Es wird empfohlen, vor dem Start der vollständigen Festplattenverschlüsselung sicherzustellen, dass der Computer nicht infiziert ist. Starten Sie dazu eine vollständige Untersuchung oder eine Untersuchung der wichtigen Computerbereiche. Die vollständige Festplattenverschlüsselung auf einem Computer, der von einem Rootkit infiziert ist, kann zur Funktionsuntüchtigkeit des Computers führen.
Bevor Sie die Festplattenverschlüsselung starten, müssen Sie die Einstellungen der Authentifizierungsagenten-Konten überprüfen. Der Authentifizierungsagent wird benötigt, um mit Datenträgern zu arbeiten, die mithilfe der Technologie Kaspersky-Festplattenverschlüsselung (FDE) verschlüsselt sind. Der Benutzer muss vor dem Start des Betriebssystems die Authentifizierung mithilfe des Agenten durchlaufen. In Kaspersky Endpoint Security können vor der Datenträgerverschlüsselung automatisch Authentifizierungsagenten-Benutzerkonten erstellt werden. Das automatische Erstellen von Authentifizierungsagenten-Konten können Sie in den Einstellungen der Richtlinie für die vollständige Festplattenverschlüsselung aktivieren (siehe folgende Anleitung). Sie können auch das Verfahren zur Einmalanmeldung (SSO) verwenden.
Mit Kaspersky Endpoint Security können Sie automatisch einen Authentifizierungsagenten für die folgenden Benutzergruppen erstellen:
ServiceAccount
). Kaspersky Endpoint Security erstellt automatisch ein Kennwort. Das Kennwort finden Sie in der Kaspersky Security Center-Konsole.Die Einstellungen für die Authentifizierung von Benutzern können mit der Aufgabe Authentifizierungsagenten-Konten verwalten angepasst werden. Sie können diese Aufgabe verwenden, um neue Benutzerkonten hinzuzufügen, die Einstellungen bestehender Benutzerkonten zu ändern oder Benutzerkonten zu entfernen. Sie können sowohl lokale Aufgaben für einzelne Computer als auch Gruppenaufgaben für Computer aus bestimmten Administrationsgruppen oder für bestimmte Computer verwenden.
So führen Sie die Kaspersky-Festplattenverschlüsselung über die Verwaltungskonsole (MMC) aus
Mit dem Tool „Encryption Monitor“ können Sie den Vorgang der Festplattenverschlüsselung und -entschlüsselung auf dem Computer eines Benutzers steuern. Das Tool "Encryption Monitor" kann über das Programmhauptfenster ausgeführt werden.
Verschlüsselungsmonitor
Sind die Systemfestplatten verschlüsselt, so wird vor dem Laden des Betriebssystems der Authentifizierungsagent geladen. Authentifizieren Sie sich mithilfe des Authentifizierungsagenten, damit die verschlüsselten Systemfestplatten freigegeben werden und das Betriebssystem hochgefahren wird. Nach erfolgreicher Authentifizierung wird das Betriebssystem hochgefahren. Bei jedem nachfolgenden Neustart des Betriebssystems ist eine erneute Authentifizierung erforderlich.
Einstellungen der Komponente „Kaspersky-Festplattenverschlüsselung”
Einstellung |
Beschreibung |
---|---|
Während der Verschlüsselung automatisch Authentifizierungsagenten-Konten für Benutzer auf diesem Computer erstellen |
Wenn dieses Kontrollkästchen aktiviert ist, erstellt das Programm Benutzerkonten des Authentifizierungsagenten basierend auf der Liste der Windows-Benutzerkonten auf dem Computer. Kaspersky Endpoint Security verwendet standardmäßig alle lokalen und Domänen-Benutzerkonten, mit denen sich der Benutzer in den letzten 30 Tagen am Betriebssystem angemeldet hat. |
Bei der Anmeldung die Authentifizierungsagenten-Konten für alle Benutzer dieses Computers automatisch erstellen |
Wenn dieses Kontrollkästchen aktiviert ist, überprüft das Programm Informationen zu Windows-Benutzerkonten auf dem Computer, bevor der Authentifizierungsagent gestartet wird. Wenn Kaspersky Endpoint Security ein Windows-Benutzerkonto erkennt, das kein Benutzerkonto des Authentifizierungsagenten besitzt, erstellt das Programm ein neues Konto für den Zugriff auf verschlüsselte Laufwerke. Das neue Benutzerkonto des Authentifizierungsagenten verfügt über die folgenden Standardeinstellungen: nur kennwortgeschützte Anmeldung, Kennwortänderung bei der ersten Authentifizierung. Es ist also nicht nötig, für Computer mit bereits verschlüsselten Laufwerken mithilfe der Aufgabe Authentifizierungsagenten-Konten verwalten manuell Authentifizierungsagenten-Benutzerkonten hinzuzufügen. |
Benutzername speichern, der im Authentifizierungsagenten eingegeben wurde |
Wenn das Kontrollkästchen aktiviert ist, speichert das Programm den Namen des Authentifizierungsagenten-Kontos. Wenn im Authentifizierungsagenten das nächste Mal eine Authentifizierung mit demselben Benutzerkonto erfolgt, muss der Benutzername nicht eingegeben werden. |
Nur belegten Speicherplatz verschlüsseln (reduziert die Verschlüsselungsdauer) |
Das Kontrollkästchen aktiviert/deaktiviert eine Funktion, mit welcher der Verschlüsselungsbereich auf die belegten Sektoren einer Festplatte beschränkt wird. Mit dieser Beschränkung kann die Verschlüsselung beschleunigt werden. Wenn die Funktion Nur belegten Speicherplatz verschlüsseln (reduziert die Verschlüsselungsdauer) nach dem Start der Verschlüsselung aktiviert oder deaktiviert wird, wird die geänderte Einstellung erst wirksam, wenn die Festplatten entschlüsselt werden. Diese Einstellung muss vor dem Start der Verschlüsselung aktiviert oder deaktiviert werden. Ist das Kontrollkästchen aktiviert, so wird nur jener Teil einer Festplatte verschlüsselt, der mit Dateien belegt ist. Neue Daten werden von Kaspersky Endpoint Security automatisch verschlüsselt. Ist das Kontrollkästchen deaktiviert, so wird die gesamte Festplatte verschlüsselt. Dabei werden auch Fragmente von bereits gelöschten oder geänderten Dateien verschlüsselt. Diese Funktion wird für neue Festplatten empfohlen, auf denen bisher noch keine Daten geändert oder gelöscht wurden. Verwenden Sie die Verschlüsselung auf einer Festplatte, die bereits benutzt wurde, so sollte die gesamte Festplatte verschlüsselt werden. So sind alle Daten geschützt, selbst gelöschte Daten, die möglicherweise wiederhergestellt werden können. Dieses Kontrollkästchen ist standardmäßig deaktiviert. |
Legacy USB Support verwenden (nicht empfohlen) |
Das Kontrollkästchen aktiviert/deaktiviert die Funktion „Legacy USB Support“. Legacy USB Support ist eine BIOS-/UEFI-Funktion, die es ermöglicht, USB-Geräte (z. B. ein Token) zu verwenden, wenn der Computer gestartet wird und das Betriebssystem noch nicht gestartet wurde (BIOS-Modus). Nach dem Start des Betriebssystems beeinflusst die Funktion „Legacy USB Support“ die Unterstützung von USB-Geräten nicht mehr. Ist das Kontrollkästchen aktiviert, so wird die Unterstützung von USB-Geräten zu Beginn des Startvorgangs des Computers aktiviert. Wenn die Funktion „Legacy USB Support“ aktiviert ist, unterstützt der Authentifizierungsagent im BIOS-Modus die Verwendung von USB-Tokens nicht. Die Funktion sollte nur beim Auftreten von Hardware-Kompatibilitätsproblemen verwendet werden und ausschließlich für jene Computer aktiviert werden, auf welchen das Problem aufgetreten ist. |