Vollständige Festplattenverschlüsselung mithilfe der Technologie BitLocker-Laufwerkverschlüsselung
Es wird empfohlen, vor dem Start der vollständigen Festplattenverschlüsselung sicherzustellen, dass der Computer nicht infiziert ist. Starten Sie dazu eine vollständige Untersuchung oder eine Untersuchung der wichtigen Computerbereiche. Die vollständige Festplattenverschlüsselung auf einem Computer, der von einem Rootkit infiziert ist, kann zur Funktionsuntüchtigkeit des Computers führen.
Damit die BitLocker-Laufwerkverschlüsselung auf Computern mit einem Server-Betriebssystem einwandfrei funktioniert, kann es erforderlich sein, die Komponente BitLocker-Laufwerkverschlüsselung mithilfe des Assistenten zum Hinzufügen von Rollen zu installieren.
Um die BitLocker-Laufwerkverschlüsselung zu verwenden, gehen Sie wie folgt vor:
Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
Öffnen Sie in der Verwaltungskonsolenstruktur im Ordner Verwaltete Geräte den Ordner mit dem Namen der Administrationsgruppe, zu welcher die betreffenden Client-Computer gehören.
Wählen Sie im Arbeitsbereich die Registerkarte Richtlinien aus.
Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
Wählen Sie im Richtlinienfenster Datenverschlüsselung → Vollständige Festplattenverschlüsselung aus.
Wählen Sie in der Dropdown-Liste Verschlüsselungstechnologie das Element BitLocker-Laufwerkverschlüsselung aus.
Wählen Sie in der Dropdown-Liste Verschlüsselungsmodus den das Element Alle Festplatten verschlüsseln aus.
Wenn auf dem Computer mehrere Betriebssysteme installiert sind, können Sie nach der Verschlüsselung nur jenes Betriebssystem ausführen, in welchem die Verschlüsselung ausgeführt wurde.
Wenn Sie die BitLocker-Authentifizierung in der Preboot-Umgebung auf Tablets aktivieren möchten, aktivieren Sie das Kontrollkästchen Verwendung der BitLocker-Authentifizierung aktivieren, die Preboot-Tastatureingaben auf Tablets erfordert.
Das Touchpad von Tablets ist in der Preboot-Umgebung nicht verfügbar. Um die BitLocker-Authentifizierung auf Tablets auszuführen, muss der Benutzer beispielsweise eine USB-Tastatur anschließen.
Wenn Sie die Hardwareverschlüsselung verwenden möchten, aktivieren Sie das Kontrollkästchen Hardwareverschlüsselung verwenden. Dadurch wird erlaubt, die Verschlüsselung zu beschleunigen und die Auslastung der Computerressourcen zu reduzieren.
Wählen Sie eine der folgenden Verschlüsselungsmethoden:
Damit nur die Festplattensektoren verschlüsselt werden, die mit Dateien belegt sind, aktivieren Sie das Kontrollkästchen Nur belegten Speicherplatz verschlüsseln.
Damit die gesamte Festplatte verschlüsselt wird, deaktivieren Sie das Kontrollkästchen Nur belegten Speicherplatz verschlüsseln.
Diese Funktion kann nur für unverschlüsselte Festplatten verwendet werden. Wurde eine Festplatte zuvor mit der Funktion Nur belegten Speicherplatz verschlüsseln verschlüsselt, so werden Sektoren, die nicht mit Dateien belegt sind, auch dann weiterhin nicht verschlüsselt, nachdem eine Richtlinie im Modus Alle Festplatten verschlüsseln übernommen wurde.
Wählen Sie eine Methode für die Freigabe von Festplatten, die mithilfe von BitLocker verschlüsselt sind:
Wenn Sie das TPM-Modul verwenden möchten, um Chiffrierschlüssel zu speichern, wählen Sie die Variante Trusted Platform Module (TPM) verwenden aus.
Trusted Platform Module (TPM) ist ein Mikrochip, der grundlegende Sicherheitsfunktionen gewährleistet (z. B. für die Speicherung von Chiffrierschlüsseln). Das Trusted Platform Module wird gewöhnlich auf dem Mainboard des Computers installiert und interagiert über eine Hardwareschnittstelle mit den übrigen Systemkomponenten.
Wenn Sie das TPM-Modul nicht für die vollständige Festplattenverschlüsselung verwenden, wählen Sie die Variante Kennwort verwenden aus und geben Sie im Feld Mindestlänge des Kennworts an, wie lang das Kennwort mindestens sein muss.
Für Computer mit den Betriebssystemen Windows 7 und Windows Server 2008 R2 ist nur die Verschlüsselung unter Verwendung eines TPM-Moduls verfügbar. Wenn kein TPM-Modul installiert ist, ist die BitLocker-Verschlüsselung nicht möglich. Die Verwendung eines Kennworts wird auf diesen Computern nicht unterstützt.
Wenn Sie beim vorherigen Schritt die Variante Trusted Platform Module (TPM) verwenden gewählt haben, gehen Sie wie folgt vor:
Wenn Sie einen PIN-Code festlegen möchten, nach dem der Benutzer gefragt wird, wenn er versucht, auf einen Chiffrierschlüssel zuzugreifen, aktivieren Sie das Kontrollkästchen PIN-Code verwenden und geben Sie im Feld Mindestlänge des PIN-Codes an, wie viele Ziffern der PIN-Code mindestens enthalten muss.
Wenn Sie möchten, dass der Zugriff auf verschlüsselte Festplatten mithilfe eines Kennworts möglich ist, falls auf dem Computer kein TPM-Modul vorhanden ist, so aktivieren Sie das Kontrollkästchen Kennwort verwenden, wenn Trusted Platform Module (TPM) nicht verfügbar ist und geben Sie im Feld Mindestlänge des Kennworts an, wie lang das Kennwort mindestens sein muss.
In dieser Situation erfolgt der Zugriff auf Chiffrierschlüssel mithilfe des festgelegten Kennworts auf die gleiche Weise, wie wenn das Kontrollkästchen Kennwort verwenden aktiviert ist.
Wenn das Kontrollkästchen Kennwort verwenden, wenn Trusted Platform Module (TPM) nicht verfügbar ist deaktiviert ist und kein TPM-Modul verfügbar ist, wird die vollständige Festplattenverschlüsselung nicht gestartet.
Speichern Sie die vorgenommenen Änderungen.
Nachdem die Richtlinie auf einem Client-Computer übernommen wurde, auf dem das Programm Kaspersky Endpoint Security installiert ist, erscheinen folgende Abfragen:
Wenn in der Richtlinie für Kaspersky Security Center die Verschlüsselung der Systemfestplatte festgelegt ist:
Bei Vorhandensein des TPM-Moduls erscheint ein Abfragefenster für den PIN-Code.
Wenn kein TPM-Modul vorhanden ist, erscheint ein Abfragefenster für das Kennwort für die Preboot-Authentifizierung.
Ist im Betriebssystem der FIPS-Kompatibilitätsmodus (Federal Information Processing Standard) aktiviert, so erscheint in den Betriebssystemen Windows 8 und in älteren Versionen ein Abfragefenster zur Verbindung eines Massenspeichergerätes für die Speicherung der Wiederherstellungsschlüsseldatei. Sie können auf einem Speichergerät mehrere Dateien mit Wiederherstellungsschlüsseln speichern.