Pełne szyfrowanie dysku GravityZone Najczęściej zadawane pytania (FAQ)

GravityZone Full Disk Encryption to rozwiązanie dostarczane przez Bitdefender, które pomaga firmom przestrzegać przepisów dotyczących ochrony danych i zapobiega utracie poufnych informacji w przypadku kradzieży urządzeń.

 

GravityZone Full Disk Encryption umożliwia łatwe zdalne zarządzanie kluczami szyfrującymi. Nowe rozwiązanie zapewnia scentralizowane zarządzanie zarówno usługą BitLocker na systemie Windows, jak i FileVault oraz diskutil na macOS , korzystając z natywnego szyfrowania urządzenia i zapewniając optymalną zgodność i wydajność.

W tym artykule omówiono niektóre z najczęściej zadawanych pytań dotyczących funkcjonalności i funkcji oprogramowania GravityZone Full Disk Encryption.

GravityZone Full Disk Encryption to rozwiązanie dostarczane przez Bitdefender, które pomaga firmom przestrzegać przepisów dotyczących ochrony danych i zapobiega utracie poufnych informacji w przypadku kradzieży urządzeń.

GravityZone Full Disk Encryption umożliwia łatwe zdalne zarządzanie kluczami szyfrującymi. Nowe rozwiązanie zapewnia scentralizowane zarządzanie zarówno usługą BitLocker na systemie Windows, jak i FileVault oraz diskutil na macOS, korzystając z natywnego szyfrowania urządzenia i zapewniając optymalną zgodność i wydajność.

W tym artykule omówiono niektóre z najczęściej zadawanych pytań dotyczących funkcjonalności i funkcji oprogramowania GravityZone Full Disk Encryption.

 

Skąd mam wiedzieć czy komputer obsługuje Pełne Szyfrowanie Dysku GravityZone? 

Pełne szyfrowanie dysku GravityZone jest dostępne dla większości komputerów z systemem Windows i komputerów Mac, na których można uruchomić funkcję BitLocker lub FileVault. Oznacza to, że w przypadku systemu Windows ta funkcja nie jest dostępna dla użytkowników wersji Home systemu operacyjnego.

Obsługiwane systemy operacyjne Windows (do szyfrowania wykorzystywane jest narzędzie BitLocker):

Windows 7 Enterprise (with TPM)

Windows 7 Ultimate (with TPM)

Windows 8 Pro

Windows 8 Enterprise

Windows 8.1 Pro

Windows 8.1 Enterprise

Windows 10 Pro

Windows 10 Enterprise

Windows 10 Education

Windows Server 2008 R2 (with TPM)

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

Windows Server 2019

 

Obsługiwane wersje macOS (do szyfrowania wykorzystywane są narzędzia FileVault i diskutil):

 

OS X El Capitan (10.11)

macOS Sierra (10.12)

macOS High Sierra (10.13)

macOS Mojave (10.14)

macOS Catalina (10.15) 

 

Czy ta funkcja działa tylko w przypadku komputerów z funkcjonalnością BitLocker / modułem TPM?

Pełne szyfrowanie dysków działa z obydwoma systemami z lub bez TPM (Trusted Platform Module – dedykowany układ na płycie głównej, który pomaga we włączaniu pełnego szyfrowania dysku). W przypadku większości systemów TPM jest opcjonalny, z wyjątkiem systemów Windows 7 i Windows Server 2008 R2, w których wymagany jest moduł TPM. TPM musi być w wersji 1.2 lub wyższej.

 

Jakie dyski szyfruje GravityZone?

GravityZone szyfruje woluminy startowe i nie bootowalne na stałych dyskach, na komputerach stacjonarnych i laptopach. Napędy wymienne nie są szyfrowane. GravityZone korzysta z:

  • Bitlocker w celu szyfrowania bootowalnych oraz nie bootowalnych woluminów na systemach Windows.
  • FileVault w celu szyfrowania bootowalnych woluminów na macOS.
  • diskutil w celu szyfrowania nie bootowalnych woluminów na macOS.

Jak zaszyfrować woluminy z użyciem GravityZone?

GravityZone zarządza narzędziami szyfrującymi wbudowanymi w systemy operacyjne.

Gdy na punkcie końcowym zostanie zastosowana polityka w włączonym modułem szyfrowania:

  • Na systemie Windows agent bezpieczeństwa zarządza BitLockerem w celu szyfrowania/deszyfrowania woluminów
  • Na systemie macOS agent bezpieczeństwa zarządza narzędziem FIleVault w celu szyfrowania/deszyfrowania woluminu startowego oraz diskutil w celu szyfrowania/deszyfrowania nie bootowalnych woluminów.

Użytkownicy mogą osobiście zarządzać tymi narzędziami jeżeli moduł szyfrowania jest wyłączony na punkcie końcowym. 

 

Szyfrowanie na systemie Windows

W celu zaszyfrowania woluminów musisz zastosować politykę z aktywnym modułem Szyfrowanie. Proces szyfrowania przebiega inaczej w zależności od tego czy dana maszyna posiada TPM.  

 

Punkty końcowe z TPM

 

Po zastosowaniu polityki:

 

1. Agent poprosi o skonfigurowanie kodu PIN.

Jeżeli TPM nie działa lub GravityZone go nie wykryje użytkownik zostanie poproszony o podanie hasła szyfrowania. Więcej informacji na ten temat znajduje się w sekcji poniżej traktującej o szyfrowaniu bez TPM.

2. Po kliknięciu Zapisz agent wyśle klucz odzyskiwania powiązany z kodem PIN do konsoli GravityZone. 

Gdy GravityZone zwróci odpowiedź do agenta, rozpocznie się proces szyfrowania zaczynając od dysku startowego (C:) i kontynuując dalej z resztą dysków.

Po kliknięciu odrzuć okno pojawi się ponownie po jakimś czasie i będzie wracać dopóki Szyfrowanie będzie aktywne w polityce. 

Na punktach końcowych z TPM proces szyfrowania rozpocznie się bez podawania kodu PIN jeżeli zaznaczona jest opcja “Jeśli aktywny jest Moduł Zaufanej Platformy (TPM), nie pytaj o hasło przed uruchomieniem.

Podczas uruchamiania zaszyfrowanej maszyny użytkownicy muszą podać PIN przed rozruchem, aby odblokować dysk rozruchowy, a następnie podać poświadczenia systemowe. 

Użytkownicy nie muszą podawać kodu PIN jeżeli jest włączona w polityce opcja Jeśli aktywny jest Moduł Zaufanej Platformy (TPM), nie pytaj o hasło przed uruchomieniem

Uwaga: Możesz kontrolować wymogi złożoności hasła korzystając z Edytora Zasad Grupy (GPO) włączając następujące reguły dla BitLockera:

  • Konfiguruj minimalną długość numeru PIN uruchomienia
  • Nie zezwalaj użytkownikom standardowym na zmienianie numeru PIN ani hasła
  • Konfiguruj używanie haseł dla stałych dysków danych
  • Konfiguruj używanie haseł dla dysków z systemem operacyjnym

Punkty końcowe bez TPM

Po zastosowaniu polityki:

1. Agent poprosi o skonfigurowanie hasła.

2. Po kliknięciuZapiszagent wyśle klucz odzyskiwania powiązany z hasłem do konsoli GravityZone. 

Gdy GravityZone zwróci odpowiedź do agenta, rozpocznie się proces szyfrowania zaczynając od dysku startowego (C:) i kontynuując dalej z resztą dysków.

Po kliknięciu odrzuć okno pojawi się ponownie po jakimś czasie i będzie wracać dopóki Szyfrowanie będzie aktywne w polityce. 

Podczas uruchamiania zaszyfrowanej maszyny użytkownicy muszą podać hasło przed rozruchem, aby odblokować dysk rozruchowy, a następnie podać poświadczenia systemowe. 

Deszyfrowanie Windows

W celu zdeszyfrowania woluminów na punktach końcowych z systemem Windows musisz zastosować politykę z włączonym modułem Szyfrowanie i wybrać opcję deszyfruj. Proces rozpocznie się automatycznie bez konieczności podawania hasła przez użytkownika.  

Jeżeli ktoś spróbuje zaszyfrować lub zdeszyfrować dysk niezgodnie z ustawioną polityką, GravityZone po pewnym czasie przywróci pożądane ustawienia. 

Szyfrowanie macOS

W celu zaszyfrowania woluminów musisz zastosować politykę z aktywnym modułem Szyfrowanie. Po zastosowaniu polityki:

  • Dla woluminu startowego agent poprosi o podanie poświadczeń

Po kliknięciu OK agent wyśle do konsoli GravityZone klucz odzyskiwania i rozpocznie się szyfrowanie. Jeśli zostanie kliknięte Nie teraz, okienko zniknie ale wróci ponownie i będzie się pojawiać dopóki będzie włączone szyfrowanie w polityce. 

Od macOS 10.15 (Catalina) Endpoint Security for Mac wymaga potwierdzenia użytkownika, aby operować FileVault. Po podaniu poświadczeń należy kliknąć OK w nowym okienku. Jeżeli użytkowników odmówi, to okienko powróci po jakimś czasie.

  • Dla nie bootowalnych woluminów agent poprosi o skonfigurowanie hasła, aby rozpocząć szyfrowanie diskutil.

Po kliknięciu Zapisz agent wyśle do konsoli GravityZone klucz odzyskiwania i rozpocznie się szyfrowanie. Jeśli zostanie kliknięte Odrzuć, okienko zniknie ale wróci ponownie i będzie się pojawiać dopóki będzie włączone szyfrowanie w polityce.

Użytkownicy muszą skonfigurować osobne hasła dla każdego nie bootowalnego woluminu. 

Podczas uruchamiania zaszyfrowanej maszyny z macOS użytkownicy muszą podać poświadczenia systemowe. Tylko lokalne konta z uprawnieniami administratora mogą włączyć szyfrowanie. Użytkownicy muszą podawać hasło również dla pozostałych woluminów. 

Deszyfrowanie macOS

W celu zdeszyfrowania woluminów na punktach końcowych z systemem macOS musisz zastosować politykę z włączonym modułem Szyfrowanie i wybrać opcję deszyfruj. Po zastosowaniu polityki:

  • Dla woluminu startowego użytkownicy muszą podać swoje poświadczenia

  • Dla nie bootowalnego woluminu użytkownicy muszą podać hasło, które skonfigurowali do zaszyfrowania woluminu

Z poziomu agenta użytkownicy mogą zmienić zarówno klucz odzyskiwania jak i hasło użyte do szyfrowania.

Jak ustawić hasło szyfrowania?

Kiedy polityka bezpieczeństwa jest stosowana na punkcie końcowym, użytkownik musi wprowadzić hasło, które rozpoczyna proces szyfrowania:

Ponieważ GravityZone zarządza szyfrowaniem za pomocą funkcji BitLocker i FileVault, funkcjonowanie i ograniczenia konfiguracji hasła są powiązane z tymi narzędziami.

W poniższych akapitach wyjaśniono, co należy wiedzieć o konfigurowaniu hasła szyfrowania na komputerach z systemem Windows, zgodnie ze specyfikacją funkcji BitLocker.

Format hasła szyfrowania dla komputerów z modułem TPM różni się od formatu hasła dla komputerów bez modułu TPM:

 

Na maszynach z TPM (takich jak nowsze laptopy), użytkownik musi wprowadzić osobisty numer identyfikacyjny (PIN) jako hasło szyfrowania. Kod PIN musi zawierać:

Przynajmniej 6 znaków

Tylko znaki alfanumeryczne

Mniej niż 21 znaków

Użytkownik nie musi wprowadzać hasła, jeśli polityka GravityZone ma włączoną opcję Jeśli moduł zaufanej platformy (TPM) jest aktywny, nie pytaj o hasło przed uruchomieniem. Aby uzyskać szczegółowe informacje, zapoznaj się z tym konkretnym tematem.

 

Na maszynach bez TPM (takich jak maszyny wirtualne) hasło szyfrowania musi zawierać:

Co najmniej 8 znaków.

Wielkie i małe litery.

Jedna lub więcej cyfr.

Hasło w tym formacie jest również wymagane, gdy moduł TPM nie działa lub nie zostanie wykryty przez GravityZone.

Hasło do szyfrowania służy do uruchamiania systemu operacyjnego. W tej sytuacji BIOS lub Unified Firmware Interface (UEFI) może obsługiwać układ klawiatury EN-US, podczas gdy systemy oparte na BIOS są ograniczone do 7-bitowego wejścia ASCII. Dlatego wprowadzanie hasła może się nie udać, jeśli używane są znaki inne niż angielskie lub klawisze różniące się położeniem od układu EN-US, takie jak klawiatury QWERTZ lub AZERTY.

Użytkownikom zaleca się ustawienie klawiatur na EN-US podczas konfiguracji hasła, aby uniknąć ewentualnych problemów w środowisku przed uruchomieniem.

Znaki poniższe nie są obsługiwane przez oprogramowanie systemowe:

  • Znaki rzymskie na klawiaturach o układzie innym niż EN-amerykański, takich jak “Z” i “Y” na niemieckich klawiaturach i “Q” i “A” na francuskich klawiaturach.
  • Znaki, które nie są dostępne w 7-bitowym ASCII, takie jak znaki z umlautami (“Ą), grobowymi akcentami (” È “) i tyldami (” Ñ “).
  • Symbole, które nie są dostępne w 7-bitowym ASCII, takie jak kwadratowy indeks górny, ułamki, symbole praw autorskich (©) i symbole walut międzynarodowych ($, £, € itp.).

Aby uzyskać więcej informacji na temat ustawiania hasła szyfrowania w systemie Windows, zapoznaj się z tym artykułem KB dostarczonym przez firmę Microsoft.

Na urządzeniach z systemem macOS

Na macOS mogą pojawić się dwa różne okienka, ponieważ GravityZone korzysta zarówno z FileVault jak i diskutil. 

  •  W celu zaszyfrowania woluminu startowego z użyciem FileVault, należy podać poświadczenia systemowe
  • W celu zaszyfrowania innego wolumina z użyciem diskutil, użytkownik musi skonfigurować hasło spełniające następujące warunki złożoności:
    Między 8 a 30 znaków
    Małe i wielkie litery
    Jedna lub więcej cyfer

Ważne:

Po ustawieniu hasła i szyfrowania należy się upewnić, że do komputera nie jest podłączony żaden napęd USB. Jeśli tego napędu nie ma w chwili ponownego uruchomienia komputera, system operacyjny nie uruchamia się.

 

Czy GravityZone obsługuje uwierzytelnianie przed startem?

GravityZone Full Disk Encryption obsługuje uwierzytelnianie przed startem. Podczas konfigurowania hasła szyfrowania należy się upewnić, że spełnione zostały warunki z poprzedniego kroku, aby uniknąć problemów z wprowadzeniem hasła w środowisku przed uruchomieniem, jeśli korzystasz z układu klawiatury innego niż amerykański.

 

Czy GravityZone Full Disk Encryption jest zgodny z FIPS?

Nie, GravityZone Full Disk Encryption nie jest zgodny z Federal Information Processing Standard (FIPS).

 

Czy GravityZone zapewnia raportowanie pełnego szyfrowania dysku, które zostało już wykonane przez funkcję BitLocker, FileVault lub diskutil?

Jeżeli wolumin został już wcześniej zaszyfrowany prez któreś z tych narzędzi zanim zastosowane politykę z uruchomionym szyfrowaniem, agent wygeneruje nowy klucz odzyskiwania i wyśle go do konsoli.

W innych przypadkach konieczne będzie zdeszyfrowanie woluminu przez zastosowaniem polityki GravityZone. 

Czy GravityZone zapewnia możliwość automatycznego odzyskiwania hasła dla użytkownika końcowego?

Nie, ale Bitdefender ma plany wspierania tego w przyszłości.

 

Co muszą zrobić klienci, jeśli już zaszyfrowali dane za pomocą innych rozwiązań?

Najpierw muszą odszyfrować dane przy użyciu ich obecnego rozwiązania, a następnie mogą bezpiecznie używać szyfrowania GravityZone Full Disk Encryption.

 

Jaki jest średni czas pełnego szyfrowania dysku? Czy końcowi użytkownicy mogą pracować w tym czasie?

Średni czas szyfrowania zależy od wielu czynników: typu i rozmiaru dysku, szybkości procesora, liczby procesów i aplikacji działających w tym czasie. Nie ma to jednak wpływu na użytkownika końcowego, ponieważ szyfrowanie odbywa się w tle, podczas gdy może on normalnie pracować na swoim komputerze.

 

Czy szyfrowanie pełnego dysku za pomocą GravityZone ma wymagania wstępne, takie jak instalacja i ręczne włączenie funkcji BitLocker?

Szyfrowanie pełnego dysku wymaga zainstalowania funkcji BitLocker na komputerze i, w większości przypadków, jest ona już zainstalowana. Tylko systemy Windows Server nie mają domyślnie BitLockera, więc administrator musi go dodać.

 

Czy logowanie do systemu Windows jest pojedyncze, czy potrzebne są dwa hasła: jedno dla pełnego szyfrowania dysku i inne dla systemu Windows?

W systemie Windows użytkownicy potrzebują najpierw wprowadzić hasło szyfrowania w środowisku przed uruchomieniem, a następnie hasło do konta użytkownika, aby zalogować się do systemu.

 

Czy pełne szyfrowanie dysku jest lekkie i wystarczająco szybkie, aby mogło być niedostrzegalne dla użytkownika oraz niezbyt obciążające dla zasobów komputera?

Pełne szyfrowanie dysku jest lekkie i wystarczająco szybkie, aby mogło być niedostrzegalne dla użytkownika i niezbyt obciążające dla zasobów komputera. Użytkownik może kontynuować pracę w tle jak zwykle. Są szanse, że nawet nie zauważy, że proces się odbywa, ponieważ GravityZone zarządza tylko rodzimymi BitLocker i FileVault, bez dodatkowych obciążeń systemu. Jeśli jednak szyfrujesz bardzo duże dyski, lepiej ustawić ten proces, gdy ich nie używasz.

 

Jak wielu różnych użytkowników może uzyskać dostęp do zaszyfrowanego komputera?

Dostęp do komputera nie jest ograniczony przez liczbę użytkowników. Na komputerach z wieloma użytkownikami hasło jest ustawiane przez użytkownika, który jest zalogowany w momencie, gdy szyfrowanie jest dokonywane.

 

Czy pełne szyfrowanie dysku jest dodatkiem do istniejącej licencji GravityZone?

Tak. Pełne szyfrowanie dysków jest również dostępne w GravityZone Cloud jako dodatek do licencji Business Security, Advanced Business Security i Enterprise oraz gotowe do użycia w MSP.

 

Jak uzyskać wersję próbną?

Aby uzyskać bezpłatną wersję próbną, utwórz tutaj konto: https://www.bitdefender.com/business/free-trials/2760/. Jeśli masz już konto GravityZone Cloud, użyj innego adresu e-mail, aby skonfigurować konto próbne.

 

Czy można zmienić hasło dostępu do szyfrowania z GravityZone Control Center?

Hasło do szyfrowania może zmienić tylko użytkownik z poziomu GUI Bitdefender.

 

Czy można wyłączyć pełne szyfrowanie dysku z Control Center?

Tak, zarządzanie szyfrowaniem można wyłączyć z Control Center, aby umożliwić lokalne sterowanie funkcją BitLocker lub FileVault. Ponadto możesz odszyfrować dane, stosując politykę GravityZone.

 

Czy konieczne jest wprowadzenie hasła szyfrowania rozruchu, gdy komputer zostanie wyłączony ze stanu hibernacji lub uśpienia?

Tak, jest to standardowe zachowanie na komputerach z systemem Windows: hasło szyfrowania, a następnie konto użytkownika hasło. W systemie MacOS wystarczy wprowadzić hasło konta użytkownika, ponieważ jest to wymagane do szyfrowania.

 

Czy istnieje możliwość zaszyfrowania bez pytania o hasło podczas uruchamiania / restartowania komputera?

Tak, ale tylko w systemach Windows z modułem Trusted Platform Module (TPM) żeton. W Centrum kontroli GravityZone przejdź do Zasady> Szyfrowanie i zaznacz pole wyboru Jeśli aktywny jest moduł zaufanej platformy (TPM), nie pytaj o hasło przed uruchomieniem. W ten sposób punkty końcowe będą szyfrowane bez hasła, a użytkownicy będą nie trzeba wprowadzać go przy każdym uruchomieniu komputera, przed hasłem do konta. Ta opcja jest obsługiwana tylko na komputerach z modułem TPM i Unified Extensible Firmware Interface (UEFI). Użytkownik nadal będzie musiał podać hasło bez względu na to, czy pole wyboru jest zaznaczone lub nie, kiedy:
Maszyna nie ma TPM.

Moduł TPM nie działa lub nie jest wykrywany przez GravityZone.
Urządzenie nie jest oparte na UEFI.
Maszyna to komputer Mac.

Aby uzyskać więcej informacji, zobacz Przewodnik administratora GravityZone> Zasady zabezpieczeń> Szyfrowanie.

Nie możesz znaleźć rozwiązania swojego problemu? Otwórz zgłoszenie e-mailowe, a my odpowiemy na pytanie lub problem w możliwie najkrótszym czasie.

 

Źródło: https://www.bitdefender.com/support/GravityZone-Full-Disk-Encryption-Frequently-Asked-Questions-(FAQ)-1959.html#20