Sie können ein Verschlüsselungsverfahren auswählen: Kaspersky-Festplattenverschlüsselung oder BitLocker-Laufwerkverschlüsselung (im Folgenden auch "BitLocker" genannt).
Kaspersky-Festplattenverschlüsselung
Nach der Verschlüsselung von Systemfestplatten und einem nachfolgenden Neustart des Computers, sind der Zugriff auf die Festplatten und das Laden des Betriebssystems erst möglich, nachdem der Benutzer sich mithilfe des Authentifizierungsagenten authentifiziert hat. Dazu ist entweder die Eingabe des Kennworts für den Token oder die Smartcard, die mit dem Computer verbunden sind, oder die Eingabe des Namens und Kennworts für das Authentifizierungsagenten-Benutzerkonto erforderlich, das vom Systemadministrator des lokalen Unternehmensnetzwerks mithilfe der Aufgabe Benutzerkonten des Authentifizierungsagenten verwalten erstellt wurde. Diese Konten basieren auf den Benutzerkonten von Microsoft Windows, mit denen sich die Benutzer im Betriebssystem anmelden. Sie können auch das Verfahren zur Einmalanmeldung (SSO, Single Sign-On) nutzen. Es ermöglicht eine automatische Anmeldung im Betriebssystem mit dem Benutzernamen und dem Kennwort des Authentifizierungsagenten-Benutzerkontos.
Es gibt zwei Methoden, mit denen sich der Benutzer im Authentifizierungsagenten authentifizieren kann:
Ein Token oder eine Smartcard kann nur verwendet werden, wenn die Festplatten des Computers mithilfe des AES256-Verschlüsselungsalgorithmus verschlüsselt sind. Sind die Festplatten des Computers mithilfe des AES56-Verschlüsselungsalgorithmus verschlüsselt, so kann dem Befehl keine elektronische Zertifikatdatei hinzugefügt werden.
BitLocker-Laufwerkverschlüsselung
Die Technologie BitLocker ist Bestandteil des Betriebssystems Windows. Wenn ein Computer mit Trusted Platform Module (TPM) ausgerüstet ist, verwendet BitLocker das TPM zur Speicherung von Wiederherstellungsschlüsseln, die zur Freigabe verschlüsselter Festplatten dienen. Beim Hochfahren des Computers fragt BitLocker bei Trusted Platform Module die Wiederherstellungsschlüssel für die Festplatte ab und entsperrt die Festplatte. Sie können die Verwendung eines Kennworts und/oder eines PIN-Codes für den Zugriff auf die Wiederherstellungsschlüssel festlegen.
Einstellungen der Komponente "Kaspersky-Festplattenverschlüsselung"
Einstellung |
Beschreibung |
|---|---|
Verschlüsselungsmodus |
Alle Festplatten verschlüsseln. Ist dieses Element ausgewählt und die Richtlinie wird übernommen, so verschlüsselt das Programm alle Festplatten. Wenn auf dem Computer mehrere Betriebssysteme installiert sind, können Sie nach der Verschlüsselung nur jenes Betriebssystem ausführen, in welchem das Programm installiert ist. Alle Festplatten entschlüsseln. Ist dieses Element ausgewählt und die Richtlinie wird übernommen, so entschlüsselt das Programm alle zuvor verschlüsselten Festplatten. Nicht verändern. Ist dieses Elements gewählt und die Richtlinie wird übernommen, so verbleiben die Laufwerke in ihrem ursprünglichen Zustand. Wenn ein Laufwerk verschlüsselt war, so bleibt es verschlüsselt, und wenn ein Laufwerk entschlüsselt war, so bleibt es entschlüsselt. Dieses Element gilt als Standard. |
Authentifizierungsagenten-Konten automatisch erstellen für die Benutzer |
Das Kontrollkästchen aktiviert/deaktiviert die automatische Erstellung von Benutzerkonten für den Authentifizierungsagenten, wenn die Richtlinie übernommen wird. Kaspersky Endpoint Security erstellt auf Basis der Windows-Konten eine Liste der Authentifizierungsagenten-Benutzerkonten. Kaspersky Endpoint Security verwendet standardmäßig alle lokalen und Domänen-Benutzerkonten, mit denen sich der Benutzer in den letzten 30 Tagen am Betriebssystem angemeldet hat. |
Einstellungen für das Erstellen von Benutzerkonten für den Authentifizierungsagenten |
Alle Benutzerkonten des Computers. Ist das Kontrollkästchen aktiviert, so erstellt Kaspersky Endpoint Security im Rahmen der Aufgabe zur vollständigen Festplattenverschlüsselung Authentifizierungsagenten-Benutzerkonten für alle Benutzerkonten des Computers, die schon einmal aktiv waren. Alle Domänenkonten des Computers. Ist das Kontrollkästchen aktiviert, so erstellt Kaspersky Endpoint Security im Rahmen der Aufgabe zur vollständigen Festplattenverschlüsselung Authentifizierungsagenten-Benutzerkonten für alle Benutzerkonten des Computers, die zu einer Domäne gehören und schon einmal aktiv waren. Alle lokalen Benutzerkonten des Computers. Ist das Kontrollkästchen aktiviert, so erstellt Kaspersky Endpoint Security im Rahmen der Aufgabe zur vollständigen Festplattenverschlüsselung Authentifizierungsagenten-Benutzerkonten für alle lokalen Benutzerkonten des Computers, die schon einmal aktiv waren. Lokaler Administrator. Ist das Kontrollkästchen aktiviert, so erstellt Kaspersky Endpoint Security im Rahmen der Aufgabe zur vollständigen Festplattenverschlüsselung ein Benutzerkonto für den lokalen Administrator. Manager des Computers. Wenn das Kontrollkästchen aktiviert ist, erstellt Kaspersky Endpoint Security im Rahmen der Aufgabe zur vollständigen Festplattenverschlüsselung ein Authentifizierungsagenten-Benutzerkonto für jenes Benutzerkonto, das in den Active Directory-Eigenschaften als Manager angegeben ist. Aktives Benutzerkonto. Ist das Kontrollkästchen aktiviert ist, so erstellt Kaspersky Endpoint Security im Rahmen der Aufgabe zur vollständigen Festplattenverschlüsselung automatisch ein Authentifizierungsagenten-Benutzerkonto für das Benutzerkonto des Computers, das bei der Aufgabenausführung aktiv ist. |
Benutzernamen speichern, der im Authentifizierungsagenten eingegeben wurde |
Wenn das Kontrollkästchen aktiviert ist, speichert das Programm den Namen des Authentifizierungsagenten-Kontos. Wenn im Authentifizierungsagenten das nächste Mal eine Authentifizierung mit demselben Benutzerkonto erfolgt, muss der Benutzername nicht eingegeben werden. |
Nur belegten Speicherplatz verschlüsseln |
Das Kontrollkästchen aktiviert/deaktiviert eine Funktion, mit welcher der Verschlüsselungsbereich auf die belegten Sektoren einer Festplatte beschränkt wird. Mit dieser Beschränkung kann die Verschlüsselung beschleunigt werden. Wenn die Funktion Nur belegten Speicherplatz verschlüsseln nach dem Start der Verschlüsselung aktiviert/deaktiviert wird, so bleibt diese Einstellung so lange unverändert, bis die Festplatten entschlüsselt werden. Diese Einstellung muss vor dem Start der Verschlüsselung aktiviert oder deaktiviert werden. Ist das Kontrollkästchen aktiviert, so wird nur jener Teil einer Festplatte verschlüsselt, der mit Dateien belegt ist. Neue Daten werden von Kaspersky Endpoint Security automatisch verschlüsselt. Ist das Kontrollkästchen deaktiviert, so wird die gesamte Festplatte verschlüsselt. Dabei werden auch Fragmente von bereits gelöschten oder geänderten Dateien verschlüsselt. Diese Funktion wird für neue Festplatten empfohlen, auf denen bisher noch keine Daten geändert oder gelöscht wurden. Verwenden Sie die Verschlüsselung auf einer Festplatte, die bereits benutzt wurde, so sollte die gesamte Festplatte verschlüsselt werden. So sind alle Daten geschützt, selbst gelöschte Daten, die möglicherweise wiederhergestellt werden können. Dieses Kontrollkästchen ist standardmäßig deaktiviert. |
"Legacy USB Support" verwenden |
Das Kontrollkästchen aktiviert/deaktiviert die Funktion "Legacy USB Support". Legacy USB Support ist eine BIOS-/UEFI-Funktion, die es ermöglicht, USB-Geräte (z. B. ein Token) zu verwenden, wenn der Computer gestartet wird und das Betriebssystem noch nicht gestartet wurde (BIOS-Modus). Nach dem Start des Betriebssystems beeinflusst die Funktion "Legacy USB Support" die Unterstützung von USB-Geräten nicht mehr. Ist das Kontrollkästchen aktiviert, so wird die Unterstützung von USB-Geräten zu Beginn des Startvorgangs des Computers aktiviert. Wenn die Funktion "Legacy USB Support" aktiviert ist, unterstützt der Authentifizierungsagent im BIOS-Modus die Verwendung von USB-Tokens nicht. Die Funktion sollte nur beim Auftreten von Hardware-Kompatibilitätsproblemen verwendet werden und ausschließlich für jene Computer aktiviert werden, auf welchen das Problem aufgetreten ist. |
Einstellungen für Kennwörter |
Einstellungen für die Stärke des Kennworts für ein Authentifizierungsagenten-Benutzerkonto Sie können auch die Verwendung des Verfahrens zur Einmalanmeldung (SSO) aktivieren. Die Technologie zur Einmalanmeldung erlaubt es, die gleichen Anmeldedaten für den Zugriff auf verschlüsselte Festplatten und für die Anmeldung am Betriebssystem zu verwenden. Ist das Kontrollkästchen aktiviert, so müssen für den Zugriff auf verschlüsselte Festplatten und für die nachfolgende automatische Anmeldung am Betriebssystem die Anmeldedaten für den Zugriff auf die verschlüsselten Datenträger eingegeben werden. Ist das Kontrollkästchen deaktiviert, so müssen für den Zugriff auf verschlüsselte Festplatten und für die nachfolgende Anmeldung am Betriebssystem die Anmeldedaten für den Zugriff auf verschlüsselte Festplatten und die Anmeldedaten des Benutzers im Betriebssystem separat eingegeben werden. |
Hilfetexte |
Authentifizierung. Hilfetext, der im Fenster des Authentifizierungsagenten angezeigt wird, wenn die Anmeldedaten eingegeben werden. Kennwort ändern. Hilfetext, der im Fenster des Authentifizierungsagenten angezeigt wird, wenn das Kennwort für das Authentifizierungsagenten-Benutzerkonto geändert wird. Kennwort wiederherstellen. Hilfetext, der im Fenster des Authentifizierungsagenten angezeigt wird, wenn das Kennwort für das Authentifizierungsagenten-Benutzerkonto wiederhergestellt wird. |
Einstellungen der Komponente "BitLocker-Laufwerkverschlüsselung"
Einstellung |
Beschreibung |
|---|---|
Verschlüsselungsmodus |
Alle Festplatten verschlüsseln. Ist dieses Element ausgewählt und die Richtlinie wird übernommen, so verschlüsselt das Programm alle Festplatten. Wenn auf dem Computer mehrere Betriebssysteme installiert sind, können Sie nach der Verschlüsselung nur jenes Betriebssystem ausführen, in welchem das Programm installiert ist. Alle Festplatten entschlüsseln. Ist dieses Element ausgewählt und die Richtlinie wird übernommen, so entschlüsselt das Programm alle zuvor verschlüsselten Festplatten. Nicht verändern. Ist dieses Elements gewählt und die Richtlinie wird übernommen, so verbleiben die Laufwerke in ihrem ursprünglichen Zustand. Wenn ein Laufwerk verschlüsselt war, so bleibt es verschlüsselt, und wenn ein Laufwerk entschlüsselt war, so bleibt es entschlüsselt. Dieses Element gilt als Standard. |
Verwendung der BitLocker-Authentifizierung aktivieren, die Preboot-Tastatureingaben auf Tablets erfordert |
Das Kontrollkästchen aktiviert/deaktiviert die Verwendung der Authentifizierung, bei der eine Preboot-Tastatureingabe erforderlich ist, selbst dann, wenn die Plattform keine Option zur Preboot-Eingabe bietet (beispielsweise bei berührungsempfindlichen Tastaturen auf Tablets). Ist das Kontrollkästchen aktiviert, so wird die Verwendung der Authentifizierung erlaubt, wenn sie eine Preboot-Tastatureingabe erfordert. Es wird empfohlen, diese Einstellung nur für Geräte zu verwenden, die während des Preboot-Vorgangs außer berührungsempfindlichen Tastaturen auch Alternativen für die Dateneingabe bieten, wie beispielsweise eine USB-Tastatur. |
Hardwareverschlüsselung verwenden |
Ist das Kontrollkästchen aktiviert, so verwendet das Programm die Hardwareverschlüsselung. Dadurch wird erlaubt, die Verschlüsselung zu beschleunigen und die Auslastung der Computerressourcen zu reduzieren. |
Nur belegten Speicherplatz verschlüsseln |
Das Kontrollkästchen aktiviert/deaktiviert eine Funktion, mit welcher der Verschlüsselungsbereich auf die belegten Sektoren einer Festplatte beschränkt wird. Mit dieser Beschränkung kann die Verschlüsselung beschleunigt werden. Wenn die Funktion Nur belegten Speicherplatz verschlüsseln nach dem Start der Verschlüsselung aktiviert/deaktiviert wird, so bleibt diese Einstellung so lange unverändert, bis die Festplatten entschlüsselt werden. Diese Einstellung muss vor dem Start der Verschlüsselung aktiviert oder deaktiviert werden. Ist das Kontrollkästchen aktiviert, so wird nur jener Teil einer Festplatte verschlüsselt, der mit Dateien belegt ist. Neue Daten werden von Kaspersky Endpoint Security automatisch verschlüsselt. Ist das Kontrollkästchen deaktiviert, so wird die gesamte Festplatte verschlüsselt. Dabei werden auch Fragmente von bereits gelöschten oder geänderten Dateien verschlüsselt. Diese Funktion wird für neue Festplatten empfohlen, auf denen bisher noch keine Daten geändert oder gelöscht wurden. Verwenden Sie die Verschlüsselung auf einer Festplatte, die bereits benutzt wurde, so sollte die gesamte Festplatte verschlüsselt werden. So sind alle Daten geschützt, selbst gelöschte Daten, die möglicherweise wiederhergestellt werden können. Dieses Kontrollkästchen ist standardmäßig deaktiviert. |
Authentifizierungseinstellungen |
Trusted Platform Module (TPM) verwenden. Bei Auswahl dieser Variante verwendet BitLocker das Trusted Platform Module (TPM). Trusted Platform Module (TPM) ist ein Mikrochip, der grundlegende Sicherheitsfunktionen gewährleistet (z. B. für die Speicherung von Chiffrierschlüsseln). Das Trusted Platform Module wird gewöhnlich auf dem Mainboard des Computers installiert und interagiert über eine Hardwareschnittstelle mit den übrigen Systemkomponenten. Ein Gerät, das mit Trusted Platform Module ausgerüstet ist, kann Chiffrierschlüssel erstellen, die nur seiner Hilfe entschlüsselt werden können. Das Trusted Platform Module verschlüsselt Chiffrierschlüssel mit einem eigenen Storage Root Key. Der Storage Root Key wird im Trusted Platform Module aufbewahrt. Dadurch wird für die Chiffrierschlüssel ein zusätzlicher Schutz vor Angriffsversuchen gewährleistet. Diese Aktion gilt als Standard. Sie können die Einstellungen für den Zugriff auf den Chiffrierschlüssel anpassen:
|