ZENworks 11 Full Disk Encryption (vollständige Festplattenverschlüsselung) schützt die Daten eines Geräts vor nicht autorisiertem Zugriff, wenn das Gerät ausgeschaltet wurde bzw. sich im Ruhezustand befindet. Dadurch wird eine Kombination aus Festplattenverschlüsselung und Preboot-Authentifizierung verwendet.
Die vollständige Festplattenverschlüsselung enthält eine sektorbasierte Verschlüsselung für Standard-IDE, -SATA- und -PATA-Festplatten. Alle Festplatten-Volumes (oder ausgewählte Festplatten-Volumes) werden verschlüsselt, einschließlich Temporärdateien, Auslagerungsdateien und Betriebssystemdateien zu den Volumes. Der Zugriff auf die Daten ist nur möglich, wenn sich ein gültiger Benutzer anmeldet, nicht jedoch durch Booten des Geräts über Medien wie CD/DVD, Diskette oder USB-Laufwerk. Für einen authentifizierten Benutzer unterscheidet sich der Zugriff auf Daten auf der verschlüsselten Festplatte nicht vom Zugriff auf Daten auf einer unverschlüsselten Festplatte.
Die vollständige Festplattenverschlüsselung bietet optional eine Preboot-Authentifizierung sowohl für Standardfestplatten als auch für sich selbst verschlüsselnde Festplatten wie die Seagate Momentus FDE.x-Serie, die einen eingebauten Chip für die Verschlüsselung nutzt. Die ZENworks-Komponente für die Preboot-Authentifizierung (PBA) wird als kleine Linux-Partition auf der Festplatte installiert. Die Anmeldung erfolgt über die ZENworks-PBA, die durch MDT-Prüfsummen gegen Manipulation und durch starke Verschlüsselung für die Schlüssel gegen Passwortextrahierung geschützt ist.
Die ZENworks-PBA unterstützt Single Sign-On mit der Windows-Anmeldung, sodass die Benutzer lediglich einen einzigen Berechtigungsnachweis (entweder Benutzername/Passwort oder Smartcard) verwenden müssen, um sich sowohl über den Windows-Client als auch über die ZENworks-PBA anzumelden.