Verschlüsselung von Festplatten mithilfe des Verfahrens BitLocker-Laufwerkverschlüsselung
Es wird empfohlen, vor einer Verschlüsselung von Computerfestplatten sicherzustellen, dass der Computer nicht infiziert ist. Dazu muss eine vollständige Untersuchung oder eine Untersuchung der wichtigen Computerbereiche gestartet werden. Die Verschlüsselung einer Computerfestplatte, die von einem Rootkit infiziert ist, kann es zur Funktionsuntüchtigkeit des Computers führen.
Damit die BitLocker-Laufwerkverschlüsselung auf Computern mit einem Server-Betriebssystem einwandfrei funktioniert, kann es erforderlich sein, die Komponente BitLocker-Laufwerkverschlüsselung mithilfe des Assistenten zum Hinzufügen von Rollen zu installieren.
Um Festplatten mithilfe des Verfahrens BitLocker-Laufwerkverschlüsselung zu verschlüsseln, gehen Sie wie folgt vor:
Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
Öffnen Sie in der Verwaltungskonsolenstruktur im Ordner Verwaltete Geräte den Ordner mit dem Namen der Administrationsgruppe, für welche Sie die Verschlüsselung von Festplatten anpassen möchten.
Wählen Sie im Arbeitsbereich die Registerkarte Richtlinien aus.
Wählen Sie die gewünschte Richtlinie aus.
Öffnen Sie das Fenster Eigenschaften: <Name der Richtlinie>. Dafür gibt es folgende Methoden:
Wählen Sie im Kontextmenü der Richtlinie den Punkt Eigenschaften aus.
Klicken Sie auf den Link Richtlinieneinstellungen anpassen, der sich rechts im Arbeitsbereich der Verwaltungskonsole befindet.
Wählen Sie im Abschnitt Datenverschlüsselung den Unterabschnitt Festplatten verschlüsseln.
Wählen Sie in der Dropdown-Liste Verschlüsselungstechnologie die Variante BitLocker-Laufwerkverschlüsselung.
Wählen Sie in der Dropdown-Liste Verschlüsselungsmodus den Punkt Alle Festplatten verschlüsseln.
Wenn Sie für die Informationseingabe in der Preboot-Umgebung eine Bildschirmtastatur verwenden möchten, aktivieren Sie das Kontrollkästchen Verwendung der Authentifizierung erlauben, die Preboot-Tastatureingaben auf Tablets erfordert.
Es wird empfohlen, diese Einstellung nur für Geräte zu verwenden, die während des Startvorgangs auch alternative Mittel für die Dateneingabe bieten, wie beispielsweise eine USB-Tastatur.
Wählen Sie einen der folgenden Verschlüsselungstypen:
Wenn Sie die Hardwareverschlüsselung verwenden möchten, aktivieren Sie das Kontrollkästchen Hardwareverschlüsselung verwenden.
Wenn Sie die softwarebasierte Verschlüsselung verwenden möchten, deaktivieren Sie das Kontrollkästchen Hardwareverschlüsselung verwenden.
Wählen Sie eine der folgenden Verschlüsselungsmethoden:
Damit nur die Festplattensektoren verschlüsselt werden, die mit Dateien belegt sind, aktivieren Sie das Kontrollkästchen Nur belegten Speicherplatz verschlüsseln.
Damit die gesamte Festplatte verschlüsselt wird, deaktivieren Sie das Kontrollkästchen Nur belegten Speicherplatz verschlüsseln.
Diese Funktion kann nur für unverschlüsselte Geräte verwendet werden. Wenn ein Gerät zuvor mit der Funktion Nur belegten Speicherplatz verschlüsseln verschlüsselt wurde, so werden Sektoren, die nicht mit Dateien belegt sind, auch dann weiterhin nicht verschlüsselt, nachdem eine Richtlinie im Modus Alle Festplatten verschlüsseln übernommen wurde.
Wählen Sie eine Methode für die Freigabe von Festplatten, die mithilfe von BitLocker verschlüsselt sind:
Wenn Sie zur Speicherung von Chiffrierschlüsseln ein Trusted Platform Module (TPM) verwenden möchten, wählen Sie die Variante Trusted Platform Module (TPM) verwenden.
Mikrochip, der grundlegende Sicherheitsfunktionen gewährleistet (z. B. für die Speicherung von Chiffrierschlüsseln). Das Trusted Platform Module wird gewöhnlich auf dem Mainboard des Computers installiert und interagiert über eine Hardwareschnittstelle mit den übrigen Systemkomponenten.
Wenn Sie kein Trusted Platform Module (TPM) für die Festplattenverschlüsselung verwenden, wählen Sie die Variante Kennwort verwenden und geben Sie im Feld Mindestlänge des Kennworts an, wie viele Zeichen das Kennwort mindestens enthalten muss.
Für die Betriebssysteme Windows 7 und Windows 2008 R2 sowie für ältere Versionen ist das Vorhandensein eines Trusted Platform Module (TPM) obligatorisch.
Wenn Sie beim vorherigen Schritt die Variante Trusted Platform Module (TPM) verwenden gewählt haben, gehen Sie wie folgt vor:
Wenn Sie einen PIN-Code festlegen möchten, nach dem der Benutzer gefragt wird, wenn er versucht, auf einen Chiffrierschlüssel zuzugreifen, aktivieren Sie das Kontrollkästchen PIN-Code verwenden und geben Sie im Feld Mindestlänge des PIN-Codes an, wie viele Ziffern der PIN-Code mindestens enthalten muss.
Wenn Sie möchten, dass der Zugriff auf verschlüsselte Festplatten mithilfe eines Kennworts möglich ist, falls auf dem Computer kein Trusted Platform Module vorhanden ist, so aktivieren Sie das Kontrollkästchen Kennwort verwenden, wenn Trusted Platform Module (TPM) nicht verfügbar ist und geben Sie im Feld Mindestlänge des Kennworts an, wie viele Zeichen das Kennwort mindestens enthalten muss.
In dieser Situation erfolgt der Zugriff auf Chiffrierschlüssel mithilfe des festgelegten Kennworts auf die gleiche Weise, wie wenn das Kontrollkästchen Kennwort verwenden aktiviert ist.
Wenn das Kontrollkästchen Kennwort verwenden, wenn Trusted Platform Module (TPM) nicht verfügbar ist deaktiviert ist und kein Trusted Platform Module verfügbar ist, wird die Festplattenverschlüsselung nicht gestartet.
Klicken Sie auf OK, um die Änderungen zu speichern.
Wenden Sie die Richtlinie an.
Ausführliche Informationen zum Übernehmen der Richtlinie für Kaspersky Security Center finden Sie im Administratorhandbuch zu Kaspersky Security Center.
Nachdem die Richtlinie auf einem Client-Computer übernommen wurde, auf dem das Programm Kaspersky Endpoint Security installiert ist, erscheinen folgende Abfragen:
Wird die Verschlüsselungsrichtlinie für eine Systemfestplatte übernommen, so bestehen zwei Möglichkeiten: Es erscheint entweder ein Abfragefenster für den PIN-Code, falls ein Trusted Platform Module verwendet wird, oder es erscheint ein Abfragefenster für die Preboot-Authentifizierung, falls kein TPM vorhanden ist.
Ist im Betriebssystem der FIPS-Kompatibilitätsmodus (Federal Information Processing Standard) aktiviert, so erscheint in den Betriebssystemen Windows 8 und höher ein Abfragefenster zur Verbindung eines USB-Geräts für die Speicherung der Wiederherstellungsschlüsseldatei.
Besteht kein Zugriff auf die Chiffrierschlüssel, so kann der Benutzer beim Administrator des lokalen Unternehmensnetzwerks einen Wiederherstellungsschlüssel anfordern (falls der Wiederherstellungsschlüssel zuvor nicht auf einem USB-Gerät gespeichert wurde oder falls der Schlüssel verloren gegangen ist).