Dell Dp Endpt Security Suite Endpoint Advanced Installation Guide User Manual Weitere Dokumente Administrator Guide6 De

User Manual: Dell dell-dp-endpt-security-suite Weitere Dokumente - Endpoint Security Suite Advanced Installation Guide

Open the PDF directly: View PDF .
Page Count: 103

Download
Open PDF In Browser	View PDF

Dell Data Protection | Endpoint Security Suite
Erweitertes Installationshandbuch Version v1.7

Anmerkungen, Vorsichtshinweise und Warnungen
ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen
können.
VORSICHT: Ein VORSICHTSHINWEIS macht darauf aufmerksam, dass bei Nichtbefolgung von Anweisungen eine Beschädigung
der Hardware oder ein Verlust von Daten droht, und zeigt auf, wie derartige Probleme vermieden werden können.
WARNUNG: Durch eine WARNUNG werden Sie auf Gefahrenquellen hingewiesen, die materielle Schäden, Verletzungen oder
sogar den Tod von Personen zur Folge haben können.

© 2017 Dell Inc. Alle Rechte vorbehalten.Dell, EMC und andere Marken sind Marken von Dell Inc. oder deren Tochtergesellschaften. Andere
Marken können Marken ihrer jeweiligen Inhaber sein.
Eingetragene Marken und in der Dell Data Protection Encryption, Endpoint Security Suite, Endpoint Security Suite Enterprise und Dell Data
Guardian Suite von Dokumenten verwendete Marken: DellTM und das Logo von Dell, Dell PrecisionTM, OptiPlexTM, ControlVaultTM,
LatitudeTM, XPS® und KACETM und Marken von Dell Inc. Cylance®, CylancePROTECT und das Cylance Logo sind eingetragene Marken
von Cylance, Inc. in den USA. und anderen Ländern. McAfee® und das McAfee-Logo sind Marken oder eingetragene Marken von McAfee,
Inc. in den USA und anderen Ländern. Intel®, Pentium®, Intel Core Inside Duo®, Itanium®, und Xeon® sind eingetragene Marken der Intel
Corporation in den USA und anderen Ländern. Adobe®, Acrobat® und Flash® sind eingetragene Marken von Adobe Systems
Incorporated. Authen Tec® und Eikon® sind eingetragene Marken von Authen Tec. AMD® ist eine eingetragene Marke von Advanced
Micro Devices, Inc. Microsoft®, Windows® und Windows Server®, Internet Explorer®, MS-DOS®, Windows Vista®, MSN®, ActiveX®,
Active Directory®, Access®, ActiveSync®, BitLocker®, BitLocker To Go®, Excel®, Hyper-V®, Silverlight®, Outlook®, PowerPoint®,
OneDrive®, SQL Server®, und Visual C++® sind entweder Marken oder eingetragene Marken von Microsoft Corporation in den USA und/
oder anderen Ländern. VMware® ist eine eingetragene Marke oder eine Marke von VMware, Inc. in den USA oder anderen Ländern. Box®
ist eine eingetragene Marke von Box. DropboxSM ist eine Dienstleistungsmarke von Dropbox, Inc. GoogleTM, AndroidTM, GoogleTM
ChromeTM, GmailTM, YouTube® und GoogleTM Play sind entweder Marken oder eingetragene Marken von Google Inc. in den Vereinigten
Staaten oder anderen Ländern. Apple®, Aperture®, App StoreSM, Apple Remote DesktopTM, Apple TV®, Boot CampTM, FileVaultTM,
iCloud®SM, iPad®, iPhone®, iPhoto®, iTunes Music Store®, Macintosh®, Safari® und Siri® sind entweder Dienstleistungsmarken,
Marken oder eingetragene Marken von Apple, Inc. in den Vereinigten Staaten oder anderen Ländern. GO ID®, RSA® und SecurID® sind
eingetragene Marken von Dell EMC. EnCaseTM™ und Guidance Software® sind entweder Marken oder eingetragene Marken von
Guidance Software. Entrust® ist eine eingetragene Marke von Entrust®, Inc. in den USA und anderen Ländern. InstallShield® ist eine
eingetragene Marke von Flexera Software in den USA, China, der EU, Hong Kong, Japan, Taiwan und Großbritannien. Micron® und
RealSSD® sind eingetragene Marken von Micron Technology, Inc. in den USA und anderen Ländern. Mozilla® Firefox® ist eine
eingetragene Marke von Mozilla Foundateion in den USA und/oder anderen Ländern. iOS® ist eine Marke oder eingetragene Marke von
Cisco Systems, Inc. in den USA und bestimmten anderen Ländern und wird in Lizenz verwendet. Oracle® und Java® sind eingetragene
Marken von Oracle und/oder seinen Tochtergesellschaften. Andere Namen können Marken ihrer jeweiligen Inhaber sein. SAMSUNGTM™
ist eine Marke von SAMSUNG in den USA oder anderen Ländern. Seagate® ist eine eingetragene Marke von Seagate Technology LLC in
den USA und/oder anderen Ländern. Travelstar® ist eine eingetragene Marke von HGST, Inc. in den USA und anderen Ländern. UNIX® ist
eine eingetragene Marke von The Open Group. VALIDITYTM™ ist eine Marke von Validity Sensors, Inc. in den USA und anderen Ländern.
VeriSign® und andere zugehörige Marken sind Marken oder eingetragene Marken von VeriSign, Inc. oder seinen Tochtergesellschaften und
verbundenen Unternehmen in den USA und anderen Ländern und werden von der Symantec Corporation in Lizenz verwendet. KVM on
IP® ist eine eingetragene Marke von Video Products. Yahoo!® ist eine eingetragene Marke von Yahoo! Inc. Dieses Produkt verwendet Teile
des Programms 7-Zip. Der Quellcode ist unter 7-zip.org verfügbar. Die Lizenzierung erfolgt gemäß der GNU LGPL-Lizenz und den unRARBeschränkungen (7-zip.org/license.txt).

Endpoint Security Suite – Erweitertes Installationshandbuch
2017 - 04
Rev. A01

Inhaltsverzeichnis
1 Einleitung....................................................................................................................................................... 6
Vor der Installation............................................................................................................................................................. 6
Verwendung des Handbuchs............................................................................................................................................6
Kontaktaufnahme mit dem Dell ProSupport................................................................................................................... 7
2 Anforderungen...............................................................................................................................................8
Alle Clients...........................................................................................................................................................................8
Alle Clients - Voraussetzungen...................................................................................................................................8
Alle Clients - Hardware................................................................................................................................................ 9
Alle Clients - Sprachunterstützung............................................................................................................................ 9
Encryption-Client............................................................................................................................................................... 9
Encryption-Client-Anforderungen............................................................................................................................ 10
Encryption-Client-Hardware..................................................................................................................................... 10
Encryption-Client-Betriebssysteme......................................................................................................................... 10
Externes Medien-Shield (EMS)-Betriebssysteme.................................................................................................. 11
Threat Protection-Client...................................................................................................................................................11
Threat Protection-Client-Betriebssysteme.............................................................................................................. 11
Threat Protection-Client-Ports................................................................................................................................. 12
SED-Client......................................................................................................................................................................... 12
OPAL-Treiber................................................................................................................................................................13
SED-Client-Anforderungen........................................................................................................................................13
SED-Client-Hardware.................................................................................................................................................13
SED-Client-Betriebssysteme.....................................................................................................................................14
Advanced Authentication-Client.....................................................................................................................................15
Advanced Authentication-Client-Hardware............................................................................................................ 15
Advanced Authentication Client - Betriebssysteme...............................................................................................16
BitLocker Manager-Client................................................................................................................................................16
Voraussetzungen für den BitLocker Manager-Client............................................................................................. 17
BitLocker Manager Client-Betriebssysteme............................................................................................................17
Authentifizierungsoptionen..............................................................................................................................................17
Encryption-Client........................................................................................................................................................ 17
SED-Client................................................................................................................................................................... 18
BitLocker Manager..................................................................................................................................................... 19
3 Registrierungseinstellungen..........................................................................................................................21
Encryption Client – Registrierungseinstellungen.......................................................................................................... 21
Threat Protection-Client – Registrierungseinstellungen.............................................................................................25
SED-Client – Registrierungseinstellungen.................................................................................................................... 26
Advanced Authentication-Client – Registrierungseinstellungen................................................................................ 27
BitLocker Manager-Client – Registrierungseinstellungen...........................................................................................28
4 Installation unter Verwendung des ESS-Master-Installationsprogramms......................................................29
Interaktive Installation unter Verwendung des ESS-Master Installationsprogramms..............................................29
Dell Data Protection | Endpoint Security Suite
Inhaltsverzeichnis

Installation durch Befehlszeile mit dem ESS-Master Installationsprogramm............................................................30
5 Deinstallation unter Verwendung des ESS-Master-Installationsprogramms................................................. 32
ESS-Master-Installationsprogramm deinstallieren....................................................................................................... 32
Deinstallation über die Befehlszeile..........................................................................................................................32
6 Installation unter Verwendung der untergeordneten Installationsprogramme............................................... 33
Treiber installieren.............................................................................................................................................................34
Encryption-Client installieren.......................................................................................................................................... 34
Installation über die Befehlszeile.............................................................................................................................. 35
Installieren von Threat Protection Clients..................................................................................................................... 36
Installation über die Befehlszeile.............................................................................................................................. 36
SED Management- und Advanced Authentication-Clients installieren..................................................................... 38
Installation über die Befehlszeile.............................................................................................................................. 38
BitLocker Manager-Client installieren............................................................................................................................39
Installation über die Befehlszeile.............................................................................................................................. 39
7 Deinstallation unter Verwendung der untergeordneten Installationsprogramme............................................ 41
Threat Protection-Clients deinstallieren........................................................................................................................ 42
Deinstallation über die Befehlszeile..........................................................................................................................42
Client für Verschlüsselung deinstallieren....................................................................................................................... 42
Verfahren.....................................................................................................................................................................43
Deinstallation über die Befehlszeile..........................................................................................................................43
Deinstallation der SED- und Advanced Authentication-Clients................................................................................. 45
Verfahren.................................................................................................................................................................... 45
PBA deaktivieren........................................................................................................................................................45
Deinstallieren des SED-Clients und der Advanced Authentication-Clients.........................................................45
Deinstallation des BitLocker Manager-Clients..............................................................................................................46
Deinstallation über die Befehlszeile..........................................................................................................................46
8 Gängige Szenarien....................................................................................................................................... 47
Encryption-Client, Threat Protection, und Advanced Authentication.......................................................................48
Encryption-Client und Threat Protection......................................................................................................................49
SED-Client (einschließlich Advanced Authentication) und External Media Shield.................................................. 49
BitLocker Manager und External Media Shield............................................................................................................ 50
9 Vorinstallationskonfiguration für Einmalpasswort, SED-UEFI und BitLocker................................................. 51
TPM initialisieren............................................................................................................................................................... 51
Vorinstallationskonfiguration für UEFI-Computer.........................................................................................................51
Aktivieren der Netzwerkkonnektivität während der UEFI-Preboot-Authentifizierung...................................... 51
Deaktivierung von Legacy-Option-ROMs...............................................................................................................52
Vorinstallationskonfiguration zum Einrichten einer BitLocker PBA-Partition........................................................... 52
10 Gruppenrichtlinienobjekte am Domänencontroller zum Aktivieren von Berechtigungen einrichten............. 53
11 Untergeordnete Installationsprogramme aus dem ESS-Master-Installationsprogramm extrahieren............. 54

Dell Data Protection | Endpoint Security Suite
Inhaltsverzeichnis

12 Konfiguration des Key Servers für die Deinstallation des auf einem EE-Server aktivierten EncryptionClients............................................................................................................................................................ 55
Dialogfeld „Dienste" - Domänenbenutzerkonto hinzufügen....................................................................................... 55
Schlüsselserver-Konfigurationsdatei - Fügen Sie Benutzer für EE-Server-Kommunikation hinzu........................55
Beispielkonfigurationsdatei....................................................................................................................................... 56
Dialogfeld „Dienste“ - Key Server-Dienst neu starten................................................................................................. 57
Remote Management-Konsole - Hinzufügen eines forensischen Administrators....................................................57
13 Verwenden Sie das administrative Dienstprogramm zum Herunterladen (CMGAd).................................... 58
Verwenden des Administrator-Download-Dienstprogramms im forensischen Modus............................................58
Verwenden des Administrator-Download-Dienstprogramms im Admin-Modus...................................................... 59
14 Fehlerbehebung......................................................................................................................................... 60
Alle Clients – Fehlerbehebung........................................................................................................................................60
Fehlerbehebung für den Client für Verschlüsselung .................................................................................................. 60
Upgrade auf die Windows 10 Anniversary-Aktualisierung.....................................................................................60
Erstellen einer Encryption Removal Agent-Protokolldatei (optional)...................................................................60
TSS-Version suchen................................................................................................................................................... 61
EMS und PCS Interaktionen..................................................................................................................................... 61
WSScan verwenden...................................................................................................................................................61
Verwenden von WSProbe.........................................................................................................................................64
Überprüfen des Encryption-Removal-Agent-Status............................................................................................. 65
SED-Client – Fehlerbehebung....................................................................................................................................... 66
Richtlinie „Erster Zugriffscode“ verwenden............................................................................................................66
PBA-Protokolldatei für die Fehlerbehebung erstellen............................................................................................67
Dell ControlVault-Treiber..................................................................................................................................................67
Aktualisieren von Treibern und Firmware für Dell ControlVault............................................................................ 67
UEFI-Computer................................................................................................................................................................69
Fehlerbehebung bei Problemen mit der Netzwerkverbindung............................................................................ 69
TPM und BitLocker..........................................................................................................................................................69
Fehlercodes für TPM und BitLocker....................................................................................................................... 69
15 Glossar...................................................................................................................................................... 101

Dell Data Protection | Endpoint Security Suite
Inhaltsverzeichnis

1
Einleitung
Dieses Handbuch beschreibt die Installation und Konfiguration von Threat Prevention, des Encryption-Clients, SED-Management-Clients,
Advanced Authentication und BitLocker Manager.
Alle Richtlinieninformationen und deren Beschreibungen finden Sie in der AdminHelp.

Vor der Installation
1

Installieren Sie den EE-Server/VE-Server, bevor Sie die Clients bereitstellen. Machen Sie das richtige Handbuch ausfindig (siehe
unten), folgen Sie den Anweisungen, und kehren Sie anschließend zu diesem Handbuch zurück.
•

Installations- und Migrationshandbuch für DDP Enterprise Server

•

Schnellanleitung und Installationshandbuch für DDP Enterprise Server – Virtual Edition
Stellen Sie sicher, dass die Richtlinien wie gewünscht eingestellt sind. Durchsuchen Sie die AdminHilfe, die Sie über das ? ganz
rechts im Bildschirm aufrufen können. Die AdminHilfe ist eine seitenbezogene Hilfe, die eigens dafür entwickelt wurde, Sie bei der
Einstellung und Änderung von Richtlinien zu unterstützten und mit den Optionen Ihres EE-Servers/VE-Servers vertraut zu
machen.

Lesen Sie sich das Kapitel Anforderungen in diesem Dokument genau durch.

Stellen Sie Clients für die Endbenutzer bereit.

Verwendung des Handbuchs
Wenden Sie das Handbuch in der folgenden Reihenfolge an.
•

Unter Anforderungen finden Sie Informationen über Client-Voraussetzungen, Computer-Hardware und -Software, Einschränkungen und
spezielle Registrierungsänderungen, die für bestimmte Funktionen erforderlich sind.

•

Lesen Sie bei Bedarf die Abschnitte Vorinstallationskonfiguration zur Aktivierung von Einmalpasswort, SED UEFI und BitLocker.

•

Wenn Ihren Clients über Dell Digital Delivery (DDD) Rechte zugewiesen werden sollen, lesen Sie GPO auf Domänen-Controller zur
Aktivierung von Rechten einstellen.

•

Falls Sie Clients unter Verwendung des ESS-Master-Installationsprogramms installieren möchten, lesen Sie:
•

Interaktive Installation unter Verwendung des ESS-Master-Installationsprogramms
oder

•
•

Installation durch Befehlszeile mit dem ESS-Master Installationsprogramm

Falls Sie Clients unter Verwendung der untergeordneten Installationsprogramme installieren möchten, müssen Sie die untergeordneten
ausführbaren Dateien zuerst aus dem ESS-Master-Installationsprogramm extrahieren. Lesen Sie den Abschnitt Extrahieren der
untergeordneten Installationsprogramme aus dem ESSMaster-Installationsprogramm, und kehren Sie anschließend hierher zurück.
•

Installation der untergeordneten Installationsprogramme über die Befehlszeile:
•

Treiber installieren – Laden Sie die jeweiligen Treiber und die Firmware basierend auf Ihrer Authentifizierungshardware herunter.

•

Encryption-Client installieren - Verwenden Sie diese Anweisungen zum Installieren des Encryption-Clients, der Komponente, die
Sicherheitsrichtlinien durchsetzt, egal ob ein Computer mit dem Netzwerk verbunden oder vom Netzwerk getrennt ist, verloren
gegangen ist oder gestohlen wurde.

Dell Data Protection | Endpoint Security Suite
Einleitung

•

Threat Protection-Clients installieren - Folgen Sie diesen Anweisungen, um die Threat Protection-Clients zu installieren, die sich
aus folgenden richtlinienbasierten Threat Protection-Funktionen zusammensetzen:
•

Malware-Schutz – Sucht nach Viren, Spyware, unerwünschten Programmen und anderen Bedrohungen, indem Objekte
automatisch überprüft werden, wenn der Benutzer darauf zugreift, bzw. immer dann, wenn eine solche Überprüfung
angefordert wird.

•

Client-Firewall – Überwacht die Datenübertragung zwischen dem Computer und Ressourcen im Netzwerk und im Internet.
Verdächtige Datenübertragungen werden abgefangen.

•

Web-Filter – Zeigt Sicherheitsstufen und Berichte für Websites an, während online navigiert wird und Suchvorgänge
durchgeführt werden. Die Web-Filterung ermöglicht es dem Administrator, den Zugang zu bestimmten Websites basierend
auf der Sicherheitsstufe oder basierend auf dem Inhalt zu blockieren.

SED Managemtent- und Advanced Authentication-Clients installieren - Verwenden Sie diese Anweisungen zur Installation der
Verschlüsselungssoftware für SEDs. Selbstverschlüsselnde Laufwerke haben zwar eine eigene Verschlüsselungsfunktion, ihnen
fehlt aber eine Plattform für die Verwaltung ihrer Verschlüsselung und Richtlinien. Bei Verwendung von SED Management sind
sämtliche Richtlinien, Speicher und der Abruf von Verschlüsselungsschlüsseln über eine einzige Konsole verfügbar. Dadurch
verringert sich das Risiko, dass Computer bei Verlust oder unberechtigtem Zugriff ungeschützt sind.
Der Advanced Authentication-Client verwaltet mehrere Authentifizierungsmethoden, darunter PBA für SEDs, Single Sign-on
(SSO) und Benutzer-Anmeldeinformationen wie Fingerabdrücke und Passwörter. Darüber hinaus kann Advanced Authentication
auch für den Zugriff auf Websites und Anwendungen verwendet werden.

•

BitLocker Manager Client installieren - Folgen Sie diesen Anweisungen, um den BitLocker Manager-Client zu installieren. Dieser
wurde speziell dafür entwickelt, die Sicherheit von BitLocker-Implementierungen zu erhöhen und zu vereinfachen sowie
Betriebskosten zu senken.
ANMERKUNG:
Die meisten untergeordneten Installationsprogramme können interaktiv installiert werden. Dies ist jedoch nicht
Gegenstand dieses Handbuchs.

•

Unter Üblicherweise verwendete Szenarien finden Sie Skripte von unseren gängigsten Szenarien.

Kontaktaufnahme mit dem Dell ProSupport
Telefonischen Support rund um die Uhr für Ihr Dell Data Protection-Produkt erhalten Sie unter der Rufnummer 877-459-7304, Durchwahl
4310039.
Zusätzlich steht Ihnen unser Online-Support für Dell Data Protection-Produkte unter dell.com/support zur Verfügung. Der Online-Support
enthält Treiber, Handbücher, technische Ratgeber, FAQs und eine Beschreibung festgestellter Probleme.
Halten Sie bei Ihrem Anruf Ihren Service Code bereit, damit wir Sie schneller mit dem richtigen Ansprechpartner für Ihr technisches
Problem verbinden können.
Telefonnummern außerhalb der Vereinigten Staaten finden Sie unter Dell ProSupport – Internationale Telefonnummern.

Dell Data Protection | Endpoint Security Suite
Einleitung

2
Anforderungen
Alle Clients
Diese Anforderungen gelten für alle Clients. Anforderungen, die in anderen Abschnitten aufgeführt sind, gelten für bestimmte Clients.
•

Bei der Implementierung sind die bewährten IT-Verfahren zu beachten. Dazu zählen u. a. geregelte Testumgebungen für die
anfänglichen Tests und die stufenweise Bereitstellung für Benutzer.

•

Die Installation/Aktualisierung/Deinstallation kann nur von einem lokalen Benutzer oder einem Domänenadministrator durchgeführt
werden, der über ein Implementierungstool wie Microsoft SMS oder KACE vorübergehend zugewiesen werden kann. Benutzer ohne
Administratorstatus, aber mit höheren Rechten, werden nicht unterstützt.

•

Sichern Sie vor der Installation/Deinstallation alle wichtigen Daten.

•

Nehmen Sie während der Installation oder Deinstallation keine Änderungen am Computer vor, dazu gehört auch das Einsetzen oder
Entfernen von externen (USB-)Laufwerken.

•

Stellen Sie sicher, dass der ausgehende Port 443 für die Datenübertragung zum EE-Server/VE-Server zur Verfügung steht, falls die
Clients des ESS-Master-Installationsprogramms für die Verwendung von Dell Digital Delivery (DDD) berechtigt werden sollen. Die
Berechtigung kann nicht eingerichtet werden, wenn Port 443 blockiert ist. DDD wird nicht verwendet, wenn die Installation über die
untergeordneten Installationsprogramme erfolgt.

•

Überprüfen Sie regelmäßig die Website www.dell.com/support, um stets über die neueste Dokumentation und die neuesten
technischen Ratgeber zu verfügen.

Alle Clients - Voraussetzungen
•

Microsoft .Net Framework 4.5.2 (oder höher) ist für das ESS-Master-Installationsprogramm und die untergeordneten
Installationsprogramm-Clients erforderlich. Das Installationsprogramm installiert die Microsoft .Net Framework-Komponente nicht.
Auf allen von Dell werksseitig ausgelieferten Computern ist Microsoft.Net Framework 4.5.2 (oder höher) in der Vollversion vorinstalliert.
Wenn Sie jedoch keine Dell Hardware verwenden oder den Client auf älterer Dell Hardware aktualisieren, sollten Sie überprüfen, welche
Version von Microsoft .Net installiert ist und diese gegebenenfalls aktualisieren, bevor Sie den Client installieren, um Fehler bei der
Installation/Aktualisierung zu vermeiden. Um die installierte Version von Microsoft .Net zu überprüfen, folgen Sie auf dem Computer,
auf dem die Installation vollzogen werden soll, den folgenden Anweisungen: http://msdn.microsoft.com/en-us/library/hh925568(v=vs.
110).aspx. Zum Installieren von Microsoft .Net Framework 4.5.2 rufen Sie https://www.microsoft.com/en-us/download/details.aspx?
id=42643 auf.

•

Treiber und Firmware für ControlVault, Fingerabdruckleser und Smartcards (siehe unten) sind nicht im ESSE-MasterInstallationsprogramm oder in den untergeordneten ausführbaren Dateien enthalten. Treiber und Firmware müssen jederzeit auf dem
aktuellen Stand sein und können nach Auswahl des jeweiligen Computermodells von der Website http://www.dell.com/support
heruntergeladen werden. Laden Sie die jeweiligen Treiber und die Firmware basierend auf Ihrer Authentifizierungshardware herunter.
•

ControlVault

•

NEXT Biometrics Fingerprint-Treiber

•

Validity Fingerprint Reader 495-Treiber

•

O2Micro Smart Card-Treiber
Falls Sie Hardware installieren möchten, die nicht von Dell stammt, müssen Sie die aktualisierten Treiber und die Firmware von der
Website des jeweiligen Herstellers herunterladen. Installationsanweisungen für ControlVault-Treiber finden Sie unter Dell
ControlVault-Treiber und Firmware aktualisieren.

Dell Data Protection | Endpoint Security Suite
Anforderungen

Alle Clients - Hardware
•

Die folgende Tabelle enthält Informationen zur unterstützten Computer-Hardware.
Hardware
•

Die Mindestanforderungen für die Hardware müssen den Mindestspezifikationen des Betriebssystems entsprechen.

Alle Clients - Sprachunterstützung
•

Die Encryption-, Threat Protection-, und BitLocker Manager-Clients sind Multilingual User Interface (MUI)-konform und unterstützen
die folgenden Sprachen.
Sprachunterstützung

•

EN: Englisch

•

JA: Japanisch

•

ES: Spanisch

•

KO: Koreanisch

•

FR: Französisch

•

PT-BR: Portugiesisch, Brasilien

•

IT: Italienisch

•

PT-PT: Portugiesisch, Portugal

•

DE: Deutsch

Der SED-Client und der Advanced Authentication-Client sind MUI-kompatibel (Multilingual User Interface) und unterstützen folgende
Sprachen. Der UEFI-Modus sowie die Preboot-Authentifizierung werden auf Russisch sowie auf traditionellem und vereinfachtem
Chinesisch nicht unterstützt.
Sprachunterstützung
•

EN: Englisch

•

KO: Koreanisch

•

FR: Französisch

•

ZH-CN: Chinesisch, vereinfacht

•

IT: Italienisch

•

ZH-TW: Chinesisch, traditionell/Taiwan

•

DE: Deutsch

•

PT-BR: Portugiesisch, Brasilien

•

ES: Spanisch

•

PT-PT: Portugiesisch, Portugal

•

JA: Japanisch

•

RU: Russisch

Encryption-Client
•

Der Client-Computer muss über Netzwerkkonnektivität verfügen.

•

Entfernen Sie mithilfe des Windows-Desktopbereinigungs-Assistenten temporäre Dateien und andere unnötige Daten, um den
Zeitaufwand für die anfängliche Verschlüsselung zu verringern.

•

Schalten Sie den Energiesparmodus bei der ersten Verschlüsselungssuche aus, um zu verhindern, dass ein unbeaufsichtigter Computer
in diesen Modus umschaltet. Im Energiesparmodus kann keine Verschlüsselung (oder Entschlüsselung) erfolgen.

•

Der Encryption-Client unterstützt keine Dual-Boot-Konfigurationen, da es hierdurch zur Verschlüsselung von Systemdateien des
anderen Betriebssystems kommen kann, was den Betrieb stören würde.

•

Der Encryption-Client unterstützt jetzt den Audit-Modus. Der Audit-Modus ermöglicht Administratoren die Bereitstellung des
Encryption-Clients als Teil des Unternehmens-Image, anstatt das SCCM eines Drittanbieters oder ähnliche Lösungen zur Bereitstellung

Dell Data Protection | Endpoint Security Suite
Anforderungen

des Encryption-Clients zu verwenden. Eine Anleitung zur Installation des Encryption-Clients in einem Image des Unternehmens finden
Sie unter http://www.dell.com/support/article/us/en/19/SLN304039.
•

Der Encryption-Client wurde getestet und ist kompatibel mit McAfee, dem Symantec-Client, Kaspersky und MalwareBytes. Für diese
Anbieter von Virenschutzsoftware wurden hartkodierte Ausschlüsse implementiert, um Inkompatibilitäten zwischen Virenschutzprüfung
und Verschlüsselung zu verhindern. Der Encryption-Client wurde außerdem mit dem Microsoft Enhanced Mitigation Experience Toolkit
getestet.
Falls Ihr Unternehmen Virenschutzsoftware von einem hier nicht aufgeführten Anbieter verwendet, lesen Sie unter http://
www.dell.com/support/Article/us/en/19/SLN298707 nach oder kontaktieren Sie Dell ProSupport, um Hilfe zu erhalten.

•

Das TPM wird zum Versiegeln des GPK-Schlüssels verwendet. Falls Sie den Encryption-Client ausführen, löschen Sie daher das TPM
im BIOS, bevor Sie ein neues Betriebssystem auf dem Client-Computer installieren.

•

Eine direkte Aktualisierung des Betriebssystems wird nicht unterstützt, wenn der Encryption-Client installiert ist. Deinstallieren Sie den
Encryption-Client, führen Sie eine Entschlüsselung durch, aktualisieren Sie das Betriebssystem auf die neue Version, und führen Sie
anschließend eine Neuinstallation von Encryption-Client durch.
Die Neuinstallation des Betriebssystems wird ebenfalls nicht unterstützt. Zur Neuinstallation des Betriebssystems sichern Sie den
Zielcomputer, setzen Sie den Computer zurück, installieren Sie das Betriebssystem, und stellen Sie anschließend die verschlüsselten
Daten gemäß den üblichen Wiederherstellungsverfahren wieder her.

Encryption-Client-Anforderungen
•

Das ESS-Master-Installationsprogramm installiert Microsoft Visual C++ 2012 Update 4, falls diese Komponente noch nicht auf dem
Computer vorhanden ist. Wenn Sie das untergeordnete Installationsprogramm verwenden, müssen Sie diese Komponente
installieren, bevor Sie den Encryption-Client installieren.
Voraussetzungen
•

Visual C++ 2012 Update 4 oder höheres Redistributable Package (x86 und x64)

Encryption-Client-Hardware
•

Die folgende Tabelle enthält detaillierte Informationen über die unterstützte Hardware.
Optionale integrierte Hardware
•

TPM 1.2 oder 2.0

Encryption-Client-Betriebssysteme
•

In der folgenden Tabelle sind die unterstützten Betriebssysteme aufgeführt.
Windows-Betriebssysteme (32-Bit und 64-Bit)
•
•
•
•
•
•
•

Windows 7 SP0-SP1: Enterprise, Professional, Ultimate
Windows Embedded Standard 7 mit Application Compatibility-Vorlage (Hardwareverschlüsselung wird nicht unterstützt)
Windows 8: Enterprise, Pro
Windows 8.1 Update 0-1: Enterprise Edition, Pro Edition
Windows Embedded 8.1 Industry Enterprise (Hardwareverschlüsselung wird nicht unterstützt)
Windows 10: Education, Enterprise, Pro
VMWare Workstation 5.5 und höher

Dell Data Protection | Endpoint Security Suite
Anforderungen

Windows-Betriebssysteme (32-Bit und 64-Bit)
ANMERKUNG:
Der UEFI-Modus wird auf Windows 7, Windows Embedded Standard 7 und Windows Embedded 8.1 Industry Enterprise
nicht unterstützt.

Externes Medien-Shield (EMS)-Betriebssysteme
•

Die folgende Tabelle enthält Informationen zu den unterstützten Betriebssystemen für den Zugriff auf Medien, die von EMS geschützt
werden.
ANMERKUNG:
Zur Verwendung von EMS müssen ungefähr 55 MB auf dem externen Speichermedium frei sein sowie weiterer freier
Speicherplatz, in der Größe der umfangreichsten zu verschlüsselnden Datei, verfügbar sein.
ANMERKUNG:
Windows XP wird nur bei Verwendung von EMS Explorer unterstützt.
Unterstützte Windows-Betriebssysteme für den Zugriff auf EMS-geschützte Medien (32-Bit und 64-Bit)
•
•
•
•

Windows 7 SP0-SP1: Enterprise, Professional, Ultimate, Home Premium
Windows 8: Enterprise, Pro, Consumer
Windows 8.1 Update 0-1: Enterprise Edition, Pro Edition
Windows 10: Education, Enterprise, Pro

Unterstützte Mac-Betriebssysteme für den Zugriff auf EMS-geschützte Medien (64-Bit-Kernel)
•
•
•

Mac OS X Yosemite 10.10.5
Mac OS X El Capitan 10.11.6
macOS Sierra 10.12.0

Threat Protection-Client
•

Die Threat Protection-Clients können erst installiert werden, nachdem der Encryption-Client auf dem Computer ermittelt wurde. Wird
die Installation vorher versucht, schlägt sie fehl.

•

Für die erfolgreiche Installation von Threat Protection muss der Computer mit dem Netzwerk verbunden sein.

•

Deinstallieren Sie die Virenschutz-, Malware-Schutz- und Spyware-Schutzprogramme sowie die Firewall-Anwendungen anderer
Hersteller, bevor Sie die Threat Protection-Clients installieren, um Fehler bei der Installation zu vermeiden. Windows Defender und
Endpoint Security Suite zählen nicht zu den Softwareprodukten, die Konflikte verursachen.

•

Die Web Protection-Funktion wird nur von Internet Explorer unterstützt.

Threat Protection-Client-Betriebssysteme
•

In der folgenden Tabelle sind die unterstützten Betriebssysteme aufgeführt.
Windows-Betriebssysteme (32-Bit und 64-Bit)
•
•
•

Windows 7 SP0-SP1: Enterprise, Professional, Ultimate
Windows 8: Enterprise, Pro
Windows 8.1 Update 0-1: Enterprise Edition, Pro Edition

Dell Data Protection | Endpoint Security Suite
Anforderungen

Windows-Betriebssysteme (32-Bit und 64-Bit)
•

Windows 10: Education, Enterprise, Pro

Threat Protection-Client-Ports
•

Um zu gewährleisten, dass die Threat Protection-Clients mit die aktuellsten Threat Protection-Aktualisierungen versorgt werden,
müssen die Ports 443 und 80 auf dem Client verfügbar sein, damit er mit den verschiedenen Zielservern kommunizieren kann. Sollten
die Ports gesperrt sein, können Aktualisierungen der Anti-Virus-Definitionen (DAT-Dateien) nicht heruntergeladen werden. In diesem Fall
ist ein ordnungsgemäßer Schutz der Computer nicht gewährleistet. Stellen Sie sicher, dass die Client-Computer wie folgt auf die URLs
zugreifen können.
Verwenden Sie
die Datei

Anwendung Transport Portnummer
sprotokoll
protokoll

Ziel

Richtung

Anti-VirusAktualisierungen

HTTP

TCP

443/Fallback
80

vs.mcafeeasap.com

Ausgehend

Aktualisierungen
der Anti-VirusEngine/Definitionen

SSL

TCP

443

vs.mcafeeasap.com

Ausgehend

Anti-Spam-Engine HTTP

TCP

443

vs.mcafeeasap.com

Ausgehend

Aktualisierungen
von Anti-SpamRegeln und Streaming

TCP

vs.mcafeeasap.com

Ausgehend

HTTP

Anmerkungen

Pakettypen:
X-SU3X-SU3Komponenten-Name
X-SU3- KomponentenType X-Su3-Status

Reputation
Service

SSL

TCP

443

tunnel.web.trustedsource.org

Ausgehend

Reputation
Service Feedback

SSL

TCP

443

gtifeedback.trustedsource.or
g

Ausgehend

Quarantine
Manager

HTTP

TCP

Ihr EE-Server/VE-Server

Bidirektional

Aktualisierung der
URL-ReputationDatenbank

HTTP

TCP

list.smartfilter.com

Ausgehend

URL Reputation
Lookup

SSL

TCP

443

tunnel.web.trustedsource.org

Ausgehend

HTTPS

443

SED-Client
•
•
•

Der Computer muss über Netzwerkkonnektivität verfügen, damit SED Management erfolgreich installiert werden kann.
IPv6 wird nicht unterstützt.
Nach der Übernahme von Richtlinien, die nun angewendet werden sollen, müssen Sie den Computer u. U. herunterfahren und neu
starten.
Computer, die mit selbstverschlüsselnden Laufwerken ausgerüstet sind, können nicht mit HCA-Karten verwendet werden. Sie sind
nicht kompatibel, was die Bereitstellung der HCA verhindert. Dell verkauft keine Computer mit selbstverschlüsselnden Laufwerken, die
das HCA-Modul unterstützen. Eine solche Konfiguration wäre nur als After-Market-Konfiguration möglich.

•

Dell Data Protection | Endpoint Security Suite
Anforderungen

•

Wenn der zu verschlüsselnde Computer über ein selbstverschlüsselndes Laufwerk verfügt, muss in Active Directory die Option
Benutzer muss das Kennwort bei der nächsten Anmeldung ändern deaktiviert sein. Die Preboot-Authentifizierung bietet keine
Unterstützung für diese Active Directory-Option.

•

Dell empfiehlt, die Authentifizierungsmethode nicht mehr zu ändern, nachdem die PBA aktiviert worden ist. Wenn Sie zu einer anderen
Authentifizierungsmethode wechseln müssen, gibt es zwei Möglichkeiten:
•

Entfernen Sie alle Benutzer aus der PBA.

oder
•

Deaktivieren Sie die PBA, ändern Sie die Authentifizierungsmethode, und aktivieren Sie die PBA erneut.
WICHTIG:
Aufgrund der Struktur von RAID und SEDs wird RAID von der SED-Verwaltung nicht unterstützt. Das Problem bei
RAID=On mit SEDs besteht darin, dass zum Lesen und Schreiben der RAID-Daten Zugriff auf einen höheren Sektor
erforderlich ist. Dieser Sektor ist auf einem gesperrten SED beim Start nicht verfügbar, und RAID benötigt diese Daten
bereits vor der Benutzeranmeldung. Sie können das Problem umgehen, indem Sie im BIOS für SATA statt AHCI den
Eintrag RAID=On auswählen. Wenn die Treiber für den AHCI-Controller im Betriebssystem nicht bereits vorinstalliert
sind, führt der Wechsel von RAID=On zu AHCI allerdings zum Betriebssystemabsturz („Bluescreen“).

•

SED-Management wird mit Server Encryption nicht unterstützt.

OPAL-Treiber
•

Unterstützte Opal-konforme SEDs erfordern aktualisierte Intel Rapid Storage Technology-Treiber, die unter http://www.dell.com/
support verfügbar sind.

SED-Client-Anforderungen
•

Das ESS-Master-Installationsprogramm installiert Microsoft Visual C++2010 SP1 und Microsoft Visual C++ 2012 Update 4, falls diese
Komponenten noch nicht auf dem Computer vorhanden sind. Wenn Sie das untergeordnete Installationsprogramm verwenden,
müssen Sie diese Komponenten installieren, bevor Sie die SED Management installieren.
Voraussetzungen
•
•

Visual C++ Redistributable Package ab Version 2010 SP1 (x86 und x64)
Visual C++ 2012 Update 4 oder höheres Redistributable Package (x86 und x64)

SED-Client-Hardware
OPAL-kompatible SEDs
•

Für die auf dem neuesten Stand Liste der Opal kompatible SEDs unterstützt, wenn die SED-Verwaltung, beziehen sich auf dieses KBArtikel: http://www.dell.com/support/article/us/en/19/SLN296720.

Dell Computermodelle mit UEFI-Unterstützung
•

Die folgende Tabelle enthält detaillierte Informationen zu Dell-Computermodellen, die UEFI unterstützen.
Dell-Computermodelle – UEFI-Unterstützung:
•
•
•

Latitude 5280
Latitude 5480
Latitude 5580

•
•
•

Precision M3510
Precision M4800
Precision M5510

•
•

Bedienfeld von 3040
Optiplex Micro, Minitower,
Kompaktgehäuse
Optiplex 3046

•
•

Venue Pro 11 (Modell 5175)
Venue Pro 11 (Modell 7139)

Dell Data Protection | Endpoint Security Suite
Anforderungen

Dell-Computermodelle – UEFI-Unterstützung:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•

Latitude 7370
Latitude E5270
Latitude E5470
Latitude E5570
Latitude E7240
Latitude E7250
Latitude E7260
Latitude E7265
Latitude E7270
Latitude E7275
Latitude E7280
Latitude E7350
Latitude E7440
Latitude E7450
Latitude E7460
Latitude E7470
Latitude E7480
Latitude 12 Rugged Extreme
Latitude 12 Rugged Tablet
(Modell 7202)
Latitude 14 Rugged Extreme
Latitude 14 Rugged

•
•
•
•
•
•
•
•
•

Precision M5520
Precision M6800
Precision M7510
Precision M7520
Precision M7710
Precision M7720
Precision T3420
Precision T3620
Precision T7810

•
•
•
•
•
•
•
•
•
•
•
•

OptiPlex 3050 All-In-One
OptiPlex 3050 Tower,
Kompaktgehäuse Micro
Optiplex 5040 Minitower,
Kompaktgehäuse
OptiPlex 5050 Tower,
Kompaktgehäuse Micro
OptiPlex 7020
Optiplex 7040-Micro,
Minitower, Kompaktgehäuse
OptiPlex 7050 Tower,
Kompaktgehäuse Micro
Optiplex 3240 All-In-One
OptiPlex 5250 All-In-One
Optiplex 7440 All-In-One
OptiPlex 7450 All-In-One
OptiPlex 9020 Micro

ANMERKUNG:
Authentifizierungsfunktionen werden im UEFI-Modus auf diesen Computern mit Windows 8, Windows 8.1 oder Windows 10 mit
geeignetenOPAL-konformen SEDs unterstützt. Andere Computer mit Windows 7, Windows 8, Windows 8.1 und Windows 10
unterstützen den Legacy Boot-Modus.

Internationale Tastaturen
•

Die folgende Tabelle listet unterstützte internationale Tastaturen mit Authentifizierung vor dem Start auf UEFI- und Nicht-UEFIComputern.
International Keyboard Support - UEFI
•

DE-CH: Deutsch

•

DE-FR: Französisch

Internationale Tastatur-Unterstützung – Nicht-UEFI
•

AR – Arabisch (mit lateinischen Buchstaben)

•

DE-CH: Deutsch

•

DE-FR: Französisch

SED-Client-Betriebssysteme
•

Die folgende Tabelle enthält Informationen zu den unterstützten Betriebssystemen.

Dell Data Protection | Endpoint Security Suite
Anforderungen

Windows-Betriebssysteme (32-Bit und 64-Bit)
•

Windows 7 SP0-SP1: Enterprise, Professional (unterstützt mit Legacy Boot-Modus aber nicht UEFI)
ANMERKUNG:
Legacy Boot-Modus wird auf Windows 7 unterstützt. UEFI wird auf Windows 7 nicht unterstützt.

•
•
•

Windows 8: Enterprise, Pro
Windows 8.1: Enterprise Edition, Pro Edition
Windows 10: Education, Enterprise, Pro

Advanced Authentication-Client
•

Bei Verwendung von Advanced Authentication sichern Benutzer den Zugriff auf den Computer durch erweiterte Anmeldeinformationen,
die mit Security Tools verwaltet und eingetragen werden. Security Tools ist damit das primäre Programm zur Verwaltung der
Authentifizierungsinformationen für die Windows-Anmeldung, einschließlich Windows-Passwort, Fingerabdrücke und Smart Cards.
Über das Microsoft-Betriebssystem eingetragene Authentifizierungsinformationen für die Anmeldung per Bildcode, PIN und
Fingerabdruck werden bei der Windows-Anmeldung nicht erkannt.
Wenn Sie Ihre Anmeldeinformationen weiterhin mit dem Microsoft-Betriebssystem verwalten möchten, installieren Sie Security Tools
nicht, bzw. deinstallieren Sie das Programm.

•

Für die Einmalpasswort (OTP)-Funktion in Security Tools muss ein TPM vorhanden, aktiviert und zugewiesen sein. OTP wird nicht mit
TPM 2.0 unterstützt. Weitere Informationen zum Löschen und Definieren der TMP-Zuweisung finden Sie unter https://
technet.microsoft.com.

•

Ein SED benötigt für die Bereitstellung von Advanced Authentication oder der Verschlüsselung kein TPM.

Advanced Authentication-Client-Hardware
•

Die folgende Tabelle enthält detaillierte Informationen über die unterstützte Authentifizierungs-Hardware.
Fingerabdruck- und Smart Card-Leser
•
•
•
•

Validity VFS495 im sicheren Modus
ControlVault Swipe Reader
UPEK TCS1 FIPS 201 Secure Reader 1.6.3.379
Authentec Eikon und Eikon To Go USB-Lesegeräte

Kontaktlose Karte
•

Kontaktlose Karten nutzen die entsprechenden Lesegeräte, die auf bestimmten Dell Laptops installiert sind

Smart Cards
•

PKCS #11 Smart Cards verwenden den ActivIdentity-Client.
ANMERKUNG:
Der ActivIdentity-Client ist nicht vorinstalliert und muss daher separat installiert werden.

•
•
•
•

CSP Cards
Common Access Cards (CACs)
Net-Karten der B/SIPR-Klasse

In der folgenden Tabelle werden die Dell-Computermodelle mit Unterstützung von Netzkarten der Klasse SIPR aufgelistet.

Dell Data Protection | Endpoint Security Suite
Anforderungen

Dell-Computermodelle – Class B/SIPR Net Card-Unterstützung
•
•

Latitude E6440
Latitude E6540

•
•
•

Precision M2800
Precision M4800
Precision M6800

•
•
•

Latitude 14 Rugged Extreme
Latitude 12 Rugged Extreme
Latitude 14 Rugged

Advanced Authentication Client - Betriebssysteme
Windows-Betriebssysteme
•

In der folgenden Tabelle sind die unterstützten Betriebssysteme aufgeführt.
Windows-Betriebssysteme (32-Bit und 64-Bit)
•
•
•
•

Windows 7 SP0-SP1: Enterprise, Professional, Ultimate
Windows 8: Enterprise, Pro
Windows 8.1 Update 0-1: Enterprise Edition, Pro Edition
Windows 10: Education, Enterprise, Pro
ANMERKUNG: Der UEFI-Modus wird auf Windows 7 nicht unterstützt.

Betriebssysteme für Mobilgeräte
•

Die folgenden mobilen Betriebssystem werden von der Einmal-Passwort-Funktion von Security Tools unterstützt.
Android-Betriebssysteme
•
•
•
•

4.0 - 4.0.4 Ice Cream Sandwich
4.1 - 4.3.1 Jelly Bean
4.4 - 4.4.4 KitKat
5.0 - 5.1.1 Lollipop

iOS-Betriebssysteme
•
•

iOS 7.x
iOS 8.x

Windows Phone-Betriebssysteme
•
•

Windows Phone 8.1
Windows 10 Mobile

BitLocker Manager-Client
•

Lesen Sie den Abschnitt Microsoft BitLocker-Anforderungen, falls BitLocker in Ihrer Umgebung bislang noch nicht bereitgestellt wurde.

•

Überprüfen Sie, ob die PBA-Partition bereits eingerichtet worden ist. Wenn BitLocker Manager vor Einrichtung der PBA-Partition
installiert wird, kann BitLocker nicht aktiviert werden, und BitLocker Manager funktioniert nicht. Lesen Sie Vorinstallationskonfiguration
zum Einrichten einer BitLocker PBA-Partition.

•

Tastatur, Maus und Videokomponenten müssen direkt an den Computer angeschlossen sein. Setzen Sie keinen KVM-Schalter zur
Verwaltung der Peripherie ein, da dies die ordnungsgemäße Erfassung der Hardware durch den Computer behindern kann.

•

Aktivieren Sie das TPM. BitLocker Manager übernimmt automatisch die Zuweisung des TPM und erfordert keinen Neustart. Wenn das
TPM bereits zugewiesen ist, leitet BitLocker Manager den Einrichtungsvorgang für die Verschlüsselung ein (kein Neustart erforderlich).
Wichtig ist, dass das TPM „zugewiesen“ und aktiviert ist.

•

Der BitLocker Manager Client verwendet die zulässigen von AES FIPS validierten Algorithmen, falls der FIPS-Modus für die GPOSicherheitseinstellung „System-Kryptographie: FIPS-konforme Algorithmen für Verschlüsselung, Hashing und Signatur verwenden“ auf
dem Gerät aktiviert ist und Sie dieses Gerät über unser Produkt verwalten. Wir erzwingen diesen Modus nicht als Standardeinstellung
16

Dell Data Protection | Endpoint Security Suite
Anforderungen

für BitLocker-verschlüsselte Clients, da Microsoft seinen Kunden mittlerweile empfiehlt, die FIPS-validierte Verschlüsselung nicht zu
verwenden, da vermehrt Probleme mit der Anwendungskompatibilität, Wiederherstellung und Medienverschlüsselung aufgetreten sind:
http://blogs.technet.com.

Voraussetzungen für den BitLocker Manager-Client
•

Das ESS-Master-Installationsprogramm installiert Microsoft Visual C++2010 SP1 und Microsoft Visual C++ 2012 Update 4, falls diese
Komponenten noch nicht auf dem Computer vorhanden sind. Wenn Sie das untergeordnete Installationsprogramm verwenden,
müssen Sie diese Komponenten installieren, bevor Sie BitLocker Manager installieren.
Voraussetzungen
•
•

Visual C++ Redistributable Package ab Version 2010 SP1 (x86 und x64)
Visual C++ 2012 Update 4 oder höheres Redistributable Package (x86 und x64)

BitLocker Manager Client-Betriebssysteme
•

In der folgenden Tabelle sind die unterstützten Betriebssysteme aufgeführt.
Windows-Betriebssysteme
•
•
•
•
•
•
•
•

Windows 7 SP0-SP1: Enterprise, Ultimate (32- und 64-Bit)
Windows 8: Enterprise (64-Bit)
Windows 8.1: Enterprise Edition, Pro Edition (64-Bit)
Windows 10: Education, Enterprise, Pro
Windows Server 2008 R2: Standard Edition, Enterprise Edition (64-Bit)
Windows Server 2012
Windows Server 2012 R2: Standard Edition, Enterprise Edition (64-Bit)
Windows Server 2016

Authentifizierungsoptionen
•

Die folgenden Authentisierungsoptionen erfordern spezifische Hardware: Fingerabdrücke, Smart Cards, Kontaktlose Karten, Klasse-B-/
SIPR Net-Karten und Authentifizierung auf UEFI-Computern. Die folgenden Optionen müssen konfiguriert werden: Smart Cards mit
Windows-Authentifizierung, Smart Cards mit Preboot-Authentifizierung und Einmalpasswort. In den folgenden Tabellen werden die
verfügbaren Authentifizierungsoptionen nach Betriebssystem angezeigt, wenn die Hardware- und Konfigurationsanforderungen erfüllt
sind.

Encryption-Client
Ohne UEFI
PBA
Passwort Fingerab
druck

Windows-Authentifizierung
KontaktSmartCard

OTP

SIPRKarte

Passwort Fingerab
druck

Smart
Card

OTP

SIPRKarte

Windows 7 SP0SP1

Windows 8

Dell Data Protection | Endpoint Security Suite
Anforderungen

Ohne UEFI
PBA
Passwort Fingerab
druck

Windows-Authentifizierung
KontaktSmartCard

OTP

SIPRKarte

Passwort Fingerab
druck

Smart
Card

OTP

SIPRKarte

Windows 8.1
Update 0-1

Windows 10

1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der
untergeordneten Installationsprogramme installiert.
2. Verfügbar, wenn die Authentifizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden.
UEFI
PBA – auf unterstützten Dell Computern
Passwort Fingerab
druck

KontaktSmartCard

OTP

Windows-Authentifizierung
SIPRKarte

Passwort Fingerab
druck

Smart
Card

OTP

SIPRKarte

Windows 7 SP0SP1
Windows 8

Windows 8.1
Update 0-1

Windows 10

SED-Client
Ohne UEFI
PBA

Windows-Authentifizierung

Passwort Fingerab
druck

KontaktSmartCard

OTP

SIPRKarte

Passwort Fingerab
druck

Smart
Card

OTP

SIPRKarte

Windows 7 SP0SP1

X2 3

Windows 8

X2 3

Windows 8,1

X2 3

Windows 10

X2 3

1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der
untergeordneten Installationsprogramme installiert.

Dell Data Protection | Endpoint Security Suite
Anforderungen

Ohne UEFI
PBA
Passwort Fingerab
druck

Windows-Authentifizierung
KontaktSmartCard

OTP

SIPRKarte

Passwort Fingerab
druck

Smart
Card

OTP

SIPRKarte

Smart
Card

OTP

SIPRKarte

2. Verfügbar, wenn die Authentifizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden.
3. Verfügbar mit einer unterstützten OPAL-SED.
UEFI
PBA – auf unterstützten Dell Computern
Passwort Fingerab
druck

KontaktSmartCard

OTP

Windows-Authentifizierung
SIPRKarte

Passwort Fingerab
druck

Windows 7
Windows 8

Windows 8,1

Windows 10

1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der
untergeordneten Installationsprogramme installiert.
2. Verfügbar, wenn die Authentifizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden.
4. Verfügbar mit einer unterstützten OPAL-SED auf unterstützten UEFI-Computern.

BitLocker Manager
Ohne UEFI
PBA 5
Passwort Fingerab
druck

Windows-Authentifizierung
KontaktSmartCard

OTP

SIPRKarte

Passwort Fingerab
druck

Smart
Card

OTP

SIPRKarte

Windows 7

Windows 8

Windows 8,1

Windows 10

Windows Server
2008 R2 64-Bit

1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der
untergeordneten Installationsprogramme installiert.
2. Verfügbar, wenn die Authentifizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden.
5. Die BitLocker-Preboot-PIN wird über die Microsoft-Funktionalität verwaltet.

Dell Data Protection | Endpoint Security Suite
Anforderungen

UEFI
PBA5 – auf unterstützten Dell Computern
Passwort Fingerab
druck

KontaktSmartCard

OTP

Windows-Authentifizierung
SIPRKarte

Passwort Fingerab
druck

Smart
Card

OTP

SIPRKarte

Windows 7
Windows 8

Windows 8,1

Windows 10

Windows Server
2008 R2 64-Bit

1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der
untergeordneten Installationsprogramme installiert.
2. Verfügbar, wenn die Authentifizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden.
5. Die BitLocker-Preboot-PIN wird über die Microsoft-Funktionalität verwaltet.

Dell Data Protection | Endpoint Security Suite
Anforderungen

3
Registrierungseinstellungen
•

In diesem Abschnitt werden alle vom Dell ProSupport genehmigten Registrierungseinstellungen für lokale Client-Computer
beschrieben, unabhängig vom Grund für Registrierungseinstellung. Falls eine Registrierungeinstellung für zwei Produkte gilt, wird sie in
beiden Kategorien aufgeführt.

•

Diese Registrierungsänderungen sollten nur von Administratoren ausgeführt werden und sind möglicherweise nicht für alle Szenarios
geeignet oder funktionieren nicht in allen Szenarios.

Encryption Client – Registrierungseinstellungen
•

Falls auf dem Dell Server für die Enterprise Edition für Windows ein selbstsigniertes Zertifikat verwendet wird, muss die
Zertifikatsvertrauensprüfung auf dem Client-Computer deaktiviert bleiben (bei Enterprise Edition für Windows ist sie standardmäßig
deaktiviert). Vor dem Aktivieren der Vertrauensprüfung auf dem Client-Computer müssen die folgenden Voraussetzungen erfüllt sein:
•

Ein von einer Stammzertifizierungsstelle wie Ensign oder Verisign signiertes Zertifikat muss in den EE-Server/VE-Server importiert
werden.

•

Die vollständige Vertrauenskette des Zertifikats muss im Microsoft Keystore des Client-Computers gespeichert werden.

•

Um die Vertrauensprüfung für EE für Windows zu aktivieren, ändern Sie den Wert des folgenden Registrierungseintrags auf dem
Client-Computer in 0.
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"IgnoreCertErrors"=dword:00000000
0 = bei Zertifikatsfehler fehlschlagen
1= Fehler ignorieren

•

Um Smart Cards mit der Windows-Authentifizierung zu verwenden, muss der folgende Registrierungswert auf dem Client-Computer
eingestellt sein.
[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]
"MSSmartcardSupport"=dword:1

•

Um eine Encryption Removal Agent-Protokolldatei anzulegen, erstellen Sie auf dem für die Entschlüsselung vorgesehenen Computer
den folgenden Registrierungseintrag. Weitere Informationen finden Sie unter (Optional) Encryption Removal Agent-Protokolldatei.
[HKLM\Software\Credant\DecryptionAgent]
"LogVerbosity"=dword:2
0: Keine Protokollierung
1: Protokolliert Fehler, die den Betrieb des Dienstes verhindern
2: Protokolliert Fehler, die eine vollständige Datenentschlüsselung verhindern (empfohlene Protokollebene)
3: Protokolliert Informationen über alle zu entschlüsselnden Datenträger und Dateien
5: Protokolliert Informationen zum Debuggen

Dell Data Protection | Endpoint Security Suite
Registrierungseinstellungen

•

Standardmäßig wird das Taskleistensymbol während der Installation angezeigt. Verwenden Sie die folgenden
Registrierungseinstellungen , um das Taskleistensymbol für alle verwalteten Benutzer nach der ursprünglichen Installation auf einem
Computer auszublenden. Erstellen oder ändern Sie die Registrierungseinstellungen wie folgt:
[HKLM\Software\CREDANT\CMGShield]
"HIDESYSTRAYICON"=dword:1

•

Standardmäßig werden alle temporären Dateien im Verzeichnis C:\Windows\Temp während der Installation automatisch gelöscht. Durch
das Löschen der temporären Dateien vor der ersten Verschlüsselungssuche wird die Verschlüsselungsdauer verkürzt.
Wenn Ihre Organisation jedoch eine Drittanbieter-Anwendung einsetzt, die auf die Dateistruktur im Verzeichnis \Temp angewiesen ist,
sollten Sie das Löschen verhindern.
Durch die Erstellung oder Änderung des folgenden Registrierungseintrags können Sie das Löschen temporärer Dateien verhindern:
[HKLM\SOFTWARE\CREDANT\CMGShield]
"DeleteTempFiles"=REG_DWORD:0
Werden temporäre Dateien nicht gelöscht, verlängert sich die Verschlüsselungsdauer.

•

Der Encryption-Client zeigt die Eingabeaufforderung Verzögerung der einzelnen Richtlinienaktualisierungen jeweils fünf Minuten lang
an. Reagiert der Benutzer nicht auf die Aufforderung, beginnt die nächste Verzögerung. Die endgültige Verzögerungsaufforderung
enthält einen Countdown und einen Fortschrittsbalken und wird angezeigt, bis der Benutzer reagiert oder die endgültige Verzögerung
abläuft und die verlangte Abmeldung bzw. der verlangte Neustart durchgeführt wird.
Sie können das Verhalten der Benutzeraufforderung dahingehend ändern, dass die Verschlüsselung begonnen oder verzögert wird,
damit keine Verschlüsselung durchgeführt wird, wenn der Benutzer nicht auf die Aufforderung reagiert. Legen Sie dazu den folgenden
Registrierungswert fest:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"SnoozeBeforeSweep"=DWORD:1
Jeder Wert ungleich Null ändert das Standardverhalten auf Schlummern. Ohne Benutzerinteraktion wird die Verschlüsselung bis zur
maximal konfigurierbaren Anzahl von Verzögerungen verzögert. Die Verarbeitung der Verschlüsselung beginnt, nachdem die letzte
Verzögerung abgelaufen ist.
Berechnen Sie die maximal mögliche Verzögerung wie folgt (eine maximale Verzögerung bedeutet, dass der Benutzer auf keine der
Verzögerungsaufforderungen reagiert, die jeweils 5 Minuten lang angezeigt werden):
(ANZAHL DER ZULÄSSIGEN VERZÖGERUNGEN BEI AKTUALISIERUNG DER RICHTLINIE LÄNGE DER VERZÖGERUNG BEI
AKTUALISIERUNG DER RICHTLINIE) + (5 MINUTEN x [ANZAHL DER ZULÄSSIGEN VERZÖGERUNGEN BEI AKTUALISIERUNG DER
RICHTLINIE - 1])

•

Über die folgende Registrierungseinstellung wird der Encryption-Client veranlasst, beim EE-Server/VE-Server eine durchgesetzte
Richtlinienaktualisierung abzufragen. Erstellen oder ändern Sie die Registrierungseinstellungen wie folgt:
[HKLM\SOFTWARE\Credant\CMGShield\Notify]
"PingProxy"=DWORD value:1
Nach erfolgter Änderung werden die Registrierungseinstellungen automatisch geschlossen.

•

Verwenden Sie die folgenden Registrierungseinstellungen, um dem Encryption-Client das Senden optimierter Bestandsinformationen an
den EE-Server/VE-Server, das Senden vollständiger Bestandsinformationen an den EE-Server/VE-Server oder das Senden
vollständiger Bestandsinformationen an den EE-Server/VE-Server für alle aktivierten Benutzer zu erlauben.
•

Senden optimierter Bestandsinformationen an den EE-Server/VE-Server:
Erstellen oder ändern Sie die Registrierungseinstellungen wie folgt:

Dell Data Protection | Endpoint Security Suite
Registrierungseinstellungen

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"OnlySendInvChanges"=REG_DWORD:1
Wenn kein Eintrag vorhanden ist, werden optimierte Bestandsinformationen an den EE-Server/VE-Server gesendet.
•

Senden vollständiger Bestandsinformationen an den EE-Server/VE-Server:
Erstellen oder ändern Sie die Registrierungseinstellungen wie folgt:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"OnlySendInvChanges"=REG_DWORD:0
Wenn kein Eintrag vorhanden ist, werden optimierte Bestandsinformationen an den EE-Server/VE-Server gesendet.

•

Senden vollständiger Bestandsinformationen für alle aktivierten Benutzer
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"RefreshInventory"=REG_DWORD:1
Dieser Eintrag wird nach der Verarbeitung aus der Registrierung gelöscht, der Wert wird jedoch gespeichert. Dadurch ist der
Encryption-Client in der Lage, die Anfrage beim nächsten Upload zu erfüllen, selbst wenn der Computer neu gestartet wird, bevor
die Bestandsinformationen hochgeladen wurden.
Dieser Eintrag ersetzt den Registrierungswert für OnlySendInvChanges.

•

Die Aktivierung mit Zeitfenster ist eine Funktion, mit der Sie Aktivierungen von Clients über einen vorgegebenen Zeitraum verteilen
können, um während einer Massenimplementierung eine Überlastung des EE-Servers/VE-Servers zu vermeiden. Aktivierungen werden
basierend auf Zeitfenstern verzögert, die durch Algorithmen generiert werden, um eine gleichmäßige Verteilung der Aktivierungszeiten
zu erreichen.
Für Benutzer, die eine Aktivierung durch VPN benötigen, kann eine Aktivierungskonfiguration mit Zeitfenster erforderlich sein, damit die
anfängliche Aktivierung lange genug verzögert wird, um dem VPN-Client den Aufbau einer Netzwerkverbindung zu erlauben.
WICHTIG:
Konfigurieren Sie die Aktivierung mit Zeitfenster nur unter Anleitung des Dell ProSupports. Werden die Zeitfenster falsch
konfiguriert, kann möglicherweise eine große Anzahl von Clients gleichzeitig versuchen, sich bei einem EE-Server/VE-Server zu
aktivieren, was erhebliche Leistungseinbußen zur Folge haben kann.
Die folgenden Änderungen an der Registrierung treten erst nach einem Neustart des Computers in Kraft.
•

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SlottedActivation]
Aktiviert oder deaktiviert die gestaffelte Aktivierung
Deaktiviert=0 (Standard)
Aktiviert=1

•

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\CalRepeat]
Der Zeitraum in Sekunden, in dem das Aktivierungszeitintervall auftritt. Mit dieser Einstellung überschreiben Sie den Zeitraum in
Sekunden, in dem das Aktivierungszeitintervall auftritt. 25.200 Sekunden stehen zur Verfügung, um Aktivierungen während eines
Zeitraums von sieben Stunden einzuplanen. Die Standardeinstellung ist 86400 Sekunden, was einer täglichen Wiederholung
entspricht.

•

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\SlotIntervals]
Das Intervall innerhalb der Wiederholung, ACTIVATION_SLOT_CALREPEAT, in dem alle Aktivierungszeitfenster auftreten. Es ist nur
ein Intervall erlaubt. Diese Einstellung sollte 0, sein. Eine Verschiebung von 0 kann zu unerwarteten Ergebnissen führen.

Dell Data Protection | Endpoint Security Suite
Registrierungseinstellungen

Die Standardeinstellung ist 0,86400. Für eine Wiederholung nach sieben Stunden stellen Sie 0,25200 ein. CALREPEAT wird
aktiviert, sobald sich ein Benutzer anmeldet.
•

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\MissThreshold]
Die Anzahl der Aktivierungszeitfenster, die verpasst werden können, bevor der Computer bei der nächsten Anmeldung des
Benutzers, dessen Aktivierung eingeplant wurde, eine Aktivierung durchführt. Wenn die Aktivierung während dieses unmittelbaren
Versuchs fehlschlägt, nimmt der Client die Aktivierungsversuche mit Zeitfenster wieder auf. Wenn die Aktivierung aufgrund eines
Netzwerkfehlers fehlschlägt, wird die Aktivierung bei Wiederherstellung der Netzwerkverbindung erneut versucht, auch wenn der
Wert in MISSTHRESHOLD nicht überschritten wurde. Wenn ein Benutzer sich abmeldet, bevor das Aktivierungszeitfenster erreicht
ist, wird bei der nächsten Anmeldung ein neues Zeitfenster zugewiesen.

•

[HKCU/Software/CREDANT/ActivationSlot] (Daten pro Benutzer)
Verzögerungszeit bis zum Versuch der Aktivierung mit Zeitfenster, die eingestellt wird, wenn sich der Benutzer zum ersten Mal
beim Netzwerk anmeldet, nachdem die Aktivierung mit Zeitfenster aktiviert wurde. Das Aktivierungszeitfenster wird für jeden
Aktivierungsversuch neu berechnet.

•

[HKCU/Software/CREDANT/SlotAttemptCount] (Daten pro Benutzer)
Anzahl der fehlgeschlagenen oder verpassten Versuche, wenn das Zeitfenster beginnt und ein Aktivierungsversuch gestartet wird,
aber fehlschlägt. Wenn diese Anzahl den in ACTIVATION_SLOT_MISSTHRESHOLD festgelegten Wert erreicht, versucht der
Computer bei der Verbindung mit dem Netzwerk noch eine einzige Aktivierung.

•

Um nicht verwaltete Benutzer auf dem Client-Computer zu ermitteln, stellen Sie den folgenden Registrierungswert auf dem ClientComputer ein:
[HKLM\SOFTWARE\Credant\CMGShield\ManagedUsers\]
"UnmanagedUserDetected"=DWORD value:1
Nicht verwaltete Benutzer auf diesem Computer ermitteln = 1
Nicht verwaltete Benutzer nicht auf diesem Computer ermitteln = 0

•

Um die automatische Reaktivierung im Hintergrund zu aktivieren, für den seltenen Fall, dass ein Benutzer deaktiviert wird, muss der
folgende Registrierungseintrag auf dem Client-Computer festgelegt werden:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CMGShield]
„AutoReactivation“=dword:00000001
0 = Deaktiviert (Standardeinstellung)
1 = Aktiviert

•

Die Systemdatenverschlüsselung (System Data Encryption, SDE) wird auf Basis des Richtlinienwerts für SDE-Verschlüsselungsregeln
durchgesetzt. Zusätzliche Verzeichnisse werden standardmäßig geschützt, wenn die Richtlinie „SDE-Verschlüsselung – Aktiviert“
markiert ist. Weitere Informationen finden Sie unter dem Stichwort „SDE-Verschlüsselungsregeln“ in der Adminhilfe. Wenn der
Encryption-Client eine Richtlinienaktualisierung mit einer aktiven SDE-Richtlinie verarbeitet, wird das aktuelle Benutzerprofilverzeichnis
standardmäßig mit dem Benutzerschlüssel SDUser verschlüsselt, und nicht mit dem Geräteschlüssel SDE. Der SDUser-Schlüssel wird
außerdem zur Verschlüsselung von Dateien oder Ordnern verwendet, die in ein Benutzerverzeichnis kopiert (nicht verschoben) werden,
das nicht mit SDE verschlüsselt ist.
Erstellen Sie den folgenden Registrierungseintrag auf dem Computer, um den SDUser-Schlüssel zu deaktivieren und stattdessen den
SDE-Schlüssel für die Verschlüsselung dieser Benutzerverzeichnisse zu verwenden:
[HKEY_LOCAL_MACHINE\SOFTWARE\Credant\CMGShield]
„EnableSDUserKeyUsage“=dword:00000000
Wenn dieser Registrierungsschlüssel nicht vorhanden ist oder einen anderen Wert aufweist als 0, wird der SDUser-Schlüssel für die
Verschlüsselung dieser Benutzerverzeichnisse verwendet.

Dell Data Protection | Endpoint Security Suite
Registrierungseinstellungen

Weitere Informationen über SDUser finden Sie unter www.dell.com/support/article/us/en/19/SLN304916.
•

Stellen Sie den Registrierungseintrag EnableNGMetadata ein, wenn Probleme im Zusammenhang mit Microsoft-Updates auf
Computern mit gemeinsamen mittels Schlüssel verschlüsselten Daten oder mit der Verschlüsselung, der Entschlüsselung oder dem
Entpacken einer großen Anzahl von Dateien in einem Ordner auftreten.
Stellen Sie den Registrierungseintrag EnableNGMetadata an folgendem Pfad ein:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CmgShieldFFE]
"EnableNGMetadata" = dword:1
0 = Deaktiviert (Standardeinstellung)
1 = Aktiviert

•

Wenn Sie die Funktion zur Nicht-Domänen-Aktivierung aktivieren möchten, wenden Sie sich bitte an den Dell ProSupport, um die
entsprechenden Anweisungen zu erhalten.

Threat Protection-Client –
Registrierungseinstellungen
•

Threat Protection-Ereignisse, die der Client an den EE-Server/VE-Server sendet, werden nicht automatisch auf dem Client-Computer
archiviert. Stellen Sie den folgenden Registrierungsschlüssel ein, um Ereignisse auf dem Client-Computer zu archivieren, z. B. wenn kein
Zugriff auf den EE-Server/VE-Server verfügbar ist.
[HKLM\Software\Dell\Dell Data Protection\ThreatProtection]
„ArchiveEvents“=dword:1
0=Deaktiviert, 1=Aktiviert
Die Ausführlichkeit des Protokolls ist in der Standardeinstellung auf „Warnung“ gesetzt. Zum Konfigurieren der Ausführlichkeit des
Debug-Protokolls stellen Sie den folgenden Registrierungsschlüssel ein:
[HKLM\Software\Dell\Dell Data Protection]
„LogVerbosity“=dword:10
10=Debugging-Ausführlichkeit

•

Auf dem Client-Computer werden Popup-Benachrichtigungen angezeigt, wenn eine Bedrohung festgestellt wird. Stellen Sie diesen
Registrierungsschlüssel auf 1, um die Benachrichtigungen zu unterdrücken.
[HKLM\Software\Dell\Dell Data Protection]
"DDPTPHideToasters"=dword:1
0=Deaktiviert (Standardeinstellung), 1=Aktiviert (unterdrückte Benachrichtigungen)
Um Benachrichtigungen für die niedrigste Sicherheitsstufe anzuzeigen, legen Sie den folgenden Registrierungsschlüssel fest.
[HKLM\Software\Dell\Dell Data Protection]
„DDPTPEventSeverityFilter“=dword:3
0=Information (es werden alle Ereignisse angezeigt), 1=Warnung, 2=Niedrig, 3=Hoch (standardmäßig werden nur die folgenden
Kategorien angezeigt: Hoch und Kritisch), 4=Kritisch
Wenn „DDPTPHideToasters“ auf 1 gesetzt ist, werden die Einstellungen für „DDPTPEventSeverityFilter“ ignoriert.

Dell Data Protection | Endpoint Security Suite
Registrierungseinstellungen

SED-Client – Registrierungseinstellungen
•

Fügen Sie den folgenden Registrierungswert hinzu, um das Wiederholungsintervall festzulegen, wenn der EE-Server/VE-Server nicht
mit dem SED-Client kommunizieren kann.
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
„CommErrorSleepSecs“=dword:300
Dieser Wert steht für die Anzahl der Sekunden, die der SED-Client abwartet, bis er erneut versucht, den EE-Server/VE-Server zu
kontaktieren, wenn dieser nicht mit dem SED-Client kommunizieren kann. Der Standardwert lautet 300 Sekunden (5 Minuten).

•

Falls auf dem EE-Server/VE-Server für SED Management ein selbstsigniertes Zertifikat verwendet wird, muss die SSL/TLSVertrauensprüfung auf dem Client-Computer deaktiviert bleiben (bei SED Management ist sie standardmäßig deaktiviert). Vor dem
Aktivieren der SSL/TLS-Vertrauensprüfung auf dem Client-Computer müssen die folgenden Voraussetzungen erfüllt sein.
•

Ein von einer Stammzertifizierungsstelle wie Ensign oder Verisign signiertes Zertifikat muss in den EE-Server/VE-Server importiert
werden.

•

Die vollständige Vertrauenskette des Zertifikats muss im Microsoft Keystore des Client-Computers gespeichert werden.

•

Um die SSL/TLS-Vertrauensprüfung für SED Management zu aktivieren, ändern Sie den Wert des folgenden
Registrierungseintrags auf dem Client-Computer in 0.
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
„DisableSSLCertTrust“=DWORD:0
0 = Aktiviert
1 = Deaktiviert

•

Zur Verwendung von Smartcards mit der Preboot-Authentifizierung muss der folgende Registrierungswert auf dem Client-Computer
eingestellt werden: Setzen Sie außerdem in der Remote Management Console die Richtlinie für die Authentifizierungsmethode auf
Smart Card, und bestätigen Sie die Änderung.
[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]
"MSSmartcardSupport"=dword:1

•

Um festzustellen, ob die PBA aktiviert ist, stellen Sie sicher, dass der folgende Wert festgelegt ist:
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent\Parameters]
"PBAIsActivated"=DWORD (32-bit):1
Der Wert „1“ bedeutet, dass die PBA aktiviert ist. Der Wert „0“ bedeutet, dass die PBA nicht aktiviert ist.

•

Um das Intervall festzulegen, in dem der SED-Client versucht, den EE-Server/VE-Server anzusprechen, wenn dieser nicht in der Lage
ist, mit dem SED-Client zu kommunizieren, definieren Sie den folgenden Wert auf dem Client-Computer:
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
"CommErrorSleepSecs"=DWORD Value:300

Dell Data Protection | Endpoint Security Suite
Registrierungseinstellungen

Dieser Wert steht für die Anzahl der Sekunden, die der SED-Client abwartet, bis er erneut versucht, den EE-Server/VE-Server zu
kontaktieren, wenn dieser nicht mit dem SED-Client kommunizieren kann. Der Standardwert lautet 300 Sekunden (5 Minuten).
•

Bei der Erstinstallation wird der Standort des Security Server-Hosts festgelegt. Diesen können Sie bei Bedarf ändern. Die
Hostinformationen werden bei jeder Richtlinienänderung durch den Client-Computer gelesen. Ändern Sie den folgenden
Registrierungswert auf dem Client-Computer:
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]
"ServerHost"=REG_SZ:..com

•

Bei der Erstinstallation wird der Standort des Security Server-Ports festgelegt. Diesen können Sie bei Bedarf ändern. Dieser Wert wird
bei jeder Richtlinienänderung durch den Clientcomputer gelesen. Ändern Sie den folgenden Registrierungswert auf dem ClientComputer:
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]
ServerPort=REG_SZ:8888

•

Bei der Erstinstallation wird die URL des Security Server-Ports festgelegt. Diese können Sie bei Bedarf ändern. Dieser Wert wird bei
jeder Richtlinienänderung durch den Clientcomputer gelesen. Ändern Sie den folgenden Registrierungswert auf dem Client-Computer:
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]
"ServerUrl"=REG_SZ:https://..com:8888/agent

Advanced Authentication-Client –
Registrierungseinstellungen
•

Wenn Sie nicht möchten, dass der Advanced Authentification-Client (Security Tools) die Dienste in Verbindung mit Smart Cards und
biometrischen Geräten in den Starttyp „Automatisch“ ändert, deaktivieren Sie die Funktion zum Starten von Diensten. Das Deaktivieren
der Funktion bewirkt auch, dass keine Warnmeldungen in Verbindung zu den nicht ausgeführten Diensten angezeigt werden.
Ist diese Funktion deaktiviert, unternimmt Security Tools für folgende drei Dienste keinen Startversuch:
•

SCardSvr – Verwaltet den Zugang zu den von einem Computer gelesenen Smartcards. Wird dieser Dienst gestoppt, kann der
Computer keine Smartcards lesen. Wird dieser Dienst deaktiviert, können alle direkt davon abhängigen Dienste nicht gestartet
werden.

•

SCPolicySvc – Ermöglicht es, das System so zu konfigurieren, dass der Benutzer-Desktop bei Entfernen der Smartcard gesperrt
wird.

•

WbioSrvc – Der Biometrie-Dienst von Windows ermöglicht es Client-Anwendungen, biometrische Daten ohne direkten Zugriff auf
Biometrie-Hardware oder -Proben zu erfassen, zu vergleichen, zu ändern und zu speichern. Der Dienst wird in einem bevorzugten
SVCHOST-Prozess gehostet.
Falls der Registrierungsschlüssel nicht existiert oder auf 0 gesetzt ist, ist diese Funktion standardmäßig aktiviert.
[HKLM\SOFTWARE\DELL\Dell Data Protection]
SmartCardServiceCheck=REG_DWORD:0
0 = Aktiviert
1 = Deaktiviert

•

Dell Data Protection | Endpoint Security Suite
Registrierungseinstellungen

•

Um Smart Cards mit der SED-Preboot-Authentifizierung zu verwenden, muss der folgende Registrierungswert auf dem mit SED
ausgestatteten Client-Computer eingestellt sein.
[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]
"MSSmartcardSupport"=dword:1
Setzen Sie in der Remote Management Console die Richtlinie für die Authentifizierungsmethode auf Smart Card, und bestätigen Sie die
Änderung.

BitLocker Manager-Client –
Registrierungseinstellungen
•

Falls auf dem EE-Server/VE-Server für BitLocker Manager ein selbstsigniertes Zertifikat verwendet wird, muss die SSL/TLSVertrauensprüfung auf dem Client-Computer deaktiviert bleiben (bei BitLocker Manager ist sie standardmäßig deaktiviert). Vor dem
Aktivieren der SSL/TLS-Vertrauensprüfung auf dem Client-Computer müssen die folgenden Voraussetzungen erfüllt sein.
•

Ein von einer Stammzertifizierungsstelle wie Ensign oder Verisign signiertes Zertifikat muss in den EE-Server/VE-Server importiert
werden.

•

Die vollständige Vertrauenskette des Zertifikats muss im Microsoft Keystore des Client-Computers gespeichert werden.

•

Um die SSL/TLS-Vertrauensprüfung für BitLocker Manager zu aktivieren, ändern Sie den Wert des folgenden
Registrierungseintrags auf dem Client-Computer in 0.
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
„DisableSSLCertTrust“=DWORD:0
0 = Aktiviert
1 = Deaktiviert

Dell Data Protection | Endpoint Security Suite
Registrierungseinstellungen

4
Installation unter Verwendung des ESS-MasterInstallationsprogramms
•

Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten.

•

Um die Installation unter Verwendung nicht standardmäßiger Ports durchzuführen, verwenden Sie untergeordnete
Installationsprogramme anstelle des ESS-Master-Installationsprogramms.

•

Die Protokolldateien des ESSmaster-Installationsprogramms befinden sich unter C:\ProgramData\Dell\Dell Data Protection\Installer.

•

Weisen Sie die Benutzer an, sich mit dem folgenden Dokument und den Hilfedateien vertraut zu machen, um Unterstützung bei der
Anwendung zu erhalten:
•

Informationen zur Verwendung der Funktionen von Encryption-Client finden Sie im Hilfedokument Dell Encrypt Help. Hier können
Sie auf die Hilfe zugreifen: :\Program Files\Dell\Dell Data Protection\Encryption\Help.

•

Informationen zur Verwendung der Funktionen von External Media Shield finden Sie im Hilfedokument EMS Help. Hier können Sie
auf die Hilfe zugreifen: :\Program Files\Dell\Dell Data Protection\Encryption\EMS.

•

Weitere Informationen zur Verwendung der Funktionen Advanced Authentification und Threat Protection finden Sie in der Endpoint
Security Suite-Hilfe . Greifen Sie auf die Hilfe über :\Program Files\Dell\Dell Data Protection\Endpoint Security Suite
\Threat Protection\Help auf.

•

Nach Abschluss der Installation sollten Endbenutzer die Richtlinien aktualisieren, indem sie in der Taskleiste mit der rechten Maustaste
auf das Symbol für „Dell Data Protection“ klicken und die Option Nach Richtlinienaktualisierungen suchen auswählen.

•

Das ESS-Master-Installationsprogramm installiert die gesamte Suite von Produkten. Es gibt zwei Methoden zur Installation unter
Verwendung des ESS-Master-Installationsprogramms. Wählen Sie eine der folgenden Optionen aus:
•

Interaktive Installation unter Verwendung des ESS-Master-Installationsprogramms

oder
•

Installation durch Befehlszeile mit dem ESS-Master Installationsprogramm

Interaktive Installation unter Verwendung des ESSMaster Installationsprogramms
•

Das ESS-Master-Installationsprogramm finden Sie hier:
•

•

Über Ihr Dell FTP-Konto – Suchen Sie das Installationspaket unter DDP-Endpoint-Security-Suite-1.x.x.xxx.zip

Verwenden Sie diese Anweisungen für die interaktive Installation von Dell Endpoint Security Suite über das ESS-MasterInstallationsprogramm. Sie können dieses Verfahren anwenden, um die gesamte Produkt-Suite gleichzeitig auf einem Computer zu
installieren.

Suchen Sie die Datei DDPSuite.exe auf dem Dell-Installationsmedium. Kopieren Sie sie auf den lokalen Computer.

Doppelklicken Sie auf , um das Installationsprogramm zu starten. Dieser Vorgang kann mehrere Minuten dauern.

Klicken Sie im Dialogfeld „Willkommen“ auf Weiter.

Lesen Sie die Lizenzvereinbarung, akzeptieren Sie die Bedingungen, und klicken Sie auf Weiter.

Geben Sie im Feld Name des Enterprise Servers den vollständigen Hostnamen des EE-Servers/VE-Servers ein, mit dem der
Zielbenutzer verwaltet werden soll, z. B. server.organisation.de.
Geben Sie im Feld URL des Device Servers die URL des Device Servers (Security Servers) ein, mit dem der Client kommunizieren soll.

Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung des ESS-Master-Installationsprogramms

autet das Format wie folgt: https://server.organization.com:8443/xapi/ (einschließlich des nachfolgenden Schrägstrichs).
Klicken Sie auf Weiter.
6

Klicken Sie auf Weiter, um die Produkte im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection\. zu speichern. Dell
recommends installing in the default location only, da bei der Installation an anderen Speicherorten Probleme auftreten könnten.

Wählen Sie die zu installierenden Komponenten aus.
Security Framework installiert das unterliegende Sicherheitsrahmenwerk und Security Tools, den erweiterten Authentifizierungs-Client,
der mehrere Authentifizierungsmethoden verwaltet, darunter PBA und Anmeldeinformationen wie Fingerabdrücke und Passwörter.
Advanced Authentication installiert die Dateien und die erforderlichen Services für Advanced Authentication.
Encryption installiert den Encryption-Client, die Komponente, die Sicherheitsrichtlinien durchsetzt, egal ob ein Computer mit dem
Netzwerk verbunden oder vom Netzwerk getrennt ist, verloren gegangen ist oder gestohlen wurde.
Threat Protection installiert die Threat Protection-Clients, die aus folgenden Komponenten bestehen: Malware-Schutz und
Virenschutz zum Suchen nach Viren, Spyware und unerwünschten Programmen, Client-Firewall zur Überwachung der
Datenübertragung zwischen dem Computer und Ressourcen im Netzwerk und im Internet sowie Web-Filtering zum Anzeigen von
Sicherheitsbewertungen oder Blockieren des Zugriffs auf Websites während der Online-Navigation.
BitLocker Manager installiert den BitLocker Manager-Client, der speziell auf die Verbesserung der Sicherheit von BitLockerBereitstellungen ausgelegt ist. Er sorgt für Vereinfachung und senkt gleichzeitig die Betriebskosten durch eine zentralisierte
Verwaltung der BitLocker- Verschlüsselungsrichtlinien.
Advanced Threat Protection installiert den Advanced Threat Prevention-Client, den Virenschutz der nächsten Generation, der
algorithmische Wissenschaft und maschinelles Lernen einsetzt, um bekannte sowie unbekannte Cyber-Bedrohungen zu identifizieren,
zu klassifizieren und von der Ausführung bzw. der Beschädigung von Endpunkten abzuhalten.
ANMERKUNG: Threat Protection und Advanced Threat Protection dürfen nicht auf demselben Computer vorhanden
sein. Das Installationsprogramm verhindert automatisch die Auswahl beider Komponenten gleichzeitig. Falls Sie
Advanced Threat Prevention installieren möchten, laden Sie das erweiterte Endpoint Security SuiteInstallationshandbuch für Unternehmen herunter, und lesen Sie die darin enthaltenen Anweisungen.
Klicken Sie auf Weiter, wenn Ihre Auswahl abgeschlossen sind.

Klicken Sie auf Installieren, um mit der Installation zu beginnen. Die Installation kann mehrere Minuten dauern.

Wählen Sie Ja, ich möchte meinen Computer jetzt neu starten aus, und klicken Sie auf Fertig stellen.
Damit ist die Installation abgeschlossen.

Installation durch Befehlszeile mit dem ESS-Master
Installationsprogramm
•

Bei einer Installation über die Befehlszeile müssen die Schalter zuerst angegeben werden. Andere Parameter gehen in ein Argument ein,
das an den /v-Schalter weitergegeben wird.
Schalter

•

In der folgenden Tabelle werden die Schalter beschrieben, die mit dem ESS-Master-Installationsprogramm verwendet werden können.
Schalter

Beschreibung

-y -gm2

Vorab-Extrahierung des ESS-Master Installationsprogramms. Die Schalter -y und -gm2 müssen zusammen
verwendet werden.
Trennen Sie sie bitte nicht.

Installation im Hintergrund

Gibt Variablen an die MSI-Datei innerhalb der DDPSuite.exe-Datei weiter.

Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung des ESS-Master-Installationsprogramms

Parameter
•

In der folgenden Tabelle werden die Parameter beschrieben, die mit dem ESS-Master-Installationsprogramm verwendet werden können.
Das ESS-Master-Installationsprogramm kann keine einzelnen Komponenten ausschließen, aber kann Befehle empfangen, um
anzugeben, welche Komponenten installiert werden sollen.
Parameter

Beschreibung

SUPPRESSREBOOT

Unterbindet nach Abschluss der Installation den automatischen Neustart. Kann im HINTERGRUND-Modus
verwendet werden.

SERVER

Gibt die URL des EE-Servers/VE-Servers an.

InstallPath

Gibt den Pfad für die Installation an. Kann im HINTERGRUND-Modus verwendet werden.

FUNKTIONEN

Gibt die Komponenten an, die im HINTERGRUND-Modus installiert werden können.
DE-TP = Threat Protection and Encryption
DE = Drive Encryption (Laufwerksverschlüsselung) (Encryption-Client)
BLM = BitLocker Manager
SED = Self-encrypting Drive management (Verwaltung eines selbstverschlüsselnde Laufwerks) (EMAgent/
Manager, PBA/GPE-Treiber)

BLM_ONLY=1

Muss verwendet werden, wenn FEATURES=BLM in der Befehlszeile verwendet wird, um das SED
Management-Plugin auszuschließen.

Beispiel für eine Befehlszeile
•

Bei den Befehlszeilenparametern ist die Groß- und Kleinschreibung zu beachten.

•

In diesem Beispiel wird lediglich ESSE Manager unter Verwendung des ESS-Master-Installationsprogramms auf Standardports, im
Hintergrund und am Standardspeicherort C:\Program Files\Dell\Dell Data Protection\ installiert und für die Verwendung des
angegebenen EE-Servers/VE-Servers konfiguriert.
"DDPSuite.exe" -y -gm2 /S /z"\"SERVER=server.organization.com\""

•

In diesem Beispiel wird Threat Protection and Encryption nur unter Verwendung des ESS-Master-Installationsprogramms auf
Standardports, im Hintergrund und am Standardspeicherort C:\Programme\Dell\Dell Data Protection\ installiert und für die
Verwendung des angegebenen EE-Servers/VE-Servers konfiguriert.
"DDPSuite.exe" -y -gm2 /S /z"\"SERVER=server.organization.com, FEATURES=DE-TP\""

•

In diesem Beispiel wird Threat Protection, Encryption und SED Management unter Verwendung des ESS-MasterInstallationsprogramms auf Standardports, im Hintergrund und am Standardspeicherort C:\Program Files\Dell\Dell Data Protection\
installiert und für die Verwendung des angegebenen EE-Servers/VE-Servers konfiguriert.
"DDPSuite.exe" -y -gm2 /S /z"\"SERVER=server.organization.com, FEATURES=DE-TP, SED,
SUPPRESSREBOOT=1\""

•

Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung des ESS-Master-Installationsprogramms

5
Deinstallation unter Verwendung des ESSMaster-Installationsprogramms
•

Jede Komponente muss einzeln deinstalliert werden, gefolgt von der Deinstallation des ESS-Master-Installationsprogramms. Die Clients
müssen in einer bestimmten Reihenfolge deinstalliert werden, um Fehler bei der Deinstallation zu vermeiden.

•

Folgen Sie den Anweisungen unter Untergeordnete Installationsprogramme aus dem ESS-Master-Installationsprogramm zum Abrufen
von untergeordneten Installationsprogrammen.

•

Stellen Sie sicher, dass Sie für die Deinstallation dieselbe Version des ESS-Master-Installationsprogramms (und damit der Clients)
verwenden, wie bei der Installation.

•

Dieses Kapitel verweist auf weitere Kapitel, die ausführliche Informationen zum Deinstallieren der untergeordneten
Installationsprogramme enthalten. In diesem Kapitel wird nur der letzte Schritt beschrieben, die Deinstallation des ESS-MasterInstallationsprogramms.

•

Deinstallieren Sie die Clients in der folgenden Reihenfolge.
a

Threat Protection-Clients deinstallieren.

Encryption-Client deinstallieren.

SED- und Advanced Authentication-Clients deinstallieren.

BitLocker Manager-Client deinstallieren.

Das Treiberpaket muss nicht deinstalliert werden.
•

Fahren Sie mit dem Schritt ESS-Master-Installationsprogramm deinstallieren fort.

ESS-Master-Installationsprogramm deinstallieren
Nach der Deinstallation der einzelnen Clients kann nun auch das ESS-Master Installationsprogramm deinstalliert werden.

Deinstallation über die Befehlszeile
•

Im folgenden Beispiel wird das ESS-Master-Installationsprogramm im Hintergrund deinstalliert.
"DDPSuite.exe" -y -gm2 /S /x
Führen Sie einen Neustart des Computers durch, wenn Sie fertig sind.

Dell Data Protection | Endpoint Security Suite
Deinstallation unter Verwendung des ESS-Master-Installationsprogramms

6
Installation unter Verwendung der
untergeordneten Installationsprogramme
•

Um jeden einzelnen Client separat zu installieren, müssen die untergeordneten ausführbaren Dateien aus dem ESS -Master
Installationsprogramm extrahiert werden, wie in Extrahieren der untergeordneten Installationsprogramme aus dem ESS-Master
Installationsprogramm gezeigt.

•

Bei in diesem Abschnitt enthaltenen Befehlsbeispielen wird davon ausgegangen, dass die Befehle von C:\extracted ausgeführt werden.

•

Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten.

•

Stellen Sie sicher, dass Werte, die ein oder mehrere Sonderzeichen enthalten, z. B. eine Leerstelle in der Befehlszeile, zwischen in
Escape-Zeichen gesetzte Anführungszeichen gesetzt werden.

•

Verwenden Sie diese Installationsprogramme zur Installation der Clients. Nutzen Sie dazu eine skriptgesteuerte Installation,
Batchdateien oder eine andere verfügbare Push-Technologie.

•

Der Neustart wurde in den Befehlszeilenbeispielen unterdrückt. Es ist jedoch ein abschließender Neustart erforderlich. Die
Verschlüsselung kann erst nach dem Neustart des Computers beginnen.

•

Protokolldateien – Windows erstellt eindeutige Installationsprotokolldateien des untergeordneten Installationsprogramms für den
angemeldeten Benutzers unter „%Temp%“ mit dem folgenden Verzeichnispfad C:\Users\\AppData\Local\Temp.
Falls Sie sich dafür entscheiden, beim Ausführen des Installationsprogramms eine separate Protokolldatei hinzuzufügen, stellen Sie
sicher, dass die Protokolldatei einen eindeutigen Namen hat, da Protokolldateien des untergeordneten Installationsprogramms keine
Anhänge zulassen. Der Standard-MSI-Befehl kann dazu verwendet werden, um eine Protokolldatei durch die Verwendung von /l*v C:
\\.log zu erstellen.

•

Für Installationen über die Befehlszeile verwenden alle untergeordneten Installationsprogramme, soweit nicht anders angegeben, die
gleichen grundlegenden .msi-Schalter und Anzeigeoptionen. Die Schalter müssen zuerst angegeben werden. Der /v-Schalter ist
erforderlich und benötigt ein Argument. Andere Parameter gehen in ein Argument ein, das an den /v-Schalter weitergegeben wird.
Anzeigeoptionen können am Ende des Arguments angegeben werden, das an den /v-Schalter weitergegeben wird, um das erwartete
Verhalten zu erzielen. Verwenden Sie /q und /qn nicht in derselben Befehlszeile. Verwenden Sie ! und - nur nach /qb.
Schalter

Erläuterung

Gibt Variablen an die .msi-Datei innerhalb der setup.exe-Datei weiter. Der Inhalt muss
immer von Anführungszeichen in Klartext umrahmt sein.

Im Hintergrund

Deinstallationsmodus

Administrative Installation (mit Kopieren aller Dateien in der .msi)

ANMERKUNG:
Mit /v stehen die Microsoft Standardoptionen zur Verfügung. Eine Liste der Optionen finden Sie unter https://
msdn.microsoft.com/en-us/library/windows/desktop/aa367988(v=vs.85).aspx.

Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung der untergeordneten Installationsprogramme

•

Option

Erläuterung

Kein Fortschrittsdialogfeld, führt nach Abschluss der Installation selbstständig einen
Neustart durch

/qb

Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, fordert zum Neustart auf

/qb-

Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, führt nach Abschluss des
Vorgangs selbstständig einen Neustart durch

/qb!

Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, fordert zum Neustart auf

/qb!-

Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, führt nach Abschluss des
Vorgangs selbständig einen Neustart durch

/qn

Keine Benutzeroberfläche

/norestart

Neustart unterdrücken

Weisen Sie die Benutzer an, sich mit dem folgenden Dokument und den Hilfedateien vertraut zu machen, um Unterstützung bei der
Anwendung zu erhalten:
•

•

Weitere Informationen zur Verwendung der Funktionen Advanced Authentification und Threat Protection finden Sie in der Endpoint
Security Suite-Hilfe, . Greifen Sie auf die Hilfe über :\Program Files\Dell\Dell Data Protection\Endpoint Security Suite
\Threat Protection\Help zu.

Treiber installieren
•

Treiber und Firmware für ControlVault, Fingerabdruckleser und Smart Cards sind nicht im ESS -Master-Installationsprogramm oder in
den untergeordneten ausführbaren Installationsdateien enthalten. Treiber und Firmware müssen jederzeit auf dem aktuellen Stand sein
und können nach Auswahl des jeweiligen Computermodells von der Website http://www.dell.com/support heruntergeladen werden.
Laden Sie die jeweiligen Treiber und die Firmware basierend auf Ihrer Authentifizierungshardware herunter.
•

ControlVault

•

NEXT Biometrics Fingerprint-Treiber

•

Validity Fingerprint Reader 495-Treiber

•

O2Micro Smart Card-Treiber

Falls Sie Hardware installieren möchten, die nicht von Dell stammt, müssen Sie die aktualisierten Treiber und die Firmware von der
Website des jeweiligen Herstellers herunterladen.

Encryption-Client installieren
•

Lesen Sie den Abschnitt Encryption-Client-Anforderungen, wenn Ihr Unternehmen ein Zertifikat verwendet, das von einer Stammstelle
signiert wurde, z. B. EnTrust oder Verisign. Zur Aktivierung der Zertifikatsprüfung muss eine Registrierungseinstellung auf dem ClientComputer geändert werden.

•

Das Encryption-Client-Installationsprogramm kann wie folgt bezogen werden:
•

Über Ihr Dell FTP-Konto – Suchen Sie das Installationspaket in der Datei DDP-Endpoint-Security-Suite-1.x.x.xxx.zip, und
extrahieren Sie dann die untergeordneten Installationsprogramme aus dem ESS-Master-Installationsprogramm. Suchen Sie nach
dem Extrahieren die Datei unter C:\extracted\Encryption.
Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung der untergeordneten Installationsprogramme

Installation über die Befehlszeile
•

Die folgende Tabelle umfasst die für die Installation verfügbaren Parameter.
Parameter
SERVERHOSTNAME= (Vollqualifizierter Domänenname des Dell Servers für erneute Aktivierung)
POLICYPROXYHOSTNAME= (Vollqualifizierter Domänenname des Standard-Richtlinien-Proxys)
MANAGEDDOMAIN= (Für das Gerät zu verwendende Domäne)
DEVICESERVERURL= (Zur Aktivierung verwendet URL; enthält normalerweise
Servernamen, Port und xapi)
GKPORT= (Gatekeeper-Port)
MACHINEID= (Computername)
RECOVERYID= (Wiederherstellungs-ID)
REBOOT=ReallySuppress (Null ermöglicht automatische Neustarts, ReallySuppress deaktiviert den Neustart)
HIDEOVERLAYICONS=1 (0 aktiviert Overlay-Symbole, 1 deaktiviert Overlay-Symbole)
HIDESYSTRAYICON=1 (0 aktiviert das Taskleistensymbol, 1 deaktiviert das Taskleistensymbol)
Eine Liste der grundlegenden .msi-Schalter und Anzeigeoptionen, die in Befehlszeilen verwendet werden können, finden Sie unter
Installation unter Verwendung der untergeordneten Installationsprogramme.

•

Die folgende Tabelle zeigt Details zusätzlicher optionaler Parameter im Zusammenhang mit der Aktivierung.
Parameter
SLOTTEDACTIVATON=1 (0 deaktiviert verzögerte/geplante Aktivierungen, 1 aktiviert verzögerte/geplante Aktivierungen)
SLOTINTERVAL=30.300 (Plant Aktivierungen anhand der Angabe x,x, wobei der erste Wert die untere Grenze des Zeitplans und der
zweite Wert die obere Grenze ist – in Sekunden)
CALREPEAT=300 (MUSS gleich wie oder höher als der in SLOTINTERVAL festgelegte obere Grenzwert sein. Anzahl der Sekunden,
die der Encryption-Client wartet, bevor ein Aktivierungsversuch basierend auf SLOTINTERVAL generiert wird.)
Beispiel für eine Befehlszeile

•

Im folgenden Beispiel wird der Client mit den Standardparametern installiert (Encryption-Client, für Freigabe verschlüsseln, kein
Dialogfeld, keine Statusanzeige, automatischer Neustart, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data
Protection).
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ /qn"
MSI-Befehl:
msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress"
SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com"
MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/"

Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung der untergeordneten Installationsprogramme

•

Im folgenden Beispiel werden der Encryption-Client und die Option „Für Freigabe verschlüsseln“ installiert, das DDP-Taskleistensymbol
und die Overlay-Symbole werden ausgeblendet, es gibt keine Dialogfelder, keine Statusanzeige und keinen Neustart, und die Installation
erfolgt im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection..
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ HIDESYSTRAYICON=1 HIDEOVERLAYICONS=1
REBOOT=ReallySuppress /qn"
MSI-Befehl:
msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress"
SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com"
MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/"
HIDESYSTRAYICON="1" HIDEOVERLAYICONS="1"
ANMERKUNG:
Einige ältere Clients erfordern unter Umständen Escape-Zeichen \" um die Werte von Parametern. Beispiel:
DDPE_XXbit_setup.exe /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER=
\"server.organization.com\" DA_PORT=\"8050\" SVCPN=\"administrator@organization.com\"
DA_RUNAS=\"domain\username\" DA_RUNASPWD=\"password\" /qn"

Installieren von Threat Protection Clients
•

Threat Protection und Advanced Threat Prevention dürfen sich nicht auf demselben Computer befinden. Installieren Sie nicht beide
Komponenten auf demselben Computer, da es ansonsten zu Kompatibilitätsproblemen kommt. Falls Sie Advanced Threat Prevention
installieren möchten, laden Sie das erweiterte Endpoint Security Suite-Installationshandbuch für Unternehmen herunter, und lesen Sie
die darin enthaltenen Anweisungen.

•

Die Installationsprogramme müssen in einer bestimmten Reihenfolge ausgeführt werden. Werden die Komponenten in der falschen
Reihenfolge installiert, kommt es zu einer fehlerhaften Installation. Führen Sie die Installationsprogramme in der folgenden Reihenfolge
aus:

\Sicherheit Tools (Thread Protection erfordert die Dell Client Security Framework-Komponente).

\Security Tools\Authentication (Security Tools und Auth sollten zusammen installiert werden)

Der Encryption-Client ist erforderlich für die Komponenten Threat Protection . Eine Beispielinstallation finden Sie unter Beispiel für
eine Befehlszeile.

Threat Protection-Clients, gemäß Abbildung unter Installation über die Befehlszeile.

•

Die Installationsprogramme für SED und den Advanced Authentication-Client befinden sich unter:
•

•

Das Encryption-Client-Installationsprogramm kann wie folgt bezogen werden:
•

•

Über Ihr Dell-FTP-Konto – Suchen Sie das Installationspaket in der Datei „DDP-Endpoint-Security-Suite-1.x.x.xxx.zip“, und
extrahieren Sie dann die untergeordneten Installationsprogramme aus dem ESS-Master-Installationsprogramm. Suchen Sie nach der
Extrahierung die Datei unter C:\extracted\Security Tools und C:\extracted\Security Tools\Authentication.

Über Ihr Dell-FTP-Konto – Suchen Sie das Installationspaket in der Datei „DDP-Endpoint-Security-Suite-1.x.x.xxx.zip“, und
extrahieren Sie dann die untergeordneten Installationsprogramme aus dem ESS-Master-Installationsprogramm. Suchen Sie nach
dem Extrahieren die Datei unter C:\extracted\Encryption.

Die Threat Protection-Client-Installationsprogramme können wie folgt bezogen werden:
•

Über Ihr Dell-FTP-Konto – Suchen Sie das Installationspaket in der Datei „DDP-Endpoint-Security-Suite-1.x.x.xxx.zip“, und
extrahieren Sie dann die untergeordneten Installationsprogramme aus dem ESS-Master-Installationsprogramm. Machen Sie die
Datei nach der Extrahierung unter C:\extracted\Dell Threat Protection ausfindig.

Installation über die Befehlszeile
•

Die folgende Tabelle enthält die für die Datei EnsMgmtSdkInstaller.exe erforderlichen Parameter.

Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung der untergeordneten Installationsprogramme

•

Parameter

Beschreibung

LoadCert

Lädt das Zertifikat am angegebenen Verzeichnis.

Die folgende Tabelle enthält die für die Datei setupEP.exe erforderlichen Parameter.
Parameter

Beschreibung

ADDLOCAL="tp,fw,wc"

Identifiziert die zu installierenden Module:
tp=Threat Protection
fw=Client-Firewall
wc=Web-Schutz
ANMERKUNG: Alle drei Module müssen installiert werden.

•

override "hips"

Installation von Host Intrusion Prevention nicht durchführen.

INSTALLDIR

Kein standardmäßiges Installationsverzeichnis.

nocontentupdate

Weist das Installationsprogramm an, die Inhaltsdateien im Rahmen der Installation nicht
automatisch zu aktualisieren. Dell empfiehlt, umgehend nach der Installation eine
Aktualisierung einzuplanen.

nopreservesettings

Keine Einstellungen speichern.

Die folgende Tabelle enthält die für die Datei DellThreatProtection.msi erforderlichen Parameter.
Parameter

Beschreibung

Reboot=ReallySuppress

Neustart wird unterdrückt.

ARP

0 = Kein Eintrag unter Programme hinzufügen/entfernen
1 = Eintrag unter Programme hinzufügen/entfernen

•

Die folgende Tabelle stellt die für die Datei EnsMgmtSdkInstaller.exe erforderlichen Parameter dar.
Parameter

Beschreibung

ProtectProcesses

Gibt den Dateinamen und den Speicherort der zu schützenden Prozessen an.

InstallSDK

Installiert den SDK am angegebenen Speicherort.

RemoveRightClick

Entfernt die Rechtsklickoption für Endbenutzer.

RemoveMcTray

Entfernt die Taskleiste.

Beispiel für eine Befehlszeile
\Dell Threat Protection\SDK
•

Durch den folgenden Befehl werden die Standardparameter für das Zertifikat geladen.
"Dell Threat Protection\SDK\EnsMgmtSdkInstaller.exe" -LoadCert >"C:\ProgramData\Dell\Dell Data
Protection\Installer Logs\McAfeeSDKInstallerBeforeEndPoint.log"
ANMERKUNG:
Bei einem Upgrade kann dieses Installationsprogramm übersprungen werden.

Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung der untergeordneten Installationsprogramme

Dann:
\Dell Threat Protection\EndPointSecurity
•

Im folgenden Beispiel werden Threat Protection, Web Protection und Client Firewall mit Standard-Parametern (Hintergrundmodus,
Installation von Threat Protection, Client Firewall und Web Protection, Überschreiben der Host Intrusion Prevention, keine
Inhaltsaktualisierung, keine Speicherung der Einstellungen) installiert.
"Dell Threat Protection\EndPointSecurity\EPsetup.exe" ADDLOCAL="tp,fw,wc" /override"hips" /
nocontentupdate /nopreservesettings /qn
Dann:
\Dell Threat Protection\ThreatProtection\WinXXR

•

Im folgenden Beispiel wird der Client mit den Standard-Parametern installiert (Unterdrückung des Neustarts, keine Dialogfelder, keine
Fortschrittsleiste, kein Eintrag in die Liste der Programme in der Systemsteuerung).
"Dell Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi" /qn
REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1
\Dell Threat Protection\SDK

•

Im folgenden Beispiel wird der Threat Protection-SDK deinstalliert.
"Dell Threat Protection\SDK\EnsMgmtSdkInstaller.exe" -ProtectProcesses "C:\Program Files\Dell
\Dell Data Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick RemoveMcTray >"C:\ProgramData\Dell\Dell Data Protection\Installer Logs
\McAfeeSDKInstallerAfterEndPoint.log"

SED Management- und Advanced AuthenticationClients installieren
•

Für Advanced Authentication in Version 8.x ist der SED-Client erforderlich.

•

Überprüfen Sie die SED-Client-Anforderungen, wenn Ihr Unternehmen ein Zertifikat verwendet, das von einer Stammstelle, wie z. B.
EnTrust oder Verisign, signiert wurde. Zur Aktivierung der SSL/TLS-Vertrauensprüfung muss eine Registrierungseinstellung auf dem
Client-Computer geändert werden.

•

Benutzer melden sich mit ihren Windows-Anmeldeinformationen an der PBA an.

•

Die Installationsprogramme für SED und den Advanced Authentication-Client befinden sich unter:
•

Über Ihr Dell FTP-Konto – Suchen Sie das Installationspaket in der Datei DDP-Endpoint-Security-Suite-1.x.x.xxx.zip, und
extrahieren Sie dann die untergeordneten Installationsprogramme aus dem ESS-Master-Installationsprogramm. Suchen Sie nach der
Extrahierung die Datei unter C:\extracted\Security Tools und C:\extracted\Security Tools\Authentication.

Installation über die Befehlszeile
•

Die folgende Tabelle umfasst die für die Installation verfügbaren Parameter.
Parameter
CM_EDITION=1
INSTALLDIR=
SERVERHOST=
SERVERPORT=8888
SECURITYSERVERHOST=

Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung der untergeordneten Installationsprogramme

Parameter
SECURITYSERVERPORT=8443
ARPSYSTEMCOMPONENT=1
Eine Liste der grundlegenden .msi-Schalter und Anzeigeoptionen, die in Befehlszeilen verwendet werden können, finden Sie unter
Installation unter Verwendung der untergeordneten Installationsprogramme.
Beispiel für eine Befehlszeile
\Security Tools
•

Im folgenden Beispiel wird ein remote verwaltetes SED installiert (automatische Installation, kein Neustart, kein Eintrag in der Liste der
Programme in der Systemsteuerung, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 /
norestart /qn"
Dann:
\Security Tools\Authentication

•

Im folgenden Beispiel wird Advanced Authentication installiert (Installation im Hintergrund, kein Neustart).
setup.exe /s /v"/norestart /qn ARPSYSTEMCOMPONENT=1"

BitLocker Manager-Client installieren
•

Überprüfen Sie Anforderungen für den BitLocker Manager-Client, wenn Ihr Unternehmen ein Zertifikat verwendet, das von einer
Stammstelle, wie z. B. EnTrust oder Verisign, signiert wurde. Zur Aktivierung der SSL/TLS-Vertrauensprüfung muss eine
Registrierungseinstellung auf dem Client-Computer geändert werden.

•

Die BtLocker Manager-Installationsprogramme können wie folgt bezogen werden:
•

Über Ihr Dell FTP-Konto – Suchen Sie das Installationspaket in der Datei DDP-Endpoint-Security-Suite-1.x.x.xxx.zip, und
extrahieren Sie dann die untergeordneten Installationsprogramme aus dem ESS-Master-Installationsprogramm. Suchen Sie nach
dem Extrahierungsvorgang die Datei im folgenden Verzeichnis: C:\extracted\Security Tools.

Installation über die Befehlszeile
•

Die folgende Tabelle umfasst die für die Installation verfügbaren Parameter.
Parameter
CM_EDITION=1
INSTALLDIR=
SERVERHOST=
SERVERPORT=8888
SECURITYSERVERHOST=
SECURITYSERVERPORT=8443
FEATURE=BLM

Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung der untergeordneten Installationsprogramme

Parameter
FEATURE=BLM,SED
ARPSYSTEMCOMPONENT=1
Eine Liste der grundlegenden .msi-Schalter und Anzeigeoptionen, die in Befehlszeilen verwendet werden können, finden Sie unter
Installation unter Verwendung der untergeordneten Installationsprogramme.
Beispiel für eine Befehlszeile
•

Im folgenden Beispiel wird nur BitLocker Manager installiert (automatische Installation, kein Neustart, kein Eintrag in der Liste der
Programme in der Systemsteuerung, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM /norestart /qn"

•

Im folgenden Beispiel wird BitLocker Manager mit SED installiert (automatische Installation, kein Neustart, kein Eintrag in der Liste der
Programme in der Systemsteuerung, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM,SED /
norestart /qn"

Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung der untergeordneten Installationsprogramme

7
Deinstallation unter Verwendung der
untergeordneten Installationsprogramme
•

Um jeden Client einzeln zu deinstallieren, müssen die untergeordneten ausführbaren Dateien zuerst aus dem ESS -MasterInstallationsprogramm extrahiert werden, wie unter Extrahieren der untergeordneten Installationsprogramme aus dem ESS-MasterInstallationsprogramm angezeigt. Führen Sie alternativ dazu eine administrative Installation zum Extrahieren der .msi aus.

•

Stellen Sie sicher, dass Sie für die Deinstallation dieselben Client-Versionen verwenden wie bei der Installation.

•

Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten.

•

Stellen Sie sicher, dass Werte, die ein oder mehrere Sonderzeichen enthalten, z. B. eine Leerstelle in der Befehlszeile, zwischen in
Escape-Zeichen gesetzte Anführungszeichen gesetzt werden. Bei den Befehlszeilenparametern ist die Groß- und Kleinschreibung zu
beachten.

•

Verwenden Sie diese Installationsprogramme zur Deinstallation der Clients. Nutzen Sie dazu eine skriptgesteuerte Installation,
Batchdateien oder eine andere verfügbare Push-Technologie.

•

Protokolldateien – Windows erstellt eindeutige Deinstallationsprotokolldateien des untergeordneten Installationsprogramms für den
angemeldeten Benutzer unter C:\Users\\AppData\Local\Temp.
Falls Sie sich dafür entscheiden, beim Ausführen des Installationsprogramms eine separate Protokolldatei hinzuzufügen, stellen Sie
sicher, dass die Protokolldatei einen eindeutigen Namen hat, da Protokolldateien des untergeordneten Installationsprogramms keine
Anhänge zulassen. Mit dem standardmäßigen .msi-Befehl kann eine Protokolldatei unter Verwendung von /l C:\\.log erstellt werden. Der Benutzername und das Passwort werden in der Protokolldatei aufgezeichnet, daher rät Dell von
der Verwendung von "/l*v" (ausführliche Protokollierung) bei der Deinstallation über die Befehlszeile ab.

•

Für Deinstallationen über die Befehlszeile verwenden alle untergeordneten Installationsprogramme, soweit nicht anders angegeben, die
gleichen grundlegenden .msi-Schalter und Anzeigeoptionen. Die Schalter müssen zuerst angegeben werden. Der /v-Schalter ist
erforderlich und benötigt ein Argument. Andere Parameter gehen in ein Argument ein, das an den /v-Schalter weitergegeben wird.
Anzeigeoptionen können am Ende des Arguments angegeben werden, das an den /v-Schalter weitergegeben wird, um das erwartete
Verhalten zu erzielen. Verwenden Sie /q und /qn nicht in derselben Befehlszeile. Verwenden Sie ! und - nur nach /qb.
Schalter

Erläuterung

Gibt Variablen an die .msi-Datei innerhalb der setup.exe-Datei weiter. Der Inhalt muss
immer von Anführungszeichen in Klartext umrahmt sein.

Im Hintergrund

Deinstallationsmodus

Administrative Installation (mit Kopieren aller Dateien in der .msi)

ANMERKUNG:
Mit /v stehen die Microsoft Standardoptionen zur Verfügung. Eine Liste der Optionen finden Sie unter https://
msdn.microsoft.com/en-us/library/windows/desktop/aa367988(v=vs.85).aspx .

Dell Data Protection | Endpoint Security Suite
Deinstallation unter Verwendung der untergeordneten Installationsprogramme

Option

Erläuterung

Kein Fortschrittsdialogfeld, führt nach Abschluss der Installation selbstständig einen
Neustart durch

/qb

Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, fordert zum Neustart auf

/qb-

Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, führt nach Abschluss des
Vorgangs selbstständig einen Neustart durch

/qb!

Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, fordert zum Neustart auf

/qb!-

Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, führt nach Abschluss des
Vorgangs selbständig einen Neustart durch

/qn

Keine Benutzeroberfläche

Threat Protection-Clients deinstallieren
Deinstallation über die Befehlszeile
•

Nach der Extraktion aus dem ESS-Master-Installationsprogramm kann sich das Threat Protection -Client-Installationsprogramm unter
C:\extracted\Dell Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi befinden.

•

Wechseln Sie in den Bereich „Programme hinzufügen/entfernen“ der Systemsteuerung, und deinstallieren Sie die folgenden
Komponenten in der angegebenen Reihenfolge.
•

McAfee Endpoint Security Firewall

•

McAfee Endpoint Security Threat Prevention

•

McAfee Endpoint Security Web Control

•

McAfee Agent

•

Dann:

•

Im folgenden Beispiel werden der Threat Protection-Client deinstalliert.
MSIEXEC.EXE /x "DellThreatProtection.msi"

Client für Verschlüsselung deinstallieren
•

Entfernen Sie mithilfe des Windows Festplattenbereinigungs-Assistenten temporäre Dateien und andere nicht benötigte Daten, um den
Zeitaufwand für die Entschlüsselung zu verringern.

•

Führen Sie die Entschlüsselung nach Möglichkeit über Nacht durch.

•

Schalten Sie den Energiesparmodus aus, um zu verhindern, dass ein unbeaufsichtigter Computer in diesen Modus umschaltet. Im
Energiesparmodus kann keine Entschlüsselung erfolgen.

•

Schließen Sie alle Prozesse und Anwendungen, um Entschlüsselungsfehler aufgrund gesperrter Dateien zu vermeiden.

•

Sobald die Deinstallation abgeschlossen ist und die Entschlüsselung läuft, deaktivieren Sie die gesamte Netzwerkkonnektivität.
Andernfalls werden womöglich neue Richtlinien erfasst, mit denen die Verschlüsselung wieder aktiviert wird.

•

Befolgen Sie das übliche Verfahren für die Verschlüsselung von Daten, z. B. die Ausgabe einer Richtlinienaktualisierung.

•

Zu Beginn einer Shield-Deinstallation aktualisieren Windows Shields den EE-Server/VE-Server, um den Status in Ungeschützt zu
ändern. Wenn der Client jedoch keine Verbindung zum EE-Server/VE-Server herstellen kann, ist keine Statusaktualisierung möglich. In
diesem Fall müssen Sie ein manuelles Entfernen des Endpunkts in der Remote-Verwaltungskonsole durchführen. Falls Ihr Unternehmen
diese Vorgehensweise im Rahmen der Compliance einsetzt, empfiehlt Dell, zu überprüfen, ob in der Remote-Verwaltungskonsole oder in
Compliance Reporter erwartungsgemäß der Status Ungeschützt erscheint.

Dell Data Protection | Endpoint Security Suite
Deinstallation unter Verwendung der untergeordneten Installationsprogramme

Verfahren
•

Vor der Deinstallation finden Sie weitere Informationen unter (Optional) Encryption Removal Agent-Protokolldatei anlegen. Diese
Protokolldatei erleichtert das Beheben von Fehlern, die unter Umständen beim Deinstallieren/Entschlüsseln auftreten. Falls Sie Dateien
während der Deinstallation nicht entschlüsseln möchten, müssen Sie keine Encryption Removal Agent-Protokolldatei anlegen.

•

Der Key Server (und EE-Server) müssen vor der Deinstallation konfiguriert werden, falls Sie die Option Encryption Removal Agent lädt
Schlüssel von Server herunter verwenden möchten. Weitere Informationen finden Sie unter Key Server für die Deinstallation von auf
EE-Server aktiviertem Encryption-Client konfigurieren. Falls der zu deaktivierende Client auf einem VE-Server aktiviert ist, sind keine
weiteren Maßnahmen erforderlich, da der VE-Server den Key Server nicht verwendet.

•

Sie müssen vor dem Starten des Encryption Removal Agent das Dell Administrator-Download-Dienstprogramm (CMGAd) verwenden,
falls Sie die Option Encryption Removal Agent importiert Schlüssel aus Datei verwenden möchten. Über dieses Dienstprogramm
erhalten Sie das Verschlüsselungsschlüsselpaket. Weitere Informationen finden Sie unter Administrator-Download-Dienstprogramms
verwenden (CMGAd). Das Dienstprogramm ist auf dem Dell Installationsmedium enthalten.

•

Führen nach Abschluss der Deinstallation aber vor dem Neustart des Computers WSScan aus, um sicherzustellen, dass alle Daten
entschlüsselt wurden. Siehe WSScan verwenden, um Anweisungen zu erhalten.

•

Führen Sie gelegentlich Überprüfen des Encryption-Removal-Agent-Status durch. Die Datenentschlüsselung läuft noch, falls der
Encryption Removal Agent-Dienst weiterhin im Dialogfeld „Dienste“ angezeigt wird.

Deinstallation über die Befehlszeile
•

Nach der Extraktion aus dem ESS -Master-Installationsprogramm befindet sich das Installationsprogramm für den Client für die
Verschlüsselung unter C:\extracted\Encryption\DDPE_XXbit_setup.exe.

•

Die folgende Tabelle umfasst die für die Deinstallation verfügbaren Parameter.
Parameter

Auswahl

CMG_DECRYPT

Eigenschaft zur Auswahl des Installationstyps des Encryption
Removal Agent
3 – LSARecovery-Paket verwenden
2 – Zuvor heruntergeladenes Material für forensischen Schlüssel
verwenden
1 – Schlüssel vom Dell Server herunterladen
0 – Encryption Removal Agent nicht installieren

CMGSILENTMODE

Eigenschaft für Deinstallation im Hintergrund:
1 – Im Hintergrund
0 – Nicht im Hintergrund

Erforderliche Eigenschaften
DA_SERVER

Vollständig qualifizierter Hostname (FQHN) für den EE-Server,
auf dem die Vermittlungssitzung gehostet wird.

DA_PORT

EE-Server-Port für die Anfrage (die Standardeinstellung ist 8050).

SVCPN

Benutzername im UPN-Format, unter dem der Key Server-Dienst
beim EE-Server angemeldet ist.

DA_RUNAS

Benutzername im mit SAM kompatiblen Format, unter dem die
Anfrage zum Schlüsselabruf erfolgt. Dieser Benutzer muss in der
Key Server-Liste des EE-Servers enthalten sein.

Dell Data Protection | Endpoint Security Suite
Deinstallation unter Verwendung der untergeordneten Installationsprogramme

Parameter

Auswahl

DA_RUNASPWD

Passwort für den RUNAS-Benutzer.

FORENSIC_ADMIN

Das forensische Administratorkonto auf dem Dell Server, das für
forensische Anfragen für Deinstallationen oder Schlüssel
verwendet werden kann.

FORENSIC_ADMIN_PWD

Das Passwort für das Konto „Forensischer Administrator“.

Optionale Eigenschaften

•

SVCLOGONUN

Benutzername im UPN-Format zur Anmeldung beim Encryption
Removal Agent-Dienst als Parameter.

SVCLOGONPWD

Passwort für die Anmeldung als Benutzer.

Im folgenden Beispiel werden im Hintergrund der Encryption-Client deinstalliert und die Verschlüsselungsschlüssel vom EE-Server
heruntergeladen.
DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1 DA_SERVER=server.organization.com
DA_PORT=8050 SVCPN=administrator@organization.com DA_RUNAS=domain\username
DA_RUNASPWD=password /qn"
MSI-Befehl:
msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress"
CMG_DECRYPT="1" CMGSILENTMODE="1" DA_SERVER="server.organization.com" DA_PORT="8050"
SVCPN="administrator@domain.com" DA_RUNAS="domain\username" DA_RUNASPWD="password" /qn
Führen Sie einen Neustart des Computers durch, wenn Sie fertig sind.

•

Im folgenden Beispiel werden im Hintergrund der Encryption-Client deinstalliert und die Verschlüsselungsschlüssel über ein Konto vom
Typ „Forensischer Administrator“ heruntergeladen.
DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1
FORENSIC_ADMIN=forensicadmin@organization.com FORENSIC_ADMIN_PWD=tempchangeit /qn"
MSI-Befehl:
msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn CMG_DECRYPT=1 CMGSILENTMODE=1
FORENSIC_ADMIN=forensicadmin@organization.com FORENSIC_ADMIN_PWD=tempchangeit
REBOOT=REALLYSUPPRESS
Führen Sie einen Neustart des Computers durch, wenn Sie fertig sind.
WICHTIG:
Dell empfiehlt die folgenden Aktionen bei Verwendung eines forensischen Administratorkennworts in der Befehlszeile:
1

Erstellen Sie in der Remote Management Console ein Konto vom Typ „Forensischer Administrator“ zum Durchführen der
Deinstallation im Hintergrund.

Verwenden Sie für dieses Konto ein temporäres und befristetes Passwort.

Nach Abschluss der Deinstallation im Hintergrund entfernen Sie das temporäre Konto dann aus der Liste der Administratoren oder
ändern das entsprechende Passwort.

ANMERKUNG:
Einige ältere Clients erfordern unter Umständen Escape-Zeichen \" um die Werte von Parametern. Beispiel:
DDPE_XXbit_setup.exe /x /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER=
\"server.organization.com\" DA_PORT=\"8050\" SVCPN=\"administrator@organization.com\"
DA_RUNAS=\"domain\username\" DA_RUNASPWD=\"password\" /qn"

Dell Data Protection | Endpoint Security Suite
Deinstallation unter Verwendung der untergeordneten Installationsprogramme

Deinstallation der SED- und Advanced AuthenticationClients
•

Zur PBA-Deaktivierung muss eine Netzwerkverbindung zum EE-Server/VE-Server bestehen.

Verfahren
•

Deaktivieren Sie die PBA; dabei werden alle PBA-Daten vom Computer entfernt und die SED-Schlüssel entsperrt.

•

Deinstallieren Sie den SED-Client.

•

Deinstallieren Sie den Advanced Authentication-Client.

PBA deaktivieren
1

Melden Sie sich als Dell Administrator bei der Remote Management Console an.

Klicken Sie im linken Bereich auf Schutz und Verwaltung > Endpunkte.

Wählen Sie den entsprechenden Endpunkttyp aus.

Wählen Sie Anzeigen >Sichtbar, Ausgeblendet oder Alle aus.

Wenn der Hostname des Computers bekannt ist, geben Sie ihn im Feld „Hostname“ ein (Platzhalter werden unterstützt). Sie können
das Feld leer lassen, um alle Computer anzuzeigen. Klicken Sie auf Suchen.
Wenn Sie den Hostnamen nicht kennen, machen Sie den Computer in der Liste ausfindig.
Je nach Suchfilter wird ein Computer oder eine Liste von Computern angezeigt.

Klicken Sie auf das Symbol Details des gewünschten Computers.

Klicken Sie im Hauptmenü auf Sicherheitsrichtlinien.

Wählen Sie Selbstverschlüsselnde Laufwerke aus dem Drop-down-Menü Richtlinienkategorie aus.

Erweitern Sie den Bereich SED-Verwaltung, und ändern Sie die Richtlinien SED-Verwaltung aktivieren und PBA aktivieren von
True in False.

Klicken Sie auf Speichern.

Klicken Sie im linken Bereich auf Aktionen > Richtlinien bestätigen.

Klicken Sie auf Änderungen anwenden.
Warten Sie, während die Richtlinie vom EE-Server/VE-Server auf den für die Deaktivierung vorgesehenen Computer übertragen wird.
Deinstallieren Sie nach der Deaktivierung von PBA den SED- und die Authentication-Clients.

Deinstallieren des SED-Clients und der Advanced
Authentication-Clients
Deinstallation über die Befehlszeile
•

Nach der Extrahierung aus dem ESS-Master-Installationsprogramm befindet sich das SED-Client-Installationsprogramm unter C:
\extracted\Security Tools\EMAgent_XXbit_setup.exe.

•

Nach der Extrahierung aus dem ESS-Master-Installationsprogramm befindet sich das SED-Client-Installationsprogramm unter C:
\extracted\Security Tools\Authentication\\setup.exe.

•

Im folgenden Beispiel wird der SED-Client im Hintergrund deinstalliert.
EMAgent_XXbit_setup.exe /x /s /v" /qn"
Dell Data Protection | Endpoint Security Suite
Deinstallation unter Verwendung der untergeordneten Installationsprogramme

Wenn Sie fertig sind, fahren Sie den Computer herunter und starten Sie ihn neu.
Dann:
•

Im folgenden Beispiel wird der Advanced Authentication-Client im Hintergrund deinstalliert.
setup.exe /x /s /v" /qn"
Wenn Sie fertig sind, fahren Sie den Computer herunter und starten Sie ihn neu.

Deinstallation des BitLocker Manager-Clients
Deinstallation über die Befehlszeile
•

Nach der Extraktion aus dem ESS-Master-Installationsprogramm befindet sich das BitLocker-Installationsprogramm unter C:\extracted
\Security Tools\EMAgent_XXbit_setup.exe.

•

Im folgenden Beispiel wird der BitLocker Manager-Client im Hintergrund deinstalliert.
EMAgent_XXbit_setup.exe /x /s /v" /qn"
Führen Sie einen Neustart des Computers durch, wenn Sie fertig sind.

Dell Data Protection | Endpoint Security Suite
Deinstallation unter Verwendung der untergeordneten Installationsprogramme

8
Gängige Szenarien
•

•

Da der SED-Client für Advanced Authentication in v8.x erforderlich ist, ist er in den nachfolgenden Beispielen Bestandteil der
Befehlszeile.

•

Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten.

•

Stellen Sie sicher, dass Werte, die ein oder mehrere Sonderzeichen enthalten, z. B. eine Leerstelle in der Befehlszeile, zwischen in
Escape-Zeichen gesetzte Anführungszeichen gesetzt werden.

•

Verwenden Sie diese Installationsprogramme zur Installation der Clients. Nutzen Sie dazu eine skriptgesteuerte Installation,
Batchdateien oder eine andere verfügbare Push-Technologie.

•

Der Neustart wurde in den Befehlszeilenbeispielen unterdrückt. Es ist jedoch ein abschließender Neustart erforderlich. Die
Verschlüsselung kann erst nach dem Neustart des Computers beginnen.

•

Protokolldateien - Windows erstellt eindeutige Installationsprotokolldateien des untergeordneten Installationsprogramms für den
angemeldeten Benutzers unter „%Temp%“ mit dem folgenden Verzeichnispfad C:\Users\\AppData\Local\Temp.
Falls Sie sich dafür entscheiden, beim Ausführen des Installationsprogramms eine separate Protokolldatei hinzuzufügen, stellen Sie
sicher, dass die Protokolldatei einen eindeutigen Namen hat, da Protokolldateien des untergeordneten Installationsprogramms keine
Anhänge zulassen. Der Standard-MSI-Befehl kann dazu verwendet werden, um eine Protokolldatei durch die Verwendung von /l*v C:
\\.log zu erstellen.

•

Erläuterung

Gibt Variablen an die .msi-Datei innerhalb der *.exe-Datei weiter.

Im Hintergrund

Installationsmodus

Option

Erläuterung

Kein Fortschrittsdialogfeld, führt nach Abschluss der Installation selbstständig einen
Neustart durch

/qb

Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, fordert zum Neustart auf

/qb-

Fortschrittsdialogfeld mit der Schaltfläche Abbrechen, führt nach Abschluss des
Vorgangs selbstständig einen Neustart durch

/qb!

Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, fordert zum Neustart auf

/qb!-

Fortschrittsdialogfeld ohne die Schaltfläche Abbrechen, führt nach Abschluss des
Vorgangs selbständig einen Neustart durch

Dell Data Protection | Endpoint Security Suite
Gängige Szenarien

•

Option

Erläuterung

/qn

Keine Benutzeroberfläche

Weisen Sie die Benutzer an, sich mit dem folgenden Dokument und den Hilfedateien vertraut zu machen, um Unterstützung bei der
Anwendung zu erhalten:
•

•

Informationen zur Verwendung der Funktionen von External Media Shield finden Sie im Hilfedokument EMS Help. Sie können über
den folgenden Pfad auf die Hilfe zugreifen: :\Program Files\Dell\Dell Data Protection\Encryption\EMS

•

Encryption-Client, Threat Protection, und Advanced
Authentication
•

•

Im folgenden Beispiel wird Advanced Authentication installiert (Installation im Hintergrund, kein Neustart, Installation im
Standardverzeichnis C:\Program Files\Dell\Dell Data Protection\Authentication).
setup.exe /s /v"/norestart /qn ARPSYSTEMCOMPONENT=1"

•

Im folgenden Beispiel wird der Encryption-Client mit den standardmäßigen Parametern installiert (Encryption-Client und Für Freigabe
verschlüsseln, keine Dialogfelder, keine Statusanzeige, kein Neustart, Installation im Standardverzeichnis C:\Program Files\Dell\Dell
Data Protection).
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ /norestart /qn"

•

\Threat Protection\SDK
Durch den folgenden Befehl werden die Standardparameter für das Zertifikat geladen.
EnsMgmtSdkInstaller.exe -LoadCert >"C:\ProgramData\Dell\Dell Data Protection\Installer Logs
\McAfeeSDKInstallerBeforeEndPoint.log"
ANMERKUNG:
Bei einem Upgrade kann dieses Installationsprogramm übersprungen werden.
Dann:
\Threat Protection\EndPointSecurity

•

Im folgenden Beispiel werden Threat Protection mit Standard-Parametern (Hintergrundmodus, Installation von Threat Protection, Client
Firewall und Web Protection, Überschreiben der Host Intrusion Prevention, keine Inhaltsaktualisierung, keine Speicherung der
Einstellungen) installiert.
setupEP.exe /qn ADDLOCAL="tp,fw,wc" /override"hips" /nocontentupdate /nopreservesettings /qn
Dann:

Dell Data Protection | Endpoint Security Suite
Gängige Szenarien

\Threat Protection\ThreatProtection\WinXXR
•

Im folgenden Beispiel wird der Client mit den Standard-Parametern installiert (Unterdrückung des Neustarts, keine Dialogfelder, keine
Fortschrittsleiste, kein Eintrag in die Liste der Programme in der Systemsteuerung).
"DellThreatProtection.msi" /qn REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1
\Threat Protection\SDK

•

Im folgenden Beispiel wird der Threat Protection-SDK deinstalliert.
EnsMgmtSdkInstaller.exe -ProtectProcesses "C:\Program Files\Dell\Dell Data Protection\Threat
Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >"C:\ProgramData\Dell
\Dell Data Protection\Installer Logs\McAfeeSDKInstallerAfterEndPoint.log"

Encryption-Client und Threat Protection
•

Im folgenden Beispiel werden die Treiber für Trusted Software Stack (TSS) für das TPM sowie Microsoft-Hotfixes am angegebenen
Speicherort installiert, es wird kein Eintrag in der Programmliste der Systemsteuerung erstellt, und der Neustart wird unterdrückt.
Diese Treiber müssen bei der Installation des Verschlüsselungs-Clients installiert sein.
setup.exe /S /z"\"InstallPath=, ARPSYSTEMCOMPONENT=1, SUPPRESSREBOOT=1\""
Dann:

•

Im folgenden Beispiel wird der Threat Protection-Client mit den Standard-Parametern installiert (automatischer Modus, Installation von
Threat Protection, Client-Firewall und Web-Schutz, Überschreiben der Host Intrusion Prevention, keine Inhaltsaktualisierung, keine
Speicherung der Einstellungen).
setupEP.exe /qn ADDLOCAL="tp,fw,wc" /override"hips" /nocontentupdate /nopreservesettings
Dann:

•

Im folgenden Beispiel wird der Threat Protection-Client mit den Standardparametern installiert (Unterdrückung des Neustarts, keine
Dialogfelder, keine Fortschrittsleiste, Installation am angegebenen Speicherort C:\Program Files\Dell\Dell Data Protection, kein Eintrag
in die Liste der Programme in der Systemsteuerung).
MSIEXEC.EXE /I "DellThreatProtection.msi" /qn REBOOT=ReallySuppress INSTALLDIR="C:\Program
Files\Dell\Dell Data Protection\" ARPSYSTEMCOMPONENT=1 "
Dann:

•

Im folgenden Beispiel wird der Threat Protection-Client mit den Standard-Parametern installiert.
EnsMgmtSDKInstaller.exe -LoadCert -ProtectProcesses "C:\Program Files\Dell\Dell Data
Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >
"C:\ProgramData\Dell\Dell Data Protection\Installer Logs\SDKInstaller.log"

SED-Client (einschließlich Advanced Authentication)
und External Media Shield
•

Dann:
•

•

Im folgenden Beispiel wird nur EME installiert (Installation im Hintergrund, kein Neustart, Installation im Standardverzeichnis C:\Program
Files\Dell\Dell Data Protection).
DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https://server.organization.com:8443/
xapi/ MANAGEDDOMAIN=ORGANIZATION /norestart /qn"

BitLocker Manager und External Media Shield
•

Im folgenden Beispiel wird BitLocker Manager installiert (automatische Installation, kein Neustart, kein Eintrag in der Liste der
Programme in der Systemsteuerung, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM /norestart /qn"
Dann:

•

Dell Data Protection | Endpoint Security Suite
Gängige Szenarien

9
Vorinstallationskonfiguration für Einmalpasswort,
SED-UEFI und BitLocker
TPM initialisieren
•

Für diesen Vorgang müssen Sie Mitglied der lokalen Administratorgruppe oder dergleichen sein.

•

Der Computer muss mit einem kompatiblen BIOS und TPM ausgestattet sein.

Diese Aufgabe ist bei der Verwendung von Einmalpasswort erforderlich.
•

Folgen Sie den Anweisungen unter http://technet.microsoft.com/en-us/library/cc753140.aspx.

Vorinstallationskonfiguration für UEFI-Computer
Aktivieren der Netzwerkkonnektivität während der UEFIPreboot-Authentifizierung
Damit die Preboot-Authentifizierung auf einem Computer mit UEFI-Firmware erfolgreich verläuft, muss der PBA mit Netzwerkkonnektivität
ausgerüstet sein. Auf Computern mit UEFI-Firmware ist standardmäßig erst dann Netzwerkkonnektivität verfügbar, wenn das
Betriebssystem geladen wurde. Dies geschieht in der Regel nach dem PBA-Modus.
Mithilfe des folgenden Verfahrens wird die Netzwerkkonnektivität während der PBA für UEFI-fähige Computer aktiviert. Da die
Konfigurationsschritte bei den verschiedenen UEFI-Computermodellen voneinander abweichen, ist das folgende Verfahren als allgemeines
Beispiel zu verstehen.
1

Starten Sie den Computer in die UEFI-Firmware-Konfiguration.

Drücken Sie während des Startvorgangs dauerhaft die Taste F2, bis rechts oben auf dem Bildschirm eine Meldung wie „Startmenü
wird geöffnet“ angezeigt wird.

Geben Sie nach Aufforderung das BIOS-Administrator-Passwort ein.
ANMERKUNG:
Auf einem neuen Computer erhalten Sie diese Aufforderung nicht, weil noch kein BIOS-Passwort eingerichtet worden
ist.

Wählen Sie die Option Systemkonfiguration aus.

Wählen Sie die Option Integrierte NIC aus.

Aktivieren Sie das Kontrollkästchen UEFI-Netzwerkstapel aktivieren.

Wählen Sie entweder die Option Aktiviert oder Mit PXE aktiviert.

Wählen Sie die Option Übernehmen aus.
ANMERKUNG:
Für Computer ohne UEFI-Firmware ist keine Konfiguration erforderlich.

Dell Data Protection | Endpoint Security Suite
Vorinstallationskonfiguration für Einmalpasswort, SED-UEFI und BitLocker

Deaktivierung von Legacy-Option-ROMs
Stellen Sie sicher, dass die Einstellung Legacy-Option-ROMs aktivieren im BIOS deaktiviert wurde.
1

Starten Sie den Computer neu.

Drücken Sie während des Neustarts wiederholt F12, um die Start-Einstellungen des UEFI-Computers aufzurufen.

Drücken Sie die Taste mit dem Pfeil nach unten, markieren Sie die Option BIOS-Einstellungen, und drücken Sie die Eingabetaste.

Wählen Sie Einstellungen > Allgemein > Erweiterte Startoptionen.

Heben Sie die Markierung des Kontrollkästchens Legacy-Option-ROMs aktivieren auf, und klicken Sie auf Übernehmen.

Vorinstallationskonfiguration zum Einrichten einer
BitLocker PBA-Partition
•

Die PBA-Partition muss vor der Installation von BitLocker Manager eingerichtet werden.

•

Schalten Sie das TPM ein und aktivieren Sie es, bevor Sie BitLocker Manager installieren. BitLocker Manager übernimmt die Zuweisung
des TPM (kein Neustart erforderlich). Wenn das TPM bereits zugewiesen ist, leitet BitLocker Manager den Einrichtungsvorgang für die
Verschlüsselung ein. Voraussetzung ist, dass das TPM zugewiesen wurde.

•

Sie müssen die Festplattenpartition ggf. manuell einrichten. Weitere Informationen finden Sie in der Beschreibung von Microsoft zum
BitLocker-Laufwerksvorbereitungs-Tool.

•

Verwenden Sie zum Einrichten der PBA-Partition den Befehl BdeHdCfg.exe. Der Parameter „default“ (Standard) gibt an, dass das
Befehlszeilentool dasselbe Verfahren wie der BitLocker-Einrichtungsassistent befolgt.
BdeHdCfg -target default
TIPP:
Weitere Optionen für den BdeHdCfg-Befehl finden Sie unter BdeHdCfg.exe-Referenzmaterial von
Microsoft.

Dell Data Protection | Endpoint Security Suite
Vorinstallationskonfiguration für Einmalpasswort, SED-UEFI und BitLocker

10
Gruppenrichtlinienobjekte am Domänencontroller
zum Aktivieren von Berechtigungen einrichten
•

Wenn Sie für Ihre Clients Berechtigungen für Dell Digital Delivery (DDD) festlegen möchten, folgen Sie den Anweisungen zum
Einrichten eines Gruppenrichtlinienobjekts (GPO) auf dem Domänencontroller (das muss nicht der Server sein, auf dem der EEServer/VE-Server ausgeführt wird), um diese Berechtigungen zu aktivieren.

•

Die Workstation muss Mitglied der Organisationseinheit sein, für die das Gruppenrichtlinienobjekt angewendet wird.
ANMERKUNG:
Achten Sie bitte darauf, dass der ausgehende Port 443 für die Kommunikation mit dem EE Server/VE Server verfügbar ist. Falls
der Port 443 (aus irgendeinem Grund) gesperrt ist, funktioniert die Berechtigungsfunktion nicht.

Klicken Sie auf dem Domänencontroller, auf dem die Clients verwaltet werden sollen, auf Start > Verwaltung >
Gruppenrichtlinienverwaltung.

Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, für die Sie die Richtlinie anwenden möchten, und wählen Sie
Gruppenrichtlinienobjekt in dieser Domäne erstellen und hier verknüpfen... aus.

Geben Sie einen Namen für das neue Gruppenrichtlinienobjekt ein, wählen Sie unter „Anfangs-GPO-Quelle“ „(keine)“ aus, und klicken
Sie auf OK.

Klicken Sie mit der rechten Maustaste auf das neu erstellte Gruppenrichtlinienobjekt, und wählen Sie Bearbeiten aus.

Der Group Policy Management Editor wird geladen. Rufen Sie Computerkonfiguration > Einstellungen > Windows-Einstellungen >
Registrierung auf.

Klicken Sie mit der rechten Maustaste auf die Registrierung, und wählen Sie Neu > Registrierungseintrag aus. Nehmen Sie die
folgenden Einstellungen vor:
Action: Create
Hive: HKEY_LOCAL_MACHINE
Key Path: SOFTWARE\Dell\Dell Data Protection
Value name: Server
Value type: REG_SZ
Wertedaten:

Klicken Sie auf OK.

Melden Sie sich von der Workstation ab und dann wieder an, oder führen Sie gpupdate /force aus, um die Gruppenrichtlinie zu
übernehmen.

Dell Data Protection | Endpoint Security Suite
Gruppenrichtlinienobjekte am Domänencontroller zum Aktivieren von Berechtigungen einrichten

11
Untergeordnete Installationsprogramme aus dem
ESS-Master-Installationsprogramm extrahieren
•

Zur Einzelinstallation der Clients müssen zunächst die untergeordneten ausführbaren Dateien aus dem Installationsprogramm extrahiert
werden.

•

Das ESS-Master-Installationsprogramm ist kein Master-Deinstallationsprogramm. Jeder Client muss einzeln deinstalliert werden, gefolgt
von der Deinstallation des ESS-Master-Installationsprogramms. Verwenden Sie dieses Verfahren zum Extrahieren der Clients aus dem
ESS-Master-Installationsprogramm, sodass sie für die Deinstallation verwendet werden können.

Kopieren Sie vom Dell-Installationsmedium die Datei DDPSuite.exe auf den lokalen Computer.

Öffnen Sie am gleichen Speicherort wie die Datei DDPSuite.exe eine Eingabeaufforderung, und geben Sie Folgendes ein:
DDPSuite.exe /z"\"EXTRACT_INSTALLERS=C:\extracted\""
Der Extraktionspfad darf maximal 63 Zeichen enthalten.
Stellen Sie vor Beginn des Installationsvorgangs sicher, dass alle Voraussetzungen erfüllt sind und die gesamte erforderliche Software
installiert wurde, und zwar für jedes untergeordnete Installationsprogramm, das Sie installieren möchten. Einzelheiten erhalten Sie im
Abschnitt Anforderungen.
Die extrahierten untergeordneten Installer befinden sich unter C:\extracted\.

Dell Data Protection | Endpoint Security Suite
Untergeordnete Installationsprogramme aus dem ESS-Master-Installationsprogramm extrahieren

12
Konfiguration des Key Servers für die
Deinstallation des auf einem EE-Server
aktivierten Encryption-Clients
•

In diesem Abschnitt wird beschrieben, wie Komponenten für die Verwendung mit der Kerberos-Authentifizierung/-Autorisierung bei
Verwendung eines EE-Servers konfiguriert werden. Der VE-Server verwendet den Key Server nicht.
Der Key Server ist ein Dienst, der überwacht, ob Clients eine Verbindung über ein Socket herstellen. Wenn ein Client einen
Verbindungsversuch unternimmt, wird mithilfe von Kerberos-APIs eine sichere Verbindung ausgehandelt, authentifiziert und
verschlüsselt (wenn keine sichere Verbindung ausgehandelt werden kann, wird die Client-Verbindung getrennt).
Der Key Server überprüft dann auf dem Security Server (früher Device Server), ob der Benutzer, der den Client ausführt, auf Schlüssel
zugreifen darf. Dieser Zugriff wird in der Remote Management Console über einzelne Domänen gewährt.

•

Wenn die Kerberos-Authentifizierung/-Autorisierung verwendet werden soll, muss der Server, der die Key Server-Komponente enthält,
zur betroffenen Domäne gehören.

•

Da der VE-Server den Key Server nicht verwendet, ist die typische Deinstallation beeinträchtigt. Wenn ein Encryption-Client
deinstalliert wird, der auf einem VE-Server aktiviert ist, wird anstelle der Kerberos-Methode des Key Servers der standardmäßige,
forensische Schlüsselabruf über den Security Server genutzt. Weitere Informationen finden Sie unter Befehlszeilen-Deinstallation.

Dialogfeld „Dienste" - Domänenbenutzerkonto
hinzufügen
1

Navigieren Sie auf dem EE-Server zum Dialogfeld „Dienste“ (Start > Ausführen... > services.msc > OK)

Klicken Sie mit der rechten Maustaste auf „Dell Key Server“ und wählen Sie Eigenschaften aus.

Rufen Sie die Registerkarte „Anmelden“ auf, und wählen Sie die Option Dieses Konto: aus.
Geben Sie in das Feld Dieses Konto: den gewünschten Domänenbenutzer ein. Dieser Domänenbenutzer muss mindestens über lokale
Administratorrechte für den Key Server-Ordner verfügen (er muss Schreibzugriff für die Key Server-Konfigurationsdatei und die Datei
„log.txt“ besitzen).
Geben Sie das Passwort für den Domänenbenutzer ein, und wiederholen Sie es.
Klicken Sie auf OK

Starten Sie den Key Server-Dienst neu (lassen Sie das Dialogfeld „Dienste“ für weitere Arbeitsschritte geöffnet).

Navigieren Sie zu „ log.txt“, um zu überprüfen, ob der Dienst korrekt gestartet wurde.

Schlüsselserver-Konfigurationsdatei - Fügen Sie
Benutzer für EE-Server-Kommunikation hinzu
1

Navigieren Sie zu .

Öffnen Sie Credant.KeyServer.exe.config mit einem Texteditor.

Gehen Sie zu und ändern Sie den Wert „superadmin“ in den Namen des entsprechenden
Benutzers (Sie können auch „superadmin“ stehen lassen).
Dell Data Protection | Endpoint Security Suite
Konfiguration des Key Servers für die Deinstallation des auf einem EE-Server aktivierten Encryption-Clients

Das Format von „superadmin“ kann eine beliebige Methode für die Authentifizierung am EE-Server darstellen. Der SAM-Kontoname,
der UPN oder das Format „Domäne\Benutzername“ sind akzeptabel. Jede Methode, die sich beim Server authentifizieren kann, ist
akzeptabel, da für dieses Benutzerkonto eine Überprüfung zur Autorisierung bei Active Directory erforderlich ist.
Beispiel: In einer Umgebung mit mehreren Domänen würde die Eingabe eines SAM-Kontonamens wie „mmustermann“ vermutlich
fehlschlagen, da der EE-Server „mmustermann“ nicht authentifizieren kann, weil er den Namen nicht findet. In einer Umgebung mit
mehreren Domänen wird der UPN empfohlen, obwohl das Format „Domäne\Benutzername“ akzeptabel ist. In einer Umgebung mit
einer Domäne kann der SAM-Kontoname verwendet werden.
4

Gehen Sie zu und ändern Sie „epw“ in „password“. Ändern Sie
dann „“ in das Passwort des Benutzers aus Schritt 3. Beim Neustart des EE-Servers wird
dieses Passwort neu verschlüsselt.
Wenn Sie in Schritt 3 „superadmin“ verwendet haben und das Superadmin-Passwort nicht „changeit“ lautet, muss es hier geändert
werden. Speichern und schließen Sie die Datei.

Beispielkonfigurationsdatei

[TCP port the Key Server will listen to. Die Standardeinstellung ist 8050.]
[Anzahl der vom Key Server zugelassenen Socketverbindungen]
[Security Server (früher: Device Server) URL
gilt für EE-Server vor Version 7.7)]

(Format 8081/xapi

[Bei „true“ werden Zertifikate überprüft. Legen Sie „false“ fest, wenn keine Überprüfung
erfolgen soll oder selbstsignierte Zertifikate verwendet werden.]
[Der für die Kommunikation mit dem Security Server verwendete Benutzername. Für diesen
Benutzer muss in der Remote Management Console die Administratorrolle ausgewählt sein. Das Format von „superadmin“ kann eine
beliebige Methode für die Authentifizierung am EE-Server darstellen. Der SAM-Kontoname, der UPN oder das Format „Domäne
\Benutzername“ sind akzeptabel. Jede Methode, die sich beim Server authentifizieren kann, ist akzeptabel, da für dieses Benutzerkonto
eine Überprüfung zur Autorisierung bei Active Directory erforderlich ist. Beispiel: In einer Umgebung mit mehreren Domänen würde die
Eingabe eines SAM-Kontonamens wie „mmustermann“ vermutlich fehlschlagen, da der EE-Server „mmustermann“ nicht authentifizieren
kann, weil er den Namen nicht findet. In einer Umgebung mit mehreren Domänen wird der UPN empfohlen, obwohl das Format „Domäne
\Benutzername“ akzeptabel ist. In einer Umgebung mit einer Domäne kann der SAM-Kontoname verwendet werden.]
[Wie oft (in Sekunden) der Dienst überprüfen soll, wer Schlüssel abrufen darf. Der Dienst
unterhält einen Cache und verfolgt dessen Alter. Wenn der Cache älter ist als der Wert, erhält er eine neue Liste. Wenn ein Benutzer eine
Verbindung herstellt, muss der Key Server autorisierte Benutzer vom Security Server herunterladen. Wenn kein Cache mit diesen
Benutzern existiert oder die Liste in den letzten n Sekunden nicht heruntergeladen wurde, wird sie erneut heruntergeladen. Es erfolgt keine
Abfrage, doch dieser Wert bestimmt, wie alt die Liste werden kann, bevor sie bei Bedarf aktualisiert wird.]
[Das für die Kommunikation mit dem Security Server verwendete Passwort.
Wenn das Superadmin-Passwort geändert wurde, muss es auch hier geändert werden.]

Dell Data Protection | Endpoint Security Suite
Konfiguration des Key Servers für die Deinstallation des auf einem EE-Server aktivierten Encryption-Clients

Dialogfeld „Dienste“ - Key Server-Dienst neu starten
1

Gehen Sie zurück zum Dialogfeld „Dienste“ (Start > Ausführen... > services.msc > OK).

Führen Sie einen Neustart des Key Server-Dienstes durch.

Navigieren Sie zu „ log.txt“, um zu überprüfen, ob der Dienst korrekt gestartet wurde.

Schließen Sie das Dialogfeld „Dienste“.

Remote Management-Konsole - Hinzufügen eines
forensischen Administrators
1

Melden Sie sich gegebenenfalls bei der Remote Management Console an.

Klicken Sie auf Bestückung > Domänen.

Wählen Sie die gewünschte Domäne aus.

Klicken Sie auf die Registerkarte Key Server.

Fügen Sie im Feld „Konto“ den Benutzer hinzu, der die Administratoraufgaben ausführt. Das Format lautet: DOMÄNE\Benutzername.
Klicken Sie auf Konto hinzufügen.

Klicken Sie im linken Menü auf Benutzer. Geben Sie in das Suchfeld den in Schritt 5 hinzugefügten Benutzernamen ein. Klicken Sie
auf Suchen.

Sobald der korrekte Benutzer gefunden wurde, klicken Sie auf die Registerkarte Admin.

Wählen Sie Forensischer Administrator und klicken Sie auf Aktualisieren.
Die Komponenten sind nun für die Kerberos-Authentifizierung/-Autorisierung konfiguriert.

Dell Data Protection | Endpoint Security Suite
Konfiguration des Key Servers für die Deinstallation des auf einem EE-Server aktivierten Encryption-Clients

13
Verwenden Sie das administrative
Dienstprogramm zum Herunterladen (CMGAd)
•

Mit diesem Dienstprogramm können Sie Schlüsseldatenpakete zur Verwendung auf einem Computer herunterladen, der nicht mit einem
EE-Server/VE-Server verbunden ist.

•

Je nachdem, welche Befehlszeilenparameter an die Anwendung übergeben werden, verwendet das Dienstprogramm eine der folgenden
Methoden zum Herunterladen von Schlüsselpaketen:
•

Forensischer Modus – wird bei Ausführung des Befehlszeilenparameters -f verwendet, oder wenn kein Befehlszeilenparameter
verwendet wird.

•

Admin-Modus – wird bei Ausführung des Befehlszeilenparameters -a verwendet.
Die Protokolldateien befinden sich unter C:\ProgramData\CmgAdmin.log

Verwenden des Administrator-DownloadDienstprogramms im forensischen Modus
1

Doppelklicken Sie auf cmgad.exe beim Start des Dienstprogramms oder öffnen Sie eine Eingabeaufforderung, wo sich CMGAd
befindet, und geben Sie cmgad.exe -f (oder cmgad.exe) ein.

Geben Sie die folgenden Informationen ein (einige Felder sind möglicherweise bereits ausgefüllt).
URL des Device Servers: Vollständig qualifizierte URL für den Security Server (Device Server). Das Format lautet: https://
securityserver.domain.com:8443/xapi/.
Dell Admin: Name des Administrators mit forensischen Zugriffsrechten (aktiviert in der Remote-Verwaltungskonsole), z. B. „hschmidt“
Passwort: Forensisches Administrator-Passwort
MCID: Geräte-ID, z. B. machineID.domain.com
DCID: die ersten acht Stellen der 16-stelligen Shield-ID
TIPP:
In der Regel genügt es, entweder die MCID oder die DCID anzugeben. Wenn jedoch beide Werte bekannt sind, empfiehlt es
sich, beide einzugeben. Jeder Parameter enthält unterschiedliche Informationen zum Client und Client-Computer.
Klicken Sie auf Weiter.

Geben Sie in das Feld „Passphrase:“ eine Passphrase ein, um die heruntergeladene Datei zu schützen. Die Passphrase muss
mindestens acht Zeichen enthalten, darunter mindestens einen Buchstaben und eine Ziffer. Bestätigen Sie die Passphrase.
Akzeptieren Sie entweder die Standardwerte für Dateinamen und Speicherort, oder klicken Sie auf …, um einen anderen Speicherort
auszuwählen.
Klicken Sie auf Weiter.
Eine Meldung zeigt an, dass die Schlüsseldaten erfolgreich entsperrt wurden. Die Dateien sind jetzt frei zugänglich.

Klicken Sie anschließend auf Fertig stellen.

Dell Data Protection | Endpoint Security Suite
Verwenden Sie das administrative Dienstprogramm zum Herunterladen (CMGAd)

Verwenden des Administrator-DownloadDienstprogramms im Admin-Modus
Der VE-Server verwendet den Key Server nicht, d. h. im Admin-Modus kann kein Schlüsselpaket über den VE-Server abgerufen werden.
Verwenden Sie den forensischen Modus, um das Schlüsselpaket zu erhalten, wenn der Client auf einem VE-Server aktiviert ist.
1

Öffnen Sie am Speicherort von CMGAd eine Befehlseingabe, und geben Sie cmgad.exe -a ein.

Geben Sie die folgenden Informationen ein (einige Felder sind möglicherweise bereits ausgefüllt).
Server: Vollständiger Hostname des Key Server, z. B. keyserver.domain.com
Portnummer: der Standardport ist 8050
Server-Konto: der Domänenbenutzer, unter dem der Key Server ausgeführt wird. Das Format lautet „Domäne\Benutzername“. Der
Domänenbenutzer, der das Dienstprogramm ausführt, muss über die Berechtigung zum Download vom Key Server verfügen.
MCID: Geräte-ID, z. B. machineID.domain.com
DCID: die ersten acht Stellen der 16-stelligen Shield-ID
TIPP:
In der Regel genügt es, entweder die MCID oder die DCID anzugeben. Wenn jedoch beide Werte bekannt sind, empfiehlt es
sich, beide einzugeben. Jeder Parameter enthält unterschiedliche Informationen zum Client und Client-Computer.
Klicken Sie auf Weiter.

Geben Sie in das Feld „Passphrase:“ eine Passphrase ein, um die heruntergeladene Datei zu schützen. Die Passphrase muss
mindestens acht Zeichen enthalten, darunter mindestens einen Buchstaben und eine Ziffer.
Bestätigen Sie die Passphrase.
Akzeptieren Sie entweder die Standardwerte für Dateinamen und Speicherort, oder klicken Sie auf …, um einen anderen Speicherort
auszuwählen.
Klicken Sie auf Weiter.
Eine Meldung zeigt an, dass die Schlüsseldaten erfolgreich entsperrt wurden. Die Dateien sind jetzt frei zugänglich.

Klicken Sie anschließend auf Fertig stellen.

Dell Data Protection | Endpoint Security Suite
Verwenden Sie das administrative Dienstprogramm zum Herunterladen (CMGAd)

14
Fehlerbehebung
Alle Clients – Fehlerbehebung
•

Die Protokolldateien des ESS master-Installationsprogramms befinden sich unter C:\ProgramData\Dell\Dell Data Protection\Installer.

•

Windows erstellt für den angemeldeten Benutzer eindeutige Installationsprotokolldateien des untergeordneten Installationsprogramms
im Verzeichnis „%temp%“ unter C:\Users\\AppData\Local\Temp.

•

Windows erstellt Protokolldateien für Client-Voraussetzungen, z. B. Visual C++, für den angemeldeten Benutzer im Verzeichnis „%Temp
%“ unter C:\Users\\AppData\Local\Temp. For example, C:\Users\\AppData\Local\Temp
\dd_vcredist_amd64_20160109003943.log

•

Befolgen Sie die Anleitungen unter http://msdn.microsoft.com, um die Version von Microsoft .Net zu überprüfen, die auf dem
Computer installiert ist, auf dem die Installation erfolgen soll.
Gehen Sie zu https://www.microsoft.com/en-us/download/details.aspx?id=30653, um die vollständige Version von Microsoft .Net
Framework 4.5 herunterzuladen.

•

Siehe Dell Data Protection | Security Tools Compatibility, wenn auf dem Computer, der für die Installation vorgesehen ist (oder in der
Vergangenheit war) "Dell Access" installiert ist. DDP|A ist nicht kompatibel mit dieser Suite von Produkten.

Fehlerbehebung für den Client für Verschlüsselung
Upgrade auf die Windows 10 Anniversary-Aktualisierung
Um ein Upgrade auf die Windows 10 Anniversary-Aktualisierungsversion auszuführen, folgen Sie den Anweisungen im folgenden Artikel:
http://www.dell.com/support/article/us/en/19/SLN298382.

Erstellen einer Encryption Removal Agent-Protokolldatei
(optional)
•

Vor der Deinstallation können Sie optional eine Encryption Removal Agent-Protokolldatei anlegen. Diese Protokolldatei erleichtert das
Beheben von Fehlern, die unter Umständen beim Deinstallieren/Entschlüsseln auftreten. Falls Sie während der Deinstallation keine
Dateien entschlüsseln möchten, müssen Sie diese Protokolldatei nicht anlegen.

•

Die Encryption Removal Agent-Protokolldatei wird nach dem Start des Encryption Removal Agent-Service – also erst nach dem
Neustart des Computers – erstellt. Nach Abschluss der Deinstallation und Entschlüsselung des Computers wird die Protokolldatei
gelöscht.

•

Der Pfad der Protokolldatei ist C:\ProgramData\Dell\Dell Data Protection\Encryption..

•

Erstellen Sie auf dem für die Entschlüsselung vorgesehenen Computer den folgenden Registrierungseintrag.
[HKLM\Software\Credant\DecryptionAgent]
"LogVerbosity"=dword:2
0: Keine Protokollierung
1: Protokolliert Fehler, die den Betrieb des Dienstes verhindern
2: Protokolliert Fehler, die eine vollständige Datenentschlüsselung verhindern (empfohlene Protokollebene)

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

3: Protokolliert Informationen über alle zu entschlüsselnden Datenträger und Dateien
5: Protokolliert Informationen zum Debuggen

TSS-Version suchen
•

TSS ist eine Komponente, die als Schnittstelle zu TPM fungiert. Zur Ermittlung der TSS-Version wechseln Sie zu C:\Program Files\Dell
\Dell Data Protection\Drivers\TSS\bin > tcsd_win32.exe (Standardspeicherort). Klicken Sie mit der rechten Maustaste auf die Datei,
und wählen Sie Eigenschaften aus. Überprüfen Sie die Dateiversion auf der Registerkarte Details.

EMS und PCS Interaktionen
Um sicherzugehen, dass Medien nicht schreibgeschützt sind und der Port nicht blockiert ist
Die Richtlinie „EMS-Zugriff auf nicht durch Shield geschützte Medien“ interagiert mit „Port Control System – Speicherklasse: Richtlinie zur
Steuerung externer Laufwerke “ Wenn Sie beabsichtigen, die Richtlinie „EMS-Zugriff auf nicht durch Shield geschützte Medien“ auf vollen
Zugriff, zu setzen, stellen Sie sicher, dass die Speicherklasse: Richtlinie zur Steuerung externer Laufwerke auch auf uneingeschränkten
Zugang setzen, um sicherzustellen, dass der Datenträger nicht auf schreibgeschützt gesetzt wird und die Schnittstelle nicht blockiert ist.
So verschlüsseln Sie Daten, die auf CD/DVD geschrieben werden:
•

Stellen Sie „EMS-Verschlüsselung externer Medien“ auf „Wahr“ ein.

•

Stellen Sie „EMS CD/DVD-Verschlüsselung ausschließen“ auf „Falsch“ ein.

•

Unterklasse Speicher: Steuerung optischer Laufwerke = nur UFD.

WSScan verwenden
•

WSScan ermöglicht Ihnen, sicherzugehen, dass bei der Deinstallation des Clients für die Verschlüsselung alle Daten entschlüsselt
werden. Es zeigt Ihnen außerdem den Verschlüsselungsstatus und erkennt unverschlüsselte Dateien, die verschlüsselt sein sollten.

•

Zur Ausführung dieses Dienstprogramms sind Administratorberechtigungen erforderlich.

Ausführen von WSScan
1

Kopieren Sie „WSScan.exe“ von den Dell Installationsmedien auf den Windows-Computer.

Öffnen Sie am obigen Speicherort eine Befehlszeile, und geben Sie an der Eingabeaufforderung wsscan.exe ein. WSScan wird
gestartet.

Klicken Sie auf Erweitert.

Wählen Sie den Typ des zu prüfendenden Laufwerks aus dem Drop-Down-Menü aus: Alle Laufwerke, Feste Laufwerke,
Wechsellaufwerke oder CD-ROMs/DVDROMs.

Wählen Sie den gewünschten Berichtstyp für die Verschlüsselung aus dem Drop-Down-Menü aus: Verschlüsselte Dateien,
Unverschlüsselte Dateien, Alle Dateien oder Unverschlüsselte Dateien verletzt:

•

Verschlüsselte Dateien – Um sicherzustellen, dass alle Daten bei der Deinstallation des Clients für die Verschlüsselung
entschlüsselt werden. Befolgen Sie das übliche Verfahren für die Entschlüsselung von Daten, z. B. die Ausgabe einer
Richtlinienaktualisierung für die Entschlüsselung. Nach der Entschlüsselung der Daten und vor dem Neustart zur Vorbereitung der
Deinstallation führen Sie bitte den WSScan aus, um zu gewährleisten, dass alle Daten entschlüsselt sind.

•

Unverschlüsselte Dateien – Um Dateien zu identifizieren, die nicht verschlüsselt sind, einschließlich einem Hinweis, ob sie
verschlüsselt sein sollten (J/N).

•

Alle Dateien – Zum Auflisten aller verschlüsselten und unverschlüsselten Dateien einschließlich einem Hinweis, ob sie verschlüsselt
sein sollten (J/N).

•

Unverschlüsselte Dateien verletzt – Um nicht verschlüsselte Dateien zu erkennen, die verschlüsselt sein sollten.

Klicken Sie auf Suchen.

ODER

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Klicken Sie auf Erweitert, um zur Ansicht Einfach zu wechseln und einen bestimmten Ordner zu durchsuchen.

Wechseln Sie zu „Sucheinstellungen“, und geben Sie im Feld Suchpfad den Ordnerpfad ein. Wenn Sie dieses Feld verwenden, wird die
Auswahl im Drop-Down-Feld ignoriert.

Falls die Ausgabe des Suchdienstprogramms „WSScan“ nicht in einer Datei gespeichert werden soll, deaktivieren Sie das
Kontrollkästchen Ausgabe in Datei.

Ändern Sie unter Pfad ggf. den Standardpfad und den Standarddateinamen.

Wählen Sie Zu vorhandener Datei hinzufügen aus, wenn Sie bereits bestehende WSScan-Ausgabedateien nicht überschreiben
möchten.

Wählen Sie das Ausgabeformat aus:

•

Wählen Sie Berichtsformat, um eine Liste der Berichtsstile für das Suchergebnis zu erhalten. Das ist das Standardformat.

•

Wählen Sie Datei mit Wertbegrenzung für eine Ausgabe, die in eine Tabellenkalkulation importiert werden kann. Das
Standardtrennzeichen ist „|“, doch können auch bis zu 9 alphanumerische Zeichen, Leerzeichen oder Zeichensetzungszeichen der
Tastatur verwendet werden.

•

Wählen Sie die Option Werte in Anführungszeichen, damit jeder Wert in doppelte Anführungszeichen gesetzt wird.

•

Wählen Sie „Datei mit fester Breite“ für eine Ausgabe ohne Trennzeichen aus, die eine durchgängige Zeile von Informationen fester
Breite über jede verschlüsselte Datei enthält.

Klicken Sie auf Suchen.
Klicken Sie auf Suche stoppen, um die Suche zu beenden. Klicken Sie auf Löschen, um die angezeigten Meldungen zu löschen.

Verwenden der WSScan-Befehlszeile
WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o] [-a] [-f] [-r] [u[a][-|v]] [-d] [-q] [-e] [-x] [-y]
Schalter

Erläuterung

Laufwerk

Zu durchsuchendes Laufwerk. Falls keine Angabe gemacht wird, werden standardmäßig alle lokalen
Festplattenlaufwerke durchsucht. Kann ein zugeordnetes Netzwerklaufwerk sein.

-ta

Alle Laufwerke durchsuchen

-tf

Festplattenlaufwerke durchsuchen (Standardeinstellung)

-tr

Wechseldatenträger durchsuchen

-tc

CDROMs/DVDROMs durchsuchen

-s

Hintergrundbetrieb

-o

Ausgabedateipfad

-a

An Ausgabedatei anhängen. Die Ausgabedatei wird standardmäßig abgeschnitten.

-f

Berichtsformat angeben (Bericht, fest, begrenzt).

-r

WSScan ohne Administratorrechte ausführen. In diesem Modus sind einige Dateien
möglicherweise nicht sichtbar.

-u

Einbeziehen unverschlüsselter Dateien in die Ausgabedatei.
Dieser „-u“-Switch ist hochempfindlich. Entweder müssen zuerst „u“ gefolgt von „a“ eingegeben
(bzw. ausgelassen) werden, oder die Eingabe muss mit „-“ oder „v“ abgeschlossen werden.

-u-

Nur verschlüsselte Dateien in die Ausgabedatei einbeziehen

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Schalter

Erläuterung

-ua

Auch Berichte über unverschlüsselte Dateien erstellen, aber Richtlinien für alle Benutzer anwenden,
um das Feld zur Verschlüsselung anzuzeigen.

-ua-

Berichte nur über unverschlüsselte Dateien erstellen, aber Richtlinien für alle Benutzer anwenden,
um das Feld zur Verschlüsselung anzuzeigen.

-uv

Berichte nur über unverschlüsselte Dateien erstellen, die die Richtlinie verletzen, d. h. Status = Nein,
Verschlüsselung = Ja.

-uav

Berichte nur über unverschlüsselte Dateien (Status = Nein, Verschlüsselung = Ja) unter Anwendung
der Richtlinien für alle Benutzer erstellen.

-d

Angabe des Trennzeichens für begrenzte Ausgabe.

-q

Angabe der Werte, die für begrenzte Ausgabe in Anführungszeichen gesetzt werden müssen.

-e

Erweiterte Verschlüsselungsfelder in begrenzte Ausgabe aufnehmen.

-x

Ausschließen eines Verzeichnisses vom Suchvorgang. Mehrere Ausschlüsse sind möglich.

-y

Ruhemodus (in Millisekunden) zwischen Verzeichnissen. Durch diesen Schalter werden
Suchvorgänge verlangsamt, allerdings ist der Prozessor potenziell reaktiver.

WSScan-Ausgabe
Die WSScan-Daten über verschlüsselte Dateien enthalten die folgenden Informationen.
Beispiel der Ausgabe:
[2015-07-28 07:52:33] SysData.07vdlxrsb._SDENCR_: "c:\temp\Dell - test.log" ist noch AES256 verschlüsselt
Ausgabe

Erläuterung

Zeitstempel

Das Datum und die Uhrzeit der Durchsuchung der Datei.

Verschlüsselungstyp

Die Art der Verschlüsselung für die Datei.
SysData: SDE-Verschlüsselungscode.
Benutzer: Benutzer-Verschlüsselungscode.
Allgemein: Allgemeiner Verschlüsselungscode.
WSScan meldet keine Dateien, die mittels „Für Freigabe verschlüsseln“ verschlüsselt wurden.

KCID

Die ID des Schlüssel-Computers.
Im Beispiel oben „7vdlxrsb“
Wenn Sie ein zugeordnetes Netzwerklaufwerk durchsuchen, gibt der Abfragebericht keine KCID
aus.

UCID

Die Benutzer-ID.
Im Beispiel oben „_SDENCR_“
Die UCID ist für alle Benutzer des Computers gleich.

Datei

Der Pfad der verschlüsselten Datei.

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Ausgabe

Erläuterung
Wie im Beispiel oben angezeigt, „c:\temp\Dell - test.log“

Algorithmus

Im Folgenden finden Sie den für die Verschlüsselung der Datei verwendeten
Verschlüsselungsalgorithmus.
Im Beispiel oben „is still AES256 encrypted“
Rijndael 128
Rijndael 256
AES 128
AES 256
3DES

Verwenden von WSProbe
Das Suchdienstprogramm ist zur Verwendung mit allen Versionen von Encryption-Client vorgesehen, außer EMS-Richtlinien. Mit dem
Suchdienstprogramm haben Sie folgende Möglichkeiten:
•
•
•

Durchsuchen oder Planen der Durchsuchung eines verschlüsselten Computers. Das Suchdienstprogramm befolgt Ihre Richtlinie zur
Workstation-Scanpriorität.
Deaktivieren oder aktivieren Sie vorübergehend die Anwendungsdaten-Verschlüsselungsliste des aktuellen Benutzers.
Hinzufügen der privilegierten Liste Prozessnamen oder Entfernen derselben.

•

Fehlersuche nach den Anweisungen des Dell ProSupports

Ansätze für die Datenverschlüsselung
Beim Festlegen von Richtlinien zur Verschlüsselung von Daten auf Windows-Geräten stehen Ihnen mehrere Ansätze zur Verfügung:
•

•

Der erste Ansatz besteht darin, das Standardverhalten des Clients zu übernehmen. Wenn Sie Ordner in „Allgemein verschlüsselte
Ordner“ oder „Benutzerverschlüsselte Ordner“ angeben oder „Meine Dokumente verschlüsseln“, „Persönliche Outlook-Ordner
verschlüsseln“, „Temporäre Dateien verschlüsseln“, „Temporäre Internetdateien verschlüsseln“ oder „Windows-Auslagerungsdatei
verschlüsseln“ auf „Wahr“ einstellen, werden die betroffenen Dateien bei Erstellung oder Anmeldung eines verwalteten Benutzers (nach
der Erstellung eines nicht verwalteten Benutzer) verschlüsselt. Der Client durchsucht auch Ordner, die in diesen Richtlinien angegeben
sind oder sich auf sie beziehen, auf mögliche Verschlüsselung/Entschlüsselung, wenn ein Ordner umbenannt wird oder wenn der Client
Änderungen an diesen Richtlinien erhält.
Sie können auch „Workstation bei Anmeldung durchsuchen“ auf „Wahr“ setzen. Wenn „Workstation bei Anmeldung durchsuchen“ auf
„Wahr“ eingestellt ist, vergleicht der Client bei der Benutzeranmeldung die Art und Weise, in der Dateien in derzeit und zuvor
verschlüsselten Ordnern verschlüsselt sind, mit den Benutzerrichtlinien und nimmt gegebenenfalls die nötigen Änderungen vor.
Wenn Sie Dateien verschlüsseln möchten, die Ihre Verschlüsselungskriterien erfüllen, aber vor Inkrafttreten Ihrer
Verschlüsselungsrichtlinien erstellt wurden, die Leistung jedoch nicht durch häufiges Durchsuchen beeinträchtigen möchten, können Sie
mit diesem Dienstprogramm die Durchsuchung des Computers durchführen oder einplanen.

Voraussetzungen
•

Das Windows-Gerät, mit dem Sie arbeiten möchten, muss verschlüsselt sein.

•

Der Benutzer, mit dem Sie arbeiten möchten, muss angemeldet sein.

Verwenden des Suchdienstprogramms
WSProbe.exe befindet sich auf den Installationsmedien.
Syntax
wsprobe [path]

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

wsprobe [-h]
wsprobe [-f path]
wsprobe [-u n] [-x process_names] [-i process_names]
Parameter
Parameter

Um die SSL/TLS-Vertrauensprüfung für BitLocker Manager zu

Pfad

Gibt optional einen bestimmten Pfad auf dem Gerät an, den Sie auf mögliche Verschlüsselung/
Entschlüsselung durchsuchen möchten. Wenn kein Pfad angegeben wird, durchsucht dieses
Dienstprogramm alle Ordner, auf die sich Ihre Verschlüsselungsrichtlinien beziehen.

-h

Zeigt die Befehlszeilenhilfe an.

-f

Fehlersuche nach den Anweisungen des Dell ProSupports

-u

Deaktiviert oder aktiviert vorübergehend die Anwendungsdaten-Verschlüsselungsliste des
Benutzers. Diese Liste ist nur wirksam, wenn „Verschlüsselung aktiviert“ für den aktuellen Benutzer
ausgewählt ist. Geben Sie 0 zur Deaktivierung oder 1 zur Reaktivierung an. Die aktuelle Richtlinie
wird bei der nächsten Anmeldung in Kraft gesetzt.

-x

Fügt der privilegierten Liste Prozessnamen hinzu oder entfernt sie. Die Computer- und
Installationsprogramm-Prozessnamen in dieser Liste sowie die, die Sie mit diesem Parameter oder
mit HKLM\Software\CREDANT\CMGShield\EUWPrivilegedList hinzufügen, werden ignoriert,
wenn sie in der Anwendungsdaten-Verschlüsselungsliste angegeben sind. Trennen Sie
Prozessnamen durch Kommas. Wenn Ihre Liste eine oder mehrere Leerstellen enthält, müssen Sie
die Liste in doppelte Anführungszeichen setzen.

-i

Entfernt Prozessnamen, die zuvor der privilegierten Liste hinzugefügt wurden (hartcodierte
Prozessnamen können Sie nicht entfernen). Trennen Sie Prozessnamen durch Kommas. Wenn Ihre
Liste eine oder mehrere Leerstellen enthält, müssen Sie die Liste in doppelte Anführungszeichen
setzen.

Überprüfen des Encryption-Removal-Agent-Status
Der Status des Encryption Removal Agent wird im Beschreibungsbereich des Dialogfelds „Dienste“ (Start > Ausführen... > services.msc >
OK) wie folgt angezeigt: Aktualisieren Sie in regelmäßigen Abständen den Service-Status (markieren Sie den Service > rechte Maustaste >
Aktualisieren).
•

Warten auf SDE-Deaktivierung – Der Encryption-Client ist noch installiert und/oder konfiguriert. Die Entschlüsselung beginnt erst
nach der Deinstallation des Encryption-Clients.

•

Erste Suche – Dieser Dienst führt eine erste Suche durch und berechnet die Anzahl verschlüsselter Dateien und Bytes. Die erste Suche
wird nur einmal durchgeführt.

•

Entschlüsselungssuche – Dieser Dienst entschlüsselt Dateien und stellt möglicherweise eine Anfrage zur Entschlüsselung gesperrter
Dateien.

•

Entschlüsselung bei Neustart (teilweise) – Die Entschlüsselungssuche ist abgeschlossen, und einige gesperrte Dateien (aber nicht
alle) werden beim nächsten Neustart entschlüsselt.

•

Entschlüsselung bei Neustart – Die Entschlüsselungssuche ist abgeschlossen, und alle gesperrten Dateien werden beim nächsten
Neustart entschlüsselt.

•

Nicht alle Dateien konnten entschlüsselt werden – Die Entschlüsselungssuche ist abgeschlossen, aber es konnten nicht alle Dateien
entschlüsselt werden. Dieser Status kann folgende Gründe haben:
•

Die gesperrten Dateien wurden nicht für die Entschlüsselung vorgesehen, weil sie entweder zu groß sind oder ein Fehler bei der
Anfrage nach ihrer Freigabe auftrat.

•

Während der Entschlüsselung der Dateien trat ein Eingabe-/Ausgabefehler auf.

•

Die Dateien konnten nicht richtliniengemäß entschlüsselt werden.

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

•

Die Dateien waren zur Verschlüsselung markiert.

•

Während der Entschlüsselungssuche trat ein Fehler auf.

•

In sämtlichen Fällen wird eine Protokolldatei erstellt, sofern mindestens LogVerbosity=2 eingestellt ist (und die Protokollierung
aktiviert wurde). Zur Fehlerbehebung sollten Sie die Ausführlichkeitsstufe auf 2 einstellen (LogVerbosity=2) und den Encryption
Removal Agent-Dienst neu starten, um eine weitere Entschlüsselungssuche zu erzwingen. Weitere Anweisungen finden Sie unter
Encryption Removal Agent-Protokolldatei erstellen (optional).

Vollständig – Die Entschlüsselungssuche wurde abgeschlossen. Der Service, die ausführbare Datei, der Treiber und die ausführbare
Treiberdatei werden beim nächsten Neustart des Computers gelöscht.

SED-Client – Fehlerbehebung
Richtlinie „Erster Zugriffscode“ verwenden
•

Diese Richtlinie wird zur Anmeldung bei einem Computer verwendet, wenn kein Netzwerkzugriff verfügbar und dadurch auch der
Zugriff auf den EE-Server/VE-Server und Active Directory (AD) nicht möglich ist. Verwenden Sie die Richtlinie Erster Zugriffscode nur,
wenn es keine andere Möglichkeit gibt. Dell rät von dieser Vorgehensweise für die Anmeldung ausdrücklich ab. Die Verwendung der
Richtlinie Erster Zugriffscode bietet nicht dasselbe Maß an Sicherheit wie das übliche Anmeldeverfahren mit Benutzername, Domäne
und Passwort.
Neben der geringeren Sicherheit des Anmeldeverfahrens wird bei der Aktivierung eines Endbenutzers über Erster Zugriffscode kein
entsprechender Eintrag für den Computer auf dem EE-Server/VE-Server erstellt. Das bedeutet, dass kein Antwortcode vom EEServer/VE-Server erstellt werden kann, wenn der Benutzer das Passwort falsch eingibt oder die Selbsthilfe-Fragen nicht beantworten
kann.

•

Der erste Zugriffscode kann nur ein Mal – unmittelbar nach der Aktivierung – verwendet werden. Nach der Anmeldung eines
Benutzers steht der erste Zugriffscode nicht mehr zur Verfügung. Die erste Domänenanmeldung nach der Eingabe des ersten
Zugriffscodes wird zwischengespeichert, und das Eingabefeld für den ersten Zugriffscode wird nicht mehr angezeigt.

•

Der erste Zugriffscode wird nur unter den folgenden Umständen angezeigt:
•

Ein Benutzer wurde nicht in der PBA aktiviert.

•

Der Client hat keine Verbindung zum Netzwerk oder EE-Server/VE-Server.

Ersten Zugriffscode verwenden
1

Richten Sie in der Remote-Verwaltungskonsole einen Wert für den ersten Zugriffscode ein.

Speichern und aktivieren Sie die Richtlinie.

Starten Sie den lokalen Computer.

Geben Sie den ersten Zugriffscode ein, wenn der Bildschirm „Zugriffscode“ angezeigt wird.

Klicken Sie auf den blauen Pfeil.

Klicken Sie auf OK, wenn der Bildschirm mit „Rechtshinweise“ angezeigt wird.

Melden Sie sich mit den Benutzerdaten für den Computer bei Windows an. Diese Anmeldedaten müssen zur Domäne gehören.

Öffnen Sie nach der Anmeldung die Security Console und überprüfen Sie, ob der PBA-Benutzer richtig erstellt worden ist.
Klicken Sie dazu im Menü oben auf Protokoll, und suchen Sie nach der Meldung PBA-Benutzer für
erstellt, welche angibt, dass der Vorgang erfolgreich war.

Fahren Sie den Computer herunter und starten Sie ihn neu.

Geben Sie im Anmeldebildschirm den Benutzernamen, die Domäne und das Passwort ein, die zuvor für die Anmeldung bei Windows
verwendet wurden.
Dabei muss das gleiche Benutzernamen-Format wie bei der Erstellung des PBA-Benutzers verwendet werden. Wenn Sie also das
Format „Benutzername/Domäne“ verwendet haben, müssen Sie die Domäne bzw. den Benutzernamen für den Benutzernamen
eingeben.

(Nur Credant Manager) Beantworten Sie die Fragen umgehend.
Klicken Sie auf den blauen Pfeil.

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Klicken Sie auf Anmelden, wenn der Bildschirm „Rechtshinweise“ angezeigt wird.
Windows wird gestartet, und der Computer kann wie gewohnt verwendet werden.

PBA-Protokolldatei für die Fehlerbehebung erstellen
•

Zur Behebung von PBA-Fehlern ist u. U. eine PBA-Protokolldatei erforderlich, beispielsweise in den folgenden Fällen:
•

Das Symbol der Netzwerkverbindung wird nicht angezeigt, obwohl Sie sicher sind, dass eine Netzwerkverbindung besteht. Die
Protokolldatei enthält DHCP-Informationen zur Behebung des Problems.

•

Das Symbol der EE Server/VE-Serververbindung wird nicht angezeigt. Die Protokolldatei enthält Informationen, welche die
Diagnose von Problemen mit der EE-Server/VE-Server-Konnektivität erleichtern.

•

Die Authentifizierung schlägt trotz Eingabe der richtigen Anmeldedaten fehl. Die Protokolldatei und die EE Server/VEServerprotokolle enthalten Informationen, die eine Diagnose des Problems erleichtern.

Protokolle während des PBA-Starts (Alt-PBA) erfassen
1

Legen Sie im Stammverzeichnis eines USB-Laufwerks einen Ordner namens \CredantSED an.

Erstellen Sie im Ordner \CredantSED eine Datei namens „actions.txt“.

Fügen Sie in actions.txt die folgende Zeile ein:
get environment

Speichern und schließen Sie die Datei.
Schließen Sie das USB-Laufwerk nicht an den ausgeschalteten Computer an. Falls das USB-Laufwerk bereits an den ausgeschalteten
Computer angeschlossen ist entfernen Sie es bitte.

Schalten Sie den Computer ein, und melden Sie sich bei der PBA an. Schließen Sie das USB-Laufwerk an den Computer an, von dem
die Protokolle während dieses Schritts erfasst werden sollen.

Lassen Sie das USB-Laufwerk fünf bis zehn Sekunden lang angeschlossen und entfernen Sie es dann.
Im Ordner \CredantSED wird die Datei „credpbaenv.tgz“ mit den erforderlichen Protokollen erstellt.

Protokolle während des PBA-Starts (UEFI-PBA) erfassen
1

Erstellen Sie eine Datei mit der Bezeichnung PBAErr.log im Stammverzeichnis des USB-Laufwerks.

Setzen Sie das USB-Laufwerk vor dem Einschalten des Computers ein.

Entfernen Sie das USB-Laufwerk nach der Reproduzierung des Problems in Bezug auf die Erforderlichkeit der Protokolle.

Die Datei „PBAErr.log“ wird aktualisiert und in Echtzeit geschrieben.

Dell ControlVault-Treiber
Aktualisieren von Treibern und Firmware für Dell ControlVault
Die auf Dell-Computern werkseitig installierte(n) Treiber und Firmware für Dell ControlVault sind nicht mehr aktuell und müssen anhand
des folgenden Verfahrens in der angegebenen Reihenfolge aktualisiert werden.
Wenn Sie während der Client-Installation aufgefordert werden, das Installationsprogramm zu schließen, um die Dell ControlVault-Treiber
zu installieren, können Sie diese Meldung ignorieren und die Client-Installation fortsetzen. Die Dell ControlVault-Treiber (und die
zugehörige Firmware) können nach dem erfolgreichen Abschluss der Client-Installation aktualisiert werden.
Herunterladen der aktuellen Treiber
1

Gehen Sie zu support.dell.com.

Wählen Sie Ihr Computermodell aus.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Wählen Sie Treiber & Downloads.

Wählen Sie das auf dem Zielcomputer ausgeführte Betriebssystem aus.

Erweitern Sie die Kategorie Sicherheit.

Laden Sie die Dell ControlVault-Treiber herunter, und speichern Sie sie.

Laden Sie die Dell ControlVault-Firmware herunter, und speichern Sie sie.

Kopieren Sie die Treiber und die Firmware bei Bedarf auf die Zielcomputer.

Installieren des Dell ControlVault-Treibers
Gehen Sie zu dem Ordner, in den Sie die Treiberinstallationsdatei abgelegt haben.
Doppelklicken Sie auf den Dell ControlVault-Treiber, um die selbstextrahierende EXE-Datei aufzurufen.

:
Achten Sie darauf, als Erstes den Treiber zu installieren. Der Dateiname des Treibers zum Zeitpunkt der Erstellung dieses
Dokuments lautet „ControlVault_Setup_2MYJC_A37_ZPE.exe“.
Klicken Sie zum Fortsetzen des Vorgangs auf Weiter.
Klicken Sie auf OK, um die Treiberdateien in den Standardordner C:\Dell\Drivers\ zu entpacken.
Klicken Sie auf Ja, um die Erstellung eines neuen Ordners zu genehmigen.
Klicken Sie auf OK, wenn die Nachricht angezeigt wird, dass die Dateien erfolgreich entpackt wurden.
Nach dem Entpacken wird der Ordner angezeigt, der die entpackten Dateien enthält. Ist dies nicht der Fall, gehen Sie zu dem Ordner,
in den Sie die Dateien entpackt haben. Der Ordner ist als JW22F bezeichnet
Doppelklicken Sie auf die Datei CVHCI64.MSI, um das Treiberinstallationsprogramm zu starten. [Die Datei CVHCI64.MSI in diesem
Beispiel bezieht sich auf ein 64-Bit-System. Bei einem 32-Bit-System wählen Sie die Datei CVHCI32.MSI aus].
Klicken Sie auf dem Begrüßungsbildschirm auf Weiter.
Klicken Sie auf Weiter, um die Treiber in den Standardordner unter C:\Program Files\Broadcom Corporation\Broadcom USH Host
Components\. zu installieren.
Wählen Sie die Option Abschließen aus, und klicken Sie auf Weiter.
Klicken Sie auf Installieren, um mit der Installation der Treiber zu beginnen.
Aktivieren Sie optional das Kontrollkästchen, um die Protokolldatei für das Installationsprogramm anzuzeigen. Klicken Sie zum Beenden
des Assistenten auf Fertig stellen.
Überprüfen der Treiberinstallation
Der Gerätemanager zeigt je nach Betriebssystem und Hardwarekonfiguration ein Dell ControlVault-Gerät (sowie weitere Geräte) an.
Installieren der Dell ControlVault-Firmware
1

Gehen Sie zu dem Ordner, in den Sie die Firmware-Installationsdatei abgelegt haben.

Doppelklicken Sie auf die Dell ControlVault-Firmware, um die selbstextrahierende EXE-Datei aufzurufen.

Klicken Sie zum Fortsetzen des Vorgangs auf Weiter.

Klicken Sie auf OK, um die Treiberdateien in den Standardordner C:\Dell\Drivers\ zu entpacken.

Klicken Sie auf Ja, um die Erstellung eines neuen Ordners zu genehmigen.

Klicken Sie auf OK, wenn die Nachricht angezeigt wird, dass die Dateien erfolgreich entpackt wurden.

Nach dem Entpacken wird der Ordner angezeigt, der die entpackten Dateien enthält. Ist dies nicht der Fall, gehen Sie zu dem Ordner,
in den Sie die Dateien entpackt haben. Wählen Sie den Ordner Firmware aus.

Doppelklicken Sie auf die Datei ushupgrade.exe, um das Firmware-Installationsprogramm zu starten.

Klicken Sie zum Starten der Firmware auf Start.

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

:
Sie werden möglicherweise dazu aufgefordert, das Administratorkennwort einzugeben, wenn Sie ein Upgrade von einer
älteren Firmware-Version durchführen. Geben Sie Broadcom als Kennwort ein, und klicken Sie auf Eingabe, wenn diese
Option im Dialogfeld angezeigt wird.
Es werden nun verschiedene Statusmeldungen angezeigt.
10

Klicken Sie auf Neu starten, um das Firmware-Upgrade abzuschließen.
Die Aktualisierung der Treiber und der Firmware für Dell ControlVault ist damit abgeschlossen.

UEFI-Computer
Fehlerbehebung bei Problemen mit der Netzwerkverbindung
•

Damit die Preboot-Authentifizierung auf einem Computer mit UEFI-Firmware erfolgreich verläuft, muss der PBA-Modus mit
Netzwerkkonnektivität ausgerüstet sein. Auf Computern mit UEFI-Firmware ist standardmäßig erst dann Netzwerkkonnektivität
verfügbar, wenn das Betriebssystem geladen wurde. Dies geschieht in der Regel nach dem PBA-Modus. Wenn der Computer
beschriebene Verfahren in Pre-Installation Konfiguration für den UEFI-Computern erfolgreich abgeschlossen wurde und korrekt
konfiguriert ist, geht die Netzwerkverbindung Symbol zeigt auf der Preboot authentication Bildschirm an, wenn der Computer mit dem
Netzwerk verbunden ist.

•

Falls das Symbol für die Netzwerkverbindung während der Preboot-Authentifizierung trotzdem nicht angezeigt wird, überprüfen Sie, ob
das Netzkabel ordnungsgemäß an den Computer angeschlossen ist. Falls das Kabel nicht angeschlossen oder locker war, starten Sie
den Computer neu, um einen Neustart des PBA-Modus zu bewirken.

TPM und BitLocker
Fehlercodes für TPM und BitLocker
Konstante/Wert

Beschreibung

TPM_E_ERROR_MASK

Dies ist eine Fehlermaske, die zum Konvertieren der TPMHardwarefehler in Win-Fehler verwendet wird.

0x80280000
TPM_E_AUTHFAIL

Authentifizierung fehlgeschlagen

0x80280001
TPM_E_BADINDEX

Der Index für ein PCR, DIR oder ein anderes Register ist falsch.

0x80280002
TPM_E_BAD_PARAMETER

Ein oder mehrere Parameter sind falsch.

0x80280003

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Konstante/Wert

Beschreibung

TPM_E_AUDITFAILURE

Ein Vorgang wurde erfolgreich abgeschlossen, aber beim
Überwachen des Vorgangs ist ein Fehler aufgetreten.

0x80280004
TPM_E_CLEAR_DISABLED
0x80280005
TPM_E_DEACTIVATED

Das Flag zum Deaktivieren des Löschens ist gesetzt, und für alle
Löschvorgänge ist jetzt ein physikalischer Zugriff erforderlich.

Aktivieren Sie das TPM.

0x80280006
TPM_E_DISABLED

Aktivieren Sie das TPM.

0x80280007
TPM_E_DISABLED_CMD

Der Zielbefehl wurde deaktiviert.

0x80280008
TPM_E_FAIL

Der Vorgang ist fehlgeschlagen.

0x80280009
TPM_E_BAD_ORDINAL

Die Ordnungszahl war unbekannt oder nicht konsistent.

0x8028000A
TPM_E_INSTALL_DISABLED

Die Option zum Installieren eines Besitzers ist deaktiviert.

0x8028000B
TPM_E_INVALID_KEYHANDLE

Das Schlüsselhandle kann nicht interpretiert werden.

0x8028000C
TPM_E_KEYNOTFOUND

Das Schlüsselhandle zeigt auf einen ungültigen Schlüssel.

0x8028000D
TPM_E_INAPPROPRIATE_ENC

Unzulässiges Verschlüsselungsschema.

0x8028000E
TPM_E_MIGRATEFAIL

Fehler bei der Migrationsautorisierung.

0x8028000F
TPM_E_INVALID_PCR_INFO

Die PCR-Informationen konnten nicht interpretiert werden.

0x80280010
TPM_E_NOSPACE

Kein Platz zum Laden des Schlüssels.

0x80280011
TPM_E_NOSRK
0x80280012

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Es ist kein Speicherstammschlüsselsatz (SRK) vorhanden.

Konstante/Wert

Beschreibung

TPM_E_NOTSEALED_BLOB

Ein verschlüsseltes BLOB ist ungültig oder wurde nicht mit diesem
TPM erstellt.

0x80280013
TPM_E_OWNER_SET

Das TPM verfügt bereits über einen Besitzer.

0x80280014
TPM_E_RESOURCES
0x80280015
TPM_E_SHORTRANDOM

Das TPM verfügt nicht über ausreichend interne Ressourcen, um
die angeforderte Aktion auszuführen.

Eine zufällige Zeichenfolge war zu kurz.

0x80280016
TPM_E_SIZE
0x80280017
TPM_E_WRONGPCRVAL
0x80280018
TPM_E_BAD_PARAM_SIZE

Das TPM verfügt nicht über ausreichend Speicherplatz, um den
Vorgang auszuführen.

Der benannte PCR-Wert stimmt nicht mit dem aktuellen PCR-Wert
überein.

Das paramSize-Argument für den Befehl hat einen falschen Wert.

0x80280019
TPM_E_SHA_THREAD

Es ist kein SHA-1-Thread vorhanden.

0x8028001A
TPM_E_SHA_ERROR
0x8028001B
TPM_E_FAILEDSELFTEST
0x8028001C

TPM_E_AUTH2FAIL
0x8028001D
TPM_E_BADTAG

Die Berechnung kann nicht fortgesetzt werden, da beim
vorhandenen SHA-1-Thread bereits ein Fehler aufgetreten ist.

Vom TPM-Hardwaregerät wurde beim internen Selbsttest ein
Fehler gemeldet. Starten Sie den Computer neu, um das Problem
zu beheben. Falls das Problem weiterhin besteht, muss ggf. die
TPM-Hardware oder die Hauptplatine ersetzt werden.
Die Autorisierung für den zweiten Schlüssel in einer 2Schlüsselfunktion war nicht erfolgreich.

Der für einen Befehl gesendete Tagwert ist ungültig.

0x8028001E
TPM_E_IOERROR
0x8028001F
TPM_E_ENCRYPT_ERROR

Beim Übermitteln von Informationen an das TPM ist ein E/A-Fehler
aufgetreten.

Beim Verschlüsselungsprozess ist ein Problem aufgetreten.

0x80280020
TPM_E_DECRYPT_ERROR

Der Entschlüsselungsprozess wurde nicht abgeschlossen.

0x80280021

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Konstante/Wert

Beschreibung

TPM_E_INVALID_AUTHHANDLE

Ein ungültiges Handle wurde verwendet.

0x80280022
TPM_E_NO_ENDORSEMENT

Für das TPM ist kein Endorsement Key (EK) installiert.

0x80280023
TPM_E_INVALID_KEYUSAGE

Die Verwendung eines Schlüssels ist unzulässig.

0x80280024
TPM_E_WRONG_ENTITYTYPE

Der festgelegte Einheitstyp ist nicht zulässig.

0x80280025
TPM_E_INVALID_POSTINIT
0x80280026
TPM_E_INAPPROPRIATE_SIG
0x80280027
TPM_E_BAD_KEY_PROPERTY
0x80280028
TPM_E_BAD_MIGRATION

Der Befehl wurde relativ zu TPM_Init und einem nachfolgenden
TPM_Startup in der falschen Reihenfolge empfangen.

Signierte Daten können keine zusätzlichen DER-Informationen
enthalten.

Die Schlüsseleigenschaften in TPM_KEY_PARMs werden von
diesem TPM nicht unterstützt.

Die Migrationseigenschaften dieses Schlüssels sind falsch.

0x80280029
TPM_E_BAD_SCHEME
0x8028002A
TPM_E_BAD_DATASIZE
0x8028002B
TPM_E_BAD_MODE
0x8028002C

TPM_E_BAD_PRESENCE
0x8028002D
TPM_E_BAD_VERSION

Die Signatur oder das Verschlüsselungsschema für diesen Schlüssel
ist falsch oder in dieser Situation nicht zulässig.

Die Größe des Datenparameters (oder BLOB-Parameters) ist
unzulässig oder nicht mit dem Schlüssel konsistent, auf den
verwiesen wird.
Ein Modusparameter ist ungültig, z. B. capArea oder subCapArea
für TPM_GetCapability, phsicalPresence-Parameter für
TPM_PhysicalPresence oder migrationType für
TPM_CreateMigrationBlob.
Die physicalPresence-Bits oder die physicalPresenceLock-Bits
haben den falschen Wert.

Das TPM kann diese Version der Funktion nicht ausführen.

0x8028002E
TPM_E_NO_WRAP_TRANSPORT
0x8028002F
TPM_E_AUDITFAIL_UNSUCCESSFUL
0x80280030

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Das TPM berücksichtigt keine eingeschlossenen
Transportsitzungen.

Bei der TPM-Überwachungskonstruktion ist ein Fehler aufgetreten,
und der zugrunde liegende Befehl hat auch einen Fehlercode
zurückgegeben.

Konstante/Wert

Beschreibung

TPM_E_AUDITFAIL_SUCCESSFUL

Bei der TPM-Überwachungskonstruktion ist ein Fehler aufgetreten,
und der zugrunde liegende Befehl war erfolgreich.

0x80280031
TPM_E_NOTRESETABLE
0x80280032
TPM_E_NOTLOCAL
0x80280033
TPM_E_BAD_TYPE

Es wird versucht, ein PCR-Register zurückzusetzen, das nicht über
ein Resettable-Attribut verfügt.

Es wird versucht, ein PCR-Register zurückzusetzen, das erfordert,
dass Ort und Ortsänderer nicht Teil eines Befehlstransports sind.

Das BLOB zum Erstellen der Identität wurde nicht richtig typisiert.

0x80280034
TPM_E_INVALID_RESOURCE
0x80280035
TPM_E_NOTFIPS
0x80280036
TPM_E_INVALID_FAMILY

Beim Speichern des Kontexts entsprach der identifizierte
Ressourcentyp nicht der tatsächlichen Ressource.

Das TPM versucht, einen Befehl auszuführen, der nur im FIPSModus verfügbar ist.

Der Befehl versucht, eine ungültige Familien-ID zu verwenden.

0x80280037
TPM_E_NO_NV_PERMISSION
0x80280038
TPM_E_REQUIRES_SIGN

Die Berechtigung zum Ändern des permanenten Speichers ist nicht
verfügbar.

Der Vorgang erfordert einen signierten Befehl.

0x80280039
TPM_E_KEY_NOTSUPPORTED

Falscher Vorgang zum Laden eines permanenten Schlüssels.

0x8028003A
TPM_E_AUTH_CONFLICT
0x8028003B
TPM_E_AREA_LOCKED

Das BLOB "NV_LoadKey" erfordert eine Besitzerautorisierung und
eine BLOB-Autorisierung.

Der permanente Bereich ist gesperrt und nicht beschreibbar.

0x8028003C
TPM_E_BAD_LOCALITY

Der Ort für den Vorgang ist falsch.

0x8028003D
TPM_E_READ_ONLY
0x8028003E
TPM_E_PER_NOWRITE

Der permanente Bereich ist schreibgeschützt und daher nicht
beschreibbar.

Der permanente Bereich ist nicht schreibgeschützt.

0x8028003F

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Konstante/Wert

Beschreibung

TPM_E_FAMILYCOUNT

Fehlende Übereinstimmung beim Familienanzahlwert.

0x80280040
TPM_E_WRITE_LOCKED

Der permanente Bereich wurde bereits beschrieben.

0x80280041
TPM_E_BAD_ATTRIBUTES

Konflikt bei den Attributen des permanenten Bereichs.

0x80280042
TPM_E_INVALID_STRUCTURE

Das Strukturtag und die Version sind ungültig oder inkonsistent.

0x80280043
TPM_E_KEY_OWNER_CONTROL
0x80280044
TPM_E_BAD_COUNTER

Der Schlüssel wird vom TPM-Besitzer kontrolliert und kann nur vom
TPM-Besitzer entfernt werden.

Das Zählerhandle ist ungültig.

0x80280045
TPM_E_NOT_FULLWRITE

Beim Schreibvorgang wird nicht der gesamte Bereich beschrieben.

0x80280046
TPM_E_CONTEXT_GAP
0x80280047
TPM_E_MAXNVWRITES
0x80280048
TPM_E_NOOPERATOR

Die Lücke zwischen den gespeicherten Kontextanzahlwerten ist zu
groß.

Die maximale Anzahl von permanenten Schreibvorgängen ohne
Besitzer wurde überschritten.

Es ist kein AuthData-Operatorwert festgelegt.

0x80280049
TPM_E_RESOURCEMISSING

Die Ressource, auf die der Kontext zeigt, ist nicht geladen.

0x8028004A
TPM_E_DELEGATE_LOCK

Die Delegatverwaltung ist gesperrt.

0x8028004B
TPM_E_DELEGATE_FAMILY
0x8028004C
TPM_E_DELEGATE_ADMIN

Es wurde versucht, eine andere als die delegierte Familie zu
verwalten.

Die Verwaltung der Delegierungstabelle ist nicht aktiviert.

0x8028004D
TPM_E_TRANSPORT_NOTEXCLUSIVE
0x8028004E

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Es wurde ein Befehl außerhalb einer exklusiven Transportsitzung
ausgeführt.

Konstante/Wert

Beschreibung

TPM_E_OWNER_CONTROL

Es wird versucht, einen kontrollierten Schlüssel ohne Besitzer im
Kontext zu speichern.

0x8028004F
TPM_E_DAA_RESOURCES
0x80280050
TPM_E_DAA_INPUT_DATA0
0x80280051
TPM_E_DAA_INPUT_DATA1

Der DAA-Befehl hat keine verfügbaren Ressourcen zum Ausführen
des Befehls.

Fehler bei der Konsistenzprüfung des DAA-Parameters
"inputData0".

Fehler bei der Konsistenzprüfung des DAA-Parameters "inputData1".

0x80280052
TPM_E_DAA_ISSUER_SETTINGS

Fehler bei der Konsistenzprüfung für DAA_issuerSettings.

0x80280053
TPM_E_DAA_TPM_SETTINGS

Fehler bei der Konsistenzprüfung für DAA_tpmSpecific.

0x80280054
TPM_E_DAA_STAGE
0x80280055
TPM_E_DAA_ISSUER_VALIDITY
0x80280056
TPM_E_DAA_WRONG_W

Der vom gesendeten DAA-Befehl angegebene atomare Prozess ist
nicht der erwartete Prozess.

Die Validitätsprüfung des Herausgebers hat eine Inkonsistenz
ergeben.

Eine Konsistenzprüfung auf W ist fehlgeschlagen.

0x80280057
TPM_E_BAD_HANDLE

Das Handle ist ungültig.

0x80280058
TPM_E_BAD_DELEGATE

Die Delegierung ist falsch.

0x80280059
TPM_E_BADCONTEXT

Das Kontext-BLOB ist ungültig.

0x8028005A
TPM_E_TOOMANYCONTEXTS

Das TPM enthält zu viele Kontexte.

0x8028005B
TPM_E_MA_TICKET_SIGNATURE

Fehler bei der Überprüfung der Migrationsautoritätssignatur.

0x8028005C
TPM_E_MA_DESTINATION

Das Migrationsziel wurde nicht authentifiziert.

0x8028005D

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Konstante/Wert

Beschreibung

TPM_E_MA_SOURCE

Die Migrationsquelle ist falsch.

0x8028005E
TPM_E_MA_AUTHORITY

Die Migrationsautorität ist falsch.

0x8028005F
TPM_E_PERMANENTEK
0x80280061
TPM_E_BAD_SIGNATURE

Es wurde versucht, den EK zu widerrufen, der EK kann jedoch nicht
widerrufen werden.

Die Signatur des CMK-Tickets ist ungültig.

0x80280062
TPM_E_NOCONTEXTSPACE

In der Kontextliste ist kein Platz für weitere Kontexte verfügbar.

0x80280063
TPM_E_COMMAND_BLOCKED

Der Befehl wurde geblockt.

0x80280400
TPM_E_INVALID_HANDLE

Das angegebene Handle wurde nicht gefunden.

0x80280401
TPM_E_DUPLICATE_VHANDLE
0x80280402
TPM_E_EMBEDDED_COMMAND_BLOCKED

Das TPM hat ein doppeltes Handle zurückgegeben, und der Befehl
muss neu gesendet werden.

Der Befehl im Transport wurde blockiert.

0x80280403
TPM_E_EMBEDDED_COMMAND_UNSUPPORTED

Der Befehl im Transport wird nicht unterstützt.

0x80280404
TPM_E_RETRY
0x80280800

Das TPM ist zu ausgelastet, um sofort auf den Befehl zu reagieren,
aber der Befehl kann zu einem späteren Zeitpunkt erneut gesendet
werden.

TPM_E_NEEDS_SELFTEST

SelfTestFull wurde nicht ausgeführt.

0x80280801
TPM_E_DOING_SELFTEST

Das TPM führt gerade einen vollständigen Selbsttest aus.

0x80280802
TPM_E_DEFEND_LOCK_RUNNING
0x80280803
TBS_E_INTERNAL_ERROR
0x80284001

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Das TPM wehrt Verzeichnisangriffe ab und befindet sich in einer
Zeitüberschreitungsperiode.

Ein interner Softwarefehler ist aufgetreten.

Konstante/Wert

Beschreibung

TBS_E_BAD_PARAMETER

Mindestens ein Eingabeparameter ist ungültig.

0x80284002
TBS_E_INVALID_OUTPUT_POINTER

Ein angegebener Ausgabezeiger ist ungültig.

0x80284003
TBS_E_INVALID_CONTEXT
0x80284004
TBS_E_INSUFFICIENT_BUFFER

Das angegebene Kontexthandle bezieht sich nicht auf einen
gültigen Kontext.

Der angegebene Ausgabepuffer ist zu klein.

0x80284005
TBS_E_IOERROR

Bei der Kommunikation mit TPM ist ein Fehler aufgetreten.

0x80284006
TBS_E_INVALID_CONTEXT_PARAM

Mindestens ein Kontextparameter ist ungültig.

0x80284007
TBS_E_SERVICE_NOT_RUNNING
0x80284008
TBS_E_TOO_MANY_TBS_CONTEXTS
0x80284009
TBS_E_TOO_MANY_RESOURCES
0x8028400A
TBS_E_SERVICE_START_PENDING
0x8028400B
TBS_E_PPI_NOT_SUPPORTED

Der TBS-Dienst wird nicht ausgeführt und konnte nicht gestartet
werden.

Ein neuer Kontext konnte nicht erstellt werden, das bereits zu viele
offene Kontexte vorhanden sind.

Eine neue virtuelle Ressource konnte nicht erstellt werden, da
bereits zu viele offene virtuelle Ressource vorhanden sind.

Der TBS-Dienst wurde gestartet, wird jedoch noch nicht
ausgeführt.

Die physikalische Anwesenheitsschnittstelle wird nicht unterstützt.

0x8028400C
TBS_E_COMMAND_CANCELED

Der Befehl wurde abgebrochen.

0x8028400D
TBS_E_BUFFER_TOO_LARGE

Der Eingabe- oder Ausgabepuffer ist zu groß.

0x8028400E
TBS_E_TPM_NOT_FOUND
0x8028400F
TBS_E_SERVICE_DISABLED

Auf diesem Computer wurde kein kompatibles TPMSicherheitsgerät gefunden.

Der TBS-Dienst wurde deaktiviert.

0x80284010

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Konstante/Wert

Beschreibung

TBS_E_NO_EVENT_LOG

Es ist kein TCG-Ereignisprotokoll verfügbar.

0x80284011
TBS_E_ACCESS_DENIED
0x80284012
TBS_E_PROVISIONING_NOT_ALLOWED
0x80284013

TBS_E_PPI_FUNCTION_UNSUPPORTED
0x80284014
TBS_E_OWNERAUTH_NOT_FOUND

Der Aufrufer verfügt nicht über die erforderlichen Sicherheitsrechte,
um den angeforderten Vorgang durchführen zu können.

Die TPM-Bereitstellungsaktion ist aufgrund der angegebenen
Kennzeichnungen nicht zulässig. Für eine erfolgreiche Bereitstellung
muss unter Umständen eine von mehreren verschiedenen Aktionen
ausgeführt werden. Die Aktion der TPM-Verwaltungskonsole
("Start" -> "tpm.msc") zur Herstellung der TPM-Bereitschaft ist
dabei möglicherweise hilfreich. Weitere Informationen finden Sie in
der Dokumentation zur Win32_Tpm WMI-Methode 'Provision'.
(Möglicherweise erforderliche Aktionen: Importieren des TPMBesitzerautorisierungswerts in das System, Aufrufen der WMIMethode "Win32_Tpm" für die TPM-Bereitstellung und Angeben
von TRUE für "ForceClear_Allowed" oder für
"PhysicalPresencePrompts_Allowed" (gemäß Angabe durch den
Wert, der unter "Zusätzliche Informationen" zurückgegeben wird)
oder Ausführen der TPM-Aktivierung im System-BIOS.)
Die angeforderte Methode wird von der physischen
Anwesenheitsschnittstelle dieser Firmware nicht unterstützt.

Der angeforderte TPM OwnerAuth-Wert wurde nicht gefunden.

0x80284015
TBS_E_PROVISIONING_INCOMPLETE
0x80284016

TPMAPI_E_INVALID_STATE

Die TPM-Bereitstellung wurde nicht abgeschlossen. Wenn Sie
weitere Informationen zum Abschluss der Bereitstellung benötigen,
rufen Sie die Win32_Tpm-WMI-Methode für die Bereitstellung des
TPM ("Provision") auf, und lesen Sie die angezeigten Informationen.
Die Befehlspuffer befindet sich nicht im richtigen Zustand.

0x80290100
TPMAPI_E_NOT_ENOUGH_DATA
0x80290101
TPMAPI_E_TOO_MUCH_DATA

Die Befehlspuffer enthält nicht genügend Daten für die
Anforderung.

Die Befehlspuffer enthält keine weiteren Daten.

0x80290102
TPMAPI_E_INVALID_OUTPUT_POINTER

Mindestens ein Ausgabeparameter ist NULL oder ungültig.

0x80290103
TPMAPI_E_INVALID_PARAMETER

Mindestens ein Eingabeparameter ist ungültig.

0x80290104
TPMAPI_E_OUT_OF_MEMORY
0x80290105
TPMAPI_E_BUFFER_TOO_SMALL

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Für diese Anforderung ist nicht genügend Arbeitsspeicher
verfügbar.

Der angegebene Puffer war zu klein.

Konstante/Wert

Beschreibung

0x80290106
TPMAPI_E_INTERNAL_ERROR

Ein interner Fehler wurde festgestellt.

0x80290107
TPMAPI_E_ACCESS_DENIED
0x80290108
TPMAPI_E_AUTHORIZATION_FAILED

Der Aufrufer verfügt nicht über die erforderlichen Sicherheitsrechte,
um den angeforderten Vorgang durchführen zu können.

Die angegebenen Autorisierungsinformationen sind ungültig.

0x80290109
TPMAPI_E_INVALID_CONTEXT_HANDLE

Das angegebene Kontexthandle ist ungültig.

0x8029010A
TPMAPI_E_TBS_COMMUNICATION_ERROR

Bei der Kommunikation mit TBS ist ein Fehler aufgetreten.

0x8029010B
TPMAPI_E_TPM_COMMAND_ERROR

TPM hat ein unerwartetes Ergebnis zurückgeliefert.

0x8029010C
TPMAPI_E_MESSAGE_TOO_LARGE

Die Nachricht ist zu lang für das Codierungsschema.

0x8029010D
TPMAPI_E_INVALID_ENCODING

Die Codierung des BLOB wurde nicht erkannt.

0x8029010E
TPMAPI_E_INVALID_KEY_SIZE

Die Schlüsselgröße ist ungültig.

0x8029010F
TPMAPI_E_ENCRYPTION_FAILED

Der Verschlüsselungsvorgang ist fehlgeschlagen.

0x80290110
TPMAPI_E_INVALID_KEY_PARAMS

Die Schlüsselparameterstruktur ist ungültig.

0x80290111
TPMAPI_E_INVALID_MIGRATION_AUTHORIZATION_BLOB
0x80290112

Bei den bereitgestellten Daten, die angefordert wurden, scheint es
sich nicht um ein gültiges Migrationsautorisierungs-BLOB zu
handeln.

TPMAPI_E_INVALID_PCR_INDEX

Der angegebene PCR-Index ist ungültig.

0x80290113
TPMAPI_E_INVALID_DELEGATE_BLOB
0x80290114
TPMAPI_E_INVALID_CONTEXT_PARAMS

Bei den angegebenen Daten scheint es sich nicht um ein gültiges
Delegat-BLOB zu handeln.

Mindestens ein angegebener Kontextparameter war ungültig.

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Konstante/Wert

Beschreibung

0x80290115
TPMAPI_E_INVALID_KEY_BLOB
0x80290116
TPMAPI_E_INVALID_PCR_DATA

Bei den angegebenen Daten scheint es sich nicht um ein gültiges
Schlüssel-BLOB zu handeln.

Die angegebenen PCR-Daten sind ungültig.

0x80290117
TPMAPI_E_INVALID_OWNER_AUTH

Das Format des Besitzers der Authentifizierungsdaten ist ungültig.

0x80290118
TPMAPI_E_FIPS_RNG_CHECK_FAILED
0x80290119
TPMAPI_E_EMPTY_TCG_LOG

Die generierte Zufallszahl hat die FIPS RNG-Prüfung nicht
bestanden.

Das TCG-Ereignisprotokoll enthält keine Daten.

0x8029011A
TPMAPI_E_INVALID_TCG_LOG_ENTRY

Ein Eintrag im TCG-Ereignisprotokoll war ungültig.

0x8029011B
TPMAPI_E_TCG_SEPARATOR_ABSENT

Es wurde kein TCG-Trennzeichen gefunden.

0x8029011C
TPMAPI_E_TCG_INVALID_DIGEST_ENTRY
0x8029011D
TPMAPI_E_POLICY_DENIES_OPERATION

Ein Digestwert in einem TCG-Protokolleintrag stimmte nicht mit den
Hashdaten überein.

0x8029011E

Der angeforderte Vorgang wurde von der aktuellen TPM-Richtlinie
blockiert. Wenden Sie sich an den Systemadministrator, wenn Sie
Hilfe benötigen.

TBSIMP_E_BUFFER_TOO_SMALL

Der angegebene Puffer war zu klein.

0x80290200
TBSIMP_E_CLEANUP_FAILED

Der Kontext konnte nicht bereinigt werden.

0x80290201
TBSIMP_E_INVALID_CONTEXT_HANDLE

Das angegebene Kontexthandle ist ungültig.

0x80290202
TBSIMP_E_INVALID_CONTEXT_PARAM

Ein ungültiger Kontextparameter wurde angegeben.

0x80290203
TBSIMP_E_TPM_ERROR

Bei der Kommunikation mit TPM ist ein Fehler aufgetreten.

0x80290204
TBSIMP_E_HASH_BAD_KEY

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Es wurde kein Eintrag mit dem angegebenen Schlüssel gefunden.

Konstante/Wert

Beschreibung

0x80290205
TBSIMP_E_DUPLICATE_VHANDLE
0x80290206
TBSIMP_E_INVALID_OUTPUT_POINTER
0x80290207
TBSIMP_E_INVALID_PARAMETER

Das angegebene virtuelle Handle stimmt mit einem virtuellen Handle
überein, das bereits verwendet wird.

Der Zeiger auf den zurückgegebenen Handlespeicherort war NULL
oder ungültig.

Ein oder mehrere Parameter sind ungültig.

0x80290208
TBSIMP_E_RPC_INIT_FAILED

Das RPC-Subsystem konnte nicht initialisiert werden.

0x80290209
TBSIMP_E_SCHEDULER_NOT_RUNNING

Die TBS-Zeitplanung wird nicht ausgeführt.

0x8029020A
TBSIMP_E_COMMAND_CANCELED

Der Befehl wurde abgebrochen.

0x8029020B
TBSIMP_E_OUT_OF_MEMORY
0x8029020C
TBSIMP_E_LIST_NO_MORE_ITEMS
0x8029020D
TBSIMP_E_LIST_NOT_FOUND

Es war nicht genügend Arbeitsspeicher verfügbar, um die
Anforderung zu erfüllen.

Die angegebene Liste ist leer, oder die Iteration hat das Ende der
Liste erreicht.

Das angegebene Element wurde nicht in der Liste gefunden.

0x8029020E
TBSIMP_E_NOT_ENOUGH_SPACE
0x8029020F
TBSIMP_E_NOT_ENOUGH_TPM_CONTEXTS

Das TPM verfügt nicht über genügend Speicherplatz, um die
angeforderte Ressource zu laden.

Es werden zu viele TPM-Kontexte verwendet.

0x80290210
TBSIMP_E_COMMAND_FAILED

Der TPM-Befehl ist fehlgeschlagen.

0x80290211
TBSIMP_E_UNKNOWN_ORDINAL

Der TBS erkennt die angegebene Ordnungszahl nicht.

0x80290212
TBSIMP_E_RESOURCE_EXPIRED

Die angegebene Ressource ist nicht mehr verfügbar.

0x80290213
TBSIMP_E_INVALID_RESOURCE

Der Ressourcentyp stimmte nicht überein.

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Konstante/Wert

Beschreibung

0x80290214
TBSIMP_E_NOTHING_TO_UNLOAD

Es können keine Ressourcen entladen werden.

0x80290215
TBSIMP_E_HASH_TABLE_FULL

Der Hashtabelle können keine neuen Einträge hinzugefügt werden.

0x80290216
TBSIMP_E_TOO_MANY_TBS_CONTEXTS
0x80290217
TBSIMP_E_TOO_MANY_RESOURCES
0x80290218
TBSIMP_E_PPI_NOT_SUPPORTED

Ein neuer TBS-Kontext konnte nicht erstellt werden, da bereits zu
viele offene Kontexte vorhanden sind.

Eine neue virtuelle Ressource konnte nicht erstellt werden, da
bereits zu viele offene virtuelle Ressource vorhanden sind.

Die physikalische Anwesenheitsschnittstelle wird nicht unterstützt.

0x80290219
TBSIMP_E_TPM_INCOMPATIBLE
0x8029021A
TBSIMP_E_NO_EVENT_LOG

TBS ist nicht kompatibel mit der TPM-Version, die im System
gefunden wurde.

Es ist kein TCG-Ereignisprotokoll verfügbar.

0x8029021B
TPM_E_PPI_ACPI_FAILURE
0x80290300
TPM_E_PPI_USER_ABORT
0x80290301
TPM_E_PPI_BIOS_FAILURE

Beim Versuch, die BIOS-Antwort auf einen physischen
Anwesenheitsbefehl zu erhalten, wurde ein allgemeiner Fehler
festgestellt.
Der Benutzer konnte die TPM-Vorgangsanforderung nicht
bestätigen.

0x80290302

Aufgrund des BIOS-Fehlers konnte der angeforderte TPM-Vorgang
nicht erfolgreich ausgeführt werden (z. B. ungültige TPMVorgangsanforderung, BIOS-Kommunikationsfehler beim TPM).

TPM_E_PPI_NOT_SUPPORTED

Das BIOS unterstützt die Anwesenheitsschnittstelle nicht.

0x80290303
TPM_E_PPI_BLOCKED_IN_BIOS
0x80290304

TPM_E_PCP_ERROR_MASK
0x80290400
TPM_E_PCP_DEVICE_NOT_READY
0x80290401

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Der Befehl für physische Anwesenheit wurde von den aktuellen
BIOS-Einstellungen blockiert. Der Systembesitzer kann
möglicherweise die BIOS-Einstellungen neu konfigurieren, um den
Befehl zuzulassen.
Dies ist eine Fehlermaske zum Konvertieren von
Plattformkryptografieanbieter-Fehlern in Win-Fehler.

Der Plattformkryptografieanbieter ist momentan nicht bereit. Er
muss vollständig bereitgestellt werden, um betriebsbereit zu sein.

Konstante/Wert

Beschreibung

TPM_E_PCP_INVALID_HANDLE

Das für den Plattformkryptografieanbieter angegebene Handle ist
ungültig.

0x80290402
TPM_E_PCP_INVALID_PARAMETER
0x80290403
TPM_E_PCP_FLAG_NOT_SUPPORTED
0x80290404
TPM_E_PCP_NOT_SUPPORTED
0x80290405
TPM_E_PCP_BUFFER_TOO_SMALL
0x80290406
TPM_E_PCP_INTERNAL_ERROR

Ein für den Plattformkryptografieanbieter angegebener Parameter
ist ungültig.

Ein für den Plattformkryptografieanbieter angegebenes
Kennzeichen wird nicht unterstützt.

Der angeforderte Vorgang wird von diesem
Plattformkryptografieanbieter nicht unterstützt.

Der Puffer ist zu klein, um alle Daten aufzunehmen. Es wurden
keine Informationen in den Puffer geschrieben.

Unerwarteter interner Fehler im Plattformkryptografieanbieter.

0x80290407
TPM_E_PCP_AUTHENTICATION_FAILED

Fehler bei der Autorisierung der Verwendung eines Anbieterobjekts.

0x80290408
TPM_E_PCP_AUTHENTICATION_IGNORED
0x80290409

Die Autorisierung für das Anbieterobjekt wurde vom
Plattformkryptografiegerät ignoriert, um einen Wörterbuchangriff
abzuwehren.

TPM_E_PCP_POLICY_NOT_FOUND

Die referenzierte Richtlinie wurde nicht gefunden.

0x8029040A
TPM_E_PCP_PROFILE_NOT_FOUND

Das referenzierte Profil wurde nicht gefunden.

0x8029040B
TPM_E_PCP_VALIDATION_FAILED

Die Validierung war nicht erfolgreich.

0x8029040C
PLA_E_DCS_NOT_FOUND

Der Sammlungssatz wurde nicht gefunden.

0x80300002
PLA_E_DCS_IN_USE
0x803000AA
PLA_E_TOO_MANY_FOLDERS
0x80300045
PLA_E_NO_MIN_DISK
0x80300070

Der Sammlungssatz oder eine der Abhängigkeiten wird bereits
verwendet.

Der Sammlungssatz konnte nicht gestartet werden, da zu viele
Ordner vorhanden sind.

Es ist nicht genügend freier Speicherplatz verfügbar, um den
Sammlungssatz zu starten.

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Konstante/Wert

Beschreibung

PLA_E_DCS_ALREADY_EXISTS

Der Sammlungssatz ist bereits vorhanden.

0x803000B7
PLA_S_PROPERTY_IGNORED

Der Eigenschaftswert wird ignoriert.

0x00300100
PLA_E_PROPERTY_CONFLICT

Konflikt beim Eigenschaftswert.

0x80300101
PLA_E_DCS_SINGLETON_REQUIRED
0x80300102
PLA_E_CREDENTIALS_REQUIRED
0x80300103
PLA_E_DCS_NOT_RUNNING

Die aktuelle Konfiguration für diesen Sammlungssatz erfordert, dass
er genau eine Sammlung enthält.

Es ist ein Benutzerkonto erforderlich, um die Eigenschaften des
aktuellen Sammlungssatzes zu übernehmen.

Der Sammlungssatz wird nicht ausgeführt.

0x80300104
PLA_E_CONFLICT_INCL_EXCL_API
0x80300105
PLA_E_NETWORK_EXE_NOT_VALID
0x80300106
PLA_E_EXE_ALREADY_CONFIGURED
0x80300107
PLA_E_EXE_PATH_NOT_VALID
0x80300108
PLA_E_DC_ALREADY_EXISTS

In der Liste der APIs zum Ein-/Ausschließen wurde ein Konflikt
erkannt. Sie dürfen in der Liste der einzuschließenden und in der
Liste der auszuschließenden APIs nicht die gleiche API angeben.
Der angegebene ausführbare Pfad bezieht sich auf eine
Netzwerkfreigabe oder einen UNC-Pfad.

Der angegebene Pfad zur ausführbaren Datei ist bereits für die APIAblaufverfolgung konfiguriert.

Der angegebene Pfad zur ausführbaren Datei ist nicht vorhanden.
Stellen Sie sicher, dass der angegebene Pfad richtig ist.

Der Datensammler ist bereits vorhanden.

0x80300109
PLA_E_DCS_START_WAIT_TIMEOUT
0x8030010A
PLA_E_DC_START_WAIT_TIMEOUT
0x8030010B
PLA_E_REPORT_WAIT_TIMEOUT
0x8030010C
PLA_E_NO_DUPLICATES
0x8030010D

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Zeitüberschreitung beim Warten auf die Startbenachrichtigung des
Datensammlersatzes.

Zeitüberschreitung beim Warten auf die Startbenachrichtigung des
Datensammlers.

Zeitüberschreitung beim Warten auf den Abschluss des
Berichtgenerierungstools.

Elementduplikate sind nicht zulässig.

Konstante/Wert

Beschreibung

PLA_E_EXE_FULL_PATH_REQUIRED
0x8030010E

Wenn Sie die ausführbare Datei angeben, die Sie verfolgen
möchten, müssen Sie einen vollständigen Pfad zu der ausführbaren
Datei und nicht nur einen Dateinamen angeben.

PLA_E_INVALID_SESSION_NAME

Der angegebene Sitzungsname ist ungültig.

0x8030010F
PLA_E_PLA_CHANNEL_NOT_ENABLED
0x80300110
PLA_E_TASKSCHED_CHANNEL_NOT_ENABLED
0x80300111
PLA_E_RULES_MANAGER_FAILED

Der Ereignisprotokollkanal Microsoft-Windows-Diagnosis-PLA/
Operational muss aktiviert sein, um diesen Vorgang auszuführen.

Der Ereignisprotokollkanal Microsoft-Windows-TaskScheduler muss
aktiviert sein, um diesen Vorgang auszuführen.

Fehler bei der Ausführung des Regelmanagers.

0x80300112
PLA_E_CABAPI_FAILURE

Fehler beim Komprimieren oder Extrahieren der Daten.

0x80300113
FVE_E_LOCKED_VOLUME
0x80310000

Dieses Laufwerk ist durch die BitLocker-Laufwerkverschlüsselung
gesperrt. Sie müssen das Laufwerk über die Systemsteuerung
entsperren.

FVE_E_NOT_ENCRYPTED

Das Laufwerk ist nicht verschlüsselt.

0x80310001
FVE_E_NO_TPM_BIOS
0x80310002
FVE_E_NO_MBR_METRIC
0x80310003
FVE_E_NO_BOOTSECTOR_METRIC
0x80310004

FVE_E_NO_BOOTMGR_METRIC
0x80310005

FVE_E_WRONG_BOOTMGR
0x80310006

FVE_E_SECURE_KEY_REQUIRED
0x80310007

Das BIOS hat nicht korrekt mit dem TPM kommuniziert.
Anweisungen zum Aktualisieren des BIOS erhalten Sie vom
Computerhersteller.
Das BIOS hat nicht korrekt mit dem Master Boot Record (MBR)
kommuniziert. Anweisungen zum Aktualisieren des BIOS erhalten
Sie vom Computerhersteller.
Eine erforderliche TPM-Messung fehlt. Befindet sich eine
startfähige CD oder DVD im Computer, entfernen Sie diese, starten
Sie den Computer neu, und aktivieren Sie BitLocker erneut. Falls
das Problem weiterhin besteht, stellen Sie sicher, dass der MBR
(Master Boot Record) aktuell ist.
Der Startsektor des Laufwerks ist nicht mit der BitLockerLaufwerkverschlüsselung kompatibel. Verwenden Sie das Tool
"Bootrec.exe" in der Windows-Wiederherstellungsumgebung, um
den Start-Manager (BOOTMGR) zu aktualisieren oder zu
reparieren.
Der Start-Manager des Betriebssystems ist nicht mit der BitLockerLaufwerkverschlüsselung kompatibel. Verwenden Sie das Tool
"Bootrec.exe" in der Windows-Wiederherstellungsumgebung, um
den Start-Manager (BOOTMGR) zu aktualisieren oder zu
reparieren.
Für die Ausführung des Vorgangs ist mindestens eine sichere
Schlüsselschutzvorrichtung erforderlich.

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Konstante/Wert

Beschreibung

FVE_E_NOT_ACTIVATED

Die BitLocker-Laufwerkverschlüsselung ist für dieses Laufwerk
nicht aktiviert. Aktivieren Sie BitLocker.

0x80310008
FVE_E_ACTION_NOT_ALLOWED
0x80310009

FVE_E_AD_SCHEMA_NOT_INSTALLED
0x8031000A

FVE_E_AD_INVALID_DATATYPE
0x8031000B

FVE_E_AD_INVALID_DATASIZE
0x8031000C

FVE_E_AD_NO_VALUES
0x8031000D
FVE_E_AD_ATTR_NOT_SET
0x8031000E
FVE_E_AD_GUID_NOT_FOUND
0x8031000F

FVE_E_BAD_INFORMATION
0x80310010
FVE_E_TOO_SMALL
0x80310011

FVE_E_SYSTEM_VOLUME
0x80310012

FVE_E_FAILED_WRONG_FS
0x80310013

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Die BitLocker-Laufwerkverschlüsselung konnte die angeforderte
Aktion nicht ausführen. Dieses Problem kann auftreten, wenn zwei
Anforderungen gleichzeitig gesendet werden. Warten Sie einen
Moment, und wiederholen Sie anschließend die Aktion.
Die Gesamtstruktur des Active Directory-Domänendienstes enthält
nicht die erforderlichen Attribute und Klassen zum Hosten der
BitLocker-Laufwerkverschlüsselung oder der TPM-Informationen.
Wenden Sie sich an den Domänenadministrator, um zu überprüfen,
ob die erforderlichen Active Directory-Schemaerweiterungen für
BitLocker installiert wurden.
Der Typ der Daten, die aus Active Directory abgerufen wurden,
wurde nicht erwartet. Die BitLockerWiederherstellungsinformationen fehlen möglicherweise oder sind
beschädigt.
Die Größe der Daten, die aus Active Directory abgerufen wurden,
wurde nicht erwartet. Die BitLockerWiederherstellungsinformationen fehlen möglicherweise oder sind
beschädigt.
Das aus Active Directory gelesene Attribut enthält keine Werte. Die
BitLocker-Wiederherstellungsinformationen fehlen möglicherweise
oder sind beschädigt.
Das Attribut wurde nicht festgelegt. Überprüfen Sie, ob Sie an
einem Domänenkonto angemeldet sind, mit dem Informationen in
Active Directory-Objekte geschrieben werden können.
Das angegebene Attribut wurde in Active DirectoryDomänendienste nicht gefunden. Wenden Sie sich an den
Domänenadministrator, um zu überprüfen, ob die erforderlichen
Active Directory-Schemaerweiterungen für BitLocker installiert
wurden.
Die BitLocker-Metadaten für das verschlüsselte Laufwerk sind
ungültig. Versuchen Sie, das Laufwerk zu reparieren, um wieder
Zugriff zu erhalten.
Das Laufwerk kann nicht verschlüsselt werden, da nicht genügend
freier Speicherplatz verfügbar ist. Löschen Sie alle nicht benötigten
Daten auf dem Laufwerk, um zusätzlichen Speicherplatz
freizugeben, und wiederholen Sie anschließend den Vorgang.
Das Laufwerk kann nicht verschlüsselt werden, da es Informationen
zum Systemstart enthält. Erstellen Sie eine gesonderte Partition, die
als Systemlaufwerk mit den Startinformationen verwendet wird,
und eine zweite Partition, die als Betriebssystem-Laufwerk
verwendet wird. Verschlüsseln Sie anschließend das
Betriebssystem-Laufwerk.
Das Laufwerk kann nicht verschlüsselt werden, da das Dateisystem
nicht unterstützt wird.

Konstante/Wert

Beschreibung

FVE_E_BAD_PARTITION_SIZE

Das Dateisystem ist größer als die Partitionsgröße in der
Partitionstabelle. Das Laufwerk ist möglicherweise beschädigt oder
wurde manipuliert. Für die Verwendung des Laufwerks mit
BitLocker muss die Partition neu formatiert werden.

0x80310014

FVE_E_NOT_SUPPORTED

Das Laufwerk kann nicht verschlüsselt werden.

0x80310015
FVE_E_BAD_DATA

Die Daten sind ungültig.

0x80310016
FVE_E_VOLUME_NOT_BOUND
0x80310017
FVE_E_TPM_NOT_OWNED
0x80310018
FVE_E_NOT_DATA_VOLUME
0x80310019
FVE_E_AD_INSUFFICIENT_BUFFER
0x8031001A
FVE_E_CONV_READ
0x8031001B
FVE_E_CONV_WRITE
0x8031001C
FVE_E_KEY_REQUIRED
0x8031001D
FVE_E_CLUSTERING_NOT_SUPPORTED
0x8031001E
FVE_E_VOLUME_BOUND_ALREADY
0x8031001F
FVE_E_OS_NOT_PROTECTED
0x80310020
FVE_E_PROTECTION_DISABLED
0x80310021

Das angegebene Datenlaufwerk ist nicht für die automatische
Entsperrung auf dem aktuellen Computer konfiguriert und kann
nicht automatisch entsperrt werden.
Sie müssen das TPM zuerst initialisieren, bevor Sie die BitLockerLaufwerkverschlüsselungs verwenden können.

Der gewünschte Vorgang kann auf einem Betriebssystem-Laufwerk
nicht ausgeführt werden.

Der Puffer, der an eine Funktion übergeben wurde, war zu klein, um
die zurückgegebenen Daten aufzunehmen. Erhöhen Sie die
Puffergröße vor der erneuten Ausführung der Funktion.
Ein Lesevorgang beim Konvertieren des Laufwerks war nicht
erfolgreich. Das Laufwerk wurde nicht konvertiert. Aktivieren Sie
BitLocker erneut.
Ein Schreibvorgang beim Konvertieren des Laufwerks war nicht
erfolgreich. Das Laufwerk wurde nicht konvertiert. Aktivieren Sie
BitLocker erneut.
Mindestens eine BitLocker-Schlüsselschutzvorrichtung ist
erforderlich. Der letzte Schlüssel auf dem Laufwerk kann nicht
gelöscht werden.
Clusterkonfigurationen werden von der BitLockerLaufwerkverschlüsselung nicht unterstützt.

Das angegebene Laufwerk ist bereits für die automatische
Entsperrung auf dem aktuellen Computer konfiguriert.

Das Laufwerk des Betriebssystems wird nicht durch BitLockerLaufwerkverschlüsselung geschützt.

Die BitLocker-Laufwerkverschlüsselung wurde für dieses Laufwerk
angehalten. Alle für das Laufwerk konfigurierten BitLockerSchlüsselschutzvorrichtungen werden effektiv deaktiviert, und das
Laufwerk wird automatisch mithilfe eines unverschlüsselten
Schlüssels entsperrt.

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Konstante/Wert

Beschreibung

FVE_E_RECOVERY_KEY_REQUIRED

Für das zu sperrende Laufwerk sind keine
Schlüsselschutzvorrichtungen für eine Verschlüsselung verfügbar,
da der BitLocker-Schutz derzeit angehalten ist. Aktivieren Sie
BitLocker wieder, um das Laufwerk zu sperren.

0x80310022

FVE_E_FOREIGN_VOLUME
0x80310023
FVE_E_OVERLAPPED_UPDATE
0x80310024
FVE_E_TPM_SRK_AUTH_NOT_ZERO
0x80310025
FVE_E_FAILED_SECTOR_SIZE
0x80310026
FVE_E_FAILED_AUTHENTICATION
0x80310027
FVE_E_NOT_OS_VOLUME
0x80310028
FVE_E_AUTOUNLOCK_ENABLED
0x80310029

FVE_E_WRONG_BOOTSECTOR
0x8031002A

FVE_E_WRONG_SYSTEM_FS
0x8031002B

FVE_E_POLICY_PASSWORD_REQUIRED
0x8031002C
FVE_E_CANNOT_SET_FVEK_ENCRYPTED
0x8031002D

FVE_E_CANNOT_ENCRYPT_NO_KEY
0x8031002E

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

BitLocker keine Datenlaufwerke mithilfe des TPM schützen. Der
TPM-Schutz kann nur mit dem Laufwerk des Betriebssystems
verwendet werden.
Die BitLocker-Metadaten für das verschlüsselte Laufwerk können
nicht aktualisiert werden, da sie für eine Aktualisierung durch einen
anderen Vorgang gesperrt waren. Wiederholen Sie den Vorgang.
Die Autorisierungsdaten für den Speicherstammschlüsselsatz (SRK)
des TPM sind nicht null und daher nicht mit BitLocker kompatibel.
Initialisieren Sie das TPM, bevor Sie es mit BitLocker verwenden.
Der Laufwerkverschlüsselungsalgorithmus kann für diese
Sektorgröße nicht verwendet werden.

Das Laufwerk kann mit dem bereitgestellten Schlüssel nicht
entsperrt werden. Überprüfen Sie, ob Sie den richtigen Schlüssel
bereitgestellt haben, und wiederholen Sie den Vorgang.
Das angegebene Laufwerk ist nicht das Laufwerk des
Betriebssystems.

Die BitLocker-Laufwerkverschlüsselung kann für das Laufwerk des
Betriebssystems erst deaktiviert werden, wenn das Feature für
automatisches Entsperren für die dem Computer zugeordneten
integrierten Datenlaufwerke und die Wechseldatenlaufwerke
deaktiviert wurde.
Der Startsektor der Systempartition führt keine TPM-Messungen
aus. Verwenden Sie das Tool "Bootrec.exe" in der WindowsWiederherstellungsumgebung, um den Startsektor zu aktualisieren
oder zu reparieren.
Betriebssystem-Laufwerke für BitLocker-Laufwerkverschlüsselung
müssen mit dem NTFS-Dateisystem formatiert werden, um eine
Verschlüsselung vorzunehmen. Konvertieren Sie das Laufwerk in
NTFS, und aktivieren Sie anschließend BitLocker.
Für die Gruppenrichtlinieneinstellungen muss vor dem Verschlüsseln
des Laufwerks ein Wiederherstellungskennwort angegeben werden.

Der Algorithmus und der Schlüssel für die Laufwerkverschlüsselung
können nicht für ein zuvor verschlüsseltes Laufwerk festgelegt
werden. Zum Verschlüsseln des Laufwerks mit der BitLockerLaufwerkverschlüsselung muss die vorherige Verschlüsselung
entfernt und anschließend BitLocker aktiviert werden.
Das angegebene Laufwerk kann mit der BitLockerLaufwerkverschlüsselung nicht verschlüsselt werden, da kein
Verschlüsselungsschlüssel verfügbar ist. Fügen Sie zum
Verschlüsseln des Laufwerks eine Schlüsselschutzvorrichtung
hinzu.

Konstante/Wert

Beschreibung

FVE_E_BOOTABLE_CDDVD

Im Computer wurde ein startbarer Datenträger (CD oder DVD)
erkannt. Entfernen Sie den Datenträger, und starten Sie den
Computer neu, bevor Sie BitLocker konfigurieren.

0x80310030
FVE_E_PROTECTOR_EXISTS
0x80310031
FVE_E_RELATIVE_PATH
0x80310032

FVE_E_PROTECTOR_NOT_FOUND
0x80310033
FVE_E_INVALID_KEY_FORMAT
0x80310034

FVE_E_INVALID_PASSWORD_FORMAT
0x80310035

FVE_E_FIPS_RNG_CHECK_FAILED

Die Schlüsselschutzvorrichtung kann nicht hinzugefügt werden. Für
das Laufwerk ist nur eine Schlüsselschutzvorrichtung dieses Typs
zulässig.
Die Datei für das Wiederherstellungskennwort wurde nicht
gefunden, da ein relativer Pfad angegeben wurde.
Wiederherstellungskennwörter müssen in einem vollqualifizierten
Pfad gespeichert werden. Im Pfad können für den Computer
konfigurierte Umgebungsvariablen verwendet werden.
Die angegebene Schlüsselschutzvorrichtung wurde auf dem
Laufwerk nicht gefunden. Verwenden Sie eine andere
Schlüsselschutzvorrichtung.
Der bereitgestellte Wiederherstellungsschlüssel ist beschädigt und
kann nicht für den Zugriff auf das Laufwerk verwendet werden. Zur
Wiederherstellung des Zugriffs muss eine alternative
Wiederherstellungsmethode, beispielsweise ein
Wiederherstellungskennwort, ein Datenwiederherstellungs-Agent
oder eine Sicherungsversion des Wiederherstellungsschlüssels
verwendet werde.
Das Format des Wiederherstellungskennworts ist ungültig.
BitLocker-Wiederherstellungskennwörter umfassen 48 Stellen.
Stellen Sie sicher, dass das Wiederherstellungskennwort das
korrekte Format aufweist, und wiederholen Sie den Vorgang.
Fehler bei der Prüfung des Zufallszahlen-Generators.

0x80310036
FVE_E_FIPS_PREVENTS_RECOVERY_PASSWORD
0x80310037

FVE_E_FIPS_PREVENTS_EXTERNAL_KEY_EXPORT
0x80310038

FVE_E_NOT_DECRYPTED
0x80310039
FVE_E_INVALID_PROTECTOR_TYPE
0x8031003A

Durch die Gruppenrichtlinieneinstellung, die FIPS-Kompatibilität
erfordert, wird die Generierung oder Verwendung eines lokalen
Wiederherstellungskennworts durch die BitLockerLaufwerkverschlüsselung verhindert. Bei der Ausführung im FIPSkompatiblen Modus stehen folgende BitLockerWiederherstellungsoptionen zur Verfügung: Ein auf einem USBLaufwerk gespeicherter Wiederherstellungsschlüssel oder eine
Wiederherstellung über einen Datenwiederherstellungs-Agent.
Durch die Gruppenrichtlinieneinstellung, für die FIPS-Kompatibilität
erforderlich ist, wird das Speichern des
Wiederherstellungskennworts in Active Directory verhindert. Bei der
Ausführung im FIPS-kompatiblen Modus stehen folgende
BitLocker-Wiederherstellungsoptionen zur Verfügung: Ein auf einem
USB-Laufwerk gespeicherter Wiederherstellungsschlüssel oder eine
Wiederherstellung über einen Datenwiederherstellungs-Agent.
Überprüfen Sie die Konfiguration der
Gruppenrichtlinieneinstellungen.
Das Laufwerk muss zum Ausführen dieses Vorgangs vollständig
entschlüsselt werden.

Die angegebene Schlüsselschutzvorrichtung kann nicht für den
Vorgang verwendet werden.

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Konstante/Wert

Beschreibung

FVE_E_NO_PROTECTORS_TO_TEST

Auf dem Laufwerk sind keine Schlüsselschutzvorrichtungen zum
Ausführen des Hardwaretests vorhanden.

0x8031003B
FVE_E_KEYFILE_NOT_FOUND
0x8031003C

FVE_E_KEYFILE_INVALID
0x8031003D

FVE_E_KEYFILE_NO_VMK
0x8031003E

FVE_E_TPM_DISABLED
0x8031003F
FVE_E_NOT_ALLOWED_IN_SAFE_MODE
0x80310040

FVE_E_TPM_INVALID_PCR
0x80310041

FVE_E_TPM_NO_VMK
0x80310042
FVE_E_PIN_INVALID
0x80310043
FVE_E_AUTH_INVALID_APPLICATION
0x80310044
FVE_E_AUTH_INVALID_CONFIG
0x80310045

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Der BitLocker-Startschlüssel oder das Wiederherstellungskennwort
wurde auf dem USB-Gerät nicht gefunden. Stellen Sie sicher, dass
Sie über das korrekte USB-Gerät verfügen und dass es am
Computer an einem aktiven USB-Anschluss angeschlossen ist.
Starten Sie den Computer neu, und wiederholen Sie den Vorgang.
Falls das Problem weiterhin besteht, fordern Sie vom
Computerhersteller Anweisungen zum Upgrade des BIOS an.
Der BitLocker-Startschlüssel oder die
Wiederherstellungskennwortdatei ist beschädigt oder ungültig.
Überprüfen Sie, ob Sie über den korrekten Startschlüssel oder die
Wiederherstellungskennwortdatei verfügen, und wiederholen Sie
den Vorgang.
Der BitLocker-Verschlüsselungsschlüssel konnte nicht aus dem
Startschlüssel oder dem Wiederherstellungskennwort abgerufen
werden. Überprüfen Sie, ob Sie über den korrekten Startschlüssel
oder die Wiederherstellungskennwortdatei verfügen, und
wiederholen Sie den Vorgang.
Das TPM ist deaktiviert. Das TPM muss aktiviert und initialisiert
werden und über einen gültigen Besitz verfügen, bevor es mit der
BitLocker-Laufwerkverschlüsselung verwendet werden kann.
Die BitLocker-Konfiguration des angegebenen Laufwerks kann nicht
verwaltet werden, da der Computer derzeit im abgesicherten
Modus betrieben wird. Im abgesicherten Modus kann die BitLockerLaufwerkverschlüsselung nur zur Wiederherstellung verwendet
werden.
Das Laufwerk konnte vom TPM nicht entsperrt werden, da die
Systemstartinformationen geändert wurden oder eine PIN nicht
korrekt angegeben wurde. Stellen Sie sicher, dass das Laufwerk
nicht manipuliert wurde und dass Änderungen an
Systemstartinformationen durch eine vertrauenswürdige Quelle
verursacht wurden. Nachdem überprüft wurde, ob ein sicherer
Zugriff auf das Laufwerk möglich ist, entsperren Sie das Laufwerk
mithilfe der BitLocker-Wiederherstellungskonsole. Halten Sie
BitLocker anschließend an, und setzen Sie die Funktion wieder fort,
um die Systemstartinformationen zu aktualisieren, die dem
Laufwerk von BitLocker zugeordnet werden.
Der BitLocker-Verschlüsselungsschlüssel konnte nicht aus dem
TPM abgerufen werden.

Der BitLocker-Verschlüsselungsschlüssel konnte nicht über das
TPM oder die PIN abgerufen werden.

Eine Startanwendung hat sich geändert, nachdem die BitLockerLaufwerkverschlüsselung aktiviert wurde.

Die Einstellungen für die Startkonfigurationsdaten wurden geändert,
nachdem die BitLocker-Laufwerkverschlüsselung aktiviert wurde.

Konstante/Wert

Beschreibung

FVE_E_FIPS_DISABLE_PROTECTION_NOT_ALLOWED

Die Verwendung von unverschlüsselten Schlüsseln ist gemäß der
Gruppenrichtlinieneinstellung, die FIPS-Kompatibilität erfordert,
untersagt. Dadurch wird das Anhalten von BitLocker auf dem
Laufwerk verhindert. Weitere Informationen erhalten Sie vom
Domänenadministrator.

0x80310046

FVE_E_FS_NOT_EXTENDED
0x80310047

FVE_E_FIRMWARE_TYPE_NOT_SUPPORTED
0x80310048
FVE_E_NO_LICENSE
0x80310049
FVE_E_NOT_ON_STACK
0x8031004A

FVE_E_FS_MOUNTED
0x8031004B
FVE_E_TOKEN_NOT_IMPERSONATED
0x8031004C
FVE_E_DRY_RUN_FAILED
0x8031004D

FVE_E_REBOOT_REQUIRED
0x8031004E
FVE_E_DEBUGGER_ENABLED
0x8031004F
FVE_E_RAW_ACCESS
0x80310050
FVE_E_RAW_BLOCKED
0x80310051
FVE_E_BCD_APPLICATIONS_PATH_INCORRECT
0x80310052

FVE_E_NOT_ALLOWED_IN_VERSION
0x80310053

Das Laufwerk kann von der BitLocker-Laufwerkverschlüsselung
nicht verschlüsselt werden, da sich das Dateisystem nicht bis zum
Ende des Laufwerks erstreckt. Partitionieren Sie das Laufwerk neu,
und wiederholen Sie den Vorgang.
Die BitLocker-Laufwerkverschlüsselung kann nicht auf dem
Laufwerk des Betriebssystems aktiviert werden. Anweisungen zum
Aktualisieren des BIOS erhalten Sie vom Computerhersteller.
Diese Windows-Version enthält keine BitLockerLaufwerkverschlüsselung. Aktualisieren Sie das Betriebssystem, um
die BitLocker-Laufwerkverschlüsselung zu verwenden.
Die BitLocker-Laufwerkverschlüsselung kann nicht verwendet
werden, da wichtige BitLocker-Systemdateien fehlen oder
beschädigt sind. Verwenden Sie die Windows-Starthilfe, um die
Dateien auf dem Computer wiederherzustellen.
Eine Sperrung des Laufwerks ist nicht möglich, solange es
verwendet wird.

Das mit dem aktuellen Thread verknüpfte Zugriffstoken ist kein
imitiertes Token.

Der BitLocker-Verschlüsselungsschlüssel kann nicht abgerufen
werden. Stellen Sie sicher, dass das TPM aktiviert ist und der Besitz
übernommen wurde. Besitzt der Computer kein TPM, überprüfen
Sie, ob das USB-Laufwerk angeschlossen und verfügbar ist.
Der Computer muss vor der Fortsetzung der BitLockerLaufwerkverschlüsselung neu gestartet werden.

Bei aktiviertem Startdebugging ist keine Laufwerkverschlüsselung
möglich. Verwenden Sie das Befehlszeilentool "bcdedit", um das
Startdebugging zu deaktivieren.
Es wurde keine Aktion durchgeführt, weil sich die BitLockerLaufwerkverschlüsselung im Rohzugriffsmodus befindet.

Die BitLocker-Laufwerkverschlüsselung kann den RAWZugriffsmodus für dieses Volume nicht aktivieren, da das Laufwerk
derzeit verwendet wird.
Der in den Startkonfigurationsdaten (BCD) für eine durch die
BitLocker-Laufwerkverschlüsselung integritätsgeschützte
Anwendung angegebene Pfad ist falsch. Überprüfen und korrigieren
Sie die BCD-Einstellungen, und wiederholen Sie den Vorgang.
Die BitLocker-Laufwerkverschlüsselung kann nur zu beschränkten
Bereitstellungs- oder Wiederherstellungszwecken verwendet

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Konstante/Wert

Beschreibung
werden, wenn der Computer in Vorinstallations- oder
Wiederherstellungsumgebungen ausgeführt wird.

FVE_E_NO_AUTOUNLOCK_MASTER_KEY
0x80310054
FVE_E_MOR_FAILED
0x80310055
FVE_E_HIDDEN_VOLUME

Der Hauptschlüssel für das automatische Aufheben der Sperre war
auf dem Laufwerk des Betriebssystems nicht verfügbar.

Fehler beim Aktivieren des Löschens des Systemspeichers beim
Neustart des Computers.

Das verborgene Laufwerk kann nicht verschlüsselt werden.

0x80310056
FVE_E_TRANSIENT_STATE
0x80310057
FVE_E_PUBKEY_NOT_ALLOWED
0x80310058
FVE_E_VOLUME_HANDLE_OPEN
0x80310059
FVE_E_NO_FEATURE_LICENSE
0x8031005A
FVE_E_INVALID_STARTUP_OPTIONS
0x8031005B
FVE_E_POLICY_RECOVERY_PASSWORD_NOT_ALLOWED
0x8031005C
FVE_E_POLICY_RECOVERY_PASSWORD_REQUIRED
0x8031005D
FVE_E_POLICY_RECOVERY_KEY_NOT_ALLOWED
0x8031005E
FVE_E_POLICY_RECOVERY_KEY_REQUIRED
0x8031005F
FVE_E_POLICY_STARTUP_PIN_NOT_ALLOWED
0x80310060
FVE_E_POLICY_STARTUP_PIN_REQUIRED
0x80310061

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

BitLocker-Verschlüsselungsschlüssel wurden ignoriert, da das
Laufwerk einen vorübergehenden Status aufwies.

Auf diesem Laufwerk sind keine Schutzvorrichtungen zulässig, die
auf dem öffentlichen Schlüssel basieren.

Auf diesem Laufwerk wird bereits ein BitLockerLaufwerkverschlüsselungsvorgang ausgeführt. Schließen Sie alle
Vorgänge ab, bevor Sie diesen Vorgang fortsetzen.
Die Version von Windows bietet keine Unterstützung für dieses
Feature der BitLocker-Laufwerkverschlüsselung. Aktualisieren Sie
das Betriebssystem, um das Feature zu verwenden.
Die Gruppenrichtlinieneinstellungen für BitLocker-Startoptionen
stehen in Konflikt und können nicht angewendet werden. Weitere
Informationen erhalten Sie von Ihrem Systemadministrator.
Die Gruppenrichtlinieneinstellungen lassen keine Erstellung eines
Wiederherstellungskennworts zu.

Die Gruppenrichtlinieneinstellungen erfordern das Erstellen eines
Wiederherstellungskennworts.

Die Gruppenrichtlinieneinstellungen lassen keine Erstellung eines
Wiederherstellungsschlüssels zu.

Die Gruppenrichtlinieneinstellungen erfordern das Erstellen eines
Wiederherstellungsschlüssels.

Die Gruppenrichtlinieneinstellungen lassen nicht die Verwendung
einer PIN beim Start zu. Wählen Sie eine andere BitLockerStartoption.
Die Gruppenrichtlinieneinstellungen erfordern die Verwendung einer
PIN beim Start. Wählen Sie diese BitLocker-Startoption.

Konstante/Wert

Beschreibung

FVE_E_POLICY_STARTUP_KEY_NOT_ALLOWED

Die Gruppenrichtlinieneinstellungen lassen nicht die Verwendung
eines Startschlüssels zu. Wählen Sie eine andere BitLockerStartoption.

0x80310062
FVE_E_POLICY_STARTUP_KEY_REQUIRED
0x80310063

Die Gruppenrichtlinieneinstellungen erfordern die Verwendung eines
Startschlüssels. Wählen Sie diese BitLocker-Startoption.

FVE_E_POLICY_STARTUP_PIN_KEY_NOT_ALLOWED0x8031006
4

Die Gruppenrichtlinieneinstellungen lassen keine Verwendung eines
Startschlüssels und einer PIN zu. Wählen Sie eine andere BitLockerStartoption.

FVE_E_POLICY_STARTUP_PIN_KEY_REQUIRED

Die Gruppenrichtlinieneinstellungen erfordern die Verwendung eines
Startschlüssels und einer PIN. Wählen Sie diese BitLockerStartoption.

0x80310065
FVE_E_POLICY_STARTUP_TPM_NOT_ALLOWED
0x80310066
FVE_E_POLICY_STARTUP_TPM_REQUIRED
0x80310067
FVE_E_POLICY_INVALID_PIN_LENGTH
0x80310068
FVE_E_KEY_PROTECTOR_NOT_SUPPORTED
0x80310069

FVE_E_POLICY_PASSPHRASE_NOT_ALLOWED
0x8031006A
FVE_E_POLICY_PASSPHRASE_REQUIRED
0x8031006B
FVE_E_FIPS_PREVENTS_PASSPHRASE
0x8031006C

FVE_E_OS_VOLUME_PASSPHRASE_NOT_ALLOWED
0x8031006D
FVE_E_INVALID_BITLOCKER_OID
0x8031006E
FVE_E_VOLUME_TOO_SMALL
0x8031006F
FVE_E_DV_NOT_SUPPORTED_ON_FS

Die Gruppenrichtlinie lässt die Verwendung eines ausschließlichen
TPM-Schutzes beim Start nicht zu. Wählen Sie eine andere
BitLocker-Startoption.
Die Gruppenrichtlinieneinstellungen erfordern die Verwendung eines
ausschließlichen TPM-Schutzes beim Start. Wählen Sie diese
BitLocker-Startoption.
Die bereitgestellte PIN erfüllt nicht die minimalen oder maximalen
PIN-Längenanforderungen.

Die Schlüsselschutzvorrichtung wird durch die derzeit auf dem
Laufwerk installierte Version der BitLockerLaufwerkverschlüsselung nicht unterstützt. Aktualisieren Sie das
Laufwerk, um die Schlüsselschutzvorrichtung hinzuzufügen.
Die Gruppenrichtlinieneinstellungen lassen keine Kennworterstellung
zu.

Die Gruppenrichtlinieneinstellungen erfordern die Erstellung eines
Kennworts.

Aufgrund einer Gruppenrichtlinieneinstellung, die eine FIPSKompatibilität erfordert, konnten keine Kennwörter generiert oder
verwendet werden. Weitere Informationen erhalten Sie vom
Domänenadministrator.
Dem Betriebssystem-Laufwerk kann kein Kennwort hinzugefügt
werden.

Die BitLocker-Objektkennung (OID) auf dem Laufwerk ist
offensichtlich ungültig oder beschädigt. Verwenden Sie "manageBDE", um die OID auf dem Laufwerk zurückzusetzen.
Das Laufwerk ist zu klein, um mit der BitLockerLaufwerkverschlüsselung geschützt zu werden.

Der ausgewählte Ermittlungslaufwerktyp ist nicht mit dem
Dateisystem auf dem Laufwerk kompatibel. BitLocker To Go-

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Konstante/Wert

Beschreibung

0x80310070

Ermittlungslaufwerke müssen auf mit FAT formatierten Laufwerken
erstellt werden.

FVE_E_DV_NOT_ALLOWED_BY_GP

Der ausgewählte Ermittlungslaufwerktyp ist laut
Gruppenrichtlinieneinstellungen des Computers nicht zulässig.
Stellen Sie sicher, dass gemäß den Gruppenrichtlinieneinstellungen
die Erstellung von Ermittlungslaufwerken für die Verwendung mit
BitLocker To Go möglich ist.

0x80310071

FVE_E_POLICY_USER_CERTIFICATE_NOT_ALLOWED
0x80310072
FVE_E_POLICY_USER_CERTIFICATE_REQUIRED
0x80310073
FVE_E_POLICY_USER_CERT_MUST_BE_HW
0x80310074

Gemäß Gruppenrichtlinieneinstellungen ist die Verwendung von
Benutzerzertifikaten, z. B. Smartcards, für die BitLockerLaufwerkverschlüsselung nicht zulässig.
Die Gruppenrichtlinieneinstellungen erfordern die Verwendung eines
gültigen Benutzerzertifikats, z. B. eine Smartcard, das mit der
BitLocker-Laufwerkverschlüsselung verwendet werden muss.
Die Gruppenrichtlinieneinstellungen erfordern die Verwendung einer
Smartcard-basierten Schlüsselschutzvorrichtung mit der BitLockerLaufwerkverschlüsselung.

FVE_E_POLICY_USER_CONFIGURE_FDV_AUTOUNLOCK_NOT_ Gemäß Gruppenrichtlinieneinstellungen ist keine automatische
ALLOWED
Entsperrung von durch BitLocker geschützten integrierten
Datenlaufwerken zulässig.
0x80310075
FVE_E_POLICY_USER_CONFIGURE_RDV_AUTOUNLOCK_NOT_ Gemäß Gruppenrichtlinieneinstellungen ist keine automatische
ALLOWED
Entsperrung von durch BitLocker geschützten
Wechseldatenlaufwerken zulässig.
0x80310076
FVE_E_POLICY_USER_CONFIGURE_RDV_NOT_ALLOWED
0x80310077
FVE_E_POLICY_USER_ENABLE_RDV_NOT_ALLOWED
0x80310078

FVE_E_POLICY_USER_DISABLE_RDV_NOT_ALLOWED
0x80310079

FVE_E_POLICY_INVALID_PASSPHRASE_LENGTH
0x80310080

FVE_E_POLICY_PASSPHRASE_TOO_SIMPLE
0x80310081
FVE_E_RECOVERY_PARTITION
0x80310082
FVE_E_POLICY_CONFLICT_FDV_RK_OFF_AUK_ON

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Gemäß Gruppenrichtlinieneinstellungen ist keine Konfiguration der
BitLocker-Laufwerkverschlüsselung auf Wechseldatenlaufwerken
zulässig.
Gemäß Gruppenrichtlinieneinstellungen ist keine Aktivierung der
BitLocker-Laufwerkverschlüsselung auf Wechseldatenlaufwerken
zulässig. Wenden Sie sich an den Systemadministrator, wenn Sie
BitLocker aktivieren möchten.
Gemäß Gruppenrichtlinieneinstellungen ist die Deaktivierung der
BitLocker-Laufwerkverschlüsselung auf Wechseldatenlaufwerken
nicht zulässig. Wenden Sie sich an den Systemadministrator, wenn
Sie BitLocker deaktivieren möchten.
Das Kennwort entspricht den Vorgaben für die
Mindestkennwortlänge. Standardmäßig müssen Kennwörter aus
mindestens acht Zeichen bestehen. Erkundigen Sie sich beim
Systemadministrator nach den in Ihrer Organisation geltenden
Vorgaben für die Kennwortlänge.
Das Kennwort erfüllt nicht die vom Systemadministrator
festgelegten Komplexitätsanforderungen. Fügen Sie Groß-/
Kleinbuchstaben, Zahlen und Symbole hinzu.
Das Laufwerk kann nicht verschlüsselt werden, da es für die
Windows-Systemwiederherstellungsoptionen reserviert ist.

Die BitLocker-Laufwerkverschlüsselung kann aufgrund von in
Konflikt stehenden Gruppenrichtlinieneinstellungen nicht für das

Konstante/Wert

Beschreibung

0x80310083

Laufwerk verwendet werden. BitLocker kann nicht für das
automatische Entsperren von integrierten Datenlaufwerken
konfiguriert werden, wenn die Optionen zur Wiederherstellung
durch den Benutzer deaktiviert sind. Sollen durch BitLocker
geschützte integrierte Datenlaufwerke nach einer
Schlüsselüberprüfung automatisch entsperrt werden, bitten Sie den
Systemadministrator, den Einstellungskonflikt vor dem Aktivieren
von BitLocker zu beheben.

FVE_E_POLICY_CONFLICT_RDV_RK_OFF_AUK_ON

Die BitLocker-Laufwerkverschlüsselung kann aufgrund von in
Konflikt stehenden Gruppenrichtlinieneinstellungen nicht für das
Laufwerk verwendet werden. BitLocker kann nicht für das
automatische Entsperren von Wechseldatenlaufwerken konfiguriert
werden, wenn die Option zur Wiederherstellung durch den Benutzer
deaktiviert ist. Sollen durch BitLocker geschützte
Wechseldatenlaufwerke nach einer Schlüsselüberprüfung
automatisch entsperrt werden, bitten Sie den Systemadministrator,
den Einstellungskonflikt vor dem Aktivieren von BitLocker zu
beheben

0x80310084

FVE_E_NON_BITLOCKER_OID
0x80310085

FVE_E_POLICY_PROHIBITS_SELFSIGNED
0x80310086

Aufgrund des Attributs für die erweiterte Schlüsselverwendung
(Enhanced Key Usage, EKU) des angegebenen Zertifikats kann
selbiges nicht für die BitLocker-Laufwerkverschlüsselung
verwendet werden. Zertifikate müssen für die Verwendung von
BitLocker nicht zwingend über ein EKU-Attribut verfügen, ist
jedoch eines konfiguriert, muss es auf einen Objektbezeichner (OID)
festgelegt sein, der mit dem für BitLocker konfigurierten OID
übereinstimmt.
Die BitLocker-Laufwerkverschlüsselung kann aufgrund von
Gruppenrichtlinieneinstellungen nicht für das Laufwerk in seiner
derzeitigen Konfiguration angewendet werden. Das für die
Laufwerkverschlüsselung angegebene Zertifikat ist selbstsigniert.
Gemäß den aktuellen Gruppenrichtlinieneinstellungen ist die
Verwendung von selbstsignierten Zertifikaten nicht zulässig. Rufen
Sie in der Zertifizierungsstelle ein neues Zertifikat ab, bevor Sie
BitLocker aktivieren.

FVE_E_POLICY_CONFLICT_RO_AND_STARTUP_KEY_REQUIRED Die BitLocker-Verschlüsselung kann aufgrund von in Konflikt
stehenden Gruppenrichtlinieneinstellungen nicht für das Laufwerk
0x80310087
verwendet werden. Wenn der Schreibzugriff auf nicht durch
BitLocker geschützte Laufwerke verweigert wird, kann die
Verwendung eines USB-Startschlüssels nicht als Bedingung
festgelegt werden. Bitten Sie den Systemadministrator, die
Richtlinienkonflikte vor dem Aktivieren von BitLocker zu beheben.
FVE_E_CONV_RECOVERY_FAILED
0x80310088

FVE_E_VIRTUALIZED_SPACE_TOO_BIG

Die BitLocker-Laufwerkverschlüsselung kann aufgrund in Konflikt
stehender Gruppenrichtlinieneinstellungen für
Wiederherstellungsoptionen auf Betriebssystem-Laufwerken nicht
für das Laufwerk verwendet werden. Das Speichern von
Wiederherstellungsinformationen in Active DirectoryDomänendienste kann nicht angefordert werden, wenn die
Generierung von Wiederherstellungskennwörtern nicht zulässig ist.
Bitten Sie den Systemadministrator, die Richtlinienkonflikte vor dem
Aktivieren von BitLocker zu beheben.
Die angeforderte Virtualisierungsgröße ist zu groß.

0x80310089
FVE_E_POLICY_CONFLICT_OSV_RP_OFF_ADB_ON
0x80310090

Die BitLocker-Laufwerkverschlüsselung kann aufgrund in Konflikt
stehender Gruppenrichtlinieneinstellungen für
Wiederherstellungsoptionen auf Betriebssystem-Laufwerken nicht

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Konstante/Wert

Beschreibung
für das Laufwerk verwendet werden. Das Speichern von
Wiederherstellungsinformationen in Active DirectoryDomänendienste kann nicht angefordert werden, wenn die
Generierung von Wiederherstellungskennwörtern nicht zulässig ist.
Bitten Sie den Systemadministrator, die Richtlinienkonflikte vor dem
Aktivieren von BitLocker zu beheben.

FVE_E_POLICY_CONFLICT_FDV_RP_OFF_ADB_ON
0x80310091

FVE_E_POLICY_CONFLICT_RDV_RP_OFF_ADB_ON
0x80310092

FVE_E_NON_BITLOCKER_KU
0x80310093

FVE_E_PRIVATEKEY_AUTH_FAILED
0x80310094

FVE_E_REMOVAL_OF_DRA_FAILED
0x80310095
FVE_E_OPERATION_NOT_SUPPORTED_ON_VISTA_VOLUME
0x80310096

FVE_E_CANT_LOCK_AUTOUNLOCK_ENABLED_VOLUME
0x80310097

FVE_E_FIPS_HASH_KDF_NOT_ALLOWED
0x80310098

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Die BitLocker-Laufwerkverschlüsselung kann aufgrund in Konflikt
stehender Gruppenrichtlinieneinstellungen für
Wiederherstellungsoptionen auf integrierten Datenlaufwerken nicht
für das Laufwerk verwendet werden. Das Speichern von
Wiederherstellungsinformationen in Active DirectoryDomänendienste kann nicht angefordert werden, wenn die
Generierung von Wiederherstellungskennwörtern nicht zulässig ist.
Bitten Sie den Systemadministrator, die Richtlinienkonflikte vor dem
Aktivieren von BitLocker zu beheben.
Die BitLocker-Laufwerkverschlüsselung kann aufgrund in Konflikt
stehender Gruppenrichtlinieneinstellungen für
Wiederherstellungsoptionen auf Wechseldatenlaufwerken nicht für
das Laufwerk verwendet werden. Das Speichern von
Wiederherstellungsinformationen in Active DirectoryDomänendienste kann nicht angefordert werden, wenn die
Generierung von Wiederherstellungskennwörtern nicht zulässig ist.
Bitten Sie den Systemadministrator, die Richtlinienkonflikte vor dem
Aktivieren von BitLocker zu beheben.
Aufgrund des Schlüsselverwendungsattributs (Key Usage, KU) des
angegebenen Zertifikats kann selbiges nicht für die BitLockerLaufwerkverschlüsselung verwendet werden. Zertifikate müssen für
die Verwendung von BitLocker nicht zwingend über ein KU-Attribut
verfügen, ist jedoch eines konfiguriert, muss es entweder auf
"Schlüsselverschlüsselung" oder auf "Schlüsselvereinbarung"
festgelegt sein.
Der private Schlüssel, der dem angegebenen Zertifikat zugeordnet
ist, kann nicht autorisiert werden. Die Autorisierung für den privaten
Schlüssel wurde entweder nicht bereitgestellt, oder die
bereitgestellte Autorisierung war ungültig.
Das Zertifikat des Datenwiederherstellungs-Agenten muss mit dem
Zertifikat-Snap-In entfernt werden.

Dieses Laufwerk wurde mit der Version der BitLockerLaufwerkverschlüsselung verschlüsselt, die in Windows Vista und
Windows Server 2008 enthalten ist. Diese Version unterstützt keine
organisatorischen Bezeichner. Aktualisieren Sie die
Laufwerkverschlüsselung mithilfe des Befehls „manage-bde upgrade“ auf die neueste Version, um organisatorische Bezeichner
für das Laufwerk anzugeben.
Das Laufwerk kann nicht gesperrt werden, da es auf diesem
Computer automatisch entsperrt wird. Entfernen Sie die
Schutzvorrichtung für das automatische Entsperren, um dieses
Laufwerk zu sperren.
Die standardmäßige BitLocker-Schlüsselableitungsfunktion
"SP800-56A" für ECC-Smartcards wird von der verwendeten
Smartcard nicht unterstützt. Aufgrund der
Gruppenrichtlinieneinstellung, durch die die FIPS-Kompatibilität
vorgeschrieben wird, kann von BitLocker keine andere

Konstante/Wert

Beschreibung
Ableitungsfunktion zur Verschlüsselung verwendet werden. In durch
FIPS eingeschränkten Umgebungen muss eine FIPS-kompatible
Smartcard verwendet werden.

FVE_E_ENH_PIN_INVALID
0x80310099

Der BitLocker-Verschlüsselungsschlüssel konnte nicht über das
TPM oder die erweiterte PIN abgerufen werden. Verwenden Sie
eine nur aus Zahlen bestehende PIN.

FVE_E_INVALID_PIN_CHARS

Die angeforderte PIN des TPM enthält ungültige Zeichen.

0x8031009A
FVE_E_INVALID_DATUM_TYPE
0x8031009B

FVE_E_EFI_ONLY

Die auf dem Laufwerk gespeicherten Verwaltungsinformationen
enthielten einen unbekannten Typ. Wenn Sie eine alte Version von
Windows verwenden, greifen Sie von der aktuellen Version aus auf
das Laufwerk zu.
Das Feature wird nur auf EFI-Systemen unterstützt.

0x8031009C
FVE_E_MULTIPLE_NKP_CERTS
0x8031009D
FVE_E_REMOVAL_OF_NKP_FAILED
0x8031009E
FVE_E_INVALID_NKP_CERT
0x8031009F
FVE_E_NO_EXISTING_PIN

Auf dem System wurde mehr als ein NetzwerkschlüsselSchutzvorrichtungszertifikat gefunden.

Das Netzwerkschlüssel-Schutzvorrichtungszertifikat muss mithilfe
des Zertifikate-Snap-Ins entfernt werden.

Im Netzwerkschlüssel-Schutzvorrichtungszertifikatspeicher wurde
ein ungültiges Zertifikat gefunden.

Dieses Laufwerk ist nicht mit einer PIN geschützt.

0x803100A0
FVE_E_PROTECTOR_CHANGE_PIN_MISMATCH

Geben Sie die korrekte aktuelle PIN ein.

0x803100A1
FVE_E_PROTECTOR_CHANGE_BY_STD_USER_DISALLOWED
0x803100A2
FVE_E_PROTECTOR_CHANGE_MAX_PIN_CHANGE_ATTEMPT
S_REACHED
0x803100A3
FVE_E_POLICY_PASSPHRASE_REQUIRES_ASCII
0x803100A4

Sie müssen mit einem Administratorkonto angemeldet sein, um die
PIN oder das Kennwort ändern zu können. Klicken Sie auf den Link,
um die PIN oder das Kennwort als Administrator zurückzusetzen.
BitLocker hat PIN- und Kennwortänderungen nach zu vielen
fehlgeschlagenen Anforderungen deaktiviert. Klicken Sie auf den
Link, um die PIN oder das Kennwort als Administrator
zurückzusetzen.
Der Systemadministrator hat festgelegt, dass Kennwörter nur
druckbare ASCII-Zeichen enthalten dürfen. Dies schließt
Buchstaben ohne Akzentzeichen (A-Z, a-z), Ziffern (0-9),
Leerzeichen, arithmetische Zeichen, allgemeine Zeichensetzung,
Trennzeichen und die folgenden Symbole ein: # $ & @ ^ _ ~.

FVE_E_FULL_ENCRYPTION_NOT_ALLOWED_ON_TP_STORAGE Die BitLocker-Laufwerkverschlüsselung unterstützt
Verschlüsselung, bei der nur verwendeter Speicherplatz
0x803100A5
verschlüsselt wird, nur für Speicher, der für schlanke
Speicherzuweisung geeignet ist.

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Konstante/Wert

Beschreibung

FVE_E_WIPE_NOT_ALLOWED_ON_TP_STORAGE

Das Löschen von freiem Speicher bei schlanker Speicherzuweisung
wird von der BitLocker-Laufwerkverschlüsselung nicht unterstützt.

0x803100A6
FVE_E_KEY_LENGTH_NOT_SUPPORTED_BY_EDRIVE
0x803100A7
FVE_E_NO_EXISTING_PASSPHRASE

Die erforderliche Länge des Authentifizierungsschlüssels wird vom
Laufwerk nicht unterstützt.

Dieses Laufwerk ist nicht mit einem Kennwort geschützt.

0x803100A8
FVE_E_PROTECTOR_CHANGE_PASSPHRASE_MISMATCH

Geben Sie das korrekte aktuelle Kennwort ein.

0x803100A9
FVE_E_PASSPHRASE_TOO_LONG

Das Kennwort darf maximal 256 Zeichen enthalten.

0x803100AA
FVE_E_NO_PASSPHRASE_WITH_TPM
0x803100AB
FVE_E_NO_TPM_WITH_PASSPHRASE
0x803100AC
FVE_E_NOT_ALLOWED_ON_CSV_STACK
0x803100AD
FVE_E_NOT_ALLOWED_ON_CLUSTER
0x803100AE
FVE_E_EDRIVE_NO_FAILOVER_TO_SW
0x803100AF
FVE_E_EDRIVE_BAND_IN_USE
0x803100B0
FVE_E_EDRIVE_DISALLOWED_BY_GP
0x803100B1
FVE_E_EDRIVE_INCOMPATIBLE_VOLUME
0x803100B2
FVE_E_NOT_ALLOWED_TO_UPGRADE_WHILE_CONVERTING
0x803100B3
FVE_E_EDRIVE_DV_NOT_SUPPORTED
0x803100B4

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Eine Kennwortschlüssel-Schutzvorrichtung kann nicht hinzugefügt
werden, da auf dem Laufwerk eine TPM-Schutzvorrichtung
vorhanden ist.
Eine TPM-Schlüsselschutzvorrichtung kann nicht hinzugefügt
werden, da auf dem Laufwerk eine Kennwortschutzvorrichtung
vorhanden ist.
Dieser Befehl kann nur über den Koordinatorknoten für das
angegebene CSV-Volume ausgeführt werden.

Dieser Befehl kann nicht für ein Volume ausgeführt werden, das Teil
eines Clusters ist.

BitLocker wurde aufgrund der Konfiguration der Gruppenrichtlinie
nicht auf die Verwendung der BitLocker-Softwareverschlüsselung
zurückgesetzt.
Das Laufwerk kann nicht von BitLocker verwaltet werden, da die
Hardwareverschlüsselungsfunktion des Laufwerks bereits
verwendet wird.
Laut Gruppenrichtlinieneinstellungen ist keine Verwendung von
hardwarebasierter Verschlüsselung zulässig.

Das angegebene Laufwerk unterstützt keine hardwarebasierte
Verschlüsselung.

BitLocker kann nicht während der Laufwerkverschlüsselung oder entschlüsselung aktualisiert werden.

Ermittlungsvolumes werden für Volumes, die
Hardwareverschlüsselung verwenden, nicht unterstützt.

Konstante/Wert

Beschreibung

FVE_E_NO_PREBOOT_KEYBOARD_DETECTED

Es wurde keine Pre-Boot-Tastatur gefunden. Der Benutzer kann
möglicherweise nicht die erforderlichen Angaben zum Entsperren
des Volumes machen.

0x803100B5
FVE_E_NO_PREBOOT_KEYBOARD_OR_WINRE_DETECTED
0x803100B6

Es wurde keine Pre-Boot-Tastatur oder WindowsWiederherstellungsumgebung gefunden. Der Benutzer kann
möglicherweise nicht die erforderlichen Angaben zum Entsperren
des Volumes machen.

FVE_E_POLICY_REQUIRES_STARTUP_PIN_ON_TOUCH_DEVICE Die Gruppenrichtlinieneinstellungen verlangen die Erstellung einer
Start-PIN, aber auf dem Gerät ist keine Pre-Boot-Tastatur
0x803100B7
verfügbar. Der Benutzer kann möglicherweise nicht die
erforderlichen Angaben zum Entsperren des Volumes machen.
FVE_E_POLICY_REQUIRES_RECOVERY_PASSWORD_ON_TOUC Die Gruppenrichtlinieneinstellungen verlangen die Erstellung eines
H_DEVICE
Wiederherstellungskennworts, aber auf dem Gerät ist weder eine
Pre-Boot-Tastatur noch die Windows-Wiederherstellungsumgebung
verfügbar. Der Benutzer kann möglicherweise nicht die
0x803100B8
erforderlichen Angaben zum Entsperren des Volumes machen.
FVE_E_WIPE_CANCEL_NOT_APPLICABLE

Derzeit wird kein freier Speicher gelöscht.

0x803100B9
FVE_E_SECUREBOOT_DISABLED
0x803100BA
FVE_E_SECUREBOOT_CONFIGURATION_INVALID
0x803100BB
FVE_E_EDRIVE_DRY_RUN_FAILED
0x803100BC
FVE_E_SHADOW_COPY_PRESENT
0x803100BD
FVE_E_POLICY_INVALID_ENHANCED_BCD_SETTINGS
0x803100BE

FVE_E_EDRIVE_INCOMPATIBLE_FIRMWARE

BitLocker kann für die Plattformintegrität kein sicheres Starten
verwenden, da diese Funktion deaktiviert wurde.

BitLocker kann für die Plattformintegrität kein sicheres Starten
verwenden, da die Konfiguration für sicheres Starten nicht den
Anforderungen für BitLocker entspricht.
Vom Computer wird keine hardwarebasierte BitLockerVerschlüsselung unterstützt. Erkundigen Sie sich beim Hersteller
des Computers nach Firmwareupdates.
BitLocker kann auf dem Volume nicht aktiviert werden, da es eine
Volumeschattenkopie enthält. Entfernen Sie alle
Volumenschattenkopien, bevor Sie das Volume verschlüsseln.
Die BitLocker-Laufwerkverschlüsselung kann nicht auf das
Laufwerk angewendet werden, da die Gruppenrichtlinieneinstellung
für die erweiterten Startkonfigurationsdaten ungültige Daten
enthält. Lassen Sie die ungültige Konfiguration vom
Systemadministrator entfernen, bevor Sie erneut versuchen,
BitLocker zu aktivieren.
Die Firmware des PCs unterstützt keine Hardwareverschlüsselung.

0x803100BF
FVE_E_PROTECTOR_CHANGE_MAX_PASSPHRASE_CHANGE_
ATTEMPTS_REACHED
0x803100C0
FVE_E_PASSPHRASE_PROTECTOR_CHANGE_BY_STD_USER_
DISALLOWED
0x803100C1

BitLocker hat Kennwortänderungen nach zu vielen
fehlgeschlagenen Anforderungen deaktiviert. Klicken Sie auf den
Link, um das Kennwort als Administrator zurückzusetzen.

Sie müssen mit einem Administratorkonto angemeldet sein, um das
Kennwort zu ändern. Klicken Sie auf den Link, um das Kennwort als
Administrator zurückzusetzen.

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Konstante/Wert

Beschreibung

FVE_E_LIVEID_ACCOUNT_SUSPENDED

Das Wiederherstellungskennwort kann von BitLocker nicht
gespeichert werden, da das angegebene Microsoft-Konto derzeit
angehalten ist.

0x803100C2
FVE_E_LIVEID_ACCOUNT_BLOCKED
0x803100C3
FVE_E_NOT_PROVISIONED_ON_ALL_VOLUMES
0x803100C4
FVE_E_DE_FIXED_DATA_NOT_SUPPORTED
0x803100C5
FVE_E_DE_HARDWARE_NOT_COMPLIANT
0x803100C6
FVE_E_DE_WINRE_NOT_CONFIGURED
0x803100C7
FVE_E_DE_PROTECTION_SUSPENDED
0x803100C8

FVE_E_DE_OS_VOLUME_NOT_PROTECTED
0x803100C9
FVE_E_DE_DEVICE_LOCKEDOUT
0x803100CA
FVE_E_DE_PROTECTION_NOT_YET_ENABLED
0x803100CB

FVE_E_INVALID_PIN_CHARS_DETAILED

Das Wiederherstellungskennwort kann von BitLocker nicht
gespeichert werden, da das angegebene Microsoft-Konto derzeit
blockiert ist.
Dieser Computer wurde nicht zur Unterstützung der
Geräteverschlüsselung bereitgestellt. Aktivieren Sie BitLocker auf
allen Volumes, um die Geräteverschlüsselungsrichtlinie zu erfüllen.
Dieser Computer kann die Geräteverschlüsselung nicht
unterstützen, da nicht vorhandene feste Datenvolumes vorhanden
sind.
Dieser Computer erfüllt nicht die Hardwareanforderungen zum
Unterstützen der Geräteverschlüsselung.

Dieser Computer kann die Geräteverschlüsselung nicht
unterstützen, da die Windows-Wiederherstellungsumgebung
(WinRE) nicht ordnungsgemäß konfiguriert ist.
Auf dem Volume ist der Schutz zwar aktiviert, aber angehalten.
Dies ist wahrscheinlich darauf zurückzuführen, dass ein Update auf
das System angewendet wurde. Wiederholen Sie den Vorgang nach
einem Neustart.
Dieser Computer wurde nicht zur Unterstützung der
Geräteverschlüsselung bereitgestellt.

Die Gerätesperre wurde aufgrund zu vieler ungültiger
Kennworteingaben ausgelöst.

Der Schutz wurde auf dem Volume nicht aktiviert. Zur Aktivierung
ist ein verbundenes Konto erforderlich. Wenn Sie bereits über ein
verbundenes Konto verfügen und dieser Fehler auftritt, finden Sie
im Ereignisprotokoll weitere Informationen.
Die PIN darf nur Zahlen von 0 bis 9 enthalten.

0x803100CC
FVE_E_DEVICE_LOCKOUT_COUNTER_UNAVAILABLE
0x803100CD
FVE_E_DEVICELOCKOUT_COUNTER_MISMATCH
0x803100CE
FVE_E_BUFFER_TOO_LARGE
0x803100CF

100

Dell Data Protection | Endpoint Security Suite
Fehlerbehebung

Der Schutz für Hardwarewiedergabe kann von BitLocker nicht
verwendet werden, da kein Indikator auf dem PC verfügbar ist.

Fehler bei der Statusüberprüfung der Gerätesperrung aufgrund von
nicht übereinstimmenden Indikatoren.

Der Eingabepuffer ist zu groß.

15
Glossar
Aktivieren – Eine Aktivierung erfolgt, wenn der Computer bei Dell Enterprise Server/VE registriert wurde und mindestens einen Satz mit
Richtlinien erhalten hat.
Active Directory (AD) – Ein Verzeichnisdienst von Microsoft für Windows-Domänennetzwerke.
Advanced Authentication – Das Produkt Advanced Authentication bietet Optionen für vollständig integrierte Fingerabdrücke, Smart Card
und kontaktlose Smart Card-Leser. Advanced Authentication vereinfacht die Verwaltung all dieser Hardware-Authentifizierungsmethoden,
unterstützt die Anmeldung bei selbstverschlüsselnden Laufwerken, SSO und verwaltet Benutzeranmeldeinformationen und Passwörter.
Darüber hinaus kann Advanced Authentication nicht nur für den Zugriff auf PCs verwendet werden, sondern auch für den Zugriff auf
beliebige Websites, SaaS oder Anwendungen. Nachdem der Benutzer seine Anmeldeinformationen eingetragen hat, ermöglicht Advanced
Authentication deren Verwendung für die Anmeldung am Gerät und die Ersetzung des Passworts.
Anwendungsdatenverschlüsselung – ADE (Application Data Encryption) verschlüsselt jede Datei, die von einer geschützten Anwendung
geschrieben wird, mit einer Aufhebung der Kategorie 2. Das bedeutet, dass jedes Verzeichnis mit einem Schutz der Kategorie 2 oder höher
oder jeder Ort, an dem bestimmte Erweiterungen mit Kategorie 2 oder höher geschützt sind, nicht durch ADE verschlüsselt werden.
BitLocker Manager – Windows BitLocker schützt Windows-Computer durch die Verschlüsselung von Daten- und Betriebssystemdateien.
Um die Sicherheit von BitLocker-Implementierungen zu erhöhen und Betriebskosten zu vereinfachen sowie zu verringern, bietet Dell eine
einzige, zentrale Management Console. Diese Console nimmt sich zahlreicher Sicherheitsbedenken an und bietet einen integrierten Ansatz
für die Verwaltung verschlüsselter Daten auf Plattformen, die nicht zu BitLocker gehören, seien sie physisch, virtuell oder cloudbasiert.
BitLocker Manager unterstützt BitLocker-Verschlüsselung für Betriebssysteme, Festplattenlaufwerke und BitLocker To Go. Mit BitLocker
Manager können Sie BitLocker nahtlos in Ihre bestehende Verschlüsselung integrieren und mit minimalem Verwaltungsaufwand sowohl die
Sicherheit als auch die Compliance optimieren. BitLocker Manager bietet eine integrierte Verwaltung für die Wiederherstellung von
Schlüsseln, Richtlinienverwaltung und -durchsetzung, automatisierte TPM-Verwaltung, FIPS-Compliance und Compliance Reporting.
Im Cache gespeicherte Anmeldedaten – Gespeicherte Anmeldedaten werden in die PBA-Datenbank aufgenommen, wenn ein Benutzer sich
mit Active Directory authentifiziert. Die Benutzerdaten werden gespeichert, damit die Anmeldung auch ohne Verbindung zu Active
Directory funktioniert (beispielsweise bei Verwendung des Laptops außerhalb der Geschäftszeiten).
Allgemeine Verschlüsselung – Der allgemeine Schlüssel macht verschlüsselte Dateien allen verwalteten Benutzern auf dem Gerät
zugänglich, auf dem sie erstellt wurden.
Deaktivieren – Die Deaktivierung erfolgt, wenn SED Management in der Remote-Verwaltungskonsole auf OFF gesetzt wird. Nach der
Deaktivierung des Computers wird die PBA -Datenbank gelöscht, und es gibt keine Aufzeichnung der im Cache gespeicherten Benutzer
mehr.
EMS (External Media Shield) - externe Medienabschirmung - Dieses Service innerhalb des Dell Encryption Client wendet Richtlinien auf
Wechseldatenträger und externe Speichergeräte an.
EMS-Zugriffscode - Dieses Service innerhalb des Dell Enterprise Server/VE ermöglicht die Wiederherstellung von EMS-geschützten
Geräten, wenn der Benutzer sein Kennwort vergessen hat und sich nicht mehr anmelden kann. Nach Abschluss dieses Vorgangs kann der
Benutzer das auf dem Wechseldatenträger oder einem externen Speichergerät festgelegte Kennwort zurücksetzen.
Encryption-Client – Der Encryption-Client ist die geräteinterne Komponente, die Sicherheitsrichtlinien durchsetzt, egal ob ein Endpunkt mit
dem Netzwerk verbunden oder vom Netzwerk getrennt ist, verloren gegangen ist oder gestohlen wurde. Der Encryption-Client erzeugt
eine vertrauenswürdige Computerumgebung für Endpunkte, indem er als Layer über dem Betriebssystem des Geräts fungiert und
Authentifizierung, Verschlüsselung und Autorisierung lückenlos anwendet, um den Schutz vertraulicher Informationen zu maximieren.
Endpunkt – ein Computer oder eine mobile Hardwarekomponente, der/die von Dell Enterprise Server/VE verwaltet wird.

Dell Data Protection | Endpoint Security Suite
Glossar

101

Encryption Keys – In den meisten Fällen verwendet der Encryption-Client den Benutzerschlüssel plus zwei weitere
Verschlüsselungsschlüssel. Es gibt allerdings auch Ausnahmen: Alle SDE-Richtlinien und die Richtlinie „Windows-Anmeldeinformationen
schützen“ verwenden den SDE-Schlüssel. Die Richtlinien „Windows-Auslagerungsdatei verschlüsseln“ und „Sichere WindowsRuhezustand-Datei“ verwenden einen eigenen Schlüssel, den General Purpose Key (GPK). Der „allgemeine“ Schlüssel macht Dateien allen
verwalteten Benutzern auf dem Gerät zugänglich, auf dem sie erstellt wurden. Der „Benutzer“-Schlüssel macht Dateien nur dem Benutzer
zugänglich, der sie erstellt hat, und zwar nur auf dem Gerät, auf dem sie erstellt wurden. Der „Benutzer-Roaming“-Schlüssel macht Dateien
nur dem Benutzer zugänglich, der sie erstellt hat, und zwar auf jedem mit Shield geschützten Windows- oder Mac-Gerät.
Verschlüsselungssuche – Bei einer Verschlüsselungssuche werden die zu verschlüsselnden Ordner auf einem mit einem Shield verwalteten
Endpunkt durchsucht, um sicherzustellen, dass die enthaltenen Dateien den richtigen Verschlüsselungsstatus haben. Einfache Operationen
zur Erstellung und Umbenennung von Dateien lösen keine Verschlüsselungssuche aus. Es ist wichtig zu verstehen, wann eine
Verschlüsselungssuche stattfindet und wodurch die Dauer der Suche beeinflusst wird: Eine Verschlüsselungssuche erfolgt sofort nach
Eingang einer Richtlinie mit aktivierter Verschlüsselung. Das kann unmittelbar nach der Aktivierung sein, wenn für Ihre Richtlinie die
Verschlüsselung aktiviert ist. - Wenn die Richtlinie „Workstation bei Anmeldung durchsuchen“ aktiviert ist, werden die zur Verschlüsselung
angegebenen Ordner bei jeder Benutzeranmeldung durchsucht. - Eine Suche kann unter bestimmten nachfolgenden Richtlinienänderungen
erneut ausgelöst werden. Jeder Richtlinienänderung, die sich auf die Definition der Verschlüsselungsordner, der
Verschlüsselungsalgorithmen oder der Verwendung der Verschlüsselungsschlüssel („Allgemein“ vs. „Benutzer“) bezieht, löst eine Suche
aus. Auch beim Umschalten zwischen aktivierter und deaktivierter Verschlüsselung wird eine Verschlüsselungssuche ausgelöst.
Malware Protection (Vollständige Virenüberprüfung) – Malware Protection Full Scan durchsucht die folgenden Speicherorte auf
Bedrohungen:
•
•
•

Das Computerspeicher auf installierte Rootkits.
Verborgene Prozesse und anderes Verhalten, das darauf hindeutet, dass eine Malware sich zu verbergen versucht.
Den Speicher aller laufenden Prozesse, alle Festplatten und deren Unterordner auf dem Computer.

Malware Protection (Schnelle Virenüberprüfung) – Malware Protection Quick Scan durchsucht die folgenden Speicherorte auf
Bedrohungen:
•
•
•
•

Den Speicher aller laufenden Prozesse.
Dateien, auf die von der Windows-Registrierungsdatei verwiesen wird
Den Inhalt des Windows-Ordners.
Den Inhalt des Temp-Ordners.

On-Access-Malware-Schutz - Wenn ein Benutzer auf Dateien, Ordner und Programme zugreift, wird die Operation vom zugriffsbasierten
Scanner abgefangen und das Element gescannt.
Einmalpasswort (OTP) – Ein Einmalpasswort ist ein Passwort mit begrenzter Gültigkeit, das nur einmal verwendet werden kann. Für die
OTP-Funktion muss ein TPM vorhanden, aktiviert und zugewiesen sein. Für die Aktivierung der OTP-Funktion muss ein Mobilgerät mit dem
Computer über die Security Console und die Security Tools Mobile-App gekoppelt werden. Die Security Tools | Mobile-App generiert das
Passwort auf dem Mobilgerät, mit dem die Anmeldung auf dem Computer über den Windows-Anmeldebildschirm erfolgt. Je nach Richtlinie
kann die OTP-Funktion verwendet werden, um den Zugriff auf den Computer wiederherzustellen, falls das Passwort abgelaufen ist oder
vergessen wurde, vorausgesetzt, das OTP wurde nicht bereits für die Anmeldung am Computer verwendet. Die OTP-Funktion kann zur
Authentifizierung oder zur Wiederherstellung verwendet werden, aber nicht für beides. OTP ist sicherer als einige andere
Authentifizierungsmethoden, weil das generierte Passwort nur einmal verwendet werden kann und nach kurzer Zeit abläuft.
Preboot-Authentifizierung (PBA) – Die Preboot-Authentifizierung dient als Erweiterung des BIOS oder der Systemstart-Firmware und
schafft eine sichere, manipulationsgeschützte Umgebung außerhalb des Betriebssystems als vertrauenswürdige Authentifizierungsebene.
Die PBA unterbindet den Zugriff auf die Festplatte und somit auch auf das Betriebssystem, bis der Benutzer die richtigen
Anmeldeinformationen eingibt.
SED Management – SED Management ist eine Plattform für die sichere Verwaltung selbstverschlüsselnder Laufwerke.
Selbstverschlüsselnde Laufwerke haben zwar eine eigene Verschlüsselungsfunktion, ihnen fehlt aber eine Plattform für die Verwaltung ihrer
Verschlüsselung mit den verfügbaren Richtlinien. SED Management ist eine zentrale, skalierbare Verwaltungskomponente, mit der Sie
Daten wirksamer schützen. SED Management beschleunigt und vereinfacht die Administration von Unternehmensdaten.
System Data Encryption (SDE) – Mit SDE werden das Betriebssystem und die Programmdateien verschlüsselt. Dazu muss SDE in der Lage
sein, den Schlüssel beim Start des Betriebssystems zu öffnen. SDE dient zum Schutz des Betriebssystems vor unbefugten Änderungen

102

Dell Data Protection | Endpoint Security Suite
Glossar

oder Offline-Angriffen SDE is not intended for user data. Zum Schutz vertraulicher Benutzerdaten empfiehlt sich die allgemeine
Verschlüsselung oder die Benutzerverschlüsselung, bei denen zum Entsperren der Verschlüsselungsschlüssel ein Benutzerpasswort
erforderlich ist. SDE-Richtlinien verschlüsseln keine Dateien, die das Betriebssystem zum Start des Boot-Vorgangs benötigt. SDERichtlinien erfordern keine Authentifizierung vor dem Neustart und haben auch keinerlei Auswirkungen auf den Master Boot Record. Beim
Computerstart stehen die verschlüsselten Dateien lange vor der Anmeldung eines Benutzers zur Verfügung (damit Patchmanagement,
SMS, Sicherungs- und Wiederherstellungstools funktionieren). Durch die Deaktivierung der SDE-Verschlüsselung werden alle relevanten
Dateien und Verzeichnisse mit SDE-Verschlüsselung automatisch entschlüsselt, unabhängig von anderen SDE-Richtlinien wie beispielsweise
SDE-Verschlüsselungsregeln.
Threat Protection – Threat Protection basiert auf zentral verwalteten Richtlinien, mit deren Hilfe Unternehmenscomputer vor
Sicherheitsbedrohungen geschützt werden. Threat Protection besteht aus: - Malware-Schutz – Sucht nach Viren, Spyware,
unerwünschten Programmen und anderen Bedrohungen, indem Objekte automatisch überprüft werden, wenn Sie darauf zugreifen, bzw.
immer dann, wenn eine solche Überprüfung in den Richtlinien geplant wurde. - Client-Firewall – Überwacht die Datenübertragung zwischen
Computer und Ressourcen im Netzwerk und im Internet und fängt potenziell verdächtige Datenübertragungen ab. - Web-Schutz –
Blockiert basierend auf den Sicherheitsbewertungen und Berichten für Websites unsichere Websites und Downloads von diesen Websites,
während online navigiert wird und Suchvorgänge ausgeführt werden.
Trusted Platform Module (TPM) – Das TPM ist ein Sicherheits-Chip mit drei Hauptfunktionen: sicherer Speicher, Messung und
Bestätigung. Beim Encryption-Client wird das TPM für den sicheren Speicher genutzt. Das TPM kann auch verschlüsselte Container für
den Software Vault bereitstellen. Zur Nutzung von BitLocker Manager und der Einmalpasswort-Funktion ist das TPM ebenfalls erforderlich.
Benutzerverschlüsselung – Der Benutzerschlüssel macht Dateien nur dem Benutzer zugänglich, der sie erstellt hat, und zwar nur auf dem
Gerät, auf dem sie erstellt wurden. Bei Ausführung von Dell Server Encryption wird die Benutzerverschlüsselung in eine allgemeine
Verschlüsselung konvertiert. Für externe Datenträger wird eine Ausnahme gemacht; Dateien werden bei Einsetzen in einen Server mit
installiertem Encryption mit dem Benutzer-Roaming-Schlüssel verschlüsselt.

Dell Data Protection | Endpoint Security Suite
Glossar

103

Source Exif Data:

File Type                       : PDF
File Type Extension             : pdf
MIME Type                       : application/pdf
PDF Version                     : 1.6
Linearized                      : No
Page Count                      : 103
Page Mode                       : UseOutlines
Tagged PDF                      : Yes
Language                        : DE
Author                          : Dell Inc.
Create Date                     : 2017:06:09 17:42:07+00:00
Modify Date                     : 2017:06:12 18:01:12-05:00
Creator                         : AH XSL Formatter V6.3 MR3 for Windows (x64) : 6.3.4.25128 (2016/07/01 17:39JST)
Producer                        : Antenna House PDF Output Library 6.3.815 (Windows (x64)); modified using iTextSharp 5.1.3 (c) 1T3XT BVBA
Keywords                        : Verschlüsselung#, Verschlüsselungssoftware#, Verschlüsselung#, Verschlüsselungsschlüssel#, Verschlüsselungswerkzeuge#, Entschlüsselung#, Authentifizierung#, Anmeldeinformationen, zur, Authentifizierung#, Verwaltung, des, Authentifizierungsschlüssels#, Authentifizierungssoftware#, Authentifizierungstypen#, Authentifizierungsverwaltung#, Selbstverschlüsselndes, Laufwerk#, Verwaltung, des, selbstverschlüsselnden, Laufwerks#, Sicherheit, des, selbstverschlüsselnden, Laufwerks#, Verwaltungssoftware, des, selbstverschlüsselnden, Laufwerks#, Selbstverschlüsselndes, Laufwerk, Opal#, Authentifizierung, des, selbstverschlüsselnden, Laufwerks, vor, dem, Hochfahren#, Selbstverschlüsselndes, Festplattenlaufwerk#, Selbstverschlüsselnde, Festplatte#, Verwaltung, des, selbstverschlüsselnden, Festplattenlaufwerks#, Verwaltung, der, selbstverschlüsselnden, Festplatte#, SED#, SED-Verwaltung#, SED-Sicherheit#, SED-Verwaltungssoftware#, SED, Opal#, SED-Authentifizierung, vor, dem, Hochfahren#, Authentifizierung, vor, dem, Hochfahren#, Bedrohungsschutz#, Bedrohungsschutzsystem#, Bedrohungsschutzsoftware#, Bedrohungsschutzendpunkt#, Bedrohungsschutzfirewall#, Bedrohungsverwaltung#, Bedrohungsschutz, installieren#, Bedrohungsschutz, aktualisieren#, Bedrohungsschutzereignisse#, Bedrohungsschutztechnologie#esuprt_software#esuprt_endpoint_security_soln#Dell, Data, Protection, |, Endpoint, Security, Suite#dell-dp-endpt-security-suite#Administratorhandbuch 6
Title                           : Endpoint Security Suite Advanced Installation Guide
Trapped                         : False
Subject                         : Administratorhandbuch 6
Productcode                     : dell-dp-endpt-security-suite
Typecode                        : ag6
Typedescription                 : Administratorhandbuch 6
Languagecodes                   : de-de
Sectioncode                     : 
Sectiondescription              : 
Publishdate                     : 2017-06-12 00:00:00
Expirydate                      : 9999-09-09 00:00:00
Manualurl                       : http://downloads.dell.com/Manuals/all-products/esuprt_software/esuprt_endpoint_security_soln/dell-dp-endpt-security-suite_Administrator%20Guide6_de-de.pdf
Readytocopy                     : false
Futureproductindication         : No
Categorypathforfutureproducts   : 
Businesskeywords                : Verschlüsselung# Verschlüsselungssoftware# Verschlüsselung# Verschlüsselungsschlüssel# Verschlüsselungswerkzeuge# Entschlüsselung# Authentifizierung# Anmeldeinformationen zur Authentifizierung# Verwaltung des Authentifizierungsschlüssels# Authentifizierungssoftware# Authentifizierungstypen# Authentifizierungsverwaltung# Selbstverschlüsselndes Laufwerk# Verwaltung des selbstverschlüsselnden Laufwerks# Sicherheit des selbstverschlüsselnden Laufwerks# Verwaltungssoftware des selbstverschlüsselnden Laufwerks# Selbstverschlüsselndes Laufwerk Opal# Authentifizierung des selbstverschlüsselnden Laufwerks vor dem Hochfahren# Selbstverschlüsselndes Festplattenlaufwerk# Selbstverschlüsselnde Festplatte# Verwaltung des selbstverschlüsselnden Festplattenlaufwerks# Verwaltung der selbstverschlüsselnden Festplatte# SED# SED-Verwaltung# SED-Sicherheit# SED-Verwaltungssoftware# SED Opal# SED-Authentifizierung vor dem Hochfahren# Authentifizierung vor dem Hochfahren# Bedrohungsschutz# Bedrohungsschutzsystem# Bedrohungsschutzsoftware# Bedrohungsschutzendpunkt# Bedrohungsschutzfirewall# Bedrohungsverwaltung# Bedrohungsschutz installieren# Bedrohungsschutz aktualisieren# Bedrohungsschutzereignisse# Bedrohungsschutztechnologie
Filesize                        : 2155
Isrestricted                    : False
Productpath                     : 
Creationdate                    : D:20170609174207+00'00'
Moddate                         : D:20170612142408-05'00'

EXIF Metadata provided by EXIF.tools

Dell Dp Endpt Security Suite Endpoint Advanced Installation Guide User Manual Weitere Dokumente Administrator Guide6 De

Navigation menu

Versions of this User Manual:

Views

Navigation