TrustedDisk

Benutzerhandbuch

2 TrustedDisk Benutzerhandbuch

Copyright Notice

© 2014 by Sirrix AG security technologies. All rights reserved.

This document is for informational purposes only. SIRRIX MAKES NO WARRANTIES, EXPRESS,

IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS DOCUMENT.

Complying with all applicable copyright laws is the responsibility of the user. Without limiting the

rights under copyright, no part of this document may be reproduced, stored in or introduced into a

retrieval system, or transmitted in any form or by any means (electronic, mechanical, photocopying,

recording, or otherwise), or for any purpose, without the express written permission of Sirrix AG.

SIRRIX may have patents, patent applications, trademarks, copyrights, or other intellectual property

rights covering subject matter in this document. Except as expressly provided in any written license

agreement from SIRRIX, the furnishing of this document does not give you any license to these

patents, trademarks, copyrights, or other intellectual property.

TURAYA™, TrustedDisk, TrustedVPN, TrustedDesktop, TrustedWorkstation Agent and

TrustedChannel are other registered trademarks or trademarks of Sirrix AG in the Germany and/or

other countries.

Version 2.1.1 , 16.03.2015

3 TrustedDisk Benutzerhandbuch

Inhalt

1 Einführung ............................................................................................................. 4

2 Die Festplattenvollverschlüsselung ............................................................................ 6

2.1 Festplattenvollverschlüsselung ohne Token aktivieren ........................................ 6

2.2 Festplattenvollverschlüsselung mit Token aktivieren ........................................... 7

2.3 Durchführen der Verschlüsselung ..................................................................... 9

2.4 Umschlüsselung interner Partitionen ................................................................. 9

3 Die TrustedDisk GUI .............................................................................................. 10

3.1 Benutzer ........................................................................................................ 11

3.2 Besitzer .......................................................................................................... 12

3.2.1 Partition verschlüsseln ............................................................................. 13

3.2.2 Benutzer & Besitzer Management ............................................................ 13

3.2.3 Partition umschlüsseln ............................................................................. 13

3.2.4 Volume löschen ...................................................................................... 13

3.3 Management ................................................................................................. 14

4 TrustedDisk Benutzerhandbuch

1 Einführung

Sichern Sie ihre Daten vor Diebstahl! TrustedDisk hilft Ihnen dabei!

Heutige Festplatten verfügen über enorme Speicherkapazitäten, die es ermöglichen einen

Großteil sensibler Daten lokal zu speichern. Dadurch entsteht ein hohes Sicherheitsrisiko, da

besonders Notebooks aber auch mobile Speichergeräte, wie USB-Sticks oder tragbare

Festplatten, sehr schnell entwendet oder liegen gelassen werden können.

Um bei Diebstahl oder sonstigem Verlust des Notebooks bzw. mobiler Speichergeräte zu

verhindern, dass sensible Daten in fremde Hände geraten, müssen diese mit Hilfe einer

sicheren und effizienten Methode verschlüsselt werden. Die umfänglichste und damit

sicherste Methode ist die Full-Disk Encryption.

Full-Disk Encryption mit TrustedDisk

Mit der Full-Disk Encryption von TrustedDisk werden, neben den Daten, auch das komplette

Betriebssystem und sogar die temporären Dateien verschlüsselt. TrustedDisk arbeitet mit

einer transparenten Verschlüsselungsmethode in Echtzeit, die die Produktivität ihrer

Arbeitsplätze störungsfrei aufrechterhält. Wenn ein Benutzer den Rechner starten möchte,

wird er vor dem Booten nach seiner Identität gefragt (Pre-Boot-Authentication). Diese muss

er dann mit Hilfe eines Hardware- oder Software-Tokens und einer PIN bestätigen. Kann ein

(fremder) Benutzer sich nicht authentifizieren, besteht keine Möglichkeit auf den Rechner

zuzugreifen.

Device-Encryption

Das gleiche Authentifizierungsprinzip funktioniert auch beim Zugriff auf mobile

verschlüsselte Datenträger (USB-Sticks, externe Festplatten, etc.). Besonders diese sind noch

stärker von Verlust bedroht, häufig versehentlich. Auch mobile Speichergeräte enthalten

meist sensible Daten, die man zum schnellen Austausch mit sich führt. Aus diesem Grund

ist es unerlässlich, diese mobilen Daten nachhaltig zu schützen und dennoch mehreren

Benutzern den Zugriff zu gewährleisten. Mit TrustedDisk ist der einfache und sichere Einsatz

mobiler verschlüsselter Datenträger, selbst in gemischten Umgebungen, kein Problem mehr!

5 TrustedDisk Benutzerhandbuch

Hohe Sicherheit

TrustedDisk wurde auf Basis aktueller BSI-Vorgaben entwickelt. Dazu gehören eine moderne

Zufallszahlengenerierung sowie eine flexible Umschlüsselung nach Zeit und/oder

Datenmenge zur stetigen Aufrechterhaltung des hohen Sicherheitsniveaus. Das mehrstufige

Authentifizierungsverfahren mittels Software- oder Hardware-Token gewährleistet ein

hohes Sicherheitsniveau im Bereich der Standardprodukte für Festplattenverschlüsselung bei

gleichzeitig hoher Benutzerfreundlichkeit.

Erhältlich als Einzelplatz- oder Enterprise Version

TrustedDisk lässt sich einfach und schnell sowohl für Einzelarbeitsplätze als auch innerhalb

von Unternehmensnetzwerken mit gemischten Umgebungen (Windows 7 und Windows 8)

installieren und einsetzen. Bei beiden Versionen erfolgt eine Authentifizierung mittels

Hardware-Token und es lassen sich unterschiedliche Benutzerrechte einfach konfigurieren

und ändern. Die Mehrbenutzerfähigkeit ermöglicht zudem mehreren Nutzern gleichzeitig

auf verschlüsselte Speichergeräte zuzugreifen. Zusätzlich besteht die Möglichkeit, bei Bedarf

einen netzwerkweiten „Notfall"-Administrator festzulegen, der im Notfall verschlüsselte

Daten entschlüsseln kann.

Zentrales Management mit TrustedObjects Manager

Die TrustedDisk-Enterprise Version bietet darüber hinaus ein zentrales Management für

Benutzergruppen und Rollen. Mit Hilfe des zentralen Managements lassen sich auch

Updates problemlos im Unternehmensnetzwerk installieren. Die zentrale Recovery-Funktion

ermöglicht einem Benutzer bei Verlust seiner PIN die Remote-Rücksetzung der PIN.

6 TrustedDisk Benutzerhandbuch

2 Die Festplattenvollverschlüsselung

Erstellen Sie eine Datensicherung bevor Sie die Festplattenvollverschlüsselung (Full-Disk

Encryption (FDE)) durchführen!

Beachten Sie bitte, dass die Bezeichnungen Token und Smartcard in diesem Handbuch

synonym verwendet werden. Ein Token bezeichnet einen Sicherheitsstick mit integrierter

Smartcard.

2.1 Festplattenvollverschlüsselung ohne Token aktivieren

Ab Release 2.0 kann die Festplattenvollverschlüsselung automatisch und somit ohne Token

aktiviert werden. Wird eine Aktivierung der Festplattenverschlüsselung ohne Token

durchgeführt, wird für die Erzeugung des Schlüsselmaterials kein Zufall aus dem Token

verwendet. Die Aktivierung ohne Token erfolgt mit der Anwendung fdeinit.exe.

TrustedDisk FDE Initialization Tool -------------------------------------------------------------- Generic options: -h [ --help ] shows this help string -v [ --version ] shows version information Configuration options: -u [ --usercerts ] arg path to a directory containing user certificates -o [ --ownercerts ] arg path to a directory containing owner certificates -n [ --notoken ] ignore that no token is plugged in and therefore no entropy from token is collected, (optional) -r [ --restore] Restore previous system configuration. Connection to the TrustedObjects Manager necessary

Example: Fdeinit.exe -u x:\installation\TrustedDisk\usercerts –o x:\installation\TrustedDisk\ownercerts -n

7 TrustedDisk Benutzerhandbuch

Die Parameter –u –o (bzw. --usercerts und --ownercerts) sind obligatorisch, der Parameter

–n (--notoken) ist optional. Die Zertifikatsdateien können entweder als DER-kodierte Dateien

mit der Endung .der vorliegen oder im PEM-Format (Dateiendung .pem oder .crt).

Sofern der Parameter –r verwendet werden soll, müssen vorher die Schlüssel der Registry

wiederhergestellt worden sein.

Sofern eine Wiederherstellung der Workstation samt ihrer Rechte möglich sein soll, müssen

die folgenden Werte der Registry gesichert werden:

32Bit: HKEY_LOCAL_MACHINE\SOFTWARE\Sirrix AG\TrustedWorkstation Agent

64Bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Sirrix AG\TrustedWorkstation Agent

2.2 Festplattenvollverschlüsselung mit Token aktivieren

Schließen Sie Ihr Token-Lesegerät an Ihr

System an und stecken Sie das Token in das

Lesegerät.

Nachdem TrustedDisk installiert ist, folgt

die Assistent-geführte Initialisierung des

Systems. Dieser Assistent wird automatisch

gestartet, sobald sich der Benutzer an

Windows anmeldet. Folgen sie den

Anweisungen des TrustedDisk-Assistenten.

Nach einer erfolgreichen Initialisierung der

Festplattenvollverschlüsselung muss das

Betriebssystem neu gestartet werden.

Betätigen Sie dazu den „Neustart“-Button

des TrustedDisk-Assistenten.

Abbildung 1 Der Assistent der

Festplattenvollverschlüsselung

8 TrustedDisk Benutzerhandbuch

Hinweis für die Benutzung ohne zentralem Management:

Bei Verwendung der TrustedDisk-Version ohne zentrales Management erwartet der

Einrichtungsassistent ein bereits personalisiertes Token. Sollte Ihnen zu diesem Zeitpunkt

noch kein Token inkl. PIN zur Verfügung gestellt worden sein, wenden Sie sich bitte an ihren

Administrator.

Hinweis für die Benutzung mit zentralem Management:

Bei Verwendung der TrustedDisk-Version mit zentralem Management muss zunächst ein

Token mit dem Identity Manager personalisiert werden. Hierzu ist eine Anmeldung an der

Managementkomponente mittels Benutzername und Passwort notwendig. Diese besteht

normalerweise aus den Login-Daten ihrer IT-Infrastruktur, z.B. eines Active Directory- oder

LDAP-Servers.

TrustedDisk ermöglicht es, neben der Verschlüsselung der Systempartition auch weitere

Partitionen zu verschlüsseln. Wählen Sie die im Assistenten die zu verschlüsselnden

Partitionen aus. Sie können im folgenden Beispiel C:, D: und E: jedoch nicht C:\, D: und F:\

verschlüsseln.

Sie können hierbei nur

zusammenhängende Partitionen

verschlüsseln.

Bitte beachten Sie, dass nach der

Installation von TrustedDisk

unverschlüsselte Partitionen auf

internen Festplatten versteckt

werden und nicht zugreifbar

sind.

Falls das System nach dem Neustart nicht korrekt startet, liegt dieses sehr wahrscheinlich an

einem ACPI Problem.

Starten Sie das System in diesem Falle mit gedrückter Shift-Taste erneut. Es wird Ihnen ein

Boot Menü angezeigt, bei dem Sie mit den Pfeiltasten die Einträge wechseln können.

Wählen Sie in diesem Falle den Eintrag „ACPI – Mode“. Diese Einstellung wird für alle

zukünftigen Bootvorgänge verwendet.

Abbildung 2 Auswahl der Partition zur Verschlüsselung

9 TrustedDisk Benutzerhandbuch

2.3 Durchführen der Verschlüsselung

Nachdem die Festplattenvollverschlüsselung

aktiviert wurde muss das System

neugestartet werden. Hierbei wird

TrustedDisk Bootumgebung gestartet. Ist nur

ein Betriebssystem installiert gelangen Sie

direkt zur PIN-Eingabe.

Die Verschlüsselung der zuvor gewählten

Partitionen startet automatisch. Ein

Abbrechen bzw. Pausieren der

Verschlüsselung ist nicht möglich. Der Start,

die Fertigstellung und der Fortschritt der

Verschlüsselung werden in der TrayApp

angezeigt.

Sofern das System pausiert oder heruntergefahren wird, wird die Verschlüsselung beim

nächsten Start automatisch fortgesetzt.

2.4 Umschlüsselung interner Partitionen

TrustedDisk wird die Partitionen alle 180 Tage bzw. dem Schreiben von 5TB (je nachdem

was eher eintritt) umschlüsseln. Dieser Vorgang geschieht für den Anwender automatisch

und transparent im Hintergrund.

Abbildung 3 Der TrustedDisk-Bootloader

10 TrustedDisk Benutzerhandbuch

3 Die TrustedDisk GUI

Zur Benutzung von TrustedDisk wird ein Token benötigt, welches vor der Verwendung mit

TrustedDisk personalisiert worden sein muss. Bei der Personalisierung werden unter

anderem eine PIN und eine PUK festgelegt. Die PIN schützt das Token vor nicht autorisierter

Benutzung und sollte nur Ihnen bekannt sein. Mit Hilfe der automatisch erzeugten PUK

kann die PIN durch einen Administrator zurückgesetzt werden.

Im Falle des Verlustes ihrer PIN wenden Sie sich bitte an Ihren Helpdesk oder Administrator.

TrustedDisk unterscheidet grundsätzlich zwischen zwei Benutzerrollen:

1. Benutzer: Ein Benutzer kann TrustedDisk-Volumes aktivieren und deaktivieren. Des

Weiteren kann ein Volume-Benutzer sich das Ereignisprotokoll ansehen und

Zertifikate anderer Benutzer importieren und exportieren sowie lokal löschen.

2. Besitzer: Der Besitzer eines TrustedDisk-Volumes hat alle Rechte des Benutzers.

Zusätzlich kann ein Besitzer Zugriffsrechte ändern und Volumes löschen. Beim

Erzeugen eines TrustedDisk-Volumes wird der Anwender automatisch Besitzer.

Nach dem Starten der TrustedDisk-Anwendung erscheint das in Abbildung 3 abgebildete

Anwendungsfenster, mit dem Benutzer und Besitzer alle TrustedDisk-Funktionen ausführen

können. Die TrustedDisk-Benutzeroberfläche unterteilt sich in drei Bereiche: Benutzer,

Besitzer und Management.

Abbildung 4 Hauptansicht der TrustedDisk-Anwendung

11 TrustedDisk Benutzerhandbuch

Grundlegendes zur TrustedDisk GUI

Zeigt alle Informationen zur Softwareversion und Lizenzen an.

Zeigt die verwendeten Profil-Informationen, wie eingesetzte

Algorithmen zur Verschlüsselung, usw. an.

Wo verfügbar ermöglicht er zur Hauptansicht zurückzukehren

Wo verfügbar ermöglicht er eine Aktualisierung der GUI, z.B. nachdem

ein USB-Stick eingesteckt wurde.

3.1 Benutzer

Als Benutzer eines TrustedDisk-Volumes können Sie das Volume aktivieren und deaktivieren,

sowie das Ereignisprotokoll ansehen.

Abbildung 5 Funktionen für einen Volume-Benutzer

Gerät aktivieren

Hier können Sie verschlüsselte Geräte auswählen, um Sie öffnen und benutzen zu

können.

Gerät deaktivieren

Hier können Sie ein aktiviertes Gerät wieder schließen bzw. auswerfen.

Ereignisprotokoll

Zeigt alle durchgeführten Änderungen an TrustedDisk auf.

12 TrustedDisk Benutzerhandbuch

Abbildung 6 Ansicht des Ereignisprotokolls

3.2 Besitzer

Als Besitzer eines TrustedDisk-Volumes können Sie anderen Benutzern Zugriffsrechte auf

verschlüsselte Datenträger gewähren und entziehen.

Abbildung 7: Funktionen für einen Volume-Besitzer

13 TrustedDisk Benutzerhandbuch

3.2.1 Partition verschlüsseln

Hiermit können Sie ein eigenes Gerät, also z.B. einen USB Stick, verschlüsseln. Um den Stick

mit einem anderen Benutzer auszutauschen müssen die Rechte in „Benutzer und Besitzer

Management“ vergeben werden.

Es werden nur externe USB / SATA Datenträger unterstützt. Sichern Sie vorab alle wichtigen

Daten der Partition, da bei der Verschlüsselung alle Daten gelöscht werden.

Abbildung 8: Partition verschlüsseln

3.2.2 Benutzer & Besitzer Management

Hier können Sie für Geräte, die Sie selbst ursprünglich (per „Partition verschlüsseln“)

verschlüsselt haben, anderen Nutzern Zugriffsrechte einräumen. Um ein verschlüsseltes

Gerät mit anderen Benutzern auszutauschen, müssen Sie das Zertifikat des anderen

Benutzers vorher importiert haben.

3.2.3 Partition umschlüsseln

Hier kann eine bereits verschlüsselte Partition umgeschlüsselt, also mit einem neuen

Verschlüsselungsschlüssel versehen werden.

Bei der Umschlüsselung werden die symmetrischen Schlüssel, mit denen die Daten auf der

Festplatte verschlüsselt sind, ausgetauscht. Hierfür werden die Datenblöcke der Festplatte

nacheinander erst mit dem alten Schlüssel entschlüsselt und dann mit einem neuen

Schlüssel wieder verschlüsselt. Die Berechtigungen von Benutzern auf dem Datenträger

bleiben erhalten.

3.2.4 Volume löschen

Eine bereits verschlüsselte Partition wird hiermit gelöscht, d.h. alle Daten auf dem

Datenträger werden gelöscht.

14 TrustedDisk Benutzerhandbuch

3.3 Management

Jedem TrustedDisk-Benutzer ist ein Zertifikat zugeordnet. Um die Zugriffsrechte eines

Benutzers ändern zu können, muss TrustedDisk der Benutzer bekannt sein, d.h., das

Zertifikat des Benutzers muss importiert worden sein. TrustedDisk bietet Funktionen zum

Importieren, Exportieren und Löschen von Zertifikaten aus seiner Datenbank.

Abbildung 9: Funktionen zum Zertifikatmanagement

Zertifikat importieren

Importieren eines Benutzerzertifikats um ihm Rechte zur

Verwendung eines verschlüsselten USB-Sticks zu gewähren.

Zertifikat exportieren Exportieren eines Benutzerzertifikats.

Zertifikat löschen

Löschen eines bereits importierten Benutzerzertifikats.

Das Zertifikat des SecurityAdmins und ihr eigenes Zertifikat kann

dabei nicht gelöscht werden.

Bei TrustedDisk-Installationen ohne zentralem Management ist die Funktion „Zertifikat vom

Server importieren“ nicht verfügbar.

© 2014 by SIRRIX AG SECURITY TECHNOLOGIES. ALL RIGHTS ARE RESERVED.

Address: Im Stadtwald, Geb. D3 2, 66123 Saarbrücken, Germany

Phone: +49 681 95986-0 Fax: +49 681 95986-500

E-Mail: info@sirrix.com Web: http://www.sirrix.com