Wesentliche Besonderheiten der Festplattenverschlüsselung

• Kaspersky Endpoint Security 10 für Windows verschlüsselt Festplatten sektorenweise bei der Anwendung der Richtlinie des Kaspersky Security Center 10.
• Kaspersky Endpoint Security 10 für Windows verschlüsselt alle logischen Partitionen von Festplatten.
• Nach der Verschlüsselung sind der Zugriff auf Festplatten bei der nächsten Anmeldung im Betriebssystem und das Hochfahren des Betriebssystems erst nach Authentifizierung mithilfe des Authentifizierungsagenten möglich. Dazu müssen die Anmeldedaten eingegeben werden, die vom Systemadministrator für das Benutzerkonto mithilfe der Aufgaben zur Benutzerkontenverwaltung des Authentifizierungsagenten festgelegt wurden. Diese Benutzerkonten beruhen auf Benutzerkonten für Microsoft Windows, unter denen sich Benutzer im Betriebssystem anmelden. 
• Sie können die Benutzerkonten des Authentifizierungsagenten verwalten und die Technologie zur Einmalanmeldung (SSO, Single Sign-On) verwenden, die automatische Anmeldung im Betriebssystem mithilfe eines Benutzerkontos des Authentifizierungsagenten ermöglicht.
• Der Zugriff auf verschlüsselte Festplatten ist nur auf den Computern möglich, auf denen Kaspersky Endpoint Security für Windows mit dem Verschlüsselungsmodul installiert ist. Diese Bedingung minimiert das Leck von Daten, die auf einer verschlüsselten Festplatte gespeichert werden, wenn diese Festplatte außerhalb des Unternehmensnetzwerks verwendet wird.

Voraussetzungen

Vor der Anpassung der Einstellungen für die Verschlüsselung in der Richtlinie prüfen Sie, dass verwaltete Arbeitsstationen und der Administrationsserver folgende Voraussetzungen erfüllen:

Verschlüsselungstechnologien

In Kaspersky Endpoint Security 10 für Windows Workstation sind folgende Technologien verfügbar: 

• Kaspersky-Festplattenverschlüsselung
• BitLocker-Laufwerkverschlüsselung 

So verschlüsseln Sie Festplatten mithilfe der Technologie „Kaspersky-Festplattenverschlüsselung“:

1. Öffnen Sie das Kaspersky Security Center 10.
2. Wechseln Sie zum Abschnitt Richtlinien. Öffnen Sie die Eigenschaften der Richtlinie für Kaspersky Endpoint Security 10.
3. Wechseln Sie zu Festplatten verschlüsseln.
4. Im Feld Verschlüsselungstechnologie wählen Sie die Option Kaspersky-Festplattenverschlüsselung.

5. Im Feld Verschlüsselungsmodus wählen Sie die Option Alle Festplatten verschlüsseln.

6. Im Fenster Verschlüsselungseinstellungen für Festplatten übernehmen klicken Sie auf Ja.

7. Wechseln Sie zum Abschnitt Allgemeine Verschlüsselungseinstellungen und passen Sie Einstellungen für Verschlüsselungskennwörter an.
8. Klicken Sie auf OK und warten Sie auf die Anwendung der Richtlinie auf die Arbeitsstationen.
   

Je nach Versionen von Kaspersky Endpoint Security 10 für Windows können Arbeitsstationen verschiedene Verhaltensweise aufweisen:

• Für die Version Service Pack 1 Maintenance Release 4 (10.2.6.3733) und älter:
  • Aufforderung zur Eingabe des Benutzernamens und des Kennworts für das Konto des Authentifizierungsagenten
  • Aufforderung zur Erstellung eines Kennworts für den Zugriff auf die verschlüsselte Festplatte während der aktuellen Sitzung 
  • Erstellung eines temporären Kennworts für den Zugriff um auf die verschlüsselte Festplatte 
• für die Version Service Pack 2 (10.3.0.6294) und höher:
  • Aufforderung zur Eingabe des Benutzernamens und des Kennworts für das Konto des Authentifizierungsagenten
  • Erstellung eines temporären Kennworts für den Zugriff um auf die verschlüsselte Festplatte

So verschlüsseln Sie Festplatten mithilfe der Technologie „BitLocker-Laufwerkverschlüsselung“:

1. Öffnen Sie das Kaspersky Security Center 10.
2. Wechseln Sie zum Abschnitt Verwaltete Geräte und klicken Sie auf Richtlinien.
3. Öffnen Sie die Eigenschaften der Richtlinie für Kaspersky Endpoint Security 10 und wechseln Sie zum Abschnitt Festplatten verschlüsseln.
4. Im Feld Verschlüsselungstechnologie wählen Sie die Option BitLocker-Laufwerkverschlüsselung.

5. Im Feld Verschlüsselungsmodus wählen Sie die Option Alle Festplatten verschlüsseln.

6. Passen Sie die Verschlüsselungseinstellungen an. 
7. Klicken Sie auf OK und warten Sie auf die Anwendung der Richtlinie auf die Arbeitsstationen. 

Nach der Anwendung der Richtlinie auf die Arbeitsstationen mit Kaspersky Endpoint Security 10 werden folgende Anfragen angezeigt:

• Wenn die Richtlinie auf das Systemlaufwerk angewendet wird, dann wird ein Fenster mit der Aufforderung zur Eingabe des PIN-Codes angezeigt.
• Wenn der Modus der Kompatibilität mit dem Föderalen Standard zur Informationsverarbeitung (FIPS) im Betriebssystem aktiviert ist, dann wird ein Fenster mit der Aufforderung zum Anschließen eines USB-Geräts für die Speicherung der Datei des Wiederherstellungsschlüssels in Betriebssystemen Windows 8 und höher angezeigt.

Nach der Festplattenverschlüsselung ist das Hochfahren des Betriebssystem beim nächsten Start des Computers erst nach Authentifizierung mithilfe des Authentifizierungsagenten möglich. 

Der Benutzer kann sich im Authentifizierungsagenten wie folgt anmelden:

• durch die Eingabe des Benutzernamen und des Kennworts für das Konto des Authentifizierungsagenten, das vom Administrator des lokalen Netzwerks im Kaspersky Security Center 10 erstellt wurde
• durch die Eingabe des Kennworts für einen mit dem Computer verbundenen Token oder eine Smartcard

Wenn die Option Aktiven Benutzer zur Kennworteingabe auffordern in der Richtlinie aktiviert ist, wird nach der Anwendung der Richtlinie und dem Start der Aufgabe zur Festplattenverschlüsselung das Fenster Kennwortabfrage für für Zugriff auf verschlüsselte Systemfestplatte auf dem Bildschirm der Arbeitsstation angezeigt.

So richten Sie die Abfrage eines Kennworts für den Zugriff auf verschlüsselte Festplatten in einer aktiven Sitzung ein:

1. Legen Sie ein Kennwort für den Zugriff auf die verschlüsselte Festplatte fest: Klicken Sie auf OK.

Wenn die Option Technologie zur Einmalanmeldung (SSO) verwenden in der Richtlinie aktiviert ist, dann muss das in Schritt 1 festgelegte Kennwort beim ersten Neustart des Computers im Authentifizierungsagenten eingegeben werden. Dann muss das Kennwort für das Windows-Benutzerkonto im Willkommen-Fenster von Windows eingegeben werden. Daraufhin werden das Kennwort des Authentifizierungsagenten und das Kennwort für das Windows-Benutzerkonto synchronisiert. Beim nächsten Hochfahren muss nur noch das Windows-Kennwort eingegeben werden, um sich automatisch am Betriebssystem anzumelden.

Wenn die Option Technologie zur Einmalanmeldung (SSO) verwenden in der Richtlinie nicht aktiviert wurde, muss der Benutzer bei jedem Hochfahren des Computers zuerst das Kennwort des Authentifizierungsagenten und dann das Windows-Kennwort eingeben.

2. Klicken Sie auf Ja, wenn das eingegebene Kennwort mit dem Kennwort für das Windows-Konto nicht übereinstimmt.

3. Warten Sie, bis das Kennwort gespeichert worden ist.

4. Prüfen Sie, dass der Vorgang erfolgreich abgeschlossen wurde. Klicken Sie auf OK.

5. Starten Sie die Arbeitsstation neu.
6. Geben Sie den Benutzernamen und das Kennwort für die Anmeldung im Agenten ein.

Kaspersky Endpoint Security 10 für Windows erstellt ein temporäres Kennwort für jeden Benutzer gemäß der Richtlinie für Kennwörter für den Authentifizierungsagenten. Dann wird das Kennwort an den Administrationsserver gesendet.

So erhalten Sie ein temporäres Kennwort:

1. Fordern Sie beim Administrator das Kennwort für den Zugriff auf die verschlüsselte Festplatte an.
2. Öffnen Sie das Kaspersky Security Center 10. 
3. Wechseln Sie zu Verwaltete Geräte. 
4. Öffnen Sie die Eigenschaften der Arbeitsstation und wechseln Sie zum Abschnitt Aufgaben.
5. Wählen Sie die Aufgabe Datenverschlüsselung (Benutzerkonten verwalten) aus und öffnen Sie ihre Eigenschaften.
6. Wechseln Sie zum Abschnitt Einstellungen.
7. Öffnen Sie das benötigte Benutzerkonto.

8. Aktivieren Sie das Kontrollkästchen Ursprüngliches Kennwort anzeigen. 

In der Zeile wird ein temporäres Kennwort für den Authentifizierungsagenten angezeigt. Danach teilt der Administrator dem Benutzer das temporäre Kennwort mit.

9. Führen Sie die Authentifizierung im Agenten beim nächsten Hochfahren oder beim Wechsel des Systems aus der Hibernation aus. Bei Bedarf ändern Sie das temporäre Kennwort.

Wenn Sie sich vor der Verschlüsselung der Festplatte unter dem Benutzerkonto (z. B. Kav4isa\user2) im Betriebssystem nicht angemeldet haben, dann wird das Kennwort für den Authentifizierungsagenten für dieses Benutzerkonto nicht erstellt. In diesem Fall fügen Sie Ihr Benutzerkonto zur Aufgabe Datenverschlüsselung (Benutzerkonten verwalten) hinzu und erstellen Sie ein Kennwort dafür.