Full Disk Encryption FAQs - Technical Support

 

PreSales-FAQs finden Sie hier. 
Eine Definition, Anleitung und Beschreibung zu FDE erhalten Sie hier.

Klicken Sie auf einen der folgenden Links, um zur entsprechenden Antwort zu gelangen.

 

Kann ich für FDE-Festplatten ein standardisiertes Image verwenden und gleichzeitig die Verschlüsselungseigenschaften beibehalten?
Ein Standard-Image mit den Setup-Komponenten für eine Seagate Secure-Softwareanwendung Ihrer Wahl (nicht initialisiert) sollte schnell nutzbar sein. Bei der Zuweisung des Systems kann die Seagate Secure-Initialisierung je nach Unternehmensrichtlinien von der IT-Abteilung oder vom jeweiligen Benutzer ausgeführt werden. Durch die Initialisierung werden Kennwörter und Schlüssel zur Datenverschlüsselung festgelegt. Sie können für jedes System verschieden sein. Die Initialisierung dauert ein paar Minuten und erfolgt über die mit Seagate Secure-kompatible Software in Windows. Die Software für die Authentifizierung (Kennwortabfrage) vor dem Bootvorgang befindet sich auf einem speziellen, 130 MB großen Speicherbereich, auf den Imaging-Tools nicht zugreifen können.

Im ATA Security-Modus funktioniert das wie bei einer Standardfestplatte. Die Verschlüsselungseigenschaften bleiben dabei erhalten.

Kann ich FDE-Festplatten für Dual- oder Triple-Boot-Systeme nutzen?
Unabhängig davon, ob herkömmliche ATA Security- oder Seagate Secure-Kennwörter verwendet werden, bootet ein funktionierendes FDE-System sofort zu einem Bildschirm für die Kennworteingabe. Bei erfolgreicher Eingabe wird das Laufwerk auf die normale Kapazität zurückgesetzt und bootet zum darauf gespeicherten Betriebssystem.

Bestimmte FDE-Software kann Single Sign-on für Windows XP oder Vista aktivieren. Zurzeit ist mit Seagate Secure kompatible Setup- und Konfigurationssoftware nur für Windows Vista und XP erhältlich. Die Setup-Software ermöglicht die Sicherung von Benutzername, Kennwort und Domäne in einer Datei und auf Offline-Datenträgern. Diese Sicherungsdateien können auch kennwortgeschützt und von der Software verschlüsselt gespeichert werden. Einige Software-Provider bieten Unternehmenslösungen, die Kennwortverwaltung und Auditkontrolle ermöglichen.

Können einige FDE-Anmeldekonten standardmäßig mit Active Directory verknüpft werden oder erfordert dies eine Partnerlösung?
Die Spezifikationen von Seagate Secure machen für Active Directory keine Standardzuweisungen. Jedoch bieten einige unserer Softwarepartner diese Möglichkeit für deren Lösungen. So können für Active Directory entweder alle der acht möglichen Kombinationen aus Benutzername/Kennwort oder nur eine unterstützt werden. Diese Funktion wäre spezifisch für den jeweiligen Software-Anbieter.

Können Änderungen am System (z. B. Erstellen neuer Partitionen usw.) nach Installation der Seagate Secure-Funktion vorgenommen werden?
Ja. Die Kennwortabfrage findet bei einem Kaltstart statt. Alle weiteren, darauffolgenden Warmstarts erfordern keine Eingabe des Kennworts. Solange ein Abschalten des Systems die jeweiligen Vorgänge nicht unterbricht, wären die Schritte gleich.

Als Experiment haben wir alle Partitionen auf einem XP-Laufwerk gelöscht und nur die Pre-Boot-Umgebung auf der Festplatte gelassen. Um Windows XP neu zu laden, starteten wir das System ohne CD und gaben vor dem Startvorgang das Kennwort ein. XP hielt an, da im MBR nichts enthalten war. Zu diesem Zeitpunkt legten wir die XP-Setup-CD in das Laufwerk ein und führten einen Warmstart sowie eine typische XP-Installation durch. Im Falle eines Kaltstarts wurde die Kennwortabfrage aktiviert; anschließend startete Windows.  
In diesem Beispiel und immer, wenn Daten aus dem Bereich des Betriebssystems entfernt werden, müssen die Benutzerinformationen der Seagate Secure-Drittanbieter-Software bereitgehalten werden. Für die Kennwortverwaltung des FDE-Laufwerks muss diese Software zu einem bestimmten Zeitpunkt erneut auf das Laufwerk geschrieben werden. Für diese Aufgabe können je nach Software unterschiedliche Schritte erforderlich sein.

Als weitere Option kann die Kennwortabfrage vor dem Startvorgang in der Konfigurationssoftware deaktiviert werden. In der Konfigurationssoftware sollte eine weitere Kennwortabfrage erfolgen, bevor die Änderungen vorgenommen werden. Diese Funktionen sind spezifisch für den jeweiligen Software-Anbieter.

Unterstützt das FDE-System „Multi-Boot“ und die Installation mehrerer Betriebssysteme?
Ja. Die standardmäßige ATA Security und die Authentifizierung des FDE-Laufwerks vor dem Startvorgang hängen nicht vom Betriebssystem ab, das nach der Eingabe des Kennworts gestartet wird. Zurzeit gibt es allerdings nur Windows-Software für die Installation der Seagate Secure Pre-Boot-Umgebung. Ist diese eingerichtet, können andere Betriebssysteme installiert werden.

Zur Kompatibilität wäre aber noch eine Bemerkung wichtig. Den Übergang von der geringen Pre-Boot- zur vollständigen Kapazität muss das System-BIOS automatisch erkennen. Einige ältere SATA-Notebooks erkannten die neue Kapazität allerdings nicht.

Kommen FDE-Festplatten mit Virenschutzsoftware zurecht?
Da das FDE.2-Laufwerk eigene Hardware zur Datenverschlüsselung einsetzt, ist die Verschlüsselung für den Computer sowie jegliches Betriebssystem oder Software unsichtbar. Deshalb wird Virenschutz- und ähnliche Software wie gewohnt ausgeführt, ohne dass sie von der Verschlüsselungsfunktion des Laufwerks Notiz nimmt. Die Trennung vom Betriebssystem ist einer der bedeutendsten Unterschiede zwischen Hardware- und Software-Verschlüsselungslösungen.

Wie verhalten sich FDE-Festplatten bei Updates von Betriebssystemen?
Die strenge, von uns empfohlene Kennwort-Authentifizierung vor dem Startvorgang wird nur bei einem „Kaltstart“ ausgeführt. Dieser trifft nur auf ein ausgeschaltetes oder sich im Ruhezustand befindliches System zu. In diesen Fällen müssen Sie zum Betrieb der Festplatte ein Kennwort eingeben. Wenn sich die Festplatte aber bereits im Betrieb befindet und der Computer nur neu gestartet wird, wie das normalerweise bei Updates von Betriebssystemen der Fall ist, booten Laufwerk und System ganz normal, ohne dass ein Kennwort erforderlich wäre.

Wie funktionieren FDE-Festplatten im Ruhezustand von Windows?
Der Windows Ruhezustand (S4) erfordert einen Kaltstart und erzwingt die Kennwort-Authentifizierung für jedes Kennwort auf Laufwerksebene. Für andere Energiesparmodi, bei denen das Laufwerk weiterhin mit Strom versorgt wird, ist dies nicht erforderlich.

Der Standbymodus (S3) von Windows wird unter Umständen nicht von Seagate Secure-Drittanbieter-Software unterstützt. Informationen zur Kompatibilität mit dem Standbymodus erhalten Sie beim jeweiligen Softwareanbieter. Wird Standby (S3) nicht unterstützt, erzwingt die Software den Ruhezustand (S4).

Wie kann ich ein FDE-Laufwerk sichern?
Anders als bei Softwareverschlüsselung besteht für FDE-Laufwerken keine Möglichkeit, Daten im ursprünglichen, verschlüsselten Zustand zu lesen. Die Daten durchlaufen bei allen Lese- und Schreibvorgängen die Verschlüsselungsengine des Laufwerks. Außerdem lassen sich die Ver- und Entschlüsselungsvorgänge bei FDE-Festplatten von Seagate nicht deaktivieren. Deshalb sind allen Daten, die zu Sicherungszwecken gelesen werden – selbst bei Backups von Speicherabbildern – bereits unverschlüsselt, wenn sie auf dem Sicherungsmedium gespeichert werden. Allgemeine Sicherungssoftware und externe Backup-Unternehmen unterstützen Festplatten mit FDE-Technologie.

Wie kann ich ein verlorenes Kennwort wiedererlangen oder die Schlüssel von FDE-Festplatten sichern?
Die Drittanbieter-Software zur Verwaltung der Seagate Secure FDE-Kennwörter wird über Sicherungsoptionen für Kennwörter und Notfall-Bootverfahren verfügen. Einzelheiten dazu können am besten von den einzelnen Softwareherstellern beschrieben werden.

Die Spezifikationen ermöglichen eine Schlüsselverwaltung. Informationen zur Verfügbarkeit von Sicherungs- und Wiederherstellungsoptionen für den Schlüssel erhalten Sie beim jeweiligen Softwarehersteller. Ähnlich gibt es für die meisten Softwareangebote einen Befehl zum Erzeugen eines neuen Schlüssels. Dadurch werden die auf dem Laufwerk gespeicherten Daten unbrauchbar. Diese Funktion wird auch als kryptografischer Löschvorgang bezeichnet.

Wie kann ich ein FDE-Laufwerk konfigurieren?
Jedes FDE-Laufwerk von Seagate verschlüsselt alle Daten zu jeder Zeit – und das schon direkt nach dem Auspacken. Jede Festplatte verfügt zur Verschlüsselung von Daten über einen einmaligen Schlüssel. Demzufolge speichern mehrere FDE-Laufwerke, wenn sie mit denselben Daten beschreiben werden, eigene, ganz spezielle Datenmuster auf dem Datenträger. Dieser Verschlüsselungsvorgang ist für den Benutzer und das Betriebssystem nicht zu erkennen. Deshalb verhält sich ein FDE-Laufwerk ohne Kennwörter zur Zugriffskontrolle wie eine gewöhnliche Festplatte. Erst durch die Kennwortaktivierung mithilfe von ATA Security oder der umfassenderen Seagate Secure-Funktion wird das Laufwerk vor unberechtigtem Zugriff geschützt.

Eine neue FDE-Festplatte lädt das Betriebssystem und alle anderen Anwendungen wie ein Laufwerk ohne FDE-Technologie. Die Drittanbieter-Software zur Verwaltung von FDE-Festplatten, die die Seagate Secure-Kennwortkontrolle aktiviert, wird erst nach der erstmaligen Installation von Betriebssystem und Anwendungen geladen. Anstelle von Drittanbieter-Software können herkömmliche ATA Security-Kennwörter zum Schutz des Laufwerks vor unberechtigtem Zugriff eingesetzt werden.

Wenn der Benutzer zur Aktivierung der Kennwort-Authentifizierung bereit ist, kontrolliert die Verwaltungssoftware für das FDE-Laufwerk den Zugriff auf die gespeicherten Daten. Alle Empfehlungen zur Kennwortsicherung sollten genau befolgt werden, um für den Notfall Sicherungsdatenträger zu erstellen. Seagate stellt für FDE-Laufwerke, deren Kennwörter verloren gegangen sind, keine Wiederherstellungsdienste bereit.

Was passiert, wenn das Kennwort für eine FDE-Festplatte vergessen oder verloren wurde?
Die Drittanbieter-Software zur Kennwortverwaltung von FDE-Laufwerken verfügt über eine Option zum Erstellen von Boot-Disketten und Sicherungsdateien für das Kennwort, falls dieses vergessen wurde oder verloren gegangen ist. Je nach Softwareanbieter können die Notfallwerkzeuge auf einfachen Disketten, USB-Flashlaufwerken oder selbst in unternehmensweiten, von IT-Managern kontrollierten Datenbanken zur Hardware-Verwaltung gespeichert werden.

Sobald FDE-Kennwörter zum Sperren des Laufwerks verwendet werden, ermöglicht nur eines dieser Kennwörter den Zugriff auf die Festplatte. Für FDE-Laufwerke gibt es keine „Hintertür“. Wenn die Kennwörter verloren gegangen sind und auch keine Sicherungskopien zur Verfügung stehen, kann auf das Laufwerk und die darauf gespeicherten Daten nicht mehr zugegriffen werden. Deshalb sollten alle Optionen und Empfehlungen zur Kennwortsicherung genau befolgt und Sicherungskopien erstellt werden. Seagate stellt für FDE-Festplatten, deren Kennwörter verloren gegangen sind, keine Wiederherstellungsdienste bereit.

FDE-Laufwerke für Laptops erfordern zum Zurücksetzen der Schlüssel ein Kennwort – dies wird auch als kryptografischer Löschvorgang bezeichnet. Der externe USB-Speicher Seagate BlackArmor (mit FDE-Festplatten) bietet die Möglichkeit, einen kryptografischen Löschvorgang mithilfe eines speziellen Master-ID-Kennworts durchzuführen.

Was passiert beim kryptografischen Löschvorgang von FDE-Festplatten?
Jedes FDE-Laufwerk verfügt über einen speziellen Schlüssel, mit dem Daten beim Speichern auf den Datenträger in Echtzeit verarbeitet werden. Bei gleichbleibenden Ursprungsdaten speichert jedes FDE-Laufwerk ein unterschiedliches Bitmuster auf den Datenträger, wohingegen Festplatten ohne FDE-Funktion dieselben Bitmuster abspeichern. Mit demselben Schlüssel werden die Daten auch entschlüsselt. Wird dieser Schlüssel auf irgendeine Weise verändert, werden alle Daten auf dem Laufwerk unbrauchbar. Die einzige Möglichkeit, die Daten wieder lesbar zu machen, ist dann die Wiederherstellung des ursprünglichen Schlüssels.

Häufig werden Festplatten für neue Systeme oder Benutzer wiederverwendet. Festplatten mit sensiblen oder vertraulichen Daten werden durch Überschreiben des gesamten Datenträgers gelöscht. Ein gründlicher Löschvorgang kann Stunden dauern. FDE-Laufwerke verfügen über eine einzigartige Funktion, mit der alle Daten durch Änderung des Schlüssels sofort unleserlich gemacht werden können. Eine Änderung des Schlüssels zur Datenverschlüsselung erfordert für FDE-Festplatten Software von Drittanbietern. Wird der Schlüssel eines Laufwerks absichtlich geändert, um die Daten unbrauchbar zu machen, wird dies als kryptografischer Löschvorgang bezeichnet.

Zum Ändern des Schlüssels von FDE-Laufwerken ist Drittanbieter-Software erforderlich. Manche Hersteller sicherer Laptops statten auch das System-BIOS mit FDE-Optionen aus. Einige planen das Angebot von sicheren Löschfunktionen über das BIOS (eine schnelle Änderung des kryptografischen Schlüssels). Das Laufwerk unterstützt dies.

Funktionieren Klonwerkzeuge wie Ghost mit FDE-Festplatten?
Ja, Sie können entweder die Kennwortabfrage deaktivieren oder einen Warmstart zur Klonsoftware-CD nach der Seagate Secure-Kennwortabfrage durchführen. Wird zur CD als erstes nach einem Kaltstart gebootet, könnte nur der Pre-Boot-Bereich von 130 MB für die Software vor dem Startvorgang geklont werden. Da sich dieser Bereich außerhalb der normalen Sektoren befindet, kann er nicht auf ein weiteres FDE-Laufwerk geschrieben werden.





Bitte bewerten Sie die Behilflichkeit des Artikels