Deployment Guide
Table Of Contents
- Dell Encryption Personal Installationshandbuch v11.0
- Inhaltsverzeichnis
- Übersicht
- Anforderungen
- Herunterladen der Software
- Damit ist die Installation
- Advanced Authentication- und Encryption Personal-Installationsassistenten
- Konfigurieren der Konsoleneinstellungen
- Deinstallation des Master-Installationsprogramms
- Deinstallation unter Verwendung der untergeordneten Installationsprogramme
- Data Security-Deinstallationsprogramm
- Beschreibungen von Richtlinien und Vorlagen
- Richtlinien
- Vorlagenbeschreibungen
- Massiver Schutz für alle Festplattenlaufwerke und externen Festplatten
- Schutz nach PCI-Vorschriften
- Schutz nach Datenschutzvorschriften
- Schutz nach HIPAA-Vorschriften
- Einfacher Schutz für alle Festplattenlaufwerke und externen Festplatten (Standard)
- Einfacher Schutz für alle Festplattenlaufwerke
- Einfacher Schutz nur für das Systemlaufwerk
- Einfacher Schutz für externe Festplatten
- Verschlüsselung deaktiviert
- Untergeordnete Installationsprogramme extrahieren
- Troubleshooting
- Glossar
Glossar
Advanced Authentication: Das Advanced Authentication-Produkt bietet Optionen für Smart Card-Leser. Advanced Authentication
vereinfacht die Verwaltung all dieser Authentifizierungsmethoden, unterstützt die Anmeldung bei selbstverschlüsselnden Laufwerken,
SSO und verwaltet Benutzeranmeldeinformationen und Passwörter.
Administrator-Passwort für die Verschlüsselung (Encryption Administrator Password, EAP) – Das EAP ist ein computerspezifisches
Administrator-Passwort. Für die meisten Konfigurationsänderungen in der lokalen Verwaltungskonsole ist die Eingabe dieses Passworts
erforderlich. Dasselbe Passwort wird auch benötigt, falls Sie die Datei „LSARecovery_[Hostname].exe“ verwenden, um Daten
wiederherzustellen. Notieren Sie sich das Passwort und bewahren Sie es an einem sicheren Ort auf.
Encryption-Client – Der Encryption-Client ist die geräteinterne Komponente, die Sicherheitsrichtlinien durchsetzt, egal ob ein Endpunkt
mit dem Netzwerk verbunden oder vom Netzwerk getrennt ist, verloren gegangen ist oder gestohlen wurde. Der Encryption-Client
erzeugt eine vertrauenswürdige Computerumgebung für Endpunkte, indem er als Layer über dem Betriebssystem des Geräts fungiert und
Authentifizierung, Verschlüsselung und Autorisierung lückenlos anwendet, um den Schutz vertraulicher Informationen zu maximieren.
Verschlüsselungsschlüssel – In den meisten Fällen verwendet Encryption den Benutzerschlüssel plus zwei weitere
Verschlüsselungsschlüssel. Es gibt allerdings auch Ausnahmen: Alle SDE-Richtlinien und die Richtlinie „Windows-Anmeldeinformationen
schützen“ verwenden den SDE-Schlüssel. Die Richtlinien „Windows-Auslagerungsdatei verschlüsseln“ und „Sichere Windows-
Ruhezustand-Datei“ verwenden einen eigenen Schlüssel, den General Purpose Key (GPK). Der „allgemeine“ Verschlüsselungsschlüssel
macht Dateien allen verwalteten Benutzern auf dem Gerät zugänglich, auf dem sie erstellt wurden. Der „Benutzer“-
Verschlüsselungsschlüssel macht Dateien nur dem Benutzer zugänglich, der sie erstellt hat, und zwar nur auf dem Gerät, auf dem sie
erstellt wurden. Der „Benutzer-Roaming“-Verschlüsselungsschlüssel macht Dateien nur dem Benutzer zugänglich, der sie erstellt hat, und
zwar auf jedem verschlüsselten Windows- oder Mac-Gerät.
Verschlüsselungssuche – Bei dem Vorgang werden zu verschlüsselnde Ordner durchsucht, um sicherzustellen, dass die enthaltenen
Dateien den richtigen Verschlüsselungsstatus haben. Einfache Operationen zur Erstellung und Umbenennung von Dateien lösen keine
Verschlüsselungssuche aus. Es ist wichtig zu verstehen, wann eine Verschlüsselungssuche stattfindet und wodurch die Dauer der
Suche beeinflusst wird: Eine Verschlüsselungssuche erfolgt sofort nach Eingang einer Richtlinie mit aktivierter Verschlüsselung. Das kann
unmittelbar nach der Aktivierung sein, wenn für Ihre Richtlinie die Verschlüsselung aktiviert ist. – Wenn die Richtlinie Workstation bei
Anmeldung durchsuchen aktiviert ist, werden die zur Verschlüsselung angegebenen Ordner bei jeder Benutzeranmeldung durchsucht.
- Eine Suche kann unter bestimmten nachfolgenden Richtlinienänderungen erneut ausgelöst werden. Jeder Richtlinienänderung, die
sich auf die Definition der Verschlüsselungsordner, der Verschlüsselungsalgorithmen oder der Verwendung der Verschlüsselungsschlüssel
(„Allgemein“ oder „Benutzer“) bezieht, löst eine Suche aus. Auch beim Umschalten zwischen aktivierter und deaktivierter Verschlüsselung
wird eine Verschlüsselungssuche ausgelöst.
Preboot-Authentifizierung (PBA) – Die Preboot-Authentifizierung dient als Erweiterung des BIOS oder der Systemstart-Firmware und
schafft eine sichere, manipulationsgeschützte Umgebung außerhalb des Betriebssystems als vertrauenswürdige Authentifizierungsebene.
Die PBA unterbindet den Zugriff auf die Festplatte und somit auch auf das Betriebssystem, bis der Benutzer die richtigen
Anmeldeinformationen eingibt.
Single Sign-on (SSO): Die einstufige Anmeldung vereinfacht den Anmeldevorgang, wenn die mehrstufige Authentifizierung sowohl
vor dem Neustart als auch bei der Windows-Anmeldung aktiviert ist. Wenn aktiviert, ist eine Authentifizierung nur vor dem Neustart
erforderlich, und Benutzer werden automatisch bei Windows angemeldet. Wenn nicht aktiviert, ist die Authentifizierung möglicherweise
mehrfach erforderlich.
System Data Encryption (SDE) – Mit SDE werden das Betriebssystem und die Programmdateien verschlüsselt. Dazu muss SDE
in der Lage sein, den Schlüssel beim Start des Betriebssystems zu öffnen. SDE dient zum Schutz des Betriebssystems vor
unbefugten Änderungen oder Offline-Angriffen SDE is not intended for user data. Zum Schutz vertraulicher Benutzerdaten empfiehlt
sich die allgemeine Verschlüsselung oder die Benutzerverschlüsselung, bei denen zum Entsperren der Verschlüsselungsschlüssel
ein Benutzerpasswort erforderlich ist. SDE-Richtlinien verschlüsseln keine Dateien, die das Betriebssystem zum Start des Boot-
Vorgangs benötigt. SDE-Richtlinien erfordern keine Authentifizierung vor dem Neustart und haben auch keinerlei Auswirkungen auf
den Master Boot Record. Beim Computerstart stehen die verschlüsselten Dateien lange vor der Anmeldung eines Benutzers zur
Verfügung (damit Patchmanagement, SMS, Sicherungs- und Wiederherstellungstools funktionieren). Durch die Deaktivierung von SDE
werden alle relevanten Dateien und Verzeichnisse mit SDE-Verschlüsselung automatisch entschlüsselt, unabhängig von anderen SDE-
Richtlinienwerten wie beispielsweise SDE-Verschlüsselungsregeln.
Trusted Platform Module (TPM) – Das TPM ist ein Sicherheits-Chip mit drei Hauptfunktionen: sicherer Speicher, Messung und
Bestätigung. Beim Encryption-Client wird das TPM für den sicheren Speicher genutzt. Das TPM kann auch verschlüsselte Container
für das Software-Vault bereitstellen.
13
94 Glossar