Device Encryption Schritt für Schritt

Gehen Sie wie folgt vor, um Geräte zu verschlüsseln.

Voraussetzungen:

  • Die Sophos Central Agent Software muss auf den Endpoints installiert sein.
  • Eine Device Encryption Richtlinie muss in Sophos Central definiert und aktiviert sein.
  • Benutzer müssen sich interaktiv an ihren Endpoints anmelden, um sie mit Sophos Central zu verbinden und zu synchronisieren. Beachten Sie, dass Remoteanmeldungen nicht unterstützt werden.
  • Das Betriebssystem muss BitLocker-Laufwerkverschlüsselung unterstützen. Weitere Informationen finden Sie unter Device Encryption vorbereiten und Device Encryption Systemkompatibilität.

Im Folgenden erfahren Sie, was Benutzer sehen und wie sie vorgehen müssen.

  1. Ist die TPM-Sicherheitshardware noch nicht aktiviert, wird eine BIOS-Aktion gestartet, um sie zu aktivieren. Dies erfordert einen Neustart. Benutzer können wählen, ob sie sofort oder später neu starten.
    Während des Neustarts werden Benutzer aufgefordert, das TPM zu aktivieren. Wenn das TPM nicht aktiviert werden kann oder der Benutzer nicht reagiert, wird eine Nachricht ausgegeben.
  2. Ist das TPM aktiv, aber nicht im Besitz, so generiert die Sophos Central Agent Software automatisch neue TPM-Besitzerinformationen. Schlägt dies fehl, wird ein Warnhinweis an Sophos Central gesendet.
  3. Fehlen TPM Endorsement Keys, so werden diese automatisch von der Sophos Central Agent Software erzeugt. Schlägt dies fehl, wird ein Warnhinweis an Sophos Central gesendet.
  4. Wenn in der Device Encryption Richtlinie die Option Authentifizierung bei Start erforderlich deaktiviert ist, beginnt die Verschlüsselung der Festplatte automatisch. In diesem Fall müssen die Benutzer nichts weiter unternehmen. Springen Sie zu Schritt 8.
  5. Wenn in der Device Encryption Richtlinie die Option Authentifizierung bei Start erforderlich aktiviert ist sehen die Benutzer den Sophos Device Encryption Dialog.
    • Schreibt die Device Encryption-Richtlinie eine PIN oder ein Kennwort für die Authentifizierung vor, müssen die Benutzer den Anweisungen auf dem Bildschirm folgen, um eine PIN oder ein Kennwort festzulegen. Wird TPM+PIN verwendet, wird der Schlüssel für die Verschlüsselung des Systemlaufwerks im TPM gespeichert.

      Anmerkung Beim Erstellen eines Kennworts müssen Benutzer Folgendes beachten: In der Pre-Boot-Umgebung wird nur das US-Tastaturlayout (Englisch) unterstützt. Wenn sie jetzt eine PIN oder ein Kennwort mit Sonderzeichen festlegen, müssen sie später bei der Anmeldung möglicherweise andere Tasten für die Eingabe verwenden.
    • Wenn die Device Encryption-Richtlinie einen USB-Schlüssel für die Authentifizierung vorschreibt, müssen sie einen USB-Stick an ihren Computer anschließen. Der USB-Stick muss mit NTFS, FAT oder FAT32 formatiert sein.
  6. Drückt der Benutzer auf Neu starten und verschlüsseln, startet der Computer neu und stellt sicher, dass Device Encryption funktioniert.
    Sie können Später erinnern auswählen, um den Dialog zu schließen. Der Dialog wird allerdings wieder angezeigt sobald sich Benutzer neu anmelden oder wenn Sie die Device Encryption-Richtlinie verändern.
  7. Ist der Benutzer nicht in der Lage, PIN/Kennwort richtig einzugeben, kann er die Esc-Taste drücken. Das System startet normal, da noch keine Verschlüsselung durchführt wurde. Bei der nächsten Anmeldung wird der Benutzer erneut aufgefordert, PIN/Kennwort einzugeben.
  8. Sie können sehen, welche Benutzer die Verschlüsselung noch nicht aktiviert haben. Das bedeutet, dass Benutzer ihren Computer noch nicht neu gestartet haben oder dass sie die Anweisungen noch nicht ausgeführt haben. Sehen Sie unter Berichte in Sophos Central nach.
  9. War der Pre-Boot-Test erfolgreich, beginnt die Sophos Central Software mit der Verschlüsselung der lokalen Festplatten. Die Verschlüsselung passiert im Hintergrund, daher können Benutzer wie gewohnt mit dem Computer weiterarbeiten.
    Schlägt der Hardware-Test fehl, startet das System neu und es wird keine Verschlüsselung durchgeführt. Eine Ereignismeldung wird an Sophos Central gesendet, um Sie zu informieren.
  10. Nachdem der Sophos Central Agent das Systemlaufwerk verschlüsselt hat, wird die Verschlüsselung der Datenvolumes gestartet, sofern dies in der Richtlinie definiert ist. Der Schutz für diese Volumes ist auf dem Systemlaufwerk gespeichert, so dass Datenvolumes automatisch nach dem Hochfahren verfügbar sind. Dass bedeutet, dass Benutzer nach der Anmeldung an ihrem Computer keine weiteren Schritte vornehmen müssen. Wechseldatenträger wie zum Beispiel USB-Speichersticks werden nicht verschlüsselt.

Auf dem Endpoint stehen die beiden Log-Dateien CDE.log und CDE_trace.xml unter %ProgramData%\Sophos\Sophos Data Protection\Logs zur Verfügung.