Administrator Guide

ManualsBrandsDell ManualsConverged InfrastructureEndpoint Security Suite Pro

100

101

102

103

Encryption Keys – In den meisten Fällen verwendet der Encryption-Client den Benutzerschlüssel plus zwei weitere

Verschlüsselungsschlüssel. Es gibt allerdings auch Ausnahmen: Alle SDE-Richtlinien und die Richtlinie „Windows-Anmeldeinformationen

schützen“ verwenden den SDE-Schlüssel. Die Richtlinien „Windows-Auslagerungsdatei verschlüsseln“ und „Sichere Windows-

Ruhezustand-Datei“ verwenden einen eigenen Schlüssel, den General Purpose Key (GPK). Der „allgemeine“ Schlüssel macht Dateien allen

verwalteten Benutzern auf dem Gerät zugänglich, auf dem sie erstellt wurden. Der „Benutzer“-Schlüssel macht Dateien nur dem Benutzer

zugänglich, der sie erstellt hat, und zwar nur auf dem Gerät, auf dem sie erstellt wurden. Der „Benutzer-Roaming“-Schlüssel macht Dateien

nur dem Benutzer zugänglich, der sie erstellt hat, und zwar auf jedem mit Shield geschützten Windows- oder Mac-Gerät.

Verschlüsselungssuche – Bei einer Verschlüsselungssuche werden die zu verschlüsselnden Ordner auf einem mit einem Shield verwalteten

Endpunkt durchsucht, um sicherzustellen, dass die enthaltenen Dateien den richtigen Verschlüsselungsstatus haben. Einfache Operationen

zur Erstellung und Umbenennung von Dateien lösen keine Verschlüsselungssuche aus. Es ist wichtig zu verstehen, wann eine

Verschlüsselungssuche stattndet und wodurch die Dauer der Suche beeinusst wird: Eine Verschlüsselungssuche erfolgt sofort nach

Eingang einer Richtlinie mit aktivierter Verschlüsselung. Das kann unmittelbar nach der Aktivierung sein, wenn für Ihre Richtlinie die

Verschlüsselung aktiviert ist. - Wenn die Richtlinie „Workstation bei Anmeldung durchsuchen“ aktiviert ist, werden die zur Verschlüsselung

angegebenen Ordner bei jeder Benutzeranmeldung durchsucht. - Eine Suche kann unter bestimmten nachfolgenden Richtlinienänderungen

erneut ausgelöst werden. Jeder Richtlinienänderung, die sich auf die Denition der Verschlüsselungsordner, der

Verschlüsselungsalgorithmen oder der Verwendung der Verschlüsselungsschlüssel („Allgemein“ vs. „Benutzer“) bezieht, löst eine Suche

aus. Auch beim Umschalten zwischen aktivierter und deaktivierter Verschlüsselung wird eine Verschlüsselungssuche ausgelöst.

Malware Protection (Vollständige Virenüberprüfung) – Malware Protection Full Scan durchsucht die folgenden Speicherorte auf

Bedrohungen:

• Das Computerspeicher auf installierte Rootkits.

• Verborgene Prozesse und anderes Verhalten, das darauf hindeutet, dass eine Malware sich zu verbergen versucht.

• Den Speicher aller laufenden Prozesse, alle Festplatten und deren Unterordner auf dem Computer.

Malware Protection (Schnelle Virenüberprüfung) – Malware Protection Quick Scan durchsucht die folgenden Speicherorte auf

Bedrohungen:

• Den Speicher aller laufenden Prozesse.

• Dateien, auf die von der Windows-Registrierungsdatei verwiesen wird

• Den Inhalt des Windows-Ordners.

• Den Inhalt des Temp-Ordners.

On-Access-Malware-Schutz - Wenn ein Benutzer auf Dateien, Ordner und Programme zugreift, wird die Operation vom zugrisbasierten

Scanner abgefangen und das Element gescannt.

Einmalpasswort (OTP) – Ein Einmalpasswort ist ein Passwort mit begrenzter Gültigkeit, das nur einmal verwendet werden kann. Für die

OTP-Funktion muss ein TPM vorhanden, aktiviert und zugewiesen sein. Für die Aktivierung der OTP-Funktion muss ein Mobilgerät mit dem

Computer über die Security Console und die Security Tools Mobile-App gekoppelt werden. Die Security Tools | Mobile-App generiert das

Passwort auf dem Mobilgerät, mit dem die Anmeldung auf dem Computer über den Windows-Anmeldebildschirm erfolgt. Je nach Richtlinie

kann die OTP-Funktion verwendet werden, um den Zugri auf den Computer wiederherzustellen, falls das Passwort abgelaufen ist oder

vergessen wurde, vorausgesetzt, das OTP wurde nicht bereits für die Anmeldung am Computer verwendet. Die OTP-Funktion kann zur

Authentizierung oder zur Wiederherstellung verwendet werden, aber nicht für beides. OTP ist sicherer als einige andere

Authentizierungsmethoden, weil das generierte Passwort nur einmal verwendet werden kann und nach kurzer Zeit abläuft.

Preboot-Authentizierung (PBA) – Die Preboot-Authentizierung dient als Erweiterung des BIOS oder der Systemstart-Firmware und

schat eine sichere, manipulationsgeschützte Umgebung außerhalb des Betriebssystems als vertrauenswürdige Authentizierungsebene.

Die PBA unterbindet den Zugri auf die Festplatte und somit auch auf das Betriebssystem, bis der Benutzer die richtigen

Anmeldeinformationen eingibt.

SED Management – SED Management ist eine Plattform für die sichere Verwaltung selbstverschlüsselnder Laufwerke.

Selbstverschlüsselnde Laufwerke haben zwar eine eigene Verschlüsselungsfunktion, ihnen fehlt aber eine Plattform für die Verwaltung ihrer

Verschlüsselung mit den verfügbaren Richtlinien. SED Management ist eine zentrale, skalierbare Verwaltungskomponente, mit der Sie

Daten wirksamer schützen. SED Management beschleunigt und vereinfacht die Administration von Unternehmensdaten.

System Data Encryption (SDE) – Mit SDE werden das Betriebssystem und die Programmdateien verschlüsselt. Dazu muss SDE in der Lage

sein, den Schlüssel beim Start des Betriebssystems zu önen. SDE dient zum Schutz des Betriebssystems vor unbefugten Änderungen

102

Dell Data Protection | Endpoint Security Suite

Glossar