Nachdem Sie einem Gerät eine Richtlinie zugewiesen haben, unterscheiden sich die Richtliniendurchsetzung und der Workflow zur Festplattenverschlüsselung geringfügig, wenn Sie die Preboot-Authentifizierung verwenden. Im Folgenden werden die Konzepte für die Festplattenverschlüsselung und Preboot-Authentifizierung beschrieben, die Sie verstehen müssen, wenn Sie eine Festplattenverschlüsselungsrichtlinie auf ein Gerät anwenden.
ZENworks Full Disk Encryption bietet softwarebasierte Verschlüsselung für Standard-, Solid State- und selbstverschlüsselte Festplatten.
Mit Full Disk Encryption steht Ihnen eine sektorbasierte Verschlüsselung der gesamten Festplatte oder ausgewählter Volumes (Partitionen) zur Verfügung. Alle Dateien in einem Volume werden verschlüsselt, einschließlich etwaiger temporärer Dateien, Auslagerungsdateien oder Betriebssystemdateien. Da alle Dateien verschlüsselt werden, ist beim Booten des Computers von einem externen Medium wie CD-ROM, Diskette oder USB-Laufwerk kein Zugriff auf die Daten möglich.
Alle 3,5- oder 2,5-Zoll-Festplatten mit dem IDE-, SATA- oder PATA- Schnittstellenstandard sind kompatibel.
Sie können den Branchenstandard-Verschlüsselungsalgorithmus (AES, Blowfish, DES oder DESX) und die Schlüssellänge auswählen, die die Anforderungen Ihrer Organisation am besten erfüllt. Wenn die Gerätefirmware für UEFI konfiguriert ist, werden der AES-Algorithmus und die Schlüssellänge 256 automatisch verwendet.
HINWEIS:Das Kryptografiemodul, das in ZENworks Full Disk Encryption zum Verschlüsseln von standardmäßigen Festplatten verwendet wird, ist nicht nach dem Federal Information Processing Standard (FIPS) 140-2 zertifiziert. Das Kryptografiemodul implementiert jedoch die Standards, die der Zertifizierung nach FIPS 140-2 Level 1 entsprechen.
ZENworks Full Disk Encryption schützt die Daten eines Geräts, wenn das Gerät ausgeschaltet wurde bzw. sich im Ruhezustand befindet. Sobald sich ein Benutzer erfolgreich beim Windows-Betriebssystem angemeldet hat, sind die verschlüsselten Volumes nicht mehr geschützt und der Benutzer kann ungehindert auf die Daten zugreifen. Für eine höhere Anmeldesicherheit können Sie die Preboot-Authentifizierung (PBA) von ZENworks verwenden.
Bei der ZENworks-PBA handelt es sich um eine Linux-basierte Komponente. Wenn die Festplattenverschlüsselungsrichtlinie auf ein Gerät angewendet wird, wird eine 500-MB-Partition mit einem Linux-Kernel und der ZENworks-PBA auf der Festplatte erstellt.
Während des normalen Betriebs bootet das Gerät in die Linux-Partition und lädt die ZENworks-PBA. Sobald der Benutzer den entsprechenden Berechtigungsnachweis (Benutzer-ID/Passwort oder Smartcard) bereitstellt, wird die PBA terminiert und das Windows-Betriebssystem bootet und gestattet den Zugriff auf die verschlüsselten Daten auf den zuvor verborgenen und unzugänglichen Windows-Laufwerken.
Die Linux-Partition ist gehärtet, bietet also einen höheren Schutz, und die ZENworks-PBA ist mit MD5-Prüfsummen und starker Verschlüsselung für Authentifizierungsschlüssel vor Änderungen geschützt.
ZENworks-Preboot-Authentifizierung wird dringend empfohlen. Wenn Sie ZENworks-PBA nicht verwenden, sind verschlüsselte Daten nur durch die Windows-Authentifizierung geschützt.
Weitere Informationen zur Preboot-Authentifizierung von ZENworks finden Sie im Handbuch ZENworks Full Disk Encryption PBA Reference (ZENworks: Referenz für die PBA zur vollständigen Festplattenverschlüsselung).