Install Guide

ManualsBrandsDell ManualsConverged InfrastructureEndpoint Security Suite Enterprise

Table Of Contents

Dell Endpoint Security Suite Enterprise Erweitertes Installationshandbuch v3.1
Inhaltsverzeichnis
Einleitung
- Vor der Installation
- Verwendung des Handbuchs
- Kontaktieren des Dell ProSupports
Anforderungen
- Alle Clients
- Verschlüsselung
- Vollständige Datenträgerverschlüsselung
- Encryption auf Serverbetriebssystemen
- Advanced Threat Prevention
  - Kompatibilität
- Client Firewall und Web Protection
- SED Manager
- BitLocker Manager
Registrierungseinstellungen
- Verschlüsselung
- Vollständige Datenträgerverschlüsselung
- Advanced Threat Prevention
- SED Manager
- BitLocker Manager
Installation unter Verwendung des Master-Installationsprogramms
- Aktive Installation unter Verwendung des Master-Installationsprogramms
- Installation durch Befehlszeile mit dem Master Installationsprogramm
Deinstallation des Master-Installationsprogramms
- Deinstallieren des Master-Installationsprogramms für Endpoint Security Suite Enterprise
Installation unter Verwendung der untergeordneten Installationsprogramme
- Treiber installieren
- Encryption installieren
- Full Disk Encryption installieren
- Encryption auf Serverbetriebssystem installieren
- Advanced Threat Prevention-Client installieren
- Installieren von Client Firewall und Web Protection
- SED Manager und PBA Advanced Authentication installieren
- BitLocker Manager installieren
Deinstallation unter Verwendung der untergeordneten Installationsprogramme
- Web Protection und Firewall deinstallieren
- Advanced Threat Prevention deinstallieren
- Full Disk Encryption deinstallieren
- SED Manager deinstallieren
- Encryption und Encryption auf einem Serverbetriebssystem deinstallieren
- BitLocker Manager deinstallieren
Data Security-Deinstallationsprogramm
Gängige Szenarien
- Encryption Client und Advanced Threat Prevention
- SED Manager und Encryption External Media
- BitLocker Manager und Encryption External Media
- BitLocker Manager und Advanced Threat Prevention
Bereitstellung eines Mandanten
- Bereitstellung eines Mandanten
Konfigurieren der automatischen Aktualisierung des Advanced Threat Prevention Agenten
Vorinstallationskonfiguration für die SED-UEFI und BitLocker Manager
- TPM initialisieren
- Pre-Installation Konfiguration für den UEFI-Computern
- Vorinstallationskonfiguration zum Einrichten einer BitLocker PBA-Partition
Festlegen des Dell Server über die Registrierung
Untergeordnete Installationsprogramme extrahieren
Konfigurieren von Key Server
- Dialogfeld „Dienste" - Domänenbenutzerkonto hinzufügen
- Key-Server-Konfigurationsdatei – Fügen Sie Benutzer für Security Management Server-Kommunikation hinzu
- Services (Dialogfeld) – Key Server-Dienst neu starten
- Verwaltungskonsole - forensischen Administrator hinzufügen
Verwenden Sie das administrative Dienstprogramm zum Herunterladen (CMGAd)
- Verwenden des forensischen Modus
- Verwenden des Admin-Modus
Encryption auf einem Serverbetriebssystem konfigurieren
Verzögerte Aktivierung konfigurieren
- Individuelle Einrichtung der verzögerten Aktivierung
- Computer für Installation vorbereiten
- Encryption mit verzögerter Aktivierung installieren
- Encryption mit verzögerter Aktivierung aktivieren
- Fehlerbehebung bei verzögerter Aktivierung
Fehlerbehebung
- Alle Clients – Fehlerbehebung
- Alle Clients – Schutzstatus
- Dell Encryption – Fehlerbehebung (Client und Server)
- Advanced Threat Prevention – Fehlerbehebung
- SED-Fehlerbehebung
- Dell ControlVault-Treiber
  - Aktualisieren von Treibern und Firmware für Dell ControlVault
- UEFI Computers
- TPM und BitLocker
Glossar

● Um nicht verwaltete Benutzer auf dem Client-Computer zu ermitteln, stellen Sie den Registrierungswert auf dem Client-Computer ein:

[HKLM\SOFTWARE\Credant\CMGShield\ManagedUsers\]

"UnmanagedUserDetected"=DWORD value:1

Nicht verwaltete Benutzer auf diesem Computer ermitteln = 1

Nicht verwaltete Benutzer nicht auf diesem Computer ermitteln = 0

● Um die automatische Reaktivierung im Hintergrund zu aktivieren, für den seltenen Fall, dass ein Benutzer deaktiviert wird, muss der

Registrierungseintrag auf dem Client-Computer festgelegt werden.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CMGShield]

"AutoReactivation"=DWORD:00000001

0 = Deaktiviert (Standardeinstellung)

1 = Aktiviert

● Die Systemdatenverschlüsselung (System Data Encryption, SDE) wird auf Basis des Richtlinienwerts für SDE-Verschlüsselungsregeln

durchgesetzt. Zusätzliche Verzeichnisse werden standardmäßig geschützt, wenn die Richtlinie „SDE-Verschlüsselung – Aktiviert“

markiert ist. Weitere Informationen finden Sie unter dem Stichwort „SDE-Verschlüsselungsregeln“ in der Adminhilfe. Wenn Encryption

eine Richtlinienaktualisierung mit einer aktiven SDE-Richtlinie verarbeitet, wird das aktuelle Nutzerprofilverzeichnis standardmäßig mit

dem Benutzerschlüssel SDUser verschlüsselt, und nicht mit dem Geräteschlüssel SDE. Der SDUser-Schlüssel wird außerdem zur

Verschlüsselung von Dateien oder Ordnern verwendet, die in ein Benutzerverzeichnis kopiert (nicht verschoben) werden, das nicht mit

SDE verschlüsselt ist.

Erstellen Sie den Registrierungseintrag auf dem Computer, um den SDUser-Schlüssel zu deaktivieren und stattdessen den SDE-

Schlüssel für die Verschlüsselung dieser Benutzerverzeichnisse zu verwenden:

[HKEY_LOCAL_MACHINE\SOFTWARE\Credant\CMGShield]

"EnableSDUserKeyUsage"=DWORD:00000000

Wenn dieser Registrierungsschlüssel nicht vorhanden ist oder einen anderen Wert aufweist als 0, wird der SDUser-Schlüssel für die

Verschlüsselung dieser Benutzerverzeichnisse verwendet.

Weitere Informationen über SDUser finden Sie im KB-Artikel 131035.

● Stellen Sie den Registrierungseintrag EnableNGMetadata ein, wenn Probleme im Zusammenhang mit Microsoft-Updates auf

Computern mit gemeinsamen mittels Schlüssel verschlüsselten Daten oder mit der Verschlüsselung, der Entschlüsselung oder dem

Entpacken einer großen Anzahl von Dateien in einem Ordner auftreten.

Stellen Sie den Registrierungseintrag EnableNGMetadata an folgendem Pfad ein:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CmgShieldFFE]

"EnableNGMetadata" = DWORD:1

0 = Deaktiviert (Standardeinstellung)

1 = Aktiviert

● Wenn Sie die Funktion zur Nicht-Domänen-Aktivierung aktivieren möchten, wenden Sie sich bitte an den Dell ProSupport, um die

entsprechenden Anweisungen zu erhalten.

● Der Encryption Management Agent gibt standardmäßig keine Richtlinien mehr aus. Erstellen Sie den folgenden

Registrierungsschlüssel, um zukünftig verbrauchte Richtlinien auszugeben:

HKLM\Software\Dell\Dell Data Protection\

" DumpPolicies" = DWORD

Wert=1

Hinweis: Protokolle werden in C:\ProgramData\Dell\Dell Data Protection\Policy geschrieben.

● Um die Option Encrypt for Sharing im Kontextmenü zu deaktivieren oder zu aktivieren, verwenden Sie den folgenden

Registrierungsschlüssel.

HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection\Encryption

"DisplaySharing"=DWORD

0 = Deaktivieren der Option „Encrypt for Sharing“ im Rechtsklick-Kontextmenü.

1 = Aktivieren der Option „Encrypt for Sharing“ im Rechtsklick-Kontextmenü.

Registrierungseinstellungen