Vollständige Festplattenverschlüsselung
Sie können ein Verschlüsselungsverfahren auswählen: Kaspersky-Festplattenverschlüsselung oder BitLocker-Laufwerkverschlüsselung (im Folgenden auch „BitLocker“ genannt).
Kaspersky-Festplattenverschlüsselung
Nach der Verschlüsselung von Systemfestplatten und einem nachfolgenden Neustart des Computers, sind der Zugriff auf die Festplatten und das Laden des Betriebssystems erst möglich, nachdem der Benutzer sich mithilfe des Authentifizierungsagenten authentifiziert hat. Dazu ist entweder die Eingabe des Kennworts für den Token oder die Smartcard, die mit dem Computer verbunden sind, oder die Eingabe des Namens und Kennworts für das Authentifizierungsagenten-Benutzerkonto erforderlich, das vom Systemadministrator des lokalen Unternehmensnetzwerks mithilfe der Aufgabe Authentifizierungsagenten-Konten verwalten erstellt wurde. Diese Konten basieren auf den Benutzerkonten von Microsoft Windows, mit denen sich die Benutzer im Betriebssystem anmelden. Sie können auch das Verfahren zur Einmalanmeldung (SSO, Single Sign-On) nutzen. Es ermöglicht eine automatische Anmeldung im Betriebssystem mit dem Benutzernamen und dem Kennwort des Authentifizierungsagenten-Benutzerkontos.
Es gibt zwei Methoden, mit denen sich der Benutzer im Authentifizierungsagenten authentifizieren kann:
- Durch Eingabe von Name und Kennwort eines Benutzerkontos für den Authentifizierungsagenten, wenn das Benutzerkonto vom Administrator des lokalen Unternehmensnetzwerks mit Mitteln von Kaspersky Security Center erstellt wurde.
- Durch Eingabe des Kennworts für einen Token oder eine Smartcard, die mit dem Computer verbunden sind.
Ein Token oder eine Smartcard kann nur verwendet werden, wenn die Festplatten des Computers mithilfe des AES256-Verschlüsselungsalgorithmus verschlüsselt sind. Sind die Festplatten des Computers mithilfe des AES56-Verschlüsselungsalgorithmus verschlüsselt, so kann dem Befehl keine elektronische Zertifikatdatei hinzugefügt werden.
BitLocker-Laufwerkverschlüsselung
BitLocker ist eine integrierte Verschlüsselungstechnologie des Windows-Betriebssystems. Kaspersky Endpoint Security ermöglicht es, BitLocker mithilfe von Kaspersky Security Center zu kontrollieren und zu verwalten. BitLocker verschlüsselt ein logisches Volume. Wechseldatenträger können mithilfe von BitLocker nicht verschlüsselt werden. Details über BitLocker finden Sie in der Microsoft-Dokumentation.
Die Sicherheit beim Speichern von Zugriffsschlüsseln gewährleistet BitLocker mithilfe von Trusted Platform Module. Trusted Platform Module (TPM) ist ein Mikrochip, der grundlegende Sicherheitsfunktionen gewährleistet (z. B. für die Speicherung von Chiffrierschlüsseln). Ein Trusted Platform Module wird normalerweise auf der Hauptplatine des Computers installiert und interagiert mit allen anderen Systemkomponenten über die Hardwareschnittstelle. Die Verwendung des TPM ist die sicherste Art, BitLocker-Zugriffsschlüssel zu speichern, da das TPM eine Überprüfung der Systemintegrität vor dem Systemstart ermöglicht. Auf Computern ohne TPM können Sie Laufwerke verschlüsseln. Dabei wird der Zugriffsschlüssel mit einem Kennwort verschlüsselt. BitLocker verwendet die folgenden Authentifizierungsmethoden:
- TPM.
- TPM und PIN-Code.
- Kennwort.
Nach der Laufwerkverschlüsselung erstellt BitLocker einen Master-Schlüssel. Kaspersky Endpoint Security sendet den Master-Schlüssel an Kaspersky Security Center, damit Sie den Zugriff auf das Laufwerk wiederherstellen können, beispielsweise wenn der Benutzer das Kennwort vergisst.
Wenn der Benutzer mithilfe von BitLocker selbständig ein Laufwerk verschlüsselt hat, sendet Kaspersky Endpoint Security Informationen über die Laufwerksverschlüsselung an Kaspersky Security Center. Den Master-Schlüssel sendet Kaspersky Endpoint Security dabei nicht an Kaspersky Security Center. Darum lässt sich der Zugriff auf das Laufwerk mithilfe von Kaspersky Security Center nicht wiederherstellen. Damit BitLocker mit Kaspersky Security Center ordnungsgemäß funktioniert, entschlüsseln Sie das Laufwerk und verschlüsseln Sie es erneut mithilfe der Richtlinie. Sie können das Laufwerk entweder lokal oder mithilfe der Richtlinie entschlüsseln.
Nachdem die Systemfestplatte verschlüsselt wurde, von der das Betriebssystem gestartet wird, muss der Benutzer den BitLocker-Authentifizierungsvorgang durchlaufen. Nach dem Authentifizierungsverfahren ermöglicht BitLocker die Anmeldung von Benutzern. BitLocker unterstützt keine Single-Sign-On-Technologie (SSO).
Wenn Sie Gruppenrichtlinien für Windows verwenden, deaktivieren Sie die BitLocker-Verwaltung in den Richtlinieneinstellungen. Es kann sein, dass die Windows-Richtlinieneinstellungen den Richtlinieneinstellungen von Kaspersky Endpoint Security widersprechen. Bei einer Laufwerksverschlüsselung könnten deshalb Fehler auftreten.
Einstellungen der Komponente „Kaspersky-Festplattenverschlüsselung”
Einstellung | Beschreibung |
|---|---|
Verschlüsselungsmodus | Alle Festplatten verschlüsseln. Ist dieses Element ausgewählt und die Richtlinie wird übernommen, so verschlüsselt das Programm alle Festplatten. Wenn auf dem Computer mehrere Betriebssysteme installiert sind, können Sie nach der Verschlüsselung nur jenes Betriebssystem ausführen, in welchem das Programm installiert ist. Alle Festplatten entschlüsseln. Ist dieses Element ausgewählt und die Richtlinie wird übernommen, so entschlüsselt das Programm alle zuvor verschlüsselten Festplatten. Nicht verändern. Ist dieses Elements gewählt und die Richtlinie wird übernommen, so verbleiben die Laufwerke in ihrem ursprünglichen Zustand. Wenn das Laufwerk verschlüsselt wurde, bleibt es verschlüsselt. Wenn das Laufwerk entschlüsselt wurde, bleibt es entschlüsselt. Dieses Element ist standardmäßig ausgewählt. |
Während der Verschlüsselung die Authentifizierungsagenten-Konten für Windows-Benutzer automatisch erstellen | Wenn dieses Kontrollkästchen aktiviert ist, erstellt das Programm Benutzerkonten des Authentifizierungsagenten basierend auf der Liste der Windows-Benutzerkonten auf dem Computer. Kaspersky Endpoint Security verwendet standardmäßig alle lokalen und Domänen-Benutzerkonten, mit denen sich der Benutzer in den letzten 30 Tagen am Betriebssystem angemeldet hat. |
Einstellungen zum Erstellen von Authentifizierungsagenten-Konten | Alle Benutzerkonten des Computers. Alle Benutzerkonten auf dem Computer, die zu irgendeinem Zeitpunkt aktiv waren. Alle Domänenkonten des Computers. Alle Benutzerkonten auf dem Computer, die zu einer Domäne gehören und die zu irgendeinem Zeitpunkt aktiv waren. Alle lokalen Benutzerkonten des Computers. Alle lokalen Benutzerkonten auf dem Computer, die zu irgendeinem Zeitpunkt aktiv waren. Dienstkonto mit Einmalkennwort. Das Dienstkonto wird beispielsweise benötigt, um Zugriff auf den Computer zu erhalten, wenn der Benutzer das Kennwort vergisst. Sie können das Dienstkonto auch als Reservekonto verwenden. Sie müssen den Namen des Benutzerkontos eingeben (Standardwert Lokaler Administrator. Kaspersky Endpoint Security erstellt ein Authentifizierungsagenten-Konto für den lokalen Administrator des Computers. Manager des Computers. Kaspersky Endpoint Security erstellt ein Authentifizierungsagenten-Konto für das Benutzerkonto des Computermanagers. Welches Benutzerkonto die Rolle „Computermanager“ hat, können Sie in den Active Directory-Computereigenschaften nachsehen. Standardmäßig ist die Rolle „Computermanager“ nicht definiert, d. h. diese Rolle entspricht keinem Benutzerkonto. Aktives Benutzerkonto. Kaspersky Endpoint Security erstellt automatisch ein Authentifizierungsagenten-Konto für das Benutzerkonto, das zum Zeitpunkt der Festplattenverschlüsselung aktiv ist. |
Bei der Anmeldung die Authentifizierungsagenten-Konten für alle Benutzer dieses Computers automatisch erstellen | Wenn dieses Kontrollkästchen aktiviert ist, überprüft das Programm Informationen zu Windows-Benutzerkonten auf dem Computer, bevor der Authentifizierungsagent gestartet wird. Wenn Kaspersky Endpoint Security ein Windows-Benutzerkonto erkennt, das kein Benutzerkonto des Authentifizierungsagenten besitzt, erstellt das Programm ein neues Konto für den Zugriff auf verschlüsselte Laufwerke. Das neue Benutzerkonto des Authentifizierungsagenten verfügt über die folgenden Standardeinstellungen: nur kennwortgeschützte Anmeldung, Kennwortänderung bei der ersten Authentifizierung. Es ist also nicht nötig, für Computer mit bereits verschlüsselten Laufwerken mithilfe der Aufgabe Authentifizierungsagenten-Konten verwalten manuell Authentifizierungsagenten-Benutzerkonten hinzuzufügen. |
Benutzername speichern, der im Authentifizierungsagenten eingegeben wurde | Wenn das Kontrollkästchen aktiviert ist, speichert das Programm den Namen des Authentifizierungsagenten-Kontos. Wenn im Authentifizierungsagenten das nächste Mal eine Authentifizierung mit demselben Benutzerkonto erfolgt, muss der Benutzername nicht eingegeben werden. |
Nur belegten Speicherplatz verschlüsseln (reduziert die Verschlüsselungsdauer) | Das Kontrollkästchen aktiviert/deaktiviert eine Funktion, mit welcher der Verschlüsselungsbereich auf die belegten Sektoren einer Festplatte beschränkt wird. Mit dieser Beschränkung kann die Verschlüsselung beschleunigt werden. Wenn die Funktion Nur belegten Speicherplatz verschlüsseln (reduziert die Verschlüsselungsdauer) nach dem Start der Verschlüsselung aktiviert oder deaktiviert wird, wird die geänderte Einstellung erst wirksam, wenn die Festplatten entschlüsselt werden. Diese Einstellung muss vor dem Start der Verschlüsselung aktiviert oder deaktiviert werden. Ist das Kontrollkästchen aktiviert, so wird nur jener Teil einer Festplatte verschlüsselt, der mit Dateien belegt ist. Neue Daten werden von Kaspersky Endpoint Security automatisch verschlüsselt. Ist das Kontrollkästchen deaktiviert, so wird die gesamte Festplatte verschlüsselt. Dabei werden auch Fragmente von bereits gelöschten oder geänderten Dateien verschlüsselt. Diese Funktion wird für neue Festplatten empfohlen, auf denen bisher noch keine Daten geändert oder gelöscht wurden. Verwenden Sie die Verschlüsselung auf einer Festplatte, die bereits benutzt wurde, so sollte die gesamte Festplatte verschlüsselt werden. So sind alle Daten geschützt, selbst gelöschte Daten, die möglicherweise wiederhergestellt werden können. Dieses Kontrollkästchen ist standardmäßig deaktiviert. |
Legacy USB Support verwenden (nicht empfohlen) | Das Kontrollkästchen aktiviert/deaktiviert die Funktion „Legacy USB Support“. Legacy USB Support ist eine BIOS-/UEFI-Funktion, die es ermöglicht, USB-Geräte (z. B. ein Token) zu verwenden, wenn der Computer gestartet wird und das Betriebssystem noch nicht gestartet wurde (BIOS-Modus). Nach dem Start des Betriebssystems beeinflusst die Funktion „Legacy USB Support“ die Unterstützung von USB-Geräten nicht mehr. Ist das Kontrollkästchen aktiviert, so wird die Unterstützung von USB-Geräten zu Beginn des Startvorgangs des Computers aktiviert. Wenn die Funktion „Legacy USB Support“ aktiviert ist, unterstützt der Authentifizierungsagent im BIOS-Modus die Verwendung von USB-Tokens nicht. Die Funktion sollte nur beim Auftreten von Hardware-Kompatibilitätsproblemen verwendet werden und ausschließlich für jene Computer aktiviert werden, auf welchen das Problem aufgetreten ist. |
Einstellungen für Kennwörter | Einstellungen für die Stärke des Kennworts für ein Authentifizierungsagenten-Benutzerkonto Wenn das Verfahren zur Einmalanmeldung verwendet wird, ignoriert der Authentifizierungsagent die Anforderungen an die Kennwortkomplexität, die in Kaspersky Security Center festgelegt sind. Die Anforderungen an die Kennwortkomplexität können Sie in den Betriebssystemeinstellungen festlegen. |
Technologie zur Einmalanmeldung (SSO) verwenden | Die Technologie zur Einmalanmeldung erlaubt es, die gleichen Anmeldedaten für den Zugriff auf verschlüsselte Festplatten und für die Anmeldung am Betriebssystem zu verwenden. Ist das Kontrollkästchen aktiviert, so müssen für den Zugriff auf verschlüsselte Festplatten und für die nachfolgende automatische Anmeldung am Betriebssystem die Anmeldedaten für den Zugriff auf die verschlüsselten Datenträger eingegeben werden. Ist das Kontrollkästchen deaktiviert, so müssen für den Zugriff auf verschlüsselte Festplatten und für die nachfolgende Anmeldung am Betriebssystem die Anmeldedaten für den Zugriff auf verschlüsselte Festplatten und die Anmeldedaten des Benutzers im Betriebssystem separat eingegeben werden. |
Anmeldedaten von Drittanbietern verpacken | Kaspersky Endpoint Security unterstützt den Drittanbieter für Anmeldeinformationen ADSelfService Plus. Bei der Verwendung von Drittanbietern für Anmeldeinformationen fängt der Authentifizierungsagent das Kennwort ab, bevor das Betriebssystem geladen wird: Der Benutzer muss sein Kennwort also nur ein einziges Mal eingeben, und zwar bei der Windows-Anmeldung. Nach der Anmeldung bei Windows kann der Benutzer die Optionen des Drittanbieters für Anmeldeinformationen nutzen, z. B. für die Anmeldung bei Unternehmensdiensten. Drittanbieter für Anmeldeinformationen bieten Benutzern auch die Möglichkeit, ihre Kennwörter unabhängig zurückzusetzen. In diesem Fall aktualisiert Kaspersky Endpoint Security automatisch das Kennwort für den Authentifizierungsagenten. Wenn Sie einen Drittanbieter für Anmeldeinformationen verwenden, der vom Programm nicht unterstützt wird, sind die Funktionen der Einmalanmeldung möglicherweise eingeschränkt. |
Hilfe | Authentifizierung. Hilfetext, der im Fenster des Authentifizierungsagenten angezeigt wird, wenn die Anmeldedaten eingegeben werden. Kennwort ändern. Hilfetext, der im Fenster des Authentifizierungsagenten angezeigt wird, wenn das Kennwort für das Authentifizierungsagenten-Benutzerkonto geändert wird. Kennwort wiederherstellen. Hilfetext, der im Fenster des Authentifizierungsagenten angezeigt wird, wenn das Kennwort für das Authentifizierungsagenten-Benutzerkonto wiederhergestellt wird. |
Einstellungen der Komponente „BitLocker-Laufwerkverschlüsselung”
Einstellung | Beschreibung |
|---|---|
Verschlüsselungsmodus | Alle Festplatten verschlüsseln. Ist dieses Element ausgewählt und die Richtlinie wird übernommen, so verschlüsselt das Programm alle Festplatten. Wenn auf dem Computer mehrere Betriebssysteme installiert sind, können Sie nach der Verschlüsselung nur jenes Betriebssystem ausführen, in welchem das Programm installiert ist. Alle Festplatten entschlüsseln. Ist dieses Element ausgewählt und die Richtlinie wird übernommen, so entschlüsselt das Programm alle zuvor verschlüsselten Festplatten. Nicht verändern. Ist dieses Elements gewählt und die Richtlinie wird übernommen, so verbleiben die Laufwerke in ihrem ursprünglichen Zustand. Wenn das Laufwerk verschlüsselt wurde, bleibt es verschlüsselt. Wenn das Laufwerk entschlüsselt wurde, bleibt es entschlüsselt. Dieses Element ist standardmäßig ausgewählt. |
Verwendung der BitLocker-Authentifizierung aktivieren, die Preboot-Tastatureingaben auf Tablets erfordert | Das Kontrollkästchen aktiviert/deaktiviert die Verwendung der Authentifizierung, bei der eine Preboot-Tastatureingabe erforderlich ist, selbst dann, wenn die Plattform keine Option zur Preboot-Eingabe bietet (beispielsweise bei berührungsempfindlichen Tastaturen auf Tablets). Das Touchpad von Tablets ist in der Preboot-Umgebung nicht verfügbar. Um die BitLocker-Authentifizierung auf Tablets auszuführen, muss der Benutzer beispielsweise eine USB-Tastatur anschließen. Ist das Kontrollkästchen aktiviert, so wird die Verwendung der Authentifizierung erlaubt, wenn sie eine Preboot-Tastatureingabe erfordert. Es wird empfohlen, diese Einstellung nur für Geräte zu verwenden, die während des Preboot-Vorgangs außer berührungsempfindlichen Tastaturen auch Alternativen für die Dateneingabe bieten, wie beispielsweise eine USB-Tastatur. Wenn das Kontrollkästchen deaktiviert ist, ist die BitLocker-Laufwerkverschlüsselung auf Tablets nicht möglich. |
Hardwareverschlüsselung verwenden (Windows 8 und höher) | Ist das Kontrollkästchen aktiviert, so verwendet das Programm die Hardwareverschlüsselung. Dadurch wird erlaubt, die Verschlüsselung zu beschleunigen und die Auslastung der Computerressourcen zu reduzieren. |
Nur belegten Speicherplatz verschlüsseln (Windows 8 und höher) | Das Kontrollkästchen aktiviert/deaktiviert eine Funktion, mit welcher der Verschlüsselungsbereich auf die belegten Sektoren einer Festplatte beschränkt wird. Mit dieser Beschränkung kann die Verschlüsselung beschleunigt werden. Wenn die Funktion Nur belegten Speicherplatz verschlüsseln (reduziert die Verschlüsselungsdauer) nach dem Start der Verschlüsselung aktiviert oder deaktiviert wird, wird die geänderte Einstellung erst wirksam, wenn die Festplatten entschlüsselt werden. Diese Einstellung muss vor dem Start der Verschlüsselung aktiviert oder deaktiviert werden. Ist das Kontrollkästchen aktiviert, so wird nur jener Teil einer Festplatte verschlüsselt, der mit Dateien belegt ist. Neue Daten werden von Kaspersky Endpoint Security automatisch verschlüsselt. Ist das Kontrollkästchen deaktiviert, so wird die gesamte Festplatte verschlüsselt. Dabei werden auch Fragmente von bereits gelöschten oder geänderten Dateien verschlüsselt. Diese Funktion wird für neue Festplatten empfohlen, auf denen bisher noch keine Daten geändert oder gelöscht wurden. Verwenden Sie die Verschlüsselung auf einer Festplatte, die bereits benutzt wurde, so sollte die gesamte Festplatte verschlüsselt werden. So sind alle Daten geschützt, selbst gelöschte Daten, die möglicherweise wiederhergestellt werden können. Dieses Kontrollkästchen ist standardmäßig deaktiviert. |
Authentifizierungsmethode | Nur Kennwort (Windows 8 und höher) Bei Auswahl dieser Variante fragt Kaspersky Endpoint Security beim Benutzer das Kennwort ab, wenn auf das verschlüsselte Laufwerk zugegriffen wird. Diese Variante für die Aktion kann gewählt werden, wenn das Trusted Platform Module (TPM) nicht verwendet wird. Trusted Platform Module (TPM) Bei Auswahl dieser Variante verwendet BitLocker das Trusted Platform Module (TPM). Trusted Platform Module (TPM) ist ein Mikrochip, der grundlegende Sicherheitsfunktionen gewährleistet (z. B. für die Speicherung von Chiffrierschlüsseln). Das Trusted Platform Module wird gewöhnlich auf dem Mainboard des Computers installiert und interagiert über eine Hardwareschnittstelle mit den übrigen Systemkomponenten. Für Computer mit den Betriebssystemen Windows 7 und Windows Server 2008 R2 ist nur die Verschlüsselung unter Verwendung eines TPM-Moduls verfügbar. Wenn kein TPM-Modul installiert ist, ist die BitLocker-Verschlüsselung nicht möglich. Die Verwendung eines Kennworts wird auf diesen Computern nicht unterstützt. Ein Gerät, das mit Trusted Platform Module ausgerüstet ist, kann Chiffrierschlüssel erstellen, die nur seiner Hilfe entschlüsselt werden können. Das Trusted Platform Module verschlüsselt Chiffrierschlüssel mit einem eigenen Storage Root Key. Der Storage Root Key wird im Trusted Platform Module aufbewahrt. Dadurch wird für die Chiffrierschlüssel ein zusätzlicher Schutz vor Angriffsversuchen gewährleistet. Diese Aktion ist standardmäßig ausgewählt. Sie können eine zusätzliche Schutzebene für den Zugriff auf den Chiffrierschlüssel einrichten und den Schlüssel mit einem Kennwort oder einer PIN verschlüsseln:
|