DESlock Wartungsmodus

Was ist der DESlock Wartungsmodus?

Mit der neuen Wartungsmodus-Funktion kann eine DESlock + Full Disk Encrypted-Arbeitsstation neu gestartet werden, ohne dass sich der Benutzer mit der DESlock + Pre-Boot-Umgebung authentifizieren muss. Dies kann von Systemadministratoren verwendet werden, die remote arbeiten und Windows neu starten möchten, aber niemand anwesend ist, um Anmeldeinformationen auf dem Pre-Boot-Bildschirm einzugeben.

Diese Funktion kann nützlich sein, wenn Sie Softwareupdates oder Konfigurationsänderungen durchführen, für die Neustarts von Windows erforderlich sind.

Diese Funktion ist optional und standardmäßig deaktiviert. Sobald der konfigurierte Zeitraum oder die Anzahl der Neustarts ohne Authentifizierung erreicht wurde, ist eine erneute Authentifizierung erforderlich.

WICHTIG: Während der Wartungsmodus auf einer Arbeitsstation aktiviert ist, wird das System ohne Authentifizierung gestartet und ist somit nicht vor Angriffen geschützt.

DESlock Wartungsmodus

Anforderungen:

  • DESlock + Client v4.9.2 oder höher
  • Workstation ist verschlüsselt und verwendet den EFI-Startmodus zum Starten
  • Das Benutzerkonto, das den Wartungsmodus aktiviert, muss über Windows-Systemadministratorrechte verfügen
  • Das Passwort für den Full Disk Encryption Administrator

Einrichtung

Schritt 1. Konfigurieren Sie die Arbeitsstation, um den Wartungsmodus zuzulassen

Aktivieren Sie den Wartungsmodus auf dem PC, indem Sie den folgenden Registrierungsschlüssel festlegen:

[HKEY_LOCAL_MACHINE\SOFTWARE\DESlock\Client]

“MaintenanceMode” = dword: 00000001

Eine Beispiel-Registrierungsdatei kann hier heruntergeladen werden: enable_maintenance_mode.reg

Schritt 2. Aktivieren des Wartungsmodus

Um das System in den Wartungsmodus zu versetzen, wird das DESlock + Befehlszeilentool mit dem Wartungsbefehlsschalter aufgerufen. Es gibt Optionen, um einen zeitgesteuerten Ablauf, eine Anzahl von Neustarts oder beide Arten zusammen zu verwenden. Wenn beide Typen verwendet werden, je nachdem, welcher Fall zuerst eintritt, wird der Status des Wartungsmodus von der Arbeitsstation entfernt.

Wenn Sie den Wartungsmodus aktivieren, ist das Administratorkennwort für die Full Disk Encryption Administratoranmeldung erforderlich. Dies kann in der Befehlszeile übergeben werden oder wenn der Wert weggelassen wird, fordert der Befehl den Benutzer auf, das Passwort interaktiv einzugeben.

Beispiel:

Ermöglichen Sie Workstation viermal ohne Authentifizierung neu zu starten:

DlpCmd64 maintenance -b:4 -p:Password

Der Befehl bestätigt, was bei der erfolgreichen Verarbeitung passiert ist:

DESlock Wartungsmodus

Ermöglichen, dass die Arbeitsstation viermal ohne Authentifizierung neu gestartet wird, und der Benutzer aufgefordert wird, das Kennwort interaktiv einzugeben:

DlpCmd64 maintenance -b:4 -p:

Ermöglichen Sie Workstation für die nächsten 3 Stunden ohne Authentifizierung neu zu starten:

DlpCmd64 maintenance -h:3 -p:Password

Ermöglichen Sie, dass die Arbeitsstation ohne Authentifizierung bis 20.30 Uhr am 11. März 2018 oder bis zu 6 Neustarts neu gestartet wird, je nachdem, was zuerst eintritt.

DlpCmd64 maintenance -b:6 -d:3/11/2018 -t:20:30 -p:Password

Anmerkungen:

Für zusätzliche Hilfe führen Sie die “DlpCmd64 maintenance” ohne Schalter für die Hilfeanzeige aus.

Für 32-Bit-Systeme lautet der Befehl DlpCmd.

Wenn Sie eine Zeit angeben, die länger als 3 Tage oder mehr als 10 Neustarts dauert, müssen Sie die Auswahl durch Drücken von Y bestätigen. Dies kann automatisiert werden, indem Sie den Schalter -n mit dem Befehl zum Überspringen der Warnung übergeben.

Wenn versucht wird, den Wartungsmodus 3 Mal wiederholt mit falschen Passwörtern zu aktivieren, muss das System neu gestartet werden (und die Authentifizierung wird zum Booten verwendet), bevor weitere Versuche unternommen werden können.

Wenn Sie das Befehlszeilentool beispielsweise aus einer Stapeldatei aufrufen, ist der Beendigungscode für einen erfolgreichen Befehl 0.

Schritt 3. Verlassen des Wartungsmodus

Der Wartungsmodus wird entfernt und das normale Startverhalten wird automatisch nach der ausgewählten Anzahl von Neustarts oder der verstrichenen Zeit zurückgegeben. Alternativ können Sie den Status des Wartungsmodus manuell mit dem Schalter -r aus dem System entfernen.

Das Entfernen des Wartungsmodus von einem System erfordert kein Passwort.

Beispiel:

DlpCmd64 maintenance -r 

 

Einen passender Beitrag zum Verwenden des DESlock Befehlszeilen-Toolsfindet Ihr hier.

 

Den passenden englischen Artikel könnt Ihr hier abrufen

Verwenden des DESlock Befehlszeilen-Tools

Das DESlock + Command Line Tool ermöglicht den Zugriff auf bestimmte DESlock + -Funktionen über eine Befehlszeilenschnittstelle. Dies kann nützlich sein, wenn Sie Aktionen innerhalb der DESlock + Client-Software automatisieren müssen.

Das DESlock + Command Line Tool ist jetzt als Teil der Client-Installation ab Version 4.9.2 enthalten. Es befindet sich im Verzeichnis% PROGRAMFILES% \ DESlock +. Auf 32-Bit-Plattformen heißt die ausführbare Datei dlpcmd32.exe und auf 64-Bit-Plattformen heißt die ausführbare Datei dlpcmd64.exe.

Für Kunden vor Version 4.9.2 kann das Tool unten heruntergeladen werden. Es stehen zwei Versionen des Tools zur Verfügung, die für die verwendete Plattform geeignet sind:

Download 64bit Command Line Tool

Download 32bit Command Line Tool

Hinweis: Diese Software benötigt DESlock + v4.3.45 oder höher, um zu funktionieren.

Anmeldevorgänge

Es ist möglich, die Schlüsseldatei des Benutzers über die Befehlszeile an- oder abzumelden.

Anmeldung

Um sich in der Key-Datei anzumelden, benutzen Sie den Login-Befehl und geben Sie die -p-Taste gefolgt von dem Key-File-Passwort ein, wie unten gezeigt.

Beispiel:

DLPCmd64 login -p:Passwort

Ausloggen

Um sich von der Key-Datei abzumelden, verwenden Sie die Option -p ohne Passwort, wie im folgenden Beispiel gezeigt.

Beispiel:

DLPCmd64 login -p:

 

Verschlüsselte Datei- und Textoperationen

Das DESlock + Command Line Tool kann zum Verschlüsseln und Entschlüsseln von Dateien an einer Eingabeaufforderung verwendet werden, wobei ein DESlock + Verschlüsselungsschlüssel oder ein Passwort verwendet wird.

Der aktuelle Benutzer muss eine Setup-Key-Datei haben und bei DESlock + angemeldet sein. Diese Vorgänge funktionieren nicht über eine Eingabeaufforderung mit erhöhten Rechten, da auf die Benutzer-Schlüsseldatei von der erhöhten Task aus nicht zugegriffen werden kann.

Es werden 2 Verschlüsselungsmethoden unterstützt:

Textmodus-Verschlüsselung

Dieser Modus ist kompatibel mit DESlock + E-Mail und Text-Verschlüsselung.

Stellen Sie dem Tool einfach eine Textdatei zur Verfügung, und es wird eine verschlüsselte Kopie des enthaltenen Texts erstellt, sodass es in eine E-Mail oder ein Dokument eingefügt werden kann. Dieser Text kann dann mit dem Tool oder mit DESlock + Email oder Text Encryption entschlüsselt werden. Sie müssen einen Zieldateinamen angeben, wenn Sie diese Methode verwenden.

Beispiel:

DLPCmd64 encrypt text keyname:”Mein Schlüssel” input.txt output.txt

 

Verschlüsselung im Dateimodus

Dieser Modus ist kompatibel mit DESlock + File Encryption (.dlp-Dateien)

Geben Sie einfach jede Art von Datei an, und sie wird verschlüsselt, wodurch eine neue Datei mit der Erweiterung .dlp erstellt wird. Diese Datei kann dann mit dem Tool oder mit DESlock + File Encryption entschlüsselt werden.

Beispiel:

DLPCmd64 encrypt file key:80004D8300AF figures.xls

Dateimodus-Entschlüsselung

Mit dem Entschlüsselungsschalter können verschlüsselte Dateien entschlüsselt werden.

Sie müssen den Typ der Entschlüsselung (Datei oder Text) und den Quelldateinamen übergeben. Wenn Sie eine Textmodusdatei entschlüsseln, ist auch ein Ausgabedateiname erforderlich.

Beispiel:

DLPCmd64 decrypt file figures.xls.dlp

DLPCmd64 decrypt text safe.txt passwords.txt

Verschlüsselte Ordneroperationen

Das Befehlszeilentool kann zum Erstellen eines verschlüsselten Ordners oder zum Anzeigen des Verschlüsselungsstatus eines Ordners verwendet werden.

Verschlüsselten Ordner erstellen

Um einen verschlüsselten Ordner zu erstellen, übergeben Sie den Pfad des erforderlichen neuen Ordnernamens und entweder den Namen des Verschlüsselungsschlüssels oder die Seriennummer des Verschlüsselungscodes. Wenn Sie den Ordner aus der Ansicht ausblenden möchten, wenn der Benutzer nicht angemeldet ist, übergeben Sie den Schalter -h.

Wichtig: Der Zielordner darf nicht bereits existieren oder der Befehl wird abgelehnt.

Beispiel:

DLPCmd64-folder “C:\Secure Docs” keyname:3des

DLPCmd64-folder Schlüssel “C:\Secure Docs” key:8006BFB0001

DLPCmd64-folder Schlüssel “C:\Secure Docs” key:8006BFB0001 -h

Status des verschlüsselten Ordners anzeigen

Der Verschlüsselungsstatus eines Ordners und seine Verschlüsselung können angezeigt werden, indem der Ordnerpfad ohne den Namen oder die Seriennummer des Verschlüsselungsschlüssels übergeben wird.

Beispiel und Ausgabe:

DLPCmd64-folder “C:\Secure Docs”

Verwenden des DESlock Befehlszeilen-Tools

Virtuelle Datenträgervorgänge

Das Befehlszeilentool kann verwendet werden, um Vorgänge für eine virtuelle Festplattendatei zu aktivieren oder zu deaktivieren.

Verbinden

Mit dem Mount-Schalter kann eine verschlüsselte virtuelle Festplatte für den Zugriff bereitgestellt werden.

Beispiel:

DLPCmd64 mount documents.dlpvdisk

Globale Verfügbarkeit

Wenn eine virtuelle Festplatte über die normale Benutzerschnittstelle oder den oben beschriebenen Mount-Switch bereitgestellt wird, steht sie nur für Prozesse zur Verfügung, die unter dem aktuellen Windows-Benutzerkontext ausgeführt werden. Dies bedeutet, dass Software, die als ein anderes Windows-Benutzerkonto ausgeführt wird, nicht auf den Container zugreifen kann. 

Um dies zu umgehen, kann der globale Mount-Schalter verwendet werden. Mit diesem Schalter können alle Benutzer auf dem System auf den Inhalt des Containers zugreifen, wenn dieser aktiviert ist. Diese Funktion steht nur über das Befehlszeilentool und nicht über die normale Client-Benutzeroberfläche zur Verfügung.

Um die globale Mount-Option zu aktivieren, fügen Sie dem Befehl einfach den Parameter -g hinzu.

Beispiel:

DLPCmd64 mount D:\Dokumente\secret.dlpvdisk -g

Wenn Sie die Datei global mounten, müssen Sie den Vorgang interaktiv bestätigen. Um dies zu vermeiden, übergeben Sie den zusätzlichen Schalter -i.

Beispiel:

DLPCmd64 mount D:\Dokumente\secret.dlpvdisk -g -i

Trennen

Dieser Befehl deaktiviert eine bereitgestellte Festplatte. Sie können entweder den aktuell gemounteten Laufwerksbuchstaben oder den Pfad zur Festplatte verwenden, um anzugeben, welche Festplatte Sie aushängen möchten.

Beispielverwendung:

DLPCmd64 unmount X:

DLPCmd64 unmount D:\Dokumente\secret.dlpvdisk

Shredderoperationen

Mit dem Kommandozeilenwerkzeug kann eine Datei mit dem DESlock + Shredder sicher gelöscht werden.

Bitte beachten Sie: Mit der Shred-Option können Sie die Datei sicher löschen und die Daten können NICHT wiederhergestellt werden.

Beispiel:

DLPCmd64 shred mydocument.docx

Dadurch wird die Datei mit den Standardoptionen geshreddert.

Sie werden aufgefordert, zu bestätigen, dass die Datei geshreddert werden soll, und die Datei wird mit der Methode “Kryptografische Zufallszahl” geshreddet.

Um die Bestätigung zu umgehen und die Datei ohne Eingabeaufforderung zu shredden, fügen Sie den Schalter -i hinzu

Beispiel:

DLPCmd64 shred mydocument.docx -i

Verwenden Sie einen der folgenden Schalter, um den Modus zum Shreddern der Datei zu ändern:

  • -rand : Die Datei wurde mit kryptografischen Zufallsdaten geshreddet
  • Gutmann : Shred die Datei mit dem Gutmann-Algorithmus
  • -dode : Shred die Datei mit US DoD 5220.22-M (8-306. / E)
  • -dodece : Shred die Datei mit US DoD 5220.22-M (8-306. / E, C und E)Beispiel:DLPCmd64 shred mydocument.docx -gutmann

Full Disk Encryption Statusvorgänge

Der Full Disk Encryption-Status der Systemfestplatten auf der Arbeitsstation kann mit dem Abfragebefehl angezeigt werden. Der Befehl kann auch verwendet werden, um einen JSON-formatierten Systembericht zu erhalten, der vollständige Details der Festplatten auf dem System und zusätzliche Maschinendetails enthält.

Zeigt den Status aller Festplatten an

Der vollständige Festplattenverschlüsselungsstatus aller angeschlossenen Festplatten kann mit dem Schalter -l wie folgt angezeigt werden:

Beispiel und Ausgabe:

DLPCmd64 query -l:

Verwenden des DESlock Befehlszeilen-Tools

Zeigt den Status eines bestimmten Laufwerks oder einer Festplatte an

Sie können den Verschlüsselungsstatus eines bestimmten Laufwerks anzeigen, indem Sie den Laufwerkbuchstaben wie folgt übergeben:

Beispiel:

DLPCmd64 query -l: C

Um den Verschlüsselungsstatus eines bestimmten Laufwerks anzuzeigen, übergeben Sie die Laufwerksnummer wie folgt:

Beispiel:

DLPCmd64 query -l: 2

Exit codes

Der Abfragebefehlsaufruf, der den Parameter -l verwendet, hat die folgenden möglichen Exit codes:

Exit code  Bedeutung
 0-100 % verschlüsselt (gilt für platten- oder laufwerksspezifische Aufrufe)
 -101 Nicht verschlüsselt
 -102 Teilweise verschlüsselt
 -103 Vollständig verschlüsselt
Andere Error

Speichern Sie detaillierte Systeminformationen

Durch die Angabe der Option -f und des Dateinamens wird eine JSON-formatierte Datei erstellt, die Festplatten- und Systeminformationen enthält.

Beispiel:

DLPCmd64-query -f: C:\deslock_info.json

Wartungsmodus

Dies ist ein Befehl, mit dem ein Full Disk Encrypted-System vorübergehend ohne Authentifizierung gestartet werden kann. Bitte lesen Sie diesen Artikel für Details

Den passenden englischen Artikel könnt Ihr hier abrufen

 

Der Anmeldebildschirm für DESlock+ Pre-Boot wird auf dem Dell OptiPlex 9020 nicht angezeigt

Problem

Der Anmeldebildschirm für DESlock+ Pre-Boot wird auf dem Dell OptiPlex 9020 nicht angezeigt, wenn mehrere Monitore im MBR- / Legacy-Modus verwendet werden.

Ursache

Dies ist ein bekanntes Problem auf dem Dell Optiplex 9020. Der MBR- / Legacy-Modus auf dem Computer ermöglicht nicht, dass der Anmeldebildschirm von DESlock+ vor dem Start korrekt auf den Displays initialisiert wird.

Es ist möglich, Ihre Anmeldedaten einzugeben, obwohl der DESlock+ Pre-Boot-FDE-Anmeldebildschirm nicht angezeigt wird. Dies kann jedoch zu falschen Anmeldeversuchen führen und dazu führen, dass Sie gesperrt werden (nur verwaltete Benutzer).

Lösung

Eine Option besteht darin, einen der Monitore zu trennen, bevor Sie das Gerät einschalten, da der DESlock+ Pre-Boot-FDE-Anmeldebildschirm auf einem Monitor korrekt angezeigt wird.

Alternativ funktioniert die DESlock+ -Vorbereitungs-FDE-Anmeldeumgebung anders, wenn auf dem Computer Windows im UEFI-Modus installiert ist. Aus diesem Grund wird die UEFI-Version des FDE-Anmeldebildschirms vor dem Start korrekt im UEFI-Modus angezeigt, wenn mehrere Monitore am Dell OptiPlex 9020 verwendet werden. Sie können Windows im UEFI-Modus neu installieren und sicherstellen, dass Sie den Bootmodus vor dem Neustart ändern. Windows installieren und das System mit DESlock+ neu verschlüsseln.

Den passenden englischen Artikel könnt Ihr hier abrufen

Installieren von Windows 10-Feature-Updates auf einem Full Disk Encrypted System

Ein Upgrade von Windows 7, 8, 8.1 oder einer früheren Version von Windows-10 auf das neueste Feature-Update von Windows 10.

Bitte beachten Sie: Ab dem Creators Update (Build 1703) können Benutzer den Boot-Modus ihres Systems von MBR zu UEFI konvertieren.
Dies wird von DESlock + nicht unterstützt.

Beim installieren von Windows 10-Feature-Updates auf einem Full Disk Encrypted System kann es zu folgenden Problemen führen:

Problem


Bei der Installation eines Windows 10-Feature-Updates schlägt der Prozess fehl, “Updates können nicht installiert werden”.

Installieren von Windows 10-Feature-Updates auf einem Full Disk Encrypted System

Wenn das Fenster “Windows Update und Sicherheitseinstellungen” angezeigt wird, wird Folgendes angezeigt: “Wir haben einige Probleme festgestellt. Wählen Sie diese Nachricht aus, um die Aktualisierung zu korrigieren und abzuschließen.”

Installieren von Windows 10-Feature-Updates auf einem Full Disk Encrypted System

Wenn auf die Schaltfläche Fehler beheben geklickt wird, lädt Windows Update und erklärt es “Windows 10 konnte nicht installiert werden – DESlock + Verschlüsselung deaktivieren, um fortzufahren oder Windows Setup mit der Befehlszeilenoption / reflectdrivers auszuführen”.

Installieren von Windows 10-Feature-Updates auf einem Full Disk Encrypted System

Ursache


Aufgrund der Art und Weise, in der größere Upgrades von Windows 10 ausgeführt werden, wird der Aktualisierungsprozess auf die gleiche Weise ausgeführt wie bei einem vor Ort ausgeführten Upgrade von einer älteren Windows-Version auf Windows 10. Auf einem System, auf dem Full Disk Encryption (FDE) installiert ist Das Upgrade wird nicht auf den Datenträger zugreifen können, da es nicht mit den erforderlichen Treibern geliefert wird. Der Windows 10-Updater erkennt dies, was dazu führt, dass der Warndialog angezeigt wird.

Hinweis: Windows führt den “Windows Upgrade Assistant” (WUA) aus, um Windows 10 von 1607 auf 1709 zu aktualisieren. WUA übergibt nicht die richtigen Parameter, um das neueste Windows Feature Update erfolgreich zu installieren, während FDE vorhanden ist. Wenn dies der Fall ist, müssen Sie “Lösung 2” folgen.

Lösung 1:


Der Upgrade-Prozess ist nahtlos in DESlock + Client Version 4.9.0 und höher. Dies bedeutet, dass Sie Windows Feature-Updates mit den üblichen Mitteln installieren können.

Bitte aktualisieren Sie DESlock + nach einem der folgenden Artikel:

So aktualisieren Sie DESlock + (verwaltet)

Upgrade von DESlock + (Standalone)

Sobald DESlock + auf 4.9.0 aktualisiert wurde, suchen Sie einfach im Startmenü nach “Nach Updates suchen” und folgen Sie den Verknüpfungen zu den Windows-Einstellungen.

Lösung 2:

Wenn Sie nicht auf DESlock + 4.9.0 aktualisieren können, können Sie Windows Feature Updates manuell installieren, indem Sie diesem Artikel folgen:

Manuelle Installation von Windows 10-Feature-Updates auf einem Full Disk Encrypted (FDE) -System

Weitere Informationen:


Technische Details bezüglich DESlock + und Windows Feature Updates

 

Den passenden englischen Artikel könnt Ihr hier abrufen

Wie man DESlock aktualisiert (verwaltet)

Dieser Artikel bezieht sich auf die Aktualisierung von DESlock +, das vom Enterprise Server verwaltet wird, für nicht verwaltete (eigenständige) Clients finden Sie in: Wie man DESlock + Standalone upgradet

So aktualisieren Sie die Clients:

Es gibt drei Möglichkeiten, die vom Enterprise Server verwaltete Client-Software zu aktualisieren.

1.) Laden Sie die neue Version herunter und führen Sie die Installation aus.

Die erste und einfachste Methode besteht darin, einfach die neue Installation vom Enterprise Server herunterzuladen, diese auf den Client-Rechner zu kopieren und das Update durchzuführen. Bei der Installation handelt es sich um ein MSI, das manuell oder über GPO oder eine beliebige Softwareverteilungsmethode bereitgestellt werden kann. Weitere Informationen finden Sie unter: http://support.deslock.com/kb217

2.) Legen Sie die Richtlinie für die automatische Überprüfung des Überprüfungsmodus im Enterprise Server fest.

Dies wird im Workstation-Richtlinienteam festgelegt. Sie können die automatische Aktualisierung deaktivieren, die automatische Aktualisierung auf die neueste Version oder die Aktualisierung auf eine bestimmte Version festlegen.

Wie man DESlock aktualisiert (verwaltet)

Wenn Sie sich für eine Aktualisierung auf eine bestimmte Version entscheiden oder wenn Sie die Update-Version zu einem späteren Zeitpunkt ändern möchten, wird das folgende Dialogfeld angezeigt.

Wie man DESlock aktualisiert (verwaltet)

Diese Liste stammt vom DESlock + Updater-Server und ist unabhängig von den Versionen, die Sie auf den Enterprise Server hochgeladen haben.

Wenn die Richtlinie festgelegt ist, überprüft der Client, ob die angegebene Version (oder eine aktuellere Version als die aktuelle Version) in ihrer aktuellen Sprache verfügbar ist. Wenn dies der Fall ist, wird es heruntergeladen und dem Benutzer angeboten, diese Version zu installieren.
Wenn der Benutzer (verwalteter Client) den Befehl empfängt, sieht er die folgenden Anweisungen:

Der Benutzer kann “Jetzt installieren” oder “aufschieben” für “10 Minuten”, “2 Stunden” oder “4 Stunden”.

Sobald der Benutzer das Upgrade ausgewählt hat, wird der Client-Computer neu gestartet.


3.) Führen Sie ein Remote-Update vom Push-Installationsmechanismus von Enterprise Server aus.

Wenn sich der Zielcomputer im Netzwerk befindet und der Enterprise Server den Computer sehen kann, können Sie die Client-MSI remote an den Computer senden. Dies ermöglicht auch Remote-Updates.

Um ein Update zu initiieren, sollten Sie das Netzwerk erneut scannen. Stellen Sie sicher, dass die Option “Maschinen ausschließen, die bereits in der Organisation vorhanden sind” deaktiviert ist. Das Standardverhalten besteht darin, Computer aus dieser Liste auszublenden, die bereits in der Organisation angezeigt werden und auf denen DESlock + installiert sein muss.

Sobald das Gerät gefunden wurde, sollte es mit einem Schildsymbol angezeigt werden. Wählen Sie es aus und Sie erhalten die Möglichkeit, die Software remote zu deinstallieren oder zu installieren.

Um das Upgrade durchzuführen, drücken Sie die Installation. Der Prozess ist genau der gleiche wie bei einer normalen Push-Installation, siehe: Wie sende ich eine Push-Installation von DESlock +?


Anmerkungen

Verwalteter Deinstallationsmodus:

Wenn Ihre Clientcomputer mit dem verwalteten Deinstallationsmodus oder dem optionalen Kennwort installiert wurden, muss diese Funktion beim Aktualisieren der aktuellen Clientversion aktiviert sein. Bitte beachten sie unsere artikel unten als referenz:

Was ist die verwaltete Deinstallationsoption?

Versionsanforderungen:

Die Möglichkeit zur Remote-Deinstallation und -Upgrade wurde in Enterprise Server 2.5.5 hinzugefügt.

 

Den passenden englischen Artikel könnt Ihr hier abrufen

Wie man DESlock (standalone) upgradet

Dieser Artikel bezieht sich auf die Aktualisierung von DESlock +, die eigenständig ist, für verwaltete Clients siehe: Wie man DESlock + (verwaltet) upgradet

Um Ihre Standalone-Version von DESlock + zu aktualisieren, können Sie entweder:

Aktualisieren Sie Ihre DESlock + -Software, indem Sie mit der rechten Maustaste auf das DESlock + -Symbol im Infobereich rechts unten auf dem Bildschirm klicken und dann im Kontextmenü auf About DESlock + klicken.

Dies öffnet das Fenster DESlock + über, von dem aus Sie auf die Schaltfläche Nach Updates suchen sehen können. Wenn Sie auf diese Schaltfläche klicken, prüfen Sie mit dem DESlock + Server, ob die von Ihnen installierte Version von DESlock + die neueste Version ist. Wenn nicht, werden Sie gefragt, ob Sie auf die neueste Version upgraden möchten.


Führen Sie ein Upgrade manuell durch, indem Sie die Download-Seite DESlock + aufrufen und die neueste Version herunterladen. Nach dem Download kann die .msi ausgeführt werden und die Software wird über Ihrer bestehenden Version von DESlock + installiert.

 

Den passenden englischen Artikel könnt Ihr hier abrufen

Wie sende ich eine Push-Installation von DESlock

Um Push-Installationen von DESlock + auf Client-Rechner vom Enterprise Server aus zu ermöglichen, müssen Sie sicherstellen, dass Sie auf dem Client-Rechner, den Sie zuerst aktiviert haben:

1. Datei- und Druckerfreigabe, die über die Windows Firewall erlaubt sein muss

Wie sende ich eine Push-Installation von DESlock

Wenn Sie kein Mitglied einer Domäne sind, müssen Sie zum Registrierungseditor navigieren und zu folgendem Thema navigieren:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Erstellen Sie ein neues DWORD, nennen Sie es LocalAccountTokenFilterPolicy und geben Sie ihm den Wert 1

Damit die DESlock + Installation vom Enterprise Server aus erfolgt, müssen Sie auf das + neben Workstations klicken, um die Liste zu erweitern (falls nicht bereits erweitert) und dann auf Netzwerk-Workstations klicken. Wenn im Hauptfenster keine Arbeitsstationen aufgeführt sind, klicken Sie auf die Schaltfläche Netzwerk erneut scannen.

Wie sende ich eine Push-Installation von DESlock

Sobald Arbeitsstationen erkannt und in dem Fenster aufgelistet wurden, wählen Sie die Arbeitsstationen aus, auf die Sie DESlock + schieben möchten, und klicken Sie auf die Schaltfläche Push Remote Install

Wie sende ich eine Push-Installation von DESlock

Das Push-Installation-Fenster wird nun angezeigt. Dort müssen Sie den Benutzernamen und das Kennwort für einen Benutzer mit lokalen Administratorrechten auf der Ziel-Workstation eingeben. Wenn die Arbeitsstation zu einer Domäne gehört, geben Sie die Domänendetails ein.

Hinweis: Wenn Sie mehrere Arbeitsstationen ausgewählt haben, muss das Konto auf allen ausgewählten Arbeitsstationen über lokale Administratorrechte verfügen.

Sie müssen auch die Arbeitsstations-Policy auswählen, die die Workstation haben soll, die Version von DESlock +, die Sprache und die Aktion auswählen, die nach der Installation ausgeführt werden soll.

Wie sende ich eine Push-Installation von DESlock

Sobald die Installation auf die Arbeitsstation übertragen wurde, wird die Arbeitsstation aus der Liste der Netzwerkarbeitsstationen verschoben und in das entsprechende Workstation-Team gestellt. Dies ist das Workstation-Richtlinienteam, das im Fenster “Push-Installation” ausgewählt wurde.

Sobald DESlock + auf der Arbeitsstation installiert wurde, wird der Benutzer je nach der ausgewählten Option aufgefordert, neu zu starten.

Wie sende ich eine Push-Installation von DESlock

Fehlerbehebung

Wenn Sie die Installation aufgrund von Fehlern nicht per Fernzugriff durchführen können, sollten Sie Folgendes überprüfen:

  • Können Sie vom Windows Explorer aus auf \\Computername\admin $ zugreifen, indem Sie denselben Benutzernamen und dasselbe Passwort verwenden, die Sie in der Push-Oberfläche eingegeben haben
  • Geben Sie einen NetBios-Domain-Namen ein? Geben Sie den Benutzernamen stattdessen als Domäne\Benutzername ein
  • Enthält das Passwort Zeichen, die nicht alphanumerisch sind?
  • Sind Sie sicher, dass der Benutzer über lokale Administratorrechte für den Remote-PC verfügt?

Den passenden englischen Artikel könnt Ihr hier abrufen

Warum benötige ich ein DESLock Administratorkennwort?

Wenn Sie Full Disk Encryption auf einem eigenständigen System starten (eines, das nicht von einem Enterprise Server verwaltet wird), werden Sie aufgefordert, eine Administratorkennwortdatei zu speichern. Warum benötige ich ein DESLock Administratorkennwort?

Dieses Passwort hat verschiedene Zwecke:

  1. Als Notfallpasswort zu fungieren, wenn Sie Ihre normalen Anmeldedaten für den FDE-Benutzer vergessen haben.
  2. Bereitstellung der Möglichkeit, die Entschlüsselung einer vollständigen verschlüsselten Festplatte zu starten.
  3. Zur Verwendung mit unserer Wiederherstellungssoftware im Falle eines Windows-Fehlers.

Der Standarddateiname der Admin-Passwortdateien ist entweder ‘adminpassword.txt’ (4.6.4 und früherer Client) oder ‘adminpassword.htm’ (4.6.6 oder neuer).

Aufgrund der Wichtigkeit dieser Passwortdatei sollten Sie diese an einem sicheren Ort aufbewahren. Es sollte jedoch NICHT auf dem Computer selbst oder im verschlüsselten Speicher gespeichert werden, da diese im Falle eines Problems mit dem System zugänglich sein muss.

Möglicherweise möchten Sie eine gedruckte Kopie der Kennwortdatei für den Speicher erstellen. Der neueste DESlock + Client enthält die Möglichkeit, die Datei beim Starten der Verschlüsselung zu drucken.

Das in der Datei enthaltene Passwort ist mit dem Benutzernamen ‘admin’ ohne Anführungszeichen verknüpft.

Die Verwendung des Admin-Logins ähnelt einem normalen Benutzer. Wählen Sie einfach wie gewohnt “Start System” vom blauen DESlock + Bootloader-Bildschirm aus, aber geben Sie den Benutzernamen als “admin” ohne Anführungszeichen und das Passwort aus Ihrer Admin-Passwort-Datei ein.

Hinweis: Alle Kennwörter für die vollständige Festplattenverschlüsselung unterscheiden zwischen Groß- und Kleinschreibung.

Es liegt in Ihrer Verantwortung, Ihr Administratorpasswort sicher zu verwahren. Entschlüsselungs- und Wiederherstellungsvorgänge erfordern dieses Kennwort.

DESlock kann Ihr Passwort bei Verlust nicht wiederherstellen!