11.5 Informationen zu den Vorgängen nach dem Zuweisen einer Richtlinie zu einem Gerät

Sobald Sie einem Gerät eine Richtlinie zugewiesen haben, ist der Arbeitsablauf zum Durchsetzen dieser Richtlinie auf diesem Gerät abhängig vom Gerättyp (Standard oder selbstverschlüsselnd):

11.5.1 Standardfestplatte

Nach der Zuweisung einer Festplattenverschlüsselungsrichtlinie (nur Verschlüsselung, keine Preboot-Authentifizierung) zu einem Gerät mit Standardfestplatten wird der folgende Prozess ausgeführt:

  1. Bei der nächsten Aktualisierung des ZENworks Adaptive Agent wird die Festplattenverschlüsselungsrichtlinie empfangen.

  2. Der ZENworks-Agent für die vollständige Festplattenverschlüsselung wendet die Richtlinie auf das Gerät an.

  3. Das Gerät bootet neu entsprechend der in der Richtlinie vorhandenen Einstellung für den Neustart nach der Festplattenverschlüsselung. Beim Neustart passiert Folgendes:

    • Ein CheckDisk wird durchgeführt, wenn die Option Windows-CheckDisk mit Reparatur in der Richtlinie aktiviert ist. Unter Windows XP wird der Prozess bei Bedarf auch dann ausgeführt, wenn die Option nicht aktiviert ist.

    • Eine 100 MB große ZENworks-Partition wird erstellt. In dieser Partition werden Dateien für die vollständige Festplattenverschlüsselung sowie die Datei mit den Informationen zur Notfallwiederherstellung (ERI-Datei) gespeichert.

    • Die Treiber für die vollständige Festplattenverschlüsselung werden initialisiert.

    • Der Benutzer wird aufgefordert, sich bei Windows anzumelden.

  4. Die in der Richtlinie angegebenen Ziel-Festplatten-Volumes werden verschlüsselt.

    Abhängig von der Anzahl der zu verschlüsselnden Volumes und der Datenmenge kann die Verschlüsselung einige Zeit in Anspruch nehmen. Wenn das Gerät während des Verschlüsselungsprozesses neu gestartet wird, wird der Prozess neu gestartet, wo er vor dem Neustart abgebrochen wurde.

    Im Info-Fenster von ZENworks Full Disk Encryption können Sie den Verschlüsselungsprozess überwachen:

11.5.2 Standardfestplatte mit Preboot-Authentifizierung

Nach der Zuweisung einer Festplattenverschlüsselungsrichtlinie (Verschlüsselung und Preboot-Authentifizierung) zu einem Gerät mit Standardfestplatten wird der folgende Prozess ausgeführt:

  1. Bei der nächsten Aktualisierung des ZENworks Adaptive Agent wird die Festplattenverschlüsselungsrichtlinie empfangen.

  2. Der ZENworks-Agent für die vollständige Festplattenverschlüsselung wendet die Richtlinie auf das Gerät an.

  3. Das Gerät bootet neu entsprechend der in der Richtlinie vorhandenen Einstellung für den Neustart nach der Festplattenverschlüsselung. Beim Neustart passiert Folgendes:

    • Ein CheckDisk wird durchgeführt, wenn die Option Windows-CheckDisk mit Reparatur in der Richtlinie aktiviert ist. Unter Windows XP wird der Prozess ausgeführt, falls erforderlich, auch wenn die Option nicht in der Richtlinie aktiviert ist.

    • Eine 100 MB große ZENworks-Partition wird erstellt. In dieser Partition werden die Verschlüsselungsdateien, die Datei mit den Informationen zur Notfallwiederherstellung (ERI-Datei) und der ZENworks PBA-Linux-Kernel gespeichert.

    • Die Festplattenverschlüsselungstreiber und die ZENworks-PBA werden initialisiert.

    • Der Benutzer wird aufgefordert, sich bei Windows anzumelden.

  4. Nach der erfolgreichen Anmeldung bei Windows wird das Gerät gemäß der PBA-Neustarteinstellung für die Richtlinie neu gestartet. Beim Neustart passiert Folgendes:

    • Wenn die Benutzererfassung aktiviert ist, erhält der Benutzer eine informative Aufforderung, woraufhin die Windows-Anmeldung angezeigt wird. Wenn sich der Benutzer anmeldet (per Benutzer-ID/Passwort oder Smartcard), erfasst die ZENworks-PBA den Berechtigungsnachweis. Bei allen folgenden Neustarts wird dem Benutzer die ZENworks-PBA-Anmeldung angezeigt, in der er den erfassten Berechtigungsnachweis angeben muss.

    • Wenn die Benutzererfassung nicht aktiviert ist, wird der Benutzer aufgefordert, den Berechtigungsnachweis im PBA-Anmeldebildschirm einzugeben. Der Benutzer muss einen gültigen Berechtigungsnachweis für einen in der Richtlinie definierten PBA-Benutzer oder eine Smartcard eingeben. Wenn das Single-Sign On nicht aktiviert ist, wird die Windows-Anmeldung angezeigt und der Benutzer muss einen gültigen Windows-Berechtigungsnachweis für die Anmeldung eingeben.

  5. Nach der erfolgreichen Anmeldung werden die in der Richtlinie angegebenen Ziel-Festplatten-Volumes verschlüsselt.

    Abhängig von der Anzahl der Volumes und Daten, die verschlüsselt werden sollen, kann dies einige Zeit in Anspruch nehmen. Wenn das Gerät während des Verschlüsselungsprozesses neu gestartet wird, wird der Prozess neu gestartet, wo er vor dem Neustart abgebrochen wurde.

    Im Info-Fenster von ZENworks Full Disk Encryption können Sie den Verschlüsselungsprozess überwachen:

11.5.3 Selbstverschlüsselnde Festplatte

Nach der Zuweisung einer Festplattenverschlüsselungsrichtlinie zu einem Gerät mit selbstverschlüsselnden Festplatten wird der folgende Prozess ausgeführt:

  1. Bei der nächsten Aktualisierung des ZENworks Adaptive Agent wird die Festplattenverschlüsselungsrichtlinie empfangen.

  2. Der ZENworks-Agent für die vollständige Festplattenverschlüsselung wendet die Richtlinie auf das Gerät an.

  3. ZENworks legt einen 128 MB große MBR-Shadow an und kopiert den ZENworks PBA-Linux-Kernel in diesen Shadow.

  4. Nach Ablauf des in der PBA-Einstellung Neustart des Geräts erzwingen in xx Minuten in der Richtlinie angegebenen Zeitraums leitet ZENworks das erzwungene Herunterfahren des Geräts ein. Wenn eine andere Einstellung (entweder Sofortigen Neustart des Geräts erzwingen oder Gerät nicht neu starten) als PBA-Neustartoption konfiguriert ist, wird die Einstellung ignoriert und das erzwungene Herunterfahren wird nach 5 Minuten ausgeführt.

    Dies ist ein kaltes Herunterfahren, kein Neustart. Der Benutzer muss das Gerät nach dem Herunterfahren einschalten.

  5. Beim Starten erhält der Benutzer eine informative Aufforderung über die vollständige Festplattenverschlüsselung in ZENworks, woraufhin die Windows-Anmeldung angezeigt wird.

    Während dieser Initialisierung werden die Benutzererfassung und das Single Sign-On unabhängig von den Einstellungen in der Richtlinie aktiviert. Nach Abschluss dieser einmaligen Initialisierung setzt die PBA die Einstellungen für die Benutzererfassung und das Single Sign-On durch, die in der Richtlinie konfiguriert sind.

  6. Wenn sich der Benutzer bei Windows anmeldet (per Benutzer-ID/Passwort oder Smartcard), erfasst die ZENworks-PBA den Berechtigungsnachweis.

    Bei nachfolgenden Neustarts wird die ZENworks-PBA-Anmeldung angezeigt, sodass der Benutzer den erfassten Berechtigungsnachweis oder einen vordefinierten Berechtigungsnachweis in der Benutzer- oder Zertifikatsliste der Richtlinien-PBA angeben kann.