Die Entscheidung, ob der Schwerpunkt auf dem Endpunktschutz oder auf den darin enthaltenen Daten liegen soll, ist entscheidend. Angesichts des steigenden Werts von Daten und der zunehmenden regulatorischen Fokussierung auf sie ist ein umfassender Schutz unerlässlich. Verschlüsselung bleibt ein grundlegender Schutzmechanismus für Unternehmensdaten. Dieses Dokument beschreibt Best Practices für die Implementierung einer robusten Verschlüsselung auf Netzwerkendpunkten.
Die Voraussetzungen für die BitLocker-Verschlüsselung sind Kriterien, die ein Computer erfüllen muss, um für die Verschlüsselung bereit zu sein. Erfüllen Sie jede einzelne Voraussetzung für die Verschlüsselung, bevor Sie die Bereitstellung einer Verschlüsselungsrichtlinie planen.
Wenn ein Gerät nicht verschlüsselt ist, sind seine Daten anfällig für unbefugten Zugriff. Im Falle von Verlust, Diebstahl oder eines Hackerangriffs können sensible Informationen leicht eingesehen und potenziell missbraucht werden. Daher ist es entscheidend, die Verschlüsselung in Ihrem gesamten Netzwerk sicherzustellen, einschließlich Geräten mit und ohne TPM-Chips. Auf dieser Seite erfahren Sie mehr über die Verschlüsselungseinstellungen in Endpoint Central.
Für Computer mit TPM — aktivieren Sie zusätzlich zu TPM eine erweiterte PIN
Für Computer ohne TPM — eine Passphrase ist die einzige Lösung
Erweiterte PIN mit TPM ist die ideale Wahl für Computer mit TPM. Allerdings müssen Benutzer die erweiterte PIN bei jedem Start manuell eingeben, was umständlich sein kann. Alternativ können Sie sich für nur TPM entscheiden, was jedoch für eine optimale Sicherheitsresilienz nicht empfohlen wird.
Die vollständige Festplattenverschlüsselung verschlüsselt alle Daten auf einem Laufwerk, einschließlich des ungenutzten Speicherplatzes, auf dem Spuren gelöschter Daten verbleiben, die wiederhergestellt werden können. Sie ist die sicherste Option, kann jedoch die Leistung beeinträchtigen. Wenn die Leistung ein Problem darstellt, wählen Sie die Verschlüsselung Nur verwendeter Speicherplatz.
Auf dieser Seite erfahren Sie mehr über die Konfiguration von Verschlüsselungsrichtlinien.
Stellen Sie sicher, dass alle Laufwerke verschlüsselt werden, nicht nur das Betriebssystemlaufwerk. Auch andere Volumes können wertvolle Daten speichern.
Bleiben Sie bei der von Microsoft für Ihre Windows-Version empfohlenen Standardverschlüsselungsmethode. Stärkere Methoden können über eine manuelle Richtlinie für Compliance oder Audits konfiguriert werden. Diese können jedoch die Leistung verringern und werden daher nicht empfohlen. Um mehr über die Verschlüsselungsalgorithmen zu erfahren, besuchen Sie diese Seite.
Wenn unbefugter Zugriff erkannt wird, verlangt Windows den BitLocker-Wiederherstellungsschlüssel. Microsoft kann diesen Schlüssel nicht wiederherstellen, wenn er verloren geht, daher sollten Sie eine sichere Sicherung erstellen. Aktivieren Sie die Option Wiederherstellungsschlüssel auf Domänencontroller aktualisieren, um ihn in Active Directory zu speichern.
Erhöhen Sie die Sicherheit, indem Sie den Wiederherstellungsschlüssel automatisch in regelmäßigen Abständen ändern. Diese regelmäßige Rotation des Wiederherstellungsschlüssels kann in Endpoint Central bei der Einrichtung von BitLocker-Richtlinien konfiguriert werden, indem die Option regelmäßige Rotation des Wiederherstellungsschlüssels aktiviert wird.
BitLocker ist eine hardwarebasierte und computerspezifische Komponente, daher sollten Richtlinien mit Computern und nicht mit Benutzern verknüpft werden. Stellen Sie außerdem sicher, dass auf jedem Computer nur eine Richtlinie — entweder zur Verschlüsselung oder zur Entschlüsselung — bereitgestellt wird.
