Installation auf selbst-verschlüsselnden Opal-Festplatten
FDE
SafeGuard Enterprise unterstützt den anbieter-unabhängigen Opal-Standard für selbst-verschlüsselnde Festplatten und bietet die Verwaltung von Endpoints mit dieser Art von Festplatten.
Um sicherzustellen, dass die Unterstützung von selbst-verschlüsselnden Opal-Festplatten diesem Standard möglichst genau entspricht, werden bei der Installation von SafeGuard Enterprise auf dem Endpoint zwei Arten von Prüfungen durchgeführt:
-
Funktionale Prüfungen
Hier wird u. a. geprüft, ob sich die Festplatte als "OPAL"-Festplatte identifiziert, ob Kommunikationseinstellungen korrekt sind und ob alle für SafeGuard Enterprise erforderlichen Opal Features von der Festplatte unterstützt werden.
-
Sicherheitsprüfungen
Mit Sicherheitsprüfungen wird sichergestellt, dass nur SafeGuard Enterprise Benutzer auf der Festplatte registriert sind und dass nur SafeGuard Enterprise Benutzer die Schlüssel für die software-basierende Verschlüsselung von nicht selbst-verschlüsselnden Laufwerken haben. Wird bei der Installation festgestellt, dass andere Benutzer registriert sind, versucht SafeGuard Enterprise automatisch, diese zu deaktivieren. Diese Funktionalität wird durch den Opal-Standard gefordert. Ausgenommen sind hier einige wenige Standard "Authorities", die für den Betrieb eines Opal-Systems erforderlich sind.
Anmerkung Diese Sicherheitsprüfungen werden wiederholt, wenn nach einer erfolgreichen Installation im Opal-Modus eine Verschlüsselungsrichtlinie für die Festplatte angewendet wird. Schlagen diese fehl, so haben seit der ersten Prüfung bei der Installation außerhalb von SafeGuard Enterprise Eingriffe in die Laufwerksverwaltung stattgefunden. In diesem Fall sperrt SafeGuard Enterprise nicht die Opal-Festplatte. Es wird eine entsprechende Meldung angezeigt.
Sollten einige dieser Prüfungen ohne Recovery-Möglichkeit fehlschlagen, so wird für die Installation nicht die software-basierende Verschlüsselung angewendet. Stattdessen bleiben alle Volumes auf der Opal-Festplatte unverschlüsselt.
Ab SafeGuard Enterprise Version 7 werden standardmäßig keine Opal-Prüfungen durchgeführt. Das bedeutet: Auch wenn ein Opal-Laufwerk vorhanden ist, verschlüsselt SafeGuard Enterprise Volumes auf diesem Laufwerk mit softwarebasierter Verschlüsselung.
Wenn Sie erzwingen möchten, dass Opal-Prüfungen durchgeführt werden, verwenden Sie folgende Kommandozeilensyntax:
MSIEXEC /i SGNClient.msi OPALMODE=0Bei einigen Opal-Festplatten bestehen u. U. Sicherheitsprobleme. Es besteht keine Möglichkeit, automatisch festzustellen, welche Privilegien unbekannten Benutzern/Authorities zugeordnet sind, die bereits zum Zeitpunkt der SafeGuard Enterprise Installation/Verschlüsselung registriert waren. Wenn die Festplatte den Befehl, diese Benutzer zu deaktivieren, nicht ausführt, wendet SafeGuard Enterprise die software-basierende Verschlüsselung an, um die größtmögliche Sicherheit für den SafeGuard Enterprise Benutzer zu gewährleisten. Da wir für die Festplatten selbst keine Sicherheitsgarantien geben können, haben wir einen speziellen Installationsschalter implementiert. Diesen Schalter können Sie verwenden, um Festplatten mit potentiellen Sicherheitsrisiken auf eigene Verantwortung zu benutzen. Eine Liste der Festplatten, für die dieser Schalter erforderlich ist, sowie weitere Informationen zu unterstützten Festplatten finden Sie in den Versionsinfos.
Um den Installationsschalter anzuwenden, benutzen Sie folgende Kommandozeilensyntax:
MSIEXEC /i SGNClient.msi IGNORE_OPAL_AUTHORITYCHECK_RESULTS=1Wenn Sie die Installation mit einem Transform durchführen möchten: Die interne Eigenschaft der .msi-Datei hat denselben Namen.