Modifiche di formattazione minori; Nessuna modifica del contenuto.
Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.
Questo elenco presenta domande e risposte comuni ed è indicato per gli utenti che sono nuovi del prodotto.
NOTE:
Per consultare le domande frequenti relative a endpoint Assistant (EA), vedere KB85917-FAQs per endpoint Assistant 2.x. EA è un'applicazione complementare per iOS e Android che è stata sviluppata per lavorare con DE. I costi Help Desk per DE sono in genere correlati alla gestione degli utenti password reimpostazione. EA può scaricare completamente il pre-avvio password reimpostare i costi di Help Desk correlati agli utenti. È possibile consentire agli utenti di reimpostare in modo sicuro le password di pre-avvio anche se non hanno accesso a un telefono per chiamare il Help Desk.
Contenuti Fare clic per espandere la sezione che si desidera visualizzare:
Che cos'è un utente OptIn e OptOut?
I riferimenti agli utenti OptIn e OptOut potrebbero essere visualizzati nei registri. Ad esempio, la mancata policy imposizione: utente OptIn assegnato.
Gli utenti optin hanno il loro Enforcement policy basato sull'utente (PBU) impostato su true in ePO, il che significa che si applica un PBU specifico.
Gli utenti di optout hanno la loro imposizione PBU impostata su false, il che significa che il PBU assegnato al computer si applica.
Perché ho bisogno di DE?
Lo scopo principale di DE è quello di proteggere solo i dati sensibili sul disco quando sono a riposo. Questo tipo di protezione potrebbe essere necessario anche per essere coperto dalle leggi di protezione dell'identità.
Quale protezione è possibile utilizzare quando l'autenticazione al pre-avvio viene disattivata quando si attiva la funzione di boot automatico temporanea?
Lo scopo principale di DE è quello di proteggere il disco a riposo, quando il disco viene sbloccato. Ma, DE non fornisce protezione all'accesso ai dati. Pertanto, se si desidera un sistema sicuro, non utilizzare la funzione di avvio automatico. La funzione di avvio automatico rimuove in modo efficace l'autenticazione al pre-avvio, che rimuove completamente la sicurezza del prodotto. La funzione di avvio automatico viene fornita solo in modo temporaneo. Per ulteriori informazioni sull'avvio automatico, consultare avvioautomatico. Per informazioni dettagliate sull'avvio automatico del modulo TPM (secure Trusted Platform Module).
Compatibilità di 7.2.0 e versioni successive:
Supporto del nuovo parametro della riga di comando per l'aggiornamento Windows 10 anniversario o ReflectDrivers per l'upgrade sul posto? Sì. Microsoft ha incluso una nuova funzione nell'aggiornamento di Windows 10 anniversario che consente un upgrade sul posto del sistema operativo tramite ISO e SCCM utilizzando un' /Reflectdrivers opzione.
Questo comando switch consente di specificare il percorso di una cartella contenente i driver di crittografia per un computer in cui è attivata la crittografia di terze parti. I driver PnP sono installati e l'upgrade può continuare.
Nota: L' /Reflectdrivers opzione è supportata anche con de 7.1.3 hotfix 1148978 o versione successiva. Tuttavia, il processo viene ulteriormente semplificato con DE 7.2.0 , in seguito alle modifiche introdotte nel programma di installazione del prodotto.
Supporta lo strumento MBR2GPT.EXE di conversione di Unified Extensible Firmware Interface (UEFI) in-Place con Windows 10 Creators Update e versioni successive? Sì. È stato sviluppato uno strumento DE Master Boot Record (MBR) to GUID Partition Table (GPT) ( MdeMbr2GptTool.exe ), che funziona con Microsoft Windows 10 (versione 1703) Creators Update e versioni successive (solo a 64 bit). Lo strumento funziona con lo strumento Microsoft ( MBR2GPT.EXE ). Lo strumento converte un'unità in formato software crittografata da MBR alla partizione GPT. In tal modo, senza la necessità di decrittografare il disco.Per ottenere lo strumento e le istruzioni DE, consultare KB89024-come convertire un disco crittografato da MBR a GPT utilizzando Microsoft MBR2GPT .EXE e Drive Encryption strumenti MdeMbr2GptTool .exe.
Quale versione di DE supporta Windows 10 (versione 1507)? DE 7.1 Update 3 ( 7.1.3 ) è la prima versione a supportare Windows 10, ma viene rilasciata prima della Windows 10 release generale. Pertanto, potrebbero esserci dei caveat che si applicano all'implementazione e all'utilizzo di DE 7.1.3 sui sistemi Windows 10.
Per informazioni dettagliate sull'upgrade Windows 10 al momento dell'installazione di DE, consultare i seguenti articoli:
Windows rilascio
Articolo
Aggiornamento del sistema operativo (sistema operativo) da Windows 8
L'opzione Windows 10 "tornare al build precedente" è supportata con de installato e attivo.
Windows 10 il ramo di manutenzione a lungo termine (LTSB) o il canale di manutenzione a lungo termine (LTSC) è supportato con DE 7.2.2 e versioni successive.
NOTE:
Da Windows 10 versione 1809, LTSB è stato modificato in LTSC. Per informazioni dettagliate, consultare la documentazione Microsoft.
LTSC e LTSB sono Microsoft terminologia per un build di sostegno. Queste build non ricevono aggiornamenti delle funzionalità e si limitano agli aggiornamenti di sicurezza in generale.
È un sistema operativo Windows con DE installato su Mac hardware supportato?
No. DE non è stato testato su alcun hardware Mac ed è pertanto non supportato.
È possibile eseguire l'attività di upgrade Microsoft per effettuare l'upgrade di un sistema di Windows 8.0 a Windows 8.1 ?
No. Microsoft utilizza una funzionalità che stabilisce una nuova immagine WIM. Si tratta essenzialmente di un processo di aggiornamento del sistema operativo e non di un upgrade tradizionale o di un Upgrade Service Pack. Tuttavia, DE dispone di un processo di aggiornamento del sistema operativo documentato che consente di effettuare l'upgrade da Windows 8.0 a Windows 8.1. il processo consente di mantenere i dati esistenti crittografati nell'intero processo. Per assistenza con questo processo, consultare le seguenti guide ai processi:
È possibile utilizzare la funzione di riparazione automatica Windows 8 o successiva (attivata per impostazione predefinita)?
No. Si consiglia di disattivare questa funzione. La riparazione automatica di un disco crittografato potrebbe inavvertitamente distruggere i file del sistema operativo crittografato e causare problemi di avvio permanenti. Le versioni precedenti di Windows chiedono se si desidera ripristinare il sistema prima di avviare la riparazione. Tuttavia, Windows 8 avvia la riparazione automatica immediatamente quando viene rilevato un problema, lasciando poco spazio per impedire la distruzione dei dati crittografati. Per informazioni sulla disattivazione Windows 8 riparazione automatica, consultare l'articolo KB76649-come disattivare Windows riparazione automatica tramite un script di accesso per i sistemi che hanno Drive Encryption installato.
Perché è necessario utilizzare il processo di 7.1 aggiornamento del sistema operativo quando non lo si utilizza sui sistemi di Windows BitLocker?
Microsoft implementa un meccanismo che espone la chiave di cifratura BitLocker durante l'upgrade, consentendo l'esecuzione del processo di sovrapposizione di WIM. Questo approccio non viene adottato perché lascia il sistema vulnerabile agli attacchi durante il processo di Windows Upgrade.
Microsoft ha parlato di una nuova funzione chiamata DE. Cos'è?
Microsoft DE può essere considerato una versione ridotta e non gestita di BitLocker.
Altri dati generali:
Microsoft DE viene attivato automaticamente. È attivata solo quando l'hardware corrisponde o supera i requisiti hardware minimi.
Ciò che segue accade se si distribuisce DE a un sistema che dispone di ' Microsoft dispositivo di cifratura ' attivato automaticamente:
I controlli di pre-attivazione determinano che BitLocker è attivo. Tenere presente che Microsoft DE è semplicemente una versione non gestita di BitLocker.
L'attivazione DE non riesce perché il disco è già crittografato con Microsoft DE.
Questo stato viene restituito a ePO.
Quanto sopra si applica se si applicano le seguenti opzioni:
L'opzione 'the system meets the minimum hardware requirements' viene attivata automaticamente.
Il disco rigido è crittografato.
Importante: Se si dispone di un nuovo sistema che soddisfa i requisiti hardware Microsoft DE minimi, ma si dispone di Windows 7 e DE 7.1 installato, quindi si decide di effettuare l'upgrade a Windows 8.1 :
Se non si è effettuato l'accesso con un account MSDN, il sistema non tenta di attivare Microsoft DE.
Se si è effettuato l'accesso con un account MSDN, il sistema operativo viene interrotto.
DE supporta Windows unità compresse?
No, Windows unità compresse non sono supportate perché non è stato intraprendere alcun test di compatibilità.
È previsto il supporto di JAWS per il software di Windows screen Reading per il client di pre-avvio per aiutare gli utenti con una vista insufficiente?
No. JAWS è un prodotto software di sola Windows. Non funziona al punto di autenticazione al pre-avvio perché Windows non è ancora stato caricato.
DE funziona con la nuova tecnologia di protezione avanzata dalle minacce Dell Cylance, che può segnalare se viene rilevato un attacco di avvio?
No. DE non è testato con Dell Cylance Advanced Threat Protection.
DE supporta la tecnologia Intel Anti-Theft, che può bloccare il computer in base all'hardware?
No. Intel ha interrotto il servizio Intel Antifurto.
DE 7.1 supporta Intel Smart Response Technology (SRT)? Sì. I dati sono sempre sicuri, anche quelli memorizzati nella cache. Intel SRT è un componente intelligente cache che memorizza nella cache solo i dati con accesso frequente. Questo cache è a livello di settore ed è crittografato dal driver DE Filter.
DE supporta Intel Rapid Start (IRS)?
No. L'IRS richiede uno spazio aggiuntivo per le Solid State Drive partizioni nell'unità (SSD) o nel disco rigido (HDD) denominata la partizione di ibernazione. Questa partizione deve essere uguale o superiore alla quantità di memoria di sistema. Questa partizione non dispone di una lettera di unità.
L'IRS fornisce uno stato S3 a basso consumo energetico. In questo caso, anziché memorizzare lo stato su DRAM in S3, il contenuto della memoria viene svuotato nella partizione dedicata sull'unità SSD. Poiché il BIOS è responsabile del Flushing da e verso l'unità SSD, DE non può intercettare e crittografare il contenuto. Pertanto, tutti i dati sensibili in DRAM vengono scritti sul disco in testo non crittografato. Questo problema riguarda solo lo stato S3, non S4.
Nota: La tecnologia IRS consente al sistema di riprendere più velocemente dal sonno; Questo fatto consente di risparmiare tempo e consumi energetici.
Il client DE 7.1.x è compatibile con Microsoft BitLocker?
No. Non è compatibile con BitLocker o qualsiasi altro software di cifratura Full Disk Encryption o a livello di settore in esecuzione sullo stesso sistema. DE rileva Windows BitLocker durante il processo di attivazione DE e interrompe l'attivazione di DE se BitLocker è attivo.
Per un'installazione di DE 7.1 è necessario Active Directory (ad)?
No. È possibile installare i pacchetti di installazione (MSI) senza l'accesso a ad a causa della nuova funzionalità di directory utente inclusa in de 7.1. per ulteriori informazioni, consultare la sezione funzionalità di "".
Altri AD fatti generali:
AD è necessario per gestire i client DE 7.1 tramite ePO.
Sebbene AD sia necessario per un'attivazione DE 7.1 , una 7.1.0 nuova funzione consente all'attivazione offline di attivare de senza una connessione a ePO. Quando il sistema è in grado di comunicare correttamente con ePO, il client si sposta in una modalità online. Solo i sistemi che ePO non gestisce possono rimanere crittografati senza la necessità di essere connessi a AD.
Gli utenti assegnati non vengono eliminati dal database ePO se il nome dell'oggetto, ad esempio un gruppo o un utente, viene modificato in AD. La modifica del nome oggetto viene rilevata alla successiva esecuzione dell'attività' LdapSync: Sync across users from LDAP ' e aggiornata in ePO. Durante la seguente Agent a comunicazione server (ASCI), qualsiasi modifica del nome oggetto utente viene sincronizzata con il client.
Cosa accade ai miei endpoint se il server ePO va in giù?
Se il prodotto è già installato e attivo, i client continuano a operare con la copia memorizzata nella cache della policy. Non sono presenti ulteriori aggiornamenti di policy o assegnazioni utente fino a quando il client non può comunicare con il server ePO. Se il prodotto non è ancora installato, non può essere attivato fino a quando non viene ristabilita la comunicazione con il server ePO.
È possibile utilizzare un CD di avvio Windows su un sistema crittografato?
Un CD avviabile funziona su un sistema crittografato, a meno che non si desideri accedere al disco rigido. Un vantaggio della cifratura del disco completo è che impedisce l'utilizzo di un'unità avviabile per accedere al disco rigido senza autenticazione.
Se Windows non funziona correttamente, è necessario ripararlo utilizzando il disco di installazione di Windows. Prima di utilizzare gli strumenti di riparazione Windows, è innanzitutto necessario decrittografare l'unità.
Per accedere all'unità crittografata e al ripristino DETECH WinPE, è necessario creare un supporto. Per ulteriori informazioni su come creare i supporti, consultare la guida DETECH più recente.
Nota: Di seguito si applica anche l'articolo sopra indicato.
Le versioni minime di ePO supportate da DE 7.x.
Il McAfee Agent minimo (MA) supportato da DE 7.x.
Quali versioni di EEPC possono effettuare l'upgrade a DE 7.1.x ?
Sono possibili i seguenti upgrade:
EEPC 7.x -(End of Life (EOL))
I sistemi installati con EEPC 7.0.x possono effettuare l'upgrade a de 7.1. ma, è necessario prima effettuare l'upgrade dell'estensione EEPC a EEPC 7.0 Update 2 ( 7.0.2 ) o Update 3 ( 7.0.3 ).
EEPC 6.x -(EOL)
Se si sta utilizzando EEPC 6.1.2 o versioni successive, è necessario prima effettuare l'upgrade di tutte le estensioni a EEPC 7.0 Update 2 o Update 3. I sistemi client che eseguono EEPC 6.1.2 o versioni successive possono essere direttamente aggiornati alle installazioni di de 7.1. ePO con le estensioni di EEPC 7.0 Update 2 o 3 archiviate possono essere aggiornate direttamente a de 7.1.
EEPC 5.x -(EOL)
I sistemi installati con EEPC 5.2.6 , 5.2.12 e 5.2.13 possono migrare direttamente a de 7.1.
Quali operazioni è necessario seguire se si desidera effettuare l'upgrade alla versione più recente di DE 7.2.x , ma è già installata una versione precedente di de 7.1.x ? Se si dispone di una versione precedente installata, ad esempio DE 7.1.0 , ma si desidera effettuare l'upgrade a una versione successiva di de 7.1.x , attenersi alla seguente procedura:
Assicurarsi che non siano presenti attività di sincronizzazione LDAP in esecuzione. In caso contrario, attendere il relativo completamento.
Disattivare tutte le attività di sincronizzazione LDAP prima di iniziare l'upgrade.
Installare le estensioni DE 7.1.3 .
Archiviare i pacchetti software DE 7.1.3 Agent e del PC.
Riattivare tutte le attività di sincronizzazione LDAP .
Distribuire i pacchetti del software DE 7.1.3 al sistema client.
Dopo il completamento dell'attività di distribuzione, riavviare il sistema client.
È in corso l'impostazione di un nuovo server ePO e si desidera spostarne i client. Questa azione è supportata? Sì. Questo scenario è supportato in DE 7.1.3 e versioni successive.
NOTE:
Con le versioni precedenti di DE, il trasferimento di un sistema da un server ePO a un altro sostituisce le assegnazioni utente. Anche i dati token utente nel sistema vengono sostituiti con i dati del server di destinazione. È possibile perdere le assegnazioni degli utenti e modificare le credenziali dell'utente nell'ambiente di preavvio.
DE 7.1.3 introduce una funzionalità di trasferimento client. La funzionalità fornisce all'amministratore ePO un meccanismo per consentire il trasferimento dei sistemi da un server ePO a un altro. Il trasferimento si verifica conservando le assegnazioni degli utenti e i dati degli utenti. Se la funzionalità è attivata, un sistema DE 7.1.3 rileva una modifica del server. Richiede che il nuovo 7.1.3 server di gestione assegni automaticamente gli utenti al sistema nel contesto del nuovo server di gestione. Quando l'assegnazione ha esito positivo, il sistema invia il proprio utente token i dati fino al nuovo server di gestione. Tutti i sistemi che non hanno superato il processo di trasferimento del sistema vengono evidenziati nel server di destinazione tramite un rapporto intuitivo.
Nel rilascio viene inclusa una guida separata di trasferimento del sistema de 7.1.3 client System che descrive in dettaglio il processo di trasferimento del sistema.
Cosa è necessario prendere in considerazione se si installa in un sistema Windows 8.x utilizzando l'interfaccia UEFI nativa? Consigli se si prevede di installare DE 7.x su un sistema di Windows 8.x , utilizzando UEFI nativo: si consiglia di utilizzare la modalità UEFI nativa solo se il sistema è stato Windows 8 certificato in modo esplicito. Si consiglia inoltre di effettuare l'upgrade dei sistemi UEFI al livello di firmware UEFI più recente. Quindi, eseguire il test su uno specifico sistema nativo basato su UEFI prima di una distribuzione su larga scala.
Nota: Per altre domande e risposte UEFI, consultare la sezione "funzionalità" di seguito. È necessario decrittografare e crittografare di nuovo i client durante l'upgrade a DE 7.1 ?
No. Il processo di upgrade è stato progettato per trasferire la chiave dalla agent precedente alla nuova agent.
Durante il processo di installazione, quali metodi sono disponibili per evitare che tutti gli utenti utilizzino lo stesso password predefinito?
Sono disponibili due metodi:
Tramite il policy DE, è possibile rinunciare a utilizzare il password predefinito. È invece necessario imporre agli utenti di immettere Una password che scelgono.
Utilizzare un regola di assegnazione di policy con un PBU diverso in cui è possibile definire Una password predefinito diverso per gli utenti assegnati a PBU.
È possibile installare DE su un sistema e acquisire un'immagine RAW (settore per settore) da utilizzare sui nuovi computer?
No. Questo scenario non è supportato. Introdurrebbe un problema di sicurezza perché ogni sistema avrebbe la stessa chiave di sicurezza.
Posso modificare le dimensioni della tastiera sullo schermo del Tablet PC visualizzata durante il pre-avvio se ritengo che le dimensioni predefinite siano troppo piccole?
No. Per inviare una richiesta di miglioramento del prodotto per includere questa funzionalità, consultare la sezione "informazioni correlate".
È necessario aggiungere VirusScan esclusioni antivirus per DE?
No. Le esclusioni antivirus non sono più necessarie.
FAQ sulle funzionalità applicabili a DE 7.2.0 e versioni successive
In
che modo de 7.2.x utilizza Intel Software Guard Extension (SGX)? Intel SGX è un'estensione Intel Architecture, introdotta con le piattaforme del processore Intel Core di sesta generazione, che è stata studiata per aumentare la sicurezza del software tramite un meccanismo sandbox inverso . In questo approccio, il software legittimo può essere sigillato all'interno di un enclave e protetto da tali minacce, indipendentemente dal livello di privilegio della minaccia. L'alternativa consiste nel cercare di identificare e isolare tutte le minacce potenziali o le superfici di attacco sulla piattaforma.
L'utilizzo di Intel SGX con DE migliora ulteriormente la protezione contro gli attacchi basati sulla memoria (ad esempio l'attacco di avvio freddo) senza influire sulle prestazioni sui sistemi che supportano SGX e con una policy appropriato applicato.
FAQ sulle funzionalità applicabili a DE 7.1 e versioni successive
È possibile ripartizionare un disco crittografato con de?
No. Non è possibile modificare il partizionamento di un disco già crittografato. È necessario decrittografare completamente il disco e disinstallare DE prima di eseguire il ripartizionamento del disco.
Qual è la lunghezza della chiave utilizzata dall'algoritmo di cifratura AES256?
La lunghezza della chiave utilizzata è 256 bit.
RAID è supportato?
Sono disponibili due tipi di tecnologie RAID da prendere in considerazione: computer con hardware o software RAID.
DE non è testato con hardware RAID. Tuttavia, ci aspettiamo che DETECH funzioni correttamente in ambienti in cui viene implementato il RAID hardware puro. Questa aspettativa riguarda i sistemi che dispongono di schede RAID interne o sistemi RAID esterni con un controller integrato.
Nota: DE o DETECH non può supportare la diagnostica o Disaster Recovery per una configurazione RAID interrotta quando è in uso RAID hardware.
DE o DETECH non supporta RAID basato su software. Windows i dischi dinamici sono una forma di RAID software.
Computer quando la modalità BIOS SATA è configurata per l'utilizzo di RAID o RAID su:
In generale, DE o DETECH funziona in modalità RAID finché la modalità BIOS SATA di quel computer può essere visualizzata sul disco.
NOTE:
In modalità legacy o MBR BIOS, DE si affida alle chiamate INT13 per accedere al disco rigido (HDD) del computer.
In modalità UEFI, DE si basa sul protocollo di input o output del sistema; quindi, DE è agnostico alla modalità SATA del BIOS.
L'unico avvertimento a questa affermazione è se il disco è un HDD OPAL o Self-Encrypting Drive (SED). DE deve essere impostato sulla modalità Advanced Host Controller Interface (AHCI). Il motivo è che DE ha un proprio driver del controller e non si basa sul BIOS per accedere al disco rigido.
Note: L'avvertenza si applica solo alla cifratura hardware di un'unità OPAL o SED, e non se il disco rigido OPAL è configurato per la crittografia del software.
È possibile crittografare un dispositivo di storage multimediale rimovibile connesso tramite una porta USB?
No. DE rileva e crittografa l'unità solo se viene rilevata tramite una porta SATA.
Qual è la directory DE User?
La directory dell'utente estende la gestione di ePO a sistemi con utenti non gestiti e non di dominio. Oltre agli utenti gestiti in AD, DE può ora utilizzare anche questi utenti gestiti da ePO per l'autenticazione al preavvio.
I dati utente sono ora sincronizzati da AD e memorizzati nella cache localmente in ePO. Questo fatto elimina la necessità di costanti viaggi di andata e ritorno da ePO a AD. Il risultato è un miglioramento significativo delle prestazioni per i controlli policy basati sull'utente.
Altre informazioni generali sull'elenco degli utenti:
La directory utente rimuove la dipendenza da AD.
Un amministratore deve installare l'estensione di directory utente. È possibile eseguire questa installazione prima o dopo l'upgrade a DE 7.1.x , a condizione che i prerequisiti ePO siano soddisfatti, ovvero ePO 5.1.x.
Non vi sono differenze concettuali tra gli utenti autonomi di EEPC 5.x e gli utenti nella directory dell'utente.
Migrare gli utenti autonomi di EEPC 5.x nella directory dell'utente.
È possibile creare .organizzative (OU) nella directory dell'utente.
Gli utenti possono essere aggiunti e rimossi da un'unità organizzativa.
Gli utenti possono essere spostati da un'unità organizzativa a un'altra UO.
Le unità organizzative possono essere nidificate.
Un utente non può appartenere a più di un'unità organizzativa.
Quando si seleziona un'unità organizzativa, è possibile osservare tutti gli utenti che costituiscono l'unità organizzativa (incluse le UO nidificate).
Note: È possibile consultare tutti gli utenti delle unità secondarie, ma non tutte le unità organizzative nidificate. Dal nome distinto, è possibile individuare l'unità organizzativa secondaria da cui provengono tutti gli utenti.
Per quanto riguarda gli script, il WebAPI di ePO cambia per User: Machine assignments ?
No.
Che cos'è l'avvio automatico di Trusted Platform Module (TPM)? L'avvio automatico TPM è una nuova offerta in DE 7.1. it rafforza le funzioni di avvio automatico tradizionali utilizzando un TPM, se l'hardware è presente, per proteggere la chiave.
Il TPM fornisce un meccanismo di sealing, in base al quale i dati crittografati possono essere decrittografati solo se il sistema è in uno stato predefinito. Durante l'avvio del sistema, il TPM misura il firmware e tutti i componenti di avvio. La misurazione consiste nell'estendere un hash memorizzato in un registro TPM, con il codice che sta per essere eseguito. Il firmware adotta misure che non possono essere ignorate. Il TPM consente solo la decrittografia della chiave. Se il sistema si trova nello stesso stato di quando è stato sigillato, qualsiasi modifica, indipendentemente da quanto piccola, ne provoca l'errore.
Altri dati generali del TPM:
L'avvio automatico TPM è diverso da quello di avvio automatico tradizionale, in quanto l'avvio automatico tradizionale non fornisce protezione per il sistema. La chiave utilizzata per crittografare il disco è scritta in testo non crittografato sul disco. L'avvio automatico TPM protegge la chiave crittografando il file con il TPM. non è più in chiaro.
Il TPM consente di proteggere la chiave perché il TPM è in grado di decrittografare la chiave solo se lo stato del sistema non è stato modificato. La chiave non viene decrittografata se uno dei seguenti è vero:
Il TPM ritiene che lo stato del sistema sia stato modificato.
È presente un nuovo chip TPM (nuova scheda madre).
Se non è in grado di decrittografare la chiave, la funzione di avvio automatico non riesce e viene visualizzata l'autenticazione al pre-avvio.
Con avvio automatico TPM attivato, il sistema continua a essere avviato automaticamente, ma solo se il TPM ritiene che tutto sia in ordine. In questo caso, l'utente non Visualizza l'ambiente di pre-avvio e si avvia semplicemente in Windows.
L'avvio automatico TPM può essere utilizzato con avvio automatico reattivo.
L'avvio automatico TPM e l'avvio automatico reattivo possono essere utilizzati con la nuova modalità di standby connessa. Entrambi forniscono supporto e rafforzamento dei sistemi contro gli attacchi di avvio a freddo.
Se la scheda madre viene modificata o le misure di avvio TPM cambiano, l'utente Visualizza la schermata di autenticazione al pre-avvio. Se un utente si è impadronito di questa situazione, è necessario eseguire un recupero delle risposte o delle sfide per ottenere l'accesso a Windows.
Se sono note le credenziali utente di pre-avvio valide, l'utente può semplicemente eseguire l'autenticazione e l'avvio in Windows. Tuttavia, poiché l'utente è stato in questa modalità di avvio automatico, la possibilità di conoscere una credenziale utente valida è bassa.
Il TPM non crittografa la chiave. Inoltre, misura il percorso di avvio. Ogni volta che si avvia il sistema, si hash alcuni dati sul percorso di avvio nel TPM. Il risultato è che il TPM decrittografa la chiave solo se il percorso di avvio non è stato modificato.
Ciò significa che, dopo il riavvio automatico del TPM, il disco non è possibile eseguire l'avvio in un altro percorso di avvio. Se all'avvio viene selezionata un'opzione di avvio diversa, la funzione di avvio automatico non riesce e viene visualizzato il pre-avvio.
Altri elementi relativi al ruolo amministratore TPM:
Le impostazioni Policy per l'avvio automatico TPM sono disponibili nel titolo "TPM utente per il" di avvio automatica e sono disponibili le tre opzioni seguenti:
Never -La chiave del disco è scritta in testo non crittografato sul disco. Questa opzione è la funzionalità di avvio automatico originale.
If Available -Se il sistema dispone di un TPM utilizzabile, il TPM viene utilizzato per crittografare la chiave. Se non è disponibile alcun TPM o se è inutilizzabile, il TPM presente nel sistema ha la chiave scritta in testo non crittografato sul disco. Questa azione è in base alla funzionalità di avvio automatico originale.
Required -L'avvio automatico funziona solo se il sistema dispone di un TPM utilizzabile. L'ambiente di pre-avvio viene visualizzato nei sistemi che non dispongono di un TPM.
Importante: Se Microsoft aggiorna il bootLoader Windows durante un aggiornamento di Windows, le misure di avvio sono state modificate. Di conseguenza, il TPM non è in grado di decrittografare la chiave ed è necessario passare a un processo di ripristino. Il processo di ripristino richiede una chiamata Help Desk per eseguire nuovamente l'avvio del sistema.
Nota: Il preavvio di DE è anche nel percorso di avvio. Pertanto, quando un amministratore esegue il rollback di una nuova versione di DE, hotfix, Update o nuova versione, aggiorna entrambi i seguenti elementi:
Applicazione di DE pre-avvio EFI
Misure di avvio
Analogamente allo scenario di aggiornamento Windows, gli utenti devono effettuare una chiamata Help Desk per accedere al proprio sistema dopo che DE esegue il push di un aggiornamento.
I requisiti minimi per l'avvio automatico TPM sono i seguenti:
Supporto DE 7.1.x/7.2.x only TPM avvio automatico nei sistemi TPM 2.0 (tutti i sistemi di standby connessi supportano il TPM 2.0 ).
Nota: I sistemi meno recenti con TPM 1.2 non supportano questa funzione.
DE 7.1 Update 1 ( 7.1.1 ) e versioni successive aggiungono il supporto per i chipset TPM 1.2 (solo sistemi UEFI).
La chiave del proprietario del TPM deve essere gestita localmente e non nel AD.
Il sistema deve includere il protocollo UEFI di TPM nell'implementazione UEFI dell'OEM (un requisito per i sistemi di standby connessi).
Altri dati relativi all'esperienza dell'utente TPM:
Quando il TPM non è in grado di decrittografare la chiave, Visualizza l'ambiente di preavvio e chiede all'utente di eseguire l'autenticazione. Se il TPM è in dubbio, non esegue automaticamente l'avvio del sistema e visualizza invece l'ambiente di preavvio e attende l'autenticazione.
Posso ora gestire un numero maggiore di utenti in pre-avvio?
L'ambiente di pre-avvio è ora migliorato per supportare oltre 5.000 utenti senza un deterioramento percettibile delle prestazioni durante l'autenticazione al pre-avvio. Il limite precedente è stato di un massimo di 250 utenti nel pre-avvio. Ora è possibile eseguire il provisioning sicuro di tutti gli utenti per condividere i desktop, che consentono a qualsiasi utente di utilizzare qualsiasi sistema.
Qual è la raccomandazione per il numero di utenti assegnati per l'autenticazione al pre-avvio?
La raccomandazione generale rimane invariata. Consente di assegnare solo il numero minimo di utenti per l'autenticazione al pre-avvio.
Altri dati generali di autenticazione pre-avvio:
7.1E successivamente aumenta il numero di utenti che il pre-avvio può supportare, anche se si consiglia di ridurre al minimo il numero di utenti assegnati per nodo. I numeri sono aumentati a migliaia, piuttosto che centinaia.
In primo luogo, la migliore pratica di sicurezza mira a limitare il numero di utenti che possono accedere a un sistema al più piccolo gruppo di utenti.
In secondo luogo, l'assegnazione di un numero elevato di utenti a ciascun nodo potrebbe influire sulla scalabilità complessiva dell'intero sistema. In questo modo è possibile ridurre il numero massimo di nodi supportati da DE.
Se si consente agli utenti 5.000 di accedere al pre-avvio su un computer, si applicano le seguenti sanzioni:
L'attivazione richiede più tempo perché è necessario download tutte le informazioni sugli utenti di 5.000.
La sincronizzazione delle informazioni utente richiede più tempo, aumentando il carico di lavoro sul server ePO.
Altre azioni che includono informazioni utente richiedono più tempo per essere elaborate. Un esempio di queste azioni è il salvataggio delle informazioni di sistema relative a un client, in quanto include anche informazioni utente.
La scalabilità di un server ePO può essere influenzata. Il server ePO esegue più lavoro per ASCI per assicurarsi che tutte le informazioni siano aggiornate.
Esempio:
Si supponga di disporre di 100 sistemi per i quali sono stati assegnati 5.000 utenti. Prendere l'occorrenza più comune, una password modificata. Per un utente, che verrebbe catturato su un unico sistema, caricato in ePO, quindi spinto verso il basso negli altri sistemi 99 quando si sincronizza con ePO.
Se si impone agli utenti di modificare le proprie password ogni 90 giorni, gli utenti di 5.000 devono aggiornare il proprio password. Il risultato è 500.000 aggiornamenti (5.000 utenti x 100 sistemi) che il server ePO deve elaborare a più riprese durante la sincronizzazione dei sistemi con ePO.
Un numero elevato di utenti causa un aumento del traffico di rete. Tutto questo traffico viene gestito sulla rete. Anche se i singoli dati utente sono di piccole dimensioni, generalmente < 20 kilobyte, viene moltiplicato per il numero di transazioni. Se un sistema dispone di un collegamento lento, può richiedere molto tempo per ricevere tutte le modifiche. Se il server gestisce gli aggiornamenti degli utenti per molti client, il traffico di rete può essere anche significativo. Nel caso peggiore, potrebbe non ricevere tutti gli aggiornamenti in un periodo di sincronizzazione.
Cos'è AOAC?
AOAC significa sempre attivo, sempre connesso. Microsoft lo chiama "standby connesso" e Intel lo chiama Smart Connect. Tutti fondamentalmente fanno riferimento alla stessa funzione di alto livello.
È la capacità di mantenere un sistema in una modalità di sospensione a basso consumo e di riattivarlo periodicamente per recuperare i dati, ad esempio per le email o gli aggiornamenti di Facebook, quindi ritornano nuovamente a dormire. Questa attività si verifica senza che l'utente ne sia a conoscenza o intervenga. Consideralo simile al modo in cui funziona il tuo telefono cellulare.
Altri fatti generali di AOAC:
DE 7.1.x supporta un modello AOAC. Il supporto viene fornito mediante la modalità standby connessa. Mentre è in questa modalità di standby, l'accesso Windows viene utilizzato per proteggere i dati da accessi non autorizzati.
AOAC modifica la cifratura completa del disco. La cifratura completa del disco è stata storicamente sulla protezione dei dati a riposo (quando il sistema è spento). Diverse aziende stanno introducendo la funzione AOAC.
Con il modello AOAC, è necessario che il sistema e i servizi accedano al disco. Significa che la chiave di cifratura per il disco rimane sempre in memoria. Tuttavia, i sistemi che supportano AOAC sono più vulnerabili agli attacchi di tipo cold boot, poiché la chiave è sempre in memoria. Tenere presente che il sistema non si disattiva; è solo in standby.
Tutte le AOAC e standby connesse continuano a funzionare quando questa funzione è attivata.
Quando il sistema dorme, i dati non sono mai a riposo con il modello AOAC. I sistemi non sono disattivati. sono solo in standby. Il modello AOAC richiede che i dischi rimangano ' sbloccati ' a causa delle seguenti operazioni:
I sistemi potrebbero riattivarsi periodicamente o tramite una notifica push.
Le applicazioni e i servizi potrebbero richiedere l'accesso al disco durante questo periodo di Veglia.
È possibile utilizzare le funzioni di AOAC con il preavvio, la funzione di avvio automatico o entrambe.Questa funzione funziona indipendentemente dal metodo di autenticazione. Tuttavia, si consiglia di utilizzare una delle seguenti opzioni:
Pre-avvio
Se si sceglie avvio automatico, attivare l'avvio automatico TPM con avvio automatico reattivo o l'integrazione con la tecnologia di gestione attiva di Intel.
Quali sono i sistemi de Harden contro gli attacchi di avvio a freddo?
Di seguito è riportata una panoramica di alto livello di questa nuova funzionalità di DE:
Sulle moderne piattaforme di Windows in grado di supportare la nuova modalità di standby connessa, l'utente può avere un'esperienza di tipo iPad.
Questi sistemi sono sempre in uno stato ' acceso '.
Il sistema richiede che la chiave di cifratura sia sempre in RAM, rendendoli suscettibili agli attacchi di ripulitura della memoria che possono macchiare la chiave di cifratura dalla RAM.
DE può operare dietro le quinte offrendo all'utente un'esperienza Windows nativa. Quando il dispositivo entra nello stato di standby connesso, DE Cancella la chiave di cifratura dalla RAM. DE quindi lo sposta in un'area protetta su un sistema Intel hardware hardening, per evitare attacchi di avvio a freddo e di scrubbing della memoria. Quando il dispositivo si sposta in uno stato attivo, la chiave di cifratura viene spostata in modo trasparente nella RAM. Ciò si verifica dopo l'autenticazione utente riuscita Windows.
Che cos'è un attacco di avvio a freddo?
Un attacco di avvio a freddo è un modo per estrarre dati sensibili dalla memoria di sistema. Lo fa quando il sistema è acceso o in stato di standby, anche se il sistema è protetto da un Windows password. L'attacco prevede una delle due azioni seguenti:
Riavvio del sistema e esecuzione di un piccolo programma al successivo ciclo di avvio che sottopone a scansione la memoria di sistema per informazioni sensibili
Rimozione della RAM da un sistema acceso e conversione in un altro sistema per la scansione
Altri fact generali di avvio a freddo:
DE indurisce i sistemi contro un attacco di avvio a freddo quando un sistema entra in una delle modalità di standby. DE 7.1.x rimuove la chiave dalla memoria. È memorizzato in un percorso sicuro che è ancora accessibile durante la modalità standby connessa. Il sistema continua a funzionare come previsto dall'utente; Tuttavia, il sistema è meno vulnerabile a un attacco a freddo in stile avvio perché la chiave non è più in memoria.
DE rimuove completamente la chiave dalla memoria. Questa funzione rafforza il sistema contro gli attacchi in stile memoria. Ogni sforzo viene intrapreso per assicurarsi che la chiave venga rimossa dalla memoria. Ma non possiamo garantire che sia stato rimosso, a causa del modo in cui Windows gestisce la memoria.
Inoltre, questa funzione non funziona con la sicurezza basata sulla virtualizzazione, introdotta in Windows RS1 e versioni successive. Pertanto, non può essere attivata su tali piattaforme..
L'unica condizione in cui la chiave viene rimessa in memoria è una volta che un utente ha eseguito correttamente l'autenticazione per Windows. La semplice esecuzione di Windows non consente di riportare la chiave in memoria.
Quando la chiave non è in memoria, viene mantenuta in un'area di archiviazione sicura che non è in memoria. La chiave può essere rimossa dalla memoria quando si verifica uno dei seguenti eventi:
Il sistema è disattivato.
L'utente si disconnette.
L'utente blocca la workstation.
Il sistema è in attesa che un utente si autentichi alla richiesta di accesso Windows.
Dopo che il sistema si è riattivato dalla modalità standby o Sleep/
Se gli utenti sono autenticati e si trovano sul loro desktop, la chiave è in memoria. Se gli utenti non sono autenticati o non sono sul loro desktop, la chiave non è in memoria.
Note: Un amministratore può selezionare, tramite una policy, in quali condizioni la chiave viene rimossa.
Sebbene sia necessario un solo driver per gestire la chiave in memoria, opera in una delle due modalità seguenti:
Crypt standard
Cripta di sicurezza elevata
Qual è la modalità Crypt standard?
Si tratta di uno stato del driver di cifratura in cui:
La chiave di cifratura è memorizzata nella RAM.
Non è sicuro contro gli attacchi basati su RAM o a freddo in stile boot.
È altamente ottimizzato per le prestazioni.
Utilizza la stessa implementazione dell'algoritmo come nelle versioni precedenti di legacy EEPC 7.x .
Qual è la modalità di crittografia di sicurezza elevata?
Si tratta di uno stato del driver di cifratura in cui:
Viene utilizzata una nuova implementazione dell'algoritmo di crittografia AES256-CBC.
La chiave di cifratura viene memorizzata in una posizione sicura e non nella RAM.
ISO.
Viene fornito con una notevole penalizzazione delle prestazioni.
Le imposizione delle policy sono disattivate.
Altri dati generali criptati di sicurezza elevati:
Il driver scambia tra le due modalità ed è definito tramite una policy. Esempio: DE 7.1 può scambiarsi nella modalità Crypt di sicurezza elevata quando il sistema è:
Bloccata
Disconnessione
Entra in modalità standby
Nota: La modalità Crypt standard riprende quando l'utente ha effettuato correttamente l'autenticazione per Windows.
Questa funzionalità può essere utilizzata con avvio automatico TPM.
L'ora di avvio è più lenta nella modalità Crypt di sicurezza elevata. Dall'avvio iniziale, la chiave non viene memorizzata in memoria fino a quando l'utente non viene autenticato correttamente in Windows. Se si utilizza un Tablet PC, è possibile chiudere completamente il computer, in modo che non si verifichi sempre questo problema.
Quando il sistema esegue un'attività di alta intensità del disco e la workstation è bloccata, la workstation viene rallentata. Gli utenti osservano questo livello di prestazioni quando tornano in seguito. Questo problema viene visualizzato quando il sistema è in esecuzione nella modalità Crypt di sicurezza elevata e quando la chiave non è in memoria.
Nella modalità cripta di sicurezza elevata, si dispone di un trade-off di sicurezza e prestazioni. La cosa importante da ricordare è che quando un utente utilizza attivamente il proprio sistema, le normali prestazioni complete vengono sperimentate. Si tratta solo di periodi in cui è ancora in corso l'autenticazione che l'utente sperimenta l'impatto sulle prestazioni.
Esempio di impatto sulle prestazioni quando il driver utilizza la modalità Crypt di sicurezza elevata:
Esame delle prestazioni dell'algoritmo RAW: processore in grado di 64 bit AES-NI:
Crypt standard = 1 ciclo di clock della CPU/byte
Cripta di sicurezza elevata = 15 cicli di clock della CPU/byte
processore in grado non-AES-NI a 32 bit:
StandardCrypt = 35 cicli di clock della CPU/byte
Crittografia di sicurezza elevata = 133 cicli di clock della CPU/byte
Nota: L'impatto può essere superiore a quello dell'algoritmo RAW precedente a causa dei test eseguiti con gli interrupt disattivati. Considerato un altro modo, puramente come esempio, se un sistema avverte un throughput di 208 MB/s in Crypt standard, può cadere a 20 MB/S in cripta di sicurezza elevata.
Nota: Il sistema deve supportare la modalità standby connessa e deve essere una tavoletta di Clover Trail o un sistema Haswell.
Esiste una differenza tra "standby connesso" e "connessione intelligente"? Sì. Smart Connect è una tecnologia più vecchia. Smart Connect dispone di un driver che attiva periodicamente il sistema e si connette a un server per eseguire il pull delle notifiche. Standby connesso è una nuova tecnologia in cui il sistema entra in un nuovo stato di alimentazione sulla CPU.
La modalità standby connessa richiede il supporto del nuovo hardware; La connessione intelligente non lo è. Pertanto, è possibile disporre di Smart Connect su un sistema Windows 7 con CPU e hardware obsoleti. Tecnicamente, Smart Connect utilizza lo stato di alimentazione S3, ovvero Sleep. La modalità standby connessa utilizza lo stato di alimentazione RTD3, che è uno stato diverso sulla CPU.
Cos'è la modalità standby connessa?
Standby connesso non è realmente una modalità di sospensione vera e propria. Viene eseguito in questo nuovo stato di alimentazione e lascia alcuni servizi in esecuzione che possono ricevere notifiche dal server. Pertanto, dispone di requisiti hardware ed è disponibile solo sui sistemi Windows 8.x .
Esempio: i requisiti hardware per la modalità standby connessa su Windows 8 sfruttano la modalità standby connessa se vengono soddisfatti tutti i seguenti requisiti hardware:
Un flag firmware indica il supporto per lo standard.
Il volume di avvio non utilizza un disco rotazionale.
Supporto di NDIS 6.30 da parte di tutti i dispositivi di rete.
Raffreddamento passivo quando si è in standby connesso.
Note: Esistono altri requisiti specifici per la sicurezza; Per esempio:
La memoria deve essere saldata alla scheda madre per evitare che i vettori di attacco a freddo si attacchino alla rimozione della memoria dal computer.
È possibile clonare un disco rigido esistente (HDD) su un disco più grande, rendere il nuovo disco avviabile ed estendere le dimensioni in Windows ' ambiente?
No. Per eseguire la migrazione a un disco rigido più grande, è necessario prima decrittografare il disco rigido, completare la clonazione e quindi crittografare di nuovo.
È possibile eseguire una cancellazione remota di un sistema crittografato?
No. Il pre-avvio non dispone di funzionalità di rete.
Perché Windows 8 richiede un cambiamento significativo per i prodotti di cifratura?
Microsoft introdotto molte nuove funzionalità con Windows 8 e versioni successive. Quelli che influiscono maggiormente sulla cifratura sono i seguenti:
A UEFI Boot Process
GPT Disk partitioning
Secure Boot
Hybrid Boot
Windows 8 Modern User Interface (UI)
Windows 8 Tablets
Altri dati generali criptati di sicurezza elevati:
Windows 8.x dispone di due metodi di avvio possibili. A seconda della configurazione e delle funzionalità del sistema, Windows 8 installa la funzionalità per l'avvio con il nuovo processo di avvio UEFI o con il processo di avvio del BIOS legacy.
Non è possibile modificare un'impostazione di configurazione e scambiare Windows 8 da un processo di avvio a un altro. È necessario reinstallare completamente Windows 8 a causa della modifica del meccanismo di partizionamento.
Da Windows 8 e versioni successive, DE dispone di due ambienti di pre-avvio. Un pre-avvio per gestire il processo di avvio UEFI e un pre-avvio per gestire il processo di avvio del BIOS.
Il client DE Intelligent esamina il processo di avvio configurato per l'utilizzo del sistema. Determina quindi quale pre-avvio deve essere installato. Questo fatto consente a un amministratore di distribuire DE ai sistemi e di sapere che il pre-avvio appropriato viene installato automaticamente.
DE 7.x non utilizza l'interfaccia utente Windows 8 moderna (UI). Dopo il caricamento di Windows, l'unica interfaccia di Windows 8 è il monitoraggio dello stato della barra delle applicazioni, disponibile solo sul desktop. Non è disponibile nell'interfaccia utente moderna.
Cos'è l' avvio automatico?
L'avvio automatico è un account che ignora in modo efficace la protezione fornita da DE. Con questa opzione attivata, gli utenti non visualizzano la schermata di autenticazione al pre-avvio.
Cos'è l' avvio automatico reattivo?
Avvio automatico reattivo è un miglioramento della funzionalità di avvio automatico tradizionale che esiste in Windows e OS X. In modalità avvio automatico, l'unità è crittografata. Tuttavia, l'utente non Visualizza la schermata di autenticazione al pre-avvio e viene avviato direttamente nel sistema operativo.
A differenza dell'avvio automatico tradizionale, avvio automatico reattivo ha un altro elemento di funzionalità. Quando questa opzione è attivata, il prodotto esegue il monitoraggio delle richieste di autenticazione Windows. Se un utente supera il numero massimo specificato di errori di autenticazione, l'avvio automatico reattivo attiva automaticamente l'autenticazione al pre-avvio, disattiva l'avvio automatica e riavvia immediatamente il computer. Una volta eseguite queste azioni, l'utente deve passare correttamente l'autenticazione pre-avvio prima di ottenere l'accesso al sistema operativo.
Questa funzionalità consente all'policy di autenticazione di passare automaticamente da avvio automatico (sbloccato, non protetto) al preavvio (bloccato, protetto). Si basa su determinate condizioni designate dall'amministratore.
Altri dati generali di avvio automatico reattivi:
Per attivare avvio automatico reattivo (non attivato per impostazione predefinita), è necessario che un amministratore esegua due operazioni:
Selezionare l'impostazione 'Disable and restart system after <n> (1–10) failed logons or unlocks (Windows only, Vista onwards)' della policy del prodotto.
Consente di specificare il numero di accessi non riusciti o di sblocco consentiti.
I policy devono essere assegnati ai sistemi che richiedono la funzionalità di avvio automatico reattivo.
Esempio per l'utilizzo di avvio automatico reattivo: si desidera crittografare i sistemi condivisi, a cui potrebbe essere necessario accedere da qualsiasi utente dell'organizzazione. Di conseguenza, non è possibile assegnare un utente o un gruppo di utenti specifico per l'autenticazione al pre-avvio. L'avvio automatico reattivo potrebbe essere una soluzione accettabile per i casi in cui si sarebbe altrimenti costretti a distribuire utilizzando avvio automatico.
Le unità sono cifrate su un sistema con avvio automatico reattivo se così definite nella policy di cifratura. Tuttavia, poiché l'autenticazione non è attivata quando l'avvio automatico è attivato, i dati non sono protetti.
Quali sono le principali funzionalità di avvio automatico reattivo?
Questa funzione è solo lato client. Questa funzionalità è solo client. Gli eventi di verifica vengono caricati in ePO alla successiva sincronizzazione, ma il server ePO non ha alcuna interazione con questa funzionalità.
Questa funzione è di sola Windows. Avvio automatico reattivo non disponibile in Mac OS X. A causa delle modifiche apportate da Apple, Management of Native Encryption (MNE) ha sostituito il prodotto EEMac. Per informazioni dettagliate, consultare le piattaforme supportate da KB79375 per Management of Native Encryption.
È possibile specificare il numero massimo di tentativi non riusciti. Un amministratore ePO può specificare questo numero nella policy. Ha un valore minimo di 1 e un valore massimo di 10.
Si applica a tutti i tentativi di autenticazione Windows. Si applica a entrambi gli accessi Windows e sblocca i tentativi.
Funziona sia con la crittografia del software che con Opal.
Gli utenti possono utilizzare il ripristino di richiesta/risposta per consentire al sistema di accedere a Windows quando un utente supera il numero massimo di tentativi non riusciti definiti.
Un utente Windows può essere parte di un gruppo di lavoro o di un utente di dominio.
Gli eventi vengono controllati. Un amministratore ePO può verificare quali sistemi sono attivati. L'evento 30070: "avvio automatico disattivato – il numero massimo di accessi non riusciti" viene inviato al server ePO, ma solo dopo la successiva autenticazione riuscita a Windows e quando è possibile la connettività a ePO.
Nota: Nel momento in cui il sistema pensa di essere sotto attacco, disattiva l'avvio automatico e riavvia il sistema. Non c'è tempo per inviare un evento a ePO, pertanto ePO non è al corrente del blocco in quanto è stato implementato.
Non è necessaria alcuna azione di amministratore per riattivare l'avvio automatico reattivo su un sistema in cui è disattivato, che può verificarsi in un tentativo di autenticazione Windows non riuscito. Dopo che il client ha riavviato il sistema e ha effettuato l'accesso Windows, l'avvio automatico reattivo viene riattivato automaticamente. Il sistema non deve comunicare con ePO per riattivare l'avvio automatico.
Qual è l'esperienza dell'utente quando il sistema utilizza avvio automatico reattivo?
Quando gli utenti attivano i propri computer, si avviano direttamente in Windows. Avvio automatico significa che non è presente alcuna autenticazione al pre-avvio. Gli utenti passano direttamente all'accesso Windows. Supponendo che vengano sempre autenticati correttamente Windows, la loro esperienza non cambia.
L'utente avverte quanto segue dopo aver superato il numero massimo di tentativi di autenticazione Windows non riusciti:
L'autenticazione al pre-avvio viene attivata automaticamente e l'avvio automatico è disattivato.
Si verifica un arresto indegno di Windows e il sistema viene riavviato.
Quando il computer viene riavviato, viene visualizzata la schermata di autenticazione pre-avvio e l'utente deve eseguire correttamente l'autenticazione per ottenere l'accesso a Windows.
Dopo che un utente ha superato i tentativi non riusciti massimi definiti, un utente non può eseguire le azioni seguenti:
Autenticazione mediante credenziali di Windows
Utilizza il ripristino automatico per passare al preavvio e all'accesso Windows
Nota: Se il sistema ha sempre funzionato in modalità avvio automatico, è improbabile che tutti gli utenti di DE siano stati assegnati per consentire l'autenticazione al pre-avvio riuscita.
Per ottenere l'accesso a Windows quando viene presentato con l'autenticazione al pre-avvio, per ottenere l'accesso a Windows, un utente deve eseguire una delle seguenti operazioni:
Eseguire l'autenticazione nella schermata di pre-avvio.
Passare da uno dei meccanismi di ripristino standard.
In che modo è possibile riattivare l'avvio automatico reattivo e disattivare l'autenticazione al pre-avvio per tornare al flusso di lavoro precedente?
L'utente deve eseguire correttamente l'autenticazione al pre-avvio o passare al processo di ripristino necessario per accedere a Windows. Dopo il caricamento Windows e l'avvio di DE Services, l'avvio automatico reattivo viene riattivato automaticamente.
Quali funzionalità di integrazione di Intel Active Management Technology (AMT) funzionano con avvio automatico reattivo?
Sebbene in teoria sia possibile utilizzare il caso di utilizzo della posizione Aware dall'integrazione di Intel AMT con avvio automatico reattivo, l'utilizzo combinato non ha senso per due motivi principali.
Per prima cosa, mentre avvio automatico reattivo è attivato, la funzionalità AMT non viene utilizzata in preavvio perché il sistema si avvia direttamente in Windows.
In secondo luogo, dal punto di vista della sicurezza e dell'usabilità, è preferibile utilizzare la funzionalità AMT e il caso di utilizzo "location aware". Entrambe consentono l'avvio automatico sicuro e autorizzato del sistema in Windows. Se è stata attivata questa funzionalità, si tratta della soluzione più sicura rispetto all'avvio automatico reattivo.
È possibile prendere in considerazione l'utilizzo di AMT per rispostare o ridurre le chiamate all'helpdesk dagli utenti quando la funzionalità avvio automatico reattivo attiva il preavvio. Questa funzionalità potrebbe ridurre la necessità di una chiamata all'helpdesk per continuare a superare l'ambiente di pre-avvio. Tuttavia, è comunque possibile riscontrare uno scenario in cui è richiesta la chiamata Help Desk. Ancora più importante, la funzionalità AMT fornisce la sicurezza dei dati richiedendo un'autenticazione automatica del pre-avvio per essere fornita dal server. Per contro, l'avvio automatico non dispone di autenticazione al pre-avvio e non fornisce protezione dei dati.
L'esperienza dell'utente sembra essere la stessa quando si applicano le seguenti opzioni:
Quando si utilizzano sia l'integrazione AMT che l'avvio automatico reattivo
Quando l'utente non riesce a eseguire l'autenticazione troppe volte
Nota: Ma ci sono differenze di back-end.
Scenario di esempio:
importante: se è stata attivata la posizione "Aware" di Intel AMT, si consiglia di utilizzare tale funzionalità e di avviare l'avvio automatico non reattivo. Il motivo è che fornisce la sicurezza dei dati mediante l'autenticazione dal server. Se necessario, è possibile impostare un Windows policy per disattivare l'utente se non riesce a eseguire l'autenticazione dopo una soglia impostata.
Avvio automatico reattivo è una soluzione insicura che si avvia in Windows utilizzando le informazioni crittografiche già presenti sul client.
L'integrazione di Intel AMT è una soluzione sicura che Contatta ePO e richiede l'autorizzazione per l'avvio in Windows. Riceve quindi le informazioni necessarie per la crittografia.
In un sistema client che utilizza avvio automatico reattivo, la funzionalità AMT in pre-avvio non viene utilizzata. Quando un utente non riesce ad autenticarsi ripetutamente, avvio automatico reattivo attiva il pre-avvio e riavvia il sistema.
Il pre-avvio utilizza AMT e Contatta ePO per ricevere l'autorizzazione all'avvio. Se ePO non risponde, l'utente si trova nella stessa situazione dell'avvio automatico reattivo tradizionale senza AMT.
L'utente viene restituito alla schermata di autenticazione Windows. L'avvio automatico attivo è attivato perché il sistema si avvia in Windows. L'utente può continuare a immettere password errate fino a quando Windows disattiva l'utente.
Questo scenario potrebbe imporre una chiamata Help Desk. Avvio automatico reattivo è un'attività lato client. Non è presente alcuna comunicazione con il server ePO e non c'è tempo per comunicare con il server quando la funzionalità risponde ai tentativi di accesso non riusciti.
Qual è la cifratura iniziale rapida (solo settore utilizzato)?
La cifratura iniziale rapida è la possibilità di installare il prodotto DE su un sistema ed eseguire la cifratura in pochi minuti, rispetto a diverse ore che sono necessarie in circostanze normali.
La funzione primaria di cifratura iniziale rapida è per la cifratura iniziale di un sistema appena installato o immaginato. Il sistema si siede su una scrivania di un tecnico IT e non viene utilizzato dall'utente. È possibile vedere i casi di utilizzo di "provisioning" o "provisioning da parte di terzi" dalle domande frequenti sull'attivazione offline.
Questa funzione non può essere utilizzata con un'unità Opal. Non è necessario utilizzare la cifratura iniziale rapida con un'unità Opal perché l'unità è sempre crittografata in modo tecnicamente. Il processo di attivazione DE attiva il meccanismo di blocco per l'unità. Attualmente, un'unità Opal passa da inattivo ad attivo e completamente crittografato in pochi minuti. Consultare anche le domande frequenti sull'attivazione offline.
Non è possibile utilizzare la crittografia iniziale rapida come parte del normale processo di attivazione.
La cifratura iniziale rapida può essere utilizzata con un normale HDD o SSD. Ma è importante leggere le considerazioni relative solo al settore utilizzato (Vedi sotto).
Altra cifratura iniziale rapida (solo settore utilizzato):
La crittografia iniziale rapida rimuove la protezione dall'interruzione dell'alimentazione, che fornisce protezione contro la perdita di dati in uno scenario di interruzione dell'alimentazione o dell'arresto dell'hardware. Esegue la cifratura iniziale il più rapidamente possibile. Consente inoltre di crittografare solo i settori attualmente in uso.
La cifratura iniziale rapida differisce dal modo in cui le versioni DE 7.1 e release precedenti funzionano. Tradizionalmente, il prodotto presuppone che sia in grado di crittografare un sistema in uso. La priorità è l'esperienza dell'utente per ridurre al minimo l'impatto sulla routine quotidiana dell'utente. Questo fatto ha il vantaggio di consentire all'utente di continuare a lavorare mentre si verifica la cifratura e fornisce protezione contro l'interruzione dell'alimentazione o un arresto rigido. In una distribuzione standard, il processo di cifratura richiede più tempo per essere completato. Il motivo è che il DE crittografa ogni settore dei volumi e delle partizioni. Esegue la crittografia di qualsiasi area specificata nella policy di crittografia. Anche i settori vuoti che non contengono dati vengono crittografati.
La cifratura iniziale rapida Crittografa solo i settori utilizzati. Il prodotto esegue una query sul sistema operativo per il quale i settori sono in uso dal file System. Il prodotto crittografa quindi solo i settori contrassegnati come utilizzati nei volumi e nelle partizioni. In base ai volumi e alle partizioni specificate nella policy di cifratura, su una nuova installazione, questo numero è generalmente un piccolo sottoinsieme delle dimensioni totali del disco.
Quando i nuovi dati vengono scritti sul disco, quando vengono utilizzati nuovi settori, vengono crittografati.
La cifratura iniziale rapida è disponibile solo su Windows con DE 7.1. a causa delle modifiche apportate da Apple, MNE ha sostituito il prodotto EEMac.
Per attivare la crittografia iniziale rapida come parte di un pacchetto di attivazione offline, utilizzare una delle due opzioni seguenti:
SkipUnused (il valore predefinito è disattivato)
DisablePF (il valore predefinito è disattivato)
Questa funzionalità non è attivata per impostazione predefinita per l'attivazione offline. È necessario attivare in modo esplicito la crittografia iniziale rapida.
La cifratura iniziale rapida è disponibile solo come parte del processo di attivazione offline. L'opzione di attivazione offline è denominata Ignora settori inutilizzati.
Altri dati di cifratura iniziale rapida (solo settore utilizzato) fatti dell'utente:
Quando la cifratura iniziale rapida è attivata, l'utente deve digitare Sì quando si utilizzano solo settori utilizzati. Questo atto assicura di aver letto il Disclaimer e di comprendere l'utilizzo di questa funzionalità. È importante leggere le considerazioni relative solo al settore utilizzato.
Quando un utente non digità Sì' quando richiesto, il pacchetto di attivazione offline non viene compilato e il processo non riesce. È necessario ricostruire il pacchetto e digitare correttamente ' Sì' oppure rispostare l'opzione ' solo settori utilizzati ' dal pacchetto.
L'opzione "solo settore utilizzato" indica che non sono presenti settori nel disco che non sono crittografati. Il prodotto Crittografa solo i settori in uso che sono stati utilizzati dal sistema operativo. Tutti gli altri settori (spazio vuoto) vengono lasciati in uno stato non crittografato fino a quando non vengono utilizzati, anche se tali settori contengono dati sensibili eliminati in precedenza. Tutti i nuovi settori scritti durante il normale funzionamento sono scritti in uno stato crittografato.
La raccomandazione per l'utilizzo dell'opzione solo settore utilizzato è valida sia per un nuovo HDD che per SSD. Questa funzionalità può essere utilizzata prima che i dati aziendali sensibili vengano scritti sul disco.
Quando si ricicla un'unità precedente che è completamente crittografata con DE, questa funzionalità può essere ancora utilizzata, supponendo che tutti i volumi che contengono dati sensibili siano crittografati in precedenza. Se questa condizione non è soddisfatta, si consiglia di non utilizzare questa funzione.
Importante: Non utilizzare questa funzionalità sui dischi che in precedenza contenevano dati aziendali sensibili. Crittografare l'intero volume o la partizione o il disco.
È possibile riavviare un computer mentre il disco rigido viene crittografato?
Sono disponibili due scenari da considerare:
Non è possibile riavviare il sistema durante l'utilizzo della crittografia iniziale rapida e quando la funzionalità DisablePF è attivata. Un riavvio del sistema in queste condizioni porterebbe a una perdita di dati.
Con la crittografia del disco completo (FDE), è possibile riavviare il sistema. Con FDE, la crittografia continua quando il computer viene riavviato.
Qual è l'HDD di dimensioni massime supportato da DE?
Qualunque sia il supporto del BIOS o dell'UEFI, DE supports. Il BIOS è tecnicamente limitato alla 2.2 TB, dove UEFI è limitato a 9.4 es. Per ulteriori dettagli sulla limitazione di UEFI, consultare questo documento.
È
possibile eseguire un'attivazione normale o offline con la protezione dell'interruzione dell'alimentazione attivata e crittografare tutti i settori e non solo quelli in uso? Sì. È necessario attivare in modo esplicito la crittografia iniziale rapida affinché venga utilizzata. Se non è attivata, viene utilizzato il normale processo per l'attivazione e la cifratura iniziale.
È possibile disattivare l'opzione di protezione da interruzione dell'alimentazione ma consentire la funzionalità di crittografia solo settore utilizzato? Sì. È possibile selezionare qualsiasi combinazione delle due opzioni. Ma, a causa dei potenziali problemi di sicurezza quando si utilizza la cifratura "solo settore utilizzato" su unità riciclate (dischi sporchi), è possibile disattivare questa opzione. È importante leggere le considerazioni relative solo al settore utilizzato.
Che cos'è UEFI?
UEFI definisce l'interfaccia di firmware di nuova generazione per il computer in uso. Il sistema di input e output di base (BIOS) firmware, originariamente scritto in assembly e che utilizza gli interrupt software per I/O, ha definito il sistema del PC sin dalla sua nascita. Ma, i cambiamenti nel panorama informatico hanno spianato la strada a una moderna definizione di firmware per inaugurare la prossima generazione di Tablet e dispositivi.
Altri dati UEFI:
L'interfaccia UEFI viene gestita tramite il forum UEFI, una raccolta di chipset, hardware, sistemi, firmware e fornitori di sistemi operativi. Il forum mantiene le specifiche, gli strumenti di test e le implementazioni di riferimento che vengono utilizzate su molti computer UEFI.
L'intento di UEFI è quello di definire un modo standard per il sistema operativo di comunicare con la piattaforma firmware durante il processo di avvio. Prima di UEFI, il meccanismo principale per comunicare con l'hardware durante il processo di avvio è stato interrotto dal software. I PC moderni possono eseguire input/output di blocco più rapido e efficiente tra hardware e software. Inoltre, UEFI consente ai progetti di utilizzare tutte le potenzialità del proprio hardware.
UEFI consente un design firmware modulare, che consente ai progettisti di hardware e sistemi una maggiore flessibilità nella progettazione firmware per i più esigenti ambienti di computing moderni. Sebbene l'I/O sia limitato dagli interrupt software, UEFI promuove il concetto di standard di codifica basati su eventi, indipendenti dall'architettura.
DE 7.1 supporta la versione 2.3.1 UEFI e versioni successive.
I sistemi Windows 7 (64 bit) e Windows 8 (32 bit e 64 bit) e versioni successive supportano un processo di avvio UEFI.
Quali sono le principali caratteristiche dell'utilizzo di UEFI con DE?
Sono disponibili diversi strumenti di ripristino per i sistemi con un processo di avvio UEFI. Poiché si tratta di un processo di avvio diverso, è necessario uno strumento di ripristino diverso per gestire i diversi processi di avvio.
DETECH è anche un'applicazione UEFI. È presente un'applicazione DETECH utilizzata per il ripristino sui sistemi con un processo di avvio UEFI.
Nota: Non è possibile utilizzare gli strumenti DETECH del BIOS (legacy) con un sistema di avvio UEFI.
Importante: Un sistema con un processo di avvio UEFI non funziona con MBR dischi partizionati. Windows richiede un nuovo meccanismo per il partizionamento del disco, denominato GPT, per l'avvio in UEFI.
DE pre-avvio è un'applicazione. Se si considera che l'UEFI è simile a un sistema operativo, il DE pre-avvio diventa un'applicazione nativa UEFI. In confronto, la versione di preavvio del BIOS è un sistema operativo da solo. In entrambi, il pre-avvio deve essere eseguito per primo, in modo che dopo una corretta autenticazione, la chiave di cifratura possa essere caricata e il processo di avvio possa continuare. Nel mondo UEFI, quando un utente esegue correttamente l'autenticazione in fase di pre-avvio.
Non tutti i dispositivi touch-screen sono supportati in UEFI. Se si ritiene che l'UEFI sia più simile a un sistema operativo, gli OEM devono fornire driver software per l'hardware contenuto nel dispositivo. Per UEFI, il pre-avvio supporta sia il protocollo di puntatore semplice che il protocollo Absolute Pointer. Si prevede che uno o entrambi i protocolli siano implementati per tutti i dispositivi touch-screen rilevati. Se un produttore o un OEM dell'implementazione UEFI non riesce a implementare uno di questi meccanismi, non è possibile garantire il supporto per il dispositivo touch-screen.
Nota: Nel test interno è stato rilevato che non tutte le implementazioni UEFI degli OEM implementano effettivamente queste interfacce. In questi casi, il creatore dell'implementazione UEFI su tale sistema lascia le sezioni della specifica UEFI.
Le unità GPT sono supportate con UEFI. Sono supportati come dischi di avvio o secondari.
L'implementazione UEFI si verifica su tutti i fornitori. Le implementazioni UEFI variano in base ai fornitori di hardware. A seconda dell'implementazione UEFI, i problemi possono variare da quello riportato di seguito:
Protocolli mancanti necessari per supportare le unità Opal.
Problemi per il supporto di USB fornito nell'ambiente di pre-avvio e utilizzato da DE quando si opera in modalità UEFI nativa.
Unità Opal supportate in UEFI:
Il supporto per le unità Opal Self-Encrypting sui sistemi UEFI è disponibile solo su sistemi conformi al logo Windows 8 o versioni successive che dispongono di un'unità Opal autocrittografata quando vengono prodotti.
Il supporto per le unità Opal Self-Encrypting in UEFI non viene offerto quando uno dei seguenti è vero:
Adattamento delle unità Opal ai sistemi pre-Windows 8
Refitting ai sistemi di Windows 8 che non vengono forniti con unità Opal dai produttori.
Il motivo di quanto sopra è dovuto al fatto che un protocollo di sicurezza UEFI è necessario per la gestione Opal. È obbligatorio solo quando un'unità autocrittografata viene montata al momento della spedizione. Senza il protocollo di sicurezza, la gestione Opal non è possibile.
È disponibile il supporto per le unità GPT? Windows 7
Come disco di avvio, no. Come disco secondario, sì. Inoltre, dipende dal sistema operativo per supportare l'unità secondaria in modalità GPT e per il BIOS per supportare dischi di grandi dimensioni per DETECH (standalone) per recuperarli.
Windows 8 e versioni successive
I dischi GPT primari e secondari sono supportati in Windows 8 con DE 7.1.0 e versioni successive.
NOTE:
I sistemi basati su UEFI possono essere avviati solo da un disco GPT principale.
I sistemi basati su BIOS non possono essere avviati da un disco GPT principale. Su questi sistemi da EEPC 7.0 e versioni successive, i dischi GPT sono supportati solo come unità secondarie.
Qual è l'esperienza dell'utente quando il sistema utilizza UEFI?
Entrambi gli ambienti di preavvio sembrano e si comportano allo stesso modo. Un utente non può distinguere la differenza tra gli ambienti di pre-avvio UEFI e BIOS.
Perché è necessario creare e utilizzare i supporti di ripristino DETECH WinPE, quando la versione autonoma di DETECH include più funzionalità, ad esempio l'avvio di emergenza?
La versione di WinPE è molto più rapida della versione autonoma.
La versione di WinPE consente inoltre di accedere al disco rigido crittografato, di risolvere Windows problemi o di copiare i dati dell'utente in un'altra unità prima di rieseguire la creazione di immagini.
È inoltre possibile eseguire anche uno degli strumenti di Windows e accedere alla rete.
Note: DETECH standalone non è compatibile con le versioni precedenti. Utilizzare sempre una versione di supporto di recupero DETECH corrispondente. Se il client ha installato DE 7.1 , creare un supporto di ripristino autonomo DETECH 7.1 per eseguire eventuali azioni di ripristino.
Importante: Non è possibile per noi fornire ai clienti un CD di ripristino WinPE perché è necessaria una licenza di Microsoft valida.
Cos'è Secure Boot?
Secure Boot è una funzionalità attivata da UEFI, ma Microsoft impone implementazioni specifiche per i PC x86 (Intel). Tutti i sistemi con un adesivo di Windows 8 logo sono abilitati all'avvio protetto.
L'interfaccia UEFI dispone di un processo di convalida firmware, denominato avvio sicuro, definito nel capitolo 27 della specifica UEFI 2.3.1 . Secure Boot definisce la modalità con cui platform firmware gestisce i certificati di sicurezza, la convalida dei firmware e una definizione dell'interfaccia (protocollo) tra firmware e il sistema operativo. Crea una root of Trust, che inizia in UEFI, che convalida il modulo successivo nella catena prima di caricarlo ed eseguirlo. La convalida si assicura che non sia cambiata da quando è stata firmata digitalmente. Con l'architettura di avvio sicuro e la sua creazione di una catena di affidabilità, il cliente è protetto da malware esecuzione nel processo di avvio. È possibile eseguire il codice e i caricatori di avvio solo firmati e certificati, che possono essere eseguiti prima che il sistema operativo venga caricato.
Altri dati generali di avvio sicuro:
DE 7.1.x supporta l'avvio protetto.
DE è firmato, pertanto il processo di avvio sicuro lo considera affidabile.
L'avvio sicuro non funziona su sistemi basati su BIOS Windows 8 o versioni successive. Funziona solo su sistemi basati su UEFI.
Che cos'è l' avvio ibrido/ avvio veloce/avvio rapido?
Nelle versioni precedenti di Windows, un arresto tradizionale chiudeva tutte le sessioni, i servizi e i dispositivi dell'utente e chiudeva anche il kernel per prepararsi a una chiusura completa. Windows 8 chiude le sessioni utente, ma, anziché chiudere la sessione di kernel, lo iberna. Il risultato è l'arresto e l'ora di inizio più rapidi.
Nota: Microsoft Windows 8 aggiunge il supporto per l'avvio rapido (noto in precedenza come avvio ibrido); con il rilascio di Windows 10 e versioni successive, questa funzione è ora nota come avvio rapido.
Altro avvio ibrido, avvio rapido, Fact generali di avvio rapido:
De 7.1.x non supporta l'avvio ibrido, l' avvio rapido e l'avvio rapido. Le funzionalità di DE sono influiscono se sono attivate.
Single Sign on (SSO) funziona in un avvio ibrido. DE supporta SSO su un curriculum di Hibernate, a differenza delle versioni precedenti di EEPC.
DE 7.1 include miglioramenti in tutte le aree di prestazioni, che non sono eccezionalmente sperimentate con un processore in grado di AES-NI. Durante il test interno, de sperimenta tempi di avvio comparabili cifrati o non crittografati utilizzando l'avvio ibrido.
Visualizzo I riferimenti a Windows RT. Cos'è?
Windows RT (formalmente noto come Windows on ARM) è una versione di Windows 8 per i dispositivi ARM. Solo il software scritto per la Windows 8 interfaccia UI moderna viene eseguito su Windows RT, ad eccezione di Microsoft Office 2013 RT e Internet Explorer 10. Qualsiasi applicazione scritta utilizzando le API Win32, ad esempio le applicazioni più recenti, non viene eseguita su Windows RT.
Cos'è un Tablet Windows ?
Un Tablet Windows è un dispositivo in stile Tablet PC in grado e certificato per l'esecuzione di Windows. Esistono due categorie principali di Windows Tablet:
Tablet PC dotati di processori Intel
Tablet basati su processori ARM
Altri fatti generali Tablet:
DE 7.xnon supporta Windows Tablet utilizzando un processore ARM e Windows RT.
DE 7.x supporta Windows Tablet utilizzando un processore Intel. Queste compresse vengono visualizzate come qualsiasi altro sistema di Windows. Tuttavia, è necessario esaminare quanto segue:
Capacità CPU
Supporto touch-screen
Capacità della CPU sulle compresse: il team di sviluppo del prodotto ha rilevato che alcune anteprime di Windows dispositivi Tablet PC dei produttori contengono processori a basso consumo, alcuni dei quali non dispongono di funzionalità AES-NI. I clienti devono essere al corrente delle funzionalità della CPU per assicurarsi che l'utente abbia un'esperienza ottimale quando il sistema è crittografato.
Supporto touch screen sulle compresse: alcuni Windows Tablet dispongono di tastiere, pertanto il supporto touch-screen non è un problema. Per i dispositivi che non dispongono di tastiere, questi dispositivi richiedono all'utente di eseguire l'autenticazione utilizzando l'interfaccia tattile in pre-avvio.
Che cos'è l' attivazione offline?
L'attivazione offline è la possibilità di attivare DE senza una connessione a ePO.
Altri fatti generali di attivazione offline:
Processo di alto livello per l'attivazione offline:
Un amministratore crea un pacchetto offline sul server ePO. Questo pacchetto contiene il primo policy che deve essere creato e un elenco di ' utenti offline '.
Al termine della creazione del pacchetto, è possibile distribuirlo ai client con il MSI necessario per l'installazione di DE. Quando DE viene installato correttamente, il pacchetto offline viene eseguito e il policy viene applicato e imposto.
Ora è possibile accedere con gli utenti offline in pre-avvio.
Non sono presenti registri di verifica in ePO per trovare informazioni su un sistema attivato tramite attivazione offline. Si tratta di un comportamento previsto. Poiché il sistema non ha mai comunicato con ePO, non sono presenti informazioni su tale sistema.
Se un dispositivo viene attivato solo tramite attivazione offline, non si è in grado di dimostrare che è crittografato. Se il sistema non comunica mai con ePO, non ci sono informazioni in ePO che possono essere utilizzate a scopo di verifica in caso di smarrimento o furto. Dopo che il sistema comunica con ePO e entra in una modalità online, tutte le informazioni normali sono presenti in ePO. Al termine del trasferimento, viene dimostrato lo stato crittografato del sistema.
L'aggiunta di utenti di dominio locale (ALDU) non funziona tramite attivazione offline. ALDU è un processo in due fasi che richiede a ePO di eseguire l'assegnazione di un utente o di un sistema. Poiché ePO non è disponibile con l'attivazione offline, ALDU non può essere completato e non può essere utilizzato.
Per definire la policy iniziale per l'attivazione offline, utilizzare i parametri disponibili nell'utilità creazione pacchetti offline.
Un sistema elimina tutti gli utenti offline dopo che il sistema ha comunicato correttamente con il server ePO.
Quali sono i casi di utilizzo per l'attivazione offline?
Di seguito sono riportati i tre casi di utilizzo primario risolti dall'attivazione offline:
Provisioning in-House.
Provisioning da parte di terzi.
Un sistema remoto che non si connette mai a ePO.
Nota: Esistono altri casi di utilizzo in cui l'attivazione offline può essere utile; ma, DE 7.1 si concentra su questi tre casi di utilizzo.
Un caso di utilizzo in-House per l'attivazione offline è il punto in cui è possibile disporre del proprio processo di provisioning. Il processo potrebbe indicare che un sistema deve avere installato il sistema operativo, oltre a tutte le applicazioni approvate dall'azienda. Il disco deve essere completamente crittografato prima che venga consegnato all'utente. Al momento del provisioning, potrebbe non essere disponibile la connettività di rete perché i dispositivi potrebbero essere seduti su uno scaffale in una stanza separata.
Provisioning da parte di un caso di utilizzo di terze parti per l'attivazione offline. È possibile che si disponga di una terza parte esterna per eseguire il provisioning dei dispositivi. In questo scenario, non si desidera aprire il firewall per consentire le connessioni a ePO, ma è necessario che tutti i laptop debbano essere crittografati prima della consegna.
Utilizzare il caso per l'attivazione offline di un sistema remoto che non si connette mai a ePO:
Si dispone di un client in una posizione remota.
Il client non dispone di connettività di rete.
Il sistema potrebbe raccogliere dati sensibili e deve essere crittografato.
È possibile distribuire un CD con i pacchetti MSI. I pacchetti installano MA, DE e il pacchetto di attivazione offline.
I pacchetti MSI quindi eseguiti per installare, attivare DE e crittografare il sistema.
Come funziona il ripristino per l'attivazione offline?
Se l'amministratore ha scelto di salvare la chiave di cifratura, la chiave viene scritta in un file su un disco. È quindi responsabilità dell'utente trasferire tale chiave crittografata all'amministratore utilizzando un metodo approvato dall'azienda. Quando gli amministratori dispongono della chiave crittografata, possono decrittografarla quando necessario utilizzando il server ePO che crea il pacchetto offline. Il risultato di questo processo di decodifica è un file XML standard che può essere utilizzato con gli strumenti di ripristino di DE.
Altri fatti generali di attivazione offline:
È disponibile un'unica opzione di ripristino per un'attivazione offline. Questa opzione è un ripristino locale utilizzando gli strumenti di ripristino di DE.
Se l'amministratore disattiva il ripristino locale, l'unica opzione è quella di utilizzare gli strumenti di ripristino di DE per correggere eventuali problemi con il sistema. È anche possibile connettere il sistema a ePO. A questo punto, gli utenti e le policy vengono sostituite con le informazioni fornite da ePO. Tuttavia, questo scenario richiede la possibilità di eseguire l'avvio in Windows.
Non sono disponibili ulteriori opzioni di ripristino per l'attivazione offline quando il seguente valore è valido:
Il ripristino locale è disattivato.
La chiave di cifratura non è stata salvata.
Quali sono le principali funzionalità relative all'attivazione offline per l'installazione?
Prendere in considerazione i sistemi attivati dall'attivazione offline come sistemi non gestiti. Il motivo è che potrebbe non essere visualizzato in ePO e non è possibile gestirli in ePO.
Importante: Non è disponibile una versione autonoma e non gestita di DE per i sistemi non in linea e attivati. L'attivazione offline potrebbe consentire di creare un sistema autonomo crittografato in base a una policy specifico. Tuttavia, dopo il completamento della prima policy imposizione, non è possibile aggiornare il policy o gli utenti. Non esiste una console locale e nessun metodo per aggiornare il policy o le informazioni utente. Tuttavia, è supportato un meccanismo di ripristino delle chiavi. Per informazioni dettagliate, consultare le domande frequenti sul ripristino offline degli utenti di seguito.
Per l'attivazione offline, il fatto importante è che DE può essere installato nel sistema. Il metodo di installazione utilizzato, ad esempio un CD/DVD per gli utenti con MSI che possono essere eseguiti o un metodo più automatizzato, dipende dall'ambiente specifico.
Per l'attivazione offline sono necessari i seguenti requisiti di installazione:
MA
Agent Endpoint Encryption
DE
Pacchetto offline creato dall'amministratore
Un sistema può essere attivato tramite l'attivazione offline in ePO in seguito da ePO.
Quando un sistema attivato offline si connette a ePO, si verificano le seguenti operazioni:
Supponendo che l'attivazione offline venga eseguita per scopi di provisioning, il sistema a un punto si connette a ePO.
Quando il sistema è in grado di comunicare correttamente con ePO, il client si sposta in una modalità online.
La modalità online è definita come una normale connessione tra MA e ePO; Consideralo lo stesso di un'installazione normale. Altri dettagli:
Elimina le policy offline che vengono imposte e Elimina anche tutti gli utenti offline. Riceve il policy reale da ePO, l'elenco degli utenti assegnati in base all'attivazione normale e salva la chiave di cifratura in ePO. È possibile visualizzarla come seconda attivazione automatica.
Importante: Tenere presente che tutte le informazioni offline vengono ignorate, se l'utente non è noto al server ePO prima della connessione. Se l'utente non in linea è noto al server ePO, vengono implementate le policy ePO. Tuttavia, tutti i dati memorizzati in modalità offline non vengono eliminati.
Che cos'è un utente offline?
Un utente offline è quello utilizzato per l'autenticazione al pre-avvio e che esiste solo in un pacchetto offline specifico.
Altri fact utente offline:
Un utente offline è diverso da un utente normale in DE. Gli utenti offline esistono solo in quel pacchetto offline specifico. Questi utenti non esistono in AD, e fondamentalmente non esistono da nessuna parte tranne che in questo pacchetto offline.
Non è possibile aggiungere altri utenti offline a un sistema attivato offline dopo il completamento dell'attivazione ed è stato in campo per un po' di tempo.
Un utente offline inizia con il password predefinito.
È possibile recuperare Una password se un utente non in linea lo dimentica perché gli utenti possono utilizzare la funzionalità di ripristino locale per recuperare.
Considerazioni relative all'utilizzo di token (diversi da Una password) per gli utenti offline:
Le password e le smart card che supportano l'inizializzazione automatica possono funzionare in attivazione offline.
Le smart card che sono PKI non funzionano solo perché non è disponibile un back-end per recuperare le informazioni necessarie per autenticare l'utente.
Quando un amministratore disattiva il ripristino locale, gli utenti offline sono bloccati. Se nel sistema è presente un altro utente, è possibile avviare il sistema o connettere il sistema a ePO. Tuttavia, questa alternativa richiede che il sistema si avvii in Windows.
Quando l'utente non in linea ha dimenticato sia la password che le risposte di ripristino locale, l'utente è ora bloccato. Se nel sistema è presente un altro utente, è possibile avviare il sistema o connettere il sistema a ePO. Tuttavia, questa alternativa richiede che il sistema si avvii in Windows.
Se c'è un utente offline chiamato Bob e un AD utente chiamato Bob, quando Bob passa dalla modalità offline a online, cosa accade al password?
Supponendo che AD utente Bob abbia effettuato l'accesso al sistema almeno una volta e che un ALDU sia attivo nella policy ePO, Bob viene assegnato al sistema dopo che il Bob offline non è stato eliminato.
Nota: Da questo punto in poi, l'AD utente Bob può avere due possibilità. Se si effettua l'accesso al pre-avvio per la prima volta, Bob ha il password predefinito. In caso contrario, e se ePO dispone già di credenziali per Bob, queste credenziali di ePO si trovano nel sistema.
una policy non in linea è lo stesso di una policy definito in ePO?
No. Sono disponibili alcune impostazioni di policy che richiedono un'interazione, ad esempio ALDU. Non è possibile utilizzare queste impostazioni di policy in un'attivazione offline.
Altri fatti generali della policy offline:
Non è possibile aggiornare il policy di un sistema attivato offline dopo il completamento dell'attivazione e dopo che è stato in campo per un po' di tempo. L'attivazione offline impone solo la prima policy. Non è possibile effettuare gli aggiornamenti dopo l'applicazione della prima policy.
Un sistema elimina tutti gli utenti offline dopo che il sistema ha comunicato correttamente con il server ePO. Elimina il policy offline e chiede a ePO di fornire le policy appropriate.
Le seguenti impostazioni sono disponibili per una policy offline:
Back up the Device Key
Path to the recovery key
Enable temporary autoboot
Enable autoboot
Don’t display the previous user name
Enable SSO
Enable boot manager
PBFS Size
Opal PBFS Size
Require user changes their password
User name must match Windows logon user name
Enable self-recovery
User smart card PIN
Enable USB in preboot
Importante: Quando il computer è dotato di un'unità Opal, le attivazioni offline utilizzano prima la crittografia Opal. Le preferenze OPAL sono hardcoded nei pacchetti di attivazione offline e non utilizzano le impostazioni di policy personalizzate.
Cosa accade alle chiavi di crittografia durante l'attivazione offline?
Quando l'amministratore configura il pacchetto di attivazione offline, è disponibile un'opzione per indicare se le chiavi vengono salvate o meno. La decisione di decidere se salvare le chiavi, e in quale posizione, è esclusivamente a discrezione dell'amministratore. Non è un elemento che l'utente può scegliere o manipolare.
Altri dati generali chiave di cifratura:
Una volta ricevuta la chiave crittografata, l'amministratore può decrittografarlo ed esportare le informazioni in formato XML utilizzato dagli strumenti di ripristino di DE.
Se si salva una chiave di cifratura da un sistema che ha completato il processo di attivazione offline, non è possibile importare la chiave in ePO. Tuttavia, è possibile memorizzare tutte le chiavi in un percorso sicuro e utilizzare ePO per decrittografarle e generare i file XML di ripristino necessari.
Se non è possibile salvare le chiavi di crittografia a causa di un altro errore, è necessario riformattare il disco rigido del client. Il processo di attivazione offline deve essere riavviato.
La chiave di cifratura non viene scritta in un file di testo normale sul disco e la chiave di cifratura è sempre crittografata. Se un'applicazione di terze parti intercetta la chiave, non è utile per esse, né ha un modo per identificare il sistema a cui appartiene.
L'unica posizione in cui la chiave di cifratura per un'attivazione offline può essere decrittografata è il server ePO che crea il pacchetto offline. Nessun altro server ePO può decrittografare la chiave.
Tutte le attivazioni offline non dispongono della stessa chiave di cifratura. Durante la prima policy imposizione, viene generata la chiave di cifratura. Questo fatto garantisce che tutte le attivazioni offline dispongano di una chiave diversa.
Altri casi di utilizzo delle chiavi di crittografia:
Per quanto riguarda la chiave di cifratura per il sistema nel caso di utilizzo in-House di provisioning:
È possibile che si desideri o meno salvare la chiave. Tenere presente che la prima connessione al server ePO carica la chiave. Questo scenario riguarda principalmente i nuovi sistemi. Sono presenti piccoli dati utente da perdere, se si verifica una delle seguenti situazioni:
Viene rilevato un difetto fisico che causa l'arresto anomalo del disco.
Il sistema viene bloccato.
Nota: È possibile salvare la chiave in un'unità USB o in una condivisione di rete specifica nel caso in cui sia necessario un ripristino.
Per quanto riguarda le chiavi di cifratura per il sistema nel provisioning da uno scenario di terze parti:
È probabile che non desideri che la terza parte salvi la chiave di cifratura; in questo modo è possibile specificare di non salvare la chiave da nessuna parte.
Avviso: Se l'applicazione di terze parti copia ogni chiave di cifratura per tutti i sistemi dell'organizzazione, è considerato un rischio per la sicurezza.
Poiché questo scenario riguarda principalmente i nuovi sistemi, sono presenti piccoli dati utente da perdere quando si verifica una delle seguenti situazioni:
Viene rilevato un difetto fisico che causa l'arresto anomalo del disco.
Il sistema viene bloccato.
Per quanto riguarda le chiavi di cifratura, dove le chiavi di cifratura per il sistema non si collegano mai a ePO:
È probabile che si desideri salvare la chiave di cifratura su un'unità USB o su un disco rigido. Questo passaggio è facoltativo ed è esclusivamente a discrezione dell'amministratore. È quindi responsabilità dell'utente assicurarsi che la chiave di cifratura venga trasportata in modo sicuro in ePO per proteggerla. Questo trasporto può essere ottenuto con qualsiasi meccanismo approvato dall'organizzazione per le chiavi di crittografia. Dopo che l'amministratore ePO dispone di una copia della chiave salvata, può essere utilizzata in un secondo momento a scopo di ripristino.
Cosa è incluso nel Preboot file System (PBFS)?
PBFS contiene tutte le informazioni necessarie per fornire all'utente la possibilità di eseguire l'autenticazione. Queste informazioni includono ma non sono limitate a quanto segue:
I file necessari per l'ambiente di pre-avvio.
File della lingua per tutte le lingue client supportate.
Tipi di carattere per visualizzare i caratteri da tutte le lingue supportate.
Il tema assegnato al client.
Gli utenti assegnati al client.
Altri fatti PBFS:
Se si distribuisce a un client e si aumentano le dimensioni di PBFS nella policy in un secondo momento, le dimensioni di PBFS non cambiano nel client distribuito. L'impostazione delle dimensioni di PBFS viene applicata solo quando PBFS viene creato o ricreato durante una procedura di ripristino.
È possibile creare e personalizzare i temi di pre-avvio in ePO.
Durante la prima installazione di DE 7.x in un sistema operativo non in lingua inglese, non è possibile forzare la tastiera durante il pre-avvio. Il motivo è che, per impostazione predefinita, il programma di installazione di DE consente di visualizzare la tastiera localizzata associata al sistema operativo Windows localizzato al quale il prodotto sta eseguendo l'installazione.
Quanto tempo occorre affinché un utente appena creato sia disponibile in PBFS?
Non c'è una risposta breve a questa domanda. I seguenti scenari cercano di coprire le situazioni più comuni:
Scenario 1
Se un solo utente non inizializzato viene assegnato a un sistema, è necessario un solo ASCI, dal momento che l'utente viene verificato tramite l'attività di sincronizzazione di EE LDAP in ePO.
Nota: Un utente non inizializzato è un utente che non ha precedentemente effettuato l'accesso a qualsiasi sistema DE. Pertanto, non è presente alcun token dati per questo utente.
Scenario 2
Se un nuovo utente non inizializzato viene aggiunto a un sistema che dispone già di utenti assegnati, potrebbe richiedere due asci prima che l'utente sia completamente disponibile in PBFS.
Scenario 3
Se un utente inizializzato viene appena aggiunto a un sistema che potrebbe essere o meno già assegnato agli utenti: sono necessari due asci fino a quando l'utente non sarà completamente disponibile in PBFS. Il motivo è che l'utente dispone dei relativi token dati già inizializzati.
In breve, quando un utente viene assegnato a un sistema, le policy per questo sistema vengono incrementate. Durante la policy imposizione, viene attivato un evento per richiedere i dati dell'utente. Quando ePO restituisce l'evento, tutti gli utenti che sono stati assegnati vengono verificati e scaricati sul client.
Per un utente non inizializzato, in cui non sono presenti dati token, l'evento secondario non è necessario per eseguire il pull di tutti i dati utente richiesti e in PBFS. Come per gli altri scenari, richiede due eventi per rendere un utente completamente disponibile in PBFS.
Inoltre, se il cliente utilizza l'opzione policy ALDU, viene attivato un 2.5 timeout di asci. Questo evento si verifica quando la richiesta ALDU non risponde. Se questo timeout viene superato, è necessario un nuovo policy imposizione per caricare i dati utente per la verifica.
Quali sono i requisiti per il tema personalizzato DE 7.x ?
Creare il tema personalizzato in base ai seguenti requisiti:
Un'immagine deve avere dimensioni 1024 x 768
Il formato del file deve essere. PNG
La dimensione del file deve essere di circa 600 KB
Nota: Per gli utenti che effettuano l'upgrade da EEPC 6.x , viene inviato un nuovo tema predefinito come parte di de 7.1.x. se si utilizzano temi personalizzati con EEPC 6.x , creare nuovamente i temi personalizzati dal tema de 7.1.x default dopo l'upgrade. Questo approccio assicura che venga visualizzata l'interfaccia utente corretta e che venga ascoltata l'audio corretto. In caso contrario, continua a visualizzare l'interfaccia utente di EEPC 6.x e a utilizzare l'audio EEPC 6.x . Gli utenti che desiderano distribuire il nuovo tema predefinito a tutti gli endpoint esistenti o che dispongono di un proprio tema personalizzato, devono attenersi alla procedura descritta in DE 7.1 Note sulla versione. Questi passaggi assicurano che stiano utilizzando il tema corretto durante PBA.
Cos'è PBSC?
PBSC è una funzionalità di DE che esegue diversi controlli di compatibilità hardware di pre-avvio. I controlli assicurano che l'ambiente di pre-avvio possa funzionare correttamente su un sistema. Verifica le aree che sono state identificate per causare problemi di incompatibilità in passato.
Altri fatti generali di PBSC:
L'obiettivo di PBSC è quello di contribuire a fornire un'implementazione senza problemi della cifratura del disco completo, che viene ottenuta cercando condizioni di errore comuni nell'ambiente di pre-avvio. Senza i controlli attivati, la produttività può essere influenzata laddove i problemi di distribuzione potrebbero bloccare gli utenti dal sistema. PBSC disattiva DE se si verifica un problema e consente al sistema di eseguire il rollback all'autenticazione di solo Windows.
La funzionalità PBSC non è attivata per impostazione predefinita perché introduce uno o più riavvii del sistema nel processo di attivazione. Alcuni clienti accettano questa situazione, mentre altri potrebbero non farlo.
Quando PBSC rileva un problema, ad esempio un errore durante il caricamento del pre-avvio o un problema di consegna a Windows, il sistema viene riavviato automaticamente oppure l'utente deve riavviare il sistema con forza. Ciò consente a PBSC di provare un set diverso di configurazioni di compatibilità per superare il problema. Se la configurazione funziona e il sistema si avvia in Windows, il DE viene completamente attivato e viene imposta la policy di cifratura.
Se sono state rilevate tutte le configurazioni di compatibilità e si riscontrano problemi irrecuperabili, il preavvio di DE viene ignorato. In questa situazione, il sistema si avvia in Windows e DE è disattivato. A questo punto, viene inviato un controllo a ePO per avvisare l'errore e le successive attivazioni del sistema vengono bloccate.
Quando un sistema passa il PBSC, attiva DE e impone la policy di cifratura.
Cosa accade se un sistema non riesce a PBSC?
Se un sistema non riesce a PBSC, non attiva DE. Pertanto, l'attivazione de (e la cifratura, se impostata nella policy) non continua e il sistema "esegue il rollback" all'autenticazione di Windows solo.
Altri errori generali relativi a PBSC:
Per un sistema che è ancora in esecuzione tramite PBSC, l'amministratore ePO può solo verificare che il sistema non sia attivato e non crittografato.
Possono visualizzare il registro di verifica per ottenere lo stato di avanzamento dall'ultima sincronizzazione del sistema con ePO.
L'amministratore può notare che un sistema non è stato attivato, in quanto l'errore viene verificato.
Per un amministratore per verificare che un sistema non abbia avuto esito negativo su PBSC, visualizzare il registro di verifica per il sistema.
Se un sistema non riesce a PBSC, continua a tentare di attivare DE alla successiva policy imposizione. Tuttavia, l'attivazione viene immediatamente abbandonata. Tutte le attivazioni successive vengono immediatamente abbandonate fino a quando non si verifica una delle seguenti operazioni:
Si disattiva PBSC dal policy.
Si elimina il valore del registro di sistema: Software\McAfee Full Disk Encryption\MfeEpePc\SafeFailStatus\Status.
Nota: Inoltre, una soluzione alternativa consiste nell'impostare una risposta automatica in ePO in base all'ID evento. In questo modo, quando un evento arriva in ePO (l'evento che indica un errore di PBSC), ePO può assegnare automaticamente un nuovo policy a tale sistema. Che policy sarebbe stato configurato per disattivare DE e quindi arrestare i tentativi di attivazione futuri. Per ulteriori informazioni, consultare la documentazione di ePO.
In che modo è possibile sapere se PBSC modifica la configurazione? Queste informazioni non sono esposte in DE 7.1. e sono trasparenti per l'utente e si verificano automaticamente.
Se PBSC non ha apportato modifiche e il sistema funziona fuori dalla scatola, indica che è possibile disattivare tale controllo per scopi di distribuzione?
È a discrezione dei clienti se desiderano disattivare il controllo. Tuttavia, la variabilità è comune tra i sistemi con lo stesso numero di modello. Ad esempio, un utente potrebbe essere entrato nel BIOS e aver modificato le relative impostazioni USB.
Le modifiche apportate alle impostazioni USB potrebbero influenzare l'integrazione con tale BIOS. quindi, mantenere PBSC aggiunge valore qui. Tuttavia, se si utilizzano password del BIOS per impedire agli utenti di apportare tali modifiche, è possibile che non venga utilizzato PBSC.
Nota: La versione AMT fa parte delle informazioni che un amministratore può visualizzare su un computer. Le informazioni fascicolate vengono riportate al comando ePO Deep.
Altri dati generali di Intel AMT:
Un amministratore può imparare come determinare se può utilizzare la funzionalità Intel AMT su un sistema specifico. Si ottiene visualizzando le proprietà del sistema in ePO. In ePO, è possibile consultare le informazioni AMT relative a tale sistema specifico. ePO Deep Command Discovery and Reporting (gratuito) fornisce inoltre queste informazioni per tutti i sistemi gestiti in ePO e lo Visualizza in un dashboard. Per essere compatibile con DE, Deep Command deve segnalare lo stato AMT come post-configurazione. Inoltre, DE richiede che AMT sia versione 6.0 o successiva.
Processo per il trasferimento delle informazioni di Intel AMT su un sistema in ePO.
Per prima cosa, è necessario installare le estensioni Deep Command, incluse le estensioni di rilevamento e Reporting, e archiviare i pacchetti nel server ePO.
È necessario distribuire i pacchetti di Deep Command ai client, che segnalano se AMT è attivato. Inoltre, se il sistema attiva AMT, il client riporta le funzionalità AMT supportate.
Deep Command aggiunge un'attività server di pianificazione a ePO, che consente di etichettare automaticamente i sistemi con AMT. Questa attività è pianificata per l'esecuzione giornaliera e può essere modificata. Per ulteriori informazioni, consultare la documentazione di ePO Deep Command.
Se il sistema non ha attivato AMT, consultare la dashboard Deep Command Discovery and Reporting Summary per ottenere informazioni di supporto AMT da un client.
Quanti tipi di azioni Intel AMT possono essere accodati a un sistema?
Esistono due tipi:
Azioni transitorie
Azioni
permanenti
Esempi di azioni permanenti e transitorie:
L'
azione transitoria è un'azione che viene eseguita x numero di volte e quindi rimossa dalla coda delle azioni. Di seguito sono riportati alcuni esempi:
Reimposta password utente
Sblocca x numero di volte
Sblocca da fino a
Avvio di emergenza
Ripristina MBR
L'azione permanenteè un' azione che rimane nella coda delle azioni, fino a quando l'amministratore non lo rimuove.
Programma di sblocco
Sblocca definitivamente
Altri fatti permanenti e transitori:
Per ciascuna azione Intel AMT, è possibile assegnare solo i seguenti elementi contemporaneamente:
Un sistema o un utente per un massimo di un'azione transitoria.
Un'azione permanente.
È possibile disporre di un solo transiente Intel AMT e di un'unica azione permanente. Si tratta di una decisione progettuale adottata per la prima implementazione dell'integrazione con Intel AMT. Se si verificano altri casi di utilizzo, questa decisione può essere rivisitata. L'architettura sottostante è stata studiata per gestire più azioni, se necessario.
Che cosa significa il client ha avviato l'accesso locale (CILA) e il client ha avviato Accesso remoto (CIRA) media in relazione a Intel AMT?
La definizione di ciò che è locale e remoto è definita come parte del processo di provisioning AMT.
CILA è una richiesta AMT da un indirizzo di rete interno.
CIRA è una richiesta AMT da un indirizzo di rete remoto.
Nota: L'impostazione predefinita policy per CIRA è disattivata per impostazione predefinita. Questa decisione è quella presa dal team di sviluppo del prodotto per proteggere i clienti da un'esposizione accidentale.
CIRA è supportato e deve essere attivato in modo esplicito. La disattivazione di CIRA indica che se un gestore degli agent è esposto a Internet, non può rispondere alle richieste AMT. Il team di sviluppo del prodotto ritiene che i clienti debbano decidere se attivare questa funzionalità.
Quando si guarda un Wakeand Patch (Remote Unlock) o Contextual Security (Unlock) su un client, il pre-avvio sembra attendere circa 20 secondi prima che continui ad avviarsi nel sistema operativo; è normale?
Ci sono molti fattori coinvolti nel determinare il tempo di attesa che potrebbe durare. La velocità della rete e il carico di lavoro del server ePO sono due fattori possibili. Un problema noto esiste in AMT firmware, che potrebbe portare a un ritardo di 20 secondi prima che gli eventi CILA lascino l'endpoint. L'effetto di questo problema su DE è che potrebbe richiedere più di 20 secondi affinché un sistema di sblocco out-of-band si verifichi in un ambiente CILA. Stiamo indagando su questo problema. Per esaminare altri 7.1 problemi noti di, vedere KB84502-Drive Encryption 7.x problemi noti.
Quali Policy e impostazioni di Deep Command sono necessarie per la de 7.1 Integration?
il comando 1.5.0 ePO Deep e le policy di Intel AMT sono necessarie, il che garantisce che le seguenti funzioni siano configurate correttamente nelle policy:
Accesso remoto deve essere attivato.
CILA deve essere attivato. È necessario selezionare il gestore agent corretto.
Per il tipo di connessione, è necessario selezionare il BIOS e il sistema operativo.
Se si desidera attivare CIRA, assicurarsi di configurare quanto segue:
Domestica suffisso di dominio
gestore degli agent zona demilitarizzata (DMZ)
Consenti tunnel avviato dall'utente
Quali sono i primi casi di utilizzo di DE use in DE 7.1.x using Intel (AMT) e ePO Deep Command? I primi quattro casi di utilizzo implementati in DE 7.1.0 sono i seguenti:
Qual è il caso di utilizzo della password di Reset?
Questa funzionalità utilizza Intel AMT per l'invio di nuovi dati token a un client. In questo caso di utilizzo, un utente avvia il proprio sistema ma dimentica la password. Possono chiamare un helpdesk o un amministratore e richiedere che reimpostino il password. L'amministratore crea Una password monouso che viene spinto via Intel AMT al client mentre è in pre-avvio. L'utilizzo di Intel AMT è un'alternativa più rapida per Una password reimpostato rispetto al metodo di risposta o sfida a lungo termine.
Altri dati generali di reset password :
Di seguito sono riportati i passaggi di alto livello per il caso di utilizzo della password di reset:
L'utente avvia il proprio computer, non riesce ad accedere e chiama l'helpdesk.
L'utente passa alla sezione di ripristino in pre-avvio e fornisce all'utente dell'helpdesk il proprio nome utente ePO.
L'operatore dell'helpdesk trova in ePO il sistema utilizzato dall'utente.
L'utente dell'helpdesk utilizza la funzionalità Intel AMT per reimpostare il password con Una password monouso temporaneo.
Affinché il sistema specificato riceva nuovi dati token, ePO scrive l'elemento nella coda di lavoro. Il pre-avvio legge la coda di lavoro e recupera la chiave utilizzando la stack di rete fornita da Intel AMT.
Il client riceve nuovi dati token e lascia automaticamente la schermata di ripristino e torna alla schermata di password. Questo fatto indica all'utente che viene ricevuta la nuova password. Inoltre, l'utente sente un segnale acustico per indicare che i nuovi dati token vengono ricevuti.
L'utente esegue quindi l'autenticazione con il password monouso e imposta un nuovo password.
Azioni necessarie quando un utente richiede Una password reimpostazione: per determinare il sistema su cui l'utente è attivo, l'utente sul client, in pre-avvio, deve accedere alla schermata di ripristino. Nella schermata di ripristino, possono visualizzare l'ID computer e il nome del computer. Possono fornire queste informazioni all'amministratore o all'helpdesk e trovare il computer in ePO. Questa procedura è necessaria perché le azioni Intel AMT funzionano sui sistemi anziché sugli utenti.
Altri dati relativi al ruolo di amministratore della password reimpostazione :
Quando un amministratore deve verificare se una modifica viene eseguita correttamente o perché non sembra funzionare, l'amministratore può trovare le informazioni nel AMTService.log file.
NOTE:
Un evento non viene generato in ePO perché non è presente un'API ePO per generare un evento dal gestore agent.
L'amministratore può trovare il AMTService.log file nel server ePO all'indirizzo <ePO_Install_folder>/<Agent_Handler_Install_Folder>\DB\Logs\AMTService.log . Viene inoltre raccolto come parte del server MER.
Quando un amministratore desidera determinare il sistema utilizzato dall'utente, non si consiglia di eseguire le operazioni riportate di seguito. È possibile che l'amministratore invii il comando Intel AMT a tutti i sistemi a cui l'utente può accedere.
Ragionamenti
Si supponga che l'utente possa accedere a due laptop.
Avviano laptop-1 e ricevono le istruzioni per modificare i password.
Passano attraverso il processo e iniziano Windows.
Ora attivano laptop-2, che riceve anche la richiesta di modifica del password.
I dati token vengono aggiornati al password monouso e viene richiesto di modificarlo di nuovo.
In teoria, quanto sopra può funzionare in un ambiente controllato o quando l'utente è al corrente.
Altra esperienza utente di reset password:
Quando l'amministratore utilizza la funzionalità Intel AMT per modificare il password dell'utente, l'utente sa che il nuovo password di ripristino è passato al client. Se l'utente è seduto nella schermata di ripristino, Visualizza che la schermata di ripristino scompare. Subito dopo, viene sostituita dalla schermata di accesso. Questa indicazione conferma che vengono ricevute le nuove informazioni di password.
Note: Quando vengono ricevuti i nuovi dati token, l'utente riceve un segnale acustico.
Qual è il caso di utilizzo della sicurezza contestuale?
Il caso di utilizzo della sicurezza contestuale (noto anche come location aware) è una nuova funzionalità di autenticazione nell'ambiente di pre-avvio. Offre ai sistemi la possibilità di effettuare l'autenticazione senza l'intervento dell'utente. Invece di chiedere credenziali a un utente, il pre-avvio utilizza Intel AMT per avviare una connessione di rete a ePO. Quindi, il preavvio recupera una chiave che utilizza per autenticarsi nel pre-avvio, quindi avvia il computer nel sistema operativo. L'ambiente di pre-avvio e ePO possono determinare se il sistema è in ufficio o se si connette via Internet. La sicurezza contestuale offre agli amministratori la possibilità di configurare i sistemi per l'autenticazione automatica tramite ePO e AMT in ufficio. Tuttavia, quando il sistema è fuori sede, Mostra la schermata di autenticazione al pre-avvio.
Alcuni esempi di utilizzo dei casi in cui la sicurezza contestuale è utile sono i seguenti:
I clienti che non desiderano mostrare l'ambiente di pre-avvio mentre i loro utenti sono in ufficio, ma lo mostrano quando sono al di fuori dell'ufficio o se il sistema viene smarrito o rubato.
Crittografare un sistema sempre presente in ufficio. Non influire sull'utente con le nozioni di pre-avvio e farli autenticare automaticamente tramite ePO e AMT. Ma mostra l'opzione di preavvio se il computer viene rubato dall'ufficio.
I clienti che hanno condiviso i computer utilizzati da molte persone, ad esempio in una sala riunioni o in una sala di formazione, o laptop e desktop in un ambiente ospedaliero.
I clienti che desiderano rispostare password problemi di sincronizzazione, non mostrando mai l'opzione di preavvio. Ma, pur avendo la sua protezione, se il computer viene smarrito o rubato, gli utenti devono prima autenticarsi in Windows. Anche se è dietro le quinte, DE esegue automaticamente l'autenticazione tramite ePO e AMT.
Come funziona la sicurezza contestuale?
All'avvio del pre-avvio, tenta di contattare ePO e chiede l'autorizzazione per l'avvio. ePO è in controllo e decide se restituire la chiave di sblocco. Se il client non è in grado di contattare ePO o ePO non riesce a restituire la chiave di sblocco al client, viene visualizzato l'ambiente di pre-avvio. La schermata di pre-avvio rimane visualizzata mentre attende che un utente si autentichi correttamente. Se ePO Invia la chiave di sblocco, il computer viene sbloccato. Le chiavi di sblocco vengono inviate al client in un canale sicuro, protetto dall'hardware AMT.
Altri dati contestuali sulla sicurezza:
L'autenticazione di sicurezza contestuale si verifica effettivamente sul client, ma le informazioni provengono da ePO.
La sicurezza contestuale non ignora il pre-avvio. L'ambiente di pre-avvio è sempre attivo. Il preavvio continua a essere arrestato e avvia il sistema operativo quando si verifica un'autenticazione riuscita. In questo caso di utilizzo, l'autenticazione proviene da ePO.
SSO non funziona in questo caso di utilizzo della sicurezza contestuale perché l'autenticazione in pre-avvio viene eseguita sul computer e non su un utente. Poiché DE non sa quale utente accedere, non è in grado di riprodurre i dati SSO acquisiti.
Con la sicurezza contestuale, l'utente deve accedere solo una volta. In questo scenario, l'autenticazione dell'utente viene eseguita al prompt Windows e non al prompt di DE Preboot.
L'utilizzo della sicurezza contestuale implica che l'utente acceda solo a Windows con la loro password più recente Windows. Questo fatto può rispostare qualsiasi preoccupazione relativa alla sincronizzazione password per gli utenti che utilizzano continuamente questa funzionalità.
Con un utente mobile che trascorre il tempo dentro e fuori dall'ufficio, questi utenti hanno bisogno delle loro credenziali per effettuare l'autenticazione al pre-avvio quando non sono in ufficio.
Il computer si avvia automaticamente in Windows, purché ePO restituisca una risposta positiva. Il sistema operativo viene avviato automaticamente al termine dell'elaborazione della risposta.
Se viene rubato un computer quando si utilizza la sicurezza contestuale, viene visualizzato l'ambiente di preavvio. Il pre-avvio viene visualizzato perché il sistema non è in grado di comunicare con ePO e attende l'autenticazione di un utente.
Il caso di utilizzo più non eccezionale consiste nell'utilizzare questa funzione solo per i sistemi desktop o i laptop che non lasciano la rete aziendale.
Altri elementi del ruolo amministratore della sicurezza contestuale:
Per consentire agli amministratori di attivare la funzionalità di sicurezza contestuale, è necessario eseguire le seguenti operazioni:
Selezionare uno o più sistemi
Selezionare l'azione "fuori banda – Sblocca PBA"
Specificare la durata dell'apertura, in modo permanente o in base a una pianificazione
Nota: Un amministratore può inoltre scegliere se l'azione è utilizzabile per i computer locali o locali e remoti.
Quando un amministratore riceve reclami da un utente che, di volta in volta, la sicurezza contestuale non funziona, per verificare che sul server ePO, rivedere il ' file amtservice. log .' Il file viene eseguito in rotoli e ha un limite di dimensione del file (il limite di dimensione predefinito viene impostato tramite Deep Command. L'impostazione è configurabile).
Quando l'amministratore attiva la funzionalità di sicurezza contestuale, può attivarla in modo permanente o per un periodo di tempo definito.
Per l'opzione periodo definito, un amministratore può specificare una delle seguenti opzioni:
Uno o più riavvii
Dalla data/ora di inizio alla data/ora di fine
Una pianificazione settimanale per gli orari bloccati o disponibili
Per gli utenti mobili, è preferibile applicare sempre l'autenticazione al preavvio perché, tecnicamente, un utente non effettua l'accesso al pre-avvio in questo caso di utilizzo. DE non è a conoscenza degli aggiornamenti password perché non sa a quale utente di pre-avvio applicare gli aggiornamenti di password.
Quando si utilizza la sicurezza contestuale, il sistema rimane nell'ambiente di pre-avvio. Viene ritentato ogni cinque minuti, se il server ePO è occupato e non può rispondere al sistema.
Se il sistema non riesce a raggiungere ePO al primo tentativo, riprova. Tenta di contattare ePO ogni cinque minuti. Questo comportamento è vero per le richieste CILA (local). Ma, per le richieste CIRA (Remote), il computer Contatta ePO solo una volta. Se non riceve una risposta, il sistema deve essere riavviato per contattare nuovamente ePO.
Il server ePO diventa non disponibile e il client non è in grado di contattare il server ePO. Se l'utente non conosce le credenziali di preavvio, viene bloccato nell'ambiente di pre-avvio. La loro unica opzione è quella di chiamare l'helpdesk ed eseguire un ripristino del sistema con il processo di sfida e risposta.
Quando CIRA è attivato, significa che un sistema che non si trova sulla rete non può essere avviato automaticamente. DE non decide se visualizzare PBA. Se DE' Out of Band management' è attivato, de tenta di inviare una chiamata per la Guida in linea.
Il chip AMT controlla quindi l'ambiente e vede se è collegato alla rete remota o locale.
Rete locale: Invia un CILA al server ePO.
Rete remota: Se viene specificato un server CIRA, tenta di connettersi in modo sicuro.
PBA si sblocca e entra in Windows se quanto segue è vero:
Una chiamata da CILA o CIRA genera una connessione riuscita con il server.
Il server invia la chiave di cifratura.
In caso contrario, se non viene ricevuta alcuna chiave, rimane a PBA.
Altra esperienza utente di sicurezza contestuale:
Esempio di use case:
Quali azioni intraprendono gli utenti quando utilizzano un sistema desktop in ufficio con la funzionalità di sicurezza contestuale. Non hanno mai avuto bisogno di accedere al pre-avvio prima, ma poi vedono la schermata di preavvio e non conoscono le loro credenziali. Tali utenti dispongono di diverse opzioni elencate di seguito:
Per prima cosa, possono attendere cinque minuti per il prossimo tentativo di contattare ePO. Ciò è vero perché si tratta di una richiesta CILA (locale).
In secondo luogo, possono disattivare e riattivare il sistema. Ciò fa sì che il pre-avvio contatti immediatamente ePO quando viene riavviato.
Infine, possono sempre effettuare l'autenticazione inserendo il nome utente e password di un altro utente noto che può autenticarsi al pre-avvio.
Qual è il caso di Wake and Patch (Remote Unlock) utilizzo? Questo caso di utilizzo riguarda la necessità di pianificare wake and patch con urgenza o con regolarità i computer. Questi computer vengono arrestati e devono essere attivati in modo che sia possibile applicare l'aggiornamento. I Wake and Patch (Remote Unlock) casi di utilizzo sono simili ai casi di utilizzo della sicurezza contestuale. Le seguenti domande già risolte per la sicurezza contestuale si applicano anche all' Wake and Patch (Remote Unlock opzione:
In che modo funziona?
Il pre-avvio è aggirato?
Se fossi un utente in piedi davanti al computer, lo vedro ' avviare automaticamente in Windows?
SSO funziona in questo caso di utilizzo?
Cosa accade se ePO è occupato e non è in grado di rispondere al sistema?
Se il sistema non riesce a raggiungere ePO al primo tentativo, lo riprova?
In che modo un amministratore attiva questa funzionalità?
Questa funzionalità può essere impostata in modo permanente o solo per un periodo di tempo specifico?
L'autenticazione viene effettivamente eseguita sul client e le informazioni provengono da ePO?
Altro Wake and Patch (Remote Unlock) dati generali:
Quando il server ePO è occupato e non risponde dopo una richiesta di attivazione LAN, il sistema client rimane in pre-avvio e riprova ogni cinque minuti. Sebbene ciò sia vero per le richieste CILA (local), per le richieste CIRA (Remote), il computer Contatta ePO una sola volta. Se non riceve una risposta, il sistema deve essere riavviato per essere contattato dal server ePO.
Per raggiungere periodicamente un sistema, è necessario configurarlo per inviare periodicamente i messaggi CIRA utilizzando la sveglia. La funzione di sveglia passa al sistema al momento specificato.
Altro Wake and Patch (Remote Unlock) dati relativi al ruolo di amministratore:
Un amministratore può verificare il numero di sistemi che lo hanno trasformato in Windows per il Wake and Patch (Remote Unlock) processo. I risultati possono essere visualizzati tramite la query ' DE: Product Client Event ' con un filtro appropriato. I risultati variano in base ai sistemi che hanno comunicato con il server ePO per l'invio delle informazioni di verifica.
Un amministratore non è in grado di determinare i sistemi che non hanno superato il pre-avvio quando si utilizza la Wake and Patch funzionalità. Poiché il sistema non viene avviato in Windows, non è presente alcuna voce nella 'DE: Product Client Event' query.
Un amministratore può scaglionare il Wake and Patch (Remote Unlock) o l'intervallo per contattare ePO. Un amministratore deve sfalsare il Deep Command Power On comando o la relativa richiesta di attivazione LAN equivalente.
I sistemi vengono attivati quando vengono remediati nell'ambiente CILA (locale) (quando l'azione viene avviata dal server). In altri casi, il client contatta ePO; Pertanto, è possibile che venga considerato attivo perché Contatta il server ePO.
Qual è il caso di utilizzo remediation remoto?
Questa funzione offre agli amministratori la possibilità di eseguire un avvio di emergenza o sostituire il MBR di DE su un sistema client tramite AMT. Lo fa senza dover toccare fisicamente il computer. Ciò consente a un amministratore di risolvere un problema su un sistema client che è mezzo mondo.
Esempio di utilizzo caso 1:
Un amministratore di Santa Clara tenta di eseguire un avvio di emergenza su un utente che si trovi in Giappone. L'utente ha bisogno di un recupero urgente prima di un incontro importante.
L'utilizzo di questo processo non richiede alcun intervento da parte dell'utente. Possono semplicemente guardare riparando il loro sistema client, che è valido per CILA. Per CIRA, inizialmente non riesce, ma dopo che il sistema si è connesso tramite CIRA, è stato attivato.
Nota: Il tempo impiegato per la remediation remota nell'esempio sopra dipende in larga misura dalla velocità di rete. Quando si è avviato sull'immagine, il tempo necessario per l'avvio di emergenza richiede lo stesso periodo di lavoro, se è stato eseguito manualmente. In realtà segue lo stesso processo, ma in modo automatico.
Esempio di utilizzo caso 2:
Il processo di remediation remoto ha esito positivo e l'utente ottiene l'accesso a Windows. L'utente può fornire la propria presentazione, ma non dispone di una connessione al server ePO aziendale.
In questo scenario, l'utente deve ripetere lo stesso processo quando riavvia il client. Se il pre-avvio è danneggiato, il client sarebbe stato avviato in caso di emergenza. Non può essere riparato finché il client non è in grado di comunicare correttamente con il server ePO.
Come funziona il remediation remoto? A un livello elevato, una piccola immagine del disco ( 1.44 MB di dimensioni, ma solo 300k di esso utilizzato) viene spinta verso il basso tramite AMT nel sistema client. Quando viene ricevuto sul client, viene riavviato e avviato utilizzando la rete di avvio da IDE-R. L'immagine esegue quindi le azioni remediation necessarie e avvia il processo per avviare Windows.
Altri fatti generali di remediation:
Remediation remoto funziona solo su computer con un processo di avvio del BIOS.
La funzionalità remediation remota non funziona in un ambiente UEFI. Il reindirizzamento IDE non funziona in UEFI e questa funzionalità è necessaria per i remediation remoti.
Le possibili azioni per la remediation remota sono le seguenti:
Eseguire un avvio di emergenza.
Sostituire il MBR.
Altri dati relativi al ruolo di amministratore remediation remoto:
Per utilizzare la funzionalità di remediation remota, un amministratore seleziona uno o più sistemi, quindi seleziona l'azione "out-of-band-Remediation". Infine, l'amministratore specifica 'avvio di emergenza' o ' ripristina Endpoint Encryption MBR' prima di fare clic su OK.
Il seguente si applica a un amministratore per ricevere le notifiche dell'avanzamento della remediation remota:
L'amministratore viene informato solo di quando è stato avviato e terminato.
Al termine, l'amministratore viene informato dell'esito positivo dell'operazione.
Il registro di verifica sul client viene inviato solo a ePO al successivo ASCI.
L'amministratore può eseguire un query sugli eventi client per trovare i client con un evento di sblocco.
Un amministratore sostituisce il MBR, se è valida una delle seguenti opzioni:
Un prodotto di terze parti sovrascrive accidentalmente il MBR, mentre il sistema è crittografato.
Se il sistema è infetto da un virus di MBR.
Per quanto sopra, è necessario riportare il sistema in Windows in modo che qualsiasi altro remediation possa avere luogo.
Quando si seleziona un remediation, un amministratore può selezionare un'immagine disco specifica. Sono disponibili immagini diverse per l'avvio del BIOS e remediation Opal e non-Opal.
L'opzione automatica è l'opzione predefinita e quella che è necessario utilizzare sempre, a meno che non venga diversamente indicato. L'opzione automatica utilizza le informazioni ricevute dal client per selezionare l'immagine corretta. Se le informazioni non sono disponibili, non esegue il remediation. Questa opzione consente di specificare l'immagine esatta che viene inviata al computer.
Importante: Se l'amministratore seleziona l'immagine del disco errata per il client, quando l'immagine viene selezionata manualmente, l'interfaccia utente indica che è possibile danneggiare il disco utilizzando l'immagine errata. Questa opzione viene aggiunta per l'evento quando il provider di cifratura o il tipo di BIOS non sono disponibili.
Altre informazioni sull'esperienza dell'utente per remediation Remote:
Notifica dell'avanzamento della remediation remota all'utente: viene visualizzato un messaggio sullo schermo quando l'immagine viene scaricata e viene avviato il processo di remediation.
Nota: Quando si scarica l'immagine sul client tramite AMT, in alcuni casi è possibile osservare un glifo lampeggiante nell'angolo in alto a destra della schermata. Questa luce indica che AMT sta ricevendo traffico di rete. Anche in questo caso, la durata dipende in larga misura dal traffico e dalla velocità di rete. Se la rete è veloce, è possibile che l'utente visualizzi Windows un carico improvviso.
Quando viene eseguita una remediation remota, è possibile che un utente non visualizzi il glifo lampeggiante. Questa funzionalità è inclusa solo in AMT versione 7. Pertanto, se si dispone di AMT versione 6, non è possibile visualizzarlo.
Quando un utente esegue una remediation remota, scade il tempo e deve lasciare la propria posizione corrente, non è necessario ricominciare l'intero processo. Il motivo è che il processo viene riavviato automaticamente. Quando l'amministratore aggiunge la richiesta di remediation remota, si trova nella coda delle azioni finché non viene completata oppure l'amministratore lo elimina. Di conseguenza, tenta di eseguire il remediation ogni volta che si switch sul client fino a quando non riesce.
Come viene avviata la remediation remota sul client quando è locale?
Di seguito è riportata una panoramica del processo quando il sistema client è connesso alla rete aziendale locale:
L'utente avvia il sistema e rileva che non funziona.
L'utente chiama l'amministratore e richiede assistenza.
L'amministratore seleziona l'azione remediation appropriata e l'azione inizia immediatamente l'elaborazione. Questa azione è nota anche come Server Initiated Local Access (SILA ).
Se il sistema client viene trovato e può essere connesso a, il reindirizzamento viene avviato e il sistema viene riparato automaticamente.
Tuttavia, se non è possibile trovare il sistema client nella rete locale, l'azione non riesce e lo stato rimane come in sospeso nella coda. Questa situazione può essere elaborata solo quando il sistema effettua una chiamata in. In questa situazione, il sistema non può chiamare perché il pre-avvio è interrotto. Pertanto, è possibile utilizzare anche un flusso simile a quello descritto nello scenario successivo riportato di seguito.
Come viene avviata la remediation remota sul client quando è remota?
Di seguito è riportata una panoramica del processo quando il sistema è connesso tramite una rete pubblica:
L'utente avvia il sistema e rileva che non funziona.
L'utente chiama l'amministratore e richiede assistenza.
L'amministratore seleziona l'azione remediation appropriata e l'azione inizia immediatamente l'elaborazione. In questa situazione, l'azione non riesce perché non riesce a trovare il sistema nella rete aziendale.
L'amministratore chiede all'utente di avviare una richiesta di assistenza dal BIOS. Questa chiamata varia da un OEM all'altro. Ma, tende a essere sotto le opzioni di avvio e in alcuni sistemi, è possibile semplicemente premere CTRL+ALT+F1 .
Quando questa opzione è selezionata, il sistema si connette a storditore (Deep Command Gateway Services). Quindi, il gestore degli agent rileva questo servizio e invia un messaggio a Deep Command.
Deep Command elabora l'azione associata al sistema. In questo caso, si tratta dell'azione remediation.
Nota: Le attività di remediation su CIRA possono richiedere molto più tempo rispetto all'esecuzione della stessa azione all'interno dell'azienda. In alcuni sistemi, può richiedere fino a 20 minuti a seconda dell'utilizzo della rete durante l'elaborazione.
Qualirapporti possono essere utilizzati da un amministratore per sapere che l'azione AMT è stata completata correttamente sul client?
DE dispone solo di un'azione lato server, ovvero per remediation. Per determinare se è stato completato, un amministratore deve esaminare il registro delle attività server ePO. Questa operazione viene eseguita eseguendo una query nel registro di verifica degli eventi per verificare gli eventi client. Tutte le altre azioni (Sblocca/Reimposta, password utente) vengono avviate dal client. Quando l'amministratore configura queste azioni, nel registro di verifica dell'utente ePO è presente una voce per registrare che la richiesta è stata aggiunta alla coda di azione "DE: out-of-band". Quindi, quando il client PBA richiede la guida, crea un elemento di verifica nel client. Questo elemento di verifica viene inviato a ePO al successivo ASCI quando Windows viene caricato. Questi eventi vengono visualizzati nella query ' DE: Product client Events '.
Quali rapporti o registri possono essere visualizzati dall'amministratore per determinare cosa e dove le cose sono andate male e non è riuscito a completare correttamente l'azione? L'amministratore deve esaminare gli AMTService.log eventi client di de: Product query.
Dove può un amministratore verificare che una (o più) delle azioni AMT sia stata completata correttamente su un client (o su più client)?
Eseguire l'evento DE: client del prodotto query.
Un amministratore può creare rapporti sulle azioni AMT, ad esempio per mostrare quanti sistemi sono stati avviati automaticamente oggi utilizzando la funzionalità di sblocco remoto?
Eseguire il query ' DE: Product client Events ' con un filtro appropriato. Questa query si basa sui sistemi che hanno comunicato correttamente con il server ePO per l'invio delle informazioni di verifica.
Quali sono i problemi che un amministratore può intraprendere per un problema out-of-band AMT? Quali sono i primi passi che devono eseguire?
L'amministratore deve stabilire se il problema deriva da un'attività CILA (locale) o CIRA (remota).
Nel caso in cui venga eseguita un'attività di CIRA (Remote), cosa fa l'amministratore?
Chiedere all'amministratore di avviare il sistema client e accedere al BIOS. In alternativa, l'amministratore può eseguire l'avvio per Windows e utilizzare lo stato di gestione e sicurezza Intel per richiedere assistenza. Chiedere loro di cercare in ' file amtservice. log ' per vedere se è stata ricevuta una richiesta. In tal caso, la chiamata di assistenza include DE Assistenza tecnica. In caso contrario, si tratta di un Assistenza tecnica di comando approfondito.
Che cosa accade se il problema out-of-band AMT proviene da un'attività CILA (locale)?
Chiedere all'amministratore di utilizzare l'azione di Deep Command per avviare il client nel BIOS. In caso di esito positivo, la chiamata di assistenza include DE Assistenza tecnica. In caso contrario, si tratta di un Assistenza tecnica di comando approfondito.
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.