Geräteschutz

Verschlüsselungsmodus für Medien

Dient dem Schutz von Endgeräten (PCs, Notebooks usw.) und allen Arten von Wechseldatenträgern.

Diese Einstellung ist obligatorisch.

Hauptaufgabe ist die Verschlüsselung aller auf lokalen oder externen Datenträgern gespeicherten Daten. Durch die transparente Arbeitsweise können Benutzer einfach ihre gewohnten Anwendungen, z. B. Microsoft Office, weiter benutzen.

Transparente Verschlüsselung bedeutet für den Benutzer, dass alle verschlüsselt gespeicherten Daten (sei es in verschlüsselten Verzeichnissen oder Laufwerken) automatisch im Hauptspeicher entschlüsselt werden, sobald sie in einem Programm geöffnet werden. Beim Abspeichern der Datei wird diese automatisch wieder verschlüsselt.

Folgende Optionen stehen zur Verfügung:

• Keine Verschlüsselung

• Volume-basierend (= transparente, sektorbasierende Verschlüsselung)

  Stellt sicher, dass alle Daten verschlüsselt sind (inkl. Boot-Dateien, Swapfile, Datei für den Ruhezustand/Hibernation File, temporäre Dateien, Verzeichnisinformationen usw.) ohne dass sich der Benutzer in seiner Arbeitsweise anpassen oder auf Sicherheit achten muss.

• Dateibasierend (= transparente, dateibasierte Verschlüsselung, Smart MediaEncryption)

  Stellt sicher, dass alle Daten verschlüsselt sind (außer Boot Medium und Verzeichnisinformationen), mit dem Vorteil, dass auch optische Medien wie CD/DVD verschlüsselt werden können oder Daten mit Fremdrechnern, auf denen kein SafeGuard Enterprise installiert ist, ausgetauscht werden können (soweit von der Richtlinie erlaubt).

Für Richtlinien mit Whitelists können nur die Optionen Keine Verschlüsselung oder Dateibasierend ausgewählt werden.

Allgemeine Einstellungen

Algorithmus für die Verschlüsselung

Setzt den Verschlüsselungsalgorithmus.

Liste aller einsetzbaren Algorithmen mit ihren jeweiligen Standards:

AES256: 32 Bytes (256 Bits)

AES128: 16 Bytes (128 Bits)

Schlüssel für die Verschlüsselung

Legt fest, welcher Schlüssel zur Verschlüsselung verwendet wird. Es können bestimmte Schlüssel festgelegt werden (z. B. Computer-Schlüssel, oder ein definierter Schlüssel) oder dem Benutzer kann die Auswahl eines Schlüssels erlaubt werden. Die Schlüssel, die ein Benutzer verwenden darf, können eingeschränkt werden.

Folgende Optionen stehen zur Verfügung:

• Beliebiger Schlüssel im Schlüsselring des Benutzers

  Alle Schlüssel aus dem Schlüsselbund des Benutzers werden angezeigt und der Benutzer darf einen daraus auswählen.

  Diese Option muss gewählt werden, wenn eine Richtlinie für dateibasierende Verschlüsselung für einen durch SafeGuard Enterprise geschützten Standalone-Endpoint angelegt wird.

• Alle, außer persönliche Schlüssel im Schlüsselring

  Alle Schlüssel aus dem Schlüsselbund mit Ausnahme des persönlichen Schlüssels werden angezeigt und der Benutzer darf einen daraus auswählen.

• Beliebiger Gruppenschlüssel im Schlüsselring des Benutzers

  Alle Gruppenschlüssel aus dem Schlüsselbund des Benutzers werden angezeigt und der Benutzer darf einen daraus auswählen.

• Definierter Computerschlüssel

  Es wird der Maschinen-Schlüssel verwendet und der Benutzer selbst kann keinen Schlüssel auswählen.

  Er ist nur auf einem Endpoint verfügbar, auf dem die volume-basierende Verschlüsselung installiert ist (BitLocker oder SafeGuard Full Disk Encryption).

  Eine Richtlinie, in der Definierter Computerschlüssel als Schlüssel für die pfadbasierte Verschlüsselung (z. B. für SafeGuard Data Exchange) festgelegt ist, wird auf einem Endpoint ohne volume-basierender Verschlüsselung nicht wirksam. Die Daten können nicht verschlüsselt werden.

  Diese Option muss gewählt werden, wenn eine Richtlinie für volume-basierende Verschlüsselung für einen durch SafeGuard Enterprise geschützten Standalone-Endpoint angelegt wird. Wenn Sie dennoch die Option Beliebiger Schlüssel im Schlüsselring des Benutzers auswählen und der Benutzer wählt einen lokal erzeugten Schlüssel für die volume-basierende Verschlüsselung, wird der Zugriff auf dieses Volume verweigert.

• Beliebiger Schlüssel im Schlüsselring des Benutzers außer lokal erzeugte Schlüssel

  Alle Schlüssel aus dem Schlüsselring mit Ausnahme der lokal erzeugten Schlüsse werden angezeigt und der Benutzer darf einen daraus auswählen.

• Definierter Schlüssel aus der Liste

  Der Administrator kann in der Administration bei der Richtlinien-Einstellung einen beliebigen, existierenden Schlüssel auswählen.

  Der Schlüssel muss unter Für Verschlüsselung definierter Schlüssel ausgewählt werden.

Richtlinien für durch SafeGuard Enterprise geschützte Standalone-Endpoints:

Beim Erstellen von Richtlinien für Standalone-Computer kann ausschließlich die Option Beliebiger Schlüssel im Schlüsselring des Benutzers verwendet werden. Zusätzlich darf das Erzeugen von lokalen Schlüsseln nicht verboten werden.

Falls die Medien-Passphrase-Funktion für Unmanaged Endpoints aktiviert ist, wird der Medienverschlüsselungsschlüssel automatisch als Für Verschlüsselung definierter Schlüssel verwendet, da auf Unmanaged Endpoints keine Gruppenschlüssel zur Verfügung stehen. Wenn Sie beim Erstellen einer Wechselmedien-Richtlinie für Standalone-Endpoints einen anderen Schlüssel unter Für Verschlüsselung definierter Schlüssel auswählen, so hat dies keine Auswirkung.

Für Verschlüsselung definierter Schlüssel

Klicken Sie auf die Schaltfläche [...], um den Dialog Schlüssel suchen aufzurufen. Klicken Sie auf Jetzt suchen, um nach Schlüsseln zu suchen und wählen Sie einen Schlüssel aus der angezeigten Liste aus.

Bei einer Richtlinie vom Typ Geräteschutz mit dem Ziel Wechselmedien wird dieser Schlüssel zur Verschlüsselung des Medienverschlüsselungsschlüssel verwendet, wenn die Medien-Passphrase-Funktionalität aktiviert ist (Benutzer darf eine Medien-Passphrase für Wechselmedien erzeugen auf Ja eingestellt).

Für diesen Richtlinientyp müssen Sie beide Einstellungen - Schlüssel für die Verschlüsselung und Für Verschlüsselung definierter Schlüssel - konfigurieren.

Richtlinien für durch SafeGuard Enterprise geschützte Standalone-Endpoints:

Falls die Medien-Passphrase-Funktion für Unmanaged Endpoints aktiviert ist, wird der Medienverschlüsselungsschlüssel automatisch als Für Verschlüsselung definierter Schlüssel verwendet, da auf Unmanaged Endpoints keine Gruppenschlüssel zur Verfügung stehen.

Benutzer darf einen lokalen Schlüssel erzeugen

Diese Einstellung bestimmt, ob Benutzer auf ihren Computern lokale Schlüssel erzeugen dürfen oder nicht. Die Standardeinstellung ist Ja, Benutzer sind berechtigt, lokale Schlüssel zu erzeugen.

Eine Richtlinie, die Benutzern verbietet, lokale Schlüssel zu erzeugen (Benutzer darf einen lokalen Schlüssel erzeugen auf Nein) wird nur auf Windows Endpoints angewendet.

Lokale Schlüssel werden auf dem Endpoint basierend auf einer vom Benutzer eingegebenen Passphrase erzeugt. Die Anforderungen, denen eine Passphrase entsprechen muss, können in Richtlinien vom Typ Passphrase festgelegt werden.

Diese Schlüssel werden ebenfalls in der Datenbank gespeichert. Der Benutzer kann sie auf jedem Endpoint, auf dem er sich anmelden darf, verwenden.

Lokale Schlüssel können zum sicheren Datenaustausch über SafeGuard Data Exchange (SG DX) verwendet werden. Für weitere Informationen, siehe Lokale Schlüssel.

Volume-basierende Einstellungen

Benutzer darf dem verschlüsseltem Volume Schlüssel hinzufügen oder diese entfernen

Ja: Endpoint-Benutzer dürfen einen zusätzlichen Schlüssel aus einem Schlüsselbund einfügen/entfernen. Der Dialog wird angezeigt über den Kontextmenüeintrag Eigenschaften/Verschlüsselung / Registerkarte.

Nein: Endpoint-Benutzer dürfen keine zusätzlichen Schlüssel hinzufügen.

Reaktion auf unverschlüsselte Volumes

Definiert, wie SafeGuard Enterprise mit unverschlüsselten Medien umgeht.

Folgende Optionen stehen zur Verfügung:

• Abweisen (= Klartext-Medium wird nicht verschlüsselt)

• Nur unverschlüsselte Medien akzeptieren und verschlüsseln

• Alle Medien akzeptieren und verschlüsseln

Benutzer darf Volume entschlüsseln

Bewirkt, dass der Benutzer über einen Kontextmenü-Eintrag im Windows Explorer das Laufwerk entschlüsseln darf.

Schnelle Initialverschlüsselung

Wählen Sie diese Einstellung aus, um den Modus der schnellen Initialverschlüsselung für die volume-basierende Verschlüsselung zu aktivieren. Dieser Modus reduziert den Zeitraum, der für die Initialverschlüsselung auf Endpoints benötigt wird.

Dieser Modus kann zu einem unsicheren Zustand führen. Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise 8 Administratorhilfe.

Bei defekten Sektoren fortfahren

Legt fest, ob die Verschlüsselung fortgesetzt oder gestoppt werden soll, wenn defekte Sektoren entdeckt werden. Die Standardeinstellung ist Ja.

Dateibasierende Einstellungen

Initialverschlüsselung aller Dateien

Bewirkt, dass die Initialverschlüsselung für ein Laufwerk automatisch nach der Benutzeranmeldung gestartet wird. Der Benutzer muss eventuell vorher einen Schlüssel aus dem Schlüsselbund auswählen.

Benutzer darf Initialverschlüsselung abbrechen

Erlaubt dem Benutzer die Initialverschlüsselung abzubrechen.

Benutzer darf auf unverschlüsselte Dateien zugreifen

Definiert, ob ein Benutzer auf unverschlüsselte Dateien auf einem Laufwerk zugreifen darf.

Benutzer darf Dateien entschlüsseln

Bewirkt, dass der Benutzer einzelne Dateien oder ganze Verzeichnisse entschlüsseln kann (über die Windows Explorer-Erweiterung <rechte Maustaste>).

Benutzer darf eine Medien-Passphrase für Wechselmedien erzeugen

Bewirkt, dass der Benutzer eine Medien-Passphrase auf seinem Computer festlegen kann. Die Medien-Passphrase ermöglicht den einfachen Zugriff auf alle lokalen Schlüssel auf Computern ohne SafeGuard Data Exchange über SafeGuard Portable.

SafeGuard Portable auf das Ziel kopieren

Wenn diese Option ausgewählt ist, wird SafeGuard Portable auf alle Wechselmedien, die mit dem Endpoint verbunden werden, sowie in alle Synchronisierungsordner, die in einer Cloud Storage Definition für SafeGuard Cloud Storage definiert sind, kopiert.

SafeGuard Portable ermöglicht den verschlüsselten Datenaustausch mit Wechselmedien oder Cloud Storage, ohne dass der Empfänger der Daten SafeGuard Enterprise installiert haben muss.

Der Empfänger kann mit Hilfe von SafeGuard Portable und der entsprechenden Passphrase die verschlüsselten Daten entschlüsseln und auch wieder verschlüsseln. Der Empfänger kann mit SafeGuard Portable die Daten neu verschlüsseln oder den ursprünglich verwendeten Schlüssel für die Verschlüsselung verwenden.

SafeGuard Portable muss nicht auf den Computer des Empfängers installiert oder kopiert werden, sondern kann direkt von den Wechselmedien oder von Cloud Storage aus verwendet werden.

Standardschlüssel für die Initialverschlüsselung

Über einen Dialog kann ein Schlüssel ausgewählt werden, der für die dateibasierte Initialverschlüsselung verwendet wird. Der Benutzer kann dann beim Start der Initialverschlüsselung keinen Schlüssel wählen. Die Initialverschlüsselung startet ohne Benutzerinteraktion.

Für die Initialverschlüsselung wird immer der hier festgelegte Schlüssel verwendet.

Beispiel:

Voraussetzung: Ein Standardschlüssel für die Initialverschlüsselung ist gesetzt.

Verbindet der Benutzer ein USB-Gerät mit dem Computer, startet die Initialverschlüsselung automatisch. Der definierte Schlüssel wird benutzt. Es ist kein Benutzereingriff notwendig. Will der Benutzer anschließend Dateien umschlüsseln oder neue Dateien auf dem USB-Medium speichern, kann er einen beliebigen Schlüssel auswählen (falls erlaubt und verfügbar). Schließt er dann ein anderes USB-Gerät an, wird wiederum der Schlüssel, der für die Initialverschlüsselung festgelegt wurde, zur Initialverschlüsselung verwendet. Dieser Schlüssel wird auch für folgende Verschlüsselungsoperationen verwendet, bis der Benutzer explizit einen anderen Schlüssel auswählt.

Wenn die Medien-Passphrase-Funktion aktiviert ist, wird diese Option deaktiviert. Der Für Verschlüsselung definierte Schlüssel wird verwendet.

Klartext-Ordner

Der hier angegebene Ordner wird auf allen Wechselmedien, Massenspeichern und in allen Cloud Storage Synchronisierungsordnern erstellt. Dateien, die in diesen Ordner kopiert werden, bleiben immer unverschlüsselt.

Benutzer darf über Verschlüsselung entscheiden

Sie können Benutzer dazu berechtigen zu entscheiden, ob Dateien auf Wechselmedien (nur Windows) und Massenspeichergeräten verschlüsselt werden sollen:

• Wenn Sie hier Ja auswählen, werden Benutzer dazu aufgefordert zu entscheiden, ob Daten verschlüsselt werden sollen. Für Massenspeicher wird diese Aufforderung nach jeder Anmeldung angezeigt. Für Wechselmedien wird sie angezeigt, wenn die Wechselmedien mit dem Computer verbunden werden.
• Wenn Sie für diese Option Ja, Benutzereinstellungen merken auswählen, können die Benutzer die Option Einstellungen speichern und Dialog nicht mehr anzeigen wählen, um ihre Auswahl für das relevante Gerät zu speichern. In diesem Fall wird der Dialog für das Gerät nicht mehr angezeigt.

Wenn der Benutzer im auf dem Endpoint angezeigten Dialog Nein wählt, wird weder eine initiale noch eine transparente Verschlüsselung durchgeführt.