Authentisierung

Richtlinieneinstellung Erklärung
Zugriff
Benutzer kann nur von interner Festplatte booten:
Anmerkung: Diese Einstellung wird nur von Endpoints unterstützt, auf denen eine ältere SafeGuard Enterprise Version als 6.1 installiert ist. Mit dieser Option konnte es dem Benutzer ermöglicht werden, den Endpoint von externen Medien zu starten. Ab Version 6.1 hat diese Einstellung keine Wirkung mehr auf Endpoints. Für diese Recovery-Szenario können Sie nun den Recover-Vorgang mit virutellen Clients anwenden, siehe Challenge/Response mit virtuellen Clients.
Legt fest, ob Benutzer den Computer von Festplatte und/oder anderem Medium starten dürfen.

JA: Benutzer darf ausschließlich von der Festplatte booten. Die Möglichkeit, den Computer mit Diskette oder einem weiteren externen Medium zu starten, wird nicht in der SafeGuard POA angeboten.

NEIN: Benutzer darf den Computer von Festplatte, Diskette oder einem externen Medium (USB, CD etc.) starten.

Anmeldeoptionen
Anmeldemodus Legt fest, wie sich Benutzer in der SafeGuard POA authentisieren müssen.
  • Benutzername/Kennwort

    Benutzer müssen sich mit ihrem Benutzernamen und Kennwort anmelden.

  • Token

    Der Benutzer darf sich nur mit einem Token oder einer Smartcard in der SafeGuard POA anmelden. Dieses Verfahren bietet eine höhere Sicherheit. Bei der Anmeldung wird der Benutzer aufgefordert, seinen Token einzustecken. Durch den Besitz des Token und der Eingabe der PIN wird die Identität des Benutzers verifiziert. Nach korrekter Eingabe der PIN liest SafeGuard Enterprise automatisch die Daten für die Anmeldung des Benutzers aus.

Anmerkung: Beachten Sie, dass Sie sich bei Wahl dieses Anmeldeverfahrens nur mit einem vorher ausgestellten Token anmelden können.

Sie können die Einstellungen Benutzername/Kennwort und Token kombinieren. Um zu prüfen, ob die Anmeldung mit Token reibungslos funktioniert, wählen Sie zunächst beide Einstellungen aus. Erst nach erfolgreicher Token-Anmeldung sollten Sie den Anmeldemodus Benutzername/Kennwort deaktivieren. Damit ein Umschalten zwischen den Anmeldemodi möglich ist, erlauben Sie den Benutzern, sich einmal mit beiden Einstellungen kombiniert anzumelden, da es sonst zu einer Blockierung bei der Anmeldung kommen kann. Wenn Sie Local Self Help für die Token-Anmeldung zulassen möchten, müssen Sie die beiden Einstellungen ebenfalls kombinieren.

  • Fingerabdruck

    Wählen Sie diese Option, um die Anmeldung mit Lenovo-Fingerabdruck-Leser zu aktivieren. Benutzer, für die diese Richtlinie wirksam ist, können sich mit Fingerabdruck oder Benutzername/Kennwort anmelden. Dieser Vorgang bietet das höchste Maß an Sicherheit. Bei der Anmeldung führt die Benutzer den Finger über den Fingerabdruck-Leser. Wenn der Fingerabdruck erfolgreich erkannt wurde, liest die SafeGuard Power-on Authentication die Anmeldeinformationen des Benutzers und meldet den Benutzer an der Power-on Authentication an. Die Anmeldeinformationen werden dann an Windows übertragen und der Benutzer wird an seinem Computer angemeldet.

    Anmerkung: Nach Auswahl dieses Anmeldevorgangs kann sich der Benutzer nur mit einem vorher registrierten Fingerabdruck oder mit Benutzername und Kennwort anmelden. Die Anmeldeverfahren Token und Fingerabdruck lassen sich auf einem Computer nicht miteinander kombinieren.
Erfolglose Anmeldeversuche dieses Benutzers anzeigen Wenn hier Ja eingestellt ist: Nach der Anmeldung bei SafeGuard POA und Windows wird ein Dialog mit Informationen über die letzte fehlgeschlagene Anmeldung (Benutzername/Datum/Zeit) angezeigt.
Letzte Benutzeranmeldung anzeigen Wenn hier Ja eingestellt ist: Nach der Anmeldung bei SafeGuard POA und Windows wird ein Dialog mit folgenden Informationen angezeigt:
  • Letzte erfolgreiche Anmeldung (Benutzername/Datum/Zeit)

  • Letzte Anmeldeinformationen des angemeldeten Benutzers

'Erzwungene Abmeldung' bei Sperre der Arbeitsstation deaktivieren:
Anmerkung: Diese Einstellung wird nur unter Windows XP wirksam. Windows XP wird mit SafeGuard Enterprise 6.1 nicht länger unterstützt. Die entsprechende Richtlinie ist im SafeGuard Management Center 7.0 noch verfügbar, um SafeGuard Enterprise 6 Clients zu unterstützen, die über ein 6.1 Management Center verwaltet werden.
Wenn Benutzer den Endpoint nur für kurze Zeit verlassen wollen, können Sie den Rechner per Klick auf die Schaltfläche Arbeitsstation sperren für andere Benutzer sperren und danach mit ihrem Kennwort wieder entsperren. Nein: Sowohl der Benutzer, der die Arbeitsstation gesperrt hat, als auch ein Administrator kann die Sperre aufheben. Hebt ein Administrator die Sperre auf, so wird der aktuell angemeldete Benutzer zwangsweise abgemeldet. Ja: Diese Einstellung ändert dieses Verhalten. In diesem Fall kann nur der Benutzer die Sperre des Computers aufheben. Ein Aufheben der Sperre durch den Administrator und das damit verbundene erzwungene Abmelden des Benutzers ist nicht mehr möglich.
Letzte Benutzer/Domänen-Auswahl aktivieren Ja: Die SafeGuard POA speichert den Benutzernamen und die Domäne des letzten angemeldeten Benutzers. Benutzer müssen den Benutzernamen also nicht jedes Mal eingeben, wenn sie sich anmelden.

Nein: Die SafeGuard POA speichert den Benutzernamen und die Domäne des letzten angemeldeten Benutzers nicht.

Service Account Liste Um zu verhindern, dass durch administrative Vorgänge auf einem durch SafeGuard Enterprise geschützten Endpoint die Power-on Authentication aktiviert wird und Rollout-Beauftragte als Benutzer zum Endpoint hinzugefügt werden, bietet SafeGuard Enterprise Service Account Listen für die Windows-Anmeldung an SafeGuard Enterprise Endpoints. Die in den Listen enthaltenen Benutzer werden als SafeGuard Enterprise Gastbenutzer behandelt

Damit Sie hier eine Liste auswählen können, müssen Sie diese zunächst im Richtlinien-Navigationsbereich unter Service Account Listen anlegen.

Durchgehende Anmeldung an Windows
Anmerkung: Soll der Benutzer in der Lage sein, anderen Benutzern Zugriff auf “seinen“ Computer zu gewähren, muss er in der Lage sein, die durchgehende Anmeldung an Windows zu deaktivieren.
  • Benutzer wählen lassen

    Im SafeGuard POA Anmeldedialog kann der Benutzer durch Aktivieren/Deaktivieren dieser Option entscheiden, ob er automatisch an Windows angemeldet werden will oder nicht.

  • Durchgehende Anmeldung deaktivieren

    Nach der Anmeldung an der SafeGuard POA wird anschließend der Windows-Anmeldedialog angezeigt. Der Benutzer muss sich manuell an Windows anmelden.

  • Durchgehende Anmeldung erzwingen

    Der Benutzer wird immer automatisch an Windows angemeldet.

BitLocker-Optionen

BitLocker Anmeldemodus für Boot-Laufwerke

Folgende Optionen stehen zur Verfügung:
  • TPM: Der Schlüssel für die Anmeldung wird auf dem TPM-Chip (Trusted Platform Module) gespeichert.

  • TPM + PIN: Der Schlüssel für die Anmeldung wird auf dem TPM-Chip gespeichert und zusätzlich wird eine PIN zur Anmeldung benötigt.

  • Systemstartschlüssel: Der Schlüssel für die Anmeldung wird auf einem USB-Stick gespeichert.

  • TPM + Systemstartschlüssel: Der Schlüssel für die Anmeldung wird auf dem TPM-Chip und auf einem USB-Stick gespeichert. Beides wird für die Anmeldung benötigt.

    Anmerkung: Um die Anmeldemethoden TPM + PIN, TPM + Systemstartschlüssel oder Systemstartschlüssel verwenden zu können, muss die Gruppenrichtlinie Zusätzliche Authentifizierung beim Start anfordern entweder in Active Directory oder lokal auf Computern aktiviert werden. Im lokalen Gruppenrichtlinien-Editor (gpedit.msc) sind die Gruppenrichtlinien hier zu finden: Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drive

    Um Systemstartschlüssel zu verwenden, müssen Sie auch BitLocker ohne kompatibles TPM zulassen in den Gruppenrichtlinien aktivieren.

    Anmerkung: Wenn der momentan am System aktive Anmeldemodus ein erlaubter Fallback-Anmeldemodus ist, dann kommt der hier definierte Anmeldemodus nicht zur Anwendung.
BitLocker Anmeldemodus für Boot-Laufwerke - Fallback Wenn die als BitLocker Anmeldemodus für Boot-Laufwerke festgelegte Einstellung nicht angewendet werden kann, bietet SafeGuard Enterprise folgende Alternativen für die Anmeldung:
  • Kennwort: Der Benutzer muss ein Kennwort eingeben.

  • Systemstartschlüssel: Der Schlüssel für die Anmeldung wird auf einem USB-Stick gespeichert.

  • Kennwort oder Systemstartschlüssel: USB-Sticks werden nur verwendet, wenn Kennwörter auf dem Client-Betriebssystem nicht unterstützt werden.

  • Fehler: Es wird eine Fehlermeldung angezeigt und das Volume wird nicht verschlüsselt.

    Anmerkung: Bei Clients mit Version 6.1 oder niedriger werden die Werte Kennwort oder Systemstartschlüssel und Kennwort Systemstartschlüssel und Fehler zugeordnet.
    Anmerkung: Kennwörter werden erst ab Windows 8 oder höher unterstützt.
BitLocker Anmeldemodus für Datenlaufwerke Bei Datenlaufwerken sind die folgenden Optionen verfügbar:
  • Auto-Unlock: Wenn das Boot-Laufwerk verschlüsselt ist, wird ein externer Schlüssel generiert und auf dem Boot-Laufwerk gespeichert. Die Datenlaufwerke werden dann automatisch verschlüsselt. Sie werden automatisch mit der Auto-Unlock-Funktion von Bitlocker freigegeben. Beachten Sie, dass Auto-Unlock nur funktioniert, wenn das Boot-Laufwerk verschlüsselt ist. Andernfalls wird der Fallback-Modus verwendet.

  • Kennwort: Der Benutzer wird aufgefordert, ein Kennwort für jedes Datenlaufwerk einzugeben.

  • Systemstartschlüssel: Die Schlüssel für die Freigabe der Datenlaufwerke werden auf einem USB-Stick gespeichert.

    Anmerkung: Clients mit Version 6.1 oder niedriger ignorieren diese Richtlinieneinstellung und verwenden stattdessen die Werte, die für den Anmeldemodus für Boot-Laufwerke eingestellt wurden. Da das TPM nicht für Datenlaufwerke genutzt werden kann, wird in diesen Fällen ein USB-Stick oder eine Fehlermeldung verwendet.
    Anmerkung: Kennwörter werden erst ab Windows 8 oder höher unterstützt.
    Anmerkung: Wenn der momentan am System aktive Anmeldemodus ein erlaubter Fallback-Anmeldemodus ist, dann kommt der hier definierte Anmeldemodus nicht zur Anwendung.
BitLocker Anmeldemodus für Datenlaufwerke - Fallback Wenn die als BitLocker Anmeldemodus für Datenlaufwerke festgelegte Einstellung nicht angewendet werden kann, bietet SafeGuard Enterprise folgende Alternativen:
  • Kennwort: Der Benutzer wird aufgefordert, ein Kennwort für jedes Datenlaufwerk einzugeben.

  • Systemstartschlüssel: Die Schlüssel werden auf einem USB-Stick gespeichert.

  • Kennwort oder Systemstartschlüssel: USB-Sticks werden nur verwendet, wenn Kennwörter auf dem Client-Betriebssystem nicht unterstützt werden.

    Anmerkung: Clients mit Version 6.1 oder niedriger ignorieren diese Richtlinieneinstellung. Sie verwenden stattdessen die Werte, die für den Fallback-Anmeldemodus für Boot-Laufwerke eingestellt wurden. Da keine Kennwörter verarbeitet werden können, wird stattdessen "USB-Stick" oder "Fehlermeldung" verwendet.
    Anmerkung: Kennwörter werden erst ab Windows 8 oder höher unterstützt.
Erfolglose Anmeldungen
Maximalanzahl von erfolglosen Anmeldeversuchen Bestimmt, wie oft ein Benutzer ohne Folgen bei der Anmeldung einen ungültigen Benutzernamen bzw. ein ungültiges Kennwort eingeben darf. Wenn der Benutzer zum Beispiel drei mal nacheinander seinen Benutzernamen oder sein Kennwort falsch eingegeben hat, führt der vierte Versuch dazu, dass der Computer gesperrt wird.
Meldungen zur fehlgeschlagenen Anmeldung in der POA anzeigen Definiert die Detailebene für Meldungen zu fehlgeschlagenen Anmeldungen:
  • Standard: Zeigt eine kurze Beschreibung an.

  • Verbose (ausführlich): Zeigt detaillierte Informationen an.

Token-Optionen
Aktion bei Verlust des Anmeldestatus des Token Definiert das Verhalten nach dem Trennen des Token vom Computer.

Mögliche Aktionen sind:

  • Computer sperren

  • PIN-Dialog anzeigen

  • Keine Aktion

Freigabe des Token erlauben Bestimmt, ob der Token bei der Anmeldung entsperrt werden darf.
Optionen für Sperre des Geräts
Bildschirm nach X Minuten Leerlauf sperren Bestimmt die Zeit, nach deren Überschreitung ein nicht mehr benutzter Desktop automatisch gesperrt wird.

Der Standardwert ist 0 Minuten, und der Bildschirm wird nicht gesperrt, wenn dieser Wert nicht geändert wird.

Bei Entfernung des Token Bildschirm sperren Bestimmt, ob der Bildschirm gesperrt wird, wenn während einer Arbeitssitzung der Token entfernt wird.
Bildschirm nach dem Fortsetzen sperren Bestimmt, ob der Bildschirm bei Reaktivierung aus dem Standby-Modus gesperrt wird.