为设备指派策略后,如果使用预引导鉴定,策略实施和磁盘加密工作流程会略有变化。以下是您在为设备应用磁盘加密策略时需要了解的有关磁盘加密和预引导鉴定的一些概念。
ZENworks Full Disk Encryption 可对标准硬盘、固态硬盘和自加密硬盘提供基于软件的加密。
Full Disk Encryption 可为整个磁盘或选定的卷(分区)提供基于扇区的加密。卷上的所有文件都会加密,包括任何临时文件、交换文件或操作系统文件。由于所有文件都会加密,从 CD-ROM、软盘或 USB 驱动器等外部媒体引导计算机时,将无法访问数据。
符合 IDE、SATA 或 PATA 接口标准的所有 3.5 或 2.5 英寸磁盘都兼容。
您可以选择行业标准加密算法(AES、Blowfish、DES 或 DESX)以及与贵组织要求最相符的密钥长度。如果设备固件是针对 UEFI 配置的,则会自动使用 AES 算法和 256 密钥长度。
注:ZENworks Full Disk Encryption 中用于加密标准硬盘的加密模块未经 Federal Information Processing Standard(联邦信息处理标准,FIPS)140-2 认证。不过,加密模块实施的标准与 FIPS 140-2 一级认证一致。
ZENworks Full Disk Encryption 可以在设备关闭或处于休眠模式时保护设备数据。一旦有人成功登录 Windows 操作系统,加密卷便不再受保护,而且数据可以任由其访问。如果要提供更高的登录安全性,可以使用 ZENworks 预引导鉴定 (PBA)。
ZENworks PBA 是基于 Linux 的组件。对设备应用磁盘加密策略后,硬盘上会创建一块大小为 500 MB,包含 Linux 内核和 ZENworks PBA 的分区。
在进行常规操作时,设备会引导至该 Linux 分区并装载 ZENworks PBA。用户提供合适的身份凭证(用户 ID/口令或智能卡)后,PBA 即会终止,Windows 操作系统随之启动,让用户能够访问之前隐藏起来无法访问的 Windows 驱动器上的加密数据。
Linux 分区经过强化,可以提升安全性,另外,ZENworks PBA 通过使用 MD5 校验和来防止被更改,并对鉴定密钥进行强加密。
强烈建议您使用 ZENworks 预引导鉴定。如果不使用 ZENworks PBA,加密数据只会受 Windows 鉴定这一层保护。
有关 ZENworks 预引导鉴定的详细信息,请参见《ZENworks Full Disk Encryption PBA Reference》(ZENworks Full Disk Encryption PBA 参考手册)。