JARVIS
Ich betreue unter anderem Server für McAfee Drive Encryption mittels McAfee ePolicy Orchestrator (ePO). Um den Fall eines Recovery, bei vergessenem Passwort, vom System verlorenem Token oder ähnlichem, durchzuführen und den Zugang zum System zu bekommen, wird ein Challenge & Response Verfahren durchgeführt. Normalerweise mit einem Techniker, der hierbei unterstützt. Da dieser nicht immer sofort erreichbar ist oder auch mal ein Feiertag ansteht, die Hotline nicht erreichbar ist, ist die Smartphone Recovery eine schnelle Methode sich selbst zu helfen.
Nachfolgend beschreibe ich die Einrichtung auf dem ePO sowie die Einrichtung am Smartphone / Tablet. McAfee selber stellt hierzu auch gute KB-Artikel, die gerne parallel gelesen werden können, bereit.
Welche Geräte werden von der McAfee Smartphone Recovery unterstützt
Für die Recoveryfunktion wird eine Android oder iOS App aus dem jeweiligen Store benötigt. Daher ist ein aktuelles Apple iOS Gerät oder fähiges Android Gerät notwendig.
McAfee ePO Smartphone Recovery Vorbereitung
Ich habe hierfür den ePolicy Orchestrator in der Version 5.10.0 sowie die DriveEncryption in Version 7.2.8.4 verwendet. Zum testen habe ich die produktive Richtlinie für Produkteinstellungen und die produktive benutzerbasierte Richtlinie dupliziert und als Test im Namen gekennzeichnet. Diese dann, über das Menü Systemstrukur, entsprechend eine Gruppe von Testclients zugewiesen.
McAfee ePO Smartphone Recovery aktivieren
Als erstes werde ich die benötigten Optionen im ePO freischalten. Das ist mit wenigen Handgriffen erledigt. Dazu öffnen wir die zuvor duplizierte Richtlinie für Produkteinstellungen, bei mir „Test EE Policy Windows mit SSO mit OSK„, editieren diese und wechseln in den Reiter „Begleitgeräte„. Hier wird die Option „Unterstützung von Begleitgeräten aktivieren:„, aktiviert.
Als nächstes mache ich das gleiche mit der duplizierten „Benutzerdefinierte Richtlinien„, bei mir „Test EE User Policy„. Dort ebenfalls in den Reiter „Begleitgeräte“ wechseln und die Option „Wiederherstellung“ aktivieren. Hier kann auch die Kennwortdefinition festgelegt werden. Diese ist später für die Smartphone iOS bzw. Android App, wichtig.
Damit sind die Einstellungen am ePO zur Nutzung der Smartphone Recovery Funktion, abgeschlossen.
McAfee Endpoint Assistant Installation
Als nächstes richte ich die App McAfee Endpoint Assistant auf einem Samsung S9+ ein. Die App ist kostenlos und nur wenige MB groß und sowohl im Google Play Store für Android, als auch im Apple App Store zu finden:
- Android – Google Play: https://play.google.com/store/apps/details?id=com.mcafee.endpointassist
- iOS – Apple App Store: https://itunes.apple.com/us/app/mcafee-endpoint-assistant/id797510089
Nach der Installation geht es wie folgt weiter:
McAfee Endpoint Assistant mit Preboot Auth koppeln / vorbereiten
Der Ablauf zum verbinden des Smartphones und der Assistant App mit dem Preboot des Notebooks, ist relativ einfach und intuitiv durchführbar:
- zunächst wird die App auf dem Smartphone gestartet
- diese verlangt als Authentifizierung einen 4stelligen PIN
- das Notebook wird gestartet und endet im Preboot
- bekannten Benutzernamen eingeben
- Option „Smartphone registrieren“ aktivieren
- <weiter>
- Passwort des Benutzer eingeben
- nun wird ein QR-Code angezeigt
- in der Assistant App den <Scan> Button antippen
- den QR-Code vom Bildschirm des Notebooks einscannen
- hier kann es nun sein, dass das Passwort von 4 Stellen nicht dem der Vorgabe auf dem ePO entspricht, man muss dann, es wird angezeigt, einen neuen Code eingeben und erneut scannen
- nun ist das Notebook der Smarpthone App bekannt und kann für ein Recovery genutzt werden
Bilder Preboot bis zum QR-Code
McAfee Preboot – QR-Code 3 
McAfee Preboot – QR-Code 3 
McAfee Preboot – QR-Code 3
Bilder McAfee Assistant App – QR-Code einscannen und speichern
McAfee Endpoint Assistant Scan 1 
McAfee Endpoint Assistant Scan 2 
McAfee Endpoint Assistant Scan 3 
McAfee Endpoint Assistant Scan 4 
McAfee Endpoint Assistant Scan 5
Damit ist dieser Vorgang abgeschlossen. Dies kann nun mit weiteren Geräten durchgeführt werden, sofern man mehrere nutzt. McAfee gibt bis zu 100 Systeme die von einem Smartphone verwaltet werden können, an.
Das Fenster mit dem QR-Code, wo die Wahl zwischen „Überspringen“ und „Fertigstellen“ angezeigt wird, wird nun jedes Mal angezeigt, bis man auf Fertigstellen klickt, egal ober die Kopplung statt gefunden hat, oder nicht. Danach muss man dann die Checkbox expliziet aktivieren um ggf. später sein Smartphone zu koppeln.
McAfee Assistant App – Schlüssel anzeigen
Auf dem Smartphone lässt sich der hinterlegte Schlüssel zum verknpüften Gerät anzeigen. Hierfür rechts oben in das menü wechseln und die Option „Schlüsselverwalten“, aufrufen.
Hier ist gut zu erkennen, für welches Gerät (client01) und welchem Benutzer (bob) die Drive Encryption Wiederherstellung, hinterlegt wurde.
McAfee Preboot Recovery mit Smartphone App Assistant und QR-Code
Nachdem nun alles vorbereitet ist und der Fall hoffentlich nie eintreten wird, so ist es doch ratsam diesen Worst-Case, durchzuspielen.
- Notebook starten sodass der Preboot erscheint
- gültigen und berechtigten Benutzernamen eingeben
- nun auf den Button <Optionen> klicken
- dann auf den Button <Wiederherstellung> klicken
- als Wiederherstellung die Option „Wiederherstellung auf Administratorebene/via Smartphone“ aktivieren
- nun wird der Client Code, sowie der dazu gehörige QR-Code
- jetzt wird die McAfee Assistant App auf dem Smartphone gestartet
- es muss der zuvor hinterlegte PIN zur Freischaltung der App eingegeben werden
- nun wird der Button <Scannen> angetippt und der QR-Code vom Display eingescannt
- die App zeigt nun den passenden Responsecode an
- der Code vom Smartphone wird nun im Preboot eingegeben und der Vorgang abgeschlossen
- war das erfolgreich wird ein neues Kennwort festgelegt
- danach erfolgt die erneute Anmeldung, mit dem neuen Kennwort, am Preboot und Weiterleitung zum System
Bilder Preboot bis zum QR-Code
McAfee Preboot Recovery 
McAfee Preboot Recovery 
McAfee Preboot Recovery 
McAfee Preboot Recovery 
McAfee Preboot Recovery
Bilder McAfee Assistant App – Recovery mittels QR-Code
McAfee Endpoint Assistant Scan 4 McAfee Endpoint Assistant Scan 2 
McAfee Endpoint Assistant Resp Code
Damit ist der gesamte Prozess, von der Einrichtung im ePolicy Orchestrator, über die Installation im Smartphone, die Kopplung von Preboot mit Smartphone, bis hin zum Recovery mittels Assistant App beschrieben und durchgeführt.
McAfee Assistant PIN vergessen
Wurde die PIN in der Assistant App vergessen, dann kann man diese 3x falsch eingeben, was zur Löschung aller Schlüssel führt, oder aber die App deinstallieren, was ebenfalls zur Löschung aller Schlüssel führt. Danach kann man die App neu installieren, muss jedoch auch die Kopplung erneut einrichten.
weitere FAQs unter: https://kc.mcafee.com/corporate/index?page=content&id=KB80070
Assistant Administration
Administratoren können auf dem ePO sehen welcher Benutzer ein Smartphone registriert und auch ein Recovery mittels App durchgeführt hat. Dafür werden entsprechenden Events im ePO registriert. Diese sind unter Berichterstellung, unter „DE:Produkt-Client-Ereignisse“ zu finden.
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.