FAQ
HiCrypt Enterprise Services ist für Unternehmen entwickelt worden, bei denen die IT-Infrastruktur bereits voll aufgebaut ist, aber durch bestimmte Faktoren wie häufige Wechsel von Benutzern oder Shares (im Bezug auf HiCrypt) eine angenehmere Benutzerverwaltung benötigen, als dies mit Hicrypt 2.0 möglich ist. HiCrypt Enterprise Services bringt ein Management Studio mit, über welches dann speziell autorisierte Personen (Global Manager und Share Manager) ihre Mitarbeiter aus z.B. einer AD importieren können. Dabei können sowohl mehrere Nutzer gleichzeitig importiert wie auch einem Share als User hinzugefügt werden. HiCrypt 2.0 und HiCrypt Enterprise Services haben beide unabhängige, auch von der AD, Nutzerverwaltungen. Deshalb ist es nicht möglich, Nutzer von HiCrypt 2.0 in HiCrypt Enterprise Services zu importieren, was bei einer AD sowieso überflüssig wäre. Da sich technisch gesehen auch die interne Verwendung der „Nutzer“ geändert hat, ist das Key-File ebenfalls anders als bei HiCrypt 2.0, man muss also bei der Umstellung darauf achten, dass die Dateien erst mit HiCrypt 2.0 entschlüsselt und dann mit HiCrypt Enterprise Services wieder verschlüsselt werden.
Es ist geplant, HiCrypt 2.0 so anzupassen, dass sowohl die Oberfläche als auch die Technik darunter (Treiber) mit beiden Key-Files umgehen kann, dann wäre die Umstellung einfacher, jedoch ist derzeit der oben beschriebene Weg der einzige. Es gibt hier aber durchaus Tools wie robocopy, die auch diesen Vorgang durchaus automatisiert ablaufen lassen können.
Benutzermanagement siehe Frage 1
In dem Management Studio erhalten Sie eine Übersicht zu allen jemals verwendeten Recovery Keys zur vereinfachten Wiederherstellung von Dateien aus einem Backup. Der jeweilige Mitarbeiter muss beim Global Manager die erneute Erstellung eines Shares anstoßen, welches dann unter Zuhilfenahme des Recovery Keys denselben Schlüssel verwendet. Dort kann die zu entschlüsselnde Datei dann eingebracht werden und wieder über einen HiCrypt Enterprise Services Client mit entsprechenden Berechtigungen entschlüsselt werden.
Eine Übersicht über den verbleibenden Speicherplatz sehen Sie in Ihrem Explorer.
Derzeit ist das 4-Augen-Prinzip noch nicht implementiert. Es gibt stattdessen die Rolle des Global Manager, der, wenn die Geschäftsleitung nicht selbst diese Rolle besetzt, großes Vertrauen genießen muss, weil er freie Hand über Berechtigungen und in weiteren Schritten auch über den Umgang mit den verschlüsselten Dateien hat. Es ist durch die Rolle des Technician aber möglich, die IT konsequent vom Zugriff auf verschlüsselte Dateien zu befreien. Weiterhin kann der Share Manager selbst sein Benutzer hinzufügen, somit kann bspw. Der IT-Mitarbeiter das Share anbinden und die Verschlüsselung vorbereiten, den Verifizierungsschlüssel dann dem angegebenen Share Manager übergeben, der dann die Verschlüsselung abschließen kann. Wenn der Share Manager ein Projektleiter ist, kann dieser dann ohne IT-Vorkenntnisse dann seine Nutzer hinzufügen und somit unabhängig von anderen Verantwortungsträgern mit dem Share arbeiten.
Ähnlich wie bei HiCrypt 2.0 ploppt nach der Windows-Anmeldung und der Prüfung des Treibers auf angebundene verschlüsselte Netzlaufwerke eine Anmeldemaske auf. Dort wird der Benutzername im Normalfall schon mit einem Alias von HiCrypt Enterprise Services vorausgefüllt und der Nutzer muss nur noch ein einziges Mal sein Kennwort eingeben. In naher Zukunft wird es wie auch bei HiCrypt 2.0 möglich sein, sich mit einem Token auch hier anzumelden. Je nach Unternehmensstrategie kann hier auch die Anmeldeinformation gespeichert werden und bei Anmeldung eines Nutzers an Windows wird dann dort keine weitere Eingabe nötig. Die Option besteht, jedoch ist eine erneute Eingabe eines AD-unabhängigen Passwortes sicherer. Danach wird eine ähnliche Übersicht angezeigt, die den Status des verbundenen Shares anzeigt und an welchen sich der Nutzer angemeldet hat. Anschließend kann wie gewohnt im Explorer weitergearbeitet werden.
Cloudanbindung sind bei HiCrypt Enterprise Services grundsätzlich über WebDAV möglich, jedoch ist diese Art der Kommunikation für den gleichzeitigen Zugriff von mehreren Nutzern auf das Share nicht sonderlich gut geeignet. Die Verschlüsselung an sich gestaltet sich dort aber deckungsgleich zu Shares auf einem Fileserver o.Ä. Es muss eine Freigabe von der Cloud als Netzlaufwerk am Client eingebunden werden und kann dann ebenso über die HiCrypt-Oberfläche verschlüsselt werden. Sollten Sie Office 365 bei der Frage im Hinterkopf gehabt haben, muss ich Sie leider noch etwas vertrösten, da wir uns selbst seit Anfang des Jahres erst in einer Testphase befinden und es derzeit noch nicht untersucht wurde, ob wir dort Shares von der Cloud ohne weiteres anbinden können. Grundproblem ist hierbei aber nach wie vor das WebDAV-Protokoll.
Windows prüft die Verbindung und zu Netzlaufwerken. Dabei kann es vorkommen, dass Windows bemerkt, dass das eigentliche Share auf der lokalen Festplatte liegt und Dateien über einen Direktzugriff dort ablegt und abruft, statt über den Netzlaufwerkpfad darauf zuzugreifen. Damit ist eine Verschlüsselung durch HiCrypt nicht mehr gewährleistet, da die Dateien nur über den Zugriff auf Netzlaufwerke ver- und entschlüsselt werden.
Sollten unverschlüsselte Daten auf dem mit HiCrypt verschlüsselten Share liegen, kann auf diese von einem Client, auf dem HiCrypt installiert ist, nicht zugegriffen werden.
Wenn Sie die ReinerSCT cyber jack basic Lesegeräte im Zusammenhang mit Windows 10 einsetzen, kann es zu Konnektivitätsproblemen wie z.B. dem plötzlichen Abmelden oder dem Nichterkennen des Tokens bei der Anmeldung kommen. Um diese zu beheben, ist es unter Windows 10 für diese SmartCard-Reader notwendig, einen eigenen Treiber zu installieren.
Diesen können Sie auf der Seite des Herstellers der Leser kostenlos herunterladen.
Zum Treiber: https://forum.reiner-sct.com/index.php?/topic/3333-cyberjack-rfid-basis-unter-windows-10/
(Eventuell noch Hinweis auf die Schuld der Funktionsstörung, quasi das der Fehler nicht bei uns liegt)