Zum Inhalt

Häufig gestellte Fragen (Windows)

Im Folgenden finden Sie häufig gestellte Fragen zu Sophos Central Device Encryption auf Windows-Computern.

Welche Windows-Versionen kann ich verwenden?

Eine Liste der unterstützten Plattformen finden Sie unter Unterstützte Windows Endpoint- und Server-Plattformen.

Sophos Central Device Encryption unterstützt keine Windows-Partitionen, die auf einem Mac mit Boot Camp erstellt wurden.

Welche Arten von Volumes kann ich verschlüsseln?

Sophos Central Device Encryption ermöglicht die Verschlüsselung von System- und Datenvolumes. Mit Sophos Central Device Encryption 1.4 und höher können Sie System-Volumes verschlüsseln und Daten-Volumes unverschlüsselt lassen.

Sophos Central Device Encryption unterstützt keine Wechselmedien. Sie können diese Geräte mit BitLocker To Go verschlüsseln, verwalten aber ihre Wiederherstellungsschlüssel nicht mit Sophos Central Device Encryption und zeigen sie nicht in Sophos Central Admin an.

Wie funktioniert die sichere Dateifreigabe?

Benutzer haben zwei Möglichkeiten, Dateien für eine sichere Freigabe durch ein Kennwort zu schützen:

  • Verschlüsseln von E-Mail-Anhängen in Windows Outlook.
  • Verschlüsseln ausgewählter Dateien in Windows Explorer.

Beide Optionen verschlüsseln die freizugebenden Dateien mit AES-256-Verschlüsselung und speichern sie in einer kennwortgeschützten HTML-Datei. Benutzer können die HTML-Datei intern oder extern freigeben. Empfänger benötigen nur einen Webbrowser und das Kennwort, um die Dateien zu entschlüsseln.

Siehe Dateien für den sicheren Austausch mit Kennwort schützen.

Kann ich Benutzer auffordern, ihr Passwort zurückzusetzen?

Anhand der Einstellung Ein neues Authentifizierungskennwort/eine neue PIN vom Benutzern anfordern in der Richtlinie „Device Encryption“ lässt sich ein Zeitraum konfigurieren, in dem Benutzer aufgefordert werden, ihr BitLocker-Kennwort oder ihre PIN zu ändern.

Um eine sofortige Kennwortänderung auf einem einzelnen Computer zu veranlassen, verwenden Sie Änderung des Passworts/der PIN auslösen auf der Detailseite des Computers (auf der Registerkarte Zusammenfassung unter Device Encryption).

Siehe Benutzer auffordern, Passwort/PIN zu ändern.

Welche BitLocker-Schutzarten kann ich konfigurieren?

Sie können folgenden Schutzarten konfigurieren:

  • Nur TPM
  • TPM+PIN
  • Passphrasen
  • USB-Stick

Informationen darüber, welche Windows-Plattform welche Typen unterstützt, finden Sie unter Device Encryption Systemkompatibilität.

Wie wechsle ich von TPM-only zu TPM PIN?

Wenn Sie BitLocker ohne Startauthentifizierung (TPM-only) nutzen, können Sie jederzeit zu TPM PIN wechseln, indem Sie Authentifizierung bei Start erforderlich in der Richtlinie „Device Encryption“ aktivieren.

Wird BitLocker Network Unlock unterstützt?

Sie können BitLocker Network Unlock mit Sophos Central Device Encryption nicht konfigurieren oder verwalten.

Wenn Sie Ihre Infrastruktur jedoch so konfiguriert haben, dass Network Unlock auf mit BitLocker verschlüsselten Computern verwendet wird, können Sophos Central Device Encryption und Network Unlock gleichzeitig genutzt werden.

Wird der FIPS-Modus unterstützt?

Ja. Sophos Central Device Encryption kann Computer verwalten, wenn die Windows-Gruppenrichtlinienobjekt-Einstellung Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden aktiviert ist.

Kann ich bereits verschlüsselte Computer verwalten?

Ja. Wenn Sie mit der Verwaltung von Computern beginnen, die bereits mit BitLocker verschlüsselt sind, ersetzt Sophos Central Device Encryption vorhandene Schlüsselschutzvorrichtungen.

Kann ich von SafeGuard Enterprise migrieren ?

Mit Sophos SafeGuard Enterprise 8 und höher können Sie das BitLocker-Modul deinstallieren, ohne die Volumes zu entschlüsseln. Im Anschluss können Sie BitLocker über Sophos Central Device Encryption verwalten.

Kann ich Wiederherstellungsschlüssel in Active Directory speichern?

Ja. Sie können BitLocker-Wiederherstellungsschlüssel in Active Directory speichern.

Werden SGN File Encryption Module unterstützt?

Ich verwende die Sophos SafeGuard Enterprise File Encryption Module (Data Exchange, File Encryption oder Synchronized Encryption) zum Schutz von Dateien. Kann ich Sophos Central Device Encryption nutzen?

Ja. Sie können beide Produkte parallel verwenden.

Wie kann ich ein Volume entschlüsseln?

Entfernen Sie je nach ausgewähltem Richtlinientyp alle Benutzer oder Computer aus der Richtlinie. Verfahren Sie dann wie folgt:

  1. Klicken Sie in Windows Explorer mit der rechten Maustaste auf das Volume, das Sie entschlüsseln möchten.
  2. Wählen Sie BitLocker verwalten.
  3. Wählen Sie im Dialog BitLocker-Laufwerkverschlüsselung die Option BitLocker deaktivieren.

Sie müssen Windows-Administrator sein, um diesen Vorgang ausführen zu können.

Können Benutzer verschlüsselte Daten-Volumes wiederherstellen?

Nein. In Sophos Central Self Service Portal können Benutzer nur das Startvolume wiederherstellen und der zuletzt auf einem Computer angemeldete Benutzer kann das Systemvolume wiederherstellen.

Wann startet BitLocker im Wiederherstellungsmodus?

Häufige Gründe für die Anforderung eines Wiederherstellungsschlüssels durch BitLocker während des Starts sind:

  • Der Benutzer vergisst die TPM-PIN (wenn Sie die TPM-PIN-Authentifizierung aktiviert haben).
  • Das mit BitLocker geschützte Laufwerk wurde auf einem neuen Computer installiert.
  • TPM wurde ausgeschaltet, deaktiviert oder gelöscht.
  • Das BIOS wurde aktualisiert.
  • Wichtige Frühstartkomponenten wurden aktualisiert, was dazu führt, dass die Systemintegritätsprüfung fehlschlägt (TPM).
  • Die Option-ROM-Firmware wurde aktualisiert.
  • Das Motherboard wurde durch ein neues mit einem neuen TPM ersetzt.

Weitere mögliche Ursachen finden Sie im Microsoft-Dokument Was könnte dazu führen, dass BitLocker im Wiederherstellungsmodus startet?.

Wie kann ich Probleme beheben?

Aktivieren Sie die Protokollierung und Nachverfolgung. Überprüfen Sie anschließend Status- und Fehlermeldungen in den Protokollen.

Siehe Konfigurieren der Protokoll- und Trace-Datei.

Wie groß ist die Mindestgröße des Volumes?

Sophos Central Device Encryption ignoriert Volumes mit 64 MB oder weniger.

Welche Rollen können einen Wiederherstellungsschlüssel erhalten?

Um einen Wiederherstellungsschlüssel in Sophos Central Admin abzurufen, ist eine der folgenden Rollen erforderlich: HelpDesk, Admin, SuperAdmin.

Wie exportiere ich Wiederherstellungsschlüssel?

BitLocker-Wiederherstellungsschlüssel können nicht aus Sophos Central Device Encryption exportiert werden. Dadurch wird das Risiko einer unsicheren Aufbewahrung von Schlüsseln außerhalb von Sophos Central reduziert.

Wiederherstellungsschlüssel helfen Benutzern, die ihre Anmelde-PIN oder ihr Kennwort vergessen haben. Wenn ein Administrator auf einen Wiederherstellungsschlüssel in Sophos Central Admin zugreift, generiert BitLocker einen neuen Schlüssel, der sicher in Sophos Central gespeichert wird.

Wenn Sie ein Gerät zu einer BitLocker-Verwaltungsanwendung eines Drittanbieters migrieren möchten, empfehlen wir, einen neuen Wiederherstellungsschlüssel in dieser Anwendung zu erstellen, wenn die Anwendung mit der Verwaltung des Geräts beginnt.