Dopo aver assegnato una policy a un dispositivo, il workflow di applicazione della policy e di cifratura del disco varia leggermente se si utilizza un'autenticazione di preavvio. Di seguito sono riportati i concetti per la cifratura disco e l'autenticazione di preavvio necessari per capire quando applicare una policy di cifratura disco a un dispositivo.
ZENworks Full Disk Encryption fornisce la cifratura basata su software in dischi rigidi standard, a stato solido e con cifratura automatica.
ZENworks Full Disk Encryption fornisce la cifratura basata su settori dell'intero disco o di volumi selezionati (partizioni). Vengono cifrati tutti i file di un volume, inclusi eventuali file temporanei, file swap o file del sistema operativo. Dal momento che tutti i file sono cifrati, non è possibile accedere ai dati quando si avvia il computer da supporti esterni come un CD-ROM, un disco floppy o un'unità USB.
I dischi rigidi compatibili sono quelli da 3,5 o 2,5 pollici dotati di interfaccia standard IDE, SATA o PATA.
È possibile scegliere l'algoritmo di cifratura standard del settore (AES, Blowfish, DES o DESX) e la lunghezza della chiave che soddisfano meglio i requisiti della propria organizzazione. Se il firmware del dispositivo è configurato per UEFI, vengono utilizzati automaticamente l'algoritmo AES e la lunghezza chiave 256.
NOTA:il modulo di cifratura utilizzato in ZENworks Full Disk Encryption per cifrare i dischi rigidi standard non è certificato FIPS (Federal Information Processing Standard) 140-2. Nel modulo di cifratura sono tuttavia implementati standard coerenti con la certificazione FIPS 140-2 di Livello 1.
ZENworks Full Disk Encryption protegge i dati di un dispositivo quando questo è spento o è in modalità di ibernazione. Non appena qualcuno esegue il login al sistema operativo Windows, i volumi cifrati non sono più protetti e i dati possono essere accessibili da chiunque. Per rendere più sicuro il login, è possibile utilizzare ZENworks Pre-Boot Authentication (PBA).
ZENworks PBA è un componente basato su Linux. Quando si applica la policy di cifratura disco a un dispositivo, sul disco rigido viene creata una partizione di 500 MB contenente un kernel Linux e ZENworks PBA.
Durante il funzionamento normale il dispositivo si avvia sulla partizione Linux e carica ZENworks PBA. Non appena l'utente fornisce le credenziali (ID utente/password o smart card), il software PBA viene terminato e viene eseguito l'avvio del sistema operativo Windows. In questo modo è possibile accedere ai dati cifrati sulle unità Windows precedentemente nascoste e inaccessibili.
Alla partizione Linux viene applicata la protezione avanzata per aumentare la sicurezza e ZENworks PBA non può essere modificato grazie all'utilizzo di checksum MD5 e della cifratura avanzata per le chiavi di autenticazione.
ZENworks Pre-Boot Authentication è vivamente consigliato. Se non si utilizza ZENworks PBA, i dati cifrati vengono protetti solo tramite l'autenticazione di Windows.
Per ulteriori informazioni su ZENworks Pre-Boot Authentication, vedere ZENworks Full Disk Encryption PBA Reference (in lingua inglese)