[ Produkte
  Consulting
  Professional Services
  Development

 
 
HomeUnternehmen[Lösungen]PartnerSupport
spacer

Geraten Firmendaten durch Verlust oder Diebstahl von Desktops, Laptops oder auch Geldautomaten in falsche Hände, kann dies schnell zu Imageschäden und im schlimmsten Fall sogar zu finanziellen Verlusten führen. Um dies zu verhindern, verschlüsseln immer mehr Unternehmen ihre Datenspeicher.
Eine sektorbasierte Vollverschlüsselung aller Partitionen auf einem Endgerät, bietet dabei den höchstmöglichen Grad an Sicherheit, da durch diese Form der Verschlüsselung, auch das gesamte Betriebssystem inklusive aller temporärer Dateien, der Auslagerungsdatei sowie des Hibernation-Files gewährleistet ist.
 
Abhängig vom Einsatzszenario (Benutzer im Außendienst mit Laptops, Desktops im Unternehmen, Geldautomaten....) gibt es unterschiedliche Anforderungen an die Funktionalität der Festplattenverschlüsselung. Diese Unterschiede spiegeln sich meist in folgenden Eigenschaften wider:
 

  • Keymanagement
  • VerschlĂĽsselung
  • Authentisierungsmechanismen
  • Helpdeskmechanismen
  • Managementfunktionen
  • Administration
  • Recoverymechanismen

 
Ăśberblick CP Secure Disk

Beim Produkt CP Secure Disk handelt es sich um eine Full Disk Encryption (FDE), welche aus der Anforderung heraus entstanden ist, dass ein voll verschlĂĽsseltes System automatisch (ohne Benutzerinteraktion) booten soll, der SchlĂĽssel aber nicht im Klartext oder verschleiert auf der Festplatte gespeichert werden darf.
Ein klassisches Einsatzszenario ist hier beispielsweise der Geldautomat, da diese Geräte vollautomatisch gestartet werden müssen und eine Benutzerinteraktion nicht möglich ist. Andererseits bietet ein vorverteilter, im Klartext oder verschleiert gespeicherter Schlüssel auf dem System nur wenig Schutz um dem bestehenden Angriffspotential entgegenzuwirken.
Die Lösung für dieses Einsatz-Szenario bietet ein Pre-Boot Authentisierungsprozess mit integriertem Netzwerksupport. Somit kann der für die Entschlüsselung des Endgerätes notwendige Schlüssel, vor dem Starten des eigentlichen Betriebssystems, über eine SSL gesicherte Leitung von einem zentralen, sicheren „Key-Server“ abgeholt und dem System bereitgestellt werden.
Aus der Notwendigkeit des Netzwerksupports in der PBA, ergeben sich in weiterer Folge eine Vielzahl von Vorteilen für den Anwender, die dem Produkt unzählige Alleinstellungsmerkmale bescheren.
 

FunktionsĂĽberblick

Das Produkt CP Secure Disk verfĂĽgt ĂĽber eine Vielzahl von Funktionen:

  • Full-Disk-Encryption: AES 256-Bit VerschlĂĽsselung
  • Pre-Boot Authentication System (PBA) – gehärtetes Linux startet um Benutzer zu authentifizieren
  • Authentisierungsmechanismen in der PBA
    • UserID/PW (Windows Credentials)
    • Biometrie (Fingerprint)
    • Smartcards/Zertifikate
    • Softtoken (auf USB-Stick)
    • USB-Stick (ohne Passwort)
    • Key-Server (SchlĂĽssel wird von einem zentralen Service bezogen – keine Benutzerinteraktion erforderlich)
  • NetzwerkverfĂĽgbarkeit in der PBA
    • Windows-User-Authentisierung in der PBA – dadurch ist keinerlei Form der Benutzeradministration erforderlich – Zero-Administration
    • Online-Helpdesk-Funktionalität (kein Challenge/Response erforderlich)
    • Secure Wake-on-LAN Support
    • Online-Recovery Funktionalität
  • Helpdeskmechanismen fĂĽr jegliche Formen von Anmeldeproblemen in der PBA
    • Online und Offline (Challenge/Response)
  • PBA-Integration von Smartcard-Middleware zur flexiblen smartcardbasierten Anmeldung (PKCS#11)
  • PBA-PC/SC und CCID Support zum flexiblen Einsatz unterschiedlicher Smartcard-Reader
  • Support des Hibernationmodus fĂĽr Notebooks (verschlĂĽsseltes hiberfile.sys)
  • Emergency Recovery Modul in die PBA integriert (um einen raschen Wiederanlauf bei Problemen zu gewährleisten)
  • Systemarchitektur erlaubt auch die PBA-Anbindung an div. Encryption-Engines (Microsoft Bitlocker, TrueCrypt…)
  • Automatische Hardware-Erkennung und Analyse (fĂĽr einen reibungslosen Bootprozess)
  • UnterstĂĽtzte Plattformen: Windows XP, Vista, Windows7 (32 und 64 Bit)
  • Zentrale Administration (SQL-basierend mit Anbindung an das MS Active Directory, LDAP
  • Skriptbasierte Administration fĂĽr Kunden die bereits ĂĽber eigene Verwaltungsmechanismen verfĂĽgen
     

Funktionen im Detail

Full-Disk-Encryption: AES 256-Bit VerschlĂĽsselung

Das Produkt CP Secure Disk verfügt über eine eigene Encryption Engine, bei der neben der Sicherheit speziell auf Performance wertgelegt wird. Es handelt sich dabei um eine AES (256-Bit)-Verschlüsselung. Die Produktarchitektur sieht jedoch vor, dass über Schnittstellen eine einfache Integration von weiteren auch individuellen Algorithmen jederzeit möglich ist.

Pre-Boot Authentication System (PBA) – gehärtetes Linux startet um Benutzer zu authentifizieren

Basierend auf einem Linux-Kernel wurden sämtliche Standardmechanismen, die nicht unmittelbar für die Funktionen der PBA erforderlich sind entfernt oder ausgeschaltet. Somit bietet das linuxbasierte PBA-System keinerlei Angriffsfläche. Darüber hinaus wurde ein checksummenbasierte Mechanismus zur Manipulationssicherheit implementiert. Jegliche Form der Manipulation an System- oder sicherheitsrelevanten Objekten wird sofort erkannt – das System wird darauf hin nicht weiter ausgeführt und „friert ein“. Das zugrundeliegende Linux-System bietet darüber hinaus die Möglichkeit auf viele bestehende Mechanismen und Programmiermöglichkeiten zurückzugreifen und dieses jederzeit zu erweitern. So existieren bereits heute für nahezu alle Smartcard-Reader entsprechende Linux-Treiber, resp. für fast alle Smartcards entsprechende Middleware-Komponenten, die einfach in die PBA integriert werden können. GUI-Elemente können ebenso einfach erstellt und integriert werden.

Authentisierungsmechanismen in der PBA

Die oben erwähnte linuxbasierte PBA bietet natürlich auch die Möglichkeit der Implementierung zahlreicher Authentisierungsmethoden. Bei all dieser Methoden ist die Möglichkeit des Single-SignOn an das jeweilige Microsoft Betriebssystem gegeben und konfigurierbar.

  • UserID/PW (mit Windows Credentials): Die Anmeldung in der PBA mittels Windows Anmeldeinformationen (Windows Credentials) bietet zweifelsohne die eleganteste und einfachste Form der Benutzerauthentisierung. Bei dieser Anmeldeart kann das System so konfiguriert werden, dass, mittels einem zentralen Service, die Pre-Boot Authentisierung gegen das MS Active Directory erfolgt. Erst bei entsprechend positiver RĂĽckmeldung aus dem Active Directory wird der Benutzer in der PBA authentisiert und auch gleichzeitig automatisch angelegt. In diesem Zusammenhang ist keine weitere Benutzeradministration mehr erforderlich (ZERO-Administration)
  • Biometrie (Fingerprint): Eine Anmeldung in der PBA mittels Fingerprint ist auf zwei unterschiedliche Arten möglich:
    • Fingerprint only: Der Benutzer wird anhand seines Fingerprints identifiziert und in der PBA angemeldet. Da ein Fingerprint jedoch nie einen eindeutigen SchlĂĽssel liefert, kann auf dieser Basis keine EntschlĂĽsselung erfolgen, sondern lediglich eine Identifikation. Die eigentliche EntschlĂĽsselung wird nach entsprechender Identifikation mittels SystemschlĂĽssel durchgefĂĽhrt.
    • Fingerprint kombiniert mit UserID/PW: In Kombination mit UserID/PW (siehe Windows Credentials) bietet der Fingerprint sicherheitstechnisch einen echten Mehrwert, da zusätzlich zum Benutzer-Passwort auch der Fingerprint des Benutzers ĂĽberprĂĽft wird. Die EntschlĂĽsselung ist hier nicht mehr nur ĂĽber einen SystemschlĂĽssel geschĂĽtzt, sondern auch durch die richtige Eingabe des Passworts. Die Templates zur ĂśberprĂĽfung des Fingerprints liegen in diesem Fall im verschlĂĽsselten Teil der Festplatte und sind somit von auĂźen nicht angreifbar.
  • Smartcards/Zertifikate: Die zertifikatsbasierte Anmeldung an das System mittels Smartcard stellt die sicherste Variante der Preboot Authentisierung dar. Die Ver- bzw. EntschlĂĽsselung erfolgt hierbei auf Basis von Public-Key-Mechanismen (zertifikatsbasierend). Es spielt keine Rolle, von welcher CA das Zertifikat ausgestellt wird, somit ist diese Lösung absolut PKI unabhängig. Durch die Implementierung der PBA auf Basis von Linux, ist bereits heute eine Vielzahl von Smartcard-Middleware-Komponenten integriert. Eine UnterstĂĽtzung weiterer Smartcards (Middleware) ist nachträglich ĂĽber die zentrale Administration möglich.
  • Softtoken (auf USB-Stick): Jene Kunden, die zwar eine zertifikatsbasierte Anmeldung realisieren möchten, aber aus administrativen, logistischen oder Kosten- GrĂĽnden keine Smartcard zum E Einsatz bringen möchten, wurde mit dieser Option die Möglichkeit realisiert, Softtoken (PKCS#12) auf USB-Stick´s zu speichern.
  • USB-Stick (semitransparente VerschlĂĽsselung): Um einer Benutzerauthentisierung in der PBA zur Gänze aus dem Weg zu gehen, aber dennoch keine transparent arbeitende PBA (SchlĂĽssel liegt vorverteilt verschleiert auf dem System) zum Einsatz zu bringen, gibt es die Möglichkeit einer sog. semitransparenten VerschlĂĽsselung. Dabei ist in der PBA zwar keine Benutzerinteraktion erforderlich, jedoch muss ein vorher initialisierter USB-Stick angesteckt sein. Die eigentliche Authentisierung erfolgt dann im Rahmen der Windows-System-Anmeldung. (SchlĂĽssel-Schloss- Prinzip)
  • KeyServer: Insbesondere fĂĽr Computersysteme, die ohne Benutzerinteraktion starten können mĂĽssen (wie z. B. Geldausgabeautomaten, Server, Kiosksysteme…) können mit dieser Form des SchlĂĽsselmanagements elegant auf eine hochsicheres VerschlĂĽsselungsniveau gehoben werden. Hierbei wird der SchlĂĽssel, der notwendig ist um das System starten zu können, (ist notwendig, da auch das Betriebssystem verschlĂĽsselt ist) von einem zentral laufenden Server abgeholt. Die Aministration erfolgt zentral. An dieser zentralen Stelle wird entschieden, ob ein Computer bei Anfrage einen SchlĂĽssel erhält oder nicht. Im Falle eines Diebstahls eines derartigen PCs, kann dieser zentral sofort so konfiguriert werden, dass kein SchlĂĽsselmaterial mehr geliefert wird. Das Booten bzw. der Zugriff von AuĂźen auf die Daten ist somit – gesteuert von zentraler Seite – unmöglich.
     

NetzwerkverfĂĽgbarkeit in der PBA

CP Secure Disk verfĂĽgt als einziges Produkt auf dem Markt ĂĽber Netzwerksupport in der PBA. Diese Eigenschaft verleiht dem Produkt viele neue Funktionen:

  • Zero-Administration: Die PBA-Windows Credentials – Anmeldung kann bereits in der PBA die eingegebenen Anmeldeinformationen gegen das Active Directory prĂĽfen. Eine zusätzliche Benutzerverwaltung (fĂĽr die PBA) ist nicht mehr erforderlich.
  • Online Helpdesk-Funktionalität: Hat ein Benutzer seine Anmeldeinformationen vergessen (oder seine Smartcard verloren bzw. sie ist defekt…) und der Benutzer ist mit seinem Netzwerk verbunden, so hat er die Möglichkeit sich online vom HelpDesk Operator helfen zu lassen. In diesem Fall ist kein langwierige und aufwendige Challenge/Response Operation notwendig.
  • Secure Wake-on-LAN: Viele Unternehmen realisieren ihre Softwareverteilung oder Patchmanagement mittels Wake-on-LAN (WOL) nach der Arbeitszeit der Endanwender. Dabei werden die Computer via WOL gestartet. Die Softwareverteilung erfolgt somit voll automatisch. Im Falle einer PBA wĂĽrde der Computer im Zuge des Bootprozesses in der PBA verweilen – eine Benutzerinteraktion wäre erforderlich und eine automatische Softwareverteilung unmöglich. CP Secure Disk startet nach einem konfigurierbaren Zeitintervall der Inaktivität (es erfolgt keine Benutzerinteraktion) eine Anfrage an den zentral laufenden WOL-Service. Ist der PC fĂĽr eine WOL-Aktion (zentral konfigurierbar) vorgesehen, so erhält dieser vom WOL-Service, das erforderliche SchlĂĽsselmaterial um starten zu können – eine automatische Softwareverteilung ist somit ohne Probleme realisierbar.
  • Online-Recovery: Eine wesentliche Anforderung an FDE-Produkte ist ein sicherer und schneller Daten-Recovery-Prozess. CP Secure Disk verfĂĽgt ĂĽber ein, in der PBA integriertes, optional zu bootendes Recovery-System (dieses kann auch von USB-Stick oder CD gebootet werden). Nach dem Bootvorgang des Recovery-Systems (BartPE oder WINPE) muss der SchlĂĽssel, der fĂĽr den Zugriff auf die Festplatte erforderlich ist, nachgeladen werden. Dies kann online – abgefragt von einem zentral laufenden Recovery-Service – erfolgen. Diese Funktionalität ermöglicht auch ein sicheres und einfaches Outsourcing der Computer-Recovery-Aministration. Das SchlĂĽsselmaterial muss auf diese Art und Weise nicht in externe Hände gelegt werden – der Outsourcing-Partner stellt im Falle eines Recovery´s einfach eine Online-Anfrage zur Freischaltung des entsprechenden PCs.

HelpDesk-Mechanismen

Im Falle von Anmeldeproblemen muss dem Benutzer möglichst schnell und vielfältig geholfen werden können. Sämtliche HelpDesk-Mechanismen stehen dem Unternehmen sowohl online als auch offline zur Verfügung.

PBA-Integration von Smartcard-Middleware zur flexiblen smartcardbasierten Anmeldung (PKCS#11) 

Wie bereits erwähnt zählt die Pre-Boot Authentisierung zu den sichersten Anmeldemethoden. Die linuxbasierte PBA von CP Secure Disk bietet hier die perfekte Basis zur Integration unterschiedlicher Middleware-Komponenten unterschiedlicher Hersteller für den Zugriff auf div. Smartcard-Typen. Der Zugriff auf die Smartcard erfolgt dabei über die standardisierte PKCS#11-Schnittstelle.

PBA-PC/SC Support zum flexiblen Einsatz unterschiedlicher Smartcard-Reader

Der Smartcard-Reader ist die Basis fĂĽr den Einsatz der Smartcard. Hier gilt gleiches wie bei der Smartcard selbst. Auch hier bietet die linuxbasierte PBA die perfekte Basis zur Integration unterschiedlichster Smartcard-Reader. DarĂĽber hinaus kann ĂĽber den generischen CCID-Treiber der GroĂźteil an Smartcard-Readern ohne zusätzliche Treiberinstallation adressiert werden. 

Support des Hibernationmodus fĂĽr Notebooks (verschlĂĽsseltes hiberfile.sys)

Da es sich hierbei um eine Full-Disk-Encryption handelt, wird natürlich auch das pagefile.sys (Auslagerungsdatei von Windows) aber auch das hiberfile.sys (Hibernation-Datei für Ruhezustand) verschlüsselt. CP Secure Disk bietet die Möglichkeit, das System auch aus dem verschlüsselten Zustand wieder „aufzuwecken“ und somit die gewohnte Ruhezustands- (oder Hibernation-) Funktionalität zu nutzen.

Emergency Recovery Modul in die PBA integriert (um einen raschen Wiederanlauf bei Problemen gewährleisten zu können)

Kann das System nicht mehr gestartet werden (z. B. läuft dieses beim Starten in einen BSOD), so ist schnelle Hilfe und Datenrettung angesagt. CP Secure Disk bietet fĂĽr diesen Zweck die Möglichkeit ein sog. Recovery-System (BartPE oder WINPE) bereits aus der PBA heraus optional zu Booten. Ist auch die PBA nicht mehr funktionsfähig, so kann dieses System natĂĽrlich auch von CD oder USB-Stick gebootet werden. Mittels spezieller Recovery-Console kann das entsprechende SchlĂĽsselmaterial ĂĽber den zentral laufenden Recovery-Service „abgeholt“ und an den VerschlĂĽsselungstreiber ĂĽbergeben werden. Sofort nach dieser Aktion besteht wieder voller transparenter Klartext-Zugriff auf die Platte. Reparatur- oder Recovery-Mechanismen können unmittelbar nach dieser Aktion eingeleitet werden.   

Produktarchitektur erlaubt die PBA-Anbindung an div. Encryption-Engine´s (Bitlocker, TrueCrypt, …)

Die eigentliche Verschlüsselungs-Engine arbeitet bei vielen vergleichbaren Systemen ähnlich. Es handelt sich um einen Treiber, der jeden Zugriff auf das System mittels entsprechendem Algorithmus (AES 256) ver- bzw. entschlüsselt. Jene Funktionalitäten, die zur entsprechenden Einsatzfähigkeit des Produktes führen, sind eher in der PBA und in der Administration zu suchen. CP Secure Disk besitzt ein Systemdesign, dass sowohl die PBA als auch das ausgeklügelte Management mit anderen Encryption-Engine´s (Microsoft Bitlocker, TrueCrypt …) gekoppelt werden können. So wird beispielsweise auch die Bitlocker Verschlüsselung von Microsoft durch CP Secure Disk zu einem im Unternehmensumfeld einsetzbaren Verschlüsselungswerkzeug aufgewertet.

Automatische Hardwareerkennung

Um einen reibungslosen und schnellen Bootprozess gewährleisten zu können, sind innerhalb der Linux-PBA unterschiedliche Hardwareeinstellungen zu berücksichtigen (basierend auf unterschiedlichen Hardwarekomponenten und Chipsätzen der unterschiedlichen Rechnertypen). CP Secure Disk verfügt über die Funktionalität eines Lernmodus, der die bestmögliche Konfiguration erkennt und automatisch zur Anwendung bringt. Fehlkonfigurationen werden dadurch weitestgehend vermieden – diese können u. U. dazu führen, dass das System nicht booten kann.

UnterstĂĽtzte Plattformen: Windows XP / Vista / Windows 7 (32 und 64 Bit)

CP Secure Disk ist auf allen Windows-Client-Plattformen ab Windows XP/SP3 sowohl als 32 Bit als auch als 64 Bit Variante verfĂĽgbar.

Zentrale Administration (SQL-basierend mit Anbindung an das MS Active Directory)

Die zentrale Administration ist als Service implementiert, dass SSL-verschlĂĽsselt ĂĽber SOAP mit allen anderen Komponenten kommuniziert. Die Anbindung an das MS Active Directory ermöglicht das Auslesen des Computer-Tree´s von Domänen. NatĂĽrlich können mehrere Domänen gleichzeitig verwaltet werden. Dies ist fĂĽr groĂźe Unternehmen oft unabdingbar. Mittels zentraler Administration können sämtliche Einstellungen und Parameter (bzgl. Benutzer, VerschlĂĽsselung-, Smartcards, WOL-, HelpDesk u. v. m.) fĂĽr sämtliche Computer von zentraler Stelle aus definiert und konfiguriert werden. Erst wenn die Clientsoftware auf dem Endgerät installiert wird und dieser bei der zentralen Administration sein Konfiguration abfragt, werden diese ĂĽbertragen und ĂĽbernommen. Alle Konfigurationen und Einstellungen, Computer-Status-Meldungen, SchlĂĽsselmaterial, … aller Computer werden in einer SQL-Datenbank verschlĂĽsselt und sicher abgelegt. Die mitgelieferte SQL Datenbank kann hierbei selbstverständlich gegen eine bereits vorhandene SQL-Datenbank ersetzt werden. 

Skriptbasierte Administration

Kunden die bereits über eigene Softwareverteilmechanismen verfügen, bietet CP Secure Disk die Möglichkeit der skriptbasierten Administration. Verfügt das bestehende Verwaltungsinstrumentarium über Schnittstellen und Möglichkeiten frei definierbare Skripte zu erzeugen oder vordefinierte Skripts an die Clientcomputer zu verteilen, so kann auf diese Art und Weise eine einfache Integration in bestehende Umgebungen erfolgen.

Zentraler Service

Der zentrale Service ist aus administrativer Sicht der Dreh- und Angelpunkt der gesamten Infrastruktur. Zum einen kommuniziert das Service mit ggf. mehreren MS Active Directories, liest von dort die Computer-Tree´s und ĂĽberträgt diese in eine SQL-Datenbank. In regelmäßigen Abständen wird das System auf Veränderungen in den ADS ĂĽberprĂĽft und mit der Datenbank synchronisiert. Zum Anderen ist dieses Service die einzige Komponente, die mit der Datenbank kommuniziert und sämtliche Einstellungen, Stati, … aller Computer und Nodes einträgt und aktuell hält. 
Als Frontends zur Verwaltung dienen drei unterschiedliche Konsolen, die auf beliebigen Arbeitsstationen installiert sein können – natürlich können auch mehrere Konsolen auf unterschiedlichen Arbeitsstationen installiert werden.

Admin-Konsole

Die Admin Konsole dient zur Verwaltung sämtlicher Einstellungen für die Verschlüsselung, Benutzer, Helpdesk, WOL, Smartcard, Administratoren, u. v. m. Dabei ist der Computer-Tree so aufgebaut, wie er auch im ADS vorzufinden ist. Durch entsprechende Vererbungsfunktionalitäten können die Einstellungen sowohl für einzelne Computer individuell, für gesamte Organisationseinheiten oder für das gesamte Unternehmen vorgenommen werden. Zu beachten ist, dass sämtliche Einstellungen über den zentralen Service lediglich in die SQL-Datenbank geschrieben werden. Keinerlei Informationen werden im ADS abgelegt – eine Schema-Erweiterung des AD ist somit nicht erforderlich. Darüber hinaus ist zu bemerken, dass ein Computer erst von den für ihn getroffenen Einstellungen betroffen ist, wenn der CP Secure Disk Client darauf installiert wird. Erst dann werden von Client-Seite sämtliche Informationen zur Konfiguration vom Server abgeholt und umgesetzt. Es ist daher durchaus gängige Praxis, die Einstellungen für alle Computer gleichzeitig zu definieren (z. B. am Rootknoten des Computer-Tree´s), da nur jene Computer von den Einstellungen betroffen sind, die auch mit dem CP Secure Disk Client ausgestattet werden. Über die Admin-Konsole steht auch eine Rollenverwaltung zur Verfügung, um mehrere Administratoren mit ggf. unterschiedlichen Rechten realisieren zu können. Diese Verwaltung basiert aus Sicherheitsgründen ausschließlich auf Basis von Zertifikaten (PKCS#12-Dateien), die natürlich auch im Rahmen der Administration durch die CP Secure Disk Administratoren erstellt werden können.

WOL-Konsole

Mit Hilfe der WOL-Konsole können jene Zeiten für einzelne Computer oder gesamte Computergruppen festgelegt werden, innerhalb derer ein Computer bei Anfrage sein entsprechendes Schlüsselmaterial erhält, um ohne Benutzerinteraktion booten zu können.

Recovery-Konsole

Unter Zuhilfenahme der Recovery-Konsole ist sowohl ein entferntes Freischalten eines Computers, der sich im Recovery-Modus (gestartet mit der Recovery-Disk) befindet, als auch das simple Erstellen von Recovery-Informationen (in Form eines verschlüsselten Files) möglich.

Zentrales Helpdesk-Service (HD-Service)

Da die Helpdesk-Funktionalität häufig sowohl organisatorisch als auch physikalisch getrennt sind wurde der zentrale Helpdesk-Service gesondert vom zentralen Admin-Service implementiert. Somit kann der Helpdesk-Service zum Zwecke einer Online-Helpdesk-Anfrage auch beispielsweise innerhalb einer DMZ installiert werden und ist somit auch von außerhalb des Unternehmens erreichbar, ohne diesem zentralen Admin-Service unnötigen Angriffsmöglichkeiten auszusetzen. Aus dem gleichen Grund wurde eine eigene Helpdesk-Datenbank implementiert – diese Datenbank läuft völlig unabhängig und autonom von der zentralen Admin-DB. Diese Funktionalitäten können somit auch getrennt voneinander optional in Anspruch genommen werden. Der zentrale Helpdesk-Service handelt sowohl die automatische Initialisierung der Helpdesk-Funktionalität auf den Clients ab, als auch sämtliche Online- und Offline-Anfragen.

Helpdesk-Konsole

Die Helpdesk-Konsole, die natürlich wieder mehrfach auf physikalisch unterschiedlichen PCs installiert werden kann, stellt das Frontend für die komplette Helpdeskfunktionalität dar.
Über das Frontend wird auch eine Benutzerverwaltung zur Verfügung gestellt, um mehrere Helpdeskooperatoren initialisieren und verwalten zu können. Dies kann sowohl auf UserID/PW Basis, als auch auf Zertifikatsbasis (PKCS#12) realisiert werden.

CP Secure Disk – Client – VerschlĂĽsselungsservice 

Auf dem Client-PC ist lediglich die Installation eines msi-Paketes, mit der Angabe des Parameters jenes Computers auf dem das zentrale Admin-Service läuft, erforderlich. Die Applikation verfügt grundsätzlich über keine GUI – die Administration erfolgt von zentraler Stelle aus. Zusätzlich kann über ein separates Installationspaket eine lokale Administration installiert werden, um auch vor Ort und direkt am PC auf entsprechende Einstellungen und Änderungen vornehmen zu können. Allerdings werden die Änderungen, bei Anbindung an die zentrale Administrationsdatenbank, stets von den zentralen Einstellungen überschrieben.