Policy-Dateien und standardmäßige Verschlüsselungsschlüssel in Dell Encryption
Summary: Im Folgenden finden Sie Policies, die Nutzer in der Regel an die jeweilige Netzwerkumgebung anpassen.
Symptoms
Betroffene Produkte:
- Dell Security Management Server
- Dell Data Protection | Enterprise Edition
- Dell Security Management Server Virtual
- Dell Data Protection | Virtual Edition
- Dell Encryption Personal
- Dell Data Protection | Personal Edition
Die Policy steuert den Sicherheitsstatus von Clients, auf denen Dell Encryption (ehemals Dell Data Protection | Verschlüsselung). Die Policy beschreibt nicht nur, welche Daten geschützt und verschlüsselt werden sollen, sondern enthält auch Einstellungen, um zu definieren, welcher Schlüsseltyp zum Schutz der Daten verwendet wird.
Cause
Nicht zutreffend
Resolution
Die Policy bestimmt die Teilmenge der Nutzer, die auf verschlüsselte Daten auf festem Storage (interne Festplatten) und Wechselmedien zugreifen können, indem der Schlüsseltyp definiert wird, der zum Verschlüsseln von Daten verwendet wird. Die verfügbaren Schlüsseltypen sind unten aufgeführt.
SDE-Schlüssel (System Data Encryption): Mit einem SDE-Schlüssel verschlüsselte Daten sind für jeden zugänglich, der Zugriff auf den Computer hat, einschließlich lokaler Konten. SDE-Schlüssel werden zum Startzeitpunkt basierend auf den Systemmessungen entsperrt und werden in der Regel verwendet, um Betriebssystem- und Programmdateien zu verschlüsseln, damit sie dem Computer und den Anwendungen so schnell wie möglich zur Verfügung stehen.
SDUSER-Schlüssel (System Data Encryption User): Mit einem SDUSER-Schlüssel verschlüsselte Daten werden mit demselben SDE-Schlüssel verschlüsselt wie mit SDE verschlüsselte Daten. Der Unterschied zwischen den beiden Schlüsseln besteht darin, dass zusätzlich zu den Anforderungen zum Entsperren des SDE-Schlüssels ein verwalteter Nutzer am Computer angemeldet sein muss, damit auf die Daten zugegriffen werden kann.
Gemeinsamer Verschlüsselungsschlüssel : Daten, die mit einem gemeinsamen Verschlüsselungsschlüssel verschlüsselt sind, sind für alle Personen zugänglich, die über eine verwaltete Anmeldung am Computer verfügen. Allgemeine Verschlüsselungsschlüssel werden entsperrt, wenn sich verwaltete NutzerInnen am Computer anmelden und die Software ihre Identität überprüft. Gemeinsame Verschlüsselungsschlüssel sind für jeden Computer eindeutig.
Nutzerverschlüsselungsschlüssel : Mit einem Nutzerverschlüsselungsschlüssel verschlüsselte Daten sind nur für den bestimmten Nutzer zugänglich, dem der Nutzerverschlüsselungsschlüssel zugewiesen ist. Nutzerverschlüsselungsschlüssel werden entsperrt, wenn sich ein verwalteter Nutzer am Computer anmeldet und die Software seine Identität überprüft. Nutzerverschlüsselungsschlüssel sind für jeden Nutzer auf einem bestimmten Gerät eindeutig. Auf diese Daten kann weiterhin mithilfe von Wiederherstellungsmethoden zugegriffen werden, die für forensische Administratoren verfügbar sind. Nur dieser Nutzer und forensische Administratoren haben Zugriff auf diese Daten.
Nutzer-Roaming-Verschlüsselungsschlüssel : Wie Daten, die mit einem Nutzerverschlüsselungsschlüssel verschlüsselt werden, sind auch Daten, die mit einem Nutzer-Roaming-Verschlüsselungsschlüssel verschlüsselt sind, nur für den spezifischen Nutzer zugänglich, dem der Roaming-Verschlüsselungsschlüssel zugewiesen ist. Im Gegensatz zu Nutzerverschlüsselungsschlüsseln, die einem bestimmten Nutzer auf einem bestimmten Computer zugewiesen werden, werden Nutzer-Roaming-Verschlüsselungsschlüssel einem bestimmten Nutzer zugewiesen und im gesamten Unternehmensbereich verwendet. Nutzer-Roaming-Verschlüsselungsschlüssel sollten immer für die Verschlüsselung von Wechselmedien verwendet werden.
Das folgende Diagramm zeigt den Standardschlüssel und den Verschlüsselungsalgorithmus, die in häufig geänderten Richtlinien konfiguriert sind.
| Policy | Schlüssel (Common; Benutzer; Nutzer-Roaming) (SDE) | Wo ist die Policy festgelegt? | Algorithmus |
|---|---|---|---|
| Verschlüsselung von Nutzerprofildokumenten | Nutzer
Hinweis: Wenn die Policy-basierte Verschlüsselung deaktiviert ist, wird der SDUSER-Schlüssel verwendet.
|
Nutzerdaten-Verschlüsselungsschlüssel Zulässige Werte
|
AES256 |
| Verschlüsselung persönlicher Outlook-Ordner | Nutzer | Nutzerdaten-Verschlüsselungsschlüssel Zulässige Werte
|
AES256 |
| Verschlüsselung temporärer Dateien | Nutzer | Nutzerdaten-Verschlüsselungsschlüssel Zulässige Werte
|
AES256 |
| Verschlüsselung temporärer Internetdateien | Nutzer | Nutzerdaten-Verschlüsselungsschlüssel Zulässige Werte
|
AES256 |
| Verschlüsseln der Windows-Auslagerungsdatei | Jedes Mal, wenn das Shield initialisiert wird, wird ein einmaliger 128-Bit-Schlüssel erzeugt. | N. z. | AES256 |
| Sichere Windows-Zugangsdaten | Systemdatenverschlüsselung (SDE) | N. z. | AES256 |
| Sichere Windows-Ruhezustandsdatei | Systemdatenverschlüsselung (SDE) | N. z. | AES256 |
Wenn Sie das Shield zum Verschlüsseln ganzer Festplattenpartitionen verwenden, wird empfohlen, den SDE-Verschlüsselungsschlüssel zu verwenden. Dadurch wird sichergestellt, dass alle verschlüsselten Betriebssystemdateien während der Status zugänglich sind, in denen ein verwalteter Nutzer nicht angemeldet ist.
Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.