Übergeordnetes Thema: Full Disk Encryption Verteilung

Den Full Disk Encryption Agent installieren

Um Full Disk Encryption zu installieren, führen Sie folgende Schritte durch.

  1. Stellen Sie sicher, dass alle Voraussetzungen zur Agent-Installation erfüllt sind.

    Weitere Informationen finden Sie unter Voraussetzungen zur Agent-Installation.

  2. Stellen Sie sicher, dass die Festplatte nicht bereits verschlüsselt, kein anderes Produkt zur vollständigen Festplattenverschlüsselung installiert und Microsoft BitLocker deaktiviert ist.
  3. Führen Sie ein Dienstprogramm zur Festplattenintegrität auf dem Systemlaufwerk aus.

    Um beispielsweise das Windows-Dienstprogramm Check Disk auszuführen, öffnen Sie die Eingabeaufforderung und führen Sie chkdsk /f /r aus. Windows führt Check Disk beim nächsten Neustart aus.

    Falls fehlerhafte Sektoren gefunden werden, reparieren oder ersetzen Sie die Festplatte je nach Hardwarerichtlinie Ihres Unternehmens.

  4. Defragmentieren Sie das Systemlaufwerk.
  5. Kopieren Sie die Installationsdateien auf das Systemlaufwerk.
  6. Starten Sie TMFDEInstall.exe.
    Anmerkung:

    Wenn das Fenster Benutzerkontensteuerung angezeigt wird, klicken Sie auf Ja, damit das Installationsprogramm Änderungen am Endpoint Encryption Gerät vornehmen kann.

    Das Installationsprogramm von Full Disk Encryption prüft den Endpunkt auf Installationsprobleme. Beim Erkennen einer Systeminkompatibiltität wird das Installationsprogramm geschlossen und am selben Speicherort wie das Installationsprogramm wird der Text PreInstallCheckReport.txt generiert. Weitere Informationen finden Sie unter Präinstallationsprüfung.

  7. Geben Sie die folgenden PolicyServer-Informationen an:
    Option Bezeichnung

    Servername:

    Geben Sie die PolicyServer-IP-Adresse, den Host-Namen oder FQDN an und ebenso die Portnummer zu dieser Konfiguration.

    Unternehmen

    Geben Sie das Unternehmen ein. Nur ein Unternehmen wird unterstützt.

    Benutzername

    Geben Sie den Benutzernamen eines Kontos ein, dass über die Berechtigung verfügt, Geräte dem Unternehmen hinzuzufügen.

    Kennwort

    Geben Sie das Kennwort für den Benutzernamen ein.

    Forcesoftware

    (Optional) Zwingt Full Disk Encryption zur Verwendung von Softwareverschlüsselung anstelle von Hardwareverschlüsselung.

    Diese Option empfiehlt sich für SED-Festplatten.

    Warnung:

    Full Disk Encryption kann nicht auf SED-Festplatten installiert werden, die an Geräte mit UEFI angeschlossen sind, wenn diese Festplatten zuvor von Windows Bitlocker verwaltet wurden. Führen Sie zur Installation von Full Disk Encryption auf diesen Festplatten eine der folgenden Aufgaben durch:

    • Konfigurieren Sie Full Disk Encryption, um softwarebasierte Verschlüsselung zu verwenden, indem Sie den Parameter FORCESOFTWARE während der Installation hinzufügen.

    • Setzen Sie die SED-Festplatte auf die Werkseinstellungen zurück. Hierdurch werden alle vorhandenen Daten von der SED-Festplatte gelöscht. Führen Sie nach dem Zurücksetzen der Festplatte das Installationsprogramm erneut aus.

  8. Klicken Sie im Fenster Installation abgeschlossen auf Schließen.

    Es wird eine Nachricht angezeigt, in der Sie gefragt werden, ob Sie den Endpunkt neu starten oder herunterfahren möchten. Der Endpunkt startet bei softwarebasierter Verschlüsselung neu oder fährt bei hardwarebasierter Verschlüsselung herunter.

  9. Klicken Sie auf Ja, um den Endpunkt neu zu starten bzw. herunterzufahren.

    Die Installation von Full Disk Encryption ist abgeschlossen, wenn der Full Disk Encryption Preboot angezeigt wird. Auf dem Preboot-Bildschirm muss sich der Benutzer anmelden. Der Benutzer wird aufgefordert, das Kennwort nach der Anmeldung zu ändern. Beim nächsten Start von Windows verschlüsselt Full Disk Encryption die Festplatte.

    Nach dem Neustart des Endpunkts werden die Richtlinien mit PolicyServer synchronisiert.

Präinstallationsprüfung

Das Installationsprogramm von Full Disk Encryption überprüft automatisch das Zielsystem, um sicherzustellen, dass alle erforderlichen Systemvoraussetzungen vor der Installation des Agent erfüllt sind. Beim Erkennen einer Systeminkompatibiltität wird das Installationsprogramm geschlossen und am selben Speicherort wie das Installationsprogramm wird der Text PreInstallCheckReport.txt generiert. Folgende Anforderungen werden vom Full Disk Encryption-Installationsprogramm überprüft.

Spezifikation

Voraussetzung

Unterstütztes Betriebssystem

Auf dem Endpunkt muss ein unterstütztes Betriebssystem installiert sein.

Die Encryption Management for Microsoft BitLocker ist bereits installiert.

Die Encryption Management for Microsoft BitLocker darf nicht installiert sein. Deinstallieren Sie die Encryption Management for Microsoft BitLocker, um Full Disk Encryption zu installieren, oder verwenden Sie stattdessen die Encryption Management for Microsoft BitLocker.

Sicherer Start

Full Disk Encryption kann auf Endpunkten nicht installiert werden, auf denen "Sicherer Start" aktiviert ist. Um eine erfolgreiche Installation sicherzustellen, deaktivieren Sie "Sicherer Start" vor der Installation.

Feste Medien

Die physische Festplatte muss fest installiert sein (kein Wechselmedium).

Full Disk Encryption kann nicht auf Wechseldatenträgern installiert werden, auf denen Windows ausgeführt wird.

Freier Speicher

Das Laufwerk muss über mindestens 256 MB zusammenhängenden freien Speicherplatz verfügen.

Arbeitsspeicher

Der Endpunkt muss über mindestens 512 MB RAM verfügen.

Trend Micro empfiehlt mindestens 1 GB RAM.

Partitionsanzahl

Das Laufwerk muss weniger als 25 Partitionen aufweisen.

Partitionen mit erweiterten MBRs werden nicht unterstützt.

Physisches Laufwerk ist bootfähig

Das Laufwerk muss bootfähig sein.

SCSI-Festplatte

SCSI-Festplatten werden nicht unterstützt.

Anmerkung:

Bei dieser Überprüfung erfolgt nur eine Warnung, da Windows ein SATA-Laufwerk möglicherweise als SCSI-Laufwerk meldet. Wenn es sich bei der Festplatte nicht um eine SCSI-Festplatte handelt, kann Full Disk Encryption installiert werden. Um sich zu vergewissern, dass das Laufwerk kein SCSI-Laufwerk ist, nehmen Sie eine physische Prüfung des Geräts vor.

Microsoft .NET Framework

Für Windows 8- oder neuere Geräte ist Microsoft .NET Framework 3.5 oder höher erforderlich.

SED-Hardwarekompatibilität

Wenn ein Laufwerk selbstverschlüsselnd ist, aktiviert Full Disk Encryption die Hardware-Verschlüsselung für dieses Laufwerk.

Full Disk Encryption unterstützt aktuell folgende Geräte:

  • Seagate OPAL- und OPAL 2-Laufwerke

  • Selbstverschlüsselnde SanDisk-Solid-State-Laufwerke (SSDs)

BitLocker ist aktiviert

Microsoft BitLocker darf nicht aktiviert sein. Auf demselben Laufwerk dürfen nicht zwei Festplattenverschlüsselungslösungen ausgeführt werden.

Wenn in Ihrer Umgebung für die Verschlüsselung Microsoft BitLocker verwendet wird, installieren Sie den Encryption Management for Microsoft BitLocker Agent.

Intel Rapid-Storage-Technologie

Laufwerke, die Intel Rapid-Storage-Technologie mit mSATA-Caches verwenden, werden nicht unterstützt.

Windows-MBR

Überprüft, ob die Startfestplatte einen normalen Windows-MBR verwendet.

Tastatur

Full Disk Encryption Preboot unterstützt das aktuelle Tastaturlayout.

WLAN/NIC

Full Disk Encryption Preboot unterstützt den Netzwerkschnittstellencontroller (NIC) des Systems und WLAN-Hardware.

Festplatten sind unterscheidbar

Die Festplatten in dem Gerät müssen über eindeutige Hardware-Eigenschaften wie Seriennummer und Modell verfügen.

Nicht initialisierte Festplatte(n) überprüfen

Die Festplatten in diesem Gerät sind initialisiert. Wenn eine oder mehrere nicht initialisierte Festplatten vorhanden sind, öffnen Sie die Datenträgerverwaltung, um die Initialisierung durchzuführen.

GPT-Partitionsprüfung

Überprüfung der ersten verwendbaren LBA und der Partitionsgröße.

Nicht kompatible Software

Nicht kompatible Software muss vor der Installation von Full Disk Encryption deinstalliert werden.

Beispiel: HP Drive Encryption und Dell Backup Recovery.