DriveLock File Protection

Für den Einsatz von File Protection wird eine Lizenz benötigt.

DriveLock File Protection ist eine verzeichnisbasierte Verschlüsselung, bei der alle Dateien in einem Verzeichnis automatisch und transparent verschlüsselt werden können. Bei der Arbeit mit den jeweiligen Dateien 'merkt' ein Benutzer nicht, dass diese verschlüsselt sind, d.h. der Prozess des Ver- und Entschlüsselns geschieht automatisch im Hintergrund, sobald auf eine Datei zugegriffen wird.

File Protection beinhaltet:

  • Dateiverschlüsselung auf lokalen Rechnern, zentralen Verzeichnissen eines Servers, externen USB-Datenträgern oder bei Cloud-basierten Diensten (z.B. Microsoft OneDrive, Google Drive)

  • Authentifizierung beim Zugriff auf verschlüsselte Verzeichnisse mit Benutzername/Kennwort oder über X.509-basierte Zertifikate

  • Integrierte, voll funktionsfähige Public Key Infrastructure (auch unabhängig vom AD)

DriveLock hatte bereits mit Version 2022.2 ein neues Verschlüsselungsformat eingeführt, das standardmäßig auf neue DriveLock Agenten angewendet wurde. Bei Bestandsagenten konnte das alte Format beibehalten werden. In der DMC gibt es eine spezielle Richtlinieneinstellung, mit der DriveLock ab Version 2023.2 automatisch auswählt, welches Format verwendet wird, oder ob beide Formate gleichzeitig verwendet werden. Bei Bedarf können aber noch verschiedene Verschlüsselungsformate festgelegt werden.

Funktionsweise

Auf allen Computern, auf denen DriveLock File Protection aktiv ist, wird bei jedem Zugriff auf ein Verzeichnis geprüft, ob es sich um ein verschlüsseltes Verzeichnis handelt. Erkennt DriveLock ein derartiges Verzeichnis, prüft es die Berechtigungen des aktuellen Benutzers und führt ggf. automatisch eine Ver- bzw. Entschlüsselung durch.

Besondere Prozesse, wie zum Beispiel die Durchführung eines Backups oder die Synchronisation von Verzeichnissen können von der automatischen Ver- bzw. Entschlüsselung ausgenommen werden. Damit wird eine Beeinträchtigung bestehender Systemroutinen vermieden.

Die Verwaltung der Verzeichnisse kann für jedes einzelne Verzeichnis entweder zentral über den DES oder unabhängig vom DES erfolgen.

Für die Authentifizierung der Benutzer können zwei verschiedene Alternativen verwendet werden:

  • Kennwort: Für den Zugriff auf ein verschlüsseltes Verzeichnis muss ein Kennwort eingeben werden

  • Zertifikat: Die Authentifizierung erfolgt über ein im Windows Zertifikatsspeicher oder auf einer Smartcard / einem Token hinterlegtes Benutzerzertifikat

    Weitere Hinweise zur Erstellung von Zertifikaten finden Sie hier.

    Bei der Verwendung von zentral verwalteten Verzeichnissen kann die Authentifizierung nur über Zertifikate erfolgen.

Bevor Sie DriveLock File Protection verwenden können, sollten Sie sich mit folgenden Fragen auseinandersetzen:

  • Wollen Sie zentral verwaltete Ordner verwenden?

  • Sollen Benutzerzertifikate oder Kennwörter für die Authentifizierung verwendet werden?

  • Wie sollen Benutzerzertifikate, falls notwendig, erstellt werden?

  • Welche Einstellungen gelten für die Ver- bzw. Entschlüsselung?

  • Welche File Protection-Optionen stehen dem Benutzer auf seinem Computer zur Verfügung?

  • Wie soll die Verzeichnisstruktur aussehen, in dem die Daten bzw. Dateien verschlüsselt abgelegt werden?