DriveLock Release Notes · 2Systemvoraussetzungen 2.3DriveLockEnterpriseService...

DriveLock

Release Notes 2019.1 SP1

DriveLock SE 2019

Inhaltsverzeichnis

1 RELEASE NOTES 2019.1 SP1 4

1.1 Konventionen 4

1.2 Verfügbare Dokumentation 4

2 SYSTEMVORAUSSETZUNGEN 6

2.1 DriveLock Agent 6

2.2 DriveLock Management Console und Control Center 8

2.3 DriveLock Enterprise Service 9

3 UNTERSTÜTZTE PLATTFORMEN NACH VERSIONEN 11

4 VERSIONSHISTORIE 12

4.1 Version 2019.1 SP1 12

4.1.1 Neue Funktionen und Verbesserungen 12

4.1.2 Wichtige Fehlerkorrekturen 12

4.2 Version 2019.1 12

4.2.1 Neue Funktionen und Verbesserungen 13

4.2.2 Wichtige Fehlerkorrekturen 15

5 BEKANNTE EINSCHRÄNKUNGEN 17

5.1 Lizenzaktivierung 17

5.2 Installation der Management Komponenten über Gruppenrichtlinien 17

5.3 DriveLock Device Scanner 17

5.4 Manuelle Updates 17

5.5 Self Service Freigabe 17

5.6 DriveLock, iOS und iTunes 17

5.7 Universal Camera Devices 18

5.8 Windows Portable Devices (WPD) 18

5.9 CD-ROM Laufwerke 19

5.10 DriveLock Disk Protection 19

2

5.11 DriveLock File Protection 21

5.12 BitLocker Management 21

5.13 DriveLock Security Awareness 23

5.14 Antivirus 23

5.15 DriveLock WebSecurity 23

6 TESTINSTALLATION UND UPDATE 24

6.1 Testinstallation von DriveLock 24

6.2 Update der DriveLock Komponenten 24

6.2.1 Generelle Informationen zum Update auf die aktuelle Version 24

6.2.2 Update der Disk Protection 25

COPYRIGHT 26

3

1 Release Notes 2019.1 SP1


Die Release Notes enthalten wichtige Informationen zur neuen Version von DriveLock. Eben-falls sind in den Release Notes Änderungen oder Ergänzungen enthalten, die es kurzfristignicht mehr in die Dokumentation geschafft haben.

Diese und weitere Anleitungen finden Sie auch unter www.drivelock.help.

1.1 Konventionen

In diesem Dokument werden durchgängig folgende Konventionen und Symbole verwendet,um wichtige Aspekte hervorzuheben oder Objekte zu visualisieren.

Achtung: Roter Text weist auf Risiken hin, die beispielsweise zu Datenverlust führenkönnen

Hinweis: Hinweise und Tipps enthalten nützliche Zusatzinformationen.

Menüeinträge oder dieNamen von Schaltflächen sind fett dargestellt. Kursive Schriftrepräsentiert Felder, Menüpunkte und Querverweise.

Systemschrift stellt Nachrichten oder Befehle auf Basis der Kommandozeile dar.

Ein Pluszeichen zwischen zwei Tasten bedeutet, dass diese gleichzeitig gedrückt werden müs-sen: „ALT + R“ beispielsweise signalisiert das Halten der ALT-Taste, während R gedrückt wird.Ein Komma zwischen mehreren Tasten fordert ein Nacheinander-Drücken der jeweiligen Tas-ten. „ALT, R, U” bedeutet, dass zunächst die ALT-Taste, dann die R- und zuletzt die U-Tastebetätigt werden muss.

1.2 Verfügbare Dokumentation

Die DriveLock Dokumentation besteht aus diesen Dokumenten mit folgenden Inhalten:

l DriveLock QuickStart GuideDie Anleitung beschreibt die notwendigen Schritte um DriveLock mit dem DriveLockQuickStart Assistenten aufzusetzen. Der DriveLock QuickStart Assistent kann ver-wendet werden, um die Installation und Konfiguration einer grundlegenden DriveLock-Umgebung zu vereinfachen.

l DriveLock InstallationshandbuchDieses Dokument beschreibt die verfügbaren Installationspakete und verschiedenenInstallationsschritte der einzelnen Komponenten. Es ist das erste Dokument nach denRelease Notes, welches Sie bei einer Neuinstallation lesen sollten.

4

http://www.drivelock.help/


l DriveLock AdministrationshandbuchDas Administrationshandbuch beschreibt die Architektur von DriveLock, die ver-schiedenen Komponenten und dokumentiert die komplette Administration von Dri-veLock über die DriveLock Management Konsole (DMC). Dieses Dokument ist fürAdministratoren von DriveLock gedacht, die sich mit allen einzelnen Funktionen ver-traut machen möchten.

l DriveLock Control Center BenutzerhandbuchIn diesem Handbuch wird die Konfiguration und Verwendung des DriveLock ControlCenters (DCC) beschrieben. Dieses Handbuch ist für Administratoren und für Anwen-der gedacht, die das DriveLock Control Center verwenden.

l DriveLock BenutzerhandbuchDas DriveLock Benutzerhandbuch beinhaltet die Dokumentation aller Funktionen, diefür den Endanwender zur Verfügung stehen (Temporäre Freigabe, Verschlüsselungund private Netzwerkprofile). Das Benutzerhandbuch dient Endanwendern zur Ori-entierung bei den für sie zur Verfügung stehenden Möglichkeiten.

l DriveLock Security AwarenessDieses Handbuch beschreibt die neuen Security Awareness Funktionen, welche auchdie Basis des Produktes DriveLock Smart SecurityEducation bilden.

l DriveLock BitLocker ManagementDas Handbuch beschreibt alle notwendigen Konfigurationseinstellungen und die Funk-tionalität, die DriveLock für die Festplattenverschlüsselung mit Microsoft BitLocker zurVerfügung stellt.

Die jeweils aktuelle Version dieser Dokumente finden Sie auf unserer Webseite www.dri-velock.help.

5



2 Systemvoraussetzungen


Die in diesem Abschnitt genannten Werte stellen Empfehlungen und Mindestanforderungendar. Je nach Konfiguration von DriveLock, der verwendeten Komponenten und Funktionensowie Ihrer Systemumgebungen können die tatsächlichen Voraussetzungen davon abwei-chen.

2.1 DriveLock Agent

Bevor Sie den DriveLock Agenten in Ihrem Unternehmensnetzwerk verteilen/installieren, stel-len Sie bitte sicher, dass die Computer für eine vollständige Funktionalität diese Voraus-setzungen erfüllen.

Hauptspeicher:

l mind. 4 GB RAM

Freier Festplattenspeicherplatz:

l ca. 1 GB bei durchschnittlichen Richtlinien ohne eigene Videodateien

l mindestens 2 GB bei der Verwendung von Security Awareness Kampagnen mit Video-sequenzen (Security Awareness Content AddOn)

Hinweis: Der benötigte Festplattenplatz hängt stark von der Konfiguration der Dri-veLock Agenten über Richtlinien und den darin vorhandenen Einstellungen und ver-wendeten Funktionalitäten ab. Daher ist eine genaue Vorgabe an dieser Stelle nichtmöglich und der zu berücksichtigende Wert sollte vor einem unternehmensweitenRoll-Out in einer Teststellung mit wenigen Systemen überprüft und ermittelt werden.

Benötigte Windows-Komponenten:

l .NET Framework 4.5.2 oder neuer (Für Security Awareness Kampagnen allgemein)

l KB3140245 muss auf Windows 7 installiert seinWeitere Informationen dazu finden Sie hier und hier.Ohne dieses Update kann WinHTTP keine TLS Einstellungen ändern und der Fehler12175 erscheint in dlwsconsumer.log und DLUpdSvx.log.

l KB3033929 (SHA-2 code signing support) muss auf Windows 7 64-bit installiert sein.

Unterstützte Plattformen:

Der DriveLock Agent 2019.1 wurde getestet und ist freigegeben auf den aktuellsten Patch-Ständen dieser Windows Versionen, welche zum Zeitpunkt des Release offiziell verfügbar

6

https://support.microsoft.com/en-us/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-default-secure-protocols-in-win

https://www.catalog.update.microsoft.com/search.aspx?q=kb3140245


waren und die bei Microsoft das Ende des Service-Zeitraumes noch nicht erreicht haben:

l Windows XP mit SP3 und POSReady 2009

l Windows 7 SP1

l Windows 8.1

l Windows 10 1607 LTSC, 1703, 1709, 1803, 1809 und 1903.

l Windows Server 2012 R2

l Windows Server 2016


Der DriveLock Agent ist verfügbar für Intel X86 basierte Systeme (32-Bit und 64-Bit Archi-tektur). Für den Einsatz des DriveLock Agenten wird ein 64-Bit System empfohlen. Server-Betriebssysteme werden ausschließlich unter 64-Bit getestet.

Einschränkungen

l Für XP wird ein erweiterter Legacy-Support (Lizenzoption Extended Support Package)benötigt!

l DriveLock Disk Protection ist nur für den Betrieb unter XP, welches in bestimmten Geld-automaten verwendet wird, freigegeben.

l Windows XP Embedded: Der DriveLock Virtual Channel und der DriveLock Agent dür-fen nicht auf dem gleichen Client installiert sein.

l BitLocker Management wird auf Windows 7 Systemen mit TPM und nur für 64-Bitunterstützt.

l Disk Protection UEFI und GPT Partitioning ist unterstützt für Festplatten bis max. 2 TBfür Windows 8.1 64-Bit oder neuer und UEFI Version V2.3.1 oder neuer.

l Für UEFI unter Windows 10 Version 1703 wird für DriveLock Disk Protection dasUpdate KB4032188 benötigt.

l DriveLock Disk Protection ist für Windows 10 version 1709 oder neuer mit Ein-schränkungen freigegeben (siehe Bekannte Einschränkungen).

Citrix Umgebungen

Der DriveLock Agent benötigt die folgenden Systemvoraussetzungen, damit die DriveLockDevice Control Funktionalität grundsätzlich genutzt werden kann:

l XenApp 6.5 Hotfix Roll Up 4 oder neuer (ICA).

l Windows Terminal Server 2012 oder 2016 (RDP).

7


l DriveLock File Protection ist unter Citrix Terminal Server nicht unterstützt.

2.2 DriveLock Management Console und Control Center

Hinweis: Bitte installieren Sie die beiden Management Komponenten auf dem glei-chen Rechner, da das DCC auf einige der von der DriveLock Mananagement Consolebereitgestellten Dialoge zurückgreift.

Bevor Sie die beiden Programme auf einem Rechner installieren, stellen Sie bitte sicher, dassder Computer für eine vollständige Funktionalität diese Voraussetzungen erfüllt.

Hauptspeicher:

l mind. 4 GB RAM


l ca. 350 MB

Benötigte zusätzliche Windowskomponenten:

l .NET Framework 4.5.2 oder höher

l Für Fernverbindungen über das DCC wird Internet Explorer 11 oder neuer benötigt


Die beiden DriveLock 2019.1 Management Konsolen wurde getestet und freigegeben aufden aktuellsten Ständen dieser Windows Versionen, welche zum Zeitpunkt des Release offi-ziell verfügbar waren und die bei Microsoft das Ende des Service-Zeitraumes noch nichterreicht haben:

l Windows 7 SP1

l Windows 8.1

l Windows 10 1703, 1709, 1803, 1809 und 1903.

l Windows Server 2012 R2



Die beiden DriveLock Management Konsolen sind verfügbar für Intel X86 basierte Systeme(32-Bit und 64-Bit Architektur). Für den Einsatz im Unternehmen wird ein 64-Bit System emp-fohlen. Server-Betriebssysteme werden ausschließlich unter 64-Bit getestet.

8


2.3 DriveLock Enterprise Service

Bevor Sie den DriveLock Enterprise Service auf einem Rechner installieren, stellen Sie bittesicher, dass der Computer für eine vollständige Funktionalität diese Voraussetzungen erfüllt.

Hauptspeicher:

l mind. 8 GB RAM


l mind. 4 GB, bei der Verwendung von Security Awareness Content (Video) wird einfreier Speicher von mind. 15 GB empfohlen.

l Soll auf dem Server gleichzeitig noch eine SQL-Datenbank betrieben werden, sindzusätzlich zu der dafür notwendigen Festplattenkapazität auch noch mind. 10 GB fürdie Speicherung der DriveLock Daten vorzusehen.

Benötigte zusätzliche Windowskomponenten:

l .NET Framework 4.5.2 oder höher

Hinweis: Die Größe der DriveLock Datenbank wird maßgeblich von der Anzahl unddem Zeitraum der gespeicherten DriveLock Events beeinflusst und kann je nach Sys-temumgebung stark variieren. Eine genaue Vorgabe ist daher an dieser Stelle nichtmöglich. Genaue Werte sollten in einer Teststellung mit den geplanten Einstellungenüber einen Zeitraum von mindestens einigen Tagen ermittelt werden. Diese könnendann als Grundlage für die Berechnung der benötigten Speicherkapazität dienen.


l Windows Server 2012 R2 (Mindestvoraussetzung für das DriveLock Operations Cen-ter)



Auf einem Windows 10 Client Betriebssystem sollte ein DES nur als Testinstallation betriebenwerden.

Unterstützte Datenbanken:

l SQL-Server 2012 (Mindestvoraussetzung für das DriveLock Operations Center)

l SQL-Server 2014

l SQL-Server 2016

l SQL-Server 2017

9


l SQL-Server Express 2012 oder neuer (für Installationen mit bis zu 200 Clients und Tes-tinstallationen)

Achtung: Oracle Support EOL - Seit Version 2019.1 wird Oracle als Datenbank nichtmehr unterstützt. Das neue DOC und DriveLock 2019.1 funktioniert nur noch mitMicrosoft SQL-Server. Auch zukünftige DriveLock Versionen werden nur noch Micro-soft SQL-Server unterstützen.

10

3 Unterstützte Plattformen nach Versionen

3 Unterstützte Plattformen nach Versionen

Die folgende Tabelle gibt einen Überblick darüber, welche DriveLock Versionen grundsätzlichauf welchen Windows Betriebssystemversionen getestet bzw. unterstützt werden:

OS-Version 2019.1 7.9.6 7.8.4 7.7.14 7.6.20

Windows 10-1903

X - - - -

Windows 10-1809

X X - - -

Windows 10-1803

X X X - -

Windows 10-1709

X X X X -

Windows 10-1703

X X X X X

Windows 10-1607 LTSC

X X X X X

Windows 8.1 X X X X X

Windows 7SP1

X X X X X

Windows XPSupport

Lizenz not-wendig

SupportLizenz not-

wendig

SupportLizenz not-

wendig

SupportLizenz not-

wendig-

Das heißt aber nicht, dass eine ältere DriveLock Version (z.B. die Version 7.8.4) auf einer neue-ren Version von Windows nicht genauso wie erwartet funktioniert. Wir empfehlen, bei einemRollout einer neuen Betriebssystemversion zuvor auf Testsystemen die bisherige DriveLockFunktionalität zu untersuchen.

11

4 Versionshistorie

4 Versionshistorie

Die Versionshistorie enthält alle Änderungen und Neuerungen gegenüber des vorherigenMajor-Release, der DriveLock Version 7.9.

4.1 Version 2019.1 SP1

DriveLock 2019.1 SP1 ist ein Maintenance Release.

4.1.1 Neue Funktionen und Verbesserungen

Zusätzliche Absicherung der Agenten-Fernverbindung durch ein erweitertes Berech-tigungskonzept

Ab diesem Release benötigen Benutzer zwingend Berechtigungen für die Agen-tenfernkontolle.

Unter Agentenfernkontroll-Berechtigungen und -Einstellungen in der entsprechendenRichtlinie (Globale Einstellungen - Einstellungen) lassen sich jetzt sowohl Benutzer festlegen,die bei Fernverbindungsaktionen Informationen von DriveLock Agenten nur abfragen dürfen(Leseberechtigung), als auch Benutzer, die Aktionen auf dem Agenten explizit ausführen dür-fen, beispielsweise einen Agenten temporär freigeben oder Änderungen an der Kon-figuration vornehmen können.

4.1.2 Wichtige Fehlerkorrekturen

l Die in der Datei apiservice.log des DOC gespeicherten Daten wurden überarbeitet. (EI-641)

l Security Awareness Kampagnen werden jetzt korrekt für die definierten Benutzer dar-gestellt.

l Active Directory Gruppen können aus einer DriveLock Gruppe wieder gelöscht werden.(EI-633)

l Einstellungen der BitLocker Konfiguration werden besser vor Veränderung durch kon-kurrierende GPO-Einstellungen geschützt.

l CSV-Dateien können jetzt erneut verschlüsselt werden. (EI-646)

l Zertifikate, die bereits in Richtlinien angelegt waren, werden durch Klicken von Abbre-chen jetzt nicht mehr gelöscht.

4.2 Version 2019.1

DriveLock 2019.1 ist ein Feature Release.

12

4 Versionshistorie

4.2.1 Neue Funktionen und Verbesserungen

Eigene Computergruppen

Mit dieser Version ist es ab sofort möglich, eigene Computergruppen zu definieren und diesedann für die Zuweisung von DriveLock Richtlinien oder auch innerhalb der Richtlinien zur Ein-schränkung von Einstellungen zu verwenden.

Zur Definition dieser Gruppen können Sie zum einen statische Verknüpfungen von beste-henden Computern oder Gruppen bzw. Organisationseinheiten aus Ihrem Active Directoryherstellen oder diese von dort importieren. Zum anderen sind sogenannte dynamische Grup-pendefinitionen möglich, bei denen über bestimmte Kriterien wie z.B. Betriebssystemversion,IP-Netz uva. mehr die Gruppenzugehörigkeit durch den DriveLock Agenten zur Laufzeitermittelt wird.

Management bestehender BitLocker Umgebungen

Die Übernahme der Verwaltung bereits eingerichteter BitLocker Umgebungen ist nun ein-facher möglich. Eine Entschlüsselung von Laufwerken ist nur noch dann notwendig, wenn dieneuen über die DriveLock Richtlinie konfigurierten Einstellungen sich von den bisher ver-wendeten unterscheidet.

Weitere Verbesserungen zum Thema BitLocker Management:

l BitLocker TPM Informationen sind nun auch im DCC innerhalb der Anzeige ver-schlüsselter Festplatten ersichtlich

l Eine eigene Einstellung erlaubt nun das (De-)Aktivieren der BitLocker Kontextmenü-Ein-träge im Windows Explorer

l BitLocker Wiederherstellungsdaten werden nun zum zentralen DES hochgeladen,sobald die Verschlüsselung begonnen hat

l Das Verfahren zur Erneuerung der Wiederherstellungsinformationen, nachdem sichder Status der Verschlüsselung geändert hatte, wurde optimiert

Hinweis: Mehr zu den neuen BitLocker Features finden Sie auch im Handbuch BitLo-cker Management.

Die neue Management Oberfläche: DriveLock Operations Center (DOC)

Ab der Version 2019.1 steht Ihnen nun das gleiche moderne und web-basierte DriveLockOperations Center zur Verfügung, das bereits Kunden unseres Managed Service Angebotesseit einiger Zeit nutzen. Über das DOC erhalten Sie eine Übersicht über Ihre DriveLock

13

4 Versionshistorie

Umgebung und können den Status von Computern ähnlich wie bisher mit dem DCC über-wachen.

Das DOC wird in naher Zukunft die beiden bisherigen Management Konsolen ablösen undmehr und mehr bereits vorhandene aber auch neue Funktionalität zur Verfügung stellen. DieAuswertung und das Suchen von bestimmten Ereignissen ist schon heute im DOC einfacherund schneller als je zuvor möglich.

Hinweis: Eine Kurzeinführung zu den Funktionalitäten des DOC finden Sie in derDOC-Tour, die sich bei ersten Start der Oberfläche öffnet.

Zusätzliche Verbesserungen in dieser DriveLock Version

l Das verwendete Sicherheitsprotokoll zur Absicherung der HTTPS-Kommunikation(DES als Empfänger) kann nun in den DES-Einstellungen vorgegeben werden

l exFAT Dateisystem für verschlüsselte DriveLock Container: Damit sind nun Containergrößer 4GB möglich und die DriveLock MEA kann darauf sowohl lesend als auch schrei-bend zugreifen

l Neue 4096 bit DES Serverzertifikate können nun für eine zusätzliche Absicherung derKommunikation zwischen Agent / DriveLock Management Konsole und einem ver-trauenswürdigem DES verwendet werden

l Richtlinien können nun mit einem direkten Doppelklick geöffnet und editiert werden

l Die Anzeige für Security Awareness Kampagnen kann nun per Richtlinie auf volle Bild-schirmgröße erweitert werden

l Sie können nun auch MP4-Dateien für Ihre Security Awareness Kampagnen direkt aus-wählen

l Die Installation der Disk Protection (FDE) Pakete wurde optimiert

l Für jeden Gerätetyp können Sie nun Unterverzeichnisse erstellen, um die Über-sichtlichkeit Ihrer Whitelistregeln zu verbessern

l Laufwerke und Geräte werden nun stets alphabetisch sortiert aufgelistet

l Die Übersichtsseiten der Laufwerks- und Gerätekontrollen wurden vereinfacht und opti-miert, damit Sie nun schneller und einfacher Änderungen vornehmen können

l Bei allen Einstellungen wird nun die Standardeinstellung mit angezeigt

l Signierte DriveLock Richtlinien sind nun in Statusanzeigen sofort erkennbar

14

4 Versionshistorie

l Sie können nun mehrere DriveLock Installationspakete oder Dateien gleichzeitig zumDES hochladen

l Das Hochladen des Inhaltes lokaler Whitelistdatenbanken der Applikationskontrollelässt sich nun über eine neue Einstellung (de-)aktivieren.

l Die Erstellung von lokalen Whitelisteinträgen kann nun bei der Applikationskontrolleauf bestimmte Verzeichnisse eingeschränkt werden

l Bei der Erstellung von Hash-Werten für Whitelistregeln wird bei der Appli-kationskontrolle nun auch die Quelle bzw. der Grund für die Erstellung gespeichert

l Der Status der Erstellung von lokalen Whitelistregeln der Applikationskontrolle wirdnun auch dem Endbenutzer deutlicher angezeigt

l Für die DriveLock Agenten können nun neue zusätzliche Aktionen über das DOC/DCCgestartet werden, wie zum Beispiel das Aktivieren oder Beenden des Tracing

4.2.2 Wichtige Fehlerkorrekturen

l Einige bestehende Richtlinien-Einstellungen werden nun bei der Zusammenführungvon mehreren Richtlinien nicht mehr mit dem Wert "nicht konfiguriert" aus einer ande-ren Richtlinie überschrieben (EI-367)

Hinweis: Sollten Sie eine fehlerhafte Zusammenführung von Einstellungen fest-gestellt haben, editieren Sie diese nach dem Update auf 2019.1 nochmals expli-zit an der betreffenden Stelle, damit sichergestellt ist, dass DriveLock dierichtigen Werte in der Richtlinie speichert.

l Die Anzahl lizenzierter Computer wird bei Organisationseinheiten korrekt berechnet,wenn einige Computer explizit davon ausgenommen wurden

l Die Formatierung verschlüsselter Container mit NTFS verläuft nun wesentlich schneller

l Verbessertes Laden und Speichern von größeren DriveLock Richtlinien (EI-553)

l Bei gleichzeitiger Lizenzierung von BitLocker Management und Disk Protection wirddie zweite Festplatte bei der Deinstallation der Disk Protection jetzt korrekt ent-schlüsselt (EI-403)

l Fehler bei der Verwendung des DLPolMig Tools (Optionen SIDTRANS und MAPDOM)wurden behoben (EI-493)

l Bei der Einrichtung von BitLocker wird nun korrekt ein Ereignis erzeugt, wenn kein TPMChip vorhanden ist, jedoch für die Konfiguration benötigt wird

15

4 Versionshistorie

l Filtervorgaben werden nun bei verschlüsselten Containern richtig angewendet, wenndiese fast zeitgleich ausgeworfen und wieder verbunden werden (EI-311)

l Der FQDN des Servers wird nun im DriveLock Control Center vollständig angezeigt

l Die Agentenfernkontrolle in der DriveLock Management Konsole zeigt nun mehr als500 Rechner an (EI-372)

l Zuvor vorhandene Seriennummern werden nun ignoriert, wenn die Option "Nur defi-nierte Seriennummern zulassen" deaktiviert ist

l Der Assistent für die erzwungene Verschlüsselung erscheint nun auch, wenn fürexterne Laufwerke bestimmte Laufwerksbuchstaben vorgegeben werden und min-destens einer dieser bereits in Verwendung ist

l Auf einem Terra Mobile 1515 Rechner mit kabelloser USB 2.0 Maus/Keyboard startetdie PBA nun korrekt (EI-121)

l Schnellere Freigabe von USB-Laufwerken mit erzwungener Verschlüsselung (FileProtection) und aktivem Dateifilter

l Die sogenannte "Autoplay"-Funktion des Windows Explorer ist nun bei erzwungenerVerschlüsselung deaktiviert, damit keine zusätzlichen Windows-Meldungen erscheinen

l Ein Fehler bei der Installation des DriveLock Virtual Channel Agent x64.msi Paketeswurde behoben

l Fehlende Einträge für die Konfiguration von Knotenberechtigungen in der DriveLockRichtlinie wurden ergänzt

l Die Helpdesk-Ansicht und die Benutzerkonsole zeigen nun wieder korrekte Sta-tusinformationen an, wenn eine Lizenz verwendet wird, die sowohl Disk Protection alsauch BitLocker Management enthält

l Eine Self-Service Freigabe mehrerer Agenten gleichzeitig über einen verlinkten DESführt nicht mehr zum Absturz des Self-Service Dienstes

l Eine noch nicht unterstützte BitLocker Management Einstellung wurde aus dem Kon-figurationsreport entfernt

l Ein Fehler beim Auslesen des Herstellerzertifikates bei Netzwerklaufwerken wurde inder Applikationskontrolle behoben

16

5 Bekannte Einschränkungen


Dieses Kapitel enthält bekannte Einschränkungen der vorliegenden DriveLock-Version. Bittelesen Sie dieses Kapitel sorgfältig, um unnötigen Test- und Supportaufwand zu vermeiden.

5.1 Lizenzaktivierung

Derzeit ist eine Lizenzaktivierung über einen Proxy-Server, bei dem eine explizite Anmeldungerforderlich ist, leider nicht möglich.

5.2 Installation der Management Komponenten über Gruppenrichtlinien

Die Installation der DriveLock Management Konsole, des DriveLock Control Center und desDriveLock Enterprise Service über Microsoft Gruppenrichtlinien ist nicht möglich. VerwendenSie zur Installation den DriveLock Installer (siehe DriveLock Installationshandbuch).

5.3 DriveLock Device Scanner

Der im Produkt integrierte Device Scanner kann in allen Umgebungen problemlos verwendetwerden, die ausschließlich den Standardmandant "Root" eingerichtet haben. Das trifft für diemeisten Kundeninstallationen zu.

Haben Sie eine Umgebung mit mehreren Mandanten eingerichtet, erhalten Sie eine Feh-lermeldung beim Anzeigen und Speichern der Scan-Ergebnisse.

5.4 Manuelle Updates

Wenn zur Verteilung der Richtlinien nicht GPO verwendet wird, schlägt ein manueller Updatedes Agent unter Windows 8.1 und höher fehl, sofern DriveLock Agent.msi aus demWindows Explorer (z.B. per Doppelklick) und ohne Berechtigungen eines lokalen Admi-nistrators gestartet wurde. Starten sie das MSI-Paket aus einem administrativen CommandFenster per msiexec oder nutzen Sie DLSetup.exe.

5.5 Self Service Freigabe

Wenn Sie den Self Service Assistenten verwenden, um Apple iPhone Geräte freizugeben, istes nach Beendigung der Freigabe immer noch möglich, manuell Bilder vom iPhone Gerät zukopieren, solange das Gerät verbunden ist.

5.6 DriveLock, iOS und iTunes

DriveLock erkennt und kontrolliert Apple-Geräte neuerer Generation (z.B. iPod Touch, iPho-nes oder iPads). Bei älteren Geräten, welche ausschließlich als USB-Laufwerk erkannt werden,können keine detaillierten Sperren vorgenommen werden (z.B. alter iPod Nano).

17


DriveLock und iTunes von Apple verwenden sehr ähnliche Multicast DNS Responder umKomponenten im Netzwerk automatisch zu erkennen. Bei der Installation von iTunes bzw. Dri-veLock ist die Installationsreihenfolge wichtig:

l Sofern DriveLock noch nicht installiert ist, kann iTunes ohne weiteres installiert werden.Wird im Nachhinein DriveLock installiert, ist auch hier nichts weiter zu beachten.

l Ist DriveLock bereits vorhanden, muss vor der Installation von iTunes die ent-sprechende Komponente von DriveLock mit dem Befehl drivelock -stopdnssd deak-tiviert werden, bevor iTunes installiert wird. Ansonsten kommt es bei der Installationvon iTunes zu einem Fehler und die Installation ist nicht erfolgreich.

Beim Aktualisieren von iOS-Betriebssystemen ist darauf zu achten, dass nach dem Updateeine erneute Synchronisation (Musik, Bilder usw.) stattfindet, welche nur durchgeführt wer-den kann, wenn keine der zu synchronisierenden Daten gesperrt werden.

5.7 Universal Camera Devices

Unter Windows 10 gibt es eine neue Geräteklasse, die sofern keine speziellen Gerätetreiberinstalliert wurden, für angeschlossene bzw. eingebaute Web-Kameras verwendetwird: Universal Cameras.

Diese Geräteklasse kann derzeit noch nicht mit DriveLock verwaltet werden.

Hinweis: Um diese Geräte zu kontrollieren, installieren Sie bitte den mitgeliefertenTreiber des Herstellers. Danach wird das Gerät automatisch der richtigen Gerä-teklasse zugeordnet.

5.8 Windows Portable Devices (WPD)

Sperren von "Windows Portable Devices" oder “Tragbaren Mediengeräten” führte dazu, dassmanche Windows Mobile Geräte auch nicht mehr mit dem "Windows Mobile Device Center"synchronisiert werden konnten, selbst wenn das spezielle Gerät in einer Whitelist-Regel frei-gegeben war.

Windows ab Windows Vista und neuer benutzt ein neues „User-mode Driver Framework“ fürdiese Art von Geräten. DriveLock beinhaltet inzwischen einen derartigen Treiber.

Aufgrund einer Fehlfunktion im Betriebssystem von Microsoft ist dieser jedoch auf fol-genden Systemen deaktiviert:

l Windows 8

l Windows 8.1 ohne den Hotfix KB3082808

18


l Windows 10 älter als Version 1607

5.9 CD-ROM Laufwerke

Eine Verwendungsrichtlinie für CD-ROM-Laufwerke wird nur ein Mal angezeigt, wenn eineCD erstmalig eingelegt wird. Weitere CDs, die in dieses Laufwerk eingelegt werden, werdenzwar geblockt, aber die Verwendungsrichtlinie erscheint nicht mehr. Wenn DriveLock neugestartet wird, erscheint die Verwendungsrichtlinie wieder.

Hinweis: Grund hierfür ist, dass DriveLock nur das eigentliche Gerät in der Richtlinieerkennt (CD-ROM-Laufwerk), nicht aber den Inhalt (CD-ROM).

5.10 DriveLock Disk Protection

Hinweis: Seit kurzem bietet Microsoft die Möglichkeit, Software und Treiber für dieneueste Windows 10 Version 1903 zu signieren und wir haben mit den Kom-patibilitätstest der DriveLock Disk Protection begonnen. Bisher zeigten sich bei einerNeuinstallation der Disk Protection 2019.1 auf einem Windows 10 1903 Systemkeine Inkompatibilitäten, die Tests für ein Windows Update auf die Version 1903 voneiner älteren Windows Version, bei bereits installierter Disk Protection, sind jedochnoch nicht vollständig abgeschlossen. DriveLock arbeitet derzeit an einer Freigabefür Windows 10 1903 Inplace Update und wird Informationen dazu baldmöglichstveröffentlichen.

Es ist möglich, dass die Installation der DriveLock Disk Protection aufgrund einer AntivirusSoftware fehlschlägt, weil das ausgeblendete Verzeichnis C:\SECURDSK durch die Softwarein Quarantäne genommen wird. In diesem Falle sollten Sie für den Zeitraum der Installationden Virenschutz temporär ausschalten. Wir empfehlen, dieses Verzeichnis grundsätzlich alsAusnahme für den Virenscanner zu definieren.

Es wird dringend empfohlen, die Applikationskontrolle, sofern diese im Whitelist-Modusaktiv ist, für den Zeitraum der Disk Protection Installation zu deaktivieren, um zu verhinderndass für die Installation notwendige Programme gesperrt werden.

In sehr seltenen Fällen kann es vorkommen, dass die Standardeinstellung der DriveLock DiskProtection nicht ordnungsgemäß funktioniert und das System nicht mehr reagiert. In diesemFall starten Sie einfach den Rechner neu, während Sie die SHIFT-Taste gedrückt halten,um temporär die 16-bit Pre-Boot Umgebung zu nutzen.

Hibernation funktioniert nicht, während eine Festplatte ver- oder entschlüsselt wird. Nachder vollständigen Ver- oder Entschlüsselung muss Windows einmal neu gestartet werden,damit Hibernation wieder funktioniert.

19


UEFI-Modus

Hinweis: Nicht alle Hardwarehersteller implementieren UEFI vollständig. Es wird emp-fohlen den UEFI Modus nicht mit UEFI Versionen kleiner 2.3.1 zu verwenden.

Die Pre-Boot-Authenication (PBA) für den UEFI-Modus hat noch nicht den vollen Funk-tionsumfang der PBA für den BIOS-Modus.

l Touchscreen wird nicht unterstützt, eine Hardwaretastatur (USB oder PS/2) ist erfor-derlich

l Mausbedienung wird noch nicht unterstützt

l Manche PS/2 Tastaturen funktionieren evtl. fehlerhaft

l Die Sprache der PBA-Oberfläche ist nur in englisch verfügbar

Folgende Punkte sind weiterhin zu beachten:

l Secure Boot muss bis Version 7.6.4 deaktiviert sein, DriveLock 7.6.6 und höher unter-stützt UEFI Secure Boot.

l Firmwareupdates können bewirken, dass NVRAM-Variablen des Mainboards gelöschtwerden, die DriveLock benötigt. Daher empfehlen wir unbedingt, vor der Installationder DriveLock PBA / FDE die Firmware-Updates für das Mainboard /UEFI einzuspielen(auch bei neu gekauften Geräten oder bei Bugfixes)

l 32 Bit Windows und DriveLock kann nicht auf ein 64 Bit fähiges System installiert wer-den. Es muss die 64 Bit Version von Windows und DriveLock eingesetzt werden.

l Die maximale Größe einer Festplatte ist weiterhin auf maximal 2 TB beschränkt.

l Auf manchen HP Rechnern ist Windows immer wieder an Postion 1 der UEFI Boot-reihenfolge und die DriveLock PBA muss im UEFI Boot-Menü manuell ausgewählt wer-den. In solchen Fällen und bei Problemen muss man Fast Boot im UEFI ausschalten,damit die DriveLock PBA an Position 1 bleibt.

l Windows 10 Version 1703 (Creators Update) entfernt beim Herunterfahren in denRuhezustand in vielen Fällen den DriveLock Eintrag für die PBA aus dem UEFI Boot-Menü. Die DriveLock PBA wird dann nicht mehr gestartet und Windows kann von derverschlüsselten Systemplatte nicht mehr starten. Im August 2017 hat Microsoft UpdateKB4032188 veröffentlicht, das dieses Problem behebt. Das Update KB4032188 wirdvon Windows automatisch installiert, kann aber auch manuell geladen werden: Linkzum Download.Installieren Sie KB4032188 oder ein späteres Update, das KB4032188 ersetzt, bevor Sie

20

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4032188

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4032188


DriveLock Disk Protection für UEFI installieren.Wenn Sie auf Windows 10 Version 1703 aktualisieren und DriveLock Disk Protectionbereits installiert ist, fügen Sie KB4032188 zum Creators Update hinzu, bevor Sie aktua-lisieren.

l Durch ein Problem in Windows 10 Version 1709 und neuer kann DriveLock Disk Pro-tection für BIOS die richtige Festplatte nicht erkennen, wenn mehr als eine Festplatte imSystem verbaut ist. Deshalb ist Disk Protection für BIOS noch nicht für Windows 101709 Systeme mit mehr als einer Festplatte freigegeben. Sobald Microsoft einen Fix lie-fert wird diese Einschränkung aufgehoben.

Hinweis: Im Support Portal ist für Kunden ein zusätzliches technisches Whitepapermit Informationen zum Update auf eine neuere Windows Version bei installiertemDriveLock Disk Protection verfügbar.

5.11 DriveLock File Protection

Microsoft OneDrive

Mit Microsoft OneDrive kann Microsoft Office Dateien direkt mit OneDrive synchronisieren,ohne die Dateien zuerst in den lokalen Ordner zu speichern. In dem Fall ist der DriveLock Ver-schlüsselungstreiber nicht involviert und die Office-Dateien werden in der Cloud nicht ver-schlüsselt. Um dieses Verhalten zu unterbinden, deselektieren Sie Office 2016 nutzen, umDateien die ich öffne zu synchronisieren oder ähnliche Einstellungen in OneDrive. Esmuss eingestellt werden, dass Office-Dateien, wie auch andere Dateien immer lokal gespei-chert werden.

NetApp

Es besteht derzeit eine Inkompatibilität zwischen dem Verschlüsselungstreiber von DriveLockund bestimmten NetApp SAN-Treibern bzw. Systemen, die sich noch nicht genauer ein-grenzen lassen. Prüfen Sie bitte vor Einsatz der File Protection in dieser Systemumgebung dievon Ihnen benötigte Funktionalität. Wir sind an dieser Stelle gerne behilflich, um das Pro-blem gegebenenfalls genauer mit Ihnen zu untersuchen.

5.12 BitLocker Management

Unterstützte Editionen und Versionen

DriveLock BitLocker Management wird auf folgenden Systemen unterstützt:

l Windows 7 SP1 Enterprise und Ultimate, 64-Bit, TPM-Chip ist erforderlich

l Windows 8.1 Pro und Enterprise, 32/64-Bit

21


l Windows 10 Pro und Enterprise, 32/64-Bit

Vorhandene BitLocker Umgebung

Hinweis: Möchten Sie eine bereits vorhandenen Systemumgebung verwalten, diebereits mit BitLocker verschlüsselte Computer enthält, müssen diese seit dieser Ver-sion 2019.1 nicht mehr zuvor über die vorhandene BitLocker Verwaltung bzw. dieGruppenrichtlinien entschlüsselt werden. DriveLock erkennt die BitLocker Ver-schlüsselung automatisch und erzeugt neue Wiederherstellungsinformationen. Eineautomatische Ent- und Verschlüsselung wird nur dann durchgeführt, wenn der in derDriveLock Richtlinie konfigurierte Verschlüsselungsalgorithmus sich vom derzeitigenAlgorithmus unterscheidet.

Anschließend ist eine Verwaltung durch DriveLock BitLocker Management möglich und einesichere Speicherung und Verwendung der Wiederherstellungsinformationen gewährleistet.

Verwendung von Passwörter

DriveLock BitLocker Management vereinfacht die missverständliche Unterscheidung zwi-schen PINs, Passphrases und Passwörtern, indem nur noch der Begriff "Passwort" verwendetwird. Gleichzeitig wird ein solches Passwort automatisch im richtigen BitLocker Formatbenutzt, entweder als PIN oder als Passphrase.

Da Microsoft jedoch unterschiedliche Anforderungen an die Komplexität von PIN und Pass-phrase stellt, gelten für das Passwort folgende Einschränkungen:

l Mindestlänge: 8 Zeichen

l Maximale Länge: 20 Zeichen

Achtung: Sie sollten beachten, dass bei Verwendung der BitLocker eigenen PBA diesenur englische Tastaturlayouts zur Verfügung stellt und daher Sonderzeichen alsBestandteil des Passwortes zu Anmeldeproblemen führen können.

Verschlüsselung von erweiterten Festplatten

Aufgrund von Einschränkungen bei Microsoft BitLocker können externe Festplatten (Daten-disks) nicht verschlüsselt werden, wenn Sie den Modus "Nur TPM (kein Passwort)" gewählthaben, da BitLocker bei diesen erweiterten Laufwerken die Eingabe eines Passwortes (BitLo-cker Sprachgebrauch: Passphrase) erwartet.

Gruppenrichtlinienkonfiguration

Aufgrund einer technischen Einschränkung können keine computer-spezifischen Passwörterüber das DriveLock Control Center gesetzt werden, wenn Sie die DriveLock BitLocker

22


Konfiguration per Gruppenrichtlinien an die Agenten verteilt haben.

In diesem Fall ignoriert der DriveLock Agent die dafür notwendigen maschinenspezifischenRichtlinien.

5.13 DriveLock Security Awareness

Änderung der Inhalte für das Security Awareness Content AddOn

Ab Version 2019.1 werden keine niederländischen Kampagneninhalte mehrunterstützt. Stattdessen bietet DriveLock jetzt französische Inhalte an.

Achtung: Bitte beachten Sie, dass die niederländischen Inhalte bei einem Update auf2019.1 automatisch vom DES gelöscht werden.

5.14 Antivirus

Antivirus allgemein

Seit der Version 7.8 ist der OnDemand Scanner (Cyren) aus Lizenzgründen nicht mehrBestandteil des Produktes. Kunden mit einer bestehenden Avira-Lizenz können bis zumAblauf der Lizenz für den Scan externer Laufwerke weiterhin den Avira AV-Scanner ver-wenden.

Avira Antivirus

Seit der Version 7.9. von DriveLock wird Avira Antivirus nicht länger unterstützt.

5.15 DriveLock WebSecurity

Mit der Version 2019.1 ist DriveLock WebSecurity nicht mehr Bestandteil des Produktes. Kun-den mit einer bestehenden WebSecurity-Lizenz können bis zum Ablauf der Lizenz weiterhindie Version 7.9 verwenden.

23

6 Testinstallation und Update


6.1 Testinstallation von DriveLock

Sie können DriveLock - den Agenten, die Management Konsole, das Control Center, den Enterprise Service und Microsoft SQL Express - gemeinsam auf einem Computer installieren.So ist ein erster Test von DriveLock mit minimalen Hardwareanforderungen möglich.

Hinweis: Auf der Webseite www.drivelock.help finden Sie einen Quick-Start Guide,der Sie durch die Erstinstallation führt. Dieser zeigt Ihnen auch, wie Sie auf einfacheWeise mit Hilfe des Quick-Start Assistenten eine Testinstallation und initiale Kon-figuration erstellen können.

Wenn Sie die DriveLock Software von der Website www.drivelock.de heruntergeladen haben,ist bereits eine 30-Tage Testlizenz enthalten. Erfolgt die Installation auf einem einzigen Rech-ner mit lokaler Richtlinie, müssen Sie in der Konfiguration auch keine Lizenz angeben. Instal-lieren Sie den Agenten einzeln auf verschiedenen Rechnern und erfolgt die Konfigurationüber eine Gruppenrichtlinie, eine zentral gespeicherte Richtlinie bzw. eine Kon-figurationsdatei oder wollen Sie auch die Festplattenverschlüsselung testen, können Sie diemit der DriveLock Management Konsole installierte 30-Tage-Testlizenz verwenden (Stan-dardpfad: C:\Program Files\CenterTools\DriveLock MMC\Tools\AgentTrial.lic). VerwendenSie den Quick-Start Assistenten, wird diese automatisch in die erzeugte Richtlinie importiert.

6.2 Update der DriveLock Komponenten

6.2.1 Generelle Informationen zum Update auf die aktuelle Version

Das DriveLock Installationshandbuch beschreibt alle notwendigen Schritte, die bei einemUpdate auf die aktuellste Version durchzuführen sind. Die Release Notes enthalten zusätzlichbesonders wichtige Punkte, die Sie bei einer Aktualisierung beachten sollten.

Achtung: Das bestehende selbst-signierte DES-Zertifikat kann ab dieser Version nichtmehr verwendet werden und wird beim Update durch ein neu erzeugtes Zertifikatersetzt. Auch dieses kann wieder automatisch als selbst-signiertes Zertifikat erstelltund Zertifikatsspeicher des Computers gespeichert werden.

Die DriveLock Management Konsole und das DriveLock Control Center werden jeweils ineigenen Verzeichnissen installiert. Dadurch werden Wechselwirkungen bei einem auto-matischen Update dieser Komponenten vermieden.

24


https://www.drivelock.de/


Hinweis: Das DriveLock Control Center benötigt für die Fernwartung einige Kom-ponenten der DriveLock Management Konsole. Beide Komponenten müssen dabeidie gleiche Versionsnummer haben, die auch mit der Version des installierten DESübereinstimmen muss.

6.2.2 Update der Disk Protection

Nach dem Update des DriveLock Agenten wird eine ggf. vorhandene FDE Installation ohneNeuverschlüsselung automatisch auf die neueste Version aktualisiert. Nach dem Update derFDE muss ggf. ein Neustart erfolgen.

Wir haben weitere Informationen, die für ein Update der DriveLock Disk Protection bzw. einUpdate des Betriebssystems bei einer installierten DriveLock Disk Protection wichtig sind, ineinem eigenen Dokument für Sie zusammengestellt.

Diese finden sie ebenfalls auf unserer Webseite www.drivelock.help.

25


Copyright

Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf Internetwebsites, können ohne vor-

herige Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Personen und Ereignisse sind frei

erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Personen oder Ereignissen ist rein zufällig. Die Verantwortung für

die Beachtung aller geltenden Urheberrechte liegt allein beim Benutzer.

Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der DriveLock SE

kein Teil dieser Unterlagen für irgendwelche Zwecke vervielfältigt oder übertragen werden, unabhängig davon, auf welche Art und Weise oder mit

welchen Mitteln, elektronisch oder mechanisch, dies geschieht.

Es ist möglich, dass DriveLock SE Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigen-

tum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch

auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenz-

verträgen von DriveLock SE eingeräumt.

DriveLock Release Notes · 2Systemvoraussetzungen 2.3DriveLockEnterpriseService...

Documents

Transcript of DriveLock Release Notes · 2Systemvoraussetzungen 2.3DriveLockEnterpriseService...