),
External Media Edition und Cloud Edition
•

Im folgenden Beispiel werden die Treiber für Trusted Software Stack (TSS) für das TPM sowie Microsoft-Hotfixes am angegebenen
Speicherort installiert, es wird kein Eintrag in der Programmliste der Systemsteuerung erstellt, und der Neustart wird unterdrückt.
Diese Treiber müssen bei der Installation des Encryption Clients installiert sein.
setup.exe /S /z"\"InstallPath=, ARPSYSTEMCOMPONENT=1, SUPPRESSREBOOT=1\""
Dann:

•

Im folgenden Beispiel wird der Client mit den standardmäßigen Parametern installiert (Encryption-Client und Für Freigabe
verschlüsseln, keine Dialogfelder, keine Fortschrittsanzeige, kein Neustart, Installation im Standardverzeichnis C:\Program Files\Dell
\Dell Data Protection).
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ /norestart /qn"
Ersetzen Sie DEVICESERVERURL=https://server.organization.com:8081/xapi (ohne den nachgestellten Schrägstrich),
wenn Sie einen EE-Server in einer Version vor Version 7.7 besitzen.
Dann:

•

Im folgenden Beispiel wird nur die Cloud Edition installiert (Installation im Hintergrund, kein Neustart, Installation im Standardverzeichnis
C:\Program Files\Dell\Dell Data Protection).
Cloud_XXbit_setup.exe /s /v"SERVER=securityserver.organization.com /norestart /qn"

Dell Data Protection | Enterprise Edition
Gängige Szenarien

Encryption-Client and Cloud Edition
•

Im folgenden Beispiel werden die Treiber für Trusted Software Stack (TSS) für das TPM sowie Microsoft-Hotfixes am angegebenen
Speicherort installiert, es wird kein Eintrag in der Programmliste der Systemsteuerung erstellt, und der Neustart wird unterdrückt.
Diese Treiber müssen bei der Installation des Encryption Client installiert sein.
setup.exe /S /z"\"InstallPath=, ARPSYSTEMCOMPONENT=1, SUPPRESSREBOOT=1\""
Dann:

•

BitLocker Manager und External Media Shield
•

Im folgenden Beispiel wird BitLocker Manager installiert (automatische Installation, kein Neustart, kein Eintrag in der Liste der
Programme in der Systemsteuerung, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM /norestart /qn"
Dann:

•

Ersetzen Sie DEVICESERVERURL=https://server.organization.com:8081/xapi (ohne den nachgestellten Schrägstrich),
wenn Sie einen EE-Server in einer Version vor Version 7.7 besitzen.

BitLocker Manager, External Media Edition und Cloud
Edition
•

•

Im folgenden Beispiel wird nur EME installiert (Installation im Hintergrund, kein Neustart, Installation im Standardverzeichnis C:
\Program Files\Dell\Dell Data Protection).

Dell Data Protection | Enterprise Edition
Gängige Szenarien

DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https://server.organization.com:8443/
xapi/ MANAGEDDOMAIN=ORGANIZATION /norestart /qn"
Ersetzen Sie DEVICESERVERURL=https://server.organization.com:8081/xapi (ohne den nachgestellten Schrägstrich),
wenn Sie einen EE-Server in einer Version vor Version 7.7 besitzen.
Dann:
•

SED-Client (einschließlich Advanced Authentication),
Encryption-Client und Cloud Edition
•

Im folgenden Beispiel werden die Treiber für Trusted Software Stack (TSS) für das TPM sowie Microsoft-Hotfixes am angegebenen
Speicherort installiert, es wird kein Eintrag in der Programmliste der Systemsteuerung erstellt, und der Neustart wird unterdrückt.
Diese Treiber müssen bei der Installation des Encryption Clients installiert sein.
setup.exe /S /z"\"InstallPath=, ARPSYSTEMCOMPONENT=1, SUPPRESSREBOOT=1\""
Dann:

•

Dell Data Protection | Enterprise Edition
Gängige Szenarien

9
Herunterladen der Software
In diesem Abschnitt wird beschrieben, wie Sie die Software von der Website support.dell.com beziehen können. Falls Sie die Software
bereits besitzen, können Sie diesen Abschnitt überspringen.
Wechseln Sie zu support.dell.com, um zu beginnen.
1

Suchen Sie auf der Produkt-Support-Seite ein Produkt.

Klicken Sie auf das Drop-Down-Menü Produkte anzeigen.

Wählen Sie Software und Sicherheit aus der Produktliste aus.

Wählen Sie im Abschnitt Software und Sicherheit Endpoint Security Solutions aus.
Wenn diese Auswahl einmal vorgenommen wurde, wird sie von der Website gespeichert.

Wählen Sie die Dell Data Protection Produkt.
Beispiele:
Dell Data Protection | Encryption
Dell Data Protection | Endpoint Security Suite
Dell Data Protection | Endpoint Security Suite Enterprise
Dell Data Protection | Security Tools

Wählen Sie Treiber und Downloads aus.

Wählen Sie den gewünschten Client-Betriebssystemtyp aus.

Wählen Sie aus den Ergebnissen Dell Data Protection (4 Dateien) aus. Da es sich hierbei nur um ein Beispiel handelt, wird es sich
wahrscheinlich ein wenig anders darstellen. Beispielsweise stehen möglicherweise keine 4 Dateien zur Auswahl.

Wählen Sie Datei herunterladen oder Zu meiner Downloadliste #XX hinzufügen aus.

Dell Data Protection | Enterprise Edition
Herunterladen der Software

10
Vorinstallationskonfiguration für Einmalpasswort,
SED-UEFI und BitLocker
TPM initialisieren
•

Für diesen Vorgang müssen Sie Mitglied der lokalen Administratorgruppe oder dergleichen sein.

•

Der Computer muss mit einem kompatiblen BIOS und TPM ausgestattet sein.

Diese Aufgabe ist bei der Verwendung von Einmalpasswort erforderlich.
•

Folgen Sie den Anweisungen unter http://technet.microsoft.com/en-us/library/cc753140.aspx.

Vorinstallationskonfiguration für UEFI-Computer
Aktivieren der Netzwerkkonnektivität während der UEFIPreboot-Authentifizierung
Damit die Preboot-Authentifizierung auf einem Computer mit UEFI-Firmware erfolgreich verläuft, muss der PBA-Modus mit
Netzwerkkonnektivität ausgerüstet sein. Auf Computern mit UEFI-Firmware ist standardmäßig erst dann Netzwerkkonnektivität
verfügbar, wenn das Betriebssystem geladen wurde. Dies geschieht in der Regel nach dem PBA-Modus.
Mithilfe des folgenden Verfahrens wird die Netzwerkkonnektivität während der PBA für UEFI-fähige Computer aktiviert. Da die
Konfigurationsschritte bei den verschiedenen UEFI-Computermodellen voneinander abweichen, ist das folgende Verfahren als allgemeines
Beispiel zu verstehen.
1

Starten Sie den Computer in die UEFI-Firmware-Konfiguration.

Drücken Sie während des Startvorgangs dauerhaft die Taste F2, bis rechts oben auf dem Bildschirm eine Meldung wie „Startmenü
wird geöffnet“ angezeigt wird.

Geben Sie nach Aufforderung das BIOS-Administrator-Passwort ein.
ANMERKUNG: Auf einem neuen Computer erhalten Sie diese Aufforderung nicht, weil noch kein BIOS-Passwort
eingerichtet worden ist.

Wählen Sie die Option Systemkonfiguration aus.

Wählen Sie die Option Integrierte NIC aus.

Aktivieren Sie das Kontrollkästchen UEFI-Netzwerkstapel aktivieren.

Wählen Sie entweder die Option Aktiviert oder Mit PXE aktiviert.

Wählen Sie die Option Übernehmen aus.
ANMERKUNG:
Für Computer ohne UEFI-Firmware ist keine Konfiguration erforderlich.

Dell Data Protection | Enterprise Edition
Vorinstallationskonfiguration für Einmalpasswort, SEDUEFI und BitLocker

Deaktivierung von Legacy-Option-ROMs
Stellen Sie sicher, dass die Einstellung Legacy-Option-ROMs aktivieren“ im BIOS deaktiviert wurde.
1

Starten Sie den Computer neu.

Drücken Sie während des Neustarts wiederholt F12, um die Start-Einstellungen des UEFI-Computers aufzurufen.

Drücken Sie die Taste mit dem Pfeil nach unten, markieren Sie die Option BIOS-Einstellungen, und drücken Sie die Eingabetaste.

Wählen Sie Einstellungen > Allgemein > Erweiterte Startoptionen.

Heben Sie die Markierung des Kontrollkästchens Legacy-Option-ROMs aktivieren auf, und klicken Sie auf Übernehmen.

Vorinstallationskonfiguration zum Einrichten einer
BitLocker PBA-Partition
•

Die PBA-Partition muss vor der Installation von BitLocker Manager eingerichtet werden.

•

Schalten Sie das TPM ein und aktivieren Sie es, bevor Sie BitLocker Manager installieren. BitLocker Manager übernimmt die Zuweisung
des TPM (kein Neustart erforderlich). Wenn das TPM bereits zugewiesen ist, leitet BitLocker Manager den Einrichtungsvorgang für
die Verschlüsselung ein. Voraussetzung ist, dass das TPM zugewiesen wurde.

•

Sie müssen die Festplattenpartition ggf. manuell einrichten. Weitere Informationen finden Sie in der Beschreibung von Microsoft zum
BitLocker-Laufwerksvorbereitungs-Tool.

•

Verwenden Sie zum Einrichten der PBA-Partition den Befehl BdeHdCfg.exe. Der Parameter „default“ (Standard) gibt an, dass das
Befehlszeilentool dasselbe Verfahren wie der BitLocker-Einrichtungsassistent befolgt.
BdeHdCfg -target default
TIPP:
Weitere Optionen für den BdeHdCfg-Befehl finden Sie unter BdeHdCfg.exe-Referenzmaterial von Microsoft.

Dell Data Protection | Enterprise Edition
Vorinstallationskonfiguration für Einmalpasswort, SED-UEFI und BitLocker

11
Gruppenrichtlinienobjekte am Domänencontroller
zum Aktivieren von Berechtigungen einrichten
•

Wenn Sie für Ihre Clients Berechtigungen für Dell Digital Delivery (DDD) festlegen möchten, folgen Sie den Anweisungen zum
Einrichten eines Gruppenrichtlinienobjekts (GPO) auf dem Domänencontroller (das muss nicht der Server sein, auf dem der EEServer/VE-Server ausgeführt wird), um diese Berechtigungen zu aktivieren.

•

Die Workstation muss Mitglied der Organisationseinheit sein, für die das Gruppenrichtlinienobjekt angewendet wird.
ANMERKUNG: Achten Sie bitte darauf, dass der ausgehende Port 443 für die Kommunikation mit dem EE Server/VE Server
verfügbar ist. Falls der Port 443 (aus irgendeinem Grund) gesperrt ist, funktioniert die Berechtigungsfunktion nicht.

Klicken Sie auf dem Domänencontroller, auf dem die Clients verwaltet werden sollen, auf Start > Verwaltung >
Gruppenrichtlinienverwaltung.

Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, für die Sie die Richtlinie anwenden möchten, und wählen Sie
Gruppenrichtlinienobjekt in dieser Domäne erstellen und hier verknüpfen... aus.

Geben Sie einen Namen für das neue Gruppenrichtlinienobjekt ein, wählen Sie unter „Anfangs-GPO-Quelle“ „(keine)“ aus, und klicken
Sie auf OK.

Klicken Sie mit der rechten Maustaste auf das neu erstellte Gruppenrichtlinienobjekt, und wählen Sie Bearbeiten aus.

Der Group Policy Management Editor wird geladen. Rufen Sie Computerkonfiguration > Einstellungen > Windows-Einstellungen >
Registrierung auf.

Klicken Sie mit der rechten Maustaste auf die Registrierung, und wählen Sie Neu > Registrierungseintrag aus. Nehmen Sie die
folgenden Einstellungen vor:
Action: Create
Hive: HKEY_LOCAL_MACHINE
Key Path: SOFTWARE\Dell\Dell Data Protection
Value name: Server
Value type: REG_SZ
Wertedaten:

Klicken Sie auf OK.

Melden Sie sich von der Workstation ab und dann wieder an, oder führen Sie gpupdate /force aus, um die Gruppenrichtlinie zu
übernehmen.

Dell Data Protection | Enterprise Edition
Gruppenrichtlinienobjekte am Domänencontroller zum
Aktivieren von Berechtigungen einrichten

12
Untergeordnete Installationsprogramme aus dem
-Master-Installationsprogramm extrahieren
•

Zur Einzelinstallation der Clients müssen zunächst die untergeordneten ausführbaren Dateien aus dem Installationsprogramm extrahiert
werden.

•

Das -Master-Installationsprogramm ist kein Master-Deinstallationsprogramm. Jeder Client muss einzeln deinstalliert werden, gefolgt
von der Deinstallation des -Master-Installationsprogramms. Verwenden Sie dieses Verfahren zum Extrahieren der Clients aus dem Master-Installationsprogramm, sodass sie für die Deinstallation verwendet werden können.

Kopieren Sie vom Dell-Installationsmedium die Datei DDPSetup.exe auf den lokalen Computer.

Öffnen Sie am gleichen Speicherort wie die Datei DDPSetup.exe eine Eingabeaufforderung, und geben Sie Folgendes ein:
DDPSetup.exe /z"\"EXTRACT_INSTALLERS=C:\extracted\""
Der Extraktionspfad darf maximal 63 Zeichen enthalten.
Stellen Sie vor Beginn des Installationsvorgangs sicher, dass alle Voraussetzungen erfüllt sind und die gesamte erforderliche Software
installiert wurde, und zwar für jedes untergeordnete Installationsprogramm, das Sie installieren möchten. Einzelheiten erhalten Sie im
Abschnitt Anforderungen.
Die extrahierten untergeordneten Installer befinden sich unter C:\extracted\.

Dell Data Protection | Enterprise Edition
Untergeordnete Installationsprogramme aus dem -Master-Installationsprogramm extrahieren

13
Konfiguration des Key Servers für die
Deinstallation des auf einem EE-Server
aktivierten Encryption-Clients
•

In diesem Abschnitt wird beschrieben, wie Komponenten für die Verwendung mit der Kerberos-Authentifizierung/-Autorisierung bei
Verwendung eines EE-Servers konfiguriert werden. Der VE-Server verwendet den Key Server nicht.
Der Key Server ist ein Dienst, der überwacht, ob Clients eine Verbindung über ein Socket herstellen. Wenn ein Client einen
Verbindungsversuch unternimmt, wird mithilfe von Kerberos-APIs eine sichere Verbindung ausgehandelt, authentifiziert und
verschlüsselt (wenn keine sichere Verbindung ausgehandelt werden kann, wird die Client-Verbindung getrennt).
Der Key Server überprüft dann auf dem Security Server (früher Device Server), ob der Benutzer, der den Client ausführt, auf Schlüssel
zugreifen darf. Dieser Zugriff wird in der Remote Management Console über einzelne Domänen gewährt.

•

Wenn die Kerberos-Authentifizierung/-Autorisierung verwendet werden soll, muss der Server, der die Key Server-Komponente enthält,
zur betroffenen Domäne gehören.

•

Da der VE-Server den Key Server nicht verwendet, ist die typische Deinstallation beeinträchtigt. Wenn ein Encryption-Client
deinstalliert wird, der auf einem VE-Server aktiviert ist, wird anstelle der Kerberos-Methode des Key Servers der standardmäßige,
forensische Schlüsselabruf über den Security Server genutzt. Weitere Informationen finden Sie unter Befehlszeilen-Deinstallation.

Dialogfeld „Dienste" - Domänenbenutzerkonto
hinzufügen
1

Navigieren Sie auf dem EE-Server zum Dialogfeld „Dienste“ (Start > Ausführen... > services.msc > OK)

Klicken Sie mit der rechten Maustaste auf „Dell Key Server“ und wählen Sie Eigenschaften aus.

Rufen Sie die Registerkarte „Anmelden“ auf, und wählen Sie die Option Dieses Konto: aus.
Geben Sie in das Feld Dieses Konto: den gewünschten Domänenbenutzer ein. Dieser Domänenbenutzer muss mindestens über lokale
Administratorrechte für den Key Server-Ordner verfügen (er muss Schreibzugriff für die Key Server-Konfigurationsdatei und die
Datei „log.txt“ besitzen).
Geben Sie das Passwort für den Domänenbenutzer ein, und wiederholen Sie es.
Klicken Sie auf OK

Starten Sie den Key Server-Dienst neu (lassen Sie das Dialogfeld „Dienste“ für weitere Arbeitsschritte geöffnet).

Navigieren Sie zu „ log.txt“, um zu überprüfen, ob der Dienst korrekt gestartet wurde.

Schlüsselserver-Konfigurationsdatei - Fügen Sie
Benutzer für EE-Server-Kommunikation hinzu
1

Navigieren Sie zu .

Öffnen Sie Credant.KeyServer.exe.config mit einem Texteditor.

Gehen Sie zu und ändern Sie den Wert „superadmin“ in den Namen des entsprechenden
Benutzers (Sie können auch „superadmin“ stehen lassen).
Dell Data Protection | Enterprise Edition
Konfiguration des Key Servers für die Deinstallation des auf
einem EE-Server aktivierten Encryption-Clients

Das Format von „superadmin“ kann eine beliebige Methode für die Authentifizierung am EE-Server darstellen. Der SAM-Kontoname,
der UPN oder das Format „Domäne\Benutzername“ sind akzeptabel. Jede Methode, die sich beim Server authentifizieren kann, ist
akzeptabel, da für dieses Benutzerkonto eine Überprüfung zur Autorisierung bei Active Directory erforderlich ist.
Beispiel: In einer Umgebung mit mehreren Domänen würde die Eingabe eines SAM-Kontonamens wie „mmustermann“ vermutlich
fehlschlagen, da der EE-Server „mmustermann“ nicht authentifizieren kann, weil er den Namen nicht findet. In einer Umgebung mit
mehreren Domänen wird der UPN empfohlen, obwohl das Format „Domäne\Benutzername“ akzeptabel ist. In einer Umgebung mit
einer Domäne kann der SAM-Kontoname verwendet werden.
4

Gehen Sie zu und ändern Sie „epw“ in „password“. Ändern Sie
dann „“ in das Passwort des Benutzers aus Schritt 3. Beim Neustart des EE-Servers wird
dieses Passwort neu verschlüsselt.
Wenn Sie in Schritt 3 „superadmin“ verwendet haben und das Superadmin-Passwort nicht „changeit“ lautet, muss es hier geändert
werden. Speichern und schließen Sie die Datei.

Beispielkonfigurationsdatei

[TCP port the Key Server will listen to. Die Standardeinstellung ist 8050.]
[Anzahl der vom Key Server zugelassenen Socketverbindungen]
[Security Server (früher: Device Server) URL
xapi gilt für EE-Server vor Version 7.7)]

(Format 8081/

[Bei „true“ werden Zertifikate überprüft. Legen Sie „false“ fest, wenn keine Überprüfung
erfolgen soll oder selbstsignierte Zertifikate verwendet werden.]
[Der für die Kommunikation mit dem Security Server verwendete Benutzername. Für diesen
Benutzer muss in der Remote Management Console die Administratorrolle ausgewählt sein. Das Format von „superadmin“ kann eine
beliebige Methode für die Authentifizierung am EE-Server darstellen. Der SAM-Kontoname, der UPN oder das Format „Domäne
\Benutzername“ sind akzeptabel. Jede Methode, die sich beim Server authentifizieren kann, ist akzeptabel, da für dieses Benutzerkonto
eine Überprüfung zur Autorisierung bei Active Directory erforderlich ist. Beispiel: In einer Umgebung mit mehreren Domänen würde die
Eingabe eines SAM-Kontonamens wie „mmustermann“ vermutlich fehlschlagen, da der EE-Server „mmustermann“ nicht authentifizieren
kann, weil er den Namen nicht findet. In einer Umgebung mit mehreren Domänen wird der UPN empfohlen, obwohl das Format „Domäne
\Benutzername“ akzeptabel ist. In einer Umgebung mit einer Domäne kann der SAM-Kontoname verwendet werden.]
[Wie oft (in Sekunden) der Dienst überprüfen soll, wer Schlüssel abrufen darf. Der Dienst
unterhält einen Cache und verfolgt dessen Alter. Wenn der Cache älter ist als der Wert, erhält er eine neue Liste. Wenn ein Benutzer eine
Verbindung herstellt, muss der Key Server autorisierte Benutzer vom Security Server herunterladen. Wenn kein Cache mit diesen
Benutzern existiert oder die Liste in den letzten n Sekunden nicht heruntergeladen wurde, wird sie erneut heruntergeladen. Es erfolgt keine
Abfrage, doch dieser Wert bestimmt, wie alt die Liste werden kann, bevor sie bei Bedarf aktualisiert wird.]
[Das für die Kommunikation mit dem Security Server verwendete Passwort.
Wenn das Superadmin-Passwort geändert wurde, muss es auch hier geändert werden.]

Dell Data Protection | Enterprise Edition
Konfiguration des Key Servers für die Deinstallation des auf einem EE-Server aktivierten Encryption-Clients

Dialogfeld „Dienste“ - Key Server-Dienst neu starten
1

Gehen Sie zurück zum Dialogfeld „Dienste“ (Start > Ausführen... > services.msc > OK).

Führen Sie einen Neustart des Key Server-Dienstes durch.

Navigieren Sie zu „ log.txt“, um zu überprüfen, ob der Dienst korrekt gestartet wurde.

Schließen Sie das Dialogfeld „Dienste“.

Remote Management-Konsole - Hinzufügen eines
forensischen Administrators
1

Melden Sie sich gegebenenfalls bei der Remote Management Console an.

Klicken Sie auf Bestückung > Domänen.

Wählen Sie die gewünschte Domäne aus.

Klicken Sie auf die Registerkarte Key Server.

Fügen Sie im Feld „Konto“ den Benutzer hinzu, der die Administratoraufgaben ausführt. Das Format lautet: DOMÄNE\Benutzername.
Klicken Sie auf Konto hinzufügen.

Klicken Sie im linken Menü auf Benutzer. Geben Sie in das Suchfeld den in Schritt 5 hinzugefügten Benutzernamen ein. Klicken Sie
auf Suchen.

Sobald der korrekte Benutzer gefunden wurde, klicken Sie auf die Registerkarte Admin.

Wählen Sie Forensischer Administrator und klicken Sie auf Aktualisieren.
Die Komponenten sind nun für die Kerberos-Authentifizierung/-Autorisierung konfiguriert.

Dell Data Protection | Enterprise Edition
Konfiguration des Key Servers für die Deinstallation des auf
einem EE-Server aktivierten Encryption-Clients

14
Verwenden Sie das administrative
Dienstprogramm zum Herunterladen (CMGAd)
•

Mit diesem Dienstprogramm können Sie Schlüsseldatenpakete zur Verwendung auf einem Computer herunterladen, der nicht mit
einem EE-Server/VE-Server verbunden ist.

•

Je nachdem, welche Befehlszeilenparameter an die Anwendung übergeben werden, verwendet das Dienstprogramm eine der
folgenden Methoden zum Herunterladen von Schlüsselpaketen:
•

Forensischer Modus – wird bei Ausführung des Befehlszeilenparameters -f verwendet, oder wenn kein Befehlszeilenparameter
verwendet wird.

•

Admin-Modus – wird bei Ausführung des Befehlszeilenparameters -a verwendet.
Die Protokolldateien befinden sich unter C:\ProgramData\CmgAdmin.log

Verwenden des Administrator-DownloadDienstprogramms im forensischen Modus
1

Doppelklicken Sie auf cmgad.exe beim Start des Dienstprogramms oder öffnen Sie eine Eingabeaufforderung, wo sich CMGAd
befindet, und geben Sie cmgad.exe -f (oder cmgad.exe) ein.

Geben Sie die folgenden Informationen ein (einige Felder sind möglicherweise bereits ausgefüllt).
URL des Device Servers: Vollständig qualifizierte URL für den Security Server (Device Server). Das Format lautet: https://
securityserver.domain.com:8443/xapi/. Bei älteren Versionen als EE Server v7.7 gilt das Format https://deviceserver.domain.com:
8081/xapi (andere Port-Nummer, ohne den nachfolgenden Schrägstrich).
Dell Admin: Name des Administrators mit forensischen Zugriffsrechten (aktiviert in der Remote-Verwaltungskonsole), z. B. „hschmidt“
Passwort: Forensisches Administrator-Passwort
MCID: Geräte-ID, z. B. machineID.domain.com
DCID: die ersten acht Stellen der 16-stelligen Shield-ID
TIPP: In der Regel genügt es, entweder die MCID oder die DCID anzugeben. Wenn jedoch beide Werte bekannt sind,
empfiehlt es sich, beide einzugeben. Jeder Parameter enthält unterschiedliche Informationen zum Client und ClientComputer.
Klicken Sie auf Weiter.

Geben Sie in das Feld „Passphrase:“ eine Passphrase ein, um die heruntergeladene Datei zu schützen. Die Passphrase muss
mindestens acht Zeichen enthalten, darunter mindestens einen Buchstaben und eine Ziffer. Bestätigen Sie die Passphrase.
Akzeptieren Sie entweder die Standardwerte für Dateinamen und Speicherort, oder klicken Sie auf …, um einen anderen Speicherort
auszuwählen.
Klicken Sie auf Weiter.
Eine Meldung zeigt an, dass die Schlüsseldaten erfolgreich entsperrt wurden. Die Dateien sind jetzt frei zugänglich.

Klicken Sie anschließend auf Fertig stellen.

Dell Data Protection | Enterprise Edition
Verwenden Sie das administrative Dienstprogramm zum Herunterladen (CMGAd)

Verwenden des Administrator-DownloadDienstprogramms im Admin-Modus
Der VE-Server verwendet den Key Server nicht, d. h. im Admin-Modus kann kein Schlüsselpaket über den VE-Server abgerufen werden.
Verwenden Sie den forensischen Modus, um das Schlüsselpaket zu erhalten, wenn der Client auf einem VE-Server aktiviert ist.
1

Öffnen Sie am Speicherort von CMGAd eine Befehlseingabe, und geben Sie cmgad.exe -a ein.

Geben Sie die folgenden Informationen ein (einige Felder sind möglicherweise bereits ausgefüllt).
Server: Vollständiger Hostname des Key Server, z. B. keyserver.domain.com
Portnummer: der Standardport ist 8050
Server-Konto: der Domänenbenutzer, unter dem der Key Server ausgeführt wird. Das Format lautet „Domäne\Benutzername“. Der
Domänenbenutzer, der das Dienstprogramm ausführt, muss über die Berechtigung zum Download vom Key Server verfügen.
MCID: Geräte-ID, z. B. machineID.domain.com
DCID: die ersten acht Stellen der 16-stelligen Shield-ID
TIPP: In der Regel genügt es, entweder die MCID oder die DCID anzugeben. Wenn jedoch beide Werte bekannt sind,
empfiehlt es sich, beide einzugeben. Jeder Parameter enthält unterschiedliche Informationen zum Client und ClientComputer.
Klicken Sie auf Weiter.

Geben Sie in das Feld „Passphrase:“ eine Passphrase ein, um die heruntergeladene Datei zu schützen. Die Passphrase muss
mindestens acht Zeichen enthalten, darunter mindestens einen Buchstaben und eine Ziffer.
Bestätigen Sie die Passphrase.
Akzeptieren Sie entweder die Standardwerte für Dateinamen und Speicherort, oder klicken Sie auf …, um einen anderen Speicherort
auszuwählen.
Klicken Sie auf Weiter.
Eine Meldung zeigt an, dass die Schlüsseldaten erfolgreich entsperrt wurden. Die Dateien sind jetzt frei zugänglich.

Klicken Sie anschließend auf Fertig stellen.

Dell Data Protection | Enterprise Edition
Verwenden Sie das administrative Dienstprogramm zum
Herunterladen (CMGAd)

15
Serververschlüsselung konfigurieren
Serververschlüsselung aktivieren
ANMERKUNG: Serververschlüsselung konvertiert die Benutzerverschlüsselung in allgemeine Verschlüsselung.
1

Melden Sie sich als Dell Administrator bei der Dell Remote Management Console an.

Wählen Sie Endpunkt-Gruppe (oder Endpunkt) aus, suchen Sie nach dem zu aktivierenden Endpunkt oder der zu aktivierenden
Endpunkt-Gruppe, wählen Sie Sicherheitsrichtlinien aus und anschließend die Richtlinienkategorie Serververschlüsselung.

Legen Sie die folgenden Richtlinien fest:
•

Serververschlüsselung – Auswählen, um Serververschlüsselung und zugehörige Richtlinien zu aktivieren.

•

SDE-Verschlüsselung aktiviert – Auswählen, um SDE-Verschlüsselung einzuschalten.

•

Verschlüsselung aktiviert – Auswählen, um allgemeine Verschlüsselung einzuschalten.

•

Windows-Anmeldeinformationen sichern – Diese Richtlinie wird standardmäßig ausgewählt.
Wenn die Richtlinie Windows-Anmeldeinformationen sichern ausgewählt ist (Standardeinstellung), werden alle im Ordner
„\Windows\system32\config files“ enthaltenen Dateien verschlüsselt, einschließlich der Windows-Anmeldeinformationen. Um zu
verhindern, dass die Windows-Anmeldeinformationen verschlüsselt werden, setzen Sie die Richtlinie WindowsAnmeldeinformationen sichern auf nicht ausgewählt. Die Verschlüsselung der Windows-Anmeldeinformationen findet unabhängig
von der Einstellung der Richtlinie SDE-Verschlüsselung aktiviert statt.

Speichern Sie die Richtlinien und aktivieren Sie sie.

Aktivierung des Anmeldedialogfelds anpassen
Das Dialogfeld „Anmeldung zur Aktivierung“ wird in folgenden Fällen angezeigt:
•

Wenn sich ein unverwalteter Benutzer anmeldet.

•

Wenn der Benutzer „Dell Data Protection | Encryption aktivieren“ aus dem Verschlüsselungssymbolmenü in der Symbolleiste auswählt.

Dell Data Protection | Enterprise Edition
Serververschlüsselung konfigurieren

EMS-Richtlinien zur Serververschlüsselung festlegen
Der verschlüsselnde Ursprungscomputer ist der Computer, der ein Wechselmedium ursprünglich verschlüsselt. Wenn der
Ursprungscomputer ein geschützter Server – ein Server mit installierter und aktivierter Serververschlüsselung – ist und der geschützte
Server zuerst erkennt, dass ein Wechselmedium angeschlossen ist, wird der Benutzer aufgefordert, das Wechselmedium zu verschlüsseln.
•

Die EMS-Richtlinien steuern den Zugriff von Wechselmedien auf den Server, Authentifizierung, Verschlüsselung und mehr.

•

Die Portsteuerungsrichtlinien wirken sich zum Beispiel auf Wechselmedien aus, die sich auf geschützten Servern befinden, indem sie
den Zugriff und die Nutzung der USB-Ports des Servers durch USB-Geräte steuern.

Die Richtlinien für die Verschlüsselung von Wechselmedien finden Sie in der Remote Management Console unter der Technologiegruppe
Serververschlüsselung.
Server-Verschlüsselung und externe Datenträger
Wenn die Richtlinie EMS-Verschlüsseln externer Datenträger ausgewählt ist, werden externe Datenträger verschlüsselt.
Serververschlüsselung verbindet das Gerät mit dem geschützten Server durch den Computerschlüssel und mit dem Benutzer durch den
Benutzer-Roaming-Schlüssel des Besitzers/Benutzers des Wechselmediums. Alle Dateien, die zum Wechselmedium hinzugefügt werden,
werden dann mit diesen Schlüsseln verschlüsselt, wobei es keine Rolle spielt, mit welchem Computer das Wechselmedium verbunden ist.
ANMERKUNG:
Serververschlüsselung konvertiert die Benutzerverschlüsselung in allgemeine Verschlüsselung, außer auf Wechselmedien. Auf
Wechselmedien wird die Verschlüsselung mit dem Benutzer-Roaming-Schlüssel durchgeführt, der mit dem Computer verknüpft ist.
Wenn der Benutzer der Verschlüsselung des Wechselmediums nicht zustimmt, kann der Zugriff des Benutzers auf das Gerät bei/während
der Verwendung auf dem geschützten Server auf blockiert, Nur Schreiben oder Vollzugriff eingestellt werden. Die Richtlinien des
geschützten Servers legen auf ungeschützten Wechselmedien die Zugriffsebene fest.
Richtlinienaktualisierungen finden beim erneutem Einsetzen eines Wechselmediums in den geschützten Ursprungsserver statt.
Authentifizierung und externe Datenträger
Die Richtlinien des geschützten Servers legen die Authentifizierungsfunktionalität fest.
Nach Verschlüsselung eines Wechselmediums kann auf dem geschützten Server nur der Besitzer/Benutzer des Wechselmediums darauf
zugreifen. Andere Benutzer können auf die verschlüsselten Dateien auf dem Wechselmedium nicht zugreifen.
Mit lokaler automatischer Authentifizierung können die geschützten Wechselmedien automatisch authentifiziert werden, wenn sie an den
geschützten Server angeschlossen werden und der Eigentümer des betreffenden Mediums angemeldet ist. Wenn die automatische
Authentifizierung deaktiviert ist, muss der Besitzer/Benutzer den Zugriff auf das geschützte Wechselmedium authentifizieren.
Handelt es sich beim ursprünglich verschlüsselnden Computer des Wechselmediums um einen geschützten Server, muss sich der
Besitzer/Benutzer immer auf Nicht-Ursprungscomputern am Wechselmedium anmelden, ungeachtet der EMS-Richtlinieneinstellungen, die
auf den anderen Computern definiert wurden.
Weitere Informationen über Serververschlüsselungs-Portsteuerung und EMS-Richtlinien finden Sie unter AdminHelp.

Anhalten einer verschlüsselten Serverinstanz
Das Anhalten eines verschlüsselten Servers verhindert den Zugriff auf seine verschlüsselten Daten nach einem Neustart. Der virtuelle
Serverbenutzer kann nicht deaktiviert werden. Stattdessen wird der Serververschlüsselungs-Computerschlüssel deaktiviert.
ANMERKUNG: Durch Deaktivieren des Serverendpunktes wird der Server nicht unmittelbar angehalten. Die Deaktivierung findet
dann statt, wenn der Schlüssel zum nächsten Mal angefordert wird, dies ist in der Regel beim nächsten Neustart des Servers der
Fall.

Dell Data Protection | Enterprise Edition
Serververschlüsselung konfigurieren

WICHTIG: Mit Vorsicht verwenden. Das Anhalten einer verschlüsselten Serverinstanz kann je nach Richtlinieneinstellungen und
abhängig davon, ob der geschützte Server angehalten wird, während er vom Netzwerk getrennt ist, Instabilität zur Folge haben.
Voraussetzungen
•

Helpdesk-Administratorrechte, die in der Remote Management Console zugewiesen sind, sind erforderlich, um einen Endpunkt zu
deaktivieren.

•

Der Administrator muss in der Remote Management Console angemeldet sein.
Klicken Sie im linken Bereich der Remote Management Console auf Bestückungen > Endpunkte.
Suchen oder wählen Sie einen Hostnamen aus, und wählen Sie anschließend die Registerkarte Details und Aktionen aus.
Klicken Sie unter „Servergerätesteuerung“ auf Sperren und dann auf Ja.
ANMERKUNG: Klicken Sie auf die Schaltfläche Reaktivierung, um der Serververschlüsselung den Zugriff auf die
verschlüsselten Daten auf dem Server zu ermöglichen, nachdem dieser neu gestartet wurde.

Dell Data Protection | Enterprise Edition
Serververschlüsselung konfigurieren

16
Server für Cloud Edition konfigurieren
VE-Server für Cloud Edition konfigurieren
Um VE-Server für die Unterstützung der Cloud Edition zu konfigurieren, stellen Sie in der Remote-Verwaltungskonsole die Schutzrichtlinie
„Cloud-Speicher-Schutz aktiviert“ auf „Wahr“.

EE-Server für Cloud Edition konfigurieren
Um EE-Server für die Unterstützung der Cloud Edition zu konfigurieren, setzen Sie in der Remote-Verwaltungskonsole die Richtlinie
Cloud-Schutz auf „EIN“. Folgeschritt: Konfigurieren Sie den Security Server so, dass Downloads von Cloud-Clients zugelassen werden.
Security Server so einrichten, dass Downloads von Cloud-Clients zugelassen werden
In diesem Abschnitt werden die Schritte erläutert, die erforderlich sind, damit Endbenutzer den Windows Cloud-Client von Ihrem Security
Server herunterladen können.
1

Gehen Sie auf dem EE-Server zu \webapps\cloudweb\brand\dell\resources und öffnen
Sie die Datei „messages.properties“ mit einem Texteditor.

Stellen Sie sicher, dass die Einträge wie folgt lauten:
download.deviceWin.mode=remote
download.deviceWin.local.filename.32=cloud32.exe
download.deviceWin.local.filename.64=cloud64.exe
download.deviceWin.remote.link.32=https://:/cloudweb/download/cloud32.exe
download.deviceWin.remote.link.64=https://:/cloudweb/download/cloud64.exe

Speichern und schließen Sie die Datei.

Gehen Sie zu und erstellen Sie dort einen neuen Ordner namens „Download“ (Security
Server\Download).

Erstellen Sie im Ordner „Download“ einen neuen Ordner namens „Cloudweb“ (Security Server\Download\Cloudweb).

Speichern Sie die 64-Bit- und 32-Bit-Setup-Dateien für Cloud Edition im Ordner „Cloudweb“ und benennen Sie sie in cloud64.exe
bzw. cloud32.exe um.

EE-Server für automatische Downloads des Windows Cloud-Clients konfigurieren (Optional)
1

Gehen Sie auf dem Server, der Ihren EE-Server hostet, zu C:\inetpub\wwwroot\. Dieser Webserver muss ein vertrauenswürdiges
Zertifikat haben.

Erstellen Sie unter „wwwroot“ einen Ordner namens „CloudUpdate“ (C:\inetpub\wwwroot\CloudUpdate).

Legen Sie die aktualisierten ausführbaren Dateien in den Ordner „CloudUpdate“.

Legen Sie die aktualisierte Datei versions.xml in den Ordner „CloudUpdate“.

Öffnen Sie mit einem Texteditor die Datei versions.xml, und überprüfen Sie, ob der Pfad zum Dateinamen für Ihre Umgebung stimmt.

ANMERKUNG: Sie können diesem Ordner auch einen anderen Namen als „CloudUpdate“ geben.

Beispiel:

Dell Data Protection | Enterprise Edition
Server für Cloud Edition konfigurieren

Version: Dateiversion der aktualisierten ausführbaren Dateien
Filename: Pfad vom Ende der URL aufwärts (/CloudUpdate) zu den eigentlichen ausführbaren Dateien.
6

Speichern und schließen Sie die Datei.

Führen Sie einen Neustart von IIS durch.

Melden Sie sich als Dell Administrator bei der Remote Management Console an.

Klicken Sie im linken Fensterbereich auf Bestückungen > Enterprise.

Klicken Sie im Hauptmenü auf Sicherheitsrichtlinien.

Wählen Sie Cloud-Verschlüsselung aus.

Klicken Sie auf Erweiterte Einstellungen anzeigen.

Wechseln Sie zur Richtlinie URL des Software-Update-Servers, und geben Sie „https:///CloudUpdate“ ein.
ANMERKUNG: CloudUpdate ist dabei der oben verwendete Beispielname.

Klicken Sie auf Speichern, um die Richtlinienänderungen in der Warteschlange zum Festlegen zu speichern.

Klicken Sie auf Verwaltung > Bestätigen.

Profile für Cloud-Speicherschutz-Anbieter verwalten
Cloud Edition verschlüsselt Benutzerdateien und sendet Audit-Ereignisse an den EE-Server/VE-Server. Um das Verhalten für jeden
unterstützten Cloud-Speicher-Anbieter zu ändern, stellen Sie jeden Anbieter auf einen dieser Werte ein:
Wert

Beschreibung

Schützen

Anbieter bzw. Verbindung zulassen, Dateien verschlüsseln und Überprüfungsereignisse zur Datei/
Ordneraktivität senden.

Blockieren

Den Zugriff auf den Anbieter bzw. die Verbindung sperren.

Zulassen

Anbieter bzw. Verbindung ohne Verschlüsselung zulassen, aber Datei/Ordneraktivität überprüfen.

Umgehen

Schutz des Anbieters bzw. der Verbindung ohne Verschlüsselung oder Überprüfung umgehen. Wenn dieser
Wert eingestellt ist, wird der Ordner des Cloud-Speicheranbieters im virtuellen Cloud Edition-Laufwerk auf
dem Client-Computer nicht angezeigt.

Weitere Informationen finden Sie in der Administrator-Hilfe, auf die Sie über die Remote Management Console zugreifen können.

Zulassen/Ablehnen von Benutzern auf der Positivliste/
Negativliste
Wenn ein interner Benutzer die durch Cloud Edition geschützen Dateien freigeben will, muss er dies mit dem Administrator absprechen.
Das Unternehmen legt fest, in welchem Rahmen interne Benutzer unternehmensbezogene Daten und Ordner mit externen Benutzern
teilen können. Beispiel:
•

Ein interner Benutzer kann eine Anfrage an einen externen Benutzer senden, um sich bei Cloud Edition zu registrieren und sie zu
installieren.
oder

Dell Data Protection | Enterprise Edition
Server für Cloud Edition konfigurieren

•

Bewährtes Verfahren: Das Unternehmen setzt alle Benutzer, die sich nicht innerhalb der Unternehmens-E-Mail-Domäne befinden auf
eine Negativliste. Interne Benutzer müssen erst bei dem Administrator anfragen, den externen Benutzer auf eine Positivliste setzen zu
lassen.
Der Administrator kontrolliert dies durch Richtlinien und Positiv-/Negativliste und legt fest, welche Benutzer sich beim EE-Server/VEServer registrieren können, um Cloud Edition zu verwenden. Um eine entsprechende Sicherheit zu gewährleisten, stellen Sie sicher,
dass Sie diese Listen sorgfältig einrichten und verwalten.
Positivliste
Die Positivliste erlaubt bestimmten Benutzern oder Benutzergruppen, sich beim EE-Server/VE-Server zu registrieren und Cloud
Edition zu verwenden.
Ein Unternehmen kann externen Benutzern (Benutzern mit domänenfremden E-Mail-Adressen) genehmigen, sich bei der Cloud Edition
zu registrieren. Ein externer Benutzer muss zur Positivliste hinzugefügt werden, und ein Administrator muss eine Registrierungs-E-Mail
an den externen Benutzer senden.
Um die Negativliste verwenden zu können, müssen alle Platzhalter in der Positivliste entfernt werden. Siehe folgende Beispiele.
*@organization.com Alle E-Mail-Adressen von „organisation.de“ können sich beim EE-Server/VE-Server
registrieren.
* Alle Benutzer können sich beim EE-Server/VE-Server registrieren.
jdoe@organization.com Dieser Benutzer kann sich beim EE-Server/VE-Server registrieren.
*@gmail.com Alle Gmail-Benutzer können sich beim EE-Server/VE-Server registrieren.
Negativliste
Die Negativliste verhindert, dass sich bestimmte Benutzer oder Benutzergruppen beim EE-Server/VE-Server über Cloud Edition
registrieren können.
Als Administrator können Sie mithilfe der Negativliste bestimmte Benutzer ausschließen, die Mitglied zugelassener Gruppen auf der
Positivliste sind. Mit dem Platzhalterzeichen (*) können gesamte Domänen auf die Negativliste gesetzt werden, damit wird verhindert,
dass sich Benutzer mit einer E-Mail-Adresse dieser Domäne registrieren können.
Domänenbenutzer auf der Negativliste können sich registrieren, sie können jedoch keine Aktivierung vornehmen. Domänenfremde
Benutzer auf der Negativliste können sich nicht registrieren, und es wird ein Dialogfeld angezeigt, um anzuzeigen, dass sie nicht
berechtigt sind, eine Registrierung durchzuführen.
Die Negativliste verhindert nicht, dass Benutzer, die bereits registriert sind, Cloud Edition verwenden können.
Siehe folgende Beispiele.
*@organization.com E-Mail-Adressen von „organisation.de“ können sich nicht beim EE-Server/VE-Server
registrieren.
jdoe@organization.com Dieser Benutzer kann sich nicht unter dieser E-Mail-Adresse beim EE-Server/VEServer registrieren.
*@gmail.com Gmail-Benutzer können sich grundsätzlich nicht beim EE-Server/VE-Server registrieren.
Befolgen Sie die nachstehenden Anweisungen, um Änderungen an der Positivliste/Negativliste vorzunehmen.

Gehen Sie zu \conf\.

Öffnen Sie „registration-access.xml“ mit einem Texteditor.

Sie können nun Benutzer gemäß den obigen Informationen und dem folgenden Beispiel zulassen oder ablehnen:

Dell Data Protection | Enterprise Edition
Server für Cloud Edition konfigurieren

user1@organization.com*@organization.com*
4

Speichern und schließen Sie die Datei.

Dell Data Protection | Enterprise Edition
Server für Cloud Edition konfigurieren

17
Cloud Edition mit Dropbox für Business
verwenden
Cloud Edition mit Dropbox für Unternehmen bietet die folgenden Zusatzfunktionen über grundlegende Dropbox.
•

Remote-Löschen eines Mitarbeiterkontos

•

Mit VE-Server v8.4 oder höher können Sie Richtlinien zur Kontrolle, wie Unternehmens- oder persönliche Dropbox-Ordner geschützt
werden, festlegen. Wenn Ihr Unternehmen Unternehmens- und persönliche Konten erlaubt, sollten die Endbenutzer die
Verschlüsselung dieser Kontentypen verstehen. Weitere Informationen finden Sie unter Richtlinie für Unternehmens- und persönliche
Konten.

Richtlinie für Unternehmens- und persönliche Konten
Ihr Unternehmen verfügt eventuell über Richtlinien ob Mitarbeiter Unternehmens- und persönliche Konten verwenden dürfen. Desweiteren
erlaubt Ihr Unternehmen eventuell nur bestimmten Mitarbeitern, dass sie über ein Unternehmens- und persönliches Konto verfügen
dürfen.
ANMERKUNG:
Sollte Ihr Unternehmen Unternehmens- und persönliche Konten erlauben und ein Endbenutzer entscheidet sich beide zu verwenden,
sollte dieser Benutzer die Ordnerverwaltung für beide Kontotypen verstehen.
Die folgende Tabelle beschreibt die Verschlüsselung bezogen auf den EE-Server/VE-Servertyp und die Richtlinien.
Verschlüsselung

Servertyp und Richtlinien

Bereitstellungsüberlegungen

Verschlüsseln Sie alle Unternehmens- und
persönlichen Dateien und Ordner.

VE-Server (vor der Version v8.4) oder EEServer

Bevor Cloud Edition bereitgestellt wird,
sollten die Benutzer bereits bestehende
Unternehmensdateien, die sich in CloudSpeicher-Synchronisierungsordnern
befinden, an einem Speicherort außerhalb
der Synchronisierungsordner sichern.

oder
VE-Server (v8.4 oder höher)
mit
Richtlinie > Dropbox verschlüsselt
persönliche Ordner > auf Wahr eingestellt
(Wahr ist die Standardeinstellung.)

Benutzer mit persönlichen Dateien, die
unverschlüsselt bleiben sollen, müssen die
Dateien aus den geschäftlichen
Synchronisierungsordnern entfernen oder
Verlinkungen von persönlichen Konten von
den Unternehmens-SynchronisierungsClients entfernen.
Nachdem Cloud Edition bereitgestellt wurde,
können die Cloud-Dateien und -Ordner nur
auf Computern, die Cloud Edition ausführen,
angezeigt werden. Lesen Sie für den Fall,
dass ein persönlicher Ordner versehentlich
verschlüsselt wurde, den Abschnitt „Ordner
eines persönlichen Kontos entschlüsseln“ im
Cloud Edition-Benutzerhandbuch.

Verschlüsseln Sie alle Unternehmenskonten- VE-Server (v8.4 oder höher)
Dateien und Ordner.
mit

Sie können die optionale Richtlinie „Meldung
über das Verschlüsseln persönlicher
Dropbox-Ordner“ verwenden, um eine

Dell Data Protection | Enterprise Edition
Cloud Edition mit Dropbox für Business verwenden

Verschlüsselung

Servertyp und Richtlinien

Bereitstellungsüberlegungen

Erlauben Sie, dass persönliche
Kontendateien und Ordner unverschlüsselt
bleiben.

Richtlinie > Dropbox verschlüsselt
persönliche Ordner > auf Falsch eingestellt

benutzerdefinierte Meldung anzuzeigen, die
die Benutzer daran erinnert, keine
Unternehmensdateien in persönlichen
Konten zu speichern, da diese Dateien nicht
geschützt werden. Diese Meldung wird in
den folgenden Fällen angezeigt.
•
•

Jedes mal wenn sich der Benutzer
anmeldet
Wenn der Benutzer neue Dateien erstellt
oder eine neue Datei oder einen neuen
Ordner zu einem persönlichen DropboxKonto hinzufügt
Wenn Sie die Richtlinie „Dropbox
verschlüsselt persönliche Ordner“ für
einen Endpunkt oder eine
Endpunktgruppe auf Falsch stellen,
verbleiben alle persönliche Konten aller
Benutzer dieser Endpunkte
unverschlüsselt.

Unternehmens- und persönliche Ordner
Sollte Ihr Unternehmen über Dropbox für Unternehmen verfügen und den Endbenutzern Unternehmens- sowie persönliche Ordner
erlauben, sollten Sie Berichte ausführen, die sicherstellen, dass alle Unternehmensdateien über die Dateiendungen XEN verfügen, für den
Fall, dass ein Endbenutzer eine sensible unverschlüsselte Datei in einen Unternehmensordner kopiert. Siehe Cloud Edition –
Fehlerbehebung.

Remote-Löschen eines Mitarbeiterkontos
Sollte Ihr Unternehmen über Dropbox für Unternehmen verfügen, können Sie einen Mitarbeiter per Fernzugriff aus dem Dropbox für
Unternehmen-Teamkonto löschen, z. B. wenn der Mitarbeiter das Unternehmen verlässt. Dateien und Ordner, die im Zusammenhang mit
den Mitarbeiterkonto stehen, werden von allen Geräten, die von dem Konto genutzt werden, entfernt. Dies widerruft den Benutzerzugriff
auf diese Dateien.
Voraussetzungen
•

Bevor Sie das Remote-Löschen ausführen, sichern Sie alle Dateien oder Ordner des Mitarbeiterkontos, die das Unternehmen oder
andere Dropbox-Benutzer des Unternehmens eventuell noch benötigen.

•

Nur die Dropbox für Unternehmen-Administratoren können ein Dropbox für Unternehmenskonto über Fernzugriff löschen.

•

Der Endbenutzer muss Cloud Edition aktiviert haben und mit Dropbox für Unternehmen verbunden sein.

Registrieren in der Remote Management Console
Es muss sich nur ein Dropbox für Unternehmen-Administrator registrieren.
1

Wählen Sie in der Remote-Verwaltungskonsole Einstellungen im linken Fensterbereich aus.

Klicken Sie auf die Registerkarte Cloud.

Klicken Sie auf Registrieren. Der Browser öffnet die Seite Dropbox für Unternehmen.

Melden Sie sich, wenn Sie aufgefordert werden, bei der Dropbox mit Ihrem Dropbox für Unternehmen-Administrator-Konto an.

Klicken Sie auf Zulassen, um den Zugriff auf Cloud Edition zuzulassen. Eine Bestätigungsseite wird angezeigt, um anzuzeigen, dass
eine Dropbox-Autorisierung zu dem VE-Server eingeräumt wurde.

Kehren Sie in der Remote-Verwaltungskonsole zurück zu Einstellungen > Cloud, und aktualisieren Sie die Seite. Der Name des
Administrators wird angezeigt.

Dell Data Protection | Enterprise Edition
Cloud Edition mit Dropbox für Business verwenden

ANMERKUNG:
In der Regel empfiehlt es sich, die Registrierung nicht aufzuheben. Um einem Administrator für „Dropbox für Unternehmen“
allerdings die Berechtigung zum Entfernen von Mitarbeitern aus „Dropbox für Unternehmen“ zu entziehen, klicken Sie auf
Registrierung aufheben.
Remote-Löschen eines Mitarbeiterkontos
Die Remote-Löschen-Option steht nur für registrierte Dropbox für Unternehmen-Mitarbeiterkonten zur Verfügung. Wenn die RemoteLöschen-Option für das Benutzerkonto angezeigt wird, hat sich der Benutzer nicht für ein Dropbox für Unternehmen-Konto registriert.
1

Wählen Sie in der Remote-Verwaltungskonsole Bestückungen > Benutzer im linken Fensterbereich aus.

Nach dem angegebenen Benutzer suchen.

Greifen Sie auf die Seite Benutzerdetails zu.

Klicken Sie in der Befehlsspalte auf Per remote löschen.
ANMERKUNG: Bevor Sie das Remote-Löschen ausführen, müssen Sie alle Dateien oder Ordner des Mitarbeiterkontos, die
das Unternehmen oder andere Dropbox-Benutzer des Unternehmens eventuell noch benötigen, sichern.

Klicken Sie im Bestätigungsdialog „Remote-Löschen“ auf Ja. Die Benutzerdetailsseite führt das Datum auf an dem das RemoteLöscen ausgeführt wurde.

Aktualisieren Sie auf der Seite Dropbox für Unternehmen Administrator Console-Mitglieder die Liste der Mitarbeiter. Der Benutzer
wird aus der Liste entfernt. Sie können die Registerkarte Entfernte Mitarbeiter auswählen, um die entfernten Benutzer anzuzeigen.

Berichte ausführen
Berichte über Ihre Cloud Edition-Umgebung stehen über den Dell Compliance Reporter zur Verfügung. Berichte mit den folgenden Inhalten
stehen zur Verfügung:
•

Benutzeraktivierungen

•

Auf dem Gerät angewendete Richtlinien

•

Maßnahmen, die auf verschlüsselten Dateien durchgeführt wurden

•

Status der Dropbox für Unternehmen Datei-Verschlüsselung
Weitere Informationen über die Ausführung von Berichten finden Sie in der Compliance Reporter-Hilfe.
ANMERKUNG:
Aus Sicherheitsgründen sind Protokolle auf Mobilgeräten deaktiviert.

Dell Data Protection | Enterprise Edition
Cloud Edition mit Dropbox für Business verwenden

18
Fehlerbehebung
Alle Clients – Fehlerbehebung
•
•
•

•

Die Protokolldateien des -Master-Installationsprogramms befinden sich unter C:\ProgramData\Dell\Dell Data Protection\Installer.
Windows erstellt für den angemeldeten Benutzer eindeutige Installationsprotokolldateien des untergeordneten Installationsprogramms
im Verzeichnis „%temp%“ unter C:\Users\\AppData\Local\Temp.
Windows erstellt Protokolldateien für Client-Voraussetzungen, z. B. Visual C++, für den angemeldeten Benutzer im Verzeichnis
„%Temp%“ unter C:\Users\\AppData\Local\Temp. For example, C:\Users\\AppData\Local\Temp
\dd_vcredist_amd64_20160109003943.log
Befolgen Sie die Anleitungen unter http://msdn.microsoft.com, um die Version von Microsoft .Net zu überprüfen, die auf dem
Computer installiert ist, auf dem die Installation erfolgen soll.
Gehen Sie zu https://www.microsoft.com/en-us/download/details.aspx?id=30653, um die vollständige Version von Microsoft .Net
Framework 4.5 herunterzuladen.

•

Siehe Dell Data Protection | Security Tools Compatibility, wenn auf dem Computer, der für die Installation vorgesehen ist (oder in der
Vergangenheit war) „Dell Data Protection | Access“ installiert ist. DDP|A ist nicht kompatibel mit dieser Suite von Produkten.

Fehlerbehebung für den Client für Verschlüsselung
und Serververschlüsselung
Upgrade auf die Windows 10 Anniversary-Aktualisierung
Um ein Upgrade auf die Windows 10 Anniversary-Aktualisierungsversion auszuführen, folgen Sie den Anweisungen im folgenden Artikel:
http://www.dell.com/support/article/us/en/19/SLN298382.

Aktivierung auf einem Serverbetriebssystem
Wenn die Verschlüsselung auf einem Serverbetriebssystem installiert ist, erfordert die Aktivierung zwei Phasen: erstmalige Aktivierung und
Geräteaktivierung.
Fehlerbehebung bei der erstmaligen Aktivierung
Die erstmalige Aktivierung schlägt fehl, wenn:
•
•
•

Mithilfe der bereitgestellten Anmeldeinformationen kein gültiger UPN erstellt werden kann.
Die Anmeldeinformationen in der Enterprise Vault nicht gefunden werden.
Die zur Aktivierung verwendeten Anmeldeinformationen nicht die des Domänenadministrators sind.

Fehlermeldung: Unbekannter Benutzername oder ungültiges Passwort
Der Benutzername oder das Passwort stimmen nicht überein.
Mögliche Lösung: Versuchen Sie, sich erneut anzumelden, und achten Sie genau auf die korrekte Eingabe von Benutzernamen und
Passwort.
Fehlermeldung: Die Aktivierung ist fehlgeschlagen, weil das Benutzerkonto nicht über Domänenadministrator-Rechte verfügt.

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Die für die Aktivierung verwendeten Anmeldeinformationen haben keine Domänenadministrator-Rechte, oder der AdministratorBenutzername lag nicht im UPN-Format vor.
Mögliche Lösung: Geben Sie im Aktivierungsdialog die Anmeldeinformationen eines Domänenadministrators ein und stellen Sie sicher, dass
diese das UPN-Format haben.
Fehlermeldung: Es konnte keine Verbindung zum Server aufgebaut werden.
oder
The operation timed out.
Serververschlüsselung konnte an Port 8449 nicht über https mit dem DDP Security Server kommunizieren.
Mögliche Lösungen
•

Verbinden Sie sich direkt mit dem Netzwerk und versuchen Sie die Aktivierung erneut.

•

Wenn Sie über VPN verbunden sind, dann versuchen Sie, sich direkt mit dem Netzwerk zu verbinden und versuchen Sie die
Aktivierung erneut.

•

Überprüfen Sie die DDP-Server-URL um sicherzustellen, dass diese mit der durch den Administrator bereitgestellten URL
übereinstimmt. Die URL und andere vom Benutzer im Installationsprogramm eingegebene Daten werden in der
Registrierungsdatenbank gespeichert. Überprüfen Sie die Richtigkeit der Daten unter [HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\CMGShield] und [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield
\Servlet].

•

Trennen Sie den Server vom Netzwerk. Starten Sie den Server neu und verbinden Sie ihn wieder mit dem Netzwerk.

Fehlermeldung: Die Aktivierung ist fehlgeschlagen, weil der Server diese Anfrage nicht unterstützt.
Mögliche Lösungen
•

Die Serververschlüsselung kann nicht mit einem Legacy-Server aktiviert werden; die DDP Serverversion muss 9.1 oder höher sein.
Aktualisieren Sie Ihren DDP-Server bei Bedarf auf Version 9.1 oder höher.

•

Überprüfen Sie die Richtigkeit der Daten unter [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] und
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\Servlet].

Ablauf der erstmaligen Aktivierung
Das folgende Diagramm zeigt eine erfolgreiche erstmalige Aktivierung.
Bei der erstmaligen Aktivierung der Serververschlüsselung muss ein echter Benutzer auf den Server zugreifen. Der Benutzer kann beliebig
sein: zur Domäne gehörig oder nicht, verbunden per Remote-Desktop oder interaktiv, aber er muss in jedem Fall Zugriff auf die
Anmeldeinformationen des Domänenadministrators haben.
Das Dialogfeld zur Aktivierung wird angezeigt, wenn eins der beiden folgenden Ereignisse eintritt:
•

Ein neuer (nicht verwalteter) Benutzer meldet sich am Computer an.

•

Ein neuer Benutzer klickt mit der rechten Maustaste im Systembereich auf das Symbol des Clients für die Verschlüsselung und aktiviert
Dell Data Protection | Encryption.
Der Ablauf für die erstmalige Aktivierung ist wie folgt:

Der Benutzer meldet sich an.

Bei der Erkennung eines neuen (nicht verwalteten) Benutzers wird das Dialogfenster für die Aktivierung angezeigt. Der Benutzer
klickt auf Abbrechen.

Der Benutzer öffnet das Feld „Info“ der Serververschlüsselung, um zu bestätigen, dass sie im Servermodus ausgeführt wird.

Der Benutzer klickt mit der rechten Maustaste im Systembereich auf das Symbol des Clients für die Verschlüsselung und wählt Dell
Data Protection | Encryption aktivieren.

Der Benutzer gibt die Anmeldeinformationen des Domänenadministrators im Dialogfenster für die Aktivierung ein.
Dell Data Protection | Enterprise Edition
Fehlerbehebung

ANMERKUNG: Die Anforderung der Anmeldeinformationen des Domänenadministrators ist eine Sicherheitsmaßnahme, die
verhindert, dass die Serververschlüsselung auf Serverumgebungen eingeführt wird, die sie nicht unterstützen. So
deaktivieren Sie die Anforderung der Anmeldeinformationen des Domänenadministrators: Bevor Sie beginnen.
6

Der DDP Server gleicht die Anmeldeinformationen in der Enterprise Vault (Active Directory oder gleichwertig) ab, um zu überprüfen,
ob es sich um Anmeldeinformationen des Domänenadministrators handelt.

Mit den Anmeldeinformationen wird ein UPN erstellt.

Mit dem UPN erstellt der DDP Server ein neues Benutzerkonto für den virtuellen Serverbenutzer und speichert die
Anmeldeinformationen in der Vault des DDP Servers.
Das virtuelle Serverbenutzerkonto gilt ausschließlich für die Verwendung des Clients für die Verschlüsselung. Er wird zur
Authentifizierung am Server, zum Umgang mit gängigen Verschlüsselungsschlüsseln und zum Empfang von Richtlinien-Updates
verwendet.
ANMERKUNG: Passwort und DPAPI-Authentifizierung sind für dieses Konto deaktiviert, sodass nur der virtuelle
Serverbenutzer auf dem Computer auf Verschlüsselungsschlüssel zugreifen kann. Dieses Konto ist unabhängig von allen
anderen Benutzerkonten auf dem Computer oder in der Domäne.

Nach erfolgreicher Aktivierung startet der Benutzer den Computer neu, wodurch der zweite Teil der Aktivierung eingeleitet wird: die
Authentifizierung und Geräteaktivierung.

Fehlerbehebung bei Authentifizierung und Geräteaktivierung
Die Geräteaktivierung schlägt fehl, wenn:
•
•
•

Die erstmalige Aktivierung fehlgeschlagen ist.
Keine Verbindung zum Server aufgebaut werden konnte.
Das Vertrauenszertifikat nicht überprüft werden konnte.

Nach der Aktivierung, wenn der Computer neu gestartet wird, meldet sich die Serververschlüsselung automatisch als virtueller
Serverbenutzer an und fordert den Computerschlüssel vom DDP Enterprise Server an. Dies findet bereits statt, bevor sich sonst ein
Benutzer anmelden kann.
•

Öffnen Sie das Dialogfeld „Info“, um zu bestätigen, dass die Serververschlüsselung authentifiziert und im Servermodus ist.

•
•

Wenn die Shield ID rot ist, wurde die Verschlüsselung noch nicht aktiviert.
In der Remote Management Console wird die Version eines Servers mit installierter Serververschlüsselung aufgeführt als Shield für
Server.
Wenn der Abruf des Computerschlüssels aufgrund eines Netzwerkfehlers fehlschlägt, meldet die Serververschlüsselung sich für
Netzwerkbenachrichtigungen im Betriebssystem an.

•
•

Wenn der Abruf des Computerschlüssels fehlschlägt:
•

Die virtuelle Serverbenutzeranmeldung ist nach wie vor erfolgreich.

•

Richten Sie die Richtlinie Intervall für Neuversuch nach Netzwerkfehler ein, um Schlüsselabrufversuche in festen Zeitabständen
durchzuführen.
Weitere Einzelheiten zur Richtlinie Intervall für Neuversuch nach Netzwerkfehler erhalten Sie unter AdminHelp in der Remote
Management Console.

Ablauf der Authentifizierung und Geräteaktivierung
Das folgende Diagramm stellt eine erfolgreiche Authentifizierung und Geräteaktivierung dar.
1

Nach dem Neustart nach einer erfolgreichen erstmaligen Aktivierung wird ein Computer mit Serververschlüsselung automatisch unter
Verwendung des virtuellen Serverbenutzerkontos authentifiziert und führt den Client für die Verschlüsselung im Servermodus aus.

Der Computer gleicht den Status seiner Geräteaktivierung am DDP Server ab:
•
•

Wenn für den Computer bisher keine Geräteaktivierung erfolgt ist, weist der DDP Server ihm eine MCID, eine DCID und ein
Vertrauenszertifikat zu und speichert alle Informationen im Vault des DDP Server.
Wenn für den Computer bereits eine Geräteaktivierung erfolgt ist, überprüft der DDP Server das Vertrauenszertifikat.

Nachdem der DDP Server dem Server das Vertrauenszertifikat zugewiesen hat, kann er auf dessen Verschlüsselungsschlüssel
zugreifen.
Dell Data Protection | Enterprise Edition
Fehlerbehebung

Die Geräteaktivierung ist erfolgreich.
ANMERKUNG:
Um bei der Ausführung im Servermodus Zugang zu den Verschlüsselungsschlüsseln zu erhalten, muss der Client für die
Verschlüsselung auf dasselbe Zertifikat zugreifen, das zur Geräteaktivierung verwendet wurde.

Erstellen einer Encryption Removal Agent-Protokolldatei
(optional)
•

Vor der Deinstallation können Sie optional eine Encryption Removal Agent-Protokolldatei anlegen. Diese Protokolldatei erleichtert das
Beheben von Fehlern, die unter Umständen beim Deinstallieren/Entschlüsseln auftreten. Falls Sie während der Deinstallation keine
Dateien entschlüsseln möchten, müssen Sie diese Protokolldatei nicht anlegen.

•

Die Encryption Removal Agent-Protokolldatei wird nach dem Start des Encryption Removal Agent-Service – also erst nach dem
Neustart des Computers – erstellt. Nach Abschluss der Deinstallation und Entschlüsselung des Computers wird die Protokolldatei
gelöscht.

•

Der Pfad der Protokolldatei ist C:\ProgramData\Dell\Dell Data Protection\Encryption..

•

Erstellen Sie auf dem für die Entschlüsselung vorgesehenen Computer den folgenden Registrierungseintrag.
[HKLM\Software\Credant\DecryptionAgent]
"LogVerbosity"=dword:2
0: Keine Protokollierung
1: Protokolliert Fehler, die den Betrieb des Dienstes verhindern
2: Protokolliert Fehler, die eine vollständige Datenentschlüsselung verhindern (empfohlene Protokollebene)
3: Protokolliert Informationen über alle zu entschlüsselnden Datenträger und Dateien
5: Protokolliert Informationen zum Debuggen

TSS-Version suchen
•

TSS ist eine Komponente, die als Schnittstelle zu TPM fungiert. Zur Ermittlung der TSS-Version wechseln Sie zu C:\Program Files\Dell
\Dell Data Protection\Drivers\TSS\bin > tcsd_win32.exe (Standardspeicherort). Klicken Sie mit der rechten Maustaste auf die Datei,
und wählen Sie Eigenschaften aus. Überprüfen Sie die Dateiversion auf der Registerkarte Details.

EMS und PCS Interaktionen
Um sicherzugehen, dass Medien nicht schreibgeschützt sind und der Port nicht blockiert ist
Die Richtlinie „EMS-Zugriff auf nicht durch Shield geschützte Medien“ interagiert mit „Port Control System – Speicherklasse: Richtlinie zur
Steuerung externer Laufwerke “ Wenn Sie beabsichtigen, die Richtlinie „EMS-Zugriff auf nicht durch Shield geschützte Medien“ auf vollen
Zugriff, zu setzen, stellen Sie sicher, dass die Speicherklasse: Richtlinie zur Steuerung externer Laufwerke auch auf uneingeschränkten
Zugang setzen, um sicherzustellen, dass der Datenträger nicht auf schreibgeschützt gesetzt wird und die Schnittstelle nicht blockiert ist.
So verschlüsseln Sie Daten, die auf CD/DVD geschrieben werden:
•

Stellen Sie „EMS-Verschlüsselung externer Medien“ auf „Wahr“ ein.

•

Stellen Sie „EMS CD/DVD-Verschlüsselung ausschließen“ auf „Falsch“ ein.

•

Unterklasse Speicher: Steuerung optischer Laufwerke = nur UFD.

Dell Data Protection | Enterprise Edition
Fehlerbehebung

WSScan verwenden
•

WSScan ermöglicht Ihnen, sicherzugehen, dass bei der Deinstallation des Clients für die Verschlüsselung alle Daten entschlüsselt
werden. Es zeigt Ihnen außerdem den Verschlüsselungsstatus und erkennt unverschlüsselte Dateien, die verschlüsselt sein sollten.

•

Zur Ausführung dieses Dienstprogramms sind Administratorberechtigungen erforderlich.

Ausführen von WSScan
1

Kopieren Sie „WSScan.exe“ von den Dell Installationsmedien auf den Windows-Computer.

Öffnen Sie am obigen Speicherort eine Befehlszeile, und geben Sie an der Eingabeaufforderung wsscan.exe ein. WSScan wird
gestartet.

Klicken Sie auf Erweitert.

Wählen Sie den Typ des zu prüfendenden Laufwerks aus dem Drop-Down-Menü aus: Alle Laufwerke, Feste Laufwerke,
Wechsellaufwerke oder CD-ROMs/DVDROMs.

Wählen Sie den gewünschten Berichtstyp für die Verschlüsselung aus dem Drop-Down-Menü aus: Verschlüsselte Dateien,
Unverschlüsselte Dateien, Alle Dateien oder Unverschlüsselte Dateien verletzt:

•

Verschlüsselte Dateien – Um sicherzustellen, dass alle Daten bei der Deinstallation des Clients für die Verschlüsselung
entschlüsselt werden. Befolgen Sie das übliche Verfahren für die Entschlüsselung von Daten, z. B. die Ausgabe einer
Richtlinienaktualisierung für die Entschlüsselung. Nach der Entschlüsselung der Daten und vor dem Neustart zur Vorbereitung der
Deinstallation führen Sie bitte den WSScan aus, um zu gewährleisten, dass alle Daten entschlüsselt sind.

•

Unverschlüsselte Dateien – Um Dateien zu identifizieren, die nicht verschlüsselt sind, einschließlich einem Hinweis, ob sie
verschlüsselt sein sollten (J/N).

•

Alle Dateien – Zum Auflisten aller verschlüsselten und unverschlüsselten Dateien einschließlich einem Hinweis, ob sie verschlüsselt
sein sollten (J/N).

•

Unverschlüsselte Dateien verletzt – Um nicht verschlüsselte Dateien zu erkennen, die verschlüsselt sein sollten.

Klicken Sie auf Suchen.

ODER
1

Klicken Sie auf Erweitert, um zur Ansicht Einfach zu wechseln und einen bestimmten Ordner zu durchsuchen.

Wechseln Sie zu „Sucheinstellungen“, und geben Sie im Feld Suchpfad den Ordnerpfad ein. Wenn Sie dieses Feld verwenden, wird
die Auswahl im Drop-Down-Feld ignoriert.

Falls die Ausgabe des Suchdienstprogramms „WSScan“ nicht in einer Datei gespeichert werden soll, deaktivieren Sie das
Kontrollkästchen Ausgabe in Datei.

Ändern Sie unter Pfad ggf. den Standardpfad und den Standarddateinamen.

Wählen Sie Zu vorhandener Datei hinzufügen aus, wenn Sie bereits bestehende WSScan-Ausgabedateien nicht überschreiben
möchten.

Wählen Sie das Ausgabeformat aus:

•

Wählen Sie Berichtsformat, um eine Liste der Berichtsstile für das Suchergebnis zu erhalten. Das ist das Standardformat.

•

Wählen Sie Datei mit Wertbegrenzung für eine Ausgabe, die in eine Tabellenkalkulation importiert werden kann. Das
Standardtrennzeichen ist „|“, doch können auch bis zu 9 alphanumerische Zeichen, Leerzeichen oder Zeichensetzungszeichen
der Tastatur verwendet werden.

•

Wählen Sie die Option Werte in Anführungszeichen, damit jeder Wert in doppelte Anführungszeichen gesetzt wird.

•

Wählen Sie „Datei mit fester Breite“ für eine Ausgabe ohne Trennzeichen aus, die eine durchgängige Zeile von Informationen
fester Breite über jede verschlüsselte Datei enthält.

Klicken Sie auf Suchen.
Klicken Sie auf Suche stoppen, um die Suche zu beenden. Klicken Sie auf Löschen, um die angezeigten Meldungen zu löschen.

Verwenden der WSScan-Befehlszeile
WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o] [-a] [-f] [-r] [u[a][-|v]] [-d] [-q] [-e] [-x] [-y]

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Schalter

Erläuterung

Laufwerk

Zu durchsuchendes Laufwerk. Falls keine Angabe gemacht wird, werden standardmäßig alle lokalen
Festplattenlaufwerke durchsucht. Kann ein zugeordnetes Netzwerklaufwerk sein.

-ta

Alle Laufwerke durchsuchen

-tf

Festplattenlaufwerke durchsuchen (Standardeinstellung)

-tr

Wechseldatenträger durchsuchen

-tc

CDROMs/DVDROMs durchsuchen

-s

Hintergrundbetrieb

-o

Ausgabedateipfad

-a

An Ausgabedatei anhängen. Die Ausgabedatei wird standardmäßig abgeschnitten.

-f

Berichtsformat angeben (Bericht, fest, begrenzt).

-r

WSScan ohne Administratorrechte ausführen. In diesem Modus sind einige Dateien
möglicherweise nicht sichtbar.

-u

Einbeziehen unverschlüsselter Dateien in die Ausgabedatei.
Dieser „-u“-Switch ist hochempfindlich. Entweder müssen zuerst „u“ gefolgt von „a“ eingegeben
(bzw. ausgelassen) werden, oder die Eingabe muss mit „-“ oder „v“ abgeschlossen werden.

-u-

Nur verschlüsselte Dateien in die Ausgabedatei einbeziehen

-ua

Auch Berichte über unverschlüsselte Dateien erstellen, aber Richtlinien für alle Benutzer anwenden,
um das Feld zur Verschlüsselung anzuzeigen.

-ua-

Berichte nur über unverschlüsselte Dateien erstellen, aber Richtlinien für alle Benutzer anwenden,
um das Feld zur Verschlüsselung anzuzeigen.

-uv

Berichte nur über unverschlüsselte Dateien erstellen, die die Richtlinie verletzen, d. h.
Status = Nein, Verschlüsselung = Ja.

-uav

Berichte nur über unverschlüsselte Dateien (Status = Nein, Verschlüsselung = Ja) unter
Anwendung der Richtlinien für alle Benutzer erstellen.

-d

Angabe des Trennzeichens für begrenzte Ausgabe.

-q

Angabe der Werte, die für begrenzte Ausgabe in Anführungszeichen gesetzt werden müssen.

-e

Erweiterte Verschlüsselungsfelder in begrenzte Ausgabe aufnehmen.

-x

Ausschließen eines Verzeichnisses vom Suchvorgang. Mehrere Ausschlüsse sind möglich.

-y

Ruhemodus (in Millisekunden) zwischen Verzeichnissen. Durch diesen Schalter werden
Suchvorgänge verlangsamt, allerdings ist der Prozessor potenziell reaktiver.

WSScan-Ausgabe
Die WSScan-Daten über verschlüsselte Dateien enthalten die folgenden Informationen.
Beispiel der Ausgabe:

Dell Data Protection | Enterprise Edition
Fehlerbehebung

[2015-07-28 07:52:33] SysData.07vdlxrsb._SDENCR_: "c:\temp\Dell - test.log" ist noch AES256 verschlüsselt
Ausgabe

Erläuterung

Zeitstempel

Das Datum und die Uhrzeit der Durchsuchung der Datei.

Verschlüsselungstyp

Die Art der Verschlüsselung für die Datei.
SysData: SDE-Verschlüsselungscode.
Benutzer: Benutzer-Verschlüsselungscode.
Allgemein: Allgemeiner Verschlüsselungscode.
WSScan meldet keine Dateien, die mittels „Für Freigabe verschlüsseln“ verschlüsselt wurden.

DCID

Die Geräte-ID.
Im Beispiel oben „7vdlxrsb“
Wenn Sie ein zugeordnetes Netzwerklaufwerk durchsuchen, gibt der Abfragebericht keine DCID
aus.

UCID

Die Benutzer-ID.
Im Beispiel oben „_SDENCR_“
Die UCID ist für alle Benutzer des Computers gleich.

Datei

Der Pfad der verschlüsselten Datei.
Wie im Beispiel oben angezeigt, „c:\temp\Dell - test.log“

Algorithmus

Im Folgenden finden Sie den für die Verschlüsselung der Datei verwendeten
Verschlüsselungsalgorithmus.
Im Beispiel oben „is still AES256 encrypted“
Rijndael 128
Rijndael 256
AES 128
AES 256
3DES

Verwenden von WSProbe
Das Suchdienstprogramm ist zur Verwendung mit allen Versionen von Encryption-Client vorgesehen, außer EMS-Richtlinien. Mit dem
Suchdienstprogramm haben Sie folgende Möglichkeiten:
•

Durchsuchen oder Planen der Durchsuchung eines verschlüsselten Computers. Das Suchdienstprogramm befolgt Ihre Richtlinie zur
Workstation-Scanpriorität.

•

Deaktivieren oder aktivieren Sie vorübergehend die Anwendungsdaten-Verschlüsselungsliste des aktuellen Benutzers.

•

Hinzufügen der privilegierten Liste Prozessnamen oder Entfernen derselben.

•

Fehlersuche nach den Anweisungen des Dell ProSupports

Ansätze für die Datenverschlüsselung

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Beim Festlegen von Richtlinien zur Verschlüsselung von Daten auf Windows-Geräten stehen Ihnen mehrere Ansätze zur Verfügung:
•

Der erste Ansatz besteht darin, das Standardverhalten des Clients zu übernehmen. Wenn Sie Ordner in „Allgemein verschlüsselte
Ordner“ oder „Benutzerverschlüsselte Ordner“ angeben oder „Meine Dokumente verschlüsseln“, „Persönliche Outlook-Ordner
verschlüsseln“, „Temporäre Dateien verschlüsseln“, „Temporäre Internetdateien verschlüsseln“ oder „Windows-Auslagerungsdatei
verschlüsseln“ auf „Wahr“ einstellen, werden die betroffenen Dateien bei Erstellung oder Anmeldung eines verwalteten Benutzers
(nach der Erstellung eines nicht verwalteten Benutzer) verschlüsselt. Der Client durchsucht auch Ordner, die in diesen Richtlinien
angegeben sind oder sich auf sie beziehen, auf mögliche Verschlüsselung/Entschlüsselung, wenn ein Ordner umbenannt wird oder
wenn der Client Änderungen an diesen Richtlinien erhält.

•

Sie können auch „Workstation bei Anmeldung durchsuchen“ auf „Wahr“ setzen. Wenn „Workstation bei Anmeldung durchsuchen“ auf
„Wahr“ eingestellt ist, vergleicht der Client bei der Benutzeranmeldung die Art und Weise, in der Dateien in derzeit und zuvor
verschlüsselten Ordnern verschlüsselt sind, mit den Benutzerrichtlinien und nimmt gegebenenfalls die nötigen Änderungen vor.

•

Wenn Sie Dateien verschlüsseln möchten, die Ihre Verschlüsselungskriterien erfüllen, aber vor Inkrafttreten Ihrer
Verschlüsselungsrichtlinien erstellt wurden, die Leistung jedoch nicht durch häufiges Durchsuchen beeinträchtigen möchten, können
Sie mit diesem Dienstprogramm die Durchsuchung des Computers durchführen oder einplanen.

Voraussetzungen
•

Das Windows-Gerät, mit dem Sie arbeiten möchten, muss verschlüsselt sein.

•

Der Benutzer, mit dem Sie arbeiten möchten, muss angemeldet sein.

Verwenden des Suchdienstprogramms
WSProbe.exe befindet sich auf den Installationsmedien.
Syntax
wsprobe [path]
wsprobe [-h]
wsprobe [-f path]
wsprobe [-u n] [-x process_names] [-i process_names]
Parameter
Parameter

Um die SSL/TLS-Vertrauensprüfung für BitLocker Manager zu

Pfad

Gibt optional einen bestimmten Pfad auf dem Gerät an, den Sie auf mögliche Verschlüsselung/
Entschlüsselung durchsuchen möchten. Wenn kein Pfad angegeben wird, durchsucht dieses
Dienstprogramm alle Ordner, auf die sich Ihre Verschlüsselungsrichtlinien beziehen.

-h

Zeigt die Befehlszeilenhilfe an.

-f

Fehlersuche nach den Anweisungen des Dell ProSupports

-u

Deaktiviert oder aktiviert vorübergehend die Anwendungsdaten-Verschlüsselungsliste des
Benutzers. Diese Liste ist nur wirksam, wenn „Verschlüsselung aktiviert“ für den aktuellen
Benutzer ausgewählt ist. Geben Sie 0 zur Deaktivierung oder 1 zur Reaktivierung an. Die aktuelle
Richtlinie wird bei der nächsten Anmeldung in Kraft gesetzt.

-x

Fügt der privilegierten Liste Prozessnamen hinzu oder entfernt sie. Die Computer- und
Installationsprogramm-Prozessnamen in dieser Liste sowie die, die Sie mit diesem Parameter oder
mit HKLM\Software\CREDANT\CMGShield\EUWPrivilegedList hinzufügen, werden ignoriert,
wenn sie in der Anwendungsdaten-Verschlüsselungsliste angegeben sind. Trennen Sie
Prozessnamen durch Kommas. Wenn Ihre Liste eine oder mehrere Leerstellen enthält, müssen Sie
die Liste in doppelte Anführungszeichen setzen.

-i

Entfernt Prozessnamen, die zuvor der privilegierten Liste hinzugefügt wurden (hartcodierte
Prozessnamen können Sie nicht entfernen). Trennen Sie Prozessnamen durch Kommas. Wenn

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Parameter

Um die SSL/TLS-Vertrauensprüfung für BitLocker Manager zu
Ihre Liste eine oder mehrere Leerstellen enthält, müssen Sie die Liste in doppelte
Anführungszeichen setzen.

Überprüfen des Encryption-Removal-Agent-Status
Der Status des Encryption Removal Agent wird im Beschreibungsbereich des Dialogfelds „Dienste“ (Start > Ausführen... > services.msc >
OK) wie folgt angezeigt: Aktualisieren Sie in regelmäßigen Abständen den Service-Status (markieren Sie den Service > rechte Maustaste >
Aktualisieren).
•

Warten auf SDE-Deaktivierung – Der Encryption-Client ist noch installiert und/oder konfiguriert. Die Entschlüsselung beginnt erst
nach der Deinstallation des Encryption-Clients.

•

Erste Suche – Dieser Dienst führt eine erste Suche durch und berechnet die Anzahl verschlüsselter Dateien und Bytes. Die erste
Suche wird nur einmal durchgeführt.

•

Entschlüsselungssuche – Dieser Dienst entschlüsselt Dateien und stellt möglicherweise eine Anfrage zur Entschlüsselung gesperrter
Dateien.

•

Entschlüsselung bei Neustart (teilweise) – Die Entschlüsselungssuche ist abgeschlossen, und einige gesperrte Dateien (aber nicht
alle) werden beim nächsten Neustart entschlüsselt.

•

Entschlüsselung bei Neustart – Die Entschlüsselungssuche ist abgeschlossen, und alle gesperrten Dateien werden beim nächsten
Neustart entschlüsselt.

•

Nicht alle Dateien konnten entschlüsselt werden – Die Entschlüsselungssuche ist abgeschlossen, aber es konnten nicht alle Dateien
entschlüsselt werden. Dieser Status kann folgende Gründe haben:

•

Die gesperrten Dateien wurden nicht für die Entschlüsselung vorgesehen, weil sie entweder zu groß sind oder ein Fehler bei der
Anfrage nach ihrer Freigabe auftrat.

•

Während der Entschlüsselung der Dateien trat ein Eingabe-/Ausgabefehler auf.

•

Die Dateien konnten nicht richtliniengemäß entschlüsselt werden.

•

Die Dateien waren zur Verschlüsselung markiert.

•

Während der Entschlüsselungssuche trat ein Fehler auf.

•

In sämtlichen Fällen wird eine Protokolldatei erstellt, sofern mindestens LogVerbosity=2 eingestellt ist (und die Protokollierung
aktiviert wurde). Zur Fehlerbehebung sollten Sie die Ausführlichkeitsstufe auf 2 einstellen (LogVerbosity=2) und den Encryption
Removal Agent-Dienst neu starten, um eine weitere Entschlüsselungssuche zu erzwingen. Weitere Anweisungen finden Sie unter
Encryption Removal Agent-Protokolldatei erstellen (optional).

Vollständig – Die Entschlüsselungssuche wurde abgeschlossen. Der Service, die ausführbare Datei, der Treiber und die ausführbare
Treiberdatei werden beim nächsten Neustart des Computers gelöscht.

SED-Client – Fehlerbehebung
Richtlinie „Erster Zugriffscode“ verwenden
•

Diese Richtlinie wird zur Anmeldung bei einem Computer verwendet, wenn kein Netzwerkzugriff verfügbar und dadurch auch der
Zugriff auf den EE-Server/VE-Server und Active Directory (AD) nicht möglich ist. Verwenden Sie die Richtlinie Erster Zugriffscode
nur, wenn es keine andere Möglichkeit gibt. Dell rät von dieser Vorgehensweise für die Anmeldung ausdrücklich ab. Die Verwendung
der Richtlinie Erster Zugriffscode bietet nicht dasselbe Maß an Sicherheit wie das übliche Anmeldeverfahren mit Benutzername,
Domäne und Passwort.
Neben der geringeren Sicherheit des Anmeldeverfahrens wird bei der Aktivierung eines Endbenutzers über Erster Zugriffscode kein
entsprechender Eintrag für den Computer auf dem EE-Server/VE-Server erstellt. Das bedeutet, dass kein Antwortcode vom EEServer/VE-Server erstellt werden kann, wenn der Benutzer das Passwort falsch eingibt oder die Selbsthilfe-Fragen nicht beantworten
kann.

•

Der erste Zugriffscode kann nur ein Mal – unmittelbar nach der Aktivierung – verwendet werden. Nach der Anmeldung eines
Benutzers steht der erste Zugriffscode nicht mehr zur Verfügung. Die erste Domänenanmeldung nach der Eingabe des ersten
Zugriffscodes wird zwischengespeichert, und das Eingabefeld für den ersten Zugriffscode wird nicht mehr angezeigt.
Dell Data Protection | Enterprise Edition
Fehlerbehebung

•

Der erste Zugriffscode wird nur unter den folgenden Umständen angezeigt:
•

Ein Benutzer wurde nicht in der PBA aktiviert.

•

Der Client hat keine Verbindung zum Netzwerk oder EE-Server/VE-Server.

Ersten Zugriffscode verwenden
1

Richten Sie in der Remote-Verwaltungskonsole einen Wert für den ersten Zugriffscode ein.

Speichern und aktivieren Sie die Richtlinie.

Starten Sie den lokalen Computer.

Geben Sie den ersten Zugriffscode ein, wenn der Bildschirm „Zugriffscode“ angezeigt wird.

Klicken Sie auf den blauen Pfeil.

Klicken Sie auf OK, wenn der Bildschirm mit „Rechtshinweise“ angezeigt wird.

Melden Sie sich mit den Benutzerdaten für den Computer bei Windows an. Diese Anmeldedaten müssen zur Domäne gehören.

Öffnen Sie nach der Anmeldung die Security Console und überprüfen Sie, ob der PBA-Benutzer richtig erstellt worden ist.
Klicken Sie dazu im Menü oben auf Protokoll, und suchen Sie nach der Meldung PBA-Benutzer für
erstellt, welche angibt, dass der Vorgang erfolgreich war.

Fahren Sie den Computer herunter und starten Sie ihn neu.

Geben Sie im Anmeldebildschirm den Benutzernamen, die Domäne und das Passwort ein, die zuvor für die Anmeldung bei Windows
verwendet wurden.
Dabei muss das gleiche Benutzernamen-Format wie bei der Erstellung des PBA-Benutzers verwendet werden. Wenn Sie also das
Format „Benutzername/Domäne“ verwendet haben, müssen Sie die Domäne bzw. den Benutzernamen für den Benutzernamen
eingeben.

(Nur Credant Manager) Beantworten Sie die Fragen umgehend.
Klicken Sie auf den blauen Pfeil.

Klicken Sie auf Anmelden, wenn der Bildschirm „Rechtshinweise“ angezeigt wird.
Windows wird gestartet, und der Computer kann wie gewohnt verwendet werden.

PBA-Protokolldatei für die Fehlerbehebung erstellen
•

Zur Behebung von PBA-Fehlern ist u. U. eine PBA-Protokolldatei erforderlich, beispielsweise in den folgenden Fällen:
•

Das Symbol der Netzwerkverbindung wird nicht angezeigt, obwohl Sie sicher sind, dass eine Netzwerkverbindung besteht. Die
Protokolldatei enthält DHCP-Informationen zur Behebung des Problems.

•

Das Symbol der EE Server/VE-Serververbindung wird nicht angezeigt. Die Protokolldatei enthält Informationen, welche die
Diagnose von Problemen mit der EE-Server/VE-Server-Konnektivität erleichtern.

•

Die Authentifizierung schlägt trotz Eingabe der richtigen Anmeldedaten fehl. Die Protokolldatei und die EE Server/VEServerprotokolle enthalten Informationen, die eine Diagnose des Problems erleichtern.

Protokolle während des PBA-Starts (Alt-PBA) erfassen
1

Legen Sie im Stammverzeichnis eines USB-Laufwerks einen Ordner namens \CredantSED an.

Erstellen Sie im Ordner \CredantSED eine Datei namens „actions.txt“.

Fügen Sie in actions.txt die folgende Zeile ein:
get environment

Speichern und schließen Sie die Datei.
Schließen Sie das USB-Laufwerk nicht an den ausgeschalteten Computer an. Falls das USB-Laufwerk bereits an den
ausgeschalteten Computer angeschlossen ist entfernen Sie es bitte.
Dell Data Protection | Enterprise Edition
Fehlerbehebung

Schalten Sie den Computer ein, und melden Sie sich bei der PBA an. Schließen Sie das USB-Laufwerk an den Computer an, von dem
die Protokolle während dieses Schritts erfasst werden sollen.

Lassen Sie das USB-Laufwerk fünf bis zehn Sekunden lang angeschlossen und entfernen Sie es dann.
Im Ordner \CredantSED wird die Datei „credpbaenv.tgz“ mit den erforderlichen Protokollen erstellt.

Protokolle während des PBA-Starts (UEFI-PBA) erfassen
1

Erstellen Sie eine Datei mit der Bezeichnung PBAErr.log im Stammverzeichnis des USB-Laufwerks.

Setzen Sie das USB-Laufwerk vor dem Einschalten des Computers ein.

Entfernen Sie das USB-Laufwerk nach der Reproduzierung des Problems in Bezug auf die Erforderlichkeit der Protokolle.

Die Datei „PBAErr.log“ wird aktualisiert und in Echtzeit geschrieben.

Dell ControlVault-Treiber
Aktualisieren von Treibern und Firmware für Dell ControlVault
Die auf Dell-Computern werkseitig installierte(n) Treiber und Firmware für Dell ControlVault sind nicht mehr aktuell und müssen anhand
des folgenden Verfahrens in der angegebenen Reihenfolge aktualisiert werden.
Wenn Sie während der Client-Installation aufgefordert werden, das Installationsprogramm zu schließen, um die Dell ControlVaultTreiber zu installieren, können Sie diese Meldung ignorieren und die Client-Installation fortsetzen. Die Dell ControlVault-Treiber (und die
zugehörige Firmware) können nach dem erfolgreichen Abschluss der Client-Installation aktualisiert werden.
Herunterladen der aktuellen Treiber
1

Gehen Sie zu support.dell.com.

Wählen Sie Ihr Computermodell aus.

Wählen Sie Treiber & Downloads.

Wählen Sie das auf dem Zielcomputer ausgeführte Betriebssystem aus.

Erweitern Sie die Kategorie Sicherheit.

Laden Sie die Dell ControlVault-Treiber herunter, und speichern Sie sie.

Laden Sie die Dell ControlVault-Firmware herunter, und speichern Sie sie.

Kopieren Sie die Treiber und die Firmware bei Bedarf auf die Zielcomputer.

Installieren des Dell ControlVault-Treibers
Gehen Sie zu dem Ordner, in den Sie die Treiberinstallationsdatei abgelegt haben.
Doppelklicken Sie auf den Dell ControlVault-Treiber, um die selbstextrahierende EXE-Datei aufzurufen.

: Achten Sie darauf, als Erstes den Treiber zu installieren. Der Dateiname des Treibers zum Zeitpunkt der Erstellung
dieses Dokuments lautet „ControlVault_Setup_2MYJC_A37_ZPE.exe“.
Klicken Sie zum Fortsetzen des Vorgangs auf Weiter.
Klicken Sie auf OK, um die Treiberdateien in den Standardordner C:\Dell\Drivers\ zu entpacken.
Klicken Sie auf Ja, um die Erstellung eines neuen Ordners zu genehmigen.
Klicken Sie auf OK, wenn die Nachricht angezeigt wird, dass die Dateien erfolgreich entpackt wurden.
Nach dem Entpacken wird der Ordner angezeigt, der die entpackten Dateien enthält. Ist dies nicht der Fall, gehen Sie zu dem Ordner,
in den Sie die Dateien entpackt haben. Der Ordner ist als JW22F bezeichnet
Doppelklicken Sie auf die Datei CVHCI64.MSI, um das Treiberinstallationsprogramm zu starten. [Die Datei CVHCI64.MSI in diesem
Beispiel bezieht sich auf ein 64-Bit-System. Bei einem 32-Bit-System wählen Sie die Datei CVHCI32.MSI aus].
Klicken Sie auf dem Begrüßungsbildschirm auf Weiter.

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Klicken Sie auf Weiter, um die Treiber in den Standardordner unter C:\Program Files\Broadcom Corporation\Broadcom USH Host
Components\. zu installieren.
Wählen Sie die Option Abschließen aus, und klicken Sie auf Weiter.
Klicken Sie auf Installieren, um mit der Installation der Treiber zu beginnen.
Aktivieren Sie optional das Kontrollkästchen, um die Protokolldatei für das Installationsprogramm anzuzeigen. Klicken Sie zum
Beenden des Assistenten auf Fertig stellen.
Überprüfen der Treiberinstallation
Der Gerätemanager zeigt je nach Betriebssystem und Hardwarekonfiguration ein Dell ControlVault-Gerät (sowie weitere Geräte) an.
Installieren der Dell ControlVault-Firmware
1

Gehen Sie zu dem Ordner, in den Sie die Firmware-Installationsdatei abgelegt haben.

Doppelklicken Sie auf die Dell ControlVault-Firmware, um die selbstextrahierende EXE-Datei aufzurufen.

Klicken Sie zum Fortsetzen des Vorgangs auf Weiter.

Klicken Sie auf OK, um die Treiberdateien in den Standardordner C:\Dell\Drivers\ zu entpacken.

Klicken Sie auf Ja, um die Erstellung eines neuen Ordners zu genehmigen.

Klicken Sie auf OK, wenn die Nachricht angezeigt wird, dass die Dateien erfolgreich entpackt wurden.

Nach dem Entpacken wird der Ordner angezeigt, der die entpackten Dateien enthält. Ist dies nicht der Fall, gehen Sie zu dem Ordner,
in den Sie die Dateien entpackt haben. Wählen Sie den Ordner Firmware aus.

Doppelklicken Sie auf die Datei ushupgrade.exe, um das Firmware-Installationsprogramm zu starten.

Klicken Sie zum Starten der Firmware auf Start.

:
Sie werden möglicherweise dazu aufgefordert, das Administratorkennwort einzugeben, wenn Sie ein Upgrade von einer
älteren Firmware-Version durchführen. Geben Sie Broadcom als Kennwort ein, und klicken Sie auf Eingabe, wenn diese
Option im Dialogfeld angezeigt wird.
Es werden nun verschiedene Statusmeldungen angezeigt.
10

Klicken Sie auf Neu starten, um das Firmware-Upgrade abzuschließen.
Die Aktualisierung der Treiber und der Firmware für Dell ControlVault ist damit abgeschlossen.

Cloud Edition – Fehlerbehebung
Verwenden Sie den Bildschirm „Details“
Sie können den Details-Bildschirm zur Fehlerbehebung oder für Support-Probleme verwenden. Beispiel:
•

Wenn ein Benutzer einen Ordner erstellt, der jedoch nicht verschlüsselt wird, wählen Sie Details > Dateien > Ordnerzustand aus, um
den Zustand zu überprüfen.

•

Wenn Endbenutzer Support anfordern, können Sie sie anweisen, den Bildschirm „Erweiterte Details“ einzurichten und auf die
Registerkarte Details > Richtlinie zu klicken. Auf dieser Registerkarte werden die Richtlinien aufgelistet, die derzeit durchgesetzt
werden.

•

Sehen Sie sich die Protokolle zur Fehlerbehebung an.

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Verwenden Sie den Bildschirm „Erweiterte Details“
•

Halten Sie > gedrückt, und klicken Sie gleichzeitig auf das Cloud Edition-Symbol in der Taskleiste, und wählen Sie
anschließend Details aus.

•

Zusätzlich zu den Dateien und Ordnern wird das Folgende angezeigt:
Sicherheit: Listet den Schlüssel, Schlüsseltyp und Zustand auf.
Überprüfung: Listet die Module, Benutzer-ID und Ereignis-Typ auf. Die Informationen befinden sich in diesem Überwachungsprotokoll
in einer Warteschlange und werden in festgelegten Intervallen an den EE Server/VE-Server gesendet. Der Administrator kann den
Compliance Reporter zur Erstellung von Berichten zur Überwachung erstellen.
Richtlinie: Listet alle Richtliniennamen und -werte auf.

Protokolldateien anzeigen
•

Klicken Sie im unteren, linken Bereich des Details-Bildschirms auf Protokoll anzeigen .
Sie finden die Protokolldateien auch unter C:\ProgramData\Dell\Dell Data Protection\Cloud Edition.

Temporäre Ordnerverwaltungsrechte gewähren
Sollten Benutzer Dateien vor der Installation der Cloud Edition hochgeladen haben, können Sie einigen Benutzern temporäre
Ordnerverwaltungsrechte einräumen.
1

Setzen Sie die Richtlinie Ordnerverwaltung aktiviert für die entsprechenden Endpunkte auf Wahr.

Teilen Sie dem Benutzer mit, die Verschlüsselung für bereits bestehende Ordner manuell zu aktivieren. Die Dateien werden
verschlüsselt, wenn die Dateien mit der Cloud synchronisiert werden.

Nachdem die Ordner verschlüsselt wurden, stellen Sie die Richtlinie Ordnerverwaltung aktiviert für die entsprechenden Endpunkte
auf Falsch.

Häufig gestellte Fragen
Frage
•

Ich habe die Richtlinie Dateinamen verbergen von GUID auf Nur Erweiterung geändert. Die bislang synchronisierten Ordner
verschlüsseln die Dateien jedoch immer noch im anderen Format mit GUID-Dateinamen. Warum?

Antwort
•

Wenn eine Richtlinie auf dem EE-Server/VE-Server geändert wird, behält Cloud Edition die vorherige Richtlinie für den Ordner bei. Die
Richtlinie wird auf alle neu erstellten Ordner angewendet, die daher im Format Nur Erweiterung verschlüsselt werden.

Lösung
•

Um das Format Nur Erweiterung auf die alten Dateien anzuwenden, verschieben Sie sie in einen neu erstellten Ordner, auf den die
neue Richtlinie angewendet wurde.

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Frage
•

Ich habe Cloud Edition installiert und aktiviert, aber eine neue Domäne wurde ausgelassen. Ich habe die alte Domäne getrennt und zur
neuen Domäne hinzugefügt. Cloud Edition wird mit dem Staus „Aktiv“ angezeigt, erhält jedoch keine Richtlinienaktualisierungen und
nimmt keine Verschlüsselung vor. Warum?

Antwort
•

Der EE-Server/VE-Server erkennt nur den Endpunkt, bei dem die ursprüngliche Aktivierung vorgenommen wurde. Wenn Sie den
Endpunktnamen ändern, erfasst der EE-Server/VE-Server ihn nicht mehr als Empfänger der Richtlinie, und Cloud Edition funktioniert
nicht wie erwartet.

Lösung
1

Deinstallieren Sie Cloud Edition und installieren Sie sie dann erneut.

Aktivieren Sie den Benutzer erneut.
ANMERKUNG:
Achten Sie darauf, vor diesen Schritten keine Dateien auf dem lokalen Computer zu synchronisieren, andernfalls könnten Daten in
der Cloud ungeschützt sein oder gelöscht werden.

Frage
•

Warum kann Cloud Edition in einer verwalteten Sitzung keine Klartextdateien herunterladen?

Antwort
•

Cloud Edition wandelt alles, was der Browser sieht, in .xen-Dateien um. Dazu zählen auch Downloads von Klartextdateien nach der
Erstellung der Datei. Sie sollten Endbenutzer anweisen, alle Dateien auf Webseiten in einer verwalteten Cloud zu schützen.

UEFI-Computer
Fehlerbehebung bei Problemen mit der Netzwerkverbindung
•

Damit die Preboot-Authentifizierung auf einem Computer mit UEFI-Firmware erfolgreich verläuft, muss der PBA-Modus mit
Netzwerkkonnektivität ausgerüstet sein. Auf Computern mit UEFI-Firmware ist standardmäßig erst dann Netzwerkkonnektivität
verfügbar, wenn das Betriebssystem geladen wurde. Dies geschieht in der Regel nach dem PBA-Modus. Wenn der Computer
beschriebene Verfahren in Pre-Installation Konfiguration für den UEFI-Computern erfolgreich abgeschlossen wurde und korrekt
konfiguriert ist, geht die Netzwerkverbindung Symbol zeigt auf der Preboot authentication Bildschirm an, wenn der Computer mit dem
Netzwerk verbunden ist.

•

Falls das Symbol für die Netzwerkverbindung während der Preboot-Authentifizierung trotzdem nicht angezeigt wird, überprüfen Sie,
ob das Netzkabel ordnungsgemäß an den Computer angeschlossen ist. Falls das Kabel nicht angeschlossen oder locker war, starten
Sie den Computer neu, um einen Neustart des PBA-Modus zu bewirken.

Dell Data Protection | Enterprise Edition
Fehlerbehebung

TPM und BitLocker
Fehlercodes für TPM und BitLocker
Konstante/Wert

Beschreibung

TPM_E_ERROR_MASK

Dies ist eine Fehlermaske, die zum Konvertieren der TPMHardwarefehler in Win-Fehler verwendet wird.

0x80280000
TPM_E_AUTHFAIL

Authentifizierung fehlgeschlagen

0x80280001
TPM_E_BADINDEX

Der Index für ein PCR, DIR oder ein anderes Register ist falsch.

0x80280002
TPM_E_BAD_PARAMETER

Ein oder mehrere Parameter sind falsch.

0x80280003
TPM_E_AUDITFAILURE
0x80280004
TPM_E_CLEAR_DISABLED
0x80280005
TPM_E_DEACTIVATED

Ein Vorgang wurde erfolgreich abgeschlossen, aber beim
Überwachen des Vorgangs ist ein Fehler aufgetreten.

Das Flag zum Deaktivieren des Löschens ist gesetzt, und für alle
Löschvorgänge ist jetzt ein physikalischer Zugriff erforderlich.

Aktivieren Sie das TPM.

0x80280006
TPM_E_DISABLED

Aktivieren Sie das TPM.

0x80280007
TPM_E_DISABLED_CMD

Der Zielbefehl wurde deaktiviert.

0x80280008
TPM_E_FAIL

Der Vorgang ist fehlgeschlagen.

0x80280009
TPM_E_BAD_ORDINAL

Die Ordnungszahl war unbekannt oder nicht konsistent.

0x8028000A
TPM_E_INSTALL_DISABLED

Die Option zum Installieren eines Besitzers ist deaktiviert.

0x8028000B
TPM_E_INVALID_KEYHANDLE
0x8028000C

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Das Schlüsselhandle kann nicht interpretiert werden.

Konstante/Wert

Beschreibung

TPM_E_KEYNOTFOUND

Das Schlüsselhandle zeigt auf einen ungültigen Schlüssel.

0x8028000D
TPM_E_INAPPROPRIATE_ENC

Unzulässiges Verschlüsselungsschema.

0x8028000E
TPM_E_MIGRATEFAIL

Fehler bei der Migrationsautorisierung.

0x8028000F
TPM_E_INVALID_PCR_INFO

Die PCR-Informationen konnten nicht interpretiert werden.

0x80280010
TPM_E_NOSPACE

Kein Platz zum Laden des Schlüssels.

0x80280011
TPM_E_NOSRK

Es ist kein Speicherstammschlüsselsatz (SRK) vorhanden.

0x80280012
TPM_E_NOTSEALED_BLOB
0x80280013
TPM_E_OWNER_SET

Ein verschlüsseltes BLOB ist ungültig oder wurde nicht mit diesem
TPM erstellt.

Das TPM verfügt bereits über einen Besitzer.

0x80280014
TPM_E_RESOURCES
0x80280015
TPM_E_SHORTRANDOM

Das TPM verfügt nicht über ausreichend interne Ressourcen, um
die angeforderte Aktion auszuführen.

Eine zufällige Zeichenfolge war zu kurz.

0x80280016
TPM_E_SIZE
0x80280017
TPM_E_WRONGPCRVAL
0x80280018
TPM_E_BAD_PARAM_SIZE

Das TPM verfügt nicht über ausreichend Speicherplatz, um den
Vorgang auszuführen.

Der benannte PCR-Wert stimmt nicht mit dem aktuellen PCR-Wert
überein.

Das paramSize-Argument für den Befehl hat einen falschen Wert.

0x80280019
TPM_E_SHA_THREAD

Es ist kein SHA-1-Thread vorhanden.

0x8028001A
TPM_E_SHA_ERROR
0x8028001B

Die Berechnung kann nicht fortgesetzt werden, da beim
vorhandenen SHA-1-Thread bereits ein Fehler aufgetreten ist.

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Konstante/Wert

Beschreibung

TPM_E_FAILEDSELFTEST

Vom TPM-Hardwaregerät wurde beim internen Selbsttest ein
Fehler gemeldet. Starten Sie den Computer neu, um das Problem
zu beheben. Falls das Problem weiterhin besteht, muss ggf. die
TPM-Hardware oder die Hauptplatine ersetzt werden.

0x8028001C

TPM_E_AUTH2FAIL
0x8028001D
TPM_E_BADTAG

Die Autorisierung für den zweiten Schlüssel in einer 2Schlüsselfunktion war nicht erfolgreich.

Der für einen Befehl gesendete Tagwert ist ungültig.

0x8028001E
TPM_E_IOERROR
0x8028001F
TPM_E_ENCRYPT_ERROR

Beim Übermitteln von Informationen an das TPM ist ein E/A-Fehler
aufgetreten.

Beim Verschlüsselungsprozess ist ein Problem aufgetreten.

0x80280020
TPM_E_DECRYPT_ERROR

Der Entschlüsselungsprozess wurde nicht abgeschlossen.

0x80280021
TPM_E_INVALID_AUTHHANDLE

Ein ungültiges Handle wurde verwendet.

0x80280022
TPM_E_NO_ENDORSEMENT

Für das TPM ist kein Endorsement Key (EK) installiert.

0x80280023
TPM_E_INVALID_KEYUSAGE

Die Verwendung eines Schlüssels ist unzulässig.

0x80280024
TPM_E_WRONG_ENTITYTYPE

Der festgelegte Einheitstyp ist nicht zulässig.

0x80280025
TPM_E_INVALID_POSTINIT
0x80280026
TPM_E_INAPPROPRIATE_SIG
0x80280027
TPM_E_BAD_KEY_PROPERTY
0x80280028
TPM_E_BAD_MIGRATION

Der Befehl wurde relativ zu TPM_Init und einem nachfolgenden
TPM_Startup in der falschen Reihenfolge empfangen.

Signierte Daten können keine zusätzlichen DER-Informationen
enthalten.

Die Schlüsseleigenschaften in TPM_KEY_PARMs werden von
diesem TPM nicht unterstützt.

Die Migrationseigenschaften dieses Schlüssels sind falsch.

0x80280029
TPM_E_BAD_SCHEME
0x8028002A

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Die Signatur oder das Verschlüsselungsschema für diesen Schlüssel
ist falsch oder in dieser Situation nicht zulässig.

Konstante/Wert

Beschreibung

TPM_E_BAD_DATASIZE

Die Größe des Datenparameters (oder BLOB-Parameters) ist
unzulässig oder nicht mit dem Schlüssel konsistent, auf den
verwiesen wird.

0x8028002B
TPM_E_BAD_MODE
0x8028002C

TPM_E_BAD_PRESENCE
0x8028002D
TPM_E_BAD_VERSION

Ein Modusparameter ist ungültig, z. B. capArea oder subCapArea
für TPM_GetCapability, phsicalPresence-Parameter für
TPM_PhysicalPresence oder migrationType für
TPM_CreateMigrationBlob.
Die physicalPresence-Bits oder die physicalPresenceLock-Bits
haben den falschen Wert.

Das TPM kann diese Version der Funktion nicht ausführen.

0x8028002E
TPM_E_NO_WRAP_TRANSPORT
0x8028002F
TPM_E_AUDITFAIL_UNSUCCESSFUL
0x80280030
TPM_E_AUDITFAIL_SUCCESSFUL
0x80280031
TPM_E_NOTRESETABLE
0x80280032
TPM_E_NOTLOCAL
0x80280033
TPM_E_BAD_TYPE

Das TPM berücksichtigt keine eingeschlossenen
Transportsitzungen.

Bei der TPM-Überwachungskonstruktion ist ein Fehler aufgetreten,
und der zugrunde liegende Befehl hat auch einen Fehlercode
zurückgegeben.
Bei der TPM-Überwachungskonstruktion ist ein Fehler aufgetreten,
und der zugrunde liegende Befehl war erfolgreich.

Es wird versucht, ein PCR-Register zurückzusetzen, das nicht über
ein Resettable-Attribut verfügt.

Es wird versucht, ein PCR-Register zurückzusetzen, das erfordert,
dass Ort und Ortsänderer nicht Teil eines Befehlstransports sind.

Das BLOB zum Erstellen der Identität wurde nicht richtig typisiert.

0x80280034
TPM_E_INVALID_RESOURCE
0x80280035
TPM_E_NOTFIPS
0x80280036
TPM_E_INVALID_FAMILY

Beim Speichern des Kontexts entsprach der identifizierte
Ressourcentyp nicht der tatsächlichen Ressource.

Das TPM versucht, einen Befehl auszuführen, der nur im FIPSModus verfügbar ist.

Der Befehl versucht, eine ungültige Familien-ID zu verwenden.

0x80280037
TPM_E_NO_NV_PERMISSION
0x80280038
TPM_E_REQUIRES_SIGN

Die Berechtigung zum Ändern des permanenten Speichers ist nicht
verfügbar.

Der Vorgang erfordert einen signierten Befehl.

0x80280039

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Konstante/Wert

Beschreibung

TPM_E_KEY_NOTSUPPORTED

Falscher Vorgang zum Laden eines permanenten Schlüssels.

0x8028003A
TPM_E_AUTH_CONFLICT
0x8028003B
TPM_E_AREA_LOCKED

Das BLOB "NV_LoadKey" erfordert eine Besitzerautorisierung und
eine BLOB-Autorisierung.

Der permanente Bereich ist gesperrt und nicht beschreibbar.

0x8028003C
TPM_E_BAD_LOCALITY

Der Ort für den Vorgang ist falsch.

0x8028003D
TPM_E_READ_ONLY
0x8028003E
TPM_E_PER_NOWRITE

Der permanente Bereich ist schreibgeschützt und daher nicht
beschreibbar.

Der permanente Bereich ist nicht schreibgeschützt.

0x8028003F
TPM_E_FAMILYCOUNT

Fehlende Übereinstimmung beim Familienanzahlwert.

0x80280040
TPM_E_WRITE_LOCKED

Der permanente Bereich wurde bereits beschrieben.

0x80280041
TPM_E_BAD_ATTRIBUTES

Konflikt bei den Attributen des permanenten Bereichs.

0x80280042
TPM_E_INVALID_STRUCTURE

Das Strukturtag und die Version sind ungültig oder inkonsistent.

0x80280043
TPM_E_KEY_OWNER_CONTROL
0x80280044
TPM_E_BAD_COUNTER

Der Schlüssel wird vom TPM-Besitzer kontrolliert und kann nur
vom TPM-Besitzer entfernt werden.

Das Zählerhandle ist ungültig.

0x80280045
TPM_E_NOT_FULLWRITE

Beim Schreibvorgang wird nicht der gesamte Bereich beschrieben.

0x80280046
TPM_E_CONTEXT_GAP
0x80280047
TPM_E_MAXNVWRITES
0x80280048

100

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Die Lücke zwischen den gespeicherten Kontextanzahlwerten ist zu
groß.

Die maximale Anzahl von permanenten Schreibvorgängen ohne
Besitzer wurde überschritten.

Konstante/Wert

Beschreibung

TPM_E_NOOPERATOR

Es ist kein AuthData-Operatorwert festgelegt.

0x80280049
TPM_E_RESOURCEMISSING

Die Ressource, auf die der Kontext zeigt, ist nicht geladen.

0x8028004A
TPM_E_DELEGATE_LOCK

Die Delegatverwaltung ist gesperrt.

0x8028004B
TPM_E_DELEGATE_FAMILY
0x8028004C
TPM_E_DELEGATE_ADMIN

Es wurde versucht, eine andere als die delegierte Familie zu
verwalten.

Die Verwaltung der Delegierungstabelle ist nicht aktiviert.

0x8028004D
TPM_E_TRANSPORT_NOTEXCLUSIVE
0x8028004E
TPM_E_OWNER_CONTROL
0x8028004F
TPM_E_DAA_RESOURCES
0x80280050
TPM_E_DAA_INPUT_DATA0
0x80280051
TPM_E_DAA_INPUT_DATA1
0x80280052
TPM_E_DAA_ISSUER_SETTINGS

Es wurde ein Befehl außerhalb einer exklusiven Transportsitzung
ausgeführt.

Es wird versucht, einen kontrollierten Schlüssel ohne Besitzer im
Kontext zu speichern.

Der DAA-Befehl hat keine verfügbaren Ressourcen zum Ausführen
des Befehls.

Fehler bei der Konsistenzprüfung des DAA-Parameters
"inputData0".

Fehler bei der Konsistenzprüfung des DAA-Parameters
"inputData1".

Fehler bei der Konsistenzprüfung für DAA_issuerSettings.

0x80280053
TPM_E_DAA_TPM_SETTINGS

Fehler bei der Konsistenzprüfung für DAA_tpmSpecific.

0x80280054
TPM_E_DAA_STAGE
0x80280055
TPM_E_DAA_ISSUER_VALIDITY
0x80280056
TPM_E_DAA_WRONG_W

Der vom gesendeten DAA-Befehl angegebene atomare Prozess ist
nicht der erwartete Prozess.

Die Validitätsprüfung des Herausgebers hat eine Inkonsistenz
ergeben.

Eine Konsistenzprüfung auf W ist fehlgeschlagen.

0x80280057

Dell Data Protection | Enterprise Edition
Fehlerbehebung

101

Konstante/Wert

Beschreibung

TPM_E_BAD_HANDLE

Das Handle ist ungültig.

0x80280058
TPM_E_BAD_DELEGATE

Die Delegierung ist falsch.

0x80280059
TPM_E_BADCONTEXT

Das Kontext-BLOB ist ungültig.

0x8028005A
TPM_E_TOOMANYCONTEXTS

Das TPM enthält zu viele Kontexte.

0x8028005B
TPM_E_MA_TICKET_SIGNATURE

Fehler bei der Überprüfung der Migrationsautoritätssignatur.

0x8028005C
TPM_E_MA_DESTINATION

Das Migrationsziel wurde nicht authentifiziert.

0x8028005D
TPM_E_MA_SOURCE

Die Migrationsquelle ist falsch.

0x8028005E
TPM_E_MA_AUTHORITY

Die Migrationsautorität ist falsch.

0x8028005F
TPM_E_PERMANENTEK
0x80280061
TPM_E_BAD_SIGNATURE

Es wurde versucht, den EK zu widerrufen, der EK kann jedoch nicht
widerrufen werden.

Die Signatur des CMK-Tickets ist ungültig.

0x80280062
TPM_E_NOCONTEXTSPACE

In der Kontextliste ist kein Platz für weitere Kontexte verfügbar.

0x80280063
TPM_E_COMMAND_BLOCKED

Der Befehl wurde geblockt.

0x80280400
TPM_E_INVALID_HANDLE

Das angegebene Handle wurde nicht gefunden.

0x80280401
TPM_E_DUPLICATE_VHANDLE
0x80280402
TPM_E_EMBEDDED_COMMAND_BLOCKED
0x80280403

102

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Das TPM hat ein doppeltes Handle zurückgegeben, und der Befehl
muss neu gesendet werden.

Der Befehl im Transport wurde blockiert.

Konstante/Wert

Beschreibung

TPM_E_EMBEDDED_COMMAND_UNSUPPORTED

Der Befehl im Transport wird nicht unterstützt.

0x80280404
TPM_E_RETRY
0x80280800

Das TPM ist zu ausgelastet, um sofort auf den Befehl zu reagieren,
aber der Befehl kann zu einem späteren Zeitpunkt erneut gesendet
werden.

TPM_E_NEEDS_SELFTEST

SelfTestFull wurde nicht ausgeführt.

0x80280801
TPM_E_DOING_SELFTEST

Das TPM führt gerade einen vollständigen Selbsttest aus.

0x80280802
TPM_E_DEFEND_LOCK_RUNNING
0x80280803
TBS_E_INTERNAL_ERROR

Das TPM wehrt Verzeichnisangriffe ab und befindet sich in einer
Zeitüberschreitungsperiode.

Ein interner Softwarefehler ist aufgetreten.

0x80284001
TBS_E_BAD_PARAMETER

Mindestens ein Eingabeparameter ist ungültig.

0x80284002
TBS_E_INVALID_OUTPUT_POINTER

Ein angegebener Ausgabezeiger ist ungültig.

0x80284003
TBS_E_INVALID_CONTEXT
0x80284004
TBS_E_INSUFFICIENT_BUFFER

Das angegebene Kontexthandle bezieht sich nicht auf einen
gültigen Kontext.

Der angegebene Ausgabepuffer ist zu klein.

0x80284005
TBS_E_IOERROR

Bei der Kommunikation mit TPM ist ein Fehler aufgetreten.

0x80284006
TBS_E_INVALID_CONTEXT_PARAM

Mindestens ein Kontextparameter ist ungültig.

0x80284007
TBS_E_SERVICE_NOT_RUNNING
0x80284008
TBS_E_TOO_MANY_TBS_CONTEXTS
0x80284009
TBS_E_TOO_MANY_RESOURCES
0x8028400A

Der TBS-Dienst wird nicht ausgeführt und konnte nicht gestartet
werden.

Ein neuer Kontext konnte nicht erstellt werden, das bereits zu viele
offene Kontexte vorhanden sind.

Eine neue virtuelle Ressource konnte nicht erstellt werden, da
bereits zu viele offene virtuelle Ressource vorhanden sind.

Dell Data Protection | Enterprise Edition
Fehlerbehebung

103

Konstante/Wert

Beschreibung

TBS_E_SERVICE_START_PENDING

Der TBS-Dienst wurde gestartet, wird jedoch noch nicht
ausgeführt.

0x8028400B
TBS_E_PPI_NOT_SUPPORTED

Die physikalische Anwesenheitsschnittstelle wird nicht unterstützt.

0x8028400C
TBS_E_COMMAND_CANCELED

Der Befehl wurde abgebrochen.

0x8028400D
TBS_E_BUFFER_TOO_LARGE

Der Eingabe- oder Ausgabepuffer ist zu groß.

0x8028400E
TBS_E_TPM_NOT_FOUND
0x8028400F
TBS_E_SERVICE_DISABLED

Auf diesem Computer wurde kein kompatibles TPMSicherheitsgerät gefunden.

Der TBS-Dienst wurde deaktiviert.

0x80284010
TBS_E_NO_EVENT_LOG

Es ist kein TCG-Ereignisprotokoll verfügbar.

0x80284011
TBS_E_ACCESS_DENIED
0x80284012
TBS_E_PROVISIONING_NOT_ALLOWED
0x80284013

TBS_E_PPI_FUNCTION_UNSUPPORTED
0x80284014
TBS_E_OWNERAUTH_NOT_FOUND

Der Aufrufer verfügt nicht über die erforderlichen
Sicherheitsrechte, um den angeforderten Vorgang durchführen zu
können.
Die TPM-Bereitstellungsaktion ist aufgrund der angegebenen
Kennzeichnungen nicht zulässig. Für eine erfolgreiche
Bereitstellung muss unter Umständen eine von mehreren
verschiedenen Aktionen ausgeführt werden. Die Aktion der TPMVerwaltungskonsole ("Start" -> "tpm.msc") zur Herstellung der
TPM-Bereitschaft ist dabei möglicherweise hilfreich. Weitere
Informationen finden Sie in der Dokumentation zur Win32_Tpm
WMI-Methode 'Provision'. (Möglicherweise erforderliche Aktionen:
Importieren des TPM-Besitzerautorisierungswerts in das System,
Aufrufen der WMI-Methode "Win32_Tpm" für die TPMBereitstellung und Angeben von TRUE für "ForceClear_Allowed"
oder für "PhysicalPresencePrompts_Allowed" (gemäß Angabe
durch den Wert, der unter "Zusätzliche Informationen"
zurückgegeben wird) oder Ausführen der TPM-Aktivierung im
System-BIOS.)
Die angeforderte Methode wird von der physischen
Anwesenheitsschnittstelle dieser Firmware nicht unterstützt.

Der angeforderte TPM OwnerAuth-Wert wurde nicht gefunden.

0x80284015
TBS_E_PROVISIONING_INCOMPLETE
0x80284016

104

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Die TPM-Bereitstellung wurde nicht abgeschlossen. Wenn Sie
weitere Informationen zum Abschluss der Bereitstellung benötigen,
rufen Sie die Win32_Tpm-WMI-Methode für die Bereitstellung des
TPM ("Provision") auf, und lesen Sie die angezeigten
Informationen.

Konstante/Wert

Beschreibung

TPMAPI_E_INVALID_STATE

Die Befehlspuffer befindet sich nicht im richtigen Zustand.

0x80290100
TPMAPI_E_NOT_ENOUGH_DATA
0x80290101
TPMAPI_E_TOO_MUCH_DATA

Die Befehlspuffer enthält nicht genügend Daten für die
Anforderung.

Die Befehlspuffer enthält keine weiteren Daten.

0x80290102
TPMAPI_E_INVALID_OUTPUT_POINTER

Mindestens ein Ausgabeparameter ist NULL oder ungültig.

0x80290103
TPMAPI_E_INVALID_PARAMETER

Mindestens ein Eingabeparameter ist ungültig.

0x80290104
TPMAPI_E_OUT_OF_MEMORY
0x80290105
TPMAPI_E_BUFFER_TOO_SMALL

Für diese Anforderung ist nicht genügend Arbeitsspeicher
verfügbar.

Der angegebene Puffer war zu klein.

0x80290106
TPMAPI_E_INTERNAL_ERROR

Ein interner Fehler wurde festgestellt.

0x80290107
TPMAPI_E_ACCESS_DENIED
0x80290108

Der Aufrufer verfügt nicht über die erforderlichen
Sicherheitsrechte, um den angeforderten Vorgang durchführen zu
können.

TPMAPI_E_AUTHORIZATION_FAILED

Die angegebenen Autorisierungsinformationen sind ungültig.

0x80290109
TPMAPI_E_INVALID_CONTEXT_HANDLE

Das angegebene Kontexthandle ist ungültig.

0x8029010A
TPMAPI_E_TBS_COMMUNICATION_ERROR

Bei der Kommunikation mit TBS ist ein Fehler aufgetreten.

0x8029010B
TPMAPI_E_TPM_COMMAND_ERROR

TPM hat ein unerwartetes Ergebnis zurückgeliefert.

0x8029010C
TPMAPI_E_MESSAGE_TOO_LARGE

Die Nachricht ist zu lang für das Codierungsschema.

0x8029010D
TPMAPI_E_INVALID_ENCODING

Die Codierung des BLOB wurde nicht erkannt.

0x8029010E

Dell Data Protection | Enterprise Edition
Fehlerbehebung

105

Konstante/Wert

Beschreibung

TPMAPI_E_INVALID_KEY_SIZE

Die Schlüsselgröße ist ungültig.

0x8029010F
TPMAPI_E_ENCRYPTION_FAILED

Der Verschlüsselungsvorgang ist fehlgeschlagen.

0x80290110
TPMAPI_E_INVALID_KEY_PARAMS

Die Schlüsselparameterstruktur ist ungültig.

0x80290111
TPMAPI_E_INVALID_MIGRATION_AUTHORIZATION_BLOB
0x80290112

Bei den bereitgestellten Daten, die angefordert wurden, scheint es
sich nicht um ein gültiges Migrationsautorisierungs-BLOB zu
handeln.

TPMAPI_E_INVALID_PCR_INDEX

Der angegebene PCR-Index ist ungültig.

0x80290113
TPMAPI_E_INVALID_DELEGATE_BLOB
0x80290114
TPMAPI_E_INVALID_CONTEXT_PARAMS

Bei den angegebenen Daten scheint es sich nicht um ein gültiges
Delegat-BLOB zu handeln.

Mindestens ein angegebener Kontextparameter war ungültig.

0x80290115
TPMAPI_E_INVALID_KEY_BLOB
0x80290116
TPMAPI_E_INVALID_PCR_DATA

Bei den angegebenen Daten scheint es sich nicht um ein gültiges
Schlüssel-BLOB zu handeln.

Die angegebenen PCR-Daten sind ungültig.

0x80290117
TPMAPI_E_INVALID_OWNER_AUTH

Das Format des Besitzers der Authentifizierungsdaten ist ungültig.

0x80290118
TPMAPI_E_FIPS_RNG_CHECK_FAILED
0x80290119
TPMAPI_E_EMPTY_TCG_LOG

Die generierte Zufallszahl hat die FIPS RNG-Prüfung nicht
bestanden.

Das TCG-Ereignisprotokoll enthält keine Daten.

0x8029011A
TPMAPI_E_INVALID_TCG_LOG_ENTRY

Ein Eintrag im TCG-Ereignisprotokoll war ungültig.

0x8029011B
TPMAPI_E_TCG_SEPARATOR_ABSENT

Es wurde kein TCG-Trennzeichen gefunden.

0x8029011C
TPMAPI_E_TCG_INVALID_DIGEST_ENTRY
0x8029011D

106

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Ein Digestwert in einem TCG-Protokolleintrag stimmte nicht mit
den Hashdaten überein.

Konstante/Wert

Beschreibung

TPMAPI_E_POLICY_DENIES_OPERATION
0x8029011E

Der angeforderte Vorgang wurde von der aktuellen TPM-Richtlinie
blockiert. Wenden Sie sich an den Systemadministrator, wenn Sie
Hilfe benötigen.

TBSIMP_E_BUFFER_TOO_SMALL

Der angegebene Puffer war zu klein.

0x80290200
TBSIMP_E_CLEANUP_FAILED

Der Kontext konnte nicht bereinigt werden.

0x80290201
TBSIMP_E_INVALID_CONTEXT_HANDLE

Das angegebene Kontexthandle ist ungültig.

0x80290202
TBSIMP_E_INVALID_CONTEXT_PARAM

Ein ungültiger Kontextparameter wurde angegeben.

0x80290203
TBSIMP_E_TPM_ERROR

Bei der Kommunikation mit TPM ist ein Fehler aufgetreten.

0x80290204
TBSIMP_E_HASH_BAD_KEY

Es wurde kein Eintrag mit dem angegebenen Schlüssel gefunden.

0x80290205
TBSIMP_E_DUPLICATE_VHANDLE
0x80290206
TBSIMP_E_INVALID_OUTPUT_POINTER
0x80290207
TBSIMP_E_INVALID_PARAMETER

Das angegebene virtuelle Handle stimmt mit einem virtuellen Handle
überein, das bereits verwendet wird.

Der Zeiger auf den zurückgegebenen Handlespeicherort war NULL
oder ungültig.

Ein oder mehrere Parameter sind ungültig.

0x80290208
TBSIMP_E_RPC_INIT_FAILED

Das RPC-Subsystem konnte nicht initialisiert werden.

0x80290209
TBSIMP_E_SCHEDULER_NOT_RUNNING

Die TBS-Zeitplanung wird nicht ausgeführt.

0x8029020A
TBSIMP_E_COMMAND_CANCELED

Der Befehl wurde abgebrochen.

0x8029020B
TBSIMP_E_OUT_OF_MEMORY
0x8029020C
TBSIMP_E_LIST_NO_MORE_ITEMS
0x8029020D

Es war nicht genügend Arbeitsspeicher verfügbar, um die
Anforderung zu erfüllen.

Die angegebene Liste ist leer, oder die Iteration hat das Ende der
Liste erreicht.

Dell Data Protection | Enterprise Edition
Fehlerbehebung

107

Konstante/Wert

Beschreibung

TBSIMP_E_LIST_NOT_FOUND

Das angegebene Element wurde nicht in der Liste gefunden.

0x8029020E
TBSIMP_E_NOT_ENOUGH_SPACE
0x8029020F
TBSIMP_E_NOT_ENOUGH_TPM_CONTEXTS

Das TPM verfügt nicht über genügend Speicherplatz, um die
angeforderte Ressource zu laden.

Es werden zu viele TPM-Kontexte verwendet.

0x80290210
TBSIMP_E_COMMAND_FAILED

Der TPM-Befehl ist fehlgeschlagen.

0x80290211
TBSIMP_E_UNKNOWN_ORDINAL

Der TBS erkennt die angegebene Ordnungszahl nicht.

0x80290212
TBSIMP_E_RESOURCE_EXPIRED

Die angegebene Ressource ist nicht mehr verfügbar.

0x80290213
TBSIMP_E_INVALID_RESOURCE

Der Ressourcentyp stimmte nicht überein.

0x80290214
TBSIMP_E_NOTHING_TO_UNLOAD

Es können keine Ressourcen entladen werden.

0x80290215
TBSIMP_E_HASH_TABLE_FULL

Der Hashtabelle können keine neuen Einträge hinzugefügt werden.

0x80290216
TBSIMP_E_TOO_MANY_TBS_CONTEXTS
0x80290217
TBSIMP_E_TOO_MANY_RESOURCES
0x80290218
TBSIMP_E_PPI_NOT_SUPPORTED

Ein neuer TBS-Kontext konnte nicht erstellt werden, da bereits zu
viele offene Kontexte vorhanden sind.

Eine neue virtuelle Ressource konnte nicht erstellt werden, da
bereits zu viele offene virtuelle Ressource vorhanden sind.

Die physikalische Anwesenheitsschnittstelle wird nicht unterstützt.

0x80290219
TBSIMP_E_TPM_INCOMPATIBLE
0x8029021A
TBSIMP_E_NO_EVENT_LOG

TBS ist nicht kompatibel mit der TPM-Version, die im System
gefunden wurde.

Es ist kein TCG-Ereignisprotokoll verfügbar.

0x8029021B
TPM_E_PPI_ACPI_FAILURE
0x80290300

108

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Beim Versuch, die BIOS-Antwort auf einen physischen
Anwesenheitsbefehl zu erhalten, wurde ein allgemeiner Fehler
festgestellt.

Konstante/Wert

Beschreibung

TPM_E_PPI_USER_ABORT

Der Benutzer konnte die TPM-Vorgangsanforderung nicht
bestätigen.

0x80290301
TPM_E_PPI_BIOS_FAILURE
0x80290302

Aufgrund des BIOS-Fehlers konnte der angeforderte TPM-Vorgang
nicht erfolgreich ausgeführt werden (z. B. ungültige TPMVorgangsanforderung, BIOS-Kommunikationsfehler beim TPM).

TPM_E_PPI_NOT_SUPPORTED

Das BIOS unterstützt die Anwesenheitsschnittstelle nicht.

0x80290303
TPM_E_PPI_BLOCKED_IN_BIOS
0x80290304

TPM_E_PCP_ERROR_MASK
0x80290400
TPM_E_PCP_DEVICE_NOT_READY
0x80290401
TPM_E_PCP_INVALID_HANDLE
0x80290402
TPM_E_PCP_INVALID_PARAMETER
0x80290403
TPM_E_PCP_FLAG_NOT_SUPPORTED
0x80290404
TPM_E_PCP_NOT_SUPPORTED
0x80290405
TPM_E_PCP_BUFFER_TOO_SMALL
0x80290406
TPM_E_PCP_INTERNAL_ERROR

Der Befehl für physische Anwesenheit wurde von den aktuellen
BIOS-Einstellungen blockiert. Der Systembesitzer kann
möglicherweise die BIOS-Einstellungen neu konfigurieren, um den
Befehl zuzulassen.
Dies ist eine Fehlermaske zum Konvertieren von
Plattformkryptografieanbieter-Fehlern in Win-Fehler.

Der Plattformkryptografieanbieter ist momentan nicht bereit. Er
muss vollständig bereitgestellt werden, um betriebsbereit zu sein.

Das für den Plattformkryptografieanbieter angegebene Handle ist
ungültig.

Ein für den Plattformkryptografieanbieter angegebener Parameter
ist ungültig.

Ein für den Plattformkryptografieanbieter angegebenes
Kennzeichen wird nicht unterstützt.

Der angeforderte Vorgang wird von diesem
Plattformkryptografieanbieter nicht unterstützt.

Der Puffer ist zu klein, um alle Daten aufzunehmen. Es wurden
keine Informationen in den Puffer geschrieben.

Unerwarteter interner Fehler im Plattformkryptografieanbieter.

0x80290407
TPM_E_PCP_AUTHENTICATION_FAILED

Fehler bei der Autorisierung der Verwendung eines Anbieterobjekts.

0x80290408
TPM_E_PCP_AUTHENTICATION_IGNORED
0x80290409

Die Autorisierung für das Anbieterobjekt wurde vom
Plattformkryptografiegerät ignoriert, um einen Wörterbuchangriff
abzuwehren.

TPM_E_PCP_POLICY_NOT_FOUND

Die referenzierte Richtlinie wurde nicht gefunden.

0x8029040A

Dell Data Protection | Enterprise Edition
Fehlerbehebung

109

Konstante/Wert

Beschreibung

TPM_E_PCP_PROFILE_NOT_FOUND

Das referenzierte Profil wurde nicht gefunden.

0x8029040B
TPM_E_PCP_VALIDATION_FAILED

Die Validierung war nicht erfolgreich.

0x8029040C
PLA_E_DCS_NOT_FOUND

Der Sammlungssatz wurde nicht gefunden.

0x80300002
PLA_E_DCS_IN_USE
0x803000AA
PLA_E_TOO_MANY_FOLDERS
0x80300045
PLA_E_NO_MIN_DISK
0x80300070
PLA_E_DCS_ALREADY_EXISTS

Der Sammlungssatz oder eine der Abhängigkeiten wird bereits
verwendet.

Der Sammlungssatz konnte nicht gestartet werden, da zu viele
Ordner vorhanden sind.

Es ist nicht genügend freier Speicherplatz verfügbar, um den
Sammlungssatz zu starten.

Der Sammlungssatz ist bereits vorhanden.

0x803000B7
PLA_S_PROPERTY_IGNORED

Der Eigenschaftswert wird ignoriert.

0x00300100
PLA_E_PROPERTY_CONFLICT

Konflikt beim Eigenschaftswert.

0x80300101
PLA_E_DCS_SINGLETON_REQUIRED
0x80300102
PLA_E_CREDENTIALS_REQUIRED
0x80300103
PLA_E_DCS_NOT_RUNNING

Die aktuelle Konfiguration für diesen Sammlungssatz erfordert, dass
er genau eine Sammlung enthält.

Es ist ein Benutzerkonto erforderlich, um die Eigenschaften des
aktuellen Sammlungssatzes zu übernehmen.

Der Sammlungssatz wird nicht ausgeführt.

0x80300104
PLA_E_CONFLICT_INCL_EXCL_API
0x80300105
PLA_E_NETWORK_EXE_NOT_VALID
0x80300106
PLA_E_EXE_ALREADY_CONFIGURED
0x80300107

110

Dell Data Protection | Enterprise Edition
Fehlerbehebung

In der Liste der APIs zum Ein-/Ausschließen wurde ein Konflikt
erkannt. Sie dürfen in der Liste der einzuschließenden und in der
Liste der auszuschließenden APIs nicht die gleiche API angeben.
Der angegebene ausführbare Pfad bezieht sich auf eine
Netzwerkfreigabe oder einen UNC-Pfad.

Der angegebene Pfad zur ausführbaren Datei ist bereits für die APIAblaufverfolgung konfiguriert.

Konstante/Wert

Beschreibung

PLA_E_EXE_PATH_NOT_VALID

Der angegebene Pfad zur ausführbaren Datei ist nicht vorhanden.
Stellen Sie sicher, dass der angegebene Pfad richtig ist.

0x80300108
PLA_E_DC_ALREADY_EXISTS

Der Datensammler ist bereits vorhanden.

0x80300109
PLA_E_DCS_START_WAIT_TIMEOUT
0x8030010A
PLA_E_DC_START_WAIT_TIMEOUT
0x8030010B
PLA_E_REPORT_WAIT_TIMEOUT
0x8030010C
PLA_E_NO_DUPLICATES

Zeitüberschreitung beim Warten auf die Startbenachrichtigung des
Datensammlersatzes.

Zeitüberschreitung beim Warten auf die Startbenachrichtigung des
Datensammlers.

Zeitüberschreitung beim Warten auf den Abschluss des
Berichtgenerierungstools.

Elementduplikate sind nicht zulässig.

0x8030010D
PLA_E_EXE_FULL_PATH_REQUIRED
0x8030010E

Wenn Sie die ausführbare Datei angeben, die Sie verfolgen
möchten, müssen Sie einen vollständigen Pfad zu der ausführbaren
Datei und nicht nur einen Dateinamen angeben.

PLA_E_INVALID_SESSION_NAME

Der angegebene Sitzungsname ist ungültig.

0x8030010F
PLA_E_PLA_CHANNEL_NOT_ENABLED
0x80300110
PLA_E_TASKSCHED_CHANNEL_NOT_ENABLED
0x80300111
PLA_E_RULES_MANAGER_FAILED

Der Ereignisprotokollkanal Microsoft-Windows-Diagnosis-PLA/
Operational muss aktiviert sein, um diesen Vorgang auszuführen.

Der Ereignisprotokollkanal Microsoft-Windows-TaskScheduler muss
aktiviert sein, um diesen Vorgang auszuführen.

Fehler bei der Ausführung des Regelmanagers.

0x80300112
PLA_E_CABAPI_FAILURE

Fehler beim Komprimieren oder Extrahieren der Daten.

0x80300113
FVE_E_LOCKED_VOLUME
0x80310000

Dieses Laufwerk ist durch die BitLocker-Laufwerkverschlüsselung
gesperrt. Sie müssen das Laufwerk über die Systemsteuerung
entsperren.

FVE_E_NOT_ENCRYPTED

Das Laufwerk ist nicht verschlüsselt.

0x80310001
FVE_E_NO_TPM_BIOS
0x80310002

Das BIOS hat nicht korrekt mit dem TPM kommuniziert.
Anweisungen zum Aktualisieren des BIOS erhalten Sie vom
Computerhersteller.

Dell Data Protection | Enterprise Edition
Fehlerbehebung

111

Konstante/Wert

Beschreibung

FVE_E_NO_MBR_METRIC

Das BIOS hat nicht korrekt mit dem Master Boot Record (MBR)
kommuniziert. Anweisungen zum Aktualisieren des BIOS erhalten
Sie vom Computerhersteller.

0x80310003
FVE_E_NO_BOOTSECTOR_METRIC
0x80310004

FVE_E_NO_BOOTMGR_METRIC
0x80310005

FVE_E_WRONG_BOOTMGR
0x80310006

FVE_E_SECURE_KEY_REQUIRED
0x80310007
FVE_E_NOT_ACTIVATED
0x80310008
FVE_E_ACTION_NOT_ALLOWED
0x80310009

FVE_E_AD_SCHEMA_NOT_INSTALLED
0x8031000A

FVE_E_AD_INVALID_DATATYPE
0x8031000B

FVE_E_AD_INVALID_DATASIZE
0x8031000C

FVE_E_AD_NO_VALUES
0x8031000D
FVE_E_AD_ATTR_NOT_SET
0x8031000E

112

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Eine erforderliche TPM-Messung fehlt. Befindet sich eine
startfähige CD oder DVD im Computer, entfernen Sie diese, starten
Sie den Computer neu, und aktivieren Sie BitLocker erneut. Falls
das Problem weiterhin besteht, stellen Sie sicher, dass der MBR
(Master Boot Record) aktuell ist.
Der Startsektor des Laufwerks ist nicht mit der BitLockerLaufwerkverschlüsselung kompatibel. Verwenden Sie das Tool
"Bootrec.exe" in der Windows-Wiederherstellungsumgebung, um
den Start-Manager (BOOTMGR) zu aktualisieren oder zu
reparieren.
Der Start-Manager des Betriebssystems ist nicht mit der BitLockerLaufwerkverschlüsselung kompatibel. Verwenden Sie das Tool
"Bootrec.exe" in der Windows-Wiederherstellungsumgebung, um
den Start-Manager (BOOTMGR) zu aktualisieren oder zu
reparieren.
Für die Ausführung des Vorgangs ist mindestens eine sichere
Schlüsselschutzvorrichtung erforderlich.

Die BitLocker-Laufwerkverschlüsselung ist für dieses Laufwerk
nicht aktiviert. Aktivieren Sie BitLocker.

Die BitLocker-Laufwerkverschlüsselung konnte die angeforderte
Aktion nicht ausführen. Dieses Problem kann auftreten, wenn zwei
Anforderungen gleichzeitig gesendet werden. Warten Sie einen
Moment, und wiederholen Sie anschließend die Aktion.
Die Gesamtstruktur des Active Directory-Domänendienstes enthält
nicht die erforderlichen Attribute und Klassen zum Hosten der
BitLocker-Laufwerkverschlüsselung oder der TPM-Informationen.
Wenden Sie sich an den Domänenadministrator, um zu überprüfen,
ob die erforderlichen Active Directory-Schemaerweiterungen für
BitLocker installiert wurden.
Der Typ der Daten, die aus Active Directory abgerufen wurden,
wurde nicht erwartet. Die BitLockerWiederherstellungsinformationen fehlen möglicherweise oder sind
beschädigt.
Die Größe der Daten, die aus Active Directory abgerufen wurden,
wurde nicht erwartet. Die BitLockerWiederherstellungsinformationen fehlen möglicherweise oder sind
beschädigt.
Das aus Active Directory gelesene Attribut enthält keine Werte. Die
BitLocker-Wiederherstellungsinformationen fehlen möglicherweise
oder sind beschädigt.
Das Attribut wurde nicht festgelegt. Überprüfen Sie, ob Sie an
einem Domänenkonto angemeldet sind, mit dem Informationen in
Active Directory-Objekte geschrieben werden können.

Konstante/Wert

Beschreibung

FVE_E_AD_GUID_NOT_FOUND

Das angegebene Attribut wurde in Active DirectoryDomänendienste nicht gefunden. Wenden Sie sich an den
Domänenadministrator, um zu überprüfen, ob die erforderlichen
Active Directory-Schemaerweiterungen für BitLocker installiert
wurden.

0x8031000F

FVE_E_BAD_INFORMATION
0x80310010
FVE_E_TOO_SMALL
0x80310011

FVE_E_SYSTEM_VOLUME
0x80310012

FVE_E_FAILED_WRONG_FS
0x80310013
FVE_E_BAD_PARTITION_SIZE
0x80310014

FVE_E_NOT_SUPPORTED

Die BitLocker-Metadaten für das verschlüsselte Laufwerk sind
ungültig. Versuchen Sie, das Laufwerk zu reparieren, um wieder
Zugriff zu erhalten.
Das Laufwerk kann nicht verschlüsselt werden, da nicht genügend
freier Speicherplatz verfügbar ist. Löschen Sie alle nicht benötigten
Daten auf dem Laufwerk, um zusätzlichen Speicherplatz
freizugeben, und wiederholen Sie anschließend den Vorgang.
Das Laufwerk kann nicht verschlüsselt werden, da es Informationen
zum Systemstart enthält. Erstellen Sie eine gesonderte Partition,
die als Systemlaufwerk mit den Startinformationen verwendet wird,
und eine zweite Partition, die als Betriebssystem-Laufwerk
verwendet wird. Verschlüsseln Sie anschließend das
Betriebssystem-Laufwerk.
Das Laufwerk kann nicht verschlüsselt werden, da das Dateisystem
nicht unterstützt wird.

Das Dateisystem ist größer als die Partitionsgröße in der
Partitionstabelle. Das Laufwerk ist möglicherweise beschädigt oder
wurde manipuliert. Für die Verwendung des Laufwerks mit
BitLocker muss die Partition neu formatiert werden.
Das Laufwerk kann nicht verschlüsselt werden.

0x80310015
FVE_E_BAD_DATA

Die Daten sind ungültig.

0x80310016
FVE_E_VOLUME_NOT_BOUND
0x80310017
FVE_E_TPM_NOT_OWNED
0x80310018
FVE_E_NOT_DATA_VOLUME
0x80310019
FVE_E_AD_INSUFFICIENT_BUFFER
0x8031001A
FVE_E_CONV_READ
0x8031001B

Das angegebene Datenlaufwerk ist nicht für die automatische
Entsperrung auf dem aktuellen Computer konfiguriert und kann
nicht automatisch entsperrt werden.
Sie müssen das TPM zuerst initialisieren, bevor Sie die BitLockerLaufwerkverschlüsselungs verwenden können.

Der gewünschte Vorgang kann auf einem Betriebssystem-Laufwerk
nicht ausgeführt werden.

Der Puffer, der an eine Funktion übergeben wurde, war zu klein, um
die zurückgegebenen Daten aufzunehmen. Erhöhen Sie die
Puffergröße vor der erneuten Ausführung der Funktion.
Ein Lesevorgang beim Konvertieren des Laufwerks war nicht
erfolgreich. Das Laufwerk wurde nicht konvertiert. Aktivieren Sie
BitLocker erneut.

Dell Data Protection | Enterprise Edition
Fehlerbehebung

113

Konstante/Wert

Beschreibung

FVE_E_CONV_WRITE

Ein Schreibvorgang beim Konvertieren des Laufwerks war nicht
erfolgreich. Das Laufwerk wurde nicht konvertiert. Aktivieren Sie
BitLocker erneut.

0x8031001C
FVE_E_KEY_REQUIRED
0x8031001D
FVE_E_CLUSTERING_NOT_SUPPORTED
0x8031001E
FVE_E_VOLUME_BOUND_ALREADY
0x8031001F
FVE_E_OS_NOT_PROTECTED
0x80310020
FVE_E_PROTECTION_DISABLED
0x80310021

FVE_E_RECOVERY_KEY_REQUIRED
0x80310022

FVE_E_FOREIGN_VOLUME
0x80310023
FVE_E_OVERLAPPED_UPDATE
0x80310024
FVE_E_TPM_SRK_AUTH_NOT_ZERO
0x80310025

FVE_E_FAILED_SECTOR_SIZE
0x80310026
FVE_E_FAILED_AUTHENTICATION
0x80310027
FVE_E_NOT_OS_VOLUME
0x80310028
FVE_E_AUTOUNLOCK_ENABLED
0x80310029

114

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Mindestens eine BitLocker-Schlüsselschutzvorrichtung ist
erforderlich. Der letzte Schlüssel auf dem Laufwerk kann nicht
gelöscht werden.
Clusterkonfigurationen werden von der BitLockerLaufwerkverschlüsselung nicht unterstützt.

Das angegebene Laufwerk ist bereits für die automatische
Entsperrung auf dem aktuellen Computer konfiguriert.

Das Laufwerk des Betriebssystems wird nicht durch BitLockerLaufwerkverschlüsselung geschützt.

Die BitLocker-Laufwerkverschlüsselung wurde für dieses Laufwerk
angehalten. Alle für das Laufwerk konfigurierten BitLockerSchlüsselschutzvorrichtungen werden effektiv deaktiviert, und das
Laufwerk wird automatisch mithilfe eines unverschlüsselten
Schlüssels entsperrt.
Für das zu sperrende Laufwerk sind keine
Schlüsselschutzvorrichtungen für eine Verschlüsselung verfügbar,
da der BitLocker-Schutz derzeit angehalten ist. Aktivieren Sie
BitLocker wieder, um das Laufwerk zu sperren.
BitLocker keine Datenlaufwerke mithilfe des TPM schützen. Der
TPM-Schutz kann nur mit dem Laufwerk des Betriebssystems
verwendet werden.
Die BitLocker-Metadaten für das verschlüsselte Laufwerk können
nicht aktualisiert werden, da sie für eine Aktualisierung durch einen
anderen Vorgang gesperrt waren. Wiederholen Sie den Vorgang.
Die Autorisierungsdaten für den Speicherstammschlüsselsatz
(SRK) des TPM sind nicht null und daher nicht mit BitLocker
kompatibel. Initialisieren Sie das TPM, bevor Sie es mit BitLocker
verwenden.
Der Laufwerkverschlüsselungsalgorithmus kann für diese
Sektorgröße nicht verwendet werden.

Das Laufwerk kann mit dem bereitgestellten Schlüssel nicht
entsperrt werden. Überprüfen Sie, ob Sie den richtigen Schlüssel
bereitgestellt haben, und wiederholen Sie den Vorgang.
Das angegebene Laufwerk ist nicht das Laufwerk des
Betriebssystems.

Die BitLocker-Laufwerkverschlüsselung kann für das Laufwerk des
Betriebssystems erst deaktiviert werden, wenn das Feature für
automatisches Entsperren für die dem Computer zugeordneten
integrierten Datenlaufwerke und die Wechseldatenlaufwerke
deaktiviert wurde.

Konstante/Wert

Beschreibung

FVE_E_WRONG_BOOTSECTOR

Der Startsektor der Systempartition führt keine TPM-Messungen
aus. Verwenden Sie das Tool "Bootrec.exe" in der WindowsWiederherstellungsumgebung, um den Startsektor zu aktualisieren
oder zu reparieren.

0x8031002A

FVE_E_WRONG_SYSTEM_FS
0x8031002B

FVE_E_POLICY_PASSWORD_REQUIRED
0x8031002C
FVE_E_CANNOT_SET_FVEK_ENCRYPTED
0x8031002D

FVE_E_CANNOT_ENCRYPT_NO_KEY
0x8031002E

FVE_E_BOOTABLE_CDDVD
0x80310030
FVE_E_PROTECTOR_EXISTS
0x80310031
FVE_E_RELATIVE_PATH
0x80310032

FVE_E_PROTECTOR_NOT_FOUND
0x80310033
FVE_E_INVALID_KEY_FORMAT
0x80310034

FVE_E_INVALID_PASSWORD_FORMAT
0x80310035

FVE_E_FIPS_RNG_CHECK_FAILED

Betriebssystem-Laufwerke für BitLocker-Laufwerkverschlüsselung
müssen mit dem NTFS-Dateisystem formatiert werden, um eine
Verschlüsselung vorzunehmen. Konvertieren Sie das Laufwerk in
NTFS, und aktivieren Sie anschließend BitLocker.
Für die Gruppenrichtlinieneinstellungen muss vor dem Verschlüsseln
des Laufwerks ein Wiederherstellungskennwort angegeben werden.

Der Algorithmus und der Schlüssel für die Laufwerkverschlüsselung
können nicht für ein zuvor verschlüsseltes Laufwerk festgelegt
werden. Zum Verschlüsseln des Laufwerks mit der BitLockerLaufwerkverschlüsselung muss die vorherige Verschlüsselung
entfernt und anschließend BitLocker aktiviert werden.
Das angegebene Laufwerk kann mit der BitLockerLaufwerkverschlüsselung nicht verschlüsselt werden, da kein
Verschlüsselungsschlüssel verfügbar ist. Fügen Sie zum
Verschlüsseln des Laufwerks eine Schlüsselschutzvorrichtung
hinzu.
Im Computer wurde ein startbarer Datenträger (CD oder DVD)
erkannt. Entfernen Sie den Datenträger, und starten Sie den
Computer neu, bevor Sie BitLocker konfigurieren.
Die Schlüsselschutzvorrichtung kann nicht hinzugefügt werden. Für
das Laufwerk ist nur eine Schlüsselschutzvorrichtung dieses Typs
zulässig.
Die Datei für das Wiederherstellungskennwort wurde nicht
gefunden, da ein relativer Pfad angegeben wurde.
Wiederherstellungskennwörter müssen in einem vollqualifizierten
Pfad gespeichert werden. Im Pfad können für den Computer
konfigurierte Umgebungsvariablen verwendet werden.
Die angegebene Schlüsselschutzvorrichtung wurde auf dem
Laufwerk nicht gefunden. Verwenden Sie eine andere
Schlüsselschutzvorrichtung.
Der bereitgestellte Wiederherstellungsschlüssel ist beschädigt und
kann nicht für den Zugriff auf das Laufwerk verwendet werden. Zur
Wiederherstellung des Zugriffs muss eine alternative
Wiederherstellungsmethode, beispielsweise ein
Wiederherstellungskennwort, ein Datenwiederherstellungs-Agent
oder eine Sicherungsversion des Wiederherstellungsschlüssels
verwendet werde.
Das Format des Wiederherstellungskennworts ist ungültig.
BitLocker-Wiederherstellungskennwörter umfassen 48 Stellen.
Stellen Sie sicher, dass das Wiederherstellungskennwort das
korrekte Format aufweist, und wiederholen Sie den Vorgang.
Fehler bei der Prüfung des Zufallszahlen-Generators.

0x80310036

Dell Data Protection | Enterprise Edition
Fehlerbehebung

115

Konstante/Wert

Beschreibung

FVE_E_FIPS_PREVENTS_RECOVERY_PASSWORD

Durch die Gruppenrichtlinieneinstellung, die FIPS-Kompatibilität
erfordert, wird die Generierung oder Verwendung eines lokalen
Wiederherstellungskennworts durch die BitLockerLaufwerkverschlüsselung verhindert. Bei der Ausführung im FIPSkompatiblen Modus stehen folgende BitLockerWiederherstellungsoptionen zur Verfügung: Ein auf einem USBLaufwerk gespeicherter Wiederherstellungsschlüssel oder eine
Wiederherstellung über einen Datenwiederherstellungs-Agent.

0x80310037

FVE_E_FIPS_PREVENTS_EXTERNAL_KEY_EXPORT
0x80310038

FVE_E_NOT_DECRYPTED
0x80310039
FVE_E_INVALID_PROTECTOR_TYPE
0x8031003A
FVE_E_NO_PROTECTORS_TO_TEST
0x8031003B
FVE_E_KEYFILE_NOT_FOUND
0x8031003C

FVE_E_KEYFILE_INVALID
0x8031003D

FVE_E_KEYFILE_NO_VMK
0x8031003E

FVE_E_TPM_DISABLED
0x8031003F
FVE_E_NOT_ALLOWED_IN_SAFE_MODE
0x80310040

116

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Durch die Gruppenrichtlinieneinstellung, für die FIPS-Kompatibilität
erforderlich ist, wird das Speichern des
Wiederherstellungskennworts in Active Directory verhindert. Bei
der Ausführung im FIPS-kompatiblen Modus stehen folgende
BitLocker-Wiederherstellungsoptionen zur Verfügung: Ein auf
einem USB-Laufwerk gespeicherter Wiederherstellungsschlüssel
oder eine Wiederherstellung über einen DatenwiederherstellungsAgent. Überprüfen Sie die Konfiguration der
Gruppenrichtlinieneinstellungen.
Das Laufwerk muss zum Ausführen dieses Vorgangs vollständig
entschlüsselt werden.

Die angegebene Schlüsselschutzvorrichtung kann nicht für den
Vorgang verwendet werden.

Auf dem Laufwerk sind keine Schlüsselschutzvorrichtungen zum
Ausführen des Hardwaretests vorhanden.

Der BitLocker-Startschlüssel oder das Wiederherstellungskennwort
wurde auf dem USB-Gerät nicht gefunden. Stellen Sie sicher, dass
Sie über das korrekte USB-Gerät verfügen und dass es am
Computer an einem aktiven USB-Anschluss angeschlossen ist.
Starten Sie den Computer neu, und wiederholen Sie den Vorgang.
Falls das Problem weiterhin besteht, fordern Sie vom
Computerhersteller Anweisungen zum Upgrade des BIOS an.
Der BitLocker-Startschlüssel oder die
Wiederherstellungskennwortdatei ist beschädigt oder ungültig.
Überprüfen Sie, ob Sie über den korrekten Startschlüssel oder die
Wiederherstellungskennwortdatei verfügen, und wiederholen Sie
den Vorgang.
Der BitLocker-Verschlüsselungsschlüssel konnte nicht aus dem
Startschlüssel oder dem Wiederherstellungskennwort abgerufen
werden. Überprüfen Sie, ob Sie über den korrekten Startschlüssel
oder die Wiederherstellungskennwortdatei verfügen, und
wiederholen Sie den Vorgang.
Das TPM ist deaktiviert. Das TPM muss aktiviert und initialisiert
werden und über einen gültigen Besitz verfügen, bevor es mit der
BitLocker-Laufwerkverschlüsselung verwendet werden kann.
Die BitLocker-Konfiguration des angegebenen Laufwerks kann
nicht verwaltet werden, da der Computer derzeit im abgesicherten
Modus betrieben wird. Im abgesicherten Modus kann die BitLockerLaufwerkverschlüsselung nur zur Wiederherstellung verwendet
werden.

Konstante/Wert

Beschreibung

FVE_E_TPM_INVALID_PCR

Das Laufwerk konnte vom TPM nicht entsperrt werden, da die
Systemstartinformationen geändert wurden oder eine PIN nicht
korrekt angegeben wurde. Stellen Sie sicher, dass das Laufwerk
nicht manipuliert wurde und dass Änderungen an
Systemstartinformationen durch eine vertrauenswürdige Quelle
verursacht wurden. Nachdem überprüft wurde, ob ein sicherer
Zugriff auf das Laufwerk möglich ist, entsperren Sie das Laufwerk
mithilfe der BitLocker-Wiederherstellungskonsole. Halten Sie
BitLocker anschließend an, und setzen Sie die Funktion wieder fort,
um die Systemstartinformationen zu aktualisieren, die dem
Laufwerk von BitLocker zugeordnet werden.

0x80310041

FVE_E_TPM_NO_VMK
0x80310042
FVE_E_PIN_INVALID
0x80310043
FVE_E_AUTH_INVALID_APPLICATION
0x80310044
FVE_E_AUTH_INVALID_CONFIG
0x80310045
FVE_E_FIPS_DISABLE_PROTECTION_NOT_ALLOWED
0x80310046

FVE_E_FS_NOT_EXTENDED
0x80310047

FVE_E_FIRMWARE_TYPE_NOT_SUPPORTED
0x80310048
FVE_E_NO_LICENSE
0x80310049
FVE_E_NOT_ON_STACK
0x8031004A

FVE_E_FS_MOUNTED
0x8031004B
FVE_E_TOKEN_NOT_IMPERSONATED
0x8031004C

Der BitLocker-Verschlüsselungsschlüssel konnte nicht aus dem
TPM abgerufen werden.

Der BitLocker-Verschlüsselungsschlüssel konnte nicht über das
TPM oder die PIN abgerufen werden.

Eine Startanwendung hat sich geändert, nachdem die BitLockerLaufwerkverschlüsselung aktiviert wurde.

Die Einstellungen für die Startkonfigurationsdaten wurden
geändert, nachdem die BitLocker-Laufwerkverschlüsselung
aktiviert wurde.
Die Verwendung von unverschlüsselten Schlüsseln ist gemäß der
Gruppenrichtlinieneinstellung, die FIPS-Kompatibilität erfordert,
untersagt. Dadurch wird das Anhalten von BitLocker auf dem
Laufwerk verhindert. Weitere Informationen erhalten Sie vom
Domänenadministrator.
Das Laufwerk kann von der BitLocker-Laufwerkverschlüsselung
nicht verschlüsselt werden, da sich das Dateisystem nicht bis zum
Ende des Laufwerks erstreckt. Partitionieren Sie das Laufwerk neu,
und wiederholen Sie den Vorgang.
Die BitLocker-Laufwerkverschlüsselung kann nicht auf dem
Laufwerk des Betriebssystems aktiviert werden. Anweisungen zum
Aktualisieren des BIOS erhalten Sie vom Computerhersteller.
Diese Windows-Version enthält keine BitLockerLaufwerkverschlüsselung. Aktualisieren Sie das Betriebssystem, um
die BitLocker-Laufwerkverschlüsselung zu verwenden.
Die BitLocker-Laufwerkverschlüsselung kann nicht verwendet
werden, da wichtige BitLocker-Systemdateien fehlen oder
beschädigt sind. Verwenden Sie die Windows-Starthilfe, um die
Dateien auf dem Computer wiederherzustellen.
Eine Sperrung des Laufwerks ist nicht möglich, solange es
verwendet wird.

Das mit dem aktuellen Thread verknüpfte Zugriffstoken ist kein
imitiertes Token.

Dell Data Protection | Enterprise Edition
Fehlerbehebung

117

Konstante/Wert

Beschreibung

FVE_E_DRY_RUN_FAILED

Der BitLocker-Verschlüsselungsschlüssel kann nicht abgerufen
werden. Stellen Sie sicher, dass das TPM aktiviert ist und der Besitz
übernommen wurde. Besitzt der Computer kein TPM, überprüfen
Sie, ob das USB-Laufwerk angeschlossen und verfügbar ist.

0x8031004D

FVE_E_REBOOT_REQUIRED
0x8031004E
FVE_E_DEBUGGER_ENABLED
0x8031004F
FVE_E_RAW_ACCESS
0x80310050
FVE_E_RAW_BLOCKED
0x80310051
FVE_E_BCD_APPLICATIONS_PATH_INCORRECT
0x80310052

FVE_E_NOT_ALLOWED_IN_VERSION
0x80310053

FVE_E_NO_AUTOUNLOCK_MASTER_KEY
0x80310054
FVE_E_MOR_FAILED
0x80310055
FVE_E_HIDDEN_VOLUME

Der Computer muss vor der Fortsetzung der BitLockerLaufwerkverschlüsselung neu gestartet werden.

Bei aktiviertem Startdebugging ist keine Laufwerkverschlüsselung
möglich. Verwenden Sie das Befehlszeilentool "bcdedit", um das
Startdebugging zu deaktivieren.
Es wurde keine Aktion durchgeführt, weil sich die BitLockerLaufwerkverschlüsselung im Rohzugriffsmodus befindet.

Die BitLocker-Laufwerkverschlüsselung kann den RAWZugriffsmodus für dieses Volume nicht aktivieren, da das Laufwerk
derzeit verwendet wird.
Der in den Startkonfigurationsdaten (BCD) für eine durch die
BitLocker-Laufwerkverschlüsselung integritätsgeschützte
Anwendung angegebene Pfad ist falsch. Überprüfen und
korrigieren Sie die BCD-Einstellungen, und wiederholen Sie den
Vorgang.
Die BitLocker-Laufwerkverschlüsselung kann nur zu beschränkten
Bereitstellungs- oder Wiederherstellungszwecken verwendet
werden, wenn der Computer in Vorinstallations- oder
Wiederherstellungsumgebungen ausgeführt wird.
Der Hauptschlüssel für das automatische Aufheben der Sperre war
auf dem Laufwerk des Betriebssystems nicht verfügbar.

Fehler beim Aktivieren des Löschens des Systemspeichers beim
Neustart des Computers.

Das verborgene Laufwerk kann nicht verschlüsselt werden.

0x80310056
FVE_E_TRANSIENT_STATE
0x80310057
FVE_E_PUBKEY_NOT_ALLOWED
0x80310058
FVE_E_VOLUME_HANDLE_OPEN
0x80310059
FVE_E_NO_FEATURE_LICENSE
0x8031005A

118

Dell Data Protection | Enterprise Edition
Fehlerbehebung

BitLocker-Verschlüsselungsschlüssel wurden ignoriert, da das
Laufwerk einen vorübergehenden Status aufwies.

Auf diesem Laufwerk sind keine Schutzvorrichtungen zulässig, die
auf dem öffentlichen Schlüssel basieren.

Auf diesem Laufwerk wird bereits ein BitLockerLaufwerkverschlüsselungsvorgang ausgeführt. Schließen Sie alle
Vorgänge ab, bevor Sie diesen Vorgang fortsetzen.
Die Version von Windows bietet keine Unterstützung für dieses
Feature der BitLocker-Laufwerkverschlüsselung. Aktualisieren Sie
das Betriebssystem, um das Feature zu verwenden.

Konstante/Wert

Beschreibung

FVE_E_INVALID_STARTUP_OPTIONS

Die Gruppenrichtlinieneinstellungen für BitLocker-Startoptionen
stehen in Konflikt und können nicht angewendet werden. Weitere
Informationen erhalten Sie von Ihrem Systemadministrator.

0x8031005B
FVE_E_POLICY_RECOVERY_PASSWORD_NOT_ALLOWED
0x8031005C
FVE_E_POLICY_RECOVERY_PASSWORD_REQUIRED
0x8031005D
FVE_E_POLICY_RECOVERY_KEY_NOT_ALLOWED
0x8031005E
FVE_E_POLICY_RECOVERY_KEY_REQUIRED
0x8031005F
FVE_E_POLICY_STARTUP_PIN_NOT_ALLOWED
0x80310060
FVE_E_POLICY_STARTUP_PIN_REQUIRED
0x80310061
FVE_E_POLICY_STARTUP_KEY_NOT_ALLOWED
0x80310062
FVE_E_POLICY_STARTUP_KEY_REQUIRED
0x80310063

Die Gruppenrichtlinieneinstellungen lassen keine Erstellung eines
Wiederherstellungskennworts zu.

Die Gruppenrichtlinieneinstellungen erfordern das Erstellen eines
Wiederherstellungskennworts.

Die Gruppenrichtlinieneinstellungen lassen keine Erstellung eines
Wiederherstellungsschlüssels zu.

Die Gruppenrichtlinieneinstellungen erfordern das Erstellen eines
Wiederherstellungsschlüssels.

Die Gruppenrichtlinieneinstellungen lassen nicht die Verwendung
einer PIN beim Start zu. Wählen Sie eine andere BitLockerStartoption.
Die Gruppenrichtlinieneinstellungen erfordern die Verwendung einer
PIN beim Start. Wählen Sie diese BitLocker-Startoption.

Die Gruppenrichtlinieneinstellungen lassen nicht die Verwendung
eines Startschlüssels zu. Wählen Sie eine andere BitLockerStartoption.
Die Gruppenrichtlinieneinstellungen erfordern die Verwendung eines
Startschlüssels. Wählen Sie diese BitLocker-Startoption.

FVE_E_POLICY_STARTUP_PIN_KEY_NOT_ALLOWED0x803100
64

Die Gruppenrichtlinieneinstellungen lassen keine Verwendung eines
Startschlüssels und einer PIN zu. Wählen Sie eine andere
BitLocker-Startoption.

FVE_E_POLICY_STARTUP_PIN_KEY_REQUIRED

Die Gruppenrichtlinieneinstellungen erfordern die Verwendung eines
Startschlüssels und einer PIN. Wählen Sie diese BitLockerStartoption.

0x80310065
FVE_E_POLICY_STARTUP_TPM_NOT_ALLOWED
0x80310066
FVE_E_POLICY_STARTUP_TPM_REQUIRED
0x80310067
FVE_E_POLICY_INVALID_PIN_LENGTH
0x80310068
FVE_E_KEY_PROTECTOR_NOT_SUPPORTED
0x80310069

Die Gruppenrichtlinie lässt die Verwendung eines ausschließlichen
TPM-Schutzes beim Start nicht zu. Wählen Sie eine andere
BitLocker-Startoption.
Die Gruppenrichtlinieneinstellungen erfordern die Verwendung eines
ausschließlichen TPM-Schutzes beim Start. Wählen Sie diese
BitLocker-Startoption.
Die bereitgestellte PIN erfüllt nicht die minimalen oder maximalen
PIN-Längenanforderungen.

Die Schlüsselschutzvorrichtung wird durch die derzeit auf dem
Laufwerk installierte Version der BitLockerLaufwerkverschlüsselung nicht unterstützt. Aktualisieren Sie das
Laufwerk, um die Schlüsselschutzvorrichtung hinzuzufügen.

Dell Data Protection | Enterprise Edition
Fehlerbehebung

119

Konstante/Wert

Beschreibung

FVE_E_POLICY_PASSPHRASE_NOT_ALLOWED

Die Gruppenrichtlinieneinstellungen lassen keine Kennworterstellung
zu.

0x8031006A
FVE_E_POLICY_PASSPHRASE_REQUIRED
0x8031006B
FVE_E_FIPS_PREVENTS_PASSPHRASE
0x8031006C

FVE_E_OS_VOLUME_PASSPHRASE_NOT_ALLOWED
0x8031006D
FVE_E_INVALID_BITLOCKER_OID
0x8031006E
FVE_E_VOLUME_TOO_SMALL
0x8031006F
FVE_E_DV_NOT_SUPPORTED_ON_FS
0x80310070

FVE_E_DV_NOT_ALLOWED_BY_GP
0x80310071

FVE_E_POLICY_USER_CERTIFICATE_NOT_ALLOWED
0x80310072
FVE_E_POLICY_USER_CERTIFICATE_REQUIRED
0x80310073
FVE_E_POLICY_USER_CERT_MUST_BE_HW
0x80310074
FVE_E_POLICY_USER_CONFIGURE_FDV_AUTOUNLOCK_NOT
_ALLOWED
0x80310075

Die Gruppenrichtlinieneinstellungen erfordern die Erstellung eines
Kennworts.

Aufgrund einer Gruppenrichtlinieneinstellung, die eine FIPSKompatibilität erfordert, konnten keine Kennwörter generiert oder
verwendet werden. Weitere Informationen erhalten Sie vom
Domänenadministrator.
Dem Betriebssystem-Laufwerk kann kein Kennwort hinzugefügt
werden.

Die BitLocker-Objektkennung (OID) auf dem Laufwerk ist
offensichtlich ungültig oder beschädigt. Verwenden Sie "manageBDE", um die OID auf dem Laufwerk zurückzusetzen.
Das Laufwerk ist zu klein, um mit der BitLockerLaufwerkverschlüsselung geschützt zu werden.

Der ausgewählte Ermittlungslaufwerktyp ist nicht mit dem
Dateisystem auf dem Laufwerk kompatibel. BitLocker To GoErmittlungslaufwerke müssen auf mit FAT formatierten Laufwerken
erstellt werden.
Der ausgewählte Ermittlungslaufwerktyp ist laut
Gruppenrichtlinieneinstellungen des Computers nicht zulässig.
Stellen Sie sicher, dass gemäß den Gruppenrichtlinieneinstellungen
die Erstellung von Ermittlungslaufwerken für die Verwendung mit
BitLocker To Go möglich ist.
Gemäß Gruppenrichtlinieneinstellungen ist die Verwendung von
Benutzerzertifikaten, z. B. Smartcards, für die BitLockerLaufwerkverschlüsselung nicht zulässig.
Die Gruppenrichtlinieneinstellungen erfordern die Verwendung eines
gültigen Benutzerzertifikats, z. B. eine Smartcard, das mit der
BitLocker-Laufwerkverschlüsselung verwendet werden muss.
Die Gruppenrichtlinieneinstellungen erfordern die Verwendung einer
Smartcard-basierten Schlüsselschutzvorrichtung mit der BitLockerLaufwerkverschlüsselung.
Gemäß Gruppenrichtlinieneinstellungen ist keine automatische
Entsperrung von durch BitLocker geschützten integrierten
Datenlaufwerken zulässig.

FVE_E_POLICY_USER_CONFIGURE_RDV_AUTOUNLOCK_NOT Gemäß Gruppenrichtlinieneinstellungen ist keine automatische
_ALLOWED
Entsperrung von durch BitLocker geschützten
Wechseldatenlaufwerken zulässig.
0x80310076
FVE_E_POLICY_USER_CONFIGURE_RDV_NOT_ALLOWED
0x80310077

120

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Gemäß Gruppenrichtlinieneinstellungen ist keine Konfiguration der
BitLocker-Laufwerkverschlüsselung auf Wechseldatenlaufwerken
zulässig.

Konstante/Wert

Beschreibung

FVE_E_POLICY_USER_ENABLE_RDV_NOT_ALLOWED

Gemäß Gruppenrichtlinieneinstellungen ist keine Aktivierung der
BitLocker-Laufwerkverschlüsselung auf Wechseldatenlaufwerken
zulässig. Wenden Sie sich an den Systemadministrator, wenn Sie
BitLocker aktivieren möchten.

0x80310078

FVE_E_POLICY_USER_DISABLE_RDV_NOT_ALLOWED
0x80310079

FVE_E_POLICY_INVALID_PASSPHRASE_LENGTH
0x80310080

FVE_E_POLICY_PASSPHRASE_TOO_SIMPLE
0x80310081
FVE_E_RECOVERY_PARTITION
0x80310082
FVE_E_POLICY_CONFLICT_FDV_RK_OFF_AUK_ON
0x80310083

FVE_E_POLICY_CONFLICT_RDV_RK_OFF_AUK_ON
0x80310084

FVE_E_NON_BITLOCKER_OID
0x80310085

FVE_E_POLICY_PROHIBITS_SELFSIGNED
0x80310086

Gemäß Gruppenrichtlinieneinstellungen ist die Deaktivierung der
BitLocker-Laufwerkverschlüsselung auf Wechseldatenlaufwerken
nicht zulässig. Wenden Sie sich an den Systemadministrator, wenn
Sie BitLocker deaktivieren möchten.
Das Kennwort entspricht den Vorgaben für die
Mindestkennwortlänge. Standardmäßig müssen Kennwörter aus
mindestens acht Zeichen bestehen. Erkundigen Sie sich beim
Systemadministrator nach den in Ihrer Organisation geltenden
Vorgaben für die Kennwortlänge.
Das Kennwort erfüllt nicht die vom Systemadministrator
festgelegten Komplexitätsanforderungen. Fügen Sie Groß-/
Kleinbuchstaben, Zahlen und Symbole hinzu.
Das Laufwerk kann nicht verschlüsselt werden, da es für die
Windows-Systemwiederherstellungsoptionen reserviert ist.

Die BitLocker-Laufwerkverschlüsselung kann aufgrund von in
Konflikt stehenden Gruppenrichtlinieneinstellungen nicht für das
Laufwerk verwendet werden. BitLocker kann nicht für das
automatische Entsperren von integrierten Datenlaufwerken
konfiguriert werden, wenn die Optionen zur Wiederherstellung
durch den Benutzer deaktiviert sind. Sollen durch BitLocker
geschützte integrierte Datenlaufwerke nach einer
Schlüsselüberprüfung automatisch entsperrt werden, bitten Sie den
Systemadministrator, den Einstellungskonflikt vor dem Aktivieren
von BitLocker zu beheben.
Die BitLocker-Laufwerkverschlüsselung kann aufgrund von in
Konflikt stehenden Gruppenrichtlinieneinstellungen nicht für das
Laufwerk verwendet werden. BitLocker kann nicht für das
automatische Entsperren von Wechseldatenlaufwerken konfiguriert
werden, wenn die Option zur Wiederherstellung durch den
Benutzer deaktiviert ist. Sollen durch BitLocker geschützte
Wechseldatenlaufwerke nach einer Schlüsselüberprüfung
automatisch entsperrt werden, bitten Sie den Systemadministrator,
den Einstellungskonflikt vor dem Aktivieren von BitLocker zu
beheben
Aufgrund des Attributs für die erweiterte Schlüsselverwendung
(Enhanced Key Usage, EKU) des angegebenen Zertifikats kann
selbiges nicht für die BitLocker-Laufwerkverschlüsselung
verwendet werden. Zertifikate müssen für die Verwendung von
BitLocker nicht zwingend über ein EKU-Attribut verfügen, ist
jedoch eines konfiguriert, muss es auf einen Objektbezeichner
(OID) festgelegt sein, der mit dem für BitLocker konfigurierten OID
übereinstimmt.
Die BitLocker-Laufwerkverschlüsselung kann aufgrund von
Gruppenrichtlinieneinstellungen nicht für das Laufwerk in seiner
derzeitigen Konfiguration angewendet werden. Das für die
Laufwerkverschlüsselung angegebene Zertifikat ist selbstsigniert.
Gemäß den aktuellen Gruppenrichtlinieneinstellungen ist die
Verwendung von selbstsignierten Zertifikaten nicht zulässig. Rufen

Dell Data Protection | Enterprise Edition
Fehlerbehebung

121

Konstante/Wert

Beschreibung
Sie in der Zertifizierungsstelle ein neues Zertifikat ab, bevor Sie
BitLocker aktivieren.

FVE_E_POLICY_CONFLICT_RO_AND_STARTUP_KEY_REQUIRE Die BitLocker-Verschlüsselung kann aufgrund von in Konflikt
D
stehenden Gruppenrichtlinieneinstellungen nicht für das Laufwerk
verwendet werden. Wenn der Schreibzugriff auf nicht durch
BitLocker geschützte Laufwerke verweigert wird, kann die
0x80310087
Verwendung eines USB-Startschlüssels nicht als Bedingung
festgelegt werden. Bitten Sie den Systemadministrator, die
Richtlinienkonflikte vor dem Aktivieren von BitLocker zu beheben.
FVE_E_CONV_RECOVERY_FAILED
0x80310088

FVE_E_VIRTUALIZED_SPACE_TOO_BIG

0x80310089
FVE_E_POLICY_CONFLICT_OSV_RP_OFF_ADB_ON
0x80310090

FVE_E_POLICY_CONFLICT_FDV_RP_OFF_ADB_ON
0x80310091

FVE_E_POLICY_CONFLICT_RDV_RP_OFF_ADB_ON
0x80310092

FVE_E_NON_BITLOCKER_KU
0x80310093

122

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Die BitLocker-Laufwerkverschlüsselung kann aufgrund in Konflikt
stehender Gruppenrichtlinieneinstellungen für
Wiederherstellungsoptionen auf Betriebssystem-Laufwerken nicht
für das Laufwerk verwendet werden. Das Speichern von
Wiederherstellungsinformationen in Active DirectoryDomänendienste kann nicht angefordert werden, wenn die
Generierung von Wiederherstellungskennwörtern nicht zulässig ist.
Bitten Sie den Systemadministrator, die Richtlinienkonflikte vor dem
Aktivieren von BitLocker zu beheben.
Die BitLocker-Laufwerkverschlüsselung kann aufgrund in Konflikt
stehender Gruppenrichtlinieneinstellungen für
Wiederherstellungsoptionen auf integrierten Datenlaufwerken nicht
für das Laufwerk verwendet werden. Das Speichern von
Wiederherstellungsinformationen in Active DirectoryDomänendienste kann nicht angefordert werden, wenn die
Generierung von Wiederherstellungskennwörtern nicht zulässig ist.
Bitten Sie den Systemadministrator, die Richtlinienkonflikte vor dem
Aktivieren von BitLocker zu beheben.
Die BitLocker-Laufwerkverschlüsselung kann aufgrund in Konflikt
stehender Gruppenrichtlinieneinstellungen für
Wiederherstellungsoptionen auf Wechseldatenlaufwerken nicht für
das Laufwerk verwendet werden. Das Speichern von
Wiederherstellungsinformationen in Active DirectoryDomänendienste kann nicht angefordert werden, wenn die
Generierung von Wiederherstellungskennwörtern nicht zulässig ist.
Bitten Sie den Systemadministrator, die Richtlinienkonflikte vor dem
Aktivieren von BitLocker zu beheben.
Aufgrund des Schlüsselverwendungsattributs (Key Usage, KU) des
angegebenen Zertifikats kann selbiges nicht für die BitLockerLaufwerkverschlüsselung verwendet werden. Zertifikate müssen
für die Verwendung von BitLocker nicht zwingend über ein KUAttribut verfügen, ist jedoch eines konfiguriert, muss es entweder
auf "Schlüsselverschlüsselung" oder auf "Schlüsselvereinbarung"
festgelegt sein.

Konstante/Wert

Beschreibung

FVE_E_PRIVATEKEY_AUTH_FAILED

Der private Schlüssel, der dem angegebenen Zertifikat zugeordnet
ist, kann nicht autorisiert werden. Die Autorisierung für den privaten
Schlüssel wurde entweder nicht bereitgestellt, oder die
bereitgestellte Autorisierung war ungültig.

0x80310094

FVE_E_REMOVAL_OF_DRA_FAILED
0x80310095
FVE_E_OPERATION_NOT_SUPPORTED_ON_VISTA_VOLUME
0x80310096

FVE_E_CANT_LOCK_AUTOUNLOCK_ENABLED_VOLUME
0x80310097

FVE_E_FIPS_HASH_KDF_NOT_ALLOWED
0x80310098

FVE_E_ENH_PIN_INVALID

Das Zertifikat des Datenwiederherstellungs-Agenten muss mit dem
Zertifikat-Snap-In entfernt werden.

Dieses Laufwerk wurde mit der Version der BitLockerLaufwerkverschlüsselung verschlüsselt, die in Windows Vista und
Windows Server 2008 enthalten ist. Diese Version unterstützt
keine organisatorischen Bezeichner. Aktualisieren Sie die
Laufwerkverschlüsselung mithilfe des Befehls „manage-bde upgrade“ auf die neueste Version, um organisatorische Bezeichner
für das Laufwerk anzugeben.
Das Laufwerk kann nicht gesperrt werden, da es auf diesem
Computer automatisch entsperrt wird. Entfernen Sie die
Schutzvorrichtung für das automatische Entsperren, um dieses
Laufwerk zu sperren.
Die standardmäßige BitLocker-Schlüsselableitungsfunktion
"SP800-56A" für ECC-Smartcards wird von der verwendeten
Smartcard nicht unterstützt. Aufgrund der
Gruppenrichtlinieneinstellung, durch die die FIPS-Kompatibilität
vorgeschrieben wird, kann von BitLocker keine andere
Ableitungsfunktion zur Verschlüsselung verwendet werden. In
durch FIPS eingeschränkten Umgebungen muss eine FIPSkompatible Smartcard verwendet werden.

0x80310099

Der BitLocker-Verschlüsselungsschlüssel konnte nicht über das
TPM oder die erweiterte PIN abgerufen werden. Verwenden Sie
eine nur aus Zahlen bestehende PIN.

FVE_E_INVALID_PIN_CHARS

Die angeforderte PIN des TPM enthält ungültige Zeichen.

0x8031009A
FVE_E_INVALID_DATUM_TYPE
0x8031009B

FVE_E_EFI_ONLY

Die auf dem Laufwerk gespeicherten Verwaltungsinformationen
enthielten einen unbekannten Typ. Wenn Sie eine alte Version von
Windows verwenden, greifen Sie von der aktuellen Version aus auf
das Laufwerk zu.
Das Feature wird nur auf EFI-Systemen unterstützt.

0x8031009C
FVE_E_MULTIPLE_NKP_CERTS
0x8031009D
FVE_E_REMOVAL_OF_NKP_FAILED
0x8031009E
FVE_E_INVALID_NKP_CERT
0x8031009F
FVE_E_NO_EXISTING_PIN

Auf dem System wurde mehr als ein NetzwerkschlüsselSchutzvorrichtungszertifikat gefunden.

Das Netzwerkschlüssel-Schutzvorrichtungszertifikat muss mithilfe
des Zertifikate-Snap-Ins entfernt werden.

Im Netzwerkschlüssel-Schutzvorrichtungszertifikatspeicher wurde
ein ungültiges Zertifikat gefunden.

Dieses Laufwerk ist nicht mit einer PIN geschützt.

Dell Data Protection | Enterprise Edition
Fehlerbehebung

123

Konstante/Wert

Beschreibung

0x803100A0
FVE_E_PROTECTOR_CHANGE_PIN_MISMATCH

Geben Sie die korrekte aktuelle PIN ein.

0x803100A1
FVE_E_PROTECTOR_CHANGE_BY_STD_USER_DISALLOWED
0x803100A2

Sie müssen mit einem Administratorkonto angemeldet sein, um die
PIN oder das Kennwort ändern zu können. Klicken Sie auf den Link,
um die PIN oder das Kennwort als Administrator zurückzusetzen.

FVE_E_PROTECTOR_CHANGE_MAX_PIN_CHANGE_ATTEMPT BitLocker hat PIN- und Kennwortänderungen nach zu vielen
S_REACHED
fehlgeschlagenen Anforderungen deaktiviert. Klicken Sie auf den
Link, um die PIN oder das Kennwort als Administrator
zurückzusetzen.
0x803100A3
FVE_E_POLICY_PASSPHRASE_REQUIRES_ASCII
0x803100A4

Der Systemadministrator hat festgelegt, dass Kennwörter nur
druckbare ASCII-Zeichen enthalten dürfen. Dies schließt
Buchstaben ohne Akzentzeichen (A-Z, a-z), Ziffern (0-9),
Leerzeichen, arithmetische Zeichen, allgemeine Zeichensetzung,
Trennzeichen und die folgenden Symbole ein: # $ & @ ^ _ ~.

FVE_E_FULL_ENCRYPTION_NOT_ALLOWED_ON_TP_STORAG Die BitLocker-Laufwerkverschlüsselung unterstützt
E
Verschlüsselung, bei der nur verwendeter Speicherplatz
verschlüsselt wird, nur für Speicher, der für schlanke
0x803100A5
Speicherzuweisung geeignet ist.
FVE_E_WIPE_NOT_ALLOWED_ON_TP_STORAGE
0x803100A6
FVE_E_KEY_LENGTH_NOT_SUPPORTED_BY_EDRIVE
0x803100A7
FVE_E_NO_EXISTING_PASSPHRASE

Das Löschen von freiem Speicher bei schlanker Speicherzuweisung
wird von der BitLocker-Laufwerkverschlüsselung nicht unterstützt.

Die erforderliche Länge des Authentifizierungsschlüssels wird vom
Laufwerk nicht unterstützt.

Dieses Laufwerk ist nicht mit einem Kennwort geschützt.

0x803100A8
FVE_E_PROTECTOR_CHANGE_PASSPHRASE_MISMATCH

Geben Sie das korrekte aktuelle Kennwort ein.

0x803100A9
FVE_E_PASSPHRASE_TOO_LONG

Das Kennwort darf maximal 256 Zeichen enthalten.

0x803100AA
FVE_E_NO_PASSPHRASE_WITH_TPM
0x803100AB
FVE_E_NO_TPM_WITH_PASSPHRASE
0x803100AC
FVE_E_NOT_ALLOWED_ON_CSV_STACK
0x803100AD
FVE_E_NOT_ALLOWED_ON_CLUSTER

124

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Eine Kennwortschlüssel-Schutzvorrichtung kann nicht hinzugefügt
werden, da auf dem Laufwerk eine TPM-Schutzvorrichtung
vorhanden ist.
Eine TPM-Schlüsselschutzvorrichtung kann nicht hinzugefügt
werden, da auf dem Laufwerk eine Kennwortschutzvorrichtung
vorhanden ist.
Dieser Befehl kann nur über den Koordinatorknoten für das
angegebene CSV-Volume ausgeführt werden.

Dieser Befehl kann nicht für ein Volume ausgeführt werden, das Teil
eines Clusters ist.

Konstante/Wert

Beschreibung

0x803100AE
FVE_E_EDRIVE_NO_FAILOVER_TO_SW
0x803100AF
FVE_E_EDRIVE_BAND_IN_USE
0x803100B0
FVE_E_EDRIVE_DISALLOWED_BY_GP
0x803100B1
FVE_E_EDRIVE_INCOMPATIBLE_VOLUME
0x803100B2
FVE_E_NOT_ALLOWED_TO_UPGRADE_WHILE_CONVERTING
0x803100B3
FVE_E_EDRIVE_DV_NOT_SUPPORTED
0x803100B4
FVE_E_NO_PREBOOT_KEYBOARD_DETECTED
0x803100B5
FVE_E_NO_PREBOOT_KEYBOARD_OR_WINRE_DETECTED
0x803100B6

BitLocker wurde aufgrund der Konfiguration der Gruppenrichtlinie
nicht auf die Verwendung der BitLocker-Softwareverschlüsselung
zurückgesetzt.
Das Laufwerk kann nicht von BitLocker verwaltet werden, da die
Hardwareverschlüsselungsfunktion des Laufwerks bereits
verwendet wird.
Laut Gruppenrichtlinieneinstellungen ist keine Verwendung von
hardwarebasierter Verschlüsselung zulässig.

Das angegebene Laufwerk unterstützt keine hardwarebasierte
Verschlüsselung.

BitLocker kann nicht während der Laufwerkverschlüsselung oder entschlüsselung aktualisiert werden.

Ermittlungsvolumes werden für Volumes, die
Hardwareverschlüsselung verwenden, nicht unterstützt.

Es wurde keine Pre-Boot-Tastatur gefunden. Der Benutzer kann
möglicherweise nicht die erforderlichen Angaben zum Entsperren
des Volumes machen.
Es wurde keine Pre-Boot-Tastatur oder WindowsWiederherstellungsumgebung gefunden. Der Benutzer kann
möglicherweise nicht die erforderlichen Angaben zum Entsperren
des Volumes machen.

FVE_E_POLICY_REQUIRES_STARTUP_PIN_ON_TOUCH_DEVIC Die Gruppenrichtlinieneinstellungen verlangen die Erstellung einer
E
Start-PIN, aber auf dem Gerät ist keine Pre-Boot-Tastatur
verfügbar. Der Benutzer kann möglicherweise nicht die
0x803100B7
erforderlichen Angaben zum Entsperren des Volumes machen.
FVE_E_POLICY_REQUIRES_RECOVERY_PASSWORD_ON_TOU Die Gruppenrichtlinieneinstellungen verlangen die Erstellung eines
CH_DEVICE
Wiederherstellungskennworts, aber auf dem Gerät ist weder eine
Pre-Boot-Tastatur noch die Windows0x803100B8
Wiederherstellungsumgebung verfügbar. Der Benutzer kann
möglicherweise nicht die erforderlichen Angaben zum Entsperren
des Volumes machen.
FVE_E_WIPE_CANCEL_NOT_APPLICABLE

Derzeit wird kein freier Speicher gelöscht.

0x803100B9
FVE_E_SECUREBOOT_DISABLED
0x803100BA
FVE_E_SECUREBOOT_CONFIGURATION_INVALID
0x803100BB

BitLocker kann für die Plattformintegrität kein sicheres Starten
verwenden, da diese Funktion deaktiviert wurde.

BitLocker kann für die Plattformintegrität kein sicheres Starten
verwenden, da die Konfiguration für sicheres Starten nicht den
Anforderungen für BitLocker entspricht.

Dell Data Protection | Enterprise Edition
Fehlerbehebung

125

Konstante/Wert

Beschreibung

FVE_E_EDRIVE_DRY_RUN_FAILED

Vom Computer wird keine hardwarebasierte BitLockerVerschlüsselung unterstützt. Erkundigen Sie sich beim Hersteller
des Computers nach Firmwareupdates.

0x803100BC
FVE_E_SHADOW_COPY_PRESENT
0x803100BD
FVE_E_POLICY_INVALID_ENHANCED_BCD_SETTINGS
0x803100BE

FVE_E_EDRIVE_INCOMPATIBLE_FIRMWARE

BitLocker kann auf dem Volume nicht aktiviert werden, da es eine
Volumeschattenkopie enthält. Entfernen Sie alle
Volumenschattenkopien, bevor Sie das Volume verschlüsseln.
Die BitLocker-Laufwerkverschlüsselung kann nicht auf das
Laufwerk angewendet werden, da die Gruppenrichtlinieneinstellung
für die erweiterten Startkonfigurationsdaten ungültige Daten
enthält. Lassen Sie die ungültige Konfiguration vom
Systemadministrator entfernen, bevor Sie erneut versuchen,
BitLocker zu aktivieren.
Die Firmware des PCs unterstützt keine Hardwareverschlüsselung.

0x803100BF
FVE_E_PROTECTOR_CHANGE_MAX_PASSPHRASE_CHANGE_ BitLocker hat Kennwortänderungen nach zu vielen
ATTEMPTS_REACHED
fehlgeschlagenen Anforderungen deaktiviert. Klicken Sie auf den
Link, um das Kennwort als Administrator zurückzusetzen.
0x803100C0
FVE_E_PASSPHRASE_PROTECTOR_CHANGE_BY_STD_USER_ Sie müssen mit einem Administratorkonto angemeldet sein, um das
DISALLOWED
Kennwort zu ändern. Klicken Sie auf den Link, um das Kennwort als
Administrator zurückzusetzen.
0x803100C1
FVE_E_LIVEID_ACCOUNT_SUSPENDED
0x803100C2
FVE_E_LIVEID_ACCOUNT_BLOCKED
0x803100C3
FVE_E_NOT_PROVISIONED_ON_ALL_VOLUMES
0x803100C4
FVE_E_DE_FIXED_DATA_NOT_SUPPORTED
0x803100C5
FVE_E_DE_HARDWARE_NOT_COMPLIANT
0x803100C6
FVE_E_DE_WINRE_NOT_CONFIGURED
0x803100C7
FVE_E_DE_PROTECTION_SUSPENDED
0x803100C8

FVE_E_DE_OS_VOLUME_NOT_PROTECTED
0x803100C9

126

Dell Data Protection | Enterprise Edition
Fehlerbehebung

Das Wiederherstellungskennwort kann von BitLocker nicht
gespeichert werden, da das angegebene Microsoft-Konto derzeit
angehalten ist.
Das Wiederherstellungskennwort kann von BitLocker nicht
gespeichert werden, da das angegebene Microsoft-Konto derzeit
blockiert ist.
Dieser Computer wurde nicht zur Unterstützung der
Geräteverschlüsselung bereitgestellt. Aktivieren Sie BitLocker auf
allen Volumes, um die Geräteverschlüsselungsrichtlinie zu erfüllen.
Dieser Computer kann die Geräteverschlüsselung nicht
unterstützen, da nicht vorhandene feste Datenvolumes vorhanden
sind.
Dieser Computer erfüllt nicht die Hardwareanforderungen zum
Unterstützen der Geräteverschlüsselung.

Dieser Computer kann die Geräteverschlüsselung nicht
unterstützen, da die Windows-Wiederherstellungsumgebung
(WinRE) nicht ordnungsgemäß konfiguriert ist.
Auf dem Volume ist der Schutz zwar aktiviert, aber angehalten.
Dies ist wahrscheinlich darauf zurückzuführen, dass ein Update auf
das System angewendet wurde. Wiederholen Sie den Vorgang nach
einem Neustart.
Dieser Computer wurde nicht zur Unterstützung der
Geräteverschlüsselung bereitgestellt.

Konstante/Wert

Beschreibung

FVE_E_DE_DEVICE_LOCKEDOUT

Die Gerätesperre wurde aufgrund zu vieler ungültiger
Kennworteingaben ausgelöst.

0x803100CA
FVE_E_DE_PROTECTION_NOT_YET_ENABLED
0x803100CB

FVE_E_INVALID_PIN_CHARS_DETAILED

Der Schutz wurde auf dem Volume nicht aktiviert. Zur Aktivierung
ist ein verbundenes Konto erforderlich. Wenn Sie bereits über ein
verbundenes Konto verfügen und dieser Fehler auftritt, finden Sie
im Ereignisprotokoll weitere Informationen.
Die PIN darf nur Zahlen von 0 bis 9 enthalten.

0x803100CC
FVE_E_DEVICE_LOCKOUT_COUNTER_UNAVAILABLE
0x803100CD
FVE_E_DEVICELOCKOUT_COUNTER_MISMATCH
0x803100CE
FVE_E_BUFFER_TOO_LARGE

Der Schutz für Hardwarewiedergabe kann von BitLocker nicht
verwendet werden, da kein Indikator auf dem PC verfügbar ist.

Fehler bei der Statusüberprüfung der Gerätesperrung aufgrund von
nicht übereinstimmenden Indikatoren.

Der Eingabepuffer ist zu groß.

0x803100CF

Dell Data Protection | Enterprise Edition
Fehlerbehebung

127

19
Glossar
Aktivieren – Die Aktivierung erfolgt, wenn der Computer beim EE-Server/VE-Server registriert wurde und mindestens einen anfänglichen
Richtliniensatz empfangen hat.
Active Directory (AD) – Ein Verzeichnisdienst von Microsoft für Windows-Domänennetzwerke.
Advanced Authentication – Das Produkt Advanced Authentication bietet Optionen für vollständig integrierte Fingerabdrücke, Smart Card
und kontaktlose Smart Card-Leser. Advanced Authentication vereinfacht die Verwaltung all dieser Hardware-Authentifizierungsmethoden,
unterstützt die Anmeldung bei selbstverschlüsselnden Laufwerken, SSO und verwaltet Benutzeranmeldeinformationen und Passwörter.
Darüber hinaus kann Advanced Authentication nicht nur für den Zugriff auf PCs verwendet werden, sondern auch für den Zugriff auf
beliebige Websites, SaaS oder Anwendungen. Nachdem der Benutzer seine Anmeldeinformationen eingetragen hat, ermöglicht Advanced
Authentication deren Verwendung für die Anmeldung am Gerät und die Ersetzung des Passworts.
Advanced Threat Protection – Das Produkt Advanced Threat Protection ist der Virenschutz der nächsten Generation, der algorithmische
Wissenschaft und maschinelles Lernen einsetzt, um bekannte sowie unbekannte Cyber-Bedrohungen zu identifizieren, zu klassifizieren und
von der Ausführung bzw. der Beschädigung von Endpunkten abzuhalten.
BitLocker Manager – Windows BitLocker schützt Windows-Computer durch die Verschlüsselung von Daten- und Betriebssystemdateien.
Um die Sicherheit von BitLocker-Implementierungen zu erhöhen und Betriebskosten zu vereinfachen sowie zu verringern, bietet Dell eine
einzige, zentrale Management Console. Diese Console nimmt sich zahlreicher Sicherheitsbedenken an und bietet einen integrierten Ansatz
für die Verwaltung verschlüsselter Daten auf Plattformen, die nicht zu BitLocker gehören, seien sie physisch, virtuell oder cloudbasiert.
BitLocker Manager unterstützt BitLocker-Verschlüsselung für Betriebssysteme, Festplattenlaufwerke und BitLocker To Go. Mit BitLocker
Manager können Sie BitLocker nahtlos in Ihre bestehende Verschlüsselung integrieren und mit minimalem Verwaltungsaufwand sowohl die
Sicherheit als auch die Compliance optimieren. BitLocker Manager bietet eine integrierte Verwaltung für die Wiederherstellung von
Schlüsseln, Richtlinienverwaltung und -durchsetzung, automatisierte TPM-Verwaltung, FIPS-Compliance und Compliance Reporting.
Im Cache gespeicherte Anmeldedaten – Gespeicherte Anmeldedaten werden in die PBA-Datenbank aufgenommen, wenn ein Benutzer
sich mit Active Directory authentifiziert. Die Benutzerdaten werden gespeichert, damit die Anmeldung auch ohne Verbindung zu Active
Directory funktioniert (beispielsweise bei Verwendung des Laptops außerhalb der Geschäftszeiten).
Cloud Edition – Cloud Edition schützt die Daten, die in öffentlichen Cloud-Services wie Dropbox, Dropbox for Business, Box und OneDrive
gespeichert sind. Cloud Edition dient zur transparenten Verschlüsselung von Daten bei der Übertragung an die und aus der Cloud. Cloud
Edition ermöglicht Folgendes:- Berichte über Dateivorgänge, synchronisierte Dateien sowie den Zugriff auf Dateien (wer, wo, wann) und
Compliance-Berichte- Einrichtung von Positivlisten der E-Mail-Adressen, für die die Dateifreigabe zulässig ist – Anwendung der Richtlinien
für den Zugriff auf Cloud-Services, Ordner und Anwendungen – Verwalten vom Schlüssel-Ablaufdatum und Abfragezeitraum –
Administratoren können alle bekannten IP-Adressen für Cloud-Anbieter überwachen und dem Anwendungsverfahren zuordnen, um
Verschlüsselung, Verschlüsselungsschlüssel, Datenwiederherstellung, Richtlinien und Forensik zu verwalten. Mit Cloud Edition kann die
Datenverschlüsselung auf privaten und unternehmenseigenen Computern sowie auf Geräten mit iOS und Android erfolgen.
Allgemeine Verschlüsselung – Der allgemeine Schlüssel macht verschlüsselte Dateien allen verwalteten Benutzern auf dem Gerät
zugänglich, auf dem sie erstellt wurden.
Deaktivieren – Die Deaktivierung erfolgt, wenn SED Management in der Remote-Verwaltungskonsole auf FALSE gesetzt wird. Nach der
Deaktivierung des Computers wird die PBA -Datenbank gelöscht, und es gibt keine Aufzeichnung der im Cache gespeicherten Benutzer
mehr.
Encryption-Client – Der Encryption-Client ist die geräteinterne Komponente, die Sicherheitsrichtlinien durchsetzt, egal ob ein Endpunkt mit
dem Netzwerk verbunden oder vom Netzwerk getrennt ist, verloren gegangen ist oder gestohlen wurde. Der Encryption-Client erzeugt
eine vertrauenswürdige Computerumgebung für Endpunkte, indem er als Layer über dem Betriebssystem des Geräts fungiert und
Authentifizierung, Verschlüsselung und Autorisierung lückenlos anwendet, um den Schutz vertraulicher Informationen zu maximieren.

128

Dell Data Protection | Enterprise Edition
Glossar

Encryption Keys – In den meisten Fällen verwendet der Encryption-Client den Benutzerschlüssel plus zwei weitere
Verschlüsselungsschlüssel. Es gibt allerdings auch Ausnahmen: Alle SDE-Richtlinien und die Richtlinie „Windows-Anmeldeinformationen
schützen“ verwenden den SDE-Schlüssel. Die Richtlinien „Windows-Auslagerungsdatei verschlüsseln“ und „Sichere WindowsRuhezustand-Datei“ verwenden einen eigenen Schlüssel, den General Purpose Key (GPK). Der „allgemeine“ Schlüssel macht Dateien allen
verwalteten Benutzern auf dem Gerät zugänglich, auf dem sie erstellt wurden. Der „Benutzer“-Schlüssel macht Dateien nur dem Benutzer
zugänglich, der sie erstellt hat, und zwar nur auf dem Gerät, auf dem sie erstellt wurden. Der „Benutzer-Roaming“-Schlüssel macht
Dateien nur dem Benutzer zugänglich, der sie erstellt hat, und zwar auf jedem mit Shield geschützten Windows- oder Mac-Gerät.
Verschlüsselungssuche – Bei einer Verschlüsselungssuche werden die zu verschlüsselnden Ordner auf einem mit einem Shield geschützten
Endpunkt durchsucht, um sicherzustellen, dass die enthaltenen Dateien den richtigen Verschlüsselungsstatus haben. Einfache Operationen
zur Erstellung und Umbenennung von Dateien lösen keine Verschlüsselungssuche aus. Es ist wichtig zu verstehen, wann eine
Verschlüsselungssuche stattfindet und wodurch die Dauer der Suche beeinflusst wird: Eine Verschlüsselungssuche erfolgt sofort nach
Eingang einer Richtlinie mit aktivierter Verschlüsselung. Das kann unmittelbar nach der Aktivierung sein, wenn für Ihre Richtlinie die
Verschlüsselung aktiviert ist. - Wenn die Richtlinie „Workstation bei Anmeldung durchsuchen“ aktiviert ist, werden die zur Verschlüsselung
angegebenen Ordner bei jeder Benutzeranmeldung durchsucht. - Eine Suche kann unter bestimmten nachfolgenden Richtlinienänderungen
erneut ausgelöst werden. Jeder Richtlinienänderung, die sich auf die Definition der Verschlüsselungsordner, der
Verschlüsselungsalgorithmen oder der Verwendung der Verschlüsselungsschlüssel („Allgemein“ oder „Benutzer“) bezieht, löst eine Suche
aus. Auch beim Umschalten zwischen aktivierter und deaktivierter Verschlüsselung wird eine Verschlüsselungssuche ausgelöst.
Externe Benutzer – Benutzer außerhalb der unternehmenseigenen Domänenadresse. Interne Benutzer sind entsprechend Benutzer
innerhalb der unternehmenseigenen Domänenadresse.
Computerschlüssel – Wenn die Verschlüsselung auf einem Serverbetriebssystem installiert ist, schützt der Computerschlüssel die
Dateiverschlüsselung und der Richtlinien eines Servers. Der Computerschlüssel wird auf dem DDP-Server gespeichert. Der neue Server
tauscht während der Aktivierung Zertifikate mit dem DDP-Server aus und verwendet das Zertifikat für die folgenden
Authentifizierungsereignisse.
Einmalpasswort (OTP) – Ein Einmalpasswort ist ein Passwort mit begrenzter Gültigkeit, das nur einmal verwendet werden kann. Für die
OTP-Funktion muss ein TPM vorhanden, aktiviert und zugewiesen sein. Für die Aktivierung der OTP-Funktion muss ein Mobilgerät mit
dem Computer über die Security Console und die Security Tools Mobile-App gekoppelt werden. Die Security Tools | Mobile-App generiert
das Passwort auf dem Mobilgerät, mit dem die Anmeldung auf dem Computer über den Windows-Anmeldebildschirm erfolgt. Je nach
Richtlinie kann die OTP-Funktion verwendet werden, um den Zugriff auf den Computer wiederherzustellen, falls das Passwort abgelaufen
ist oder vergessen wurde, vorausgesetzt, das OTP wurde nicht bereits für die Anmeldung am Computer verwendet. Die OTP-Funktion
kann zur Authentifizierung oder zur Wiederherstellung verwendet werden, aber nicht für beides. OTP ist sicherer als einige andere
Authentifizierungsmethoden, weil das generierte Passwort nur einmal verwendet werden kann und nach kurzer Zeit abläuft.
Preboot-Authentifizierung (PBA) – Die Preboot-Authentifizierung dient als Erweiterung des BIOS oder der Systemstart-Firmware und
schafft eine sichere, manipulationsgeschützte Umgebung außerhalb des Betriebssystems als vertrauenswürdige Authentifizierungsebene.
Die PBA unterbindet den Zugriff auf die Festplatte und somit auch auf das Betriebssystem, bis der Benutzer die richtigen
Anmeldeinformationen eingibt.
SED Management – SED Management ist eine Plattform für die sichere Verwaltung selbstverschlüsselnder Laufwerke.
Selbstverschlüsselnde Laufwerke haben zwar eine eigene Verschlüsselungsfunktion, ihnen fehlt aber eine Plattform für die Verwaltung
ihrer Verschlüsselung mit den verfügbaren Richtlinien. SED Management ist eine zentrale, skalierbare Verwaltungskomponente, mit der Sie
Daten wirksamer schützen. SED Management beschleunigt und vereinfacht die Administration von Unternehmensdaten.
Serverbenutzer– Ein virtuelles Benutzerkonto, das durch Dell Data Protection | Server Encryption erstellt wird und für die Verarbeitung
von Verschlüsselungsschlüsseln und Richtlinienaktualisierungen bestimmt ist. Dieses virtuelle DDP-Serverbenutzerkonto ist unabhängig
von allen anderen Benutzerkonten auf dem Computer oder in der Domäne, es hat keinen Benutzernamen und kein Passwort, das physisch
verwendet werden kann. Dem Konto wird in der Remote Management Console ein eindeutiger UCID-Wert zugewiesen.
System Data Encryption (SDE) – Mit SDE werden das Betriebssystem und die Programmdateien verschlüsselt. Dazu muss SDE in der
Lage sein, den Schlüssel beim Start des Betriebssystems zu öffnen. SDE dient zum Schutz des Betriebssystems vor unbefugten
Änderungen oder Offline-Angriffen SDE is not intended for user data. Zum Schutz vertraulicher Benutzerdaten empfiehlt sich die
allgemeine Verschlüsselung oder die Benutzerverschlüsselung, bei denen zum Entsperren der Verschlüsselungsschlüssel ein
Benutzerpasswort erforderlich ist. SDE-Richtlinien verschlüsseln keine Dateien, die das Betriebssystem zum Start des Boot-Vorgangs
benötigt. SDE-Richtlinien erfordern keine Authentifizierung vor dem Neustart und haben auch keinerlei Auswirkungen auf den Master Boot

Dell Data Protection | Enterprise Edition
Glossar

129

Record. Beim Computerstart stehen die verschlüsselten Dateien lange vor der Anmeldung eines Benutzers zur Verfügung (damit
Patchmanagement, SMS, Sicherungs- und Wiederherstellungstools funktionieren). Durch die Deaktivierung der SDE-Verschlüsselung
werden alle relevanten Dateien und Verzeichnisse mit SDE-Verschlüsselung automatisch entschlüsselt, unabhängig von anderen SDERichtlinien wie beispielsweise SDE-Verschlüsselungsregeln.
Threat Protection – Threat Protection basiert auf zentral verwalteten Richtlinien, mit deren Hilfe Unternehmenscomputer vor
Sicherheitsbedrohungen geschützt werden. Threat Protection besteht aus: - Malware-Schutz – Sucht nach Viren, Spyware,
unerwünschten Programmen und anderen Bedrohungen, indem Objekte automatisch überprüft werden, wenn Sie darauf zugreifen, bzw.
immer dann, wenn eine solche Überprüfung in den Richtlinien geplant wurde. - Client-Firewall – Überwacht die Datenübertragung
zwischen Computer und Ressourcen im Netzwerk und im Internet und fängt potenziell verdächtige Datenübertragungen ab. - Web-Schutz
– Blockiert basierend auf den Sicherheitsbewertungen und Berichten für Websites unsichere Websites und Downloads von diesen
Websites, während online navigiert wird und Suchvorgänge ausgeführt werden.
Trusted Platform Module (TPM) – Das TPM ist ein Sicherheits-Chip mit drei Hauptfunktionen: sicherer Speicher, Messung und
Bestätigung. Beim Encryption-Client wird das TPM für den sicheren Speicher genutzt. Das TPM kann auch verschlüsselte Container für
den Software Vault bereitstellen. Zur Nutzung von BitLocker Manager und der Einmalpasswort-Funktion ist das TPM ebenfalls
erforderlich.
Benutzerverschlüsselung – Der Benutzerschlüssel macht Dateien nur dem Benutzer zugänglich, der sie erstellt hat, und zwar nur auf dem
Gerät, auf dem sie erstellt wurden. Bei Ausführung von Dell Data Protection | Server Encryption wird die Benutzerverschlüsselung in
allgemeine Verschlüsselung konvertiert. Für externe Datenträger wird eine Ausnahme gemacht; Dateien werden bei Einsetzen in einen
Server mit installiertem DDP|SE mit dem Benutzer-Roaming-Schlüssel verschlüsselt.

130

Dell Data Protection | Enterprise Edition
Glossar

Source Exif Data:

File Type                       : PDF
File Type Extension             : pdf
MIME Type                       : application/pdf
PDF Version                     : 1.6
Linearized                      : Yes
Page Count                      : 130
Page Mode                       : UseOutlines
Tagged PDF                      : Yes
Language                        : DE
Title                           : Dell Data Protection | Encryption Enterprise Edition – Erweitertes Installationshandbuch Version 8.10.1
Author                          : Dell
Keywords                        : Verschlüsselung, Serververschlüsselung, Verschlüsselungssoftware, Verschlüsselung, Verschlüsselungsschlüssel, Verschlüsselungswerkzeuge, Entschlüsselung, Authentifizierung, Anmeldeinformationen zur Authentifizierung, Authentifizierungs-Schlüsselverwaltung, Authentifizierungssoftware, Authentifizierungstypen, Authentifizierungsmanagement, Selbstverschlüsselndes Laufwerk, Verwaltung des selbstverschlüsselnden Laufwerks, Sicherheit des selbstverschlüsselnden Laufwerks, Verwaltungssoftware des selbstverschlüsselnden Laufwerks, Selbstverschlüsselndes Laufwerk Opal, Authentifizierung des selbstverschlüsselnden Laufwerks vor dem Hochfahren, Selbstverschlüsselndes Festplattenlaufwerk, Selbstverschlüsselnde Festplatte, Verwaltung des selbstverschlüsselnden Festplattenlaufwerks, Verwaltung der selbstverschlüsselnden Festplatte, SED, SED-Verwaltung, SED-Sicherheit, SED-Verwaltungssoftware, SED Opal, SED-Authentifizierung vor dem Hochfahren, Selbstverschlüsselndes Festplattenlaufwerk, Selbstverschlüsselnde Festplatte, Verwaltung des selbstverschlüsselnden Festplattenlaufwerks, Verwaltung der selbstverschlüsselnden Festplatte, Authentifizierung vor dem Hochfahren
Creator                         : AH XSL Formatter V6.1 MR6 for Windows (x64) : 6.1.11.18624 (2014/10/01 14:58JST)
Producer                        : Antenna House PDF Output Library 6.1.610 (Windows (x64))
Create Date                     : 2016:10:03 14:24:13-08:00
Modify Date                     : 2016:10:03 14:24:13-08:00
Trapped                         : False

EXIF Metadata provided by EXIF.tools

Dell Data Protection Encryption | Enterprise Edition – Erweitertes Installationshandbuch Version 8.10.1 User Manual Weitere Dokumente V8.17.1 Administrator Guide7 De

Navigation menu

Versions of this User Manual:

Views

Navigation