Mit der ESET Full Disk Encryption (EFDE) bietet unser Security-Hersteller ESET innerhalb seiner PROTECT-Konsole eine zentrale Laufwerksverschlüsselung für Windows- und macOS-Workstations an.

Die Vorteile von EFDE im Überblick:

  • Zentrale Verwaltung: EFDE ist vollständig in die bekannte Management-Konsole ESET PROTECT integriert.
  • Plattformübergreifender Schutz: Sowohl die Verschlüsselung auf Windows-Rechnern als auch die native Verschlüsselung von macOS (FileVault2) lassen sich über die zentrale Management-Konsole verwalten.
  • Schnelle Installation: Aktivierung und Verwaltung der Verschlüsselung auf einzelnen Geräten sind mit wenigen Klicks erledigt.
  • Individuelle Passwort-Policies: Administratoren können nicht nur vorgeben, welche Elemente ein Passwort enthalten muss, sondern auch festlegen, nach wie vielen Fehlversuchen der Zugriff gesperrt wird, wann ein Passwort seine Gültigkeit verliert oder wie oft und wann ein Nutzer es ändern kann.

EFDE ist bereits in folgenden ESET PROTECT-Bundles enthalten:

  • ESET PROTECT Advanced (Cloud & On-Prem)
  • ESET PROTECT Complete (Cloud & On-Prem)
  • ESET PROTECT Enterprise (Cloud & On-Prem)

Die Lizenz kann optional auch als Laufzeit-Lizenz oder MSP-Add-on gekauft werden. Bei Fragen zu den Lizenzierungsarten melden Sie sich gerne direkt bei uns: telefonisch unter +41 (0)55 552 27 92 oder per Mail.

Einrichtung:

Folgend zeigen wir Ihnen, wie Sie EFDE optimal bei sich oder Ihren Kunden einsetzen. Im ersten Schritt wird für EFDE eine neue Policy angelegt, in welcher Sie die Software mit Ihren individuellen Richtlinien an Ihre Bedürfnisse anpassen. Wechseln Sie in der PROTECT-Konsole bitte zu Policies -> Neue Policy -> Einstellungen und wählen Sie ESET Full Disk Encryption im Dropdown-Menü aus.

In diesem Bereich können Sie die Verschlüsselung aktivieren und haben, wie in der Darstellung zu sehen, verschiedene Konfigurationsmöglichkeiten. Wir empfehlen, die Unterstützung für Trusted Platform Module (TPM) oder selbstverschlüsselnde Opal-Laufwerke (OPAL) zu verwenden.

In den Passwort-Policies setzen Sie die Anforderungen an das Benutzerpasswort fest, mit welchem sich der Benutzer auf der verschlüsselten Workstation anmeldet. Unter Benutzeroberfläche können Sie das Verhalten des EFDE-Clients festlegen, der auf den Workstations ausgeführt wird. Unter Fertig wird diese Policy dann gespeichert. Sie sollten diese jetzt allerdings noch keinen Gruppen oder Workstation zuweisen, sondern erst nach erfolgreicher Installation des EFDE-Clients.

Im nächsten Schritt wird besagter EFDE-Client auf den Workstations installiert. Hierfür gibt es drei Optionen:

Die ESET PROTECT-Konsole bietet auch die Möglichkeit, EFDE direkt mit einem vordefinierten Passwort bereitzustellen. Wie Sie dieses festlegen, können Sie in ESETs Knowledgebase  nachlesen. Nachdem die erfolgreiche Installation des EFDE-Clients mit einem Neustart bestätigt wurde, erscheint eine Meldung, dass der Computer noch nicht verschlüsselt ist. Nun kann die EFDE-Policy den gewünschten Computern/Gruppen zugewiesen werden.

 

Nachdem der Computer die Policy synchronisiert hat, erscheint folgende Meldung:

Nach einem weiteren Neustart wird der Benutzer aufgefordert, ein Passwort für die Pre-Boot-Anmeldung festzulegen. Dieses Passwort muss den Richtlinien entsprechen, welche in der EFDE-Policy definiert wurden. Danach startet die Verschlüsselung. Sofern erfolgreich, wird bei jedem Neustart des Computers das Passwort bei der Pre-Boot-Anmeldung benötigt.

Wiederherstellungspasswort:

Sollte der Benutzer das Limit einer falschen Passworteingabe bei der Pre-Boot-Anmeldung überschritten oder das Passwort vergessen haben, wird ein Wiederherstellungspasswort benötigt. Dieses kann wie folgt erstellt werden:

  1. Computerdetails in der ESET PROTECT-Konsole öffnen
  2. In der Übersicht die Kacheln Verschlüsselung -> Verwalten -> Zugriff wiederherstellen -> Wiederherstellungspasswort wählen
  3. Mit dem Wiederherstellungsindex, der auf dem Bildschirm des Benutzers angezeigt wird, kann der Administrator dem Benutzer das korrekte Wiederherstellungspasswort zur Verfügung stellen
  4. Der Benutzer kann sein EFDE-Anmeldepasswort ändern, nachdem das Wiederherstellungspasswort eingegeben wurde

Sollte nicht bekannt sein, um welche Workstation es sich handelt, wird bei der Pre-Boot-Anmeldung eine Workstation-ID angezeigt. Mithilfe dieser ID kann in der ESET PROTECT-Konsole oben rechts unter Hilfe -> Wiederherstellen der Verschlüsselung das passende Wiederherstellungspasswort generiert werden.

Wartungsmodus mit Client-Task:

Über den Client-Task FDE-Authentifizierung anhalten kann in der ESET PROTECT-Konsole die Pre-Boot-Anmeldung vorübergehend deaktiviert werden. Dies kann vor allem bei automatisierten Windows-Updates über ein RMM-Tool hilfreich sein, damit die Updates vollständig installiert werden.

Mit der Option Anzahl der Neustarts können Sie die Anzahl an Neustarts für die Workstation festlegen, die ohne Aufforderung zur FDE-Authentifizierung erfolgen dürfen. Zudem kann ein Zeitraum oder ein Datum mit Uhrzeit festgelegt werden, in welchem die Workstation ohne die FDE-Authentifizierung neu gestartet werden kann.

Wenn der Task mindestens einen der festgelegten Werte erreicht, wird die FDE-Authentifizierung wieder aktiviert. Um besagte FDE-Authentifizierung fortzusetzen, bevor der Task ein festgelegtes Limit erreicht, kann der Administrator den Client-Task FDE-Authentifizierung fortsetzen ausführen.

Wartungsmodus über Policy aktivieren:

Um die FDE-Authentifizierung für längere Zeit dauerhaft zu deaktivieren, kann die Option FDE-Authentifizierung deaktivieren in der EFDE-Policy verwendet werden.

Sie haben weitere Fragen oder benötigen Unterstützung bei der Einrichtung der Software? Melden Sie sich gerne direkt bei unserem Kollegen Daniel Löhrer, telefonisch unter +41 (0)55 552 27 01 oder per Mail.