Einstellungen für die Verschlüsselung

Reiter Allgemein

Auf diesem Reiter stellen Sie die Werte für die Verschlüsselung und Entschlüsselung mit BitLocker ein.

Folgende Optionen stehen zur Wahl:

  1. Lokale Festplatten auf Agenten-Computern verschlüsseln:

    • Wählen Sie diese Option, um die Verschlüsselung der Festplatten mit BitLocker zu starten. Alle anderen Einstellungen zur Verschlüsselung (wie weiter unten beschrieben) sollten Sie zu diesem Zeitpunkt festgelegt haben.

      Sobald diese Option aktiviert wurde, die Richtlinie zugewiesen und am Client aktualisiert wurde, startet der Verschlüsselungsprozess!

    • Um eine Entschlüsselung zu erlauben (siehe detaillierte Beschreibung im Kapitel Entschlüsselung), muss das Häkchen entfernt werden und ggf. eine Verzögerung in Tagen festgelegt werden.

      Sobald Sie die Option deaktiviert und keine Verzögerung angegeben haben (und die Richtlinie zugewiesen ist und vom Client synchronisiert wurde), startet der Entschlüsselungsprozess!

  2. Verschlüsselungsalgorithmus-Priorität:

    • Die Liste der verschiedenen Verschlüsselungsmethoden wird von oben nach unten abgearbeitet. Sobald BitLocker Management einen passenden Algorithmus findet, der auf dem Client angewandt werden kann, wird dieser für die Verschlüsselung herangezogen.

      Der stärkste Algorithmus sollte immer an oberster Stelle stehen.

    • Sie können die Algorithmen auch manuell nach Ihren Vorgaben sortieren.

    • Algorithmus Hardware-Verschlüsselung:

      Dies ist ein individuell pro Festplatte eingebauter Verschlüsselungsalgorithmus, der je nach Hersteller variiert. Wenn Sie die Verschlüsselung auf entsprechend ausgestatteten Computern durchführen wollen, können Sie diesen Eintrag in der Liste nach oben schieben.

    • Beispiel:

      Wenn Sie viele Computer mit Windows 7 Systemen zu verschlüsseln haben, könnten Sie den Eintrag AES mit Elephant-Diffuser (128 oder 256 Bit Schlüssellänge) nach oben schieben, damit dieser Algorithmus bevorzugt wird.

  3. Einstellungen pro Laufwerk konfigurieren:

    • Wählen Sie hier für das Systemlaufwerk und die voraussichtlichen Datenlaufwerke über die Schaltfläche Ändern den gewünschten Verschlüsselungsalgorithmus oder ‚Nicht verschlüsselt‘, wenn keine Verschlüsselung gewünscht ist

    Beachten Sie bei dieser Einstellung, dass die Zuordnung Laufwerksbuchstabe und Systempartition bei allen Computern, denen diese BitLocker-Richtlinie zugewiesen wird, einheitlich ist.

  4. Initialverschlüsselung

    • Nur benutzten Plattenplatz verschlüsseln (schnelle Initialverschl.)

      • Wählen Sie diese Option, wenn Sie nur den benutzten Plattenplatz verschlüsseln wollen.

      • Hintergrund:

        Mit Windows 8 hat BitLocker ein Feature eingeführt, dass die Festplatte nicht komplett verschlüsselt werden muss, sondern nur der Teil, auf dem sich Daten befinden. Die initiale Verschlüsselung nimmt daher weniger Zeit in Anspruch.

      • Problem:

        Wenn Daten von der Festplatte gelöscht wurden und nicht mehr im Explorer sichtbar sind, können diese durchaus noch vorhanden sein und es kann mit entsprechenden Tools auf den ursprünglichen Bereich zugegriffen werden.

        Diese Option sollte nur dann aktiviert werden, wenn Sie beispielsweise neue Festplatten verschlüsseln wollen und sichergestellt ist, dass sich keine alten sicherheitsrelevanten Daten auf der Festplatte befinden. Ebenso ist diese Option bei allen SSD empfehlenswert.

    • Warnung anzeigen, wenn Festplatten nicht voll verschlüsselt sind

      Bei jedem Reboot des Systems oder Neustart des DriveLock Agenten wird geprüft, ob alle Festplatten bereits gemäß den Einstellungen vollständig verschlüsselt sind. Wenn dies nicht der Fall ist, wird dem Benutzer ein entsprechender Hinweis angezeigt.

  5. Einstellungen für vorhandene BitLocker-Umgebungen

    • Vorhandene BitLocker-Umgebung verwalten

      Aktivieren Sie diese Option, wenn Sie bereits bestehende BitLocker-Umgebungen mit DriveLock BitLocker Management verwalten wollen. Weitere Informationen finden Sie im Kapitel Übernahme bestehender BitLocker-Umgebungen.

      Sobald Sie diese Option auswählen und die Richtlinie entsprechend zuweisen, öffnet sich an den Client-Computern, deren Datenlaufwerke noch mit original BitLocker verschlüsselt (und somit gesperrt) sind, ein Assistent zur Übernahme der Partitionen. Hier müssen Sie die Kennwörter der gesperrten Partitionen angeben, bevor die Übernahme erfolgen kann.

    • Original BitLocker-Kontextmenüeinträge verbergen

      Diese Option ist standardmäßig aktiviert. Alle BitLocker-Optionen im Windows-Startmenü oder -Explorer sind somit verborgen und die entsprechenden Dialoge werden nicht angezeigt. Die Möglichkeit, eine Festplatte oder ein Laufwerk versehentlich mit BitLocker aber ohne DriveLock zu verschlüsseln, ist somit stark eingeschränkt.

  6. Installations-Schutz

    • Erst verschlüsseln, wenn Pre-Boot-Anmeldung einmal erfolgreich war

      Das Setzen dieser Option ist eine Vorsorgemaßnahme, die das Verschlüsseln einerseits und die erste Anmeldung an der PBA andererseits trennt. Das Verschlüsseln wird so lange verzögert, bis die erste Anmeldung erfolgreich war.

  7. Verhalten bei Konfigurationsänderungen

    • Entschlüsselung um [x] Tage verzögern:

      Diese Einstellung zögert die Entschlüsselung um eine bestimmte Anzahl an Tagen hinaus. Dies kann sinnvoll sein, um die Client-Computer und deren Benutzer auf die Entschlüsselung entsprechend vorbereiten zu können.

      Als Standardwert ist ein Wert von 3 Tagen vordefiniert. Dieser Wert bietet einen zusätzlichen Schutz vor Fehlkonfigurationen. Wenn Sie sofort eine Entschlüsselung durchführen wollen, ändern Sie die Einstellung auf 0 Tage.

    • Keine Entschlüsselung durchführen:

      Diese Option ist standardmäßig aktiviert. Sie führt dazu, dass es zu keiner ungewollten Entschlüsselung der BitLocker Verschlüsselung kommt, wenn Konfigurationsänderungen durchgeführt werden, z.B. bei Aktualisierung des DriveLock Agenten, bei Änderungen von Gruppenmitgliedschaften oder wenn die Richtlinie nicht mehr vom DriveLock Agenten angewendet wird.

      Beachten Sie, dass eine Entschlüsselung nur durch Deaktivierung der oben beschriebenen Option Lokale Festplatten auf Agenten-Computer verschlüsseln angestoßen wird. Sobald der DriveLock Agent die so konfigurierte Richtlinie mit der expliziten Entschlüsselungseinstellung erhält, wird eine Entschlüsselung durchgeführt.

Reiter Wiederherstellung

Auf diesem Reiter geben Sie an, wo die verschlüsselten Wiederherstellungsdaten abgelegt werden sollen. Es handelt sich um die Einstellungen, die nach Starten des Wiederherstellungsprozesses auszuwählen sind.

Derzeit steht nur folgende Option zur Auswahl:

  1. DriveLock Enterprise Service:

    Wählen Sie diese Option, um die verschlüsselten Wiederherstellungsdaten an den DriveLock Enterprise Service (DES) zu schicken.

  2. Dateiserver (UNC-Pfad)

    Wenn Sie diese Option auswählen, werden Ihre verschlüsselten Wiederherstellungsdaten z.B. auf einem Server abgelegt. Bei Auswahl dieser Schaltfläche können Sie unter der Option Am Dateiserver anmelden Benutzername und Kennwort angeben.

  3. Lokaler Ordner auf Agenten-Computer (nicht empfohlen)

    Diese Option ist nur zu empfehlen, wenn Sie die Schlüsseldateien auf einem sicheren Medium (z.B. USB-Gerät) ablegen oder später an einen sicheren Ort verschieben.