End of Life (EOL)

Zuletzt aktualisiert
Als PDF speichern

Ab der WinPE Preboot Version 1.8.3 wird Empirum End Of Life unterstützt.
Ab der WinPE Preboot Version 1.8.8 werden zusätzlich die Methoden DoD5220.22M und BSI/VSITR unterstützt.
End Of Life löscht alle Massenspeicher (nicht USB) des angeschlossenen Clients.

Empirum End Of Life ist eine schnelle und praxisnahe Löschmethode des Matrix42 Client Lifecycle Management
- Jede Partition wird mit verschiedenen Dateisystemen formatiert.
- Danach werden die entsprechenden Partitionen gelöscht.
- Dann werden Zufallsdaten mit vordefinierter Anzahl (Standard 10 GB) auf der Platte verteilt.
- Zum Schluss wird die Platte in einen definierten "Clean" Zustand versetzt.
DoD5220.22M ist eine standardisierte, sichere Löschmethode zum Löschen drehender Festplatten
- Standard des amerikanischen Verteidigungsministeriums.
- Dreimaliges Löschen des Datenträgers mit den Bitmustern: 0xAA, 0x55 und Random.
- Eine lange Laufzeit (mehrere Stunden) ist erforderlich.
BSI/VSITR ist eine standardisierte, sichere Löschmethode zum Löschen drehender Festplatten
- Standard des Bundesamts für Sicherheit in der Informationstechnik (BSI).
- Siebenmaliges Löschen des Datenträgers mit den Bitmustern: Random, 0xF0, 0x0F, 0xCC,0x33, 0xAA und 0x55
- Eine sehr lange Laufzeit (mehrere Stunden, bis einige Tage) ist erforderlich.

Wird eine NVME Platte erkannt, dann wird ein sicheres Löschen über "NVME-Format" durchgeführt, das gilt ab der WinPE PreBoot Version 1.8.5 und ab dem EndOfLife 1.1 Paket.
Für alle anderen Platten ist eine "NVME-Format" Funktion noch nicht Bestandteil von EndOfLife via WinPE.

End Of Life konfigurieren

Unabhängig von Empirum-LDAPSync kann über das RSAT-Tool zur Laufzeit von EndOfLife ein Computer aus dem AD gelöscht werden.
- Siehe auch EndOfLife

Integrieren Sie das aktuelle WinPE Support Paket per "Aktuelles WinPE Support Paket herunterladen".
- Siehe auch Aktuelle WinPE PreBoot Version integrieren
Erstellen Sie in der Matrix42 Management Console eine dedizierte Konfigurationsgruppe (im Beispiel EndOfLife (EOL)) möglichst weit oben im mittleren Baum, um zu verhindern, dass PreOS Pakete oder Variablen vererbt werden.
Die Vererbung von PreOS Paketen oder Variablen kann dazu führen, dass das EndOfLife-Paket mit einer Fehlermeldung beendet wird, obwohl die Platten erfolgreich gelöscht wurden.
Ordnen Sie (nur) das PreOS Paket EndOfLife dieser Gruppe zu.
Kontrollieren Sie, dass diese Gruppe keine weiteren WinPE Pakete oder Variablen erbt.
Weisen Sie ein dediziertes und aktuelles WinPE-BootImage zu, dass (wenn Sie die Platte(n) komplett überschreiben wollen) mit einem höheren Timeout Wert erstellt wurde. Hier ist der Standard 3600 Sekunden (1 Stunde) - beim kompletten Überschreiben werden 36000 Sekunden (10 Stunden) oder auch mehr, bei den Methoden DoD5220.22M und BSI/VSITR werden Timeout Werte von 72000 Sekunden (20 Stunden) und mehr empfohlen.
Erstellen Sie eine Variablen Konfiguration mit den Variablen des EndOfLife-Paketes.
- Siehe auch Variablen Konfiguration erstellen.
- EraseMethod
  Drei Löschmethoden stehen zur Wahl: Empirum (Standard) - wird eine NVME SSD erkannt, so wird diese sicher mit NVME-Format gelöscht. Alle anderen Festplatten werden mit der Empirum-Methode (Formatieren, sektorweises Löschen und Clean) gelöscht. DoD5220.22M sicheres Löschen drehender Platten nach DoD Standard (nicht sinnvoll für SSDs). BSI/VSITR sicheres Löschen drehender Platten nach BSI Standard (nicht sinnvoll für SSDs).
  - GBytesWrite (Nur Methode Empirum)
    Gibt die Menge an Zufallsdaten an (Standard 10 GB), die auf jede Platte geschrieben werden. Kann in GB-Schritten eingestellt werden. Der Wert "0" überschreibt die komplette Platte einmal mit Zufallsdaten. Je nach Anzahl und Größe der Platten kann dieser Vorgang einige Stunden dauern. Hier muss gegebenenfalls der Time Out Wert des WinPE Bootimages angepasst werden.
    Diesen Wert können Sie in der Datei Matrix42.Empirum.PeAgent.dll.config im Verzeichnis ".\Empirum\EmpInst\Sys\Images\WinPE\binaries\UAF\" ändern.
    
    Wenn dieser Wert geändert wird, muss das WinPE Boot Image neu erstellt werden, damit die Änderung auch übernommen wird!
  - RemoveFromEmpirum
    Steuert das clientspezifische Verhalten nach einer End Of Life Prozedur.
    Sie können über die Vergabe des Wertes "0" bestimmen, dass der Client nach der End Of Life Prozedur in der EMC und Empirum als gemanagtes Objekt verbleibt. Wenn diese Variable auf "1" (Standard) steht, wird der Client nach der End Of Life Prozedur aus der EMC und Empirum entfernt.
  - RemoveFromAD
    Steuert das clientspezifische Verhalten nach einer End Of Life Prozedur.
    Sie können über die Vergabe des Wertes "1" bestimmen, dass der Client nach der End Of Life Prozedur aus dem AD (Active Directory) gelöscht wird.
    Das RemoveFromAD Feature wurde mit EOL 1.4 eingeführt, und hat aktuell experimentellen Status.
    Im Vergleich zur EPE EOL Umsetzung, wird für die Nutzung dieses Features ein laufender LDAP-Sync benötigt!
- NVMEFallback (Nur Methode Empirum)
  Steuert das Verhalten bei NVME-Format Fehlern. Standard: Tritt ein Fehler beim NVME-Format auf, wird die Platte danach klassisch sektorweise gelöscht (NVMEFallback="1"). Sie können über die Vergabe des Wertes "0" bestimmen, dass NVME-Format Fehler zum Abbruch führen und die Platte ungelöscht verbleibt.
- ActivateEndOfLife
  Diese Variable ist eine Sicherheitsfunktion und muss manuell auf 1 gesetzt werden, damit End Of Life startet.
  Hat die Variable den Wert 0, wird die Ausführung abgebrochen, im Log gibt es eine entsprechende Fehlermeldung.
Weisen Sie die zu löschenden Clients zu und aktivieren Sie diese (PULL via DDS/DDC und PXE). End Of Life wird beim nächsten Boot ausgeführt.

End Of Life Logs und Reports

Nachdem ein Client mit EOL gelöscht wurde, stehen Clientspezifische Log-Informationen über die Empirum-Funktionen Info und Reports zur Verfügung.

Matrix42 Management Console > Info > EndOfLife Log

Ein erfolgreiches EndOfLife Log sieht wie folgt aus:

Matrix42 Management Console > Datei > Reports > Allgemeine Informationen > End Of Life