DE202015009482U1 - System einer Festplattenvollverschlüsselung mit Prüfung der Kompatibilität der Boot-Platte - Google Patents

System einer Festplattenvollverschlüsselung mit Prüfung der Kompatibilität der Boot-Platte Download PDF

Info

Publication number
DE202015009482U1
DE202015009482U1 DE202015009482.1U DE202015009482U DE202015009482U1 DE 202015009482 U1 DE202015009482 U1 DE 202015009482U1 DE 202015009482 U DE202015009482 U DE 202015009482U DE 202015009482 U1 DE202015009482 U1 DE 202015009482U1
Authority
DE
Germany
Prior art keywords
boot
computer
encryption
hard disk
booting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE202015009482.1U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of DE202015009482U1 publication Critical patent/DE202015009482U1/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1417Boot up procedures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Stored Programmes (AREA)

Abstract

System zur Festplattenvollverschlüsselung einer Boot-Platte eines Computers (20), umfassend: einen Prozessor (21), der für Folgendes ausgelegt ist: Durchführen einer oder mehrerer Pre-Boot-Kompatibilitätsprüfungen an der Boot-Platte des Computers (20) zur Reduzierung von Risiken im Zusammenhang mit einer möglichen Betriebsunfähigkeit des Computers (20) nach Durchführung einer Festplattenvollverschlüsselung, umfassend das Feststellen, ob ein Test-Booten durchgeführt wurde; wenn festgestellt wird, dass das Test-Booten nicht durchgeführt wurde, Durchführen der einen oder mehreren Pre-Boot-Kompatibilitätsprüfungen unter Verwendung von BIOS- und UEFI-Schnittstellen zum Identifizieren der Software und Hardware, die von dem Betriebssystem (35) des Computers (20) verwendet werden, Versuchen eines Bootens eines Betriebssystems (35) des Computers (20) und Anzeigen eines erfolgreichen Bootens des Betriebssystems (35), wenn ein erfolgreiches Booten des Betriebssystems (35) erfolgt ist; wenn festgestellt wird, dass das Test-Booten erfolgreich durchgeführt wurde, Versuchen eines Bootens des Betriebssystems (35) des Computers (20) oder erneutes Durchführen der einen oder mehreren Pre-Boot-Kompatibilitätsprüfungen; wenn festgestellt wird, dass das Test-Booten nicht erfolgreich durchgeführt wurde, Wiederherstellen eines Prozesses eines normalen Bootens des Betriebssystems (35) und Durchführen eines normalen Bootens des Betriebssystems (35); Bestimmen einer oder mehrerer Verschlüsselungspolitiken, die auf eine Pre-Boot-Ausführungsphase des Computers (20) anwendbar sind; Vergleichen der Ergebnisse der Pre-Boot-Kompatibilitätsprüfungen mit Software- und Hardwarekriterien, die von den bestimmten Verschlüsselungspolitiken gefordert werden, um die Festplattenvollverschlüsselung der Boot-Platte durchzuführen; Feststellen, ob die Festplattenvollverschlüsselung auf die Boot-Platte angewandt werden soll, auf der Grundlage eines Resultats des Vergleichs der Ergebnisse der Pre-Boot-Kompatibilitätsprüfungen mit den Kriterien, die von den Verschlüsselungspolitiken gefordert werden; und wenn festgestellt wird, dass die Festplattenvollverschlüsselung angewandt werden soll, Anwenden der Festplattenvollverschlüsselung auf die Boot-Platte.

Description

  • Technisches Gebiet
  • Diese Offenbarung betrifft insgesamt das Gebiet der Informationssicherheit und insbesondere ein System einer Festplattenvollverschlüsselung mit Prüfung der Kompatibilität der Boot-Platte.
  • Hintergrund
  • Moderne Betriebssysteme verwenden ein System von Benutzerkonten und Passwörtern, um den Zugriff auf Daten auf einem Computer zu beschränken. Das kann wirksam sein, wenn ein Hacker zeitweiligen Zugriff auf den Computer hat, jedoch schützen die Benutzerkonten und Passwörter keine Daten, wenn der Computer gestohlen wird. Beispielsweise gibt es Wege (z. B. Verbinden der Festplatte mit einem anderen Computer oder deren Starten auf einem Computer eines anderen Betriebssystems von einem externen Speichermedium), die es jemandem ermöglichen, Daten von einer Platte zu lesen. Sogar Dateien, die entfernt wurden, können durch Verwendung von Software und Hardware wiederhergestellt werden.
  • Die Bedrohung eines Datenverlusts im Fall eines Diebstahls oder einer Entfernung kann durch Verschlüsselung der Daten auf der Platte reduziert werden. Diese Maßnahme ist wichtig für mobile Computer (Notebooks, Tablets), bei denen das Risiko des Verlusts oder Diebstahls am größten ist, sie kann jedoch nützlich sein, um Sicherheit und Vertraulichkeit von Daten zu gewährleisten, die auf einem beliebigen Computer oder einer beliebigen Workstation vorhanden sind.
  • Eine Festplattenvollverschlüsselung (FDE) ist dafür ausgelegt, Daten zu schützen, die auf einer Platte gespeichert sind, falls der Computer in ausgeschaltetem Zustand gestohlen oder entfernt wird.
  • Dateiverschlüsselung ist eine Verschlüsselung, die nur für bestimmte Dateien auf einer Computerplatte verwendet wird. Sie ist einfacher und schneller in der Nutzung, jedoch auch anfälliger. Beispielsweise können Dateien in verschlüsselter Form kopiert und anschließend durch rohe Gewalt entschlüsselt werden. Außerdem können Programme, die verschlüsselte Dateien verwenden, die entschlüsselten Dateien in einem Cache speichern, und die Originaldatei wird nach der Verschlüsselung von der Platte gelöscht, kann aber durch Wiederherstellung gelöschter Dateien wiederhergestellt werden.
  • Passwörter für Festplatten sind eine Funktion, die die Verkäufer von Festplatten liefern. Platten-Passwörter verschlüsseln nicht die Daten auf der Festplatte, sie verhindern nur, dass die Platte mit dem Computer interagiert, bis das Passwort eingegeben wird. Es gibt Wege, die Passwörter von Platten zu entfernen, und auch Wege, Daten mit Hilfe mechanischer Eingriffe in die Festplatte zu extrahieren (Ersetzen von Platten oder Mikroschaltkreisen des Festwertspeichers (ROM)).
  • Wenn der Computer mobil ist und eine wesentliche Menge wichtiger Dokumente oder Dokumente enthält, die als besonders geheim eingestuft werden können, kann es gewünscht sein, eine Festplattenvollverschlüsselung zu verwenden. Gegenwärtig tauchen auch immer mehr Bedrohungen für Firmennetzwerke auf, innerhalb derer Daten auf fast jedem Computer vorhanden sind, die unter keinen Umständen jemals den Bereich des Firmennetzwerks verlassen sollten.
  • Es stehen viele herkömmliche Wege für die Festplattenvollverschlüsselung zur Verfügung, beispielsweise durch die spezialisierten Softwareprodukte Bitlocker, TrueCrypt, PGPDisk und andere. Außerdem ist in letzter Zeit eine Art der Durchführung der Festplattenvollverschlüsselung Teil beliebter Firmen-Antivirus-Lösungen geworden, zum Beispiel Kaspersky Endpoint Security DPE.
  • Beim Durchführen einer Festplattenvollverschlüsselung auf Boot-Platten wird ein Pre-Boot-Authentifizierungsmodul auf der Platte installiert. Dieses Modul fordert den Benutzer auf, ein Passwort einzugeben, und nachdem dieses korrekt eingegeben wurde, beginnt das Booten des Betriebssystems (OS).
  • Antivirus-Softwareprodukte haben auch ihre eigenen Pre-Boot-Authentifizierungsmodule. Wenn eine Festplattenvollverschlüsselung auf die Boot-Platte angewandt wird, ändert die Antivirus-Software die Sequenz des Boot-Prozesses, wobei das Pre-Boot-Authentifizierungsmodul in den herkömmlichen Prozess des Pre-Bootens des Computers integriert wird. Dieses Modul operiert in der Pre-Boot-Ausführungsphase und verwendet die Schnittstellen des Ein-Ausgabe-Systems (BIOS) oder eine vereinheitlichte erweiterbare Firmware-Schnittstelle (UEFI), um mit der Computer-Hardware zu arbeiten. Die Pre-Boot-Ausführungsphase ist die Phase, in der der Mikrocode des Computers initialisiert wird, das Booten des Betriebssystems (OS) jedoch nicht begonnen hat.
  • Bei der Pre-Boot-Ausführungsphase ist eine Interaktion mit der Computerhardware nur über die Mikrocode-Schnittstellen möglich. Der Mikrocode hat seine eigenen Fragen, Grenzen und Probleme, die mit der Hardware-Kompatibilität der Geräte zu tun haben. Daher können die Komponenten der Antivirus-Software, die in dieser Phase arbeiten, auch verschiedene Kompatibilitätsprobleme haben. Wenn solche Probleme auftreten, startet der Computer eventuell nicht, da das Pre-Boot-Authentifizierungsmodul verwendet wird, um das OS von einer verschlüsselten Platte zu starten, während es nicht mit der Computerhardware kompatibel ist.
  • Das Dokument über den Stand der Technik XP 055194389 (McAfee, Product Guide: „McAfee Endpoint Encryption 7.0, for use with ePolicy Orchestrator 4.6. software") beschreibt allgemein Endpunkt-Verschlüsselungspolitiken, Anforderungstests für Client-Systeme, das Dienstprogramm McAfee Endpoint Encryption (EE) GO 7.0 für Systemadministrationen, um zu bestimmen, welche Systeme für eine Installation und Aktivierung von EEPC kompatibel sind, und eine Pre-Boot-Smart-Check-Funktion in EEPC, die verschiedene Tests durchführt, um zu gewährleisten, dass die EEPC-Pre-Boot-Umgebung auf einem Gerät erfolgreich arbeiten kann. Obgleich das Dokument das Prüfen der Hardware-Kompatibilität vor der eigentlichen Aktivierung und nachfolgenden Verschlüsselung erwähnt, besteht keine Verbindung zwischen dem EEPC-Pre-Boot-Smart-Check und der dahinter stehenden Verschlüsselung einer Boot-Platte eines Computers.
  • Kurze Beschreibung der Erfindung
  • Offenbart sind ein System und ein Computerprogrammprodukt für eine Festplattenvollverschlüsselung einer Boot-Platte eines Computers durch Durchführen einer Pre-Boot-Prüfung der Kompatibilität der Boot-Platte mit dem Verschlüsselungsmechanismus, was die Zuverlässigkeit des Prozesses der Durchführung der Festplattenvollverschlüsselung einer Boot-Platte erhöht.
  • Gemäß einem Beispiel umfasst ein System für eine Festplattenvollverschlüsselung einer Boot-Platte eines Computers einen Prozessor, der für Folgendes ausgelegt ist: Durchführen einer oder mehrerer Pre-Boot-Kompatibilitätsprüfungen auf der Boot-Platte des Computers; Bestimmen einer oder mehrerer Verschlüsselungspolitiken, die auf eine Pre-Boot-Ausführungsphase des Computers anwendbar sind; Vergleichen der Ergebnisse der Pre-Boot-Kompatibilitätsprüfungen mit den Verschlüsselungspolitiken; Feststellen, auf der Grundlage eines Resultats des Vergleichs der Ergebnisse der Pre-Boot-Kompatibilitätsprüfungen mit den Verschlüsselungspolitiken, ob eine Festplattenvollverschlüsselung auf die Boot-Platte angewandt werden soll; und wenn festgestellt wird, dass die Festplattenvollverschlüsselung angewandt werden soll, Anwenden der Festplattenvollverschlüsselung auf die Boot-Platte.
  • Gemäß einem weiteren Beispiel umfasst ein auf einem nichtflüchtigen, computerlesbaren Speichermedium gespeichertes Computerprogrammprodukt computerausführbare Instruktionen für eine Festplattenvollverschlüsselung einer Boot-Platte eines Computers, einschließlich Instruktionen für Folgendes: Durchführen einer oder mehrerer Pre-Boot-Kompatibilitätsprüfungen auf der Boot-Platte des Computers; Bestimmen einer oder mehrerer Verschlüsselungspolitiken, die auf eine Pre-Boot-Ausführungsphase des Computers anwendbar sind; Vergleichen der Ergebnisse der Pre-Boot-Kompatibilitätsprüfungen mit den Verschlüsselungspolitiken; Feststellen auf der Grundlage eines Resultats des Vergleichs der Ergebnisse der Pre-Boot-Kompatibilitätsprüfungen mit den Verschlüsselungspolitiken, ob eine Festplattenvollverschlüsselung auf die Boot-Platte angewandt werden soll; und wenn festgestellt wird, dass die Festplattenvollverschlüsselung angewandt werden soll, Anwenden der Festplattenvollverschlüsselung auf die Boot-Platte.
  • Gemäß einem weiteren Beispiel kann das oben genannte System in einem Verfahren für eine Festplattenvollverschlüsselung angewandt werden, die Folgendes umfasst: Durchführen einer oder mehrerer Pre-Boot-Kompatibilitätsprüfungen auf der Boot-Platte des Computers; Bestimmen einer oder mehrerer Verschlüsselungspolitiken, die auf eine Pre-Boot-Ausführungsphase des Computers anwendbar sind; Vergleichen der Ergebnisse der Pre-Boot-Kompatibilitätsprüfungen mit den Verschlüsselungspolitiken; Feststellen, auf der Grundlage eines Resultats des Vergleichs der Ergebnisse der Pre-Boot-Kompatibilitätsprüfungen mit den Verschlüsselungspolitiken, ob eine Festplattenvollverschlüsselung auf die Boot-Platte angewandt werden soll; und wenn festgestellt wird, dass die Festplattenvollverschlüsselung angewandt werden soll, Anwenden der Festplattenvollverschlüsselung auf die Boot-Platte.
  • Gemäß einem weiteren Beispiel kann das Verfahren weiterhin vor der Durchführung der einen oder mehreren Pre-Boot-Kompatibilitätsprüfungen das Ändern eines Boot-Prozesses des Computers umfassen, um die Pre-Boot-Kompatibilitätsprüfungen und das Neu-Booten des Computers zu ermöglichen.
  • Gemäß einem weiteren Beispiel kann das Verfahren weiterhin umfassen, wenn festgestellt wird, dass die Festplattenvollverschlüsselung angewandt werden soll: Feststellen, dass die Festplattenvollverschlüsselung nicht auf dem Computer durchgeführt werden kann, wobei der Computer Teil eines Firmennetzwerks ist; und Warnen eines Netzwerkadministrators des Firmennetzwerks, dass die Festplattenvollverschlüsselung nicht durchgeführt werden kann.
  • Gemäß einem weiteren Beispiel können die Verschlüsselungspolitiken sowohl in der Pre-Boot-Ausführungsphase als auch nach dem Starten eines Betriebssystems des Computers mit den Pre-Boot-Kompatibilitätsprüfungen verglichen werden.
  • Gemäß einem weiteren Beispiel können die Verschlüsselungspolitiken durch den Computer und/oder einen Netzwerksicherheitsserver und/oder einen Pre-Boot-Agenten mit den Pre-Boot-Kompatibilitätsprüfungen verglichen werden.
  • Gemäß einem weiteren Beispiel kann das Verfahren weiterhin das Durchführen von Pre-Boot-Kompatibilitätsprüfungen auf Anforderung und ohne nachfolgende Festplattenvollverschlüsselung umfassen.
  • Gemäß einem weiteren Beispiel können die Pre-Boot-Kompatibilitätsprüfungen durchgeführt werden, indem festgestellt wird, ob ein Test-Booten durchgeführt wurde; wenn das Test-Booten nicht durchgeführt wurde, werden Kompatibilitätsprüfungen durchgeführt; bei der Durchführung der Kompatibilitätsprüfungen wird versucht, ein Betriebssystem des Computers zu booten; beim Versuch, das Betriebssystem zu booten, wird ein erfolgreiches Booten angezeigt, wenn ein erfolgreiches Booten des Betriebssystems stattgefunden hat; wenn das Test-Booten durchgeführt wurde, wird festgestellt, ob das Test-Booten erfolgreich war; wenn das Test-Booten erfolgreich war, wird versucht, das Betriebssystem des Computers zu booten oder die Kompatibilitätsprüfungen erneut durchzuführen; wenn das Test-Booten nicht erfolgreich war, wird ein Prozess des normalen Bootens des Betriebssystems wiedereingesetzt und ein normales Booten des Betriebssystems wird durchgeführt.
  • Die obige kurze Beschreibung der Beispiele dient dem grundlegenden Verständnis dieser Offenbarung. Diese kurze Beschreibung ist kein ausführlicher Überblick aller in Betracht kommenden Aspekte und soll weder dazu dienen, Schlüsselelemente oder kritische Elemente aller Aspekte zu identifizieren, noch dazu, den Schutzbereich einiger oder aller Aspekte dieser Offenbarung zu umreißen. Ihr einziger Zweck liegt in der Präsentation eines oder mehrerer Aspekte in vereinfachter Form als Einführung zu der folgenden, detaillierteren Beschreibung der Offenbarung. Zur Erzielung des Genannten umfassen der eine oder die mehreren Aspekte dieser Offenbarung die Merkmale, die in den Ansprüchen beschrieben und besonders hervorgehoben sind.
  • Kurze Beschreibung der Zeichnungen
  • Die beigefügten Zeichnungen, die Teil dieser Beschreibung sind, stellen einen oder mehrere beispielartige Aspekte dieser Offenbarung dar und dienen zusammen mit der ausführlichen Beschreibung der Erläuterung von deren Prinzipien und Ausführungsformen.
  • 1 zeigt ein beispielartiges System zur Durchführung einer Festplattenvollverschlüsselung einer Platte mit einer Pre-Boot-Kompatibilitätsprüfung.
  • 2 ist ein Flussdiagramm eines beispielartigen Prozesses der Verschlüsselung einer Boot-Platte.
  • 3 ist ein Flussdiagramm eines beispielartigen Prüfalgorithmus, der von dem Pre-Boot-Kompatibilitätsprüfungsmodul durchgeführt wird.
  • 4 zeigt ein Beispiel eines Mehrzweckcomputersystems, auf dem das offenbarte System und das offenbarte Verfahren zur Festplattenvollverschlüsselung ausgeführt werden können.
  • Ausführliche Beschreibung
  • Beispielartige Aspekte sind hier im Kontext eines Systems, eines Verfahrens und eines Computerprogrammprodukts zur Festplattenvollverschlüsselung einer Boot-Platte beschrieben. Dem Fachmann wird klar sein, dass die folgende Beschreibung rein illustrativ und in keiner Weise einschränkend gemeint ist. Weitere Aspekte werden dem Fachmann ohne weiteres klar werden, der von dieser Offenbarung profitiert. Im Folgenden wird detailliert auf Ausführungsformen der beispielartigen Aspekte eingegangen, wie in den beigefügten Zeichnungen dargestellt. Dieselben Bezugszeichen werden, soweit möglich, in den Zeichnungen und in der folgenden Beschreibung verwendet, um dieselben oder gleichartige Gegenstände zu bezeichnen.
  • Einige offenbarte Beispiele bieten eine Pre-Boot-Kompatibilitätsprüfung, die die Risiken im Zusammenhang mit einer möglichen Betriebsunfähigkeit des Computers nach Durchführung der Festplattenvollverschlüsselung reduziert. Beispielsweise wird bei einigen Aspekten ein Testen bekannter Ursachen für eine Inkompatibilität durchgeführt, bevor die Boot-Platte verschlüsselt wird. Das Starten der Prüfung kann auch durch den Systemadministrator für einen einzelnen Computer durchgeführt werden.
  • Bei der Ausführung dieser Aspekte können sowohl BIOS- als auch UEFI-Schnittstellen verwendet werden. Der Computer-Boot-Prozess kann sowohl für Platten, die einen Master-Boot-Record (MBR) verwenden, als auch für Platten, die eine Partitionstabelle mit einem Global Unique Identifier (GPT- oder GUID-Partitionstabelle) verwenden, geändert werden.
  • Einige Ausführungsformen können während der Pre-Boot-Ausführung betrieben werden, und daher kann ein Minimum von einem Neu-Booten des Computers beim Testprozess notwendig sein.
  • 1 zeigt ein beispielartiges System zur Durchführung einer Festplattenvollverschlüsselung einer Platte mit einer Pre-Boot-Kompatibilitätsprüfung.
  • Dieses beispielartige System umfasst:
    Ein Modul zur Durchführung von Änderungen an der Platte 110:
    • – bereitet die Boot-Platte vor und platziert das Pre-Boot-Kompatibilitätsprüfungsmodul 120 darauf;
    • – ändert den Boot-Prozess des Computers 130, um das Starten des Pre-Boot-Kompatibilitätsprüfungsmoduls 120 zu ermöglichen;
    • – führt das Neu-Booten des Computers durch.
    Ein Pre-Boot-Kompatibilitätsprüfungsmodul 120:
    • – führt Pre-Boot-Kompatibilitätsprüfungen durch;
    • – analysiert die Verschlüsselungspolitiken in der Pre-Boot-Ausführungsphase;
    • – führt das Booten des OS 140 durch.
    Ein Analysemodul 150:
    • – empfängt die Ergebnisse der Tests von dem Pre-Boot-Kompatibilitätsprüfungsmodul 120;
    • – verwendet die Verschlüsselungspolitiken 160;
    • – vergleicht die Ergebnisse der Tests mit den Verschlüsselungspolitiken;
    • – trifft eine Entscheidung bezüglich der Möglichkeit der Anwendung der Festplattenvollverschlüsselung.
    Ein Verschlüsselungsmodul 170:
    • – empfängt die Entscheidung bezüglich der Möglichkeit der Anwendung der Festplattenvollverschlüsselung von dem Analysemodul 150;
    • – führt die Verschlüsselung der Boot-Platte 180 durch.
  • Wenn in einigen Beispielen die Festplattenvollverschlüsselung nicht auf einem Computer durchgeführt werden kann, der Teil des Firmennetzwerks ist, dann kann das Verschlüsselungsmodul 170 den Netzwerkadministrator über die Unmöglichkeit der Anwendung der Verschlüsselungspolitik auf dem entsprechenden Computer benachrichtigen.
  • Wenn in einigen Beispielen die Software- und Hardware-Konfiguration des Computers des Firmennetzwerks geändert wird, kann der Administrator erneut versuchen, die Verschlüsselungspolitik anzuwenden.
  • 2 ist ein Flussdiagramm eines beispielartigen Prozesses der Verschlüsselung einer Boot-Platte. In der Anfangsphase 210 wird das Pre-Boot-Kompatibilitätsprüfungsmodul 120 auf der Platte angeordnet, und der Boot-Prozess des Computers wird geändert, um das Starten des Pre-Boot-Kompatibilitätsprüfungsmoduls 120 zu ermöglichen. Anschließend wird ein Neu-Booten des Computers 220 vollzogen. Das Pre-Boot-Kompatibilitätsprüfungsmodul 120 führt die notwendigen Tests 230 durch. Aus den Ergebnissen der Tests und nachdem diese mit den Verschlüsselungspolitiken verglichen wurden, wird eine Entscheidung bezüglich der Möglichkeit einer Verschlüsselung der Boot-Platte 240 getroffen. In einigen Beispielen können die Verschlüsselungspolitiken mit den Ergebnissen der Tests sowohl in der Pre-Boot-Ausführungsphase 241 und nach dem Starten des Betriebssystems 242 als auch durch den Netzwerksicherheitsserver 243 verglichen werden. Wenn eine positive Entscheidung bezüglich der Verschlüsselungsmöglichkeit getroffen wird, wird die Festplattenvollverschlüsselung der Boot-Platte 250 durchgeführt.
  • Die Verschlüsselungspolitiken können bezüglich der Boot-Platte die folgenden Kriterien enthalten:
    • – die Größe der Platte, beispielsweise wird Festplattenvollverschlüsselung herkömmlich für große Platten verwendet;
    • – die Zahl der logischen Partitionen auf der Platte;
    • – ob das Plattenlayout einen MBR aufweist oder nicht;
    • – ob das Plattenlayout eine GPT aufweist oder nicht;
    • – der Zustand der Platte gemäß den Ergebnissen einer Selbstdiagnose, wenn beispielsweise die SMART der Platte Warnungen enthält, kann die Platte während der Verschlüsselung beschädigt worden sein;
    • – die Art des Mediums: HDD (Festplattenlaufwerk), SSD (Solid-State-Laufwerk) oder anderes, beispielsweise wird die Lebensdauer eines Solid-State-Speichers durch Verwendung von Festplattenvollverschlüsselung verkürzt;
    • – ob die Platte ein RAID-Array ist;
    • – das Betriebssystem ist auf einer einzigen Platte angeordnet;
    • – keine Notwendigkeit des Neu-Bootens des Computers, um Treiber oder Updates zu installieren;
    • – ein Systempartitions-Dateisystem;
    • – das Vorhandensein von Fehlern auf der logischen Platte;
    • – die Menge an freiem Platz auf der Platte;
    • – das Vorhandensein geteilter Netzwerkordner auf der Platte;
    • – die Platte ist schreibgeschützt;
    • – das Netzwerksegment, in dem der Computer angeordnet ist;
    • – die Computernutzer;
    • – die Art des Computers: Notebook, Workstation, Server.
  • Die Ausführung einiger Beispiele kann die Durchführung der notwendigen Pre-Boot-Tests durch das Pre-Boot-Kompatibilitätsprüfungsmodul 120 und das Bereitstellen eines Zugriffs auf die Ergebnisse dieser Tests für das Analysemodul 150 erfordern. In diesen Beispielen kann es auch notwendig sein, die Option bereitzustellen, sowohl eine zwingende Prüfung durchzuführen, bevor die Verschlüsselung durchgeführt wird, als auch eine zufällige Prüfung auf Anforderung (beispielsweise durch den Netzwerkadministrator) durchzuführen, ohne die Verschlüsselung durchzuführen.
  • Da das Pre-Boot-Kompatibilitätsprüfungsmodul 120 in der Phase der Pre-Boot-Ausführung arbeitet und mit der Computer-Hardware inkompatibel sein kann, können Bedingungen auftreten, unter denen der Computer nicht booten kann. In solchen Fällen von Inkompatibilität muss möglicherweise eine automatische Entscheidung getroffen werden, den Computer wieder in Arbeitszustand zu bringen, und die Option einer automatischen Rückkehr des Prozesses des Bootens des Betriebssystems zu dem Ausgangszustand kann notwendig sein. In diesen Beispielen kann auch eine Unterstützung für einen externen Wiederherstellungsdienst benötigt werden, wenn der normale Boot-Prozess des Betriebssystems nicht automatisch durch das Pre-Boot-Kompatibilitätsprüfungsmodul 120 wiederhergestellt werden kann.
  • 3 ist ein Flussdiagramm eines beispielartigen Prüfalgorithmus, der durch das Pre-Boot-Kompatibilitätsprüfungsmodul 120 ausgeführt wird. In der Anfangsphase 310 startet der Computer mit einem geänderten Boot-Prozess die Pre-Boot-Kompatibilitätsprüfung 330 durch Starten des Pre-Boot-Kompatibilitätsprüfungsmoduls 120. Anschließend wird geprüft, ob das Test-Booten durchgeführt wurde 340 (d. h. ob die Test-Boot-Flagge gesetzt ist oder nicht). Wenn es nicht durchgeführt wurde, wird die Test-Boot-Flagge gesetzt, die Flagge für erfolgreiches Booten wird zurückgesetzt (unabhängig vom aktuellen Zustand), und die Kompatibilitätsprüfungen werden durchgeführt 350. Nach Durchführung der Tests wird ein Versuch unternommen, das OS 360 zu booten. Wenn das Booten durch das Verschlüsselungsmodul 170 erfolgreich ist, wird die Flagge für erfolgreiches Booten gesetzt 370. Wenn zuvor ein Test-Booten durchgeführt wurde (z. B. wenn die Test-Boot-Flagge gesetzt wurde), prüft das Pre-Boot-Kompatibilitätsprüfungsmodul 120 die Flagge für erfolgreiches Booten in Schritt 380. Wenn sie gesetzt wurde, führt das Pre-Boot-Kompatibilitätsprüfungsmodul 120 in einem möglichen Beispiel das Booten des OS 360 durch; in einem weiteren Beispiel führt es erneut die Tests aus Schritt 350 durch. Wenn das Booten nicht erfolgreich war (z. B. die Flagge für erfolgreiches Booten nicht gesetzt wurde), wird es als fehlgeschlagen angesehen, und die Wiederherstellung der Prozesse des Bootens des OS 385 und des Bootens des OS unter normalen Bedingungen 390 wird durchgeführt. In diesem Fall bestimmt das Verschlüsselungsmodul 170 die Bedingungen, unter denen das Booten des OS vollzogen wurde, und setzt nicht die Flagge für erfolgreiches Booten 395.
  • 4 zeigt ein Beispiel eines Mehrzweckcomputersystems (das ein Personal Computer oder ein Server sein kann) 20, umfassend eine Zentraleinheit 21, einen Systemspeicher 22 und einen Systembus 23, der die verschiedenen Systemkomponenten verbindet, einschließlich des Speichers, der mit dem Zentralspeicher 21 in Verbindung steht. Der Systembus 23 ist wie eine beliebige, aus dem Stand der Technik bekannte Busstruktur ausgebildet und umfasst seinerseits einen Busspeicher oder eine Busspeichersteuerung, einen Peripheriebus und einen lokalen Bus, der mit beliebiger anderer Busarchitektur zusammenwirken kann. Der Systemspeicher umfasst einen permanenten Speicher (ROM) 24 und einen Arbeitsspeicher (RAM) 25. Das Eingabe/Ausgabe-System (BIOS) 26 umfasst die Grundvorgänge und gewährleistet den Informationsaustausch zwischen Elementen des Personal Computers 20, beispielsweise zum Zeitpunkt des Ladens des Betriebssystems unter Verwendung des ROM 24.
  • Der Personal Computer 20 umfasst seinerseits eine Festplatte 27 zum Lesen und Schreiben von Daten, ein Magnetplattenlaufwerk 28 zum Lesen und Schreiben auf entfernbaren Magnetplatten 29 und ein optisches Laufwerk 30 zum Lesen und Schreiben auf entfernbaren optischen Platten 31 wie CD-ROM, DVD-ROM und anderen optischen Informationsmedien. Die Festplatte 27, das Magnetplattenlaufwerk 28 und das optische Laufwerk 30 sind jeweils über die Festplattenschnittstelle 32, die Magnetplattenschnittstelle 33 und die Schnittstelle 34 des optischen Laufwerks mit dem Systembus 23 verbunden. Die Laufwerke und die entsprechenden Computerinformationsmedien sind stromunabhängige Module zur Speicherung von Computerinstruktionen, Datenstrukturen, Programmmodulen und anderen Daten des Personal Computers 20.
  • Diese Offenbarung sieht die Ausführung eines Systems vor, das eine Festplatte 27, eine entfernbare Magnetplatte 29 und eine entfernbare optische Platte 31 aufweist, es ist jedoch zu beachten, dass andere Computerinformationsmedien 56 verwendet werden können, die Daten in computerlesbarer Form speichern können (Solid-State-Laufwerke, Flash-Speicherkarten, Digital Disks, Arbeitsspeicher (RAM) und so weiter), die über die Steuerung 55 mit dem Systembus 23 verbunden sind.
  • Der Computer 20 weist ein Dateisystem 36, wo das aufgezeichnete Betriebssystem 35 gespeichert ist, sowie zusätzliche Programmanwendungen 37, andere Programmmodule 38 und Programmdaten 39 auf. Der Benutzer kann unter Verwendung von Eingabeeinrichtungen (Tastatur 40, Maus 42) Befehle und Informationen in den Personal Computer 20 eingeben. Andere Eingabeeinrichtungen (nicht gezeigt) können verwendet werden: ein Mikrofon, ein Joystick, ein Spiele-Controller, ein Scanner und so weiter. Solche Eingabeeinrichtungen werden üblicherweise über eine serielle Schnittstelle 46 an das Computersystem 20 angeschlossen, die ihrerseits mit dem Systembus verbunden ist, jedoch können sie auch anders angeschlossen werden, beispielsweise mit Hilfe einer Parallelschnittstelle, eines Game Port oder eines universellen seriellen Busses (USB). Ein Monitor 47 oder eine andere Art Anzeigeeinrichtung ist ebenfalls mit dem Systembus 23 über eine Schnittstelle wie einen Video-Adapter 48 verbunden. Zusätzlich zu dem Monitor 47 kann der Personal Computer mit anderen Peripherie-Ausgabegeräten (nicht gezeigt) wie Lautsprechern, einem Drucker und so weiter ausgestattet sein.
  • Der Personal Computer 20 kann in einer Netzwerkumgebung arbeiten, wobei eine Netzwerkverbindung zu einem oder mehreren entfernten Computern 49 verwendet wird. Der entfernte Computer (oder die entfernten Computer) 49 können ebenfalls Personal Computer oder Server sein, die die Mehrzahl oder alle oben beschriebenen Elemente aufweisen, die die Art eines Personal Computers 20 beschreiben, wie in 4 gezeigt. Andere Elemente können ebenfalls in dem Computernetzwerk vorhanden sein, beispielsweise Router, Netzwerkstationen, Partnergeräte oder andere Netzwerkknoten.
  • Netzwerkverbindungen können ein lokales Computernetzwerk (LAN) 50 und ein Weitverkehrs-Computernetzwerk (WAN) bilden. Solche Netzwerke werden in Firmencomputernetzwerken und internen Firmennetzwerken verwendet und verfügen allgemein über einen Internetzugang. Bei LAN- oder WAN-Netzwerken ist der Personal Computer 20 über einen Netzwerkadapter oder eine Netzwerkschnittstelle 51 mit dem lokalen Netzwerk 50 verbunden. Wenn Netzwerke verwendet werden, kann der Personal Computer 20 ein Modem 54 oder andere Module benutzen, um eine Kommunikation mit einem Weitverkehrs-Computernetzwerk wie dem Internet aufzubauen. Das Modem 54, das ein internes oder externes Gerät ist, ist über eine serielle Schnittstelle 46 mit dem Systembus 23 verbunden. Es ist zu beachten, dass die Netzwerkverbindungen nur Beispiele sind und nicht notwendigerweise die genaue Konfiguration des Netzwerks darstellen, d. h. in Wirklichkeit gibt es andere Arten, eine Verbindung eines Computers zu einem anderen durch technische Kommunikationsmodule herzustellen.
  • In verschiedenen Beispielen können die hier beschriebenen Systeme und Verfahren als Hardware, Software, Firmware oder eine beliebige Kombination daraus ausgeführt sein. Wenn sie als Software ausgeführt sind, können die Verfahren als eine oder mehrere Anweisungen oder als Code auf einem nichtflüchtigen computerlesbaren Medium gespeichert sein. Das computerlesbare Medium umfasst Datenspeicherung. Beispielhalber und nicht im einschränkenden Sinn kann dieses computerlesbare Medium RAM, ROM, EEPROM, CD-ROM, Flash-Speicher oder andere Arten eines elektrischen, magnetischen oder optischen Speichermediums oder eines beliebigen anderen Mediums umfassen, das verwendet werden kann, um einen gewünschten Programmcode in Form von Instruktionen oder Datenstrukturen zu tragen oder zu speichern, und auf das durch einen Prozessor eines Mehrzweckcomputers zugegriffen werden kann.
  • In verschiedenen Beispielen werden die Systeme und Verfahren dieser Offenbarung als Module beschrieben. Der Begriff „Modul” ist hier bezogen auf ein real existierendes Gerät, eine real existierende Komponente oder eine Anordnung von Komponenten, die unter Verwendung von Hardware ausgeführt wird, beispielsweise durch einen anwendungsspezifischen integrierten Schaltkreis (ASIC) oder ein Field Programmable Gate Array (FGPA), oder als eine Kombination aus Hardware und Software wie beispielsweise durch ein Mikroprozessorsystem und einen Satz von Anweisungen zur Verwirklichung der Funktionalität des Moduls, die (während sie ausgeführt werden) das Mikroprozessorsystem in ein Spezialgerät umwandeln. Ein Modul kann auch als Kombination der beiden ausgeführt werden, wobei bestimmte Funktionen allein durch Hardware ermöglicht werden und andere Funktionen durch eine Kombination aus Hardware und Software ermöglicht werden. Bei bestimmten Ausführungsformen kann wenigstens ein Teil des Moduls und in anderen Fällen das gesamte Modul in dem Prozessor eines Mehrzweckcomputers (wie dem oben für 4 im Einzelnen beschriebenen) ausgeführt werden. Dementsprechend kann jedes Modul in einer Vielzahl geeigneter Konfigurationen ausgeführt werden und sollte nicht auf eine beliebige, hier beispielartig dargestellte Ausführungsform begrenzt werden.
  • Der Klarheit halber sind hier nicht alle Routinemerkmale der Aspekte offenbart. Es ist klar, dass bei der Entwicklung jeder tatsächlichen Ausführungsform dieser Offenbarung zahlreiche ausführungsformspezifische Entscheidungen getroffen werden müssen, um die spezifischen Ziele des Entwicklers zu erreichen, und dass diese spezifischen Ziele bei verschiedenen Ausführungsformen und verschiedenen Entwicklern unterschiedlich sind. Es ist klar, dass ein solcher Entwicklungsaufwand komplex und zeitaufwändig sein kann, er ist aber dennoch eine Routineentwicklungsaufgabe für den Durchschnittsfachmann, der von dieser Offenbarung profitiert.
  • Weiterhin ist zu beachten, dass die hier verwendete Phraseologie oder Terminologie der Beschreibung dient und nicht einschränkend zu verstehen ist, so dass die Terminologie oder Phraseologie dieser Beschreibung vom Fachmann vor dem Hintergrund der Lehren und der Anleitung, die hierin ausgeführt sind, in der Zusammenschau mit dem Wissen des Fachmanns auf dem einschlägigen Gebiet/den einschlägigen Gebieten auszulegen ist. Weiterhin ist nicht beabsichtigt, dass einem Begriff in der Beschreibung oder den Ansprüchen eine ungewöhnliche oder spezielle Bedeutung zugeschrieben werden soll, sofern dies nicht ausdrücklich vermerkt ist.
  • Die unterschiedlichen, hier offenbarten Beispiele schließen gegenwärtige und zukünftige bekannte Äquivalente der hier beispielartig genannten bekannten Module ein. Während Beispiele und Anwendungen gezeigt und beschrieben wurden, wird dem Fachmann, der von dieser Offenbarung profitiert, klar sein, dass viele weitere Modifikationen als oben erwähnt möglich sind, ohne von den hier offenbarten erfinderischen Konzepten abzuweichen.
  • Das erfindungsgemäße System für eine Festplattenvollverschlüsselung einer Boot-Platte eines Computers kann in den folgenden Verfahren angewandt werden:
    • a) Verfahren zur Festplattenvollverschlüsselung einer Boot-Platte eines Computers (20), umfassend: Durchführen, durch einen Prozessor (21), einer oder mehrerer Pre-Boot-Kompatibilitätsprüfungen an der Boot-Platte des Computers (20) zur Reduzierung von Risiken im Zusammenhang mit einer möglichen Betriebsunfähigkeit des Computers (20) nach Durchführung einer Festplattenvollverschlüsselung, umfassend das Feststellen, ob ein Test-Booten durchgeführt wurde; wenn festgestellt wird, dass das Test-Booten nicht durchgeführt wurde, Durchführen der einen oder mehreren Pre-Boot-Kompatibilitätsprüfungen unter Verwendung von BIOS- und UEFI-Schnittstellen zum Identifizieren der Software und Hardware, die von dem Betriebssystem (35) des Computers (20) verwendet werden, Versuchen eines Bootens eines Betriebssystems (35) des Computers (20) und Anzeigen eines erfolgreichen Bootens des Betriebssystems (35), wenn ein erfolgreiches Booten des Betriebssystems (35) erfolgt ist; wenn festgestellt wird, dass das Test-Booten erfolgreich durchgeführt wurde, Versuchen eines Bootens des Betriebssystems (35) des Computers (20) oder erneutes Durchführen der einen oder mehreren Pre-Boot-Kompatibilitätsprüfungen; wenn festgestellt wird, dass das Test-Booten nicht erfolgreich durchgeführt wurde, Wiederherstellen eines Prozesses des normalen Bootens des Betriebssystems (35) und Durchführen eines normalen Bootens des Betriebssystems (35); Bestimmen einer oder mehrerer Verschlüsselungspolitiken, die auf eine Pre-Boot-Ausführungsphase des Computers (20) anwendbar sind; Vergleichen der Ergebnisse der Pre-Boot-Kompatibilitätstests mit Software- und Hardwarekriterien, die von den bestimmten Verschlüsselungspolitiken gefordert werden, um die Festplattenvollverschlüsselung der Boot-Platte durchzuführen; Feststellen, ob die Festplattenvollverschlüsselung auf die Boot-Platte angewandt werden soll, auf der Grundlage eines Resultats des Vergleichs der Ergebnisse der Pre-Boot-Kompatibilitätsprüfungen mit den Kriterien, die von den Verschlüsselungspolitiken gefordert werden; und wenn festgestellt wird, dass die Festplattenvollverschlüsselung angewandt werden soll, Anwenden der Festplattenvollverschlüsselung auf die Boot-Platte.
    • b) Verfahren nach Absatz a), weiterhin umfassend: Ändern eines Boot-Prozesses des Computers (20) vor der Durchführung der einen oder mehreren Pre-Boot-Kompatibilitätsprüfungen, um die Pre-Boot-Kompatibilitätsprüfungen zu ermöglichen; und Neu-Booten des Computers (20).
    • c) Verfahren nach einem der Absätze a) und b), weiterhin umfassend: wenn bestimmt wird, dass die Festplattenvollverschlüsselung angewandt werden soll: Feststellen, dass die Festplattenvollverschlüsselung nicht auf dem Computer (20) durchgeführt werden kann, wobei der Computer (20) Teil eines Firmennetzwerks ist; und Warnen eines Netzwerkadministrators des Firmennetzwerks, dass die Festplattenvollverschlüsselung nicht durchgeführt werden kann.
    • d) Verfahren nach einem der Absätze a) bis c), wobei die Verschlüsselungspolitiken mit den Pre-Boot-Kompatibilitätsprüfungen sowohl in der Pre-Boot-Ausführungsphase als auch nach dem Starten eines Betriebssystems (35) des Computers (20) verglichen werden.
    • e) Verfahren nach einem der Absätze a) bis d), wobei die Verschlüsselungspolitiken durch den Computer (20) und/oder einen Netzwerksicherheitsserver und/oder einen Pre-Boot-Agenten mit den Pre-Boot-Kompatibilitätsprüfungen verglichen werden.
    • f) Verfahren nach einem der Absätze a) bis e), weiterhin umfassend: Durchführen der Pre-Boot-Kompatibilitätsprüfungen auf Anforderung und ohne nachfolgende Festplattenvollverschlüsselung.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • XP 055194389 (McAfee, Product Guide: „McAfee Endpoint Encryption 7.0, for use with ePolicy Orchestrator 4.6. software”) [0012]

Claims (12)

  1. System zur Festplattenvollverschlüsselung einer Boot-Platte eines Computers (20), umfassend: einen Prozessor (21), der für Folgendes ausgelegt ist: Durchführen einer oder mehrerer Pre-Boot-Kompatibilitätsprüfungen an der Boot-Platte des Computers (20) zur Reduzierung von Risiken im Zusammenhang mit einer möglichen Betriebsunfähigkeit des Computers (20) nach Durchführung einer Festplattenvollverschlüsselung, umfassend das Feststellen, ob ein Test-Booten durchgeführt wurde; wenn festgestellt wird, dass das Test-Booten nicht durchgeführt wurde, Durchführen der einen oder mehreren Pre-Boot-Kompatibilitätsprüfungen unter Verwendung von BIOS- und UEFI-Schnittstellen zum Identifizieren der Software und Hardware, die von dem Betriebssystem (35) des Computers (20) verwendet werden, Versuchen eines Bootens eines Betriebssystems (35) des Computers (20) und Anzeigen eines erfolgreichen Bootens des Betriebssystems (35), wenn ein erfolgreiches Booten des Betriebssystems (35) erfolgt ist; wenn festgestellt wird, dass das Test-Booten erfolgreich durchgeführt wurde, Versuchen eines Bootens des Betriebssystems (35) des Computers (20) oder erneutes Durchführen der einen oder mehreren Pre-Boot-Kompatibilitätsprüfungen; wenn festgestellt wird, dass das Test-Booten nicht erfolgreich durchgeführt wurde, Wiederherstellen eines Prozesses eines normalen Bootens des Betriebssystems (35) und Durchführen eines normalen Bootens des Betriebssystems (35); Bestimmen einer oder mehrerer Verschlüsselungspolitiken, die auf eine Pre-Boot-Ausführungsphase des Computers (20) anwendbar sind; Vergleichen der Ergebnisse der Pre-Boot-Kompatibilitätsprüfungen mit Software- und Hardwarekriterien, die von den bestimmten Verschlüsselungspolitiken gefordert werden, um die Festplattenvollverschlüsselung der Boot-Platte durchzuführen; Feststellen, ob die Festplattenvollverschlüsselung auf die Boot-Platte angewandt werden soll, auf der Grundlage eines Resultats des Vergleichs der Ergebnisse der Pre-Boot-Kompatibilitätsprüfungen mit den Kriterien, die von den Verschlüsselungspolitiken gefordert werden; und wenn festgestellt wird, dass die Festplattenvollverschlüsselung angewandt werden soll, Anwenden der Festplattenvollverschlüsselung auf die Boot-Platte.
  2. System nach Anspruch 1, wobei der Prozessor (21) weiterhin für Folgendes ausgelegt ist: Ändern eines Boot-Prozesses des Computers (20) vor der Durchführung der einen oder mehreren Boot-Kompatibilitätsprüfungen, um die Pre-Boot-Kompatibilitätsprüfungen zu ermöglichen; und Neu-Booten des Computers (20).
  3. System nach einem der vorhergehenden Ansprüche, wobei der Prozessor (21) weiterhin für Folgendes ausgelegt ist: wenn bestimmt wird, dass die Festplattenvollverschlüsselung angewandt werden soll: Feststellen, dass die Festplattenvollverschlüsselung nicht auf dem Computer (20) durchgeführt werden kann, wobei der Computer (20) Teil eines Firmennetzwerks ist; und Warnen eines Netzwerkadministrators des Firmennetzwerks, dass die Festplattenvollverschlüsselung nicht durchgeführt werden kann.
  4. System nach einem der vorhergehenden Ansprüche, wobei die Verschlüsselungspolitiken mit den Pre-Boot-Kompatibilitätsprüfungen sowohl in der Pre-Boot-Ausführungsphase als auch nach dem Starten eines Betriebssystems (35) des Computers (20) verglichen werden.
  5. System nach einem der vorhergehenden Ansprüche, wobei die Verschlüsselungspolitiken durch den Computer (20) und/oder einen Netzwerksicherheitsserver und/oder einen Pre-Boot-Agenten mit den Pre-Boot-Kompatibilitätsprüfungen verglichen werden.
  6. System nach einem der vorhergehenden Ansprüche, wobei der Prozessor (21) weiterhin für Folgendes ausgelegt ist: Durchführen der Pre-Boot-Kompatibilitätsprüfungen auf Anforderung und ohne nachfolgende Festplattenvollverschlüsselung.
  7. Computerprogrammprodukt, gespeichert auf einem nichtflüchtigen computerlesbaren Speichermedium (27, 29, 31) für eine Festplattenvollverschlüsselung einer Boot-Platte eines Computers (20), wobei das Computerprogrammprodukt computerausführbare Instruktionen für Folgendes umfasst: Durchführen, durch einen Prozessor (21), einer oder mehrerer Pre-Boot-Kompatibilitätsprüfungen an der Boot-Platte des Computers (20) zur Reduzierung von Risiken im Zusammenhang mit einer möglichen Betriebsunfähigkeit des Computers (20) nach Durchführung einer Festplattenvollverschlüsselung, umfassend das Feststellen, ob ein Test-Booten durchgeführt wurde; wenn festgestellt wird, dass das Test-Booten nicht durchgeführt wurde, Durchführen der einen oder mehreren Pre-Boot-Kompatibilitätsprüfungen unter Verwendung von BIOS- und UEFI-Schnittstellen zum Identifizieren der Software und Hardware, die von dem Betriebssystem (35) des Computers (20) verwendet werden, Versuchen eines Bootens eines Betriebssystems (35) des Computers (20) und Anzeigen eines erfolgreichen Bootens des Betriebssystems (35), wenn ein erfolgreiches Booten des Betriebssystems (35) erfolgt ist; wenn festgestellt wird, dass das Test-Booten erfolgreich durchgeführt wurde, Versuchen eines Bootens des Betriebssystems (35) des Computers (20) oder erneutes Durchführen des einen oder der mehreren Pre-Boot-Kompatibilitätsprüfungen; wenn festgestellt wird, dass das Test-Booten nicht erfolgreich durchgeführt wurde, Wiederherstellen eines Prozesses eines normalen Bootens des Betriebssystems (35) und Durchführen eines normalen Bootens des Betriebssystems (35); Bestimmen einer oder mehrerer Verschlüsselungspolitiken, die auf eine Pre-Boot-Ausführungsphase des Computers (20) anwendbar sind; Vergleichen der Ergebnisse der Pre-Boot-Kompatibilitätsprüfungen mit Software- und Hardwarekriterien, die von den bestimmten Verschlüsselungspolitiken gefordert werden, um die Festplattenvollverschlüsselung der Boot-Platte durchzuführen; Feststellen, ob die Festplattenvollverschlüsselung auf die Boot-Platte angewandt werden soll, auf der Grundlage eines Resultats des Vergleichs der Ergebnisse der Pre-Boot-Kompatibilitätsprüfungen mit den Kriterien, die von den Verschlüsselungspolitiken gefordert werden; und wenn festgestellt wird, dass die Festplattenvollverschlüsselung angewandt werden soll, Anwenden der Festplattenvollverschlüsselung auf die Boot-Platte.
  8. Produkt nach Anspruch 7, wobei das Computerprogrammprodukt weiterhin computerausführbare Instruktionen für Folgendes umfasst: Ändern eines Boot-Prozesses des Computers (20) vor der Durchführung des einen oder der mehreren Boot-Kompatibilitätsprüfungen, um die Pre-Boot-Kompatibilitätsprüfungen zu ermöglichen; und Neu-Booten des Computers (20).
  9. Produkt nach einem der Ansprüche 7 bis 8, wobei das Computerprogrammprodukt weiterhin computerausführbare Instruktionen für Folgendes umfasst: wenn bestimmt wird, dass die Festplattenvollverschlüsselung angewandt werden soll: Feststellen, dass die Festplattenvollverschlüsselung nicht auf dem Computer (20) durchgeführt werden kann, wobei der Computer (20) Teil eines Firmennetzwerks ist; und Warnen eines Netzwerkadministrators des Firmennetzwerks, dass die Festplattenvollverschlüsselung nicht durchgeführt werden kann.
  10. Produkt nach einem der Ansprüche 7 bis 9, wobei die Verschlüsselungspolitiken mit den Pre-Boot-Kompatibilitätsprüfungen sowohl in der Pre-Boot-Ausführungsphase als auch nach dem Starten eines Betriebssystems (35) des Computers (20) verglichen werden.
  11. Produkt nach einem der Ansprüche 7 bis 10, wobei die Verschlüsselungspolitiken durch den Computer (20) und/oder einen Netzwerksicherheitsserver und/oder einen Pre-Boot-Agenten mit den Pre-Boot-Kompatibilitätsprüfungen verglichen werden.
  12. Produkt nach einem der Ansprüche 7 bis 11, wobei das Computerprogrammprodukt weiterhin computerausführbare Instruktionen für Folgendes umfasst: Durchführen der Pre-Boot-Kompatibilitätsprüfungen auf Anforderung und ohne nachfolgende Festplattenvollverschlüsselung.
DE202015009482.1U 2014-06-03 2015-02-25 System einer Festplattenvollverschlüsselung mit Prüfung der Kompatibilität der Boot-Platte Active DE202015009482U1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/294,311 US9003176B1 (en) 2014-06-03 2014-06-03 System and methods for full disk encryption with a check for compatibility of the boot disk
US201414294311 2014-06-03

Publications (1)

Publication Number Publication Date
DE202015009482U1 true DE202015009482U1 (de) 2017-11-13

Family

ID=52596360

Family Applications (1)

Application Number Title Priority Date Filing Date
DE202015009482.1U Active DE202015009482U1 (de) 2014-06-03 2015-02-25 System einer Festplattenvollverschlüsselung mit Prüfung der Kompatibilität der Boot-Platte

Country Status (3)

Country Link
US (2) US9003176B1 (de)
EP (1) EP2953050A1 (de)
DE (1) DE202015009482U1 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9329931B2 (en) * 2013-07-24 2016-05-03 Seagate Technology Llc Solid state drive emergency pre-boot application providing expanded data recovery function
US9003176B1 (en) * 2014-06-03 2015-04-07 Kasepersky Lab ZAO System and methods for full disk encryption with a check for compatibility of the boot disk
US9448785B1 (en) 2015-11-06 2016-09-20 AO Kaspersky Lab System and method updating full disk encryption software
CN106776161B (zh) * 2016-11-18 2020-06-26 Oppo广东移动通信有限公司 一种防止掉电数据丢失的方法、装置及移动终端
CN110427288B (zh) * 2019-07-19 2023-08-08 深圳忆联信息系统有限公司 基于固态硬盘的bitlocker加解密测试方法和装置
JP6775651B1 (ja) * 2019-08-07 2020-10-28 レノボ・シンガポール・プライベート・リミテッド 情報処理装置、制御方法、及びプログラム

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6889340B1 (en) 2000-10-13 2005-05-03 Phoenix Technologies Ltd. Use of extra firmware flash ROM space as a diagnostic drive
SG173021A1 (en) * 2009-01-23 2011-08-29 Agency Science Tech & Res Method of accessing a data storage device
US8533830B1 (en) 2009-03-31 2013-09-10 Mcafee, Inc. System, method, and computer program product for mounting an image of a computer system in a pre-boot environment for validating the computer system
US8171272B1 (en) 2009-04-09 2012-05-01 Symantec Corporation Critical pre-OS driver verification
US8588422B2 (en) 2009-05-28 2013-11-19 Novell, Inc. Key management to protect encrypted data of an endpoint computing device
US8312296B2 (en) * 2010-03-10 2012-11-13 Dell Products L.P. System and method for recovering from an interrupted encryption and decryption operation performed on a volume
GB201005479D0 (en) * 2010-03-31 2010-05-19 Becrypt Ltd System and method for unattended computer system access
US20120151223A1 (en) * 2010-09-20 2012-06-14 Conde Marques Ricardo Nuno De Pinho Coelho Method for securing a computing device with a trusted platform module-tpm
US9154299B2 (en) 2010-12-13 2015-10-06 Novell, Inc. Remote management of endpoint computing device with full disk encryption
US9202059B2 (en) 2011-03-01 2015-12-01 Apurva M. Bhansali Methods, systems, and apparatuses for managing a hard drive security system
CN102726027B (zh) * 2011-12-28 2014-05-21 华为技术有限公司 虚拟机全盘加密下预启动时的密钥传输方法和设备
US9727731B2 (en) * 2012-12-21 2017-08-08 Kabushiki Kaisha Toshiba Setting method, program, and information processing apparatus
US9003176B1 (en) * 2014-06-03 2015-04-07 Kasepersky Lab ZAO System and methods for full disk encryption with a check for compatibility of the boot disk

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ENDPOINT MCAFEE, MCAFEE ENDPOINT ENCRYPTION 7.0.FOR USE WITH EPOLICY ORCHESTRATOR 4.6 SOFTWARE. PRODUCT GUIDE: "Product Guide", MCAFEE, 1 January 2012 (2012-01-01), XP055194389, Retrieved from the Internet <URL:https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/24000/PD24140/en_US/Endpoint_Encryption_7_0_Product_Guide.pdf> [retrieved on 20150609]

Also Published As

Publication number Publication date
EP2953050A1 (de) 2015-12-09
US9003176B1 (en) 2015-04-07
US9384353B2 (en) 2016-07-05
US20150347757A1 (en) 2015-12-03

Similar Documents

Publication Publication Date Title
DE102013112672B4 (de) Datenspeicher für eine Remote-Umgebung
DE202015009482U1 (de) System einer Festplattenvollverschlüsselung mit Prüfung der Kompatibilität der Boot-Platte
DE112018002031T5 (de) Sichern einer betriebssystemkonfiguration unter verwendung von hardware
Son et al. A study of user data integrity during acquisition of Android devices
DE60037606T2 (de) Rechner mit urladungsfähigem sicherem Programm
US10025674B2 (en) Framework for running untrusted code
DE10393662T5 (de) Bereitstellen eines sicheren Ausführungsmodus in einer Preboot-Umgebung
DE112016000576T5 (de) Sicheres Booten eines Computers von einer für den Benutzer vertrauenswürdigen Einheit aus
DE112014000337T5 (de) Sichere Ausführung von Software-Modulen auf einem Computer
DE112009000612T5 (de) Multi-Betriebssystem-Booteinrichtung (OS), Multi-OS-Boot-Programm, Aufzeichnungsmedium und Multi-OS-Bootverfahren
DE202014011086U1 (de) System zur Bestimmung einer Vertrauenswürdigkeitskategorie von Anwendungen, die eine Schnittstellenüberlagerung durchführen
DE112011104325T5 (de) Computerlesbare Speichermedien zum Verschlüsseln und Entschlüsseln einer virtuellen Platte
DE112011102256T5 (de) System und Verfahren zum Speichern eines Passwortwiederherstellungsgeheimnisses
US9690944B2 (en) System and method updating disk encryption software and performing pre-boot compatibility verification
DE112011105687T5 (de) Verwendung eines Option-ROM-Speichers
US9858434B2 (en) System and method for erasing a storage medium
CN114651232A (zh) 数据管理
DE202014011089U1 (de) System zum Kopieren von Dateien zwischen verschlüsselten und unverschlüsselten Datenspeichereinrichtungen
DE202010017644U1 (de) Hybridspeichervorrichtung
DE202014011116U1 (de) System zum Bewahren und nachfolgenden Wiederherstellen eines Emulatorzustands
KR101649909B1 (ko) 가상 머신 취약점 점검과 복구 방법 및 장치
DE112015007220T5 (de) Techniken zum Koordinieren von Vorrichtungshochfahrsicherheit
DE102020113691A1 (de) Systeme und verfahren zum verwalten von endpunkt-sicherheitszuständen
WO2015116204A1 (en) Encrypted in-place operating system migration
DE102018113637A1 (de) Informationsverarbeitsverfahren, Informationsverarbeitungsvorrichtung und Aufzeichnungsmedium

Legal Events

Date Code Title Description
R082 Change of representative

Representative=s name: V. FUENER EBBINGHAUS FINCK HANO, DE

R207 Utility model specification
R150 Utility model maintained after payment of first maintenance fee after three years
R151 Utility model maintained after payment of second maintenance fee after six years
R152 Utility model maintained after payment of third maintenance fee after eight years