為裝置指定規則後,如果使用開機前驗證,規則執行和磁碟加密工作流程會略有變化。以下是您在將磁碟加密規則套用至裝置時需要瞭解的有關磁碟加密和開機前驗證的一些概念。
ZENworks Full Disk Encryption 可對標準硬碟、固態硬碟和自我加密硬碟提供基於軟體的加密。
Full Disk Encryption 可為整個磁碟或選定的磁碟區 (分割區) 提供基於磁區的加密。磁碟區上的所有檔案都會進行加密,包括所有暫存檔案、交換檔或作業系統檔案。由於所有檔案都已加密,因此從外部媒體 (例如光碟機、磁片或 USB 磁碟機) 將電腦開機時無法存取資料。
符合 IDE、SATA 或 PATA 介面標準的所有 3.5 或 2.5 英吋磁碟均相容。
您可以選擇業界標準的加密演算法 (AES、Blowfish、DES 或 DESX),以及最符合貴組織要求的金鑰長度。如果裝置韌體是針對 UEFI 而設定,則將自動使用 AES 演算法和 256 金鑰長度。
附註:ZENworks Full Disk Encryption 中用於加密標準硬碟的加密模組未獲得 Federal Information Processing Standard (聯邦資訊處理標準,FIPS) 140-2 認證。不過,加密模組實作的標準與 FIPS 140-2 一級認證一致。
ZENworks Full Disk Encryption 可以在裝置關閉或處於休眠模式時保護裝置資料。一旦有人成功登入 Windows 作業系統,加密磁碟區便不再受保護,而且資料可以任由其存取。若要提供更高的登入安全性,可以使用 ZENworks 開機前驗證 (PBA)。
ZENworks PBA 是一個基於 Liunx 的元件。將磁碟加密規則套用至裝置後,硬碟上會建立一塊大小為 500 MB,包含 Linux 核心和 ZENworks PBA 的分割區。
在正常作業期間,裝置會開機到該 Linux 分割區,並載入 ZENworks PBA。當使用者提供正確的身分證明 (使用者 ID/密碼或智慧卡) 後,PBA 會終止,且 Windows 作業系統會開機,並允許使用者存取先前已隱藏且不可存取之 Windows 磁碟機中的加密資料。
Linux 分割區已經過強化處理以提升安全性,另外,ZENworks PBA 透過使用 MD5 檢查總數來防止被變更,並對驗證金鑰進行增強式加密。
強烈建議使用 ZENworks 開機前驗證。如果不使用 ZENworks PBA,加密資料只會受 Windows 驗證這一層保護。
如需 ZENworks 開機前驗證的詳細資訊,請參閱《ZENworks Full Disk Encryption PBA Reference》(ZENworks Full Disk Encryption PBA 參考)。