Häufig gestellte Fragen zu Drive Encryption 7.x
Zuletzt geändert am: 05.02.2020
Umgebung
Zusammenfassung
HINWEISE:
- DE wurde früher unter dem Namen Endpoint Encryption for PC (EEPC) und Endpoint Encryption for Mac (EEMac) vertrieben.
- Antworten auf häufig gestellte Fragen zu Endpoint Assistant (EA) finden Sie in KB80070. EA ist eine Begleit-App für iOS und Android, die für die Arbeit mit DE entwickelt wurde. Da der Großteil des Helpdesk-Aufwands und der damit verbundenen Kosten für DE in der Regel auf die Zurücksetzung von Benutzerkennwörtern entfällt, kann mithilfe von EA der Helpdesk-Aufwand für das Zurücksetzen von Kennwörtern in der Pre-Boot-Phase an die Benutzer übertragen werden. Sie können es Benutzern ermöglichen, Pre-Boot-Kennwörter sicher zurückzusetzen, selbst wenn sie sich beispielsweise in einem Flugzeug befinden und den Helpdesk von dort aus nicht erreichen können.
Möglicherweise werden in den Protokollen OptIn/OptOut-Benutzer erwähnt (z. B. Richtlinienerzwingung fehlgeschlagen: zugewiesener OptIn-Benutzer). Bei OptIn-Benutzern ist die benutzerbasierte Richtlinienerzwingung in ePO auf "Wahr" eingestellt, d. h., es gilt eine bestimmte benutzerbasierte Richtlinie. Bei OptOut-Benutzern ist die benutzerbasierte Richtlinienerzwingung auf "Falsch" eingestellt, d. h., es gilt die dem Computer zugewiesene benutzerbasierte Richtlinie.
Weshalb benötige ich DE?
Der Hauptzweck von DE besteht im Schutz vertraulicher Daten, die sich auf dem Datenträger befinden (ruhende Daten). Ein solcher Schutz wird u. U. durch Gesetze zum Identitätsschutz vorgeschrieben.
Welcher Schutz besteht, wenn die Pre-Boot-Authentifizierung beim Aktivieren der AutoBoot-Funktion deaktiviert wird?
Der Hauptzweck von DE besteht zwar im Schutz von Daten auf dem Datenträger, nach Entsperren des Datenträgers bietet DE jedoch keinen Datenzugriffsschutz. Wenn Ihr System also geschützt werden soll, nutzen Sie nicht die AutoBoot-Funktion, da diese effektiv die Pre-Boot-Authentifizierung außer Kraft setzt, wodurch die Sicherheit des Produkts komplett aufgehoben wird. Die AutoBoot-Funktion wird lediglich als vorübergehender Mechanismus bereitgestellt. Weitere Informationen zu AutoBoot finden Sie unter AutoBoot. Informationen zur sichereren AutoBoot-Funktion des TPM (Trusted Platform Module) finden Sie unter TPM (AutoBoot).
Zurück zum Inhalt
Neue Kompatibilität für DE 7.2.0
Wird der neue Befehlszeilenparameter "/ReflectDrivers" von Windows 10 Anniversary Update für ein direktes Upgrade unterstützt?
Ja. Microsoft hat in Windows 10 Anniversary Update eine neue Funktion eingeführt, die mit einer /ReflectDrivers-Option ein direktes Betriebssystem-Upgrade über ISO und SCCM ermöglicht.
Diese Befehlszeilenoption gibt den Pfad zu einem Ordner an, der Verschlüsselungstreiber für einen Computer enthält, auf dem Drittanbieter-Verschlüsselung aktiviert ist. PnP-Treiber werden installiert, und der Upgrade-Vorgang kann fortgesetzt werden.
HINWEIS: Die Option "/ReflectDrivers" wird auch für DE 7.1.3 HotFix 1148978 (und höher) unterstützt, der Prozess wird jedoch mit DE 7.2.0 dank der im Produktinstallationsprogramm eingeführten Änderungen weiter vereinfacht.
Ausführliche Informationen zu einem direkten Windows 10-Upgrade bei installiertem Drive Encryption finden Sie in KB87909.
Neue Kompatibilität für DE 7.1.0
Welche Version von DE wird von Windows 10 unterstützt?
DE 7.1 Patch 3 (7.1.3) ist die erste Version, die Windows 10 unterstützt, sie wurde jedoch vor der allgemeinen Veröffentlichung von Windows 10 veröffentlicht. Daher gelten bei der Bereitstellung und Verwendung von DE 7.1.3 in Windows 10-Systemen möglicherweise Sicherheitsmaßnahmen. Weitere Informationen hierzu finden Sie in KB85784.
HINWEIS: EEPC-Versionen und DE 7.1.x-Versionen vor DE 7.1.3 unterstützen Windows 10 nicht.
Wird Windows 10 Enterprise Long-Term Servicing Branch (LTSB) für DE unterstützt?
Nein. Derzeit bietet DE lediglich Unterstützung für alle offiziellen Windows 10-Builds, einschließlich von Current Branch (CB) und Current Branch for Business (CBB).
HINWEIS: LTSB ist die Microsoft-Bezeichnung für einen Wartungs-Build, der nur Sicherheits-Patches und keine neuen Funktionen enthält.
Kann ich eine Betriebssystemaktualisierung von Windows 7 oder 8 auf Windows 10 durchführen?
Ja, mit DE 7.1.3 und späteren Versionen. Weitere Informationen zum Durchführen eines Upgrades des Betriebssystems auf Windows 10 mit installiertem DE 7.1 Patch 3 finden Sie in KB84962. Beim dokumentierten Prozess werden die erforderlichen DE-Treiber in den Microsoft-Upgrade-Prozess eingeschleust.
Kann ich das Windows 10 November Update / Threshold 2 (TH2) auf den Computer anwenden, wenn DE 7.1.3 bereits installiert ist?
Ja. Da es sich hierbei um eine umfassende Aktualisierung handelt, ist es unerlässlich, müssen Sie unbedingt die in KB84962 beschriebene Vorgehensweise befolgen.
Wird die Windows 10-Option "Zum vorherigen Build zurückkehren" mit installiertem und aktivem DE unterstützt?
Ja.
DE 7.1 ist die erste Version, die Windows 8.1 unterstützt.
HINWEIS: EEPC-Versionen vor DE 7.1 unterstützen Windows 8.1 nicht.
Welche Betriebssysteme werden von DE unterstützt?
Siehe KB79422.
Weist DE 7.1 neue Funktionen speziell für Windows 8.x auf?
Ja. Es sind Funktionen integriert, mit denen die Sicherheit der Systeme bei Kaltstart-Angriffen verstärkt werden kann (sog. Härten von Systemen). Zudem gibt es in DE 7.1 eine neue AutoBoot-Funktion, die als TPM-AutoBoot bezeichnet wird.
Funktioniert Drive Encryption mit der neuen Dell Cylance Advanced Threat Protection-Technologie, die erkannte Boot-Angriffe melden kann?
Nein. DE wurde nicht mit Dell Cylance Advanced Threat Protection getestet.
Unterstützt Drive Encryption die Intel Anti-Theft-Technologie, die den Computer hardwaregestützt sperren kann?
Nein. Intel hat den Intel Anti-Theft-Dienst eingestellt.
Kann ich den Microsoft Upgrade-Task ausführen, um ein Upgrade eines Windows 8.0-Systems auf Windows 8.1 durchzuführen?
Nein. Microsoft nutzt Funktionen, die ein neues WIM-Image ablegen, und bei denen es sich im Wesentlichen um einen Aktualisierungsprozess des Betriebssystems und kein traditionelles Upgrade oder Service Pack-Upgrade handelt. DE bietet jedoch einen dokumentierten Betriebssystem-Aktualisierungsprozess, mit dem Sie ein Upgrade von Windows 8.0 auf Windows 8.1 durchführen können, wobei die vorhandenen Daten während des gesamten Vorgangs verschlüsselt bleiben. Unterstützung bei diesem Prozess erhalten Sie in den folgenden Dokumenten:
- "Windows OS Refresh Recommended Process Guide for Master Boot Record Systems Only" (Empfohlene Vorgehensweise für das Upgrade von Windows-Betriebssystemen für MBR-Systeme) in PD24854.
- "Windows OS Refresh Recommended Process Guide for UEFI Systems Only" (Empfohlene Vorgehensweise für das Upgrade von Windows-Betriebssystemen für UEFI-Systeme) in PD24855.
Warum sollte ich den DE 7.1-Betriebssystem-Aktualisierungsprozess verwenden, wenn ich ihn nicht für Windows BitLocker-Systeme nutze?
Microsoft implementiert einen Mechanismus, der den BitLocker-Verschlüsselungsschlüssel während des Upgrades offen legt, wodurch der WIM-Überlagerungsprozess ausgeführt werden kann. Diese Vorgehensweise wird von McAfee nicht übernommen, da das System während des Windows-Upgrade-Prozesses anfällig für Angriffe ist.
Ich habe gelesen, dass Microsoft eine neue Funktion namens "Geräteverschlüsselung" eingeführt hat. Was ist das?
Die Microsoft-Geräteverschlüsselung kann als kompaktere, nicht verwaltete Version von BitLocker angesehen werden.
Wird die Microsoft-Geräteverschlüsselung automatisch aktiviert?
Ja. In Windows 8.1 wird die Geräteverschlüsselung automatisch aktiviert, wenn die Hardware die Mindestanforderungen erfüllt oder übertrifft.
Was geschieht, wenn ich DE in einem System bereitstelle, in dem die Microsoft-Geräteverschlüsselung automatisch aktiviert ist?
Wenn Ihr System die Hardware-Mindestanforderungen für die Microsoft-Geräteverschlüsselung erfüllt, die Funktion automatisch aktiviert und der Datenträger verschlüsselt wurde, geschieht Folgendes:
- Mit den Vor-Aktivierungsprüfungen wird festgestellt, dass BitLocker aktiv ist. Wie bereits erwähnt ist die Microsoft-Geräteverschlüsselung lediglich eine nicht verwaltete Version von BitLocker.
- Die DE-Aktivierung schlägt fehl, da der Datenträger bereits mit der Microsoft-Geräteverschlüsselung verschlüsselt wurde.
- Dieser Status wird an ePO zurückgemeldet.
Was geschieht, wenn ich über ein neues System verfüge, dass die Hardware-Mindestanforderungen der Microsoft-Geräteverschlüsselung erfüllt, in dem jedoch Windows 7 und DE 7.1 installiert sind, und ich möchte ein Upgrade auf Windows 8.1 durchführen?
Wenn Sie sich nicht mit einem MSDN-Konto angemeldet haben, versucht das System nicht, die Microsoft-Geräteverschlüsselung zu aktivieren. Wenn Sie sich mit einem MSDN-Konto angemeldet haben, wird die Ausführung des Betriebssystems unterbrochen.
Wird ein Windows-Betriebssystem mit DE/EEPC-Installation auf Mac-Hardware unterstützt?
Nein. DE/EEPC wurde nicht auf Mac-Hardware getestet und wird daher nicht unterstützt.
Unterstützt Drive Encryption komprimierte Windows-Laufwerke?
Nein, diese werden nicht unterstützt, da keine Kompatibilitätsprüfungen durchgeführt wurden.
Zurück zum Inhalt
Antworten auf häufig gestellte Fragen zur früher verfügbaren EEPC-Kompatibilität, die sich auf DE beziehen
Ja. Die Daten sind durchgehend geschützt, auch die zwischengespeicherten Daten. Intel SRT ist eine Smart Cache-Komponente, die nur häufig aufgerufene Daten zwischenspeichert. Dies geschieht auf Sektorenebene und wird durch den DE-Filtertreiber verschlüsselt.
Unterstützt EEPC/DE Intel Rapid Start (IRS)?
Nein. IRS benötigt zusätzlichen Partitionsspeicherplatz auf der SSD bzw. der Festplatte, die so genannte Ruhezustandspartition. Diese muss mindestens der Größe des Systemspeichers entsprechen. Diese Partition weist keinen Laufwerkbuchstaben auf. IRS sorgt für einen S3-Status mit niedrigem Stromverbrauch, bei dem der Status nicht auf DRAM in S3 gespeichert, sondern der Speicherinhalt auf eine bestimmte Partition auf der SSD ausgelagert wird. Da das BIOS zuständig für das Auslagern von der und auf die SSD ist, kann EEPC den Inhalt nicht abfangen und verschlüsseln. Daher werden vertrauliche Daten im DRAM in Klartext auf den Datenträger geschrieben (dies betrifft nur den Status S3, nicht jedoch S4).
Ist Active Directory für eine DE 7.1-Installation erforderlich?
Nein. Sie können die Installationspakete (MSI) ohne Zugriff auf Active Directory installieren, da in DE 7.1 die neue Funktion "Benutzerverzeichnis" verfügbar ist. Weitere Informationen hierzu finden Sie im Abschnitt "Funktionen".
Ja. Durch eine neue DE 7.1-Funktion, die die Offline-Aktivierung ermöglicht, kann DE 7.1 jedoch auch ohne Verbindung mit ePO aktiviert werden. Sobald das System erfolgreich mit ePO kommunizieren kann, wechselt der Client in einen Online-Modus. Nur Systeme, die nicht über ePO verwaltet werden, können verschlüsselt bleiben, ohne mit Active Directory verbunden sein zu müssen. Weitere Informationen hierzu finden Sie in den häufig gestellten Fragen zur Offline-Aktivierung.
Ist Active Directory zur Verwaltung der DE 7.1-Clients erforderlich?
Ja. Derzeit bietet ePO 4.6 nur für Active Directory LDAP-Unterstützung.
Werden zugewiesene Benutzer aus der ePO-Datenbank gelöscht, wenn der Objektname (wie eine Gruppe oder ein Benutzer) in Active Directory geändert wird?
Nein. Die Änderung des Objektnamens wird bei der nächsten Ausführung des Tasks "LdapSync: Benutzer von LDAP synchronisieren" erkannt und in ePO aktualisiert. Alle Änderungen von Benutzerobjektnamen werden dann bei der nächsten Agent-Server-Kommunikation mit dem Client synchronisiert.
Nein. Diese Funktion sollte deaktiviert werden. Die automatische Reparatur eines verschlüsselten Datenträgers kann versehentlich die verschlüsselten Betriebssystemdateien zerstören und zu dauerhaften Startproblemen führen. In früheren Versionen von Windows wurden Sie vor dem Beginn der Reparatur gefragt, ob das System repariert werden soll. Windows 8 startet bei der Erkennung eines Problems jedoch sofort die automatische Reparatur und bietet somit kaum eine Möglichkeit, die Zerstörung verschlüsselter Daten zu verhindern. Informationen zum Deaktivieren der automatischen Reparatur unter Windows 8 finden Sie im Artikel KB76649.
Erkennt DE 7.1.x den Windows 8 BitLocker und beendet die Aktivierung von DE?
Ja. DE erkennt den Windows 8 BitLocker während der Aktivierung von DE und beendet die Aktivierung von DE, wenn BitLocker aktiv ist.
Unterstützt DE 7.1.x Hybrid-Laufwerke?
Ja, sofern das Hybrid-Laufwerk für das Betriebssystem wie jedes andere Laufwerk sichtbar ist. Wird das Laufwerk für das Betriebssystem nicht als Standardlaufwerk angezeigt, wird es von DE möglicherweise nicht unterstützt, da DE u. U. nicht erkennt, bei welchem Laufwerk es sich um die Boot-Partition handelt.
HINWEIS: Hybrid-Laufwerke weisen eine Plattentechnologie auf, die einen SSD (Solid State Drive)-Cache zum Beschleunigen des Betriebs nutzt.
Unterstützt EEPC 7.x/DE 7.1 Windows Server 2012?
Unterstützung für Windows Server 2012 R2 wurde mit DE 7.1 Patch 1 (7.1.1) eingeführt.
Unterstützung für Windows Server 2012 (Nicht-R2) wurde mit DE 7.1 Patch 3 (7.1.3) eingeführt.
Unterstützt DE 7.1.x WinPE 4?
McAfee hat die Verwendung von WinPE 4 für die gleichen Anwendungsfälle wie für WinPE 3 überprüft.
Unterstützt DE SSDs (Solid State Drives)?
Ja, weil SSDs physische Laufwerke perfekt emulieren.
Was geschieht mit meinen Endgeräten, wenn der ePO-Server heruntergefahren wird oder ausfällt?
Wenn das Produkt bereits installiert und aktiv ist, werden die Clients mit einer zwischengespeicherten Kopie der Richtlinie weiterhin ausgeführt. Es werden keine zusätzlichen Richtlinienaktualisierungen oder Benutzerzuweisungen ausgeführt, bis der Client wieder mit dem ePO-Server kommunizieren kann. Wenn das Produkt noch nicht installiert ist, steht es erst wieder zur Verfügung, wenn die Kommunikation mit dem ePO-Server wiederhergestellt ist.
Wird Novell eDirectory unterstützt?
Nein. Im Abschnitt "Themenbezogene Informationen" wird erläutert, wie Sie eine Produktverbesserungsanfrage einreichen können, in der Sie die Einführung dieser Funktion vorschlagen.
Wird Open LDAP unterstützt?
Nein. Ausführliche Informationen hierzu finden Sie im Artikel KB73550.
Ist der DE 7.1.x-Client mit Microsoft BitLocker kompatibel?
Nein. Er ist nicht mit BitLocker oder einer anderen Software zur vollständigen Datenträgerverschlüsselung oder zur Verschlüsselung auf Sektorenebene kompatibel, die auf demselben System ausgeführt wird.
Ist DE 7.1.x mit Microsoft EFS (Encrypted File System, verschlüsseltes Dateisystem) kompatibel?
Ja. Sie können DE mit EFS verwenden, da beide auf unterschiedlichen Ebenen arbeiten und nicht miteinander interagieren. EFS arbeitet auf Dateiverschlüsselungsebene, und DE arbeitet auf Sektorenebene.
Ist eine Unterstützung für die Bildschirmlese-Software JAWS für Windows für den Pre-Boot-Client geplant, um Benutzer mit eingeschränktem Sehvermögen zu unterstützen?
Nein. JAWS ist ein reines Windows-Software-Produkt, das bei der Pre-Boot-Authentifizierung nicht arbeitet, weil Windows zu diesem Zeitpunkt noch nicht geladen ist.
Welche Version von Drive Encryption unterstützt Opal-Laufwerke?
DE 7.1.x unterstützt die Opal v1.0-Spezifikation der Trusted Computing Group (TCG). Weitere Einzelheiten zu DE und Opal-Laufwerken finden Sie im Abschnitt Unterstützung von Opal-Laufwerken in diesem Artikel.
Was ist ein Opal eDrive, und wird es von DE 7.1.x unterstützt?
Ein Opal eDrive ist ein Opal 2.0-Laufwerk, das im Einzelbenutzermodus betrieben und über das Betriebssystem verwaltet wird.
eDrives werden von DE 7.1.x nicht unterstützt.
Zurück zum Inhalt
Installation/Upgrade
Neue Antworten auf häufig gestellte Fragen zur Installation, die sich ausschließlich auf DE 7.1 beziehen
Für welche EEPC-Versionen kann ein Upgrade auf DE 7.1 durchgeführt werden?
Die folgenden Upgrades sind möglich:
- EEPC 7
Für Systeme mit einer Installation von EEPC 7.0.x kann ein Upgrade auf DE 7.1 durchgeführt werden. Sie müssen jedoch zuerst ein Upgrade der EEPC-Erweiterung auf EEPC 7.0 Patch 2 (7.0.2) oder Patch 3 (7.0.3) durchführen.
Führen Sie die im Drive Encryption 7.1 Product Guide (PD24867, Produkthandbuch zu Drive Encryption 7.1) ausführlich beschriebenen Schritte aus. Korrekturen der Dokumentation finden Sie in KB79912.- EEPC 6
Wenn Sie mit EEPC 6.1.2 oder höher arbeiten, müssen Sie zuerst ein Upgrade aller Erweiterungen auf EEPC 7.0 Patch 2 oder Patch 3 durchführen. Für Client-Systeme, in denen EEPC 6.1.2 oder höher ausgeführt wird, kann ein direktes Upgrade auf DE 7.1 durchgeführt werden. Für ePO-Installationen mit eingecheckten EEPC 7.0 Patch 2 oder 3-Erweiterungen kann ein direktes Upgrade auf DE 7.1 durchgeführt werden. McAfee empfiehlt dringend, vor der Durchführung eines Upgrades von EEPC 6.1.x- oder 6.2.x-Clients auf DE 7.1, KB81522 durchzulesen, um weitere Einzelheiten zu erfahren.
Führen Sie die im Drive Encryption 7.1 Product Guide (PD24867, Produkthandbuch zu Drive Encryption 7.1) ausführlich beschriebenen Schritte aus.- EEPC 5
Systeme, die mit EEPC 5.2.x installiert wurden, können direkt zu DE 7.1 migriert werden.
Führen Sie die im Drive Encryption 7.1 Migration Guide (Migrationshandbuch zu Drive Encryption 7.1, PD24870) ausführlich beschriebenen Schritte aus. Korrekturen der Dokumentation finden Sie in KB79912.
Welche älteren EEPC-Versionen können zu DE 7.1 migriert werden?
Eine direkte Migration zu DE 7.1 kann für die älteren Versionen EEPC 5.2.6, 5.2.12 und 5.2.13 ausgeführt werden.
Welche Maßnahmen sind zu ergreifen, wenn bei mir EEPC 6.x ausgeführt wird?
Wenn Sie EEPC 6.1.2 oder höher verwenden, müssen Sie zunächst ein Upgrade aller Erweiterungen auf EEPC 7.0.2 oder 7.0.3 durchführen. Sie müssen kein Upgrade der EEPC 6.1.2-Clients (oder höher) durchführen, bevor Sie den DE 7.1-Upgrade-Prozess initiieren.
McAfee empfiehlt dringend, vor der Durchführung eines Upgrades von EEPC 6.1.x- oder 6.2.x-Clients auf DE 7.1, KB81522 durchzulesen, um weitere Einzelheiten zu erfahren.
Befolgen Sie die ausführliche Anleitung im Drive Encryption 7.1 Product Guide (Produkthandbuch zu Drive Encryption 7.1, PD24867). Lesen Sie aber unbedingt den entsprechenden Dokumentationskorrektur-Artikel KB79912, um sich über Aktualisierungen und Korrekturen im Inhalt des Produkthandbuchs zu informieren. Hier werden die erforderlichen Schritte zum Durchführen eines Upgrades auf DE 7.1 beschrieben. Bei diesem Prozess muss auch die EEAdmin 7.0.4-Erweiterung installiert werden.
Welche Schritte muss ich ausführen, wenn ich ein Upgrade auf die aktuelle Version von DE 7.1.x durchführen möchte, jedoch bereits eine frühere DE 7.1-Version installiert ist?
Wenn eine frühere Version installiert ist (z. B. DE 7.1.1), Sie jedoch ein Upgrade auf eine spätere Version von DE 7.1.x durchführen möchten, führen Sie die folgenden Schritte aus:
- Vergewissern Sie sich, dass keine LDAP-Synchronisierungs-Tasks ausgeführt werden. Falls gerade solche Tasks ausgeführt werden, warten Sie, bis diese abgeschlossen sind.
- Deaktivieren Sie alle LDAP-Synchronisierungs-Tasks, bevor Sie das Upgrade starten.
- Installieren Sie die DE 7.1.3-Erweiterungen.
- Checken Sie die DE 7.1.3 Agent- und PC-Software-Pakete ein.
- Aktivieren Sie alle LDAP-Synchronisierungs-Tasks.
- Stellen Sie die DE 7.1.3-Software-Pakete im Client-System bereit.
- Starten Sie das System nach Abschluss des Bereitstellungs-Tasks neu.
Muss ich ein Upgrade der Version des McAfee Agent (MA) auf allen meinen Clients durchführen?
Dies ist nur der Fall, wenn nicht die mindestens unterstützte MA-Version installiert ist. Informationen dazu, wie Sie die von DE 7.1.x unterstützte Mindestversion von MA ermitteln, finden Sie in KB79422.
Warum ist der Upgrade-Prozess so kompliziert?
Der Grund hierfür sind Abhängigkeiten zu neu eingeführten ePO-Funktionen, die für die neuen Funktionen "LDAPSync" und "Benutzerverzeichnis" erforderlich sind.
Welche ePO-Versionen werden mindestens von DE 7.1.x unterstützt?
ePO 4.6.7 und ePO 5.1.0.
Weshalb muss ich ein Upgrade auf eine neuere ePO-Version durchführen, um DE 7.1.x ausführen zu können?
Weil dies die einzige Möglichkeit ist, die Vorteile der neuen Funktionen "LDAPSync" und "Benutzerverzeichnis" zu nutzen, die erstmalig in ePO 4.6.7 und ePO 5.1.0 implementiert wurden.
Muss ich ein Upgrade auf ePO 4.6.7 oder 5.1.x durchführen, wenn ich die Funktion "Benutzerverzeichnis" nicht verwenden möchte?
Ja. Sie müssen ein Upgrade Ihrer ePO-Version durchführen, egal, ob Sie diese Funktion nutzen möchten oder nicht.
Bedeutet die Einführung der neuen Benutzerverzeichnisstruktur, dass die Benutzerdaten aktualisiert werden müssen?
Ja. Wenn Sie über vorhandene Benutzerdaten verfügen, müssen Sie den Prozess "Benutzerdaten-Upgrade" ausführen, um ein Upgrade aller vorhandenen Benutzerdaten auf die neuen internen Strukturen durchzuführen.
Ein Video zur Funktion "Benutzerverzeichnis" finden Sie hier: https://communitym.trellix.com/videos/1700Weshalb ist eine EEPC 7.0.4 EEAdmin-Erweiterung im Paket der DE 7.1-Version enthalten, und warum ist sie erforderlich?
Aufgrund der Änderungen an LDAPSync und dem Benutzerverzeichnis müssen die vorhandenen verschlüsselungsbezogenen Benutzerdaten in die neuen Strukturen migriert werden. EEPC 7.0.4 enthält einen Task "Benutzerdaten-Upgrade", der vorhandene Daten in die neuen Strukturen verschiebt.
Ist dies lediglich eine ePO-Erweiterung, oder gibt es auch Client-Upgrades?
Dies ist lediglich eine ePO-Erweiterung. Für EEPC 7.0.4 sind keinerlei Client-Aktualisierungen erforderlich.Ist diese EEPC 7.0.4-Erweiterung abwärtskompatibel, sodass Clients verwaltet werden können, die mit früheren EEPC-Client-Versionen ausgeführt werden?
Ja, Verwaltung und Berichterstellung für vorhandene EEPC 7.0.x- oder 6.x-Clients (EEPC 6.1.2 oder höher) sind immer noch möglich, wenn die 7.0.4 ePO-Erweiterung installiert ist. Ein solches Szenario sollte jedoch nur vorliegen, wenn der Task "Benutzerdaten-Upgrade" – gleich aus welchen Gründen – fehlgeschlagen ist, sodass der Abschluss des Upgrades auf ePO 4.6.7 oder 5.1 verhindert wurde.
Welche ePO-Versionen werden von dieser EEPC 7.0.4 EEAdmin-Erweiterung unterstützt?
Die ePO-Versionen von 4.6.4 bis 4.6.7 sowie ePO 5.0.1 bis 5.1. Die Hauptfunktionen und -Tasks der EEPC 7.0.4 EEAdmin-Erweiterung funktionieren jedoch nur unter ePO 4.6.7 und ePO 5.1.x.Wie lange sollte ich die EEPC 7.0.4-Erweiterung verwenden?
Der Zeitraum sollte so kurz wie möglich sein. Sie verwenden die EEPC 7.0.4-Erweiterung nur so lange, bis der Task "Benutzerdaten-Upgrade" ausgeführt wurde. Nach Abschluss des Tasks sollten Sie sofort ein Upgrade auf DE 7.1 durchführen.
Was geschieht, wenn ich versuche, sofort zu DE 7.1 zu wechseln, ohne zuvor die EEPC 7.0.4 EEAdmin-Erweiterung einzuchecken?
Erstens schlägt die Installation der DE 7.1-Erweiterung fehl, da sie unter Ihrer ePO-Version nicht ausgeführt wird. Zweitens können Sie ePO nicht auf die Mindestversion aktualisieren, da keine Unterstützung durch die vorhandenen ePO-Erweiterungen für Verschlüsselung vorliegt. Drittens können Sie kein Upgrade durchführen, da festgestellt wird, dass der Task "Benutzerdaten-Upgrade" nicht erfolgreich ausgeführt wurde. Die EEPC 7.0.4 EEAdmin-Erweiterung ist beim Durchführen eines Upgrades auf DE 7.1 ein obligatorischer Schritt.
Was ist das Benutzerdaten-Upgrade?
Das Benutzerdaten-Upgrade ist ein Server-Prozess, bei dem alle vorhandenen Benutzerinformationen für die Verschlüsselung in die neuen internen Benutzerverzeichnis- und LDAPSync-Strukturen migriert werden.
Warum muss dieser Task ausgeführt werden?
Die vorhandenen Benutzerdaten müssen auf die neuen Datenstrukturen aktualisiert werden, die von den Erweiterungen "Benutzerverzeichnis" und "LDAPSync" verwendet werden. Dies ist ein einmaliger Prozess, der vor dem Durchführen des Upgrades auf DE 7.1 durchgeführt werden muss.
In welchen ePO-Versionen kann ich den Task "Benutzerdaten-Upgrade" ausführen?
Der Task kann nur in ePO 4.6.7 und ePO v5.1.x ausgeführt werden. Die EEPC 7.0.4-Erweiterung kann zwar für frühere Versionen von ePO installiert werden, Sie können diesen Task jedoch erst ausführen, wenn Sie ein Upgrade des ePO-Servers auf ePO 4.6.7 oder ePO 5.1.x durchgeführt haben.
Kann ich den Task "Benutzerdaten-Upgrade" nur mit eingecheckter EEPC 7.0.4 EEAdmin-Erweiterung ausführen, oder kann ich den Task in einer früheren Version von EEPC ausführen?
Nein. Die Funktionalität ist nur in der 7.0.4 EEAdmin-Erweiterung verfügbar, und der Task kann nur in ePO 4.6.7 oder 5.1 ausgeführt werden.
Ist dies ausschließlich ein ePO-Task, oder muss ich weitere Vorgänge auf den Clients ausführen?
Dies ist ein reiner ePO-Task. Durch den Task wird Software ausgeführt, die einfach Daten in die internen SQL-Server-Strukturen verschiebt. Die Daten werden in die neuen Strukturen verschoben und vor Abschluss des Vorgangs auf Genauigkeit und Vollständigkeit überprüft.
Muss ich zum Ausführen des Tasks den ePO-Server herunterfahren?
Nein, er kann auf einem aktiven ePO-Server ausgeführt werden.
Wie lange dauert die Ausführung des Tasks "Benutzerdaten-Upgrade"?
Dies hängt davon ab, wie viele Benutzerinformationen in der Datenbank vorhanden sind. Eine grob geschätzte Angabe:
- 2.000 Benutzer dauern etwa fünf Minuten.
- 10.000 Benutzer dauern etwa acht Minuten.
HINWEIS: Die Leistung variiert in Abhängigkeit von der Spezifikation des SQL-Servers und seiner aktuellen Arbeitslast. Diese Werte wurden anhand eines Testsystems mit einem i5-Prozessor mit 4 GB RAM gewonnen. Andere Aspekte, die sich auf die Dauer des Vorgangs auswirken können, sind andere Elemente von Benutzer-Token-Daten wie SSO (Single Sign On)-Daten und Daten mit Selbstwiederherstellung.
Wie kann ich feststellen, ob beim Benutzerdaten-Upgrade ein Fehler aufgetreten ist?
Im ePO Server-Task-Protokoll wird der Fehlerstatus für die Ausführung des Upgrade-Tasks angezeigt. Zudem wird der Audit-Protokolleintrag mit Fehlerstatus für denselben Task angezeigt. Die EEPC 7.0.4 EEAdmin-Erweiterung kann nicht zurückgesetzt werden, vorhandene EEPC-Client-Systeme können jedoch mit installierter EEPC 7.0.4 EEAdmin-Erweiterung verwaltet werden.
Kann ich "Benutzerdaten-Upgrade" erneut ausführen, wenn der Task fehlschlägt?
Ja. Wenn der Task fehlschlägt, wird automatisch ein Rollback der Daten ausgeführt, und alle benutzerbezogenen Funktionen werden automatisch erneut aktiviert. Der Task kann so oft wie nötig ausgeführt werden, bis er erfolgreich abgeschlossen wurde.
Kann ich benutzerbezogene Verschlüsselungsaktionen ausführen, während der Task "Benutzerdaten-Upgrade" ausgeführt wird?
Nein. Während der Task "Benutzerdaten-Upgrade" ausgeführt wird, sind alle benutzerbezogenen Aktionen in ePO deaktiviert.
Wann werden die benutzerbezogenen Aktionen wieder aktiviert?
Sie werden erst wieder aktiviert, wenn der Task "Benutzerdaten-Upgrade" erfolgreich abgeschlossen wurde und ein Upgrade der ePO-Erweiterungen auf DE 7.1 durchgeführt wurde. Schlägt der Task fehl und erfolgt ein Rollback der Datenvorgänge, werden auch die benutzerbezogenen Aktionen wieder aktiviert.
Werden weitere Funktionen in ePO deaktiviert, während der Task "Benutzerdaten-Upgrade" ausgeführt wird?
Es gilt Folgendes:
- Durch "Benutzer der lokalen Domäne hinzufügen" werden keine neuen Benutzer verarbeitet.
- Es werden keine benutzerbezogenen Aufgaben (d. h. bezüglich neuer Kennwörter oder anderer Benutzer-Token-Informationen) ausgeführt.
- Benutzerbezogene Web-APIs sind ebenfalls deaktiviert.
Folgendes ist jedoch weiterhin verfügbar:
- Exportieren von Computer-Schlüsseln
- Abfrage/Rückmeldung (nur Computer)
- Alle nicht benutzerbezogenen Wiederherstellungsfunktionen (AMT oder Nicht-AMT)
Werden während des Tasks "Benutzerdaten-Upgrade" Änderungen am Client vorgenommen?
Auf dem Client findet Folgendes statt:
- Die vorhandene empfangene Richtlinie auf dem Client wird weiterhin erzwungen.
- Neue Richtlinien gehen während der Ausführung des Tasks "Benutzerdaten-Upgrade" auf dem Client ein, sie werden jedoch nicht erzwungen.
- Neu erfasste Kennwörter oder sonstige Token-Daten können nicht an ePO gesendet und an andere Systeme weitergegeben werden, während der Upgrade-Task ausgeführt wird.
HINWEIS: Im Fall einer Wiederherstellung ist eine Computer-Wiederherstellung wie auch eine Selbstwiederherstellung immer noch verfügbar, Abfrage/Rückmeldung zum Zurücksetzen eines Kennworts ist hingegen nicht verfügbar.
Was geschieht, wenn ich während dieser Zeit eine der oben angegebenen Aktionen auf dem Client oder in ePO ausführe?
Alle diese Client-Aktionen schlagen ordnungsgemäß fehl, oder sie sind in der ePO-Benutzeroberfläche deaktiviert/blockiert.
Ich richte einen neuen ePO-Server ein und möchte DE-Clients dorthin verschieben. Wird dies unterstützt?
Ja. Dies wird in DE 7.1.3 unterstützt.
Bei jeder Version von EEPC oder früheren Versionen von DE werden beim Übertragen eines Systems von einem ePO-Server auf einen anderen die Benutzerzuweisungen und Benutzer-Token-Daten im System durch die Daten vom Ziel-Server ersetzt, wobei potenziell Benutzerzuweisungen verloren gehen und Benutzeranmeldeinformationen in der Pre-Boot-Umgebung geändert werden.
In Drive Encryption 7.1.3 wird eine neue Client-Übertragungsfunktion eingeführt, mit welcher ePO-Administratoren über einen Mechanismus verfügen, mit dem Systeme von einem ePO-Server auf einen anderen übertragen werden können und gleichzeitig Benutzerzuweisungen und Benutzerdaten erhalten bleiben. Wenn die Funktion aktiviert ist, erkennt ein DE 7.1.3-System einen Server-Wechsel und fordert, dass der neue DE 7.1.3-Verwaltungs-Server Benutzer dem System automatisch im Kontext des Verwaltungs-Servers zuweist. Bei erfolgreicher Zuweisung sendet das System seine Benutzer-Token-Daten an den neuen Verwaltungs-Server. Alle Systeme, deren Systemübertragung fehlgeschlagen ist, werden auf dem Ziel-Server in einem intuitiven vordefinierten Bericht hervorgehoben.
In dieser Version ist ein spezielles DE 7.1.3-Client-Systemübertragungshandbuch enthalten, in dem dieser Systemübertragungsprozess ausführlich beschrieben wird. Ausführliche Informationen hierzu finden Sie in PD25905.
Zurück zum Inhalt
Antworten auf häufig gestellte Fragen zur früher verfügbaren EEPC-Installation, die sich auf DE beziehen
Muss ich während des Upgrades auf DE 7.1 die Clients entschlüsseln und wieder verschlüsseln?
Nein. Beim Upgrade wird der Schlüssel vom alten Agenten an den neuen Agenten übertragen. Upgrades wurden von McAfee bisher immer auf diese Weise durchgeführt. (Das Upgrade von Endpoint Encryption 4 auf Version 5 funktionierte ähnlich.)
Kann ich die Migration von DE-Benutzern und -Systemen von einem ePO-Server zu einem anderen Server automatisieren?
Die einzige unterstützte Methode, die einen vollen Funktionsumfang garantiert, besteht im Wiederherstellen einer Sicherung der ePO-Datenbank in einem neuen Server-System. Die automatische Migration ist derzeit nicht verfügbar.
Reichen Sie eine Produktverbesserungsanfrage zur Automatisierung der Übertragung von Schlüsseln, Benutzern und Systemen zwischen den Servern ein. Informationen zum Einreichen einer Produktverbesserungsanfrage finden Sie weiter unten im Abschnitt "Themenbezogene Informationen".
Welche Methoden sind während des Installationsprozesses verfügbar, um zu verhindern, dass alle Benutzer dasselbe Standardkennwort verwenden?
Zwei Methoden stehen zur Verfügung:
- Über die DE-Richtlinie können Sie die Verwendung des Standardkennworts untersagen. Dadurch wird der Benutzer gezwungen, ein selbst gewähltes Kennwort einzugeben.
- Verwenden Sie eine Richtlinienzuweisungsregel mit einer anderen benutzerbasierten Richtlinie (UBP), in der Sie ein anderes Standardkennwort für die Benutzer definieren, denen die UBP zugewiesen ist.
Nein. Im Abschnitt "Themenbezogene Informationen" wird erläutert, wie Sie eine Produktverbesserungsanfrage einreichen können, in der Sie die Einführung dieser Funktion vorschlagen.
Müssen VirusScan-Antiviren-Ausschlüsse für Drive Encryption hinzugefügt werden (wie dies bei früheren Versionen von EEPC 5.x der Fall war)?
Nein. DE weist eine andere Funktionalität auf. Antiviren-Ausschlüsse sind nicht mehr erforderlich.
Zurück zum Inhalt
Antworten auf häufig gestellte Fragen zu neuen Funktionen, die sich ausschließlich auf DE 7.2.0 beziehen
Wie nutzt DE 7.2.0 Intel Software Guard Extensions (SGX)?
Intel SGX ist eine Erweiterung der Intel-Architektur, die mit Intel Core-Prozessoren der 6. Generation eingeführt wurde. Diese soll die Sicherheit der Software über einen umgekehrten Sandbox-Mechanismus erhöhen. Bei diesem Ansatz wird nicht versucht, alle potenziellen Bedrohungen und Angriffsflächen der Plattform zu ermitteln und zu isolieren; stattdessen kann zulässige Software in einer Enklave versiegelt und vor derartigen Bedrohungen geschützt werden, wobei die Berechtigungsstufe der jeweiligen Bedrohung irrelevant ist.Die Verwendung von Intel SGX mit Drive Encryption erhöht darüber hinaus den Schutz vor speicherbasierten Angriffen (z. B. Kaltstart-Angriffen), ohne dass die Leistung von Systemen beeinträchtigt wird, die SGX unterstützen und in denen eine dementsprechende Richtlinie angewendet ist.
Wie aktiviere ich SGX für DE 7.2.0?
Um sicherzustellen, dass DE SGX (sofern verfügbar) verwendet, muss die Unterstützung von SGX aktiviert werden, bevor DE 7.2.0 in einem Zielsystem bereitgestellt wird.
Weitere Informationen zu technologischen Anforderungen für diese neue Funktion finden Sie in KB87256.
Antworten auf häufig gestellte Fragen zu neuen Funktionen, die sich ausschließlich auf DE 7.1 und höher beziehen
Wird DE auf Computern unterstützt, wenn der BIOS für die Verwendung von RAID konfiguriert ist?
Im Allgemeinen funktioniert DE im RAID-Modus, sofern das BIOS des betreffenden Computers den Datenträger erkennt.
HINWEISE:
- Im älteren bzw. MBR-BIOS-Modus stützt sich DE auf Int13-Aufrufe, um auf die Festplatte des Computers zuzugreifen.
- Im UEFI-Modus (Unified Extensible Firmware Interface) stützt sich DE auf das E/A-Protokoll des Systems, daher erkennt DE den BIOS SATA-Modus. Hierbei gilt als einzige Einschränkung: Wenn es sich beim Datenträger um ein OPAL-Laufwerk, ein selbstverschlüsselndes Laufwerk oder eine Festplatte handelt, muss für DE der AHCI (Advanced Host Controller Interface)-Modus festgelegt werden, da DE über einen eigenen Controller-Treiber verfügt und sich beim Festplattenzugriff nicht auf das BIOS stützt.
HINWEIS: Die Einschränkung gilt nur für Hardware-Verschlüsselung eines OPAL- oder SED-Laufwerks und nicht, wenn die OPAL-Festplatte für Software-Verschlüsselung konfiguriert ist.
Ist es möglich, einen über einen USB-Anschluss angeschlossenen Wechseldatenträger zu verschlüsseln?
Nein. DE erkennt und verschlüsselt das Laufwerk nur, wenn es am SATA-Anschluss erkannt wird.
Was ist das Benutzerverzeichnis?
Damit wird Ihr ePO-verwaltetes DE auf Systeme mit nicht verwalteten Benutzern außerhalb der Domäne ausgeweitet. Neben in Active Directory verwalteten Benutzern kann DE nun auch diese ePO-verwalteten Benutzer für die Pre-Boot-Authentifizierung verwenden.Benutzerdaten werden nun aus Active Directory synchronisiert und lokal in ePO zwischengespeichert. Dadurch müssen nicht mehr laufend Roundtrips von ePO zu Active Directory ausgeführt werden, und dies bringt erhebliche Leistungsverbesserungen bei benutzerbasierten Richtlinienprüfungen mit sich.
Wird durch dieses Benutzerverzeichnis die Abhängigkeit von Active Directory aufgehoben?
Ja.
Muss ich als Administrator bestimmte Aktionen ausführen, um das Benutzerverzeichnis zu aktivieren?
Ja. Sie müssen die Erweiterung "Benutzerverzeichnis" installieren. Sie können dies vor oder nach dem Durchführen des Upgrades auf DE 7.1.x durchführen, solange die ePO-Voraussetzungen (ePO 4.6.7 oder ePO 5.1.0) erfüllt sind.
Ist DE das einzige Produkt, welches das Benutzerverzeichnis verwendet, oder kann es auch von anderen McAfee-Produkten verwendet werden?
Derzeit wird es nur von DE verwendet, künftig ist jedoch auch die Verwendung durch andere McAfee-Einzelprodukte möglich.
Wo finde ich weitere Informationen zum Benutzerverzeichnis?
Schauen Sie sich das in der Community veröffentlichte Video an: https://communitym.trellix.com/videos/1700Besteht ein konzeptioneller Unterschied zwischen den eigenständigen Benutzern in EEPC 5.x und den Benutzern im Benutzerverzeichnis?
Nein, es gibt keinen konzeptionellen Unterschied.
Kann ich eigenständige EEPC 5.x-Benutzer in das Benutzerverzeichnis migrieren?
Ja.Kann ich im Benutzerverzeichnis Benutzer erstellen?
Ja.
Kann ich im Benutzerverzeichnis Benutzer löschen, deaktivieren oder bearbeiten?
Ja.
Kann ich Benutzer nach dem Deaktivieren wieder aktivieren?
Ja.
Kann ich einem Benutzer ein Zertifikat zuweisen?
Nein.
Weshalb empfiehlt es sich, einem Benutzer ein Zertifikat zuzuweisen?
Ein Beispiel ist die Verwendung einer PKI-basierten Smartcard.
Kann ich Organisationseinheiten im Benutzerverzeichnis erstellen?
Ja.
Kann ich Benutzer einer Organisationseinheit hinzufügen oder Benutzer aus einer Organisationseinheit entfernen?
Ja.
Kann ein Benutzer mehreren Organisationseinheiten angehören?
Nein.
Kann ich einen Benutzer aus einer Organisationseinheit in eine andere Organisationseinheit verschieben?
Ja.
Können Organisationseinheiten geschachtelt werden?
Ja.
Wenn ich eine Organisationseinheit auswähle, werden alle Benutzer der betreffenden Organisationseinheit angezeigt (auch die aus geschachtelten Organisationseinheiten)?
Es werden alle Benutzer aus untergeordneten Organisationseinheiten, jedoch nicht alle geschachtelten Organisationseinheiten angezeigt. Anhand des eindeutigen Namens können Sie feststellen, aus welcher untergeordneten Organisationseinheit der jeweilige Benutzer stammt.
Kann ich in Bezug auf ePO-Berechtigungen eine Einschränkung für die Aktionen festlegen, die einzelne Administratoren im Benutzerverzeichnis ausführen können?
In ePO sind Berechtigungen in Berechtigungssätze zusammengefasst. Benutzer sind den einzelnen Berechtigungssätzen zugewiesen. Wenn Administratoren unterschiedlichen Berechtigungssätzen zugewiesen sind, können sie über unterschiedliche Berechtigungen verfügen.
Auf welcher Stufe von ePO-Berechtigungen kann ich das Benutzerverzeichnis angeben?
Das Benutzerverzeichnis unterstützt Lese-/Schreibberechtigungen und reine Leseberechtigungen. Es ist nicht möglich, den Zugriff auf bestimmte Aktionen zu beschränken. Sie können lediglich reinen Lesezugriff gewähren oder sämtliche Berechtigungen entziehen.
Werden die Benutzer in Bezug auf die DE-Verwendung in EEPC 7.0 und in DE 7.1 auf die gleiche Weise verwaltet?
Ja, der Workflow ist identisch. Es gibt es keinerlei Änderungen in Bezug auf den Workflow.
Wird beim Verwalten von Benutzern eine vollständige Liste der Benutzer angezeigt, ungeachtet dessen, ob diese aus Active Directory oder dem Benutzerverzeichnis stammen?
Ja.
Wenn ich eine Verschlüsselungsaktion für einen Benutzer ausführe, spielt es dabei eine Rolle, ob der Benutzer aus Active Directory oder dem Benutzerverzeichnis stammt?
Nein. Der Workflow ist in beiden Fällen gleich.
Kann ich Benutzer und/oder Organisationseinheiten aus dem Benutzerverzeichnis einem Computer für die Pre-Boot-Authentifizierung zuweisen?
Ja.
Was geschieht, wenn ein Benutzer im Benutzerverzeichnis deaktiviert wird?
Dabei geschieht dasselbe wie beim Deaktivieren eines Benutzers in Active Directory.
Was geschieht, wenn ein Benutzer aus dem Benutzerverzeichnis gelöscht wird?
Dabei geschieht das gleiche wie beim Löschen des Benutzers aus Active Directory.
Ändert sich die ePO-WebAPI für "User: Machine assignments" (Benutzer: Computer-Zuweisungen) bei der Skripterstellung?
Nein.
Können die Aktionen im Benutzerverzeichnis durch Skripts gesteuert werden?
Ja.
Was ist TPM-AutoBoot (Trusted Platform Module AutoBoot)?
TPM-AutoBoot ist eine neue Option in DE 7.1, welche bei vorhandener Hardware die herkömmliche AutoBoot-Funktion durch ein TPM stärkt. Das Ziel besteht im Schützen des Schlüssels.
Wodurch unterscheidet sich TPM-AutoBoot von der herkömmlichen AutoBoot-Funktion?
Die herkömmliche AutoBoot-Funktion bietet keine Sicherheit für das System. Der Schlüssel zum Verschlüsseln des Datenträgers wird in Klartext auf den Datenträger geschrieben. Mit TPM-AutoBoot wird der Schlüssel gesichert, indem er mit dem TPM verschlüsselt wird; er liegt nicht mehr in Klartext vor.
Wie trägt das TPM zum Sichern des Schlüssels bei?
Der Schlüssel kann nur dann vom TPM entschlüsselt werden, wenn sich der Systemstatus nicht geändert hat. Wenn sich der Systemstatus laut Ansicht des TPM geändert hat oder wenn ein neuer TPM-Chip vorhanden ist (z. B. bei einer neuen Hauptplatine), wird der Schlüssel nicht entschlüsselt. Wenn der Schlüssel nicht entschlüsselt werden kann, schlägt die AutoBoot-Funktion fehl, und die Pre-Boot-Authentifizierung wird angezeigt.
Wird mein System mit TPM-AutoBoot weiterhin automatisch gestartet?
Ja, jedoch nur, wenn laut Ansicht des TPM keine Fehler vorliegen. In dieser Situation wird die Pre-Boot-Umgebung für den Benutzer nicht angezeigt, und Windows wird einfach gestartet.
Gibt es Mindestanforderungen für TPM-AutoBoot?
Ja. Es gelten die folgenden Mindestanforderungen:
- DE 7.1 unterstützt TPM-AutoBoot nur in TPM 2.0-Systemen (alle Systeme mit verbundenem Standby-Modus unterstützen TPM 2.0). HINWEIS: Die Funktion wird von älteren Systemen mit TPM 1.2 nicht unterstützt.
- DE 7.1 Patch 1 (7.1.1) bietet Unterstützung für TPM 1.2-Chipsätze (nur UEFI-Systeme).
- Der TPM-Besitzer-Schlüssel muss lokal und nicht in Active Directory verwaltet werden.
- Das System muss das TPM-UEFI-Protokoll in der UEFI-Implementierung des OEM enthalten (eine Anforderung für Systeme mit verbundenem Standby-Modus).
Welche Richtlinieneinstellungen gelten für TPM-AutoBoot?
Die Richtlinienoptionen finden sich unter dem Titel "Verwendung des TPM für den automatischen Boot"; hier sind die folgenden drei Optionen vorhanden:
- Nie: Der Datenträgerschlüssel wird in Klartext auf den Datenträger geschrieben. Dies ist die AutoBoot-Originalfunktion.
- Falls verfügbar: Wenn das System ein verwendbares TPM aufweist, wird der Schlüssel mithilfe des TPM verschlüsselt. Ist kein TPM verfügbar oder kann es nicht verwendet werden, lässt das im System vorhandene TPM gemäß der AutoBoot-Originalfunktion den Schlüssel in Klartext auf den Datenträger schreiben.
- Erforderlich: AutoBoot funktioniert nur, wenn das System über ein verwendbares TPM verfügt. In Systemen ohne TPM wird die DE-Pre-Boot-Umgebung angezeigt.
Kann TPM-AutoBoot in Verbindung mit reaktivem AutoBoot verwendet werden?
Ja.
Können TPM-AutoBoot und reaktives AutoBoot in Verbindung mit dem neu unterstützten verbundenen Standby-Modus und Funktionen zum Härten von Systemen gegen Kaltstart-Angriffe verwendet werden?
Ja.
Was geschieht, wenn das TPM den Schlüssel nicht entschlüsseln kann?
Die Pre-Boot-Umgebung wird angezeigt, und der Benutzer wird aufgefordert, sich zu authentifizieren. Sollte das TPM im Zweifel sein, wird das System nicht automatisch gestartet; stattdessen zeigt es die Pre-Boot-Umgebung an und wartet auf die Authentifizierung.
Wenn ich die Hauptplatine austausche, oder sich die Boot-Messwerte ändern, wird der Pre-Boot-Authentifizierungsbildschirm für den Benutzer angezeigt. Wie muss der Benutzer nun vorgehen?
In dieser Situation muss der Benutzer eine Abfrage-/Rückmeldungswiederherstellung ausführen, um Zugriff auf Windows zu erlangen.
Wenn gültige Pre-Boot-Benutzeranmeldeinformationen bekannt sind, kann sich der Benutzer einfach authentifizieren und Windows starten. Da sich der Benutzer jedoch in diesem AutoBoot-Modus befand, ist es wenig wahrscheinlich, dass ihm gültige Benutzeranmeldeinformationen bekannt sind.
Wenn sich ein Benutzer in Windows befindet, muss er bestimmte Aktionen ausführen?
Nein. Benutzer, Supportmitarbeiter und Administratoren müssen keine Aktionen ausführen. Das Produkt verschlüsselt den Schlüssel mithilfe der neuen Informationen automatisch neu, und ab diesem Punkt ist ein normales Startverhalten zu beobachten.
Führen Sie über die Aufforderung an das TPM zum Verschlüsseln des Schlüssels hinaus weitere Vorgänge aus?
Ja. Wir messen auch den Startpfad. Bei jedem Start des Systems erfassen wir einen entsprechenden Daten-Hash im TPM. Das heißt, dass das TPM den Schlüssel nur entschlüsselt, wenn der Startpfad nicht geändert wurde.Sobald der Datenträger durch TPM-AutoBoot entsperrt wird, ist es also nicht mehr möglich, unter einem anderen Startpfad zu starten. Wird eine andere Startoption beim Systemstart ausgewählt, schlägt die AutoBoot-Funktion fehl, und die Pre-Boot-Umgebung wird angezeigt.
Wie funktioniert TPM-AutoBoot?
Das TPM bietet einen Versiegelungsmechanismus, durch den Daten nur entschlüsselt werden können, wenn sich das System in einem vordefinierten Zustand befindet. Während des Systemstarts werden die Firmware sowie alle Startkomponenten vom TPM gemessen. Bei der Messung wird ein in einem TPM-Register gespeicherter Hash mit dem auszuführenden Code erweitert. Messungen werden durch Firmware ausgeführt, und sie können nicht umgangen werden. Effektiv lässt das TPM den Entschlüsselung des Schlüssels nur zu, wenn sich das System in genau demselben Zustand befindet wie zum Zeitpunkt der Versiegelung. Jede Änderung, egal wie geringfügig, bewirkt das Fehlschlagen der Entschlüsselung.
Was geschieht, wenn Microsoft den Windows BootLoader während einer Windows-Aktualisierung aktualisiert?
Das heißt, dass sich die Boot-Messungen geändert haben. Demzufolge kann das TPM den Schlüssel nicht entschlüsseln, und Sie müssen einen Wiederherstellungsprozess (Anruf beim Helpdesk) durchlaufen, um das System erfolgreich starten zu können.
Da sich die DE-Pre-Boot-Umgebung ebenfalls im Startpfad befindet, was geschieht, wenn ich ihn aktualisiere?
Wenn ein Administrator eine neue DE-Version (HotFix, Patch oder neue Version) implementiert und dabei die DE-Pre-Boot-EFI-Anwendung aktualisiert wird, ändern sich auch die Boot-Messungen.
Müssen Benutzer wie beim Windows-Aktualisierungs-Szenario beim Helpdesk anrufen, um nach der Push-Bereitstellung einer Aktualisierung durch DE wieder auf das System zugreifen zu können?
Ja.
Kann ich die neue Smartphone-Funktion (Endpoint Assistant) verwenden, um dieses Problem zu beheben, ohne beim Helpdesk anzurufen?
Nein. Endpoint Assistant kann nur für Anwendungsfälle mit Zurücksetzen von Kennwörtern verwendet werden.
Kann ich nun in der Pre-Boot-Umgebung eine größere Anzahl von Benutzern verwalten?
Die Pre-Boot-Umgebung wurde verbessert und unterstützt nun mehr als 5.000 Benutzer ohne spürbare Leistungseinbußen während der Pre-Boot-Authentifizierung. Früher galt eine Beschränkung auf maximal 250 Benutzer während des Pre-Boot-Vorgangs. Sie können nun auf sichere Weise für alle Benutzer die gemeinsame Nutzung von Desktops einrichten, wodurch die einzelnen Benutzer jedes System nutzen können.
Welche Empfehlung gibt es bezüglich der Anzahl von Benutzern, die für die Pre-Boot-Authentifizierung zugewiesen sind?
An der allgemeinen Empfehlung ändert sich nichts. Es sollte lediglich die minimale Anzahl von Benutzern für die Pre-Boot-Authentifizierung zugewiesen werden.
Gibt es Einbußen, wenn ich 5.000 Benutzern die Anmeldung in der Pre-Boot-Umgebung an einem Computer gestatte?
Ja. Die Aktivierung dauert länger, da dabei sämtliche Informationen zu den 5.000 Benutzern heruntergeladen werden müssen. Das Synchronisieren von Benutzerinformationen dauert länger, und die Arbeitslast des ePO-Servers nimmt zu.Zudem dauert die Verarbeitung anderer Aktionen länger, die Benutzerinformationen beinhalten. Ein Beispiel hierfür ist das Speichern der Computerinformationen auf einem Client, da auch hierbei Benutzerinformationen eingeschlossen sind.
Kann dies die Skalierbarkeit meines ePO-Servers beeinträchtigen?
Ja. Ihr ePO-Server führt mehr Aufgaben pro Agent-Server-Kommunikationsintervall (ASKI) durch, um sicherzustellen, dass alle Informationen aktuell sind.
Was geschieht, wenn ich über 100 Systeme verfüge, denen jeweils 5.000 Benutzer zugewiesen sind?
Betrachten wir das gängigste Beispiel: ein geändertes Kennwort. Für einen Benutzer wird dies in einem System erfasst, in ePO hochgeladen und anschließend an die anderen 99 Systeme übermittelt, wenn eine Synchronisierung mit ePO stattfindet.Wenn Sie erzwingen, dass Benutzer alle 90 Tage ihr Kennwort ändern müssen, aktualisieren 5.000 Benutzer ihr Kennwort. Das bedeutet, es gibt 500.000 Aktualisierungen (5.000 Benutzer x 100 Systeme), die vom ePO-Server zu verschiedenen Zeitpunkten verarbeitet werden müssen, wenn die Systeme mit ePO synchronisiert werden.
Liegt ein erhöhter/zusätzlicher Datenverkehr im Netzwerk vor?
Ja. Alle diese Vorgänge werden über das Netzwerk verarbeitet. Auch wenn die Datenmenge für die einzelnen Benutzer gering ist (im Allgemeinen < 20 Kilobyte), erfolgt doch eine Multiplikation mit der Anzahl der Transaktionen. Weist eines Ihrer Systeme eine langsame Verbindung auf, kann es ziemlich lange dauern, bis alle Änderungen empfangen wurden. Wenn der Server Benutzeraktualisierungen für viele Clients verarbeitet, kann daher auch der Netzwerkverkehr beträchtlich sein. Im schlimmsten Fall werden möglicherweise nicht alle Aktualisierungen in einem Synchronisierungszeitraum empfangen.
Wie härtet DE Systeme gegen Kaltstart-Angriffe?
Simpel ausgedrückt: Moderne Windows-Plattformen, die den neuen verbundenen Standby-Modus unterstützen, bieten den Benutzern eine iPad-ähnliche Erfahrung. Diese Systeme sind stets eingeschaltet, d. h. der Verschlüsselungsschlüssel muss sich stets im RAM befinden; dadurch sind sie anfällig gegenüber Memory Scrubbing-Angriffen, bei denen der Verschlüsselungsschlüssel aus dem RAM entfernt werden kann.DE kann im Hintergrund betrieben werden, wodurch der Endbenutzer keinen Unterschied zu Windows merkt. Wenn das Gerät in den verbundenen Standby-Modus wechselt, löscht DE den Verschlüsselungsschlüssel aus dem RAM und verschiebt ihn in einen sicheren Bereich in Intel-Systemen zum Härten der Hardware, um den Schutz gegen Kaltstart- und Memory Scrubbing-Angriffe sicherzustellen. Wenn das Gerät in einen aktiven Status wechselt, wird der Verschlüsselungsschlüssel nach einer erfolgreichen Authentifizierung bei Windows transparent zurück in den RAM verschoben.
Was ist ein Kaltstart-Angriff?
Ein Kaltstart-Angriff eröffnet die Möglichkeit, vertrauliche Daten aus dem Systemspeicher zu extrahieren, wenn das System eingeschaltet ist oder sich in einem Standby-Modus befindet, selbst wenn es durch ein Windows-Kennwort geschützt ist. Der Angriff schließt entweder einen harten Neustart und das Ausführen eines kleinen Programms beim nächsten Startzyklus des Systems ein, bei dem der Systemspeicher auf vertrauliche Informationen gescannt wird, oder das Entfernen des RAM aus einem eingeschalteten System und seine Übersetzung in ein anderes System zu Scan-Zwecken.
Wie härtet DE 7.1.x diese Systeme gegen einen Kaltstart-Angriff?
Wenn das System in einen der Standby-Modi wechselt, entfernt DE 7.1.x den Schlüssel aus dem Speicher. Er wird an einem sicheren Speicherort gespeichert, der im verbundenen Standby-Modus immer noch zugänglich ist. Das System funktioniert weiterhin entsprechend den Erwartungen des Endbenutzers, es ist jedoch weniger anfällig gegenüber Kaltstart-Angriffen, da sich der Schlüssel nicht mehr im Speicher befindet.
Garantiert McAfee, dass der Schlüssel vollständig aus dem Speicher entfernt wird?
Diese Funktionalität härtet das System gegen speicherbezogene Angriffe. Es wurden zwar alle Maßnahmen ergriffen, um sicherzustellen, dass der Schlüssel aus dem Speicher entfernt wird, aufgrund der Speicherverwaltung in Windows kann McAfee jedoch nicht garantieren, dass er vollständig entfernt wird. In künftigen Versionen werden weitere Härtungsmaßnahmen in dieser Hinsicht ergriffen.
Was ist AOAC?
AOAC bedeutet "Always On, Always Connected" (Immer eingeschaltet, immer verbunden). Von Microsoft wird dieses Konzept als "verbundener Standby-Modus " und von Intel als "Smart Connect" bezeichnet. Im Wesentlichen bezeichnen alle diese Begriffe die gleiche allgemeine Funktionalität. Dabei handelt es sich um die Fähigkeit, ein System im Energie sparenden Ruhezustand zu halten, es regelmäßig zu aktivieren, um Daten abzurufen (E-Mails, Facebook-Aktualisierungen usw.) und anschließend wieder in den Ruhezustand zu versetzen, ohne dass der Benutzer dies bemerkt oder Maßnahmen ergreifen muss. Die Funktionsweise ähnelt der Ihres Mobiltelefons.
Wie ändert AOAC die vollständige Datenträgerverschlüsselung?
Bei der vollständigen Datenträgerverschlüsselung ging es traditionell immer um den Schutz von ruhenden Daten (bei ausgeschaltetem System). AOAC-Funktionen werden von diversen Unternehmen angeboten; damit werden Erwartungen der Benutzer befeuert, dass ihr System ständig aktuelle Inhalte enthält.
Wenn sich mein System im Ruhezustand befindet, bedeutet dies nicht, dass die Daten ohnehin ruhend sind?
Nein. Die Daten sind beim AOAC-Modell nie ruhend. Die Systeme sind nicht ausgeschaltet, sie befinden sich lediglich im Standby-Modus. Das AOAC-Modell erfordert, dass die Datenträger "entsperrt" bleiben. Dies hat folgende Gründe:
- Systeme können in regelmäßigen Abständen oder über eine Push-Benachrichtigung aktiviert werden.
- Anwendungen und Dienste können während dieses Aktivierungszeitraums Zugriff auf den Datenträger benötigen.
Gibt es Probleme mit dem AOAC-Modell?
Beim AOAC-Modell müssen das System und die Dienste in der Lage sein, auf den Datenträger zuzugreifen. Das heißt, der Verschlüsselungsschlüssel für den Datenträger verbleibt jederzeit im Speicher. Dies macht Systeme mit AOAC-Unterstützung anfälliger gegenüber Kaltstart-Angriffen, da sich der Schlüssel immer im Speicher befindet. Es wird nochmals darauf hingewiesen, dass das System nie eingeschaltet wird und sich lediglich im Standby-Modus befindet.
Unterstützt DE 7.1.x ein AOAC-Modell?
Ja. Die Unterstützung wird durch den verbundenen Standby-Modus gewährleistet. In diesem Standby-Modus werden die Daten durch die Windows-Anmeldung vor unbefugtem Zugriff geschützt.
Funktionieren alle AOAC-Funktion und der verbundene Standby-Modus noch, wenn ich diese Funktion aktiviere?
Ja.
Kann ich diese Funktion mit der Pre-Boot- und/oder AutoBoot-Funktion verwenden?
Diese Funktion kann unabhängig von der ausgewählten Authentifizierungsmethode verwendet werden. McAfee empfiehlt jedoch, dass Sie eine der folgenden Optionen verwenden:
- Pre-Boot
- Wenn AutoBoot ausgewählt wird, aktivieren Sie TPM-AutoBoot mit reaktivem AutoBoot oder die Integration mit der Active Management Technology von Intel.
Wann befindet sich der Schlüssel nicht im Speicher, wenn ich diese Funktion verwende?
Der Schlüssel kann aus dem Speicher entfernt werden, wenn eines der folgenden Ereignisse eintritt:
- Das System wird ausgeschaltet.
- Der Benutzer meldet sich ab.
- Der Benutzer sperrt die Arbeitsstation.
- Das System wartet, bis sich ein Benutzer an der Eingabeaufforderung der Windows-Anmeldung authentifiziert.
- Anschließend wird das System aus dem Standby-Modus oder Ruhezustand aktiviert.
Eine andere Betrachtungsweise: Wenn Benutzer sich authentifiziert haben und an ihrem Desktop befinden, befindet sich der Schlüssel im Speicher. Wenn Benutzer sich nicht authentifiziert haben oder nicht an ihrem Desktop befinden, ist der Schlüssel nicht im Speicher.
HINWEIS: Ein Administrator kann über eine Richtlinie auswählen, unter welchen Bedingungen der Schlüssel entfernt werden soll.
Unter welchen Bedingungen wird der Schlüssel wieder im Speicher abgelegt?
Erst nachdem ein Benutzer sich erfolgreich bei Windows authentifiziert hat. Durch die einfache Ausführung von Windows wird der Schlüssel nicht zurück in den Speicher verschoben.
Wo wird der Schlüssel gespeichert, wenn er sich nicht im Speicher befindet?
Der Schlüssel wird in einem sicheren Speicherbereich außerhalb des Speichers aufbewahrt.
Sind mehrere Treiber vorhanden, die den Schlüssel im Speicher verarbeiten?
Nein. Der Betrieb erfolgt jedoch in einem von zwei Modi. Dies sind die zwei Modi:
- Standardverschlüsselung
- Verschlüsselung mit erhöhter Sicherheit
Was ist der Standardverschlüsselungsmodus?
In diesem Zustand des Verschlüsselungstreibers gilt Folgendes:
- Der Verschlüsselungsschlüssel wird im RAM gespeichert.
- Es besteht kein Schutz gegen RAM-basierte oder Kaltstart-Angriffe.
- Höchste Optimierung in Bezug auf die Leistung.
- Es wird die Implementierung des gleichen Algorithmus wie in früheren EEPC 7.x-Versionen verwendet.
Was ist der Verschlüsselungsmodus mit erhöhter Sicherheit?
In diesem Zustand des Verschlüsselungstreibers gilt Folgendes:
- Es wird eine neue Implementierung des AES256-CBC-Verschlüsselungsalgorithmus verwendet.
- Der Verschlüsselungsschlüssel wird an einem sicheren Speicherort und nicht im RAM gespeichert.
- Es besteht keine Anfälligkeit gegenüber RAM-basierten oder Kaltstart-Angriffen.
- Dieser Status bringt eine erhebliche Leistungseinbuße mit sich.
- Richtlinienerzwingungen sind in diesem Status deaktiviert.
Welche Schlüssellänge wird vom Verschlüsselungsalgorithmus AES256 verwendet?
Es wird die Schlüssellänge128 Bit verwendet.
In welchen Fällen wechselt der Treiber zwischen den beiden Modi?
Dies wird durch eine Richtlinie definiert. DE 7.1 kann beispielsweise in den Verschlüsselungsmodus mit erhöhter Sicherheit wechseln, wenn für das System Folgendes gilt:
- Gesperrt
- Abgemeldet
- Ist in den Standby-Modus gewechselt
Wann wird zurück in den Standardverschlüsselungsmodus gewechselt?
Der Standardverschlüsselungsmodus wird fortgesetzt, wenn sich der Benutzer erfolgreich bei Windows authentifiziert hat.
Der Verschlüsselungsmodus mit erhöhter Sicherheit bringt Leistungseinbußen mit sich, spielt dies jedoch eine Rolle, wenn der Benutzer sein System nicht aktiv nutzt?
Nein. Bei Aktualisierungen aus dem verbundenen Standby-Modus wird langsamer auf die Datenträger zugegriffen, wenn der Verschlüsselungsmodus mit erhöhter Sicherheit aktiv ist. Da der Benutzer jedoch zu diesem Zeitpunkt sein System nicht aktiv nutzt, bemerkt er hiervon im Allgemeinen nichts.
Wenn ich einen Task mit starker Beanspruchung des Datenträgers ausführe und meine Arbeitsstation sperre und später zurückkehre, bedeutet dies, dass die Ausführung langsamer ist?
Ja. Da Sie Ihre Arbeitsstation gesperrt haben und das System im Verschlüsselungsmodus mit erhöhter Sicherheit ausgeführt wird, bei dem sich der Schlüssel nicht im Speicher befindet, sind beim Ausführen des Tasks Leistungseinbußen festzustellen.
Bedeutet dies auch, dass im Verschlüsselungsmodus mit erhöhter Sicherheit die Startdauer länger ist?
Ja. Ab dem anfänglichen Start wird der Schlüssel erst im Speicher abgelegt, wenn sich der Benutzer erfolgreich bei Windows authentifiziert hat. Wenn Sie ein Tablet verwenden, fahren Sie dieses wahrscheinlich nur selten vollständig herunter, sodass Sie dieses Verhalten nicht unbedingt bemerken.
Wird im Verschlüsselungsmodus mit erhöhter Sicherheit ein Kompromiss zwischen Sicherheit und Leistung eingegangen?
Ja. Sie erhalten eine viel höhere Sicherheit, nur geht diese mit Leistungseinbußen einher. Es ist unbedingt Folgendes zu beachten: Wenn ein Benutzer sein System aktiv nutzt, erhält er die normale, volle Leistung. Die Leistungseinbußen machen sich für den Benutzer nur in Phasen bemerkbar, wenn die Authentifizierung noch aussteht.
Von welchen Leistungseinbußen ist auszugehen, wenn sich der Treiber im Verschlüsselungsmodus mit erhöhter Sicherheit befindet?
In Bezug auf die RAW-Algorithmusleistung:AES-NI-fähiger 64-Bit-Prozessor:
- Standardverschlüsselung = 1 CPU-Taktzyklus/Byte
- Verschlüsselung mit erhöhter Sicherheit = 15 CPU-Taktzyklen/Byte
Nicht AES-NI-fähiger 32-Bit-Prozessor:
- Standardverschlüsselung = 35 CPU-Taktzyklen/Byte
- Verschlüsselung mit erhöhter Sicherheit = 133 CPU-Taktzyklen/Byte
HINWEIS: Die Einbußen können erheblich höher als der obige RAW-Algorithmus sein, da die Tests mit deaktivierten Interrupts ausgeführt werden. Ein Beispiel mit einer anderen Betrachtungsweise: Ein System mit einem Durchsatz von 208 MB/s im Standardverschlüsselungsmodus kann im Verschlüsselungsmodus mit erhöhter Sicherheit bis auf eine Leistung von 20 MB/s abfallen.Gibt es spezielle Hardware-Anforderungen für die Verwendung dieses Verschlüsselungsmodus mit erhöhter Sicherheit?
Ja. Diese Informationen finden Sie in KB79291.
HINWEIS: Das System muss den verbundenen Standby-Modus unterstützen, und es muss sich um ein Clover Trail-Tablet oder ein Haswell-System handeln.
Kann diese Funktion in Verbindung mit TPM-AutoBoot verwendet werden?
Ja.
Besteht ein Unterschied zwischen dem "verbundenen Standby-Modus" und "Smart Connect"?
Ja. Smart Connect ist als Technologie/Design insofern älter, als ein Treiber vorhanden ist, der das System in regelmäßigen Abständen aktiviert und sich bei einem Server einwählt, um Benachrichtigungen abzurufen. Der verbundene Standby-Modus ist hingegen eine neue Technologie, bei der das System auf der CPU in einen neuen Energiezustand wechselt.Der verbundene Standby-Modus erfordert neue Hardware; bei Smart Connect ist dies nicht der Fall. Sie können Smart Connect also in einem Windows 7-System mit älterer CPU und Hardware betreiben. Aus technischer Sicht verwendet Smart Connect den Energiezustand S3, d. h. den Ruhezustand. Der verbundene Standby-Modus verwendet den Energiezustand RTD3 (ein Ruhemodus der CPU).
Was ist der verbundene Standby-Modus?
Der verbundene Standby-Modus ist nicht im eigentlichen Sinn ein Ruhezustand. Die Funktion wird in einem neuen Energiezustand ausgeführt, in dem einige Dienste weiter ausgeführt werden, die Benachrichtigungen vom Server empfangen können. Demzufolge gelten spezielle Hardware-Anforderungen, und die Funktion ist nur für Windows 8.x-Systeme verfügbar.
Welche Hardware-Anforderungen gelten für den verbundenen Standby-Modus?
Windows 8 nutzt die Vorteile des verbundenen Standby-Modus, wenn die folgenden Hardware-Anforderungen erfüllt sind:
- Es muss eine Firmware-Kennzeichnung vorhanden sein, die die Unterstützung des Standards angibt.
- Das Start-Volume darf keine rotierende Festplatte verwenden.
- Alle Netzwerkgeräte müssen NDIS 6.30 unterstützen.
- Passive Abkühlung im verbundenen Standby-Modus.
HINWEIS: Es bestehen zusätzliche sicherheitsspezifische Anforderungen. Der Speicher muss beispielsweise mit der Hauptplatine verlötet sein, um Kaltstart-Angriffsvektoren zu verhindern, die das Abtrennen des Speichers vom Computer beinhalten; zudem muss das sichere Hochfahren unterstützt werden.
Kann ich einen mit DE verschlüsselten Datenträger neu partitionieren?
Nein. Die Partitionierung eines bereits verschlüsselten Datenträgers kann nicht geändert werden. Sie müssen den Datenträger vollständig entschlüsseln und DE deinstallieren, bevor Sie den Datenträger neu partitionieren können.
Zurück zum Inhalt
Antworten auf häufig gestellte Fragen zur früher verfügbaren EEPC-Funktionalität, die sich auf DE beziehen
Nein. Zum Migrieren auf eine größere Festplatte müssen Sie zunächst die Festplatte entschlüsseln, den Klonvorgang abschließen und den Datenträger erneut verschlüsseln.
Kann eine Partition verschlüsselt werden, wenn ihr kein Laufwerksbuchstabe zugewiesen ist?
Nein.
Kann eine mit DE verschlüsselte Festplattenpartition vergrößert werden?
Nein. Die Partition kann nicht vergrößert werden, solange die Festplatte vollständig verschlüsselt ist. Jeder Versuch, den MBR (Master Boot Record) bei verschlüsselter Festplatte zu modifizieren, führt dazu, dass die Festplatte unbrauchbar wird. Weitere Informationen hierzu finden Sie in KB60647.
Kann ein verschlüsseltes System per Fernzugriff gelöscht werden?
Nein. Pre-Boot weist keine Netzwerkfunktionen auf.
Microsoft hat mit Windows 8 zahlreiche neue Funktionen eingeführt. Folgende haben den größten Einfluss auf die Verschlüsselung:
Ein UEFI (Unified Extensible Firmware Interface)-Startvorgang GPT-Datenträgerpartitionierung Sicheres Hochfahren Hybrid-Boot Moderne Windows 8-Benutzeroberfläche Windows 8-Tablet-PCs
Ja. Abhängig von der Konfiguration und dem Funktionsumfang Ihres Systems installiert Windows 8 entweder die Funktion zum Starten über den neuen UEFI-Startvorgang oder über den älteren BIOS-Startvorgang.
Nein. Sie müssen Windows 8 aufgrund der Änderung des Partitionierungsmechanismus vollständig neu installieren.
Gibt es mit der Veröffentlichung von Windows 8.x und DE 7.1.x jetzt zwei DE-Pre-Boot-Umgebungen?
Ja, DE 7.1.x bietet einen Pre-Boot für den UEFI-Startvorgang und einen Pre-Boot für den BIOS-Startvorgang. Der DE Intelligent Client untersucht, für welchen Startvorgang das System konfiguriert ist, und ermittelt den zu installierenden Pre-Boot. Somit kann sich der Administrator bei der Bereitstellung von DE auf mehreren Systemen sicher sein, dass automatisch der geeignete Pre-Boot installiert wird.
Unterscheidet sich die Bereitstellung von DE unter Windows 8.x von der Bereitstellung unter früheren Windows-Versionen?
Nein. Die Bereitstellung bleibt unabhängig vom Betriebssystem gleich.
Verwendet DE 7.1 die moderne Benutzeroberfläche?
Nein. Nach dem Laden von Windows ist die einzige DE-Benutzeroberfläche unter Windows 8 der Statusmonitor in der Taskleiste, der nur auf dem Desktop verfügbar ist. In der modernen Benutzeroberfläche ist dieser nicht verfügbar.
AutoBoot ist ein Konto, das effektiv den durch DE gebotenen Schutz umgeht, wobei der Benutzer den Pre-Boot-Authentifizierungsbildschirm nicht sieht.
Was ist der reaktive AutoBoot?
Der reaktive AutoBoot ist eine Erweiterung der bisherigen AutoBoot-Funktion, die bereits unter Windows und OS X verfügbar ist. Das Laufwerk wird wie im AutoBoot-Modus verschlüsselt, dem Benutzer wird jedoch der Pre-Boot-Authentifizierungsbildschirm nicht angezeigt, und das Betriebssystem wird direkt gestartet.
Anders als die bisherige AutoBoot-Funktion bietet der reaktive AutoBoot eine zusätzliche Funktion. Er überwacht Windows-Authentifizierungsanfragen (sofern aktiviert). Wenn der Endbenutzer eine höchstzulässige Anzahl fehlgeschlagener Authentifizierungsversuche überschreitet, aktiviert der reaktive AutoBoot automatisch die Pre-Boot-Authentifizierung, deaktiviert die AutoBoot-Funktion und startet den Computer sofort automatisch neu. Anschließend muss sich der Benutzer beim Pre-Boot ordnungsgemäß authentifizieren, bevor er Zugriff auf das Betriebssystem und die Daten auf dem Laufwerk erhält. Mit dieser Funktion kann die Authentifizierungsrichtlinie automatisch gemäß den vom Administrator festgelegten Bedingungen vom AutoBoot (entsperrt, unsicher) zum Pre-Boot (gesperrt, sicher) übergehen.
Wie wird der reaktive AutoBoot aktiviert?
Der reaktive AutoBoot ist standardmäßig nicht aktiviert. Um den reaktiven AutoBoot zu aktivieren, muss ein Administrator die Produktrichtlinieneinstellung "Deaktivieren und System neu starten nach <n> (1–10) fehlgeschlagenen Anmelde- oder Entsperrungsversuchen" (nur Windows, Vista und höher) auswählen und die Anzahl zulässiger fehlgeschlagener Anmelde- oder Entsperrungsversuche festlegen. Die Richtlinie muss dann den Systemen zugewiesen werden, für die die Funktion "Reaktiver AutoBoot" erforderlich ist.
Was ist ein gutes Anwendungsbeispiel für den reaktiven AutoBoot?
Angenommen, Sie möchten freigegebene Systeme verschlüsseln, auf die jeder Benutzer im Unternehmen zugreifen muss. Sie können der Pre-Boot-Authentifizierung dann keinen bestimmten Benutzer oder keine bestimmte Benutzergruppe zuweisen. Der reaktive AutoBoot könnte sich in Situationen anbieten, in denen Sie sonst zu einer Bereitstellung über AutoBoot gezwungen wären.
Arbeitet der reaktive AutoBoot nur auf dem Client, oder geschieht auch etwas auf dem ePO-Server?
Diese Funktion arbeitet nur auf dem Client. Audit-Ereignisse werden bei der jeweils nächsten Synchronisierung zu ePO hochgeladen, der ePO-Server interagiert jedoch nicht mit dieser Funktion.
Ist der reaktive AutoBoot eine reine Windows-Funktion, oder funktioniert er auch unter OS X?
Es handelt sich um eine reine Windows-Funktion. Der reaktive AutoBoot wird gegenwärtig nicht unter Mac OS X angeboten. Aufgrund von Änderungen bei Apple wurde das EEMac-Produkt durch Management of Native Encryption (MNE) ersetzt. Weitere Informationen hierzu finden Sie in KB79375.
Unter welchen Versionen von Windows funktioniert der reaktive AutoBoot?
Die Funktion ist ab Windows Vista verfügbar. Sie funktioniert nicht unter Windows XP.
Werden die Laufwerke auf einem mit reaktivem AutoBoot konfigurierten System verschlüsselt?
Ja, sofern dies in der Verschlüsselungsrichtlinie festgelegt ist. Da bei aktiviertem AutoBoot jedoch die Authentifizierung nicht aktiviert ist, sind die Daten nicht geschützt.
Kann ich bei der Verwendung des reaktiven AutoBoots die höchstzulässige Anzahl fehlgeschlagener Versuche festlegen?
Ja, ein ePO-Administrator kann dies in der Richtlinie festlegen. Der Mindestwert lautet 1, der Maximalwert 10.
Gilt der reaktive AutoBoot für alle Windows-Authentifizierungsversuche?
Ja, er gilt sowohl für Anmelde- als auch für Entsperrungsversuche unter Windows.
Spielt es bei der Verwendung des reaktiven AutoBoots eine Rolle, ob der Windows-Benutzer ein Arbeitsgruppen- oder Domänenbenutzer ist?
Nein.
Funktioniert der reaktive AutoBoot mit Software-Verschlüsselung und mit Opal?
Ja.
Kann ich den reaktiven AutoBoot in Verbindung mit dem temporären AutoBoot verwenden?
Nein. Der reaktive AutoBoot ist nur als Option in Szenarien verfügbar, in denen AutoBoot immer aktiviert ist.
Wie wirkt sich der aktivierte reaktive AutoBoot auf Endbenutzer aus?
Wenn Endbenutzer den Computer einschalten, wird Windows direkt gestartet. AutoBoot bedeutet, dass es keine Pre-Boot-Authentifizierung gibt. Benutzer gelangen direkt zur Windows-Anmeldung. Sofern die Authentifizierung bei Windows immer erfolgreich ist, ändert sich für den Endbenutzer nichts.
Was geschieht, wenn bei Verwendung des reaktiven AutoBoots der Endbenutzer die höchstzulässige Anzahl fehlgeschlagener Windows-Authentifizierungsversuche überschreitet?
Wenn ein Benutzer die festgelegte Anzahl fehlgeschlagener Authentifizierungsversuche überschreitet, geschieht Folgendes:
Die Pre-Boot-Authentifizierung wird automatisch aktiviert, und AutoBoot wird deaktiviert. Windows wird direkt heruntergefahren, und das System wird neu gestartet. Während des Neustarts des Computers wird der Pre-Boot-Authentifizierungsbildschirm angezeigt, und der Benutzer muss sich erfolgreich authentifizieren, um Zugriff auf Windows zu erhalten.
Wenn sich ein Benutzer bei Verwendung des reaktiven AutoBoots versehentlich falsch authentifiziert (und dabei die höchstzulässige Anzahl fehlgeschlagener Authentifizierungsversuche überschreitet), kann die Arbeit vor dem Neustart des Systems noch gespeichert werden?
Nein. Das System geht davon aus, dass es angegriffen wird, und sperrt sich so schnell wie möglich.
Wie muss ein Benutzer vorgehen, wenn ihm die Pre-Boot-Authentifizierung angezeigt wird, um Zugriff auf Windows zu erhalten?
Der Benutzer muss sich entweder auf dem Pre-Boot-Bildschirm authentifizieren oder einen der Standardmechanismen zur Wiederherstellung ausführen, um Zugriff auf Windows zu erhalten.
Kann sich ein Benutzer, nachdem dieser die für den reaktiven AutoBoot festgelegte Höchstanzahl fehlgeschlagener Versuche überschritten hat, über die Windows-Anmeldeinformationen authentifizieren oder die Selbstwiederherstellung verwenden, um den Pre-Boot erfolgreich zu durchlaufen und auf Windows zuzugreifen?
Nein, wenn das System bisher immer im AutoBoot-Modus gearbeitet hat. Es ist dann sehr wahrscheinlich, dass keine DE-Benutzer zugewiesen wurden, um eine erfolgreiche Pre-Boot-Authentifizierung zu ermöglichen.
Ja, wenn das DE-Benutzerkonto zugewiesen wurde und dem Benutzer die DE-Anmeldeinformationen bekannt sind.
Kann ich die Abfrage-/Rückmeldungswiederherstellung verwenden, um dem System Zugriff auf Windows zu ermöglichen, wenn ein Benutzer die festgelegte höchstzulässige Anzahl fehlgeschlagener Versuche überschreitet?
Ja. In diesem Szenario ist dies eine Option, die allen Benutzern zur Verfügung steht.
Wie kann ich den reaktiven AutoBoot neu aktivieren und die Pre-Boot-Authentifizierung deaktivieren, um zurück zum vorherigen Workflow zu wechseln?
Der Benutzer muss sich erfolgreich beim Pre-Boot authentifizieren oder den erforderlichen Wiederherstellungsprozess ausführen, um auf Windows zuzugreifen. Nachdem Windows geladen und die DE-Dienste gestartet wurden, wird der reaktive AutoBoot automatisch neu aktiviert.
Ist zur erneuten Aktivierung des reaktiven AutoBoots auf einem System, auf dem dieser wegen fehlgeschlagener Windows-Authentifizierungsversuche deaktiviert wurde, das Eingreifen eines Administrators erforderlich?
Nein. Nachdem der Client das System neu gestartet und auf Windows zugegriffen hat, wird der reaktive AutoBoot automatisch neu aktiviert. Das System muss zur erneuten Aktivierung des AutoBoots nicht mit ePO kommunizieren.
Wird für ein reaktives AutoBoot-Ereignis ein Audit durchgeführt, und kann ein Administrator sehen, bei welchen Systemen die Pre-Boot-Authentifizierung aufgrund dieser Funktion aktiviert ist?
Ja. Das Ereignis 30070: "Automatischer Boot deaktiviert – Maximale Anzahl fehlgeschlagener Anmeldungen überschritten" wird an den ePO-Server gesendet, allerdings nur nach der nächsten erfolgreichen Authentifizierung bei Windows und wenn eine Verbindung mit ePO möglich ist.
HINWEIS: Sobald das System von einem Angriff ausgeht, deaktiviert es den AutoBoot und startet das System neu. Die Zeit reicht nicht aus, um ein Ereignis an ePO zu senden, sodass ePO dabei nicht über die Sperre informiert ist.
Kann ich den Anwendungsfall "Standortabhängig" aus der Intel AMT-Integration mit dem reaktiven AutoBoot verwenden?
Dies ist zwar theoretisch möglich, die kombinierte Verwendung ist jedoch aus zwei wesentlichen Gründen nicht sinnvoll. Zum einen wird beim aktivierten reaktiven AutoBoot die AMT-Funktion beim Pre-Boot nicht verwendet, da das System Windows direkt startet. Zum anderen ist es aus Sicht der Sicherheit und Bedienbarkeit besser, die AMT-Funktion und den Anwendungsfall "Standortabhängig" zu verwenden, um einen sicheren und autorisierten automatischen Boot von Windows auf dem Systems zu ermöglichen. Wenn Sie dies aktiviert haben, ist dies weitaus sicherer als der reaktive AutoBoot.
Kann ich mithilfe von AMT die Anzahl der Endbenutzeranrufe beim Help Desk minimieren, wenn der reaktive AutoBoot den Pre-Boot aktiviert?
Diese Funktion kann die Notwendigkeit eines Helpdesk-Anrufs, um den Start nach der Pre-Boot-Umgebung fortsetzen zu können, zwar weitgehend eliminieren, es können allerdings trotzdem Situationen auftreten, in denen ein Helpdesk-Anruf erforderlich ist. Noch wichtiger ist, dass die AMT-Funktion zur Datensicherheit beiträgt, da vom Server verlangt wird, dass dieser eine automatische Pre-Boot-Authentifizierung bereitstellt. Der AutoBoot hingegen verfügt über keine Pre-Boot-Authentifizierung und bietet keine Datensicherheit.
Sowohl mit der AMT-Integration als auch mit dem reaktiven AutoBoot gelangt der Benutzer direkt zu Windows und erhält die Möglichkeit, sich zu authentifizieren – was geschieht, wenn dem Benutzer zu viele Authentifizierungsfehler unterlaufen und ich möchte, dass das System in der Pre-Boot-Umgebung neu startet?
Endbenutzer bemerken bei diesen Methoden keine Änderungen, es gibt jedoch Unterschiede am Backend. Der reaktive AutoBoot ist eine unsichere Lösung, die Windows anhand von Verschlüsselungsinformationen startet, die sich bereits auf dem Client befinden. Die Intel AMT-Integration ist eine sichere Lösung, die bei ePO eine Erlaubnis zum Start von Windows anfordert und daraufhin die nötigen Verschlüsselungsinformationen erhält.
Auf einem Client-System, das den reaktiven AutoBoot verwendet, wird die AMT-Funktion im Pre-Boot nicht verwendet. Wenn die Authentifizierung eines Benutzers wiederholt fehlschlägt, aktiviert der reaktive AutoBoot den Pre-Boot und startet das System neu. Der Pre-Boot verwendet AMT, kontaktiert ePO und erhält die Berechtigung zum Starten. Wenn ePO nicht oder negativ reagiert, befindet sich der Benutzer in derselben Lage wie mit dem herkömmlichen reaktiven AutoBoot ohne AMT. Der Benutzer gelangt zurück zum Windows-Anmeldebildschirm, und der reaktive AutoBoot wird aktiviert, da das System Windows gestartet hat. Der Benutzer kann so lange falsche Kennwörter eingeben, bis Windows den Benutzer deaktiviert. In diesem Fall ist höchstwahrscheinlich ein Anruf beim Helpdesk erforderlich. Beim reaktiven AutoBoot handelt es sich um eine Aktivität auf dem Client. Es erfolgt keine Kommunikation mit dem ePO-Server, und es bleibt keine Zeit zur Kommunikation mit dem Server, wenn die Funktion auf fehlgeschlagene Anmeldeversuche reagiert.
Was ist Schnelle Erstverschlüsselung (nur verwendeter Sektor)?
Die schnelle Erstverschlüsselung ermöglicht es, das DE-Produkt auf einem System zu installieren und in wenigen Minuten eine Verschlüsselung durchzuführen (normalerweise kann dies mehrere Stunden dauern).
Wie funktioniert die schnelle Erstverschlüsselung?
Die schnelle Erstverschlüsselung entfernt den Schutz vor Stromausfällen (der vor Datenverlust bei einem Stromausfall oder hartem Herunterfahren schützt) und führt die Erstverschlüsselung so schnell aus, wie die Hardware es zulässt. Zudem werden nur die Sektoren verschlüsselt, die zu diesem Zeitpunkt gerade verwendet werden.
Wie unterscheidet sich die schnelle Erstverschlüsselung von der Funktionsweise in DE 7.1 und früheren Versionen?
Üblicherweise ist das Produkt für die Verschlüsselung eines Systems ausgelegt, das gerade verwendet wird. Es arbeitet daher so, dass die tägliche Arbeit des Endbenutzers so wenig wie möglich beeinträchtigt wird. Der Benutzer kann somit die Arbeit während der laufenden Verschlüsselung fortsetzen und ist bei einem Stromausfall oder harten Herunterfahren geschützt. Bei dieser Standardbereitstellung dauert die Verschlüsselung länger, da das Produkt jeden Sektor der Volumes bzw. Partitionen verschlüsselt, die in der Verschlüsselungsrichtlinie angegeben wurden. Auch leere Sektoren, die keine Daten enthalten, werden verschlüsselt.
Wie werden bei Verwendung der schnellen Erstverschlüsselung nur verwendete Sektoren verschlüsselt?
Das Produkt fragt beim Betriebssystem ab, welche Sektoren vom Dateisystem verwendet werden. Das Produkt verschlüsselt dann nur die Sektoren, die bei den in der Verschlüsselungsrichtlinie angegebenen Volumes bzw. Partitionen als verwendet gekennzeichnet sind. Bei einer Neuinstallation ist dies üblicherweise nur ein kleiner Teil des Gesamtlaufwerks.
Was geschieht, wenn ich neue Daten auf den Datenträger schreibe?
Wenn neue Sektoren verwendet werden, werden auch diese verschlüsselt.
Für welche Anwendungsfälle ist die schnelle Erstverschlüsselung ausgelegt?
Diese Funktion ist für die Erstverschlüsselung eines neu installierten oder über ein Image wiederhergestellten Systems ausgelegt. Das System wird nur von IT-Technikern verwendet, es ist nicht für Endbenutzer vorgesehen. Weitere Informationen hierzu finden Sie in den häufig gestellten Fragen zur Offline-Aktivierung unter den Anwendungsfällen "Interne Bereitstellung" und "Bereitstellung durch eine Drittpartei".
Nein. Sie ist nur unter Windows mit DE 7.1 verfügbar. Aufgrund von Änderungen bei Apple wurde das EEMac-Produkt durch MNE ersetzt.
Wo kann ich die schnelle Erstverschlüsselung aktivieren?
Die schnelle Erstverschlüsselung ist nur im Rahmen der Offline-Aktivierung verfügbar. Weitere Informationen hierzu finden Sie in den häufig gestellten Fragen zur Offline-Aktivierung.
Kann ich die schnelle Erstverschlüsselung im Rahmen des normalen Aktivierungsvorgangs verwenden?
Nein.
Nein. Sie müssen die schnelle Erstverschlüsselung explizit aktivieren.
Wie kann ich die schnelle Erstverschlüsselung im Rahmen eines Offline-Aktivierungspakets aktivieren?
Die folgenden beiden Optionen wurden dem Offline-Aktivierungspaket hinzugefügt:
-
SkipUnused (Option ist standardmäßig deaktiviert)
-
DisablePF (Option ist standardmäßig deaktiviert)
Das Offline-Aktivierungspaket wird nicht angelegt, und der Vorgang schlägt fehl. Sie müssen das Paket dann erneut anlegen und diesmal "Ja" eingeben oder die Option "Nur verwendete Sektoren" aus dem Paket entfernen.
Warum muss ich bei aktivierter schneller Erstinstallation "Ja" eingeben, wenn ich "Nur verwendete Sektoren" verwende?
Auf diese Weise wird sichergestellt, dass Sie den Haftungsausschluss gelesen und die Verwendung dieser Funktion verstanden haben. Sie sollten unbedingt die Hinweise zur Funktion " Nur verwendete Sektoren" lesen.
Nein. Die schnelle Erstverschlüsselung ist für ein Opal-Laufwerk nicht erforderlich, da das Laufwerk im Prinzip durchgehend verschlüsselt ist. Der DE-Aktivierungsvorgang aktiviert den Sperrmechanismus für das Laufwerk. Derzeit wechselt ein Opal-Laufwerk innerhalb von Minuten aus dem inaktiven in den aktiven und vollständig verschlüsselten Zustand. Weitere Informationen hierzu finden Sie in den häufig gestellten Fragen zur Offline-Aktivierung.
Kann ich die schnelle Erstverschlüsselung mit einem normalen Festplattenlaufwerk (HDD) oder Solid State-Laufwerk (SSD) verwenden?
Ja, Sie sollten jedoch unbedingt die Hinweise zur Funktion "Nur verwendete Sektoren" lesen.
Die Auswirkungen auf SSDs sind aufgrund ihrer Funktionsweise umfangreicher. Ausführliche Informationen zu Leistungsproblemen, über die bei einigen SSDs berichtet wurde, finden Sie in KB66256.
Kann ich einen Computer neu starten, während die Festplatte verschlüsselt wird?
Zwei Szenarien sind zu berücksichtigen:
- Sie können keinen Neustart ausführen, während Schnelle Erstverschlüsselung ausgeführt wird und die Funktion DisablePF aktiviert ist. Ein Neustart des Systems unter diesen Bedingungen würde einen Datenverlust bewirken.
- Bei der vollständigen Datenträgerverschlüsselung (FDE) ist ein Neustart möglich. Bei FDE wird die Verschlüsselung fortgesetzt, wenn der Computer neu gestartet wurde. Beachten Sie jedoch Folgendes: Wenn der Computer vor Abschluss des Datenträgerverschlüsselungsprozesses heruntergefahren wird, sind die ruhenden Daten möglicherweise nicht komplett geschützt.
Wenn ich die Option "Nur verwendete Sektoren" verwende, bedeutet dies, dass es auf dem Laufwerk unverschlüsselte Sektoren gibt?
Ja. Bei dieser Option verschlüsselt das Produkt nur die Sektoren, die vom Betriebssystem als verwendet gemeldet werden. Alle anderen Sektoren (Leerraum) bleiben so lange unverschlüsselt, bis sie verwendet werden, auch wenn diese Sektoren zuvor gelöschte vertrauliche Daten enthalten. Alle während des normalen Betriebs geschriebenen neuen Sektoren werden verschlüsselt geschrieben.
Diese Option kann verwendet werden, bevor vertrauliche Unternehmensdaten auf den Datenträger geschrieben werden.
Sollte die Option "Nur verwendete Sektoren" auf HDDs oder SSDs, auf denen vorher vertrauliche Unternehmensdaten gespeichert waren, verwendet werden?
Verwenden Sie diese Funktion nicht für Datenträger, auf denen vorher vertrauliche Unternehmensdaten gespeichert waren. Verschlüsseln Sie das Volume, die Partition oder den Datenträger vollständig.
Welche maximal zulässige Festplattengröße wird von DE unterstützt?
DE unterstützt jegliche Größe, die auch vom BIOS oder UEFI unterstützt wird. Für das BIOS gilt eine technische Einschränkung auf 2,2 TB, während für UEFI eine Einschränkung auf 9,4 ZB gilt.
Weitere Einzelheiten zur UEFI-Einschränkung finden Sie unter http://www.uefi.org/sites/default/files/resources/UEFI_Drive_Partition_Limits_Fact_Sheet.pdf
Sollte die Option "Nur verwendete Sektoren" bei Wiederverwendung eines älteren Datenträgers, der vollständig mit DE verschlüsselt wurde, verwendet werden?
Diese Funktion kann weiterhin verwendet werden, sofern alle Volumes, die vertrauliche Daten enthielten, vorher verschlüsselt wurden. Andernfalls sollte diese Funktion nicht verwendet werden.
Sollte die Option "Nur verwendete Sektoren" bei Wiederverwendung eines älteren Datenträgers, der mit einem anderen Verschlüsselungsprodukt verschlüsselt wurde, verwendet werden?
Da McAfee bei Produkten anderer Hersteller keine Sicherheit garantieren kann, sollten Sie diese Funktion nicht verwenden.
Kann McAfee Daten bereitstellen, aus denen die Verbesserungen bei Verwendung der schnellen Erstverschlüsselung (Option "Nur verwendete Sektoren") ersichtlich werden?
Ja, siehe KB77844.
Kann ich weiterhin eine normale oder Offline-Aktivierung mit aktiviertem Schutz vor Stromausfällen verwenden und dabei alle und nicht nur die verwendeten Sektoren verschlüsseln?
Ja. Sie müssen die schnelle Erstverschlüsselung zur Verwendung explizit aktivieren. Andernfalls erfolgt die reguläre Aktivierung und Erstverschlüsselung.
Kann ich die Option zum Schutz vor Stromausfällen deaktivieren, die Funktion "Nur verwendete Sektoren" jedoch zulassen?
Ja. Es kann jede Kombination der beiden Optionen ausgewählt werden. Aufgrund potenzieller Sicherheitsbedenken bei der ausschließlichen Verschlüsselung verwendeter Sektoren auf wiederverwendeten Laufwerken ("schmutzige Festplatten") kann dies jedoch deaktiviert werden. Sie sollten unbedingt die Hinweise zur Funktion Nur verwendete Sektoren lesen.
Was ist UEFI?
UEFI (Unified Extensible Firmware Interface) definiert die Firmware-Schnittstelle der nächsten Generation für Ihren PC. Die BIOS-Firmware (Basic Input and Output System), die ursprünglich in Assemblysprache geschrieben wurde und Software-Interrupts zur Ein- und Ausgabe verwendet, hat das PC-Gesamtsystem von Beginn an definiert. Änderungen in der Computer-Landschaft haben jedoch den Weg für eine moderne Firmware-Definition zur Einführung in der nächsten Generation der Tablet-PCs und Geräte geebnet.
Einige wichtige Punkte der UEFI:
Die UEFI wird durch das UEFI-Forum verwaltet, einer Gruppe von Chip-Satz-, Hardware-, System-, Firmware- und Betriebssystemanbietern. Das Forum pflegt und verwaltet Spezifikationen, Test-Tools und Referenzimplementierungen, die auf zahlreichen UEFI-Computern verwendet werden. Durch die UEFI soll eine standardisierte Kommunikation des Betriebssystems mit der Plattform-Firmware während des Startvorgangs definiert werden. Vor der UEFI waren Software-Interrupts der primäre Mechanismus zur Kommunikation mit der Hardware während des Startvorgangs. Moderne PCs können eine schnellere und effizientere Blockeingabe und -ausgabe zwischen Hardware und Software ausführen, und dank UEFI kann das Potential der Hardware optimal genutzt werden. Die UEFI ermöglicht ein modulares Firmware-Design, das Hardware- und Systementwicklern mehr Flexibilität bei der Firmware-Entwicklung für anspruchsvolle moderne Computer-Umgebungen bietet. Während die Ein- und Ausgabe bei Software-Interrupts eingeschränkt war, fördert die UEFI das Konzept der ereignisorientierten, architekturneutralen Codierungs-Standards.
Ist die UEFI-Implementierung bei allen Anbietern gleich?
Nein. UEFI-Implementierungen sind je nach Hardware-Anbieter unterschiedlich. Je nach UEFI-Implementierung reichten die Probleme von fehlenden Protokollen, die zur Unterstützung von Opal-Laufwerken erforderlich sind, bis hin zu Problemen bei der USB-Unterstützung, die in der von DE verwendeten Pre-Boot-Umgebung beim Betrieb im nativen UEFI-Modus bereitgestellt wird.
Welche UEFI-Version unterstützt EEPC?
DE 7.1 unterstützt UEFI ab Version 2.3.1.
Unter welchen Windows-Versionen wird ein UEFI-Startvorgang unterstützt?
Systeme unter Windows 7 (64 Bit) und Windows 8 (32 Bit und 64 Bit) unterstützen einen UEFI-Startvorgang.
Funktioniert ein System mit einem UEFI-Startvorgang bei partitionierten Datenträgern mit MBR?
Nein. Windows benötigt für den Start unter UEFI einen neuen Mechanismus zur Datenträgerpartitionierung, der als GPT bezeichnet wird.
Ist der DE-Pre-Boot eine Anwendung?
Ja. Wenn Sie sich vorstellen, dass die UEFI einem Betriebssystem ähnelt, wird der DE-Pre-Boot zu einer nativen UEFI-Anwendung. Die BIOS-Pre-Boot-Version ist dagegen selbst ein Betriebssystem. In beiden Fällen muss der DE-Pre-Boot zuerst ausgeführt werden, damit nach einer erfolgreichen Authentifizierung der Verschlüsselungsschlüssel geladen und der Startvorgang fortgesetzt werden kann. Wenn sich ein Benutzer in einem UEFI-System erfolgreich beim DE-Pre-Boot authentifiziert, wird die DE-Pre-Boot-Anwendung einfach beendet, sodass die nächste Anwendung in der Kette ausgeführt werden kann (üblicherweise das Startladeprogramm für das Betriebssystem).
Kann ein Endbenutzer erkennen, ob er den BIOS-basierten Pre-Boot oder den UEFI-Pre-Boot verwendet?
Nein. Beide Pre-Boot-Umgebungen erscheinen äußerlich genau gleich. Ein Endbenutzer kann keinen Unterschied zwischen der UEFI- und der BIOS-Pre-Boot-Umgebung erkennen.
Werden bei der UEFI auch dieselben Token und Lesegeräte unterstützt?
Ja. Alle unterstützten Token und Lesegeräte sollten mit BIOS und UEFI funktionieren, mit den folgenden Ausnahmen:
Alle biometrischen Token USB-Token für eToken von SafeNetDie unterstützten Token für die Authentifizierung in Drive Encryption 7.1.x sind in KB79787 aufgelistet.
Die unterstützten Lesegeräte für die Authentifizierung in Drive Encryption 7.1.x sind in KB79788 aufgelistet.
Werden alle Touch-Screen-Geräte von der UEFI unterstützt?
Sie können sich die UEFI als Betriebssystem vorstellen, für das OEMs Software-Treiber für die in diesem Gerät enthaltene Hardware bereitstellen müssen. Bei der UEFI unterstützt der Pre-Boot sowohl das Simple Pointer Protocol als auch das Absolute Pointer Protocol. Bei einem oder beiden wird davon ausgegangen, dass eine Implementierung für alle auftretenden Touch-Screen-Geräte erfolgt. Wenn ein Hersteller/OEM der UEFI-Implementierung einen dieser Mechanismen nicht implementiert hat, ist nicht garantiert, dass das Touch-Screen-Gerät unterstützt wird.
HINWEIS: McAfee hat bei eigenen internen Tests festgestellt, dass nicht alle UEFI-Implementierungen von OEMs diese Schnittstellen auch tatsächlich implementieren. In diesen Fällen lässt der Ersteller der UEFI-Implementierung auf dem System Abschnitte der UEFI-Spezifikation aus.
Unterstützt die UEFI Opal-Laufwerke?
Unterstützung für selbstverschlüsselnde Opal-Laufwerke auf UEFI-Systemen ist nur auf Systemen verfügbar, die mit dem Windows 8-Logo konform sind und ab Werk mit einem selbstverschlüsselnden Opal-Laufwerk ausgestattet sind. Unterstützung für selbstverschlüsselnde Opal-Laufwerke wird bei der UEFI nicht angeboten, wenn Opal-Laufwerke nachträglich in Systeme mit älteren Betriebssystemen als Windows 8 eingebaut werden oder in Windows 8-Systeme, die nicht werkseitig mit Opal-Laufwerken ausgestattet wurden. Das liegt daran, dass das für die Opal-Verwaltung erforderliche UEFI-Sicherheitsprotokoll nur dann obligatorisch ist, wenn bei der Auslieferung ein selbstverschlüsselndes Laufwerk eingebaut ist. Ohne dieses Sicherheitsprotokoll ist die Opal-Verwaltung nicht möglich.
Gibt es für Systemen mit einem UEFI-Startvorgang andere Wiederherstellungs-Tools?
Ja. Da der Startvorgang anders verläuft, wird ein anderes Wiederherstellungs-Tool benötigt.
Bedeutet dies, das DETech ebenfalls eine UEFI-Anwendung ist?
Ja. Es gibt eine DETech-Anwendung, die zur Wiederherstellung von Systemen mit einem UEFI-Startvorgang verwendet wird.
HINWEIS: Sie können die (älteren) BIOS DETech-Tools nicht mit einem UEFI-Boot-System verwenden.
GPT-Laufwerke funktionieren problemlos mit UEFI. Werden diese ebenfalls unterstützt?
Ja. Der UEFI-Pre-Boot in DE 7.1 unterstützt GPT-Laufwerke. Diese werden als Bootdisks oder sekundäre Datenträger unterstützt.
Kann der BIOS-Pre-Boot auch GPT-Laufwerke (GUID Partition Table) unterstützen?
Windows 7
GPT-Laufwerke können nicht als Startdatenträger, aber als sekundäre Datenträger unterstützt werden. Zudem liegt es am Betriebssystem, ob der sekundäre Datenträger im GPT-Modus unterstützt wird und ob das BIOS große Laufwerke für DETech (Standalone) zur Wiederherstellung unterstützt.
Windows 8 oder höher
Primäre und sekundäre Festplatten mit GUID Partition Table (GPT) werden unter Windows 8 mit DE 7.1.0 und höher unterstützt.
HINWEISE:
- UEFI-basierte Systeme können nur von einer primären GPT-Festplatte gestartet werden.
- BIOS-basierte Systeme können nicht von einer primären GPT-Festplatte gestartet werden. Auf diesen Systemen mit EEPC 7.0 und höher werden GPT-Festplatten nur als sekundäre Laufwerke unterstützt.
Warum sollte ich DETech WinPE-Wiederherstellungsmedien erstellen und verwenden, wenn die DETech Standalone-Version bereits weitere Funktionen enthält, beispielsweise die Möglichkeit eines Notfall-Boots?
Die WinPE-Version ist wesentlich schneller als die Standalone-Version. Die WinPE-Version ermöglicht Ihnen zudem vor dem Einspielen eines Images den Zugriff auf die verschlüsselte Festplatte, das Beheben von Windows-Problemen oder das Kopieren von Benutzerdaten auf ein anderes Laufwerk. Sie können auch beliebige Windows-Tools ausführen und auf das Netzwerk zugreifen.
HINWEIS: DETech Standalone ist nicht abwärtskompatibel. Das heißt, Sie müssen immer ein DETech-Wiederherstellungsmedium der entsprechenden Version verwenden. Wenn auf dem Client DE 7.1 installiert ist, erstellen Sie ein DETech 7.1 Standalone-Wiederherstellungsmedium, um Wiederherstellungsaktionen auszuführen.
Warum stellt McAfee den Kunden keine WinPE-Wiederherstellungs-CD zur Verfügung?
Dazu wird eine gültige Microsoft-Lizenz benötigt.
Was ist Sicherer Start?
"Sicherer Start" ist eine durch UEFI aktivierte Funktion, Microsoft fordert jedoch bestimmte Implementierungen für x86-PCs (Intel). Bei allen Systemen mit einem Windows 8-Logoaufkleber ist "Sicherer Start" aktiviert.
Die UEFI umfasst eine als "Sicherer Start" bezeichnete Firmware-Validierung, die in Kapitel 27 der UEFI 2.3.1-Spezifikation definiert ist. "Sicherer Start" definiert die Verwaltung der Sicherheitszertifikate durch die Plattform-Firmware, die Validierung der Firmware und die Schnittstelle (Protokoll) zwischen Firmware und Betriebssystem. Es bildet einen vertrauenswürdigen Ausgangspunkt, beginnend in der UEFI, die das nächste Modul in der Kette vor dem Laden und Ausführen validiert, um sicherzustellen, dass es sich seit der digitalen Anmeldung nicht geändert hat. Durch die "Sicherer Start"-Architektur und die Einrichtung einer Vertrauenskette ist der Kunde davor geschützt, dass während des Startvorgangs bösartiger Code ausgeführt wird, da nur signierte und zertifizierte ungefährliche Startladeprogramme und Code ausgeführt werden können, bevor das eigentliche Betriebssystem geladen wird.
Unterstützt DE 7.1.x "Sicherer Start"?
Ja.
Bedeutet dies, dass DE signiert ist und somit für "Sicherer Start" als vertrauenswürdig gilt?
Ja.
Funktioniert "Sicherer Start" auf einem BIOS-basierten Windows 8-System?
Nein, es funktioniert nur auf UEFI-basierten Systemen.
Was ist der Hybrid-Boot?
In früheren Windows-Versionen wurden beim herkömmlichen Herunterfahren alle Benutzersitzungen, Dienste und Geräte geschlossen; zudem wurde der Kernel geschlossen, um das vollständige Herunterfahren vorzubereiten. Windows 8 schließt die Benutzersitzung, versetzt die Kernel-Sitzung jedoch in den Ruhezustand, statt sie zu schließen. So wird der Computer schneller herunter- und hochgefahren.
Unterstützt DE 7.1.x den Hybrid-Boot?
Ja. Der Hybrid-Boot wird jedoch in älteren Versionen von EEPC nicht unterstützt.
Funktioniert SSO (Single Sign On, einmalige Anmeldung) bei einem Hybrid-Boot?
Ja, DE unterstützt SSO für die Rückkehr aus dem Ruhezustand, im Unterschied zu früheren EEPC-Versionen.
Bisher hat EEPC immer etwas Zeit für die Rückkehr aus dem Ruhezustand gebraucht. Ist der Hybrid-Boot auch in DE 7.1.x verlangsamt?
DE 7.1 bietet Verbesserungen in allen Leistungsbereichen. Diese werden besonders in Verbindung mit einem AES-NI-fähigen Prozessor deutlich. Bei internen Tests hat DE vergleichbare verschlüsselte/nicht verschlüsselte Startzeiten bei Einsatz des Hybrid-Boots festgestellt.
Tablet-PCs mit Intel-Prozessoren Tablet-PCs mit ARM-Prozessoren
Windows RT (früher als Windows on ARM bezeichnet) ist eine Windows 8-Version für ARM-Geräte. Nur Software, die für die moderne Benutzeroberfläche von Windows 8 geschrieben wurde, wird unter Windows RT ausgeführt, mit Ausnahme von Microsoft Office 2013 RT und Internet Explorer 10. Anwendungen, die mit den Win32-APIs geschrieben wurden (die große Mehrheit der aktuellen Anwendungen) werden unter Windows RT nicht ausgeführt.
Unterstützt DE 7.1.x Windows 8-Tablet-PCs mit einem ARM-Prozessor und Windows RT?
Nein.
Unterstützt DE 7.1.x Windows 8-Tablet-PCs mit einem Intel-Prozessor?
Ja, es besteht kein Unterschied zu anderen Windows-Systemen. Kunden sollten jedoch auf folgende Punkte achten:
CPU-Leistung Touchscreen-Unterstützung
McAfee ist aufgefallen, dass einige Windows 8-Tablet-Vorabversionen verschiedener Hersteller schwächere Prozessoren enthalten, von denen einige nicht AES-NI-fähig sind. Kunden sollten auf die CPU-Leistung achten, damit nach der Verschlüsselung des Systems eine optimale Benutzererfahrung gewährleistet ist.
Was ist hinsichtlich der Touchscreen-Unterstützung auf Tablet-PCs zu beachten?
Hierbei geht es einzig und allein um die Authentifizierung des Endbenutzers beim Pre-Boot. Einige Windows 8-Tablet-PCs verfügen über eine Tastatur, dort ist es kein Problem. Auf Geräten ohne Tastatur muss der Benutzer die Authentifizierung über die Touch-Oberfläche beim Pre-Boot durchführen. Lesen Sie im Abschnitt zu dieser Funktion die Hinweise zur Frage "Werden in UEFI alle Touch-Screen-Geräte unterstützt?" weiter oben.
Welche Windows 8-Version wird auf dem Intel-basierten Tablet-PC ausgeführt?
Aus technischer Sicht können alle Windows 8-Versionen ausgeführt werden, die mit Intel-Prozessoren kompatibel sind. Die Entscheidung trifft der Hersteller bei der Fertigung und Auslieferung des Systems.
Interne Bereitstellung Bereitstellung durch eine Drittpartei Ein Remote-System, das nie eine Verbindung mit ePO herstellt
Was ist der Anwendungsfall "Interne Bereitstellung" für die Offline-Aktivierung?
Angenommen, Sie verfügen über einen eigenen internen Bereitstellungsprozess, der vorschreibt, dass vor der Übergabe an den Endbenutzer auf dem System sowohl das Betriebssystem als auch alle durch das Unternehmen genehmigten Anwendungen installiert sein müssen und das System vollständig verschlüsselt sein muss. Zum Zeitpunkt der Bereitstellung besteht möglicherweise noch keine Netzwerkverbindung, da sich die Geräte eventuell in einem Lagerraum befinden.
Was ist der Anwendungsfall "Bereitstellung durch eine Drittpartei" für die Offline-Aktivierung?
Angenommen, Sie lassen Ihre Geräte durch einen externen Anbieter bereitstellen. In diesem Fall möchten Sie Ihre Firewall nicht öffnen, um Verbindungen mit ePO zu ermöglichen, dennoch besteht die Anforderung, dass alle Laptops vor der Auslieferung zu verschlüsseln sind.
Was ist der Anwendungsfall "Offline-Aktivierung für ein Remote-System, das nie eine Verbindung mit ePO herstellt"?
Angenommen, Sie verfügen über einen Client, der an einem Remote-Standort ohne Netzwerkanbindung verwendet wird, aber möglicherweise vertrauliche Daten sammelt, weshalb eine Verschlüsselung erforderlich ist. Sie können eine CD mit den MSIs bereitstellen, die zur Installation von McAfee Agent, DE sowie einem Offline-Aktivierungspaket erforderlich sind. Diese können dann ausgeführt werden, um EEPC zu installieren und zu aktivieren sowie das System zu verschlüsseln.
Wie läuft die Offline-Aktivierung im Prinzip ab?
Ein Administrator erstellt ein Offline-Paket auf dem ePO-Server. Dieses Paket enthält die erste Richtlinie, die erstellt werden muss, und eine Liste der Offline-Benutzer. Nach der Erstellung kann das Paket zusammen mit den zur Installation von EEPC erforderlichen MSIs an die nötigen Clients verteilt werden. Sobald EEPC erfolgreich installiert wurde, wird das Offline-Paket ausgeführt und die Richtlinie angewendet und erzwungen. Sie können sich jetzt mit den Offline-Benutzern im Pre-Boot anmelden.
Ja. Das liegt daran, dass Sie diese Systeme nicht unbedingt in ePO sehen und diese nicht in ePO verwalten können.
Gibt es also eine eigenständige, nicht verwaltete DE-Version für Systeme, die offline aktiviert werden?
Nein. Die Offline-Aktivierung ermöglicht Ihnen möglicherweise das Erstellen eines eigenständigen Systems, das über eine bestimmte Richtlinie verschlüsselt wird. Nach der ersten Richtlinienerzwingung können Sie die Richtlinie oder die Benutzer jedoch nicht aktualisieren. Es gibt weder eine lokale Konsole noch eine Methode zur Aktualisierung der Richtlinie oder der Benutzerinformationen. Ein Mechanismus zur Schlüsselwiederherstellung wird jedoch unterstützt. Ausführliche Informationen hierzu finden Sie unten in den häufig gestellten Fragen zur Offline-Benutzerwiederherstellung.
Wie wird das Produkt installiert, wenn es nicht durch ePO bereitgestellt wird?
Für die Offline-Aktivierung ist es entscheidend, dass DE auf dem System installiert werden kann. Die von Ihnen verwendete Installationsmethode (z. B. Aushändigung einer CD/DVD mit MSIs zur Ausführung an Endbenutzer oder ein automatisiertes Verfahren) hängt von Ihrer jeweiligen Umgebung ab.
Was muss für die Offline-Aktivierung auf dem Client installiert werden?
Folgendes ist erforderlich:
McAfee Agent McAfee Endpoint Encryption-Agent DE Das vom Administrator erstellte Offline-Paket
Kann ein über die Offline-Aktivierung aktiviertes System zu einem späteren Zeitpunkt mit ePO verbunden werden?
Ja. Sie können ein per Offline-Aktivierung aktiviertes System immer zu einem späteren Zeitpunkt zur Verwaltung mit ePO verbinden.
Was geschieht, wenn ein offline aktiviertes System eine Verbindung mit ePO herstellt?
Wenn die Offline-Aktivierung zu Bereitstellungszwecken durchgeführt wurde, wird das System irgendwann eine Verbindung mit ePO herstellen. Sobald das System erfolgreich mit ePO kommunizieren kann, wechselt der Client in einen Online-Modus. Der Online-Modus ist die normale Verbindung zwischen McAfee Agent und ePO und gilt als normale Installation.
Darüber hinaus geschieht Folgendes:
Das System verwirft sowohl die erzwungene Offline-Richtlinie als auch alle Offline-Benutzer. Dabei werden wie bei einer normalen Aktivierung die geltende Richtlinie von ePO und die Liste der zugewiesenen Benutzer abgerufen und der Verschlüsselungsschlüssel in ePO gespeichert. Dies ist sozusagen eine zweite Aktivierung, die jedoch automatisch erfolgt. WICHTIG: Beachten Sie, dass alle Offline-Informationen verworfen werden, wenn der Offline-Benutzer dem ePO-Server vor dem Verbinden nicht bekannt ist. Wenn der Offline-Benutzer dem ePO-Server bekannt ist, werden die ePO-Richtlinien angewendet, die vom Offline-Benutzer im Offline-Modus gespeicherten Daten werden jedoch nicht verworfen.
Nein. Da das System bisher noch nie mit ePO kommuniziert hat, sind keine Informationen über das System vorhanden.
Lässt sich belegen, dass ein Gerät verschlüsselt wurde, wenn es nur über die Offline-Aktivierung aktiviert wurde?
Wenn das System bisher noch nicht mit ePO kommuniziert hat, gibt es in ePO keine Informationen, die im Falle eines Verlusts oder Diebstahls zu Audit-Zwecken verwendet werden können. Sobald das System mit ePO kommuniziert und in einen Online-Modus wechselt, sind alle regulären Informationen in ePO vorhanden, mit denen der Verschlüsselungszustand des Systems nachgewiesen werden kann.
Was ist ein Offline-Benutzer?
Ein Offline-Benutzer ist ein Benutzer, der für die Pre-Boot-Authentifizierung verwendet wird und nur in einem bestimmten Offline-Paket vorhanden ist.
Wie unterscheidet sich ein Offline-Benutzer von einem normalen Benutzer in DE?
Offline-Benutzer sind nur in dem bestimmten Offline-Paket vorhanden. Diese Benutzer sind in Active Directory und auch sonst im System nicht vorhanden, mit Ausnahme dieses Offline-Pakets.
Funktioniert "Benutzer der lokalen Domäne hinzufügen" mit der Offline-Aktivierung?
Nein. "Benutzer der lokalen Domäne hinzufügen" ist ein Vorgang mit zwei Schritten, bei dem die Benutzer-/Systemzuweisung über ePO erfolgt. Da ePO bei der Offline-Aktivierung nicht verfügbar ist, kann "Benutzer der lokalen Domäne hinzufügen" nicht durchgeführt und verwendet werden.
Kann ich einem offline aktivierten System weitere Offline-Benutzer hinzufügen, nachdem die Aktivierung abgeschlossen ist und das System einige Zeit im Einsatz war?
Nein.
Kann ich andere Token als ein Kennwort für meine Offline-Benutzer verwenden?
Kennwörter und Smartcards, die sich selbst initiieren können, funktionieren bei der Offline-Aktivierung. Smartcards, die nur über eine PKI verfügen, funktionieren nicht, da es kein Backend zum Abrufen der nötigen Informationen für die Authentifizierung des Benutzers gibt. Biometrische Authentifizierung wird ebenfalls nicht unterstützt. Sich selbst initiierende Token sind im Artikel zu den in DE unterstützten Token KB79787 aufgeführt.
Beginnen Offline-Benutzer auch mit dem Standardkennwort?
Ja.
Wenn ein Offline-Benutzer sein Kennwort vergessen hat, kann ich es wiederherstellen?
Endbenutzer können zur Wiederherstellung die lokale Wiederherstellungsfunktion verwenden.
Was passiert mit Offline-Benutzern, wenn der Administrator die lokale Wiederherstellung deaktiviert hat?
Der Benutzer ist nun gesperrt. Wenn es im System einen anderen Benutzer gibt, den der Offline-Benutzer verwenden kann, kann er möglicherweise das System starten. Alternativ kann das System mit ePO verbunden werden. Dazu muss der Benutzer jedoch in der Lage sein, Windows starten zu können.
Was passiert, wenn der Offline-Endbenutzer sowohl das Kennwort als auch die Antworten für die lokale Wiederherstellung vergessen hat?
Der Benutzer ist nun gesperrt. Wenn es im System einen anderen Benutzer gibt, kann der Offline-Endbenutzer möglicherweise das System starten. Alternativ kann das System mit ePO verbunden werden. Dazu muss der Benutzer jedoch in der Lage sein, Windows starten zu können.
Was passiert mit diesen Offline-Benutzern, wenn das Offline-System in ePO eingebunden wird?
Wenn ein System, das über die Offline-Aktivierung aktiviert wurde, erfolgreich mit dem ePO-Server kommuniziert, der den McAfee Agent, DE und das Offline-Aktivierungspaket generiert hat, verwirft es alle Offline-Benutzer und fordert bei ePO die zugewiesenen Benutzer an.
Wenn ein Offline-Benutzer namens Bob und ein AD-Benutzer namens Bob vorhanden ist, was passiert beim Wechseln vom Offline-Modus in den Online-Modus mit dem Kennwort für Bob?
Unter der Annahme, dass sich der AD-Benutzer Bob mindestens einmal am System angemeldet hat und "Benutzer der lokalen Domäne hinzufügen" für die ePO-Richtlinie aktiv war, würde Bob dem System zugewiesen werden, nachdem der Offline-Benutzer Bob verworfen wurde.
HINWEIS: Ab diesem Punkt gibt es zwei Möglichkeiten für den AD-Benutzer Bob. Wenn er sich erstmals beim Pre-Boot anmeldet, erhält er das Standardkennwort. Wenn dies nicht sein erstes System ist und ePO bereits über Anmeldeinformationen für Bob verfügt, sind diese Anmeldeinformationen aus ePO auf dem System verfügbar.
Die Ausgangsrichtlinie ist in Parametern für das Dienstprogramm zur Erstellung des Offline-Pakets definiert.
Entspricht eine Offline-Richtlinie exakt einer in ePO definierten Richtlinie?
Nein. Es gibt einige Richtlinieneinstellungen, bei denen eine Interaktion erforderlich ist, beispielsweise "Benutzer der lokalen Domäne hinzufügen". Diese Richtlinieneinstellungen können bei einer Offline-Aktivierung nicht verwendet werden.
Welche Richtlinienoptionen können in einer Offline-Richtlinie festgelegt werden?
Die folgenden Einstellungen sind für eine Offline-Richtlinie verfügbar:
Sicherung des Geräteschlüsseln Pfad zum Wiederherstellungsschlüssel Temporären AutoBoot aktivieren AutoBoot aktivieren Vorherigen Benutzernamen nicht anzeigen SSO aktivieren Boot-Manager aktivieren PBFS-Größe Opal PBFS-Größe Benutzer müssen das Kennwort ändern Benutzername muss mit Windows-Anmeldebenutzernamen übereinstimmen Selbstwiederherstellung aktivieren Benutzer-Smartcard-PIN USB im Pre-Boot aktivieren
WICHTIG: Wenn der Computer mit einem Opal-Laufwerk ausgestattet ist, wird bei einer Offline-Aktivierung zuerst die Opal-Verschlüsselung verwendet. OPAL-Voreinstellungen sind in den Offline-Aktivierungspaketen hartcodiert, sodass keine benutzerdefinierten Richtlinieneinstellungen berücksichtigt werden.
Nein. Die Offline-Aktivierung erzwingt nur die erste Richtlinie. Anschließend sind keine weiteren Aktualisierungen möglich.
Was passiert mit der Offline-Richtlinie, wenn das Offline-System in ePO eingebunden wird?
Wenn ein System, das über die Offline-Aktivierung aktiviert wurde, erfolgreich mit dem ePO-Server kommuniziert, der den McAfee Agent, DE und das Offline-Aktivierungspaket generiert hat, verwirft es die Offline-Richtlinie und fordert bei ePO die entsprechende Richtlinie an.
Was geschieht während der Offline-Aktivierung mit den Verschlüsselungsschlüsseln?
Wenn der Administrator das Offline-Aktivierungspaket konfiguriert, kann über eine entsprechende Option festgelegt werden, ob die Schlüssel gespeichert werden. Die Entscheidung, ob und wo die Schlüssel gespeichert werden, unterliegt dem alleinigen Ermessen des Administrators. Der Endbenutzer hat darauf keinen Einfluss.
Wenn ich einen Verschlüsselungsschlüssel eines Systems speichere, das die Offline-Aktivierung abgeschlossen hat, kann ich diesen zu Wiederherstellungszwecken in ePO importieren?
Nein. Sie können jedoch alle Ihre Schlüssel an einem sicheren Ort speichern und mit ePO die Schlüssel entschlüsseln und die nötigen XML-Dateien zur Wiederherstellung generieren.
Wie kann ich den verschlüsselten Schlüssel verwenden, nachdem ich ihn erhalten habe?
Ein Administrator kann den Schlüssel entschlüsseln und die Daten in dem Format exportieren, das von den EEPC-Wiederherstellungs-Tools verwendet wird.
Was geschieht beim Anwendungsfall "Interne Bereitstellung" mit dem Verschlüsselungsschlüssel für das System?
In diesem Szenario können Sie den Schlüssel speichern oder auch nicht speichern. Beachten Sie, dass der Schlüssel bei der ersten Verbindung mit dem ePO-Server hochgeladen wird. Da dieses Szenario hauptsächlich neue Systeme abdeckt, gehen nur sehr wenige Benutzerdaten verloren (sofern überhaupt vorhanden), wenn die Festplatte aufgrund eines physischen Schadens abstürzt oder Sie aus einem System ausgesperrt werden.
HINWEIS: Sie können den Schlüssel auf einem USB-Stick oder einer bestimmten Netzwerkfreigabe speichern, falls eine Wiederherstellung erforderlich werden sollte.
Was passiert bei der Bereitstellung durch eine Drittpartei mit den Verschlüsselungsschlüsseln?
In diesem Szenario ist davon auszugehen, dass Sie nicht möchten, dass dieser externe Anbieter den Verschlüsselungsschlüssel speichern kann. Sie würden also angeben, dass der Schlüsseln nirgendwo gespeichert wird. Hätte die Drittpartei Kopien der einzelnen Verschlüsselungsschlüssel für alle Systeme in Ihrem Unternehmen, wäre dies ein klares Sicherheitsrisiko. Da dieses Szenario hauptsächlich neue Systeme abdeckt, gehen nur sehr wenige Benutzerdaten verloren (sofern überhaupt vorhanden), wenn die Festplatte aufgrund eines physischen Schadens abstürzt oder Sie aus einem System ausgesperrt werden.
Was passiert mit den Verschlüsselungsschlüsseln für das System, wenn nie eine Verbindung mit ePO hergestellt wird?
In diesem Szenario wird der Verschlüsselungsschlüssel in der Regel auf einem USB-Stick oder der Festplatte gespeichert. Dies ist ein optionaler Schritt, der dem alleinigen Ermessen des Administrators unterliegt. Anschließend sind Sie dafür verantwortlich, dass der Verschlüsselungsschlüssel zur Gewährleistung einer externen Sicherung sicher an ePO weitergegeben wird. Dies kann durch einen beliebigen Mechanismus erreicht werden, den Ihr Unternehmen zur Weitergabe der Verschlüsselungsschlüssel genehmigt hat. Sobald der ePO-Administrator über eine Kopie des gespeicherten Schlüssels verfügt, kann dieser später zur Wiederherstellung verwendet werden.
Was passiert, wenn die Verschlüsselungsschlüssel aufgrund eines anderen Fehlers nicht gespeichert werden können?
In diesem Szenario muss die Festplatte auf dem Client neu formatiert und die Offline-Aktivierung neu gestartet werden.
Wird der Verschlüsselungsschlüssel beim Schreiben in eine Datei auf einer Festplatte im Klartext gespeichert?
Nein. Der Verschlüsselungsschlüssel ist immer verschlüsselt, sodass er nutzlos ist, falls er durch einen Dritten abgefangen wird. Auch ist nicht zu erkennen, zu welchem System der Schlüssel gehört.
Was kann den Verschlüsselungsschlüssel entschlüsseln?
Der einzige Ort, an dem der Verschlüsselungsschlüssel für eine Offline-Aktivierung entschlüsselt werden kann, ist der ePO-Server, der das Offline-Paket erstellt hat. Kein anderer ePO-Server kann den Schlüssel entschlüsseln.
Verfügen alle Offline-Aktivierungen über denselben Verschlüsselungsschlüssel?
Nein. Der Verschlüsselungsschlüssel wird während der ersten Richtlinienerzwingung generiert. Auf diese Weise wird sichergestellt, dass bei jeder Offline-Aktivierung ein anderer Schlüssel erzeugt wird.
Wie funktioniert die Wiederherstellung für die Offline-Aktivierung?
Wenn der Administrator festgelegt hat, dass der Verschlüsselungsschlüssel gespeichert wird, wird der Schlüssel verschlüsselt in eine Datei auf der Festplatte geschrieben. Anschließend ist der Endbenutzer dafür verantwortlich, dass der verschlüsselte Schlüssel über eine durch das Unternehmen genehmigte Methode an den Administrator weitergeleitet wird. Wenn der Administrator den verschlüsselten Schlüssel erhält, kann er diesen bei Bedarf mithilfe des ePO-Servers entschlüsseln, der das Offline-Paket erstellt hat. Das Ergebnis dieser Entschlüsselung ist eine XML-Standarddatei, die mit den DE-Wiederherstellungs-Tools verwendet werden kann.
Welche Wiederherstellungsoptionen sind für eine Offline-Aktivierung verfügbar?
Die einzigen Wiederherstellungsoptionen sind die lokale Wiederherstellung und die EEPC-Wiederherstellungs-Tools.
Was geschieht, wenn der Administrator die lokale Wiederherstellung deaktiviert hat?
Die einzige Möglichkeit zur Behebung von Systemproblemen sind die DE-Wiederherstellungs-Tools. Es ist auch möglich, das System mit ePO zu verbinden. Dabei würden die Benutzer und Richtlinien durch die über ePO bereitgestellten Daten ersetzt. Dafür muss der Benutzer jedoch in der Lage sein, Windows zu starten.
Welche Wiederherstellungsoptionen sind verfügbar, wenn die lokale Wiederherstellung deaktiviert ist und ich nicht über den gespeicherten Verschlüsselungsschlüssel verfüge bzw. diesen nicht entschlüsseln kann?
Es gibt keine zusätzlichen Wiederherstellungsoptionen für die Offline-Aktivierung.
Was ist im Pre-Boot-Dateisystem (PBFS) enthalten?
Das PBFS enthält alle notwendigen Informationen, die der Benutzer für die Authentifizierung benötigt. Dazu gehören unter anderem:
-
Die für die Pre-Boot-Umgebung benötigten Dateien
-
Sprachdateien für alle unterstützten Client-Sprachen
-
Schriftarten für die Anzeige der Zeichen aus allen unterstützten Sprachen
-
Das dem Client zugeordnete Design
-
Die dem Client zugeordneten Benutzer
Nein. Die Größe des PBFS wird nur beim Erstellen des PBFS oder bei einer Neuerstellung im Rahmen der Wiederherstellung festgelegt.
Wie lange dauert es, bis ein neu erstellter Benutzer im PBFS verfügbar ist?
Dies hängt von den Umständen ab. Die folgenden Szenarien sollen typische Situationen veranschaulichen:
-
Szenario 1
Wenn einem System nur ein nicht-initialisierter Benutzer zugewiesen wird, ist nur ein Agent-zu-Server-Kommunikationsintervall (ASKI) erforderlich, vorausgesetzt, der Benutzer wurde in ePO durch den EE LDAP-Synchronisierungs-Task verifiziert. HINWEIS: Ein nicht initialisierter Benutzer ist ein Benutzer, der sich bisher noch bei keinem DE-System angemeldet hat. Es sind daher keine Token-Daten für diesen Benutzer vorhanden. -
Szenario 2
Für einen neuen nicht initialisierten Benutzer, der einem System hinzugefügt wird, dem bereits Benutzer zugewiesen wurden, sind möglicherweise zwei ASKIs erforderlich, bevor der Benutzer im PBFS vollständig verfügbar ist. -
Szenario 3
Wenn ein initialisierter Benutzer einem System neu hinzugefügt wird, dem bereits Benutzer oder noch keine Benutzer zugewiesen wurden, sind so lange zwei ASKIs erforderlich, bis der Benutzer vollständig im PBFS verfügbar ist, da die Token-Daten dieses Benutzers bereits initialisiert wurden.
Wenn ein Benutzer einem System zugewiesen wird, werden die Richtlinien für dieses System hochgezählt, und während der Richtlinienerzwingung wird ein Ereignis zur Anfrage der Benutzerdaten ausgelöst. Sobald dieses Ereignis durch den ePO-Server zurückgegeben wird, werden alle zugewiesenen Benutzer für den Client überprüft und heruntergeladen. Wenn für diese Benutzer eine Abweichung in den lokalen Token-Daten und den in ePO gespeicherten Token-Daten gefunden wird, wird zur Aktualisierung dieser Daten ein zweites Ereignis ausgelöst.
Wenn im Falle eines nicht initialisierten Benutzers keine Token-Daten vorhanden sind, ist das zweite Ereignis nicht erforderlich, um alle erforderlichen Benutzerdaten für den Client und folglich das PBFS abzurufen. Bei den anderen Szenarien sind zwei Ereignisse erforderlich, damit ein Benutzer vollständig im PBFS verfügbar ist.
Wenn der Kunde die Richtlinienoption "Benutzer der lokalen Domäne hinzufügen" verwendet, gibt es zusätzlich eine 2,5 ASKI-Zeitüberschreitung, die ausgelöst wird, wenn auf die "Benutzer der lokalen Domäne hinzufügen"-Anfrage nicht geantwortet wird. Sobald diese Zeitüberschreitung eintritt, ist eine neue Richtlinienerzwingung erforderlich, um Benutzerdaten zur Überprüfung hochzuladen.
Kann ich Pre-Boot-Designs erstellen und anpassen?
Ja. Designs können in ePO unkompliziert erstellt und angepasst werden.
Das benutzerdefinierte Design muss den folgenden Anforderungen entsprechen:
-
Bildgröße: 1024 x 768
-
Vergewissern Sie sich, dass das Dateiformat PNG ist.
-
Dateigröße: ca. 600 KB
Kann ich während des Pre-Boots eine deutsche Tastaturbelegung erzwingen, wenn DE 7.1.x zuerst auf einem nicht deutschen Betriebssystem installiert wird?
Nein. Das DE-Installationsprogramm zeigt standardmäßig die lokalisierte Tastaturbelegung entsprechend dem lokalisierten Betriebssystem an, auf dem das Produkt installiert wird.
Kann ich eine startbare Windows-CD auf einem verschlüsselten System verwenden?
Eine startbare CD funktioniert auf einem verschlüsselten System, jedoch wird der Zugriff auf die Festplatte verweigert. Ein Vorteil der vollständigen Datenträgerverschlüsselung besteht darin, dass ein startbares Laufwerk nicht ohne Authentifizierung auf die Festplatte zugreifen kann. Sollte Windows nicht ordnungsgemäß funktionieren und mithilfe der Windows-Installations-CD repariert werden müssen, muss das Laufwerk zunächst entschlüsselt werden, bevor Windows-Reparatur-Tools verwendet werden können. Um auf das verschlüsselte Laufwerk und die DETech WinPE-Wiederherstellung zugreifen zu können, müssen Sie Medien erstellt haben. Informationen zum Erstellen der Medien finden Sie in PD24204.
Die Pre-Boot-Prüfung (PBSC) ist eine Funktion in DE, die mehrere Pre-Boot-Hardware-Kompatibilitätsprüfungen durchführt, um sicherzustellen, dass die DE-Pre-Boot-Umgebung erfolgreich auf einem System funktioniert. Sie testet die Bereiche, die bereits in der Vergangenheit Inkompatibilitätsprobleme verursacht haben.
Was ist das Ziel der Pre-Boot-Prüfung?
Das Ziel ist es, bei einer problemlosen Bereitstellung der vollständigen DE-Datenträgerverschlüsselung zu helfen, indem die Pre-Boot-Umgebung auf allgemeine Fehlerzustände überprüft wird. Wenn die Prüfungen nicht aktiviert sind, könnte die Produktivität beeinträchtigt werden, falls bei Bereitstellungsproblemen Benutzer aus dem System ausgesperrt werden. Die Pre-Boot-Prüfung deaktiviert DE, wenn ein Problem vorliegt, und ermöglicht dem System die Ausführung eines Rollbacks auf die reine Windows-Authentifizierung.
Ist diese Pre-Boot-Prüfung standardmäßig aktiviert?
Nein. Die Funktion ist standardmäßig nicht aktiviert, da sie beim Aktivierungsprozess einen oder mehrere Systemneustarts verursacht. Dies ist nicht für alle Kunden akzeptabel.
Wie geht die Pre-Boot-Prüfung vor, wenn ein Problem gefunden wird? Welcher Workflow läuft ab?
Wenn ein Problem festgestellt wird, entweder ein Fehler beim Laden des Pre-Boots oder ein Problem bei der Übergabe an Windows, startet das System automatisch neu, oder der Benutzer muss einen Neustart des Systems erzwingen.
Auf diese Weise kann die PBSC versuchen, das Problem mit einen anderen Satz an Kompatibilitätskonfigurationen zu beheben. Wenn eine der Konfigurationen funktioniert und das System mit Windows startet, wird DE vollständig aktiviert, und die Verschlüsselungsrichtlinie wird erzwungen. Wenn alle Kompatibilitätskonfigurationen ausprobiert wurden und Probleme auftreten, die nicht behoben werden konnten, wird der DE-Pre-Boot umgangen, das System startet Windows, und DE wird deaktiviert. Zu diesem Zeitpunkt wird ein Audit an ePO gesendet, um den Fehler zu melden, und alle nachfolgenden Aktivierungen auf dem System werden blockiert.
Was passiert, wenn ein System die Pre-Boot-Prüfung besteht?
Es aktiviert DE und erzwingt die Verschlüsselungsrichtlinie.
Was passiert, wenn ein System die Pre-Boot-Prüfung nicht besteht?
Wenn ein System die Pre-Boot-Prüfung nicht besteht, wird EEPC nicht aktiviert. Die EEPC-Aktivierung (und Verschlüsselung, sofern in der Richtlinie festgelegt) wird daher nicht fortgesetzt, und das System wird auf die reine Windows-Authentifizierung zurückgesetzt.
Wenn ein System die Pre-Boot-Prüfung nicht besteht, wird es weiterhin versuchen, DE bei der nächsten Richtlinienerzwingung zu aktivieren?
Ja. Die Aktivierung wird jedoch sofort abgebrochen. Alle nachfolgenden Aktivierungen werden sofort abgebrochen, bis einer der folgenden Fälle eintritt:
Sie deaktivieren die PBSC über die Richtlinie Sie haben folgenden Registrierungswert gelöscht: Software\McAfee Full Disk Encryption\MfeEpePc\SafeFailStatus\Status
Wird ein System in ePO gekennzeichnet, sobald die Pre-Boot-Prüfung fehl schlägt?
Nein.
Werden die Ergebnisse der Pre-Boot-Prüfung eines Computers mit anderen Computern geteilt?
Nein. Jedes System wird individuell getestet. Gegenwärtig gibt es keine Funktion zum Teilen einer gemeinsamen Konfiguration für Computer-Typen, sodass es nicht möglich ist, eine bestimmte Hardware-Konfiguration zu validieren und die Ergebnisse der Pre-Boot-Prüfung mit ähnlichen Systemen zu teilen.
Woher weiß ich, ob die Pre-Boot-Prüfung Änderungen an der Konfiguration vorgenommen hat oder das System von vornherein funktioniert hat?
Diese Informationen werden in DE 7.1 nicht angezeigt. Der Vorgang erfolgt automatisch und für den Benutzer unbemerkt.
Wenn die Pre-Boot-Prüfung keine Änderungen vorgenommen hat und das System sofort funktioniert hat, bedeutet dies, dass ich die Prüfung zu Bereitstellungszwecken deaktivieren kann?
Diese Entscheidung liegt ganz alleine im Ermessen des Kunden. Es kommt jedoch häufig zu Abweichungen zwischen Systemen mit derselben Modellnummer. Möglicherweise ist ein Benutzer in das BIOS gewechselt und hat die USB-Einstellungen geändert. Das kann sich auf die Integration mit dem BIOS auswirken, sodass es hier hilfreich wäre, die PBSC beizubehalten. Wenn Sie jedoch BIOS-Kennwörter verwenden, damit Ihre Benutzer Änderungen wie diese nicht vornehmen können, sind Sie womöglich auch ohne PBSC ausreichend geschützt.
Was wird einem Administrator in ePO für ein System angezeigt, für das noch die Pre-Boot-Prüfung ausgeführt wird?
Der Administrator sieht, dass das System nicht aktiviert und nicht verschlüsselt ist. Im Audit-Protokoll erhält der Administrator Informationen zu allen Fortschritten seit der letzten Synchronisierung des Systems mit ePO.
Weiß ein Administrator, dass ein System nicht aktiviert wurde, da es die Pre-Boot-Prüfung nicht bestanden hat?
Ja. Für den Fehler wird ein Audit durchgeführt.
Woran erkennt ein Administrator, dass ein System die Pre-Boot-Prüfung nicht bestanden hat?
Der Administrator kann dies anhand des Audit-Protokolls für das System feststellen.
Was sind die ersten EEPC-Anwendungsfälle, die in DE 7.1.x bei Verwendung der Intel Active Management Technology (AMT) und von McAfee ePO Deep Command implementiert werden?
In DE 7.1.0 werden die folgenden ersten vier Anwendungsfälle implementiert:
Kennwort zurücksetzen Kontextbezogene Sicherheit Reaktivieren und mit Patch versehen Remote-BehebungHINWEIS: In den folgenden häufig gestellten Fragen werden diese Anwendungsfälle ausführlich dargestellt.
Wo kann ich mir ein Video ansehen, in dem die Intel AMT-Funktion demonstriert wird?
Rufen Sie folgenden Link auf: https://community.mcafee.codeos/142m/vi0
Woher weiß ich als Administrator, ob ich die AMT-Funktion auf einem bestimmten System verwenden kann?
Wenn Sie die Systemeigenschaften in ePO anzeigen, werden Ihnen auch die AMT-Informationen für das jeweilige System angezeigt. McAfee ePO Deep Command Discovery and Reporting (kostenlos) bietet ebenfalls diese Informationen für alle verwalteten Systeme in ePO und zeigt diese in einem Dashboard an. Um mit DE kompatibel zu sein, muss Deep Command den AMT-Status als nach der Konfiguration melden. Zudem ist für DE AMT 6.0 oder höher erforderlich.
Wie gelangen die Intel AMT-Informationen zu einem System an ePO?
Zuerst müssen Sie die Deep Command-Erweiterungen installieren, einschließlich der Erkennungs- und Berichterstellungserweiterungen, und die Pakete auf dem ePO-Server einchecken. Sie müssen die Deep Command-Pakete für die Clients bereitstellen, die zurückmelden, ob AMT aktiviert ist. Wenn das System AMT tatsächlich aktiviert hat, meldet der Client zusätzlich zurück, welche AMT-Funktionen unterstützt werden. Deep Command fügt ePO einen Server-Task zum Planen hinzu, der automatisch die Systeme mit AMT kennzeichnet. Dieser Task ist zur täglichen Ausführung eingerichtet und kann geändert werden. Weitere Informationen hierzu finden Sie in der ePO Deep Command-Dokumentation. Wenn das System AMT nicht aktiviert hat, erhalten Sie im Zusammenfassungs-Dashboard für Deep Command Discovery and Reporting Informationen zur AMT-Unterstützung eines Clients.
Welche Versionen von Intel AMT werden von ePO Deep Command und DE unterstützt?
Die unterstützten Versionen von AMT werden in KB79422 aufgeführt.
HINWEIS: Die AMT-Version gehört zu den von ePO Deep Command zurückgemeldeten Informationen, die ein Administrator auf einem Computer anzeigen kann.
Was bedeuten CILA und CIRA in Verbindung mit Intel AMT?
CILA (Client Initiated Local Access, vom Client initiierter lokaler Zugriff) ist eine AMT-Anfrage von einer internen Netzwerkadresse. CIRA (Client Initiated Remote Access, Vom Client initiierter Remote-Zugriff) ist eine AMT-Anfrage von einer Remote-Netzwerkadresse. Welche Elemente als "lokal" und "remote" gelten, wird im Rahmen der AMT-Bereitstellung definiert.
Warum ist die Standardrichtlinieneinstellung für CIRA standardmäßig deaktiviert?
Diese Entscheidung wurde bewusst von McAfee getroffen, um Kunden vor einer versehentlichen Gefährdung zu schützen. CIRA wird unterstützt und muss explizit aktiviert werden. Wenn ein Unternehmen über einen Agenten-Handler verfügt, der vom Internet aus zugänglich ist, sorgt die standardmäßige Deaktivierung von CIRA dafür, dass dieser auf keine AMT-Anfragen über das Internet reagiert. McAfee ist der Meinung, dass die Kunden entscheiden sollten, ob diese Funktion aktiviert werden soll.
Welche Typen von Intel AMT-Aktionen können für ein System in die Warteschlange gestellt werden?
Temporäre Aktionen und dauerhafte Aktionen.
Können Sie mir ein Beispiel für dauerhafte und temporäre Aktionen nennen?
Eine temporäre Aktion ist eine Aktion, die bestimmte Anzahl von Malen ausgeführt und dann aus der Aktionswarteschlange entfernt wird. Hier einige Beispiele:
Zurücksetzen des Benutzerkennworts Eine bestimmte Anzahl von Entsperrungen Entsperrung für einen bestimmten Zeitraum Notfall-Bootvorgang Wiederherstellung von MBR
Eine dauerhafte Aktion ist eine Aktion, die solange in der Aktionswarteschlange verbleibt, bis sie durch den Administrator entfernt wird:
Entsperrungsplan Dauerhaft entsperren
Wie viele der jeweiligen Intel AMT-Aktionen können einem System/Benutzer zugewiesen werden?
Einem System kann immer nur jeweils eine temporäre Aktion und eine dauerhafte Aktion zugewiesen werden.
Warum ist nur eine temporäre und eine dauerhafte Intel AMT-Aktion zulässig?
Dies war eine Design-Entscheidung für die erste Implementierung der Intel AMT-Integration. Wenn sich zusätzliche Anwendungsfälle ergeben, kann dies überdacht werden. Die zugrunde liegende Architektur wurde so entwickelt, dass sie bei Bedarf mehrere Aktionen verarbeiten kann.
Wenn ich die Durchführung von "Reaktivieren und mit Patch versehen (Entsperren per Fernzugriff)" oder "Kontextbezogene Sicherheit" (Entsperren) auf einem Client beobachte, wartet der Pre-Boot offenbar mindestens 20 Sekunden, bevor das Betriebssystem gestartet wird. Ist dieses Verhalten normal?
Wie lange der Vorgang dauert, hängt von vielen Faktoren ab. Die Geschwindigkeit des Netzwerks und die Arbeitslast des ePO-Servers sind zwei mögliche Faktoren. In der AMT-Firmware besteht das bekannte Problem, das zu einer Verzögerung von 20 Sekunden führt, bevor CILA-Ereignisse das Endgerät verlassen. Bei DE führt dies dazu, dass es über 20 Sekunden dauern kann, bevor eine Out-of-Band-Entsperrung in einer CILA-Umgebung wirksam wird. Intel untersucht dieses Problem zurzeit. Andere bekannte Probleme bezüglich DE 7.1 finden Sie in KB84502.
Welche Deep Command-Richtlinien und -Einstellungen sind für die DE 7.1-Integration erforderlich?
ePO Deep Command 1.5.0 und die Intel AMT-Richtlinien sind erforderlich. Stellen Sie sicher, dass in den Richtlinien Folgendes korrekt konfiguriert ist:
Der Remote-Zugriff muss aktiviert sein. Aktivieren Sie CILA (Client Initiated Local Access, vom Client initiierter lokaler Zugriff). Wählen Sie den richtigen Agenten-Handler aus. Wählen Sie als Verbindungstyp BIOS und das Betriebssystem aus. Wenn Sie CIRA (Client Initiated Remote Access, vom Client initiierter Remote-Zugriff) wünschen, muss Folgendes konfiguriert sein:
Stammdomänensuffix DMZ-Agenten-Handler Von Benutzer initiierten Tunnel zulassen
Was ist der Anwendungsfall "Kennwort zurücksetzen"?
Dies ist eine Funktion, die über Intel AMT neue Token-Daten an einen Client sendet. In diesem Anwendungsfall hat ein Benutzer sein System gestartet und das Kennwort vergessen. Er kann den Helpdesk oder einen Administrator anrufen und um die Zurücksetzung des Kennworts bitten. Der Administrator erstellt ein Einmalkennwort, das über Intel AMT an den im Pre-Boot befindlichen Client weitergeleitet wird. Die Verwendung von Intel AMT ist eine schnellere Alternative zum Zurücksetzen des Kennworts als die langjährig verwendete Abfrage-/Rückmeldungsmethode.
Was sind die wesentlichen Schritte für den Anwendungsfall "Zurücksetzen des Kennworts"?
Dies sind im Einzelnen:
Der Endbenutzer startet seinen Computer, kann sich nicht anmelden und ruft den Helpdesk an. Der Endbenutzer ruft im Pre-Boot den Wiederherstellungsbereich auf und nennt dem Helpdesk-Benutzer seinen ePO-Benutzernamen. Der Helpdesk-Benutzer lokalisiert das System, das der Benutzer in ePO verwendet. Der Helpdesk-Benutzer setzt mithilfe der Intel AMT-Funktion das Kennwort auf ein temporäres Einmalkennwort zurück. Damit das angegebene System die neuen Token-Daten erhält, schreibt ePO das Element in die Verarbeitungswarteschlange. Der Pre-Boot liest dann die Verarbeitungswarteschlange und ruft den Schlüssel über den durch Intel AMT bereitgestellten Netzwerk-Stack ab. Der Client erhält die neuen Token-Daten und verlässt automatisch den Wiederherstellungsbildschirm und wechselt zurück zum Kennwortbildschirm. Daran kann der Endbenutzer erkennen, dass das neue Kennwort angekommen ist. Der Endbenutzer wird zusätzlich durch einen Piepton darauf hingewiesen, dass die neuen Token-Daten eingetroffen sind. Der Endbenutzer authentifiziert sich dann mit dem Einmalkennwort und legt ein neues Kennwort fest.
Auf dem Client kann der Benutzer im Pre-Boot zum Wiederherstellungsbildschirm wechseln und findet dort die Computer-ID und den Computer-Namen. Der Benutzer kann diese Informationen an den Administrator/Helpdesk weitergeben, sodass der Computer dann in ePO gesucht werden kann.
Wenn ich nicht ermitteln kann, welches System der Endbenutzer derzeit verwendet, kann ich den Intel AMT-Befehl an alle Systeme senden, auf die der Benutzer Zugriff hat?
Ja, dies wird von McAfee jedoch nicht empfohlen. Angenommen, der Benutzer hat Zugriff auf zwei Laptops. Er startet Laptop 1 und wird aufgefordert, das Kennwort zu ändern. Anschließend startet er Windows. Jetzt schaltet er Laptop 2 ein und wird ebenfalls aufgefordert, das Kennwort zu ändern. Die Token-Daten werden mit dem Einmalkennwort aktualisiert, und er wird gebeten, es erneut zu ändern. Dies kann in einer kontrollierten Umgebung oder bei versierten Benutzern zwar funktionieren, in der Praxis wird es Endbenutzer jedoch nicht selten überfordern.
Ein Administrator hat gerade mithilfe der Intel AMT-Funktion das Kennwort des Benutzers geändert. Woher weiß der Endbenutzer, dass das neue Wiederherstellungskennwort beim Client angekommen ist?
Wenn der Endbenutzer gerade den Wiederherstellungsbildschirm betrachtet (über den er dem Administrator die Details der Computer-ID mitgeteilt hat), sieht er, dass der Wiederherstellungsbildschirm verschwindet und durch den Anmeldebildschirm ersetzt wird. Dies bedeutet, dass die neuen Kennwortinformationen eingegangen sind.
HINWEISE:
Wenn der Endbenutzer den Wiederherstellungsbildschirm verlassen und auf den Empfang des aktualisierten Kennworts gewartet hat, sieht er möglicherweise, dass der Anmeldebildschirm verschwindet und kurz darauf wieder angezeigt wird. Zusätzlich hört der Endbenutzer beim Eingang der neuen Token-Daten einen Piepton.
Wie kann ein Administrator überprüfen, ob die Änderung erfolgreich war bzw. warum diese anscheinend nicht funktioniert hat?
Diese Informationen werden im "AMTService.log" angezeigt. Beachten Sie, dass in ePO kein Ereignis generiert wird, da es keine ePO-API gibt, um dies über den Agenten-Handler durchzuführen.
Wo kann der Administrator die Datei "AMTService.log" finden?
Die Datei befindet sich auf dem ePO-Server unter<ePO_Install_folder>/<Agent_Handler_Install_Folder>\DB\Logs\AMTService.log. Sie wird zudem als Teil der Server-MER erfasst.
Was ist der Anwendungsfall Kontextbezogene Sicherheit?
Der Anwendungsfall "Kontextbezogene Sicherheit" (auch als "Standortabhängig" bezeichnet) ist eine neue Authentifizierungsfunktion in der DE-Pre-Boot-Umgebung. Sie ermöglicht Systemen die Authentifizierung ohne Benutzerinteraktion. Statt den Benutzer nach den Anmeldeinformationen zu fragen, richtet der Pre-Boot über Intel AMT eine Netzwerkverbindung mit ePO ein. Der Pre-Boot ruft dann einen Schlüssel ab, den er zur Authentifizierung im Pre-Boot verwendet, und startet den Computer anschließend mit dem Betriebssystem. Die Pre-Boot-Umgebung und ePO können ermitteln, ob sich das System im Büro befindet oder über das Internet verbunden ist. Die kontextbezogene Sicherheit bietet Administratoren die Möglichkeit, Systeme so zu konfigurieren, dass eine Authentifizierung bei Systemen, die sich im Büro befinden, automatisch über ePO oder AMT erfolgt, während bei Systemen außerhalb des Büros der Bildschirm für die Pre-Boot-Authentifizierung angezeigt wird.
Nachfolgend einige Beispielanwendungsfälle, in denen die kontextbezogene Sicherheit hilfreich ist:
Kunden, die nicht möchten, dass die Pre-Boot-Umgebung angezeigt wird, während sich ihre Endbenutzer im Büro befinden, diese jedoch angezeigt werden soll, wenn sich die Endbenutzer außerhalb des Büros befinden oder das System verloren geht bzw. gestohlen wird. Kunden, die ein System verschlüsseln möchten, das sich dauerhaft im Büro befindet, und den Endbenutzer nicht mit dem Pre-Boot belasten möchten, weshalb für diesen die Authentifizierung automatisch über ePO und AMT erfolgt. Zudem soll der Pre-Boot angezeigt werden, wenn der Computer aus dem Büro gestohlen wird. Kunden mit Computern, die von vielen Einzelpersonen gemeinsam genutzt werden. Denken Sie beispielsweise an Meeting-Räume, Schulungsräume, Laptops und Desktop-PCs in einer Klinik usw. Kunden, die Probleme bei der Kennwortsynchronisierung verhindern möchten, indem der Pre-Boot nie angezeigt wird, während der Computer gleichzeitig bei Verlust oder Diebstahl geschützt ist. Benutzer authentifizieren sich zuerst bei Windows, obwohl DE im Hintergrund automatisch eine Authentifizierung über ePO und AMT durchführt.
Wie funktioniert die kontextbezogene Sicherheit?
Wenn der Pre-Boot startet, versucht dieser, bei ePO die Berechtigung zum Start einzuholen. ePO ist der Master und entscheidet, ob der Entsperrungsschlüssel zurückgegeben wird. Wenn der Client ePO nicht erreichen kann oder ePO den Entsperrungsschlüssel nicht an den Client zurück gibt, wird die Pre-Boot-Umgebung angezeigt, die auf eine erfolgreiche Benutzerauthentifizierung wartet. Wenn ePO den Entsperrungsschlüssel sendet, wird der Computer entsperrt. Die Entsperrungsschlüssel werden über einen durch die AMT-Hardware abgesicherten Kanal an den Client gesendet.
Erfolgt die Authentifizierung der kontextbezogenen Sicherheit tatsächlich auf dem Client, und die nötigen Informationen stammen aus ePO?
Ja.
Umgeht diese kontextbezogene Sicherheit den Pre-Boot?
Nein, die Pre-Boot-Umgebung ist immer vorhanden und aktiv. Der Pre-Boot wird nach einer erfolgreichen Authentifizierung auch weiterhin beendet und startet das Betriebssystem. In diesem Anwendungsfall stammt die Authentifizierung aus ePO.
Würde ich am Computer sehen, wie Windows automatisch gestartet wird?
Ja. Solange ePO eine positive Reaktion zurücksendet, wird das Betriebssystem automatisch gestartet, sobald die Reaktion verarbeitet wurde.
Funktioniert SSO (Single Sign On, einmalige Anmeldung) in diesem Anwendungsfall "Kontextbezogene Sicherheit"?
Nein. Das liegt daran, dass die Authentifizierung beim Pre-Boot für einen Computer und nicht für einen Benutzer erfolgt. Da DE nicht weiß, welcher Benutzer anzumelden ist, kann es keine erfassten SSO-Daten wiedergeben.
Muss sich ein Endbenutzer auch bei der kontextbezogenen Sicherheit nur einmal anmelden?
Ja. In diesem Szenario erfolgt die Benutzerauthentifizierung über die Windows-Eingabeaufforderung und nicht über die DE-Pre-Boot-Eingabeaufforderung.
Bedeutet die Verwendung der kontextbezogenen Sicherheit, dass sich der Benutzer immer nur mit dem aktuellen Windows-Kennwort bei Windows anmeldet?
Ja. Auf diese Weise können jegliche Bedenken zur Kennwortsynchronisierung der Benutzer ausgeräumt werden, die diese Funktion dauerhaft verwenden.
Was passiert mit einem mobilen Benutzer, der teilweise im Büro und teilweise außerhalb des Büros arbeitet?
Diese Benutzer benötigen ihre Anmeldeinformationen zur Authentifizierung beim Pre-Boot, wenn sie sich nicht im Büro befinden.
Was passiert mit der Kennwortsynchronisierung eines mobilen Benutzers bei Verwendung der kontextbezogenen Sicherheit?
Für mobile Benutzer empfiehlt es sich, die Pre-Boot-Authentifizierung immer zu erzwingen, da sich ein Endbenutzer in diesem Anwendungsfall beim Pre-Boot eigentlich nicht anmeldet. DE sind keine Kennwortaktualisierungen bekannt, da der Anwendung nicht bekannt ist, für welchen Pre-Boot-Benutzer welche Kennwortaktualisierungen anzuwenden sind.
Wie wird die kontextbezogene Sicherheit in der Regel verwendet?
Die kontextbezogene Sicherheit wird in der Regel nur für Desktop-PCs und Laptops verwendet, die das Büronetzwerk nicht verlassen.
Wenn ein Computer bei aktivierter kontextbezogener Sicherheit gestohlen wird, zeigt dieser dann die Pre-Boot-Umgebung an?
Ja. Das passiert, da das System nicht mit ePO kommunizieren kann und wartet, bis sich ein Benutzer authentifiziert.
Bedeutet eine Aktivierung von CIRA, dass ein System, das sich nicht in meinem Netzwerk befindet, automatisch starten kann?
Nein. DE entscheidet nicht, ob die PBA angezeigt wird oder nicht. Wenn die DE-Out-of-Band-Verwaltung aktiviert ist, versucht DE, einen Hilferuf zu senden.
Der AMT-Chip überprüft dann die Umgebung und ermittelt, ob eine Verbindung mit dem Remote- oder lokalen Netzwerk besteht. Wenn eine Verbindung mit dem lokalen Netzwerk besteht, wird ein CILA an den ePO-Server gesendet. Wenn jedoch eine Verbindung mit einem Remote-Netzwerk erkannt wird und ein CIRA-Server angegeben ist, wird versucht, mit diesem eine sichere Verbindung herzustellen. Wenn einer der Hilfeaufrufe, CILA oder CIRA, zu einer erfolgreichen Verbindung mit dem Server führt und der Server daraufhin den Verschlüsselungsschlüssel sendet, wird die PBA entsperrt und startet Windows. Wenn kein Schlüssel zugesendet wird, bleibt die PBA bestehen.
Wie aktiviert ein Administrator die Funktion "Kontextbezogene Sicherheit"?
Ein Administrator wählt ein oder mehrere Systeme aus, wählt die Aktion "Out of Band: PBA entsperren" und legt die Dauer der Entsperrung fest, entweder dauerhaft oder für einen bestimmten Zeitraum.
HINWEIS: Der Administrator kann zudem auswählen, ob die Aktion für lokale oder für lokale und Remote-Computer anwendbar ist.
Kann die Funktion "Kontextbezogene Sicherheit" dauerhaft oder nur für einen bestimmten Zeitraum festgelegt werden?
Wenn der Administrator diese Funktion aktiviert, hat er die Möglichkeit, diese dauerhaft oder nur für einen bestimmten Zeitraum zu aktivieren. Bei Auswahl des bestimmten Zeitraums kann der Administrator eine der folgenden Optionen festlegen:
Ein oder mehrere Neustarts Startdatum/-zeit und Enddatum/-zeit Einen Wochenplan für blockierte und verfügbare Zeiten
Was geschieht, wenn bei der Verwendung der kontextbezogenen Sicherheit ePO ausgelastet ist und nicht auf das System reagieren kann?
Das System verbleibt in der Pre-Boot-Umgebung und startet alle fünf Minuten einen neuen Versuch.
Wenn das System ePO beim ersten Versuch nicht erreichen kann, startet es einen neuen Versuch?
Ja. Es versucht alle fünf Minuten, ePO zu kontaktieren. Dies gilt für CILA-Anfragen (lokal). Bei CIRA-Anfragen (remote) kontaktiert der Computer ePO jedoch nur einmal. Wenn keine Reaktion erfolgt, muss das System neu gestartet werden, um eine erneute Anfrage zu stellen.
Was passiert, wenn der ePO-Server nicht verfügbar ist und der Client den ePO-Server nicht kontaktieren kann?
Dies ist der ungünstigste Fall. Wenn dem Benutzer die Pre-Boot-Anmeldeinformationen nicht bekannt sind, was passieren kann, wenn der Benutzer immer die Funktion "Kontextbezogene Sicherheit" verwendet hat, bleibt er in der Pre-Boot-Umgebung stecken. Die einzige verbleibende Option ist es, den Helpdesk anzurufen und eine Systemwiederherstellung über den Abfrage-/Rückmeldungsprozess durchzuführen.
Ein Endbenutzer verwendet im Büro ein Desktop-System mit der Funktion "Kontextbezogene Sicherheit" und musste sich bisher noch nie beim Pre-Boot anmelden. Heute wird ihm jedoch der Pre-Boot-Bildschirm angezeigt, und er kennt seine Anmeldeinformationen nicht. Was kann er tun? Kann er Pre-Boot auffordern, ePO erneut zu kontaktieren?
Es gibt mehrere Möglichkeiten:
Er könnte fünf Minuten warten, bis der nächste Versuch gestartet wird, ePO zu erreichen. Dies ist möglich, da es sich um eine CILA-Anfrage (lokal) handelt. Er könnte sein System aus- und wieder einschalten. Der Pre-Boot versucht dann beim Neustart sofort, ePO zu kontaktieren. Der Benutzer kann sich schließlich auch jederzeit authentifizieren, indem er den Benutzernamen und das Kennwort eines anderen bekannten Benutzers eingibt, der sich beim Pre-Boot authentifizieren kann, sofern die Umstände dies zulassen.
Dies wird in der Datei "AMTService.log" angegeben. Die Größe der Datei ist begrenzt (Standardgrößenbegrenzung wird durch Deep Command festgelegt und ist konfigurierbar), und bei Erreichen der Obergrenze werden die ältesten Einträge überschrieben.
Was ist der Anwendungsfall "Reaktivieren und mit Patch versehen (Entsperren per Fernzugriff)"?
Dieser Anwendungsfall kommt dann zum Einsatz, wenn Computer dringend oder regelmäßig reaktiviert und mit einem Patch versehen werden müssen. Diese Computer werden heruntergefahren und müssen reaktiviert werden, damit der Patch angewendet werden kann.
Die Anwendungsfälle von "Reaktivieren und mit Patch versehen (Entsperren per Fernzugriff)" sind den Anwendungsfällen der kontextbezogenen Sicherheit sehr ähnlich. Die folgenden Fragen, die bereits für die kontextbezogene Sicherheit beantwortet wurden, gelten auch für "Reaktivieren und mit Patch versehen (Entsperren per Fernzugriff)":
-
Wie läuft das ab?
-
Wird dabei der Pre-Boot umgangen?
-
Würde ich am Computer sehen, wie Windows automatisch gestartet wird?
-
Funktioniert SSO (Single Sign On, einmalige Anmeldung) in diesem Anwendungsfall?
-
Was passiert, wenn ePO ausgelastet ist und nicht auf das System reagieren kann?
-
Wenn das System ePO beim ersten Versuch nicht erreichen kann, startet es einen neuen Versuch?
-
Wie aktiviert ein Administrator diese Funktion?
-
Kann diese Funktion dauerhaft oder nur für einen bestimmten Zeitraum festgelegt werden?
-
Erfolgt die Authentifizierung auf dem Client, und die nötigen Informationen stammen aus ePO?
Kann ich "Reaktivieren und mit Patch versehen (Entsperren per Fernzugriff)" oder das Intervall, in dem versucht wird, ePO zu kontaktieren, zeitlich staffeln?
Der Deep Command-Befehl zum Einschalten oder die entsprechende Wake on LAN-Anfrage kann nur von einem Administrator zeitlich gestaffelt werden. Systeme werden eingeschaltet, wenn Fehler in der SILA-Umgebung (lokal) behoben werden (wenn die Aktion durch den Server initiiert wurde). In anderen Fällen kontaktiert der Client ePO, sodass Sie davon ausgehen können, dass er eingeschaltet ist.
Was geschieht, wenn ePO ausgelastet ist und nicht reagiert? Wie verhält sich das Client-System?
Wenn ePO ausgelastet ist oder nach einer Wake on LAN-Anfrage nicht reagiert, bleibt das System im Pre-Boot und versucht es alle fünf Minuten erneut. Dies gilt für CILA-Anfragen (lokal). Bei CIRA-Anfragen (remote) kontaktiert der Computer ePO jedoch nur einmal. Wenn keine Reaktion erfolgt, muss das System neu gestartet werden, um den ePO-Server zu kontaktieren.
Um ein System regelmäßig zu erreichen, muss es so konfiguriert sein, dass es mithilfe der Weckerfunktion regelmäßig CIRA-Nachrichten sendet. Die Weckerfunktion schaltet das System zu einem festgelegten Zeitpunkt ein.
Kann ich erkennen, wie viele meiner Systeme für den Patch-Prozess mit Windows gestartet wurden?
Ja. Ein Administrator erkennt dies über die Abfrage "DE: Client-Ereignis des Produkts" mit einem entsprechenden Filter. Dies beruht darauf, dass die Systeme zum Senden der Audit-Informationen mit dem ePO-Server kommuniziert haben.
Kann ich mithilfe der Funktion "Reaktivieren und mit Patch versehen" ermitteln, welche Systeme sich beim Pre-Boot nicht erfolgreich authentifizieren konnten?
Nein. Wenn das System Windows nicht startet, gibt es keinen Eintrag in der Abfrage "DE: Client-Ereignis des Produkts".
Was ist der Anwendungsfall "Remote-Behebung"?
Dieser Anwendungsfall bietet Administratoren die Möglichkeit, einen Notfall-Bootvorgang auszuführen oder den DE-MBR auf einem Client-System über AMT zu ersetzen, ohne physisch am Computer arbeiten zu müssen. Auf diese Weise kann ein Administrator ein Problem auf einem Client-System beheben, das sich am anderen Ende der Welt befindet.
Nachfolgend finden Sie weitere Informationen zur Remote-Behebung und UEFI.
Wie funktioniert die Remote-Behebung?
Im Prinzip wird ein kleines Datenträger-Image (1,44 MB groß, jedoch werden nur 300 k verwendet) über AMT per Push an das Client-System übertragen. Sobald der Client das Image erhalten hat, wird er neu gestartet und startet über das Startnetzwerk von IDE-R. Das Image führt dann die nötigen Behebungsaktionen durch und leitet den Prozess zum Starten von Windows ein.
Welche möglichen Aktionen sind für die Remote-Behebung verfügbar?
Die erste ist ein Notfall-Bootvorgang, die zweite das Ersetzen des MBR. Die Remote-Behebung funktioniert nur auf Computern mit einem BIOS-Startprozess.
Wie verwendet ein Administrator die Funktion zur Remote-Behebung?
Ein Administrator wählt ein oder mehrere Systeme aus, wählt die Aktion "Out of Band – Behebung" aus, gibt "Notfall-Bootvorgang" oder "Endpoint Encryption MBR wiederherstellen" an und klickt dann auf "OK".
Wie wird die Remote-Behebung bei lokaler Netzwerkanbindung auf einem Client initiiert?
So verläuft der Vorgang, wenn das Client-System mit einem lokalen Unternehmensnetzwerk verbunden ist:
Der Benutzer startet das System und bemerkt, dass es nicht funktioniert. Der Benutzer bittet den Administrator um Hilfe. Der Administrator wählt die entsprechende Behebungsaktion aus, die sofort startet. Dies wird auch als SILA (Server Initiated Local Access, Vom Server initiierter lokaler Zugriff) bezeichnet. Wenn das Client-System gefunden wird und eine Verbindung hergestellt werden kann, startet die Umleitung, und das System wird automatisch repariert.
Wenn das Client-System im lokalen Netzwerk jedoch nicht gefunden werden kann, tritt bei der Aktion ein Fehler auf, und der Status verbleibt als "Ausstehend" in der Warteschlange. Eine Verarbeitung ist nur dann möglich, wenn sich das System meldet. In dieser Situation ist dies nicht möglich, da im Pre-Boot ein Fehler aufgetreten ist. Daher kann ein ähnlicher Ablauf wie im nächsten Szenario beschrieben verwendet werden.
Wie wird die Remote-Behebung bei Remote-Netzwerkanbindung auf einem Client initiiert?
So verläuft der Vorgang, wenn das System über ein öffentliches Netzwerk verbunden ist:
Der Benutzer startet das System und bemerkt, dass es nicht funktioniert. Der Benutzer bittet den Administrator um Hilfe. Der Administrator wählt die entsprechende Behebungsaktion aus, die sofort startet. Die Aktion schlägt in diesem Fall jedoch fehl, da das System im Unternehmensnetzwerk nicht gefunden werden kann. Der Administrator bittet den Benutzer einen "Hilferuf" über das BIOS einzuleiten. Dies ist von OEM zu OEM unterschiedlich, befindet sich jedoch üblicherweise in den Startoptionen, und bei einigen Systemen kann auch einfach STRG+ALT+F1 gedrückt werden. Das System stellt daraufhin eine Verbindung mit STunnel (Deep Command Gateway Services) her, und der Agenten-Handler erkennt dies und sendet eine Nachricht an Deep Command. Deep Command verarbeitet die dem System zugeordnete Aktion. In diesem Fall ist dies die Behebungsaktion.
Ich befinde mich in Santa Clara und versuche, einen Notfall-Bootvorgang für einen Endbenutzer durchzuführen, der sich gerade in Japan befindet und vor einem wichtigen Meeting dringend eine Wiederherstellung durchführen muss. Kann ich dazu die Remote-Behebung verwenden?
Ja. Bei diesem Prozess ist keine Interaktion des Endbenutzers erforderlich. Er kann Ihnen einfach bei der Reparatur seines Client-Systems zusehen. Dies trifft für CILA (lokal) zu. Bei CIRA (remote) wird dies zuerst fehlschlagen, funktioniert jedoch, sobald sich das System über CIRA verbunden hat.
Wie lange würde die Remote-Behebung im obigen Beispiel dauern?
Dies hängt größtenteils von der Geschwindigkeit des Netzwerks ab und davon, wie lange es dauert, bis das Image beim Client-System eintrifft. Sobald es mit dem Image gestartet wurde, dauert es genauso lange wie ein regulärer Notfall-Bootvorgang, den Sie manuell durchführen. Tatsächlich wird der gleiche Vorgang ausgeführt, jedoch automatisch.
Werde ich als Administrator über den Fortschritt der Remote-Behebung informiert?
Der Administrator wird lediglich über den Start und das Ende informiert. Nach Abschluss der Behebung wird dem Administrator gemeldet, ob diese erfolgreich war. Das Audit erfolgt für den Client und wird erst bei der nächsten Agent-Server-Kommunikation zurück an ePO gesendet. Der Administrator kann eine Abfrage für die Client-Ereignisse durchführen, um die Clients mit einem ENTSPERRUNGS-Ereignis zu finden.
Werde ich als Endbenutzer über den Fortschritt der Remote-Behebung informiert?
Sobald das Image heruntergeladen wurde und die Behebung beginnt, wird auf dem Bildschirm eine Meldung angezeigt. Beim Herunterladen des Images auf den Client über AMT wird in einigen Fällen oben rechts auf dem Bildschirm eine blinkende Glyphe angezeigt. Dies gibt an, dass bei AMT Netzwerkverkehr eingeht. Auch hier hängt die Dauer größtenteils von der Auslastung und der Geschwindigkeit des Netzwerks ab. Bei einem schnellen Netzwerk sieht der Endbenutzer möglicherweise einfach nur, dass Windows plötzlich geladen wird.
Während der Durchführung einer Remote-Behebung sehe ich keine blinkende Glyphe. Bedeutet das, dass nichts passiert?
Das wäre eine Möglichkeit. Diese Funktion ist erst ab AMT, Version 7, enthalten. Wenn Sie also über Version 6 verfügen, wird Ihnen die Glyphe nicht angezeigt.
Was geschieht, wenn ich während der Durchführung einer Remote-Behebung meinen aktuellen Standort verlassen muss, da ich keine Zeit mehr habe, und beim Gehen das Netzwerkkabel trenne? Muss ich den gesamten Vorgang erneut starten? Und muss ich dabei wieder mit einem Administrator zusammenarbeiten?
Nein, der Vorgang startet automatisch erneut. Sobald der Administrator die Anfrage zur Remote-Behebung hinzugefügt hat, verbleibt diese in der Aktionswarteschlange, bis sie entweder abgeschlossen oder durch den Administrator entfernt wird. Das bedeutet, dass bei jedem Einschalten des Clients solange versucht wird, die Behebung durchzuführen, bis diese erfolgreich abgeschlossen wurde.
Die Remote-Behebung war erfolgreich, und der Benutzer hat Zugriff auf Windows erhalten. Er kann seine Präsentation halten, hat momentan jedoch keine Verbindung mit dem ePO-Unternehmens-Server. Muss der Benutzer den gleichen Prozess erneut ausführen, sobald er den Client neu startet?
Ja. Wenn der Pre-Boot beschädigt war, wurde für den Client möglicherweise ein Notfall-Bootvorgang ausgeführt. Das kann erst repariert werden, wenn der Client erfolgreich mit dem ePO-Server kommunizieren kann.
Für den anderen Anwendungsfall, bei dem der MBR ersetzt wird, ist keine erneute Ausführung erforderlich.
Warum sollte ich den MBR ersetzen wollen?
Ein mögliches Szenario wäre, dass ein Produkt eines anderen Anbieters versehentlich den MBR überschrieben hat, während das System verschlüsselt wurde. Ein weiteres Szenario wäre, dass das System mit einem MBR-Virus infiziert ist und Sie mit dem System zurück zu Windows wechseln müssen, damit alle weiteren Behebungen erfolgen können.
Bei der Auswahl einer Behebung kann ich ein bestimmtes Datenträger-Image auswählen. In welchen Fällen ist dies nötig?
"Automatisch" ist die Standardoption, die Sie immer verwenden sollten, sofern Sie keine anderen Anweisungen erhalten. Bei der Option "Automatisch" wird das geeignete Image anhand der vom Client erhaltenen Informationen ausgewählt. Wenn diese Informationen nicht verfügbar sind, wird keine Behebung durchgeführt. Mit dieser Option können Sie also das Image festlegen, das an den Computer gesendet wird. Es gibt verschiedene Images für den BIOS-Startvorgang und die Opal- sowie Nicht-Opal-Behebung.
Was passiert, wenn ich das falsche Datenträger-Image für den Client auswähle?
Wenn ein Image manuell ausgewählt wird, zeigt die Benutzerschnittstelle (UI) an, dass Sie den Datenträger durch die Auswahl des falschen Images beschädigen könnten. Diese Option wurde für den Fall hinzugefügt, wenn der Verschlüsselungsanbieter oder der BIOS-Typ nicht verfügbar ist.
Funktioniert die Remote-Behebung in einer UEFI-Umgebung?
Nein. Die IDE-Umleitung, die für die Remote-Behebung erforderlich ist, funktioniert bei der UEFI nicht.
Welchen Berichten kann der Administrator entnehmen, dass die AMT-Aktion auf dem Client erfolgreich abgeschlossen wurde?
DE bietet nur eine Server-Aktion für die Behebung. Der Administrator kann die Client-Ereignisse im Ereignis-Audit-Protokoll abfragen und dann dem ePO-Server-Task-Protokoll entnehmen, ob die Aktion abgeschlossen wurde.
Welche Berichte oder Protokolle kann ein Administrator anzeigen, um zu ermitteln, welcher Fehler an welcher Stelle aufgetreten ist und einen erfolgreichen Abschluss der Aktion verhindert hat?
Der Administrator findet diese Informationen im "AMTService.log" und durch die Abfrage "DE: Produkt-Client-Ereignisse".
Wo kann ein Administrator sehen, dass eine oder mehrere AMT-Aktionen erfolgreich auf einem oder mehreren Clients abgeschlossen wurden?
Durch Ausführen der Abfrage "DE: Produkt-Client-Ereignisse".
Kann ein Administrator Berichte zu den AMT-Aktionen erstellen? (Um beispielsweise zu zeigen, wie viele Systeme heute über die Funktion zum Entsperren per Fernzugriff gestartet wurden.)
Durch Ausführen der Abfrage "DE: Produkt-Client-Ereignisse" mit einem entsprechenden Filter. Voraussetzung dafür ist, dass die Systeme zum Senden der Audit-Informationen erfolgreich mit dem ePO-Server kommuniziert haben.
Welche Fehlerbehebungen kann ein Administrator bei einem AMT-Out-of-Band-Problem anwenden? Welche Schritte müssen zuerst ausgeführt werden?
Der Administrator muss zunächst ermitteln, ob das Problem durch einen CILA-Task (lokal) oder einen CIRA-Task (remote) verursacht wurde.
Wie geht er weiter vor, wenn ein CIRA-Task (remote) durchgeführt wurde?
Er startet das Client-System und ruft das BIOS bzw. unter Windows den Intel-Verwaltungs- und Sicherheitsstatus auf, um Hilfe anzufordern. Anschließend muss er im Protokoll "AMTService.log" überprüfen, ob eine Anfrage eingegangen ist. Wenn dies der Fall ist, ist beim Support-Anruf das Team des Technischen Supports für DE heranzuziehen. Wenn dies nicht der Fall ist, ist das Deep Command Tier III-Team heranzuziehen.
Was ist, wenn das AMT Out of Band-Problem durch einen CILA-Task (lokal) verursacht wurde?
Der Administrator muss dann auf dem Client mithilfe der Deep Command-Aktion das BIOS starten. Bei Erfolg ist beim Support-Anruf das Team des Technischen Supports für DE heranzuziehen. Andernfalls ist der Technische Support für Deep Command heranzuziehen.
Was ist Opal?
Opal ist der Name einer Spezifikation für selbstverschlüsselnde Laufwerke, die von einer Normungsorganisation mit dem Namen Trusted Computing Group (TCG) entwickelt wurde.
Was ist ein Opal-Laufwerk?
Ein Opal-Laufwerk ist ein eigenständiges Festplattenlaufwerk (HDD), das dem Opal-Standard der TCG entspricht. Das Laufwerk ist stets verschlüsselt, jedoch nicht unbedingt gesperrt. Neben den HDD-Standardkomponenten enthält ein Opal-Laufwerk zusätzliche Komponenten (wie z. B. einen integrierten Kryptografieprozessor), welche die notwendige Verschlüsselung bzw. Entschlüsselung der Daten auf der Festplatte durchführen. Der Opal-Standard der TCG kann nicht nur von regulären, rotierenden Festplatten, sondern auch von SSDs unterstützt werden.
Handelt es sich bei Opal-Laufwerken um selbstverschlüsselnde Laufwerke?
Ja. Es ist ein Typ von selbstverschlüsselnden Laufwerken, jedoch nicht der einzige. Auf dem Markt sind weitere proprietäre selbstverschlüsselnde Laufwerke erhältlich.
Ist Opal ein Standard oder eine Marke?
Opal ist ein Standard bzw. eine Spezifikation, die das Standardverhalten und die Befehle vorgibt, auf die das Laufwerk reagiert. Der Standard wurde von der Speicher-Arbeitsgruppe der Trusted Computing Group (TCG) entwickelt und verabschiedet.
Die TCG ist eine nicht profitorientierte Organisation zur Entwicklung, Festlegung und Förderung offener, herstellerunabhängiger Branchenstandards für plattformunabhängige, vertrauenswürdige Computer-Code-Komponenten und Software-Schnittstellen.
Ist ein TCG-konformes selbstverschlüsselndes Laufwerk dasselbe wie ein Opal-Laufwerk?
Ja.
Nein. Die Software-Verschlüsselung reicht für die meisten Benutzer aus. Die meisten produktiven Anwender bemerken die Software-Verschlüsselung bzw. ihre Auswirkungen nicht. Bei DE 7.1 ist die Auswirkung der Software-Verschlüsselung auf Systeme mit Intel-CPUs mit AES-NI-Unterstützung zu vernachlässigen, wodurch die Software-Verschlüsselung hinsichtlich der Leistung vergleichbar mit Opal-Laufwerken ist.
Auf welches Bedrohungsmodell sind Opal-Laufwerke ausgerichtet?
Die hauptsächlichen Anwendungsfälle sind Verlust oder Diebstahl von Laptop-/Desktop-Computern. Opal-Laufwerke sind auf ähnliche Bedrohungen wie eine Software zur vollständigen Datenträgerverschlüsselung ausgerichtet und sorgen für den Schutz von archivierten Daten.
Welche Nutzungsszenarien sind am besten für Opal-Laufwerke geeignet?
Opal-Laufwerke eignen sich hervorragend für Benutzer, die eine extrem hohe Festplatten-E/A (für besonders leistungsabhängige Anwendungen) benötigen, z. B. Software-Entwickler, Video-Redakteure oder Luftfahrtingenieure. Diese Benutzer verwenden höchstwahrscheinlich SSDs anstatt herkömmlicher rotierender Festplatten.
Könnte mit einem SSD-Opal-Laufwerk die Leistung eines SSD-Laufwerks beibehalten werden, ohne eine Sicherheitslücke entstehen zu lassen?
Ja. Die SSD-Implementierung eines Opal-Laufwerks ist eine Lösung für besonders anspruchsvolle Benutzer, da sie sowohl die Geschwindigkeit und Leistung eines SSD-Laufwerks als auch die Sicherheit und Verschlüsselung eines Opal-Laufwerks bietet. Da das Opal-Laufwerk jedoch immer vom integrierten Kryptografieprozessor verschlüsselt wird, lässt sich eine vom integrierten Kryptografieprozessor verursachte Leistungsminderung, sofern sie überhaupt auftritt, nur schwer bestimmen.
Was ändert sich in Bezug auf DE mit einem Opal-Laufwerk?
Die Routinearbeiten eines Administrators bleiben gleich, unabhängig davon, ob das Gerät mit einem Opal-Laufwerk oder einem normalen Festplattenlaufwerk ausgestattet ist. Richtlinie, Bereitstellungsmethode und Verwaltung ändern sich nicht. Der Wiederherstellungsvorgang ändert sich leicht, die vom Administrator in einem Wiederherstellungsszenario ausgeführten Schritte sind jedoch gleich. Weitere Einzelheiten zu DE in Verbindung mit Opal-Laufwerken finden Sie im Abschnitt Verhalten bei Opal in diesem Artikel.
Benutzern und Administratoren stehen alle DE-Standardwiederherstellungsmechanismen zur Verfügung, unabhängig davon, ob der Endbenutzer ein Opal-Laufwerk oder ein normales Festplattenlaufwerk besitzt.
Wird DE andere Arten von selbstverschlüsselnden Laufwerken (SED) unterstützen?
Nein. Derzeit ist die Unterstützung anderer Arten von selbstverschlüsselnden Laufwerken nicht geplant, mit Ausnahme derer, die den Opal-Standard der TCG implementieren.
Wozu wird DE benötigt, wenn das Opal-Laufwerk die gesamte Verschlüsselung übernimmt?
Opal-Laufwerke müssen verwaltet werden. Wenn ein Opal-Laufwerk nicht verwaltet wird, verhält es sich wie ein normales Festplattenlaufwerk. Die Kombination aus DE und ePO bietet vielseitige Verwaltungs-, Berichterstellungs- und Wiederherstellungsfunktionen, die für einen Administrator äußerst wichtig sind. DE bietet zudem die Installation eines sicheren Pre-Boot-Vorgangs, mit dem das Opal-Laufwerk entsperrt werden kann, führt die Opal-Benutzerverwaltung durch, sorgt dafür, dass die Verschlüsselungsrichtlinie des Unternehmens kontinuierlich erzwungen wird, und bietet im Verlustfall den Nachweis, dass das Gerät bei der letzten Synchronisierung mit ePO verschlüsselt war. Administratoren in Unternehmen, in denen eine Mischung aus Opal-Laufwerken und normalen Festplattenlaufwerken eingesetzt wird, benötigen unbedingt ein zentrales Tool, mit dem sie Verwaltungsaufgaben durchführen, Richtlinien erzwingen, Geräteberichte erstellen und das Risikopotenzial des Unternehmens einschätzen können: DE stellt genau solch ein Tool dar. DE bietet noch einen weiteren Vorteil: Es kann potenziell viel mehr Benutzer unterstützen, als dies bei einem nicht verwalteten Opal-Laufwerk der Fall ist.
Im folgenden Artikel wird die DE-Unterstützung für Opal-Laufwerke verschiedener Hersteller erläutert. Zudem wird ausführlich erklärt, wie ein Opal-Laufwerk selbstzertifiziert wird, sollte es nicht in der Liste der unterstützten Laufwerke aufgeführt werden. Weitere Informationen hierzu finden Sie in KB81136.
Erstreckt sich die DE-Unterstützung für Opal-Laufwerke auf alle unterstützten Betriebssysteme?
Nein. Gegenwärtig ist nicht geplant, die Unterstützung für Opal auf andere Betriebssysteme auszudehnen. Derzeit wird folgende Unterstützung geboten:
- EEPC 6.2 unterstützt Opal-Laufwerke unter Windows 7 SP1 und höher nur im älteren Modus (BIOS).
- DE 7.x unterstützt Opal-Laufwerke unter Windows 7 SP1 und höher sowie Windows 8.x sowohl im älteren Modus (BIOS) als auch im UEFI-Modus.
- DE 7.x unterstützt Opal-Laufwerke unter Windows 8.x im UEFI-Modus in Systemen, die Windows 8-zertifiziert sind und in denen das OEM das UEFI-Protokoll für die sichere Kommunikation einschließt.
- UEFI-Systeme, in denen das OEM nicht das Protokoll für die sichere Kommunikation eingeschlossen hat, werden nicht unterstützt, da kein Mechanismus vorhanden ist, über den die DE-Pre-Boot-Umgebung mit dem Laufwerk kommunizieren kann. In diesem Fall wird automatisch die Software-Verschlüsselung verwendet.
Einige Opal-Laufwerke sind 512e-Laufwerke (d. h. es handelt sich hier eigentlich um Laufwerke mit einer Größe von 4096 Byte), die ältere Laufwerke mit 512 Byte großen Sektoren emulieren. Windows 7 SP1 enthält wichtige Treiber-Fixes, die für eine ordnungsgemäße Funktion dieser 512e-Laufwerke sorgen.
Was geschieht, wenn ein Benutzer versucht, DE auf einem Opal-Laufwerk zu aktivieren, während ein nicht unterstütztes Betriebssystem ausgeführt wird?
Wenn DE eine inkompatible Kombination von Betriebssystem und Opal-Laufwerk erkennt, wird der Aktivierungsprozess fortgesetzt, statt der nativen Opal-Funktion wird jedoch Software-Verschlüsselung verwendet. In ePO wird angezeigt, dass das System Software-Verschlüsselung verwendet.
Werden Opal-Laufwerke unter Mac OS X unterstützt?
Nein. Dies wird erst der Fall sein, wenn Apple die Unterstützung seines FileVault-Verschlüsselungsprodukts einführt.
Zurück zum Inhalt
Nein. Administratoren müssen Opal-Laufwerke nicht anders als normale Festplattenlaufwerke behandeln. Sie können auf Laptops mit Opal-Laufwerken die gleiche Richtlinie wie auf Laptops mit normalen Festplattenlaufwerken anwenden.
Die DE-Richtlinie enthält eine Prioritätenrangfolge für Verschlüsselungsanbieter. Welchen Zweck hat diese?
Damit kann der Administrator anpassen, in welcher Reihenfolge der DE Intelligent Client die Richtlinie auf einem Client erzwingt. Wenn der Opal-Verschlüsselungsanbieter eine höhere Priorität als der Software-Verschlüsselungsanbieter besitzt, sucht der DE-Client zuerst nach einem Opal-Laufwerk. Wenn alle verbundenen Laufwerke Opal unterstützen, wird die Verschlüsselungsrichtlinie mithilfe der Opal-Funktion erzwungen. Wenn die Laufwerke diese Kriterien nicht erfüllen, wechselt der DE-Client zum nächsten Verschlüsselungsanbieter in der Liste, d. h. die Verschlüsselungsrichtlinie wird dann mithilfe der Software-Verschlüsselung erzwungen. Wenn der Administrator die Prioritätenrangfolge ändert und der Software-Verschlüsselung die höchste Priorität zuweist, müssen alle Computer die Software-Verschlüsselung verwenden, unabhängig davon, ob es sich um Opal-Laufwerke oder normale Festplattenlaufwerke handelt.
WICHTIG: Wenn der Computer mit einem Opal-Laufwerk ausgestattet ist, wird bei einer Offline-Aktivierung zuerst die Opal-Verschlüsselung verwendet. OPAL-Voreinstellungen sind in den Offline-Aktivierungspaketen hartcodiert, sodass keine benutzerdefinierten Richtlinieneinstellungen berücksichtigt werden.
Gibt es Unterschiede in Bezug auf die Bereitstellung von Opal-Laufwerken?
Nein. Die Bereitstellung ist vollkommen identisch, unabhängig davon, ob der Client mit einem Opal-Laufwerk oder einem normalen Festplattenlaufwerk ausgestattet ist.
Wie erkennt der Administrator, ob ein Client die Opal-Funktion oder die Software-Verschlüsselung verwendet?
Rufen Sie den Computer in ePO auf, um festzustellen, welcher Verschlüsselungsanbieter die Verschlüsselungsrichtlinie erzwingt. Wenn dort Opal angezeigt wird, dann verwendet der Client die Opal-Funktion.
Läuft der Pre-Boot-Vorgang bei Verwendung eines normalen Festplattenlaufwerks und bei Verwendung eines Opal-Laufwerks für den Endbenutzer unterschiedlich ab?
Nein. Der Pre-Boot-Vorgang verläuft genau gleich. Für den Endbenutzer spielt es keine Rolle, welche Hardware für die Verschlüsselung auf dem Computer verwendet wird.
Was geschieht, wenn mein Computer ein Opal-Laufwerk und ein Nicht-Opal-Laufwerk enthält?
Die Software-Verschlüsselung ist die einzige Option, die automatisch ausgewählt wird, wenn auf einem Computer sowohl Opal-Laufwerke als auch Nicht-Opal-Laufwerke vorhanden sind.
Können Benutzer anhand des Verschlüsselungsstatus-Dashboards erkennen, dass sie ein Opal-Laufwerk verwenden?
Nein, nicht direkt. Sie können es in Endpoint Encryption im Statusmonitor-Fenster anhand der Liste der verschlüsselten Volumes und Laufwerke ableiten.
Wie lange dauert bei Opal-Laufwerken der Wechsel vom Status "Unverschlüsselt" in den Status "Verschlüsselt"?
Dies dauert etwa eine Minute. Das geht so schnell, weil das Laufwerk eigentlich bereits verschlüsselt ist. Die für den Wechsel vom Status "Unverschlüsselt" in den Status "Verschlüsselt" benötigte Zeitspanne ist die Zeitspanne, die benötigt wird, um die nativen Sperrmechanismen des Opal-Laufwerks zu aktivieren und die Pre-Boot-Umgebung zu installieren.
Kennt DE den Schlüssel, mit dem die Daten verschlüsselt werden?
Nein. Der Verschlüsselungsschlüssel bleibt immer auf dem Opal-Laufwerk.
Wie funktioniert die Wiederherstellung?
Für eine Wiederherstellung auf einem Opal-Laufwerk können die gleichen DE-Wiederherstellungsmethoden und Tools wie bei einem normalen Festplattenlaufwerk genutzt werden. DETech wird so aktualisiert, dass bekannt ist, wie ein Opal-Laufwerk entsperrt wird; es gibt jedoch keine Möglichkeit zum Entsperren, da das Opal-Laufwerk nie den Verschlüsselungsschlüssel übergibt und das Laufwerk nie entschlüsselt. DETech entsperrt den Datenträger lediglich, damit das Betriebssystem gestartet werden kann.
Funktioniert Forensik-Software von Drittanbietern mit einem Opal-Laufwerk?
McAfee arbeitet mit Anbietern von Forensik-Software zusammen, und an dieser Zusammenarbeit wird sich künftig im Wesentlichen nichts ändern. Diese Anwendungen werden bei DE dann nicht mehr den Verschlüsselungsschlüssel abfragen, sondern die erforderlichen Anmeldeinformationen zum Entsperren des Laufwerks. Beachten Sie, dass es nicht möglich ist, eine Kopie eines Opal-Laufwerks auf Sektorenebene zu erstellen und die Entschlüsselung dieser Kopie auf Sektorenebene mit dem Verschlüsselungsschlüssel auszuführen, da der Verschlüsselungsschlüssel nie bekannt ist.
Ist ein Opal-Laufwerk immer verschlüsselt?
Ja. Unabhängig davon, ob das Laufwerk gesperrt oder entsperrt ist, ist es immer verschlüsselt. Es gibt kein unverschlüsseltes Opal-Laufwerk. HINWEIS: Der Verschlüsselungsschlüssel des Datenträgers kann niemals vom Laufwerk gelesen werden.
Welche Zustände eines Opal-Laufwerks sind in DE zulässig?
Entsperrt und gesperrt.
Worin liegt der Unterschied zwischen gesperrt und entsperrt?
Technisch gesehen besteht der Unterschied im Zugriff auf den Verschlüsselungsschlüssel durch den im Laufwerk integrierten Verschlüsselungsprozessor.
- Wenn die Festplatte entsperrt wird, kann der integrierte Verschlüsselungsprozessor auf den Verschlüsselungsschlüssel des Datenträgers zugreifen, und das Laufwerk verhält sich dann wie ein normales Festplattenlaufwerk. In diesem Zustand bemerkt ein Endbenutzer keinen Unterschied zwischen einem Opal-Laufwerk und einem normalen Festplattenlaufwerk.
- Wenn die Festplatte gesperrt ist, wird der Datenträgerverschlüsselungsschlüssel geschützt, und eine Pre-Boot-Umgebung ist erforderlich, um die Festplatte zu entsperren, bevor auf die Daten zugegriffen und das Betriebssystem gestartet werden kann. Beachten Sie, dass der Verschlüsselungsschlüssel des Datenträgers die ganze Zeit im Laufwerk verborgen bleibt, er kann nicht ausgelesen werden.
Wie sieht der Standardzustand für ein Opal-Laufwerk aus?
Wenn Sie das Opal-Laufwerk zum ersten Mal in Betrieb nehmen, ist es entsperrt. Es verhält sich dann in jeder Hinsicht wie ein normales Festplattenlaufwerk. Sie müssen das Laufwerk explizit sperren, indem Sie den nativen Sperrmechanismus des Laufwerks aktivieren. Eine Möglichkeit besteht darin, das Laufwerk mithilfe von DE zu verwalten.
Wie wechselt das Laufwerk vom Zustand "Entsperrt" in den Zustand "Gesperrt"?
Eine Anwendung mit einer Pre-Boot-Umgebung, wie z. B. DE, muss die notwendigen Schritte zum Aktivieren des nativen Sperrmechanismus des Opal-Laufwerks und zum Installieren der Pre-Boot-Umgebung durchführen. Nachdem das Laufwerk gesperrt wurde, muss es in der Pre-Boot-Umgebung entsperrt werden, bevor das Betriebssystem den Boot-Vorgang starten kann. Ohne die Pre-Boot-Umgebung könnte das Laufwerk nicht entsperrt und somit auch das Betriebssystem nicht gestartet werden.
Wenn ein gesperrtes Laufwerk entsperrt wird, wie lange bleibt es entsperrt?
Das Opal-Laufwerk bleibt bis zum nächsten Aus- und wieder Einschalten entsperrt. Das bedeutet, dass das Opal-Laufwerk nach dem Entsperren solange entsperrt bleibt, bis Sie das Gerät ausschalten oder in einen anderen Energiezustand wechseln, bei dem die Stromversorgung unterbrochen wird. Damit das Verhalten für den Benutzer in DE exakt dem bei der DE-Software-Verschlüsselung entspricht, wird das Laufwerk auch bei einem Neustart explizit gesperrt.
Kennt irgendjemand oder irgendetwas den Verschlüsselungsschlüssel, mit dem die Daten verschlüsselt werden?
Nein. Der Schlüssel wird auf dem Laufwerk erstellt und verbleibt dort. Er verlässt das Laufwerk niemals. Anwendungen oder andere Hardware-Elemente können das Laufwerk nicht nach seinem Schlüssel bzw. seinen Schlüsseln abfragen.
Kann ich ein Datenträger-Image des Laufwerks aufzeichnen und mit einem Tool wie EnCase entschlüsseln?
Nein. Der Schlüssel wird auf dem Laufwerk erstellt und verbleibt dort. Er verlässt das Laufwerk niemals. Anwendungen oder andere Hardware-Elemente können das Laufwerk nicht nach seinem Schlüssel bzw. seinen Schlüsseln abfragen. Daher ist der Schlüssel nicht für die Verwendung in Tools wie EnCase verfügbar.
Wie muss ich vorgehen, wenn das Opal-Laufwerk gesperrt ist und ich mein Kennwort vergessen habe?
Für diesen Fall bietet DE Wiederherstellungsmechanismen.
Kann ein Opal-Laufwerk auf den ursprünglichen Werkszustand zurückgesetzt werden?
Es gibt einen von der TCG verabschiedeten Mechanismus für das Zurücksetzen; hierbei müssen jedoch die Laufwerk-Masteranmeldeinformationen bekannt sein. Einige Laufwerkshersteller schließen einen zusätzlichen, nicht von der TCG verabschiedeten Zurücksetzungsprozess ein, bei dem die Masteranmeldeinformationen nicht bekannt sind (als PSID-Zurücksetzung bezeichnet). Wenn das Laufwerk die PSID-Zurücksetzung nicht unterstützt und Sie ausgesperrt sind (und die normalen DE-Wiederherstellungsfunktionen nicht funktionieren bzw. das Laufwerk nicht reagiert), dann sind Ihre Daten verloren, und das Laufwerk ist wertlos. Sie müssen ein neues Opal-Laufwerk erwerben. Wenn das Laufwerk die PSID-Zurücksetzung unterstützt, dann können Sie es in den ursprünglichen Werkszustand zurücksetzen, ohne das Laufwerk entsperren zu müssen. Alle Daten auf dem Laufwerk sind jedoch verloren. Hierfür stehen Tools zur Verfügung (kein unterstütztes Anwendungsszenario in DE).
Was geschieht, wenn die physische Hardware ausfällt und das Opal-Laufwerk nicht mehr auf Entsperrungsanfragen reagiert?
In dieser Situation ist das Laufwerk leider komplett ohne Funktion. Sie können die Daten nicht mehr abrufen. Die Daten sind verloren, und Sie müssen ein neues Opal-Laufwerk kaufen. Dies liegt daran, dass DE der tatsächliche Datenträgerverschlüsselungsschlüssel nicht bekannt ist. Der Datenträgerverschlüsselungsschlüssel kann nicht vom Laufwerk gelesen werden.
Kann die Software-Verschlüsselung auf einem Opal-Laufwerk verwendet werden?
Ja. Solange der native Sperrmechanismus eines Opal-Laufwerks nicht aktiviert ist, verhält sich das Opal-Laufwerk genauso wie ein normales Festplattenlaufwerk. Der Administrator kann das Laufwerk problemlos mithilfe von Software-Verschlüsselung statt mithilfe der nativen Verschlüsselungsfunktion des Opal-Laufwerks verschlüsseln. Technisch gesehen werden die Daten dann zweimal verschlüsselt: Erstens durch die Software-Verschlüsselung und zweitens durch das Opal-Laufwerk. Da jedoch das Laufwerk nicht gesperrt wird, ist die Opal-Verschlüsselung transparent.
Ist der Pre-Boot-Vorgang für Opal anders als der Pre-Boot-Vorgang für die Software-Verschlüsselung?
Ja und Nein. Dem Pre-Boot muss bekannt sein, wie ein Opal-Laufwerk entsperrt werden kann, damit das Betriebssystem gestartet werden kann. Im Übrigen sind Aussehen und Verhalten des Pre-Boot identisch mit denen bei der Software-Verschlüsselung. Der Pre-Boot-Code von Software- und Opal-Pre-Boot-Anwendungen ist größtenteils identisch.
Gibt es mehrere Versionen des Opal-Standards?
Ja. Derzeit wird Version 1.0 implementiert. Die TCG hat auch schon Version 2.0 veröffentlicht. Möglicherweise wird in einer künftigen Version die Unterstützung für die Opal v2.0-Spezifikation der TCG hinzugefügt.
Gibt es bei Opal-Laufwerken Benutzer?
Ja. Sobald das Laufwerk gesperrt ist, sind ein Benutzername und eine PIN zum Entsperren des Laufwerks erforderlich.
Wo werden die Benutzer verwaltet?
Jeder Benutzer wird auf einem Opal-Laufwerk spezifisch und lokal verwaltet. Die Anwendung, mit der das Opal-Laufwerk verwaltet wird, muss auch die Opal-Benutzer verwalten.
Ist ein Opal-Benutzer dasselbe wie ein DE-Benutzer oder ein Windows-Domänenbenutzer?
Nein. Alle drei sind separate Einheiten.
Wird die gesamte erforderliche Verwaltung von DE durchgeführt?
Ja.
Gibt es eine Höchstanzahl von Opal-Benutzern?
Ja. Einem Opal-Laufwerk kann nur eine kleine Anzahl von Opal-Benutzern zugewiesen werden. Die Höchstanzahl der unterstützten Benutzer hängt dabei vom Hersteller des jeweiligen Opal-Laufwerks ab.
Was geschieht, wenn ich einem Gerät mehr DE-Benutzer zuweisen möchte als Opal-Benutzer verfügbar sind?
Über die DE-Architektur können Sie dem Opal-Laufwerk beliebig viele Benutzer zuweisen, unabhängig von der technischen Begrenzung von Opal-Benutzern auf dem Gerät. Diese Komplexität ist für den Administrator nicht sichtbar, daher kann er dem Gerät die Benutzer so wie bei einem normalen Festplattenlaufwerk zuweisen. Die Empfehlungen und Begrenzungen für die Anzahl der einem Gerät zugewiesenen Benutzer gelten unabhängig davon, welcher Laufwerkstyp verwendet wird.
Kann ein Opal-Laufwerk mehrere Datenträger-Verschlüsselungsschlüssel besitzen?
Ja. Die Opal-Spezifikation enthält einen Abschnitt zur logischen Blockadressierung (Logical Block Addressing, LBA), was auch als "Lokale Bereiche" bezeichnet wird.
Was ist der globale Bereich?
Der globale Bereich enthält alle Sektoren des Datenträgers, die nicht in einem lokalen Bereich (siehe unten) definiert sind.
Was ist ein lokaler Bereich?
Ein lokaler Bereich ist ein fortlaufender Bereich von Sektoren, von denen jeder einen eigenen Verschlüsselungsschlüssel besitzt. Diese Bereiche können gesperrt oder entsperrt werden. Ein Beispiel: Sie können einen lokalen Bereich einer Partition zuweisen, der Bereich muss jedoch nicht genau mit der Partition übereinstimmen.
Zu welchem Zweck werden lokale Bereiche verwendet?
Mithilfe von lokalen Bereichen kann ein bestimmter Teil des Datenträgers immer verfügbar und abrufbar sein, unabhängig davon, ob sich der Datenträger im Zustand "Gesperrt" oder "Entsperrt" befindet.
Ein lokaler Bereich ist ein fortlaufender Bereich von Sektoren. Was geschieht, wenn ich einen neuen Bereich definiere?
Für den neuen Bereich wird automatisch ein neuer Verschlüsselungsschlüssel generiert. Wenn das Opal-Laufwerk die erneute Verschlüsselung unterstützt, werden die Daten mit dem alten Schlüssel entschlüsselt und mit dem neuen Schlüssel erneut verschlüsselt. Die erneute Verschlüsselung ist optionaler Bestandteil des Standards und wird unseres Wissens nach derzeit von keinem Laufwerk unterstützt. Wenn das Laufwerk die erneute Verschlüsselung nicht unterstützt, dann haben Sie nun alle Daten verloren, die in diesem Bereich gespeichert waren, da sie kryptografisch gelöscht wurden.
Wenn ich ein Partitions-Tool verwende, können alle meine Daten verloren gehen, wenn ich lokale Bereiche verwende?
Ja, das ist möglich.
Wie viele lokale Bereiche können eingerichtet werden?
Der Opal-Standard gibt mindestens fünf an (einschließlich des globalen Bereichs).
Unterstützt DE lokale Bereiche, um anzugeben, ob Partitionen gesperrt oder nicht gesperrt sind?
Nein.
Bietet DE Unterstützung für S3 mit Opal-Laufwerken?
Ja.
Was ist S3?
S3 bezeichnet einen Aktivitätszustand; gängig sind Standby, Energiesparmodus oder "Suspend to RAM". Ein System in einem S3-Zustand ist scheinbar ausgeschaltet. Die Stromzufuhr der CPU ist abgeschaltet, die Aktualisierung des RAM-Speichers ist verlangsamt, und es wird erheblich weniger Energie verbraucht.
Opal-Laufwerke werden gesperrt, wenn die Stromzufuhr unterbrochen ist. Stellt das ein Problem dar?
Ja. Der Neustart von Windows stellt ein Problem dar, wenn das Laufwerk gesperrt ist und Windows keine Möglichkeit hat, es zu entsperren. Für das S3-Problem bietet die TCG keine allgemeingültige und akzeptierte Lösung an.
S3 funktioniert mit DE. Gibt es also eine proprietäre Implementierung der S3-Unterstützung?
Ja.
Was geschieht, wenn ich in einem Computer über ein Opal-Laufwerk und ein normales Festplattenlaufwerk verfüge? Verwendet DE die native Opal-Funktionalität für das Opal-Laufwerk und die Software-Verschlüsselung für das normale Festplattenlaufwerk?
Nein. In diesem Fall liegt eine Umgebung im gemischten Modus vor. DE muss entscheiden, wie die Verschlüsselungsrichtlinie auf dem Computer erzwungen werden soll.
Unterstützt DE den gemischten Modus?
Ja. Als gemischter Modus wird eine Konfiguration bezeichnet, bei der ein Computer mehrere physische Festplattenlaufwerke enthält, die sowohl Opal-Laufwerke als auch normale Festplattenlaufwerke umfassen. Der kleinste gemeinsame Nenner ist immer die Software-Verschlüsselung. Im Zweifelsfall werden sowohl das Opal-Laufwerk als auch das normale Festplattenlaufwerk mit der Software-Verschlüsselungsfunktion verschlüsselt.
Unterstützt DE ein Windows-Betriebssystem auf Mac-Hardware mit einer Intel-CPU?
Nein. DE wird auf Mac-Hardware nicht unterstützt. Installieren Sie für die Unterstützung auf Macintosh-Hardware die aktuelle Version von Management of Native Encryption.
Haftungsausschluss
Betroffene Produkte
Sprachen:
Dieser Artikel ist in folgenden Sprachen verfügbar: