Netzwerk-Pre-Boot (UEFI)

Die Einstellungen auf dem Reiter Netzwerk-Pre-Boot (UEFI) sind je nach Lizenz sowohl für DriveLock Disk Protection, als auch für DriveLock BitLocker Management verfügbar, da in beiden Fällen die DriveLock Pre-Boot-Authentifizierung verwendet wird.

Folgende Einstellungen sind auf dem Reiter möglich:

  1. Setzen Sie ein Häkchen bei der Option Netzwerk-Pre-Boot-Authentifizierung aktivieren, um das Feature zu aktivieren. Sie müssen jedoch zusätzlich mindestens eine der beiden unteren Optionen auswählen (automatische oder AD-Anmeldung).

  2. Die Option Automatische Anmeldung am Netzwerk erlauben ermöglicht bei vorhandener Netzwerkverbindung eine Authentifizierung am Client Computer ohne Interaktion eines Benutzers.

    Folgendes läuft im Hintergrund ab, sobald die Richtlinie mit dieser Einstellung dem DriveLock Agenten (Client Computer) zugewiesen ist:

    • Anlage eines speziellen Netzwerk-Benutzers in der PBA-Datenbank ('AutoLogon-Benutzer') mit autogeneriertem Benutzerkennwort

    • Austausch eines RSA-Schlüsselpaares zwischen DriveLock Agent und DriveLock Enterprise Service (DES)

      Eine automatische Anmeldung an der PBA erfolgt nur wenn dieser Schlüsselaustausch erfolgreich stattfindet.

    Beachten Sie, dass das Client-Betriebssystem nur bei vorhandener Netzwerkverbindung zwischen DriveLock Agent und DES gestartet werden kann.

    Siehe folgenden Anwendungsfall.

  1. Bei Auswahl der automatischen Anmeldung ist standardmäßig immer die Option Andere Anmeldemethoden zulassen zusätzlich ausgewählt. Diese Option garantiert, dass eine Authentifizierung auch ohne Netzwerkverbindung möglich ist.

    Wenn Sie das Häkchen hier entfernen, existiert die Möglichkeit einer lokalen Anmeldung bzw. Anmeldung über Challenge-Response-Verfahren nicht mehr. Falls die Konfiguration ungültig wird, ist das System nicht mehr bootfähig. Alle Benutzerkonten werden dabei automatisch aus der PBA gelöscht, AD-Synchronisation und Benutzer-Import sind nicht mehr aktiviert!

  2. Die Option Anzahl der Netzwerk-Anmeldungen, die erfolgreich durchgeführt werden müssen, bevor die Ausfallsicherung deaktiviert wird hat den Vorgabewert 3.

    Hintergrund: Ein zusätzlicher lokaler AutoLogon-Benutzer wird in der Netzwerk-PBA konfiguriert, der als Ausfallsicherung dient, falls die Netzwerk-PBA nicht in der Lage sein sollte, über Netzwerk zu booten.

    Nach den eingestellten erfolgreichen Netzwerk-Anmeldungen wird der lokale AutoLogon-Benutzer gelöscht und danach kann nur noch über den Netzwerk Autologon gebootet werden.

    Diese Option kann nur initial gesetzt werden, sie hat keine Auswirkungen mehr auf bereits lauffähige Systeme. Aus Sicherheitsgründen sollten Sie darauf achten, die Zahl nicht zu hoch einzustellen.

  3. Anmeldung über das Active Directory (AD) erlauben: Wählen Sie diese Option, um Anmeldeinformationen aus dem AD zu beziehen.

  4. Netzwerkanmeldung für alle AD-Benutzer erlauben: Wählen Sie diese Option, um sicherzustellen, dass Benutzer angemeldet werden können, die zwar im AD bekannt sind, aber in der PBA-Datenbank noch nicht.

    Siehe folgenden Anwendungsfall.

  5. Anmeldung von Benutzer muss ausschließlich über Netzwerk-Authentifizierung erfolgen: Die Netzwerk-PBA erlaubt nur Anmeldungen, wenn auch die Benutzeranmeldeinformationen gegenüber dem AD online geprüft werden können. Eine Netzwerkanmeldung ist somit Voraussetzung, ohne Netzwerk wird nur noch ein Challenge-Response-Verfahren angeboten.

  6. Anzahl der automatischen Wiederholversuche bis zum Zustandekommen der Netzwerkverbindung: Geben Sie hier an, wie oft das System automatisch versuchen soll, eine Netzwerkverbindung herzustellen.

  7. Wartezeit zwischen den Versuchen: Geben Sie hier die Sekunden an, die zwischen den Wiederholversuchen liegen darf. Standardwert ist 5 Sekunden.

    Beispiel: Um einem Router ausreichend Zeit zu geben, eine Netzwerkverbindung herzustellen, kann man die Anzahl der automatischen Wiederholversuche erhöhen und die Pause entsprechend anpassen. Eine Pause mit dem Wert 0 bedeutet, dass sofort wiederholt wird.