Geräteschutz

Richtlinien des Typs Geräteschutz enthalten Einstellungen für die Datenverschlüsselungen auf unterschiedlichen Datenträgern. Die Verschlüsselung kann volume- oder dateibasierend durchgeführt werden, mit unterschiedlichen Schlüsseln und Algorithmen. Richtlinien des Typs Geräteschutz enthalten auch Einstellungen für SafeGuard Data Exchange, SafeGuard Cloud Storage und SafeGuard Portable. Für weitere Informationen, siehe SafeGuard Data Exchange und Cloud Storage. Weitere Informationen zu SafeGuard Data Exchange, SafeGuard Cloud Storage und SafeGuard Portable auf dem Endpoint finden Sie in der SafeGuard Enterprise Benutzerhilfe.

Wenn Sie eine Richtlinie dieses Typs erstellen, müssen Sie zunächst ein Ziel für den Geräteschutz angeben. Mögliche Ziele sind:

Für jedes Ziel muss eine eigene Richtlinie angelegt werden.

Anmerkung: Wechselmedien: Eine Richtlinie für die volume-basierende Verschlüsselung von Wechsellaufwerken, die es dem Benutzer erlaubt, einen Schlüssel aus einer Liste auszuwählen (z. B. Beliebiger Schlüssel im Schlüsselring des Benutzers), kann vom Benutzer umgangen werden, indem er keinen Schlüssel auswählt. Um sicherzustellen, dass Wechsellaufwerke immer verschlüsselt werden, verwenden Sie eine dateibasierende Verschlüsselungsrichtlinie legen Sie in der volume-basierenden Verschlüsselungsrichtlinie explizit einen Schlüssel fest.
Richtlinieneinstellung Erklärung
Verschlüsselungsmodus für Medien Dient dem Schutz von Endgeräten (PCs, Notebooks usw.) und allen Arten von Wechseldatenträgern.
Anmerkung: Diese Einstellung ist obligatorisch.

Hauptaufgabe ist die Verschlüsselung aller auf lokalen oder externen Datenträgern gespeicherten Daten. Durch die transparente Arbeitsweise können Benutzer einfach ihre gewohnten Anwendungen, z. B. Microsoft Office, weiter benutzen.

Transparente Verschlüsselung bedeutet für den Benutzer, dass alle verschlüsselt gespeicherten Daten (sei es in verschlüsselten Verzeichnissen oder Laufwerken) automatisch im Hauptspeicher entschlüsselt werden, sobald sie in einem Programm geöffnet werden. Beim Abspeichern der Datei wird diese automatisch wieder verschlüsselt.

Folgende Optionen stehen zur Verfügung:

  • Keine Verschlüsselung

  • Volume-basierend(= transparente, sektorbasierende Verschlüsselung)

    Stellt sicher, dass alle Daten verschlüsselt sind (inkl. Boot-Dateien, Swapfile, Datei für den Ruhezustand/Hibernation File, temporäre Dateien, Verzeichnisinformationen usw.) ohne dass sich der Benutzer in seiner Arbeitsweise anpassen oder auf Sicherheit achten muss.

  • Dateibasierend (= transparente, dateibasierte Verschlüsselung, Smart MediaEncryption)

    Stellt sicher, dass alle Daten verschlüsselt sind (außer Boot Medium und Verzeichnisinformationen), mit dem Vorteil, dass auch optische Medien wie CD/DVD verschlüsselt werden können oder Daten mit Fremdrechnern, auf denen kein SafeGuard Enterprise installiert ist, ausgetauscht werden können (soweit von der Richtlinie erlaubt).

Anmerkung: Für Richtlinien mit White Lists können nur die Optionen Keine Verschlüsselung oder Dateibasierend ausgewählt werden.
Allgemeine Einstellungen
Algorithmus für die Verschlüsselung Setzt den Verschlüsselungsalgorithmus.

Liste aller einsetzbaren Algorithmen mit ihren jeweiligen Standards:

AES256: 32 Bytes (256 Bits)

AES128: 16 Bytes (128 Bits)

Schlüssel für die Verschlüsselung Legt fest, welcher Schlüssel zur Verschlüsselung verwendet wird. Es können bestimmte Schlüssel festgelegt werden (z. B. Computer-Schlüssel, oder ein definierter Schlüssel) oder dem Benutzer kann die Auswahl eines Schlüssels erlaubt werden. Die Schlüssel, die ein Benutzer verwenden darf, können eingeschränkt werden.

Folgende Optionen stehen zur Verfügung:

  • Beliebiger Schlüssel im Schlüsselring des Benutzers

    Alle Schlüssel aus dem Schlüsselbund des Benutzers werden angezeigt und der Benutzer darf einen daraus auswählen.

    Anmerkung: Diese Option muss gewählt werden, wenn eine Richtlinie für dateibasierende Verschlüsselung für einen durch SafeGuard Enterprise geschützten Standalone-Endpoint angelegt wird.
  • Alle, außer persönliche Schlüssel im Schlüsselring

    Alle Schlüssel aus dem Schlüsselbund mit Ausnahme des persönlichen Schlüssels werden angezeigt und der Benutzer darf einen daraus auswählen.

  • Beliebiger Gruppenschlüssel im Schlüsselring des Benutzers

    Alle Gruppenschlüssel aus dem Schlüsselbund des Benutzers werden angezeigt und der Benutzer darf einen daraus auswählen.

  • Definierter Computerschlüssel

    Es wird der Maschinen-Schlüssel verwendet - der Benutzer selbst kann KEINEN Schlüssel auswählen.

    Anmerkung: Diese Option muss gewählt werden, wenn eine Richtlinie für volume-basierende Verschlüsselung für einen durch SafeGuard Enterprise geschützten Standalone-Endpoint angelegt wird. Wenn Sie dennoch die Option Beliebiger Schlüssel im Schlüsselring des Benutzers auswählen und der Benutzer wählt einen lokal erzeugten Schlüssel für die volume-basierende Verschlüsselung, wird der Zugriff auf dieses Volume verweigert.
  • Beliebiger Schlüssel im Schlüsselring des Benutzers außer lokal erzeugte Schlüssel

    Alle Schlüssel aus dem Schlüsselring mit Ausnahme der lokal erzeugten Schlüsse werden angezeigt und der Benutzer darf einen daraus auswählen

  • Definierter Schlüssel aus der Liste

    Der Administrator kann in der Administration bei der Richtlinien-Einstellung einen beliebigen, existierenden Schlüssel auswählen.

Der Schlüssel muss unter Für Verschlüsselung definierter Schlüssel ausgewählt werden.

Bei Verwendung von „Definierter Computer-Schlüssel“

Ist SafeGuard Enterprise Device Encryption nicht auf einem Endpoint installiert (keine SafeGuard POA, keine volume-basierende Verschlüsselung), wird eine Richtlinie, die den Definierten Computerschlüssel als Schlüssel für die dateibasierende Verschlüsselung festlegt, nicht auf dem Endpoint wirksam. Der definierte Computerschlüssel ist auf einem Endpoint dieses Typs nicht verfügbar. Die Daten können nicht verschlüsselt werden.

Richtlinien für durch SafeGuard Enterprise geschützte Standalone-Endpoints:

Anmerkung: Bitte beachten Sie beim Erstellen von Richtlinien für Standalone-Computer, dass für die dateibasierende Verschlüsselung ausschließlich die Option Beliebiger Schlüssel im Schlüsselring des Benutzers möglich ist. Zusätzlich darf das Erzeugen von lokalen Schlüsseln nicht verboten werden.

Falls die Medien-Passphrase-Funktion für Unmanaged Endpoints aktiviert ist, wird der Medienverschlüsselungsschlüssel automatisch als Für Verschlüsselung definierter Schlüssel verwendet, da auf Unmanaged Endpoints keine Gruppenschlüssel zur Verfügung stehen. Wenn Sie beim Erstellen einer Wechselmedien-Richtlinie für Standalone-Endpoints einen anderen Schlüssel unter Für Verschlüsselung definierter Schlüssel auswählen, so hat dies keine Auswirkung.

Für Verschlüsselung definierter Schlüssel Dieses Feld wird nur dann aktiv, wenn Sie im Feld Schlüssel für die Verschlüsselung die Option Definierter Schlüssel aus der Liste ausgewählt haben. Klicken Sie auf die Schaltfläche [...], um den Dialog Schlüssel suchen aufzurufen. Klicken Sie auf Jetzt suchen, um nach Schlüsseln zu suchen und wählen Sie einen Schlüssel aus der angezeigten Liste aus.

Bei einer Richtlinie vom Typ Geräteschutz mit dem Ziel Wechselmedien wird dieser Schlüssel zur Verschlüsselung des Medienverschlüsselungsschlüssel verwendet, wenn die Medien-Passphrase-Funktionalität aktiviert ist (Benutzer darf eine Medien-Passphrase für Wechselmedien erzeugen auf Ja eingestellt).

Für Richtlinien vom Typ Geräteschutz für Wechselmedien müssen daher die Einstellungen

  • Schlüssel für die Verschlüsselung

  • Für Verschlüsselung definierter Schlüssel

unabhängig voneinander spezifiziert werden.

Richtlinien für durch SafeGuard Enterprise geschützte Standalone-Endpoints:

Falls die Medien-Passphrase-Funktion für Unmanaged Endpoints aktiviert ist, wird der Medienverschlüsselungsschlüssel automatisch als Für Verschlüsselung definierter Schlüssel verwendet, da auf Unmanaged Endpoints keine Gruppenschlüssel zur Verfügung stehen.

Benutzer darf einen lokalen Schlüssel erzeugen Diese Einstellung bestimmt, ob Benutzer auf ihren Computern lokale Schlüssel erzeugen dürfen oder nicht. Die Standardeinstellung ist Ja, Benutzer sind berechtigt, lokale Schlüssel zu erzeugen.
Anmerkung: Eine Richtlinie, die Benutzern verbietet, lokale Schlüssel zu erzeugen (Benutzer darf einen lokalen Schlüssel erzeugen auf Nein) wird nur auf Windows Endpoints angewendet.

Lokale Schlüssel werden auf dem Endpoint basierend auf einer vom Benutzer eingegebenen Passphrase erzeugt. Die Anforderungen, denen eine Passphrase entsprechen muss, können in Richtlinien vom Typ Passphrase festgelegt werden.

Diese Schlüssel werden ebenfalls in der Datenbank gespeichert. Der Benutzer kann sie auf jedem Endpoint, auf dem er sich anmelden darf, verwenden.

Lokale Schlüssel können zum sicheren Datenaustausch über SafeGuard Data Exchange (SG DX) verwendet werden. Für weitere Informationen, siehe Lokale Schlüssel.

Volume-basierende Einstellungen
Benutzer darf dem verschlüsseltem Volume Schlüssel hinzufügen oder diese entfernen Ja: Endpoint-Benutzer dürfen einen zusätzlichen Schlüssel aus einem Schlüsselbund einfügen/entfernen. Der Dialog wird angezeigt über den Kontextmenüeintrag Eigenschaften/Verschlüsselung / Registerkarte.

Nein: Endpoint-Benutzer dürfen keine zusätzlichen Schlüssel hinzufügen.

Reaktion auf unverschlüsselte Volumes Definiert, wie SafeGuard Enterprise mit unverschlüsselten Medien umgeht:

Folgende Optionen stehen zur Verfügung:

  • Abweisen (= Klartext-Medium wird nicht verschlüsselt)

  • Nur unverschlüsselte Medien akzeptieren und verschlüsseln

  • Alle Medien akzeptieren und verschlüsseln

Benutzer darf Volume entschlüsseln Bewirkt, dass der Benutzer über einen Kontextmenü-Eintrag im Windows Explorer das Laufwerk entschlüsseln darf.
Schnelle Initialverschlüsselung Wählen Sie diese Einstellung aus, um den Modus der schnellen Initialverschlüsselung für die volume-basierende Verschlüsselung zu aktivieren. Dieser Modus reduziert den Zeitraum, der für die Initialverschlüsselung auf Endpoints benötigt wird.
Anmerkung: Dieser Modus kann zu einem unsicheren Zustand führen. Für weitere Informationen, siehe Schnelle Initialverschlüsselung.
Bei defekten Sektoren fortfahren Legt fest, ob die Verschlüsselung fortgesetzt oder gestoppt werden soll, wenn defekte Sektoren entdeckt werden. Die Standardeinstellung ist Ja.
Dateibasierende Einstellungen
Initialverschlüsselung aller Dateien Bewirkt, dass die Initialverschlüsselung für ein Laufwerk automatisch nach der Benutzeranmeldung gestartet wird. Der Benutzer muss eventuell vorher einen Schlüssel aus dem Schlüsselbund auswählen.
Benutzer darf Initialverschlüsselung abbrechen Erlaubt dem Benutzer die Initialverschlüsselung abzubrechen.
Benutzer darf auf unverschlüsselte Dateien zugreifen Definiert, ob ein Benutzer auf unverschlüsselte Dateien auf einem Laufwerk zugreifen darf.
Benutzer darf Dateien entschlüsseln Bewirkt, dass der Benutzer einzelne Dateien oder ganze Verzeichnisse entschlüsseln kann (über die Windows Explorer-Erweiterung <rechte Maustaste>).
Benutzer darf eine Medien-Passphrase für Wechselmedien erzeugen Bewirkt, dass der Benutzer eine Medien-Passphrase auf seinem Computer festlegen kann. Die Medien-Passphrase ermöglicht den einfachen Zugriff auf alle lokalen Schlüssel auf Computern ohne SafeGuard Data Exchange über SafeGuard Portable.

SafeGuard Portable auf das Ziel kopieren

Wenn diese Option ausgewählt ist, wird SafeGuard Portable auf alle Wechselmedien, die mit dem Endpoint verbunden werden, sowie in alle Synchronisierungsordner, die in einer Cloud Storage Definition für SafeGuard Cloud Storage definiert sind, kopiert.

SafeGuard Portable ermöglicht den verschlüsselten Datenaustausch mit Wechselmedien oder Cloud Storage, ohne dass der Empfänger der Daten SafeGuard Enterprise installiert haben muss.

Der Empfänger kann mit Hilfe von SafeGuard Portable und der entsprechenden Passphrase die verschlüsselten Daten entschlüsseln und auch wieder verschlüsseln. Der Empfänger kann mit SafeGuard Portable die Daten neu verschlüsseln oder den ursprünglich verwendeten Schlüssel für die Verschlüsselung verwenden.

SafeGuard Portable muss nicht auf den Computer des Empfängers installiert oder kopiert werden, sondern kann direkt von den Wechselmedien oder von Cloud Storage aus verwendet werden.

Standardschlüssel für die Initialverschlüsselung Über einen Dialog kann ein Schlüssel ausgewählt werden, der für die dateibasierte Initialverschlüsselung verwendet wird. Der Benutzer kann dann beim Start der Initialverschlüsselung keinen Schlüssel wählen. Die Initialverschlüsselung startet ohne Benutzerinteraktion.

Für die Initialverschlüsselung wird immer der hier festgelegte Schlüssel verwendet.

Beispiel:

Voraussetzung: Ein Standardschlüssel für die Initialverschlüsselung ist gesetzt.

Verbindet der Benutzer ein USB-Gerät mit dem Computer, startet die Initialverschlüsselung automatisch. Der definierte Schlüssel wird benutzt. Es ist kein Benutzereingriff notwendig. Will der Benutzer anschließend Dateien umschlüsseln oder neue Dateien auf dem USB-Medium speichern, kann er einen beliebigen Schlüssel auswählen (falls erlaubt und verfügbar). Schließt er dann ein anderes USB-Gerät an, wird wiederum der Schlüssel, der für die Initialverschlüsselung festgelegt wurde, zur Initialverschlüsselung verwendet. Dieser Schlüssel wird auch für folgende Verschlüsselungsoperationen verwendet, bis der Benutzer explizit einen anderen Schlüssel auswählt.

Anmerkung: Wenn die Medien-Passphrase-Funktion aktiviert ist, wird diese Option deaktiviert. Der Für Verschlüsselung definierte Schlüssel wird verwendet.
Klartext-Ordner Der hier angegebene Ordner wird auf allen Wechselmedien, Massenspeichern und in allen Cloud Storage Synchronisierungsordnern erstellt. Dateien, die in diesen Ordner kopiert werden, bleiben immer unverschlüsselt.
Benutzer darf über Verschlüsselung entscheiden Sie können den Benutzer dazu berechtigen zu entscheiden, ob Dateien auf Wechselmedien und Massenspeichern verschlüsselt werden sollen:
  • Wenn Sie hier Ja auswählen, werden Benutzer dazu aufgefordert zu entscheiden, ob Daten verschlüsselt werden sollen. Für Massenspeicher wird diese Aufforderung nach jeder Anmeldung angezeigt. Für Wechselmedien wird sie angezeigt, wenn die Wechselmedien mit dem Computer verbunden werden.
  • Wenn Sie für diese Option Ja, Benutzereinstellungen merken auswählen, können die Benutzer die Option Einstellungen speichern und Dialog nicht mehr anzeigen wählen, um ihre Auswahl für das relevante Gerät zu speichern. In diesem Fall wird der Dialog für das Gerät nicht mehr angezeigt.
Wenn der Benutzer im auf dem Endpoint angezeigten Dialog Nein wählt, wird weder eine initiale noch eine transparente Verschlüsselung durchgeführt.