Secure Disk bietet die Möglichkeit ein verschlüsseltes Systemlaufwerk automatisch zu entsperren. Diese Funktion wird Friendly Network Mode oder auch Netzwerkentsperrung genannt.
Typischerweise verlangt eine Festplattenverschlüsselung auch mit BitLocker, die Eingabe von Authentisierungs-Informationen (z.B. TPM-PIN, Name/Passwort, Smartcard(PIN) damit ein verschlüsseltes Laufwerk freigeschaltet werden kann.
Dadurch ist die Softwareverteilung (Updates, Patches, Fixes) erheblich erschwert, wenn gerade Anwender an den betroffenen Rechnern arbeiten.
Durch die Netzwerkentsperrung/Friendly Network Mode steht den Systembetreuern nun eine sichere Methode zur Verfügung, mit der sie die Softwareverteilung auf verschlüsselten Systemen vollautomatsch und unbeaufsichtigt durchführen können.
Dabei wird ein Network-Unlock-Key über eine sichere Verbindung an die zentrale Komponente von Secure Disk geschickt, dort entschlüsselt und an den Client zurück gesendet. Der zurückgesendete Schlüssel ist nun in der Lage den KEK (Key Encryption Key zu entschlüsseln und der Rechner bootet direkt in Windows.
Geschäftsprozesse und bestehende Update-Verfahren müssen weder geändert noch angepasst werden. Dieses Konzept erhöht nicht nur die Sicherheit, da die unsichere lokale Zwischenspeicherung von Schlüsselinformationen entfällt sondern sorgt auch für einen hohen Benutzerkomfort und reibungslosen Ablauf der Prozesse.
Ein weiterer Vorteil des „Friendly Network Mode“ ist der Betrieb des Rechners ohne PBA unter voller Einhaltung der Sicherheit. Das System kann so eingestellt werden, dass der Rechner nach dem Starten– ohne PreBoot-Authentisierung – direkt in die Windows Anmeldemaske bootet, sofern der Rechner mit dem sicheren internen LAN (Kabel oder WLAN) verbunden ist. Die Benutzer können sich in gewohnter Weise am Windows Betriebssystem anmelden.
Verlässt nun ein Mitarbeiter mit seinem Notebook das Unternehmen und ist „offline“, wird nach dem erneuten Start des Rechners automatisch die PBA aktiviert. In der PBA verwendet der Benutzer, in gewohnter Weise, seine Windows Anmeldedaten für die Benutzeranmeldung und wird mittels Single SignOn automatisch am Betriebssystem angemeldet.
Limburg, 03.06.2012