DRIVELOCK RELEASE NOTES - RELEASE NOTES 2022.2 SP1 DRIVELOCK SE 2023 - UBM GLOBAL

 
WEITER LESEN
DRIVELOCK RELEASE NOTES - RELEASE NOTES 2022.2 SP1 DRIVELOCK SE 2023 - UBM GLOBAL
DriveLock Release Notes

Release Notes 2022.2 SP1

DriveLock SE 2023
Inhaltsverzeichnis

1 KONVENTIONEN                                        4

2 INFORMATIONEN ZU 2022.2 SP1                         5

3 RELEASE NOTES 2022.2                                6

 3.1 Service Pack-Version SP1 (Build 22.2.5)          6

   3.1.1 Neuerungen und Änderungen                    6

   3.1.2 Fehlerbehebungen 2022.2 SP1                  6

 3.2 Hotfix-Version HF1                               9

   3.2.1 Neuerungen und Änderungen                    9

   3.2.2 Fehlerbehebungen 2022.2 HF1                 10

 3.3 Hauptversion                                    12

   3.3.1 Neuerungen und Änderungen                   12

   3.3.2 Fehlerbehebungen 2022.2                     18

4 SYSTEMVORAUSSETZUNGEN                              27

 4.1 DriveLock Agent                                 27

 4.2 DriveLock Management Konsole (DMC)              35

 4.3 DriveLock Enterprise Service                    35

 4.4 DriveLock Operations Center (DOC)               37

5 UPDATE VON DRIVELOCK                               38

 5.1 Update des DriveLock Agenten                    38

 5.2 Update des DriveLock Enterprise Service (DES)   39

 5.3 Update der DriveLock Komponenten                39

 5.4 Manuelle Updates                                41

6 BEKANNTE EINSCHRÄNKUNGEN                           42

 6.1 BitLocker Management                            42

 6.2 Defender Management                             43

 6.3 Disk Protection                                 43

                                               2
6.4 Bekannte Einschränkungen des Agenten        46

 6.5 DriveLock Device Control                    46

 6.6 DriveLock Enterprise Service (DES)          48

 6.7 DriveLock File Protection                   48

 6.8 DriveLock, iOS und iTunes                   49

 6.9 DriveLock Management Konsole (DMC)          50

 6.10 DriveLock Mobile Encryption                50

 6.11 DriveLock Operations Center (DOC)          51

 6.12 DriveLock Pre-Boot-Authentifizierung       52

 6.13 DriveLock in verschiedenen Umgebungen      53

 6.14 Self Service Freigabe                      53

 6.15 DriveLock und Thin Clients                 53

 6.16 Verschlüsselung                            54

7 END-OF-LIFE-ANKÜNDIGUNGEN                      55

8 DRIVELOCK DOKUMENTATION                        57

9 TESTINSTALLATION VON DRIVELOCK                 60

COPYRIGHT                                        61

                                             3
1 Konventionen

1 Konventionen
In dieser Dokumentation werden durchgängig folgende Konventionen und Symbole ver-
wendet, um wichtige Aspekte hervorzuheben oder Objekte zu visualisieren.

     Achtung: Roter Text weist auf Risiken hin, die beispielsweise zu Datenverlust führen
     können

     Hinweis: Hinweise und Tipps enthalten nützliche Zusatzinformationen.

Menüeinträge oder die Namen von Schaltflächen sind fett dargestellt.

Kursive Schrift repräsentiert Felder oder Titel von referenzierten Dokumenten.

Systemschrift stellt Nachrichten oder Befehle auf Basis der Kommandozeile dar.

Ein Pluszeichen zwischen zwei Tasten bedeutet, dass diese gleichzeitig gedrückt werden
müssen: „ALT + R“ beispielsweise signalisiert das Halten der ALT-Taste, während R gedrückt
wird. Ein Komma zwischen mehreren Tasten fordert ein Nacheinander-Drücken der jewei-
ligen Tasten. „ALT, R, U” bedeutet, dass zunächst die ALT-Taste, dann die R- und zuletzt die
U-Taste betätigt werden muss.

                                              4
2 Informationen zu 2022.2 SP1

2 Informationen zu 2022.2 SP1
In den Release Notes finden Sie wichtige Informationen zu Neuerungen und Feh-
lerbehebungen im aktuellen Service Pack (SP1), sowie zu Neuerungen und Feh-
lerbehebungen im letzten Hotfix (HF1) und zu Neuerungen und Fehlerbehebungen in der
Hauptversion. Ebenfalls enthalten sind bekannte Einschränkungen sowie Ergänzungen zur
Dokumentation.

Die gesamte DriveLock Dokumentation, sowie Links zu den Release Notes der vergangenen
und noch unterstützten Versionen finden Sie auf DriveLock Online Help.

     Hinweis: Beachten Sie bitte, dass es für Managed Security Service eine eigen-
     ständige Dokumentation und Release Notes gibt, die Ihnen als Managed-Service-
     Benutzer automatisch zur Verfügung gestellt werden.

                                            5
3 Release Notes 2022.2

3 Release Notes 2022.2
Hier finden Sie alle Änderungen und Verbesserungen sowie Fehlerbehebungen in der aktu-
ellen DriveLock Version.

3.1 Service Pack-Version SP1 (Build 22.2.5)

3.1.1 Neuerungen und Änderungen
Das Service Pack 1 (SP1) der DriveLock Version 2022.2 umfasst die folgenden neuen Funk-
tionen:

BitLocker Management
   l   Zur Vermeidung unsicherer Kennwörter kann eine Textdatei mit auszuschließenden
       Begriffen in der BitLocker Management-Richtlinie angegeben werden. Das Kennwort
       wird abgelehnt, sobald ein Wort aus der Liste enthalten ist.
   l   Der DriveLock Agent wurde um einen Kommandozeilenparameter blun-
       lockdatadrives erweitert, der das Entsperren von BitLocker-verschlüsselten Daten-
       partitionen auch dann ermöglicht, wenn diese zu einem Datenträger gehören, der
       ursprünglich in einem anderen Client-Computer eingebaut war. Für diesen Parameter
       ist die Angabe eines zur Anmeldung am DES autorisierten Benutzers erforderlich.

BitLocker To Go
   l   Externe Medien (z.B. USB-Sticks), die ursprünglich nicht mit DriveLock BitLocker To Go
       verschlüsselt worden sind, können jetzt von DriveLock übernommen und verwaltet
       werden, ohne erneut verschlüsselt werden zu müssen.

DriveLock Operations Center (DOC): Ereignisse
   l   Im DOC können im Menü Ereignisse jetzt Benachrichtigungen konfiguriert werden.
       Dazu werden Benachrichtigungsregeln erstellt, die definieren, welches Ereignis mit
       welcher Aktion verknüpft ist. Derzeit ist als Aktion nur das serverseitige Senden per E-
       Mail an einen oder mehrere Empfänger möglich.

Inventarisierung
   l   Die AD-Inventarisierung wird jetzt schneller durchgeführt. (Referenz EI-2364)
3.1.2 Fehlerbehebungen 2022.2 SP1
Hier finden Sie Informationen zu Fehlern, die mit DriveLock Version 2022.2 SP1 behoben
sind. Als Referenz dienen dabei unsere External Issues (EI) Nummern, sofern vorhanden.

                                               6
3 Release Notes 2022.2

                              BitLocker Management

          Bei der Übernahme eines bereits mit BitLocker verschlüsselten
          Computers wurden in Einzelfällen mehr Protektoren als vor-
EI-2336   gesehen erzeugt. Der Kennwortdialog wurde dann wiederholt
          angezeigt, ohne dass dabei das BitLocker-Kennwort gesetzt wer-
          den konnte.

          Wenn über die BitLocker-Verwaltung in Windows ein auto-
          matisches Entsperren für mindestens eine Datenpartition ein-
          gerichtet wurde, ist das Entschlüsseln des Systemlaufwerks nach
          der Übernahme durch den DriveLock-Agent mit der Fehlernummer
          0x80310029 fehlgeschlagen.

          Die BitLocker-Wiederherstellungsinformationen wurden nur gesi-
          chert, wenn die betreffende Datenpartition nicht gesperrt war. Der
          Tausch des Wiederherstellungsschlüssels von gesperrten Par-
          titionen wurde zwar erfolgreich durchgeführt, ein Hochladen des
          Schlüssels war dagegen nur möglich, wenn die Partition entsperrt
          war.

          Bei Verwendung der BitLocker-PBA wurde der Wie-
          derherstellungsschlüssel erst nach einem erneuten Start des
          DriveLock-Agenten ausgetauscht, wenn dieser zuvor angefordert
          wurde.

                            DriveLock Operations Center

           Bei älteren DriveLock Agent-Versionen wurden die Richt-
EI-2368
           liniennamen nicht korrekt aufgelöst.

                                 7
3 Release Notes 2022.2

                                       Encryption 2-Go

          Die in der Encryption 2-Go-Lizenz enthaltene File Encryption-Funk-
          tionalität funktionierte nicht, wenn eine vollständige File Encryp-
          tion-Lizenz zwar vorhanden, aber dem DriveLock Agenten nicht
          zugewiesen war.

                                Risk & Compliance (EDR)

            Der Import der MITRE Attack Regeln hat nur dann funktioniert,
            wenn sowohl Lizenzen für Risk & Compliance (EDR) als auch App-
EI-2435
            lication Control verfügbar waren. Eine Application Control-Lizenz
            wäre korrekterweise nicht nötig gewesen.

                             System Management (Firewall)

            Ein Fehler wurde behoben, der beim Laden und Anwenden von
            Richtlinien mit Firewall-Regeln auftrat, wenn diese in DriveLock
EI-2394
            Versionen älter als 22.2 erstellt wurden und als Protokolltyp 'Alle'
            hatten.

                                   8
3 Release Notes 2022.2

3.2 Hotfix-Version HF1

3.2.1 Neuerungen und Änderungen
DriveLock Agent
   l   Während der DriveLock Dienst läuft, wird jetzt keine Wartung (Neuinstallation bzw.
       Reparatur der Agenten-MSI) mehr durchgeführt.
       Hintergrund: Um Wartungsarbeiten durchzuführen, darf kein DriveLock Dienst laufen.
       Bisher wurde der Dienst daher immer gestoppt. Jetzt wird hingegen die Wartung
       abgebrochen, wenn der DriveLock Dienst bereits laufen sollte. (Referenz: EI-2308)

DriveLock macOS Agent / DriveLock Operations Center
   l   Das Installationspaket für den DriveLock macOS Agenten kann jetzt direkt im Instal-
       lationsbereich des DriveLock Operations Center (DOC) heruntergeladen werden.

                                              9
3 Release Notes 2022.2

3.2.2 Fehlerbehebungen 2022.2 HF1
DriveLock 2022.2 HF1 ist ein Hotfix-Release.

Dieses Kapitel enthält Informationen zu Fehlern, die mit DriveLock Version 2022.2 HF1 beho-
ben sind. Als Referenz dienen dabei unsere External Issues (EI) Nummern, sofern vorhanden.

                                               BitLocker Management

                      Ein Fehler bei der Darstellung der Bitlocker-Wie-
  EI-2356
                      derherstellungsschlüssel im DOC wurde behoben.

                                                    Device Control

                        Ein Fehler beim Überprüfen der Datei wds-scan-report.xml
  EI-1589
                        wurde behoben.

      Referenz                                      Disk Protection

                         Wenn Dateifiltertreiber von Drittanbietern mit der DriveLock
                         PBA oder Disk Protection installiert sind, wurde in einigen Fällen
                         das DriveLock EFS (embeded file system) nicht geprüft und repa-
                         riert (EFS Sanity).

      Referenz                                      DriveLock Agent

                         Nach dem Verbinden von Linux- und macOS-Agenten mit dem
  EI-2310                DES wird der Status der Agenten vom DOC nun korrekt ange-
                         zeigt und nicht mehr als veraltet.

                                               10
3 Release Notes 2022.2

   Referenz                             File Protection

              Neues Verschlüsselungsformat: Der Pfad zu einem ver-
              schlüsselten Ordner darf jetzt diakritische Zeichen enthalten (z.B.
              die Punkte bei Umlauten oder die französische oder spanische
              Cedille).

   Referenz                              Infrastruktur

              Ein Fehler wurde behoben, der beim Anwenden der im Kon-
EI-2328       figurationsprofil definierten Proxy-Einstellungen für den Benut-
              zer auftrat. Die Einstellungen werden jetzt richtig zurückgesetzt.

   Referenz                                Lizenzen

              Ein Fehler bei der Berechnung der Benutzerlizenzen wurde beho-
EI-2335
              ben.

                                   11
3 Release Notes 2022.2

3.3 Hauptversion

3.3.1 Neuerungen und Änderungen
Neue Funktionen
  l   USB-Laufwerkskontrolle für Mac Betriebssysteme
      DriveLock erweitert seine unterstützten Betriebssysteme um die Plattform macOS.
      Damit können extern angeschlossene USB-Laufwerke auch unter macOS Catalina, Big
      Sur, Monterey und Ventura gezielt gesperrt oder freigegeben werden. Der DriveLock
      Agent steht sowohl für Rechner mit Intel-Chip als auch für die ARM-Architektur von
      Apple zur Verfügung.

             Hinweis: Der macOS-Agent ist auf Anfrage verfügbar. Bitte wenden Sie sich an
             Ihren DriveLock Vertriebspartner.

  l   Application Control im DOC
      Anwendungen können jetzt mithilfe von Anwendungsregeln sehr viel einfacher aus
      dem DOC heraus freigegeben werden. Auch die Inventar-Ansicht wurde erweitert,
      wodurch jetzt leichter erkennbar ist, wann bestimmte Anwendungen beispielsweise
      zum letzten Mal verwendet wurden und auf wie vielen Rechnern sie installiert sind.
  l   File Protection
      DriveLock führt ein neues Verschlüsselungsformat für die File & Folder Encryption für
      Betriebssysteme ab Windows 10 ein. Beachten Sie hierzu den Hinweis im Kapitel
      Update der DriveLock Komponenten. Für Neukunden ist diese neue Verschlüsselung
      der Standard. Kunden, die bereits verschlüsselte Verzeichnisse eingerichtet haben,
      können jedoch mit dieser Version die bisherige Verschlüsselung weiterverwenden.
  l   Maskierung von personen- und computerbezogenen Daten (Daten-
      maskierung/Pseudonymisierung)
      Im DOC können ab sofort Computer- und Benutzernamen als wesentliche per-
      sonenbezogene Datensätze so pseudonymisiert/maskiert werden, dass kein direkter
      Rückschluss auf eine bestimmte Person bzw. deren Verhalten mehr möglich ist.
      Die wichtigsten Funktionen sind:
         l Aktivierung und Deaktivierung der Datenmaskierung für die Umgebung eines

             Mandanten
         l   Konfiguration von Berechtigungen für die Veränderung von Einstellungen zur
             Datenmaskierung

                                             12
3 Release Notes 2022.2

       l   Konfiguration der berechtigten Personen, die Daten im Klartext sehen dürfen
       l   Konfiguration der berechtigten Personen, die einen Antrag zur Klartextanzeige
           freigeben dürfen
       l   Anzeige im Klartext möglich aufgrund einer zugewiesenen Berechtigung, nach
           einer Genehmigung der Anfrage durch einen weiteren DOC-Benutzer oder nach
           der Eingabe eines speziellen Freigabecodes durch eine beliebige andere Person
       l   Auswahl von bestimmten Events, bei denen eine Maskierung nie oder immer
           erfolgen soll
l   Audit-Ereignisse
    Spezielle Audit-Ereignisse weisen jetzt auf Änderungen hin, die sich auf die Sicherheit
    der Umgebung auswirken bzw. auswirken könnten. Das DOC bietet einen zusätzlichen
    Filter für Audit-Ereignisse, über den alle Änderungen von sicherheitsrelevanten Ein-
    stellungen lückenlos nachvollzogen werden können.

                                           13
3 Release Notes 2022.2

Verbesserungen
Agentenfernkontrolle
   l   Die Agentenfernkontrolle verwendet jetzt standardmäßig nur noch HTTPS.

Anonyme Daten
   l   Anonyme Daten / Datenmaskierung: Eine Maskierung von Computer- und Benut-
       zernamen als wesentliches Merkmal personenbezogener Daten wurde in früheren Ver-
       sionen durch eine Verschlüsselung von Ereignisinformationen vor der Übertragung an
       den DriveLock Enterprise Service erreicht. Die verschlüsselten Datensätze konnten
       danach im DriveLock Control Center nach dem Laden vom DES wieder entschlüsselt
       werden, wenn die korrekten Zertifikate zur Verfügung standen. In Zukunft bietet
       DriveLock diese Verschlüsselung von Ereignissen nicht mehr an, sondern integriert die
       Datenmaskierung komplett in das DOC.

Datenbank

   l   Im Datenbank-Installationsassistenten kann jetzt optional eine Datenkonvertierung
       nach einem Update aktiviert werden.

DriveLock Enterprise Service (DES)
   l   Die Datenbankwartung wurde um mehrere Stored Procedures zum Löschen alter
       Daten erweitert. Bitte passen Sie die manuell konfigurierten Daten-
       bankwartungsschritte an. Informationen zu diesem Thema finden Sie in unserem
       "Database Guide" unter den technischen Artikeln auf DriveLock Online Help. (Referenz
       EI-2222)

DriveLock Operations Center (DOC)
   l   Im DOC können nun Zertifikate zur Erzeugung von Offline-Entsperrungs-Ant-
       wortcodes gespeichert und verwendet werden
   l   Es steht ein neues Standard-Dashboard mit Informationen zum Agenten-Rollout zur
       Verfügung
   l   Der DriveLock DOC-Companion kann nun als separates Installationspaket bereit-
       gestellt und installiert werden. Dadurch wird das Rollout in größeren Sys-
       temumgebungen und bei Freigabeprozessen erleichtert.
   l   Die Anmeldung am DOC kann nun auch über die integrierte Windows-Anmeldung
       (Active Directory-Benutzer) erfolgen und erspart einen zusätzlichen Anmeldevorgang
       für den Benutzer.

                                              14
3 Release Notes 2022.2

   l   Im DOC wird nun in den Computeransichten der aktuelle Online-Status angezeigt.
       Damit enthält der Administrator die zusätzliche Information, ob ein Computer aktuell
       für eine Online-Freigabe oder eine Agentenfernverbindung kontaktiert werden kann.
   l   Auch in dieser Version wurde die Benutzerfreundlichkeit im DOC weiter verbessert
       und Kundenfeedback berücksichtigt:
          l Die Breite von Listenspalten wird nun in den meisten Rasteransichten bei-

              behalten, wenn sie manuell angepasst wurde
          l   Benutzer können nun die von ihnen bevorzugte Ansicht beim ersten Aufruf
              eines Menüpunktes selbst festlegen
          l   Beim Löschen von Computern aus dem DOC bleiben nun vorhandene Wie-
              derherstellungsinformationen weiterhin in der Datenbank gespeichert, sofern
              diese nicht explizit gelöscht werden.
          l   Zusätzlich zu den bereits vorhandenen Installationsmethoden steht nun für
              Cloud-Umgebungen auch ein Download-Link zur Verfügung, der z.B. per E-Mail
              im Unternehmen verteilt werden kann.

DriveLock PBA
   l   BIOS Pre-Boot-Authentifizierung: Ab Version 2022.2 wird die BIOS PBA nicht mehr
       unterstützt und aus dem Produktumfang entfernt. DriveLock 2021.2 war somit die
       letzte Version mit einer Anpassung der DriveLock Legacy BIOS Pre-Boot Authen-
       tifizierung.

              Hinweis: Bei der Installation eines Agenten der Version 2022.2 wird geprüft,
              ob eine aktive Legacy BIOS PBA auf dem System vorhanden ist. In diesem Fall
              wird keine Aktualisierung bzw. Installation des Agenten mehr durchgeführt.

   l   Die DriveLock PBA kann nun bis zum ersten Windows-Login eines Benutzers, der
       anschließend in die PBA-Konten synchronisiert wird, deaktiviert werden (Auto-Logon
       Mode).

DriveLock Richtlinien-Editor
   l   Stringlist-Eigenschaften innerhalb von DriveLock-Richtlinien können jetzt auch additiv
       erstellt werden, d.h. eine Stringliste aus einer zugewiesenen Richtlinie überschreibt
       nicht die Werte derselben Eigenschaft aus einer anderen zugewiesenen Eigenschaft,
       sondern ergänzt sie nur. Ein Import/Export von mehreren Zeilen per Copy & Paste ist
       dabei möglich.

                                                15
3 Release Notes 2022.2

Ereignisse
   l   Bei Ereignissen, die zentral vom DES an einen Syslog-Dienst oder per SMTP wei-
       tergeleitet werden, kann ein Administrator nun konfigurieren, welche dieser Ereignisse
       nicht berücksichtigt werden sollen. Dadurch können im Zielsystem unerwünschte
       Ereignisse herausgefiltert werden. Zudem können einzelne Ereignisse vom DES jetzt
       an ein beliebiges SYSLOG-Ziel weitergeleitet werden.
   l   An den Stored Procedures zum Löschen von alten Ereignissen wurden Änderungen
       vorgenommen. Details finden Sie im DriveLock Database Guide in der Rubrik Tech-
       nical Articles auf DriveLock Online Help.
   l   Der Agent meldet jetzt Ereignisse von Drittanbietern, die eingetreten sind, während
       der Agent nicht lief.
   l   Im Richtlinien-Editor wurde der Knoten EDR in Ereignisse und Alerts umbenannt.

Firewall Management
   l   Firewall-Regeln können nun einfach von einem bestehenden System per Agen-
       tenfernkontrolle ausgelesen und in eine Richtlinie übernommen werden. (Referenz EI-
       1765)
   l   Firewall-Regeln können nun alle Einstellungsoptionen berücksichtigen, die auch über
       Powershell-Befehle verändert werden können.
   l   Die Firewall-Management-Komponente lässt sich jetzt trotz einer vorhandenen Lizenz
       auf einem DriveLock Agenten komplett deaktivieren.

Gruppenverwaltung
   l   Der Knoten Gruppen wurde komplett aus der DriveLock Management Konsole (DMC)
       entfernt. Gruppen können jetzt vollständig im DOC verwaltet oder angelegt werden.
       (Referenz EI-2178)
   l   Beim Hinzufügen von Gruppenmitgliedern kann nun zusätzlich ein Kommentar hin-
       terlegt werden, z.B. die Nummer eines internen Support-Tickets. Damit können Admi-
       nistratoren den Grund der Änderung dokumentieren.
   l   Dynamische Gruppen können nun auf Basis von zusätzlichen Informationen, wie zum
       Beispiel Produkt-ID der Hardware oder Computerhersteller und weiteren AD-Eigen-
       schaften erzeugt werden.

Installation
   l   Die Größe der Installationsdatei des DriveLock Agenten wurde in dieser Version um
       mehr als 20% reduziert und ermöglicht eine schnellere und effizientere

                                               16
3 Release Notes 2022.2

      Softwareverteilung.
  l   Zusätzlich zu den bereits vorhandenen Installationsmethoden steht nun für Cloud-
      Umgebungen auch ein Download-Link zur Verfügung, der z.B. per E-Mail im Unter-
      nehmen verteilt werden kann.

Lizenzen
  l   Testlizenzen sind nur noch über Ihren DriveLock Vertriebspartner erhältlich und wer-
      den nicht mehr automatisch mit ausgeliefert. (Referenz EI-2123)
  l   Die EDR- bzw. Risk & Compliance Funktionalität muss ab 2022.2 nicht mehr separat
      lizenziert werden.
  l   Application Control-Lizenzen werden jetzt nicht mehr separat aufgelistet, sondern nur
      noch als ein kumulierter Eintrag.
  l   Die Lizenzanzeige im DOC wurde um Benutzerlizenzen erweitert.

Netzwerk
  l   Die Möglichkeit, eigene Netzwerkverbindungen in der DriveLock Agen-
      tenbenutzeroberfläche und im Tray Icon der Netzwerkverbindung auszuwählen,
      wurde entfernt.

Security Awareness
  l   Aus Kompatibilitätsgründen werden Security Awareness-Pakete mit Version 22.2 nur
      an aktuelle Agenten mit Version 22.2 und neuer ausgeliefert.
  l   Es gibt eine neue Version von Security Awareness Kampagnen.

                                            17
3 Release Notes 2022.2

3.3.2 Fehlerbehebungen 2022.2
Dieses Kapitel enthält Informationen zu Fehlern, die mit DriveLock Version 2022.2 behoben
sind. Als Referenz dienen dabei unsere External Issues (EI) Nummern, sofern vorhanden.

      Referenz                                Application Control

                        Die Zertifikatsprüfung für Predictive Whitelisting wurde ver-
                        bessert.

                        Die temporäre Freigabe wird jetzt korrekt beendet.

      Referenz                     BitLocker Management / BitLocker To Go

                       Ein Fehler beim Importieren von BitLocker Management-Zer-
                       tifikaten in eine Richtlinie wurde behoben.

                       Bei der Übernahme bestehender BitLocker-Umgebungen war es
                       möglich, dass das BitLocker-Kennwort bei jedem Richtlinien-
                       Update neu abgefragt und gesetzt wurde. Dieses Verhalten steht
  EI-2203
                       im Zusammenhang mit der Anzahl der Wie-
                       derherstellungsschlüssel, die für das zu übernehmende Sys-
                       temlaufwerk eingetragen waren.

                       Das Hochladen der Wiederherstellungsschlüssel konnte fehl-
                       schlagen, wenn das Richtlinien-Update zuvor nicht korrekt oder
                       unvollständig ausgeführt wurde.

      Referenz                              Defender Management

                        Beim Mergen von Richtlinien haben Stringlisten in der Defen-

                                            18
3 Release Notes 2022.2

   Referenz                        Defender Management

              der-Konfiguration teilweise Stringlisten aus anderen Richtlinien
              nicht korrekt überschrieben. Falls dieses Verhalten gewünscht
              war, müssen Sie jetzt die Option "Werte anhängen" in der String-
              liste setzen.

              Ein Fehler, der die Registrierung von Windows Defender unter
EI-2137
              bestimmten Umständen verhindert, wurde behoben

   Referenz                             Device Control

              Bei einigen externen Laufwerken gab es ein Zeitproblem, das zu
EI-2028
              einem BSOD-Fehler (Blue Screen of Death) führte.

              Ein Fehler wurde behoben, durch den unter bestimmten Umstän-
EI-2038       den Gerätesammlungen in Verbindung mit alten db3 CSP-Richt-
              linien nicht mehr funktionierten.

              Bluetooth-Geräte waren mit dem Marvell AVASTAR Wireless-
EI-1846       Chip nicht verfügbar, wenn das WiFi-Gerät beim Booten deak-
              tiviert wurde. Der Fehler ist nach dem Neustart behoben.

   Referenz                             Disk Protection

              Ein Fehler wurde behoben, den der datAshur-Stick beim Sys-
EI-2098
              temstart auslöste.

              Ein BSOD-Fehler (Blue Screen of Death), der beim Anschluss
EI-2179
              eines HP OfficeJet 200 Druckers auftrat, wurde behoben.

                                   19
3 Release Notes 2022.2

  Referenz                              DriveLock Agent

             Der Status der Festplatten-Selbstüberwachung (S.M.A.R.T.) wird
             jetzt wieder korrekt ausgelesen.

             Ein Fehler wurde behoben, bei dem der Agent abstürzte, wenn
EI-2201      eine extrem lange Seriennummer in einer Laufwerkssammlung
             vorhanden war.

             Der Windows Installer hat bei einer Aktualisierung unter Umstän-
EI-1995      den nicht alle DriveLock-Dateien ersetzt, was zu einer inkon-
             sistenten Installation führte.

             Bei Dateizugriffsereignissen wurde der Prozess bei 128 Zeichen
EI-2188
             abgeschnitten.

             Ein Fehler wurde behoben, bei dem der Agent abstürzte, wenn
EI-2029
             mehrere Remote-Verbindungen vorhanden waren.

             Die Zeichenkombi "\n" (z.B. C:\windows\system32\notepad.exe)
             wird jetzt in Nachrichtentexten korrekt angezeigt, statt sie durch
             einen Zeilenumbruch zu ersetzen.

             Bei einigen Remote-Control-Ereignissen werden jetzt Feh-
             lerinformationen vom Agenten übermittelt.

             Der Agent stürzt nicht mehr ab, wenn die Registrierung des Agen-
EI-2159
             ten fehlschlägt.

             Unter Umständen dauerte der Start des DriveLock-Services sehr
EI-2122
             lange, wenn kein Benutzer angemeldet war.

                                   20
3 Release Notes 2022.2

  Referenz                              DriveLock Agent

              Änderungen an den Ports in der Windows-Firewall-Richtlinie wer-
EI-2020
              den jetzt an den Agenten-Computer übertragen.

              Ein Fehler in der Zertifikatsprüfung des DES wurde behoben, bei
EI-2190       dem die Zertifikatssperrlisten-Informationen nicht abgerufen wer-
              den konnten.

   Referenz                  DriveLock Enterprise Service (DES)

               Die DotNetZip-Bibliothek wurde auf Version 1.16.0 aktualisiert
EI-2083
               (CVE-2018-1002205).

   Referenz               DriveLock Management Konsole (DMC)

               Der Reiter Device Scanner Datenbank wird nur noch angezeigt,
               wenn es passenden Inhalt gibt.

                   Hinweis: Hinweis: Bei Neuinstallationen von DriveLock gibt
                   es diesen Reiter nicht mehr.

               Beim Erstellen einer neuen SB-Gruppe kam ein endloser Fort-
EI-2048        schrittsbalken, sofern keinerlei DriveLock-Gruppen in der Umge-
               bung existierten.

               In der RSOP versuchte die DMC unter "Angewendete Richtlinien"
               die zentral gespeicherten Richtlinien im GPO-Editor statt im
EI-2126
               Richtlinien-Editor zu öffnen, so dass es zu einer Fehlermeldung
               kam.

                                   21
3 Release Notes 2022.2

   Referenz              DriveLock Management Konsole (DMC)

              In der DMC kann seit 22.1 die Definition von dynamischen Grup-
              pen nicht mehr editiert werden. Trotzdem wurden beim
EI-2111
              Anschauen der Gruppen-Eigenschaften die Definitionen
              gelöscht und die Gruppe somit unbrauchbar.

              Die Anzahl an bedingten Einstellungsknoten pro Knoten war auf
              15 begrenzt. Trotzdem konnte man in der DMC beliebig viele
              pro Knoten hinzufügen, allerdings konnte die Richtlinie danach
              nicht mehr in der DMC geöffnet werden - es kam zum Absturz.
EI-2084
              Das Limit wurde jetzt auf 50 erhöht, es können nicht mehr mehr
              als 50 hinzugefügt werden, und beim (unwahrscheinlichen) Öff-
              nen einer Richtlinie, die trotzdem mehr enthält kommt es nicht
              mehr zum Absturz.

              Nach einem Update auf 21.2 oder neuer konnte bei Agenten
EI-2054       älter als 21.2 die Agentenkonfiguration nicht mehr über die DMC
              angepasst werden.

   Referenz                DriveLock Operations Center (DOC)

              Das Abfragen der lokalen Whitelist vom Agenten aus der DMC
              heraus, funktioniert jetzt auch, wenn der Vorgang bis zu 2 Minu-
EI-1980
              ten dauert. Bisher wurde nach 15 Sekunden ein Fehler ange-
              zeigt.

              Wenn ein Widget nach dem Anlegen verändert oder ein benut-
              zerdefiniertes Widget angelegt wurde, werden einige, nicht
              mehr unterstützte Eigenschaften bei einer Aktualisierung als ver-

                                  22
3 Release Notes 2022.2

   Referenz                 DriveLock Operations Center (DOC)

              altet dargestellt

              Die Eingabe eines falschen Kennworts in der DOC-Anmel-
              demaske führt nicht mehr dazu, dass mehrere fehlerhafte Anmel-
EI-2073
              deversuche im AD registriert werden. Dies konnte zu einer
              vorzeitigen Sperrung des Benutzerkontos führen.

              Fehler bei der Anzeige der Application Control-Lizenz für Agen-
EI-2030
              ten älter als 21.2 behoben

              Beim Erzeugen eines Filters für die Windows-/DriveLock-Version
              bei dynamischen Gruppen im DOC wird jetzt auch eine Drop-
              down-Liste mit vordefinierten Werten angeboten

              Bei der Gruppierung nach Text bzw. Ereignis-ID konnte es dazu
              kommen, dass bei Ereignissen von Drittanbietern die angezeigte
              ID bzw. der Text nicht dem des Ereignisses entsprach.

              Die Laufwerksliste zeigte keine Laufwerke an, wenn die Richtlinie
              mit DOC Companion geöffnet wird.

              Eine temporäre Freigabe mittels Challenge/Response über das
EI-1525       DOC mit schwachen Codes zeigte keine Fehlermeldungen an,
              wenn das Kennwort oder der Response Code falsch war.

   Referenz               DriveLock Pre-Boot-Authentifizierung

              Die Information darüber, dass eine zuvor deaktivierte PBA wie-
EI-2118
              der aktiv ist, wurde wiederholt angezeigt.

                                  23
3 Release Notes 2022.2

   Referenz              DriveLock Pre-Boot-Authentifizierung

              Das Problem des fehlenden Single-Sign On beim ersten Start
              nach dem Update der DriveLock PBA ist behoben.

   Referenz                           DriveLock Tools

              Der DriveLock Support Companion stürzt beim Einsammeln der
EI-1985
              Systeminformationen auf Windows XP nicht mehr ab.

              Der DOC-Companion unterstützt jetzt Wildcards für Proxy-
EI-1975
              Bypass-Listen.

   Referenz                           Encryption 2-Go

              Laufwerks-Regeln in der DMC: Wenn man die erzwungene Ver-
              schlüsselung aktivierte und den Dialog schloss, ohne vorher
EI-2074
              noch auf den Reiter Zugriffsrechte zu wechseln, wurden invalide
              Werte für die Regel abgespeichert.

   Referenz                              Ereignisse

              Bei Ereignissen von Drittanbietern wird der Benutzer jetzt ange-
              zeigt.

EI-2093       Bei einigen Remote-Control-Ereignissen fehlten Parameter.

EI-1986       Das Ereignis 443 zeigt jetzt sowohl die ID als auch den Namen

                                 24
3 Release Notes 2022.2

   Referenz                                Ereignisse

               der Komponenten.

   Referenz                              File Protection

               Die File Protection-Entschlüsselung funktionierte nicht immer
               auf Netzwerkfreigaben, wenn der Ordner gemountet war und
               der verschlüsselte Ordner sich direkt in der Freigabe befand.

               Es war in der DMC nicht möglich, einen AD-Benutzer aus einer
EI-2086        anderen vertrauenswürdige Domäne zu importieren (für
               DriveLock File Protection\Benutzer und Gruppen).

                                         Lizensierung

              Es wurde ein falsches Enddatum des Abonnements angezeigt,
EI-2018
              wenn keine Device Control-Lizenz vorhanden war.

              Wenn nach einem Update eine alte Richtlinie geöffnet und der
              Lizenz-Reaktivierungsassistent abgebrochen wurde, wurde die
EI-2046       Lizenz aus der Richtlinie entfernt. Dies führt ggf. zu unerwartetem
              Systemverhalten. Es kommt daher jetzt beim Abbrechen des Assis-
              tenten eine entsprechende Warnmeldung.

   Referenz                              Protokollierung

EI-2078        Die Einstellungen für die sehr ausführliche Protokollierung wur-

                                    25
3 Release Notes 2022.2

   Referenz                             Protokollierung

              den nicht korrekt entfernt.

              Die Protokollierung in der DMC wird nun während der Instal-
EI-2049
              lation aktiviert.

   Referenz                        System Management

              Nach dem Setzen der Remote-Ports einer Firewall-Regel wurden
              diese zwar korrekt in der Richtlinie abgespeichert. Nach dem
EI-2021
              neu Öffnen des Eigenschaften-Dialogs der Regel sah es aber so
              aus, als wären die Ports nicht gespeichert worden.

              Die Komponenten "Energieverwaltung" sowie "Lokale Benutzer
EI-1986       und Gruppen" können jetzt unter Windows XP geladen werden
              und produzieren keine Ereignisse mit der ID 443.

   Referenz                            Terminal Services

              Tragbare Mediengeräte (z. B. Kameras, Mediaplayer) werden jetzt
EI-1497       in Terminaldienstumgebungen verwaltet, wenn sie über eine Ter-
              minalsitzung (im ICA- oder RDP-Protokoll) angeschlossen sind.

              Es war nicht möglich, verschlüsselte Container unter demselben
              Laufwerksbuchstaben in zwei verschiedenen Citrix-Ter-
EI-1915
              minalsitzungen zu mounten, wenn USB-Sticks mit dem gene-
              rischen Kanal verbunden waren.

                                  26
4 Systemvoraussetzungen

4 Systemvoraussetzungen
Die in diesem Abschnitt genannten Werte stellen Empfehlungen und Min-
destanforderungen dar. Je nach Konfiguration von DriveLock, der verwendeten Kom-
ponenten und Funktionen sowie Ihrer Systemumgebungen können die tatsächlichen
Voraussetzungen davon abweichen.

4.1 DriveLock Agent
Der DriveLock Agent kann auf verschiedenen Versionen von Windows, Linux und MacOS
installiert werden.

   Betriebssystem                                 Versionen

 Windows 11            Ab 21H2, nur Editionen Pro / Enterprise

 Windows 10            Ab 20H2, nur Editionen Pro / Enterprise

 Windows 10 LTSC       alle LTSC-Versionen bis Ablauf des jeweiligen Extended Support

 Windows Server        2016, 2019, 2022

                       Windows 7 SP1 Enterprise / Ultimate mit Extended Support.

 Windows 7                  Hinweis: Ab einem bestimmten Zeitpunkt nach Ver-
                            öffentlichung der Version 2022.2 wird bei War-
                            tungsverlängerung oder Neukauf eine zusätzliche Legacy
                            Support Lizenz für den Betrieb auf Windows 7 Systemen
                            benötigt.

                       Windows XP SP3, zusätzliche Legacy Support Lizenz von
                       DriveLock notwendig.
 Windows XP

                            Hinweis: Version 2022.2 ist die letzte DriveLock Version,
                            die das Betriebssystem Windows XP unterstützt.

 Linux                 CentOS 8, Debian 11, Fedora 34, IGEL OS 11.05, Red Hat Enter-

                                           27
4 Systemvoraussetzungen

  Betriebssystem                                    Versionen

                         prise Linux 5, Suse 15.3, Ubuntu 20.04 oder neuere Versionen

                         Catalina, Big Sur, Monterey und Ventura – sowohl Intel- als auch
 macOS
                         ARM-Architektur

Der Windows DriveLock Agent ist grundsätzlich verfügbar für AMD-/Intel X86-basierte Sys-
teme (32-Bit und 64-Bit Architektur). Für den Einsatz des DriveLock Agenten wird ein 64-Bit
System empfohlen. Server-Betriebssysteme werden ausschließlich unter 64-Bit unterstützt.
Einschränkungen der einzelnen Funktionen sind weiter unten beschrieben.

     Achtung: Beachten Sie, dass .NET Framework 4.7.2 für den DriveLock Agenten auf
     allen Windows-Betriebssystemen benötigt wird.

                                            28
4 Systemvoraussetzungen

Folgende Tabelle bietet Ihnen einen Überblick über den Funktionsumfang, der auf einem
bestimmten Betriebssystem verfügbar ist.

   l    Vollständiger Funktionsumfang: (ü)
   l    Reduzierter Funktionsumfang: (i)
   l    Keine Unterstützung: (S)

       Feature                           Betriebssystem / Funktionen

                       Win-         Win-
                                                   Win-      Win-                     Mac
                     dows 10       dows                                  Linux
                                                  dows 7   dows XP                     OS
                       / 11        Server

       Device
                        ü            ü              i         i            i           i
       Control

  Application
                        ü            ü              ü         i            i           S
       Control

  Encryption
                        ü            ü              ü         ü            i           i
        2-Go

   BitLocker
                        ü            ü              i         S            S           S
        To Go

   BitLocker
        Mana-           ü            ü              i         S            S           S
       gement

       Security
  Awareness
         Mul-           ü            ü              ü         S            S           S
       timedia-
  Kampagnen

                                             29
4 Systemvoraussetzungen

    Feature                             Betriebssystem / Funktionen

   Defender
     Mana-            ü             ü            S             S           S           S
    gement

      Vul-
   nerability
                      ü             ü            ü             S           S           S
     Mana-
    gement

    Security
      Con-
   figuration         ü             ü            ü             S           S           S
     Mana-
    gement

      Disk
                     ü(*)           S            S             S           S           S
   Protection

      File
                      ü             ü            i             S           S           S
   Protection

(*): Disk Protection ist auf Windows 10 und neuer nur noch für UEFI-Systeme freigegeben,
die BIOS-Unterstützung ist abgekündigt.

     Hinweis: Security Awareness: Bitte beachten Sie, dass ab Version 22.1 Content-
     AddOn-Pakete nur dann korrekt angezeigt werden können, wenn auf den Agenten
     Microsoft Edge WebView2 installiert ist . Folgen Sie bitte dem Download-Link: htt-
     ps://developer.microsoft.com/en-us/microsoft-edge/webview2/#download-
     section. Bei Windows 11 ist Microsoft Edge WebView2 bereits automatisch instal-
     liert.

                                            30
4 Systemvoraussetzungen

Details zu Einschränkungen für Betriebssysteme, bei denen nur ein Teil der DriveLock
Features genutzt werden kann:
  1. Einschränkungen Windows Server
        l   Die DriveLock Pre-Boot Authentifizierung steht für Server-Betriebssysteme nicht
            zur Verfügung.
        l   Einstellungen für den Microsoft Defender können erst ab Windows Server 2016
            verwendet werden.

  2. Einschränkungen Windows 7
     Stellen Sie sicher, dass der letzte verfügbare Patch-Stand auf dem Windows 7 Client
     installiert ist.
         l Generell:

                l Nach einem Update, einer Installation oder Deinstallation des DriveLock

                   Agenten unter Windows 7 x64 stürzt der Explorer (explorer.exe) mög-
                   licherweise ab. Dies tritt nur dann auf, wenn die Windows-Ein-
                   gabeaufforderung mit Admin-Rechten geöffnet und das System seit dem
                   Update/Installation/Deinstallation des Agenten nicht neu gestartet wurde.
               l   KB3140245 muss auf Windows 7 installiert sein
                   Weitere Informationen dazu finden Sie hier und hier.
                   Ohne dieses Update kann WinHTTP keine TLS Einstellungen ändern und
                   der Fehler 12175 erscheint in dlwsconsumer.log und DLUpdSvx.log.
               l   KB3033929 (SHA-2 code signing support) muss auf Windows 7 64-bit
                   installiert sein.
               l   DriveLock Service ergänzt fehlende Registry-Werte für TLS 1.2 Ver-
                   bindungen auf Computern mit Windows 7.
                   Folgende Registry-Werte sind neben dem KB3140245 die Voraussetzung
                   für die Kommunikation mit dem DES:
                       l [HKEY_LOCAL_MACHINE\SYSTEM\Cur-

                           rentCon-
                           trolSet\Con-
                           trol\SecurityProviders\SCHANNEL\Protocols\TLS
                           1.2\Client]"Enabled"=dword:00000001

                       l   [HKEY_LOCAL_MACHINE\SYSTEM\Cur-
                           rentCon-

                                              31
4 Systemvoraussetzungen

                  trolSet\Con-
                  trol\SecurityProviders\SCHANNEL\Protocols\TLS
                  1.2\Server]"Enabled"=dword:00000001

              l   [HKEY_LOCAL_MACHINE\SOFTWARE\Mi-
                  cro-
                  soft\Win-
                  dows\CurrentVersion\InternetSettings\WinHttp]
                  "DefaultSecureProtocols"=dword:00000800

                      Hinweis: Falls der Wert DefaultSecureProtocols schon
                      existiert, addieren Sie den Wert 0x00000800 für TLS 1.2
                      hinzu.

l   BitLocker Management:
       l   Nur für Windows 7 SP1 Enterprise und Ultimate verfügbar, 64-Bit - TPM-
           Chip ist erforderlich
       l   BitLocker verschlüsselt unter Windows 7 nicht, wenn die Optionen "wenn
           der Bildschirmschoner konfiguriert und aktiv ist" und "wenn keine Anwen-
           dung im Vollbildmodus ausgeführt wird" aktiviert sind.
l   BitLocker To Go:
        l Nur für Windows 7 SP1 Enterprise und Ultimate verfügbar

l   Device Control:
       l Die Bluetooth-Optionen in den Sperreinstellungen für Geräte können

           unter Windows 7 nicht verwendet werden.
l   File Protection:
        l Unter Windows 7 steht für das neue Verschlüsselungsformat nur die ein-

           geschränkte Funktionalität und für das alte Verschlüsselungsformat nur
           der bisherige Legacy Treiber nur zur Verfügung. Das passende Ver-
           schlüsselungsformat wird automatisch ausgewählt.
l   Security Awareness Multimedia-Kampagnen:
       l Um auch Security Awareness Multimedia-Kampagnen anzeigen zu kön-

           nen, wird eine lokale Installation von WebView2 für Windows 7 benötigt.
           Weitere Informationen dazu sind hier zu finden: htt-
           ps://docs.microsoft.com/en-us/microsoft-edge/webview2/

                                      32
4 Systemvoraussetzungen

3. Einschränkungen Windows XP

         Hinweis: DriveLock 2022.2 ist die letzte Agenten-Version, die Windows XP
         unterstützt. Zukünftige DriveLock Versionen können nicht mehr auf Windows
         XP installiert werden.

     l   Device Control:
         Nur digitale Kameras funktionieren (unter XP sind UMDF- und WPD-Fra-
         meworks vorhanden), die Bluetooth-Funktionalität ist nicht verfügbar
     l   Application Control:
         Application Behavior Control: Registry Check funktioniert nicht, Regeln mit die-
         ser Konfiguration werden ignoriert

4. Einschränkungen macOS
     l   Device Control:
         In dieser Version können nur USB-angeschlossene Laufwerke, die aufgrund ihrer
         Hardware ID identifiziert werden, blockiert oder zugelassen werden.
         Zusätzlich sind derzeit folgende Einschränkungen zu berücksichtigen:
            l Eigene Regeltypen für Whitelisting müssen konfiguriert werden (Hardware

                ID statt Product ID/Vendor)
            l   Keine Freigabe für bestimmte Benutzer oder Benutzergruppen
            l   Kein Dateifilter und Auditing
            l   Keine erzwungene Verschlüsselung
            l   Keine Freigabe von bereits mit Encryption 2-Go verschlüsselten Lauf-
                werken
            l   Keine Self-Service Funktionalität
     l   Encryption 2-Go:
            l Für macOS steht wie bisher für die Entschlüsselung von externen USB-Lauf-

                werken die Mobile Encryption Application (MEA) zur Verfügung.
            l   Der macOS-Agent ist noch nicht in der Lage, Laufwerke mit einem Encryp-
                tion 2-Go Container automatisch zu entschlüsseln.

         Weitere Informationen zum macOS-Agent entnehmen Sie bitte der separat ver-
         fügbaren macOS-Dokumentation auf DriveLock Online Help.

                                              33
4 Systemvoraussetzungen

5. Einschränkungen Linux
     l    Device Control:
             l Eigene Regeltypen für Whitelisting müssen konfiguriert werden (Hardware

                 ID statt Product ID/Vendor)
             l   Keine Freigabe für bestimmte Benutzer oder Benutzergruppen
             l   Kein Dateifilter und Auditing
             l   Keine erzwungene Verschlüsselung
     l    Application Control:
            l DriveLock Application Control benötigt für den Einsatz auf Linux-Agenten

                 Linux Kernel Version > 5.
             l   Application Control kann nicht zusammen mit IGEL OS verwendet werden.
             l   Keine der Application Behavior Control Funktionen stehen unter Linux zur
                 Verfügung.
     l    Encryption 2-Go:
             l Container bzw. verschlüsselte USB-Laufwerke können nicht erstellt, son-

                 dern nur verbunden werden.

  Weitere Informationen zum Linux Client und den Limitierungen der Funktionalität ent-
  nehmen Sie bitte der separat verfügbaren Linux-Dokumentation auf DriveLock Online
  Help.

6. Einschränkungen für Terminal Server Umgebungen und Thin-Clients
     l    Der DriveLock Agent benötigt folgende Systemvoraussetzungen, damit die
          DriveLock Device Control Funktionalität grundsätzlich genutzt werden kann:
             l XenApp 7.15 oder neuer (ICA).

             l   Windows Server 2016 oder neuer (RDP).
     l    Das Anlegen von durch DriveLock File Protection verschlüsselten Ordnern auf
          dem Terminal Service ist nicht unterstützt.
     l    Security Awareness Kampagnen für Benutzer bei der Anmeldung und bei ICA-
          Laufwerksverbindungen stehen bei der Verwendung von Thin-Clients ohne
          installiertem DriveLock Agenten nicht zur Verfügung.

                                               34
4 Systemvoraussetzungen

4.2 DriveLock Management Konsole (DMC)
Bevor Sie die DriveLock Management Konsole installieren, stellen Sie bitte sicher, dass der
Computer für eine vollständige Funktionalität diese Voraussetzungen erfüllt.

Hauptspeicher:

    l   mind. 4 GB RAM

Freier Festplattenspeicherplatz:

    l   ca. 350 MB

Benötigte zusätzliche Windowskomponenten:

    l   .NET Framework 4.8 oder höher

Unterstützte Plattformen:
Die Management Konsole 2022.2 SP1 wurde getestet und freigegeben auf den aktuellsten
Ständen der Windows Versionen, die zum Zeitpunkt des Release offiziell verfügbar waren
und die bei Microsoft das Ende des Service-Zeitraumes noch nicht erreicht haben. Im Kapi-
tel DriveLock Agent finden Sie eine Auflistung der Windows Versionen, die DriveLock unter-
stützt.

        Achtung: Die DriveLock Management Console steht nur als 64-bit Anwendung zur
        Verfügung.

4.3 DriveLock Enterprise Service
Bevor Sie den DriveLock Enterprise Service auf einem Rechner installieren, stellen Sie bitte
sicher, dass der Computer für eine vollständige Funktionalität diese Voraussetzungen
erfüllt.

Hauptspeicher / CPU:

    l   mind. 8 GB RAM, CPU x64 mit 2,0GHz und EM64T (Extended Memory Support)

Freier Festplattenspeicherplatz:

    l   mind. 4 GB, bei der Verwendung von Security Awareness Content (Video) wird ein
        freier Speicher von mind. 15 GB empfohlen.
    l   Soll auf dem Server gleichzeitig noch eine SQL-Datenbank betrieben werden, sind
        zusätzlich zu der dafür notwendigen Festplattenkapazität auch noch mind. 10 GB für
        die Speicherung der DriveLock Daten vorzusehen.

Benötigte zusätzliche Windowskomponenten:

                                              35
4 Systemvoraussetzungen

   l   .NET Framework 4.8 oder höher ist Voraussetzung für die Installation!

       Hinweis: Die Größe der DriveLock Datenbank wird maßgeblich von der Anzahl und
       dem Zeitraum der gespeicherten DriveLock Events beeinflusst und kann je nach Sys-
       temumgebung stark variieren. Eine genaue Vorgabe ist daher an dieser Stelle nicht
       möglich. Genaue Werte sollten in einer Teststellung mit den geplanten Ein-
       stellungen über einen Zeitraum von mindestens einigen Tagen ermittelt werden.
       Diese können dann als Grundlage für die Berechnung der benötigten Spei-
       cherkapazität dienen.

Benötigte DriveLock API Services Ports (DOC/MQTT):

   l   5370, 6369 und 4369: Diese drei Ports sollten nicht durch andere Server-Dienste
       belegt werden, sie müssen jedoch nicht von außen erreichbar sein (nur intern)
   l   8883: Die Agenten verbinden sich auf diesen Port mit dem DES, um per Agen-
       tenfernsteuerung erreichbar zu sein. Die Freigabe in der lokalen Firewall des Rechners
       erfolgt automatisch durch das DES-Installationsprogramm.

Unterstützte Plattformen:
   l   Windows Server 2012 R2 64-Bit (Mindestvoraussetzung für das DriveLock Operations
       Center)

            Hinweis: Windows Server 2012 R2 erfordert eine Installation von SQL Express
            2017, bevor DriveLock Version 2020.1 erfolgreich installiert werden kann.

            Hinweis: Diese Version 2022.2 ist die letzte Version, die eine Installation auf
            dem Betriebssystem Windows Server 2012 R2 unterstützt.

   l   Windows Server 2016 64-Bit
   l   Windows Server 2019 64-Bit
   l   Windows Server 2022 64-Bit

Auf einem Windows 10 Client Betriebssystem sollte ein DES nur als Testinstallation betrie-
ben werden.

       Achtung: Der DES steht ausschließlich als 64-bit Anwendung zur Verfügung.

                                               36
4 Systemvoraussetzungen

Unterstützte Datenbanken:
   l   SQL-Server 2014 (Mindestvoraussetzung für das DriveLock Operations Center) oder
       neuer.
       Diese Version 2022.2 ist die letzte Version, die SQL-Server 2014 unterstützt.
   l   SQL-Server Express 2017 oder neuer (für Installationen mit bis zu 200 Clients und Tes-
       tinstallationen)

       Achtung: Der DES benötigt den Microsoft SQL-Server 2012 Native Client Ver-
       sion 11.4.7001.0. Ist diese Komponente noch nicht installiert, geschieht dies auto-
       matisch vor der eigentlichen Installation des DES. Wenn eine ältere Version bereits
       installiert ist, wird diese automatisch aktualisiert.

       Hinweis: Bitte entnehmen Sie die Systemvoraussetzungen für die Installation der
       SQL-Datenbank bzw. von SQL-Express der entsprechenden Microsoft Doku-
       mentation.

       Achtung: Für die Datenbankverbindung zwischen dem DriveLock Operations Center
       und der Datenbank wird eine TCP/IP Verbindung benötigt.

4.4 DriveLock Operations Center (DOC)
Seit der Version 2021.2 wird kein MSI-Installationsprogramm für eine lokale Installation des
DriveLock Operations Center (DOC.exe) mehr ausgeliefert. Alle Funktionen, die zusätzlich
zur Webanwendung in der DOC.exe zur Verfügung standen, wurden auf andere Weise in
unsere DOC-Plattform integriert (DOC Companion). Somit entfällt die Notwendigkeit einer
zusätzlichen Applikation.

       Hinweis: Das web-basierte DriveLock Operations Center ist in der Installation des
       DES enthalten und keine eigenständige Komponente. Es wird über einen Browser
       aufgerufen.

Das DriveLock Operations Center ist nur für AMD / Intel X86 basierte 64-Bit Systeme ver-
fügbar.

Bitte beachten Sie auch folgende Hinweise.

                                              37
5 Update von DriveLock

5 Update von DriveLock
Wenn Sie auf neuere Versionen von DriveLock aktualisieren, beachten Sie bitte folgende
Informationen.

5.1 Update des DriveLock Agenten
Beachten Sie bitte folgendes, wenn Sie den DriveLock Agenten auf eine neuere Ver-
sion aktualisieren:
  1. Vor dem DriveLock Agent-Update:
        l Prüfen Sie, ob der DriveLock Update Service dlupdate auf dem System vor-

            handen ist und entfernen Sie diesen gegebenenfalls.
        l   Wenn Sie den Agenten mit Hilfe des Autoupdate-Mechanismus von DriveLock
            aktualisieren, setzen Sie in der DriveLock Richtlinie die Einstellungen für die
            Automatische Aktualisierung folgendermaßen:
                 l   Wählen Sie die Option Zur Aktualisierung des Agenten neu starten aus
                     und setzen den Wert für eine Verzögerung durch einen Benutzer auf 0, um
                     die Zeit zu einem Neustart des Rechners möglichst kurz zu halten.
        l   Setzen Sie außerdem folgende Einstellungen:
               l DriveLock-Agentendienste im Nicht-beenden-Modus starten: Deak-

                     tiviert
                 l   Kennwort zum Deinstallieren von DriveLock: Nicht konfiguriert
        l   Wenn Sie eine Festplattenverschlüsselung im Einsatz haben, muss die Ver-
            zögerung für eine mögliche Deinstallation in den Verschlüsselungseinstellungen
            auf mindestens 5 Tage gesetzt werden.
        l   Bei der Verwendung von BitLocker Management muss vor der Aktualisierung fol-
            gendes beachtet werden:
            Details finden Sie in der BitLocker Management Dokumentation auf DriveLock
            Online Help
            Die Einstellung für die Verschlüsselung Keine Entschlüsselung durchführen
            verhindert eine mögliche Änderung des Verschlüsselungsstatus der DriveLock
            Agenten. Vor der Aktualisierung ist es daher notwendig, dass diese Option in
            der aktuellen Verschlüsselungsrichtlinie aktiviert und die Richtlinie im Anschluss
            gespeichert und veröffentlicht wird.
        l   Bei der Verwendung von Disk Protection muss vor der Aktualisierung folgendes
            beachtet werden:

                                                38
5 Update von DriveLock

            Bei einem Update werden Agenten mit BIOS-Systemen, die Disk Protection
            bereits installiert haben, nicht mehr aktualisiert und bleiben auf dem jeweiligen
            Stand, bis die Disk Protection deinstalliert wurde.

  2. Während des DriveLock Agent-Updates:
       l Führen Sie die Aktualisierung mit einem privilegierten Administrator-Konto

            durch. Das ist beim Autoupdate bereits automatisch der Fall.

  3. Nach dem DriveLock Agent-Update:
        l Zur Aktualisierung der Treiberkomponenten ist ein Neustart nach dem

            DriveLock Agent-Update erforderlich. Fügen Sie diesen Schritt bei einer Aktua-
            lisierung durch eine Softwareverteilung in den Update-Ablauf ein bzw. starten
            Sie den aktualisierten Rechner manuell neu.
5.2 Update des DriveLock Enterprise Service (DES)
Beim Update des DES von Version 2021.1 auf höhere Versionen ist folgendes zu beachten:

Um die Aktualisierung erfolgreich durchführen zu können, benötigen Sie eine gültige Lizenz
inklusive Wartung. Diese muss in Ihrem aktuell laufenden System in der Datenbank des DES
gespeichert sein oder über die DMC erneuert und hochgeladen werden, bevor die Aktua-
lisierung gestartet wird.

5.3 Update der DriveLock Komponenten
Das DriveLock Installationshandbuch beschreibt alle notwendigen Schritte, die bei einem
Update auf die aktuellste Version durchzuführen sind. Die Release Notes enthalten zusätz-
lich besonders wichtige Punkte, die Sie bei einer Aktualisierung beachten sollten.

     Achtung: Das bestehende selbst-signierte DES-Zertifikat kann bei einem Update
     von Version 7.x auf 2019.1 oder höher nicht mehr verwendet werden und wird
     durch ein neu erzeugtes Zertifikat ersetzt. Dieses kann dann automatisch als selbst-
     signiertes Zertifikat erstellt und im Zertifikatsspeicher des Computers gespeichert
     werden. Bei einem Update von 2019.1 oder höher auf neuere Versionen können Sie
     das selbst-signierte DES-Zertifikat hingegen weiter verwenden.

Update der DriveLock Management Konsole (DMC)
Bei einem Update von DriveLock Version 7.7.x auf höhere Versionen muss folgender Wor-
karound durchgeführt werden, um die DMC zu aktualisieren: Benennen Sie die DLF-
deRecovery.dll um und installieren Sie dann die DMC neu.

                                              39
5 Update von DriveLock

Update der DriveLock Datenbank
Bei einer Aktualisierung von Version 2020.1 oder älter auf neuere Versionen werden die bei-
den DriveLock-Datenbanken zusammengeführt. In diesem Fall ist ein zusätzlicher Migra-
tionsschritt nötig. Weitere Informationen finden Sie in dem Technischen Artikel TA-
Datenbankmigration auf DriveLock Online Help - Technical Articles.

Update von Disk Protection
Nach dem Update des DriveLock Agenten wird eine ggf. vorhandene FDE Installation ohne
Neuverschlüsselung automatisch auf die neueste Version aktualisiert. Nach dem Update der
FDE muss ggf. ein Neustart erfolgen.

Wir haben weitere Informationen, die für ein Update der DriveLock Disk Protection bzw. ein
Update des Betriebssystems bei einer installierten DriveLock Disk Protection wichtig sind, in
dem Dokument TA - Windows 10 Upgrade with Drivelock Disk Protection für Sie zusam-
mengestellt, ebenfalls auf DriveLock Online Help - Technical Articles.

Update von File Protection auf Version 2022.2
Für die Dateiverschlüsselung wurde ein neues Verschlüsselungsformat eingeführt. Dieses
neue Format wird jetzt standardmäßig auf neue DriveLock Agenten angewendet. Bei
Bestandsagenten wird das alte Format beibehalten. Das Format wird mit der neuen File Pro-
tection-Einstellung Verwendete Verschlüsselungsformate geregelt. Sie können bei Bedarf
ein bestimmtes Verschlüsselungsformat explizit festlegen.

       Hinweis: Neues und altes Verschlüsselungsformat sind nicht kompatibel und müs-
       sen in separaten Richtlinien abgebildet werden. Weitere Informationen finden Sie
       im Kapitel File Protection in der Encryption-Dokumentation auf DriveLock Online
       Help.

   l   DFS-Unterstützung
          l   Die Verschlüsselungsformate Altes Format und Altes Format (alter Treiber)
              unterstützen DFS nicht.

                   Achtung: Wenn Sie bisher eine Version älter als 2021.2 verwendet
                   haben, stellen Sie vor dem Update auf Version 2022.2 sicher, dass keine
                   verschlüsselten Ordner auf DFS-Netzlaufwerken vorhanden sind.

          l   DFS-Freigaben werden mit der Option Neues Format unterstützt, auch wenn
              sie nicht nur den primären Server verwenden. Getestet wurde dies auf Windows

                                              40
5 Update von DriveLock

           Server 2022 und Windows Server 2019.

5.4 Manuelle Updates
Ein manuelles Update des Agenten schlägt fehl, sofern DriveLock Agent.msi aus dem
Windows Explorer (z.B. per Doppelklick) und ohne Berechtigungen eines lokalen Admi-
nistrators gestartet wurde. Starten Sie in diesem Fall das MSI-Paket aus einem admi-
nistrativen Befehlsfenster per msiexec oder nutzen Sie DLSetup.exe.

Update von älteren auf neuere DriveLock Versionen
Wird ein Client-Update manuell über das Starten von msiexec oder DLSetup.exe durch-
geführt, kann es vorkommen, dass sich der Windows Explorer nicht korrekt beendet. In der
Folge verschwindet die Benutzeroberfläche von Windows (schwarzer Bildschirm) und wird
auch nach dem Agent-Update nicht neu gestartet. In diesem Fall muss über den Task-Mana-
ger der Explorer manuell gestartet werden bzw. ein Reboot initiiert werden. Dies betrifft vor
allem Kunden, die Clientmanagement-Software verwenden, die möglicherweise die
msiexec in einer Benutzer-Session ausführen. Das Problem lässt sich dadurch beheben,
dass man dem msiexec-Aufruf folgende Parameter mitgibt:

   l   MSIRESTARTMANAGERCONTROL=Disable

   l   MSIRMSHUTDOWN=2

                                             41
6 Bekannte Einschränkungen

6 Bekannte Einschränkungen
Dieses Kapitel enthält bekannte Einschränkungen der vorliegenden DriveLock-Version. Bitte
lesen Sie diese Informationen sorgfältig, um unnötigen Test- und Supportaufwand zu ver-
meiden.

6.1 BitLocker Management
Unterstützte Editionen und Versionen
DriveLock BitLocker Management wird auf folgenden Systemen unterstützt:

   l   Windows 7 SP1 Enterprise und Ultimate, 64-Bit, TPM-Chip ist erforderlich
   l   Windows 8.1 Pro und Enterprise, 32/64-Bit
   l   Windows 10 Pro und Enterprise, 32/64-Bit

Vorhandene BitLocker Umgebung

       Hinweis: Möchten Sie eine bereits vorhandenen Systemumgebung verwalten, die
       bereits mit BitLocker verschlüsselte Computer enthält, müssen diese seit Version
       2019.1 nicht mehr zuvor über die vorhandene BitLocker Verwaltung bzw. die Grup-
       penrichtlinien entschlüsselt werden. DriveLock erkennt die BitLocker Ver-
       schlüsselung automatisch und erzeugt neue Wiederherstellungsinformationen. Eine
       automatische Ent- und Verschlüsselung wird nur dann durchgeführt, wenn der in
       der DriveLock Richtlinie konfigurierte Verschlüsselungsalgorithmus sich vom der-
       zeitigen Algorithmus unterscheidet.

Anschließend ist eine Verwaltung durch DriveLock BitLocker Management möglich und eine
sichere Speicherung und Verwendung der Wiederherstellungsinformationen gewährleistet.

Verwendung von Kennwörtern
DriveLock BitLocker Management vereinfacht die missverständliche Unterscheidung zwi-
schen PINs, Passphrases und Kennwörtern, indem nur noch der Begriff "Kennwort" ver-
wendet wird. Gleichzeitig wird ein solches Kennwort automatisch im richtigen BitLocker
Format benutzt, entweder als PIN oder als Passphrase.

Da Microsoft jedoch unterschiedliche Anforderungen an die Komplexität von PIN und Pass-
phrase stellt, gelten für das Kennwort folgende Einschränkungen:

   l   Mindestlänge: 8 Zeichen. In bestimmten Fällen sind auch 6 Zeichen (Zahlen) möglich,
       mehr hierzu in der aktuellen BitLocker Management Dokumentation auf DriveLock
       Online Help.
   l   Maximale Länge: 20 Zeichen

                                             42
Sie können auch lesen