Über Full Encryption

Gilt für: WatchGuard Full Encryption Dieses Thema betrifft das WatchGuard Endpoint Security-Modul Full Encryption. Full Encryption ist verfügbar für WatchGuard EPDR, WatchGuard EDR und WatchGuard EPP.

WatchGuard Full Encryption (verfügbar in WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR und WatchGuard EPP) ver- und entschlüsselt Computerlaufwerke und Wechseldatenträger (nur Windows) ohne Auswirkung auf die Benutzer. Full Encryption überwacht den Verschlüsselungsstatus von Netzwerkcomputern und verwaltet auch die Wiederherstellungsschlüssel für verwaltete Laufwerke (Windows) oder Computer (Windows und Mac).

Um die Offenlegung von Firmendaten im Falle eines Datenverlustes oder -diebstahls zu minimieren, nutzt Full Encryption Hardwareressourcen, wie einen Trusted Platform Module (TPM)-Chip und Microsoft BitLocker-Technologie oder FileVault für macOS, für die Ver- und Entschlüsselung von Laufwerken. Darüber hinaus werden Authentifizierungsmethoden für verschiedene Computerkonfigurationen unterstützt.

Sie können Full Encryption für Folgendes nutzen:

• Geräte verschlüsseln
• Geräte entschlüsseln

Wenn Sie die Full Encryption-Einstellungen für die Verwaltung eines Computer anwenden, könnte der Computer einen Benutzereingriff erfordern, um fortzufahren. Weitere Informationen finden Sie unter Full Encryption und Benutzereingriff — Windows-Computer.

Geräte verschlüsseln

Verschlüsselung von unverschlüsselten Laufwerken

Die Verschlüsselung beginnt, wenn der auf einem Computer installierte WatchGuard Endpoint Agent die Verschlüsselungseinstellungen herunterlädt. Ein Assistent auf dem Endpoint führt den Benutzer durch den Verschlüsselungsprozess und verschlüsselt alle Festplatten, die auf dem Computer gefunden werden.Alle bereits verschlüsselten Laufwerke empfangen die von Full Encryption vorgegebenen Verschlüsselungseinstellungen.

Die Zahl der erforderlichen Verschlüsselungsschritte hängt vom vorherigen Status des Computers und vom Authentifizierungstyp ab, der vom Netzwerkadministrator gewählt wurde.

Falls Sie nach Abschluss der Verschlüsselung einen neuen Laufwerkseintrag erstellen, verschlüsselt Full Encryption das Laufwerk sofort gemäß den Verschlüsselungseinstellungen.

Sie können Full Encryption nicht für die Verschlüsselung von Computern in einer Remote-Desktop-Sitzung verwenden. Sie müssen den Computer neu starten und ein Passwort eingeben, bevor Sie Full Encryption installieren können.

Wenn es eine vorherige Verschlüsselung gibt

Um ein Computer mit Full Encryption verwalten zu können, muss dieser mindestens einmal die Einstellungen von WatchGuard Endpoint Security erfolgreich empfangen haben. Die Einstellungen legen die Verschlüsselung von Laufwerken fest.

Wenn ein Computer bereits über verschlüsselte Laufwerke verfügt, Full Encryption dem Computer aber keine Einstellungen zur Verschlüsselung der Laufwerke sendet, verwaltet Full Encryption den Computer nicht. Dies bedeutet, dass der Computer-Administrator weder auf Wiederherstellungsschlüssel zugreifen noch den Status des Computers überwachen kann. Falls Full Encryption jedoch die Einstellungen zur Verschlüsselung von Laufwerken sendet, verwaltet Full Encryption ungeachtet des vorherigen Laufwerkstatus (verschlüsselt oder nicht) den Computer.

Bei der Verschlüsselung eines zuvor verschlüsselten Laufwerks sollten Sie folgende Punkte bedenken:

• Nachdem Full Encryption einen Computer erfolgreich verschlüsselt hat, kann Full Encryption diesen verwalten.
• Falls ein Computerbenutzer eine andere als die in Full Encryption vorgegebene Authentifizierungsmethode wählt, wird der Benutzer aufgefordert, Passwörter einzugeben oder sonstige Hardware-Ressourcen bereitzustellen.
• Wenn keine mit dem Betriebssystem kompatible und vom Netzwerkadministrator vorgegebene Authentifizierungsmethode genutzt werden kann, bleibt die bestehende Verschlüsselungsmethode bestehen. Full Encryption verwaltet den Computer nicht.
• Falls der Verschlüsselungsalgorithmus nicht AES-256 ist, führt Full Encryption keine Verschlüsselungsänderungen am Computerlaufwerk durch. Full Encryption verwaltet den Computer.
• Falls sowohl verschlüsselte als auch unverschlüsselte Laufwerke vorhanden sind, verwendet Full Encryption dieselbe Authentifizierungsmethode zum Verschlüsseln aller Laufwerke.
• Falls eine frühere Authentifizierungsmethode ein Passwort erfordert und diese Methode mit den von Full Encryption unterstützen Authentifizierungsmethoden kompatibel ist, wird der Benutzer zwecks Vereinheitlichung der Authentifizierungsmethode aufgefordert, ein Passwort einzugeben.
• Falls sich die Verschlüsselungseinstellungen des Computer-Benutzers von denen im Full Encryption-Dashboard unterscheiden, nimmt Full Encryption keinerlei Verschlüsselungsänderungen vor, um den Verschlüsselungsprozess auf ein Minimum zu reduzieren.
• Wenn Sie ein Laufwerk mit Full Encryption verwalten, generiert Full Encryption am Ende des Prozesses einen Wiederherstellungsschlüssel und sendet diesen an den WatchGuard-Server.

Informationen zur Verschlüsselung von Laufwerken in der Full Encryption-Verwaltungsoberfläche finden Sie unter Verschlüsselungseinstellungen.

Full Encryption und Benutzereingriff — Windows-Computer

Wenn Full Encryption Verschlüsselungseinstellungen anwendet, könnte ein Benutzer bei den verwalteten Computern eingreifen müssen, um folgende Probleme zu beheben.

• Falls auf einem Computer kein BitLocker installiert ist, lädt Full Encryption das Tool herunter und installiert es. Der Computerbenutzer muss den Computer neu starten, um die Installation abzuschließen.
• Falls ein Computer vorher nicht verschlüsselt war, erstellt Full Encryption eine Systempartition. Der Computerbenutzer muss den Computer neu starten, um die Erstellung der Partition abzuschließen.
• Falls es eine Gruppenregel im Widerspruch zu den Einstellungen in Full Encryption steht, wird eine Fehlermeldung angezeigt und der Prozess angehalten. Die Verschlüsselung beginnt erst, wenn der Computerbenutzer den Fehler behoben hat.
• Falls auf einem Computer ein TPM-Chip installiert ist, könnte der Computerbenutzer den TPM-Chip im BIOS des Computers aktivieren müssen. Der Computer muss neu gestartet werden, damit der Benutzer auf das BIOS zugreifen kann.
• Falls ein Computer ein USB-Laufwerk für die Authentifizierung nutzt, dann muss der Computerbenutzer das USB-Gerät anschließen, wenn der Computer hochfährt.
• Falls ein Computer eine PIN oder ein Passwort für die Authentifizierung nutzt, muss der Computerbenutzer die PIN oder das Passwort eingeben.
• Falls der Hardwaretest beim Hochfahren eines Computers fehlschlägt, beginnt der Computer erst dann mit der Verschlüsselung, wenn der Fehler vom Computerbenutzer behoben worden ist.

System-Partitionen — Windows-Computer

Wenn es keine Systempartition gibt, erstellt Full Encryption automatisch eine Systempartition auf einer Festplatte. Eine Systempartition ist ein kleiner, unverschlüsselter Bereich des Laufwerks (ungefähr 1,5 GB). Der Computer nutzt diesen notwendigen Bereich, um den Boot-Prozess durchzuführen.

Wenn Full Encryption ein USB-Laufwerk verschlüsselt, erstellt es keine Systempartition. (Nur Windows-Computer)

Full Encryption und Benutzereingriff — Mac-Geräte

Mac-Benutzer werden aufgefordert, Administrator-Zugangsdaten einzugeben:

• Wenn Full Encryption eine Verschlüsselungsregel auf ein nicht verschlüsseltes Mac-Gerät anwendet, erhält der Mac-Benutzer eine Aufforderung, Administrator-Zugangsdaten einzugeben, um die Verschlüsselung zu starten.Wenn der Benutzer die Zugangsdaten nicht eingibt, wird er jede Stunde erneut aufgefordert, die Zugangsdaten einzugeben.
• Wenn ein Mac-Gerät zuvor durch ein anderes Produkt verschlüsselt war, etabliert Full Encryption den Wiederherstellungsschlüssel neu und fordert den Benutzer auf, Administrator-Zugangsdaten einzugeben.
• Wenn der Benutzer FileVault auf seinem Computer manuell aktiviert oder deaktiviert, dann fordert Full Encryption den Benutzer erneut zur Eingabe von Administrator-Zugangsdaten auf, um die in der Verwaltungsoberfläche konfigurierten Einstellungen wiederherzustellen. Falls erforderlich generiert Full Encryption den Wiederherstellungsschlüssel erneut.
• Falls der Benutzer den Wiederherstellungsschlüssel ändert oder löscht, dann fordert Full Encryption den Benutzer erneut zur Eingabe der Administrator-Zugangsdaten auf und generiert einen neuen Wiederherstellungsschlüssel, der den ursprünglichen Schlüssel auf den WatchGuard Cloud-Servern ersetzt.

Geräte entschlüsseln

Informationen zum Entschlüsseln von Geräten in der Full Encryption-Verwaltungsoberfläche finden Sie unter Geräte entschlüsseln.

Ähnliche Themen

Anforderungen für WatchGuard Full Encryption

Authentifizierungstypen in Full Encryption

Wiederherstellungsschlüssel in Full Encryption verwalten

Full Encryption-Dashboard