Portabler Modus für die Verwendung verschlüsselter Dateien auf Wechseldatenträgern

Der portable Modus ist ein Verschlüsselungsmodus für Dateien (FLE) auf Wechseldatenträgern. Der Modus ermöglicht einen Datenzugriff auch außerhalb des Unternehmensnetzwerks. Der portable Modus ermöglicht es außerdem, auf Computern, auf denen das Programm Kaspersky Endpoint Security nicht installiert ist, mit verschlüsselten Dateien zu arbeiten.

Der portable Modus bietet sich in folgenden Fällen an:

• Es besteht keine Verbindung zwischen dem Computer und dem Kaspersky Security Center Administrationsserver.
• Durch eine Änderung des Kaspersky Security Center Administrationsservers hat sich die Infrastruktur geändert.
• Das Programm Kaspersky Endpoint Security ist nicht auf dem Computer installiert.

Portabler Dateimanager

Für den portablen Modus installiert Kaspersky Endpoint Security auf dem Wechseldatenträger ein spezielles Verschlüsselungsmodul: den portablen Dateimanager. Der portable Dateimanager bietet eine Benutzeroberfläche für die Arbeit mit verschlüsselten Daten, wenn das Programm Kaspersky Endpoint Security nicht auf dem Computer installiert ist (s. Abb. unten). Wenn das Programm Kaspersky Endpoint Security auf dem Computer installiert ist, können Sie einen gewöhnlichen Dateimanager (z. B. Explorer) verwenden, um mit verschlüsselten Wechseldatenträgern zu arbeiten.

Der portable Dateimanager speichert einen Schlüssel für die Verschlüsselung von Dateien auf dem Wechseldatenträger. Der Schlüssel ist mit einem Benutzerkennwort verschlüsselt. Der Benutzer legt das Kennwort fest, bevor die Dateien auf dem Wechseldatenträger verschlüsselt werden.

Der portable Dateimanager startet automatisch, wenn ein Wechseldatenträger mit einem Computer verbunden wird, auf dem das Programm Kaspersky Endpoint Security installiert ist. Wenn auf dem Computer der Autostart von Programmen deaktiviert ist, müssen Sie den portablen Dateimanager manuell starten. Führen Sie dazu die Datei pmv.exe aus, die auf dem Wechseldatenträger gespeichert ist.

Portabler Dateimanager

Unterstützung des portablen Modus für die Arbeit mit verschlüsselten Dateien

In der Verwaltungskonsole (MMC) die Unterstützung des portablen Modus für die Arbeit mit verschlüsselten Dateien auf Wechseldatenträgern aktivieren

In der „Web Console“ die Unterstützung des portablen Modus für die Arbeit mit verschlüsselten Dateien auf Wechseldatenträgern aktivieren

Kaspersky Endpoint Security verschlüsselt die Dateien auf dem Wechseldatenträger. Auf dem Wechseldatenträger wird auch der portable Dateimanager für die Verwendung verschlüsselter Dateien hinzugefügt. Wenn auf dem Wechseldatenträger bereits verschlüsselte Dateien vorhanden sind, verschlüsselt Kaspersky Endpoint Security diese erneut mithilfe eines eigenen Schlüssels. Dadurch kann der Benutzer im portablen Modus auf alle Dateien des Wechseldatenträgers zugreifen.

Zugriff auf verschlüsselte Dateien auf einem Wechseldatenträger anfordern

Nachdem Dateien auf einem Wechseldatenträger mit Unterstützung des portablen Modus verschlüsselt wurden, gibt es folgende Methoden für den Zugriff auf Dateien:

• Wenn das Programm Kaspersky Endpoint Security nicht auf dem Computer installiert ist, werden Sie vom portablen Dateimanager zur Kennworteingabe aufgefordert. Das Kennwort muss jedes Mal eingegeben werden, wenn der Computer neu gestartet oder ein Wechseldatenträger erneut verbunden wird.
• Wenn sich der Computer außerhalb des Unternehmensnetzwerks befindet und das Programm Kaspersky Endpoint Security auf dem Computer installiert ist, werden Sie vom Programm aufgefordert, das Kennwort einzugeben oder beim Administrator den Zugriff auf die Dateien anzufordern. Nachdem der Zugriff auf die Dateien des Wechseldatenträgers gewährt wurde, speichert Kaspersky Endpoint Security einen Geheimschlüssel im Schlüsselspeicher des Computers. Dadurch ist der Dateizugriff künftig ohne Kennworteingabe oder Anfrage an den Administrator möglich (siehe folgende Abbildung).
• Wenn sich der Computer innerhalb des Unternehmensnetzwerks befindet und das Programm Kaspersky Endpoint Security auf dem Computer installiert ist, erhalten Sie ohne Kennworteingabe Zugriff auf das Gerät. Kaspersky Endpoint Security erhält einen Geheimschlüssel von dem Kaspersky Security Center Administrationsserver, mit dem der Computer verbunden ist.

  

  Zugriff auf verschlüsselte Dateien auf einem Wechseldatenträger anfordern

Wiederherstellen des Kennworts für den portablen Modus

Wenn Sie das Kennwort für den portablen Modus vergessen haben, müssen Sie den Wechseldatenträger innerhalb des Unternehmensnetzwerks mit einem Computer verbinden, auf dem das Programm Kaspersky Endpoint Security installiert ist. Sie erhalten Zugriff auf die Dateien, da der Geheimschlüssel im Schlüsselspeicher des Computers oder auf dem Administrationsserver gespeichert ist. Entschlüsseln Sie die Dateien und verschlüsseln Sie sie dann mit einem neuen Kennwort.

Besonderheiten des portablen Modus, wenn ein Wechseldatenträger mit einem Computer aus einem anderen Netzwerk verbunden wird

Wenn sich der Computer außerhalb des Unternehmensnetzwerks befindet und das Programm Kaspersky Endpoint Security auf dem Computer installiert ist, können Sie wie folgt ohne Kennworteingabe Zugriff auf die Dateien erhalten:

• Zugriff mit Kennwort

  Nach der Kennworteingabe können Sie die Dateien auf dem Wechseldatenträger anzeigen, ändern und speichern (transparenter Zugriff). Kaspersky Endpoint Security kann für einen Wechseldatenträger das Zugriffsrecht „nur Lesen“ festlegen, wenn in den Richtlinieneinstellungen für die Verschlüsselung von Wechseldatenträgern folgende Einstellungen festgelegt sind:

  • Die Unterstützung des portablen Modus ist deaktiviert.
  • Der Modus Alle Dateien verschlüsseln oder Nur neue Dateien verschlüsseln ist ausgewählt.

  In den übrigen Fällen erhalten Sie Vollzugriff auf den Wechseldatenträger („Schreiben und Lesen“). Sie können Dateien hinzufügen und löschen.

  Sie können die Rechte für den Zugriff auf einen Wechseldatenträger auch dann ändern, wenn der Wechseldatenträger mit dem Computer verbunden ist. Wenn sich die Rechte für den Zugriff auf einen Wechseldatenträger geändert haben, blockiert Kaspersky Endpoint Security den Zugriff auf die Dateien und fragt das Kennwort erneut ab.

  Nach der Kennworteingabe können Richtlinieneinstellungen für die Verschlüsselung eines Wechseldatenträgers nicht angewendet werden. Deshalb ist es nicht möglich, die Dateien auf dem Wechseldatenträger zu entschlüsseln oder erneut zu verschlüsseln.

• Anfrage für den Zugriff auf Dateien an den Administrator

  Wenn Sie das Kennwort für den portablen Modus vergessen haben, fordern Sie beim Administrator den Zugriff auf die Dateien an. Für den Zugriff auf Dateien muss der Benutzer eine Zugriffsanfrage-Datei an den Administrator senden (Datei mit der Erweiterung .kesdc). Der Benutzer kann die Zugriffsanfrage-Datei beispielsweise per E-Mail senden. Der Administrator sendet eine Datei für den Zugriff auf die verschlüsselten Daten (Datei mit der Erweiterung kesdr).

  Nachdem Sie den Vorgang zur Kennwortwiederherstellung („Anfrage-Frage“) durchlaufen haben, erhalten Sie transparenten Zugriff auf die Dateien auf dem Wechseldatenträger und Vollzugriff auf den Wechseldatenträger (Recht „Schreiben und Lesen“).

  Sie können die Richtlinie für die Verschlüsselung von Wechseldatenträgern anwenden und beispielsweise Dateien entschlüsseln. Nachdem das Kennwort wiederhergestellt wurde oder wenn die Richtlinie aktualisiert wird, fordert Kaspersky Endpoint Security Sie auf, die Änderungen zu bestätigen.

  In der Verwaltungskonsole (MMC) eine Zugriffsdatei für verschlüsselte Daten anfordern

  1. Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
  2. Öffnen Sie in der Verwaltungskonsolenstruktur im Ordner Verwaltete Geräte den Ordner mit dem Namen der Administrationsgruppe, zu welcher die betreffenden Client-Computer gehören.
  3. Wählen Sie im Arbeitsbereich die Registerkarte Geräte.
  4. Markieren Sie auf der Registerkarte Geräte den Computer des Benutzers, der die Wiederherstellung des Zugriffs auf verschlüsselte Daten anfordert, und öffnen Sie mit der rechten Maustaste das Kontextmenü.
  5. Wählen Sie im Kontextmenü den Punkt Freigabe im Offline-Modus aus.
  6. Wählen Sie im folgenden Fenster die Registerkarte Datenverschlüsselung aus.
  7. Klicken Sie auf der Registerkarte Datenverschlüsselung auf Durchsuchen.
  8. Geben Sie im Auswahlfenster der Zugriffsanfrage-Datei den Pfad der Datei an, die Sie vom Benutzer erhalten haben.

  Informationen über die Benutzeranfrage werden angezeigt. Kaspersky Security Center erstellt eine Zugriffsschlüsseldatei. Senden Sie die erstellte Zugriffsschlüsseldatei für die verschlüsselten Daten per E-Mail an den Benutzer. Oder speichern Sie die Zugriffsdatei und übermitteln Sie die Datei auf andere Weise.

  

  Zugriff im Offline-Modus gewähren

  In der „Web Console“ eine Zugriffsdatei für verschlüsselte Daten anfordern

  1. Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Verwaltete Geräte.
  2. Aktivieren Sie das Kontrollkästchen mit dem Namen des Computers, für den Sie den Datenzugriff wiederherstellen möchten.
  3. Klicken Sie auf Zugriff auf das Gerät im autonomen Modus gewähren.
  4. Wählen Sie den Punkt Datenverschlüsselung.
  5. Klicken Sie auf Datei wählen und wählen Sie die Zugriffsanfrage-Datei aus, die Sie vom Benutzer erhalten haben (Datei mit der Erweiterung kesdc).

     Die „Web Console“ zeigt Informationen über die Anfrage an. Unter anderem den Namen des Computers, auf dem der Benutzer Zugriff auf eine Datei anfordert.

  6. Klicken Sie auf Schlüssel speichern und wählen Sie aus, in welchem Ordner die Zugriffsschlüsseldatei für die verschlüsselten Daten gespeichert werden soll (Datei mit der Erweiterung kesdr).

  Sie erhalten dann einen Zugriffsschlüssel für die verschlüsselten Daten. Übermitteln Sie den Schlüssel an den Benutzer.