DRIVELOCK RELEASE NOTES - RELEASE NOTES 2022.2 SP1 DRIVELOCK SE 2023 - UBM GLOBAL
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Inhaltsverzeichnis 1 KONVENTIONEN 4 2 INFORMATIONEN ZU 2022.2 SP1 5 3 RELEASE NOTES 2022.2 6 3.1 Service Pack-Version SP1 (Build 22.2.5) 6 3.1.1 Neuerungen und Änderungen 6 3.1.2 Fehlerbehebungen 2022.2 SP1 6 3.2 Hotfix-Version HF1 9 3.2.1 Neuerungen und Änderungen 9 3.2.2 Fehlerbehebungen 2022.2 HF1 10 3.3 Hauptversion 12 3.3.1 Neuerungen und Änderungen 12 3.3.2 Fehlerbehebungen 2022.2 18 4 SYSTEMVORAUSSETZUNGEN 27 4.1 DriveLock Agent 27 4.2 DriveLock Management Konsole (DMC) 35 4.3 DriveLock Enterprise Service 35 4.4 DriveLock Operations Center (DOC) 37 5 UPDATE VON DRIVELOCK 38 5.1 Update des DriveLock Agenten 38 5.2 Update des DriveLock Enterprise Service (DES) 39 5.3 Update der DriveLock Komponenten 39 5.4 Manuelle Updates 41 6 BEKANNTE EINSCHRÄNKUNGEN 42 6.1 BitLocker Management 42 6.2 Defender Management 43 6.3 Disk Protection 43 2
6.4 Bekannte Einschränkungen des Agenten 46 6.5 DriveLock Device Control 46 6.6 DriveLock Enterprise Service (DES) 48 6.7 DriveLock File Protection 48 6.8 DriveLock, iOS und iTunes 49 6.9 DriveLock Management Konsole (DMC) 50 6.10 DriveLock Mobile Encryption 50 6.11 DriveLock Operations Center (DOC) 51 6.12 DriveLock Pre-Boot-Authentifizierung 52 6.13 DriveLock in verschiedenen Umgebungen 53 6.14 Self Service Freigabe 53 6.15 DriveLock und Thin Clients 53 6.16 Verschlüsselung 54 7 END-OF-LIFE-ANKÜNDIGUNGEN 55 8 DRIVELOCK DOKUMENTATION 57 9 TESTINSTALLATION VON DRIVELOCK 60 COPYRIGHT 61 3
1 Konventionen 1 Konventionen In dieser Dokumentation werden durchgängig folgende Konventionen und Symbole ver- wendet, um wichtige Aspekte hervorzuheben oder Objekte zu visualisieren. Achtung: Roter Text weist auf Risiken hin, die beispielsweise zu Datenverlust führen können Hinweis: Hinweise und Tipps enthalten nützliche Zusatzinformationen. Menüeinträge oder die Namen von Schaltflächen sind fett dargestellt. Kursive Schrift repräsentiert Felder oder Titel von referenzierten Dokumenten. Systemschrift stellt Nachrichten oder Befehle auf Basis der Kommandozeile dar. Ein Pluszeichen zwischen zwei Tasten bedeutet, dass diese gleichzeitig gedrückt werden müssen: „ALT + R“ beispielsweise signalisiert das Halten der ALT-Taste, während R gedrückt wird. Ein Komma zwischen mehreren Tasten fordert ein Nacheinander-Drücken der jewei- ligen Tasten. „ALT, R, U” bedeutet, dass zunächst die ALT-Taste, dann die R- und zuletzt die U-Taste betätigt werden muss. 4
2 Informationen zu 2022.2 SP1 2 Informationen zu 2022.2 SP1 In den Release Notes finden Sie wichtige Informationen zu Neuerungen und Feh- lerbehebungen im aktuellen Service Pack (SP1), sowie zu Neuerungen und Feh- lerbehebungen im letzten Hotfix (HF1) und zu Neuerungen und Fehlerbehebungen in der Hauptversion. Ebenfalls enthalten sind bekannte Einschränkungen sowie Ergänzungen zur Dokumentation. Die gesamte DriveLock Dokumentation, sowie Links zu den Release Notes der vergangenen und noch unterstützten Versionen finden Sie auf DriveLock Online Help. Hinweis: Beachten Sie bitte, dass es für Managed Security Service eine eigen- ständige Dokumentation und Release Notes gibt, die Ihnen als Managed-Service- Benutzer automatisch zur Verfügung gestellt werden. 5
3 Release Notes 2022.2 3 Release Notes 2022.2 Hier finden Sie alle Änderungen und Verbesserungen sowie Fehlerbehebungen in der aktu- ellen DriveLock Version. 3.1 Service Pack-Version SP1 (Build 22.2.5) 3.1.1 Neuerungen und Änderungen Das Service Pack 1 (SP1) der DriveLock Version 2022.2 umfasst die folgenden neuen Funk- tionen: BitLocker Management l Zur Vermeidung unsicherer Kennwörter kann eine Textdatei mit auszuschließenden Begriffen in der BitLocker Management-Richtlinie angegeben werden. Das Kennwort wird abgelehnt, sobald ein Wort aus der Liste enthalten ist. l Der DriveLock Agent wurde um einen Kommandozeilenparameter blun- lockdatadrives erweitert, der das Entsperren von BitLocker-verschlüsselten Daten- partitionen auch dann ermöglicht, wenn diese zu einem Datenträger gehören, der ursprünglich in einem anderen Client-Computer eingebaut war. Für diesen Parameter ist die Angabe eines zur Anmeldung am DES autorisierten Benutzers erforderlich. BitLocker To Go l Externe Medien (z.B. USB-Sticks), die ursprünglich nicht mit DriveLock BitLocker To Go verschlüsselt worden sind, können jetzt von DriveLock übernommen und verwaltet werden, ohne erneut verschlüsselt werden zu müssen. DriveLock Operations Center (DOC): Ereignisse l Im DOC können im Menü Ereignisse jetzt Benachrichtigungen konfiguriert werden. Dazu werden Benachrichtigungsregeln erstellt, die definieren, welches Ereignis mit welcher Aktion verknüpft ist. Derzeit ist als Aktion nur das serverseitige Senden per E- Mail an einen oder mehrere Empfänger möglich. Inventarisierung l Die AD-Inventarisierung wird jetzt schneller durchgeführt. (Referenz EI-2364) 3.1.2 Fehlerbehebungen 2022.2 SP1 Hier finden Sie Informationen zu Fehlern, die mit DriveLock Version 2022.2 SP1 behoben sind. Als Referenz dienen dabei unsere External Issues (EI) Nummern, sofern vorhanden. 6
3 Release Notes 2022.2 BitLocker Management Bei der Übernahme eines bereits mit BitLocker verschlüsselten Computers wurden in Einzelfällen mehr Protektoren als vor- EI-2336 gesehen erzeugt. Der Kennwortdialog wurde dann wiederholt angezeigt, ohne dass dabei das BitLocker-Kennwort gesetzt wer- den konnte. Wenn über die BitLocker-Verwaltung in Windows ein auto- matisches Entsperren für mindestens eine Datenpartition ein- gerichtet wurde, ist das Entschlüsseln des Systemlaufwerks nach der Übernahme durch den DriveLock-Agent mit der Fehlernummer 0x80310029 fehlgeschlagen. Die BitLocker-Wiederherstellungsinformationen wurden nur gesi- chert, wenn die betreffende Datenpartition nicht gesperrt war. Der Tausch des Wiederherstellungsschlüssels von gesperrten Par- titionen wurde zwar erfolgreich durchgeführt, ein Hochladen des Schlüssels war dagegen nur möglich, wenn die Partition entsperrt war. Bei Verwendung der BitLocker-PBA wurde der Wie- derherstellungsschlüssel erst nach einem erneuten Start des DriveLock-Agenten ausgetauscht, wenn dieser zuvor angefordert wurde. DriveLock Operations Center Bei älteren DriveLock Agent-Versionen wurden die Richt- EI-2368 liniennamen nicht korrekt aufgelöst. 7
3 Release Notes 2022.2 Encryption 2-Go Die in der Encryption 2-Go-Lizenz enthaltene File Encryption-Funk- tionalität funktionierte nicht, wenn eine vollständige File Encryp- tion-Lizenz zwar vorhanden, aber dem DriveLock Agenten nicht zugewiesen war. Risk & Compliance (EDR) Der Import der MITRE Attack Regeln hat nur dann funktioniert, wenn sowohl Lizenzen für Risk & Compliance (EDR) als auch App- EI-2435 lication Control verfügbar waren. Eine Application Control-Lizenz wäre korrekterweise nicht nötig gewesen. System Management (Firewall) Ein Fehler wurde behoben, der beim Laden und Anwenden von Richtlinien mit Firewall-Regeln auftrat, wenn diese in DriveLock EI-2394 Versionen älter als 22.2 erstellt wurden und als Protokolltyp 'Alle' hatten. 8
3 Release Notes 2022.2 3.2 Hotfix-Version HF1 3.2.1 Neuerungen und Änderungen DriveLock Agent l Während der DriveLock Dienst läuft, wird jetzt keine Wartung (Neuinstallation bzw. Reparatur der Agenten-MSI) mehr durchgeführt. Hintergrund: Um Wartungsarbeiten durchzuführen, darf kein DriveLock Dienst laufen. Bisher wurde der Dienst daher immer gestoppt. Jetzt wird hingegen die Wartung abgebrochen, wenn der DriveLock Dienst bereits laufen sollte. (Referenz: EI-2308) DriveLock macOS Agent / DriveLock Operations Center l Das Installationspaket für den DriveLock macOS Agenten kann jetzt direkt im Instal- lationsbereich des DriveLock Operations Center (DOC) heruntergeladen werden. 9
3 Release Notes 2022.2 3.2.2 Fehlerbehebungen 2022.2 HF1 DriveLock 2022.2 HF1 ist ein Hotfix-Release. Dieses Kapitel enthält Informationen zu Fehlern, die mit DriveLock Version 2022.2 HF1 beho- ben sind. Als Referenz dienen dabei unsere External Issues (EI) Nummern, sofern vorhanden. BitLocker Management Ein Fehler bei der Darstellung der Bitlocker-Wie- EI-2356 derherstellungsschlüssel im DOC wurde behoben. Device Control Ein Fehler beim Überprüfen der Datei wds-scan-report.xml EI-1589 wurde behoben. Referenz Disk Protection Wenn Dateifiltertreiber von Drittanbietern mit der DriveLock PBA oder Disk Protection installiert sind, wurde in einigen Fällen das DriveLock EFS (embeded file system) nicht geprüft und repa- riert (EFS Sanity). Referenz DriveLock Agent Nach dem Verbinden von Linux- und macOS-Agenten mit dem EI-2310 DES wird der Status der Agenten vom DOC nun korrekt ange- zeigt und nicht mehr als veraltet. 10
3 Release Notes 2022.2 Referenz File Protection Neues Verschlüsselungsformat: Der Pfad zu einem ver- schlüsselten Ordner darf jetzt diakritische Zeichen enthalten (z.B. die Punkte bei Umlauten oder die französische oder spanische Cedille). Referenz Infrastruktur Ein Fehler wurde behoben, der beim Anwenden der im Kon- EI-2328 figurationsprofil definierten Proxy-Einstellungen für den Benut- zer auftrat. Die Einstellungen werden jetzt richtig zurückgesetzt. Referenz Lizenzen Ein Fehler bei der Berechnung der Benutzerlizenzen wurde beho- EI-2335 ben. 11
3 Release Notes 2022.2 3.3 Hauptversion 3.3.1 Neuerungen und Änderungen Neue Funktionen l USB-Laufwerkskontrolle für Mac Betriebssysteme DriveLock erweitert seine unterstützten Betriebssysteme um die Plattform macOS. Damit können extern angeschlossene USB-Laufwerke auch unter macOS Catalina, Big Sur, Monterey und Ventura gezielt gesperrt oder freigegeben werden. Der DriveLock Agent steht sowohl für Rechner mit Intel-Chip als auch für die ARM-Architektur von Apple zur Verfügung. Hinweis: Der macOS-Agent ist auf Anfrage verfügbar. Bitte wenden Sie sich an Ihren DriveLock Vertriebspartner. l Application Control im DOC Anwendungen können jetzt mithilfe von Anwendungsregeln sehr viel einfacher aus dem DOC heraus freigegeben werden. Auch die Inventar-Ansicht wurde erweitert, wodurch jetzt leichter erkennbar ist, wann bestimmte Anwendungen beispielsweise zum letzten Mal verwendet wurden und auf wie vielen Rechnern sie installiert sind. l File Protection DriveLock führt ein neues Verschlüsselungsformat für die File & Folder Encryption für Betriebssysteme ab Windows 10 ein. Beachten Sie hierzu den Hinweis im Kapitel Update der DriveLock Komponenten. Für Neukunden ist diese neue Verschlüsselung der Standard. Kunden, die bereits verschlüsselte Verzeichnisse eingerichtet haben, können jedoch mit dieser Version die bisherige Verschlüsselung weiterverwenden. l Maskierung von personen- und computerbezogenen Daten (Daten- maskierung/Pseudonymisierung) Im DOC können ab sofort Computer- und Benutzernamen als wesentliche per- sonenbezogene Datensätze so pseudonymisiert/maskiert werden, dass kein direkter Rückschluss auf eine bestimmte Person bzw. deren Verhalten mehr möglich ist. Die wichtigsten Funktionen sind: l Aktivierung und Deaktivierung der Datenmaskierung für die Umgebung eines Mandanten l Konfiguration von Berechtigungen für die Veränderung von Einstellungen zur Datenmaskierung 12
3 Release Notes 2022.2 l Konfiguration der berechtigten Personen, die Daten im Klartext sehen dürfen l Konfiguration der berechtigten Personen, die einen Antrag zur Klartextanzeige freigeben dürfen l Anzeige im Klartext möglich aufgrund einer zugewiesenen Berechtigung, nach einer Genehmigung der Anfrage durch einen weiteren DOC-Benutzer oder nach der Eingabe eines speziellen Freigabecodes durch eine beliebige andere Person l Auswahl von bestimmten Events, bei denen eine Maskierung nie oder immer erfolgen soll l Audit-Ereignisse Spezielle Audit-Ereignisse weisen jetzt auf Änderungen hin, die sich auf die Sicherheit der Umgebung auswirken bzw. auswirken könnten. Das DOC bietet einen zusätzlichen Filter für Audit-Ereignisse, über den alle Änderungen von sicherheitsrelevanten Ein- stellungen lückenlos nachvollzogen werden können. 13
3 Release Notes 2022.2 Verbesserungen Agentenfernkontrolle l Die Agentenfernkontrolle verwendet jetzt standardmäßig nur noch HTTPS. Anonyme Daten l Anonyme Daten / Datenmaskierung: Eine Maskierung von Computer- und Benut- zernamen als wesentliches Merkmal personenbezogener Daten wurde in früheren Ver- sionen durch eine Verschlüsselung von Ereignisinformationen vor der Übertragung an den DriveLock Enterprise Service erreicht. Die verschlüsselten Datensätze konnten danach im DriveLock Control Center nach dem Laden vom DES wieder entschlüsselt werden, wenn die korrekten Zertifikate zur Verfügung standen. In Zukunft bietet DriveLock diese Verschlüsselung von Ereignissen nicht mehr an, sondern integriert die Datenmaskierung komplett in das DOC. Datenbank l Im Datenbank-Installationsassistenten kann jetzt optional eine Datenkonvertierung nach einem Update aktiviert werden. DriveLock Enterprise Service (DES) l Die Datenbankwartung wurde um mehrere Stored Procedures zum Löschen alter Daten erweitert. Bitte passen Sie die manuell konfigurierten Daten- bankwartungsschritte an. Informationen zu diesem Thema finden Sie in unserem "Database Guide" unter den technischen Artikeln auf DriveLock Online Help. (Referenz EI-2222) DriveLock Operations Center (DOC) l Im DOC können nun Zertifikate zur Erzeugung von Offline-Entsperrungs-Ant- wortcodes gespeichert und verwendet werden l Es steht ein neues Standard-Dashboard mit Informationen zum Agenten-Rollout zur Verfügung l Der DriveLock DOC-Companion kann nun als separates Installationspaket bereit- gestellt und installiert werden. Dadurch wird das Rollout in größeren Sys- temumgebungen und bei Freigabeprozessen erleichtert. l Die Anmeldung am DOC kann nun auch über die integrierte Windows-Anmeldung (Active Directory-Benutzer) erfolgen und erspart einen zusätzlichen Anmeldevorgang für den Benutzer. 14
3 Release Notes 2022.2 l Im DOC wird nun in den Computeransichten der aktuelle Online-Status angezeigt. Damit enthält der Administrator die zusätzliche Information, ob ein Computer aktuell für eine Online-Freigabe oder eine Agentenfernverbindung kontaktiert werden kann. l Auch in dieser Version wurde die Benutzerfreundlichkeit im DOC weiter verbessert und Kundenfeedback berücksichtigt: l Die Breite von Listenspalten wird nun in den meisten Rasteransichten bei- behalten, wenn sie manuell angepasst wurde l Benutzer können nun die von ihnen bevorzugte Ansicht beim ersten Aufruf eines Menüpunktes selbst festlegen l Beim Löschen von Computern aus dem DOC bleiben nun vorhandene Wie- derherstellungsinformationen weiterhin in der Datenbank gespeichert, sofern diese nicht explizit gelöscht werden. l Zusätzlich zu den bereits vorhandenen Installationsmethoden steht nun für Cloud-Umgebungen auch ein Download-Link zur Verfügung, der z.B. per E-Mail im Unternehmen verteilt werden kann. DriveLock PBA l BIOS Pre-Boot-Authentifizierung: Ab Version 2022.2 wird die BIOS PBA nicht mehr unterstützt und aus dem Produktumfang entfernt. DriveLock 2021.2 war somit die letzte Version mit einer Anpassung der DriveLock Legacy BIOS Pre-Boot Authen- tifizierung. Hinweis: Bei der Installation eines Agenten der Version 2022.2 wird geprüft, ob eine aktive Legacy BIOS PBA auf dem System vorhanden ist. In diesem Fall wird keine Aktualisierung bzw. Installation des Agenten mehr durchgeführt. l Die DriveLock PBA kann nun bis zum ersten Windows-Login eines Benutzers, der anschließend in die PBA-Konten synchronisiert wird, deaktiviert werden (Auto-Logon Mode). DriveLock Richtlinien-Editor l Stringlist-Eigenschaften innerhalb von DriveLock-Richtlinien können jetzt auch additiv erstellt werden, d.h. eine Stringliste aus einer zugewiesenen Richtlinie überschreibt nicht die Werte derselben Eigenschaft aus einer anderen zugewiesenen Eigenschaft, sondern ergänzt sie nur. Ein Import/Export von mehreren Zeilen per Copy & Paste ist dabei möglich. 15
3 Release Notes 2022.2 Ereignisse l Bei Ereignissen, die zentral vom DES an einen Syslog-Dienst oder per SMTP wei- tergeleitet werden, kann ein Administrator nun konfigurieren, welche dieser Ereignisse nicht berücksichtigt werden sollen. Dadurch können im Zielsystem unerwünschte Ereignisse herausgefiltert werden. Zudem können einzelne Ereignisse vom DES jetzt an ein beliebiges SYSLOG-Ziel weitergeleitet werden. l An den Stored Procedures zum Löschen von alten Ereignissen wurden Änderungen vorgenommen. Details finden Sie im DriveLock Database Guide in der Rubrik Tech- nical Articles auf DriveLock Online Help. l Der Agent meldet jetzt Ereignisse von Drittanbietern, die eingetreten sind, während der Agent nicht lief. l Im Richtlinien-Editor wurde der Knoten EDR in Ereignisse und Alerts umbenannt. Firewall Management l Firewall-Regeln können nun einfach von einem bestehenden System per Agen- tenfernkontrolle ausgelesen und in eine Richtlinie übernommen werden. (Referenz EI- 1765) l Firewall-Regeln können nun alle Einstellungsoptionen berücksichtigen, die auch über Powershell-Befehle verändert werden können. l Die Firewall-Management-Komponente lässt sich jetzt trotz einer vorhandenen Lizenz auf einem DriveLock Agenten komplett deaktivieren. Gruppenverwaltung l Der Knoten Gruppen wurde komplett aus der DriveLock Management Konsole (DMC) entfernt. Gruppen können jetzt vollständig im DOC verwaltet oder angelegt werden. (Referenz EI-2178) l Beim Hinzufügen von Gruppenmitgliedern kann nun zusätzlich ein Kommentar hin- terlegt werden, z.B. die Nummer eines internen Support-Tickets. Damit können Admi- nistratoren den Grund der Änderung dokumentieren. l Dynamische Gruppen können nun auf Basis von zusätzlichen Informationen, wie zum Beispiel Produkt-ID der Hardware oder Computerhersteller und weiteren AD-Eigen- schaften erzeugt werden. Installation l Die Größe der Installationsdatei des DriveLock Agenten wurde in dieser Version um mehr als 20% reduziert und ermöglicht eine schnellere und effizientere 16
3 Release Notes 2022.2 Softwareverteilung. l Zusätzlich zu den bereits vorhandenen Installationsmethoden steht nun für Cloud- Umgebungen auch ein Download-Link zur Verfügung, der z.B. per E-Mail im Unter- nehmen verteilt werden kann. Lizenzen l Testlizenzen sind nur noch über Ihren DriveLock Vertriebspartner erhältlich und wer- den nicht mehr automatisch mit ausgeliefert. (Referenz EI-2123) l Die EDR- bzw. Risk & Compliance Funktionalität muss ab 2022.2 nicht mehr separat lizenziert werden. l Application Control-Lizenzen werden jetzt nicht mehr separat aufgelistet, sondern nur noch als ein kumulierter Eintrag. l Die Lizenzanzeige im DOC wurde um Benutzerlizenzen erweitert. Netzwerk l Die Möglichkeit, eigene Netzwerkverbindungen in der DriveLock Agen- tenbenutzeroberfläche und im Tray Icon der Netzwerkverbindung auszuwählen, wurde entfernt. Security Awareness l Aus Kompatibilitätsgründen werden Security Awareness-Pakete mit Version 22.2 nur an aktuelle Agenten mit Version 22.2 und neuer ausgeliefert. l Es gibt eine neue Version von Security Awareness Kampagnen. 17
3 Release Notes 2022.2 3.3.2 Fehlerbehebungen 2022.2 Dieses Kapitel enthält Informationen zu Fehlern, die mit DriveLock Version 2022.2 behoben sind. Als Referenz dienen dabei unsere External Issues (EI) Nummern, sofern vorhanden. Referenz Application Control Die Zertifikatsprüfung für Predictive Whitelisting wurde ver- bessert. Die temporäre Freigabe wird jetzt korrekt beendet. Referenz BitLocker Management / BitLocker To Go Ein Fehler beim Importieren von BitLocker Management-Zer- tifikaten in eine Richtlinie wurde behoben. Bei der Übernahme bestehender BitLocker-Umgebungen war es möglich, dass das BitLocker-Kennwort bei jedem Richtlinien- Update neu abgefragt und gesetzt wurde. Dieses Verhalten steht EI-2203 im Zusammenhang mit der Anzahl der Wie- derherstellungsschlüssel, die für das zu übernehmende Sys- temlaufwerk eingetragen waren. Das Hochladen der Wiederherstellungsschlüssel konnte fehl- schlagen, wenn das Richtlinien-Update zuvor nicht korrekt oder unvollständig ausgeführt wurde. Referenz Defender Management Beim Mergen von Richtlinien haben Stringlisten in der Defen- 18
3 Release Notes 2022.2 Referenz Defender Management der-Konfiguration teilweise Stringlisten aus anderen Richtlinien nicht korrekt überschrieben. Falls dieses Verhalten gewünscht war, müssen Sie jetzt die Option "Werte anhängen" in der String- liste setzen. Ein Fehler, der die Registrierung von Windows Defender unter EI-2137 bestimmten Umständen verhindert, wurde behoben Referenz Device Control Bei einigen externen Laufwerken gab es ein Zeitproblem, das zu EI-2028 einem BSOD-Fehler (Blue Screen of Death) führte. Ein Fehler wurde behoben, durch den unter bestimmten Umstän- EI-2038 den Gerätesammlungen in Verbindung mit alten db3 CSP-Richt- linien nicht mehr funktionierten. Bluetooth-Geräte waren mit dem Marvell AVASTAR Wireless- EI-1846 Chip nicht verfügbar, wenn das WiFi-Gerät beim Booten deak- tiviert wurde. Der Fehler ist nach dem Neustart behoben. Referenz Disk Protection Ein Fehler wurde behoben, den der datAshur-Stick beim Sys- EI-2098 temstart auslöste. Ein BSOD-Fehler (Blue Screen of Death), der beim Anschluss EI-2179 eines HP OfficeJet 200 Druckers auftrat, wurde behoben. 19
3 Release Notes 2022.2 Referenz DriveLock Agent Der Status der Festplatten-Selbstüberwachung (S.M.A.R.T.) wird jetzt wieder korrekt ausgelesen. Ein Fehler wurde behoben, bei dem der Agent abstürzte, wenn EI-2201 eine extrem lange Seriennummer in einer Laufwerkssammlung vorhanden war. Der Windows Installer hat bei einer Aktualisierung unter Umstän- EI-1995 den nicht alle DriveLock-Dateien ersetzt, was zu einer inkon- sistenten Installation führte. Bei Dateizugriffsereignissen wurde der Prozess bei 128 Zeichen EI-2188 abgeschnitten. Ein Fehler wurde behoben, bei dem der Agent abstürzte, wenn EI-2029 mehrere Remote-Verbindungen vorhanden waren. Die Zeichenkombi "\n" (z.B. C:\windows\system32\notepad.exe) wird jetzt in Nachrichtentexten korrekt angezeigt, statt sie durch einen Zeilenumbruch zu ersetzen. Bei einigen Remote-Control-Ereignissen werden jetzt Feh- lerinformationen vom Agenten übermittelt. Der Agent stürzt nicht mehr ab, wenn die Registrierung des Agen- EI-2159 ten fehlschlägt. Unter Umständen dauerte der Start des DriveLock-Services sehr EI-2122 lange, wenn kein Benutzer angemeldet war. 20
3 Release Notes 2022.2 Referenz DriveLock Agent Änderungen an den Ports in der Windows-Firewall-Richtlinie wer- EI-2020 den jetzt an den Agenten-Computer übertragen. Ein Fehler in der Zertifikatsprüfung des DES wurde behoben, bei EI-2190 dem die Zertifikatssperrlisten-Informationen nicht abgerufen wer- den konnten. Referenz DriveLock Enterprise Service (DES) Die DotNetZip-Bibliothek wurde auf Version 1.16.0 aktualisiert EI-2083 (CVE-2018-1002205). Referenz DriveLock Management Konsole (DMC) Der Reiter Device Scanner Datenbank wird nur noch angezeigt, wenn es passenden Inhalt gibt. Hinweis: Hinweis: Bei Neuinstallationen von DriveLock gibt es diesen Reiter nicht mehr. Beim Erstellen einer neuen SB-Gruppe kam ein endloser Fort- EI-2048 schrittsbalken, sofern keinerlei DriveLock-Gruppen in der Umge- bung existierten. In der RSOP versuchte die DMC unter "Angewendete Richtlinien" die zentral gespeicherten Richtlinien im GPO-Editor statt im EI-2126 Richtlinien-Editor zu öffnen, so dass es zu einer Fehlermeldung kam. 21
3 Release Notes 2022.2 Referenz DriveLock Management Konsole (DMC) In der DMC kann seit 22.1 die Definition von dynamischen Grup- pen nicht mehr editiert werden. Trotzdem wurden beim EI-2111 Anschauen der Gruppen-Eigenschaften die Definitionen gelöscht und die Gruppe somit unbrauchbar. Die Anzahl an bedingten Einstellungsknoten pro Knoten war auf 15 begrenzt. Trotzdem konnte man in der DMC beliebig viele pro Knoten hinzufügen, allerdings konnte die Richtlinie danach nicht mehr in der DMC geöffnet werden - es kam zum Absturz. EI-2084 Das Limit wurde jetzt auf 50 erhöht, es können nicht mehr mehr als 50 hinzugefügt werden, und beim (unwahrscheinlichen) Öff- nen einer Richtlinie, die trotzdem mehr enthält kommt es nicht mehr zum Absturz. Nach einem Update auf 21.2 oder neuer konnte bei Agenten EI-2054 älter als 21.2 die Agentenkonfiguration nicht mehr über die DMC angepasst werden. Referenz DriveLock Operations Center (DOC) Das Abfragen der lokalen Whitelist vom Agenten aus der DMC heraus, funktioniert jetzt auch, wenn der Vorgang bis zu 2 Minu- EI-1980 ten dauert. Bisher wurde nach 15 Sekunden ein Fehler ange- zeigt. Wenn ein Widget nach dem Anlegen verändert oder ein benut- zerdefiniertes Widget angelegt wurde, werden einige, nicht mehr unterstützte Eigenschaften bei einer Aktualisierung als ver- 22
3 Release Notes 2022.2 Referenz DriveLock Operations Center (DOC) altet dargestellt Die Eingabe eines falschen Kennworts in der DOC-Anmel- demaske führt nicht mehr dazu, dass mehrere fehlerhafte Anmel- EI-2073 deversuche im AD registriert werden. Dies konnte zu einer vorzeitigen Sperrung des Benutzerkontos führen. Fehler bei der Anzeige der Application Control-Lizenz für Agen- EI-2030 ten älter als 21.2 behoben Beim Erzeugen eines Filters für die Windows-/DriveLock-Version bei dynamischen Gruppen im DOC wird jetzt auch eine Drop- down-Liste mit vordefinierten Werten angeboten Bei der Gruppierung nach Text bzw. Ereignis-ID konnte es dazu kommen, dass bei Ereignissen von Drittanbietern die angezeigte ID bzw. der Text nicht dem des Ereignisses entsprach. Die Laufwerksliste zeigte keine Laufwerke an, wenn die Richtlinie mit DOC Companion geöffnet wird. Eine temporäre Freigabe mittels Challenge/Response über das EI-1525 DOC mit schwachen Codes zeigte keine Fehlermeldungen an, wenn das Kennwort oder der Response Code falsch war. Referenz DriveLock Pre-Boot-Authentifizierung Die Information darüber, dass eine zuvor deaktivierte PBA wie- EI-2118 der aktiv ist, wurde wiederholt angezeigt. 23
3 Release Notes 2022.2 Referenz DriveLock Pre-Boot-Authentifizierung Das Problem des fehlenden Single-Sign On beim ersten Start nach dem Update der DriveLock PBA ist behoben. Referenz DriveLock Tools Der DriveLock Support Companion stürzt beim Einsammeln der EI-1985 Systeminformationen auf Windows XP nicht mehr ab. Der DOC-Companion unterstützt jetzt Wildcards für Proxy- EI-1975 Bypass-Listen. Referenz Encryption 2-Go Laufwerks-Regeln in der DMC: Wenn man die erzwungene Ver- schlüsselung aktivierte und den Dialog schloss, ohne vorher EI-2074 noch auf den Reiter Zugriffsrechte zu wechseln, wurden invalide Werte für die Regel abgespeichert. Referenz Ereignisse Bei Ereignissen von Drittanbietern wird der Benutzer jetzt ange- zeigt. EI-2093 Bei einigen Remote-Control-Ereignissen fehlten Parameter. EI-1986 Das Ereignis 443 zeigt jetzt sowohl die ID als auch den Namen 24
3 Release Notes 2022.2 Referenz Ereignisse der Komponenten. Referenz File Protection Die File Protection-Entschlüsselung funktionierte nicht immer auf Netzwerkfreigaben, wenn der Ordner gemountet war und der verschlüsselte Ordner sich direkt in der Freigabe befand. Es war in der DMC nicht möglich, einen AD-Benutzer aus einer EI-2086 anderen vertrauenswürdige Domäne zu importieren (für DriveLock File Protection\Benutzer und Gruppen). Lizensierung Es wurde ein falsches Enddatum des Abonnements angezeigt, EI-2018 wenn keine Device Control-Lizenz vorhanden war. Wenn nach einem Update eine alte Richtlinie geöffnet und der Lizenz-Reaktivierungsassistent abgebrochen wurde, wurde die EI-2046 Lizenz aus der Richtlinie entfernt. Dies führt ggf. zu unerwartetem Systemverhalten. Es kommt daher jetzt beim Abbrechen des Assis- tenten eine entsprechende Warnmeldung. Referenz Protokollierung EI-2078 Die Einstellungen für die sehr ausführliche Protokollierung wur- 25
3 Release Notes 2022.2 Referenz Protokollierung den nicht korrekt entfernt. Die Protokollierung in der DMC wird nun während der Instal- EI-2049 lation aktiviert. Referenz System Management Nach dem Setzen der Remote-Ports einer Firewall-Regel wurden diese zwar korrekt in der Richtlinie abgespeichert. Nach dem EI-2021 neu Öffnen des Eigenschaften-Dialogs der Regel sah es aber so aus, als wären die Ports nicht gespeichert worden. Die Komponenten "Energieverwaltung" sowie "Lokale Benutzer EI-1986 und Gruppen" können jetzt unter Windows XP geladen werden und produzieren keine Ereignisse mit der ID 443. Referenz Terminal Services Tragbare Mediengeräte (z. B. Kameras, Mediaplayer) werden jetzt EI-1497 in Terminaldienstumgebungen verwaltet, wenn sie über eine Ter- minalsitzung (im ICA- oder RDP-Protokoll) angeschlossen sind. Es war nicht möglich, verschlüsselte Container unter demselben Laufwerksbuchstaben in zwei verschiedenen Citrix-Ter- EI-1915 minalsitzungen zu mounten, wenn USB-Sticks mit dem gene- rischen Kanal verbunden waren. 26
4 Systemvoraussetzungen 4 Systemvoraussetzungen Die in diesem Abschnitt genannten Werte stellen Empfehlungen und Min- destanforderungen dar. Je nach Konfiguration von DriveLock, der verwendeten Kom- ponenten und Funktionen sowie Ihrer Systemumgebungen können die tatsächlichen Voraussetzungen davon abweichen. 4.1 DriveLock Agent Der DriveLock Agent kann auf verschiedenen Versionen von Windows, Linux und MacOS installiert werden. Betriebssystem Versionen Windows 11 Ab 21H2, nur Editionen Pro / Enterprise Windows 10 Ab 20H2, nur Editionen Pro / Enterprise Windows 10 LTSC alle LTSC-Versionen bis Ablauf des jeweiligen Extended Support Windows Server 2016, 2019, 2022 Windows 7 SP1 Enterprise / Ultimate mit Extended Support. Windows 7 Hinweis: Ab einem bestimmten Zeitpunkt nach Ver- öffentlichung der Version 2022.2 wird bei War- tungsverlängerung oder Neukauf eine zusätzliche Legacy Support Lizenz für den Betrieb auf Windows 7 Systemen benötigt. Windows XP SP3, zusätzliche Legacy Support Lizenz von DriveLock notwendig. Windows XP Hinweis: Version 2022.2 ist die letzte DriveLock Version, die das Betriebssystem Windows XP unterstützt. Linux CentOS 8, Debian 11, Fedora 34, IGEL OS 11.05, Red Hat Enter- 27
4 Systemvoraussetzungen Betriebssystem Versionen prise Linux 5, Suse 15.3, Ubuntu 20.04 oder neuere Versionen Catalina, Big Sur, Monterey und Ventura – sowohl Intel- als auch macOS ARM-Architektur Der Windows DriveLock Agent ist grundsätzlich verfügbar für AMD-/Intel X86-basierte Sys- teme (32-Bit und 64-Bit Architektur). Für den Einsatz des DriveLock Agenten wird ein 64-Bit System empfohlen. Server-Betriebssysteme werden ausschließlich unter 64-Bit unterstützt. Einschränkungen der einzelnen Funktionen sind weiter unten beschrieben. Achtung: Beachten Sie, dass .NET Framework 4.7.2 für den DriveLock Agenten auf allen Windows-Betriebssystemen benötigt wird. 28
4 Systemvoraussetzungen Folgende Tabelle bietet Ihnen einen Überblick über den Funktionsumfang, der auf einem bestimmten Betriebssystem verfügbar ist. l Vollständiger Funktionsumfang: (ü) l Reduzierter Funktionsumfang: (i) l Keine Unterstützung: (S) Feature Betriebssystem / Funktionen Win- Win- Win- Win- Mac dows 10 dows Linux dows 7 dows XP OS / 11 Server Device ü ü i i i i Control Application ü ü ü i i S Control Encryption ü ü ü ü i i 2-Go BitLocker ü ü i S S S To Go BitLocker Mana- ü ü i S S S gement Security Awareness Mul- ü ü ü S S S timedia- Kampagnen 29
4 Systemvoraussetzungen Feature Betriebssystem / Funktionen Defender Mana- ü ü S S S S gement Vul- nerability ü ü ü S S S Mana- gement Security Con- figuration ü ü ü S S S Mana- gement Disk ü(*) S S S S S Protection File ü ü i S S S Protection (*): Disk Protection ist auf Windows 10 und neuer nur noch für UEFI-Systeme freigegeben, die BIOS-Unterstützung ist abgekündigt. Hinweis: Security Awareness: Bitte beachten Sie, dass ab Version 22.1 Content- AddOn-Pakete nur dann korrekt angezeigt werden können, wenn auf den Agenten Microsoft Edge WebView2 installiert ist . Folgen Sie bitte dem Download-Link: htt- ps://developer.microsoft.com/en-us/microsoft-edge/webview2/#download- section. Bei Windows 11 ist Microsoft Edge WebView2 bereits automatisch instal- liert. 30
4 Systemvoraussetzungen Details zu Einschränkungen für Betriebssysteme, bei denen nur ein Teil der DriveLock Features genutzt werden kann: 1. Einschränkungen Windows Server l Die DriveLock Pre-Boot Authentifizierung steht für Server-Betriebssysteme nicht zur Verfügung. l Einstellungen für den Microsoft Defender können erst ab Windows Server 2016 verwendet werden. 2. Einschränkungen Windows 7 Stellen Sie sicher, dass der letzte verfügbare Patch-Stand auf dem Windows 7 Client installiert ist. l Generell: l Nach einem Update, einer Installation oder Deinstallation des DriveLock Agenten unter Windows 7 x64 stürzt der Explorer (explorer.exe) mög- licherweise ab. Dies tritt nur dann auf, wenn die Windows-Ein- gabeaufforderung mit Admin-Rechten geöffnet und das System seit dem Update/Installation/Deinstallation des Agenten nicht neu gestartet wurde. l KB3140245 muss auf Windows 7 installiert sein Weitere Informationen dazu finden Sie hier und hier. Ohne dieses Update kann WinHTTP keine TLS Einstellungen ändern und der Fehler 12175 erscheint in dlwsconsumer.log und DLUpdSvx.log. l KB3033929 (SHA-2 code signing support) muss auf Windows 7 64-bit installiert sein. l DriveLock Service ergänzt fehlende Registry-Werte für TLS 1.2 Ver- bindungen auf Computern mit Windows 7. Folgende Registry-Werte sind neben dem KB3140245 die Voraussetzung für die Kommunikation mit dem DES: l [HKEY_LOCAL_MACHINE\SYSTEM\Cur- rentCon- trolSet\Con- trol\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]"Enabled"=dword:00000001 l [HKEY_LOCAL_MACHINE\SYSTEM\Cur- rentCon- 31
4 Systemvoraussetzungen trolSet\Con- trol\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]"Enabled"=dword:00000001 l [HKEY_LOCAL_MACHINE\SOFTWARE\Mi- cro- soft\Win- dows\CurrentVersion\InternetSettings\WinHttp] "DefaultSecureProtocols"=dword:00000800 Hinweis: Falls der Wert DefaultSecureProtocols schon existiert, addieren Sie den Wert 0x00000800 für TLS 1.2 hinzu. l BitLocker Management: l Nur für Windows 7 SP1 Enterprise und Ultimate verfügbar, 64-Bit - TPM- Chip ist erforderlich l BitLocker verschlüsselt unter Windows 7 nicht, wenn die Optionen "wenn der Bildschirmschoner konfiguriert und aktiv ist" und "wenn keine Anwen- dung im Vollbildmodus ausgeführt wird" aktiviert sind. l BitLocker To Go: l Nur für Windows 7 SP1 Enterprise und Ultimate verfügbar l Device Control: l Die Bluetooth-Optionen in den Sperreinstellungen für Geräte können unter Windows 7 nicht verwendet werden. l File Protection: l Unter Windows 7 steht für das neue Verschlüsselungsformat nur die ein- geschränkte Funktionalität und für das alte Verschlüsselungsformat nur der bisherige Legacy Treiber nur zur Verfügung. Das passende Ver- schlüsselungsformat wird automatisch ausgewählt. l Security Awareness Multimedia-Kampagnen: l Um auch Security Awareness Multimedia-Kampagnen anzeigen zu kön- nen, wird eine lokale Installation von WebView2 für Windows 7 benötigt. Weitere Informationen dazu sind hier zu finden: htt- ps://docs.microsoft.com/en-us/microsoft-edge/webview2/ 32
4 Systemvoraussetzungen 3. Einschränkungen Windows XP Hinweis: DriveLock 2022.2 ist die letzte Agenten-Version, die Windows XP unterstützt. Zukünftige DriveLock Versionen können nicht mehr auf Windows XP installiert werden. l Device Control: Nur digitale Kameras funktionieren (unter XP sind UMDF- und WPD-Fra- meworks vorhanden), die Bluetooth-Funktionalität ist nicht verfügbar l Application Control: Application Behavior Control: Registry Check funktioniert nicht, Regeln mit die- ser Konfiguration werden ignoriert 4. Einschränkungen macOS l Device Control: In dieser Version können nur USB-angeschlossene Laufwerke, die aufgrund ihrer Hardware ID identifiziert werden, blockiert oder zugelassen werden. Zusätzlich sind derzeit folgende Einschränkungen zu berücksichtigen: l Eigene Regeltypen für Whitelisting müssen konfiguriert werden (Hardware ID statt Product ID/Vendor) l Keine Freigabe für bestimmte Benutzer oder Benutzergruppen l Kein Dateifilter und Auditing l Keine erzwungene Verschlüsselung l Keine Freigabe von bereits mit Encryption 2-Go verschlüsselten Lauf- werken l Keine Self-Service Funktionalität l Encryption 2-Go: l Für macOS steht wie bisher für die Entschlüsselung von externen USB-Lauf- werken die Mobile Encryption Application (MEA) zur Verfügung. l Der macOS-Agent ist noch nicht in der Lage, Laufwerke mit einem Encryp- tion 2-Go Container automatisch zu entschlüsseln. Weitere Informationen zum macOS-Agent entnehmen Sie bitte der separat ver- fügbaren macOS-Dokumentation auf DriveLock Online Help. 33
4 Systemvoraussetzungen 5. Einschränkungen Linux l Device Control: l Eigene Regeltypen für Whitelisting müssen konfiguriert werden (Hardware ID statt Product ID/Vendor) l Keine Freigabe für bestimmte Benutzer oder Benutzergruppen l Kein Dateifilter und Auditing l Keine erzwungene Verschlüsselung l Application Control: l DriveLock Application Control benötigt für den Einsatz auf Linux-Agenten Linux Kernel Version > 5. l Application Control kann nicht zusammen mit IGEL OS verwendet werden. l Keine der Application Behavior Control Funktionen stehen unter Linux zur Verfügung. l Encryption 2-Go: l Container bzw. verschlüsselte USB-Laufwerke können nicht erstellt, son- dern nur verbunden werden. Weitere Informationen zum Linux Client und den Limitierungen der Funktionalität ent- nehmen Sie bitte der separat verfügbaren Linux-Dokumentation auf DriveLock Online Help. 6. Einschränkungen für Terminal Server Umgebungen und Thin-Clients l Der DriveLock Agent benötigt folgende Systemvoraussetzungen, damit die DriveLock Device Control Funktionalität grundsätzlich genutzt werden kann: l XenApp 7.15 oder neuer (ICA). l Windows Server 2016 oder neuer (RDP). l Das Anlegen von durch DriveLock File Protection verschlüsselten Ordnern auf dem Terminal Service ist nicht unterstützt. l Security Awareness Kampagnen für Benutzer bei der Anmeldung und bei ICA- Laufwerksverbindungen stehen bei der Verwendung von Thin-Clients ohne installiertem DriveLock Agenten nicht zur Verfügung. 34
4 Systemvoraussetzungen 4.2 DriveLock Management Konsole (DMC) Bevor Sie die DriveLock Management Konsole installieren, stellen Sie bitte sicher, dass der Computer für eine vollständige Funktionalität diese Voraussetzungen erfüllt. Hauptspeicher: l mind. 4 GB RAM Freier Festplattenspeicherplatz: l ca. 350 MB Benötigte zusätzliche Windowskomponenten: l .NET Framework 4.8 oder höher Unterstützte Plattformen: Die Management Konsole 2022.2 SP1 wurde getestet und freigegeben auf den aktuellsten Ständen der Windows Versionen, die zum Zeitpunkt des Release offiziell verfügbar waren und die bei Microsoft das Ende des Service-Zeitraumes noch nicht erreicht haben. Im Kapi- tel DriveLock Agent finden Sie eine Auflistung der Windows Versionen, die DriveLock unter- stützt. Achtung: Die DriveLock Management Console steht nur als 64-bit Anwendung zur Verfügung. 4.3 DriveLock Enterprise Service Bevor Sie den DriveLock Enterprise Service auf einem Rechner installieren, stellen Sie bitte sicher, dass der Computer für eine vollständige Funktionalität diese Voraussetzungen erfüllt. Hauptspeicher / CPU: l mind. 8 GB RAM, CPU x64 mit 2,0GHz und EM64T (Extended Memory Support) Freier Festplattenspeicherplatz: l mind. 4 GB, bei der Verwendung von Security Awareness Content (Video) wird ein freier Speicher von mind. 15 GB empfohlen. l Soll auf dem Server gleichzeitig noch eine SQL-Datenbank betrieben werden, sind zusätzlich zu der dafür notwendigen Festplattenkapazität auch noch mind. 10 GB für die Speicherung der DriveLock Daten vorzusehen. Benötigte zusätzliche Windowskomponenten: 35
4 Systemvoraussetzungen l .NET Framework 4.8 oder höher ist Voraussetzung für die Installation! Hinweis: Die Größe der DriveLock Datenbank wird maßgeblich von der Anzahl und dem Zeitraum der gespeicherten DriveLock Events beeinflusst und kann je nach Sys- temumgebung stark variieren. Eine genaue Vorgabe ist daher an dieser Stelle nicht möglich. Genaue Werte sollten in einer Teststellung mit den geplanten Ein- stellungen über einen Zeitraum von mindestens einigen Tagen ermittelt werden. Diese können dann als Grundlage für die Berechnung der benötigten Spei- cherkapazität dienen. Benötigte DriveLock API Services Ports (DOC/MQTT): l 5370, 6369 und 4369: Diese drei Ports sollten nicht durch andere Server-Dienste belegt werden, sie müssen jedoch nicht von außen erreichbar sein (nur intern) l 8883: Die Agenten verbinden sich auf diesen Port mit dem DES, um per Agen- tenfernsteuerung erreichbar zu sein. Die Freigabe in der lokalen Firewall des Rechners erfolgt automatisch durch das DES-Installationsprogramm. Unterstützte Plattformen: l Windows Server 2012 R2 64-Bit (Mindestvoraussetzung für das DriveLock Operations Center) Hinweis: Windows Server 2012 R2 erfordert eine Installation von SQL Express 2017, bevor DriveLock Version 2020.1 erfolgreich installiert werden kann. Hinweis: Diese Version 2022.2 ist die letzte Version, die eine Installation auf dem Betriebssystem Windows Server 2012 R2 unterstützt. l Windows Server 2016 64-Bit l Windows Server 2019 64-Bit l Windows Server 2022 64-Bit Auf einem Windows 10 Client Betriebssystem sollte ein DES nur als Testinstallation betrie- ben werden. Achtung: Der DES steht ausschließlich als 64-bit Anwendung zur Verfügung. 36
4 Systemvoraussetzungen Unterstützte Datenbanken: l SQL-Server 2014 (Mindestvoraussetzung für das DriveLock Operations Center) oder neuer. Diese Version 2022.2 ist die letzte Version, die SQL-Server 2014 unterstützt. l SQL-Server Express 2017 oder neuer (für Installationen mit bis zu 200 Clients und Tes- tinstallationen) Achtung: Der DES benötigt den Microsoft SQL-Server 2012 Native Client Ver- sion 11.4.7001.0. Ist diese Komponente noch nicht installiert, geschieht dies auto- matisch vor der eigentlichen Installation des DES. Wenn eine ältere Version bereits installiert ist, wird diese automatisch aktualisiert. Hinweis: Bitte entnehmen Sie die Systemvoraussetzungen für die Installation der SQL-Datenbank bzw. von SQL-Express der entsprechenden Microsoft Doku- mentation. Achtung: Für die Datenbankverbindung zwischen dem DriveLock Operations Center und der Datenbank wird eine TCP/IP Verbindung benötigt. 4.4 DriveLock Operations Center (DOC) Seit der Version 2021.2 wird kein MSI-Installationsprogramm für eine lokale Installation des DriveLock Operations Center (DOC.exe) mehr ausgeliefert. Alle Funktionen, die zusätzlich zur Webanwendung in der DOC.exe zur Verfügung standen, wurden auf andere Weise in unsere DOC-Plattform integriert (DOC Companion). Somit entfällt die Notwendigkeit einer zusätzlichen Applikation. Hinweis: Das web-basierte DriveLock Operations Center ist in der Installation des DES enthalten und keine eigenständige Komponente. Es wird über einen Browser aufgerufen. Das DriveLock Operations Center ist nur für AMD / Intel X86 basierte 64-Bit Systeme ver- fügbar. Bitte beachten Sie auch folgende Hinweise. 37
5 Update von DriveLock 5 Update von DriveLock Wenn Sie auf neuere Versionen von DriveLock aktualisieren, beachten Sie bitte folgende Informationen. 5.1 Update des DriveLock Agenten Beachten Sie bitte folgendes, wenn Sie den DriveLock Agenten auf eine neuere Ver- sion aktualisieren: 1. Vor dem DriveLock Agent-Update: l Prüfen Sie, ob der DriveLock Update Service dlupdate auf dem System vor- handen ist und entfernen Sie diesen gegebenenfalls. l Wenn Sie den Agenten mit Hilfe des Autoupdate-Mechanismus von DriveLock aktualisieren, setzen Sie in der DriveLock Richtlinie die Einstellungen für die Automatische Aktualisierung folgendermaßen: l Wählen Sie die Option Zur Aktualisierung des Agenten neu starten aus und setzen den Wert für eine Verzögerung durch einen Benutzer auf 0, um die Zeit zu einem Neustart des Rechners möglichst kurz zu halten. l Setzen Sie außerdem folgende Einstellungen: l DriveLock-Agentendienste im Nicht-beenden-Modus starten: Deak- tiviert l Kennwort zum Deinstallieren von DriveLock: Nicht konfiguriert l Wenn Sie eine Festplattenverschlüsselung im Einsatz haben, muss die Ver- zögerung für eine mögliche Deinstallation in den Verschlüsselungseinstellungen auf mindestens 5 Tage gesetzt werden. l Bei der Verwendung von BitLocker Management muss vor der Aktualisierung fol- gendes beachtet werden: Details finden Sie in der BitLocker Management Dokumentation auf DriveLock Online Help Die Einstellung für die Verschlüsselung Keine Entschlüsselung durchführen verhindert eine mögliche Änderung des Verschlüsselungsstatus der DriveLock Agenten. Vor der Aktualisierung ist es daher notwendig, dass diese Option in der aktuellen Verschlüsselungsrichtlinie aktiviert und die Richtlinie im Anschluss gespeichert und veröffentlicht wird. l Bei der Verwendung von Disk Protection muss vor der Aktualisierung folgendes beachtet werden: 38
5 Update von DriveLock Bei einem Update werden Agenten mit BIOS-Systemen, die Disk Protection bereits installiert haben, nicht mehr aktualisiert und bleiben auf dem jeweiligen Stand, bis die Disk Protection deinstalliert wurde. 2. Während des DriveLock Agent-Updates: l Führen Sie die Aktualisierung mit einem privilegierten Administrator-Konto durch. Das ist beim Autoupdate bereits automatisch der Fall. 3. Nach dem DriveLock Agent-Update: l Zur Aktualisierung der Treiberkomponenten ist ein Neustart nach dem DriveLock Agent-Update erforderlich. Fügen Sie diesen Schritt bei einer Aktua- lisierung durch eine Softwareverteilung in den Update-Ablauf ein bzw. starten Sie den aktualisierten Rechner manuell neu. 5.2 Update des DriveLock Enterprise Service (DES) Beim Update des DES von Version 2021.1 auf höhere Versionen ist folgendes zu beachten: Um die Aktualisierung erfolgreich durchführen zu können, benötigen Sie eine gültige Lizenz inklusive Wartung. Diese muss in Ihrem aktuell laufenden System in der Datenbank des DES gespeichert sein oder über die DMC erneuert und hochgeladen werden, bevor die Aktua- lisierung gestartet wird. 5.3 Update der DriveLock Komponenten Das DriveLock Installationshandbuch beschreibt alle notwendigen Schritte, die bei einem Update auf die aktuellste Version durchzuführen sind. Die Release Notes enthalten zusätz- lich besonders wichtige Punkte, die Sie bei einer Aktualisierung beachten sollten. Achtung: Das bestehende selbst-signierte DES-Zertifikat kann bei einem Update von Version 7.x auf 2019.1 oder höher nicht mehr verwendet werden und wird durch ein neu erzeugtes Zertifikat ersetzt. Dieses kann dann automatisch als selbst- signiertes Zertifikat erstellt und im Zertifikatsspeicher des Computers gespeichert werden. Bei einem Update von 2019.1 oder höher auf neuere Versionen können Sie das selbst-signierte DES-Zertifikat hingegen weiter verwenden. Update der DriveLock Management Konsole (DMC) Bei einem Update von DriveLock Version 7.7.x auf höhere Versionen muss folgender Wor- karound durchgeführt werden, um die DMC zu aktualisieren: Benennen Sie die DLF- deRecovery.dll um und installieren Sie dann die DMC neu. 39
5 Update von DriveLock Update der DriveLock Datenbank Bei einer Aktualisierung von Version 2020.1 oder älter auf neuere Versionen werden die bei- den DriveLock-Datenbanken zusammengeführt. In diesem Fall ist ein zusätzlicher Migra- tionsschritt nötig. Weitere Informationen finden Sie in dem Technischen Artikel TA- Datenbankmigration auf DriveLock Online Help - Technical Articles. Update von Disk Protection Nach dem Update des DriveLock Agenten wird eine ggf. vorhandene FDE Installation ohne Neuverschlüsselung automatisch auf die neueste Version aktualisiert. Nach dem Update der FDE muss ggf. ein Neustart erfolgen. Wir haben weitere Informationen, die für ein Update der DriveLock Disk Protection bzw. ein Update des Betriebssystems bei einer installierten DriveLock Disk Protection wichtig sind, in dem Dokument TA - Windows 10 Upgrade with Drivelock Disk Protection für Sie zusam- mengestellt, ebenfalls auf DriveLock Online Help - Technical Articles. Update von File Protection auf Version 2022.2 Für die Dateiverschlüsselung wurde ein neues Verschlüsselungsformat eingeführt. Dieses neue Format wird jetzt standardmäßig auf neue DriveLock Agenten angewendet. Bei Bestandsagenten wird das alte Format beibehalten. Das Format wird mit der neuen File Pro- tection-Einstellung Verwendete Verschlüsselungsformate geregelt. Sie können bei Bedarf ein bestimmtes Verschlüsselungsformat explizit festlegen. Hinweis: Neues und altes Verschlüsselungsformat sind nicht kompatibel und müs- sen in separaten Richtlinien abgebildet werden. Weitere Informationen finden Sie im Kapitel File Protection in der Encryption-Dokumentation auf DriveLock Online Help. l DFS-Unterstützung l Die Verschlüsselungsformate Altes Format und Altes Format (alter Treiber) unterstützen DFS nicht. Achtung: Wenn Sie bisher eine Version älter als 2021.2 verwendet haben, stellen Sie vor dem Update auf Version 2022.2 sicher, dass keine verschlüsselten Ordner auf DFS-Netzlaufwerken vorhanden sind. l DFS-Freigaben werden mit der Option Neues Format unterstützt, auch wenn sie nicht nur den primären Server verwenden. Getestet wurde dies auf Windows 40
5 Update von DriveLock Server 2022 und Windows Server 2019. 5.4 Manuelle Updates Ein manuelles Update des Agenten schlägt fehl, sofern DriveLock Agent.msi aus dem Windows Explorer (z.B. per Doppelklick) und ohne Berechtigungen eines lokalen Admi- nistrators gestartet wurde. Starten Sie in diesem Fall das MSI-Paket aus einem admi- nistrativen Befehlsfenster per msiexec oder nutzen Sie DLSetup.exe. Update von älteren auf neuere DriveLock Versionen Wird ein Client-Update manuell über das Starten von msiexec oder DLSetup.exe durch- geführt, kann es vorkommen, dass sich der Windows Explorer nicht korrekt beendet. In der Folge verschwindet die Benutzeroberfläche von Windows (schwarzer Bildschirm) und wird auch nach dem Agent-Update nicht neu gestartet. In diesem Fall muss über den Task-Mana- ger der Explorer manuell gestartet werden bzw. ein Reboot initiiert werden. Dies betrifft vor allem Kunden, die Clientmanagement-Software verwenden, die möglicherweise die msiexec in einer Benutzer-Session ausführen. Das Problem lässt sich dadurch beheben, dass man dem msiexec-Aufruf folgende Parameter mitgibt: l MSIRESTARTMANAGERCONTROL=Disable l MSIRMSHUTDOWN=2 41
6 Bekannte Einschränkungen 6 Bekannte Einschränkungen Dieses Kapitel enthält bekannte Einschränkungen der vorliegenden DriveLock-Version. Bitte lesen Sie diese Informationen sorgfältig, um unnötigen Test- und Supportaufwand zu ver- meiden. 6.1 BitLocker Management Unterstützte Editionen und Versionen DriveLock BitLocker Management wird auf folgenden Systemen unterstützt: l Windows 7 SP1 Enterprise und Ultimate, 64-Bit, TPM-Chip ist erforderlich l Windows 8.1 Pro und Enterprise, 32/64-Bit l Windows 10 Pro und Enterprise, 32/64-Bit Vorhandene BitLocker Umgebung Hinweis: Möchten Sie eine bereits vorhandenen Systemumgebung verwalten, die bereits mit BitLocker verschlüsselte Computer enthält, müssen diese seit Version 2019.1 nicht mehr zuvor über die vorhandene BitLocker Verwaltung bzw. die Grup- penrichtlinien entschlüsselt werden. DriveLock erkennt die BitLocker Ver- schlüsselung automatisch und erzeugt neue Wiederherstellungsinformationen. Eine automatische Ent- und Verschlüsselung wird nur dann durchgeführt, wenn der in der DriveLock Richtlinie konfigurierte Verschlüsselungsalgorithmus sich vom der- zeitigen Algorithmus unterscheidet. Anschließend ist eine Verwaltung durch DriveLock BitLocker Management möglich und eine sichere Speicherung und Verwendung der Wiederherstellungsinformationen gewährleistet. Verwendung von Kennwörtern DriveLock BitLocker Management vereinfacht die missverständliche Unterscheidung zwi- schen PINs, Passphrases und Kennwörtern, indem nur noch der Begriff "Kennwort" ver- wendet wird. Gleichzeitig wird ein solches Kennwort automatisch im richtigen BitLocker Format benutzt, entweder als PIN oder als Passphrase. Da Microsoft jedoch unterschiedliche Anforderungen an die Komplexität von PIN und Pass- phrase stellt, gelten für das Kennwort folgende Einschränkungen: l Mindestlänge: 8 Zeichen. In bestimmten Fällen sind auch 6 Zeichen (Zahlen) möglich, mehr hierzu in der aktuellen BitLocker Management Dokumentation auf DriveLock Online Help. l Maximale Länge: 20 Zeichen 42
Sie können auch lesen