Für Windows und macOS
BitLocker-Laufwerkverschlüsselung für Windows
BitLocker ist eine integrierte Verschlüsselungstechnologie des Windows-Betriebssystems. Kaspersky Endpoint Security ermöglicht es, BitLocker mithilfe der Infrastruktur von Kaspersky Next zu kontrollieren und zu verwalten. BitLocker verschlüsselt ein logisches Volume. Wechseldatenträger können mithilfe von BitLocker nicht verschlüsselt werden. Details über BitLocker finden Sie in der Microsoft-Dokumentation.
Wenn der Datenträger verschlüsselt wird, legt BitLocker den Bootloader und andere Hilfsdateien in der system partition ab. Diese Partition ist nicht verschlüsselt. Die Systempartition wird vom Betriebssystem automatisch während der Windows-Installation erstellt. Wenn die Festplatte vor der Windows-Installation vollständig partitioniert ist, kann das Betriebssystem keine Systempartition erstellen. In diesem Fall werden Sie beim Starten der BitLocker-Festplattenverschlüsselung vom Betriebssystem aufgefordert, das Laufwerk neu zu partitionieren und eine Systempartition zu erstellen. Nachdem eine Systempartition erstellt wurde, startet das Betriebssystem die BitLocker-Verschlüsselung.
Die Sicherheit beim Speichern von Zugriffsschlüsseln gewährleistet BitLocker mithilfe von Trusted Platform Module. Trusted Platform Module (TPM) ist ein Mikrochip, der grundlegende Sicherheitsfunktionen gewährleistet (z. B. für die Speicherung von Chiffrierschlüsseln). Ein Trusted Platform Module wird normalerweise auf der Hauptplatine des Computers installiert und interagiert mit allen anderen Systemkomponenten über die Hardwareschnittstelle. Die Verwendung des TPM ist die sicherste Art, BitLocker-Zugriffsschlüssel zu speichern, da das TPM eine Überprüfung der Systemintegrität vor dem Systemstart ermöglicht. Auf Computern ohne TPM können Sie Laufwerke verschlüsseln. Dabei wird der Zugriffsschlüssel mit einem Kennwort verschlüsselt. BitLocker verwendet die folgenden Authentifizierungsmethoden:
Nachdem die Systemfestplatte verschlüsselt wurde, von der das Betriebssystem gestartet wird, muss der Benutzer den BitLocker-Authentifizierungsvorgang durchlaufen. Nach dem Authentifizierungsverfahren ermöglicht BitLocker die Anmeldung von Benutzern. BitLocker unterstützt keine Single-Sign-On-Technologie (SSO).
Nach der Laufwerkverschlüsselung erstellt BitLocker einen Master-Schlüssel. Kaspersky Endpoint Security sendet den Master-Schlüssel an Kaspersky Next, damit Sie den Zugriff auf das Laufwerk wiederherstellen können (beispielsweise wenn der Benutzer das Kennwort vergessen hat).
Wenn ein Benutzer mithilfe von BitLocker ein Laufwerk verschlüsselt hat, sendet Kaspersky Endpoint Security Informationen über die Laufwerksverschlüsselung an die Konsole von Kaspersky Next. Dabei sendet Kaspersky Endpoint Security den Master-Schlüssel nicht an Kaspersky Next. Darum kann der Zugriff auf das Laufwerk nicht mithilfe von Kaspersky Security Center wiederhergestellt werden. Um sicherzustellen, dass BitLocker mit Kaspersky Next ordnungsgemäß funktioniert, entschlüsseln Sie das Laufwerk und verschlüsseln Sie es erneut mithilfe der Richtlinie. Sie können das Laufwerk entweder lokal oder mithilfe der Richtlinie entschlüsseln.
Wenn Sie Gruppenrichtlinien für Windows verwenden, deaktivieren Sie die BitLocker-Verwaltung in den Richtlinieneinstellungen. Es kann sein, dass die Windows-Richtlinieneinstellungen den Richtlinieneinstellungen von Kaspersky Endpoint Security widersprechen. Bei einer Laufwerksverschlüsselung könnten deshalb Fehler auftreten.
FileVault-Festplattenverschlüsselung für macOS
Kaspersky Endpoint Security erlaubt es, die FileVault-Verschlüsselung per Fernzugriff zu verwalten. Die Verschlüsselung verhindert, dass unbefugte Benutzer auf sensible Daten zugreifen, die sich auf dem Startvolume des Computers befinden.
Wenn ein Administrator die FileVault-Verschlüsselung auf einem Computer über die Kaspersky Next-Konsole startet, fordert Kaspersky Endpoint Security den Benutzer auf, seine Anmeldedaten einzugeben. Die Festplattenverschlüsselung wird erst gestartet, nachdem der Benutzer seine Anmeldedaten eingegeben hat, der Computer neu gestartet wurde und 30 Minuten vergangen sind, seitdem die Richtlinieneinstellungen auf dem Computer empfangen wurden. Das Mindestintervall zwischen den Aufforderungen zur Eingabe von Anmeldeinformationen beträgt ebenfalls 30 Minuten.
Um zu verhindern, dass der Benutzer bei aktivierter FileVault-Verschlüsselung das Startvolume eines Computers entschlüsselt, muss der Administrator mithilfe von JAMF ein MDM-Profil bereitstellen, das die Entschlüsselung des Laufwerks untersagt. Zur Entschlüsselung des Startvolumes eines Computer mit einem MDM-Profil, das die Entschlüsselung verbietet, muss der Administrator zuerst das Profil entfernen.
Wenn die Verwaltung der FileVault-Verschlüsselung in Konsole von Kaspersky Next nicht aktiviert ist, können Benutzer mit Administratorrechten die Start-Laufwerke eines Computers in den Systemeinstellungen verschlüsseln und entschlüsseln. Weitere Informationen über FileVault finden Sie in der Apple-Dokumentation.
Befinden sich auf dem Computer mehrere Benutzerkonten, so wird das Volume durch die FileVault-Verschlüsselung für alle anderen Benutzer mit Ausnahme des Benutzers, der seine Anmeldedaten eingegeben hat, gesperrt.
Einstellungen der Datenverschlüsselung in der Pro View
Einstellung |
Betriebssystem |
Beschreibung |
|---|---|---|
Aktion mit den Geräten |
|
Alle Festplatten verschlüsseln. Ist diese Option ausgewählt und die Richtlinie wird übernommen, so verschlüsselt das Programm alle Festplatten. Alle Festplatten entschlüsseln. Ist diese Option ausgewählt und die Richtlinie wird übernommen, so entschlüsselt das Programm alle zuvor verschlüsselten Festplatten. |
Hardware-Verschlüsselung verwenden |
|
Ist das Kontrollkästchen aktiviert, so verwendet das Programm die Hardwareverschlüsselung. Dadurch wird erlaubt, die Verschlüsselung zu beschleunigen und die Auslastung der Computerressourcen zu reduzieren. |
Auf Windows-Tablets die BitLocker-Authentifizierung verwenden |
|
Verwendung einer Authentifizierung, die eine Dateneingabe in einer Preboot-Umgebung selbst dann erfordert, wenn die Plattform keine Option zur Preboot-Eingabe bietet (beispielsweise mit Touchscreen-Tastaturen auf Tablets). Das Touchpad von Tablets ist in der Preboot-Umgebung nicht verfügbar. Um die BitLocker-Authentifizierung auf Tablets auszuführen, muss der Benutzer beispielsweise eine USB-Tastatur anschließen. Ist das Kontrollkästchen aktiviert, so wird die Verwendung der Authentifizierung erlaubt, wenn sie eine Preboot-Tastatureingabe erfordert. Es wird empfohlen, diese Einstellung nur für Geräte zu verwenden, die in einer Preboot-Umgebung alternative Dateneingabemethoden anbieten (z. B. eine USB-Tastatur zusätzlich zu einer Touchscreen-Tastatur). Wenn das Kontrollkästchen deaktiviert ist, ist die BitLocker-Laufwerkverschlüsselung auf Tablets nicht möglich. |
Authentifizierungsmethode |
|
Trusted Platform Module (TPM). Bei Auswahl dieser Variante verwendet BitLocker das Trusted Platform Module (TPM). Trusted Platform Module (TPM) ist ein Mikrochip, der grundlegende Sicherheitsfunktionen gewährleistet (z. B. für die Speicherung von Chiffrierschlüsseln). Das Trusted Platform Module wird gewöhnlich auf dem Mainboard des Computers installiert und interagiert über eine Hardwareschnittstelle mit den übrigen Systemkomponenten. Für Computer mit den Betriebssystemen Windows 7 und Windows Server 2008 R2 ist nur die Verschlüsselung unter Verwendung eines TPM-Moduls verfügbar. Wenn kein TPM-Modul installiert ist, ist die BitLocker-Verschlüsselung nicht möglich. Die Verwendung eines Kennworts wird auf diesen Computern nicht unterstützt. Ein Gerät, das mit Trusted Platform Module ausgerüstet ist, kann Chiffrierschlüssel erstellen, die nur seiner Hilfe entschlüsselt werden können. Das Trusted Platform Module verschlüsselt Chiffrierschlüssel mit einem eigenen Storage Root Key. Der Storage Root Key wird im Trusted Platform Module aufbewahrt. Dadurch wird für die Chiffrierschlüssel ein zusätzlicher Schutz vor Angriffsversuchen gewährleistet. Diese Aktion ist standardmäßig ausgewählt. Kennwort. Bei Auswahl dieser Variante fragt Kaspersky Endpoint Security beim Benutzer das Kennwort ab, wenn auf das verschlüsselte Laufwerk zugegriffen wird. Diese Variante für die Aktion kann gewählt werden, wenn das Trusted Platform Module (TPM) nicht verwendet wird. Trusted Platform Module (TPM) oder Kennwort, falls TPM nicht verfügbar ist. Wenn diese Option ausgewählt ist, kann der Benutzer mithilfe eines Kennworts Zugriff auf die Chiffrierschlüssel erhalten, falls kein Trusted Platform Module (TPM) verfügbar ist. Wenn das Kontrollkästchen deaktiviert ist und das TPM-Modus nicht verfügbar ist, wird die vollständige Festplattenverschlüsselung nicht gestartet. PIN für TPM verwenden. Wenn das Kontrollkästchen aktiviert ist, kann der Benutzer einen PIN-Code verwenden, um auf einen Chiffrierschlüssel zuzugreifen, der im Trusted Platform Module (TPM) aufbewahrt wird. Wenn das Kontrollkästchen deaktiviert ist, ist es dem Benutzer verboten, einen PIN-Code zu verwenden. Um Zugriff auf den Chiffrierschlüssel zu erhalten, verwendet der Benutzer ein Kennwort. |