Für Windows und macOS
BitLocker-Laufwerkverschlüsselung für Windows
BitLocker ist eine integrierte Verschlüsselungstechnologie des Windows-Betriebssystems. Kaspersky Endpoint Security ermöglicht es, BitLocker mithilfe der Infrastruktur von Kaspersky Next zu kontrollieren und zu verwalten. BitLocker verschlüsselt ein logisches Volume. Wechseldatenträger können mithilfe von BitLocker nicht verschlüsselt werden. Weitere Informationen über BitLocker erhalten Sie in der Microsoft-Dokumentation.
Wenn der Datenträger verschlüsselt wird, legt BitLocker den Bootloader und andere Hilfsdateien in der System-Partition ab. Diese Partition ist nicht verschlüsselt. Die Systempartition wird vom Betriebssystem automatisch während der Windows-Installation erstellt. Wenn die Festplatte vor der Windows-Installation vollständig partitioniert ist, kann das Betriebssystem keine Systempartition erstellen. In diesem Fall fordert das Betriebssystem den Benutzer beim Starten der BitLocker-Festplattenverschlüsselung auf, den Datenträger neu zu partitionieren und eine Systempartition zu erstellen. Nachdem eine Systempartition erstellt wurde, startet das Betriebssystem die BitLocker-Verschlüsselung.
Die Sicherheit beim Speichern von Zugriffsschlüsseln gewährleistet BitLocker mithilfe von Trusted Platform Module. Trusted Platform Module (TPM) ist ein Mikrochip, der grundlegende Sicherheitsfunktionen gewährleistet (z. B. für die Speicherung von Chiffrierschlüsseln). Das Trusted Platform Module wird gewöhnlich auf dem Mainboard des Computers installiert und interagiert über eine Hardwareschnittstelle mit den übrigen Systemkomponenten. Die Verwendung von TPM ist die sicherste Methode zum Speichern von BitLocker-Zugriffsschlüsseln, da TPM die Überprüfung der Systemintegrität vor dem Start bietet. Sie können die Laufwerke eines Computers weiterhin ohne TPM verschlüsseln. In diesem Fall wird der Zugriffsschlüssel durch ein Kennwort verschlüsselt. BitLocker verwendet die folgenden Authentifizierungsmethoden:
Nachdem die Systemfestplatte verschlüsselt wurde, von der das Betriebssystem gestartet wird, muss der Benutzer den BitLocker-Authentifizierungsvorgang durchlaufen. Nach dem Authentifizierungsvorgang lässt BitLocker die Anmeldung von Benutzern zu. BitLocker unterstützt kein Single Sign-on (SSO).
Nach der Laufwerkverschlüsselung erstellt BitLocker einen Master-Schlüssel. Kaspersky Endpoint Security sendet den Master-Schlüssel an die Infrastruktur von Kaspersky Next, damit Sie den Zugriff auf das Laufwerk wiederherstellen können, beispielsweise wenn der Benutzer das Kennwort vergisst.
Wenn ein Benutzer mithilfe von BitLocker ein Laufwerk verschlüsselt hat, sendet Kaspersky Endpoint Security Informationen über die Laufwerksverschlüsselung an die Konsole von Kaspersky Next. Der Master-Schlüssel wird jedoch nicht von Kaspersky Endpoint Security an die Infrastruktur von Kaspersky Next gesendet. Darum lässt sich der Zugriff auf das Laufwerk nicht wiederherstellen. Damit BitLocker mit der Infrastruktur von Kaspersky Next ordnungsgemäß funktioniert, entschlüsseln Sie das Laufwerk und verschlüsseln Sie es erneut mittels einer Richtlinie. Sie können das Laufwerk entweder lokal oder mithilfe der Richtlinie entschlüsseln.
Wenn Sie Gruppenrichtlinien für Windows verwenden, deaktivieren Sie die BitLocker-Verwaltung in den Richtlinieneinstellungen. Es kann sein, dass die Windows-Richtlinieneinstellungen den Richtlinieneinstellungen von Kaspersky Endpoint Security widersprechen. Bei einer Laufwerksverschlüsselung könnten deshalb Fehler auftreten.
FileVault-Festplattenverschlüsselung für macOS
Kaspersky Endpoint Security erlaubt es, die FileVault-Verschlüsselung per Fernzugriff zu verwalten. Die Verschlüsselung verhindert, dass unbefugte Benutzer auf sensible Daten zugreifen, die sich auf dem Startvolume des Computers befinden.
Wenn ein Administrator die FileVault-Verschlüsselung auf einem Computer aus der Konsole von Kaspersky Next startet, fordert Kaspersky Endpoint Security den Benutzer dieses Computers zur Eingabe seiner Anmeldedaten auf. Die Festplattenverschlüsselung wird erst gestartet, nachdem der Benutzer die Anmeldeinformationen angegeben hat, der Computer neu gestartet wurde und 30 Minuten vergangen sind, seit die Richtlinieneinstellungen auf dem Computer empfangen wurden. Das Mindestintervall zwischen den Aufforderungen zur Eingabe von Anmeldeinformationen beträgt ebenfalls 30 Minuten.
Um zu verhindern, dass der Benutzer bei aktivierter FileVault-Verschlüsselung das Startvolume eines Computers entschlüsselt, muss der Administrator mithilfe von JAMF ein MDM-Profil bereitstellen, das die Entschlüsselung des Laufwerks untersagt. Zur Entschlüsselung des Startvolumes eines Computer mit einem MDM-Profil, das die Entschlüsselung verbietet, muss der Administrator zuerst das Profil entfernen.
Wenn die Verwaltung der FileVault-Verschlüsselung in Konsole von Kaspersky Next nicht aktiviert ist, können Benutzer mit Administratorrechten die Start-Laufwerke eines Computers in den Systemeinstellungen verschlüsseln und entschlüsseln. Weitere Informationen über FileVault finden Sie in der Apple-Dokumentation.
Befinden sich auf dem Computer mehrere Benutzerkonten, so wird das Volume durch die FileVault-Verschlüsselung für alle anderen Benutzer mit Ausnahme des Benutzers, der seine Anmeldedaten eingegeben hat, gesperrt.
Einstellungen der Datenverschlüsselung in der Pro View
Parameter |
Betriebssystem |
Beschreibung |
|---|---|---|
Aktion mit den Geräten |
|
Alle Festplatten verschlüsseln. Ist dieses Element ausgewählt und die Richtlinie wird übernommen, so verschlüsselt das Programm alle Festplatten. Alle Festplatten entschlüsseln. Ist dieses Element ausgewählt und die Richtlinie wird übernommen, so entschlüsselt das Programm alle zuvor verschlüsselten Festplatten. |
Hardware-Verschlüsselung verwenden |
|
Ist das Kontrollkästchen aktiviert, so verwendet das Programm die Hardwareverschlüsselung. Dadurch wird erlaubt, die Verschlüsselung zu beschleunigen und die Auslastung der Computerressourcen zu reduzieren. |
Auf Windows-Tablets die BitLocker-Authentifizierung verwenden |
|
Verwendung einer Authentifizierung, die eine Dateneingabe in einer Preboot-Umgebung selbst dann erfordert, wenn die Plattform keine Option zur Preboot-Eingabe bietet (beispielsweise mit Touchscreen-Tastaturen auf Tablets). Der Touchscreen eines Tablets steht in der Preboot-Umgebung nicht zur Verfügung. Um die BitLocker-Authentifizierung auf Tablets auszuführen, muss der Benutzer beispielsweise eine USB-Tastatur anschließen. Ist das Kontrollkästchen aktiviert, so wird die Verwendung der Authentifizierung erlaubt, wenn sie eine Preboot-Tastatureingabe erfordert. Es wird empfohlen, diese Einstellung nur für Geräte zu verwenden, die während des Preboot-Vorgangs außer berührungsempfindlichen Tastaturen auch Alternativen für die Dateneingabe bieten, wie beispielsweise eine USB-Tastatur. Wenn das Kontrollkästchen deaktiviert ist, ist die BitLocker-Laufwerkverschlüsselung auf Tablets nicht möglich. |
Authentifizierungsmethode |
|
Trusted Platform Module (TPM). Bei Auswahl dieser Variante verwendet BitLocker das Trusted Platform Module (TPM). Trusted Platform Module (TPM) ist ein Mikrochip, der grundlegende Sicherheitsfunktionen gewährleistet (z. B. für die Speicherung von Chiffrierschlüsseln). Das Trusted Platform Module wird gewöhnlich auf dem Mainboard des Computers installiert und interagiert über eine Hardwareschnittstelle mit den übrigen Systemkomponenten. Für Computer mit den Betriebssystemen Windows 7 und Windows Server 2008 R2 ist nur die Verschlüsselung unter Verwendung eines TPM-Moduls verfügbar. Wenn kein TPM-Modul installiert ist, ist die BitLocker-Verschlüsselung nicht möglich. Die Verwendung eines Kennworts wird auf diesen Computern nicht unterstützt. Ein Gerät, das mit Trusted Platform Module ausgerüstet ist, kann Chiffrierschlüssel erstellen, die nur seiner Hilfe entschlüsselt werden können. Das Trusted Platform Module verschlüsselt Chiffrierschlüssel mit einem eigenen Storage Root Key. Der Storage Root Key wird im Trusted Platform Module aufbewahrt. Dadurch wird für die Chiffrierschlüssel ein zusätzlicher Schutz vor Angriffsversuchen gewährleistet. Diese Variante gilt als Standardaktion. Kennwort. Bei Auswahl dieser Variante fragt Kaspersky Endpoint Security beim Benutzer das Kennwort ab, wenn auf das verschlüsselte Laufwerk zugegriffen wird. Diese Variante für die Aktion kann gewählt werden, wenn das Trusted Platform Module (TPM) nicht verwendet wird. Trusted Platform Module (TPM) oder Kennwort, falls TPM nicht verfügbar ist. Wenn diese Option ausgewählt ist, kann der Benutzer mithilfe eines Kennworts Zugriff auf die Chiffrierschlüssel erhalten, falls kein Trusted Platform Module (TPM) verfügbar ist. Wenn das Kontrollkästchen deaktiviert ist und das TPM-Modus nicht verfügbar ist, wird die vollständige Festplattenverschlüsselung nicht gestartet. PIN für TPM verwenden. Wenn dieses Kontrollkästchen aktiviert ist, kann der Benutzer einen PIN-Code verwenden, um auf einen Chiffrierschlüssel zuzugreifen, der im Trusted Platform Module (TPM) aufbewahrt wird. Wenn das Kontrollkästchen deaktiviert ist, ist es dem Benutzer verboten, einen PIN-Code zu verwenden. Um Zugriff auf den Chiffrierschlüssel zu erhalten, verwendet der Benutzer ein Kennwort. |