DriveLock Agent

Der DriveLock Agent kann auf verschiedenen Versionen von Windows, Linux und MacOS installiert werden.

Betriebssystem	Versionen
Windows 11	Ab 21H2, nur Editionen Pro / Enterprise
Windows 10	Ab 20H2, nur Editionen Pro / Enterprise
Windows 10 LTSC	alle LTSC-Versionen bis Ablauf des jeweiligen Extended Support
Windows Server	2016, 2019, 2022
Windows 7	Windows 7 SP1 Enterprise / Ultimate mit Extended Support. Eine zusätzliche Legacy Support Lizenz wird für den Betrieb auf Windows 7 Systemen benötigt.
Linux	CentOS 8, Debian 11, Fedora 34, IGEL OS 11.05, Red Hat Enterprise Linux 5, Suse 15.3, Ubuntu 20.04 oder neuere Versionen
macOS	ab Version Catalina (10.15) mit Intel (x86_64) und Apple Silicon (arm64) Architekturen

Der Windows DriveLock Agent ist grundsätzlich verfügbar für AMD-/Intel X86-basierte Systeme (32-Bit und 64-Bit Architektur). Für den Einsatz des DriveLock Agenten wird ein 64-Bit System empfohlen. Server-Betriebssysteme werden ausschließlich unter 64-Bit unterstützt. Einschränkungen der einzelnen Funktionen sind weiter unten beschrieben.

Beachten Sie, dass .NET Framework 4.7.2 für die Anzeige von Security Awareness-Kampagnen auf den DriveLock Agenten vorausgesetzt wird.

Folgende Tabelle bietet Ihnen einen Überblick über den Funktionsumfang, der auf einem bestimmten Betriebssystem verfügbar ist.

• Vollständiger Funktionsumfang: ✔
• Reduzierter Funktionsumfang: ◒
• Keine Unterstützung: ✖

Feature	Betriebssystem / Funktionen
	Windows 10 / 11	Windows Server	Windows 7	Linux	Mac OS
Device Control	✔	✔	◒	◒	◒
Application  Control	✔	✔	✔	◒	✖
Encryption 2-Go	✔	✔	✔	◒	◒
BitLocker To Go	✔	✔	◒	✖	✖
BitLocker Management	✔	✔	◒	✖	✖
Security Awareness Multimedia-Kampagnen	✔	✔	✔	✖	✖
Defender Management	✔	✔	◒	✖	✖
Vulnerability Management	✔	✔	✔	✖	✖
Security Configuration Management	✔	✔	✔	✖	✖
Disk Protection	✔(*)	✖	✖	✖	✖
File Protection	✔	✔	◒	✖	✖

(*): Disk Protection ist auf Windows 10 und neuer nur noch für UEFI-Systeme freigegeben, die BIOS-Unterstützung ist abgekündigt.

Security Awareness: Bitte beachten Sie, dass ab Version 2022.1 Content-AddOn-Pakete nur dann korrekt angezeigt werden können, wenn auf den Agenten Microsoft Edge WebView2 installiert ist . Folgen Sie bitte dem Download-Link: https://developer.microsoft.com/en-us/microsoft-edge/webview2/#download-section. Bei Windows 11 ist Microsoft Edge WebView2 bereits automatisch installiert.

Für File Protection wird ab Version 2024.1 das aktuelle Microsoft Visual C++ Redistributable vorausgesetzt. Folgen Sie bitte diesem Download-Link.

Details zu Einschränkungen für Betriebssysteme, bei denen nur ein Teil der DriveLock Features genutzt werden kann:

1. Einschränkungen Windows Server

   • Die DriveLock Pre-Boot Authentifizierung steht für Server-Betriebssysteme nicht zur Verfügung.

   • Einstellungen für den Microsoft Defender können erst ab Windows Server 2016 verwendet werden.

2. Einschränkungen Windows 7

   Stellen Sie sicher, dass der letzte verfügbare Patch-Stand auf dem Windows 7 Client installiert ist.

   • Generell:

     • Nach einem Update, einer Installation oder Deinstallation des DriveLock Agenten unter Windows 7 x64 stürzt der Explorer (explorer.exe) möglicherweise ab. Dies tritt nur dann auf, wenn die Windows-Eingabeaufforderung mit Admin-Rechten geöffnet und das System seit dem Update/Installation/Deinstallation des Agenten nicht neu gestartet wurde.

     • KB3140245 muss auf Windows 7 installiert sein
       Weitere Informationen dazu finden Sie unter 'Update-Prozess' und 'Update-Katalog'.
       Ohne dieses Update kann WinHTTP keine TLS Einstellungen ändern und der Fehler 12175 erscheint in dlwsconsumer.log und DLUpdSvx.log.

     • KB3033929 (SHA-2 code signing support) muss auf Windows 7 64-bit installiert sein.

     • DriveLock Service ergänzt fehlende Registry-Werte für TLS 1.2 Verbindungen auf Computern mit Windows 7.

       Folgende Registry-Werte sind neben dem KB3140245 die Voraussetzung für die Kommunikation mit dem DES:

       • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]"Enabled"=dword:00000001 

       • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]"Enabled"=dword:00000001 

       • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\WinHttp]

         "DefaultSecureProtocols"=dword:00000800

         Falls der Wert DefaultSecureProtocols schon existiert, addieren Sie den Wert 0x00000800 für TLS 1.2 hinzu.

   • BitLocker Management:

     • Nur für Windows 7 SP1 Enterprise und Ultimate verfügbar, 64-Bit - TPM-Chip ist erforderlich

     • BitLocker verschlüsselt unter Windows 7 nicht, wenn die Optionen "wenn der Bildschirmschoner konfiguriert und aktiv ist" und "wenn keine Anwendung im Vollbildmodus ausgeführt wird" aktiviert sind.

   • BitLocker To Go:

     • Nur für Windows 7 SP1 Enterprise und Ultimate verfügbar

   • Device Control:

     • Die Bluetooth-Optionen in den Sperreinstellungen für Geräte können unter Windows 7 nicht verwendet werden.

   • File Protection:

     • Unter Windows 7 steht für das neue Verschlüsselungsformat nur die eingeschränkte Funktionalität und für das alte Verschlüsselungsformat nur der bisherige Legacy Treiber nur zur Verfügung. Das passende Verschlüsselungsformat wird automatisch ausgewählt.

   • Security Awareness Multimedia-Kampagnen:

     • Um auch Security Awareness Multimedia-Kampagnen anzeigen zu können, wird eine lokale Installation von WebView2 für Windows 7 benötigt. Weitere Informationen dazu sind hier zu finden: https://docs.microsoft.com/en-us/microsoft-edge/webview2/

3. Einschränkungen macOS

   • Device Control:

     In dieser Version können nur USB-angeschlossene Laufwerke, die aufgrund ihrer Hardware ID identifiziert werden, blockiert oder zugelassen werden.

     Zusätzlich sind derzeit folgende Einschränkungen zu berücksichtigen:

     • Eigene Regeltypen für Whitelisting müssen konfiguriert werden (Hardware ID statt Product ID/Vendor)

     • Keine Freigabe für bestimmte Benutzer oder Benutzergruppen

     • Kein Dateifilter und Auditing

     • Keine erzwungene Verschlüsselung

     • Keine Freigabe von bereits mit Encryption 2-Go verschlüsselten Laufwerken

     • Keine Self-Service Funktionalität

   • Encryption 2-Go:

     • Für macOS steht wie bisher für die Entschlüsselung von externen USB-Laufwerken die Mobile Encryption Application (MEA) zur Verfügung.

     • Der macOS-Agent ist noch nicht in der Lage, Laufwerke mit einem Encryption 2-Go Container automatisch zu verschlüsseln.

     Weitere Informationen zum macOS-Agent entnehmen Sie bitte der separat verfügbaren macOS-Dokumentation auf DriveLock Online Help.

4. Einschränkungen Linux

   • Device Control:

     • Eigene Regeltypen für Whitelisting müssen konfiguriert werden (Hardware ID statt Product ID/Vendor)

     • Keine Freigabe für bestimmte Benutzer oder Benutzergruppen

     • Kein Dateifilter und Auditing

     • Keine erzwungene Verschlüsselung

   • Application Control:

     • DriveLock Application Control benötigt für den Einsatz auf Linux-Agenten Linux Kernel Version > 5.

     • Application Control kann nicht zusammen mit IGEL OS verwendet werden.

     • Keine der Application Behavior Control Funktionen stehen unter Linux zur Verfügung.

   • Encryption 2-Go:

     • Container bzw. verschlüsselte USB-Laufwerke können nicht erstellt, sondern nur verbunden werden.

   Weitere Informationen zum Linux Client und den Limitierungen der Funktionalität entnehmen Sie bitte der separat verfügbaren Linux-Dokumentation auf DriveLock Online Help.

5. Einschränkungen für Terminal Server Umgebungen und Thin-Clients

   • Der DriveLock Agent benötigt folgende Systemvoraussetzungen, damit die DriveLock Device Control Funktionalität grundsätzlich genutzt werden kann:

     • XenApp 7.15 oder neuer (ICA).

     • Windows Server 2016 oder neuer (RDP).

   • Security Awareness Kampagnen für Benutzer bei der Anmeldung und bei ICA-Laufwerksverbindungen stehen bei der Verwendung von Thin-Clients ohne installiertem DriveLock Agenten nicht zur Verfügung.