Install Guide

ManualsBrandsDell ManualsConverged InfrastructureEndpoint Security Suite Enterprise

156

157

158

159

160

161

162

163

164

165

Table Of Contents

Dell Endpoint Security Suite Enterprise Erweitertes Installationshandbuch v3.1
Inhaltsverzeichnis
Einleitung
- Vor der Installation
- Verwendung des Handbuchs
- Kontaktieren des Dell ProSupports
Anforderungen
- Alle Clients
- Verschlüsselung
- Vollständige Datenträgerverschlüsselung
- Encryption auf Serverbetriebssystemen
- Advanced Threat Prevention
  - Kompatibilität
- Client Firewall und Web Protection
- SED Manager
- BitLocker Manager
Registrierungseinstellungen
- Verschlüsselung
- Vollständige Datenträgerverschlüsselung
- Advanced Threat Prevention
- SED Manager
- BitLocker Manager
Installation unter Verwendung des Master-Installationsprogramms
- Aktive Installation unter Verwendung des Master-Installationsprogramms
- Installation durch Befehlszeile mit dem Master Installationsprogramm
Deinstallation des Master-Installationsprogramms
- Deinstallieren des Master-Installationsprogramms für Endpoint Security Suite Enterprise
Installation unter Verwendung der untergeordneten Installationsprogramme
- Treiber installieren
- Encryption installieren
- Full Disk Encryption installieren
- Encryption auf Serverbetriebssystem installieren
- Advanced Threat Prevention-Client installieren
- Installieren von Client Firewall und Web Protection
- SED Manager und PBA Advanced Authentication installieren
- BitLocker Manager installieren
Deinstallation unter Verwendung der untergeordneten Installationsprogramme
- Web Protection und Firewall deinstallieren
- Advanced Threat Prevention deinstallieren
- Full Disk Encryption deinstallieren
- SED Manager deinstallieren
- Encryption und Encryption auf einem Serverbetriebssystem deinstallieren
- BitLocker Manager deinstallieren
Data Security-Deinstallationsprogramm
Gängige Szenarien
- Encryption Client und Advanced Threat Prevention
- SED Manager und Encryption External Media
- BitLocker Manager und Encryption External Media
- BitLocker Manager und Advanced Threat Prevention
Bereitstellung eines Mandanten
- Bereitstellung eines Mandanten
Konfigurieren der automatischen Aktualisierung des Advanced Threat Prevention Agenten
Vorinstallationskonfiguration für die SED-UEFI und BitLocker Manager
- TPM initialisieren
- Pre-Installation Konfiguration für den UEFI-Computern
- Vorinstallationskonfiguration zum Einrichten einer BitLocker PBA-Partition
Festlegen des Dell Server über die Registrierung
Untergeordnete Installationsprogramme extrahieren
Konfigurieren von Key Server
- Dialogfeld „Dienste" - Domänenbenutzerkonto hinzufügen
- Key-Server-Konfigurationsdatei – Fügen Sie Benutzer für Security Management Server-Kommunikation hinzu
- Services (Dialogfeld) – Key Server-Dienst neu starten
- Verwaltungskonsole - forensischen Administrator hinzufügen
Verwenden Sie das administrative Dienstprogramm zum Herunterladen (CMGAd)
- Verwenden des forensischen Modus
- Verwenden des Admin-Modus
Encryption auf einem Serverbetriebssystem konfigurieren
Verzögerte Aktivierung konfigurieren
- Individuelle Einrichtung der verzögerten Aktivierung
- Computer für Installation vorbereiten
- Encryption mit verzögerter Aktivierung installieren
- Encryption mit verzögerter Aktivierung aktivieren
- Fehlerbehebung bei verzögerter Aktivierung
Fehlerbehebung
- Alle Clients – Fehlerbehebung
- Alle Clients – Schutzstatus
- Dell Encryption – Fehlerbehebung (Client und Server)
- Advanced Threat Prevention – Fehlerbehebung
- SED-Fehlerbehebung
- Dell ControlVault-Treiber
  - Aktualisieren von Treibern und Firmware für Dell ControlVault
- UEFI Computers
- TPM und BitLocker
Glossar

Glossar

Aktivieren – Eine Aktivierung erfolgt, wenn der Computer beim Dell Server registriert wurde und mindestens einen Satz mit Richtlinien

erhalten hat.

Active Directory (AD) – Ein Verzeichnisdienst von Microsoft für Windows-Domänennetzwerke.

Advanced Threat Prevention – Das Produkt Advanced Threat Prevention ist der Virenschutz der nächsten Generation, der

algorithmische Wissenschaft und maschinelles Lernen einsetzt, um bekannte sowie unbekannte Cyber-Bedrohungen zu identifizieren,

zu klassifizieren und von der Ausführung bzw. der Beschädigung von Endpunkten abzuhalten. Die optionale Client-Firewall-Funktion

überwacht die Datenübertragung zwischen Computer und Ressourcen im Netzwerk und im Internet und fängt potenziell verdächtige

Datenübertragungen ab. Die optionale Web-Schutz-Funktion blockiert basierend auf den Sicherheitsbewertungen und Berichten für

Websites unsichere Websites und Downloads von diesen Websites, während online navigiert wird und Suchvorgänge ausgeführt werden.

Anwendungsdatenverschlüsselung – ADE (Application Data Encryption) verschlüsselt jede Datei, die von einer geschützten Anwendung

geschrieben wird, mit einer Aufhebung der Kategorie 2. Das bedeutet, dass jedes Verzeichnis mit einem Schutz der Kategorie 2 oder höher

oder jeder Ort, an dem bestimmte Erweiterungen mit Kategorie 2 oder höher geschützt sind, nicht durch ADE verschlüsselt werden.

BitLocker Manager – Windows BitLocker schützt Windows-Computer durch die Verschlüsselung von Daten- und Betriebssystemdateien.

Um die Sicherheit von BitLocker-Implementierungen zu erhöhen und Betriebskosten zu vereinfachen sowie zu verringern, bietet Dell eine

einzige, zentrale Management Console. Diese Console nimmt sich zahlreicher Sicherheitsbedenken an und bietet einen integrierten Ansatz

für die Verwaltung verschlüsselter Daten auf Plattformen, die nicht zu BitLocker gehören, seien sie physisch, virtuell oder cloudbasiert.

BitLocker Manager unterstützt BitLocker-Verschlüsselung für Betriebssysteme, Festplattenlaufwerke und BitLocker To Go. Mit BitLocker

Manager können Sie BitLocker nahtlos in Ihre bestehende Verschlüsselung integrieren und mit minimalem Verwaltungsaufwand sowohl

die Sicherheit als auch die Compliance optimieren. BitLocker Manager bietet eine integrierte Verwaltung für die Wiederherstellung von

Schlüsseln, Richtlinienverwaltung und -durchsetzung, automatisierte TPM-Verwaltung, FIPS-Compliance und Compliance Reporting.

Im Cache gespeicherte Anmeldedaten – Gespeicherte Anmeldedaten werden in die PBA-Datenbank aufgenommen, wenn ein Benutzer

sich mit Active Directory authentifiziert. Die Benutzerdaten werden gespeichert, damit die Anmeldung auch ohne Verbindung zu Active

Directory funktioniert (beispielsweise bei Verwendung des Laptops außerhalb der Geschäftszeiten).

Allgemeine Verschlüsselung – Der allgemeine Schlüssel macht verschlüsselte Dateien allen verwalteten Benutzern auf dem Gerät

zugänglich, auf dem sie erstellt wurden.

Deaktivieren – Die Deaktivierung erfolgt, wenn SED Manager in der Verwaltungskonsole auf AUS gesetzt wird. Nach der Deaktivierung

des Computers wird die PBA -Datenbank gelöscht, und es gibt keine Aufzeichnung der im Cache gespeicherten Benutzer mehr.

Encryption External Media – Dieser Dienst innerhalb von Encryption schützt Wechseldatenträger und externe Speichergeräte.

Encryption External Media-Zugriffscode – Dieser Dienst ermöglicht die Wiederherstellung von mit Encryption External Media geschützten

Geräten, bei denen der Benutzer das Kennwort vergessen hat und sich nicht mehr anmelden kann. Nach Abschluss dieses Vorgangs kann

der Benutzer das auf dem Medium festgelegte Kennwort zurücksetzen.

Encryption – Geräteinterne Komponente, die Sicherheitsrichtlinien durchsetzt, egal ob ein Endpunkt mit dem Netzwerk verbunden oder

vom Netzwerk getrennt ist, verloren gegangen ist oder gestohlen wurde. Encryption erzeugt eine vertrauenswürdige Computerumgebung

für Endpunkte, indem es als Layer über dem Betriebssystem des Geräts fungiert und Authentifizierung, Verschlüsselung und Autorisierung

lückenlos anwendet, um den Schutz vertraulicher Informationen zu maximieren.

Endpunkt – Je nach Kontext ein Computer, ein mobiles Gerät oder ein externer Datenträger.

Encryption Keys – In den meisten Fällen verwendet der Encryption-Client den Benutzerschlüssel plus zwei weitere

Verschlüsselungsschlüssel. Es gibt allerdings auch Ausnahmen: Alle SDE-Richtlinien und die Richtlinie „Windows-Anmeldeinformationen

schützen“ verwenden den SDE-Schlüssel. Die Richtlinien „Windows-Auslagerungsdatei verschlüsseln“ und „Sichere Windows-

Ruhezustand-Datei“ verwenden einen eigenen Schlüssel, den General Purpose Key (GPK). Der „allgemeine“ Schlüssel macht Dateien

allen verwalteten Benutzern auf dem Gerät zugänglich, auf dem sie erstellt wurden. Der „Benutzer“-Schlüssel macht Dateien nur dem

Benutzer zugänglich, der sie erstellt hat, und zwar nur auf dem Gerät, auf dem sie erstellt wurden. Der „Benutzer-Roaming“-Schlüssel

macht Dateien nur dem Benutzer zugänglich, der sie erstellt hat, und zwar auf jedem mit Shield geschützten Windows- oder Mac-Gerät.

Verschlüsselungssuche – Bei dem Vorgang werden zu verschlüsselnde Ordner durchsucht, um sicherzustellen, dass die enthaltenen

Dateien den richtigen Verschlüsselungsstatus haben. Einfache Operationen zur Erstellung und Umbenennung von Dateien lösen keine

Verschlüsselungssuche aus. Es ist wichtig zu verstehen, wann eine Verschlüsselungssuche stattfindet und wodurch die Dauer der

Suche beeinflusst wird: Eine Verschlüsselungssuche erfolgt sofort nach Eingang einer Richtlinie mit aktivierter Verschlüsselung. Das kann

unmittelbar nach der Aktivierung sein, wenn für Ihre Richtlinie die Verschlüsselung aktiviert ist. – Wenn die Richtlinie Workstation bei

Anmeldung durchsuchen aktiviert ist, werden die zur Verschlüsselung angegebenen Ordner bei jeder Benutzeranmeldung durchsucht.

- Eine Suche kann unter bestimmten nachfolgenden Richtlinienänderungen erneut ausgelöst werden. Jeder Richtlinienänderung, die

164 Glossar