DRIVELOCK RELEASE NOTES - RELEASE NOTES 2022.2 SP1 DRIVELOCK SE 2023 - UBM GLOBAL
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
DriveLock Release Notes Release Notes 2022.2 SP1 DriveLock SE 2023
Inhaltsverzeichnis
1 KONVENTIONEN 4
2 INFORMATIONEN ZU 2022.2 SP1 5
3 RELEASE NOTES 2022.2 6
3.1 Service Pack-Version SP1 (Build 22.2.5) 6
3.1.1 Neuerungen und Änderungen 6
3.1.2 Fehlerbehebungen 2022.2 SP1 6
3.2 Hotfix-Version HF1 9
3.2.1 Neuerungen und Änderungen 9
3.2.2 Fehlerbehebungen 2022.2 HF1 10
3.3 Hauptversion 12
3.3.1 Neuerungen und Änderungen 12
3.3.2 Fehlerbehebungen 2022.2 18
4 SYSTEMVORAUSSETZUNGEN 27
4.1 DriveLock Agent 27
4.2 DriveLock Management Konsole (DMC) 35
4.3 DriveLock Enterprise Service 35
4.4 DriveLock Operations Center (DOC) 37
5 UPDATE VON DRIVELOCK 38
5.1 Update des DriveLock Agenten 38
5.2 Update des DriveLock Enterprise Service (DES) 39
5.3 Update der DriveLock Komponenten 39
5.4 Manuelle Updates 41
6 BEKANNTE EINSCHRÄNKUNGEN 42
6.1 BitLocker Management 42
6.2 Defender Management 43
6.3 Disk Protection 43
26.4 Bekannte Einschränkungen des Agenten 46
6.5 DriveLock Device Control 46
6.6 DriveLock Enterprise Service (DES) 48
6.7 DriveLock File Protection 48
6.8 DriveLock, iOS und iTunes 49
6.9 DriveLock Management Konsole (DMC) 50
6.10 DriveLock Mobile Encryption 50
6.11 DriveLock Operations Center (DOC) 51
6.12 DriveLock Pre-Boot-Authentifizierung 52
6.13 DriveLock in verschiedenen Umgebungen 53
6.14 Self Service Freigabe 53
6.15 DriveLock und Thin Clients 53
6.16 Verschlüsselung 54
7 END-OF-LIFE-ANKÜNDIGUNGEN 55
8 DRIVELOCK DOKUMENTATION 57
9 TESTINSTALLATION VON DRIVELOCK 60
COPYRIGHT 61
31 Konventionen
1 Konventionen
In dieser Dokumentation werden durchgängig folgende Konventionen und Symbole ver-
wendet, um wichtige Aspekte hervorzuheben oder Objekte zu visualisieren.
Achtung: Roter Text weist auf Risiken hin, die beispielsweise zu Datenverlust führen
können
Hinweis: Hinweise und Tipps enthalten nützliche Zusatzinformationen.
Menüeinträge oder die Namen von Schaltflächen sind fett dargestellt.
Kursive Schrift repräsentiert Felder oder Titel von referenzierten Dokumenten.
Systemschrift stellt Nachrichten oder Befehle auf Basis der Kommandozeile dar.
Ein Pluszeichen zwischen zwei Tasten bedeutet, dass diese gleichzeitig gedrückt werden
müssen: „ALT + R“ beispielsweise signalisiert das Halten der ALT-Taste, während R gedrückt
wird. Ein Komma zwischen mehreren Tasten fordert ein Nacheinander-Drücken der jewei-
ligen Tasten. „ALT, R, U” bedeutet, dass zunächst die ALT-Taste, dann die R- und zuletzt die
U-Taste betätigt werden muss.
42 Informationen zu 2022.2 SP1
2 Informationen zu 2022.2 SP1
In den Release Notes finden Sie wichtige Informationen zu Neuerungen und Feh-
lerbehebungen im aktuellen Service Pack (SP1), sowie zu Neuerungen und Feh-
lerbehebungen im letzten Hotfix (HF1) und zu Neuerungen und Fehlerbehebungen in der
Hauptversion. Ebenfalls enthalten sind bekannte Einschränkungen sowie Ergänzungen zur
Dokumentation.
Die gesamte DriveLock Dokumentation, sowie Links zu den Release Notes der vergangenen
und noch unterstützten Versionen finden Sie auf DriveLock Online Help.
Hinweis: Beachten Sie bitte, dass es für Managed Security Service eine eigen-
ständige Dokumentation und Release Notes gibt, die Ihnen als Managed-Service-
Benutzer automatisch zur Verfügung gestellt werden.
53 Release Notes 2022.2
3 Release Notes 2022.2
Hier finden Sie alle Änderungen und Verbesserungen sowie Fehlerbehebungen in der aktu-
ellen DriveLock Version.
3.1 Service Pack-Version SP1 (Build 22.2.5)
3.1.1 Neuerungen und Änderungen
Das Service Pack 1 (SP1) der DriveLock Version 2022.2 umfasst die folgenden neuen Funk-
tionen:
BitLocker Management
l Zur Vermeidung unsicherer Kennwörter kann eine Textdatei mit auszuschließenden
Begriffen in der BitLocker Management-Richtlinie angegeben werden. Das Kennwort
wird abgelehnt, sobald ein Wort aus der Liste enthalten ist.
l Der DriveLock Agent wurde um einen Kommandozeilenparameter blun-
lockdatadrives erweitert, der das Entsperren von BitLocker-verschlüsselten Daten-
partitionen auch dann ermöglicht, wenn diese zu einem Datenträger gehören, der
ursprünglich in einem anderen Client-Computer eingebaut war. Für diesen Parameter
ist die Angabe eines zur Anmeldung am DES autorisierten Benutzers erforderlich.
BitLocker To Go
l Externe Medien (z.B. USB-Sticks), die ursprünglich nicht mit DriveLock BitLocker To Go
verschlüsselt worden sind, können jetzt von DriveLock übernommen und verwaltet
werden, ohne erneut verschlüsselt werden zu müssen.
DriveLock Operations Center (DOC): Ereignisse
l Im DOC können im Menü Ereignisse jetzt Benachrichtigungen konfiguriert werden.
Dazu werden Benachrichtigungsregeln erstellt, die definieren, welches Ereignis mit
welcher Aktion verknüpft ist. Derzeit ist als Aktion nur das serverseitige Senden per E-
Mail an einen oder mehrere Empfänger möglich.
Inventarisierung
l Die AD-Inventarisierung wird jetzt schneller durchgeführt. (Referenz EI-2364)
3.1.2 Fehlerbehebungen 2022.2 SP1
Hier finden Sie Informationen zu Fehlern, die mit DriveLock Version 2022.2 SP1 behoben
sind. Als Referenz dienen dabei unsere External Issues (EI) Nummern, sofern vorhanden.
63 Release Notes 2022.2
BitLocker Management
Bei der Übernahme eines bereits mit BitLocker verschlüsselten
Computers wurden in Einzelfällen mehr Protektoren als vor-
EI-2336 gesehen erzeugt. Der Kennwortdialog wurde dann wiederholt
angezeigt, ohne dass dabei das BitLocker-Kennwort gesetzt wer-
den konnte.
Wenn über die BitLocker-Verwaltung in Windows ein auto-
matisches Entsperren für mindestens eine Datenpartition ein-
gerichtet wurde, ist das Entschlüsseln des Systemlaufwerks nach
der Übernahme durch den DriveLock-Agent mit der Fehlernummer
0x80310029 fehlgeschlagen.
Die BitLocker-Wiederherstellungsinformationen wurden nur gesi-
chert, wenn die betreffende Datenpartition nicht gesperrt war. Der
Tausch des Wiederherstellungsschlüssels von gesperrten Par-
titionen wurde zwar erfolgreich durchgeführt, ein Hochladen des
Schlüssels war dagegen nur möglich, wenn die Partition entsperrt
war.
Bei Verwendung der BitLocker-PBA wurde der Wie-
derherstellungsschlüssel erst nach einem erneuten Start des
DriveLock-Agenten ausgetauscht, wenn dieser zuvor angefordert
wurde.
DriveLock Operations Center
Bei älteren DriveLock Agent-Versionen wurden die Richt-
EI-2368
liniennamen nicht korrekt aufgelöst.
73 Release Notes 2022.2
Encryption 2-Go
Die in der Encryption 2-Go-Lizenz enthaltene File Encryption-Funk-
tionalität funktionierte nicht, wenn eine vollständige File Encryp-
tion-Lizenz zwar vorhanden, aber dem DriveLock Agenten nicht
zugewiesen war.
Risk & Compliance (EDR)
Der Import der MITRE Attack Regeln hat nur dann funktioniert,
wenn sowohl Lizenzen für Risk & Compliance (EDR) als auch App-
EI-2435
lication Control verfügbar waren. Eine Application Control-Lizenz
wäre korrekterweise nicht nötig gewesen.
System Management (Firewall)
Ein Fehler wurde behoben, der beim Laden und Anwenden von
Richtlinien mit Firewall-Regeln auftrat, wenn diese in DriveLock
EI-2394
Versionen älter als 22.2 erstellt wurden und als Protokolltyp 'Alle'
hatten.
83 Release Notes 2022.2
3.2 Hotfix-Version HF1
3.2.1 Neuerungen und Änderungen
DriveLock Agent
l Während der DriveLock Dienst läuft, wird jetzt keine Wartung (Neuinstallation bzw.
Reparatur der Agenten-MSI) mehr durchgeführt.
Hintergrund: Um Wartungsarbeiten durchzuführen, darf kein DriveLock Dienst laufen.
Bisher wurde der Dienst daher immer gestoppt. Jetzt wird hingegen die Wartung
abgebrochen, wenn der DriveLock Dienst bereits laufen sollte. (Referenz: EI-2308)
DriveLock macOS Agent / DriveLock Operations Center
l Das Installationspaket für den DriveLock macOS Agenten kann jetzt direkt im Instal-
lationsbereich des DriveLock Operations Center (DOC) heruntergeladen werden.
93 Release Notes 2022.2
3.2.2 Fehlerbehebungen 2022.2 HF1
DriveLock 2022.2 HF1 ist ein Hotfix-Release.
Dieses Kapitel enthält Informationen zu Fehlern, die mit DriveLock Version 2022.2 HF1 beho-
ben sind. Als Referenz dienen dabei unsere External Issues (EI) Nummern, sofern vorhanden.
BitLocker Management
Ein Fehler bei der Darstellung der Bitlocker-Wie-
EI-2356
derherstellungsschlüssel im DOC wurde behoben.
Device Control
Ein Fehler beim Überprüfen der Datei wds-scan-report.xml
EI-1589
wurde behoben.
Referenz Disk Protection
Wenn Dateifiltertreiber von Drittanbietern mit der DriveLock
PBA oder Disk Protection installiert sind, wurde in einigen Fällen
das DriveLock EFS (embeded file system) nicht geprüft und repa-
riert (EFS Sanity).
Referenz DriveLock Agent
Nach dem Verbinden von Linux- und macOS-Agenten mit dem
EI-2310 DES wird der Status der Agenten vom DOC nun korrekt ange-
zeigt und nicht mehr als veraltet.
103 Release Notes 2022.2
Referenz File Protection
Neues Verschlüsselungsformat: Der Pfad zu einem ver-
schlüsselten Ordner darf jetzt diakritische Zeichen enthalten (z.B.
die Punkte bei Umlauten oder die französische oder spanische
Cedille).
Referenz Infrastruktur
Ein Fehler wurde behoben, der beim Anwenden der im Kon-
EI-2328 figurationsprofil definierten Proxy-Einstellungen für den Benut-
zer auftrat. Die Einstellungen werden jetzt richtig zurückgesetzt.
Referenz Lizenzen
Ein Fehler bei der Berechnung der Benutzerlizenzen wurde beho-
EI-2335
ben.
113 Release Notes 2022.2
3.3 Hauptversion
3.3.1 Neuerungen und Änderungen
Neue Funktionen
l USB-Laufwerkskontrolle für Mac Betriebssysteme
DriveLock erweitert seine unterstützten Betriebssysteme um die Plattform macOS.
Damit können extern angeschlossene USB-Laufwerke auch unter macOS Catalina, Big
Sur, Monterey und Ventura gezielt gesperrt oder freigegeben werden. Der DriveLock
Agent steht sowohl für Rechner mit Intel-Chip als auch für die ARM-Architektur von
Apple zur Verfügung.
Hinweis: Der macOS-Agent ist auf Anfrage verfügbar. Bitte wenden Sie sich an
Ihren DriveLock Vertriebspartner.
l Application Control im DOC
Anwendungen können jetzt mithilfe von Anwendungsregeln sehr viel einfacher aus
dem DOC heraus freigegeben werden. Auch die Inventar-Ansicht wurde erweitert,
wodurch jetzt leichter erkennbar ist, wann bestimmte Anwendungen beispielsweise
zum letzten Mal verwendet wurden und auf wie vielen Rechnern sie installiert sind.
l File Protection
DriveLock führt ein neues Verschlüsselungsformat für die File & Folder Encryption für
Betriebssysteme ab Windows 10 ein. Beachten Sie hierzu den Hinweis im Kapitel
Update der DriveLock Komponenten. Für Neukunden ist diese neue Verschlüsselung
der Standard. Kunden, die bereits verschlüsselte Verzeichnisse eingerichtet haben,
können jedoch mit dieser Version die bisherige Verschlüsselung weiterverwenden.
l Maskierung von personen- und computerbezogenen Daten (Daten-
maskierung/Pseudonymisierung)
Im DOC können ab sofort Computer- und Benutzernamen als wesentliche per-
sonenbezogene Datensätze so pseudonymisiert/maskiert werden, dass kein direkter
Rückschluss auf eine bestimmte Person bzw. deren Verhalten mehr möglich ist.
Die wichtigsten Funktionen sind:
l Aktivierung und Deaktivierung der Datenmaskierung für die Umgebung eines
Mandanten
l Konfiguration von Berechtigungen für die Veränderung von Einstellungen zur
Datenmaskierung
123 Release Notes 2022.2
l Konfiguration der berechtigten Personen, die Daten im Klartext sehen dürfen
l Konfiguration der berechtigten Personen, die einen Antrag zur Klartextanzeige
freigeben dürfen
l Anzeige im Klartext möglich aufgrund einer zugewiesenen Berechtigung, nach
einer Genehmigung der Anfrage durch einen weiteren DOC-Benutzer oder nach
der Eingabe eines speziellen Freigabecodes durch eine beliebige andere Person
l Auswahl von bestimmten Events, bei denen eine Maskierung nie oder immer
erfolgen soll
l Audit-Ereignisse
Spezielle Audit-Ereignisse weisen jetzt auf Änderungen hin, die sich auf die Sicherheit
der Umgebung auswirken bzw. auswirken könnten. Das DOC bietet einen zusätzlichen
Filter für Audit-Ereignisse, über den alle Änderungen von sicherheitsrelevanten Ein-
stellungen lückenlos nachvollzogen werden können.
133 Release Notes 2022.2
Verbesserungen
Agentenfernkontrolle
l Die Agentenfernkontrolle verwendet jetzt standardmäßig nur noch HTTPS.
Anonyme Daten
l Anonyme Daten / Datenmaskierung: Eine Maskierung von Computer- und Benut-
zernamen als wesentliches Merkmal personenbezogener Daten wurde in früheren Ver-
sionen durch eine Verschlüsselung von Ereignisinformationen vor der Übertragung an
den DriveLock Enterprise Service erreicht. Die verschlüsselten Datensätze konnten
danach im DriveLock Control Center nach dem Laden vom DES wieder entschlüsselt
werden, wenn die korrekten Zertifikate zur Verfügung standen. In Zukunft bietet
DriveLock diese Verschlüsselung von Ereignissen nicht mehr an, sondern integriert die
Datenmaskierung komplett in das DOC.
Datenbank
l Im Datenbank-Installationsassistenten kann jetzt optional eine Datenkonvertierung
nach einem Update aktiviert werden.
DriveLock Enterprise Service (DES)
l Die Datenbankwartung wurde um mehrere Stored Procedures zum Löschen alter
Daten erweitert. Bitte passen Sie die manuell konfigurierten Daten-
bankwartungsschritte an. Informationen zu diesem Thema finden Sie in unserem
"Database Guide" unter den technischen Artikeln auf DriveLock Online Help. (Referenz
EI-2222)
DriveLock Operations Center (DOC)
l Im DOC können nun Zertifikate zur Erzeugung von Offline-Entsperrungs-Ant-
wortcodes gespeichert und verwendet werden
l Es steht ein neues Standard-Dashboard mit Informationen zum Agenten-Rollout zur
Verfügung
l Der DriveLock DOC-Companion kann nun als separates Installationspaket bereit-
gestellt und installiert werden. Dadurch wird das Rollout in größeren Sys-
temumgebungen und bei Freigabeprozessen erleichtert.
l Die Anmeldung am DOC kann nun auch über die integrierte Windows-Anmeldung
(Active Directory-Benutzer) erfolgen und erspart einen zusätzlichen Anmeldevorgang
für den Benutzer.
143 Release Notes 2022.2
l Im DOC wird nun in den Computeransichten der aktuelle Online-Status angezeigt.
Damit enthält der Administrator die zusätzliche Information, ob ein Computer aktuell
für eine Online-Freigabe oder eine Agentenfernverbindung kontaktiert werden kann.
l Auch in dieser Version wurde die Benutzerfreundlichkeit im DOC weiter verbessert
und Kundenfeedback berücksichtigt:
l Die Breite von Listenspalten wird nun in den meisten Rasteransichten bei-
behalten, wenn sie manuell angepasst wurde
l Benutzer können nun die von ihnen bevorzugte Ansicht beim ersten Aufruf
eines Menüpunktes selbst festlegen
l Beim Löschen von Computern aus dem DOC bleiben nun vorhandene Wie-
derherstellungsinformationen weiterhin in der Datenbank gespeichert, sofern
diese nicht explizit gelöscht werden.
l Zusätzlich zu den bereits vorhandenen Installationsmethoden steht nun für
Cloud-Umgebungen auch ein Download-Link zur Verfügung, der z.B. per E-Mail
im Unternehmen verteilt werden kann.
DriveLock PBA
l BIOS Pre-Boot-Authentifizierung: Ab Version 2022.2 wird die BIOS PBA nicht mehr
unterstützt und aus dem Produktumfang entfernt. DriveLock 2021.2 war somit die
letzte Version mit einer Anpassung der DriveLock Legacy BIOS Pre-Boot Authen-
tifizierung.
Hinweis: Bei der Installation eines Agenten der Version 2022.2 wird geprüft,
ob eine aktive Legacy BIOS PBA auf dem System vorhanden ist. In diesem Fall
wird keine Aktualisierung bzw. Installation des Agenten mehr durchgeführt.
l Die DriveLock PBA kann nun bis zum ersten Windows-Login eines Benutzers, der
anschließend in die PBA-Konten synchronisiert wird, deaktiviert werden (Auto-Logon
Mode).
DriveLock Richtlinien-Editor
l Stringlist-Eigenschaften innerhalb von DriveLock-Richtlinien können jetzt auch additiv
erstellt werden, d.h. eine Stringliste aus einer zugewiesenen Richtlinie überschreibt
nicht die Werte derselben Eigenschaft aus einer anderen zugewiesenen Eigenschaft,
sondern ergänzt sie nur. Ein Import/Export von mehreren Zeilen per Copy & Paste ist
dabei möglich.
153 Release Notes 2022.2
Ereignisse
l Bei Ereignissen, die zentral vom DES an einen Syslog-Dienst oder per SMTP wei-
tergeleitet werden, kann ein Administrator nun konfigurieren, welche dieser Ereignisse
nicht berücksichtigt werden sollen. Dadurch können im Zielsystem unerwünschte
Ereignisse herausgefiltert werden. Zudem können einzelne Ereignisse vom DES jetzt
an ein beliebiges SYSLOG-Ziel weitergeleitet werden.
l An den Stored Procedures zum Löschen von alten Ereignissen wurden Änderungen
vorgenommen. Details finden Sie im DriveLock Database Guide in der Rubrik Tech-
nical Articles auf DriveLock Online Help.
l Der Agent meldet jetzt Ereignisse von Drittanbietern, die eingetreten sind, während
der Agent nicht lief.
l Im Richtlinien-Editor wurde der Knoten EDR in Ereignisse und Alerts umbenannt.
Firewall Management
l Firewall-Regeln können nun einfach von einem bestehenden System per Agen-
tenfernkontrolle ausgelesen und in eine Richtlinie übernommen werden. (Referenz EI-
1765)
l Firewall-Regeln können nun alle Einstellungsoptionen berücksichtigen, die auch über
Powershell-Befehle verändert werden können.
l Die Firewall-Management-Komponente lässt sich jetzt trotz einer vorhandenen Lizenz
auf einem DriveLock Agenten komplett deaktivieren.
Gruppenverwaltung
l Der Knoten Gruppen wurde komplett aus der DriveLock Management Konsole (DMC)
entfernt. Gruppen können jetzt vollständig im DOC verwaltet oder angelegt werden.
(Referenz EI-2178)
l Beim Hinzufügen von Gruppenmitgliedern kann nun zusätzlich ein Kommentar hin-
terlegt werden, z.B. die Nummer eines internen Support-Tickets. Damit können Admi-
nistratoren den Grund der Änderung dokumentieren.
l Dynamische Gruppen können nun auf Basis von zusätzlichen Informationen, wie zum
Beispiel Produkt-ID der Hardware oder Computerhersteller und weiteren AD-Eigen-
schaften erzeugt werden.
Installation
l Die Größe der Installationsdatei des DriveLock Agenten wurde in dieser Version um
mehr als 20% reduziert und ermöglicht eine schnellere und effizientere
163 Release Notes 2022.2
Softwareverteilung.
l Zusätzlich zu den bereits vorhandenen Installationsmethoden steht nun für Cloud-
Umgebungen auch ein Download-Link zur Verfügung, der z.B. per E-Mail im Unter-
nehmen verteilt werden kann.
Lizenzen
l Testlizenzen sind nur noch über Ihren DriveLock Vertriebspartner erhältlich und wer-
den nicht mehr automatisch mit ausgeliefert. (Referenz EI-2123)
l Die EDR- bzw. Risk & Compliance Funktionalität muss ab 2022.2 nicht mehr separat
lizenziert werden.
l Application Control-Lizenzen werden jetzt nicht mehr separat aufgelistet, sondern nur
noch als ein kumulierter Eintrag.
l Die Lizenzanzeige im DOC wurde um Benutzerlizenzen erweitert.
Netzwerk
l Die Möglichkeit, eigene Netzwerkverbindungen in der DriveLock Agen-
tenbenutzeroberfläche und im Tray Icon der Netzwerkverbindung auszuwählen,
wurde entfernt.
Security Awareness
l Aus Kompatibilitätsgründen werden Security Awareness-Pakete mit Version 22.2 nur
an aktuelle Agenten mit Version 22.2 und neuer ausgeliefert.
l Es gibt eine neue Version von Security Awareness Kampagnen.
173 Release Notes 2022.2
3.3.2 Fehlerbehebungen 2022.2
Dieses Kapitel enthält Informationen zu Fehlern, die mit DriveLock Version 2022.2 behoben
sind. Als Referenz dienen dabei unsere External Issues (EI) Nummern, sofern vorhanden.
Referenz Application Control
Die Zertifikatsprüfung für Predictive Whitelisting wurde ver-
bessert.
Die temporäre Freigabe wird jetzt korrekt beendet.
Referenz BitLocker Management / BitLocker To Go
Ein Fehler beim Importieren von BitLocker Management-Zer-
tifikaten in eine Richtlinie wurde behoben.
Bei der Übernahme bestehender BitLocker-Umgebungen war es
möglich, dass das BitLocker-Kennwort bei jedem Richtlinien-
Update neu abgefragt und gesetzt wurde. Dieses Verhalten steht
EI-2203
im Zusammenhang mit der Anzahl der Wie-
derherstellungsschlüssel, die für das zu übernehmende Sys-
temlaufwerk eingetragen waren.
Das Hochladen der Wiederherstellungsschlüssel konnte fehl-
schlagen, wenn das Richtlinien-Update zuvor nicht korrekt oder
unvollständig ausgeführt wurde.
Referenz Defender Management
Beim Mergen von Richtlinien haben Stringlisten in der Defen-
183 Release Notes 2022.2
Referenz Defender Management
der-Konfiguration teilweise Stringlisten aus anderen Richtlinien
nicht korrekt überschrieben. Falls dieses Verhalten gewünscht
war, müssen Sie jetzt die Option "Werte anhängen" in der String-
liste setzen.
Ein Fehler, der die Registrierung von Windows Defender unter
EI-2137
bestimmten Umständen verhindert, wurde behoben
Referenz Device Control
Bei einigen externen Laufwerken gab es ein Zeitproblem, das zu
EI-2028
einem BSOD-Fehler (Blue Screen of Death) führte.
Ein Fehler wurde behoben, durch den unter bestimmten Umstän-
EI-2038 den Gerätesammlungen in Verbindung mit alten db3 CSP-Richt-
linien nicht mehr funktionierten.
Bluetooth-Geräte waren mit dem Marvell AVASTAR Wireless-
EI-1846 Chip nicht verfügbar, wenn das WiFi-Gerät beim Booten deak-
tiviert wurde. Der Fehler ist nach dem Neustart behoben.
Referenz Disk Protection
Ein Fehler wurde behoben, den der datAshur-Stick beim Sys-
EI-2098
temstart auslöste.
Ein BSOD-Fehler (Blue Screen of Death), der beim Anschluss
EI-2179
eines HP OfficeJet 200 Druckers auftrat, wurde behoben.
193 Release Notes 2022.2
Referenz DriveLock Agent
Der Status der Festplatten-Selbstüberwachung (S.M.A.R.T.) wird
jetzt wieder korrekt ausgelesen.
Ein Fehler wurde behoben, bei dem der Agent abstürzte, wenn
EI-2201 eine extrem lange Seriennummer in einer Laufwerkssammlung
vorhanden war.
Der Windows Installer hat bei einer Aktualisierung unter Umstän-
EI-1995 den nicht alle DriveLock-Dateien ersetzt, was zu einer inkon-
sistenten Installation führte.
Bei Dateizugriffsereignissen wurde der Prozess bei 128 Zeichen
EI-2188
abgeschnitten.
Ein Fehler wurde behoben, bei dem der Agent abstürzte, wenn
EI-2029
mehrere Remote-Verbindungen vorhanden waren.
Die Zeichenkombi "\n" (z.B. C:\windows\system32\notepad.exe)
wird jetzt in Nachrichtentexten korrekt angezeigt, statt sie durch
einen Zeilenumbruch zu ersetzen.
Bei einigen Remote-Control-Ereignissen werden jetzt Feh-
lerinformationen vom Agenten übermittelt.
Der Agent stürzt nicht mehr ab, wenn die Registrierung des Agen-
EI-2159
ten fehlschlägt.
Unter Umständen dauerte der Start des DriveLock-Services sehr
EI-2122
lange, wenn kein Benutzer angemeldet war.
203 Release Notes 2022.2
Referenz DriveLock Agent
Änderungen an den Ports in der Windows-Firewall-Richtlinie wer-
EI-2020
den jetzt an den Agenten-Computer übertragen.
Ein Fehler in der Zertifikatsprüfung des DES wurde behoben, bei
EI-2190 dem die Zertifikatssperrlisten-Informationen nicht abgerufen wer-
den konnten.
Referenz DriveLock Enterprise Service (DES)
Die DotNetZip-Bibliothek wurde auf Version 1.16.0 aktualisiert
EI-2083
(CVE-2018-1002205).
Referenz DriveLock Management Konsole (DMC)
Der Reiter Device Scanner Datenbank wird nur noch angezeigt,
wenn es passenden Inhalt gibt.
Hinweis: Hinweis: Bei Neuinstallationen von DriveLock gibt
es diesen Reiter nicht mehr.
Beim Erstellen einer neuen SB-Gruppe kam ein endloser Fort-
EI-2048 schrittsbalken, sofern keinerlei DriveLock-Gruppen in der Umge-
bung existierten.
In der RSOP versuchte die DMC unter "Angewendete Richtlinien"
die zentral gespeicherten Richtlinien im GPO-Editor statt im
EI-2126
Richtlinien-Editor zu öffnen, so dass es zu einer Fehlermeldung
kam.
213 Release Notes 2022.2
Referenz DriveLock Management Konsole (DMC)
In der DMC kann seit 22.1 die Definition von dynamischen Grup-
pen nicht mehr editiert werden. Trotzdem wurden beim
EI-2111
Anschauen der Gruppen-Eigenschaften die Definitionen
gelöscht und die Gruppe somit unbrauchbar.
Die Anzahl an bedingten Einstellungsknoten pro Knoten war auf
15 begrenzt. Trotzdem konnte man in der DMC beliebig viele
pro Knoten hinzufügen, allerdings konnte die Richtlinie danach
nicht mehr in der DMC geöffnet werden - es kam zum Absturz.
EI-2084
Das Limit wurde jetzt auf 50 erhöht, es können nicht mehr mehr
als 50 hinzugefügt werden, und beim (unwahrscheinlichen) Öff-
nen einer Richtlinie, die trotzdem mehr enthält kommt es nicht
mehr zum Absturz.
Nach einem Update auf 21.2 oder neuer konnte bei Agenten
EI-2054 älter als 21.2 die Agentenkonfiguration nicht mehr über die DMC
angepasst werden.
Referenz DriveLock Operations Center (DOC)
Das Abfragen der lokalen Whitelist vom Agenten aus der DMC
heraus, funktioniert jetzt auch, wenn der Vorgang bis zu 2 Minu-
EI-1980
ten dauert. Bisher wurde nach 15 Sekunden ein Fehler ange-
zeigt.
Wenn ein Widget nach dem Anlegen verändert oder ein benut-
zerdefiniertes Widget angelegt wurde, werden einige, nicht
mehr unterstützte Eigenschaften bei einer Aktualisierung als ver-
223 Release Notes 2022.2
Referenz DriveLock Operations Center (DOC)
altet dargestellt
Die Eingabe eines falschen Kennworts in der DOC-Anmel-
demaske führt nicht mehr dazu, dass mehrere fehlerhafte Anmel-
EI-2073
deversuche im AD registriert werden. Dies konnte zu einer
vorzeitigen Sperrung des Benutzerkontos führen.
Fehler bei der Anzeige der Application Control-Lizenz für Agen-
EI-2030
ten älter als 21.2 behoben
Beim Erzeugen eines Filters für die Windows-/DriveLock-Version
bei dynamischen Gruppen im DOC wird jetzt auch eine Drop-
down-Liste mit vordefinierten Werten angeboten
Bei der Gruppierung nach Text bzw. Ereignis-ID konnte es dazu
kommen, dass bei Ereignissen von Drittanbietern die angezeigte
ID bzw. der Text nicht dem des Ereignisses entsprach.
Die Laufwerksliste zeigte keine Laufwerke an, wenn die Richtlinie
mit DOC Companion geöffnet wird.
Eine temporäre Freigabe mittels Challenge/Response über das
EI-1525 DOC mit schwachen Codes zeigte keine Fehlermeldungen an,
wenn das Kennwort oder der Response Code falsch war.
Referenz DriveLock Pre-Boot-Authentifizierung
Die Information darüber, dass eine zuvor deaktivierte PBA wie-
EI-2118
der aktiv ist, wurde wiederholt angezeigt.
233 Release Notes 2022.2
Referenz DriveLock Pre-Boot-Authentifizierung
Das Problem des fehlenden Single-Sign On beim ersten Start
nach dem Update der DriveLock PBA ist behoben.
Referenz DriveLock Tools
Der DriveLock Support Companion stürzt beim Einsammeln der
EI-1985
Systeminformationen auf Windows XP nicht mehr ab.
Der DOC-Companion unterstützt jetzt Wildcards für Proxy-
EI-1975
Bypass-Listen.
Referenz Encryption 2-Go
Laufwerks-Regeln in der DMC: Wenn man die erzwungene Ver-
schlüsselung aktivierte und den Dialog schloss, ohne vorher
EI-2074
noch auf den Reiter Zugriffsrechte zu wechseln, wurden invalide
Werte für die Regel abgespeichert.
Referenz Ereignisse
Bei Ereignissen von Drittanbietern wird der Benutzer jetzt ange-
zeigt.
EI-2093 Bei einigen Remote-Control-Ereignissen fehlten Parameter.
EI-1986 Das Ereignis 443 zeigt jetzt sowohl die ID als auch den Namen
243 Release Notes 2022.2
Referenz Ereignisse
der Komponenten.
Referenz File Protection
Die File Protection-Entschlüsselung funktionierte nicht immer
auf Netzwerkfreigaben, wenn der Ordner gemountet war und
der verschlüsselte Ordner sich direkt in der Freigabe befand.
Es war in der DMC nicht möglich, einen AD-Benutzer aus einer
EI-2086 anderen vertrauenswürdige Domäne zu importieren (für
DriveLock File Protection\Benutzer und Gruppen).
Lizensierung
Es wurde ein falsches Enddatum des Abonnements angezeigt,
EI-2018
wenn keine Device Control-Lizenz vorhanden war.
Wenn nach einem Update eine alte Richtlinie geöffnet und der
Lizenz-Reaktivierungsassistent abgebrochen wurde, wurde die
EI-2046 Lizenz aus der Richtlinie entfernt. Dies führt ggf. zu unerwartetem
Systemverhalten. Es kommt daher jetzt beim Abbrechen des Assis-
tenten eine entsprechende Warnmeldung.
Referenz Protokollierung
EI-2078 Die Einstellungen für die sehr ausführliche Protokollierung wur-
253 Release Notes 2022.2
Referenz Protokollierung
den nicht korrekt entfernt.
Die Protokollierung in der DMC wird nun während der Instal-
EI-2049
lation aktiviert.
Referenz System Management
Nach dem Setzen der Remote-Ports einer Firewall-Regel wurden
diese zwar korrekt in der Richtlinie abgespeichert. Nach dem
EI-2021
neu Öffnen des Eigenschaften-Dialogs der Regel sah es aber so
aus, als wären die Ports nicht gespeichert worden.
Die Komponenten "Energieverwaltung" sowie "Lokale Benutzer
EI-1986 und Gruppen" können jetzt unter Windows XP geladen werden
und produzieren keine Ereignisse mit der ID 443.
Referenz Terminal Services
Tragbare Mediengeräte (z. B. Kameras, Mediaplayer) werden jetzt
EI-1497 in Terminaldienstumgebungen verwaltet, wenn sie über eine Ter-
minalsitzung (im ICA- oder RDP-Protokoll) angeschlossen sind.
Es war nicht möglich, verschlüsselte Container unter demselben
Laufwerksbuchstaben in zwei verschiedenen Citrix-Ter-
EI-1915
minalsitzungen zu mounten, wenn USB-Sticks mit dem gene-
rischen Kanal verbunden waren.
264 Systemvoraussetzungen
4 Systemvoraussetzungen
Die in diesem Abschnitt genannten Werte stellen Empfehlungen und Min-
destanforderungen dar. Je nach Konfiguration von DriveLock, der verwendeten Kom-
ponenten und Funktionen sowie Ihrer Systemumgebungen können die tatsächlichen
Voraussetzungen davon abweichen.
4.1 DriveLock Agent
Der DriveLock Agent kann auf verschiedenen Versionen von Windows, Linux und MacOS
installiert werden.
Betriebssystem Versionen
Windows 11 Ab 21H2, nur Editionen Pro / Enterprise
Windows 10 Ab 20H2, nur Editionen Pro / Enterprise
Windows 10 LTSC alle LTSC-Versionen bis Ablauf des jeweiligen Extended Support
Windows Server 2016, 2019, 2022
Windows 7 SP1 Enterprise / Ultimate mit Extended Support.
Windows 7 Hinweis: Ab einem bestimmten Zeitpunkt nach Ver-
öffentlichung der Version 2022.2 wird bei War-
tungsverlängerung oder Neukauf eine zusätzliche Legacy
Support Lizenz für den Betrieb auf Windows 7 Systemen
benötigt.
Windows XP SP3, zusätzliche Legacy Support Lizenz von
DriveLock notwendig.
Windows XP
Hinweis: Version 2022.2 ist die letzte DriveLock Version,
die das Betriebssystem Windows XP unterstützt.
Linux CentOS 8, Debian 11, Fedora 34, IGEL OS 11.05, Red Hat Enter-
274 Systemvoraussetzungen
Betriebssystem Versionen
prise Linux 5, Suse 15.3, Ubuntu 20.04 oder neuere Versionen
Catalina, Big Sur, Monterey und Ventura – sowohl Intel- als auch
macOS
ARM-Architektur
Der Windows DriveLock Agent ist grundsätzlich verfügbar für AMD-/Intel X86-basierte Sys-
teme (32-Bit und 64-Bit Architektur). Für den Einsatz des DriveLock Agenten wird ein 64-Bit
System empfohlen. Server-Betriebssysteme werden ausschließlich unter 64-Bit unterstützt.
Einschränkungen der einzelnen Funktionen sind weiter unten beschrieben.
Achtung: Beachten Sie, dass .NET Framework 4.7.2 für den DriveLock Agenten auf
allen Windows-Betriebssystemen benötigt wird.
284 Systemvoraussetzungen
Folgende Tabelle bietet Ihnen einen Überblick über den Funktionsumfang, der auf einem
bestimmten Betriebssystem verfügbar ist.
l Vollständiger Funktionsumfang: (ü)
l Reduzierter Funktionsumfang: (i)
l Keine Unterstützung: (S)
Feature Betriebssystem / Funktionen
Win- Win-
Win- Win- Mac
dows 10 dows Linux
dows 7 dows XP OS
/ 11 Server
Device
ü ü i i i i
Control
Application
ü ü ü i i S
Control
Encryption
ü ü ü ü i i
2-Go
BitLocker
ü ü i S S S
To Go
BitLocker
Mana- ü ü i S S S
gement
Security
Awareness
Mul- ü ü ü S S S
timedia-
Kampagnen
294 Systemvoraussetzungen
Feature Betriebssystem / Funktionen
Defender
Mana- ü ü S S S S
gement
Vul-
nerability
ü ü ü S S S
Mana-
gement
Security
Con-
figuration ü ü ü S S S
Mana-
gement
Disk
ü(*) S S S S S
Protection
File
ü ü i S S S
Protection
(*): Disk Protection ist auf Windows 10 und neuer nur noch für UEFI-Systeme freigegeben,
die BIOS-Unterstützung ist abgekündigt.
Hinweis: Security Awareness: Bitte beachten Sie, dass ab Version 22.1 Content-
AddOn-Pakete nur dann korrekt angezeigt werden können, wenn auf den Agenten
Microsoft Edge WebView2 installiert ist . Folgen Sie bitte dem Download-Link: htt-
ps://developer.microsoft.com/en-us/microsoft-edge/webview2/#download-
section. Bei Windows 11 ist Microsoft Edge WebView2 bereits automatisch instal-
liert.
304 Systemvoraussetzungen
Details zu Einschränkungen für Betriebssysteme, bei denen nur ein Teil der DriveLock
Features genutzt werden kann:
1. Einschränkungen Windows Server
l Die DriveLock Pre-Boot Authentifizierung steht für Server-Betriebssysteme nicht
zur Verfügung.
l Einstellungen für den Microsoft Defender können erst ab Windows Server 2016
verwendet werden.
2. Einschränkungen Windows 7
Stellen Sie sicher, dass der letzte verfügbare Patch-Stand auf dem Windows 7 Client
installiert ist.
l Generell:
l Nach einem Update, einer Installation oder Deinstallation des DriveLock
Agenten unter Windows 7 x64 stürzt der Explorer (explorer.exe) mög-
licherweise ab. Dies tritt nur dann auf, wenn die Windows-Ein-
gabeaufforderung mit Admin-Rechten geöffnet und das System seit dem
Update/Installation/Deinstallation des Agenten nicht neu gestartet wurde.
l KB3140245 muss auf Windows 7 installiert sein
Weitere Informationen dazu finden Sie hier und hier.
Ohne dieses Update kann WinHTTP keine TLS Einstellungen ändern und
der Fehler 12175 erscheint in dlwsconsumer.log und DLUpdSvx.log.
l KB3033929 (SHA-2 code signing support) muss auf Windows 7 64-bit
installiert sein.
l DriveLock Service ergänzt fehlende Registry-Werte für TLS 1.2 Ver-
bindungen auf Computern mit Windows 7.
Folgende Registry-Werte sind neben dem KB3140245 die Voraussetzung
für die Kommunikation mit dem DES:
l [HKEY_LOCAL_MACHINE\SYSTEM\Cur-
rentCon-
trolSet\Con-
trol\SecurityProviders\SCHANNEL\Protocols\TLS
1.2\Client]"Enabled"=dword:00000001
l [HKEY_LOCAL_MACHINE\SYSTEM\Cur-
rentCon-
314 Systemvoraussetzungen
trolSet\Con-
trol\SecurityProviders\SCHANNEL\Protocols\TLS
1.2\Server]"Enabled"=dword:00000001
l [HKEY_LOCAL_MACHINE\SOFTWARE\Mi-
cro-
soft\Win-
dows\CurrentVersion\InternetSettings\WinHttp]
"DefaultSecureProtocols"=dword:00000800
Hinweis: Falls der Wert DefaultSecureProtocols schon
existiert, addieren Sie den Wert 0x00000800 für TLS 1.2
hinzu.
l BitLocker Management:
l Nur für Windows 7 SP1 Enterprise und Ultimate verfügbar, 64-Bit - TPM-
Chip ist erforderlich
l BitLocker verschlüsselt unter Windows 7 nicht, wenn die Optionen "wenn
der Bildschirmschoner konfiguriert und aktiv ist" und "wenn keine Anwen-
dung im Vollbildmodus ausgeführt wird" aktiviert sind.
l BitLocker To Go:
l Nur für Windows 7 SP1 Enterprise und Ultimate verfügbar
l Device Control:
l Die Bluetooth-Optionen in den Sperreinstellungen für Geräte können
unter Windows 7 nicht verwendet werden.
l File Protection:
l Unter Windows 7 steht für das neue Verschlüsselungsformat nur die ein-
geschränkte Funktionalität und für das alte Verschlüsselungsformat nur
der bisherige Legacy Treiber nur zur Verfügung. Das passende Ver-
schlüsselungsformat wird automatisch ausgewählt.
l Security Awareness Multimedia-Kampagnen:
l Um auch Security Awareness Multimedia-Kampagnen anzeigen zu kön-
nen, wird eine lokale Installation von WebView2 für Windows 7 benötigt.
Weitere Informationen dazu sind hier zu finden: htt-
ps://docs.microsoft.com/en-us/microsoft-edge/webview2/
324 Systemvoraussetzungen
3. Einschränkungen Windows XP
Hinweis: DriveLock 2022.2 ist die letzte Agenten-Version, die Windows XP
unterstützt. Zukünftige DriveLock Versionen können nicht mehr auf Windows
XP installiert werden.
l Device Control:
Nur digitale Kameras funktionieren (unter XP sind UMDF- und WPD-Fra-
meworks vorhanden), die Bluetooth-Funktionalität ist nicht verfügbar
l Application Control:
Application Behavior Control: Registry Check funktioniert nicht, Regeln mit die-
ser Konfiguration werden ignoriert
4. Einschränkungen macOS
l Device Control:
In dieser Version können nur USB-angeschlossene Laufwerke, die aufgrund ihrer
Hardware ID identifiziert werden, blockiert oder zugelassen werden.
Zusätzlich sind derzeit folgende Einschränkungen zu berücksichtigen:
l Eigene Regeltypen für Whitelisting müssen konfiguriert werden (Hardware
ID statt Product ID/Vendor)
l Keine Freigabe für bestimmte Benutzer oder Benutzergruppen
l Kein Dateifilter und Auditing
l Keine erzwungene Verschlüsselung
l Keine Freigabe von bereits mit Encryption 2-Go verschlüsselten Lauf-
werken
l Keine Self-Service Funktionalität
l Encryption 2-Go:
l Für macOS steht wie bisher für die Entschlüsselung von externen USB-Lauf-
werken die Mobile Encryption Application (MEA) zur Verfügung.
l Der macOS-Agent ist noch nicht in der Lage, Laufwerke mit einem Encryp-
tion 2-Go Container automatisch zu entschlüsseln.
Weitere Informationen zum macOS-Agent entnehmen Sie bitte der separat ver-
fügbaren macOS-Dokumentation auf DriveLock Online Help.
334 Systemvoraussetzungen
5. Einschränkungen Linux
l Device Control:
l Eigene Regeltypen für Whitelisting müssen konfiguriert werden (Hardware
ID statt Product ID/Vendor)
l Keine Freigabe für bestimmte Benutzer oder Benutzergruppen
l Kein Dateifilter und Auditing
l Keine erzwungene Verschlüsselung
l Application Control:
l DriveLock Application Control benötigt für den Einsatz auf Linux-Agenten
Linux Kernel Version > 5.
l Application Control kann nicht zusammen mit IGEL OS verwendet werden.
l Keine der Application Behavior Control Funktionen stehen unter Linux zur
Verfügung.
l Encryption 2-Go:
l Container bzw. verschlüsselte USB-Laufwerke können nicht erstellt, son-
dern nur verbunden werden.
Weitere Informationen zum Linux Client und den Limitierungen der Funktionalität ent-
nehmen Sie bitte der separat verfügbaren Linux-Dokumentation auf DriveLock Online
Help.
6. Einschränkungen für Terminal Server Umgebungen und Thin-Clients
l Der DriveLock Agent benötigt folgende Systemvoraussetzungen, damit die
DriveLock Device Control Funktionalität grundsätzlich genutzt werden kann:
l XenApp 7.15 oder neuer (ICA).
l Windows Server 2016 oder neuer (RDP).
l Das Anlegen von durch DriveLock File Protection verschlüsselten Ordnern auf
dem Terminal Service ist nicht unterstützt.
l Security Awareness Kampagnen für Benutzer bei der Anmeldung und bei ICA-
Laufwerksverbindungen stehen bei der Verwendung von Thin-Clients ohne
installiertem DriveLock Agenten nicht zur Verfügung.
344 Systemvoraussetzungen
4.2 DriveLock Management Konsole (DMC)
Bevor Sie die DriveLock Management Konsole installieren, stellen Sie bitte sicher, dass der
Computer für eine vollständige Funktionalität diese Voraussetzungen erfüllt.
Hauptspeicher:
l mind. 4 GB RAM
Freier Festplattenspeicherplatz:
l ca. 350 MB
Benötigte zusätzliche Windowskomponenten:
l .NET Framework 4.8 oder höher
Unterstützte Plattformen:
Die Management Konsole 2022.2 SP1 wurde getestet und freigegeben auf den aktuellsten
Ständen der Windows Versionen, die zum Zeitpunkt des Release offiziell verfügbar waren
und die bei Microsoft das Ende des Service-Zeitraumes noch nicht erreicht haben. Im Kapi-
tel DriveLock Agent finden Sie eine Auflistung der Windows Versionen, die DriveLock unter-
stützt.
Achtung: Die DriveLock Management Console steht nur als 64-bit Anwendung zur
Verfügung.
4.3 DriveLock Enterprise Service
Bevor Sie den DriveLock Enterprise Service auf einem Rechner installieren, stellen Sie bitte
sicher, dass der Computer für eine vollständige Funktionalität diese Voraussetzungen
erfüllt.
Hauptspeicher / CPU:
l mind. 8 GB RAM, CPU x64 mit 2,0GHz und EM64T (Extended Memory Support)
Freier Festplattenspeicherplatz:
l mind. 4 GB, bei der Verwendung von Security Awareness Content (Video) wird ein
freier Speicher von mind. 15 GB empfohlen.
l Soll auf dem Server gleichzeitig noch eine SQL-Datenbank betrieben werden, sind
zusätzlich zu der dafür notwendigen Festplattenkapazität auch noch mind. 10 GB für
die Speicherung der DriveLock Daten vorzusehen.
Benötigte zusätzliche Windowskomponenten:
354 Systemvoraussetzungen
l .NET Framework 4.8 oder höher ist Voraussetzung für die Installation!
Hinweis: Die Größe der DriveLock Datenbank wird maßgeblich von der Anzahl und
dem Zeitraum der gespeicherten DriveLock Events beeinflusst und kann je nach Sys-
temumgebung stark variieren. Eine genaue Vorgabe ist daher an dieser Stelle nicht
möglich. Genaue Werte sollten in einer Teststellung mit den geplanten Ein-
stellungen über einen Zeitraum von mindestens einigen Tagen ermittelt werden.
Diese können dann als Grundlage für die Berechnung der benötigten Spei-
cherkapazität dienen.
Benötigte DriveLock API Services Ports (DOC/MQTT):
l 5370, 6369 und 4369: Diese drei Ports sollten nicht durch andere Server-Dienste
belegt werden, sie müssen jedoch nicht von außen erreichbar sein (nur intern)
l 8883: Die Agenten verbinden sich auf diesen Port mit dem DES, um per Agen-
tenfernsteuerung erreichbar zu sein. Die Freigabe in der lokalen Firewall des Rechners
erfolgt automatisch durch das DES-Installationsprogramm.
Unterstützte Plattformen:
l Windows Server 2012 R2 64-Bit (Mindestvoraussetzung für das DriveLock Operations
Center)
Hinweis: Windows Server 2012 R2 erfordert eine Installation von SQL Express
2017, bevor DriveLock Version 2020.1 erfolgreich installiert werden kann.
Hinweis: Diese Version 2022.2 ist die letzte Version, die eine Installation auf
dem Betriebssystem Windows Server 2012 R2 unterstützt.
l Windows Server 2016 64-Bit
l Windows Server 2019 64-Bit
l Windows Server 2022 64-Bit
Auf einem Windows 10 Client Betriebssystem sollte ein DES nur als Testinstallation betrie-
ben werden.
Achtung: Der DES steht ausschließlich als 64-bit Anwendung zur Verfügung.
364 Systemvoraussetzungen
Unterstützte Datenbanken:
l SQL-Server 2014 (Mindestvoraussetzung für das DriveLock Operations Center) oder
neuer.
Diese Version 2022.2 ist die letzte Version, die SQL-Server 2014 unterstützt.
l SQL-Server Express 2017 oder neuer (für Installationen mit bis zu 200 Clients und Tes-
tinstallationen)
Achtung: Der DES benötigt den Microsoft SQL-Server 2012 Native Client Ver-
sion 11.4.7001.0. Ist diese Komponente noch nicht installiert, geschieht dies auto-
matisch vor der eigentlichen Installation des DES. Wenn eine ältere Version bereits
installiert ist, wird diese automatisch aktualisiert.
Hinweis: Bitte entnehmen Sie die Systemvoraussetzungen für die Installation der
SQL-Datenbank bzw. von SQL-Express der entsprechenden Microsoft Doku-
mentation.
Achtung: Für die Datenbankverbindung zwischen dem DriveLock Operations Center
und der Datenbank wird eine TCP/IP Verbindung benötigt.
4.4 DriveLock Operations Center (DOC)
Seit der Version 2021.2 wird kein MSI-Installationsprogramm für eine lokale Installation des
DriveLock Operations Center (DOC.exe) mehr ausgeliefert. Alle Funktionen, die zusätzlich
zur Webanwendung in der DOC.exe zur Verfügung standen, wurden auf andere Weise in
unsere DOC-Plattform integriert (DOC Companion). Somit entfällt die Notwendigkeit einer
zusätzlichen Applikation.
Hinweis: Das web-basierte DriveLock Operations Center ist in der Installation des
DES enthalten und keine eigenständige Komponente. Es wird über einen Browser
aufgerufen.
Das DriveLock Operations Center ist nur für AMD / Intel X86 basierte 64-Bit Systeme ver-
fügbar.
Bitte beachten Sie auch folgende Hinweise.
375 Update von DriveLock
5 Update von DriveLock
Wenn Sie auf neuere Versionen von DriveLock aktualisieren, beachten Sie bitte folgende
Informationen.
5.1 Update des DriveLock Agenten
Beachten Sie bitte folgendes, wenn Sie den DriveLock Agenten auf eine neuere Ver-
sion aktualisieren:
1. Vor dem DriveLock Agent-Update:
l Prüfen Sie, ob der DriveLock Update Service dlupdate auf dem System vor-
handen ist und entfernen Sie diesen gegebenenfalls.
l Wenn Sie den Agenten mit Hilfe des Autoupdate-Mechanismus von DriveLock
aktualisieren, setzen Sie in der DriveLock Richtlinie die Einstellungen für die
Automatische Aktualisierung folgendermaßen:
l Wählen Sie die Option Zur Aktualisierung des Agenten neu starten aus
und setzen den Wert für eine Verzögerung durch einen Benutzer auf 0, um
die Zeit zu einem Neustart des Rechners möglichst kurz zu halten.
l Setzen Sie außerdem folgende Einstellungen:
l DriveLock-Agentendienste im Nicht-beenden-Modus starten: Deak-
tiviert
l Kennwort zum Deinstallieren von DriveLock: Nicht konfiguriert
l Wenn Sie eine Festplattenverschlüsselung im Einsatz haben, muss die Ver-
zögerung für eine mögliche Deinstallation in den Verschlüsselungseinstellungen
auf mindestens 5 Tage gesetzt werden.
l Bei der Verwendung von BitLocker Management muss vor der Aktualisierung fol-
gendes beachtet werden:
Details finden Sie in der BitLocker Management Dokumentation auf DriveLock
Online Help
Die Einstellung für die Verschlüsselung Keine Entschlüsselung durchführen
verhindert eine mögliche Änderung des Verschlüsselungsstatus der DriveLock
Agenten. Vor der Aktualisierung ist es daher notwendig, dass diese Option in
der aktuellen Verschlüsselungsrichtlinie aktiviert und die Richtlinie im Anschluss
gespeichert und veröffentlicht wird.
l Bei der Verwendung von Disk Protection muss vor der Aktualisierung folgendes
beachtet werden:
385 Update von DriveLock
Bei einem Update werden Agenten mit BIOS-Systemen, die Disk Protection
bereits installiert haben, nicht mehr aktualisiert und bleiben auf dem jeweiligen
Stand, bis die Disk Protection deinstalliert wurde.
2. Während des DriveLock Agent-Updates:
l Führen Sie die Aktualisierung mit einem privilegierten Administrator-Konto
durch. Das ist beim Autoupdate bereits automatisch der Fall.
3. Nach dem DriveLock Agent-Update:
l Zur Aktualisierung der Treiberkomponenten ist ein Neustart nach dem
DriveLock Agent-Update erforderlich. Fügen Sie diesen Schritt bei einer Aktua-
lisierung durch eine Softwareverteilung in den Update-Ablauf ein bzw. starten
Sie den aktualisierten Rechner manuell neu.
5.2 Update des DriveLock Enterprise Service (DES)
Beim Update des DES von Version 2021.1 auf höhere Versionen ist folgendes zu beachten:
Um die Aktualisierung erfolgreich durchführen zu können, benötigen Sie eine gültige Lizenz
inklusive Wartung. Diese muss in Ihrem aktuell laufenden System in der Datenbank des DES
gespeichert sein oder über die DMC erneuert und hochgeladen werden, bevor die Aktua-
lisierung gestartet wird.
5.3 Update der DriveLock Komponenten
Das DriveLock Installationshandbuch beschreibt alle notwendigen Schritte, die bei einem
Update auf die aktuellste Version durchzuführen sind. Die Release Notes enthalten zusätz-
lich besonders wichtige Punkte, die Sie bei einer Aktualisierung beachten sollten.
Achtung: Das bestehende selbst-signierte DES-Zertifikat kann bei einem Update
von Version 7.x auf 2019.1 oder höher nicht mehr verwendet werden und wird
durch ein neu erzeugtes Zertifikat ersetzt. Dieses kann dann automatisch als selbst-
signiertes Zertifikat erstellt und im Zertifikatsspeicher des Computers gespeichert
werden. Bei einem Update von 2019.1 oder höher auf neuere Versionen können Sie
das selbst-signierte DES-Zertifikat hingegen weiter verwenden.
Update der DriveLock Management Konsole (DMC)
Bei einem Update von DriveLock Version 7.7.x auf höhere Versionen muss folgender Wor-
karound durchgeführt werden, um die DMC zu aktualisieren: Benennen Sie die DLF-
deRecovery.dll um und installieren Sie dann die DMC neu.
395 Update von DriveLock
Update der DriveLock Datenbank
Bei einer Aktualisierung von Version 2020.1 oder älter auf neuere Versionen werden die bei-
den DriveLock-Datenbanken zusammengeführt. In diesem Fall ist ein zusätzlicher Migra-
tionsschritt nötig. Weitere Informationen finden Sie in dem Technischen Artikel TA-
Datenbankmigration auf DriveLock Online Help - Technical Articles.
Update von Disk Protection
Nach dem Update des DriveLock Agenten wird eine ggf. vorhandene FDE Installation ohne
Neuverschlüsselung automatisch auf die neueste Version aktualisiert. Nach dem Update der
FDE muss ggf. ein Neustart erfolgen.
Wir haben weitere Informationen, die für ein Update der DriveLock Disk Protection bzw. ein
Update des Betriebssystems bei einer installierten DriveLock Disk Protection wichtig sind, in
dem Dokument TA - Windows 10 Upgrade with Drivelock Disk Protection für Sie zusam-
mengestellt, ebenfalls auf DriveLock Online Help - Technical Articles.
Update von File Protection auf Version 2022.2
Für die Dateiverschlüsselung wurde ein neues Verschlüsselungsformat eingeführt. Dieses
neue Format wird jetzt standardmäßig auf neue DriveLock Agenten angewendet. Bei
Bestandsagenten wird das alte Format beibehalten. Das Format wird mit der neuen File Pro-
tection-Einstellung Verwendete Verschlüsselungsformate geregelt. Sie können bei Bedarf
ein bestimmtes Verschlüsselungsformat explizit festlegen.
Hinweis: Neues und altes Verschlüsselungsformat sind nicht kompatibel und müs-
sen in separaten Richtlinien abgebildet werden. Weitere Informationen finden Sie
im Kapitel File Protection in der Encryption-Dokumentation auf DriveLock Online
Help.
l DFS-Unterstützung
l Die Verschlüsselungsformate Altes Format und Altes Format (alter Treiber)
unterstützen DFS nicht.
Achtung: Wenn Sie bisher eine Version älter als 2021.2 verwendet
haben, stellen Sie vor dem Update auf Version 2022.2 sicher, dass keine
verschlüsselten Ordner auf DFS-Netzlaufwerken vorhanden sind.
l DFS-Freigaben werden mit der Option Neues Format unterstützt, auch wenn
sie nicht nur den primären Server verwenden. Getestet wurde dies auf Windows
405 Update von DriveLock
Server 2022 und Windows Server 2019.
5.4 Manuelle Updates
Ein manuelles Update des Agenten schlägt fehl, sofern DriveLock Agent.msi aus dem
Windows Explorer (z.B. per Doppelklick) und ohne Berechtigungen eines lokalen Admi-
nistrators gestartet wurde. Starten Sie in diesem Fall das MSI-Paket aus einem admi-
nistrativen Befehlsfenster per msiexec oder nutzen Sie DLSetup.exe.
Update von älteren auf neuere DriveLock Versionen
Wird ein Client-Update manuell über das Starten von msiexec oder DLSetup.exe durch-
geführt, kann es vorkommen, dass sich der Windows Explorer nicht korrekt beendet. In der
Folge verschwindet die Benutzeroberfläche von Windows (schwarzer Bildschirm) und wird
auch nach dem Agent-Update nicht neu gestartet. In diesem Fall muss über den Task-Mana-
ger der Explorer manuell gestartet werden bzw. ein Reboot initiiert werden. Dies betrifft vor
allem Kunden, die Clientmanagement-Software verwenden, die möglicherweise die
msiexec in einer Benutzer-Session ausführen. Das Problem lässt sich dadurch beheben,
dass man dem msiexec-Aufruf folgende Parameter mitgibt:
l MSIRESTARTMANAGERCONTROL=Disable
l MSIRMSHUTDOWN=2
416 Bekannte Einschränkungen
6 Bekannte Einschränkungen
Dieses Kapitel enthält bekannte Einschränkungen der vorliegenden DriveLock-Version. Bitte
lesen Sie diese Informationen sorgfältig, um unnötigen Test- und Supportaufwand zu ver-
meiden.
6.1 BitLocker Management
Unterstützte Editionen und Versionen
DriveLock BitLocker Management wird auf folgenden Systemen unterstützt:
l Windows 7 SP1 Enterprise und Ultimate, 64-Bit, TPM-Chip ist erforderlich
l Windows 8.1 Pro und Enterprise, 32/64-Bit
l Windows 10 Pro und Enterprise, 32/64-Bit
Vorhandene BitLocker Umgebung
Hinweis: Möchten Sie eine bereits vorhandenen Systemumgebung verwalten, die
bereits mit BitLocker verschlüsselte Computer enthält, müssen diese seit Version
2019.1 nicht mehr zuvor über die vorhandene BitLocker Verwaltung bzw. die Grup-
penrichtlinien entschlüsselt werden. DriveLock erkennt die BitLocker Ver-
schlüsselung automatisch und erzeugt neue Wiederherstellungsinformationen. Eine
automatische Ent- und Verschlüsselung wird nur dann durchgeführt, wenn der in
der DriveLock Richtlinie konfigurierte Verschlüsselungsalgorithmus sich vom der-
zeitigen Algorithmus unterscheidet.
Anschließend ist eine Verwaltung durch DriveLock BitLocker Management möglich und eine
sichere Speicherung und Verwendung der Wiederherstellungsinformationen gewährleistet.
Verwendung von Kennwörtern
DriveLock BitLocker Management vereinfacht die missverständliche Unterscheidung zwi-
schen PINs, Passphrases und Kennwörtern, indem nur noch der Begriff "Kennwort" ver-
wendet wird. Gleichzeitig wird ein solches Kennwort automatisch im richtigen BitLocker
Format benutzt, entweder als PIN oder als Passphrase.
Da Microsoft jedoch unterschiedliche Anforderungen an die Komplexität von PIN und Pass-
phrase stellt, gelten für das Kennwort folgende Einschränkungen:
l Mindestlänge: 8 Zeichen. In bestimmten Fällen sind auch 6 Zeichen (Zahlen) möglich,
mehr hierzu in der aktuellen BitLocker Management Dokumentation auf DriveLock
Online Help.
l Maximale Länge: 20 Zeichen
42Sie können auch lesen
