Dell Dp Endpt Security Suite Endpoint Advanced Installation Guide User Manual Weitere Dokumente Administrator Guide6 De

User Manual: Dell dell-dp-endpt-security-suite Weitere Dokumente - Endpoint Security Suite Advanced Installation Guide

Open the PDF directly: View PDF PDF.
Page Count: 103 [warning: Documents this large are best viewed by clicking the View PDF Link!]

Dell Data Protection | Endpoint Security Suite
Erweitertes Installationshandbuch Version v1.7
Anmerkungen, Vorsichtshinweise und Warnungen
ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen
können.
VORSICHT: Ein VORSICHTSHINWEIS macht darauf aufmerksam, dass bei Nichtbefolgung von Anweisungen eine Beschädigung
der Hardware oder ein Verlust von Daten droht, und zeigt auf, wie derartige Probleme vermieden werden können.
WARNUNG: Durch eine WARNUNG werden Sie auf Gefahrenquellen hingewiesen, die materielle Schäden, Verletzungen oder
sogar den Tod von Personen zur Folge haben können.
© 2017 Dell Inc. Alle Rechte vorbehalten.Dell, EMC und andere Marken sind Marken von Dell Inc. oder deren Tochtergesellschaften. Andere
Marken können Marken ihrer jeweiligen Inhaber sein.
Eingetragene Marken und in der Dell Data Protection Encryption, Endpoint Security Suite, Endpoint Security Suite Enterprise und Dell Data
Guardian Suite von Dokumenten verwendete Marken: DellTM und das Logo von Dell, Dell PrecisionTM, OptiPlexTM, ControlVaultTM,
LatitudeTM, XPS® und KACETM und Marken von Dell Inc. Cylance®, CylancePROTECT und das Cylance Logo sind eingetragene Marken
von Cylance, Inc. in den USA. und anderen Ländern. McAfee® und das McAfee-Logo sind Marken oder eingetragene Marken von McAfee,
Inc. in den USA und anderen Ländern. Intel®, Pentium®, Intel Core Inside Duo®, Itanium®, und Xeon® sind eingetragene Marken der Intel
Corporation in den USA und anderen Ländern. Adobe®, Acrobat® und Flash® sind eingetragene Marken von Adobe Systems
Incorporated. Authen Tec® und Eikon® sind eingetragene Marken von Authen Tec. AMD® ist eine eingetragene Marke von Advanced
Micro Devices, Inc. Microsoft®, Windows® und Windows Server®, Internet Explorer®, MS-DOS®, Windows Vista®, MSN®, ActiveX®,
Active Directory®, Access®, ActiveSync®, BitLocker®, BitLocker To Go®, Excel®, Hyper-V®, Silverlight®, Outlook®, PowerPoint®,
OneDrive®, SQL Server®, und Visual C++® sind entweder Marken oder eingetragene Marken von Microsoft Corporation in den USA und/
oder anderen Ländern. VMware® ist eine eingetragene Marke oder eine Marke von VMware, Inc. in den USA oder anderen Ländern. Box®
ist eine eingetragene Marke von Box. DropboxSM ist eine Dienstleistungsmarke von Dropbox, Inc. GoogleTM, AndroidTM, GoogleTM
ChromeTM, GmailTM, YouTube® und GoogleTM Play sind entweder Marken oder eingetragene Marken von Google Inc. in den Vereinigten
Staaten oder anderen Ländern. Apple®, Aperture®, App StoreSM, Apple Remote DesktopTM, Apple TV®, Boot CampTM, FileVaultTM,
iCloud®SM, iPad®, iPhone®, iPhoto®, iTunes Music Store®, Macintosh®, Safari® und Siri® sind entweder Dienstleistungsmarken,
Marken oder eingetragene Marken von Apple, Inc. in den Vereinigten Staaten oder anderen Ländern. GO ID®, RSA® und SecurID® sind
eingetragene Marken von Dell EMC. EnCaseTM™ und Guidance Software® sind entweder Marken oder eingetragene Marken von
Guidance Software. Entrust® ist eine eingetragene Marke von Entrust®, Inc. in den USA und anderen Ländern. InstallShield® ist eine
eingetragene Marke von Flexera Software in den USA, China, der EU, Hong Kong, Japan, Taiwan und Großbritannien. Micron® und
RealSSD® sind eingetragene Marken von Micron Technology, Inc. in den USA und anderen Ländern. Mozilla® Firefox® ist eine
eingetragene Marke von Mozilla Foundateion in den USA und/oder anderen Ländern. iOS® ist eine Marke oder eingetragene Marke von
Cisco Systems, Inc. in den USA und bestimmten anderen Ländern und wird in Lizenz verwendet. Oracle® und Java® sind eingetragene
Marken von Oracle und/oder seinen Tochtergesellschaften. Andere Namen können Marken ihrer jeweiligen Inhaber sein. SAMSUNGTM™
ist eine Marke von SAMSUNG in den USA oder anderen Ländern. Seagate® ist eine eingetragene Marke von Seagate Technology LLC in
den USA und/oder anderen Ländern. Travelstar® ist eine eingetragene Marke von HGST, Inc. in den USA und anderen Ländern. UNIX® ist
eine eingetragene Marke von The Open Group. VALIDITYTM™ ist eine Marke von Validity Sensors, Inc. in den USA und anderen Ländern.
VeriSign® und andere zugehörige Marken sind Marken oder eingetragene Marken von VeriSign, Inc. oder seinen Tochtergesellschaften und
verbundenen Unternehmen in den USA und anderen Ländern und werden von der Symantec Corporation in Lizenz verwendet. KVM on
IP® ist eine eingetragene Marke von Video Products. Yahoo!® ist eine eingetragene Marke von Yahoo! Inc. Dieses Produkt verwendet Teile
des Programms 7-Zip. Der Quellcode ist unter 7-zip.org verfügbar. Die Lizenzierung erfolgt gemäß der GNU LGPL-Lizenz und den unRAR-
Beschränkungen (7-zip.org/license.txt).
Endpoint Security Suite – Erweitertes Installationshandbuch
2017 - 04
Rev. A01
Inhaltsverzeichnis
1 Einleitung....................................................................................................................................................... 6
Vor der Installation............................................................................................................................................................. 6
Verwendung des Handbuchs............................................................................................................................................6
Kontaktaufnahme mit dem Dell ProSupport................................................................................................................... 7
2 Anforderungen...............................................................................................................................................8
Alle Clients...........................................................................................................................................................................8
Alle Clients - Voraussetzungen...................................................................................................................................8
Alle Clients - Hardware................................................................................................................................................ 9
Alle Clients - Sprachunterstützung............................................................................................................................9
Encryption-Client............................................................................................................................................................... 9
Encryption-Client-Anforderungen............................................................................................................................ 10
Encryption-Client-Hardware..................................................................................................................................... 10
Encryption-Client-Betriebssysteme......................................................................................................................... 10
Externes Medien-Shield (EMS)-Betriebssysteme.................................................................................................. 11
Threat Protection-Client...................................................................................................................................................11
Threat Protection-Client-Betriebssysteme.............................................................................................................. 11
Threat Protection-Client-Ports................................................................................................................................. 12
SED-Client......................................................................................................................................................................... 12
OPAL-Treiber................................................................................................................................................................13
SED-Client-Anforderungen........................................................................................................................................13
SED-Client-Hardware.................................................................................................................................................13
SED-Client-Betriebssysteme.....................................................................................................................................14
Advanced Authentication-Client.....................................................................................................................................15
Advanced Authentication-Client-Hardware............................................................................................................ 15
Advanced Authentication Client - Betriebssysteme...............................................................................................16
BitLocker Manager-Client................................................................................................................................................16
Voraussetzungen für den BitLocker Manager-Client.............................................................................................17
BitLocker Manager Client-Betriebssysteme............................................................................................................17
Authentizierungsoptionen..............................................................................................................................................17
Encryption-Client........................................................................................................................................................17
SED-Client...................................................................................................................................................................18
BitLocker Manager..................................................................................................................................................... 19
3 Registrierungseinstellungen..........................................................................................................................21
Encryption Client – Registrierungseinstellungen.......................................................................................................... 21
Threat Protection-Client – Registrierungseinstellungen.............................................................................................25
SED-Client – Registrierungseinstellungen....................................................................................................................26
Advanced Authentication-Client – Registrierungseinstellungen................................................................................27
BitLocker Manager-Client – Registrierungseinstellungen...........................................................................................28
4 Installation unter Verwendung des ESS-Master-Installationsprogramms......................................................29
Interaktive Installation unter Verwendung des ESS-Master Installationsprogramms..............................................29
Dell Data Protection | Endpoint Security Suite
Inhaltsverzeichnis
3
Installation durch Befehlszeile mit dem ESS-Master Installationsprogramm............................................................30
5 Deinstallation unter Verwendung des ESS-Master-Installationsprogramms................................................. 32
ESS-Master-Installationsprogramm deinstallieren....................................................................................................... 32
Deinstallation über die Befehlszeile..........................................................................................................................32
6 Installation unter Verwendung der untergeordneten Installationsprogramme............................................... 33
Treiber installieren.............................................................................................................................................................34
Encryption-Client installieren..........................................................................................................................................34
Installation über die Befehlszeile.............................................................................................................................. 35
Installieren von Threat Protection Clients..................................................................................................................... 36
Installation über die Befehlszeile.............................................................................................................................. 36
SED Management- und Advanced Authentication-Clients installieren..................................................................... 38
Installation über die Befehlszeile.............................................................................................................................. 38
BitLocker Manager-Client installieren............................................................................................................................39
Installation über die Befehlszeile.............................................................................................................................. 39
7 Deinstallation unter Verwendung der untergeordneten Installationsprogramme............................................ 41
Threat Protection-Clients deinstallieren........................................................................................................................ 42
Deinstallation über die Befehlszeile..........................................................................................................................42
Client für Verschlüsselung deinstallieren....................................................................................................................... 42
Verfahren.....................................................................................................................................................................43
Deinstallation über die Befehlszeile..........................................................................................................................43
Deinstallation der SED- und Advanced Authentication-Clients................................................................................. 45
Verfahren.................................................................................................................................................................... 45
PBA deaktivieren........................................................................................................................................................45
Deinstallieren des SED-Clients und der Advanced Authentication-Clients.........................................................45
Deinstallation des BitLocker Manager-Clients..............................................................................................................46
Deinstallation über die Befehlszeile..........................................................................................................................46
8 Gängige Szenarien....................................................................................................................................... 47
Encryption-Client, Threat Protection, und Advanced Authentication.......................................................................48
Encryption-Client und Threat Protection......................................................................................................................49
SED-Client (einschließlich Advanced Authentication) und External Media Shield.................................................. 49
BitLocker Manager und External Media Shield............................................................................................................50
9 Vorinstallationskonguration für Einmalpasswort, SED-UEFI und BitLocker.................................................51
TPM initialisieren...............................................................................................................................................................51
Vorinstallationskonguration für UEFI-Computer.........................................................................................................51
Aktivieren der Netzwerkkonnektivität während der UEFI-Preboot-Authentizierung...................................... 51
Deaktivierung von Legacy-Option-ROMs...............................................................................................................52
Vorinstallationskonguration zum Einrichten einer BitLocker PBA-Partition........................................................... 52
10 Gruppenrichtlinienobjekte am Domänencontroller zum Aktivieren von Berechtigungen einrichten............. 53
11 Untergeordnete Installationsprogramme aus dem ESS-Master-Installationsprogramm extrahieren............. 54
4Dell Data Protection | Endpoint Security Suite
Inhaltsverzeichnis
12 Konguration des Key Servers für die Deinstallation des auf einem EE-Server aktivierten Encryption-
Clients............................................................................................................................................................ 55
Dialogfeld „Dienste" - Domänenbenutzerkonto hinzufügen.......................................................................................55
Schlüsselserver-Kongurationsdatei - Fügen Sie Benutzer für EE-Server-Kommunikation hinzu........................55
Beispielkongurationsdatei....................................................................................................................................... 56
Dialogfeld „Dienste“ - Key Server-Dienst neu starten................................................................................................. 57
Remote Management-Konsole - Hinzufügen eines forensischen Administrators....................................................57
13 Verwenden Sie das administrative Dienstprogramm zum Herunterladen (CMGAd).................................... 58
Verwenden des Administrator-Download-Dienstprogramms im forensischen Modus............................................58
Verwenden des Administrator-Download-Dienstprogramms im Admin-Modus...................................................... 59
14 Fehlerbehebung......................................................................................................................................... 60
Alle Clients – Fehlerbehebung........................................................................................................................................60
Fehlerbehebung für den Client für Verschlüsselung .................................................................................................. 60
Upgrade auf die Windows 10 Anniversary-Aktualisierung.....................................................................................60
Erstellen einer Encryption Removal Agent-Protokolldatei (optional)...................................................................60
TSS-Version suchen................................................................................................................................................... 61
EMS und PCS Interaktionen..................................................................................................................................... 61
WSScan verwenden...................................................................................................................................................61
Verwenden von WSProbe.........................................................................................................................................64
Überprüfen des Encryption-Removal-Agent-Status.............................................................................................65
SED-Client – Fehlerbehebung....................................................................................................................................... 66
Richtlinie „Erster Zugriscode verwenden............................................................................................................66
PBA-Protokolldatei für die Fehlerbehebung erstellen............................................................................................67
Dell ControlVault-Treiber..................................................................................................................................................67
Aktualisieren von Treibern und Firmware für Dell ControlVault............................................................................ 67
UEFI-Computer................................................................................................................................................................69
Fehlerbehebung bei Problemen mit der Netzwerkverbindung............................................................................ 69
TPM und BitLocker..........................................................................................................................................................69
Fehlercodes für TPM und BitLocker....................................................................................................................... 69
15 Glossar...................................................................................................................................................... 101
Dell Data Protection | Endpoint Security Suite
Inhaltsverzeichnis
5
Einleitung
Dieses Handbuch beschreibt die Installation und Konguration von Threat Prevention, des Encryption-Clients, SED-Management-Clients,
Advanced Authentication und BitLocker Manager.
Alle Richtlinieninformationen und deren Beschreibungen nden Sie in der AdminHelp.
Vor der Installation
1 Installieren Sie den EE-Server/VE-Server, bevor Sie die Clients bereitstellen. Machen Sie das richtige Handbuch ausndig (siehe
unten), folgen Sie den Anweisungen, und kehren Sie anschließend zu diesem Handbuch zurück.
Installations- und Migrationshandbuch für DDP Enterprise Server
Schnellanleitung und Installationshandbuch für DDP Enterprise Server – Virtual Edition
Stellen Sie sicher, dass die Richtlinien wie gewünscht eingestellt sind. Durchsuchen Sie die AdminHilfe, die Sie über das ? ganz
rechts im Bildschirm aufrufen können. Die AdminHilfe ist eine seitenbezogene Hilfe, die eigens dafür entwickelt wurde, Sie bei der
Einstellung und Änderung von Richtlinien zu unterstützten und mit den Optionen Ihres EE-Servers/VE-Servers vertraut zu
machen.
2 Lesen Sie sich das Kapitel Anforderungen in diesem Dokument genau durch.
3 Stellen Sie Clients für die Endbenutzer bereit.
Verwendung des Handbuchs
Wenden Sie das Handbuch in der folgenden Reihenfolge an.
Unter Anforderungen nden Sie Informationen über Client-Voraussetzungen, Computer-Hardware und -Software, Einschränkungen und
spezielle Registrierungsänderungen, die für bestimmte Funktionen erforderlich sind.
Lesen Sie bei Bedarf die Abschnitte Vorinstallationskonguration zur Aktivierung von Einmalpasswort, SED UEFI und BitLocker.
Wenn Ihren Clients über Dell Digital Delivery (DDD) Rechte zugewiesen werden sollen, lesen Sie GPO auf Domänen-Controller zur
Aktivierung von Rechten einstellen.
Falls Sie Clients unter Verwendung des ESS-Master-Installationsprogramms installieren möchten, lesen Sie:
Interaktive Installation unter Verwendung des ESS-Master-Installationsprogramms
oder
Installation durch Befehlszeile mit dem ESS-Master Installationsprogramm
Falls Sie Clients unter Verwendung der untergeordneten Installationsprogramme installieren möchten, müssen Sie die untergeordneten
ausführbaren Dateien zuerst aus dem ESS-Master-Installationsprogramm extrahieren. Lesen Sie den Abschnitt Extrahieren der
untergeordneten Installationsprogramme aus dem ESSMaster-Installationsprogramm, und kehren Sie anschließend hierher zurück.
Installation der untergeordneten Installationsprogramme über die Befehlszeile:
Treiber installieren – Laden Sie die jeweiligen Treiber und die Firmware basierend auf Ihrer Authentizierungshardware herunter.
Encryption-Client installieren - Verwenden Sie diese Anweisungen zum Installieren des Encryption-Clients, der Komponente, die
Sicherheitsrichtlinien durchsetzt, egal ob ein Computer mit dem Netzwerk verbunden oder vom Netzwerk getrennt ist, verloren
gegangen ist oder gestohlen wurde.
1
6 Dell Data Protection | Endpoint Security Suite
Einleitung
Threat Protection-Clients installieren - Folgen Sie diesen Anweisungen, um die Threat Protection-Clients zu installieren, die sich
aus folgenden richtlinienbasierten Threat Protection-Funktionen zusammensetzen:
Malware-Schutz – Sucht nach Viren, Spyware, unerwünschten Programmen und anderen Bedrohungen, indem Objekte
automatisch überprüft werden, wenn der Benutzer darauf zugreift, bzw. immer dann, wenn eine solche Überprüfung
angefordert wird.
Client-Firewall – Überwacht die Datenübertragung zwischen dem Computer und Ressourcen im Netzwerk und im Internet.
Verdächtige Datenübertragungen werden abgefangen.
Web-Filter – Zeigt Sicherheitsstufen und Berichte für Websites an, während online navigiert wird und Suchvorgänge
durchgeführt werden. Die Web-Filterung ermöglicht es dem Administrator, den Zugang zu bestimmten Websites basierend
auf der Sicherheitsstufe oder basierend auf dem Inhalt zu blockieren.
SED Managemtent- und Advanced Authentication-Clients installieren - Verwenden Sie diese Anweisungen zur Installation der
Verschlüsselungssoftware für SEDs. Selbstverschlüsselnde Laufwerke haben zwar eine eigene Verschlüsselungsfunktion, ihnen
fehlt aber eine Plattform für die Verwaltung ihrer Verschlüsselung und Richtlinien. Bei Verwendung von SED Management sind
sämtliche Richtlinien, Speicher und der Abruf von Verschlüsselungsschlüsseln über eine einzige Konsole verfügbar. Dadurch
verringert sich das Risiko, dass Computer bei Verlust oder unberechtigtem Zugri ungeschützt sind.
Der Advanced Authentication-Client verwaltet mehrere Authentizierungsmethoden, darunter PBA für SEDs, Single Sign-on
(SSO) und Benutzer-Anmeldeinformationen wie Fingerabdrücke und Passwörter. Darüber hinaus kann Advanced Authentication
auch für den Zugri auf Websites und Anwendungen verwendet werden.
BitLocker Manager Client installieren - Folgen Sie diesen Anweisungen, um den BitLocker Manager-Client zu installieren. Dieser
wurde speziell dafür entwickelt, die Sicherheit von BitLocker-Implementierungen zu erhöhen und zu vereinfachen sowie
Betriebskosten zu senken.
ANMERKUNG:
Die meisten untergeordneten Installationsprogramme können interaktiv installiert werden. Dies ist jedoch nicht
Gegenstand dieses Handbuchs.
Unter Üblicherweise verwendete Szenarien nden Sie Skripte von unseren gängigsten Szenarien.
Kontaktaufnahme mit dem Dell ProSupport
Telefonischen Support rund um die Uhr für Ihr Dell Data Protection-Produkt erhalten Sie unter der Rufnummer 877-459-7304, Durchwahl
4310039.
Zusätzlich steht Ihnen unser Online-Support für Dell Data Protection-Produkte unter dell.com/support zur Verfügung. Der Online-Support
enthält Treiber, Handbücher, technische Ratgeber, FAQs und eine Beschreibung festgestellter Probleme.
Halten Sie bei Ihrem Anruf Ihren Service Code bereit, damit wir Sie schneller mit dem richtigen Ansprechpartner für Ihr technisches
Problem verbinden können.
Telefonnummern außerhalb der Vereinigten Staaten nden Sie unter Dell ProSupport – Internationale Telefonnummern.
Dell Data Protection | Endpoint Security Suite
Einleitung
7
Anforderungen
Alle Clients
Diese Anforderungen gelten für alle Clients. Anforderungen, die in anderen Abschnitten aufgeführt sind, gelten für bestimmte Clients.
Bei der Implementierung sind die bewährten IT-Verfahren zu beachten. Dazu zählen u. a. geregelte Testumgebungen für die
anfänglichen Tests und die stufenweise Bereitstellung für Benutzer.
Die Installation/Aktualisierung/Deinstallation kann nur von einem lokalen Benutzer oder einem Domänenadministrator durchgeführt
werden, der über ein Implementierungstool wie Microsoft SMS oder KACE vorübergehend zugewiesen werden kann. Benutzer ohne
Administratorstatus, aber mit höheren Rechten, werden nicht unterstützt.
Sichern Sie vor der Installation/Deinstallation alle wichtigen Daten.
Nehmen Sie während der Installation oder Deinstallation keine Änderungen am Computer vor, dazu gehört auch das Einsetzen oder
Entfernen von externen (USB-)Laufwerken.
Stellen Sie sicher, dass der ausgehende Port 443 für die Datenübertragung zum EE-Server/VE-Server zur Verfügung steht, falls die
Clients des ESS-Master-Installationsprogramms für die Verwendung von Dell Digital Delivery (DDD) berechtigt werden sollen. Die
Berechtigung kann nicht eingerichtet werden, wenn Port 443 blockiert ist. DDD wird nicht verwendet, wenn die Installation über die
untergeordneten Installationsprogramme erfolgt.
Überprüfen Sie regelmäßig die Website www.dell.com/support, um stets über die neueste Dokumentation und die neuesten
technischen Ratgeber zu verfügen.
Alle Clients - Voraussetzungen
Microsoft .Net Framework 4.5.2 (oder höher) ist für das ESS-Master-Installationsprogramm und die untergeordneten
Installationsprogramm-Clients erforderlich. Das Installationsprogramm installiert die Microsoft .Net Framework-Komponente nicht.
Auf allen von Dell werksseitig ausgelieferten Computern ist Microsoft.Net Framework 4.5.2 (oder höher) in der Vollversion vorinstalliert.
Wenn Sie jedoch keine Dell Hardware verwenden oder den Client auf älterer Dell Hardware aktualisieren, sollten Sie überprüfen, welche
Version von Microsoft .Net installiert ist und diese gegebenenfalls aktualisieren, bevor Sie den Client installieren, um Fehler bei der
Installation/Aktualisierung zu vermeiden. Um die installierte Version von Microsoft .Net zu überprüfen, folgen Sie auf dem Computer,
auf dem die Installation vollzogen werden soll, den folgenden Anweisungen: http://msdn.microsoft.com/en-us/library/hh925568(v=vs.
110).aspx. Zum Installieren von Microsoft .Net Framework 4.5.2 rufen Sie https://www.microsoft.com/en-us/download/details.aspx?
id=42643 auf.
Treiber und Firmware für ControlVault, Fingerabdruckleser und Smartcards (siehe unten) sind nicht im ESSE-Master-
Installationsprogramm oder in den untergeordneten ausführbaren Dateien enthalten. Treiber und Firmware müssen jederzeit auf dem
aktuellen Stand sein und können nach Auswahl des jeweiligen Computermodells von der Website http://www.dell.com/support
heruntergeladen werden. Laden Sie die jeweiligen Treiber und die Firmware basierend auf Ihrer Authentizierungshardware herunter.
• ControlVault
NEXT Biometrics Fingerprint-Treiber
Validity Fingerprint Reader 495-Treiber
O2Micro Smart Card-Treiber
Falls Sie Hardware installieren möchten, die nicht von Dell stammt, müssen Sie die aktualisierten Treiber und die Firmware von der
Website des jeweiligen Herstellers herunterladen. Installationsanweisungen für ControlVault-Treiber nden Sie unter Dell
ControlVault-Treiber und Firmware aktualisieren.
2
8 Dell Data Protection | Endpoint Security Suite
Anforderungen
Alle Clients - Hardware
Die folgende Tabelle enthält Informationen zur unterstützten Computer-Hardware.
Hardware
Die Mindestanforderungen für die Hardware müssen den Mindestspezikationen des Betriebssystems entsprechen.
Alle Clients - Sprachunterstützung
Die Encryption-, Threat Protection-, und BitLocker Manager-Clients sind Multilingual User Interface (MUI)-konform und unterstützen
die folgenden Sprachen.
Sprachunterstützung
EN: Englisch JA: Japanisch
ES: Spanisch KO: Koreanisch
FR: Französisch PT-BR: Portugiesisch, Brasilien
IT: Italienisch PT-PT: Portugiesisch, Portugal
DE: Deutsch
Der SED-Client und der Advanced Authentication-Client sind MUI-kompatibel (Multilingual User Interface) und unterstützen folgende
Sprachen. Der UEFI-Modus sowie die Preboot-Authentizierung werden auf Russisch sowie auf traditionellem und vereinfachtem
Chinesisch nicht unterstützt.
Sprachunterstützung
EN: Englisch KO: Koreanisch
FR: Französisch ZH-CN: Chinesisch, vereinfacht
IT: Italienisch ZH-TW: Chinesisch, traditionell/Taiwan
DE: Deutsch PT-BR: Portugiesisch, Brasilien
ES: Spanisch PT-PT: Portugiesisch, Portugal
JA: Japanisch RU: Russisch
Encryption-Client
Der Client-Computer muss über Netzwerkkonnektivität verfügen.
Entfernen Sie mithilfe des Windows-Desktopbereinigungs-Assistenten temporäre Dateien und andere unnötige Daten, um den
Zeitaufwand für die anfängliche Verschlüsselung zu verringern.
Schalten Sie den Energiesparmodus bei der ersten Verschlüsselungssuche aus, um zu verhindern, dass ein unbeaufsichtigter Computer
in diesen Modus umschaltet. Im Energiesparmodus kann keine Verschlüsselung (oder Entschlüsselung) erfolgen.
Der Encryption-Client unterstützt keine Dual-Boot-Kongurationen, da es hierdurch zur Verschlüsselung von Systemdateien des
anderen Betriebssystems kommen kann, was den Betrieb stören würde.
Der Encryption-Client unterstützt jetzt den Audit-Modus. Der Audit-Modus ermöglicht Administratoren die Bereitstellung des
Encryption-Clients als Teil des Unternehmens-Image, anstatt das SCCM eines Drittanbieters oder ähnliche Lösungen zur Bereitstellung
Dell Data Protection | Endpoint Security Suite
Anforderungen
9
des Encryption-Clients zu verwenden. Eine Anleitung zur Installation des Encryption-Clients in einem Image des Unternehmens nden
Sie unter http://www.dell.com/support/article/us/en/19/SLN304039.
Der Encryption-Client wurde getestet und ist kompatibel mit McAfee, dem Symantec-Client, Kaspersky und MalwareBytes. Für diese
Anbieter von Virenschutzsoftware wurden hartkodierte Ausschlüsse implementiert, um Inkompatibilitäten zwischen Virenschutzprüfung
und Verschlüsselung zu verhindern. Der Encryption-Client wurde außerdem mit dem Microsoft Enhanced Mitigation Experience Toolkit
getestet.
Falls Ihr Unternehmen Virenschutzsoftware von einem hier nicht aufgeführten Anbieter verwendet, lesen Sie unter http://
www.dell.com/support/Article/us/en/19/SLN298707 nach oder kontaktieren Sie Dell ProSupport, um Hilfe zu erhalten.
Das TPM wird zum Versiegeln des GPK-Schlüssels verwendet. Falls Sie den Encryption-Client ausführen, löschen Sie daher das TPM
im BIOS, bevor Sie ein neues Betriebssystem auf dem Client-Computer installieren.
Eine direkte Aktualisierung des Betriebssystems wird nicht unterstützt, wenn der Encryption-Client installiert ist. Deinstallieren Sie den
Encryption-Client, führen Sie eine Entschlüsselung durch, aktualisieren Sie das Betriebssystem auf die neue Version, und führen Sie
anschließend eine Neuinstallation von Encryption-Client durch.
Die Neuinstallation des Betriebssystems wird ebenfalls nicht unterstützt. Zur Neuinstallation des Betriebssystems sichern Sie den
Zielcomputer, setzen Sie den Computer zurück, installieren Sie das Betriebssystem, und stellen Sie anschließend die verschlüsselten
Daten gemäß den üblichen Wiederherstellungsverfahren wieder her.
Encryption-Client-Anforderungen
Das ESS-Master-Installationsprogramm installiert Microsoft Visual C++ 2012 Update 4, falls diese Komponente noch nicht auf dem
Computer vorhanden ist. Wenn Sie das untergeordnete Installationsprogramm verwenden, müssen Sie diese Komponente
installieren, bevor Sie den Encryption-Client installieren.
Voraussetzungen
Visual C++ 2012 Update 4 oder höheres Redistributable Package (x86 und x64)
Encryption-Client-Hardware
Die folgende Tabelle enthält detaillierte Informationen über die unterstützte Hardware.
Optionale integrierte Hardware
TPM 1.2 oder 2.0
Encryption-Client-Betriebssysteme
In der folgenden Tabelle sind die unterstützten Betriebssysteme aufgeführt.
Windows-Betriebssysteme (32-Bit und 64-Bit)
Windows 7 SP0-SP1: Enterprise, Professional, Ultimate
Windows Embedded Standard 7 mit Application Compatibility-Vorlage (Hardwareverschlüsselung wird nicht unterstützt)
Windows 8: Enterprise, Pro
Windows 8.1 Update 0-1: Enterprise Edition, Pro Edition
Windows Embedded 8.1 Industry Enterprise (Hardwareverschlüsselung wird nicht unterstützt)
Windows 10: Education, Enterprise, Pro
VMWare Workstation 5.5 und höher
10 Dell Data Protection | Endpoint Security Suite
Anforderungen
Windows-Betriebssysteme (32-Bit und 64-Bit)
ANMERKUNG:
Der UEFI-Modus wird auf Windows 7, Windows Embedded Standard 7 und Windows Embedded 8.1 Industry Enterprise
nicht unterstützt.
Externes Medien-Shield (EMS)-Betriebssysteme
Die folgende Tabelle enthält Informationen zu den unterstützten Betriebssystemen für den Zugri auf Medien, die von EMS geschützt
werden.
ANMERKUNG:
Zur Verwendung von EMS müssen ungefähr 55 MB auf dem externen Speichermedium frei sein sowie weiterer freier
Speicherplatz, in der Größe der umfangreichsten zu verschlüsselnden Datei, verfügbar sein.
ANMERKUNG:
Windows XP wird nur bei Verwendung von EMS Explorer unterstützt.
Unterstützte Windows-Betriebssysteme für den Zugri auf EMS-geschützte Medien (32-Bit und 64-Bit)
Windows 7 SP0-SP1: Enterprise, Professional, Ultimate, Home Premium
Windows 8: Enterprise, Pro, Consumer
Windows 8.1 Update 0-1: Enterprise Edition, Pro Edition
Windows 10: Education, Enterprise, Pro
Unterstützte Mac-Betriebssysteme für den Zugri auf EMS-geschützte Medien (64-Bit-Kernel)
Mac OS X Yosemite 10.10.5
Mac OS X El Capitan 10.11.6
macOS Sierra 10.12.0
Threat Protection-Client
Die Threat Protection-Clients können erst installiert werden, nachdem der Encryption-Client auf dem Computer ermittelt wurde. Wird
die Installation vorher versucht, schlägt sie fehl.
Für die erfolgreiche Installation von Threat Protection muss der Computer mit dem Netzwerk verbunden sein.
Deinstallieren Sie die Virenschutz-, Malware-Schutz- und Spyware-Schutzprogramme sowie die Firewall-Anwendungen anderer
Hersteller, bevor Sie die Threat Protection-Clients installieren, um Fehler bei der Installation zu vermeiden. Windows Defender und
Endpoint Security Suite zählen nicht zu den Softwareprodukten, die Konikte verursachen.
Die Web Protection-Funktion wird nur von Internet Explorer unterstützt.
Threat Protection-Client-Betriebssysteme
In der folgenden Tabelle sind die unterstützten Betriebssysteme aufgeführt.
Windows-Betriebssysteme (32-Bit und 64-Bit)
Windows 7 SP0-SP1: Enterprise, Professional, Ultimate
Windows 8: Enterprise, Pro
Windows 8.1 Update 0-1: Enterprise Edition, Pro Edition
Dell Data Protection | Endpoint Security Suite
Anforderungen
11
Windows-Betriebssysteme (32-Bit und 64-Bit)
Windows 10: Education, Enterprise, Pro
Threat Protection-Client-Ports
Um zu gewährleisten, dass die Threat Protection-Clients mit die aktuellsten Threat Protection-Aktualisierungen versorgt werden,
müssen die Ports 443 und 80 auf dem Client verfügbar sein, damit er mit den verschiedenen Zielservern kommunizieren kann. Sollten
die Ports gesperrt sein, können Aktualisierungen der Anti-Virus-Denitionen (DAT-Dateien) nicht heruntergeladen werden. In diesem Fall
ist ein ordnungsgemäßer Schutz der Computer nicht gewährleistet. Stellen Sie sicher, dass die Client-Computer wie folgt auf die URLs
zugreifen können.
Verwenden Sie
die Datei Anwendung
sprotokoll Transport
protokoll Portnummer Ziel Richtung Anmerkungen
Anti-Virus-
Aktualisierungen
HTTP TCP 443/Fallback
80
vs.mcafeeasap.com Ausgehend
Aktualisierungen
der Anti-Virus-
Engine/-
Denitionen
SSL TCP 443 vs.mcafeeasap.com Ausgehend
Anti-Spam-Engine HTTP TCP 443 vs.mcafeeasap.com Ausgehend
Aktualisierungen
von Anti-Spam-
Regeln und -
Streaming
HTTP TCP 80 vs.mcafeeasap.com Ausgehend Pakettypen:
X-SU3X-SU3-
Komponenten-Name
X-SU3- Komponenten-
Type X-Su3-Status
Reputation
Service
SSL TCP 443 tunnel.web.trustedsource.org Ausgehend
Reputation
Service Feedback
SSL TCP 443 gtifeedback.trustedsource.or
g
Ausgehend
Quarantine
Manager
HTTP
HTTPS
TCP 80
443
Ihr EE-Server/VE-Server Bidirektional
Aktualisierung der
URL-Reputation-
Datenbank
HTTP TCP 80 list.smartlter.com Ausgehend
URL Reputation
Lookup
SSL TCP 443 tunnel.web.trustedsource.org Ausgehend
SED-Client
Der Computer muss über Netzwerkkonnektivität verfügen, damit SED Management erfolgreich installiert werden kann.
IPv6 wird nicht unterstützt.
Nach der Übernahme von Richtlinien, die nun angewendet werden sollen, müssen Sie den Computer u. U. herunterfahren und neu
starten.
Computer, die mit selbstverschlüsselnden Laufwerken ausgerüstet sind, können nicht mit HCA-Karten verwendet werden. Sie sind
nicht kompatibel, was die Bereitstellung der HCA verhindert. Dell verkauft keine Computer mit selbstverschlüsselnden Laufwerken, die
das HCA-Modul unterstützen. Eine solche Konguration wäre nur als After-Market-Konguration möglich.
12 Dell Data Protection | Endpoint Security Suite
Anforderungen
Wenn der zu verschlüsselnde Computer über ein selbstverschlüsselndes Laufwerk verfügt, muss in Active Directory die Option
Benutzer muss das Kennwort bei der nächsten Anmeldung ändern deaktiviert sein. Die Preboot-Authentizierung bietet keine
Unterstützung für diese Active Directory-Option.
Dell empehlt, die Authentizierungsmethode nicht mehr zu ändern, nachdem die PBA aktiviert worden ist. Wenn Sie zu einer anderen
Authentizierungsmethode wechseln müssen, gibt es zwei Möglichkeiten:
Entfernen Sie alle Benutzer aus der PBA.
oder
Deaktivieren Sie die PBA, ändern Sie die Authentizierungsmethode, und aktivieren Sie die PBA erneut.
WICHTIG:
Aufgrund der Struktur von RAID und SEDs wird RAID von der SED-Verwaltung nicht unterstützt. Das Problem bei
RAID=On mit SEDs besteht darin, dass zum Lesen und Schreiben der RAID-Daten Zugri auf einen höheren Sektor
erforderlich ist. Dieser Sektor ist auf einem gesperrten SED beim Start nicht verfügbar, und RAID benötigt diese Daten
bereits vor der Benutzeranmeldung. Sie können das Problem umgehen, indem Sie im BIOS für SATA statt AHCI den
Eintrag RAID=On auswählen. Wenn die Treiber für den AHCI-Controller im Betriebssystem nicht bereits vorinstalliert
sind, führt der Wechsel von RAID=On zu AHCI allerdings zum Betriebssystemabsturz („Bluescreen“).
SED-Management wird mit Server Encryption nicht unterstützt.
OPAL-Treiber
Unterstützte Opal-konforme SEDs erfordern aktualisierte Intel Rapid Storage Technology-Treiber, die unter http://www.dell.com/
support verfügbar sind.
SED-Client-Anforderungen
Das ESS-Master-Installationsprogramm installiert Microsoft Visual C++2010 SP1 und Microsoft Visual C++ 2012 Update 4, falls diese
Komponenten noch nicht auf dem Computer vorhanden sind. Wenn Sie das untergeordnete Installationsprogramm verwenden,
müssen Sie diese Komponenten installieren, bevor Sie die SED Management installieren.
Voraussetzungen
Visual C++ Redistributable Package ab Version 2010 SP1 (x86 und x64)
Visual C++ 2012 Update 4 oder höheres Redistributable Package (x86 und x64)
SED-Client-Hardware
OPAL-kompatible SEDs
Für die auf dem neuesten Stand Liste der Opal kompatible SEDs unterstützt, wenn die SED-Verwaltung, beziehen sich auf dieses KB-
Artikel: http://www.dell.com/support/article/us/en/19/SLN296720.
Dell Computermodelle mit UEFI-Unterstützung
Die folgende Tabelle enthält detaillierte Informationen zu Dell-Computermodellen, die UEFI unterstützen.
Dell-Computermodelle – UEFI-Unterstützung:
Latitude 5280
Latitude 5480
Latitude 5580
Precision M3510
Precision M4800
Precision M5510
Bedienfeld von 3040
Optiplex Micro, Minitower,
Kompaktgehäuse
Optiplex 3046
Venue Pro 11 (Modell 5175)
Venue Pro 11 (Modell 7139)
Dell Data Protection | Endpoint Security Suite
Anforderungen
13
Dell-Computermodelle – UEFI-Unterstützung:
Latitude 7370
Latitude E5270
Latitude E5470
Latitude E5570
Latitude E7240
Latitude E7250
Latitude E7260
Latitude E7265
Latitude E7270
Latitude E7275
Latitude E7280
Latitude E7350
Latitude E7440
Latitude E7450
Latitude E7460
Latitude E7470
Latitude E7480
Latitude 12 Rugged Extreme
Latitude 12 Rugged Tablet
(Modell 7202)
Latitude 14 Rugged Extreme
Latitude 14 Rugged
Precision M5520
Precision M6800
Precision M7510
Precision M7520
Precision M7710
Precision M7720
Precision T3420
Precision T3620
Precision T7810
OptiPlex 3050 All-In-One
OptiPlex 3050 Tower,
Kompaktgehäuse Micro
Optiplex 5040 Minitower,
Kompaktgehäuse
OptiPlex 5050 Tower,
Kompaktgehäuse Micro
OptiPlex 7020
Optiplex 7040-Micro,
Minitower, Kompaktgehäuse
OptiPlex 7050 Tower,
Kompaktgehäuse Micro
Optiplex 3240 All-In-One
OptiPlex 5250 All-In-One
Optiplex 7440 All-In-One
OptiPlex 7450 All-In-One
OptiPlex 9020 Micro
ANMERKUNG:
Authentizierungsfunktionen werden im UEFI-Modus auf diesen Computern mit Windows 8, Windows 8.1 oder Windows 10 mit
geeignetenOPAL-konformen SEDs unterstützt. Andere Computer mit Windows 7, Windows 8, Windows 8.1 und Windows 10
unterstützen den Legacy Boot-Modus.
Internationale Tastaturen
Die folgende Tabelle listet unterstützte internationale Tastaturen mit Authentizierung vor dem Start auf UEFI- und Nicht-UEFI-
Computern.
International Keyboard Support - UEFI
DE-CH: Deutsch
DE-FR: Französisch
Internationale Tastatur-Unterstützung – Nicht-UEFI
AR – Arabisch (mit lateinischen Buchstaben)
DE-CH: Deutsch
DE-FR: Französisch
SED-Client-Betriebssysteme
Die folgende Tabelle enthält Informationen zu den unterstützten Betriebssystemen.
14 Dell Data Protection | Endpoint Security Suite
Anforderungen
Windows-Betriebssysteme (32-Bit und 64-Bit)
Windows 7 SP0-SP1: Enterprise, Professional (unterstützt mit Legacy Boot-Modus aber nicht UEFI)
ANMERKUNG:
Legacy Boot-Modus wird auf Windows 7 unterstützt. UEFI wird auf Windows 7 nicht unterstützt.
Windows 8: Enterprise, Pro
Windows 8.1: Enterprise Edition, Pro Edition
Windows 10: Education, Enterprise, Pro
Advanced Authentication-Client
Bei Verwendung von Advanced Authentication sichern Benutzer den Zugri auf den Computer durch erweiterte Anmeldeinformationen,
die mit Security Tools verwaltet und eingetragen werden. Security Tools ist damit das primäre Programm zur Verwaltung der
Authentizierungsinformationen für die Windows-Anmeldung, einschließlich Windows-Passwort, Fingerabdrücke und Smart Cards.
Über das Microsoft-Betriebssystem eingetragene Authentizierungsinformationen für die Anmeldung per Bildcode, PIN und
Fingerabdruck werden bei der Windows-Anmeldung nicht erkannt.
Wenn Sie Ihre Anmeldeinformationen weiterhin mit dem Microsoft-Betriebssystem verwalten möchten, installieren Sie Security Tools
nicht, bzw. deinstallieren Sie das Programm.
Für die Einmalpasswort (OTP)-Funktion in Security Tools muss ein TPM vorhanden, aktiviert und zugewiesen sein. OTP wird nicht mit
TPM 2.0 unterstützt. Weitere Informationen zum Löschen und Denieren der TMP-Zuweisung nden Sie unter https://
technet.microsoft.com.
Ein SED benötigt für die Bereitstellung von Advanced Authentication oder der Verschlüsselung kein TPM.
Advanced Authentication-Client-Hardware
Die folgende Tabelle enthält detaillierte Informationen über die unterstützte Authentizierungs-Hardware.
Fingerabdruck- und Smart Card-Leser
Validity VFS495 im sicheren Modus
ControlVault Swipe Reader
UPEK TCS1 FIPS 201 Secure Reader 1.6.3.379
Authentec Eikon und Eikon To Go USB-Lesegeräte
Kontaktlose Karte
Kontaktlose Karten nutzen die entsprechenden Lesegeräte, die auf bestimmten Dell Laptops installiert sind
Smart Cards
PKCS #11 Smart Cards verwenden den ActivIdentity-Client.
ANMERKUNG:
Der ActivIdentity-Client ist nicht vorinstalliert und muss daher separat installiert werden.
CSP Cards
Common Access Cards (CACs)
Net-Karten der B/SIPR-Klasse
In der folgenden Tabelle werden die Dell-Computermodelle mit Unterstützung von Netzkarten der Klasse SIPR aufgelistet.
Dell Data Protection | Endpoint Security Suite
Anforderungen
15
Dell-Computermodelle – Class B/SIPR Net Card-Unterstützung
Latitude E6440
Latitude E6540
Precision M2800
Precision M4800
Precision M6800
Latitude 14 Rugged Extreme
Latitude 12 Rugged Extreme
Latitude 14 Rugged
Advanced Authentication Client - Betriebssysteme
Windows-Betriebssysteme
In der folgenden Tabelle sind die unterstützten Betriebssysteme aufgeführt.
Windows-Betriebssysteme (32-Bit und 64-Bit)
Windows 7 SP0-SP1: Enterprise, Professional, Ultimate
Windows 8: Enterprise, Pro
Windows 8.1 Update 0-1: Enterprise Edition, Pro Edition
Windows 10: Education, Enterprise, Pro
ANMERKUNG: Der UEFI-Modus wird auf Windows 7 nicht unterstützt.
Betriebssysteme für Mobilgeräte
Die folgenden mobilen Betriebssystem werden von der Einmal-Passwort-Funktion von Security Tools unterstützt.
Android-Betriebssysteme
4.0 - 4.0.4 Ice Cream Sandwich
4.1 - 4.3.1 Jelly Bean
4.4 - 4.4.4 KitKat
5.0 - 5.1.1 Lollipop
iOS-Betriebssysteme
iOS 7.x
iOS 8.x
Windows Phone-Betriebssysteme
Windows Phone 8.1
Windows 10 Mobile
BitLocker Manager-Client
Lesen Sie den Abschnitt Microsoft BitLocker-Anforderungen, falls BitLocker in Ihrer Umgebung bislang noch nicht bereitgestellt wurde.
Überprüfen Sie, ob die PBA-Partition bereits eingerichtet worden ist. Wenn BitLocker Manager vor Einrichtung der PBA-Partition
installiert wird, kann BitLocker nicht aktiviert werden, und BitLocker Manager funktioniert nicht. Lesen Sie Vorinstallationskonguration
zum Einrichten einer BitLocker PBA-Partition.
Tastatur, Maus und Videokomponenten müssen direkt an den Computer angeschlossen sein. Setzen Sie keinen KVM-Schalter zur
Verwaltung der Peripherie ein, da dies die ordnungsgemäße Erfassung der Hardware durch den Computer behindern kann.
Aktivieren Sie das TPM. BitLocker Manager übernimmt automatisch die Zuweisung des TPM und erfordert keinen Neustart. Wenn das
TPM bereits zugewiesen ist, leitet BitLocker Manager den Einrichtungsvorgang für die Verschlüsselung ein (kein Neustart erforderlich).
Wichtig ist, dass das TPM „zugewiesen“ und aktiviert ist.
Der BitLocker Manager Client verwendet die zulässigen von AES FIPS validierten Algorithmen, falls der FIPS-Modus für die GPO-
Sicherheitseinstellung „System-Kryptographie: FIPS-konforme Algorithmen für Verschlüsselung, Hashing und Signatur verwenden“ auf
dem Gerät aktiviert ist und Sie dieses Gerät über unser Produkt verwalten. Wir erzwingen diesen Modus nicht als Standardeinstellung
16 Dell Data Protection | Endpoint Security Suite
Anforderungen
für BitLocker-verschlüsselte Clients, da Microsoft seinen Kunden mittlerweile empehlt, die FIPS-validierte Verschlüsselung nicht zu
verwenden, da vermehrt Probleme mit der Anwendungskompatibilität, Wiederherstellung und Medienverschlüsselung aufgetreten sind:
http://blogs.technet.com.
Voraussetzungen für den BitLocker Manager-Client
Das ESS-Master-Installationsprogramm installiert Microsoft Visual C++2010 SP1 und Microsoft Visual C++ 2012 Update 4, falls diese
Komponenten noch nicht auf dem Computer vorhanden sind. Wenn Sie das untergeordnete Installationsprogramm verwenden,
müssen Sie diese Komponenten installieren, bevor Sie BitLocker Manager installieren.
Voraussetzungen
Visual C++ Redistributable Package ab Version 2010 SP1 (x86 und x64)
Visual C++ 2012 Update 4 oder höheres Redistributable Package (x86 und x64)
BitLocker Manager Client-Betriebssysteme
In der folgenden Tabelle sind die unterstützten Betriebssysteme aufgeführt.
Windows-Betriebssysteme
Windows 7 SP0-SP1: Enterprise, Ultimate (32- und 64-Bit)
Windows 8: Enterprise (64-Bit)
Windows 8.1: Enterprise Edition, Pro Edition (64-Bit)
Windows 10: Education, Enterprise, Pro
Windows Server 2008 R2: Standard Edition, Enterprise Edition (64-Bit)
Windows Server 2012
Windows Server 2012 R2: Standard Edition, Enterprise Edition (64-Bit)
Windows Server 2016
Authentizierungsoptionen
Die folgenden Authentisierungsoptionen erfordern spezische Hardware: Fingerabdrücke, Smart Cards, Kontaktlose Karten, Klasse-B-/
SIPR Net-Karten und Authentizierung auf UEFI-Computern. Die folgenden Optionen müssen konguriert werden: Smart Cards mit
Windows-Authentizierung, Smart Cards mit Preboot-Authentizierung und Einmalpasswort. In den folgenden Tabellen werden die
verfügbaren Authentizierungsoptionen nach Betriebssystem angezeigt, wenn die Hardware- und Kongurationsanforderungen erfüllt
sind.
Encryption-Client
Ohne UEFI
PBA Windows-Authentizierung
Passwort Fingerab
druck Kontakt-
Smart-
Card
OTP SIPR-
Karte Passwort Fingerab
druck Smart
Card OTP SIPR-
Karte
Windows 7 SP0-
SP1
X X2X2X1X2
Windows 8 X X2X2X1X2
Dell Data Protection | Endpoint Security Suite
Anforderungen
17
Ohne UEFI
PBA Windows-Authentizierung
Passwort Fingerab
druck Kontakt-
Smart-
Card
OTP SIPR-
Karte Passwort Fingerab
druck Smart
Card OTP SIPR-
Karte
Windows 8.1
Update 0-1
X X2X2X1X2
Windows 10 X X2X2X1X2
1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der
untergeordneten Installationsprogramme installiert.
2. Verfügbar, wenn die Authentizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden.
UEFI
PBA – auf unterstützten Dell Computern Windows-Authentizierung
Passwort Fingerab
druck Kontakt-
Smart-
Card
OTP SIPR-
Karte Passwort Fingerab
druck Smart
Card OTP SIPR-
Karte
Windows 7 SP0-
SP1
Windows 8 X X2X2X1X2
Windows 8.1
Update 0-1
X X2X2X1X2
Windows 10 X X2X2X1X2
1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der
untergeordneten Installationsprogramme installiert.
2. Verfügbar, wenn die Authentizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden.
SED-Client
Ohne UEFI
PBA Windows-Authentizierung
Passwort Fingerab
druck Kontakt-
Smart-
Card
OTP SIPR-
Karte Passwort Fingerab
druck Smart
Card OTP SIPR-
Karte
Windows 7 SP0-
SP1
X2X2 3 X X3X3X1X3
Windows 8 X2X2 3 X X3X3X1X3
Windows 8,1 X2X2 3 X X3X3X1X3
Windows 10 X2X2 3 X X3X3X1X3
1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der
untergeordneten Installationsprogramme installiert.
18 Dell Data Protection | Endpoint Security Suite
Anforderungen
Ohne UEFI
PBA Windows-Authentizierung
Passwort Fingerab
druck Kontakt-
Smart-
Card
OTP SIPR-
Karte Passwort Fingerab
druck Smart
Card OTP SIPR-
Karte
2. Verfügbar, wenn die Authentizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden.
3. Verfügbar mit einer unterstützten OPAL-SED.
UEFI
PBA – auf unterstützten Dell Computern Windows-Authentizierung
Passwort Fingerab
druck Kontakt-
Smart-
Card
OTP SIPR-
Karte Passwort Fingerab
druck Smart
Card OTP SIPR-
Karte
Windows 7
Windows 8 X4X X2X2X1X2
Windows 8,1 X4X X2X2X1X2
Windows 10 X4X X2X2X1X2
1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der
untergeordneten Installationsprogramme installiert.
2. Verfügbar, wenn die Authentizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden.
4. Verfügbar mit einer unterstützten OPAL-SED auf unterstützten UEFI-Computern.
BitLocker Manager
Ohne UEFI
PBA 5 Windows-Authentizierung
Passwort Fingerab
druck Kontakt-
Smart-
Card
OTP SIPR-
Karte Passwort Fingerab
druck Smart
Card OTP SIPR-
Karte
Windows 7 X X2X2X1X2
Windows 8 X X2X2X1X2
Windows 8,1 X X2X2X1X2
Windows 10 X X2X2X1X2
Windows Server
2008 R2 64-Bit
X X2
1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der
untergeordneten Installationsprogramme installiert.
2. Verfügbar, wenn die Authentizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden.
5. Die BitLocker-Preboot-PIN wird über die Microsoft-Funktionalität verwaltet.
Dell Data Protection | Endpoint Security Suite
Anforderungen
19
UEFI
PBA5 – auf unterstützten Dell Computern Windows-Authentizierung
Passwort Fingerab
druck Kontakt-
Smart-
Card
OTP SIPR-
Karte Passwort Fingerab
druck Smart
Card OTP SIPR-
Karte
Windows 7
Windows 8 X X2X2X1X2
Windows 8,1 X X2X2X1X2
Windows 10 X X2X2X1X2
Windows Server
2008 R2 64-Bit
X X2
1. Verfügbar, wenn mit dem Master-Installationsprogramm oder dem Advanced Authentication-Paket bei Verwendung der
untergeordneten Installationsprogramme installiert.
2. Verfügbar, wenn die Authentizierungstreiber von der Website „support.dell.com“ heruntergeladen wurden.
5. Die BitLocker-Preboot-PIN wird über die Microsoft-Funktionalität verwaltet.
20 Dell Data Protection | Endpoint Security Suite
Anforderungen
Registrierungseinstellungen
In diesem Abschnitt werden alle vom Dell ProSupport genehmigten Registrierungseinstellungen für lokale Client-Computer
beschrieben, unabhängig vom Grund für Registrierungseinstellung. Falls eine Registrierungeinstellung für zwei Produkte gilt, wird sie in
beiden Kategorien aufgeführt.
Diese Registrierungsänderungen sollten nur von Administratoren ausgeführt werden und sind möglicherweise nicht für alle Szenarios
geeignet oder funktionieren nicht in allen Szenarios.
Encryption Client – Registrierungseinstellungen
Falls auf dem Dell Server für die Enterprise Edition für Windows ein selbstsigniertes Zertikat verwendet wird, muss die
Zertikatsvertrauensprüfung auf dem Client-Computer deaktiviert bleiben (bei Enterprise Edition für Windows ist sie standardmäßig
deaktiviert). Vor dem Aktivieren der Vertrauensprüfung auf dem Client-Computer müssen die folgenden Voraussetzungen erfüllt sein:
Ein von einer Stammzertizierungsstelle wie Ensign oder Verisign signiertes Zertikat muss in den EE-Server/VE-Server importiert
werden.
Die vollständige Vertrauenskette des Zertikats muss im Microsoft Keystore des Client-Computers gespeichert werden.
Um die Vertrauensprüfung für EE für Windows zu aktivieren, ändern Sie den Wert des folgenden Registrierungseintrags auf dem
Client-Computer in 0.
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"IgnoreCertErrors"=dword:00000000
0 = bei Zertikatsfehler fehlschlagen
1= Fehler ignorieren
Um Smart Cards mit der Windows-Authentizierung zu verwenden, muss der folgende Registrierungswert auf dem Client-Computer
eingestellt sein.
[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]
"MSSmartcardSupport"=dword:1
Um eine Encryption Removal Agent-Protokolldatei anzulegen, erstellen Sie auf dem für die Entschlüsselung vorgesehenen Computer
den folgenden Registrierungseintrag. Weitere Informationen nden Sie unter (Optional) Encryption Removal Agent-Protokolldatei.
[HKLM\Software\Credant\DecryptionAgent]
"LogVerbosity"=dword:2
0: Keine Protokollierung
1: Protokolliert Fehler, die den Betrieb des Dienstes verhindern
2: Protokolliert Fehler, die eine vollständige Datenentschlüsselung verhindern (empfohlene Protokollebene)
3: Protokolliert Informationen über alle zu entschlüsselnden Datenträger und Dateien
5: Protokolliert Informationen zum Debuggen
3
Dell Data Protection | Endpoint Security Suite
Registrierungseinstellungen
21
Standardmäßig wird das Taskleistensymbol während der Installation angezeigt. Verwenden Sie die folgenden
Registrierungseinstellungen , um das Taskleistensymbol für alle verwalteten Benutzer nach der ursprünglichen Installation auf einem
Computer auszublenden. Erstellen oder ändern Sie die Registrierungseinstellungen wie folgt:
[HKLM\Software\CREDANT\CMGShield]
"HIDESYSTRAYICON"=dword:1
Standardmäßig werden alle temporären Dateien im Verzeichnis C:\Windows\Temp während der Installation automatisch gelöscht. Durch
das Löschen der temporären Dateien vor der ersten Verschlüsselungssuche wird die Verschlüsselungsdauer verkürzt.
Wenn Ihre Organisation jedoch eine Drittanbieter-Anwendung einsetzt, die auf die Dateistruktur im Verzeichnis \Temp angewiesen ist,
sollten Sie das Löschen verhindern.
Durch die Erstellung oder Änderung des folgenden Registrierungseintrags können Sie das Löschen temporärer Dateien verhindern:
[HKLM\SOFTWARE\CREDANT\CMGShield]
"DeleteTempFiles"=REG_DWORD:0
Werden temporäre Dateien nicht gelöscht, verlängert sich die Verschlüsselungsdauer.
Der Encryption-Client zeigt die Eingabeauorderung Verzögerung der einzelnen Richtlinienaktualisierungen jeweils fünf Minuten lang
an. Reagiert der Benutzer nicht auf die Auorderung, beginnt die nächste Verzögerung. Die endgültige Verzögerungsauorderung
enthält einen Countdown und einen Fortschrittsbalken und wird angezeigt, bis der Benutzer reagiert oder die endgültige Verzögerung
abläuft und die verlangte Abmeldung bzw. der verlangte Neustart durchgeführt wird.
Sie können das Verhalten der Benutzerauorderung dahingehend ändern, dass die Verschlüsselung begonnen oder verzögert wird,
damit keine Verschlüsselung durchgeführt wird, wenn der Benutzer nicht auf die Auorderung reagiert. Legen Sie dazu den folgenden
Registrierungswert fest:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"SnoozeBeforeSweep"=DWORD:1
Jeder Wert ungleich Null ändert das Standardverhalten auf Schlummern. Ohne Benutzerinteraktion wird die Verschlüsselung bis zur
maximal kongurierbaren Anzahl von Verzögerungen verzögert. Die Verarbeitung der Verschlüsselung beginnt, nachdem die letzte
Verzögerung abgelaufen ist.
Berechnen Sie die maximal mögliche Verzögerung wie folgt (eine maximale Verzögerung bedeutet, dass der Benutzer auf keine der
Verzögerungsauorderungen reagiert, die jeweils 5 Minuten lang angezeigt werden):
(ANZAHL DER ZULÄSSIGEN VERZÖGERUNGEN BEI AKTUALISIERUNG DER RICHTLINIE LÄNGE DER VERZÖGERUNG BEI
AKTUALISIERUNG DER RICHTLINIE) + (5 MINUTEN x [ANZAHL DER ZULÄSSIGEN VERZÖGERUNGEN BEI AKTUALISIERUNG DER
RICHTLINIE - 1])
Über die folgende Registrierungseinstellung wird der Encryption-Client veranlasst, beim EE-Server/VE-Server eine durchgesetzte
Richtlinienaktualisierung abzufragen. Erstellen oder ändern Sie die Registrierungseinstellungen wie folgt:
[HKLM\SOFTWARE\Credant\CMGShield\Notify]
"PingProxy"=DWORD value:1
Nach erfolgter Änderung werden die Registrierungseinstellungen automatisch geschlossen.
Verwenden Sie die folgenden Registrierungseinstellungen, um dem Encryption-Client das Senden optimierter Bestandsinformationen an
den EE-Server/VE-Server, das Senden vollständiger Bestandsinformationen an den EE-Server/VE-Server oder das Senden
vollständiger Bestandsinformationen an den EE-Server/VE-Server für alle aktivierten Benutzer zu erlauben.
Senden optimierter Bestandsinformationen an den EE-Server/VE-Server:
Erstellen oder ändern Sie die Registrierungseinstellungen wie folgt:
22 Dell Data Protection | Endpoint Security Suite
Registrierungseinstellungen
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"OnlySendInvChanges"=REG_DWORD:1
Wenn kein Eintrag vorhanden ist, werden optimierte Bestandsinformationen an den EE-Server/VE-Server gesendet.
Senden vollständiger Bestandsinformationen an den EE-Server/VE-Server:
Erstellen oder ändern Sie die Registrierungseinstellungen wie folgt:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"OnlySendInvChanges"=REG_DWORD:0
Wenn kein Eintrag vorhanden ist, werden optimierte Bestandsinformationen an den EE-Server/VE-Server gesendet.
Senden vollständiger Bestandsinformationen für alle aktivierten Benutzer
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"RefreshInventory"=REG_DWORD:1
Dieser Eintrag wird nach der Verarbeitung aus der Registrierung gelöscht, der Wert wird jedoch gespeichert. Dadurch ist der
Encryption-Client in der Lage, die Anfrage beim nächsten Upload zu erfüllen, selbst wenn der Computer neu gestartet wird, bevor
die Bestandsinformationen hochgeladen wurden.
Dieser Eintrag ersetzt den Registrierungswert für OnlySendInvChanges.
Die Aktivierung mit Zeitfenster ist eine Funktion, mit der Sie Aktivierungen von Clients über einen vorgegebenen Zeitraum verteilen
können, um während einer Massenimplementierung eine Überlastung des EE-Servers/VE-Servers zu vermeiden. Aktivierungen werden
basierend auf Zeitfenstern verzögert, die durch Algorithmen generiert werden, um eine gleichmäßige Verteilung der Aktivierungszeiten
zu erreichen.
Für Benutzer, die eine Aktivierung durch VPN benötigen, kann eine Aktivierungskonguration mit Zeitfenster erforderlich sein, damit die
anfängliche Aktivierung lange genug verzögert wird, um dem VPN-Client den Aufbau einer Netzwerkverbindung zu erlauben.
WICHTIG:
Kongurieren Sie die Aktivierung mit Zeitfenster nur unter Anleitung des Dell ProSupports. Werden die Zeitfenster falsch
konguriert, kann möglicherweise eine große Anzahl von Clients gleichzeitig versuchen, sich bei einem EE-Server/VE-Server zu
aktivieren, was erhebliche Leistungseinbußen zur Folge haben kann.
Die folgenden Änderungen an der Registrierung treten erst nach einem Neustart des Computers in Kraft.
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SlottedActivation]
Aktiviert oder deaktiviert die gestaelte Aktivierung
Deaktiviert=0 (Standard)
Aktiviert=1
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\CalRepeat]
Der Zeitraum in Sekunden, in dem das Aktivierungszeitintervall auftritt. Mit dieser Einstellung überschreiben Sie den Zeitraum in
Sekunden, in dem das Aktivierungszeitintervall auftritt. 25.200 Sekunden stehen zur Verfügung, um Aktivierungen während eines
Zeitraums von sieben Stunden einzuplanen. Die Standardeinstellung ist 86400 Sekunden, was einer täglichen Wiederholung
entspricht.
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\SlotIntervals]
Das Intervall innerhalb der Wiederholung, ACTIVATION_SLOT_CALREPEAT, in dem alle Aktivierungszeitfenster auftreten. Es ist nur
ein Intervall erlaubt. Diese Einstellung sollte 0,<CalRepeat> sein. Eine Verschiebung von 0 kann zu unerwarteten Ergebnissen führen.
Dell Data Protection | Endpoint Security Suite
Registrierungseinstellungen
23
Die Standardeinstellung ist 0,86400. Für eine Wiederholung nach sieben Stunden stellen Sie 0,25200 ein. CALREPEAT wird
aktiviert, sobald sich ein Benutzer anmeldet.
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\MissThreshold]
Die Anzahl der Aktivierungszeitfenster, die verpasst werden können, bevor der Computer bei der nächsten Anmeldung des
Benutzers, dessen Aktivierung eingeplant wurde, eine Aktivierung durchführt. Wenn die Aktivierung während dieses unmittelbaren
Versuchs fehlschlägt, nimmt der Client die Aktivierungsversuche mit Zeitfenster wieder auf. Wenn die Aktivierung aufgrund eines
Netzwerkfehlers fehlschlägt, wird die Aktivierung bei Wiederherstellung der Netzwerkverbindung erneut versucht, auch wenn der
Wert in MISSTHRESHOLD nicht überschritten wurde. Wenn ein Benutzer sich abmeldet, bevor das Aktivierungszeitfenster erreicht
ist, wird bei der nächsten Anmeldung ein neues Zeitfenster zugewiesen.
[HKCU/Software/CREDANT/ActivationSlot] (Daten pro Benutzer)
Verzögerungszeit bis zum Versuch der Aktivierung mit Zeitfenster, die eingestellt wird, wenn sich der Benutzer zum ersten Mal
beim Netzwerk anmeldet, nachdem die Aktivierung mit Zeitfenster aktiviert wurde. Das Aktivierungszeitfenster wird für jeden
Aktivierungsversuch neu berechnet.
[HKCU/Software/CREDANT/SlotAttemptCount] (Daten pro Benutzer)
Anzahl der fehlgeschlagenen oder verpassten Versuche, wenn das Zeitfenster beginnt und ein Aktivierungsversuch gestartet wird,
aber fehlschlägt. Wenn diese Anzahl den in ACTIVATION_SLOT_MISSTHRESHOLD festgelegten Wert erreicht, versucht der
Computer bei der Verbindung mit dem Netzwerk noch eine einzige Aktivierung.
Um nicht verwaltete Benutzer auf dem Client-Computer zu ermitteln, stellen Sie den folgenden Registrierungswert auf dem Client-
Computer ein:
[HKLM\SOFTWARE\Credant\CMGShield\ManagedUsers\]
"UnmanagedUserDetected"=DWORD value:1
Nicht verwaltete Benutzer auf diesem Computer ermitteln = 1
Nicht verwaltete Benutzer nicht auf diesem Computer ermitteln = 0
Um die automatische Reaktivierung im Hintergrund zu aktivieren, für den seltenen Fall, dass ein Benutzer deaktiviert wird, muss der
folgende Registrierungseintrag auf dem Client-Computer festgelegt werden:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CMGShield]
„AutoReactivation=dword:00000001
0 = Deaktiviert (Standardeinstellung)
1 = Aktiviert
Die Systemdatenverschlüsselung (System Data Encryption, SDE) wird auf Basis des Richtlinienwerts für SDE-Verschlüsselungsregeln
durchgesetzt. Zusätzliche Verzeichnisse werden standardmäßig geschützt, wenn die Richtlinie „SDE-Verschlüsselung – Aktiviert“
markiert ist. Weitere Informationen nden Sie unter dem Stichwort „SDE-Verschlüsselungsregeln“ in der Adminhilfe. Wenn der
Encryption-Client eine Richtlinienaktualisierung mit einer aktiven SDE-Richtlinie verarbeitet, wird das aktuelle Benutzerprolverzeichnis
standardmäßig mit dem Benutzerschlüssel SDUser verschlüsselt, und nicht mit dem Geräteschlüssel SDE. Der SDUser-Schlüssel wird
außerdem zur Verschlüsselung von Dateien oder Ordnern verwendet, die in ein Benutzerverzeichnis kopiert (nicht verschoben) werden,
das nicht mit SDE verschlüsselt ist.
Erstellen Sie den folgenden Registrierungseintrag auf dem Computer, um den SDUser-Schlüssel zu deaktivieren und stattdessen den
SDE-Schlüssel für die Verschlüsselung dieser Benutzerverzeichnisse zu verwenden:
[HKEY_LOCAL_MACHINE\SOFTWARE\Credant\CMGShield]
„EnableSDUserKeyUsage“=dword:00000000
Wenn dieser Registrierungsschlüssel nicht vorhanden ist oder einen anderen Wert aufweist als 0, wird der SDUser-Schlüssel für die
Verschlüsselung dieser Benutzerverzeichnisse verwendet.
24 Dell Data Protection | Endpoint Security Suite
Registrierungseinstellungen
Weitere Informationen über SDUser nden Sie unter www.dell.com/support/article/us/en/19/SLN304916.
Stellen Sie den Registrierungseintrag EnableNGMetadata ein, wenn Probleme im Zusammenhang mit Microsoft-Updates auf
Computern mit gemeinsamen mittels Schlüssel verschlüsselten Daten oder mit der Verschlüsselung, der Entschlüsselung oder dem
Entpacken einer großen Anzahl von Dateien in einem Ordner auftreten.
Stellen Sie den Registrierungseintrag EnableNGMetadata an folgendem Pfad ein:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CmgShieldFFE]
"EnableNGMetadata" = dword:1
0 = Deaktiviert (Standardeinstellung)
1 = Aktiviert
Wenn Sie die Funktion zur Nicht-Domänen-Aktivierung aktivieren möchten, wenden Sie sich bitte an den Dell ProSupport, um die
entsprechenden Anweisungen zu erhalten.
Threat Protection-Client –
Registrierungseinstellungen
Threat Protection-Ereignisse, die der Client an den EE-Server/VE-Server sendet, werden nicht automatisch auf dem Client-Computer
archiviert. Stellen Sie den folgenden Registrierungsschlüssel ein, um Ereignisse auf dem Client-Computer zu archivieren, z. B. wenn kein
Zugri auf den EE-Server/VE-Server verfügbar ist.
[HKLM\Software\Dell\Dell Data Protection\ThreatProtection]
„ArchiveEvents“=dword:1
0=Deaktiviert, 1=Aktiviert
Die Ausführlichkeit des Protokolls ist in der Standardeinstellung auf „Warnung“ gesetzt. Zum Kongurieren der Ausführlichkeit des
Debug-Protokolls stellen Sie den folgenden Registrierungsschlüssel ein:
[HKLM\Software\Dell\Dell Data Protection]
„LogVerbosity“=dword:10
10=Debugging-Ausführlichkeit
Auf dem Client-Computer werden Popup-Benachrichtigungen angezeigt, wenn eine Bedrohung festgestellt wird. Stellen Sie diesen
Registrierungsschlüssel auf 1, um die Benachrichtigungen zu unterdrücken.
[HKLM\Software\Dell\Dell Data Protection]
"DDPTPHideToasters"=dword:1
0=Deaktiviert (Standardeinstellung), 1=Aktiviert (unterdrückte Benachrichtigungen)
Um Benachrichtigungen für die niedrigste Sicherheitsstufe anzuzeigen, legen Sie den folgenden Registrierungsschlüssel fest.
[HKLM\Software\Dell\Dell Data Protection]
„DDPTPEventSeverityFilter“=dword:3
0=Information (es werden alle Ereignisse angezeigt), 1=Warnung, 2=Niedrig, 3=Hoch (standardmäßig werden nur die folgenden
Kategorien angezeigt: Hoch und Kritisch), 4=Kritisch
Wenn „DDPTPHideToasters“ auf 1 gesetzt ist, werden die Einstellungen für „DDPTPEventSeverityFilter“ ignoriert.
Dell Data Protection | Endpoint Security Suite
Registrierungseinstellungen
25
SED-Client – Registrierungseinstellungen
Fügen Sie den folgenden Registrierungswert hinzu, um das Wiederholungsintervall festzulegen, wenn der EE-Server/VE-Server nicht
mit dem SED-Client kommunizieren kann.
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
CommErrorSleepSecs“=dword:300
Dieser Wert steht für die Anzahl der Sekunden, die der SED-Client abwartet, bis er erneut versucht, den EE-Server/VE-Server zu
kontaktieren, wenn dieser nicht mit dem SED-Client kommunizieren kann. Der Standardwert lautet 300 Sekunden (5 Minuten).
Falls auf dem EE-Server/VE-Server für SED Management ein selbstsigniertes Zertikat verwendet wird, muss die SSL/TLS-
Vertrauensprüfung auf dem Client-Computer deaktiviert bleiben (bei SED Management ist sie standardmäßig deaktiviert). Vor dem
Aktivieren der SSL/TLS-Vertrauensprüfung auf dem Client-Computer müssen die folgenden Voraussetzungen erfüllt sein.
Ein von einer Stammzertizierungsstelle wie Ensign oder Verisign signiertes Zertikat muss in den EE-Server/VE-Server importiert
werden.
Die vollständige Vertrauenskette des Zertikats muss im Microsoft Keystore des Client-Computers gespeichert werden.
Um die SSL/TLS-Vertrauensprüfung für SED Management zu aktivieren, ändern Sie den Wert des folgenden
Registrierungseintrags auf dem Client-Computer in 0.
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
„DisableSSLCertTrust“=DWORD:0
0 = Aktiviert
1 = Deaktiviert
Um Smart Cards mit der Windows-Authentizierung zu verwenden, muss der folgende Registrierungswert auf dem Client-Computer
eingestellt sein.
[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]
"MSSmartcardSupport"=dword:1
Zur Verwendung von Smartcards mit der Preboot-Authentizierung muss der folgende Registrierungswert auf dem Client-Computer
eingestellt werden: Setzen Sie außerdem in der Remote Management Console die Richtlinie für die Authentizierungsmethode auf
Smart Card, und bestätigen Sie die Änderung.
[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]
"MSSmartcardSupport"=dword:1
Um festzustellen, ob die PBA aktiviert ist, stellen Sie sicher, dass der folgende Wert festgelegt ist:
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent\Parameters]
"PBAIsActivated"=DWORD (32-bit):1
Der Wert „1“ bedeutet, dass die PBA aktiviert ist. Der Wert „0“ bedeutet, dass die PBA nicht aktiviert ist.
Um das Intervall festzulegen, in dem der SED-Client versucht, den EE-Server/VE-Server anzusprechen, wenn dieser nicht in der Lage
ist, mit dem SED-Client zu kommunizieren, denieren Sie den folgenden Wert auf dem Client-Computer:
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
"CommErrorSleepSecs"=DWORD Value:300
26 Dell Data Protection | Endpoint Security Suite
Registrierungseinstellungen
Dieser Wert steht für die Anzahl der Sekunden, die der SED-Client abwartet, bis er erneut versucht, den EE-Server/VE-Server zu
kontaktieren, wenn dieser nicht mit dem SED-Client kommunizieren kann. Der Standardwert lautet 300 Sekunden (5 Minuten).
Bei der Erstinstallation wird der Standort des Security Server-Hosts festgelegt. Diesen können Sie bei Bedarf ändern. Die
Hostinformationen werden bei jeder Richtlinienänderung durch den Client-Computer gelesen. Ändern Sie den folgenden
Registrierungswert auf dem Client-Computer:
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]
"ServerHost"=REG_SZ:<neuer Name>.<Organisation>.com
Bei der Erstinstallation wird der Standort des Security Server-Ports festgelegt. Diesen können Sie bei Bedarf ändern. Dieser Wert wird
bei jeder Richtlinienänderung durch den Clientcomputer gelesen. Ändern Sie den folgenden Registrierungswert auf dem Client-
Computer:
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]
ServerPort=REG_SZ:8888
Bei der Erstinstallation wird die URL des Security Server-Ports festgelegt. Diese können Sie bei Bedarf ändern. Dieser Wert wird bei
jeder Richtlinienänderung durch den Clientcomputer gelesen. Ändern Sie den folgenden Registrierungswert auf dem Client-Computer:
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent]
"ServerUrl"=REG_SZ:https://<neuer Name>.<Organisation>.com:8888/agent
Advanced Authentication-Client –
Registrierungseinstellungen
Wenn Sie nicht möchten, dass der Advanced Authentication-Client (Security Tools) die Dienste in Verbindung mit Smart Cards und
biometrischen Geräten in den Starttyp „Automatisch“ ändert, deaktivieren Sie die Funktion zum Starten von Diensten. Das Deaktivieren
der Funktion bewirkt auch, dass keine Warnmeldungen in Verbindung zu den nicht ausgeführten Diensten angezeigt werden.
Ist diese Funktion deaktiviert, unternimmt Security Tools für folgende drei Dienste keinen Startversuch:
SCardSvr – Verwaltet den Zugang zu den von einem Computer gelesenen Smartcards. Wird dieser Dienst gestoppt, kann der
Computer keine Smartcards lesen. Wird dieser Dienst deaktiviert, können alle direkt davon abhängigen Dienste nicht gestartet
werden.
SCPolicySvc – Ermöglicht es, das System so zu kongurieren, dass der Benutzer-Desktop bei Entfernen der Smartcard gesperrt
wird.
WbioSrvc – Der Biometrie-Dienst von Windows ermöglicht es Client-Anwendungen, biometrische Daten ohne direkten Zugri auf
Biometrie-Hardware oder -Proben zu erfassen, zu vergleichen, zu ändern und zu speichern. Der Dienst wird in einem bevorzugten
SVCHOST-Prozess gehostet.
Falls der Registrierungsschlüssel nicht existiert oder auf 0 gesetzt ist, ist diese Funktion standardmäßig aktiviert.
[HKLM\SOFTWARE\DELL\Dell Data Protection]
SmartCardServiceCheck=REG_DWORD:0
0 = Aktiviert
1 = Deaktiviert
Um Smart Cards mit der Windows-Authentizierung zu verwenden, muss der folgende Registrierungswert auf dem Client-Computer
eingestellt sein.
[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]
"MSSmartcardSupport"=dword:1
Dell Data Protection | Endpoint Security Suite
Registrierungseinstellungen
27
Um Smart Cards mit der SED-Preboot-Authentizierung zu verwenden, muss der folgende Registrierungswert auf dem mit SED
ausgestatteten Client-Computer eingestellt sein.
[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]
"MSSmartcardSupport"=dword:1
Setzen Sie in der Remote Management Console die Richtlinie für die Authentizierungsmethode auf Smart Card, und bestätigen Sie die
Änderung.
BitLocker Manager-Client –
Registrierungseinstellungen
Falls auf dem EE-Server/VE-Server für BitLocker Manager ein selbstsigniertes Zertikat verwendet wird, muss die SSL/TLS-
Vertrauensprüfung auf dem Client-Computer deaktiviert bleiben (bei BitLocker Manager ist sie standardmäßig deaktiviert). Vor dem
Aktivieren der SSL/TLS-Vertrauensprüfung auf dem Client-Computer müssen die folgenden Voraussetzungen erfüllt sein.
Ein von einer Stammzertizierungsstelle wie Ensign oder Verisign signiertes Zertikat muss in den EE-Server/VE-Server importiert
werden.
Die vollständige Vertrauenskette des Zertikats muss im Microsoft Keystore des Client-Computers gespeichert werden.
Um die SSL/TLS-Vertrauensprüfung für BitLocker Manager zu aktivieren, ändern Sie den Wert des folgenden
Registrierungseintrags auf dem Client-Computer in 0.
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
„DisableSSLCertTrust“=DWORD:0
0 = Aktiviert
1 = Deaktiviert
28 Dell Data Protection | Endpoint Security Suite
Registrierungseinstellungen
Installation unter Verwendung des ESS-Master-
Installationsprogramms
Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten.
Um die Installation unter Verwendung nicht standardmäßiger Ports durchzuführen, verwenden Sie untergeordnete
Installationsprogramme anstelle des ESS-Master-Installationsprogramms.
Die Protokolldateien des ESSmaster-Installationsprogramms benden sich unter C:\ProgramData\Dell\Dell Data Protection\Installer.
Weisen Sie die Benutzer an, sich mit dem folgenden Dokument und den Hilfedateien vertraut zu machen, um Unterstützung bei der
Anwendung zu erhalten:
Informationen zur Verwendung der Funktionen von Encryption-Client nden Sie im Hilfedokument Dell Encrypt Help. Hier können
Sie auf die Hilfe zugreifen: <Install dir>:\Program Files\Dell\Dell Data Protection\Encryption\Help.
Informationen zur Verwendung der Funktionen von External Media Shield nden Sie im Hilfedokument EMS Help. Hier können Sie
auf die Hilfe zugreifen: <Install dir>:\Program Files\Dell\Dell Data Protection\Encryption\EMS.
Weitere Informationen zur Verwendung der Funktionen Advanced Authentication und Threat Protection nden Sie in der Endpoint
Security Suite-Hilfe . Greifen Sie auf die Hilfe über <Install dir>:\Program Files\Dell\Dell Data Protection\Endpoint Security Suite
\Threat Protection\Help auf.
Nach Abschluss der Installation sollten Endbenutzer die Richtlinien aktualisieren, indem sie in der Taskleiste mit der rechten Maustaste
auf das Symbol für „Dell Data Protection“ klicken und die Option Nach Richtlinienaktualisierungen suchen auswählen.
Das ESS-Master-Installationsprogramm installiert die gesamte Suite von Produkten. Es gibt zwei Methoden zur Installation unter
Verwendung des ESS-Master-Installationsprogramms. Wählen Sie eine der folgenden Optionen aus:
Interaktive Installation unter Verwendung des ESS-Master-Installationsprogramms
oder
Installation durch Befehlszeile mit dem ESS-Master Installationsprogramm
Interaktive Installation unter Verwendung des ESS-
Master Installationsprogramms
Das ESS-Master-Installationsprogramm nden Sie hier:
Über Ihr Dell FTP-Konto – Suchen Sie das Installationspaket unter DDP-Endpoint-Security-Suite-1.x.x.xxx.zip
Verwenden Sie diese Anweisungen für die interaktive Installation von Dell Endpoint Security Suite über das ESS-Master-
Installationsprogramm. Sie können dieses Verfahren anwenden, um die gesamte Produkt-Suite gleichzeitig auf einem Computer zu
installieren.
1 Suchen Sie die Datei DDPSuite.exe auf dem Dell-Installationsmedium. Kopieren Sie sie auf den lokalen Computer.
2 Doppelklicken Sie auf , um das Installationsprogramm zu starten. Dieser Vorgang kann mehrere Minuten dauern.
3 Klicken Sie im Dialogfeld „Willkommen“ auf Weiter.
4 Lesen Sie die Lizenzvereinbarung, akzeptieren Sie die Bedingungen, und klicken Sie auf Weiter.
5 Geben Sie im Feld Name des Enterprise Servers den vollständigen Hostnamen des EE-Servers/VE-Servers ein, mit dem der
Zielbenutzer verwaltet werden soll, z. B. server.organisation.de.
Geben Sie im Feld URL des Device Servers die URL des Device Servers (Security Servers) ein, mit dem der Client kommunizieren soll.
4
Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung des ESS-Master-Installationsprogramms
29
autet das Format wie folgt: https://server.organization.com:8443/xapi/ (einschließlich des nachfolgenden Schrägstrichs).
Klicken Sie auf Weiter.
6 Klicken Sie auf Weiter, um die Produkte im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection\. zu speichern. Dell
recommends installing in the default location only, da bei der Installation an anderen Speicherorten Probleme auftreten könnten.
7 Wählen Sie die zu installierenden Komponenten aus.
Security Framework installiert das unterliegende Sicherheitsrahmenwerk und Security Tools, den erweiterten Authentizierungs-Client,
der mehrere Authentizierungsmethoden verwaltet, darunter PBA und Anmeldeinformationen wie Fingerabdrücke und Passwörter.
Advanced Authentication installiert die Dateien und die erforderlichen Services für Advanced Authentication.
Encryption installiert den Encryption-Client, die Komponente, die Sicherheitsrichtlinien durchsetzt, egal ob ein Computer mit dem
Netzwerk verbunden oder vom Netzwerk getrennt ist, verloren gegangen ist oder gestohlen wurde.
Threat Protection installiert die Threat Protection-Clients, die aus folgenden Komponenten bestehen: Malware-Schutz und
Virenschutz zum Suchen nach Viren, Spyware und unerwünschten Programmen, Client-Firewall zur Überwachung der
Datenübertragung zwischen dem Computer und Ressourcen im Netzwerk und im Internet sowie Web-Filtering zum Anzeigen von
Sicherheitsbewertungen oder Blockieren des Zugris auf Websites während der Online-Navigation.
BitLocker Manager installiert den BitLocker Manager-Client, der speziell auf die Verbesserung der Sicherheit von BitLocker-
Bereitstellungen ausgelegt ist. Er sorgt für Vereinfachung und senkt gleichzeitig die Betriebskosten durch eine zentralisierte
Verwaltung der BitLocker- Verschlüsselungsrichtlinien.
Advanced Threat Protection installiert den Advanced Threat Prevention-Client, den Virenschutz der nächsten Generation, der
algorithmische Wissenschaft und maschinelles Lernen einsetzt, um bekannte sowie unbekannte Cyber-Bedrohungen zu identizieren,
zu klassizieren und von der Ausführung bzw. der Beschädigung von Endpunkten abzuhalten.
ANMERKUNG: Threat Protection und Advanced Threat Protection dürfen nicht auf demselben Computer vorhanden
sein. Das Installationsprogramm verhindert automatisch die Auswahl beider Komponenten gleichzeitig. Falls Sie
Advanced Threat Prevention installieren möchten, laden Sie das erweiterte Endpoint Security Suite-
Installationshandbuch für Unternehmen herunter, und lesen Sie die darin enthaltenen Anweisungen.
Klicken Sie auf Weiter, wenn Ihre Auswahl abgeschlossen sind.
8 Klicken Sie auf Installieren, um mit der Installation zu beginnen. Die Installation kann mehrere Minuten dauern.
9 Wählen Sie Ja, ich möchte meinen Computer jetzt neu starten aus, und klicken Sie auf Fertig stellen.
Damit ist die Installation abgeschlossen.
Installation durch Befehlszeile mit dem ESS-Master
Installationsprogramm
Bei einer Installation über die Befehlszeile müssen die Schalter zuerst angegeben werden. Andere Parameter gehen in ein Argument ein,
das an den /v-Schalter weitergegeben wird.
Schalter
In der folgenden Tabelle werden die Schalter beschrieben, die mit dem ESS-Master-Installationsprogramm verwendet werden können.
Schalter Beschreibung
-y -gm2 Vorab-Extrahierung des ESS-Master Installationsprogramms. Die Schalter -y und -gm2 müssen zusammen
verwendet werden.
Trennen Sie sie bitte nicht.
/S Installation im Hintergrund
/z Gibt Variablen an die MSI-Datei innerhalb der DDPSuite.exe-Datei weiter.
30 Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung des ESS-Master-Installationsprogramms
Parameter
In der folgenden Tabelle werden die Parameter beschrieben, die mit dem ESS-Master-Installationsprogramm verwendet werden können.
Das ESS-Master-Installationsprogramm kann keine einzelnen Komponenten ausschließen, aber kann Befehle empfangen, um
anzugeben, welche Komponenten installiert werden sollen.
Parameter Beschreibung
SUPPRESSREBOOT Unterbindet nach Abschluss der Installation den automatischen Neustart. Kann im HINTERGRUND-Modus
verwendet werden.
SERVER Gibt die URL des EE-Servers/VE-Servers an.
InstallPath Gibt den Pfad für die Installation an. Kann im HINTERGRUND-Modus verwendet werden.
FUNKTIONEN Gibt die Komponenten an, die im HINTERGRUND-Modus installiert werden können.
DE-TP = Threat Protection and Encryption
DE = Drive Encryption (Laufwerksverschlüsselung) (Encryption-Client)
BLM = BitLocker Manager
SED = Self-encrypting Drive management (Verwaltung eines selbstverschlüsselnde Laufwerks) (EMAgent/
Manager, PBA/GPE-Treiber)
BLM_ONLY=1 Muss verwendet werden, wenn FEATURES=BLM in der Befehlszeile verwendet wird, um das SED
Management-Plugin auszuschließen.
Beispiel für eine Befehlszeile
Bei den Befehlszeilenparametern ist die Groß- und Kleinschreibung zu beachten.
In diesem Beispiel wird lediglich ESSE Manager unter Verwendung des ESS-Master-Installationsprogramms auf Standardports, im
Hintergrund und am Standardspeicherort C:\Program Files\Dell\Dell Data Protection\ installiert und für die Verwendung des
angegebenen EE-Servers/VE-Servers konguriert.
"DDPSuite.exe" -y -gm2 /S /z"\"SERVER=server.organization.com\""
In diesem Beispiel wird Threat Protection and Encryption
nur
unter Verwendung des ESS-Master-Installationsprogramms auf
Standardports, im Hintergrund und am Standardspeicherort C:\Programme\Dell\Dell Data Protection\ installiert und für die
Verwendung des angegebenen EE-Servers/VE-Servers konguriert.
"DDPSuite.exe" -y -gm2 /S /z"\"SERVER=server.organization.com, FEATURES=DE-TP\""
In diesem Beispiel wird Threat Protection, Encryption und SED Management unter Verwendung des ESS-Master-
Installationsprogramms auf Standardports, im Hintergrund und am Standardspeicherort C:\Program Files\Dell\Dell Data Protection\
installiert und für die Verwendung des angegebenen EE-Servers/VE-Servers konguriert.
"DDPSuite.exe" -y -gm2 /S /z"\"SERVER=server.organization.com, FEATURES=DE-TP, SED,
SUPPRESSREBOOT=1\""
Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung des ESS-Master-Installationsprogramms
31
Deinstallation unter Verwendung des ESS-
Master-Installationsprogramms
Jede Komponente muss einzeln deinstalliert werden, gefolgt von der Deinstallation des ESS-Master-Installationsprogramms. Die Clients
müssen in einer bestimmten Reihenfolge deinstalliert werden, um Fehler bei der Deinstallation zu vermeiden.
Folgen Sie den Anweisungen unter Untergeordnete Installationsprogramme aus dem ESS-Master-Installationsprogramm zum Abrufen
von untergeordneten Installationsprogrammen.
Stellen Sie sicher, dass Sie für die Deinstallation dieselbe Version des ESS-Master-Installationsprogramms (und damit der Clients)
verwenden, wie bei der Installation.
Dieses Kapitel verweist auf weitere Kapitel, die ausführliche Informationen zum Deinstallieren der untergeordneten
Installationsprogramme enthalten. In diesem Kapitel wird nur der letzte Schritt beschrieben, die Deinstallation des ESS-Master-
Installationsprogramms.
Deinstallieren Sie die Clients in der folgenden Reihenfolge.
aThreat Protection-Clients deinstallieren.
bEncryption-Client deinstallieren.
cSED- und Advanced Authentication-Clients deinstallieren.
dBitLocker Manager-Client deinstallieren.
Das Treiberpaket muss nicht deinstalliert werden.
Fahren Sie mit dem Schritt ESS-Master-Installationsprogramm deinstallieren fort.
ESS-Master-Installationsprogramm deinstallieren
Nach der Deinstallation der einzelnen Clients kann nun auch das ESS-Master Installationsprogramm deinstalliert werden.
Deinstallation über die Befehlszeile
Im folgenden Beispiel wird das ESS-Master-Installationsprogramm im Hintergrund deinstalliert.
"DDPSuite.exe" -y -gm2 /S /x
Führen Sie einen Neustart des Computers durch, wenn Sie fertig sind.
5
32 Dell Data Protection | Endpoint Security Suite
Deinstallation unter Verwendung des ESS-Master-Installationsprogramms
Installation unter Verwendung der
untergeordneten Installationsprogramme
Um jeden einzelnen Client separat zu installieren, müssen die untergeordneten ausführbaren Dateien aus dem ESS -Master
Installationsprogramm extrahiert werden, wie in Extrahieren der untergeordneten Installationsprogramme aus dem ESS-Master
Installationsprogramm gezeigt.
Bei in diesem Abschnitt enthaltenen Befehlsbeispielen wird davon ausgegangen, dass die Befehle von C:\extracted ausgeführt werden.
Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten.
Stellen Sie sicher, dass Werte, die ein oder mehrere Sonderzeichen enthalten, z. B. eine Leerstelle in der Befehlszeile, zwischen in
Escape-Zeichen gesetzte Anführungszeichen gesetzt werden.
Verwenden Sie diese Installationsprogramme zur Installation der Clients. Nutzen Sie dazu eine skriptgesteuerte Installation,
Batchdateien oder eine andere verfügbare Push-Technologie.
Der Neustart wurde in den Befehlszeilenbeispielen unterdrückt. Es ist jedoch ein abschließender Neustart erforderlich. Die
Verschlüsselung kann erst nach dem Neustart des Computers beginnen.
Protokolldateien – Windows erstellt eindeutige Installationsprotokolldateien des untergeordneten Installationsprogramms für den
angemeldeten Benutzers unter „%Temp%“ mit dem folgenden Verzeichnispfad C:\Users\<UserName>\AppData\Local\Temp.
Falls Sie sich dafür entscheiden, beim Ausführen des Installationsprogramms eine separate Protokolldatei hinzuzufügen, stellen Sie
sicher, dass die Protokolldatei einen eindeutigen Namen hat, da Protokolldateien des untergeordneten Installationsprogramms keine
Anhänge zulassen. Der Standard-MSI-Befehl kann dazu verwendet werden, um eine Protokolldatei durch die Verwendung von /l*v C:
\<any directory>\<any log le name>.log zu erstellen.
Für Installationen über die Befehlszeile verwenden alle untergeordneten Installationsprogramme, soweit nicht anders angegeben, die
gleichen grundlegenden .msi-Schalter und Anzeigeoptionen. Die Schalter müssen zuerst angegeben werden. Der /v-Schalter ist
erforderlich und benötigt ein Argument. Andere Parameter gehen in ein Argument ein, das an den /v-Schalter weitergegeben wird.
Anzeigeoptionen können am Ende des Arguments angegeben werden, das an den /v-Schalter weitergegeben wird, um das erwartete
Verhalten zu erzielen. Verwenden Sie /q und /qn nicht in derselben Befehlszeile. Verwenden Sie ! und - nur nach /qb.
Schalter Erläuterung
/v Gibt Variablen an die .msi-Datei innerhalb der setup.exe-Datei weiter. Der Inhalt muss
immer von Anführungszeichen in Klartext umrahmt sein.
/s Im Hintergrund
/x Deinstallationsmodus
/a Administrative Installation (mit Kopieren aller Dateien in der .msi)
ANMERKUNG:
Mit /v stehen die Microsoft Standardoptionen zur Verfügung. Eine Liste der Optionen nden Sie unter https://
msdn.microsoft.com/en-us/library/windows/desktop/aa367988(v=vs.85).aspx.
6
Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung der untergeordneten Installationsprogramme
33
Option Erläuterung
/q Kein Fortschrittsdialogfeld, führt nach Abschluss der Installation selbstständig einen
Neustart durch
/qb Fortschrittsdialogfeld mit der Schaltäche Abbrechen, fordert zum Neustart auf
/qb- Fortschrittsdialogfeld mit der Schaltäche Abbrechen, führt nach Abschluss des
Vorgangs selbstständig einen Neustart durch
/qb! Fortschrittsdialogfeld ohne die Schaltäche Abbrechen, fordert zum Neustart auf
/qb!- Fortschrittsdialogfeld ohne die Schaltäche Abbrechen, führt nach Abschluss des
Vorgangs selbständig einen Neustart durch
/qn Keine Benutzeroberäche
/norestart Neustart unterdrücken
Weisen Sie die Benutzer an, sich mit dem folgenden Dokument und den Hilfedateien vertraut zu machen, um Unterstützung bei der
Anwendung zu erhalten:
Informationen zur Verwendung der Funktionen von Encryption-Client nden Sie im Hilfedokument Dell Encrypt Help. Hier können
Sie auf die Hilfe zugreifen: <Install dir>:\Program Files\Dell\Dell Data Protection\Encryption\Help.
Informationen zur Verwendung der Funktionen von External Media Shield nden Sie im Hilfedokument EMS Help. Hier können Sie
auf die Hilfe zugreifen: <Install dir>:\Program Files\Dell\Dell Data Protection\Encryption\EMS.
Weitere Informationen zur Verwendung der Funktionen Advanced Authentication und Threat Protection nden Sie in der Endpoint
Security Suite-Hilfe, . Greifen Sie auf die Hilfe über <Install dir>:\Program Files\Dell\Dell Data Protection\Endpoint Security Suite
\Threat Protection\Help zu.
Treiber installieren
Treiber und Firmware für ControlVault, Fingerabdruckleser und Smart Cards sind nicht im ESS -Master-Installationsprogramm oder in
den untergeordneten ausführbaren Installationsdateien enthalten. Treiber und Firmware müssen jederzeit auf dem aktuellen Stand sein
und können nach Auswahl des jeweiligen Computermodells von der Website http://www.dell.com/support heruntergeladen werden.
Laden Sie die jeweiligen Treiber und die Firmware basierend auf Ihrer Authentizierungshardware herunter.
• ControlVault
NEXT Biometrics Fingerprint-Treiber
Validity Fingerprint Reader 495-Treiber
O2Micro Smart Card-Treiber
Falls Sie Hardware installieren möchten, die nicht von Dell stammt, müssen Sie die aktualisierten Treiber und die Firmware von der
Website des jeweiligen Herstellers herunterladen.
Encryption-Client installieren
Lesen Sie den Abschnitt Encryption-Client-Anforderungen, wenn Ihr Unternehmen ein Zertikat verwendet, das von einer Stammstelle
signiert wurde, z. B. EnTrust oder Verisign. Zur Aktivierung der Zertikatsprüfung muss eine Registrierungseinstellung auf dem Client-
Computer geändert werden.
Nach Abschluss der Installation sollten Endbenutzer die Richtlinien aktualisieren, indem sie in der Taskleiste mit der rechten Maustaste
auf das Symbol für „Dell Data Protection“ klicken und die Option Nach Richtlinienaktualisierungen suchen auswählen.
Das Encryption-Client-Installationsprogramm kann wie folgt bezogen werden:
Über Ihr Dell FTP-Konto – Suchen Sie das Installationspaket in der Datei DDP-Endpoint-Security-Suite-1.x.x.xxx.zip, und
extrahieren Sie dann die untergeordneten Installationsprogramme aus dem ESS-Master-Installationsprogramm. Suchen Sie nach
dem Extrahieren die Datei unter C:\extracted\Encryption.
34 Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung der untergeordneten Installationsprogramme
Installation über die Befehlszeile
Die folgende Tabelle umfasst die für die Installation verfügbaren Parameter.
Parameter
SERVERHOSTNAME=<ServerName> (Vollqualizierter Domänenname des Dell Servers für erneute Aktivierung)
POLICYPROXYHOSTNAME=<RGKName> (Vollqualizierter Domänenname des Standard-Richtlinien-Proxys)
MANAGEDDOMAIN=<MyDomain> (Für das Gerät zu verwendende Domäne)
DEVICESERVERURL=<DeviceServerName/SecurityServerName> (Zur Aktivierung verwendet URL; enthält normalerweise
Servernamen, Port und xapi)
GKPORT=<NewGKPort> (Gatekeeper-Port)
MACHINEID=<MachineName> (Computername)
RECOVERYID=<RecoveryID> (Wiederherstellungs-ID)
REBOOT=ReallySuppress (Null ermöglicht automatische Neustarts, ReallySuppress deaktiviert den Neustart)
HIDEOVERLAYICONS=1 (0 aktiviert Overlay-Symbole, 1 deaktiviert Overlay-Symbole)
HIDESYSTRAYICON=1 (0 aktiviert das Taskleistensymbol, 1 deaktiviert das Taskleistensymbol)
Eine Liste der grundlegenden .msi-Schalter und Anzeigeoptionen, die in Befehlszeilen verwendet werden können, nden Sie unter
Installation unter Verwendung der untergeordneten Installationsprogramme.
Die folgende Tabelle zeigt Details zusätzlicher optionaler Parameter im Zusammenhang mit der Aktivierung.
Parameter
SLOTTEDACTIVATON=1 (0 deaktiviert verzögerte/geplante Aktivierungen, 1 aktiviert verzögerte/geplante Aktivierungen)
SLOTINTERVAL=30.300 (Plant Aktivierungen anhand der Angabe x,x, wobei der erste Wert die untere Grenze des Zeitplans und der
zweite Wert die obere Grenze ist – in Sekunden)
CALREPEAT=300 (MUSS gleich wie oder höher als der in SLOTINTERVAL festgelegte obere Grenzwert sein. Anzahl der Sekunden,
die der Encryption-Client wartet, bevor ein Aktivierungsversuch basierend auf SLOTINTERVAL generiert wird.)
Beispiel für eine Befehlszeile
Im folgenden Beispiel wird der Client mit den Standardparametern installiert (Encryption-Client, für Freigabe verschlüsseln, kein
Dialogfeld, keine Statusanzeige, automatischer Neustart, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data
Protection).
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ /qn"
MSI-Befehl:
msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress"
SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com"
MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/"
Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung der untergeordneten Installationsprogramme
35
Im folgenden Beispiel werden der Encryption-Client und die Option „Für Freigabe verschlüsseln“ installiert, das DDP-Taskleistensymbol
und die Overlay-Symbole werden ausgeblendet, es gibt keine Dialogfelder, keine Statusanzeige und keinen Neustart, und die Installation
erfolgt im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection..
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ HIDESYSTRAYICON=1 HIDEOVERLAYICONS=1
REBOOT=ReallySuppress /qn"
MSI-Befehl:
msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress"
SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com"
MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/"
HIDESYSTRAYICON="1" HIDEOVERLAYICONS="1"
ANMERKUNG:
Einige ältere Clients erfordern unter Umständen Escape-Zeichen \" um die Werte von Parametern. Beispiel:
DDPE_XXbit_setup.exe /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER=
\"server.organization.com\" DA_PORT=\"8050\" SVCPN=\"administrator@organization.com\"
DA_RUNAS=\"domain\username\" DA_RUNASPWD=\"password\" /qn"
Installieren von Threat Protection Clients
Threat Protection und Advanced Threat Prevention dürfen sich nicht auf demselben Computer benden. Installieren Sie nicht beide
Komponenten auf demselben Computer, da es ansonsten zu Kompatibilitätsproblemen kommt. Falls Sie Advanced Threat Prevention
installieren möchten, laden Sie das erweiterte Endpoint Security Suite-Installationshandbuch für Unternehmen herunter, und lesen Sie
die darin enthaltenen Anweisungen.
Die Installationsprogramme müssen in einer bestimmten Reihenfolge ausgeführt werden. Werden die Komponenten in der falschen
Reihenfolge installiert, kommt es zu einer fehlerhaften Installation. Führen Sie die Installationsprogramme in der folgenden Reihenfolge
aus:
1\Sicherheit Tools (Thread Protection erfordert die Dell Client Security Framework-Komponente).
2\Security Tools\Authentication (Security Tools und Auth sollten zusammen installiert werden)
3 Der Encryption-Client ist erforderlich für die Komponenten Threat Protection . Eine Beispielinstallation nden Sie unter Beispiel für
eine Befehlszeile.
4 Threat Protection-Clients, gemäß Abbildung unter Installation über die Befehlszeile.
Die Installationsprogramme für SED und den Advanced Authentication-Client benden sich unter:
Über Ihr Dell-FTP-Konto – Suchen Sie das Installationspaket in der Datei „DDP-Endpoint-Security-Suite-1.x.x.xxx.zip, und
extrahieren Sie dann die untergeordneten Installationsprogramme aus dem ESS-Master-Installationsprogramm. Suchen Sie nach der
Extrahierung die Datei unter C:\extracted\Security Tools und C:\extracted\Security Tools\Authentication.
Das Encryption-Client-Installationsprogramm kann wie folgt bezogen werden:
Über Ihr Dell-FTP-Konto – Suchen Sie das Installationspaket in der Datei „DDP-Endpoint-Security-Suite-1.x.x.xxx.zip, und
extrahieren Sie dann die untergeordneten Installationsprogramme aus dem ESS-Master-Installationsprogramm. Suchen Sie nach
dem Extrahieren die Datei unter C:\extracted\Encryption.
Die Threat Protection-Client-Installationsprogramme können wie folgt bezogen werden:
Über Ihr Dell-FTP-Konto – Suchen Sie das Installationspaket in der Datei „DDP-Endpoint-Security-Suite-1.x.x.xxx.zip, und
extrahieren Sie dann die untergeordneten Installationsprogramme aus dem ESS-Master-Installationsprogramm. Machen Sie die
Datei nach der Extrahierung unter C:\extracted\Dell Threat Protection ausndig.
Installation über die Befehlszeile
Die folgende Tabelle enthält die für die Datei EnsMgmtSdkInstaller.exe erforderlichen Parameter.
36 Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung der untergeordneten Installationsprogramme
Parameter Beschreibung
LoadCert Lädt das Zertikat am angegebenen Verzeichnis.
Die folgende Tabelle enthält die für die Datei setupEP.exe erforderlichen Parameter.
Parameter Beschreibung
ADDLOCAL="tp,fw,wc" Identiziert die zu installierenden Module:
tp=Threat Protection
fw=Client-Firewall
wc=Web-Schutz
ANMERKUNG: Alle drei Module müssen installiert werden.
override "hips" Installation von Host Intrusion Prevention nicht durchführen.
INSTALLDIR Kein standardmäßiges Installationsverzeichnis.
nocontentupdate Weist das Installationsprogramm an, die Inhaltsdateien im Rahmen der Installation nicht
automatisch zu aktualisieren. Dell empehlt, umgehend nach der Installation eine
Aktualisierung einzuplanen.
nopreservesettings Keine Einstellungen speichern.
Die folgende Tabelle enthält die für die Datei DellThreatProtection.msi erforderlichen Parameter.
Parameter Beschreibung
Reboot=ReallySuppress Neustart wird unterdrückt.
ARP 0 = Kein Eintrag unter Programme hinzufügen/entfernen
1 = Eintrag unter Programme hinzufügen/entfernen
Die folgende Tabelle stellt die für die Datei EnsMgmtSdkInstaller.exe erforderlichen Parameter dar.
Parameter Beschreibung
ProtectProcesses Gibt den Dateinamen und den Speicherort der zu schützenden Prozessen an.
InstallSDK Installiert den SDK am angegebenen Speicherort.
RemoveRightClick Entfernt die Rechtsklickoption für Endbenutzer.
RemoveMcTray Entfernt die Taskleiste.
Beispiel für eine Befehlszeile
\Dell Threat Protection\SDK
Durch den folgenden Befehl werden die Standardparameter für das Zertikat geladen.
"Dell Threat Protection\SDK\EnsMgmtSdkInstaller.exe" -LoadCert >"C:\ProgramData\Dell\Dell Data
Protection\Installer Logs\McAfeeSDKInstallerBeforeEndPoint.log"
ANMERKUNG:
Bei einem Upgrade kann dieses Installationsprogramm übersprungen werden.
Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung der untergeordneten Installationsprogramme
37
Dann:
\Dell Threat Protection\EndPointSecurity
Im folgenden Beispiel werden Threat Protection, Web Protection und Client Firewall mit Standard-Parametern (Hintergrundmodus,
Installation von Threat Protection, Client Firewall und Web Protection, Überschreiben der Host Intrusion Prevention, keine
Inhaltsaktualisierung, keine Speicherung der Einstellungen) installiert.
"Dell Threat Protection\EndPointSecurity\EPsetup.exe" ADDLOCAL="tp,fw,wc" /override"hips" /
nocontentupdate /nopreservesettings /qn
Dann:
\Dell Threat Protection\ThreatProtection\WinXXR
Im folgenden Beispiel wird der Client mit den Standard-Parametern installiert (Unterdrückung des Neustarts, keine Dialogfelder, keine
Fortschrittsleiste, kein Eintrag in die Liste der Programme in der Systemsteuerung).
"Dell Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi" /qn
REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1
\Dell Threat Protection\SDK
Im folgenden Beispiel wird der Threat Protection-SDK deinstalliert.
"Dell Threat Protection\SDK\EnsMgmtSdkInstaller.exe" -ProtectProcesses "C:\Program Files\Dell
\Dell Data Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick -
RemoveMcTray >"C:\ProgramData\Dell\Dell Data Protection\Installer Logs
\McAfeeSDKInstallerAfterEndPoint.log"
SED Management- und Advanced Authentication-
Clients installieren
Für Advanced Authentication in Version 8.x ist der SED-Client erforderlich.
Überprüfen Sie die SED-Client-Anforderungen, wenn Ihr Unternehmen ein Zertikat verwendet, das von einer Stammstelle, wie z. B.
EnTrust oder Verisign, signiert wurde. Zur Aktivierung der SSL/TLS-Vertrauensprüfung muss eine Registrierungseinstellung auf dem
Client-Computer geändert werden.
Benutzer melden sich mit ihren Windows-Anmeldeinformationen an der PBA an.
Die Installationsprogramme für SED und den Advanced Authentication-Client benden sich unter:
Über Ihr Dell FTP-Konto – Suchen Sie das Installationspaket in der Datei DDP-Endpoint-Security-Suite-1.x.x.xxx.zip, und
extrahieren Sie dann die untergeordneten Installationsprogramme aus dem ESS-Master-Installationsprogramm. Suchen Sie nach der
Extrahierung die Datei unter C:\extracted\Security Tools und C:\extracted\Security Tools\Authentication.
Installation über die Befehlszeile
Die folgende Tabelle umfasst die für die Installation verfügbaren Parameter.
Parameter
CM_EDITION=1 <Remote Management>
INSTALLDIR=<Installationsort ändern>
SERVERHOST=<securityserver.organization.com>
SERVERPORT=8888
SECURITYSERVERHOST=<securityserver.organisation.de>
38 Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung der untergeordneten Installationsprogramme
Parameter
SECURITYSERVERPORT=8443
ARPSYSTEMCOMPONENT=1 <kein Eintrag in der Liste der Programme in der Systemsteuerung>
Eine Liste der grundlegenden .msi-Schalter und Anzeigeoptionen, die in Befehlszeilen verwendet werden können, nden Sie unter
Installation unter Verwendung der untergeordneten Installationsprogramme.
Beispiel für eine Befehlszeile
\Security Tools
Im folgenden Beispiel wird ein remote verwaltetes SED installiert (automatische Installation, kein Neustart, kein Eintrag in der Liste der
Programme in der Systemsteuerung, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 /
norestart /qn"
Dann:
\Security Tools\Authentication
Im folgenden Beispiel wird Advanced Authentication installiert (Installation im Hintergrund, kein Neustart).
setup.exe /s /v"/norestart /qn ARPSYSTEMCOMPONENT=1"
BitLocker Manager-Client installieren
Überprüfen Sie Anforderungen für den BitLocker Manager-Client, wenn Ihr Unternehmen ein Zertikat verwendet, das von einer
Stammstelle, wie z. B. EnTrust oder Verisign, signiert wurde. Zur Aktivierung der SSL/TLS-Vertrauensprüfung muss eine
Registrierungseinstellung auf dem Client-Computer geändert werden.
Die BtLocker Manager-Installationsprogramme können wie folgt bezogen werden:
Über Ihr Dell FTP-Konto – Suchen Sie das Installationspaket in der Datei DDP-Endpoint-Security-Suite-1.x.x.xxx.zip, und
extrahieren Sie dann die untergeordneten Installationsprogramme aus dem ESS-Master-Installationsprogramm. Suchen Sie nach
dem Extrahierungsvorgang die Datei im folgenden Verzeichnis: C:\extracted\Security Tools.
Installation über die Befehlszeile
Die folgende Tabelle umfasst die für die Installation verfügbaren Parameter.
Parameter
CM_EDITION=1 <Remote Management>
INSTALLDIR=<Installationsort ändern>
SERVERHOST=<securityserver.organization.com>
SERVERPORT=8888
SECURITYSERVERHOST=<securityserver.organisation.de>
SECURITYSERVERPORT=8443
FEATURE=BLM <nur Installation von BitLocker Manager>
Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung der untergeordneten Installationsprogramme
39
Parameter
FEATURE=BLM,SED <Installation von BitLocker Manager mit SED>
ARPSYSTEMCOMPONENT=1 <kein Eintrag in der Liste der Programme in der Systemsteuerung>
Eine Liste der grundlegenden .msi-Schalter und Anzeigeoptionen, die in Befehlszeilen verwendet werden können, nden Sie unter
Installation unter Verwendung der untergeordneten Installationsprogramme.
Beispiel für eine Befehlszeile
Im folgenden Beispiel wird nur BitLocker Manager installiert (automatische Installation, kein Neustart, kein Eintrag in der Liste der
Programme in der Systemsteuerung, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM /norestart /qn"
Im folgenden Beispiel wird BitLocker Manager mit SED installiert (automatische Installation, kein Neustart, kein Eintrag in der Liste der
Programme in der Systemsteuerung, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM,SED /
norestart /qn"
40 Dell Data Protection | Endpoint Security Suite
Installation unter Verwendung der untergeordneten Installationsprogramme
Deinstallation unter Verwendung der
untergeordneten Installationsprogramme
Um jeden Client einzeln zu deinstallieren, müssen die untergeordneten ausführbaren Dateien zuerst aus dem ESS -Master-
Installationsprogramm extrahiert werden, wie unter Extrahieren der untergeordneten Installationsprogramme aus dem ESS-Master-
Installationsprogramm angezeigt. Führen Sie alternativ dazu eine administrative Installation zum Extrahieren der .msi aus.
Stellen Sie sicher, dass Sie für die Deinstallation dieselben Client-Versionen verwenden wie bei der Installation.
Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten.
Stellen Sie sicher, dass Werte, die ein oder mehrere Sonderzeichen enthalten, z. B. eine Leerstelle in der Befehlszeile, zwischen in
Escape-Zeichen gesetzte Anführungszeichen gesetzt werden. Bei den Befehlszeilenparametern ist die Groß- und Kleinschreibung zu
beachten.
Verwenden Sie diese Installationsprogramme zur Deinstallation der Clients. Nutzen Sie dazu eine skriptgesteuerte Installation,
Batchdateien oder eine andere verfügbare Push-Technologie.
Protokolldateien – Windows erstellt eindeutige Deinstallationsprotokolldateien des untergeordneten Installationsprogramms für den
angemeldeten Benutzer unter C:\Users\<UserName>\AppData\Local\Temp.
Falls Sie sich dafür entscheiden, beim Ausführen des Installationsprogramms eine separate Protokolldatei hinzuzufügen, stellen Sie
sicher, dass die Protokolldatei einen eindeutigen Namen hat, da Protokolldateien des untergeordneten Installationsprogramms keine
Anhänge zulassen. Mit dem standardmäßigen .msi-Befehl kann eine Protokolldatei unter Verwendung von /l C:\<any directory>\<any
log le name>.log erstellt werden. Der Benutzername und das Passwort werden in der Protokolldatei aufgezeichnet, daher rät Dell von
der Verwendung von "/l*v" (ausführliche Protokollierung) bei der Deinstallation über die Befehlszeile ab.
Für Deinstallationen über die Befehlszeile verwenden alle untergeordneten Installationsprogramme, soweit nicht anders angegeben, die
gleichen grundlegenden .msi-Schalter und Anzeigeoptionen. Die Schalter müssen zuerst angegeben werden. Der /v-Schalter ist
erforderlich und benötigt ein Argument. Andere Parameter gehen in ein Argument ein, das an den /v-Schalter weitergegeben wird.
Anzeigeoptionen können am Ende des Arguments angegeben werden, das an den /v-Schalter weitergegeben wird, um das erwartete
Verhalten zu erzielen. Verwenden Sie /q und /qn nicht in derselben Befehlszeile. Verwenden Sie ! und - nur nach /qb.
Schalter Erläuterung
/v Gibt Variablen an die .msi-Datei innerhalb der setup.exe-Datei weiter. Der Inhalt muss
immer von Anführungszeichen in Klartext umrahmt sein.
/s Im Hintergrund
/x Deinstallationsmodus
/a Administrative Installation (mit Kopieren aller Dateien in der .msi)
ANMERKUNG:
Mit /v stehen die Microsoft Standardoptionen zur Verfügung. Eine Liste der Optionen nden Sie unter https://
msdn.microsoft.com/en-us/library/windows/desktop/aa367988(v=vs.85).aspx .
7
Dell Data Protection | Endpoint Security Suite
Deinstallation unter Verwendung der untergeordneten Installationsprogramme
41
Option Erläuterung
/q Kein Fortschrittsdialogfeld, führt nach Abschluss der Installation selbstständig einen
Neustart durch
/qb Fortschrittsdialogfeld mit der Schaltäche Abbrechen, fordert zum Neustart auf
/qb- Fortschrittsdialogfeld mit der Schaltäche Abbrechen, führt nach Abschluss des
Vorgangs selbstständig einen Neustart durch
/qb! Fortschrittsdialogfeld ohne die Schaltäche Abbrechen, fordert zum Neustart auf
/qb!- Fortschrittsdialogfeld ohne die Schaltäche Abbrechen, führt nach Abschluss des
Vorgangs selbständig einen Neustart durch
/qn Keine Benutzeroberäche
Threat Protection-Clients deinstallieren
Deinstallation über die Befehlszeile
Nach der Extraktion aus dem ESS-Master-Installationsprogramm kann sich das Threat Protection -Client-Installationsprogramm unter
C:\extracted\Dell Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi benden.
Wechseln Sie in den Bereich „Programme hinzufügen/entfernen“ der Systemsteuerung, und deinstallieren Sie die folgenden
Komponenten in der angegebenen Reihenfolge.
McAfee Endpoint Security Firewall
McAfee Endpoint Security Threat Prevention
McAfee Endpoint Security Web Control
McAfee Agent
• Dann:
Im folgenden Beispiel werden der Threat Protection-Client deinstalliert.
MSIEXEC.EXE /x "DellThreatProtection.msi"
Client für Verschlüsselung deinstallieren
Entfernen Sie mithilfe des Windows Festplattenbereinigungs-Assistenten temporäre Dateien und andere nicht benötigte Daten, um den
Zeitaufwand für die Entschlüsselung zu verringern.
Führen Sie die Entschlüsselung nach Möglichkeit über Nacht durch.
Schalten Sie den Energiesparmodus aus, um zu verhindern, dass ein unbeaufsichtigter Computer in diesen Modus umschaltet. Im
Energiesparmodus kann keine Entschlüsselung erfolgen.
Schließen Sie alle Prozesse und Anwendungen, um Entschlüsselungsfehler aufgrund gesperrter Dateien zu vermeiden.
Sobald die Deinstallation abgeschlossen ist und die Entschlüsselung läuft, deaktivieren Sie die gesamte Netzwerkkonnektivität.
Andernfalls werden womöglich neue Richtlinien erfasst, mit denen die Verschlüsselung wieder aktiviert wird.
Befolgen Sie das übliche Verfahren für die Verschlüsselung von Daten, z. B. die Ausgabe einer Richtlinienaktualisierung.
Zu Beginn einer Shield-Deinstallation aktualisieren Windows Shields den EE-Server/VE-Server, um den Status in Ungeschützt zu
ändern. Wenn der Client jedoch keine Verbindung zum EE-Server/VE-Server herstellen kann, ist keine Statusaktualisierung möglich. In
diesem Fall müssen Sie ein manuelles Entfernen des Endpunkts in der Remote-Verwaltungskonsole durchführen. Falls Ihr Unternehmen
diese Vorgehensweise im Rahmen der Compliance einsetzt, empehlt Dell, zu überprüfen, ob in der Remote-Verwaltungskonsole oder in
Compliance Reporter erwartungsgemäß der Status Ungeschützt erscheint.
42 Dell Data Protection | Endpoint Security Suite
Deinstallation unter Verwendung der untergeordneten Installationsprogramme
Verfahren
Vor der Deinstallation nden Sie weitere Informationen unter (Optional) Encryption Removal Agent-Protokolldatei anlegen. Diese
Protokolldatei erleichtert das Beheben von Fehlern, die unter Umständen beim Deinstallieren/Entschlüsseln auftreten. Falls Sie Dateien
während der Deinstallation nicht entschlüsseln möchten, müssen Sie keine Encryption Removal Agent-Protokolldatei anlegen.
Der Key Server (und EE-Server) müssen vor der Deinstallation konguriert werden, falls Sie die Option Encryption Removal Agent lädt
Schlüssel von Server herunter verwenden möchten. Weitere Informationen nden Sie unter Key Server für die Deinstallation von auf
EE-Server aktiviertem Encryption-Client kongurieren. Falls der zu deaktivierende Client auf einem VE-Server aktiviert ist, sind keine
weiteren Maßnahmen erforderlich, da der VE-Server den Key Server nicht verwendet.
Sie müssen vor dem Starten des Encryption Removal Agent das Dell Administrator-Download-Dienstprogramm (CMGAd) verwenden,
falls Sie die Option Encryption Removal Agent importiert Schlüssel aus Datei verwenden möchten. Über dieses Dienstprogramm
erhalten Sie das Verschlüsselungsschlüsselpaket. Weitere Informationen nden Sie unter Administrator-Download-Dienstprogramms
verwenden (CMGAd). Das Dienstprogramm ist auf dem Dell Installationsmedium enthalten.
Führen nach Abschluss der Deinstallation aber vor dem Neustart des Computers WSScan aus, um sicherzustellen, dass alle Daten
entschlüsselt wurden. Siehe WSScan verwenden, um Anweisungen zu erhalten.
Führen Sie gelegentlich Überprüfen des Encryption-Removal-Agent-Status durch. Die Datenentschlüsselung läuft noch, falls der
Encryption Removal Agent-Dienst weiterhin im Dialogfeld „Dienste“ angezeigt wird.
Deinstallation über die Befehlszeile
Nach der Extraktion aus dem ESS -Master-Installationsprogramm bendet sich das Installationsprogramm für den Client für die
Verschlüsselung unter C:\extracted\Encryption\DDPE_XXbit_setup.exe.
Die folgende Tabelle umfasst die für die Deinstallation verfügbaren Parameter.
Parameter Auswahl
CMG_DECRYPT Eigenschaft zur Auswahl des Installationstyps des Encryption
Removal Agent
3 – LSARecovery-Paket verwenden
2 – Zuvor heruntergeladenes Material für forensischen Schlüssel
verwenden
1 – Schlüssel vom Dell Server herunterladen
0 – Encryption Removal Agent nicht installieren
CMGSILENTMODE Eigenschaft für Deinstallation im Hintergrund:
1 – Im Hintergrund
0 – Nicht im Hintergrund
Erforderliche Eigenschaften
DA_SERVER Vollständig qualizierter Hostname (FQHN) für den EE-Server,
auf dem die Vermittlungssitzung gehostet wird.
DA_PORT EE-Server-Port für die Anfrage (die Standardeinstellung ist 8050).
SVCPN Benutzername im UPN-Format, unter dem der Key Server-Dienst
beim EE-Server angemeldet ist.
DA_RUNAS Benutzername im mit SAM kompatiblen Format, unter dem die
Anfrage zum Schlüsselabruf erfolgt. Dieser Benutzer muss in der
Key Server-Liste des EE-Servers enthalten sein.
Dell Data Protection | Endpoint Security Suite
Deinstallation unter Verwendung der untergeordneten Installationsprogramme
43
Parameter Auswahl
DA_RUNASPWD Passwort für den RUNAS-Benutzer.
FORENSIC_ADMIN Das forensische Administratorkonto auf dem Dell Server, das für
forensische Anfragen für Deinstallationen oder Schlüssel
verwendet werden kann.
FORENSIC_ADMIN_PWD Das Passwort für das Konto „Forensischer Administrator“.
Optionale Eigenschaften
SVCLOGONUN Benutzername im UPN-Format zur Anmeldung beim Encryption
Removal Agent-Dienst als Parameter.
SVCLOGONPWD Passwort für die Anmeldung als Benutzer.
Im folgenden Beispiel werden im Hintergrund der Encryption-Client deinstalliert und die Verschlüsselungsschlüssel vom EE-Server
heruntergeladen.
DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1 DA_SERVER=server.organization.com
DA_PORT=8050 SVCPN=administrator@organization.com DA_RUNAS=domain\username
DA_RUNASPWD=password /qn"
MSI-Befehl:
msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress"
CMG_DECRYPT="1" CMGSILENTMODE="1" DA_SERVER="server.organization.com" DA_PORT="8050"
SVCPN="administrator@domain.com" DA_RUNAS="domain\username" DA_RUNASPWD="password" /qn
Führen Sie einen Neustart des Computers durch, wenn Sie fertig sind.
Im folgenden Beispiel werden im Hintergrund der Encryption-Client deinstalliert und die Verschlüsselungsschlüssel über ein Konto vom
Typ „Forensischer Administrator“ heruntergeladen.
DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1
FORENSIC_ADMIN=forensicadmin@organization.com FORENSIC_ADMIN_PWD=tempchangeit /qn"
MSI-Befehl:
msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn CMG_DECRYPT=1 CMGSILENTMODE=1
FORENSIC_ADMIN=forensicadmin@organization.com FORENSIC_ADMIN_PWD=tempchangeit
REBOOT=REALLYSUPPRESS
Führen Sie einen Neustart des Computers durch, wenn Sie fertig sind.
WICHTIG:
Dell empehlt die folgenden Aktionen bei Verwendung eines forensischen Administratorkennworts in der Befehlszeile:
1 Erstellen Sie in der Remote Management Console ein Konto vom Typ „Forensischer Administrator“ zum Durchführen der
Deinstallation im Hintergrund.
2 Verwenden Sie für dieses Konto ein temporäres und befristetes Passwort.
3 Nach Abschluss der Deinstallation im Hintergrund entfernen Sie das temporäre Konto dann aus der Liste der Administratoren oder
ändern das entsprechende Passwort.
ANMERKUNG:
Einige ältere Clients erfordern unter Umständen Escape-Zeichen \" um die Werte von Parametern. Beispiel:
DDPE_XXbit_setup.exe /x /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER=
\"server.organization.com\" DA_PORT=\"8050\" SVCPN=\"administrator@organization.com\"
DA_RUNAS=\"domain\username\" DA_RUNASPWD=\"password\" /qn"
44 Dell Data Protection | Endpoint Security Suite
Deinstallation unter Verwendung der untergeordneten Installationsprogramme
Deinstallation der SED- und Advanced Authentication-
Clients
Zur PBA-Deaktivierung muss eine Netzwerkverbindung zum EE-Server/VE-Server bestehen.
Verfahren
Deaktivieren Sie die PBA; dabei werden alle PBA-Daten vom Computer entfernt und die SED-Schlüssel entsperrt.
Deinstallieren Sie den SED-Client.
Deinstallieren Sie den Advanced Authentication-Client.
PBA deaktivieren
1 Melden Sie sich als Dell Administrator bei der Remote Management Console an.
2 Klicken Sie im linken Bereich auf Schutz und Verwaltung > Endpunkte.
3 Wählen Sie den entsprechenden Endpunkttyp aus.
4 Wählen Sie Anzeigen >Sichtbar, Ausgeblendet oder Alle aus.
5 Wenn der Hostname des Computers bekannt ist, geben Sie ihn im Feld „Hostname“ ein (Platzhalter werden unterstützt). Sie können
das Feld leer lassen, um alle Computer anzuzeigen. Klicken Sie auf Suchen.
Wenn Sie den Hostnamen nicht kennen, machen Sie den Computer in der Liste ausndig.
Je nach Suchlter wird ein Computer oder eine Liste von Computern angezeigt.
6 Klicken Sie auf das Symbol Details des gewünschten Computers.
7 Klicken Sie im Hauptmenü auf Sicherheitsrichtlinien.
8 Wählen Sie Selbstverschlüsselnde Laufwerke aus dem Drop-down-Menü Richtlinienkategorie aus.
9 Erweitern Sie den Bereich SED-Verwaltung, und ändern Sie die Richtlinien SED-Verwaltung aktivieren und PBA aktivieren von
True in False.
10 Klicken Sie auf Speichern.
11 Klicken Sie im linken Bereich auf Aktionen > Richtlinien bestätigen.
12 Klicken Sie auf Änderungen anwenden.
Warten Sie, während die Richtlinie vom EE-Server/VE-Server auf den für die Deaktivierung vorgesehenen Computer übertragen wird.
Deinstallieren Sie nach der Deaktivierung von PBA den SED- und die Authentication-Clients.
Deinstallieren des SED-Clients und der Advanced
Authentication-Clients
Deinstallation über die Befehlszeile
Nach der Extrahierung aus dem ESS-Master-Installationsprogramm bendet sich das SED-Client-Installationsprogramm unter C:
\extracted\Security Tools\EMAgent_XXbit_setup.exe.
Nach der Extrahierung aus dem ESS-Master-Installationsprogramm bendet sich das SED-Client-Installationsprogramm unter C:
\extracted\Security Tools\Authentication\<x64/x86>\setup.exe.
Im folgenden Beispiel wird der SED-Client im Hintergrund deinstalliert.
EMAgent_XXbit_setup.exe /x /s /v" /qn"
Dell Data Protection | Endpoint Security Suite
Deinstallation unter Verwendung der untergeordneten Installationsprogramme
45
Wenn Sie fertig sind, fahren Sie den Computer herunter und starten Sie ihn neu.
Dann:
Im folgenden Beispiel wird der Advanced Authentication-Client im Hintergrund deinstalliert.
setup.exe /x /s /v" /qn"
Wenn Sie fertig sind, fahren Sie den Computer herunter und starten Sie ihn neu.
Deinstallation des BitLocker Manager-Clients
Deinstallation über die Befehlszeile
Nach der Extraktion aus dem ESS-Master-Installationsprogramm bendet sich das BitLocker-Installationsprogramm unter C:\extracted
\Security Tools\EMAgent_XXbit_setup.exe.
Im folgenden Beispiel wird der BitLocker Manager-Client im Hintergrund deinstalliert.
EMAgent_XXbit_setup.exe /x /s /v" /qn"
Führen Sie einen Neustart des Computers durch, wenn Sie fertig sind.
46 Dell Data Protection | Endpoint Security Suite
Deinstallation unter Verwendung der untergeordneten Installationsprogramme
Gängige Szenarien
Um jeden einzelnen Client separat zu installieren, müssen die untergeordneten ausführbaren Dateien aus dem ESS -Master
Installationsprogramm extrahiert werden, wie in Extrahieren der untergeordneten Installationsprogramme aus dem ESS-Master
Installationsprogramm gezeigt.
Da der SED-Client für Advanced Authentication in v8.x erforderlich ist, ist er in den nachfolgenden Beispielen Bestandteil der
Befehlszeile.
Bei den Befehlszeilenschaltern und -parametern ist die Groß- und Kleinschreibung zu beachten.
Stellen Sie sicher, dass Werte, die ein oder mehrere Sonderzeichen enthalten, z. B. eine Leerstelle in der Befehlszeile, zwischen in
Escape-Zeichen gesetzte Anführungszeichen gesetzt werden.
Verwenden Sie diese Installationsprogramme zur Installation der Clients. Nutzen Sie dazu eine skriptgesteuerte Installation,
Batchdateien oder eine andere verfügbare Push-Technologie.
Der Neustart wurde in den Befehlszeilenbeispielen unterdrückt. Es ist jedoch ein abschließender Neustart erforderlich. Die
Verschlüsselung kann erst nach dem Neustart des Computers beginnen.
Protokolldateien - Windows erstellt eindeutige Installationsprotokolldateien des untergeordneten Installationsprogramms für den
angemeldeten Benutzers unter „%Temp%“ mit dem folgenden Verzeichnispfad C:\Users\<UserName>\AppData\Local\Temp.
Falls Sie sich dafür entscheiden, beim Ausführen des Installationsprogramms eine separate Protokolldatei hinzuzufügen, stellen Sie
sicher, dass die Protokolldatei einen eindeutigen Namen hat, da Protokolldateien des untergeordneten Installationsprogramms keine
Anhänge zulassen. Der Standard-MSI-Befehl kann dazu verwendet werden, um eine Protokolldatei durch die Verwendung von /l*v C:
\<any directory>\<any log le name>.log zu erstellen.
Für Installationen über die Befehlszeile verwenden alle untergeordneten Installationsprogramme, soweit nicht anders angegeben, die
gleichen grundlegenden .msi-Schalter und Anzeigeoptionen. Die Schalter müssen zuerst angegeben werden. Der /v-Schalter ist
erforderlich und benötigt ein Argument. Andere Parameter gehen in ein Argument ein, das an den /v-Schalter weitergegeben wird.
Anzeigeoptionen können am Ende des Arguments angegeben werden, das an den /v-Schalter weitergegeben wird, um das erwartete
Verhalten zu erzielen. Verwenden Sie /q und /qn nicht in derselben Befehlszeile. Verwenden Sie ! und - nur nach /qb.
Schalter Erläuterung
/v Gibt Variablen an die .msi-Datei innerhalb der *.exe-Datei weiter.
/s Im Hintergrund
/i Installationsmodus
Option Erläuterung
/q Kein Fortschrittsdialogfeld, führt nach Abschluss der Installation selbstständig einen
Neustart durch
/qb Fortschrittsdialogfeld mit der Schaltäche Abbrechen, fordert zum Neustart auf
/qb- Fortschrittsdialogfeld mit der Schaltäche Abbrechen, führt nach Abschluss des
Vorgangs selbstständig einen Neustart durch
/qb! Fortschrittsdialogfeld ohne die Schaltäche Abbrechen, fordert zum Neustart auf
/qb!- Fortschrittsdialogfeld ohne die Schaltäche Abbrechen, führt nach Abschluss des
Vorgangs selbständig einen Neustart durch
8
Dell Data Protection | Endpoint Security Suite
Gängige Szenarien
47
Option Erläuterung
/qn Keine Benutzeroberäche
Weisen Sie die Benutzer an, sich mit dem folgenden Dokument und den Hilfedateien vertraut zu machen, um Unterstützung bei der
Anwendung zu erhalten:
Informationen zur Verwendung der Funktionen von Encryption-Client nden Sie im Hilfedokument Dell Encrypt Help. Hier können
Sie auf die Hilfe zugreifen: <Install dir>:\Program Files\Dell\Dell Data Protection\Encryption\Help.
Informationen zur Verwendung der Funktionen von External Media Shield nden Sie im Hilfedokument EMS Help. Sie können über
den folgenden Pfad auf die Hilfe zugreifen: <Install dir>:\Program Files\Dell\Dell Data Protection\Encryption\EMS
Weitere Informationen zur Verwendung der Funktionen Advanced Authentication und Threat Protection nden Sie in der Endpoint
Security Suite-Hilfe . Greifen Sie auf die Hilfe über <Install dir>:\Program Files\Dell\Dell Data Protection\Endpoint Security Suite
\Threat Protection\Help auf.
Encryption-Client, Threat Protection, und Advanced
Authentication
Im folgenden Beispiel wird ein remote verwaltetes SED installiert (automatische Installation, kein Neustart, kein Eintrag in der Liste der
Programme in der Systemsteuerung, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 /
norestart /qn"
Dann:
Im folgenden Beispiel wird Advanced Authentication installiert (Installation im Hintergrund, kein Neustart, Installation im
Standardverzeichnis C:\Program Files\Dell\Dell Data Protection\Authentication).
setup.exe /s /v"/norestart /qn ARPSYSTEMCOMPONENT=1"
Im folgenden Beispiel wird der Encryption-Client mit den standardmäßigen Parametern installiert (Encryption-Client und Für Freigabe
verschlüsseln, keine Dialogfelder, keine Statusanzeige, kein Neustart, Installation im Standardverzeichnis C:\Program Files\Dell\Dell
Data Protection).
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ /norestart /qn"
\Threat Protection\SDK
Durch den folgenden Befehl werden die Standardparameter für das Zertikat geladen.
EnsMgmtSdkInstaller.exe -LoadCert >"C:\ProgramData\Dell\Dell Data Protection\Installer Logs
\McAfeeSDKInstallerBeforeEndPoint.log"
ANMERKUNG:
Bei einem Upgrade kann dieses Installationsprogramm übersprungen werden.
Dann:
\Threat Protection\EndPointSecurity
Im folgenden Beispiel werden Threat Protection mit Standard-Parametern (Hintergrundmodus, Installation von Threat Protection, Client
Firewall und Web Protection, Überschreiben der Host Intrusion Prevention, keine Inhaltsaktualisierung, keine Speicherung der
Einstellungen) installiert.
setupEP.exe /qn ADDLOCAL="tp,fw,wc" /override"hips" /nocontentupdate /nopreservesettings /qn
Dann:
48 Dell Data Protection | Endpoint Security Suite
Gängige Szenarien
\Threat Protection\ThreatProtection\WinXXR
Im folgenden Beispiel wird der Client mit den Standard-Parametern installiert (Unterdrückung des Neustarts, keine Dialogfelder, keine
Fortschrittsleiste, kein Eintrag in die Liste der Programme in der Systemsteuerung).
"DellThreatProtection.msi" /qn REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1
\Threat Protection\SDK
Im folgenden Beispiel wird der Threat Protection-SDK deinstalliert.
EnsMgmtSdkInstaller.exe -ProtectProcesses "C:\Program Files\Dell\Dell Data Protection\Threat
Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >"C:\ProgramData\Dell
\Dell Data Protection\Installer Logs\McAfeeSDKInstallerAfterEndPoint.log"
Encryption-Client und Threat Protection
Im folgenden Beispiel werden die Treiber für Trusted Software Stack (TSS) für das TPM sowie Microsoft-Hotxes am angegebenen
Speicherort installiert, es wird kein Eintrag in der Programmliste der Systemsteuerung erstellt, und der Neustart wird unterdrückt.
Diese Treiber müssen bei der Installation des Verschlüsselungs-Clients installiert sein.
setup.exe /S /z"\"InstallPath=<c:\location>, ARPSYSTEMCOMPONENT=1, SUPPRESSREBOOT=1\""
Dann:
Im folgenden Beispiel wird der Encryption-Client mit den standardmäßigen Parametern installiert (Encryption-Client und Für Freigabe
verschlüsseln, keine Dialogfelder, keine Statusanzeige, kein Neustart, Installation im Standardverzeichnis C:\Program Files\Dell\Dell
Data Protection).
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ /norestart /qn"
Dann:
Im folgenden Beispiel wird der Threat Protection-Client mit den Standard-Parametern installiert (automatischer Modus, Installation von
Threat Protection, Client-Firewall und Web-Schutz, Überschreiben der Host Intrusion Prevention, keine Inhaltsaktualisierung, keine
Speicherung der Einstellungen).
setupEP.exe /qn ADDLOCAL="tp,fw,wc" /override"hips" /nocontentupdate /nopreservesettings
Dann:
Im folgenden Beispiel wird der Threat Protection-Client mit den Standardparametern installiert (Unterdrückung des Neustarts, keine
Dialogfelder, keine Fortschrittsleiste, Installation am angegebenen Speicherort C:\Program Files\Dell\Dell Data Protection, kein Eintrag
in die Liste der Programme in der Systemsteuerung).
MSIEXEC.EXE /I "DellThreatProtection.msi" /qn REBOOT=ReallySuppress INSTALLDIR="C:\Program
Files\Dell\Dell Data Protection\" ARPSYSTEMCOMPONENT=1 "
Dann:
Im folgenden Beispiel wird der Threat Protection-Client mit den Standard-Parametern installiert.
EnsMgmtSDKInstaller.exe -LoadCert -ProtectProcesses "C:\Program Files\Dell\Dell Data
Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >
"C:\ProgramData\Dell\Dell Data Protection\Installer Logs\SDKInstaller.log"
SED-Client (einschließlich Advanced Authentication)
und External Media Shield
Im folgenden Beispiel wird ein remote verwaltetes SED installiert (automatische Installation, kein Neustart, kein Eintrag in der Liste der
Programme in der Systemsteuerung, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 /
norestart /qn"
Dell Data Protection | Endpoint Security Suite
Gängige Szenarien
49
Dann:
Im folgenden Beispiel wird Advanced Authentication installiert (Installation im Hintergrund, kein Neustart, Installation im
Standardverzeichnis C:\Program Files\Dell\Dell Data Protection\Authentication).
setup.exe /s /v"/norestart /qn ARPSYSTEMCOMPONENT=1"
Dann:
Im folgenden Beispiel wird nur EME installiert (Installation im Hintergrund, kein Neustart, Installation im Standardverzeichnis C:\Program
Files\Dell\Dell Data Protection).
DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https://server.organization.com:8443/
xapi/ MANAGEDDOMAIN=ORGANIZATION /norestart /qn"
BitLocker Manager und External Media Shield
Im folgenden Beispiel wird BitLocker Manager installiert (automatische Installation, kein Neustart, kein Eintrag in der Liste der
Programme in der Systemsteuerung, Installation im Standardverzeichnis C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM /norestart /qn"
Dann:
Im folgenden Beispiel wird nur EME installiert (Installation im Hintergrund, kein Neustart, Installation im Standardverzeichnis C:\Program
Files\Dell\Dell Data Protection).
DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https://server.organization.com:8443/
xapi/ MANAGEDDOMAIN=ORGANIZATION /norestart /qn"
50 Dell Data Protection | Endpoint Security Suite
Gängige Szenarien
Vorinstallationskonguration für Einmalpasswort,
SED-UEFI und BitLocker
TPM initialisieren
Für diesen Vorgang müssen Sie Mitglied der lokalen Administratorgruppe oder dergleichen sein.
Der Computer muss mit einem kompatiblen BIOS und TPM ausgestattet sein.
Diese Aufgabe ist bei der Verwendung von Einmalpasswort erforderlich.
Folgen Sie den Anweisungen unter http://technet.microsoft.com/en-us/library/cc753140.aspx.
Vorinstallationskonguration für UEFI-Computer
Aktivieren der Netzwerkkonnektivität während der UEFI-
Preboot-Authentizierung
Damit die Preboot-Authentizierung auf einem Computer mit UEFI-Firmware erfolgreich verläuft, muss der PBA mit Netzwerkkonnektivität
ausgerüstet sein. Auf Computern mit UEFI-Firmware ist standardmäßig erst dann Netzwerkkonnektivität verfügbar, wenn das
Betriebssystem geladen wurde. Dies geschieht in der Regel nach dem PBA-Modus.
Mithilfe des folgenden Verfahrens wird die Netzwerkkonnektivität während der PBA für UEFI-fähige Computer aktiviert. Da die
Kongurationsschritte bei den verschiedenen UEFI-Computermodellen voneinander abweichen, ist das folgende Verfahren als allgemeines
Beispiel zu verstehen.
1 Starten Sie den Computer in die UEFI-Firmware-Konguration.
2 Drücken Sie während des Startvorgangs dauerhaft die Taste F2, bis rechts oben auf dem Bildschirm eine Meldung wie „Startmenü
wird geönet“ angezeigt wird.
3 Geben Sie nach Auorderung das BIOS-Administrator-Passwort ein.
ANMERKUNG:
Auf einem neuen Computer erhalten Sie diese Auorderung nicht, weil noch kein BIOS-Passwort eingerichtet worden
ist.
4 Wählen Sie die Option Systemkonguration aus.
5 Wählen Sie die Option Integrierte NIC aus.
6 Aktivieren Sie das Kontrollkästchen UEFI-Netzwerkstapel aktivieren.
7 Wählen Sie entweder die Option Aktiviert oder Mit PXE aktiviert.
8 Wählen Sie die Option Übernehmen aus.
ANMERKUNG:
Für Computer ohne UEFI-Firmware ist keine Konguration erforderlich.
9
Dell Data Protection | Endpoint Security Suite
Vorinstallationskonguration für Einmalpasswort, SED-UEFI und BitLocker
51
Deaktivierung von Legacy-Option-ROMs
Stellen Sie sicher, dass die Einstellung Legacy-Option-ROMs aktivieren im BIOS deaktiviert wurde.
1 Starten Sie den Computer neu.
2 Drücken Sie während des Neustarts wiederholt F12, um die Start-Einstellungen des UEFI-Computers aufzurufen.
3 Drücken Sie die Taste mit dem Pfeil nach unten, markieren Sie die Option BIOS-Einstellungen, und drücken Sie die Eingabetaste.
4 Wählen Sie Einstellungen > Allgemein > Erweiterte Startoptionen.
5 Heben Sie die Markierung des Kontrollkästchens Legacy-Option-ROMs aktivieren auf, und klicken Sie auf Übernehmen.
Vorinstallationskonguration zum Einrichten einer
BitLocker PBA-Partition
Die PBA-Partition muss vor der Installation von BitLocker Manager eingerichtet werden.
Schalten Sie das TPM ein und aktivieren Sie es, bevor Sie BitLocker Manager installieren. BitLocker Manager übernimmt die Zuweisung
des TPM (kein Neustart erforderlich). Wenn das TPM bereits zugewiesen ist, leitet BitLocker Manager den Einrichtungsvorgang für die
Verschlüsselung ein. Voraussetzung ist, dass das TPM zugewiesen wurde.
Sie müssen die Festplattenpartition ggf. manuell einrichten. Weitere Informationen nden Sie in der Beschreibung von Microsoft zum
BitLocker-Laufwerksvorbereitungs-Tool.
Verwenden Sie zum Einrichten der PBA-Partition den Befehl BdeHdCfg.exe. Der Parameter „default“ (Standard) gibt an, dass das
Befehlszeilentool dasselbe Verfahren wie der BitLocker-Einrichtungsassistent befolgt.
BdeHdCfg -target default
TIPP:
Weitere Optionen für den BdeHdCfg-Befehl nden Sie unter BdeHdCfg.exe-Referenzmaterial von
Microsoft.
52 Dell Data Protection | Endpoint Security Suite
Vorinstallationskonguration für Einmalpasswort, SED-UEFI und BitLocker
Gruppenrichtlinienobjekte am Domänencontroller
zum Aktivieren von Berechtigungen einrichten
Wenn Sie für Ihre Clients Berechtigungen für Dell Digital Delivery (DDD) festlegen möchten, folgen Sie den Anweisungen zum
Einrichten eines Gruppenrichtlinienobjekts (GPO) auf dem Domänencontroller (das muss nicht der Server sein, auf dem der EE-
Server/VE-Server ausgeführt wird), um diese Berechtigungen zu aktivieren.
Die Workstation muss Mitglied der Organisationseinheit sein, für die das Gruppenrichtlinienobjekt angewendet wird.
ANMERKUNG:
Achten Sie bitte darauf, dass der ausgehende Port 443 für die Kommunikation mit dem EE Server/VE Server verfügbar ist. Falls
der Port 443 (aus irgendeinem Grund) gesperrt ist, funktioniert die Berechtigungsfunktion nicht.
1Klicken Sie auf dem Domänencontroller, auf dem die Clients verwaltet werden sollen, auf Start > Verwaltung >
Gruppenrichtlinienverwaltung.
2 Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, für die Sie die Richtlinie anwenden möchten, und wählen Sie
Gruppenrichtlinienobjekt in dieser Domäne erstellen und hier verknüpfen... aus.
3 Geben Sie einen Namen für das neue Gruppenrichtlinienobjekt ein, wählen Sie unter „Anfangs-GPO-Quelle“ „(keine)“ aus, und klicken
Sie auf OK.
4 Klicken Sie mit der rechten Maustaste auf das neu erstellte Gruppenrichtlinienobjekt, und wählen Sie Bearbeiten aus.
5 Der Group Policy Management Editor wird geladen. Rufen Sie Computerkonguration > Einstellungen > Windows-Einstellungen >
Registrierung auf.
6 Klicken Sie mit der rechten Maustaste auf die Registrierung, und wählen Sie Neu > Registrierungseintrag aus. Nehmen Sie die
folgenden Einstellungen vor:
Action: Create
Hive: HKEY_LOCAL_MACHINE
Key Path: SOFTWARE\Dell\Dell Data Protection
Value name: Server
Value type: REG_SZ
Wertedaten: <IP-Adresse des EE-Servers/VE-Servers>
7 Klicken Sie auf OK.
8 Melden Sie sich von der Workstation ab und dann wieder an, oder führen Sie gpupdate /force aus, um die Gruppenrichtlinie zu
übernehmen.
10
Dell Data Protection | Endpoint Security Suite
Gruppenrichtlinienobjekte am Domänencontroller zum Aktivieren von Berechtigungen einrichten
53
Untergeordnete Installationsprogramme aus dem
ESS-Master-Installationsprogramm extrahieren
Zur Einzelinstallation der Clients müssen zunächst die untergeordneten ausführbaren Dateien aus dem Installationsprogramm extrahiert
werden.
Das ESS-Master-Installationsprogramm ist kein Master-Deinstallationsprogramm. Jeder Client muss einzeln deinstalliert werden, gefolgt
von der Deinstallation des ESS-Master-Installationsprogramms. Verwenden Sie dieses Verfahren zum Extrahieren der Clients aus dem
ESS-Master-Installationsprogramm, sodass sie für die Deinstallation verwendet werden können.
1 Kopieren Sie vom Dell-Installationsmedium die Datei DDPSuite.exe auf den lokalen Computer.
2Önen Sie am gleichen Speicherort wie die Datei DDPSuite.exe eine Eingabeauorderung, und geben Sie Folgendes ein:
DDPSuite.exe /z"\"EXTRACT_INSTALLERS=C:\extracted\""
Der Extraktionspfad darf maximal 63 Zeichen enthalten.
Stellen Sie vor Beginn des Installationsvorgangs sicher, dass alle Voraussetzungen erfüllt sind und die gesamte erforderliche Software
installiert wurde, und zwar für jedes untergeordnete Installationsprogramm, das Sie installieren möchten. Einzelheiten erhalten Sie im
Abschnitt Anforderungen.
Die extrahierten untergeordneten Installer benden sich unter C:\extracted\.
11
54 Dell Data Protection | Endpoint Security Suite
Untergeordnete Installationsprogramme aus dem ESS-Master-Installationsprogramm extrahieren
Konguration des Key Servers für die
Deinstallation des auf einem EE-Server
aktivierten Encryption-Clients
In diesem Abschnitt wird beschrieben, wie Komponenten für die Verwendung mit der Kerberos-Authentizierung/-Autorisierung bei
Verwendung eines EE-Servers konguriert werden. Der VE-Server verwendet den Key Server nicht.
Der Key Server ist ein Dienst, der überwacht, ob Clients eine Verbindung über ein Socket herstellen. Wenn ein Client einen
Verbindungsversuch unternimmt, wird mithilfe von Kerberos-APIs eine sichere Verbindung ausgehandelt, authentiziert und
verschlüsselt (wenn keine sichere Verbindung ausgehandelt werden kann, wird die Client-Verbindung getrennt).
Der Key Server überprüft dann auf dem Security Server (früher Device Server), ob der Benutzer, der den Client ausführt, auf Schlüssel
zugreifen darf. Dieser Zugri wird in der Remote Management Console über einzelne Domänen gewährt.
Wenn die Kerberos-Authentizierung/-Autorisierung verwendet werden soll, muss der Server, der die Key Server-Komponente enthält,
zur betroenen Domäne gehören.
Da der VE-Server den Key Server nicht verwendet, ist die typische Deinstallation beeinträchtigt. Wenn ein Encryption-Client
deinstalliert wird, der auf einem VE-Server aktiviert ist, wird anstelle der Kerberos-Methode des Key Servers der standardmäßige,
forensische Schlüsselabruf über den Security Server genutzt. Weitere Informationen nden Sie unter Befehlszeilen-Deinstallation.
Dialogfeld „Dienste" - Domänenbenutzerkonto
hinzufügen
1 Navigieren Sie auf dem EE-Server zum Dialogfeld „Dienste“ (Start > Ausführen... > services.msc > OK)
2 Klicken Sie mit der rechten Maustaste auf „Dell Key Server“ und wählen Sie Eigenschaften aus.
3 Rufen Sie die Registerkarte „Anmelden“ auf, und wählen Sie die Option Dieses Konto: aus.
Geben Sie in das Feld Dieses Konto: den gewünschten Domänenbenutzer ein. Dieser Domänenbenutzer muss mindestens über lokale
Administratorrechte für den Key Server-Ordner verfügen (er muss Schreibzugri für die Key Server-Kongurationsdatei und die Datei
„log.txt“ besitzen).
Geben Sie das Passwort für den Domänenbenutzer ein, und wiederholen Sie es.
Klicken Sie auf OK
4 Starten Sie den Key Server-Dienst neu (lassen Sie das Dialogfeld „Dienste“ für weitere Arbeitsschritte geönet).
5 Navigieren Sie zu „<Key Server-Installationsverzeichnis> log.txt, um zu überprüfen, ob der Dienst korrekt gestartet wurde.
Schlüsselserver-Kongurationsdatei - Fügen Sie
Benutzer für EE-Server-Kommunikation hinzu
1 Navigieren Sie zu <Key Server-Installationsverzeichnis>.
2Önen Sie Credant.KeyServer.exe.cong mit einem Texteditor.
3 Gehen Sie zu <add key="user" value="superadmin" /> und ändern Sie den Wert „superadmin“ in den Namen des entsprechenden
Benutzers (Sie können auch „superadmin“ stehen lassen).
12
Dell Data Protection | Endpoint Security Suite
Konguration des Key Servers für die Deinstallation des auf einem EE-Server aktivierten Encryption-Clients
55
Das Format von „superadmin“ kann eine beliebige Methode für die Authentizierung am EE-Server darstellen. Der SAM-Kontoname,
der UPN oder das Format „Domäne\Benutzername“ sind akzeptabel. Jede Methode, die sich beim Server authentizieren kann, ist
akzeptabel, da für dieses Benutzerkonto eine Überprüfung zur Autorisierung bei Active Directory erforderlich ist.
Beispiel: In einer Umgebung mit mehreren Domänen würde die Eingabe eines SAM-Kontonamens wie „mmustermann“ vermutlich
fehlschlagen, da der EE-Server „mmustermann“ nicht authentizieren kann, weil er den Namen nicht ndet. In einer Umgebung mit
mehreren Domänen wird der UPN empfohlen, obwohl das Format „Domäne\Benutzername“ akzeptabel ist. In einer Umgebung mit
einer Domäne kann der SAM-Kontoname verwendet werden.
4 Gehen Sie zu <add key="epw" value="<verschlüsselter Wert des Passworts>" /> und ändern Sie „epw“ in „password“. Ändern Sie
dann „<verschlüsselter Wert des Passworts>“ in das Passwort des Benutzers aus Schritt 3. Beim Neustart des EE-Servers wird
dieses Passwort neu verschlüsselt.
Wenn Sie in Schritt 3 „superadmin“ verwendet haben und das Superadmin-Passwort nicht „changeit“ lautet, muss es hier geändert
werden. Speichern und schließen Sie die Datei.
Beispielkongurationsdatei
<?xml version="1.0" encoding="utf-8" ?>
<conguration>
<appSettings>
<add key="port" value="8050" /> [TCP port the Key Server will listen to. Die Standardeinstellung ist 8050.]
<add key=”maxConnections” value=”2000” /> [Anzahl der vom Key Server zugelassenen Socketverbindungen]
<add key=”url” value=”https://keyserver.domain.com:8443/xapi/” /> [Security Server (früher: Device Server) URL (Format 8081/xapi
gilt für EE-Server vor Version 7.7)]
<add key="verifyCerticate" value="false" /> [Bei „true“ werden Zertikate überprüft. Legen Sie „false“ fest, wenn keine Überprüfung
erfolgen soll oder selbstsignierte Zertikate verwendet werden.]
<add key=”user” value=”superadmin” /> [Der für die Kommunikation mit dem Security Server verwendete Benutzername. Für diesen
Benutzer muss in der Remote Management Console die Administratorrolle ausgewählt sein. Das Format von „superadmin“ kann eine
beliebige Methode für die Authentizierung am EE-Server darstellen. Der SAM-Kontoname, der UPN oder das Format „Domäne
\Benutzername“ sind akzeptabel. Jede Methode, die sich beim Server authentizieren kann, ist akzeptabel, da für dieses Benutzerkonto
eine Überprüfung zur Autorisierung bei Active Directory erforderlich ist. Beispiel: In einer Umgebung mit mehreren Domänen würde die
Eingabe eines SAM-Kontonamens wie „mmustermann“ vermutlich fehlschlagen, da der EE-Server „mmustermann“ nicht authentizieren
kann, weil er den Namen nicht ndet. In einer Umgebung mit mehreren Domänen wird der UPN empfohlen, obwohl das Format „Domäne
\Benutzername“ akzeptabel ist. In einer Umgebung mit einer Domäne kann der SAM-Kontoname verwendet werden.]
<add key="cacheExpiration" value="30" /> [Wie oft (in Sekunden) der Dienst überprüfen soll, wer Schlüssel abrufen darf. Der Dienst
unterhält einen Cache und verfolgt dessen Alter. Wenn der Cache älter ist als der Wert, erhält er eine neue Liste. Wenn ein Benutzer eine
Verbindung herstellt, muss der Key Server autorisierte Benutzer vom Security Server herunterladen. Wenn kein Cache mit diesen
Benutzern existiert oder die Liste in den letzten n Sekunden nicht heruntergeladen wurde, wird sie erneut heruntergeladen. Es erfolgt keine
Abfrage, doch dieser Wert bestimmt, wie alt die Liste werden kann, bevor sie bei Bedarf aktualisiert wird.]
<add key="epw" value="encrypted value of the password" /> [Das für die Kommunikation mit dem Security Server verwendete Passwort.
Wenn das Superadmin-Passwort geändert wurde, muss es auch hier geändert werden.]
</appSettings>
</conguration>
56 Dell Data Protection | Endpoint Security Suite
Konguration des Key Servers für die Deinstallation des auf einem EE-Server aktivierten Encryption-Clients
Dialogfeld „Dienste“ - Key Server-Dienst neu starten
1 Gehen Sie zurück zum Dialogfeld „Dienste“ (Start > Ausführen... > services.msc > OK).
2 Führen Sie einen Neustart des Key Server-Dienstes durch.
3 Navigieren Sie zu „<Key Server-Installationsverzeichnis> log.txt“, um zu überprüfen, ob der Dienst korrekt gestartet wurde.
4 Schließen Sie das Dialogfeld „Dienste.
Remote Management-Konsole - Hinzufügen eines
forensischen Administrators
1 Melden Sie sich gegebenenfalls bei der Remote Management Console an.
2 Klicken Sie auf Bestückung > Domänen.
3 Wählen Sie die gewünschte Domäne aus.
4 Klicken Sie auf die Registerkarte Key Server.
5 Fügen Sie im Feld „Konto“ den Benutzer hinzu, der die Administratoraufgaben ausführt. Das Format lautet: DOMÄNE\Benutzername.
Klicken Sie auf Konto hinzufügen.
6 Klicken Sie im linken Menü auf Benutzer. Geben Sie in das Suchfeld den in Schritt 5 hinzugefügten Benutzernamen ein. Klicken Sie
auf Suchen.
7 Sobald der korrekte Benutzer gefunden wurde, klicken Sie auf die Registerkarte Admin.
8 Wählen Sie Forensischer Administrator und klicken Sie auf Aktualisieren.
Die Komponenten sind nun für die Kerberos-Authentizierung/-Autorisierung konguriert.
Dell Data Protection | Endpoint Security Suite
Konguration des Key Servers für die Deinstallation des auf einem EE-Server aktivierten Encryption-Clients
57
Verwenden Sie das administrative
Dienstprogramm zum Herunterladen (CMGAd)
Mit diesem Dienstprogramm können Sie Schlüsseldatenpakete zur Verwendung auf einem Computer herunterladen, der nicht mit einem
EE-Server/VE-Server verbunden ist.
Je nachdem, welche Befehlszeilenparameter an die Anwendung übergeben werden, verwendet das Dienstprogramm eine der folgenden
Methoden zum Herunterladen von Schlüsselpaketen:
Forensischer Modus – wird bei Ausführung des Befehlszeilenparameters -f verwendet, oder wenn kein Befehlszeilenparameter
verwendet wird.
Admin-Modus – wird bei Ausführung des Befehlszeilenparameters -a verwendet.
Die Protokolldateien benden sich unter C:\ProgramData\CmgAdmin.log
Verwenden des Administrator-Download-
Dienstprogramms im forensischen Modus
1 Doppelklicken Sie auf cmgad.exe beim Start des Dienstprogramms oder önen Sie eine Eingabeauorderung, wo sich CMGAd
bendet, und geben Sie cmgad.exe -f (oder cmgad.exe) ein.
2 Geben Sie die folgenden Informationen ein (einige Felder sind möglicherweise bereits ausgefüllt).
URL des Device Servers: Vollständig qualizierte URL für den Security Server (Device Server). Das Format lautet: https://
securityserver.domain.com:8443/xapi/.
Dell Admin: Name des Administrators mit forensischen Zugrisrechten (aktiviert in der Remote-Verwaltungskonsole), z. B. „hschmidt“
Passwort: Forensisches Administrator-Passwort
MCID: Geräte-ID, z. B. machineID.domain.com
DCID: die ersten acht Stellen der 16-stelligen Shield-ID
TIPP:
In der Regel genügt es, entweder die MCID oder die DCID anzugeben. Wenn jedoch beide Werte bekannt sind, empehlt es
sich, beide einzugeben. Jeder Parameter enthält unterschiedliche Informationen zum Client und Client-Computer.
Klicken Sie auf Weiter.
3 Geben Sie in das Feld „Passphrase:“ eine Passphrase ein, um die heruntergeladene Datei zu schützen. Die Passphrase muss
mindestens acht Zeichen enthalten, darunter mindestens einen Buchstaben und eine Zier. Bestätigen Sie die Passphrase.
Akzeptieren Sie entweder die Standardwerte für Dateinamen und Speicherort, oder klicken Sie auf …, um einen anderen Speicherort
auszuwählen.
Klicken Sie auf Weiter.
Eine Meldung zeigt an, dass die Schlüsseldaten erfolgreich entsperrt wurden. Die Dateien sind jetzt frei zugänglich.
4 Klicken Sie anschließend auf Fertig stellen.
13
58 Dell Data Protection | Endpoint Security Suite
Verwenden Sie das administrative Dienstprogramm zum Herunterladen (CMGAd)
Verwenden des Administrator-Download-
Dienstprogramms im Admin-Modus
Der VE-Server verwendet den Key Server nicht, d. h. im Admin-Modus kann kein Schlüsselpaket über den VE-Server abgerufen werden.
Verwenden Sie den forensischen Modus, um das Schlüsselpaket zu erhalten, wenn der Client auf einem VE-Server aktiviert ist.
1 Önen Sie am Speicherort von CMGAd eine Befehlseingabe, und geben Sie cmgad.exe -a ein.
2 Geben Sie die folgenden Informationen ein (einige Felder sind möglicherweise bereits ausgefüllt).
Server: Vollständiger Hostname des Key Server, z. B. keyserver.domain.com
Portnummer: der Standardport ist 8050
Server-Konto: der Domänenbenutzer, unter dem der Key Server ausgeführt wird. Das Format lautet „Domäne\Benutzername. Der
Domänenbenutzer, der das Dienstprogramm ausführt, muss über die Berechtigung zum Download vom Key Server verfügen.
MCID: Geräte-ID, z. B. machineID.domain.com
DCID: die ersten acht Stellen der 16-stelligen Shield-ID
TIPP:
In der Regel genügt es, entweder die MCID oder die DCID anzugeben. Wenn jedoch beide Werte bekannt sind, empehlt es
sich, beide einzugeben. Jeder Parameter enthält unterschiedliche Informationen zum Client und Client-Computer.
Klicken Sie auf Weiter.
3 Geben Sie in das Feld „Passphrase:“ eine Passphrase ein, um die heruntergeladene Datei zu schützen. Die Passphrase muss
mindestens acht Zeichen enthalten, darunter mindestens einen Buchstaben und eine Zier.
Bestätigen Sie die Passphrase.
Akzeptieren Sie entweder die Standardwerte für Dateinamen und Speicherort, oder klicken Sie auf …, um einen anderen Speicherort
auszuwählen.
Klicken Sie auf Weiter.
Eine Meldung zeigt an, dass die Schlüsseldaten erfolgreich entsperrt wurden. Die Dateien sind jetzt frei zugänglich.
4 Klicken Sie anschließend auf Fertig stellen.
Dell Data Protection | Endpoint Security Suite
Verwenden Sie das administrative Dienstprogramm zum Herunterladen (CMGAd)
59
Fehlerbehebung
Alle Clients – Fehlerbehebung
Die Protokolldateien des ESS master-Installationsprogramms benden sich unter C:\ProgramData\Dell\Dell Data Protection\Installer.
Windows erstellt für den angemeldeten Benutzer eindeutige Installationsprotokolldateien des untergeordneten Installationsprogramms
im Verzeichnis „%temp%“ unter C:\Users\<UserName>\AppData\Local\Temp.
Windows erstellt Protokolldateien für Client-Voraussetzungen, z. B. Visual C++, für den angemeldeten Benutzer im Verzeichnis „%Temp
%“ unter C:\Users\<UserName>\AppData\Local\Temp. For example, C:\Users\<UserName>\AppData\Local\Temp
\dd_vcredist_amd64_20160109003943.log
Befolgen Sie die Anleitungen unter http://msdn.microsoft.com, um die Version von Microsoft .Net zu überprüfen, die auf dem
Computer installiert ist, auf dem die Installation erfolgen soll.
Gehen Sie zu https://www.microsoft.com/en-us/download/details.aspx?id=30653, um die vollständige Version von Microsoft .Net
Framework 4.5 herunterzuladen.
Siehe Dell Data Protection | Security Tools Compatibility, wenn auf dem Computer, der für die Installation vorgesehen ist (oder in der
Vergangenheit war) "Dell Access" installiert ist. DDP|A ist nicht kompatibel mit dieser Suite von Produkten.
Fehlerbehebung für den Client für Verschlüsselung
Upgrade auf die Windows 10 Anniversary-Aktualisierung
Um ein Upgrade auf die Windows 10 Anniversary-Aktualisierungsversion auszuführen, folgen Sie den Anweisungen im folgenden Artikel:
http://www.dell.com/support/article/us/en/19/SLN298382.
Erstellen einer Encryption Removal Agent-Protokolldatei
(optional)
Vor der Deinstallation können Sie optional eine Encryption Removal Agent-Protokolldatei anlegen. Diese Protokolldatei erleichtert das
Beheben von Fehlern, die unter Umständen beim Deinstallieren/Entschlüsseln auftreten. Falls Sie während der Deinstallation keine
Dateien entschlüsseln möchten, müssen Sie diese Protokolldatei nicht anlegen.
Die Encryption Removal Agent-Protokolldatei wird nach dem Start des Encryption Removal Agent-Service – also erst nach dem
Neustart des Computers – erstellt. Nach Abschluss der Deinstallation und Entschlüsselung des Computers wird die Protokolldatei
gelöscht.
Der Pfad der Protokolldatei ist C:\ProgramData\Dell\Dell Data Protection\Encryption..
Erstellen Sie auf dem für die Entschlüsselung vorgesehenen Computer den folgenden Registrierungseintrag.
[HKLM\Software\Credant\DecryptionAgent]
"LogVerbosity"=dword:2
0: Keine Protokollierung
1: Protokolliert Fehler, die den Betrieb des Dienstes verhindern
2: Protokolliert Fehler, die eine vollständige Datenentschlüsselung verhindern (empfohlene Protokollebene)
14
60 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
3: Protokolliert Informationen über alle zu entschlüsselnden Datenträger und Dateien
5: Protokolliert Informationen zum Debuggen
TSS-Version suchen
TSS ist eine Komponente, die als Schnittstelle zu TPM fungiert. Zur Ermittlung der TSS-Version wechseln Sie zu C:\Program Files\Dell
\Dell Data Protection\Drivers\TSS\bin > tcsd_win32.exe (Standardspeicherort). Klicken Sie mit der rechten Maustaste auf die Datei,
und wählen Sie Eigenschaften aus. Überprüfen Sie die Dateiversion auf der Registerkarte Details.
EMS und PCS Interaktionen
Um sicherzugehen, dass Medien nicht schreibgeschützt sind und der Port nicht blockiert ist
Die Richtlinie „EMS-Zugri auf nicht durch Shield geschützte Medien“ interagiert mit „Port Control System – Speicherklasse: Richtlinie zur
Steuerung externer Laufwerke “ Wenn Sie beabsichtigen, die Richtlinie „EMS-Zugri auf nicht durch Shield geschützte Medien“ auf vollen
Zugri, zu setzen, stellen Sie sicher, dass die Speicherklasse: Richtlinie zur Steuerung externer Laufwerke auch auf uneingeschränkten
Zugang setzen, um sicherzustellen, dass der Datenträger nicht auf schreibgeschützt gesetzt wird und die Schnittstelle nicht blockiert ist.
So verschlüsseln Sie Daten, die auf CD/DVD geschrieben werden:
Stellen Sie „EMS-Verschlüsselung externer Medien“ auf „Wahr“ ein.
Stellen Sie „EMS CD/DVD-Verschlüsselung ausschließen“ auf „Falsch“ ein.
Unterklasse Speicher: Steuerung optischer Laufwerke = nur UFD.
WSScan verwenden
WSScan ermöglicht Ihnen, sicherzugehen, dass bei der Deinstallation des Clients für die Verschlüsselung alle Daten entschlüsselt
werden. Es zeigt Ihnen außerdem den Verschlüsselungsstatus und erkennt unverschlüsselte Dateien, die verschlüsselt sein sollten.
Zur Ausführung dieses Dienstprogramms sind Administratorberechtigungen erforderlich.
Ausführen von WSScan
1 Kopieren Sie „WSScan.exe“ von den Dell Installationsmedien auf den Windows-Computer.
2Önen Sie am obigen Speicherort eine Befehlszeile, und geben Sie an der Eingabeauorderung wsscan.exe ein. WSScan wird
gestartet.
3 Klicken Sie auf Erweitert.
4 Wählen Sie den Typ des zu prüfendenden Laufwerks aus dem Drop-Down-Menü aus: Alle Laufwerke, Feste Laufwerke,
Wechsellaufwerke oder CD-ROMs/DVDROMs.
5 Wählen Sie den gewünschten Berichtstyp für die Verschlüsselung aus dem Drop-Down-Menü aus: Verschlüsselte Dateien,
Unverschlüsselte Dateien, Alle Dateien oder Unverschlüsselte Dateien verletzt:
Verschlüsselte Dateien – Um sicherzustellen, dass alle Daten bei der Deinstallation des Clients für die Verschlüsselung
entschlüsselt werden. Befolgen Sie das übliche Verfahren für die Entschlüsselung von Daten, z. B. die Ausgabe einer
Richtlinienaktualisierung für die Entschlüsselung. Nach der Entschlüsselung der Daten und vor dem Neustart zur Vorbereitung der
Deinstallation führen Sie bitte den WSScan aus, um zu gewährleisten, dass alle Daten entschlüsselt sind.
Unverschlüsselte Dateien – Um Dateien zu identizieren, die nicht verschlüsselt sind, einschließlich einem Hinweis, ob sie
verschlüsselt sein sollten (J/N).
Alle Dateien – Zum Auisten aller verschlüsselten und unverschlüsselten Dateien einschließlich einem Hinweis, ob sie verschlüsselt
sein sollten (J/N).
Unverschlüsselte Dateien verletzt – Um nicht verschlüsselte Dateien zu erkennen, die verschlüsselt sein sollten.
6 Klicken Sie auf Suchen.
ODER
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
61
1 Klicken Sie auf Erweitert, um zur Ansicht Einfach zu wechseln und einen bestimmten Ordner zu durchsuchen.
2 Wechseln Sie zu „Sucheinstellungen“, und geben Sie im Feld
Suchpfad
den Ordnerpfad ein. Wenn Sie dieses Feld verwenden, wird die
Auswahl im Drop-Down-Feld ignoriert.
3 Falls die Ausgabe des Suchdienstprogramms „WSScan“ nicht in einer Datei gespeichert werden soll, deaktivieren Sie das
Kontrollkästchen Ausgabe in Datei.
4 Ändern Sie unter Pfad ggf. den Standardpfad und den Standarddateinamen.
5 Wählen Sie Zu vorhandener Datei hinzufügen aus, wenn Sie bereits bestehende WSScan-Ausgabedateien nicht überschreiben
möchten.
6 Wählen Sie das Ausgabeformat aus:
Wählen Sie Berichtsformat, um eine Liste der Berichtsstile für das Suchergebnis zu erhalten. Das ist das Standardformat.
Wählen Sie Datei mit Wertbegrenzung für eine Ausgabe, die in eine Tabellenkalkulation importiert werden kann. Das
Standardtrennzeichen ist „|“, doch können auch bis zu 9 alphanumerische Zeichen, Leerzeichen oder Zeichensetzungszeichen der
Tastatur verwendet werden.
Wählen Sie die Option Werte in Anführungszeichen, damit jeder Wert in doppelte Anführungszeichen gesetzt wird.
Wählen Sie „Datei mit fester Breite“ für eine Ausgabe ohne Trennzeichen aus, die eine durchgängige Zeile von Informationen fester
Breite über jede verschlüsselte Datei enthält.
7 Klicken Sie auf Suchen.
Klicken Sie auf Suche stoppen, um die Suche zu beenden. Klicken Sie auf Löschen, um die angezeigten Meldungen zu löschen.
Verwenden der WSScan-Befehlszeile
WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o<filepath>] [-a] [-f<format specifier>] [-r] [-
u[a][-|v]] [-d<delimeter>] [-q] [-e] [-x<exclusion directory>] [-y<sleep time>]
Schalter Erläuterung
Laufwerk Zu durchsuchendes Laufwerk. Falls keine Angabe gemacht wird, werden standardmäßig alle lokalen
Festplattenlaufwerke durchsucht. Kann ein zugeordnetes Netzwerklaufwerk sein.
-ta Alle Laufwerke durchsuchen
-tf Festplattenlaufwerke durchsuchen (Standardeinstellung)
-tr Wechseldatenträger durchsuchen
-tc CDROMs/DVDROMs durchsuchen
-s Hintergrundbetrieb
-o Ausgabedateipfad
-a An Ausgabedatei anhängen. Die Ausgabedatei wird standardmäßig abgeschnitten.
-f Berichtsformat angeben (Bericht, fest, begrenzt).
-r WSScan ohne Administratorrechte ausführen. In diesem Modus sind einige Dateien
möglicherweise nicht sichtbar.
-u Einbeziehen unverschlüsselter Dateien in die Ausgabedatei.
Dieser „-u“-Switch ist hochempndlich. Entweder müssen zuerst „u“ gefolgt von „a“ eingegeben
(bzw. ausgelassen) werden, oder die Eingabe muss mit „-“ oder „v“ abgeschlossen werden.
-u- Nur verschlüsselte Dateien in die Ausgabedatei einbeziehen
62 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Schalter Erläuterung
-ua Auch Berichte über unverschlüsselte Dateien erstellen, aber Richtlinien für alle Benutzer anwenden,
um das Feld zur Verschlüsselung anzuzeigen.
-ua- Berichte nur über unverschlüsselte Dateien erstellen, aber Richtlinien für alle Benutzer anwenden,
um das Feld zur Verschlüsselung anzuzeigen.
-uv Berichte nur über unverschlüsselte Dateien erstellen, die die Richtlinie verletzen, d. h. Status = Nein,
Verschlüsselung = Ja.
-uav Berichte nur über unverschlüsselte Dateien (Status = Nein, Verschlüsselung = Ja) unter Anwendung
der Richtlinien für alle Benutzer erstellen.
-d Angabe des Trennzeichens für begrenzte Ausgabe.
-q Angabe der Werte, die für begrenzte Ausgabe in Anführungszeichen gesetzt werden müssen.
-e Erweiterte Verschlüsselungsfelder in begrenzte Ausgabe aufnehmen.
-x Ausschließen eines Verzeichnisses vom Suchvorgang. Mehrere Ausschlüsse sind möglich.
-y Ruhemodus (in Millisekunden) zwischen Verzeichnissen. Durch diesen Schalter werden
Suchvorgänge verlangsamt, allerdings ist der Prozessor potenziell reaktiver.
WSScan-Ausgabe
Die WSScan-Daten über verschlüsselte Dateien enthalten die folgenden Informationen.
Beispiel der Ausgabe:
[2015-07-28 07:52:33] SysData.07vdlxrsb._SDENCR_: "c:\temp\Dell - test.log" ist noch AES256 verschlüsselt
Ausgabe Erläuterung
Zeitstempel Das Datum und die Uhrzeit der Durchsuchung der Datei.
Verschlüsselungstyp Die Art der Verschlüsselung für die Datei.
SysData: SDE-Verschlüsselungscode.
Benutzer: Benutzer-Verschlüsselungscode.
Allgemein: Allgemeiner Verschlüsselungscode.
WSScan meldet keine Dateien, die mittels „Für Freigabe verschlüsseln“ verschlüsselt wurden.
KCID Die ID des Schlüssel-Computers.
Im Beispiel oben „7vdlxrsb
Wenn Sie ein zugeordnetes Netzwerklaufwerk durchsuchen, gibt der Abfragebericht keine KCID
aus.
UCID Die Benutzer-ID.
Im Beispiel oben „_SDENCR_
Die UCID ist für alle Benutzer des Computers gleich.
Datei Der Pfad der verschlüsselten Datei.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
63
Ausgabe Erläuterung
Wie im Beispiel oben angezeigt, „c:\temp\Dell - test.log
Algorithmus Im Folgenden nden Sie den für die Verschlüsselung der Datei verwendeten
Verschlüsselungsalgorithmus.
Im Beispiel oben „is still AES256 encrypted
Rijndael 128
Rijndael 256
AES 128
AES 256
3DES
Verwenden von WSProbe
Das Suchdienstprogramm ist zur Verwendung mit allen Versionen von Encryption-Client vorgesehen, außer EMS-Richtlinien. Mit dem
Suchdienstprogramm haben Sie folgende Möglichkeiten:
Durchsuchen oder Planen der Durchsuchung eines verschlüsselten Computers. Das Suchdienstprogramm befolgt Ihre Richtlinie zur
Workstation-Scanpriorität.
Deaktivieren oder aktivieren Sie vorübergehend die Anwendungsdaten-Verschlüsselungsliste des aktuellen Benutzers.
Hinzufügen der privilegierten Liste Prozessnamen oder Entfernen derselben.
Fehlersuche nach den Anweisungen des Dell ProSupports
Ansätze für die Datenverschlüsselung
Beim Festlegen von Richtlinien zur Verschlüsselung von Daten auf Windows-Geräten stehen Ihnen mehrere Ansätze zur Verfügung:
Der erste Ansatz besteht darin, das Standardverhalten des Clients zu übernehmen. Wenn Sie Ordner in „Allgemein verschlüsselte
Ordner“ oder „Benutzerverschlüsselte Ordner“ angeben oder „Meine Dokumente verschlüsseln, „Persönliche Outlook-Ordner
verschlüsseln, „Temporäre Dateien verschlüsseln, „Temporäre Internetdateien verschlüsseln“ oder „Windows-Auslagerungsdatei
verschlüsseln“ auf „Wahr“ einstellen, werden die betroenen Dateien bei Erstellung oder Anmeldung eines verwalteten Benutzers (nach
der Erstellung eines nicht verwalteten Benutzer) verschlüsselt. Der Client durchsucht auch Ordner, die in diesen Richtlinien angegeben
sind oder sich auf sie beziehen, auf mögliche Verschlüsselung/Entschlüsselung, wenn ein Ordner umbenannt wird oder wenn der Client
Änderungen an diesen Richtlinien erhält.
Sie können auch „Workstation bei Anmeldung durchsuchen“ auf „Wahr“ setzen. Wenn „Workstation bei Anmeldung durchsuchen“ auf
Wahr“ eingestellt ist, vergleicht der Client bei der Benutzeranmeldung die Art und Weise, in der Dateien in derzeit und zuvor
verschlüsselten Ordnern verschlüsselt sind, mit den Benutzerrichtlinien und nimmt gegebenenfalls die nötigen Änderungen vor.
Wenn Sie Dateien verschlüsseln möchten, die Ihre Verschlüsselungskriterien erfüllen, aber vor Inkrafttreten Ihrer
Verschlüsselungsrichtlinien erstellt wurden, die Leistung jedoch nicht durch häuges Durchsuchen beeinträchtigen möchten, können Sie
mit diesem Dienstprogramm die Durchsuchung des Computers durchführen oder einplanen.
Voraussetzungen
Das Windows-Gerät, mit dem Sie arbeiten möchten, muss verschlüsselt sein.
Der Benutzer, mit dem Sie arbeiten möchten, muss angemeldet sein.
Verwenden des Suchdienstprogramms
WSProbe.exe bendet sich auf den Installationsmedien.
Syntax
wsprobe [path]
64 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
wsprobe [-h]
wsprobe [-f path]
wsprobe [-u n] [-x process_names] [-i process_names]
Parameter
Parameter Um die SSL/TLS-Vertrauensprüfung für BitLocker Manager zu
Pfad Gibt optional einen bestimmten Pfad auf dem Gerät an, den Sie auf mögliche Verschlüsselung/
Entschlüsselung durchsuchen möchten. Wenn kein Pfad angegeben wird, durchsucht dieses
Dienstprogramm alle Ordner, auf die sich Ihre Verschlüsselungsrichtlinien beziehen.
-h Zeigt die Befehlszeilenhilfe an.
-f Fehlersuche nach den Anweisungen des Dell ProSupports
-u Deaktiviert oder aktiviert vorübergehend die Anwendungsdaten-Verschlüsselungsliste des
Benutzers. Diese Liste ist nur wirksam, wenn „Verschlüsselung aktiviert“ für den aktuellen Benutzer
ausgewählt ist. Geben Sie 0 zur Deaktivierung oder 1 zur Reaktivierung an. Die aktuelle Richtlinie
wird bei der nächsten Anmeldung in Kraft gesetzt.
-x Fügt der privilegierten Liste Prozessnamen hinzu oder entfernt sie. Die Computer- und
Installationsprogramm-Prozessnamen in dieser Liste sowie die, die Sie mit diesem Parameter oder
mit HKLM\Software\CREDANT\CMGShield\EUWPrivilegedList hinzufügen, werden ignoriert,
wenn sie in der Anwendungsdaten-Verschlüsselungsliste angegeben sind. Trennen Sie
Prozessnamen durch Kommas. Wenn Ihre Liste eine oder mehrere Leerstellen enthält, müssen Sie
die Liste in doppelte Anführungszeichen setzen.
-i Entfernt Prozessnamen, die zuvor der privilegierten Liste hinzugefügt wurden (hartcodierte
Prozessnamen können Sie nicht entfernen). Trennen Sie Prozessnamen durch Kommas. Wenn Ihre
Liste eine oder mehrere Leerstellen enthält, müssen Sie die Liste in doppelte Anführungszeichen
setzen.
Überprüfen des Encryption-Removal-Agent-Status
Der Status des Encryption Removal Agent wird im Beschreibungsbereich des Dialogfelds „Dienste“ (Start > Ausführen... > services.msc >
OK) wie folgt angezeigt: Aktualisieren Sie in regelmäßigen Abständen den Service-Status (markieren Sie den Service > rechte Maustaste >
Aktualisieren).
Warten auf SDE-Deaktivierung – Der Encryption-Client ist noch installiert und/oder konguriert. Die Entschlüsselung beginnt erst
nach der Deinstallation des Encryption-Clients.
Erste Suche – Dieser Dienst führt eine erste Suche durch und berechnet die Anzahl verschlüsselter Dateien und Bytes. Die erste Suche
wird nur einmal durchgeführt.
Entschlüsselungssuche – Dieser Dienst entschlüsselt Dateien und stellt möglicherweise eine Anfrage zur Entschlüsselung gesperrter
Dateien.
Entschlüsselung bei Neustart (teilweise) – Die Entschlüsselungssuche ist abgeschlossen, und einige gesperrte Dateien (aber nicht
alle) werden beim nächsten Neustart entschlüsselt.
Entschlüsselung bei Neustart – Die Entschlüsselungssuche ist abgeschlossen, und alle gesperrten Dateien werden beim nächsten
Neustart entschlüsselt.
Nicht alle Dateien konnten entschlüsselt werden – Die Entschlüsselungssuche ist abgeschlossen, aber es konnten nicht alle Dateien
entschlüsselt werden. Dieser Status kann folgende Gründe haben:
Die gesperrten Dateien wurden nicht für die Entschlüsselung vorgesehen, weil sie entweder zu groß sind oder ein Fehler bei der
Anfrage nach ihrer Freigabe auftrat.
Während der Entschlüsselung der Dateien trat ein Eingabe-/Ausgabefehler auf.
Die Dateien konnten nicht richtliniengemäß entschlüsselt werden.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
65
Die Dateien waren zur Verschlüsselung markiert.
Während der Entschlüsselungssuche trat ein Fehler auf.
In sämtlichen Fällen wird eine Protokolldatei erstellt, sofern mindestens LogVerbosity=2 eingestellt ist (und die Protokollierung
aktiviert wurde). Zur Fehlerbehebung sollten Sie die Ausführlichkeitsstufe auf 2 einstellen (LogVerbosity=2) und den Encryption
Removal Agent-Dienst neu starten, um eine weitere Entschlüsselungssuche zu erzwingen. Weitere Anweisungen nden Sie unter
Encryption Removal Agent-Protokolldatei erstellen (optional).
Vollständig – Die Entschlüsselungssuche wurde abgeschlossen. Der Service, die ausführbare Datei, der Treiber und die ausführbare
Treiberdatei werden beim nächsten Neustart des Computers gelöscht.
SED-Client – Fehlerbehebung
Richtlinie „Erster Zugriscode verwenden
Diese Richtlinie wird zur Anmeldung bei einem Computer verwendet, wenn kein Netzwerkzugri verfügbar und dadurch auch der
Zugri auf den EE-Server/VE-Server und Active Directory (AD) nicht möglich ist. Verwenden Sie die Richtlinie Erster Zugriscode nur,
wenn es keine andere Möglichkeit gibt. Dell rät von dieser Vorgehensweise für die Anmeldung ausdrücklich ab. Die Verwendung der
Richtlinie Erster Zugriscode bietet nicht dasselbe Maß an Sicherheit wie das übliche Anmeldeverfahren mit Benutzername, Domäne
und Passwort.
Neben der geringeren Sicherheit des Anmeldeverfahrens wird bei der Aktivierung eines Endbenutzers über Erster Zugriscode kein
entsprechender Eintrag für den Computer auf dem EE-Server/VE-Server erstellt. Das bedeutet, dass kein Antwortcode vom EE-
Server/VE-Server erstellt werden kann, wenn der Benutzer das Passwort falsch eingibt oder die Selbsthilfe-Fragen nicht beantworten
kann.
Der erste Zugriscode kann nur ein Mal – unmittelbar nach der Aktivierung – verwendet werden. Nach der Anmeldung eines
Benutzers steht der erste Zugriscode nicht mehr zur Verfügung. Die erste Domänenanmeldung nach der Eingabe des ersten
Zugriscodes wird zwischengespeichert, und das Eingabefeld für den ersten Zugriscode wird nicht mehr angezeigt.
Der erste Zugriscode wird nur unter den folgenden Umständen angezeigt:
Ein Benutzer wurde nicht in der PBA aktiviert.
Der Client hat keine Verbindung zum Netzwerk oder EE-Server/VE-Server.
Ersten Zugriscode verwenden
1 Richten Sie in der Remote-Verwaltungskonsole einen Wert für den ersten Zugriscode ein.
2 Speichern und aktivieren Sie die Richtlinie.
3 Starten Sie den lokalen Computer.
4 Geben Sie den ersten Zugriscode ein, wenn der Bildschirm „Zugriscode angezeigt wird.
5 Klicken Sie auf den blauen Pfeil.
6 Klicken Sie auf OK, wenn der Bildschirm mit „Rechtshinweise“ angezeigt wird.
7 Melden Sie sich mit den Benutzerdaten für den Computer bei Windows an. Diese Anmeldedaten müssen zur Domäne gehören.
8Önen Sie nach der Anmeldung die Security Console und überprüfen Sie, ob der PBA-Benutzer richtig erstellt worden ist.
Klicken Sie dazu im Menü oben auf Protokoll, und suchen Sie nach der Meldung PBA-Benutzer für <Domäne\Benutzername>
erstellt, welche angibt, dass der Vorgang erfolgreich war.
9 Fahren Sie den Computer herunter und starten Sie ihn neu.
10 Geben Sie im Anmeldebildschirm den Benutzernamen, die Domäne und das Passwort ein, die zuvor für die Anmeldung bei Windows
verwendet wurden.
Dabei muss das gleiche Benutzernamen-Format wie bei der Erstellung des PBA-Benutzers verwendet werden. Wenn Sie also das
Format „Benutzername/Domäne“ verwendet haben, müssen Sie die Domäne bzw. den Benutzernamen für den Benutzernamen
eingeben.
11 (Nur Credant Manager) Beantworten Sie die Fragen umgehend.
Klicken Sie auf den blauen Pfeil.
66 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
12 Klicken Sie auf Anmelden, wenn der Bildschirm „Rechtshinweise“ angezeigt wird.
Windows wird gestartet, und der Computer kann wie gewohnt verwendet werden.
PBA-Protokolldatei für die Fehlerbehebung erstellen
Zur Behebung von PBA-Fehlern ist u. U. eine PBA-Protokolldatei erforderlich, beispielsweise in den folgenden Fällen:
Das Symbol der Netzwerkverbindung wird nicht angezeigt, obwohl Sie sicher sind, dass eine Netzwerkverbindung besteht. Die
Protokolldatei enthält DHCP-Informationen zur Behebung des Problems.
Das Symbol der EE Server/VE-Serververbindung wird nicht angezeigt. Die Protokolldatei enthält Informationen, welche die
Diagnose von Problemen mit der EE-Server/VE-Server-Konnektivität erleichtern.
Die Authentizierung schlägt trotz Eingabe der richtigen Anmeldedaten fehl. Die Protokolldatei und die EE Server/VE-
Serverprotokolle enthalten Informationen, die eine Diagnose des Problems erleichtern.
Protokolle während des PBA-Starts (Alt-PBA) erfassen
1 Legen Sie im Stammverzeichnis eines USB-Laufwerks einen Ordner namens \CredantSED an.
2 Erstellen Sie im Ordner \CredantSED eine Datei namens „actions.txt“.
3 Fügen Sie in actions.txt die folgende Zeile ein:
get environment
4 Speichern und schließen Sie die Datei.
Schließen Sie das USB-Laufwerk nicht an den ausgeschalteten Computer an. Falls das USB-Laufwerk bereits an den ausgeschalteten
Computer angeschlossen ist entfernen Sie es bitte.
5 Schalten Sie den Computer ein, und melden Sie sich bei der PBA an. Schließen Sie das USB-Laufwerk an den Computer an, von dem
die Protokolle während dieses Schritts erfasst werden sollen.
6 Lassen Sie das USB-Laufwerk fünf bis zehn Sekunden lang angeschlossen und entfernen Sie es dann.
Im Ordner \CredantSED wird die Datei „credpbaenv.tgz“ mit den erforderlichen Protokollen erstellt.
Protokolle während des PBA-Starts (UEFI-PBA) erfassen
1 Erstellen Sie eine Datei mit der Bezeichnung PBAErr.log im Stammverzeichnis des USB-Laufwerks.
2 Setzen Sie das USB-Laufwerk vor dem Einschalten des Computers ein.
3 Entfernen Sie das USB-Laufwerk nach der Reproduzierung des Problems in Bezug auf die Erforderlichkeit der Protokolle.
Die Datei „PBAErr.log“ wird aktualisiert und in Echtzeit geschrieben.
Dell ControlVault-Treiber
Aktualisieren von Treibern und Firmware für Dell ControlVault
Die auf Dell-Computern werkseitig installierte(n) Treiber und Firmware für Dell ControlVault sind nicht mehr aktuell und müssen anhand
des folgenden Verfahrens in der angegebenen Reihenfolge aktualisiert werden.
Wenn Sie während der Client-Installation aufgefordert werden, das Installationsprogramm zu schließen, um die Dell ControlVault-Treiber
zu installieren, können Sie diese Meldung ignorieren und die Client-Installation fortsetzen. Die Dell ControlVault-Treiber (und die
zugehörige Firmware) können nach dem erfolgreichen Abschluss der Client-Installation aktualisiert werden.
Herunterladen der aktuellen Treiber
1 Gehen Sie zu support.dell.com.
2 Wählen Sie Ihr Computermodell aus.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
67
3 Wählen Sie Treiber & Downloads.
4 Wählen Sie das auf dem Zielcomputer ausgeführte Betriebssystem aus.
5 Erweitern Sie die Kategorie Sicherheit.
6 Laden Sie die Dell ControlVault-Treiber herunter, und speichern Sie sie.
7 Laden Sie die Dell ControlVault-Firmware herunter, und speichern Sie sie.
8 Kopieren Sie die Treiber und die Firmware bei Bedarf auf die Zielcomputer.
Installieren des Dell ControlVault-Treibers
Gehen Sie zu dem Ordner, in den Sie die Treiberinstallationsdatei abgelegt haben.
Doppelklicken Sie auf den Dell ControlVault-Treiber, um die selbstextrahierende EXE-Datei aufzurufen.
:
Achten Sie darauf, als Erstes den Treiber zu installieren. Der Dateiname des Treibers zum Zeitpunkt der Erstellung dieses
Dokuments lautet „ControlVault_Setup_2MYJC_A37_ZPE.exe“.
Klicken Sie zum Fortsetzen des Vorgangs auf Weiter.
Klicken Sie auf OK, um die Treiberdateien in den Standardordner C:\Dell\Drivers\<New Folder> zu entpacken.
Klicken Sie auf Ja, um die Erstellung eines neuen Ordners zu genehmigen.
Klicken Sie auf OK, wenn die Nachricht angezeigt wird, dass die Dateien erfolgreich entpackt wurden.
Nach dem Entpacken wird der Ordner angezeigt, der die entpackten Dateien enthält. Ist dies nicht der Fall, gehen Sie zu dem Ordner,
in den Sie die Dateien entpackt haben. Der Ordner ist als JW22F bezeichnet
Doppelklicken Sie auf die Datei CVHCI64.MSI, um das Treiberinstallationsprogramm zu starten. [Die Datei CVHCI64.MSI in diesem
Beispiel bezieht sich auf ein 64-Bit-System. Bei einem 32-Bit-System wählen Sie die Datei CVHCI32.MSI aus].
Klicken Sie auf dem Begrüßungsbildschirm auf Weiter.
Klicken Sie auf Weiter, um die Treiber in den Standardordner unter C:\Program Files\Broadcom Corporation\Broadcom USH Host
Components\. zu installieren.
Wählen Sie die Option Abschließen aus, und klicken Sie auf Weiter.
Klicken Sie auf Installieren, um mit der Installation der Treiber zu beginnen.
Aktivieren Sie optional das Kontrollkästchen, um die Protokolldatei für das Installationsprogramm anzuzeigen. Klicken Sie zum Beenden
des Assistenten auf Fertig stellen.
Überprüfen der Treiberinstallation
Der Gerätemanager zeigt je nach Betriebssystem und Hardwarekonguration ein Dell ControlVault-Gerät (sowie weitere Geräte) an.
Installieren der Dell ControlVault-Firmware
1 Gehen Sie zu dem Ordner, in den Sie die Firmware-Installationsdatei abgelegt haben.
2 Doppelklicken Sie auf die Dell ControlVault-Firmware, um die selbstextrahierende EXE-Datei aufzurufen.
3 Klicken Sie zum Fortsetzen des Vorgangs auf Weiter.
4 Klicken Sie auf OK, um die Treiberdateien in den Standardordner C:\Dell\Drivers\<New Folder> zu entpacken.
5 Klicken Sie auf Ja, um die Erstellung eines neuen Ordners zu genehmigen.
6 Klicken Sie auf OK, wenn die Nachricht angezeigt wird, dass die Dateien erfolgreich entpackt wurden.
7 Nach dem Entpacken wird der Ordner angezeigt, der die entpackten Dateien enthält. Ist dies nicht der Fall, gehen Sie zu dem Ordner,
in den Sie die Dateien entpackt haben. Wählen Sie den Ordner Firmware aus.
8 Doppelklicken Sie auf die Datei ushupgrade.exe, um das Firmware-Installationsprogramm zu starten.
9 Klicken Sie zum Starten der Firmware auf Start.
68 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
:
Sie werden möglicherweise dazu aufgefordert, das Administratorkennwort einzugeben, wenn Sie ein Upgrade von einer
älteren Firmware-Version durchführen. Geben Sie Broadcom als Kennwort ein, und klicken Sie auf Eingabe, wenn diese
Option im Dialogfeld angezeigt wird.
Es werden nun verschiedene Statusmeldungen angezeigt.
10 Klicken Sie auf Neu starten, um das Firmware-Upgrade abzuschließen.
Die Aktualisierung der Treiber und der Firmware für Dell ControlVault ist damit abgeschlossen.
UEFI-Computer
Fehlerbehebung bei Problemen mit der Netzwerkverbindung
Damit die Preboot-Authentizierung auf einem Computer mit UEFI-Firmware erfolgreich verläuft, muss der PBA-Modus mit
Netzwerkkonnektivität ausgerüstet sein. Auf Computern mit UEFI-Firmware ist standardmäßig erst dann Netzwerkkonnektivität
verfügbar, wenn das Betriebssystem geladen wurde. Dies geschieht in der Regel nach dem PBA-Modus. Wenn der Computer
beschriebene Verfahren in Pre-Installation Konguration für den UEFI-Computern erfolgreich abgeschlossen wurde und korrekt
konguriert ist, geht die Netzwerkverbindung Symbol zeigt auf der Preboot authentication Bildschirm an, wenn der Computer mit dem
Netzwerk verbunden ist.
Falls das Symbol für die Netzwerkverbindung während der Preboot-Authentizierung trotzdem nicht angezeigt wird, überprüfen Sie, ob
das Netzkabel ordnungsgemäß an den Computer angeschlossen ist. Falls das Kabel nicht angeschlossen oder locker war, starten Sie
den Computer neu, um einen Neustart des PBA-Modus zu bewirken.
TPM und BitLocker
Fehlercodes für TPM und BitLocker
Konstante/Wert Beschreibung
TPM_E_ERROR_MASK
0x80280000
Dies ist eine Fehlermaske, die zum Konvertieren der TPM-
Hardwarefehler in Win-Fehler verwendet wird.
TPM_E_AUTHFAIL
0x80280001
Authentizierung fehlgeschlagen
TPM_E_BADINDEX
0x80280002
Der Index für ein PCR, DIR oder ein anderes Register ist falsch.
TPM_E_BAD_PARAMETER
0x80280003
Ein oder mehrere Parameter sind falsch.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
69
Konstante/Wert Beschreibung
TPM_E_AUDITFAILURE
0x80280004
Ein Vorgang wurde erfolgreich abgeschlossen, aber beim
Überwachen des Vorgangs ist ein Fehler aufgetreten.
TPM_E_CLEAR_DISABLED
0x80280005
Das Flag zum Deaktivieren des Löschens ist gesetzt, und für alle
Löschvorgänge ist jetzt ein physikalischer Zugri erforderlich.
TPM_E_DEACTIVATED
0x80280006
Aktivieren Sie das TPM.
TPM_E_DISABLED
0x80280007
Aktivieren Sie das TPM.
TPM_E_DISABLED_CMD
0x80280008
Der Zielbefehl wurde deaktiviert.
TPM_E_FAIL
0x80280009
Der Vorgang ist fehlgeschlagen.
TPM_E_BAD_ORDINAL
0x8028000A
Die Ordnungszahl war unbekannt oder nicht konsistent.
TPM_E_INSTALL_DISABLED
0x8028000B
Die Option zum Installieren eines Besitzers ist deaktiviert.
TPM_E_INVALID_KEYHANDLE
0x8028000C
Das Schlüsselhandle kann nicht interpretiert werden.
TPM_E_KEYNOTFOUND
0x8028000D
Das Schlüsselhandle zeigt auf einen ungültigen Schlüssel.
TPM_E_INAPPROPRIATE_ENC
0x8028000E
Unzulässiges Verschlüsselungsschema.
TPM_E_MIGRATEFAIL
0x8028000F
Fehler bei der Migrationsautorisierung.
TPM_E_INVALID_PCR_INFO
0x80280010
Die PCR-Informationen konnten nicht interpretiert werden.
TPM_E_NOSPACE
0x80280011
Kein Platz zum Laden des Schlüssels.
TPM_E_NOSRK
0x80280012
Es ist kein Speicherstammschlüsselsatz (SRK) vorhanden.
70 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Konstante/Wert Beschreibung
TPM_E_NOTSEALED_BLOB
0x80280013
Ein verschlüsseltes BLOB ist ungültig oder wurde nicht mit diesem
TPM erstellt.
TPM_E_OWNER_SET
0x80280014
Das TPM verfügt bereits über einen Besitzer.
TPM_E_RESOURCES
0x80280015
Das TPM verfügt nicht über ausreichend interne Ressourcen, um
die angeforderte Aktion auszuführen.
TPM_E_SHORTRANDOM
0x80280016
Eine zufällige Zeichenfolge war zu kurz.
TPM_E_SIZE
0x80280017
Das TPM verfügt nicht über ausreichend Speicherplatz, um den
Vorgang auszuführen.
TPM_E_WRONGPCRVAL
0x80280018
Der benannte PCR-Wert stimmt nicht mit dem aktuellen PCR-Wert
überein.
TPM_E_BAD_PARAM_SIZE
0x80280019
Das paramSize-Argument für den Befehl hat einen falschen Wert.
TPM_E_SHA_THREAD
0x8028001A
Es ist kein SHA-1-Thread vorhanden.
TPM_E_SHA_ERROR
0x8028001B
Die Berechnung kann nicht fortgesetzt werden, da beim
vorhandenen SHA-1-Thread bereits ein Fehler aufgetreten ist.
TPM_E_FAILEDSELFTEST
0x8028001C
Vom TPM-Hardwaregerät wurde beim internen Selbsttest ein
Fehler gemeldet. Starten Sie den Computer neu, um das Problem
zu beheben. Falls das Problem weiterhin besteht, muss ggf. die
TPM-Hardware oder die Hauptplatine ersetzt werden.
TPM_E_AUTH2FAIL
0x8028001D
Die Autorisierung für den zweiten Schlüssel in einer 2-
Schlüsselfunktion war nicht erfolgreich.
TPM_E_BADTAG
0x8028001E
Der für einen Befehl gesendete Tagwert ist ungültig.
TPM_E_IOERROR
0x8028001F
Beim Übermitteln von Informationen an das TPM ist ein E/A-Fehler
aufgetreten.
TPM_E_ENCRYPT_ERROR
0x80280020
Beim Verschlüsselungsprozess ist ein Problem aufgetreten.
TPM_E_DECRYPT_ERROR
0x80280021
Der Entschlüsselungsprozess wurde nicht abgeschlossen.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
71
Konstante/Wert Beschreibung
TPM_E_INVALID_AUTHHANDLE
0x80280022
Ein ungültiges Handle wurde verwendet.
TPM_E_NO_ENDORSEMENT
0x80280023
Für das TPM ist kein Endorsement Key (EK) installiert.
TPM_E_INVALID_KEYUSAGE
0x80280024
Die Verwendung eines Schlüssels ist unzulässig.
TPM_E_WRONG_ENTITYTYPE
0x80280025
Der festgelegte Einheitstyp ist nicht zulässig.
TPM_E_INVALID_POSTINIT
0x80280026
Der Befehl wurde relativ zu TPM_Init und einem nachfolgenden
TPM_Startup in der falschen Reihenfolge empfangen.
TPM_E_INAPPROPRIATE_SIG
0x80280027
Signierte Daten können keine zusätzlichen DER-Informationen
enthalten.
TPM_E_BAD_KEY_PROPERTY
0x80280028
Die Schlüsseleigenschaften in TPM_KEY_PARMs werden von
diesem TPM nicht unterstützt.
TPM_E_BAD_MIGRATION
0x80280029
Die Migrationseigenschaften dieses Schlüssels sind falsch.
TPM_E_BAD_SCHEME
0x8028002A
Die Signatur oder das Verschlüsselungsschema für diesen Schlüssel
ist falsch oder in dieser Situation nicht zulässig.
TPM_E_BAD_DATASIZE
0x8028002B
Die Größe des Datenparameters (oder BLOB-Parameters) ist
unzulässig oder nicht mit dem Schlüssel konsistent, auf den
verwiesen wird.
TPM_E_BAD_MODE
0x8028002C
Ein Modusparameter ist ungültig, z. B. capArea oder subCapArea
für TPM_GetCapability, phsicalPresence-Parameter für
TPM_PhysicalPresence oder migrationType für
TPM_CreateMigrationBlob.
TPM_E_BAD_PRESENCE
0x8028002D
Die physicalPresence-Bits oder die physicalPresenceLock-Bits
haben den falschen Wert.
TPM_E_BAD_VERSION
0x8028002E
Das TPM kann diese Version der Funktion nicht ausführen.
TPM_E_NO_WRAP_TRANSPORT
0x8028002F
Das TPM berücksichtigt keine eingeschlossenen
Transportsitzungen.
TPM_E_AUDITFAIL_UNSUCCESSFUL
0x80280030
Bei der TPM-Überwachungskonstruktion ist ein Fehler aufgetreten,
und der zugrunde liegende Befehl hat auch einen Fehlercode
zurückgegeben.
72 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Konstante/Wert Beschreibung
TPM_E_AUDITFAIL_SUCCESSFUL
0x80280031
Bei der TPM-Überwachungskonstruktion ist ein Fehler aufgetreten,
und der zugrunde liegende Befehl war erfolgreich.
TPM_E_NOTRESETABLE
0x80280032
Es wird versucht, ein PCR-Register zurückzusetzen, das nicht über
ein Resettable-Attribut verfügt.
TPM_E_NOTLOCAL
0x80280033
Es wird versucht, ein PCR-Register zurückzusetzen, das erfordert,
dass Ort und Ortsänderer nicht Teil eines Befehlstransports sind.
TPM_E_BAD_TYPE
0x80280034
Das BLOB zum Erstellen der Identität wurde nicht richtig typisiert.
TPM_E_INVALID_RESOURCE
0x80280035
Beim Speichern des Kontexts entsprach der identizierte
Ressourcentyp nicht der tatsächlichen Ressource.
TPM_E_NOTFIPS
0x80280036
Das TPM versucht, einen Befehl auszuführen, der nur im FIPS-
Modus verfügbar ist.
TPM_E_INVALID_FAMILY
0x80280037
Der Befehl versucht, eine ungültige Familien-ID zu verwenden.
TPM_E_NO_NV_PERMISSION
0x80280038
Die Berechtigung zum Ändern des permanenten Speichers ist nicht
verfügbar.
TPM_E_REQUIRES_SIGN
0x80280039
Der Vorgang erfordert einen signierten Befehl.
TPM_E_KEY_NOTSUPPORTED
0x8028003A
Falscher Vorgang zum Laden eines permanenten Schlüssels.
TPM_E_AUTH_CONFLICT
0x8028003B
Das BLOB "NV_LoadKey" erfordert eine Besitzerautorisierung und
eine BLOB-Autorisierung.
TPM_E_AREA_LOCKED
0x8028003C
Der permanente Bereich ist gesperrt und nicht beschreibbar.
TPM_E_BAD_LOCALITY
0x8028003D
Der Ort für den Vorgang ist falsch.
TPM_E_READ_ONLY
0x8028003E
Der permanente Bereich ist schreibgeschützt und daher nicht
beschreibbar.
TPM_E_PER_NOWRITE
0x8028003F
Der permanente Bereich ist nicht schreibgeschützt.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
73
Konstante/Wert Beschreibung
TPM_E_FAMILYCOUNT
0x80280040
Fehlende Übereinstimmung beim Familienanzahlwert.
TPM_E_WRITE_LOCKED
0x80280041
Der permanente Bereich wurde bereits beschrieben.
TPM_E_BAD_ATTRIBUTES
0x80280042
Konikt bei den Attributen des permanenten Bereichs.
TPM_E_INVALID_STRUCTURE
0x80280043
Das Strukturtag und die Version sind ungültig oder inkonsistent.
TPM_E_KEY_OWNER_CONTROL
0x80280044
Der Schlüssel wird vom TPM-Besitzer kontrolliert und kann nur vom
TPM-Besitzer entfernt werden.
TPM_E_BAD_COUNTER
0x80280045
Das Zählerhandle ist ungültig.
TPM_E_NOT_FULLWRITE
0x80280046
Beim Schreibvorgang wird nicht der gesamte Bereich beschrieben.
TPM_E_CONTEXT_GAP
0x80280047
Die Lücke zwischen den gespeicherten Kontextanzahlwerten ist zu
groß.
TPM_E_MAXNVWRITES
0x80280048
Die maximale Anzahl von permanenten Schreibvorgängen ohne
Besitzer wurde überschritten.
TPM_E_NOOPERATOR
0x80280049
Es ist kein AuthData-Operatorwert festgelegt.
TPM_E_RESOURCEMISSING
0x8028004A
Die Ressource, auf die der Kontext zeigt, ist nicht geladen.
TPM_E_DELEGATE_LOCK
0x8028004B
Die Delegatverwaltung ist gesperrt.
TPM_E_DELEGATE_FAMILY
0x8028004C
Es wurde versucht, eine andere als die delegierte Familie zu
verwalten.
TPM_E_DELEGATE_ADMIN
0x8028004D
Die Verwaltung der Delegierungstabelle ist nicht aktiviert.
TPM_E_TRANSPORT_NOTEXCLUSIVE
0x8028004E
Es wurde ein Befehl außerhalb einer exklusiven Transportsitzung
ausgeführt.
74 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Konstante/Wert Beschreibung
TPM_E_OWNER_CONTROL
0x8028004F
Es wird versucht, einen kontrollierten Schlüssel ohne Besitzer im
Kontext zu speichern.
TPM_E_DAA_RESOURCES
0x80280050
Der DAA-Befehl hat keine verfügbaren Ressourcen zum Ausführen
des Befehls.
TPM_E_DAA_INPUT_DATA0
0x80280051
Fehler bei der Konsistenzprüfung des DAA-Parameters
"inputData0".
TPM_E_DAA_INPUT_DATA1
0x80280052
Fehler bei der Konsistenzprüfung des DAA-Parameters "inputData1".
TPM_E_DAA_ISSUER_SETTINGS
0x80280053
Fehler bei der Konsistenzprüfung für DAA_issuerSettings.
TPM_E_DAA_TPM_SETTINGS
0x80280054
Fehler bei der Konsistenzprüfung für DAA_tpmSpecic.
TPM_E_DAA_STAGE
0x80280055
Der vom gesendeten DAA-Befehl angegebene atomare Prozess ist
nicht der erwartete Prozess.
TPM_E_DAA_ISSUER_VALIDITY
0x80280056
Die Validitätsprüfung des Herausgebers hat eine Inkonsistenz
ergeben.
TPM_E_DAA_WRONG_W
0x80280057
Eine Konsistenzprüfung auf W ist fehlgeschlagen.
TPM_E_BAD_HANDLE
0x80280058
Das Handle ist ungültig.
TPM_E_BAD_DELEGATE
0x80280059
Die Delegierung ist falsch.
TPM_E_BADCONTEXT
0x8028005A
Das Kontext-BLOB ist ungültig.
TPM_E_TOOMANYCONTEXTS
0x8028005B
Das TPM enthält zu viele Kontexte.
TPM_E_MA_TICKET_SIGNATURE
0x8028005C
Fehler bei der Überprüfung der Migrationsautoritätssignatur.
TPM_E_MA_DESTINATION
0x8028005D
Das Migrationsziel wurde nicht authentiziert.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
75
Konstante/Wert Beschreibung
TPM_E_MA_SOURCE
0x8028005E
Die Migrationsquelle ist falsch.
TPM_E_MA_AUTHORITY
0x8028005F
Die Migrationsautorität ist falsch.
TPM_E_PERMANENTEK
0x80280061
Es wurde versucht, den EK zu widerrufen, der EK kann jedoch nicht
widerrufen werden.
TPM_E_BAD_SIGNATURE
0x80280062
Die Signatur des CMK-Tickets ist ungültig.
TPM_E_NOCONTEXTSPACE
0x80280063
In der Kontextliste ist kein Platz für weitere Kontexte verfügbar.
TPM_E_COMMAND_BLOCKED
0x80280400
Der Befehl wurde geblockt.
TPM_E_INVALID_HANDLE
0x80280401
Das angegebene Handle wurde nicht gefunden.
TPM_E_DUPLICATE_VHANDLE
0x80280402
Das TPM hat ein doppeltes Handle zurückgegeben, und der Befehl
muss neu gesendet werden.
TPM_E_EMBEDDED_COMMAND_BLOCKED
0x80280403
Der Befehl im Transport wurde blockiert.
TPM_E_EMBEDDED_COMMAND_UNSUPPORTED
0x80280404
Der Befehl im Transport wird nicht unterstützt.
TPM_E_RETRY
0x80280800
Das TPM ist zu ausgelastet, um sofort auf den Befehl zu reagieren,
aber der Befehl kann zu einem späteren Zeitpunkt erneut gesendet
werden.
TPM_E_NEEDS_SELFTEST
0x80280801
SelfTestFull wurde nicht ausgeführt.
TPM_E_DOING_SELFTEST
0x80280802
Das TPM führt gerade einen vollständigen Selbsttest aus.
TPM_E_DEFEND_LOCK_RUNNING
0x80280803
Das TPM wehrt Verzeichnisangrie ab und bendet sich in einer
Zeitüberschreitungsperiode.
TBS_E_INTERNAL_ERROR
0x80284001
Ein interner Softwarefehler ist aufgetreten.
76 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Konstante/Wert Beschreibung
TBS_E_BAD_PARAMETER
0x80284002
Mindestens ein Eingabeparameter ist ungültig.
TBS_E_INVALID_OUTPUT_POINTER
0x80284003
Ein angegebener Ausgabezeiger ist ungültig.
TBS_E_INVALID_CONTEXT
0x80284004
Das angegebene Kontexthandle bezieht sich nicht auf einen
gültigen Kontext.
TBS_E_INSUFFICIENT_BUFFER
0x80284005
Der angegebene Ausgabepuer ist zu klein.
TBS_E_IOERROR
0x80284006
Bei der Kommunikation mit TPM ist ein Fehler aufgetreten.
TBS_E_INVALID_CONTEXT_PARAM
0x80284007
Mindestens ein Kontextparameter ist ungültig.
TBS_E_SERVICE_NOT_RUNNING
0x80284008
Der TBS-Dienst wird nicht ausgeführt und konnte nicht gestartet
werden.
TBS_E_TOO_MANY_TBS_CONTEXTS
0x80284009
Ein neuer Kontext konnte nicht erstellt werden, das bereits zu viele
oene Kontexte vorhanden sind.
TBS_E_TOO_MANY_RESOURCES
0x8028400A
Eine neue virtuelle Ressource konnte nicht erstellt werden, da
bereits zu viele oene virtuelle Ressource vorhanden sind.
TBS_E_SERVICE_START_PENDING
0x8028400B
Der TBS-Dienst wurde gestartet, wird jedoch noch nicht
ausgeführt.
TBS_E_PPI_NOT_SUPPORTED
0x8028400C
Die physikalische Anwesenheitsschnittstelle wird nicht unterstützt.
TBS_E_COMMAND_CANCELED
0x8028400D
Der Befehl wurde abgebrochen.
TBS_E_BUFFER_TOO_LARGE
0x8028400E
Der Eingabe- oder Ausgabepuer ist zu groß.
TBS_E_TPM_NOT_FOUND
0x8028400F
Auf diesem Computer wurde kein kompatibles TPM-
Sicherheitsgerät gefunden.
TBS_E_SERVICE_DISABLED
0x80284010
Der TBS-Dienst wurde deaktiviert.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
77
Konstante/Wert Beschreibung
TBS_E_NO_EVENT_LOG
0x80284011
Es ist kein TCG-Ereignisprotokoll verfügbar.
TBS_E_ACCESS_DENIED
0x80284012
Der Aufrufer verfügt nicht über die erforderlichen Sicherheitsrechte,
um den angeforderten Vorgang durchführen zu können.
TBS_E_PROVISIONING_NOT_ALLOWED
0x80284013
Die TPM-Bereitstellungsaktion ist aufgrund der angegebenen
Kennzeichnungen nicht zulässig. Für eine erfolgreiche Bereitstellung
muss unter Umständen eine von mehreren verschiedenen Aktionen
ausgeführt werden. Die Aktion der TPM-Verwaltungskonsole
("Start" -> "tpm.msc") zur Herstellung der TPM-Bereitschaft ist
dabei möglicherweise hilfreich. Weitere Informationen nden Sie in
der Dokumentation zur Win32_Tpm WMI-Methode 'Provision'.
(Möglicherweise erforderliche Aktionen: Importieren des TPM-
Besitzerautorisierungswerts in das System, Aufrufen der WMI-
Methode "Win32_Tpm" für die TPM-Bereitstellung und Angeben
von TRUE für "ForceClear_Allowed" oder für
"PhysicalPresencePrompts_Allowed" (gemäß Angabe durch den
Wert, der unter "Zusätzliche Informationen" zurückgegeben wird)
oder Ausführen der TPM-Aktivierung im System-BIOS.)
TBS_E_PPI_FUNCTION_UNSUPPORTED
0x80284014
Die angeforderte Methode wird von der physischen
Anwesenheitsschnittstelle dieser Firmware nicht unterstützt.
TBS_E_OWNERAUTH_NOT_FOUND
0x80284015
Der angeforderte TPM OwnerAuth-Wert wurde nicht gefunden.
TBS_E_PROVISIONING_INCOMPLETE
0x80284016
Die TPM-Bereitstellung wurde nicht abgeschlossen. Wenn Sie
weitere Informationen zum Abschluss der Bereitstellung benötigen,
rufen Sie die Win32_Tpm-WMI-Methode für die Bereitstellung des
TPM ("Provision") auf, und lesen Sie die angezeigten Informationen.
TPMAPI_E_INVALID_STATE
0x80290100
Die Befehlspuer bendet sich nicht im richtigen Zustand.
TPMAPI_E_NOT_ENOUGH_DATA
0x80290101
Die Befehlspuer enthält nicht genügend Daten für die
Anforderung.
TPMAPI_E_TOO_MUCH_DATA
0x80290102
Die Befehlspuer enthält keine weiteren Daten.
TPMAPI_E_INVALID_OUTPUT_POINTER
0x80290103
Mindestens ein Ausgabeparameter ist NULL oder ungültig.
TPMAPI_E_INVALID_PARAMETER
0x80290104
Mindestens ein Eingabeparameter ist ungültig.
TPMAPI_E_OUT_OF_MEMORY
0x80290105
Für diese Anforderung ist nicht genügend Arbeitsspeicher
verfügbar.
TPMAPI_E_BUFFER_TOO_SMALL Der angegebene Puer war zu klein.
78 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Konstante/Wert Beschreibung
0x80290106
TPMAPI_E_INTERNAL_ERROR
0x80290107
Ein interner Fehler wurde festgestellt.
TPMAPI_E_ACCESS_DENIED
0x80290108
Der Aufrufer verfügt nicht über die erforderlichen Sicherheitsrechte,
um den angeforderten Vorgang durchführen zu können.
TPMAPI_E_AUTHORIZATION_FAILED
0x80290109
Die angegebenen Autorisierungsinformationen sind ungültig.
TPMAPI_E_INVALID_CONTEXT_HANDLE
0x8029010A
Das angegebene Kontexthandle ist ungültig.
TPMAPI_E_TBS_COMMUNICATION_ERROR
0x8029010B
Bei der Kommunikation mit TBS ist ein Fehler aufgetreten.
TPMAPI_E_TPM_COMMAND_ERROR
0x8029010C
TPM hat ein unerwartetes Ergebnis zurückgeliefert.
TPMAPI_E_MESSAGE_TOO_LARGE
0x8029010D
Die Nachricht ist zu lang für das Codierungsschema.
TPMAPI_E_INVALID_ENCODING
0x8029010E
Die Codierung des BLOB wurde nicht erkannt.
TPMAPI_E_INVALID_KEY_SIZE
0x8029010F
Die Schlüsselgröße ist ungültig.
TPMAPI_E_ENCRYPTION_FAILED
0x80290110
Der Verschlüsselungsvorgang ist fehlgeschlagen.
TPMAPI_E_INVALID_KEY_PARAMS
0x80290111
Die Schlüsselparameterstruktur ist ungültig.
TPMAPI_E_INVALID_MIGRATION_AUTHORIZATION_BLOB
0x80290112
Bei den bereitgestellten Daten, die angefordert wurden, scheint es
sich nicht um ein gültiges Migrationsautorisierungs-BLOB zu
handeln.
TPMAPI_E_INVALID_PCR_INDEX
0x80290113
Der angegebene PCR-Index ist ungültig.
TPMAPI_E_INVALID_DELEGATE_BLOB
0x80290114
Bei den angegebenen Daten scheint es sich nicht um ein gültiges
Delegat-BLOB zu handeln.
TPMAPI_E_INVALID_CONTEXT_PARAMS Mindestens ein angegebener Kontextparameter war ungültig.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
79
Konstante/Wert Beschreibung
0x80290115
TPMAPI_E_INVALID_KEY_BLOB
0x80290116
Bei den angegebenen Daten scheint es sich nicht um ein gültiges
Schlüssel-BLOB zu handeln.
TPMAPI_E_INVALID_PCR_DATA
0x80290117
Die angegebenen PCR-Daten sind ungültig.
TPMAPI_E_INVALID_OWNER_AUTH
0x80290118
Das Format des Besitzers der Authentizierungsdaten ist ungültig.
TPMAPI_E_FIPS_RNG_CHECK_FAILED
0x80290119
Die generierte Zufallszahl hat die FIPS RNG-Prüfung nicht
bestanden.
TPMAPI_E_EMPTY_TCG_LOG
0x8029011A
Das TCG-Ereignisprotokoll enthält keine Daten.
TPMAPI_E_INVALID_TCG_LOG_ENTRY
0x8029011B
Ein Eintrag im TCG-Ereignisprotokoll war ungültig.
TPMAPI_E_TCG_SEPARATOR_ABSENT
0x8029011C
Es wurde kein TCG-Trennzeichen gefunden.
TPMAPI_E_TCG_INVALID_DIGEST_ENTRY
0x8029011D
Ein Digestwert in einem TCG-Protokolleintrag stimmte nicht mit den
Hashdaten überein.
TPMAPI_E_POLICY_DENIES_OPERATION
0x8029011E
Der angeforderte Vorgang wurde von der aktuellen TPM-Richtlinie
blockiert. Wenden Sie sich an den Systemadministrator, wenn Sie
Hilfe benötigen.
TBSIMP_E_BUFFER_TOO_SMALL
0x80290200
Der angegebene Puer war zu klein.
TBSIMP_E_CLEANUP_FAILED
0x80290201
Der Kontext konnte nicht bereinigt werden.
TBSIMP_E_INVALID_CONTEXT_HANDLE
0x80290202
Das angegebene Kontexthandle ist ungültig.
TBSIMP_E_INVALID_CONTEXT_PARAM
0x80290203
Ein ungültiger Kontextparameter wurde angegeben.
TBSIMP_E_TPM_ERROR
0x80290204
Bei der Kommunikation mit TPM ist ein Fehler aufgetreten.
TBSIMP_E_HASH_BAD_KEY Es wurde kein Eintrag mit dem angegebenen Schlüssel gefunden.
80 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Konstante/Wert Beschreibung
0x80290205
TBSIMP_E_DUPLICATE_VHANDLE
0x80290206
Das angegebene virtuelle Handle stimmt mit einem virtuellen Handle
überein, das bereits verwendet wird.
TBSIMP_E_INVALID_OUTPUT_POINTER
0x80290207
Der Zeiger auf den zurückgegebenen Handlespeicherort war NULL
oder ungültig.
TBSIMP_E_INVALID_PARAMETER
0x80290208
Ein oder mehrere Parameter sind ungültig.
TBSIMP_E_RPC_INIT_FAILED
0x80290209
Das RPC-Subsystem konnte nicht initialisiert werden.
TBSIMP_E_SCHEDULER_NOT_RUNNING
0x8029020A
Die TBS-Zeitplanung wird nicht ausgeführt.
TBSIMP_E_COMMAND_CANCELED
0x8029020B
Der Befehl wurde abgebrochen.
TBSIMP_E_OUT_OF_MEMORY
0x8029020C
Es war nicht genügend Arbeitsspeicher verfügbar, um die
Anforderung zu erfüllen.
TBSIMP_E_LIST_NO_MORE_ITEMS
0x8029020D
Die angegebene Liste ist leer, oder die Iteration hat das Ende der
Liste erreicht.
TBSIMP_E_LIST_NOT_FOUND
0x8029020E
Das angegebene Element wurde nicht in der Liste gefunden.
TBSIMP_E_NOT_ENOUGH_SPACE
0x8029020F
Das TPM verfügt nicht über genügend Speicherplatz, um die
angeforderte Ressource zu laden.
TBSIMP_E_NOT_ENOUGH_TPM_CONTEXTS
0x80290210
Es werden zu viele TPM-Kontexte verwendet.
TBSIMP_E_COMMAND_FAILED
0x80290211
Der TPM-Befehl ist fehlgeschlagen.
TBSIMP_E_UNKNOWN_ORDINAL
0x80290212
Der TBS erkennt die angegebene Ordnungszahl nicht.
TBSIMP_E_RESOURCE_EXPIRED
0x80290213
Die angegebene Ressource ist nicht mehr verfügbar.
TBSIMP_E_INVALID_RESOURCE Der Ressourcentyp stimmte nicht überein.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
81
Konstante/Wert Beschreibung
0x80290214
TBSIMP_E_NOTHING_TO_UNLOAD
0x80290215
Es können keine Ressourcen entladen werden.
TBSIMP_E_HASH_TABLE_FULL
0x80290216
Der Hashtabelle können keine neuen Einträge hinzugefügt werden.
TBSIMP_E_TOO_MANY_TBS_CONTEXTS
0x80290217
Ein neuer TBS-Kontext konnte nicht erstellt werden, da bereits zu
viele oene Kontexte vorhanden sind.
TBSIMP_E_TOO_MANY_RESOURCES
0x80290218
Eine neue virtuelle Ressource konnte nicht erstellt werden, da
bereits zu viele oene virtuelle Ressource vorhanden sind.
TBSIMP_E_PPI_NOT_SUPPORTED
0x80290219
Die physikalische Anwesenheitsschnittstelle wird nicht unterstützt.
TBSIMP_E_TPM_INCOMPATIBLE
0x8029021A
TBS ist nicht kompatibel mit der TPM-Version, die im System
gefunden wurde.
TBSIMP_E_NO_EVENT_LOG
0x8029021B
Es ist kein TCG-Ereignisprotokoll verfügbar.
TPM_E_PPI_ACPI_FAILURE
0x80290300
Beim Versuch, die BIOS-Antwort auf einen physischen
Anwesenheitsbefehl zu erhalten, wurde ein allgemeiner Fehler
festgestellt.
TPM_E_PPI_USER_ABORT
0x80290301
Der Benutzer konnte die TPM-Vorgangsanforderung nicht
bestätigen.
TPM_E_PPI_BIOS_FAILURE
0x80290302
Aufgrund des BIOS-Fehlers konnte der angeforderte TPM-Vorgang
nicht erfolgreich ausgeführt werden (z. B. ungültige TPM-
Vorgangsanforderung, BIOS-Kommunikationsfehler beim TPM).
TPM_E_PPI_NOT_SUPPORTED
0x80290303
Das BIOS unterstützt die Anwesenheitsschnittstelle nicht.
TPM_E_PPI_BLOCKED_IN_BIOS
0x80290304
Der Befehl für physische Anwesenheit wurde von den aktuellen
BIOS-Einstellungen blockiert. Der Systembesitzer kann
möglicherweise die BIOS-Einstellungen neu kongurieren, um den
Befehl zuzulassen.
TPM_E_PCP_ERROR_MASK
0x80290400
Dies ist eine Fehlermaske zum Konvertieren von
Plattformkryptograeanbieter-Fehlern in Win-Fehler.
TPM_E_PCP_DEVICE_NOT_READY
0x80290401
Der Plattformkryptograeanbieter ist momentan nicht bereit. Er
muss vollständig bereitgestellt werden, um betriebsbereit zu sein.
82 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Konstante/Wert Beschreibung
TPM_E_PCP_INVALID_HANDLE
0x80290402
Das für den Plattformkryptograeanbieter angegebene Handle ist
ungültig.
TPM_E_PCP_INVALID_PARAMETER
0x80290403
Ein für den Plattformkryptograeanbieter angegebener Parameter
ist ungültig.
TPM_E_PCP_FLAG_NOT_SUPPORTED
0x80290404
Ein für den Plattformkryptograeanbieter angegebenes
Kennzeichen wird nicht unterstützt.
TPM_E_PCP_NOT_SUPPORTED
0x80290405
Der angeforderte Vorgang wird von diesem
Plattformkryptograeanbieter nicht unterstützt.
TPM_E_PCP_BUFFER_TOO_SMALL
0x80290406
Der Puer ist zu klein, um alle Daten aufzunehmen. Es wurden
keine Informationen in den Puer geschrieben.
TPM_E_PCP_INTERNAL_ERROR
0x80290407
Unerwarteter interner Fehler im Plattformkryptograeanbieter.
TPM_E_PCP_AUTHENTICATION_FAILED
0x80290408
Fehler bei der Autorisierung der Verwendung eines Anbieterobjekts.
TPM_E_PCP_AUTHENTICATION_IGNORED
0x80290409
Die Autorisierung für das Anbieterobjekt wurde vom
Plattformkryptograegerät ignoriert, um einen Wörterbuchangri
abzuwehren.
TPM_E_PCP_POLICY_NOT_FOUND
0x8029040A
Die referenzierte Richtlinie wurde nicht gefunden.
TPM_E_PCP_PROFILE_NOT_FOUND
0x8029040B
Das referenzierte Prol wurde nicht gefunden.
TPM_E_PCP_VALIDATION_FAILED
0x8029040C
Die Validierung war nicht erfolgreich.
PLA_E_DCS_NOT_FOUND
0x80300002
Der Sammlungssatz wurde nicht gefunden.
PLA_E_DCS_IN_USE
0x803000AA
Der Sammlungssatz oder eine der Abhängigkeiten wird bereits
verwendet.
PLA_E_TOO_MANY_FOLDERS
0x80300045
Der Sammlungssatz konnte nicht gestartet werden, da zu viele
Ordner vorhanden sind.
PLA_E_NO_MIN_DISK
0x80300070
Es ist nicht genügend freier Speicherplatz verfügbar, um den
Sammlungssatz zu starten.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
83
Konstante/Wert Beschreibung
PLA_E_DCS_ALREADY_EXISTS
0x803000B7
Der Sammlungssatz ist bereits vorhanden.
PLA_S_PROPERTY_IGNORED
0x00300100
Der Eigenschaftswert wird ignoriert.
PLA_E_PROPERTY_CONFLICT
0x80300101
Konikt beim Eigenschaftswert.
PLA_E_DCS_SINGLETON_REQUIRED
0x80300102
Die aktuelle Konguration für diesen Sammlungssatz erfordert, dass
er genau eine Sammlung enthält.
PLA_E_CREDENTIALS_REQUIRED
0x80300103
Es ist ein Benutzerkonto erforderlich, um die Eigenschaften des
aktuellen Sammlungssatzes zu übernehmen.
PLA_E_DCS_NOT_RUNNING
0x80300104
Der Sammlungssatz wird nicht ausgeführt.
PLA_E_CONFLICT_INCL_EXCL_API
0x80300105
In der Liste der APIs zum Ein-/Ausschließen wurde ein Konikt
erkannt. Sie dürfen in der Liste der einzuschließenden und in der
Liste der auszuschließenden APIs nicht die gleiche API angeben.
PLA_E_NETWORK_EXE_NOT_VALID
0x80300106
Der angegebene ausführbare Pfad bezieht sich auf eine
Netzwerkfreigabe oder einen UNC-Pfad.
PLA_E_EXE_ALREADY_CONFIGURED
0x80300107
Der angegebene Pfad zur ausführbaren Datei ist bereits für die API-
Ablaufverfolgung konguriert.
PLA_E_EXE_PATH_NOT_VALID
0x80300108
Der angegebene Pfad zur ausführbaren Datei ist nicht vorhanden.
Stellen Sie sicher, dass der angegebene Pfad richtig ist.
PLA_E_DC_ALREADY_EXISTS
0x80300109
Der Datensammler ist bereits vorhanden.
PLA_E_DCS_START_WAIT_TIMEOUT
0x8030010A
Zeitüberschreitung beim Warten auf die Startbenachrichtigung des
Datensammlersatzes.
PLA_E_DC_START_WAIT_TIMEOUT
0x8030010B
Zeitüberschreitung beim Warten auf die Startbenachrichtigung des
Datensammlers.
PLA_E_REPORT_WAIT_TIMEOUT
0x8030010C
Zeitüberschreitung beim Warten auf den Abschluss des
Berichtgenerierungstools.
PLA_E_NO_DUPLICATES
0x8030010D
Elementduplikate sind nicht zulässig.
84 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Konstante/Wert Beschreibung
PLA_E_EXE_FULL_PATH_REQUIRED
0x8030010E
Wenn Sie die ausführbare Datei angeben, die Sie verfolgen
möchten, müssen Sie einen vollständigen Pfad zu der ausführbaren
Datei und nicht nur einen Dateinamen angeben.
PLA_E_INVALID_SESSION_NAME
0x8030010F
Der angegebene Sitzungsname ist ungültig.
PLA_E_PLA_CHANNEL_NOT_ENABLED
0x80300110
Der Ereignisprotokollkanal Microsoft-Windows-Diagnosis-PLA/
Operational muss aktiviert sein, um diesen Vorgang auszuführen.
PLA_E_TASKSCHED_CHANNEL_NOT_ENABLED
0x80300111
Der Ereignisprotokollkanal Microsoft-Windows-TaskScheduler muss
aktiviert sein, um diesen Vorgang auszuführen.
PLA_E_RULES_MANAGER_FAILED
0x80300112
Fehler bei der Ausführung des Regelmanagers.
PLA_E_CABAPI_FAILURE
0x80300113
Fehler beim Komprimieren oder Extrahieren der Daten.
FVE_E_LOCKED_VOLUME
0x80310000
Dieses Laufwerk ist durch die BitLocker-Laufwerkverschlüsselung
gesperrt. Sie müssen das Laufwerk über die Systemsteuerung
entsperren.
FVE_E_NOT_ENCRYPTED
0x80310001
Das Laufwerk ist nicht verschlüsselt.
FVE_E_NO_TPM_BIOS
0x80310002
Das BIOS hat nicht korrekt mit dem TPM kommuniziert.
Anweisungen zum Aktualisieren des BIOS erhalten Sie vom
Computerhersteller.
FVE_E_NO_MBR_METRIC
0x80310003
Das BIOS hat nicht korrekt mit dem Master Boot Record (MBR)
kommuniziert. Anweisungen zum Aktualisieren des BIOS erhalten
Sie vom Computerhersteller.
FVE_E_NO_BOOTSECTOR_METRIC
0x80310004
Eine erforderliche TPM-Messung fehlt. Bendet sich eine
startfähige CD oder DVD im Computer, entfernen Sie diese, starten
Sie den Computer neu, und aktivieren Sie BitLocker erneut. Falls
das Problem weiterhin besteht, stellen Sie sicher, dass der MBR
(Master Boot Record) aktuell ist.
FVE_E_NO_BOOTMGR_METRIC
0x80310005
Der Startsektor des Laufwerks ist nicht mit der BitLocker-
Laufwerkverschlüsselung kompatibel. Verwenden Sie das Tool
"Bootrec.exe" in der Windows-Wiederherstellungsumgebung, um
den Start-Manager (BOOTMGR) zu aktualisieren oder zu
reparieren.
FVE_E_WRONG_BOOTMGR
0x80310006
Der Start-Manager des Betriebssystems ist nicht mit der BitLocker-
Laufwerkverschlüsselung kompatibel. Verwenden Sie das Tool
"Bootrec.exe" in der Windows-Wiederherstellungsumgebung, um
den Start-Manager (BOOTMGR) zu aktualisieren oder zu
reparieren.
FVE_E_SECURE_KEY_REQUIRED
0x80310007
Für die Ausführung des Vorgangs ist mindestens eine sichere
Schlüsselschutzvorrichtung erforderlich.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
85
Konstante/Wert Beschreibung
FVE_E_NOT_ACTIVATED
0x80310008
Die BitLocker-Laufwerkverschlüsselung ist für dieses Laufwerk
nicht aktiviert. Aktivieren Sie BitLocker.
FVE_E_ACTION_NOT_ALLOWED
0x80310009
Die BitLocker-Laufwerkverschlüsselung konnte die angeforderte
Aktion nicht ausführen. Dieses Problem kann auftreten, wenn zwei
Anforderungen gleichzeitig gesendet werden. Warten Sie einen
Moment, und wiederholen Sie anschließend die Aktion.
FVE_E_AD_SCHEMA_NOT_INSTALLED
0x8031000A
Die Gesamtstruktur des Active Directory-Domänendienstes enthält
nicht die erforderlichen Attribute und Klassen zum Hosten der
BitLocker-Laufwerkverschlüsselung oder der TPM-Informationen.
Wenden Sie sich an den Domänenadministrator, um zu überprüfen,
ob die erforderlichen Active Directory-Schemaerweiterungen für
BitLocker installiert wurden.
FVE_E_AD_INVALID_DATATYPE
0x8031000B
Der Typ der Daten, die aus Active Directory abgerufen wurden,
wurde nicht erwartet. Die BitLocker-
Wiederherstellungsinformationen fehlen möglicherweise oder sind
beschädigt.
FVE_E_AD_INVALID_DATASIZE
0x8031000C
Die Größe der Daten, die aus Active Directory abgerufen wurden,
wurde nicht erwartet. Die BitLocker-
Wiederherstellungsinformationen fehlen möglicherweise oder sind
beschädigt.
FVE_E_AD_NO_VALUES
0x8031000D
Das aus Active Directory gelesene Attribut enthält keine Werte. Die
BitLocker-Wiederherstellungsinformationen fehlen möglicherweise
oder sind beschädigt.
FVE_E_AD_ATTR_NOT_SET
0x8031000E
Das Attribut wurde nicht festgelegt. Überprüfen Sie, ob Sie an
einem Domänenkonto angemeldet sind, mit dem Informationen in
Active Directory-Objekte geschrieben werden können.
FVE_E_AD_GUID_NOT_FOUND
0x8031000F
Das angegebene Attribut wurde in Active Directory-
Domänendienste nicht gefunden. Wenden Sie sich an den
Domänenadministrator, um zu überprüfen, ob die erforderlichen
Active Directory-Schemaerweiterungen für BitLocker installiert
wurden.
FVE_E_BAD_INFORMATION
0x80310010
Die BitLocker-Metadaten für das verschlüsselte Laufwerk sind
ungültig. Versuchen Sie, das Laufwerk zu reparieren, um wieder
Zugri zu erhalten.
FVE_E_TOO_SMALL
0x80310011
Das Laufwerk kann nicht verschlüsselt werden, da nicht genügend
freier Speicherplatz verfügbar ist. Löschen Sie alle nicht benötigten
Daten auf dem Laufwerk, um zusätzlichen Speicherplatz
freizugeben, und wiederholen Sie anschließend den Vorgang.
FVE_E_SYSTEM_VOLUME
0x80310012
Das Laufwerk kann nicht verschlüsselt werden, da es Informationen
zum Systemstart enthält. Erstellen Sie eine gesonderte Partition, die
als Systemlaufwerk mit den Startinformationen verwendet wird,
und eine zweite Partition, die als Betriebssystem-Laufwerk
verwendet wird. Verschlüsseln Sie anschließend das
Betriebssystem-Laufwerk.
FVE_E_FAILED_WRONG_FS
0x80310013
Das Laufwerk kann nicht verschlüsselt werden, da das Dateisystem
nicht unterstützt wird.
86 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Konstante/Wert Beschreibung
FVE_E_BAD_PARTITION_SIZE
0x80310014
Das Dateisystem ist größer als die Partitionsgröße in der
Partitionstabelle. Das Laufwerk ist möglicherweise beschädigt oder
wurde manipuliert. Für die Verwendung des Laufwerks mit
BitLocker muss die Partition neu formatiert werden.
FVE_E_NOT_SUPPORTED
0x80310015
Das Laufwerk kann nicht verschlüsselt werden.
FVE_E_BAD_DATA
0x80310016
Die Daten sind ungültig.
FVE_E_VOLUME_NOT_BOUND
0x80310017
Das angegebene Datenlaufwerk ist nicht für die automatische
Entsperrung auf dem aktuellen Computer konguriert und kann
nicht automatisch entsperrt werden.
FVE_E_TPM_NOT_OWNED
0x80310018
Sie müssen das TPM zuerst initialisieren, bevor Sie die BitLocker-
Laufwerkverschlüsselungs verwenden können.
FVE_E_NOT_DATA_VOLUME
0x80310019
Der gewünschte Vorgang kann auf einem Betriebssystem-Laufwerk
nicht ausgeführt werden.
FVE_E_AD_INSUFFICIENT_BUFFER
0x8031001A
Der Puer, der an eine Funktion übergeben wurde, war zu klein, um
die zurückgegebenen Daten aufzunehmen. Erhöhen Sie die
Puergröße vor der erneuten Ausführung der Funktion.
FVE_E_CONV_READ
0x8031001B
Ein Lesevorgang beim Konvertieren des Laufwerks war nicht
erfolgreich. Das Laufwerk wurde nicht konvertiert. Aktivieren Sie
BitLocker erneut.
FVE_E_CONV_WRITE
0x8031001C
Ein Schreibvorgang beim Konvertieren des Laufwerks war nicht
erfolgreich. Das Laufwerk wurde nicht konvertiert. Aktivieren Sie
BitLocker erneut.
FVE_E_KEY_REQUIRED
0x8031001D
Mindestens eine BitLocker-Schlüsselschutzvorrichtung ist
erforderlich. Der letzte Schlüssel auf dem Laufwerk kann nicht
gelöscht werden.
FVE_E_CLUSTERING_NOT_SUPPORTED
0x8031001E
Clusterkongurationen werden von der BitLocker-
Laufwerkverschlüsselung nicht unterstützt.
FVE_E_VOLUME_BOUND_ALREADY
0x8031001F
Das angegebene Laufwerk ist bereits für die automatische
Entsperrung auf dem aktuellen Computer konguriert.
FVE_E_OS_NOT_PROTECTED
0x80310020
Das Laufwerk des Betriebssystems wird nicht durch BitLocker-
Laufwerkverschlüsselung geschützt.
FVE_E_PROTECTION_DISABLED
0x80310021
Die BitLocker-Laufwerkverschlüsselung wurde für dieses Laufwerk
angehalten. Alle für das Laufwerk kongurierten BitLocker-
Schlüsselschutzvorrichtungen werden eektiv deaktiviert, und das
Laufwerk wird automatisch mithilfe eines unverschlüsselten
Schlüssels entsperrt.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
87
Konstante/Wert Beschreibung
FVE_E_RECOVERY_KEY_REQUIRED
0x80310022
Für das zu sperrende Laufwerk sind keine
Schlüsselschutzvorrichtungen für eine Verschlüsselung verfügbar,
da der BitLocker-Schutz derzeit angehalten ist. Aktivieren Sie
BitLocker wieder, um das Laufwerk zu sperren.
FVE_E_FOREIGN_VOLUME
0x80310023
BitLocker keine Datenlaufwerke mithilfe des TPM schützen. Der
TPM-Schutz kann nur mit dem Laufwerk des Betriebssystems
verwendet werden.
FVE_E_OVERLAPPED_UPDATE
0x80310024
Die BitLocker-Metadaten für das verschlüsselte Laufwerk können
nicht aktualisiert werden, da sie für eine Aktualisierung durch einen
anderen Vorgang gesperrt waren. Wiederholen Sie den Vorgang.
FVE_E_TPM_SRK_AUTH_NOT_ZERO
0x80310025
Die Autorisierungsdaten für den Speicherstammschlüsselsatz (SRK)
des TPM sind nicht null und daher nicht mit BitLocker kompatibel.
Initialisieren Sie das TPM, bevor Sie es mit BitLocker verwenden.
FVE_E_FAILED_SECTOR_SIZE
0x80310026
Der Laufwerkverschlüsselungsalgorithmus kann für diese
Sektorgröße nicht verwendet werden.
FVE_E_FAILED_AUTHENTICATION
0x80310027
Das Laufwerk kann mit dem bereitgestellten Schlüssel nicht
entsperrt werden. Überprüfen Sie, ob Sie den richtigen Schlüssel
bereitgestellt haben, und wiederholen Sie den Vorgang.
FVE_E_NOT_OS_VOLUME
0x80310028
Das angegebene Laufwerk ist nicht das Laufwerk des
Betriebssystems.
FVE_E_AUTOUNLOCK_ENABLED
0x80310029
Die BitLocker-Laufwerkverschlüsselung kann für das Laufwerk des
Betriebssystems erst deaktiviert werden, wenn das Feature für
automatisches Entsperren für die dem Computer zugeordneten
integrierten Datenlaufwerke und die Wechseldatenlaufwerke
deaktiviert wurde.
FVE_E_WRONG_BOOTSECTOR
0x8031002A
Der Startsektor der Systempartition führt keine TPM-Messungen
aus. Verwenden Sie das Tool "Bootrec.exe" in der Windows-
Wiederherstellungsumgebung, um den Startsektor zu aktualisieren
oder zu reparieren.
FVE_E_WRONG_SYSTEM_FS
0x8031002B
Betriebssystem-Laufwerke für BitLocker-Laufwerkverschlüsselung
müssen mit dem NTFS-Dateisystem formatiert werden, um eine
Verschlüsselung vorzunehmen. Konvertieren Sie das Laufwerk in
NTFS, und aktivieren Sie anschließend BitLocker.
FVE_E_POLICY_PASSWORD_REQUIRED
0x8031002C
Für die Gruppenrichtlinieneinstellungen muss vor dem Verschlüsseln
des Laufwerks ein Wiederherstellungskennwort angegeben werden.
FVE_E_CANNOT_SET_FVEK_ENCRYPTED
0x8031002D
Der Algorithmus und der Schlüssel für die Laufwerkverschlüsselung
können nicht für ein zuvor verschlüsseltes Laufwerk festgelegt
werden. Zum Verschlüsseln des Laufwerks mit der BitLocker-
Laufwerkverschlüsselung muss die vorherige Verschlüsselung
entfernt und anschließend BitLocker aktiviert werden.
FVE_E_CANNOT_ENCRYPT_NO_KEY
0x8031002E
Das angegebene Laufwerk kann mit der BitLocker-
Laufwerkverschlüsselung nicht verschlüsselt werden, da kein
Verschlüsselungsschlüssel verfügbar ist. Fügen Sie zum
Verschlüsseln des Laufwerks eine Schlüsselschutzvorrichtung
hinzu.
88 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Konstante/Wert Beschreibung
FVE_E_BOOTABLE_CDDVD
0x80310030
Im Computer wurde ein startbarer Datenträger (CD oder DVD)
erkannt. Entfernen Sie den Datenträger, und starten Sie den
Computer neu, bevor Sie BitLocker kongurieren.
FVE_E_PROTECTOR_EXISTS
0x80310031
Die Schlüsselschutzvorrichtung kann nicht hinzugefügt werden. Für
das Laufwerk ist nur eine Schlüsselschutzvorrichtung dieses Typs
zulässig.
FVE_E_RELATIVE_PATH
0x80310032
Die Datei für das Wiederherstellungskennwort wurde nicht
gefunden, da ein relativer Pfad angegeben wurde.
Wiederherstellungskennwörter müssen in einem vollqualizierten
Pfad gespeichert werden. Im Pfad können für den Computer
kongurierte Umgebungsvariablen verwendet werden.
FVE_E_PROTECTOR_NOT_FOUND
0x80310033
Die angegebene Schlüsselschutzvorrichtung wurde auf dem
Laufwerk nicht gefunden. Verwenden Sie eine andere
Schlüsselschutzvorrichtung.
FVE_E_INVALID_KEY_FORMAT
0x80310034
Der bereitgestellte Wiederherstellungsschlüssel ist beschädigt und
kann nicht für den Zugri auf das Laufwerk verwendet werden. Zur
Wiederherstellung des Zugris muss eine alternative
Wiederherstellungsmethode, beispielsweise ein
Wiederherstellungskennwort, ein Datenwiederherstellungs-Agent
oder eine Sicherungsversion des Wiederherstellungsschlüssels
verwendet werde.
FVE_E_INVALID_PASSWORD_FORMAT
0x80310035
Das Format des Wiederherstellungskennworts ist ungültig.
BitLocker-Wiederherstellungskennwörter umfassen 48 Stellen.
Stellen Sie sicher, dass das Wiederherstellungskennwort das
korrekte Format aufweist, und wiederholen Sie den Vorgang.
FVE_E_FIPS_RNG_CHECK_FAILED
0x80310036
Fehler bei der Prüfung des Zufallszahlen-Generators.
FVE_E_FIPS_PREVENTS_RECOVERY_PASSWORD
0x80310037
Durch die Gruppenrichtlinieneinstellung, die FIPS-Kompatibilität
erfordert, wird die Generierung oder Verwendung eines lokalen
Wiederherstellungskennworts durch die BitLocker-
Laufwerkverschlüsselung verhindert. Bei der Ausführung im FIPS-
kompatiblen Modus stehen folgende BitLocker-
Wiederherstellungsoptionen zur Verfügung: Ein auf einem USB-
Laufwerk gespeicherter Wiederherstellungsschlüssel oder eine
Wiederherstellung über einen Datenwiederherstellungs-Agent.
FVE_E_FIPS_PREVENTS_EXTERNAL_KEY_EXPORT
0x80310038
Durch die Gruppenrichtlinieneinstellung, für die FIPS-Kompatibilität
erforderlich ist, wird das Speichern des
Wiederherstellungskennworts in Active Directory verhindert. Bei der
Ausführung im FIPS-kompatiblen Modus stehen folgende
BitLocker-Wiederherstellungsoptionen zur Verfügung: Ein auf einem
USB-Laufwerk gespeicherter Wiederherstellungsschlüssel oder eine
Wiederherstellung über einen Datenwiederherstellungs-Agent.
Überprüfen Sie die Konguration der
Gruppenrichtlinieneinstellungen.
FVE_E_NOT_DECRYPTED
0x80310039
Das Laufwerk muss zum Ausführen dieses Vorgangs vollständig
entschlüsselt werden.
FVE_E_INVALID_PROTECTOR_TYPE
0x8031003A
Die angegebene Schlüsselschutzvorrichtung kann nicht für den
Vorgang verwendet werden.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
89
Konstante/Wert Beschreibung
FVE_E_NO_PROTECTORS_TO_TEST
0x8031003B
Auf dem Laufwerk sind keine Schlüsselschutzvorrichtungen zum
Ausführen des Hardwaretests vorhanden.
FVE_E_KEYFILE_NOT_FOUND
0x8031003C
Der BitLocker-Startschlüssel oder das Wiederherstellungskennwort
wurde auf dem USB-Gerät nicht gefunden. Stellen Sie sicher, dass
Sie über das korrekte USB-Gerät verfügen und dass es am
Computer an einem aktiven USB-Anschluss angeschlossen ist.
Starten Sie den Computer neu, und wiederholen Sie den Vorgang.
Falls das Problem weiterhin besteht, fordern Sie vom
Computerhersteller Anweisungen zum Upgrade des BIOS an.
FVE_E_KEYFILE_INVALID
0x8031003D
Der BitLocker-Startschlüssel oder die
Wiederherstellungskennwortdatei ist beschädigt oder ungültig.
Überprüfen Sie, ob Sie über den korrekten Startschlüssel oder die
Wiederherstellungskennwortdatei verfügen, und wiederholen Sie
den Vorgang.
FVE_E_KEYFILE_NO_VMK
0x8031003E
Der BitLocker-Verschlüsselungsschlüssel konnte nicht aus dem
Startschlüssel oder dem Wiederherstellungskennwort abgerufen
werden. Überprüfen Sie, ob Sie über den korrekten Startschlüssel
oder die Wiederherstellungskennwortdatei verfügen, und
wiederholen Sie den Vorgang.
FVE_E_TPM_DISABLED
0x8031003F
Das TPM ist deaktiviert. Das TPM muss aktiviert und initialisiert
werden und über einen gültigen Besitz verfügen, bevor es mit der
BitLocker-Laufwerkverschlüsselung verwendet werden kann.
FVE_E_NOT_ALLOWED_IN_SAFE_MODE
0x80310040
Die BitLocker-Konguration des angegebenen Laufwerks kann nicht
verwaltet werden, da der Computer derzeit im abgesicherten
Modus betrieben wird. Im abgesicherten Modus kann die BitLocker-
Laufwerkverschlüsselung nur zur Wiederherstellung verwendet
werden.
FVE_E_TPM_INVALID_PCR
0x80310041
Das Laufwerk konnte vom TPM nicht entsperrt werden, da die
Systemstartinformationen geändert wurden oder eine PIN nicht
korrekt angegeben wurde. Stellen Sie sicher, dass das Laufwerk
nicht manipuliert wurde und dass Änderungen an
Systemstartinformationen durch eine vertrauenswürdige Quelle
verursacht wurden. Nachdem überprüft wurde, ob ein sicherer
Zugri auf das Laufwerk möglich ist, entsperren Sie das Laufwerk
mithilfe der BitLocker-Wiederherstellungskonsole. Halten Sie
BitLocker anschließend an, und setzen Sie die Funktion wieder fort,
um die Systemstartinformationen zu aktualisieren, die dem
Laufwerk von BitLocker zugeordnet werden.
FVE_E_TPM_NO_VMK
0x80310042
Der BitLocker-Verschlüsselungsschlüssel konnte nicht aus dem
TPM abgerufen werden.
FVE_E_PIN_INVALID
0x80310043
Der BitLocker-Verschlüsselungsschlüssel konnte nicht über das
TPM oder die PIN abgerufen werden.
FVE_E_AUTH_INVALID_APPLICATION
0x80310044
Eine Startanwendung hat sich geändert, nachdem die BitLocker-
Laufwerkverschlüsselung aktiviert wurde.
FVE_E_AUTH_INVALID_CONFIG
0x80310045
Die Einstellungen für die Startkongurationsdaten wurden geändert,
nachdem die BitLocker-Laufwerkverschlüsselung aktiviert wurde.
90 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Konstante/Wert Beschreibung
FVE_E_FIPS_DISABLE_PROTECTION_NOT_ALLOWED
0x80310046
Die Verwendung von unverschlüsselten Schlüsseln ist gemäß der
Gruppenrichtlinieneinstellung, die FIPS-Kompatibilität erfordert,
untersagt. Dadurch wird das Anhalten von BitLocker auf dem
Laufwerk verhindert. Weitere Informationen erhalten Sie vom
Domänenadministrator.
FVE_E_FS_NOT_EXTENDED
0x80310047
Das Laufwerk kann von der BitLocker-Laufwerkverschlüsselung
nicht verschlüsselt werden, da sich das Dateisystem nicht bis zum
Ende des Laufwerks erstreckt. Partitionieren Sie das Laufwerk neu,
und wiederholen Sie den Vorgang.
FVE_E_FIRMWARE_TYPE_NOT_SUPPORTED
0x80310048
Die BitLocker-Laufwerkverschlüsselung kann nicht auf dem
Laufwerk des Betriebssystems aktiviert werden. Anweisungen zum
Aktualisieren des BIOS erhalten Sie vom Computerhersteller.
FVE_E_NO_LICENSE
0x80310049
Diese Windows-Version enthält keine BitLocker-
Laufwerkverschlüsselung. Aktualisieren Sie das Betriebssystem, um
die BitLocker-Laufwerkverschlüsselung zu verwenden.
FVE_E_NOT_ON_STACK
0x8031004A
Die BitLocker-Laufwerkverschlüsselung kann nicht verwendet
werden, da wichtige BitLocker-Systemdateien fehlen oder
beschädigt sind. Verwenden Sie die Windows-Starthilfe, um die
Dateien auf dem Computer wiederherzustellen.
FVE_E_FS_MOUNTED
0x8031004B
Eine Sperrung des Laufwerks ist nicht möglich, solange es
verwendet wird.
FVE_E_TOKEN_NOT_IMPERSONATED
0x8031004C
Das mit dem aktuellen Thread verknüpfte Zugristoken ist kein
imitiertes Token.
FVE_E_DRY_RUN_FAILED
0x8031004D
Der BitLocker-Verschlüsselungsschlüssel kann nicht abgerufen
werden. Stellen Sie sicher, dass das TPM aktiviert ist und der Besitz
übernommen wurde. Besitzt der Computer kein TPM, überprüfen
Sie, ob das USB-Laufwerk angeschlossen und verfügbar ist.
FVE_E_REBOOT_REQUIRED
0x8031004E
Der Computer muss vor der Fortsetzung der BitLocker-
Laufwerkverschlüsselung neu gestartet werden.
FVE_E_DEBUGGER_ENABLED
0x8031004F
Bei aktiviertem Startdebugging ist keine Laufwerkverschlüsselung
möglich. Verwenden Sie das Befehlszeilentool "bcdedit", um das
Startdebugging zu deaktivieren.
FVE_E_RAW_ACCESS
0x80310050
Es wurde keine Aktion durchgeführt, weil sich die BitLocker-
Laufwerkverschlüsselung im Rohzugrismodus bendet.
FVE_E_RAW_BLOCKED
0x80310051
Die BitLocker-Laufwerkverschlüsselung kann den RAW-
Zugrismodus für dieses Volume nicht aktivieren, da das Laufwerk
derzeit verwendet wird.
FVE_E_BCD_APPLICATIONS_PATH_INCORRECT
0x80310052
Der in den Startkongurationsdaten (BCD) für eine durch die
BitLocker-Laufwerkverschlüsselung integritätsgeschützte
Anwendung angegebene Pfad ist falsch. Überprüfen und korrigieren
Sie die BCD-Einstellungen, und wiederholen Sie den Vorgang.
FVE_E_NOT_ALLOWED_IN_VERSION
0x80310053
Die BitLocker-Laufwerkverschlüsselung kann nur zu beschränkten
Bereitstellungs- oder Wiederherstellungszwecken verwendet
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
91
Konstante/Wert Beschreibung
werden, wenn der Computer in Vorinstallations- oder
Wiederherstellungsumgebungen ausgeführt wird.
FVE_E_NO_AUTOUNLOCK_MASTER_KEY
0x80310054
Der Hauptschlüssel für das automatische Aufheben der Sperre war
auf dem Laufwerk des Betriebssystems nicht verfügbar.
FVE_E_MOR_FAILED
0x80310055
Fehler beim Aktivieren des Löschens des Systemspeichers beim
Neustart des Computers.
FVE_E_HIDDEN_VOLUME
0x80310056
Das verborgene Laufwerk kann nicht verschlüsselt werden.
FVE_E_TRANSIENT_STATE
0x80310057
BitLocker-Verschlüsselungsschlüssel wurden ignoriert, da das
Laufwerk einen vorübergehenden Status aufwies.
FVE_E_PUBKEY_NOT_ALLOWED
0x80310058
Auf diesem Laufwerk sind keine Schutzvorrichtungen zulässig, die
auf dem öentlichen Schlüssel basieren.
FVE_E_VOLUME_HANDLE_OPEN
0x80310059
Auf diesem Laufwerk wird bereits ein BitLocker-
Laufwerkverschlüsselungsvorgang ausgeführt. Schließen Sie alle
Vorgänge ab, bevor Sie diesen Vorgang fortsetzen.
FVE_E_NO_FEATURE_LICENSE
0x8031005A
Die Version von Windows bietet keine Unterstützung für dieses
Feature der BitLocker-Laufwerkverschlüsselung. Aktualisieren Sie
das Betriebssystem, um das Feature zu verwenden.
FVE_E_INVALID_STARTUP_OPTIONS
0x8031005B
Die Gruppenrichtlinieneinstellungen für BitLocker-Startoptionen
stehen in Konikt und können nicht angewendet werden. Weitere
Informationen erhalten Sie von Ihrem Systemadministrator.
FVE_E_POLICY_RECOVERY_PASSWORD_NOT_ALLOWED
0x8031005C
Die Gruppenrichtlinieneinstellungen lassen keine Erstellung eines
Wiederherstellungskennworts zu.
FVE_E_POLICY_RECOVERY_PASSWORD_REQUIRED
0x8031005D
Die Gruppenrichtlinieneinstellungen erfordern das Erstellen eines
Wiederherstellungskennworts.
FVE_E_POLICY_RECOVERY_KEY_NOT_ALLOWED
0x8031005E
Die Gruppenrichtlinieneinstellungen lassen keine Erstellung eines
Wiederherstellungsschlüssels zu.
FVE_E_POLICY_RECOVERY_KEY_REQUIRED
0x8031005F
Die Gruppenrichtlinieneinstellungen erfordern das Erstellen eines
Wiederherstellungsschlüssels.
FVE_E_POLICY_STARTUP_PIN_NOT_ALLOWED
0x80310060
Die Gruppenrichtlinieneinstellungen lassen nicht die Verwendung
einer PIN beim Start zu. Wählen Sie eine andere BitLocker-
Startoption.
FVE_E_POLICY_STARTUP_PIN_REQUIRED
0x80310061
Die Gruppenrichtlinieneinstellungen erfordern die Verwendung einer
PIN beim Start. Wählen Sie diese BitLocker-Startoption.
92 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Konstante/Wert Beschreibung
FVE_E_POLICY_STARTUP_KEY_NOT_ALLOWED
0x80310062
Die Gruppenrichtlinieneinstellungen lassen nicht die Verwendung
eines Startschlüssels zu. Wählen Sie eine andere BitLocker-
Startoption.
FVE_E_POLICY_STARTUP_KEY_REQUIRED
0x80310063
Die Gruppenrichtlinieneinstellungen erfordern die Verwendung eines
Startschlüssels. Wählen Sie diese BitLocker-Startoption.
FVE_E_POLICY_STARTUP_PIN_KEY_NOT_ALLOWED0x8031006
4
Die Gruppenrichtlinieneinstellungen lassen keine Verwendung eines
Startschlüssels und einer PIN zu. Wählen Sie eine andere BitLocker-
Startoption.
FVE_E_POLICY_STARTUP_PIN_KEY_REQUIRED
0x80310065
Die Gruppenrichtlinieneinstellungen erfordern die Verwendung eines
Startschlüssels und einer PIN. Wählen Sie diese BitLocker-
Startoption.
FVE_E_POLICY_STARTUP_TPM_NOT_ALLOWED
0x80310066
Die Gruppenrichtlinie lässt die Verwendung eines ausschließlichen
TPM-Schutzes beim Start nicht zu. Wählen Sie eine andere
BitLocker-Startoption.
FVE_E_POLICY_STARTUP_TPM_REQUIRED
0x80310067
Die Gruppenrichtlinieneinstellungen erfordern die Verwendung eines
ausschließlichen TPM-Schutzes beim Start. Wählen Sie diese
BitLocker-Startoption.
FVE_E_POLICY_INVALID_PIN_LENGTH
0x80310068
Die bereitgestellte PIN erfüllt nicht die minimalen oder maximalen
PIN-Längenanforderungen.
FVE_E_KEY_PROTECTOR_NOT_SUPPORTED
0x80310069
Die Schlüsselschutzvorrichtung wird durch die derzeit auf dem
Laufwerk installierte Version der BitLocker-
Laufwerkverschlüsselung nicht unterstützt. Aktualisieren Sie das
Laufwerk, um die Schlüsselschutzvorrichtung hinzuzufügen.
FVE_E_POLICY_PASSPHRASE_NOT_ALLOWED
0x8031006A
Die Gruppenrichtlinieneinstellungen lassen keine Kennworterstellung
zu.
FVE_E_POLICY_PASSPHRASE_REQUIRED
0x8031006B
Die Gruppenrichtlinieneinstellungen erfordern die Erstellung eines
Kennworts.
FVE_E_FIPS_PREVENTS_PASSPHRASE
0x8031006C
Aufgrund einer Gruppenrichtlinieneinstellung, die eine FIPS-
Kompatibilität erfordert, konnten keine Kennwörter generiert oder
verwendet werden. Weitere Informationen erhalten Sie vom
Domänenadministrator.
FVE_E_OS_VOLUME_PASSPHRASE_NOT_ALLOWED
0x8031006D
Dem Betriebssystem-Laufwerk kann kein Kennwort hinzugefügt
werden.
FVE_E_INVALID_BITLOCKER_OID
0x8031006E
Die BitLocker-Objektkennung (OID) auf dem Laufwerk ist
oensichtlich ungültig oder beschädigt. Verwenden Sie "manage-
BDE", um die OID auf dem Laufwerk zurückzusetzen.
FVE_E_VOLUME_TOO_SMALL
0x8031006F
Das Laufwerk ist zu klein, um mit der BitLocker-
Laufwerkverschlüsselung geschützt zu werden.
FVE_E_DV_NOT_SUPPORTED_ON_FS Der ausgewählte Ermittlungslaufwerktyp ist nicht mit dem
Dateisystem auf dem Laufwerk kompatibel. BitLocker To Go-
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
93
Konstante/Wert Beschreibung
0x80310070 Ermittlungslaufwerke müssen auf mit FAT formatierten Laufwerken
erstellt werden.
FVE_E_DV_NOT_ALLOWED_BY_GP
0x80310071
Der ausgewählte Ermittlungslaufwerktyp ist laut
Gruppenrichtlinieneinstellungen des Computers nicht zulässig.
Stellen Sie sicher, dass gemäß den Gruppenrichtlinieneinstellungen
die Erstellung von Ermittlungslaufwerken für die Verwendung mit
BitLocker To Go möglich ist.
FVE_E_POLICY_USER_CERTIFICATE_NOT_ALLOWED
0x80310072
Gemäß Gruppenrichtlinieneinstellungen ist die Verwendung von
Benutzerzertikaten, z. B. Smartcards, für die BitLocker-
Laufwerkverschlüsselung nicht zulässig.
FVE_E_POLICY_USER_CERTIFICATE_REQUIRED
0x80310073
Die Gruppenrichtlinieneinstellungen erfordern die Verwendung eines
gültigen Benutzerzertikats, z. B. eine Smartcard, das mit der
BitLocker-Laufwerkverschlüsselung verwendet werden muss.
FVE_E_POLICY_USER_CERT_MUST_BE_HW
0x80310074
Die Gruppenrichtlinieneinstellungen erfordern die Verwendung einer
Smartcard-basierten Schlüsselschutzvorrichtung mit der BitLocker-
Laufwerkverschlüsselung.
FVE_E_POLICY_USER_CONFIGURE_FDV_AUTOUNLOCK_NOT_
ALLOWED
0x80310075
Gemäß Gruppenrichtlinieneinstellungen ist keine automatische
Entsperrung von durch BitLocker geschützten integrierten
Datenlaufwerken zulässig.
FVE_E_POLICY_USER_CONFIGURE_RDV_AUTOUNLOCK_NOT_
ALLOWED
0x80310076
Gemäß Gruppenrichtlinieneinstellungen ist keine automatische
Entsperrung von durch BitLocker geschützten
Wechseldatenlaufwerken zulässig.
FVE_E_POLICY_USER_CONFIGURE_RDV_NOT_ALLOWED
0x80310077
Gemäß Gruppenrichtlinieneinstellungen ist keine Konguration der
BitLocker-Laufwerkverschlüsselung auf Wechseldatenlaufwerken
zulässig.
FVE_E_POLICY_USER_ENABLE_RDV_NOT_ALLOWED
0x80310078
Gemäß Gruppenrichtlinieneinstellungen ist keine Aktivierung der
BitLocker-Laufwerkverschlüsselung auf Wechseldatenlaufwerken
zulässig. Wenden Sie sich an den Systemadministrator, wenn Sie
BitLocker aktivieren möchten.
FVE_E_POLICY_USER_DISABLE_RDV_NOT_ALLOWED
0x80310079
Gemäß Gruppenrichtlinieneinstellungen ist die Deaktivierung der
BitLocker-Laufwerkverschlüsselung auf Wechseldatenlaufwerken
nicht zulässig. Wenden Sie sich an den Systemadministrator, wenn
Sie BitLocker deaktivieren möchten.
FVE_E_POLICY_INVALID_PASSPHRASE_LENGTH
0x80310080
Das Kennwort entspricht den Vorgaben für die
Mindestkennwortlänge. Standardmäßig müssen Kennwörter aus
mindestens acht Zeichen bestehen. Erkundigen Sie sich beim
Systemadministrator nach den in Ihrer Organisation geltenden
Vorgaben für die Kennwortlänge.
FVE_E_POLICY_PASSPHRASE_TOO_SIMPLE
0x80310081
Das Kennwort erfüllt nicht die vom Systemadministrator
festgelegten Komplexitätsanforderungen. Fügen Sie Groß-/
Kleinbuchstaben, Zahlen und Symbole hinzu.
FVE_E_RECOVERY_PARTITION
0x80310082
Das Laufwerk kann nicht verschlüsselt werden, da es für die
Windows-Systemwiederherstellungsoptionen reserviert ist.
FVE_E_POLICY_CONFLICT_FDV_RK_OFF_AUK_ON Die BitLocker-Laufwerkverschlüsselung kann aufgrund von in
Konikt stehenden Gruppenrichtlinieneinstellungen nicht für das
94 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Konstante/Wert Beschreibung
0x80310083 Laufwerk verwendet werden. BitLocker kann nicht für das
automatische Entsperren von integrierten Datenlaufwerken
konguriert werden, wenn die Optionen zur Wiederherstellung
durch den Benutzer deaktiviert sind. Sollen durch BitLocker
geschützte integrierte Datenlaufwerke nach einer
Schlüsselüberprüfung automatisch entsperrt werden, bitten Sie den
Systemadministrator, den Einstellungskonikt vor dem Aktivieren
von BitLocker zu beheben.
FVE_E_POLICY_CONFLICT_RDV_RK_OFF_AUK_ON
0x80310084
Die BitLocker-Laufwerkverschlüsselung kann aufgrund von in
Konikt stehenden Gruppenrichtlinieneinstellungen nicht für das
Laufwerk verwendet werden. BitLocker kann nicht für das
automatische Entsperren von Wechseldatenlaufwerken konguriert
werden, wenn die Option zur Wiederherstellung durch den Benutzer
deaktiviert ist. Sollen durch BitLocker geschützte
Wechseldatenlaufwerke nach einer Schlüsselüberprüfung
automatisch entsperrt werden, bitten Sie den Systemadministrator,
den Einstellungskonikt vor dem Aktivieren von BitLocker zu
beheben
FVE_E_NON_BITLOCKER_OID
0x80310085
Aufgrund des Attributs für die erweiterte Schlüsselverwendung
(Enhanced Key Usage, EKU) des angegebenen Zertikats kann
selbiges nicht für die BitLocker-Laufwerkverschlüsselung
verwendet werden. Zertikate müssen für die Verwendung von
BitLocker nicht zwingend über ein EKU-Attribut verfügen, ist
jedoch eines konguriert, muss es auf einen Objektbezeichner (OID)
festgelegt sein, der mit dem für BitLocker kongurierten OID
übereinstimmt.
FVE_E_POLICY_PROHIBITS_SELFSIGNED
0x80310086
Die BitLocker-Laufwerkverschlüsselung kann aufgrund von
Gruppenrichtlinieneinstellungen nicht für das Laufwerk in seiner
derzeitigen Konguration angewendet werden. Das für die
Laufwerkverschlüsselung angegebene Zertikat ist selbstsigniert.
Gemäß den aktuellen Gruppenrichtlinieneinstellungen ist die
Verwendung von selbstsignierten Zertikaten nicht zulässig. Rufen
Sie in der Zertizierungsstelle ein neues Zertikat ab, bevor Sie
BitLocker aktivieren.
FVE_E_POLICY_CONFLICT_RO_AND_STARTUP_KEY_REQUIRED
0x80310087
Die BitLocker-Verschlüsselung kann aufgrund von in Konikt
stehenden Gruppenrichtlinieneinstellungen nicht für das Laufwerk
verwendet werden. Wenn der Schreibzugri auf nicht durch
BitLocker geschützte Laufwerke verweigert wird, kann die
Verwendung eines USB-Startschlüssels nicht als Bedingung
festgelegt werden. Bitten Sie den Systemadministrator, die
Richtlinienkonikte vor dem Aktivieren von BitLocker zu beheben.
FVE_E_CONV_RECOVERY_FAILED
0x80310088
Die BitLocker-Laufwerkverschlüsselung kann aufgrund in Konikt
stehender Gruppenrichtlinieneinstellungen für
Wiederherstellungsoptionen auf Betriebssystem-Laufwerken nicht
für das Laufwerk verwendet werden. Das Speichern von
Wiederherstellungsinformationen in Active Directory-
Domänendienste kann nicht angefordert werden, wenn die
Generierung von Wiederherstellungskennwörtern nicht zulässig ist.
Bitten Sie den Systemadministrator, die Richtlinienkonikte vor dem
Aktivieren von BitLocker zu beheben.
FVE_E_VIRTUALIZED_SPACE_TOO_BIG
0x80310089
Die angeforderte Virtualisierungsgröße ist zu groß.
FVE_E_POLICY_CONFLICT_OSV_RP_OFF_ADB_ON
0x80310090
Die BitLocker-Laufwerkverschlüsselung kann aufgrund in Konikt
stehender Gruppenrichtlinieneinstellungen für
Wiederherstellungsoptionen auf Betriebssystem-Laufwerken nicht
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
95
Konstante/Wert Beschreibung
für das Laufwerk verwendet werden. Das Speichern von
Wiederherstellungsinformationen in Active Directory-
Domänendienste kann nicht angefordert werden, wenn die
Generierung von Wiederherstellungskennwörtern nicht zulässig ist.
Bitten Sie den Systemadministrator, die Richtlinienkonikte vor dem
Aktivieren von BitLocker zu beheben.
FVE_E_POLICY_CONFLICT_FDV_RP_OFF_ADB_ON
0x80310091
Die BitLocker-Laufwerkverschlüsselung kann aufgrund in Konikt
stehender Gruppenrichtlinieneinstellungen für
Wiederherstellungsoptionen auf integrierten Datenlaufwerken nicht
für das Laufwerk verwendet werden. Das Speichern von
Wiederherstellungsinformationen in Active Directory-
Domänendienste kann nicht angefordert werden, wenn die
Generierung von Wiederherstellungskennwörtern nicht zulässig ist.
Bitten Sie den Systemadministrator, die Richtlinienkonikte vor dem
Aktivieren von BitLocker zu beheben.
FVE_E_POLICY_CONFLICT_RDV_RP_OFF_ADB_ON
0x80310092
Die BitLocker-Laufwerkverschlüsselung kann aufgrund in Konikt
stehender Gruppenrichtlinieneinstellungen für
Wiederherstellungsoptionen auf Wechseldatenlaufwerken nicht für
das Laufwerk verwendet werden. Das Speichern von
Wiederherstellungsinformationen in Active Directory-
Domänendienste kann nicht angefordert werden, wenn die
Generierung von Wiederherstellungskennwörtern nicht zulässig ist.
Bitten Sie den Systemadministrator, die Richtlinienkonikte vor dem
Aktivieren von BitLocker zu beheben.
FVE_E_NON_BITLOCKER_KU
0x80310093
Aufgrund des Schlüsselverwendungsattributs (Key Usage, KU) des
angegebenen Zertikats kann selbiges nicht für die BitLocker-
Laufwerkverschlüsselung verwendet werden. Zertikate müssen für
die Verwendung von BitLocker nicht zwingend über ein KU-Attribut
verfügen, ist jedoch eines konguriert, muss es entweder auf
"Schlüsselverschlüsselung" oder auf "Schlüsselvereinbarung"
festgelegt sein.
FVE_E_PRIVATEKEY_AUTH_FAILED
0x80310094
Der private Schlüssel, der dem angegebenen Zertikat zugeordnet
ist, kann nicht autorisiert werden. Die Autorisierung für den privaten
Schlüssel wurde entweder nicht bereitgestellt, oder die
bereitgestellte Autorisierung war ungültig.
FVE_E_REMOVAL_OF_DRA_FAILED
0x80310095
Das Zertikat des Datenwiederherstellungs-Agenten muss mit dem
Zertikat-Snap-In entfernt werden.
FVE_E_OPERATION_NOT_SUPPORTED_ON_VISTA_VOLUME
0x80310096
Dieses Laufwerk wurde mit der Version der BitLocker-
Laufwerkverschlüsselung verschlüsselt, die in Windows Vista und
Windows Server 2008 enthalten ist. Diese Version unterstützt keine
organisatorischen Bezeichner. Aktualisieren Sie die
Laufwerkverschlüsselung mithilfe des Befehls „manage-bde -
upgrade“ auf die neueste Version, um organisatorische Bezeichner
für das Laufwerk anzugeben.
FVE_E_CANT_LOCK_AUTOUNLOCK_ENABLED_VOLUME
0x80310097
Das Laufwerk kann nicht gesperrt werden, da es auf diesem
Computer automatisch entsperrt wird. Entfernen Sie die
Schutzvorrichtung für das automatische Entsperren, um dieses
Laufwerk zu sperren.
FVE_E_FIPS_HASH_KDF_NOT_ALLOWED
0x80310098
Die standardmäßige BitLocker-Schlüsselableitungsfunktion
"SP800-56A" für ECC-Smartcards wird von der verwendeten
Smartcard nicht unterstützt. Aufgrund der
Gruppenrichtlinieneinstellung, durch die die FIPS-Kompatibilität
vorgeschrieben wird, kann von BitLocker keine andere
96 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Konstante/Wert Beschreibung
Ableitungsfunktion zur Verschlüsselung verwendet werden. In durch
FIPS eingeschränkten Umgebungen muss eine FIPS-kompatible
Smartcard verwendet werden.
FVE_E_ENH_PIN_INVALID
0x80310099
Der BitLocker-Verschlüsselungsschlüssel konnte nicht über das
TPM oder die erweiterte PIN abgerufen werden. Verwenden Sie
eine nur aus Zahlen bestehende PIN.
FVE_E_INVALID_PIN_CHARS
0x8031009A
Die angeforderte PIN des TPM enthält ungültige Zeichen.
FVE_E_INVALID_DATUM_TYPE
0x8031009B
Die auf dem Laufwerk gespeicherten Verwaltungsinformationen
enthielten einen unbekannten Typ. Wenn Sie eine alte Version von
Windows verwenden, greifen Sie von der aktuellen Version aus auf
das Laufwerk zu.
FVE_E_EFI_ONLY
0x8031009C
Das Feature wird nur auf EFI-Systemen unterstützt.
FVE_E_MULTIPLE_NKP_CERTS
0x8031009D
Auf dem System wurde mehr als ein Netzwerkschlüssel-
Schutzvorrichtungszertikat gefunden.
FVE_E_REMOVAL_OF_NKP_FAILED
0x8031009E
Das Netzwerkschlüssel-Schutzvorrichtungszertikat muss mithilfe
des Zertikate-Snap-Ins entfernt werden.
FVE_E_INVALID_NKP_CERT
0x8031009F
Im Netzwerkschlüssel-Schutzvorrichtungszertikatspeicher wurde
ein ungültiges Zertikat gefunden.
FVE_E_NO_EXISTING_PIN
0x803100A0
Dieses Laufwerk ist nicht mit einer PIN geschützt.
FVE_E_PROTECTOR_CHANGE_PIN_MISMATCH
0x803100A1
Geben Sie die korrekte aktuelle PIN ein.
FVE_E_PROTECTOR_CHANGE_BY_STD_USER_DISALLOWED
0x803100A2
Sie müssen mit einem Administratorkonto angemeldet sein, um die
PIN oder das Kennwort ändern zu können. Klicken Sie auf den Link,
um die PIN oder das Kennwort als Administrator zurückzusetzen.
FVE_E_PROTECTOR_CHANGE_MAX_PIN_CHANGE_ATTEMPT
S_REACHED
0x803100A3
BitLocker hat PIN- und Kennwortänderungen nach zu vielen
fehlgeschlagenen Anforderungen deaktiviert. Klicken Sie auf den
Link, um die PIN oder das Kennwort als Administrator
zurückzusetzen.
FVE_E_POLICY_PASSPHRASE_REQUIRES_ASCII
0x803100A4
Der Systemadministrator hat festgelegt, dass Kennwörter nur
druckbare ASCII-Zeichen enthalten dürfen. Dies schließt
Buchstaben ohne Akzentzeichen (A-Z, a-z), Ziern (0-9),
Leerzeichen, arithmetische Zeichen, allgemeine Zeichensetzung,
Trennzeichen und die folgenden Symbole ein: # $ & @ ^ _ ~.
FVE_E_FULL_ENCRYPTION_NOT_ALLOWED_ON_TP_STORAGE
0x803100A5
Die BitLocker-Laufwerkverschlüsselung unterstützt
Verschlüsselung, bei der nur verwendeter Speicherplatz
verschlüsselt wird, nur für Speicher, der für schlanke
Speicherzuweisung geeignet ist.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
97
Konstante/Wert Beschreibung
FVE_E_WIPE_NOT_ALLOWED_ON_TP_STORAGE
0x803100A6
Das Löschen von freiem Speicher bei schlanker Speicherzuweisung
wird von der BitLocker-Laufwerkverschlüsselung nicht unterstützt.
FVE_E_KEY_LENGTH_NOT_SUPPORTED_BY_EDRIVE
0x803100A7
Die erforderliche Länge des Authentizierungsschlüssels wird vom
Laufwerk nicht unterstützt.
FVE_E_NO_EXISTING_PASSPHRASE
0x803100A8
Dieses Laufwerk ist nicht mit einem Kennwort geschützt.
FVE_E_PROTECTOR_CHANGE_PASSPHRASE_MISMATCH
0x803100A9
Geben Sie das korrekte aktuelle Kennwort ein.
FVE_E_PASSPHRASE_TOO_LONG
0x803100AA
Das Kennwort darf maximal 256 Zeichen enthalten.
FVE_E_NO_PASSPHRASE_WITH_TPM
0x803100AB
Eine Kennwortschlüssel-Schutzvorrichtung kann nicht hinzugefügt
werden, da auf dem Laufwerk eine TPM-Schutzvorrichtung
vorhanden ist.
FVE_E_NO_TPM_WITH_PASSPHRASE
0x803100AC
Eine TPM-Schlüsselschutzvorrichtung kann nicht hinzugefügt
werden, da auf dem Laufwerk eine Kennwortschutzvorrichtung
vorhanden ist.
FVE_E_NOT_ALLOWED_ON_CSV_STACK
0x803100AD
Dieser Befehl kann nur über den Koordinatorknoten für das
angegebene CSV-Volume ausgeführt werden.
FVE_E_NOT_ALLOWED_ON_CLUSTER
0x803100AE
Dieser Befehl kann nicht für ein Volume ausgeführt werden, das Teil
eines Clusters ist.
FVE_E_EDRIVE_NO_FAILOVER_TO_SW
0x803100AF
BitLocker wurde aufgrund der Konguration der Gruppenrichtlinie
nicht auf die Verwendung der BitLocker-Softwareverschlüsselung
zurückgesetzt.
FVE_E_EDRIVE_BAND_IN_USE
0x803100B0
Das Laufwerk kann nicht von BitLocker verwaltet werden, da die
Hardwareverschlüsselungsfunktion des Laufwerks bereits
verwendet wird.
FVE_E_EDRIVE_DISALLOWED_BY_GP
0x803100B1
Laut Gruppenrichtlinieneinstellungen ist keine Verwendung von
hardwarebasierter Verschlüsselung zulässig.
FVE_E_EDRIVE_INCOMPATIBLE_VOLUME
0x803100B2
Das angegebene Laufwerk unterstützt keine hardwarebasierte
Verschlüsselung.
FVE_E_NOT_ALLOWED_TO_UPGRADE_WHILE_CONVERTING
0x803100B3
BitLocker kann nicht während der Laufwerkverschlüsselung oder -
entschlüsselung aktualisiert werden.
FVE_E_EDRIVE_DV_NOT_SUPPORTED
0x803100B4
Ermittlungsvolumes werden für Volumes, die
Hardwareverschlüsselung verwenden, nicht unterstützt.
98 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Konstante/Wert Beschreibung
FVE_E_NO_PREBOOT_KEYBOARD_DETECTED
0x803100B5
Es wurde keine Pre-Boot-Tastatur gefunden. Der Benutzer kann
möglicherweise nicht die erforderlichen Angaben zum Entsperren
des Volumes machen.
FVE_E_NO_PREBOOT_KEYBOARD_OR_WINRE_DETECTED
0x803100B6
Es wurde keine Pre-Boot-Tastatur oder Windows-
Wiederherstellungsumgebung gefunden. Der Benutzer kann
möglicherweise nicht die erforderlichen Angaben zum Entsperren
des Volumes machen.
FVE_E_POLICY_REQUIRES_STARTUP_PIN_ON_TOUCH_DEVICE
0x803100B7
Die Gruppenrichtlinieneinstellungen verlangen die Erstellung einer
Start-PIN, aber auf dem Gerät ist keine Pre-Boot-Tastatur
verfügbar. Der Benutzer kann möglicherweise nicht die
erforderlichen Angaben zum Entsperren des Volumes machen.
FVE_E_POLICY_REQUIRES_RECOVERY_PASSWORD_ON_TOUC
H_DEVICE
0x803100B8
Die Gruppenrichtlinieneinstellungen verlangen die Erstellung eines
Wiederherstellungskennworts, aber auf dem Gerät ist weder eine
Pre-Boot-Tastatur noch die Windows-Wiederherstellungsumgebung
verfügbar. Der Benutzer kann möglicherweise nicht die
erforderlichen Angaben zum Entsperren des Volumes machen.
FVE_E_WIPE_CANCEL_NOT_APPLICABLE
0x803100B9
Derzeit wird kein freier Speicher gelöscht.
FVE_E_SECUREBOOT_DISABLED
0x803100BA
BitLocker kann für die Plattformintegrität kein sicheres Starten
verwenden, da diese Funktion deaktiviert wurde.
FVE_E_SECUREBOOT_CONFIGURATION_INVALID
0x803100BB
BitLocker kann für die Plattformintegrität kein sicheres Starten
verwenden, da die Konguration für sicheres Starten nicht den
Anforderungen für BitLocker entspricht.
FVE_E_EDRIVE_DRY_RUN_FAILED
0x803100BC
Vom Computer wird keine hardwarebasierte BitLocker-
Verschlüsselung unterstützt. Erkundigen Sie sich beim Hersteller
des Computers nach Firmwareupdates.
FVE_E_SHADOW_COPY_PRESENT
0x803100BD
BitLocker kann auf dem Volume nicht aktiviert werden, da es eine
Volumeschattenkopie enthält. Entfernen Sie alle
Volumenschattenkopien, bevor Sie das Volume verschlüsseln.
FVE_E_POLICY_INVALID_ENHANCED_BCD_SETTINGS
0x803100BE
Die BitLocker-Laufwerkverschlüsselung kann nicht auf das
Laufwerk angewendet werden, da die Gruppenrichtlinieneinstellung
für die erweiterten Startkongurationsdaten ungültige Daten
enthält. Lassen Sie die ungültige Konguration vom
Systemadministrator entfernen, bevor Sie erneut versuchen,
BitLocker zu aktivieren.
FVE_E_EDRIVE_INCOMPATIBLE_FIRMWARE
0x803100BF
Die Firmware des PCs unterstützt keine Hardwareverschlüsselung.
FVE_E_PROTECTOR_CHANGE_MAX_PASSPHRASE_CHANGE_
ATTEMPTS_REACHED
0x803100C0
BitLocker hat Kennwortänderungen nach zu vielen
fehlgeschlagenen Anforderungen deaktiviert. Klicken Sie auf den
Link, um das Kennwort als Administrator zurückzusetzen.
FVE_E_PASSPHRASE_PROTECTOR_CHANGE_BY_STD_USER_
DISALLOWED
0x803100C1
Sie müssen mit einem Administratorkonto angemeldet sein, um das
Kennwort zu ändern. Klicken Sie auf den Link, um das Kennwort als
Administrator zurückzusetzen.
Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
99
Konstante/Wert Beschreibung
FVE_E_LIVEID_ACCOUNT_SUSPENDED
0x803100C2
Das Wiederherstellungskennwort kann von BitLocker nicht
gespeichert werden, da das angegebene Microsoft-Konto derzeit
angehalten ist.
FVE_E_LIVEID_ACCOUNT_BLOCKED
0x803100C3
Das Wiederherstellungskennwort kann von BitLocker nicht
gespeichert werden, da das angegebene Microsoft-Konto derzeit
blockiert ist.
FVE_E_NOT_PROVISIONED_ON_ALL_VOLUMES
0x803100C4
Dieser Computer wurde nicht zur Unterstützung der
Geräteverschlüsselung bereitgestellt. Aktivieren Sie BitLocker auf
allen Volumes, um die Geräteverschlüsselungsrichtlinie zu erfüllen.
FVE_E_DE_FIXED_DATA_NOT_SUPPORTED
0x803100C5
Dieser Computer kann die Geräteverschlüsselung nicht
unterstützen, da nicht vorhandene feste Datenvolumes vorhanden
sind.
FVE_E_DE_HARDWARE_NOT_COMPLIANT
0x803100C6
Dieser Computer erfüllt nicht die Hardwareanforderungen zum
Unterstützen der Geräteverschlüsselung.
FVE_E_DE_WINRE_NOT_CONFIGURED
0x803100C7
Dieser Computer kann die Geräteverschlüsselung nicht
unterstützen, da die Windows-Wiederherstellungsumgebung
(WinRE) nicht ordnungsgemäß konguriert ist.
FVE_E_DE_PROTECTION_SUSPENDED
0x803100C8
Auf dem Volume ist der Schutz zwar aktiviert, aber angehalten.
Dies ist wahrscheinlich darauf zurückzuführen, dass ein Update auf
das System angewendet wurde. Wiederholen Sie den Vorgang nach
einem Neustart.
FVE_E_DE_OS_VOLUME_NOT_PROTECTED
0x803100C9
Dieser Computer wurde nicht zur Unterstützung der
Geräteverschlüsselung bereitgestellt.
FVE_E_DE_DEVICE_LOCKEDOUT
0x803100CA
Die Gerätesperre wurde aufgrund zu vieler ungültiger
Kennworteingaben ausgelöst.
FVE_E_DE_PROTECTION_NOT_YET_ENABLED
0x803100CB
Der Schutz wurde auf dem Volume nicht aktiviert. Zur Aktivierung
ist ein verbundenes Konto erforderlich. Wenn Sie bereits über ein
verbundenes Konto verfügen und dieser Fehler auftritt, nden Sie
im Ereignisprotokoll weitere Informationen.
FVE_E_INVALID_PIN_CHARS_DETAILED
0x803100CC
Die PIN darf nur Zahlen von 0 bis 9 enthalten.
FVE_E_DEVICE_LOCKOUT_COUNTER_UNAVAILABLE
0x803100CD
Der Schutz für Hardwarewiedergabe kann von BitLocker nicht
verwendet werden, da kein Indikator auf dem PC verfügbar ist.
FVE_E_DEVICELOCKOUT_COUNTER_MISMATCH
0x803100CE
Fehler bei der Statusüberprüfung der Gerätesperrung aufgrund von
nicht übereinstimmenden Indikatoren.
FVE_E_BUFFER_TOO_LARGE
0x803100CF
Der Eingabepuer ist zu groß.
100 Dell Data Protection | Endpoint Security Suite
Fehlerbehebung
Glossar
Aktivieren – Eine Aktivierung erfolgt, wenn der Computer bei Dell Enterprise Server/VE registriert wurde und mindestens einen Satz mit
Richtlinien erhalten hat.
Active Directory (AD) – Ein Verzeichnisdienst von Microsoft für Windows-Domänennetzwerke.
Advanced Authentication – Das Produkt Advanced Authentication bietet Optionen für vollständig integrierte Fingerabdrücke, Smart Card
und kontaktlose Smart Card-Leser. Advanced Authentication vereinfacht die Verwaltung all dieser Hardware-Authentizierungsmethoden,
unterstützt die Anmeldung bei selbstverschlüsselnden Laufwerken, SSO und verwaltet Benutzeranmeldeinformationen und Passwörter.
Darüber hinaus kann Advanced Authentication nicht nur für den Zugri auf PCs verwendet werden, sondern auch für den Zugri auf
beliebige Websites, SaaS oder Anwendungen. Nachdem der Benutzer seine Anmeldeinformationen eingetragen hat, ermöglicht Advanced
Authentication deren Verwendung für die Anmeldung am Gerät und die Ersetzung des Passworts.
Anwendungsdatenverschlüsselung – ADE (Application Data Encryption) verschlüsselt jede Datei, die von einer geschützten Anwendung
geschrieben wird, mit einer Aufhebung der Kategorie 2. Das bedeutet, dass jedes Verzeichnis mit einem Schutz der Kategorie 2 oder höher
oder jeder Ort, an dem bestimmte Erweiterungen mit Kategorie 2 oder höher geschützt sind, nicht durch ADE verschlüsselt werden.
BitLocker Manager – Windows BitLocker schützt Windows-Computer durch die Verschlüsselung von Daten- und Betriebssystemdateien.
Um die Sicherheit von BitLocker-Implementierungen zu erhöhen und Betriebskosten zu vereinfachen sowie zu verringern, bietet Dell eine
einzige, zentrale Management Console. Diese Console nimmt sich zahlreicher Sicherheitsbedenken an und bietet einen integrierten Ansatz
für die Verwaltung verschlüsselter Daten auf Plattformen, die nicht zu BitLocker gehören, seien sie physisch, virtuell oder cloudbasiert.
BitLocker Manager unterstützt BitLocker-Verschlüsselung für Betriebssysteme, Festplattenlaufwerke und BitLocker To Go. Mit BitLocker
Manager können Sie BitLocker nahtlos in Ihre bestehende Verschlüsselung integrieren und mit minimalem Verwaltungsaufwand sowohl die
Sicherheit als auch die Compliance optimieren. BitLocker Manager bietet eine integrierte Verwaltung für die Wiederherstellung von
Schlüsseln, Richtlinienverwaltung und -durchsetzung, automatisierte TPM-Verwaltung, FIPS-Compliance und Compliance Reporting.
Im Cache gespeicherte Anmeldedaten – Gespeicherte Anmeldedaten werden in die PBA-Datenbank aufgenommen, wenn ein Benutzer sich
mit Active Directory authentiziert. Die Benutzerdaten werden gespeichert, damit die Anmeldung auch ohne Verbindung zu Active
Directory funktioniert (beispielsweise bei Verwendung des Laptops außerhalb der Geschäftszeiten).
Allgemeine Verschlüsselung – Der allgemeine Schlüssel macht verschlüsselte Dateien allen verwalteten Benutzern auf dem Gerät
zugänglich, auf dem sie erstellt wurden.
Deaktivieren – Die Deaktivierung erfolgt, wenn SED Management in der Remote-Verwaltungskonsole auf OFF gesetzt wird. Nach der
Deaktivierung des Computers wird die PBA -Datenbank gelöscht, und es gibt keine Aufzeichnung der im Cache gespeicherten Benutzer
mehr.
EMS (External Media Shield) - externe Medienabschirmung - Dieses Service innerhalb des Dell Encryption Client wendet Richtlinien auf
Wechseldatenträger und externe Speichergeräte an.
EMS-Zugriscode - Dieses Service innerhalb des Dell Enterprise Server/VE ermöglicht die Wiederherstellung von EMS-geschützten
Geräten, wenn der Benutzer sein Kennwort vergessen hat und sich nicht mehr anmelden kann. Nach Abschluss dieses Vorgangs kann der
Benutzer das auf dem Wechseldatenträger oder einem externen Speichergerät festgelegte Kennwort zurücksetzen.
Encryption-Client – Der Encryption-Client ist die geräteinterne Komponente, die Sicherheitsrichtlinien durchsetzt, egal ob ein Endpunkt mit
dem Netzwerk verbunden oder vom Netzwerk getrennt ist, verloren gegangen ist oder gestohlen wurde. Der Encryption-Client erzeugt
eine vertrauenswürdige Computerumgebung für Endpunkte, indem er als Layer über dem Betriebssystem des Geräts fungiert und
Authentizierung, Verschlüsselung und Autorisierung lückenlos anwendet, um den Schutz vertraulicher Informationen zu maximieren.
Endpunkt – ein Computer oder eine mobile Hardwarekomponente, der/die von Dell Enterprise Server/VE verwaltet wird.
15
Dell Data Protection | Endpoint Security Suite
Glossar
101
Encryption Keys – In den meisten Fällen verwendet der Encryption-Client den Benutzerschlüssel plus zwei weitere
Verschlüsselungsschlüssel. Es gibt allerdings auch Ausnahmen: Alle SDE-Richtlinien und die Richtlinie „Windows-Anmeldeinformationen
schützen“ verwenden den SDE-Schlüssel. Die Richtlinien „Windows-Auslagerungsdatei verschlüsseln“ und „Sichere Windows-
Ruhezustand-Datei“ verwenden einen eigenen Schlüssel, den General Purpose Key (GPK). Der „allgemeine“ Schlüssel macht Dateien allen
verwalteten Benutzern auf dem Gerät zugänglich, auf dem sie erstellt wurden. Der „Benutzer“-Schlüssel macht Dateien nur dem Benutzer
zugänglich, der sie erstellt hat, und zwar nur auf dem Gerät, auf dem sie erstellt wurden. Der „Benutzer-Roaming“-Schlüssel macht Dateien
nur dem Benutzer zugänglich, der sie erstellt hat, und zwar auf jedem mit Shield geschützten Windows- oder Mac-Gerät.
Verschlüsselungssuche – Bei einer Verschlüsselungssuche werden die zu verschlüsselnden Ordner auf einem mit einem Shield verwalteten
Endpunkt durchsucht, um sicherzustellen, dass die enthaltenen Dateien den richtigen Verschlüsselungsstatus haben. Einfache Operationen
zur Erstellung und Umbenennung von Dateien lösen keine Verschlüsselungssuche aus. Es ist wichtig zu verstehen, wann eine
Verschlüsselungssuche stattndet und wodurch die Dauer der Suche beeinusst wird: Eine Verschlüsselungssuche erfolgt sofort nach
Eingang einer Richtlinie mit aktivierter Verschlüsselung. Das kann unmittelbar nach der Aktivierung sein, wenn für Ihre Richtlinie die
Verschlüsselung aktiviert ist. - Wenn die Richtlinie „Workstation bei Anmeldung durchsuchen“ aktiviert ist, werden die zur Verschlüsselung
angegebenen Ordner bei jeder Benutzeranmeldung durchsucht. - Eine Suche kann unter bestimmten nachfolgenden Richtlinienänderungen
erneut ausgelöst werden. Jeder Richtlinienänderung, die sich auf die Denition der Verschlüsselungsordner, der
Verschlüsselungsalgorithmen oder der Verwendung der Verschlüsselungsschlüssel („Allgemein“ vs. „Benutzer“) bezieht, löst eine Suche
aus. Auch beim Umschalten zwischen aktivierter und deaktivierter Verschlüsselung wird eine Verschlüsselungssuche ausgelöst.
Malware Protection (Vollständige Virenüberprüfung) – Malware Protection Full Scan durchsucht die folgenden Speicherorte auf
Bedrohungen:
Das Computerspeicher auf installierte Rootkits.
Verborgene Prozesse und anderes Verhalten, das darauf hindeutet, dass eine Malware sich zu verbergen versucht.
Den Speicher aller laufenden Prozesse, alle Festplatten und deren Unterordner auf dem Computer.
Malware Protection (Schnelle Virenüberprüfung) – Malware Protection Quick Scan durchsucht die folgenden Speicherorte auf
Bedrohungen:
Den Speicher aller laufenden Prozesse.
Dateien, auf die von der Windows-Registrierungsdatei verwiesen wird
Den Inhalt des Windows-Ordners.
Den Inhalt des Temp-Ordners.
On-Access-Malware-Schutz - Wenn ein Benutzer auf Dateien, Ordner und Programme zugreift, wird die Operation vom zugrisbasierten
Scanner abgefangen und das Element gescannt.
Einmalpasswort (OTP) – Ein Einmalpasswort ist ein Passwort mit begrenzter Gültigkeit, das nur einmal verwendet werden kann. Für die
OTP-Funktion muss ein TPM vorhanden, aktiviert und zugewiesen sein. Für die Aktivierung der OTP-Funktion muss ein Mobilgerät mit dem
Computer über die Security Console und die Security Tools Mobile-App gekoppelt werden. Die Security Tools | Mobile-App generiert das
Passwort auf dem Mobilgerät, mit dem die Anmeldung auf dem Computer über den Windows-Anmeldebildschirm erfolgt. Je nach Richtlinie
kann die OTP-Funktion verwendet werden, um den Zugri auf den Computer wiederherzustellen, falls das Passwort abgelaufen ist oder
vergessen wurde, vorausgesetzt, das OTP wurde nicht bereits für die Anmeldung am Computer verwendet. Die OTP-Funktion kann zur
Authentizierung oder zur Wiederherstellung verwendet werden, aber nicht für beides. OTP ist sicherer als einige andere
Authentizierungsmethoden, weil das generierte Passwort nur einmal verwendet werden kann und nach kurzer Zeit abläuft.
Preboot-Authentizierung (PBA) – Die Preboot-Authentizierung dient als Erweiterung des BIOS oder der Systemstart-Firmware und
schat eine sichere, manipulationsgeschützte Umgebung außerhalb des Betriebssystems als vertrauenswürdige Authentizierungsebene.
Die PBA unterbindet den Zugri auf die Festplatte und somit auch auf das Betriebssystem, bis der Benutzer die richtigen
Anmeldeinformationen eingibt.
SED Management – SED Management ist eine Plattform für die sichere Verwaltung selbstverschlüsselnder Laufwerke.
Selbstverschlüsselnde Laufwerke haben zwar eine eigene Verschlüsselungsfunktion, ihnen fehlt aber eine Plattform für die Verwaltung ihrer
Verschlüsselung mit den verfügbaren Richtlinien. SED Management ist eine zentrale, skalierbare Verwaltungskomponente, mit der Sie
Daten wirksamer schützen. SED Management beschleunigt und vereinfacht die Administration von Unternehmensdaten.
System Data Encryption (SDE) – Mit SDE werden das Betriebssystem und die Programmdateien verschlüsselt. Dazu muss SDE in der Lage
sein, den Schlüssel beim Start des Betriebssystems zu önen. SDE dient zum Schutz des Betriebssystems vor unbefugten Änderungen
102 Dell Data Protection | Endpoint Security Suite
Glossar
oder Oine-Angrien SDE is not intended for user data. Zum Schutz vertraulicher Benutzerdaten empehlt sich die allgemeine
Verschlüsselung oder die Benutzerverschlüsselung, bei denen zum Entsperren der Verschlüsselungsschlüssel ein Benutzerpasswort
erforderlich ist. SDE-Richtlinien verschlüsseln keine Dateien, die das Betriebssystem zum Start des Boot-Vorgangs benötigt. SDE-
Richtlinien erfordern keine Authentizierung vor dem Neustart und haben auch keinerlei Auswirkungen auf den Master Boot Record. Beim
Computerstart stehen die verschlüsselten Dateien lange vor der Anmeldung eines Benutzers zur Verfügung (damit Patchmanagement,
SMS, Sicherungs- und Wiederherstellungstools funktionieren). Durch die Deaktivierung der SDE-Verschlüsselung werden alle relevanten
Dateien und Verzeichnisse mit SDE-Verschlüsselung automatisch entschlüsselt, unabhängig von anderen SDE-Richtlinien wie beispielsweise
SDE-Verschlüsselungsregeln.
Threat Protection – Threat Protection basiert auf zentral verwalteten Richtlinien, mit deren Hilfe Unternehmenscomputer vor
Sicherheitsbedrohungen geschützt werden. Threat Protection besteht aus: - Malware-Schutz – Sucht nach Viren, Spyware,
unerwünschten Programmen und anderen Bedrohungen, indem Objekte automatisch überprüft werden, wenn Sie darauf zugreifen, bzw.
immer dann, wenn eine solche Überprüfung in den Richtlinien geplant wurde. - Client-Firewall – Überwacht die Datenübertragung zwischen
Computer und Ressourcen im Netzwerk und im Internet und fängt potenziell verdächtige Datenübertragungen ab. - Web-Schutz –
Blockiert basierend auf den Sicherheitsbewertungen und Berichten für Websites unsichere Websites und Downloads von diesen Websites,
während online navigiert wird und Suchvorgänge ausgeführt werden.
Trusted Platform Module (TPM) – Das TPM ist ein Sicherheits-Chip mit drei Hauptfunktionen: sicherer Speicher, Messung und
Bestätigung. Beim Encryption-Client wird das TPM für den sicheren Speicher genutzt. Das TPM kann auch verschlüsselte Container für
den Software Vault bereitstellen. Zur Nutzung von BitLocker Manager und der Einmalpasswort-Funktion ist das TPM ebenfalls erforderlich.
Benutzerverschlüsselung – Der Benutzerschlüssel macht Dateien nur dem Benutzer zugänglich, der sie erstellt hat, und zwar nur auf dem
Gerät, auf dem sie erstellt wurden. Bei Ausführung von Dell Server Encryption wird die Benutzerverschlüsselung in eine allgemeine
Verschlüsselung konvertiert. Für externe Datenträger wird eine Ausnahme gemacht; Dateien werden bei Einsetzen in einen Server mit
installiertem Encryption mit dem Benutzer-Roaming-Schlüssel verschlüsselt.
Dell Data Protection | Endpoint Security Suite
Glossar
103

Navigation menu