»Festplattenverschlüsselung mit Winmagic SecureDoc »Arbeitsprinzip


Der SecureDoc Enterprise Server von Winmagic ist eine leistungs starke Anwendung zum Schutz der vertraulichen Informationen eines Unternehmens durch Verschlüsselung. Die hervorstechendsten Eigenschaften des SecureDoc Enterprise Servers sind seine hohe Integration in die Microsoft Windows Umgebung (Active Directory, Windows PKI, MS-SQL), seine Skalierbarkeit, die einfache Verwaltung und nicht zuletzt der besonders gute Schutz der Daten durch stärkste Verschlüsselung und der Unterstützung von starker Authentisierung.

Starke Verschlüsselung

SES verwendet AES 256 zur symmetrischen Verschlüsselung der Daten. Darüber hinaus werden diese symmetrischen AES Schlüssel wiederum mit einem asymmetrischen Schlüssel bzw. Zertifikate geschützt abgelegt. Nur der Besitzer des geheimen, privaten Schlüssels hat Zugriff auf den „Schlüsselbund“ mit den symmetrischen Schlüsseln. Diese Zertifikate können wahlweise von einer vorhandenen PKI (Beispiel: ab Microsoft Windows 2000 Server ) oder von der im SES integrierten Certification Authority ausgestellt werden.

 

Starke Authentifizierung

Anstelle der Benutzung von schwacher Authentisierung mit Passwörtern zum Zugriff auf den „Schlüsselbund“ können optional auch fortgeschrittene Technologien mit starker Multi-factor-authentication , wie etwa Smartcards oder Smart-Tokens, genutzt werden. In diesem Falle wird der private Schlüssel des Benutzers zum Zugriff auf den „Schlüsselbund“ auschließlich auf der Karte bzw. Token des Benutzers verwendet.



 

Einsatzmöglichkeiten:

  • Festplattenverschlüsselung von Client Computern und Servern. Wahlweise können die gesamten Festplatten der Computer oder einzelne Partitionen darauf verschlüsselt werden - womit die kritischen Problemfelder einer Verschlüsselung vermieden werden. Wenn man sich dazu entschließt, die Festplatte eines Computers zu verschlüsseln, muß der Benutzer sich VOR dem Booten des Computers authentisieren (Pre-Boot Authentication)
  • „Container encryption“ - es besteht die Möglichkeit, verschlüsselte Bereiche auf einer Partition einzurichten, die vom Betriebssystem als separates „Laufwerk“ behandelt werden. „File and folder encryption“ - Einzelne Dateien und Ordner auf Festplatten, Medien oder am Server-„share“ können für einzelne Personen oder Gruppen von Personen verschlüsselt werden.
  • „Media encryption“ – Die Verschlüsselung des Inhaltes von CD/DVD, USB Speichergeräten oder sogar Disketten kann wahlweise angeboten oder erzwungen werden.
  • „Selfextractor“ – Im speziellen Falle kann auch mal eine Datei oder ein Ordner verschlüsselt an externe Empfänger übertragen werden. In diesem Falle sind die Schlüssel zum Zugriff auf die Datei zwar nur durch ein Passwort geschützt, aber der Empfänger braucht nicht Mitglied der eigenen Organisation zu sein. Er benötigt nur den SD Selfextractor, der allerdings frei erhältlich ist.

 

Skalierbarkeit: auch für größere Organisationen

  • Ausfallssicherheit: die Komponenten des SES können mehrfach vorhanden sein
  • SES unterstützt sowohl eine Netzwerkarchitektur mit mehreren Standorten, als auch sogenannte „Offline Clients“ (Computer, die niemals Verbindung zum Netzwerk der Organisation haben).
  • Darüber hinaus können nicht nur Daten auf Client Computern und Servern, sondern auch auf PDAs geschützt werden.
  • Die Betreiber einer IT Umgebung können frei entscheiden, welche Funktionalitäten welchen Gruppen von Computern zur Verfügung gestellt werden. So kann flexibel auf den Bedarf von Standorten, Benutzer und Computerklassen und deren Rollen im Unternehmen reagiert werden. (Ein Standgerät im „Headoffice“ ist möglicherweise ganz anderen Bedrohungen ausgesetzt als das Notebook eines Feldtechnikers oder eine CNC Maschine am Band und benötigt daher einen gänzlich anderen Satz an Funktionalitäten)



SecureDoc Enterprise Server - Clientverbindungen Quelle: Winmagic Inc.
 

Zugriffsverwaltung auf geschützte Informationen
Der Zugriff auf Ressourcen, verschlüsselte Daten und verschlüsselte Computer, wird von einer „Management Konsole“ von dazu bestimmten Administratoren verwaltet. Dazu können Benutzer einer oder mehreren Gruppen und Containern zugeordnet werden, die jeweils für den Zugriff auf einzelne Ressourcen oder Geräte stehen. Benutzer und Gruppen können auch von Microsoft Active Directory (AD) übernommen und mit dem AD synchronisiert werden. Die „Keyfiles“ auf den einzelnen Computern (Schlüsselbund) werden automatisch auf den neuesten Stand gebracht, wenn in der Management Konsole ein Schlüssel hinzugefügt oder davon entfernt wird. Dem Helpdesk steht außerdem ein benutzerfreundliches und dennoch sicheres Password Recovery/ Key Recovery Verfahren zur Verfügung.

Verwaltung der Client Einstellungen
Berechtigungen, angebotene Funktionalitäten und andere clientspezifische Einstellungen werden von SecureDoc Enterprise Server in Profilen definiert. Diese Einstellungen werden automatisch an die dafür vorgesehenen Client Computer verteilt, sobald sich eine Einstellung ändert. So lassen sich sowohl einzelne Computer, als auch ganze Gruppen von Geräten mit ähnlichen Bedürfnissen bequem verwalten.
 
Integration in die Windows Umgebung
  • SES nutzt MS SQL als Datenbank Server
  • SES kann Active Directory als Quelle für Benutzerkonten, Gruppen und Container, sowie für die Verwaltungsstruktur nutzen
  • SES kann die von der MS PKI erstellten Zertifikate nutzen
  • SES kann die von Windows angebotene Smartcard Authentisierung nutzen
  • Die von SecureDoc für die einzelnen Client Computer vorbereiteten SecureDoc Installationspackete können von MS SMS und seinem Nachfolger automatisch verteilt werden.

Unterstützung anderer Umgebungen
  • SES kann Benutzerkonten und Gruppen aus jedem verfügbaren LDAP Verzeichnis importieren
  • SES kann die Zertifikate von jeder X.509V3 kompatiblen PKI nutzen
  • Securedoc Installationspakete können von jedem Softwareverteilungssystem auf den Client Computern installiert werden.

Sie sind interessiert? Nehmen Sie mit uns Kontakt auf! 

<< zurück