Zum Hauptinhalt springen

Festplattenverschlüsselungsstatus

Alert when a device's primary partition isn't encrypted. The Encryption Status monitor checks BitLocker on Windows, FileVault on macOS, and LUKS on Linux with no configuration needed.

Einführung

Unverschlüsselte Endpunkte sind eine der häufigsten Compliance-Lücken in jeder Umgebung. Ein verlorenes Notebook mit einer unverschlüsselten Festplatte ist ein Datenleck; ein verlorenes Notebook mit einer verschlüsselten Festplatte ist ein Hardwareverlust.

Der Monitor für den Verschlüsselungsstatus prüft, ob die primäre Partition jedes Geräts verschlüsselt ist, und erstellt eine Warnung, wenn dies nicht der Fall ist oder wenn die Verschlüsselung einen unerwarteten Zustand aufweist. Er funktioniert unter Windows (BitLocker), macOS (FileVault) und Linux (LUKS) und erfordert keine Schwellenwert- oder Dauerkonfiguration. Fügen Sie ihn einer Richtlinie hinzu, und er beginnt sofort mit der Prüfung.

Funktionsweise

Der Monitor läuft auf dem Agenten. Er führt eine boolesche Prüfung durch: Ist die primäre Partition des Geräts verschlüsselt – ja oder nein? Es gibt keine Schwellenwerte, Dauern oder Bereiche zu konfigurieren.

Die Prüfung umfasst nur die primäre (Boot-)Partition. Sekundäre Laufwerke und zusätzliche Volumes werden nicht ausgewertet. Wenn Sie die Verschlüsselung auf sekundären Laufwerken überprüfen müssen, kombinieren Sie diesen Monitor mit einem Skript-Monitor, der die gewünschten Volumes prüft. Siehe Skript-Monitor ausführen.

🖥️ PLATTFORMHINWEIS:

  • Windows: Prüft den BitLocker-Schutzstatus auf dem Boot-Volume. Dies gibt an, ob der BitLocker-Schutz derzeit aktiv ist, nicht nur ob das Volume verschlüsselt wurde. Ein vollständig verschlüsseltes Volume, bei dem der Schutz ausgesetzt ist (was vorübergehend bei einigen Windows-Updates und Firmware-Änderungen vorkommt), wird als nicht verschlüsselt gemeldet.

  • macOS: Prüft mithilfe einer nativen macOS-Prüfung, ob FileVault aktiviert ist.

  • Linux: Prüft auf LUKS-Verschlüsselung der Root-Partition (/).

Monitor hinzufügen

Öffnen Sie die Monitor-Richtlinie, die auf die Geräte ausgerichtet ist, die Sie prüfen möchten, und klicken Sie dann auf + Neuen Monitor hinzufügen.

Disk Encryption Status

Name und Typ

  1. Geben Sie einen Namen , der den Zweck des Monitors auf einen Blick deutlich macht, z. B. „Festplattenverschlüsselungsstatus" oder „Arbeitsstationen – Verschlüsselungs-Compliance".

  2. Setzen Sie Typ auf Verschlüsselungsstatus.

Sobald der Typ ausgewählt ist, bestätigt das Bedienfeld, dass nichts weiteres einzustellen ist: Der Monitor überwacht ausschließlich die primäre Partition des Geräts, ohne dass eine Konfiguration erforderlich ist.

Schweregrad

Setzen Sie Schweregrad entsprechend der Dringlichkeit, mit der Ihr Team ein unverschlüsseltes Gerät behandelt:

  • Information

  • Warnung

  • Kritisch

💡 TIPP: Wenn Ihre Kunden Compliance-Anforderungen haben (HIPAA, CMMC, Cyber-Versicherungsnachweise), empfiehlt sich „Kritisch". Ein unverschlüsselter Endpunkt beeinträchtigt zwar nicht die Leistung, ist jedoch jede Stunde, die er unbehoben bleibt, ein offener Compliance-Befund.

Behebung

Fügen Sie eine Automatisierung hinzu, die ausgeführt wird, wenn diese Warnung ausgelöst wird. Klicken Sie auf das Automatisierung auswählen Feld und wählen Sie eine aus; verwenden Sie das Link Symbol, um die ausgewählte Automatisierung in einem neuen Tab zu öffnen, das Auge Symbol, um eine Vorschau anzuzeigen, oder das × um die Auswahl aufzuheben.

ℹ️ HINWEIS: Behebungen werden ausgeführt, wenn die Warnung erstellt wird, nicht wenn sie aufgelöst wird.

Die natürliche Kombination hier ist eine Automatisierung, die auf der Festplattenverschlüsselung aktivieren Aktion, die BitLocker oder FileVault aktiviert und den Wiederherstellungsschlüssel in Level speichert. Das schließt den Kreislauf: Der Monitor erkennt die Lücke, die Automatisierung behebt sie, und die automatische Auflösung schließt die Warnung.

⚠️ WARNUNG: Überlegen Sie gut, bevor Sie die Verschlüsselung auf Servern und gemeinsam genutzten Geräten automatisch beheben. Das Aktivieren von BitLocker kann einen Neustart erfordern, und jede Verschlüsselungsänderung hat Auswirkungen auf den Wiederherstellungsschlüssel. Für Arbeitsstationen ist eine automatische Behebung in der Regel sicher. Für Server ist ein reiner Benachrichtigungsansatz mit manueller Nachverfolgung oft die bessere Wahl.

Empfänger benachrichtigen

Zwei Kontrollkästchen steuern, ob die Empfänger der Richtlinie eine E-Mail erhalten:

  • Bei Warnungserstellung sendet eine E-Mail, wenn die Warnung ausgelöst wird.

  • Bei Warnungsauflösung sendet eine E-Mail, wenn die Warnung aufgelöst wird.

Beide sind standardmäßig deaktiviert. Empfänger werden auf der Ebene der Monitor-Richtlinie im Empfänger Abschnitt.

Automatische Auflösung

Der Warnung automatisch auflösen, wenn Bedingungen sich klären Schalter schließt die Warnung automatisch, sobald die primäre Partition wieder als verschlüsselt gemeldet wird – ob das daran liegt, dass Ihre Automatisierung die Verschlüsselung aktiviert hat oder ein Techniker das Problem manuell behoben hat.

Dieser Monitor ist standardmäßig deaktiviert. Aktivieren Sie ihn, wenn Sie den Monitor mit einer automatisierten Behebung kombinieren. Lassen Sie ihn deaktiviert, wenn jeder Verschlüsselungsbefund so lange offen bleiben soll, bis jemand ihn überprüft hat.

Häufig gestellte Fragen

  • Warum löst ein Gerät eine Warnung aus, obwohl ich weiß, dass das Laufwerk verschlüsselt ist? Unter Windows liest der Monitor den Schutzstatus von BitLocker, nicht nur den Verschlüsselungszustand. Ein Volume, das vollständig verschlüsselt ist, dessen Schutz jedoch ausgesetzt wurde (was bei bestimmten Windows-Updates vorübergehend üblich ist), wird als nicht verschlüsselt gemeldet, bis der Schutz wieder aufgenommen wird. Wenn die Warnung nach Abschluss des Updates nicht verschwindet, prüfen Sie manage-bde -status auf dem Gerät.

  • Werden alle Laufwerke oder nur das Systemlaufwerk geprüft? Nur die primäre (Boot-)Partition. Sekundäre Laufwerke und Daten-Volumes werden auf keiner Plattform ausgewertet. Verwenden Sie einen Skript-Monitor, wenn Sie Abdeckung über das Boot-Volume hinaus benötigen.

  • Kann er Drittanbieter-Verschlüsselung wie VeraCrypt oder Symantec erkennen? Nein. Der Monitor prüft die betriebssystemeigenen Mechanismen: BitLocker unter Windows, FileVault unter macOS und LUKS unter Linux. Geräte, die eine Drittanbieter-Vollverschlüsselung verwenden, werden als nicht verschlüsselt gemeldet.

  • Ich habe den Monitor hinzugefügt, aber einige Geräte lösen nie eine Warnung aus und werden nie als ausgewertet angezeigt. Warum? Überprüfen Sie die Agentenversion. Ältere Agenten ignorieren Monitor-Typen, die sie nicht erkennen, sodass Geräte mit veralteten Versionen diese Prüfung überhaupt nicht ausführen. Aktualisieren Sie den Agenten, und der Monitor erfasst sie.

  • Kann die Warnung das Problem automatisch beheben? Ja. Fügen Sie eine Automatisierung hinzu, die die Festplattenverschlüsselung aktivieren Aktion als Behebung. Level aktiviert BitLocker oder FileVault und speichert den Wiederherstellungsschlüssel. Aktivieren Sie die automatische Auflösung, damit die Warnung geschlossen wird, sobald die Verschlüsselung aktiv ist.

  • Wer kann diesen Monitor erstellen und bearbeiten? Techniker mit Zugriff auf die entsprechende Monitor-Richtlinie. Berechtigungseinstellungen werden in Arbeitsbereich → Berechtigungen.

Verwandte Artikel
Festplattennutzungs-Monitor
Aktion: Festplattenverschlüsselung aktivieren
Aktion: Festplattenverschlüsselung deaktivieren
Aktion: Festplattenverschlüsselungsschlüssel rotieren
Geräteübersicht
Hat dies deine Frage beantwortet?