McAfee Endpoint Smartphone Recovery einrichten

Ich betreue unter anderem Server für McAfee Drive Encryption mittels McAfee ePolicy Orchestrator (ePO). Um den Fall eines Recovery, bei vergessenem Passwort, vom System verlorenem Token oder ähnlichem, durchzuführen und den Zugang zum System zu bekommen, wird ein Challenge & Response Verfahren durchgeführt. Normalerweise mit einem Techniker, der hierbei unterstützt. Da dieser nicht immer sofort erreichbar ist oder auch mal ein Feiertag ansteht, die Hotline nicht erreichbar ist, ist die Smartphone Recovery eine schnelle Methode sich selbst zu helfen.

Nachfolgend beschreibe ich die Einrichtung auf dem ePO sowie die Einrichtung am Smartphone / Tablet. McAfee selber stellt hierzu auch gute KB-Artikel, die gerne parallel gelesen werden können, bereit.

Welche Geräte werden von der McAfee Smartphone Recovery unterstützt

Für die Recoveryfunktion wird eine Android oder iOS App aus dem jeweiligen Store benötigt. Daher ist ein aktuelles Apple iOS Gerät oder fähiges Android Gerät notwendig.

McAfee ePO Smartphone Recovery Vorbereitung

Ich habe hierfür den ePolicy Orchestrator in der Version 5.10.0 sowie die DriveEncryption in Version 7.2.8.4 verwendet. Zum testen habe ich die produktive Richtlinie für Produkteinstellungen und die produktive benutzerbasierte Richtlinie dupliziert und als Test im Namen gekennzeichnet. Diese dann, über das Menü Systemstrukur, entsprechend eine Gruppe von Testclients zugewiesen.

McAfee ePO Smartphone Recovery aktivieren

Als erstes werde ich die benötigten Optionen im ePO freischalten. Das ist mit wenigen Handgriffen erledigt. Dazu öffnen wir die zuvor duplizierte Richtlinie für Produkteinstellungen, bei mir “Test EE Policy Windows mit SSO mit OSK“, editieren diese und wechseln in den Reiter “Begleitgeräte“. Hier wird die Option “Unterstützung von Begleitgeräten aktivieren:“, aktiviert.

McAfee ePO Richtlinie Produkt Begleitgeräte
McAfee ePO Richtlinie Produkt Begleitgeräte

Als nächstes mache ich das gleiche mit der duplizierten “Benutzerdefinierte Richtlinien“, bei mir “Test EE User Policy“. Dort ebenfalls in den Reiter “Begleitgeräte” wechseln und die Option “Wiederherstellung” aktivieren. Hier kann auch die Kennwortdefinition festgelegt werden. Diese ist später für die Smartphone iOS bzw. Android App, wichtig.

McAfee ePO Richtlinie Benutzer Begleitgeräte
McAfee ePO Richtlinie Benutzer Begleitgeräte

Damit sind die Einstellungen am ePO zur Nutzung der Smartphone Recovery Funktion, abgeschlossen.

McAfee Endpoint Assistant Installation

Als nächstes richte ich die App McAfee Endpoint Assistant auf einem Samsung S9+ ein. Die App ist kostenlos und nur wenige MB groß und sowohl im Google Play Store für Android, als auch im Apple App Store zu finden:

McAfee Endpoint Assistant App
McAfee Endpoint Assistant App

Nach der Installation geht es wie folgt weiter:

McAfee Endpoint Assistant mit Preboot Auth koppeln / vorbereiten

Der Ablauf zum verbinden des Smartphones und der Assistant App mit dem Preboot des Notebooks, ist relativ einfach und intuitiv durchführbar:

  • zunächst wird die App auf dem Smartphone gestartet
  • diese verlangt als Authentifizierung einen 4stelligen PIN
  • das Notebook wird gestartet und endet im Preboot
    • bekannten Benutzernamen eingeben
    • Option “Smartphone registrieren” aktivieren
    • <weiter>
    • Passwort des Benutzer eingeben
    • nun wird ein QR-Code angezeigt
  • in der Assistant App den <Scan> Button antippen
  • den QR-Code vom Bildschirm des Notebooks einscannen
  • hier kann es nun sein, dass das Passwort von 4 Stellen nicht dem der Vorgabe auf dem ePO entspricht, man muss dann, es wird angezeigt, einen neuen Code eingeben und erneut scannen
  • nun ist das Notebook der Smarpthone App bekannt und kann für ein Recovery genutzt werden

Bilder Preboot bis zum QR-Code

Bilder McAfee Assistant App – QR-Code einscannen und speichern

Damit ist dieser Vorgang abgeschlossen. Dies kann nun mit weiteren Geräten durchgeführt werden, sofern man mehrere nutzt. McAfee gibt bis zu 100 Systeme die von einem Smartphone verwaltet werden können, an.

Das Fenster mit dem QR-Code, wo die Wahl zwischen “Überspringen” und “Fertigstellen” angezeigt wird, wird nun jedes Mal angezeigt, bis man auf Fertigstellen klickt, egal ober die Kopplung statt gefunden hat, oder nicht. Danach muss man dann die Checkbox expliziet aktivieren um ggf. später sein Smartphone zu koppeln.

McAfee Assistant App – Schlüssel anzeigen

Auf dem Smartphone lässt sich der hinterlegte Schlüssel zum verknpüften Gerät anzeigen. Hierfür rechts oben in das menü wechseln und die Option “Schlüsselverwalten”, aufrufen.

McAfee Endpoint Assistant Schlüssel
McAfee Endpoint Assistant Schlüssel

Hier ist gut zu erkennen, für welches Gerät (client01) und welchem Benutzer (bob) die Drive Encryption Wiederherstellung, hinterlegt wurde.

McAfee Preboot Recovery mit Smartphone App Assistant und QR-Code

Nachdem nun alles vorbereitet ist und der Fall hoffentlich nie eintreten wird, so ist es doch ratsam diesen Worst-Case, durchzuspielen.

  • Notebook starten sodass der Preboot erscheint
    • gültigen und berechtigten Benutzernamen eingeben
    • nun auf den Button <Optionen> klicken
    • dann auf den Button <Wiederherstellung> klicken
    • als Wiederherstellung die Option “Wiederherstellung auf Administratorebene/via Smartphone” aktivieren
    • nun wird der Client Code, sowie der dazu gehörige QR-Code
  • jetzt wird die McAfee Assistant App auf dem Smartphone gestartet
    • es muss der zuvor hinterlegte PIN zur Freischaltung der App eingegeben werden
    • nun wird der Button <Scannen> angetippt und der QR-Code vom Display eingescannt
    • die App zeigt nun den passenden Responsecode an
  • der Code vom Smartphone wird nun im Preboot eingegeben und der Vorgang abgeschlossen
  • war das erfolgreich wird ein neues Kennwort festgelegt
  • danach erfolgt die erneute Anmeldung, mit dem neuen Kennwort, am Preboot und Weiterleitung zum System

Bilder Preboot bis zum QR-Code

Bilder McAfee Assistant App – Recovery mittels QR-Code

Damit ist der gesamte Prozess, von der Einrichtung im ePolicy Orchestrator, über die Installation im Smartphone, die Kopplung von Preboot mit Smartphone, bis hin zum Recovery mittels Assistant App beschrieben und durchgeführt.

McAfee Assistant PIN vergessen

Wurde die PIN in der Assistant App vergessen, dann kann man diese 3x falsch eingeben, was zur Löschung aller Schlüssel führt, oder aber die App deinstallieren, was ebenfalls zur Löschung aller Schlüssel führt. Danach kann man die App neu installieren, muss jedoch auch die Kopplung erneut einrichten.

weitere FAQs unter: https://kc.mcafee.com/corporate/index?page=content&id=KB80070

Assistant Administration

Administratoren können auf dem ePO sehen welcher Benutzer ein Smartphone registriert und auch ein Recovery mittels App durchgeführt hat. Dafür werden entsprechenden Events im ePO registriert. Diese sind unter Berichterstellung, unter “DE:Produkt-Client-Ereignisse” zu finden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.