trusteddisk benutzerhandbuch - rohde & schwarz … · abbildung 2 auswahl der partition zur...
TRANSCRIPT
TrustedDisk
Benutzerhandbuch
2 TrustedDisk Benutzerhandbuch
Copyright Notice
© 2014 by Sirrix AG security technologies. All rights reserved.
This document is for informational purposes only. SIRRIX MAKES NO WARRANTIES, EXPRESS,
IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS DOCUMENT.
Complying with all applicable copyright laws is the responsibility of the user. Without limiting the
rights under copyright, no part of this document may be reproduced, stored in or introduced into a
retrieval system, or transmitted in any form or by any means (electronic, mechanical, photocopying,
recording, or otherwise), or for any purpose, without the express written permission of Sirrix AG.
SIRRIX may have patents, patent applications, trademarks, copyrights, or other intellectual property
rights covering subject matter in this document. Except as expressly provided in any written license
agreement from SIRRIX, the furnishing of this document does not give you any license to these
patents, trademarks, copyrights, or other intellectual property.
TURAYA™, TrustedDisk, TrustedVPN, TrustedDesktop, TrustedWorkstation Agent and
TrustedChannel are other registered trademarks or trademarks of Sirrix AG in the Germany and/or
other countries.
Version 2.1.1 , 16.03.2015
3 TrustedDisk Benutzerhandbuch
Inhalt
1 Einführung ............................................................................................................. 4
2 Die Festplattenvollverschlüsselung ............................................................................ 6
2.1 Festplattenvollverschlüsselung ohne Token aktivieren ........................................ 6
2.2 Festplattenvollverschlüsselung mit Token aktivieren ........................................... 7
2.3 Durchführen der Verschlüsselung ..................................................................... 9
2.4 Umschlüsselung interner Partitionen ................................................................. 9
3 Die TrustedDisk GUI .............................................................................................. 10
3.1 Benutzer ........................................................................................................ 11
3.2 Besitzer .......................................................................................................... 12
3.2.1 Partition verschlüsseln ............................................................................. 13
3.2.2 Benutzer & Besitzer Management ............................................................ 13
3.2.3 Partition umschlüsseln ............................................................................. 13
3.2.4 Volume löschen ...................................................................................... 13
3.3 Management ................................................................................................. 14
4 TrustedDisk Benutzerhandbuch
1 Einführung
Sichern Sie ihre Daten vor Diebstahl! TrustedDisk hilft Ihnen dabei!
Heutige Festplatten verfügen über enorme Speicherkapazitäten, die es ermöglichen einen
Großteil sensibler Daten lokal zu speichern. Dadurch entsteht ein hohes Sicherheitsrisiko, da
besonders Notebooks aber auch mobile Speichergeräte, wie USB-Sticks oder tragbare
Festplatten, sehr schnell entwendet oder liegen gelassen werden können.
Um bei Diebstahl oder sonstigem Verlust des Notebooks bzw. mobiler Speichergeräte zu
verhindern, dass sensible Daten in fremde Hände geraten, müssen diese mit Hilfe einer
sicheren und effizienten Methode verschlüsselt werden. Die umfänglichste und damit
sicherste Methode ist die Full-Disk Encryption.
Full-Disk Encryption mit TrustedDisk
Mit der Full-Disk Encryption von TrustedDisk werden, neben den Daten, auch das komplette
Betriebssystem und sogar die temporären Dateien verschlüsselt. TrustedDisk arbeitet mit
einer transparenten Verschlüsselungsmethode in Echtzeit, die die Produktivität ihrer
Arbeitsplätze störungsfrei aufrechterhält. Wenn ein Benutzer den Rechner starten möchte,
wird er vor dem Booten nach seiner Identität gefragt (Pre-Boot-Authentication). Diese muss
er dann mit Hilfe eines Hardware- oder Software-Tokens und einer PIN bestätigen. Kann ein
(fremder) Benutzer sich nicht authentifizieren, besteht keine Möglichkeit auf den Rechner
zuzugreifen.
Device-Encryption
Das gleiche Authentifizierungsprinzip funktioniert auch beim Zugriff auf mobile
verschlüsselte Datenträger (USB-Sticks, externe Festplatten, etc.). Besonders diese sind noch
stärker von Verlust bedroht, häufig versehentlich. Auch mobile Speichergeräte enthalten
meist sensible Daten, die man zum schnellen Austausch mit sich führt. Aus diesem Grund
ist es unerlässlich, diese mobilen Daten nachhaltig zu schützen und dennoch mehreren
Benutzern den Zugriff zu gewährleisten. Mit TrustedDisk ist der einfache und sichere Einsatz
mobiler verschlüsselter Datenträger, selbst in gemischten Umgebungen, kein Problem mehr!
5 TrustedDisk Benutzerhandbuch
Hohe Sicherheit
TrustedDisk wurde auf Basis aktueller BSI-Vorgaben entwickelt. Dazu gehören eine moderne
Zufallszahlengenerierung sowie eine flexible Umschlüsselung nach Zeit und/oder
Datenmenge zur stetigen Aufrechterhaltung des hohen Sicherheitsniveaus. Das mehrstufige
Authentifizierungsverfahren mittels Software- oder Hardware-Token gewährleistet ein
hohes Sicherheitsniveau im Bereich der Standardprodukte für Festplattenverschlüsselung bei
gleichzeitig hoher Benutzerfreundlichkeit.
Erhältlich als Einzelplatz- oder Enterprise Version
TrustedDisk lässt sich einfach und schnell sowohl für Einzelarbeitsplätze als auch innerhalb
von Unternehmensnetzwerken mit gemischten Umgebungen (Windows 7 und Windows 8)
installieren und einsetzen. Bei beiden Versionen erfolgt eine Authentifizierung mittels
Hardware-Token und es lassen sich unterschiedliche Benutzerrechte einfach konfigurieren
und ändern. Die Mehrbenutzerfähigkeit ermöglicht zudem mehreren Nutzern gleichzeitig
auf verschlüsselte Speichergeräte zuzugreifen. Zusätzlich besteht die Möglichkeit, bei Bedarf
einen netzwerkweiten „Notfall"-Administrator festzulegen, der im Notfall verschlüsselte
Daten entschlüsseln kann.
Zentrales Management mit TrustedObjects Manager
Die TrustedDisk-Enterprise Version bietet darüber hinaus ein zentrales Management für
Benutzergruppen und Rollen. Mit Hilfe des zentralen Managements lassen sich auch
Updates problemlos im Unternehmensnetzwerk installieren. Die zentrale Recovery-Funktion
ermöglicht einem Benutzer bei Verlust seiner PIN die Remote-Rücksetzung der PIN.
6 TrustedDisk Benutzerhandbuch
2 Die Festplattenvollverschlüsselung
Erstellen Sie eine Datensicherung bevor Sie die Festplattenvollverschlüsselung (Full-Disk
Encryption (FDE)) durchführen!
Beachten Sie bitte, dass die Bezeichnungen Token und Smartcard in diesem Handbuch
synonym verwendet werden. Ein Token bezeichnet einen Sicherheitsstick mit integrierter
Smartcard.
2.1 Festplattenvollverschlüsselung ohne Token aktivieren
Ab Release 2.0 kann die Festplattenvollverschlüsselung automatisch und somit ohne Token
aktiviert werden. Wird eine Aktivierung der Festplattenverschlüsselung ohne Token
durchgeführt, wird für die Erzeugung des Schlüsselmaterials kein Zufall aus dem Token
verwendet. Die Aktivierung ohne Token erfolgt mit der Anwendung fdeinit.exe.
TrustedDisk FDE Initialization Tool -------------------------------------------------------------- Generic options: -h [ --help ] shows this help string -v [ --version ] shows version information Configuration options: -u [ --usercerts ] arg path to a directory containing user certificates -o [ --ownercerts ] arg path to a directory containing owner certificates -n [ --notoken ] ignore that no token is plugged in and therefore no entropy from token is collected, (optional) -r [ --restore] Restore previous system configuration. Connection to the TrustedObjects Manager necessary
Example: Fdeinit.exe -u x:\installation\TrustedDisk\usercerts –o x:\installation\TrustedDisk\ownercerts -n
7 TrustedDisk Benutzerhandbuch
Die Parameter –u –o (bzw. --usercerts und --ownercerts) sind obligatorisch, der Parameter
–n (--notoken) ist optional. Die Zertifikatsdateien können entweder als DER-kodierte Dateien
mit der Endung .der vorliegen oder im PEM-Format (Dateiendung .pem oder .crt).
Sofern der Parameter –r verwendet werden soll, müssen vorher die Schlüssel der Registry
wiederhergestellt worden sein.
Sofern eine Wiederherstellung der Workstation samt ihrer Rechte möglich sein soll, müssen
die folgenden Werte der Registry gesichert werden:
32Bit: HKEY_LOCAL_MACHINE\SOFTWARE\Sirrix AG\TrustedWorkstation Agent
64Bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Sirrix AG\TrustedWorkstation Agent
2.2 Festplattenvollverschlüsselung mit Token aktivieren
Schließen Sie Ihr Token-Lesegerät an Ihr
System an und stecken Sie das Token in das
Lesegerät.
Nachdem TrustedDisk installiert ist, folgt
die Assistent-geführte Initialisierung des
Systems. Dieser Assistent wird automatisch
gestartet, sobald sich der Benutzer an
Windows anmeldet. Folgen sie den
Anweisungen des TrustedDisk-Assistenten.
Nach einer erfolgreichen Initialisierung der
Festplattenvollverschlüsselung muss das
Betriebssystem neu gestartet werden.
Betätigen Sie dazu den „Neustart“-Button
des TrustedDisk-Assistenten.
Abbildung 1 Der Assistent der
Festplattenvollverschlüsselung
8 TrustedDisk Benutzerhandbuch
Hinweis für die Benutzung ohne zentralem Management:
Bei Verwendung der TrustedDisk-Version ohne zentrales Management erwartet der
Einrichtungsassistent ein bereits personalisiertes Token. Sollte Ihnen zu diesem Zeitpunkt
noch kein Token inkl. PIN zur Verfügung gestellt worden sein, wenden Sie sich bitte an ihren
Administrator.
Hinweis für die Benutzung mit zentralem Management:
Bei Verwendung der TrustedDisk-Version mit zentralem Management muss zunächst ein
Token mit dem Identity Manager personalisiert werden. Hierzu ist eine Anmeldung an der
Managementkomponente mittels Benutzername und Passwort notwendig. Diese besteht
normalerweise aus den Login-Daten ihrer IT-Infrastruktur, z.B. eines Active Directory- oder
LDAP-Servers.
TrustedDisk ermöglicht es, neben der Verschlüsselung der Systempartition auch weitere
Partitionen zu verschlüsseln. Wählen Sie die im Assistenten die zu verschlüsselnden
Partitionen aus. Sie können im folgenden Beispiel C:, D: und E: jedoch nicht C:\, D: und F:\
verschlüsseln.
Sie können hierbei nur
zusammenhängende Partitionen
verschlüsseln.
Bitte beachten Sie, dass nach der
Installation von TrustedDisk
unverschlüsselte Partitionen auf
internen Festplatten versteckt
werden und nicht zugreifbar
sind.
Falls das System nach dem Neustart nicht korrekt startet, liegt dieses sehr wahrscheinlich an
einem ACPI Problem.
Starten Sie das System in diesem Falle mit gedrückter Shift-Taste erneut. Es wird Ihnen ein
Boot Menü angezeigt, bei dem Sie mit den Pfeiltasten die Einträge wechseln können.
Wählen Sie in diesem Falle den Eintrag „ACPI – Mode“. Diese Einstellung wird für alle
zukünftigen Bootvorgänge verwendet.
Abbildung 2 Auswahl der Partition zur Verschlüsselung
9 TrustedDisk Benutzerhandbuch
2.3 Durchführen der Verschlüsselung
Nachdem die Festplattenvollverschlüsselung
aktiviert wurde muss das System
neugestartet werden. Hierbei wird
TrustedDisk Bootumgebung gestartet. Ist nur
ein Betriebssystem installiert gelangen Sie
direkt zur PIN-Eingabe.
Die Verschlüsselung der zuvor gewählten
Partitionen startet automatisch. Ein
Abbrechen bzw. Pausieren der
Verschlüsselung ist nicht möglich. Der Start,
die Fertigstellung und der Fortschritt der
Verschlüsselung werden in der TrayApp
angezeigt.
Sofern das System pausiert oder heruntergefahren wird, wird die Verschlüsselung beim
nächsten Start automatisch fortgesetzt.
2.4 Umschlüsselung interner Partitionen
TrustedDisk wird die Partitionen alle 180 Tage bzw. dem Schreiben von 5TB (je nachdem
was eher eintritt) umschlüsseln. Dieser Vorgang geschieht für den Anwender automatisch
und transparent im Hintergrund.
Abbildung 3 Der TrustedDisk-Bootloader
10 TrustedDisk Benutzerhandbuch
3 Die TrustedDisk GUI
Zur Benutzung von TrustedDisk wird ein Token benötigt, welches vor der Verwendung mit
TrustedDisk personalisiert worden sein muss. Bei der Personalisierung werden unter
anderem eine PIN und eine PUK festgelegt. Die PIN schützt das Token vor nicht autorisierter
Benutzung und sollte nur Ihnen bekannt sein. Mit Hilfe der automatisch erzeugten PUK
kann die PIN durch einen Administrator zurückgesetzt werden.
Im Falle des Verlustes ihrer PIN wenden Sie sich bitte an Ihren Helpdesk oder Administrator.
TrustedDisk unterscheidet grundsätzlich zwischen zwei Benutzerrollen:
1. Benutzer: Ein Benutzer kann TrustedDisk-Volumes aktivieren und deaktivieren. Des
Weiteren kann ein Volume-Benutzer sich das Ereignisprotokoll ansehen und
Zertifikate anderer Benutzer importieren und exportieren sowie lokal löschen.
2. Besitzer: Der Besitzer eines TrustedDisk-Volumes hat alle Rechte des Benutzers.
Zusätzlich kann ein Besitzer Zugriffsrechte ändern und Volumes löschen. Beim
Erzeugen eines TrustedDisk-Volumes wird der Anwender automatisch Besitzer.
Nach dem Starten der TrustedDisk-Anwendung erscheint das in Abbildung 3 abgebildete
Anwendungsfenster, mit dem Benutzer und Besitzer alle TrustedDisk-Funktionen ausführen
können. Die TrustedDisk-Benutzeroberfläche unterteilt sich in drei Bereiche: Benutzer,
Besitzer und Management.
Abbildung 4 Hauptansicht der TrustedDisk-Anwendung
11 TrustedDisk Benutzerhandbuch
Grundlegendes zur TrustedDisk GUI
Zeigt alle Informationen zur Softwareversion und Lizenzen an.
Zeigt die verwendeten Profil-Informationen, wie eingesetzte
Algorithmen zur Verschlüsselung, usw. an.
Wo verfügbar ermöglicht er zur Hauptansicht zurückzukehren
Wo verfügbar ermöglicht er eine Aktualisierung der GUI, z.B. nachdem
ein USB-Stick eingesteckt wurde.
3.1 Benutzer
Als Benutzer eines TrustedDisk-Volumes können Sie das Volume aktivieren und deaktivieren,
sowie das Ereignisprotokoll ansehen.
Abbildung 5 Funktionen für einen Volume-Benutzer
Gerät aktivieren
Hier können Sie verschlüsselte Geräte auswählen, um Sie öffnen und benutzen zu
können.
Gerät deaktivieren
Hier können Sie ein aktiviertes Gerät wieder schließen bzw. auswerfen.
Ereignisprotokoll
Zeigt alle durchgeführten Änderungen an TrustedDisk auf.
12 TrustedDisk Benutzerhandbuch
Abbildung 6 Ansicht des Ereignisprotokolls
3.2 Besitzer
Als Besitzer eines TrustedDisk-Volumes können Sie anderen Benutzern Zugriffsrechte auf
verschlüsselte Datenträger gewähren und entziehen.
Abbildung 7: Funktionen für einen Volume-Besitzer
13 TrustedDisk Benutzerhandbuch
3.2.1 Partition verschlüsseln
Hiermit können Sie ein eigenes Gerät, also z.B. einen USB Stick, verschlüsseln. Um den Stick
mit einem anderen Benutzer auszutauschen müssen die Rechte in „Benutzer und Besitzer
Management“ vergeben werden.
Es werden nur externe USB / SATA Datenträger unterstützt. Sichern Sie vorab alle wichtigen
Daten der Partition, da bei der Verschlüsselung alle Daten gelöscht werden.
Abbildung 8: Partition verschlüsseln
3.2.2 Benutzer & Besitzer Management
Hier können Sie für Geräte, die Sie selbst ursprünglich (per „Partition verschlüsseln“)
verschlüsselt haben, anderen Nutzern Zugriffsrechte einräumen. Um ein verschlüsseltes
Gerät mit anderen Benutzern auszutauschen, müssen Sie das Zertifikat des anderen
Benutzers vorher importiert haben.
3.2.3 Partition umschlüsseln
Hier kann eine bereits verschlüsselte Partition umgeschlüsselt, also mit einem neuen
Verschlüsselungsschlüssel versehen werden.
Bei der Umschlüsselung werden die symmetrischen Schlüssel, mit denen die Daten auf der
Festplatte verschlüsselt sind, ausgetauscht. Hierfür werden die Datenblöcke der Festplatte
nacheinander erst mit dem alten Schlüssel entschlüsselt und dann mit einem neuen
Schlüssel wieder verschlüsselt. Die Berechtigungen von Benutzern auf dem Datenträger
bleiben erhalten.
3.2.4 Volume löschen
Eine bereits verschlüsselte Partition wird hiermit gelöscht, d.h. alle Daten auf dem
Datenträger werden gelöscht.
14 TrustedDisk Benutzerhandbuch
3.3 Management
Jedem TrustedDisk-Benutzer ist ein Zertifikat zugeordnet. Um die Zugriffsrechte eines
Benutzers ändern zu können, muss TrustedDisk der Benutzer bekannt sein, d.h., das
Zertifikat des Benutzers muss importiert worden sein. TrustedDisk bietet Funktionen zum
Importieren, Exportieren und Löschen von Zertifikaten aus seiner Datenbank.
Abbildung 9: Funktionen zum Zertifikatmanagement
Zertifikat importieren
Importieren eines Benutzerzertifikats um ihm Rechte zur
Verwendung eines verschlüsselten USB-Sticks zu gewähren.
Zertifikat exportieren Exportieren eines Benutzerzertifikats.
Zertifikat löschen
Löschen eines bereits importierten Benutzerzertifikats.
Das Zertifikat des SecurityAdmins und ihr eigenes Zertifikat kann
dabei nicht gelöscht werden.
Bei TrustedDisk-Installationen ohne zentralem Management ist die Funktion „Zertifikat vom
Server importieren“ nicht verfügbar.
© 2014 by SIRRIX AG SECURITY TECHNOLOGIES. ALL RIGHTS ARE RESERVED.
Address: Im Stadtwald, Geb. D3 2, 66123 Saarbrücken, Germany
Phone: +49 681 95986-0 Fax: +49 681 95986-500
E-Mail: [email protected] Web: http://www.sirrix.com