SafeGuard Enterprise Administratorhilfe

SafeGuard Enterprise
Administratorhilfe
Produktversion: 8
Stand: Juli 2016
Inhalt
1 Über SafeGuard Enterprise................................................................................................4
1.1 Neu in SafeGuard Enterprise...............................................................................8
2 Installation .......................................................................................................................11
2.1 SafeGuard Enterprise Komponenten.................................................................11
2.2 Erste Schritte......................................................................................................13
2.3 Einrichten des SafeGuard Enterprise Servers...................................................17
2.4 Einrichten einer SafeGuard Enterprise Datenbank............................................20
2.5 Einrichten des SafeGuard Management Centers...............................................33
2.6 Testen der Kommunikation.................................................................................45
2.7 Sichern von Transportverbindungen mit SSL.....................................................47
2.8 Registrieren und Konfigurieren des SafeGuard Enterprise Server.....................51
2.9 Erzeugen von Konfigurationspaketen.................................................................54
2.10 Einrichten von SafeGuard Enterprise auf Endpoints........................................56
2.11 Installieren der Verschlüsselungssoftware unter Windows...............................60
2.12 Installieren der Verschlüsselungssoftware auf Mac OS X................................72
2.13 Aktualisierung...................................................................................................75
2.14 Migration ..........................................................................................................78
2.15 Deinstallation - Überblick..................................................................................81
3 SafeGuard Management Center......................................................................................84
3.1 Anmeldung am SafeGuard Management Center...............................................84
3.2 SafeGuard Management Center Benutzeroberfläche.......................................85
3.3 Sprache der Benutzeroberfläche........................................................................86
3.4 Prüfen der Datenbankintegrität...........................................................................87
3.5 Mit Richtlinien arbeiten.......................................................................................87
3.6 Mit Konfigurationspaketen arbeiten....................................................................93
4 Mac Endpoints verwalten.................................................................................................97
4.1 Erzeugen eines Konfigurationspakets für Macs..................................................97
4.2 Über SafeGuard Native Device Encryption für Mac...........................................97
4.3 Über SafeGuard File Encryption für Mac..........................................................103
4.4 Fehlerbehebung................................................................................................112
4.5 Bestands- und Statusinformationen für Macs...................................................114
5 Module............................................................................................................................115
5.1 Synchronized Encryption..................................................................................115
5.2 Native Device Encryption verwalten.................................................................141
5.3 Pfadbasierte Dateiverschlüsselung..................................................................154
2
5.4 Cloud Storage...................................................................................................165
5.5 SafeGuard Data Exchange...............................................................................171
5.6 SafeGuard Festplattenverschlüsselung............................................................181
5.7 SafeGuard Configuration Protection.................................................................232
6 Recovery........................................................................................................................233
6.1 Schlüssel für die Festplattenverschlüsselung mit mobilen Geräten
synchronisieren .................................................................................................233
6.2 Recovery für BitLocker.....................................................................................233
6.3 Recovery-Schlüssel für Mac-Endpoints............................................................235
6.4 Virtuelle Clients.................................................................................................236
6.5 So reparieren Sie eine beschädigte Management Center Installation:............238
6.6 Reparieren einer beschädigten Datenbankkonfiguration.................................239
7 Erweiterte Verwaltung ....................................................................................................241
7.1 Empfohlene Sicherheitsmaßnahmen................................................................241
7.2 Mit mehreren Datenbankkonfigurationen arbeiten (Multi Tenancy)..................243
7.3 SafeGuard Management Center – erweitert.....................................................247
7.4 SafeGuard Enterprise Sicherheitsbeauftragte..................................................260
7.5 Aufbau der Organisationsstruktur.....................................................................278
7.6 Schlüssel und Zertifikate..................................................................................286
7.7 Company Certificate Change Orders...............................................................295
7.8 Lizenzen...........................................................................................................298
7.9 Token und Smartcards......................................................................................303
7.10 Planen von Tasks............................................................................................318
7.11 Auditing...........................................................................................................327
7.12 Richtlinientypen und ihre Anwendungsfelder..................................................352
7.13 Fehlerbehebung..............................................................................................391
7.14 SafeGuard Enterprise und selbst-verschlüsselnde Opal-Festplatten.............409
8 Technischer Support.......................................................................................................412
9 Rechtliche Hinweise.......................................................................................................413
3
SafeGuard Enterprise
1 Über SafeGuard Enterprise
SafeGuard Enterprise ist eine umfassende Datensicherheitslösung, die Informationen auf
Servern, PCs und mobilen Geräten durch ein richtlinienbasiertes Verschlüsselungskonzept
zuverlässig schützt. Es ermöglicht Benutzern den sicheren Informationsaustausch und das
Arbeiten mit Dateien auf Geräten mit unterschiedlichen Betriebssystemen (Windows, Mac
OS X, iOS, Android) mithilfe der Sophos Secure Workspace App.
Im SafeGuard Management Center verwalten Sie Sicherheitsrichtlinien, Schlüssel und
Zertifikate mit einer rollenbasierten Administrationsstrategie. Ausführliche Protokollierung und
Reportfunktionen gewährleisten stets den Überblick über alle Ereignisse.
Auf Benutzerseite sind Datenverschlüsselung und Schutz vor Angreifern die primären
Sicherheitsfunktionen von SafeGuard Enterprise. SafeGuard Enterprise fügt sich dabei nahtlos
in die gewohnte Benutzerumgebung ein.
Synchronized Encryption - anwendungsbasierte Dateiverschlüsselung
Synchronized Encryption baut auf zwei Annahmen auf - erstens, dass alle Daten wichtig sind
und geschützt (verschlüsselt) sein müssen, und zweitens, dass diese Verschlüsselung
persistent sein soll, egal wo sich die Daten befinden. Zusätzlich sollen Daten automatisch
und transparent verschlüsselt werden, so dass sich Benutzer nicht darum kümmern müssen,
ob eine Datei verschlüsselt werden muss oder nicht. Diese grundlegende Prämisse, dass alle
Daten wichtig sind und verschlüsselt werden müssen, stellt sicher, dass Daten nahtlos und
ohne Zutun des Benutzers verschlüsselt werden. Dies ermöglicht Benutzern produktiv zu
bleiben, ihre Daten zu schützen und dabei ihre gewohnten Arbeitsabläufe nicht verändern zu
müssen, siehe Synchronized Encryption (Seite 115).
Anwendungsbasierte Dateiverschlüsselung
■
Cloud Storage
Cloudspeicher-Dienste werden gern genutzt, damit Benutzer von jedem Gerät und von
jedem Ort aus Zugriff auf ihre Daten haben. Ohne Frage ist diese Freiheit wichtig für die
Produktivität. Genauso wichtig ist es jedoch, dass sensible Daten auch beim Speichern
in der Cloud sicher bleiben. SafeGuard Enterprise ver- und entschlüsselt Dateien
automatisch und unsichtbar, wenn diese über Cloudspeicher-Dienste hoch- oder
heruntergeladen werden.
■
Verschlüsselt Dateien, die zu Cloudspeicher-Diensten hochgeladen werden.
■
Erlaubt überall sicheres Teilen von Daten.
■
■
■
Erkennt und unterstützt automatisch die häufigsten Cloudspeicher-Dienste wie zum
Beispiel Box, Dropbox, OneDrive und Egnyte.
Ermöglicht das Lesen von verschlüsselten Dateien mit unserer kostenlosen Sophos
Secure Workspace App für iOS und Android.
Dateiverschlüsselung
Verschlüsselung dient nicht nur dazu, Daten vor neugierigen Blicken von außen zu
schützen. Sie sorgt auch bei der Zusammenarbeit innerhalb des Unternehmens für
4
Administratorhilfe
Sicherheit und Kontrolle über Dateien. SafeGuard Enterprise geht über simple
Ordnerberechtigungen hinaus und sorgt dafür, dass Dateien nur von den Personen gelesen
werden können, für die sie bestimmt sind. Gleichzeitig kann die IT-Abteilung Dateien und
Backups effizient verwalten.
■
Konfiguriert die Dateiverschlüsselung für freigegebene Ordner.
■
Stellt sicher, dass nur bestimmte Benutzer oder Gruppen auf Daten zugreifen können.
■
Erfordert keine Interaktion seitens Ihrer Benutzer.
■
■
Bietet eine zusätzliche Ebene an Schutz für den Fall, dass die Unternehmensserver in
die Cloud ausgelagert werden.
Data Exchange
SafeGuard Enterprise verschlüsselt automatisch und transparent Dateien auf
Wechselmedien wie USB-Sticks, Speicherkarten und CDs/DVDs.
■
■
■
Sie können verschlüsselte Daten auf Wechselmedien einfach innerhalb Ihres
Unternehmens austauschen ohne Ihre Benutzer zu beeinträchtigen.
Mit einer portablen Anwendung und einem Kennwort können Sie verschlüsselte
Wechselmedien auch mit Benutzern ohne SafeGuard Enterprise sicher und einfach
teilen.
Wechselmedien auf Whitelists sorgen für einfachere und flexiblere Verwaltung der
Verschlüsselung.
Festplattenverschlüsselung für interne und externe Festplatten.
■
Für UEFI Systeme verwenden Sie die von SafeGuard Enterprise verwaltete BitLocker
Verschlüsselung für die Festplattenverschlüsselung. Für diese Endpoints bietet SafeGuard
Enterprise verbesserte Challenge/Response Funktionalitäten. Nähere Informationen zu
den unterstützten UEFI-Versionen und Beschränkungen hinsichtlich der Unterstützung
von SafeGuard BitLocker Challenge/Response finden Sie in den Versionsinfos unter
http://downloads.sophos.com/readmes/readsgn_8_deu.html
Hinweis: Wenn sich die Beschreibung nur auf UEFI bezieht, ist das explizit angegeben.
■
Für Systeme mit BIOS können Sie zwischen SafeGuard Enterprise
Festplattenverschlüsselung und von SafeGuard Enterprise verwalteter BitLocker
Verschlüsselung wählen. Die BIOS Version verwendet den BitLocker-eigenen
Wiederherstellungsmechanismus.
Hinweis: Wenn in diesem Handbuch von SafeGuard Power-on Authentication oder
SafeGuard Festplattenverschlüsselung die Rede ist, dann bezieht sich das nur auf Windows
7 BIOS Endpoints.
Die Tabelle zeigt, welche Komponenten verfügbar sind.
5
SafeGuard Enterprise
SafeGuard
BitLocker mit Pre-Boot
Festplattenverschlüsselung Authentication (PBA),
mit SafeGuard Power-on von SafeGuard verwaltet
Authentication (POA)
Windows 7 BIOS
JA
SafeGuard C/R
Wiederherstellung für
BitLocker Pre-Boot
Authentication (PBA)
JA
Windows 7 UEFI
JA
JA
Windows 8.1 BIOS
JA
Windows 8.1 UEFI
JA
JA
Windows 10
JA
JA
Windows 10 Threshold
2
JA
JA
Hinweis: SafeGuard C/R Wiederherstellung für BitLocker Pre-Boot Authentication
(PBA) ist nur auf 64 bit Systemen verfügbar.
SafeGuard Festplattenverschlüsselung mit SafeGuard Power-on Authentication (POA)
ist das Sophos Modul zur Verschlüsselung von Laufwerken auf Endpoints. Es wird mit einer
von Sophos entwickelten Pre-Boot Authentication namens SafeGuard Power On Authentication
(POA) geliefert, die Anmeldeoptionen wie Smartcard und Fingerabdruck sowie einen
Challenge/Response Mechanismus für die Wiederherstellung unterstützt.
BitLocker mit Pre-Boot Authentication (PBA), von SafeGuard verwaltet, ist die
Komponente, die das BitLocker Verschlüsselungsmodul und die BitLocker Pre-Boot
Authentication aktiviert und verwaltet.
Sie ist für BIOS und UEFI Plattformen verfügbar:
■
■
Die UEFI Version bietet zusätzlich einen SafeGuard Challenge/Response Mechanismus
für die BitLocker Wiederherstellung für den Fall, dass Benutzer ihre Kennwörter vergessen.
Die UEFI Version kann verwendet werden, wenn bestimmte Plattform-Anforderungen
erfüllt sind. Beispielsweise muss die UEFI Version 2.3.1 sein. Nähere Informationen
entnehmen Sie bitte den Versions-Infos.
Die BIOS Version bietet die Wiederherstellungs-Erweiterungen des SafeGuard
Challenge/Response Mechanismus nicht. Sie dient auch als Fallback falls die
Anforderungen an die UEFI Version nicht erfüllt sind. Der Sophos Installer prüft, ob die
Voraussetzungen erfüllt sind. Falls nicht, installiert er automatisch die BitLocker Version
ohne Challenge/Response.
Sicherheit für Macs
Daten auf Macs sind genauso gefährdet wie Daten auf Windows-PCs. Sie sollten Macs daher
unbedingt in Ihre Strategie zur Verschlüsselung von Daten miteinbeziehen. SafeGuard
Enterprise schützt Ihre Macs mittels Datei- und Festplattenverschlüsselung und stellt sicher,
6
Administratorhilfe
dass alle Daten auf Ihren Macs stets sicher sind. Es enthält Funktionen zum Verschlüsseln
von Wechselmedien, Netzwerkfreigaben und Cloud-Verzeichnissen auf Mac.
■
Sie können die Datei- und Festplattenverschlüsselung für Mac im selben Management
Center verwalten wie für alle anderen Geräte.
■
Verwaltet Geräte, die mit FileVault2 verschlüsselt sind.
■
Arbeitet im Hintergrund ohne die Performance zu beeinträchtigen.
■
Berichte und komplette Sichtbarkeit des Verschlüsselungsstaus.
Für Mac Endpoints sind die folgenden Module verfügbar. Sie werden auch von SafeGuard
Enterprise verwaltet oder berichten zumindest an das Management Center.
Synchronized Encryption
- anwendungsbasiert
Sophos SafeGuard File
Encryption
Sophos SafeGuard Native Device
Encryption
- pfadbasiert
FileVault 2 Verwaltung
OS X 10.9
JA
JA
JA
OS X 10.10
JA
JA
JA
OS X 10.11
JA
JA
JA
OS X 10.12
JA
JA
JA
Sophos Secure Workspace
Schlüssel im SafeGuard Enterprise Schlüsselring können in der Sophos Secure Workspace
App (SSW), die über Sophos Mobile Control verwaltet wird, bereitgestellt werden. Benutzer
der App können dann die Schlüssel zum Entschlüsseln, Lesen und Verschlüsseln von
Dokumenten verwenden. Diese Dateien können dann sicher zwischen allen Benutzern von
SafeGuard Enterprise und SSW ausgetauscht werden. Nähere Informationen zu Sophos
Secure Workspace finden Sie unter www.sophos.com.
Sophos Mobile Encryption
Mit Sophos Mobile Encryption können Sie Dateien lesen, die von den SafeGuard
Enterprise-Modulen SafeGuard Cloud Storage oder SafeGuard Data Exchange verschlüsselt
wurden. Sie können Dateien mit einem lokalen Schlüssel verschlüsseln. Diese lokalen
Schlüssel sind von einer Passphrase abgeleitet, die von einem Benutzer eingegeben wurde.
Sie können eine Datei nur entschlüsseln, wenn Sie die Passphrase kennen, die zur
Verschlüsselung der Datei verwendet wurde. Nähere Informationen zu Sophos Mobile
Encryption finden Sie unter www.sophos.com.
7
SafeGuard Enterprise
1.1 Neu in SafeGuard Enterprise
Synchronized Encryption (Seite 115)
Anwendungsbasierte Dateiverschlüsselung
Outlook Add-In
Integration in Sophos Central Endpoint Protection - Schlüssel auf gefährdeten
Computern entziehen
Schlüsselring zwischen Sophos SafeGuard Enterprise und Sophos Mobile Control
austauschen
Schlüssel für die Festplattenverschlüsselung mit mobilen Geräten synchronisieren (Seite
233)
Erweiterte Authentisierung - Benutzergruppe .Unbestätigte Benutzer (Seite 8)
Verbesserte Synchronisierung mit Active Directory und Autoregistrierung (Seite 9)
Sophos SafeGuard mit anonymen Nutzungsdaten verbessern (Seite 10)
1.1.1 Erweiterte Authentisierung - Benutzergruppe .Unbestätigte Benutzer
Benutzer, die sich an SafeGuard Enterprise anmelden, müssen gegen Active Directory
authentisiert werden bevor sie Zugriff auf ihren Schlüsselring haben.
Hinweis: Wenn Sie BitLocker über SafeGuard Enterprise verwalten, müssen Sie die
Registrierung von neuen SGN-Benutzern für Jeden erlauben:
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Spezifische
Computereinstellungen an oder wählen Sie eine vorhandene aus.
2. Wählen Sie unter Benutzer-Computer Zuordnung (UMA) die Einstellung Registrieren
von neuen SGN-Benutzern erlauben und wählen Sie in der Dropdown-Liste Jeder.
3. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren
Benutzergruppen zu.
Benutzer, die bei der Anmeldung nicht authentisiert werden können, werden in die Gruppe
.Unbestätigte Benutzer verschoben. Diese Gruppe wird im Stammknoten und in jeder
Domäne oder Arbeitsgruppe angezeigt.
Mögliche Gründe dafür, warum Benutzer nicht authentisiert werden können, sind folgende:
Der Benutzer hat Anmeldeinformationen eingegeben, die nicht mit denen im Active Directory
übereinstimmen.
Der Benutzer ist ein lokaler Benutzer am Endpoint.
Der Active Directory Authentifizierungsserver ist nicht erreichbar.
Der Benutzer gehört zu einer Domäne, die nicht aus dem Active Directory importiert wurde.
Hinweis: Diese Benutzer werden zur globalen Gruppe .Unbestätigte Benutzer
hinzugefügt, die direkt unter dem Stamm-Knoten in Benutzer und Computer angezeigt
wird.
Die Authentisierung ist wegen eines unbekannten Fehlers fehlgeschlagen.
8
Administratorhilfe
Hinweis: Nur Active Directory Benutzer können authentisiert werden. Dies setzt voraus, dass
Active Directory richtig konfiguriert wurde.
Solange sich Benutzer in der Gruppe .Unbestätigte Benutzer befinden, haben sie keinen
Zugriff auf ihren Schlüsselring.
Wenn Sie auf eine .Unbestätigte Benutzer Gruppe klicken, werden Details zu den Benutzern
der Gruppe in der Registerkarte Unbestätigte Benutzer im rechten Fensterbereich angezeigt,
zum Beispiel der Grund warum Benutzer in diese Gruppe verschoben wurden.
Im Client Status Dialog am Endpoint des Benutzers wird unter SGN-Benutzerstatus
Unbestätigter Benutzer angezeigt.
1.1.1.1 Benutzer bestätigen
Als Sicherheitsbeauftragter müssen Sie Benutzer in der Gruppe .Unbestätigte Benutzer
überprüfen. Handelt es sich um autorisierte Benutzer, müssen Sie diese explizit bestätigen
um ihnen Zugriff auf ihren Schlüsselring zu gewähren. Ohne ihren Schlüsselring können
Benutzer nicht auf verschlüsselte Daten zugreifen.
So bestätigen Sie Benutzer in der Gruppe .Unbestätigte Benutzer:
1. Wählen Sie im Management Center die Gruppe .Unbestätigte Benutzer.
Benutzer, die nicht gegen Active Directory authentisiert wurden, werden angezeigt. Sie
können einzelne Benutzer anklicken, um detaillierte Informationen im rechten Fensterbereich
anzuzeigen.
2. Überprüfen Sie, ob Benutzer auf den SafeGuard Enterprise Schlüsselring zugreifen dürfen.
3. Wenn ja, wählen Sie einen Benutzer mit der rechten Maustaste aus und klicken Sie im
Kontextmenü auf Benutzer bestätigen.
Sie können alle Benutzer in der Gruppe .Unbestätigte Benutzer bestätigen indem Sie
die Gruppe selbst markieren und im Kontextmenü Alle Benutzer bestätigen klicken.
Bestätigte Benutzer werden automatisch in die richtige Active Directory Struktur verschoben
und haben Zugriff auf ihren Schlüsselring.
Hinweis: Die Bestätigung von Benutzern kann auch über Scripting API Calls erfolgen.
1.1.1.2 Ereignisse (Log Events) für Unbestätigte Benutzer
Ereignisse werden protokolliert, wenn Benutzer zur Gruppe .Unbestätigte Benutzer
hinzugefügt werden (Ereignis 2801) und wenn Benutzer erfolgreich bestätigt werden (Ereignis
2800). Sie können eine Liste dieser Ereignisse im SafeGuard Management Center unter
Berichte in der Ereignisanzeige auflisten lassen.
1.1.2 Verbesserte Synchronisierung mit Active Directory und
Autoregistrierung
Der SafeGuard Management Center Konfigurationsassistent hilft neuen Kunden dabei,
ein vollständig funktionierendes System einzurichten. Der initiale Import einer Active
Directory Struktur wird während der Erstkonfiguration durchgeführt, siehe Starten der
Erstkonfiguration des SafeGuard Management Center (Seite 35).
Hinzugefügte Benutzer werden automatisch der richtigen Organisationseinheit/Gruppe
zugeordnet und empfangen umgehend die benötigten Richtlinien und Schlüssel. Eine
angestoßene AD-Synchronisierung wird in diesem Fall nicht mehr benötigt.
9
SafeGuard Enterprise
1.1.3 Sophos SafeGuard mit anonymen Nutzungsdaten verbessern
Sophos ist ständig bemüht, SafeGuard Enterprise zu verbessern. Aus diesem Grund senden
Kunden regelmäßig anonymisierte Daten an Sophos. Diese Daten werden ausschließlich zur
Verbesserung des Produkts verwendet. Die Daten können nicht zur Identifizierung von Kunden
oder Geräten verwendet werden und enthalten keine vertraulichen Informationen. Weitere
Informationen finden Sie im Sophos Knowledgebase-Artikel 123768.
Die Übermittlung von Daten an Sophos ist optional. Da die Daten anonymisiert übermittelt
werden, ist die Datensammelfunktion standardmäßig aktiviert. Sie können die Funktion im
SafeGuard Management Center deaktivieren (Richtlinien > Allgemeine Einstellungen >
Feedback > Sophos SafeGuard® durch das Senden von anonymen Nutzungsdaten
verbessern).
1.1.3.1 Senden anonymer Nutzungsdaten per Richtlinie deaktivieren
So deaktivieren Sie das Senden anonymer Nutzungsdaten:
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
Die Registerkarte Allgemeine Einstellungen wird angezeigt.
2. Wechseln Sie in den Bereich Feedback .
3. Wählen Sie in unter Sophos SafeGuard® durch das Senden von anonymen
Nutzungsdaten verbessern die Option Nein.
4. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren
Benutzergruppen zu.
Die Funktion ist nun deaktiviert. Es werden keine Nutzungsdaten an Sophos übermittelt.
10
Administratorhilfe
2 Installation
Hinweis: Die Verfügbarkeit einzelner Funktionen hängt von Ihrer Lizenz ab. Für Informationen
dazu, was in Ihrer Lizenz enthalten ist, wenden Sie sich an Ihren Vertriebspartner.
2.1 SafeGuard Enterprise Komponenten
Dieser Abschnitt bietet einen Überblick über die SafeGuard Enterprise Komponenten und
beschreibt, wie sie zusammenspielen.
Eine funktionierende SafeGuard Enterprise Infrastruktur besteht mindestens aus folgenden
Modulen:
SafeGuard Enterprise Datenbank
SafeGuard Enterprise Server
SafeGuard Management Center
SafeGuard Enterprise Client
SafeGuard Enterprise Web Helpdesk
Eine Microsoft SQL Datenbank speichert Informationen über die Endpoints im Firmennetzwerk.
Der Haupt-Sicherheitsbeauftragte oder Master Security Officer (MSO) nutzt das SafeGuard
Management Center, um die Datenbankinhalte zu steuern und neue Sicherheitsrichtlinien
(Policies) zu erstellen.
Die Endpoints der Benutzer lesen die Richtlinien aus der Datenbank und berichten an die
Datenbank. Die Kommunikation zwischen Datenbank und Endpoints übernimmt dabei ein
Internet Information Services (IIS) basierter Webserver, auf dem der SafeGuard Enterprise
Server eingerichtet ist.
11
SafeGuard Enterprise
Die folgende Tabelle beschreibt die einzelnen Komponenten:
12
Komponente
Beschreibung
SafeGuard Enterprise
Datenbank(en) basierend auf
Microsoft SQL Server
Datenbank
Die SafeGuard Enterprise Datenbank(en) enthält/enthalten alle
relevanten Daten wie Schlüssel/Zertifikate, Informationen zu Benutzern
und Computern, Ereignisse und die Richtlinieneinstellungen. Zugriff
auf die Datenbank(en) benötigt der SafeGuard Enterprise Server und
ein einziger Sicherheitsbeauftragter des SafeGuard Management
Centers, meist der Haupt-Sicherheitsbeauftragte (MSO). Die Erzeugung
und Konfiguration der SafeGuard Enterprise Datenbank(en) kann über
einen Assistenten oder über Skripte erfolgen.
SafeGuard Enterprise Server
auf IIS basiertem Webserver
SafeGuard Enterprise Server läuft als Anwendung auf einem Microsoft
Internet Information Services (IIS) basierten Webserver und ermöglicht
die Kommunikation zwischen SafeGuard Enterprise Datenbank und
SafeGuard Enterprise Endpoints. Der SafeGuard Enterprise Server
sendet auf Anfrage SafeGuard Enterprise Richtlinieneinstellungen an
die Endpoints. Dafür sind .NET Framework 4.5 und ASP.NET 4.5
erforderlich.
Administratorhilfe
Komponente
Beschreibung
Wenn Sie SSL als Transportverschlüsselungsmethode für die
Client-Server Kommunikation wählen, müssen Sie die Rolle Basic
Authentication installieren.
SafeGuard Management
Center auf dem
Administratorcomputer
Zentrales Management-Werkzeug für durch SafeGuard Enterprise
geschützte Endpoints zur Verwaltung von Schlüsseln und Zertifikaten,
Benutzern und Computern, sowie zur Erstellung von SafeGuard
Enterprise Richtlinien. Das SafeGuard Management Center
kommuniziert mit der SafeGuard Enterprise Datenbank. .NET
Framework 4,5 ist erforderlich.
Verzeichnisdienste (optional)
Import eines Active Directory. Es enthält die Organisationsstruktur des
Unternehmens mit Benutzern und Computern.
SafeGuard Enterprise
Verschlüsselungssoftware für Datenverschlüsselung und sichere
Verschlüsselungssoftware auf Authentisierung. Durch SafeGuard Enterprise geschützte Endpoints
Endpoints
können entweder mit einem SafeGuard Enterprise Server verbunden
sein (zentral verwaltet) oder keine Verbindung zu einem SafeGuard
Enterprise Server haben (Standalone). Zentral verwaltete Endpoints
erhalten ihre Richtlinien direkt vom SafeGuard Enterprise Server.
Standalone-Endpoints erhalten ihre Richtlinien in
Konfigurationspaketen, die mit einen Dritt-Verteilungsmechanismus
verteilt werden können.
2.2 Erste Schritte
Dieser Abschnitt begleitet Sie mit Best-Practice-Beispielen und Empfehlungen durch eine
typische Installation von SafeGuard Enterprise. Die Anleitung richtet sich an System-, Netzwerkund Datenbankadministratoren, die SafeGuard Enterprise (SGN) installieren, und beschreibt
ein Setup, das hinsichtlich Kommunikation zwischen den einzelnen Komponenten bestmögliche
Sicherheit und Performance gewährleistet.
Das Dokument geht von einer Struktur aus, in der alle Geräte Mitglieder derselben Domäne
sind. Deshalb sind Abweichungen in der Beschreibung von betriebssystem-spezifischen
Abläufen möglich, wenn Sie andere Software oder eine Arbeitsgruppenumgebung verwenden.
■
Erstinstallation: Der SGN Install Advisor vereinfacht die erstmalige Einrichtung der
Management-Komponenten einschließlich Standardrichtlinien. Um den SGN Install Advisor
für eine neue SafeGuard Enterprise Installation aufzurufen, starten Sie
SGNInstallAdvisor.bat aus Ihrer Produktlieferung. Ein Assistent führt Sie durch die
Installation.
■
Aktualisierung: Führen Sie die unter Aktualisierung (Seite 75) beschriebenen Schritte
durch.
2.2.1 Installationsschritte
Bevor Sie SafeGuard Enterprise Client Software installieren (Synchronized Encryption,
SafeGuard Device Encryption, Data Exchange, File Encryption, Native Device Encryption
oder Cloud Storage), muss ein funktionierendes Backend eingerichtet werden. Daher
empfehlen wir, die Reihenfolge der beschriebenen Installationsschritte einzuhalten.
13
SafeGuard Enterprise
Hinweis: SafeGuard Enterprise für Windows unterstützt keine Apple Hardware und kann
nicht in einer Boot Camp Umgebung installiert werden. Verwenden Sie stattdessen einen
virtuellen Windows-Client.
Alle SafeGuard Enterprise Komponenten (.msi-Pakete) finden Sie in der Produktlieferung.
Schritt Beschreibung
14
Paket/Tool
1
Laden Sie die Installer über den Sophos
Knowledgebase-Artikel 111195 herunter.
2
Installieren Sie .NET Framework und ASP.NET 4.6.1 sowie
die Rolle Standardauthentifizierung.
3
Richten Sie Internet Information Services (IIS) für
SafeGuard Enterprise ein (siehe Installation und
Konfiguration von Microsoft Internet Information Services
(IIS) (Seite 18).
4
Installieren Sie SafeGuard Enterprise Server
5
Konfigurieren Sie die Microsoft SQL Server
Datenbankauthentifizierung für den SafeGuard Enterprise
Haupt-Sicherheitsbeauftragten, siehe
Datenbank-Authentisierung (Seite 21).
6
SafeGuard Enterprise Datenbank(en) über Skripts
erzeugen.
SafeGuard Management Center
Konfigurationsassistent oder Skripts
in der Produktlieferung.
7
Installieren Sie das SafeGuard Management Center für
die zentrale Verwaltung von Benutzern, Computern,
Richtlinien, Schlüsseln und Berichten.
SGNManagementCenter.msi
8
Konfigurieren Sie das SafeGuard Management Center:
Datenbank und Datenbankserver-Verbindungen,
Zertifikate, Anmeldeinformationen für den
Haupt-Sicherheitsbeauftragten.
SafeGuard Management Center
Konfigurationsassistent
9
Registrieren und konfigurieren Sie den SafeGuard
Enterprise Server: Erzeugen Sie das
Server-Konfigurationspaket und installieren Sie es auf
dem IIS Server.
Konfigurationspakete-Funktion im
SafeGuard Management Center.
10
Erstellen Sie die Organisationsstruktur aus Active Directory SafeGuard Management Center
oder manuell.
11
Vorbereiten der Endpoints für die Verschlüsselung
SGxClientPreinstall.msi
12
Erstellen Sie das erste Konfigurationspaket für die
Endpoint-Konfiguration.
Konfigurationspakete-Funktion im
SafeGuard Management Center.
13
Installieren Sie die Verschlüsselungssoftware und das
Konfigurationspaket auf den Endpoints.
Für Informationen zu den
verfügbaren Paketen, siehe About
SGNServer.msi
Administratorhilfe
Schritt Beschreibung
Paket/Tool
managed and unmanaged endpoints
(Seite 56).
2.2.2 Überprüfen der Systemanforderungen
Bevor Sie SafeGuard Enterprise installieren, prüfen Sie die Systemanforderungen.
Informationen zu Hardware- und Software-Anforderungen, Service Packs sowie
Festplattenspeicherbedarf für Installation und effektiven Betrieb finden Sie in den aktuellen
Versionsinfos auf der SafeGuard Versionsinfos Landing-Page.
2.2.3 Installer Download
1. Laden Sie die Installer von der Sophos Website herunter. Sie erhalten hierzu von Ihrem
Systemadministrator die entsprechende Web-Adresse und die erforderlichen
Download-Anmeldeinformationen. Weitere Informationen finden Sie im Sophos
Knowledgebase-Artikel 111195.
2. Legen Sie die Dateien an einem Speicherort ab, auf den Sie für die Installation Zugriff
haben.
2.2.4 Sprache der Benutzeroberfläche
Die Spracheinstellungen für die Installations- und Konfigurationsassistenten und die
verschiedenen SafeGuard Enterprise Komponenten sind wie folgt:
Assistenten
Die Sprache der Installations- und Konfigurationsassistenten der verschiedenen
Installationspakete wird automatisch an die Spracheinstellungen des Betriebssystems
angepasst. Wenn die Betriebssystemsprache für diese Assistenten nicht verfügbar ist, wird
automatisch Englisch benutzt.
SafeGuard Management Center
So stellen Sie die Sprache das SafeGuard Management Center ein:
■
■
Klicken Sie im SafeGuard Management Center auf Extras > Optionen > Allgemein.
Klicken Sie auf Benutzerdefinierte Sprache verwenden und wählen Sie eine verfügbare
Sprache aus.
Starten Sie das SafeGuard Management Centers neu. Er wird in der ausgewählten Sprache
angezeigt.
15
SafeGuard Enterprise
SafeGuard Enterprise auf Endpoints
Die Sprache von SafeGuard Enterprise auf Endpoints steuern Sie über den Richtlinientyp
Allgemeine Einstellungen im SafeGuard Management Center (Einstellung Anpassung >
Sprache am Client):
■
■
Wenn die Sprache des Betriebssystems gewählt wird, richtet sich die Produktsprache
nach der Spracheinstellung des Betriebssystems auf dem Endpoint. Steht die
entsprechende Betriebssystemsprache in SafeGuard Enterprise nicht zur Verfügung, wird
standardmäßig die englische Version von SafeGuard Enterprise angezeigt.
Wenn eine der zur Verfügung stehenden Sprachen gewählt wird, werden die SafeGuard
Enterprise Funktionen auf dem Endpoint in der ausgewählten Sprache angezeigt.
2.2.5 Kompatibilität mit weiteren Sophos-Produkten
Dieser Abschnitt beschreibt die Kompatibilität von SafeGuard Enterprise 8.0 mit anderen
Sophos-Produkten.
2.2.5.1 Kompatibilität mit SafeGuard LAN Crypt
SafeGuard Enterprise 8.0 und SafeGuard LAN Crypt 3.90.2 können zusammen auf einem
Endpoint installiert werden. Stellen Sie sicher, dass Sie keine ältere Version von LAN Crypt
verwenden.
Falls SafeGuard LAN Crypt 3.90.2 bereits installiert ist:
1. Installieren Sie das SafeGuard Prä-Installationspaket auf dem Endpoint (nur unter Windows
7 relevant).
2. Installieren Sie SafeGuard Data Exchange auf dem Endpoint.
3. Installieren Sie das SafeGuard-Client-Konfigurationspaket auf dem Endpoint.
4. Starten Sie den Endpoint neu.
Hinweis: Während der Installation werden Sie darüber informiert, dass die Komponente
SGLC Profile Loader bereits verwendet wird. Sie können diese Meldung ignorieren. Sie wird
dadurch verursacht, dass SafeGuard LAN Crypt und SafeGuard Enterprise gemeinsame
Komponenten benutzen. Die betroffenen Komponenten werden beim Neustart aktualisiert.
SafeGuard Enterprise 8.0 ist bereits installiert:
1. Installieren Sie SafeGuard LAN Crypt 3.9 auf dem Endpoint.
2. Starten Sie den Endpoint neu.
2.2.5.2 Kompatibilität mit Sophos Enterprise Console
Wenn Sie die Verschlüsselung mit Sophos Enterprise Console (SEC) verwalten, installieren
Sie den SafeGuard Enterprise Server oder ein SafeGuard Management Center nicht auf
einem Server, auf dem der SEC Management Server installiert ist.
2.2.5.3 Kompatibilität mit Sophos Mobile Control
SafeGuard Enterprise arbeitet mit Sophos Mobile Control zusammen indem ein gemeinsamer
Schlüsselring verwendet wird. Das bedeutet, dass Benutzer auf ihren Mobilgeräten sicher
auf Dateien zugreifen können, die mit einem SGN-Schlüssel verschlüsselt sind. Umgekehrt
16
Administratorhilfe
können Benutzer auch Dateien in ihrer Secure Workspace App erstellen und später auf ihrem
mit SGN geschützten Computer öffnen.
Voraussetzungen:
Registrieren Sie den SMC-Server mit seinem Zertifikat am SGN Server im Management
Center (Extras> Konfigurationspakete > Server).
Stellen Sie eine sichere SSL/TLS-Verbindung zwischen den Servern her. Wir empfehlen
die Verwendung des TLS 1.2 Verschlüsselungsprotokolls zur Vermeidung von bekannten
SSL-Angriffen.
Verwenden Sie Active Directory damit Benutzer in SGN über ihre AD-Informationen
identifiziert werden können.
2.2.6 Allgemeine Einschränkungen
Beachten Sie folgende allgemeine Einschränkungen für SafeGuard Enterprise auf Endpoints:
■
SafeGuard Enterprise for Windows unterstützt keine Apple Hardware und kann nicht in
einer Boot Camp Umgebung installiert werden. Verwenden Sie stattdessen einen virtuellen
Windows-Client.
■
Systeme mit Festplatten, die über einen SCSI-Bus angeschlossen sind, werden von der
SafeGuard Festplattenvollverschlüsselung (SafeGuard volume-basierende Verschlüsselung
und BitLocker-Unterstützung) nicht unterstützt.
■
Der schnelle Benutzerwechsel wird nicht unterstützt.
■
Der Einsatz von SafeGuard Enterprise in einer Terminal Server Umgebung wird nicht
unterstützt.
■
Wenn Intel Advanced Host Controller Interface (AHCI) auf Endpoints mit POA benutzt
wird, muss sich die Boot-Festplatte in Slot 0 befinden.
■
Auf Endpoints mit POA wird SafeGuard volume-basierende Verschlüsselung für Volumes,
die sich auf dynamischen Datenträgern oder auf GUID Partitionstabellen (GPT)-Platten
befinden, nicht unterstützt. Die Installation bricht in diesen Fällen ab. Wenn diese Platten
auf dem Endpoint gefunden werden, werden sie nicht unterstützt.
2.3 Einrichten des SafeGuard Enterprise Servers
Der SafeGuard Enterprise Server stellt die Schnittstelle zu den SafeGuard Enterprise Clients
her. Er greift wie das SafeGuard Management Center auf die Datenbank zu. Er läuft als
Applikation auf einem Web Server basierend auf Microsoft Internet Information Services (IIS).
Stellen Sie sicher, dass Sie die aktuellste Version von IIS verwenden.
Für bestmögliche Sicherheit und Performance empfehlen wir, den SafeGuard Enterprise
Server auf einer dedizierten Maschine zu installieren. Dies gewährleistet außerdem, dass
keine anderen Anwendungen mit SafeGuard Enterprise in Konflikt geraten.
Der SafeGuard Enterprise Server bietet außerdem den Taskplaner, mit dem Sie periodische
Tasks, die auf Skripten basieren, erstellen und geplant ausführen lassen können. Die Tasks
laufen automatisch auf dem SafeGuard Enterprise Server. Sie finden die Skripts in der
SafeGuard Enterprise Produktlieferung.
17
SafeGuard Enterprise
2.3.1 Voraussetzungen
Folgende Voraussetzungen müssen erfüllt sein:
■
Sie benötigen Windows Administratorrechte.
■
Microsoft Internet Information Services (IIS) muss verfügbar sein.
IIS steht auf der Microsoft-Website zum Download bereit.
■
Wenn Sie SSL als Transportverschlüsselung zwischen SafeGuard Enterprise Server und
SafeGuard Enterprise Client verwenden, muss der IIS Server dafür eingerichtet werden,
siehe Sichern von Transportverbindungen mit SSL (Seite 47).
Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden, dass er SSL
verwendet und auf das Zertifikat zeigt.
Der Servername, den Sie bei der Konfiguration des SafeGuard Enterprise Servers
angeben, muss identisch sein mit dem Servernamen, den Sie vorab im SSL-Zertifikat
angegeben haben. Sonst können Client und Server nicht miteinander kommunizieren.
Für jeden SafeGuard Enterprise Server wird ein separates SSL-Zertifikat benötigt.
Wenn Sie Network Load Balancer einsetzen, vergewissern Sie sich, dass der Portbereich
den SSL-Port mit einschließt.
■
.NET Framework 4.5 und ASP.NET 4.5 (in der SafeGuard Enterprise Produktlieferung
enthalten) müssen installiert sein.
2.3.2 Installation und Konfiguration von Microsoft Internet Information
Services (IIS)
Dieser Abschnitt beschreibt, wie Sie Microsoft Internet Information Services (IIS) für den
Betrieb mit SafeGuard Enterprise Server vorbereiten.
2.3.2.1 Installieren und Konfigurieren von IIS 7/7.5 auf Microsoft Windows Server
2008/2008 R2
IIS steht auf der Microsoft-Website zum Download bereit.
1. Klicken Sie im Start Menü auf Alle Programme > Administration > Server-Manager.
2. Klicken Sie im Server Manager auf Rollenübersicht > Rollen hinzufügen.
3. Verifizieren Sie auf der Vorbemerkungen Seite des Rollen hinzufügen Assistenten
Folgendes:
■
Das Administratorenkonto hat ein sicheres Kennwort.
■
Die Netzwerkeinstellungen, zum Beispiel IP-Adressen, sind konfiguriert.
■
Die neuesten Windows-Sicherheits-Updates sind installiert.
4. Wählen Sie Rollen auswählen auf der rechten Seite und dann Webserver (IIS). Klicken
Sie auf der folgenden Seite auf Erforderliche Features hinzufügen. Webserver (IIS) ist
im Navigationsbereich des Rollen hinzufügen Assistenten aufgelistet.
5. Klicken Sie auf Webserver (IIS) und dann auf Rollendienste. Behalten Sie die
Standard-Rollendienste bei.
18
Administratorhilfe
6. Wählen Sie auf der rechten Seite zusätzlich Folgendes: ASP.NET, dadurch werden alle
notwendigen untergeordneten Rollendienste ebenfalls ausgewählt.
7. Wählen Sie IIS-Verwaltungsskripts und -tools. Dies ist für die richtige IIS Konfiguration
erforderlich.
8. Klicken Sie auf Weiter > Installieren > Schließen.
IIS wird mit einer Standardkonfiguration zum Hosten von ASP.NET installiert.
9. Überprüfen Sie mit http://< server name>, ob die Web-Seite korrekt angezeigt wird. Weitere
Informationen finden Sie unter: http://support.microsoft.com.
2.3.2.1.1
Prüfen der .NET Framework Registrierung bei IIS 7
.NET Framework Version 4,5 ist erforderlich. Sie finden das Programm in der SafeGuard
Enterprise Produktlieferung.
So überprüfen Sie, ob das Programm korrekt auf IIS 7 installiert ist:
1. Wählen Sie im Start Menü den Befehl Ausführen....
2. Geben Sie folgendes Kommando ein: Appwiz.cpl. Alle auf dem Computer installierten
Programme werden angezeigt.
3. Überprüfen Sie, ob .NET Framework Version 4,5 angezeigt wird. Wird die Version nicht
angezeigt, installieren Sie sie. Folgen Sie den Schritten im Installationsassistenten und
bestätigen Sie alle Standardeinstellungen.
4. Um zu prüfen, ob die Installation korrekt registriert ist, wechseln Sie in
C:\Windows\Microsoft.NET\Framework. Jede installierte Version muss als separater Ordner
mit der Version als Ordnername sichtbar sein, "v4.5".
2.3.2.1.2 Prüfen der ASP.NET Registrierung bei IIS 7
ASP.NET Version 4,5 ist erforderlich.
1. Um zu überprüfen, ob ASP.NET installiert und mit der korrekten Version registriert ist,
geben Sie das Kommando aspnet_regiis.exe -lv auf der Kommandozeile ein.
Für ASP.NET Version sollte Version 4.5 angezeigt werden.
2.3.2.2 Installieren und Konfigurieren von IIS 8 auf Microsoft Windows Server 2012/2012
R2
IIS steht auf der Microsoft-Website zum Download bereit.
1. Klicken Sie am Server-Manager Dashboard auf Verwalten > Rollen und Features
hinzufügen.
2. Im Assistent zum Hinzufügen von Rollen und Features, auf der Seite Vorbemerkungen,
überprüfen Sie Folgendes:
■
Das Administratorenkonto hat ein sicheres Kennwort.
■
Die Netzwerkeinstellungen, zum Beispiel IP-Adressen, sind konfiguriert.
■
Die neuesten Windows-Sicherheits-Updates sind installiert.
3. Wählen Sie Serverrollen im linken Fenster und wählen Sie dann Web Server (IIS). Klicken
Sie auf Features hinzufügen im angezeigten Fenster. Rolle "Webserver" (IIS) wird im
linken Bereich des Assistent zum Hinzufügen von Rollen und Features gelistet.
4. Wählen Sie Rollendienste unter Rolle "Webserver" (IIS). Behalten Sie die
Standard-Rollendienste bei.
19
SafeGuard Enterprise
5. Scrollen Sie nach unten zum Knoten Anwendungsentwicklung und wählen Sie:
■
■
■
ASP.NET 4.5
ISAPI Extensions
ISAPI Filters
Notwendige untergeordnete Rollendienste werden automatisch ausgewählt.
6. Unter dem Knoten Sicherheit aktivieren Sie:
■
■
Basic Authentication
Windows Authentication
7. Klicken Sie auf Weiter > Installieren > Schließen.
IIS wird mit der Standardkonfiguration für das Hosten von ASP.NET am Windows Server
installiert.
Bestätigen Sie über http://<Computername>, dass der Web-Server funktioniert. Wenn die
Webseite nicht richtig angezeigt wird, wenden Sie sich bitte an die Microsoft Knowledge
Base (http://support.microsoft.com).
2.3.3 Installieren von SafeGuard Enterprise Server
Nachdem der IIS konfiguriert ist, können Sie SafeGuard Enterprise Server auf dem IIS Server
installieren. Das Installationspaket SGNServer.msi finden Sie in der Produktlieferung.
1. Doppelklicken Sie auf dem Server, auf dem Sie SafeGuard Enterprise Server installieren
möchten, auf SGNServer.msi. Ein Assistent führt Sie durch die notwendigen Schritte.
2. Übernehmen Sie in den folgenden Dialogen die Standardeinstellungen. Der Taskplaner
wird automatisch mit dem Installationstyp Vollständig installiert.
SafeGuard Enterprise Server mit Taskplaner wird installiert.
Hinweis: Aus Performance-Gründen ist die Verkettung von protokollierten Ereignissen für
die SafeGuard Enterprise Datenbank nach der Installation des SafeGuard Enterprise Servers
standardmäßig deaktiviert. Für den Integritätsschutz protokollierter Ereignisse ist jedoch die
Verkettung protokollierter Ereignisse erforderlich. Dabei werden alle Einträge in der
Ereignistabelle miteinander verkettet, so dass die Entfernung eines Eintrags sichtbar wird
und über eine Integritätsprüfung nachgewiesen werden kann. Um den Integritätsschutz zu
nutzen, müssen Sie die Verkettung von protokollierten Ereignissen manuell aktivieren. Weitere
Informationen finden Sie unter Berichte (Seite 328).
Um den Erfolg der Installation zu überprüfen, öffnen Sie
Internetinformationsdienste-Manager (Ausführen > inetmgr) und stellen Sie sicher, dass
eine Webseite SGNSRV verfügbar ist.
2.4 Einrichten einer SafeGuard Enterprise Datenbank
SafeGuard Enterprise speichert alle relevanten Daten wie Schlüssel, Zertifikate, Informationen
zu Benutzern und Computern, Ereignisse und die Richtlinieneinstellungen in einer Datenbank.
Die SafeGuard Enterprise Datenbank basiert auf Microsoft SQL Server.
Prüfen Sie die Liste der aktuell unterstützten SQL Server Typen im Abschnitt zu den
Systemanforderungen in den aktuellen Versionsinfos im Sophos Knowledgebase-Artikel
12776.
20
Administratorhilfe
Hinweis: Bedenken Sie, wenn Sie die SQL Express Edition verwenden, die von Microsoft
vorgegebene Größenbeschränkung für die Datenbank. Die SQL Express Edition ist für größere
Umgebungen eher ungeeignet.
Sie können die Datenbank entweder automatisch während der Erstkonfiguration im SafeGuard
Management Center oder manuell mit den in Ihrer Produktlieferung verfügbaren SQL Skripten
einrichten. Wählen Sie die geeignete Methode nach den Gegebenheiten in Ihrer
Firmenumgebung. Weitere Informationen finden Sie unter Datenbankzugriffsrechte (Seite
21).
Zur Optimierung der Performance lässt sich die SafeGuard Enterprise Datenbank auf mehrere
SQL Server replizieren. Informationen zum Aufsetzen der Datenbankreplizierung finden Sie
unter Replizieren der SafeGuard Enterprise Datenbank (Seite 29).
Sie können mehrere SafeGuard Enterprise Datenbanken für unterschiedliche Mandanten wie
Firmenstandorte, Organisationseinheiten oder Domänen einrichten und verwalten (Multi
Tenancy). Informationen zum Konfigurieren von Multi Tenancy finden Sie unter Multi
Tenancy-Konfigurationen (Seite 35).
Hinweis: Wir empfehlen den Einsatz eines permanenten Online-Backups für die Datenbank.
Führen Sie ein regelmäßiges Backup Ihrer Datenbank durch, um Schlüssel,
Unternehmenszertifikate und Benutzer-Computer Zuordnungen zu sichern. Beispiele für
empfohlene Backup-Zyklen: nach dem Erstimport der Daten, nach größeren Änderungen
oder in turnusmäßigen Abständen, z. B. wöchentlich oder täglich.
2.4.1 Datenbank-Authentisierung
Um auf die SafeGuard Enterprise Datenbank zuzugreifen, muss sich der erste
Sicherheitsbeauftragte des SafeGuard Management Centers am SQL Server authentisieren.
Es gibt folgende Möglichkeiten:
■
Windows-Authentisierung: Ernennen Sie einen vorhandenen Windows-Benutzer zum
SQL-Benutzer
■
SQL-Authentisierung: Richten Sie ein SQL-Benutzerkonto ein.
Fragen Sie Ihren SQL-Administrator, welche Form der Authentisierung Sie als
Sicherheitsbeauftragter verwenden sollen. Sie benötigen diese Information vor der Erzeugung
der Datenbank und vor der Erstkonfiguration des SafeGuard Management Centers im
SafeGuard Management Center Konfigurationsassistenten.
Verwenden Sie SQL-Authentisierung für Computer, die sich nicht in einer Domäne befinden.
Ansonsten verwenden Sie Windows-Authentisierung.Wenn Sie SQL-Authentisierung einsetzen,
empfehlen wir, die Verbindung zu und vom Datenbankserver durch SSL zu sichern. Weitere
Informationen finden Sie unter Einrichten von SSL (Seite 48).
2.4.1.1 Datenbankzugriffsrechte
SafeGuard Enterprise ist so eingerichtet, dass es für das Zusammenspiel mit der
SQL-Datenbank nur ein einziges Benutzerkonto mit minimalen Zugriffsberechtigungen auf
die Datenbank benötigt. Dieses Benutzerkonto wird vom SafeGuard Management Center
genutzt und lediglich auf den ersten Sicherheitsbeauftragten des SafeGuard Management
Centers ausgestellt. Damit ist die Verbindung zur SafeGuard Enterprise Datenbank
gewährleistet. Während des Betriebs von SafeGuard Enterprise benötigt ein einziger
Sicherheitsbeauftragter des SafeGuard Management Centers nur die
Lese/Schreib-Berechtigung für die SafeGuard Enterprise Datenbank.
21
SafeGuard Enterprise
Die SafeGuard Enterprise Datenbank kann entweder manuell oder automatisch während der
Erstkonfiguration im SafeGuard Management Center erzeugt werden. Soll die Datenbank
automatisch erstellt werden, so sind für den ersten SafeGuard Management Center
Sicherheitsbeauftragten erweiterte Zugriffsrechte für die SQL Datenbank (db_creator)
erforderlich. Diese Berechtigungen können dem Sicherheitsbeauftragten danach vom
SQL-Administrator aber wieder bis zur nächsten Installation/Aktualisierung entzogen werden.
Wenn die Erweiterung der Rechte während der Installation des SafeGuard Management
Centers nicht gewünscht ist, kann der SQL-Administrator die SafeGuard Enterprise Datenbank
per Skript erzeugen. Dazu können die beiden Skripts CreateDatabase.sql und
CreateTables.sql aus der Produktlieferung ausgeführt werden.
Die folgende Tabelle zeigt die notwendigen SQL-Berechtigungen für die unterschiedlichen
Versionen von Microsoft SQL Server.
SQL Server 2012, SQL Server 2012 Express
Zugriffsberechtigung
Datenbank erstellen
Server
db_creator
Master Datenbank
keine
SafeGuard Enterprise Datenbank
db_ownerpublic (Standard)
Datenbank benutzen
Server
keine
Master Datenbank
keine
SafeGuard Enterprise Datenbank
db_datareader
db_datawriter
public (Standard)
2.4.1.2 Konfigurieren eines Windows-Benutzerkontos für die Anmeldung am SQL Server
Die folgende Beschreibung der einzelnen Konfigurationsschritte wendet sich an
SQL-Administratoren und bezieht sich auf Microsoft Windows Server 2008 und Microsoft SQL
Server 2014, Standard oder Express Edition.
Als SQL-Administrator benötigen Sie das Recht zum Anlegen von Benutzerkonten.
1. Öffnen Sie SQL Server Management Studio. Melden Sie sich am SQL Server mit Ihren
Anmeldeinformationen an.
2. Öffnen Sie den Objekt-Explorer, klicken Sie mit der rechten Maustaste auf Sicherheit,
wählen Sie Neu und klicken Sie dann auf Anmelden.
3. Wählen Sie unter Anmeldung - Neu auf der Allgemein Seite die Option
Windows-Authentifizierung.
4. Klicken Sie auf Suchen. Suchen Sie nach dem relevanten Windows-Benutzernamen und
klicken Sie auf OK. Der Benutzername wird als Anmeldename angezeigt.
22
Administratorhilfe
5. Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde,
wählen Sie unter Standarddatenbank die Option Master.
6. Klicken Sie auf OK.
7. Um die Datenbank automatisch während der Erstkonfiguration des SafeGuard Management
Centers zu erzeugen, müssen Sie die Zugriffsrechte wie folgt ändern: Weisen Sie jetzt
unter Anmeldung - Neu die Zugangsberechtigungen/Rollen zu, indem Sie links auf
Serverrollen klicken: Wählen Sie dbcreator. Nach der Installation von SafeGuard
Enterprise kann die Datenbankrolle auf dbowner zurückgesetzt werden.
2.4.1.3 Erstellen eines SQL-Kontos für die Anmeldung am SQL Server
Jeder Benutzer, der das SafeGuard Management Center verwenden soll, benötigt ein gültiges
SQL-Benutzerkonto wenn Windows-Authentifizierung für die Verbindung mit der
SafeGuard-Datenbank verwendet wird.
Die nachfolgende Beschreibung der einzelnen Konfigurationsschritte richtet sich an
SQL-Administratoren. Sie bezieht sich auf Microsoft Windows Server 2008 (alle Editionen)
mit Microsoft SQL Server 2008 Standard Edition.
Als SQL-Administrator benötigen Sie das Recht, ein SQL-Benutzerkonto zu erstellen.
1. Öffnen Sie SQL Server Management Studio. Melden Sie sich am SQL Server mit Ihren
Anmeldeinformationen an.
2. Öffnen Sie den Objekt-Explorer, klicken Sie mit der rechten Maustaste auf Sicherheit
und wählen Sie Neu > Anmelden.
23
SafeGuard Enterprise
3. Wählen Sie unter Anmeldung - Neu auf der Allgemein Seite die Option SQL Server
Authentifizierung.
4. Führen Sie auf der Allgemein Seite bei Anmeldename folgende Schritte durch:
a) Geben Sie den Namen des neuen Benutzers ein, z. B. SGN SQLSERVICE.
b) Geben Sie ein Kennwort für das Konto ein und bestätigen Sie es.
c) Deaktivieren Sie Kennwortrichtlinie erzwingen.
d) Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde,
wählen Sie unter Standarddatenbank die Option Master. Klicken Sie auf OK.
Notieren Sie sich die Authentisierungsmethode und die Anmeldedaten. Sie müssen diese
dem SafeGuard Management Center Sicherheitsbeauftragten mitteilen.
24
Administratorhilfe
5. Um die Datenbank automatisch während der Erstkonfiguration des SafeGuard Management
Centers zu erzeugen, müssen Sie die Zugriffsrechte wie folgt ändern: Weisen Sie jetzt
unter Anmeldung - Neu unter Allgemein die Zugangsberechtigungen/Rollen zu, indem
Sie links auf Serverrollen klicken. Wählen Sie dbcreator. Nach der Installation von
SafeGuard Enterprise kann die Datenbankrolle auf dbowner zurückgesetzt werden.
Das SQL-Benutzerkonto und die Zugriffsberechtigungen sind damit für den SafeGuard
Enterprise Sicherheitsbeauftragten eingerichtet.
2.4.2 Erzeugen der SafeGuard Enterprise Datenbank
Nachdem das Benutzerkonto für die SQL Server Anmeldung eingerichtet ist, können Sie die
SafeGuard Enterprise Datenbank erzeugen. Hier gibt es zwei Möglichkeiten:
■
Mit dem SafeGuard Management Center Konfigurationsassistenten
Als Sicherheitsbeauftragter können Sie die SafeGuard Enterprise Datenbank während der
Erstkonfiguration im SafeGuard Management Centers leicht und bequem erstellen. Der
SafeGuard Management Center Konfigurationsassistent führt Sie durch die
Basiskonfiguration, zu der auch die Erstellung der Datenbank gehört. Installieren und
konfigurieren Sie hierzu zuerst das SafeGuard Management Center (siehe Einrichten des
SafeGuard Management Center (Seite 33)) und ändern Sie dann die relevanten
Zugriffsrechte (siehe Ändern der Zugriffsrechte für die SafeGuard Enterprise Datenbank
(Seite 27)).
25
SafeGuard Enterprise
■
Mit SQL Skripts, die in der Produktlieferung zur Verfügung stehen.
Dieser Weg ist dann angebracht, wenn die Erweiterung der Datenbankberechtigung
während der Konfiguration des SafeGuard Management Centers nicht gewünscht ist.
Es hängt von Ihrer Unternehmensumgebung ab, welche Methode Sie anwenden. Am
besten sollte dies zwischen SQL-Administrator und SafeGuard Enterprise
Sicherheitsbeauftragtem vorab geklärt werden.
2.4.2.1 Voraussetzungen
Folgende Voraussetzungen müssen erfüllt sein:
■
Microsoft SQL Server muss bereits installiert und konfiguriert sein. Für kleinere
Unternehmen eignet sich der Einsatz der Microsoft SQL Express Edition, da keine
Lizenzkosten anfallen.
■
Aus Performance-Gründen sollte Microsoft SQL Server nicht auf dem Rechner installiert
werden, auf dem der SafeGuard Enterprise Server installiert wird.
■
Die Authentisierungsverfahren sowie die Zugriffsrechte für die Datenbank sollten geklärt
werden.
2.4.2.2 Erzeugen der SafeGuard Enterprise Datenbank per Skript
Wenn Sie die SafeGuard Datenbank automatisch während der Konfiguration des SafeGuard
Management Center erzeugen möchten, können Sie diesen Schritt überspringen. Wenn
erweiterte SQL-Berechtigungen während der SafeGuard Management Center Konfiguration
nicht erwünscht sind, führen Sie diesen Schritt aus. Dazu stehen im Tools-Verzeichnis der
Produktlieferung zwei Datenbank-Skripts zur Verfügung:
CreateDatabase.sql
CreateTables.sql
Die folgende Beschreibung der Arbeitsschritte wendet sich an SQL-Administratoren und
bezieht sich auf Microsoft SQL Server 2008 Standard Edition.
Als SQL-Administrator benötigen Sie das Recht zum Erstellen einer Datenbank.
1. Kopieren Sie die Skripts CreateDatabase.sql und CreateTables.sql aus der SafeGuard
Enterprise Produktlieferung auf den SQL Server.
2. Doppelklicken Sie auf dem Skript CreateDatabase.sql. Das Programm SQL Server
Management Studio wird aufgerufen.
3. Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an.
4. Überprüfen Sie, ob die beiden Zielpfade, die zu Beginn des Skripts unter FILENAME
(MDF, LDF) angegeben sind, auf der lokalen Festplatte vorhanden sind. Korrigieren Sie
sie, wenn nötig.
5. Klicken Sie auf die Schaltfläche Ausführen in der Symbolleiste, um die Datenbank zu
erzeugen. Sie haben die Datenbank SafeGuard angelegt. Erzeugen Sie anschließend
die Tabellen mit Hilfe des Skripts CreateTables.sql aus der Produktlieferung.
6. Doppelklicken Sie auf CreateTables.sql. Ein weiterer Bereich wird in Microsoft SQL Server
Management Studio geöffnet.
7. Geben Sie am Beginn des Skripts use SafeGuard ein, um die SafeGuard Enterprise
Datenbank auszuwählen, in der die Tabellen erstellt werden sollen.
26
Administratorhilfe
8. Klicken Sie auf die Schaltfläche Ausführen in der Symbolleiste, um die Tabellen zu
erzeugen.
Die SafeGuard Enterprise Datenbank und die zugehörigen Tabellen sind erzeugt.
2.4.3 Ändern der Zugriffsrechte für die SafeGuard Enterprise Datenbank
Nach dem Erstellen der SafeGuard Enterprise Datenbank muss dem Benutzerkonto Zugriff
auf die Datenbank gewährt werden. Diese Zugriffsrechte werden für alle
Sicherheitsbeauftragten benötigt, die mit dem SafeGuard Management Center arbeiten und
wenn Windows NT Authentisierung verwendet wird. Da es möglich ist, einem Benutzer für
eine Datenbank unterschiedliche Rollen und Berechtigungen zuzuweisen, sind nur die
Mindestanforderungen beschrieben.
1. Öffnen Sie SQL Server Management Studio. Melden Sie sich am SQL Server mit Ihren
Anmeldeinformationen an.
2. Öffnen Sie den Objekt-Explorer, doppelklicken Sie auf Sicherheit und dann auf
Anmeldungen.
3. Klicken Sie mit der rechten Maustaste auf den erforderlichen Benutzer und klicken Sie
dann auf Eigenschaften.
4. Wählen Sie Benutzerzuordnung auf der linken Seite. Wählen Sie unter Users mapped
to this login (Benutzer, die dieser Anmeldung zugeordnet sind) die Datenbank
SafeGuard.
5. Definieren Sie die erforderlichen Zugriffsrechte für die Benutzung der SafeGuard Enterprise
Datenbank unter Mitgliedschaft in Datenbankrolle für: Wählen Sie db_datareader,
db_datawriter und public.
6. Klicken Sie auf OK.
2.4.4 Überprüfung von Einstellungen für SQL-Dienste, Named Pipes und
TCP/IP
Bei der Installation des SafeGuard Management Center muss der SQL Browser Service laufen
und Named Pipes und TCP/IP müssen aktiv sein. Diese Einstellungen sind erforderlich, um
von anderen Maschinen aus auf den SQL-Server zugreifen zu können. Dies kann im SQL
Server-Konfigurations-Manager überprüft werden. Diese Beschreibung bezieht sich auf
Microsoft Windows Server 2008 (R2) und Microsoft SQL Server 2012 Standard oder Express
Edition.
1. Öffnen Sie den SQL Server-Konfigurations-Manager.
2. Wählen Sie in der Navigationsstruktur auf der linken Seite SQL Server-Dienste.
3. Überprüfen Sie, ob der Status von SQL Server und SQL Server Browser Läuft und der
Startmodus auf Automatisch eingestellt ist.
4. Wählen Sie in der Navigationsstruktur auf der linken Seite SQL
Server-Netzwerkkonfiguration.
5. Klicken Sie mit der rechten Maustaste auf das Protokoll Named Pipes und klicken Sie auf
Aktiviert.
6. Klicken Sie mit der rechten Maustaste auf das Protokoll TCP/IP und klicken Sie auf
Aktiviert.
7. Klicken Sie außerdem mit der rechten Maustaste auf das Protokoll TCP/IP und klicken
Sie auf Eigenschaften. Belassen Sie in der Registerkarte IP-Adressen unter IPAlll das
Feld Dynamische TCP-Ports leer. Geben Sie im Feld TCP Port 1434 ein.
8. Starten Sie die SQL-Dienste neu.
27
SafeGuard Enterprise
2.4.5 Erstellen einer Windows Firewall Regel auf Windows Server
Dieser Abschnitt bezieht sich auf Microsoft Windows Server 2008 (R2) mit Microsoft SQL
Server 2012 Standard oder Express Edition. Wenn Sie diese Konfiguration verwenden, führen
Sie die nachfolgend angegebenen Schritte aus um sicherzustellen, dass eine Verbindung
zwischen der SafeGuard Enterprise Datenbank und dem SafeGuard Management Center
hergestellt werden kann.
1. Klicken Sie auf dem Computer, der als Host für die SQL Server Instanz dient, auf Start,
wählen Sie Verwaltung und klicken Sie dann auf Windows-Firewall mit erweiterter
Sicherheit.
2. Wählen Sie in der Navigationsstruktur auf der linken Seite Eingehende Regeln.
3. Klicken Sie in der Menüleiste auf Aktion und dann auf Neue Regel. Der Assistent für
neue eingehende Regeln wird gestartet.
4. Wählen Sie auf der Regeltyp Seite Benutzerdefiniert und klicken Sie auf Weiter.
5. Wählen Sie auf der Programm Seite die Programme und Dienste, auf die diese Regel
angewendet werden soll. Klicken Sie dann auf Weiter.
6. Wählen Sie auf der Protokolle und Ports Seite TCP als Protokolltyp. Wählen Sie für
Lokaler Port die Option Bestimmte Ports und geben Sie 1433 ein. Wählen Sie für
Remoteport die Option Alle Ports. Klicken Sie auf Weiter.
7. Auf der Bereich Seite können Sie festlegen, dass die Regel nur für den Netzverkehr von
oder an die auf dieser Seite angegebenen IP-Adressen gilt. Nehmen Sie die entsprechende
Konfiguration vor und klicken Sie auf Weiter.
8. Wählen Sie auf der Seite Aktion die Option Verbindung zulassen und klicken Sie auf
Weiter.
9. Geben Sie auf der Seite Profil an, wo die Regel angewendet werden soll. Klicken Sie
dann auf Weiter.
10. Geben Sie auf der Seite Name einen Namen und eine Beschreibung für Ihre Regel ein
und klicken Sie auf Beenden.
2.4.6 Konfigurieren der Windows-Authentisierung für die Anmeldung am
SQL Server
Dieser Abschnitt bezieht sich auf Microsoft Windows Server 2008 mit Microsoft SQL Server
2012 Standard Edition und IIS 7.
Um die Kommunikation zwischen dem SafeGuard Enterprise Server und der SafeGuard
Enterprise Datenbank bei Anwendung der Windows-Authentisierung zu ermöglichen, muss
der Benutzer zu einem Mitglied von Active Directory Gruppen gemacht werden. Die
Berechtigungen für lokale Dateien müssen angepasst werden und das SQL Benutzerkonto
muss in den Anwendungspool des IIS aufgenommen werden.
1. Wählen Sie Start und dann Ausführen. Geben Sie dsa.msc ein. Öffnen Sie das Active
Directory Users and Computers Snap-in.
2. Klappen Sie in der Navigationsstruktur auf der linken Seite die Domänenstruktur aus und
wählen Sie Builtin.
3. Fügen Sie den relevanten Windows-Benutzer zu folgenden Gruppen hinzu: IIS_IUSRS,
Performance Log Users, Performance Monitor Users.
4. Beenden Sie das Snap-in.
5. Klicken Sie im lokalen Dateisystem im Windows Explorer mit der rechten Taste auf den
C:\Windows\Temp Ordner und wählen Sie Eigenschaften. Wählen unter Eigenschaften
die Registerkarte Sicherheit.
28
Administratorhilfe
6. Klicken Sie unter Sicherheit auf Hinzufügen und geben Sie den relevanten
Windows-Benutzernamen im Feld Geben Sie die zu verwendenden Objektnamen ein
ein. Klicken Sie auf OK.
7. Klicken Sie unter Sicherheit bei Berechtigungen auf Erweitert. Klicken Sie in der
Berechtigungen Registerkarte des Dialogs Erweiterte Sicherheitseinstellungen für
Temp auf Bearbeiten. Setzen Sie dann im Objekt Dialog die folgenden Berechtigungen
auf Zulassen: Ordner auflisten / Daten lesen, Dateien erstellen / Daten schreiben,
Löschen.
8. Klicken Sie auf OK, schließen Sie den Dialog Eigenschaften für Temp und schließen
Sie dann den Windows Explorer.
9. Öffnen Sie den Internet Information Services Manager.
10. Wählen Sie im Bereich Verbindungen auf der linken Seite die Anwendungspools für
den relevanten Server-Knoten.
11. Wählen Sie aus der Anwendungspools Liste auf der rechten Seite SGNSRV-Pool.
12. Wählen Sie im Aktionen Bereich auf der linken Seite Erweiterte Einstellungen.
13. Klicken Sie in Erweiterte Einstellungen unter Prozessmodell für die Eigenschaft Identität
auf die ... Schaltfläche.
14. Wählen Sie in Identität des Anwendungspools die Option Benutzerdefiniertes Konto
und klicken Sie auf Festlegen.
15. Geben Sie in Anmeldeinformationen festlegen den relevanten Windows-Benutzernamen
in folgender Form ein: Domäne\<Windows-Benutzername>. Geben Sie das
entsprechende Windows-Kennwort ein, bestätigen Sie es und klicken Sie auf OK.
16. Wählen Sie im Bereich Verbindungen auf der linken Seite den relevanten Server-Knoten
und klicken Sie im Aktionen Bereich auf Neu starten.
17. Wählen Sie im Bereich Verbindungen auf der linken Seite unter dem relevanten
Server-Knoten unter Sites Standard-Websites die Option SGNSRV.
18. Doppelklicken Sie auf der SGNSRV Homepage auf Authentifizierung.
19. Klicken Sie mit der rechten Maustaste auf Anonyme Authentifizierung und wählen Sie
Bearbeiten.
20. Wählen Sie bei Identität des anonymen Benutzers die Option Bestimmter Benutzer
und überprüfen Sie, ob der Benutzername IUSR lautet. Korrigieren Sie ihn, wenn nötig.
21. Klicken Sie auf OK.
Die zusätzliche Konfiguration für die Benutzung eines Windows-Kontos für die Anmeldung
am SQL Server ist nun abgeschlossen.
2.4.7 Replikation der SafeGuard Enterprise Datenbank
Zur Optimierung der Performance der SafeGuard Enterprise Datenbank lässt sich diese auf
mehrere SQL-Server replizieren.
Dieser Abschnitt beschreibt das Aufsetzen der Replikation für die SafeGuard Enterprise
Datenbank in einer verteilten Umgebung. In der Beschreibung wird davon ausgegangen, dass
Sie bereits Erfahrung mit dem Microsoft SQL Server Replikationsmechanismus haben.
Hinweis: Die Administration sollte nur bei der Master-Datenbank erfolgen, nicht bei replizierten
Datenbanken.
Wichtig:
Die vorgeschlagene Lösung beschreibt nicht die Datenbankreplikation für die Zwecke eines
redundanten Failovers, sondern zur Verbesserung der Performance in Multi-Site-Szenarien.
29
SafeGuard Enterprise
2.4.7.1 Mergereplikation
Die Mergereplikation ist der Vorgang der Verteilung von Daten vom Verleger an die
Abonnenten. Dabei können Verleger und Abonnenten unabhängig voneinander
Aktualisierungen vornehmen und danach einen Merge der Aktualisierungen zwischen den
Standorten durchführen.
Die Mergereplikation erlaubt es verschiedenen Standorten, autonom zu arbeiten und später
die Aktualisierungen zu einem einzigen, einheitlichen Ergebnis zusammenzuführen. Der
initiale Snapshot wird auf die Abonnenten angewendet. Microsoft SQL Server verfolgt dann
die Änderungen an veröffentlichten Daten beim Verleger und bei den Abonnenten nach. Die
Daten werden zwischen den Servern kontinuierlich, zu einem festgelegten Zeitpunkt oder auf
Anforderung synchronisiert. Da Aktualisierungen auf mehr als einem Server ausgeführt werden,
sind dieselben Daten möglicherweise vom Verleger und von mindestens einem Abonnenten
aktualisiert worden. Daher kann es beim Zusammenführen von Aktualisierungen zu Konflikten
kommen.
Die Mergereplikation bietet Standardmöglichkeiten sowie individuelle Möglichkeiten für die
Konfliktlösung, die Sie bei der Konfiguration einer Mergeveröffentlichung definieren können.
Tritt ein Konflikt auf, ruft der Merge-Agent einen Resolver auf. Dieser bestimmt, welche Daten
akzeptiert und an andere Standorte verteilt werden.
2.4.7.2 Einrichten der Datenbankreplikation
Der Vorgang des Einrichtens einer Replikation für die SafeGuard Enterprise Datenbank wird
am Beispiel von Microsoft SQL Server beschrieben.
Im Beispiel wird SafeGuard Enterprise ausschließlich von der Datenbank in Wien aus
administriert. Alle Änderungen werden vom SafeGuard Management Center über den Microsoft
SQL Server Replikationsmechanismus an die Datenbanken in Graz und Linz weitergegeben.
Die von den Client-Computern über die Web Server gemeldeten Änderungen werden ebenfalls
über den Replikationsmechanismus an den Microsoft SQL Server weitergegeben.
30
Administratorhilfe
2.4.7.2.1 Erzeugen der Master-Datenbank
Legen Sie zunächst die SafeGuard Enterprise Master-Datenbank an. In unserem Beispiel ist
dies die Datenbank Wien.
Der Vorgang zum Erzeugen der Master-Datenbank ist mit dem entsprechenden Vorgang für
eine SafeGuard Enterprise Installation ohne Replikation identisch.
■
Erzeugen der Master-Datenbank im SafeGuard Management Center
Konfigurationsassistenten.
Für diesen Vorgang muss das SafeGuard Management Center bereits installiert sein.
Weitere Informationen finden Sie unter Starten der Erstkonfiguration des SafeGuard
Management Center (Seite 35).
■
Erzeugen Sie die Master-Datenbank mit einem SQL-Skript. Sie finden die Skripts in Ihrer
Produktlieferung.
Dieser Vorgang wird häufig bevorzugt, wenn erweiterte SQL-Berechtigungen während der
SafeGuard Management Konfiguration nicht erwünscht sind. Weitere Informationen finden
Sie unter Erzeugen der SafeGuard Enterprise Datenbank per Skript (Seite 26)
2.4.7.2.2 Erzeugen der Replikationsdatenbanken Graz und Linz
Nach dem Einrichten der Master-Datenbank erzeugen Sie die Replikationsdatenbanken. Im
Beispiel haben die Replikationsdatenbanken die Bezeichnungen Graz und Linz.
Hinweis: Datentabellen und EVENT-Tabellen werden in getrennten Datenbanken gehalten.
Ereigniseinträge werden standardmäßig nicht verkettet, so dass die EVENT-Datenbank zur
Erhöhung der Performance auf mehrere SQL-Server repliziert werden kann. Wenn
EVENT-Tabellen verkettet werden, können während der Replikation der Datensätze Probleme
auftreten.
So erzeugen Sie die Replikationsdatenbanken neu:
1. Erzeugen Sie eine Veröffentlichung für die Master-Datenbank in der Management-Konsole
des SQL Servers.
Eine Veröffentlichung definiert das Daten-Set, das repliziert werden soll.
2. Wählen Sie alle Tabellen, Ansichten und gespeicherten Prozeduren für die Synchronisierung
in dieser Veröffentlichung aus.
3. Erstellen Sie die Replikationsdatenbanken, indem Sie ein Abonnement für Graz und ein
Abonnement für Linz erzeugen. Die neuen Datenbanken Graz und Linz erscheinen
daraufhin in den Abonnements im SQL Konfigurationsassistenten.
4. Schließen Sie den SQL Konfigurationsassistenten. Die Replikationsüberwachung zeigt,
ob der Replikationsmechanismus korrekt läuft.
5. Stellen Sie sicher, dass Sie den korrekten Datenbanknamen in der ersten Zeile des SQL
Skripts eingeben. Verwenden Sie zum Beispiel Graz oder Linz.
6. Erzeugen Sie nochmal die Snapshots mit dem Snapshot Agenten.
Die Replikationsdatenbanken Graz und Linz wurden angelegt.
2.4.7.3 Installieren und Registrieren von SafeGuard Enterprise Servern
Um SafeGuard Enterprise Server auf den Web Servern zu installieren, gehen Sie wie folgt
vor.
1. Installieren Sie SafeGuard Enterprise Server auf dem Server WS_1.
2. Installieren Sie SafeGuard Enterprise Server auf dem Server WS_2.
31
SafeGuard Enterprise
3. Registrieren Sie beide Server im SafeGuard Management Center. Im Menü Extras klicken
Sie auf Konfigurationspakete, und dann auf Server. Auf der Registerkarte Server klicken
Sie auf Hinzufügen.
4. Sie werden dazu aufgefordert, die Serverzertifikate ws_1.cer und ws_2.cer
hinzuzufügen. Sie finden die Zertifikate im Ordner \Program Files\Sophos\Sophos
SafeGuard\MachCert\. Die Zertifikate werden benötigt, um die entsprechenden
Konfigurationspakete zu erstellen.
Die SafeGuard Enterprise Server sind installiert und registriert.
2.4.7.4 Erzeugen der Konfigurationspakete für die Datenbank Graz
Erzeugen Sie die Konfigurationspakete für die Datenbank Graz: ein Paket für Server WS_1
für die Kommunikation mit der Datenbank Graz sowie ein Paket für die Verbindung des
SafeGuard Enterprise Clients Graz mit dem Web Service WS_1.
1. Klicken Sie im SafeGuard Management Center im Extras Menü auf Optionen und dann
auf Datenbank.
2. Wählen Sie unter Verbindungseinstellungen WS_1 als Datenbankserver und Graz als
Datenbank auf Server. Klicken Sie auf OK.
3. Klicken Sie im Extras Menü auf Konfigurationspakete... und dann auf Server-Pakete.
Wählen Sie den Server WS_1 , den Ausgabepfad und klicken Sie auf Konfigurationspaket
erstellen.
4. Wechseln Sie auf die Registerkarte Pakete für Managed Clients. Klicken Sie auf
Konfigurationspaket hinzufügen und geben Sie einen Namen für das Paket ein. Wählen
Sie unter Primärer Server den korrekten Server, mit dem die SafeGuard Enterprise Clients
Graz verbunden werden sollen (WS_1). Legen Sie den Ausgabepfad fest und klicken Sie
auf Konfigurationspaket erstellen.
Die SafeGuard Enterprise Server und Client Konfigurationspakete für die Datenbank Graz
werden am definierten Ausgabeort erstellt.
2.4.7.5 Erzeugen der Konfigurationspakete für die Datenbank Linz
Sie müssen die Konfigurationspakete für die Datenbank Linz erzeugen: Ein Paket für Server
WS_2 für die Kommunikation mit der Datenbank Linz sowie ein Paket für die Verbindung des
SafeGuard Enterprise Clients Linz mit dem Web Service WS_2.
1. Klicken Sie im SafeGuard Management Center im Extras Menü auf Optionen und dann
auf Datenbank.
2. Wählen Sie unter Verbindungseinstellungen WS_2 als Datenbankserver und Linz als
Datenbank auf Server. Klicken Sie auf OK.
3. Klicken Sie im Menü Extras auf Konfigurationspakete... und dann auf Server-Pakete.
Wählen Sie den Server WS_2 , den Ausgabepfad und klicken Sie auf Konfigurationspaket
erstellen.
4. Wechseln Sie auf die Registerkarte Pakete für Managed Clients. Klicken Sie auf
Konfigurationspaket hinzufügen und geben Sie einen Namen für das Paket ein. Wählen
Sie unter Primärer Server den korrekten Server, mit dem die SafeGuard Enterprise Clients
Linz verbunden werden sollen: WS_2. Legen Sie den Ausgabepfad fest und klicken Sie
auf Konfigurationspaket erstellen. Klicken Sie auf Schließen.
5. Verbinden Sie das SafeGuard Management Center wieder mit der Datenbank Wien: Klicken
Sie im Extras Menü auf Optionen und dann auf Datenbank.
Die SafeGuard Enterprise Server und Client Konfigurationspakete für die Datenbank Linz
werden am definierten Ausgabeort erstellt.
32
Administratorhilfe
2.4.7.6 Installieren der SafeGuard Enterprise Server Konfigurationspakete
1. Installieren Sie das Server-Konfigurationspaket (ws_1.msi) auf Web Service WS_1, der
mit der Datenbank Graz kommunizieren soll.
2. Installieren Sie das Server-Konfigurationspaket ws_2.msi auf Web Service WS_2, der
mit der Datenbank Linz kommunizieren soll.
3. Testen Sie die Kommunikation zwischen den SafeGuard Enterprise Servern und diesen
Datenbanken:
a) Öffnen Sie auf dem Computer, auf dem SafeGuard Enterprise Server installiert ist, den
Internet Information Services (IIS) Manager.
b) Klicken Sie in der Baumstruktur auf Internet Information Services Manager. Klicken
Sie auf Servername, Websites, Standard-Website. Überprüfen Sie, ob die Web-Seite
SGNSRV im Ordner Standard-Web-Seite verfügbar ist.
c) Klicken Sie mit der rechten Maustaste auf SGNSRV und klicken Sie auf Durchsuchen.
Auf der rechten Seite des Fensters wird eine Liste mit möglichen Aktionen angezeigt.
d) Wählen Sie aus dieser Liste die Aktion CheckConnection. Die mögliche Aktion wird
auf der rechten Seite des Fensters angezeigt.
e) Um die Verbindung zu prüfen, klicken Sie auf Aufrufen.
Der Verbindungstest war erfolgreich, wenn Sie diese Ausgabe erhalten:
<Dataroot><WebService>OK</WebService><DBAuth>OK</DBAuth>
2.4.7.7 Einrichten des Endpoint
Für Informationen zum Installieren der Verschlüsselungssoftware auf Endpoints, siehe Zentrale
Installation der Verschlüsselungssoftware (Seite 63) .
Hinweis: Stellen Sie zum Einrichten der Endpoints sicher, dass Sie nach der Installation das
korrekte Konfigurationspaket installieren:
1. Installieren Sie das Client-Konfigurationspaket Graz auf den Endpoints, die mit dem Graz
Server WS_1 verbunden werden sollen.
2. Installieren Sie das Client-Konfigurationspaket Linz auf den Endpoints, die mit dem Linz
Server WS_2 verbunden werden sollen.
2.5 Einrichten des SafeGuard Management Centers
Dieser Abschnitt beschreibt die Installation und Konfiguration des SafeGuard Management
Center.
Das SafeGuard Management Center ist das zentrale Verwaltungswerkzeug für SafeGuard
Enterprise. Installieren Sie es auf den Administrator-Computern, die Sie für die Verwaltung
von SafeGuard Enterprise einsetzen möchten. Das SafeGuard Management Center kann auf
jedem Rechner im Netzwerk installiert sein, von wo aus auf die SafeGuard Enterprise
Datenbanken zugegriffen werden kann.
Mit datenbankspezifischen Konfigurationen (Multi Tenancy) ermöglicht das SafeGuard
Management Center den Einsatz von SafeGuard Enterprise mit mehreren Datenbanken. Sie
können verschiedene SafeGuard Enterprise Datenbanken für unterschiedliche Bereiche (z.
B. Unternehmensstandorte, Organisationseinheiten oder Domänen) einrichten und verwalten.
33
SafeGuard Enterprise
Um den Verwaltungsaufwand zu reduzieren, können Sie Datenbankkonfigurationen auch in
Dateien exportieren und aus Dateien importieren.
2.5.1 Voraussetzungen
Folgende Voraussetzungen müssen erfüllt sein:
■
Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
■
.NET Framework 4,5 muss installiert sein. Das Programm steht in der SafeGuard Enterprise
Produktlieferung zur Verfügung.
■
Wenn Sie eine neue SafeGuard Enterprise Datenbank während der SafeGuard
Management Center Konfiguration erzeugen wollen, benötigen Sie entsprechende
SQL-Zugriffsberechtigungen, siehe Datenbankzugriffsrechte (Seite 21).
2.5.2 Installieren des SafeGuard Management Center
1. Starten Sie SGNManagementCenter.msi aus dem Installationsordner Ihrer Produktlieferung.
Ein Assistent führt Sie durch die notwendigen Schritte.
2. Übernehmen Sie die Standardeinstellungen in den nächsten Dialogen wie folgt. Führen
Sie auf der Installationsart auswählen Seite einen der folgenden Schritte aus:
■
Wenn das SafeGuard Management Center nur eine Datenbank unterstützen soll,
wählen Sie eine Installation vom Typ Typisch aus.
■
Mit der Option Angepasst können Sie die Features auswählen, die Sie installieren
möchten.
Wenn das SafeGuard Management Center mehrere Datenbanken unterstützen soll
(Multi Tenancy), wählen Sie eine Installation vom Typ Vollständig aus. Weitere
Informationen finden Sie unter Multi Tenancy Konfigurationen (Seite 35).
■
Das SafeGuard Management Center ist installiert. Starten Sie Ihren ggf. Computer neu. Im
nächsten Schritt führen Sie die Erstkonfiguration im SafeGuard Management Center durch.
2.5.3 Konfigurieren des SafeGuard Management Center
Der SafeGuard Management Center Konfigurationsassistent unterstützt Sie bei der Definition
der grundlegenden SafeGuard Management Center Einstellungen und bei den
Datenbankverbindungen während der initialen Konfiguration. Der Assistent wird automatisch
aufgerufen, wenn Sie das SafeGuard Management Center zum ersten Mal nach der Installation
starten.
Sie können das SafeGuard Management Center für die Anwendung mit einer oder mehreren
Datenbank (Multi Tenancy) konfigurieren.
Die SafeGuard Management Center Hilfe bietet umfassende Features wie kontextsensitive
Hilfe und Volltext-Suche. Um den vollen Funktionsumfang des Hilfesystems nutzen zu können,
muss JavaScript in Ihrem Browser aktiviert sein. Auch wenn JavaScript deaktiviert ist, können
Sie das SafeGuard Management Center Hilfesystem aufrufen und im System navigieren.
Bestimmte Funktionen wie die Volltext-Suche funktionieren dann allerdings nicht.
34
Administratorhilfe
2.5.3.1 Voraussetzungen
Folgende Voraussetzungen müssen erfüllt sein:
■
Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
■
Halten Sie die folgenden Informationen bereit. Diese erhalten Sie ggf. von Ihrem
SQL-Administrator.
SQL Anmeldeinformationen.
Name des SQL Servers, auf dem die SafeGuard Enterprise Datenbank laufen soll.
Name der SafeGuard Enterprise Datenbank, falls diese bereits erzeugt wurde.
2.5.3.2 Multi Tenancy Konfigurationen
Sie können mehrere verschiedene SafeGuard Enterprise Datenbankkonfigurationen für eine
Instanz des SafeGuard Management Center konfigurieren und verwalten. Dies erweist sich
vor allem dann als nützlich, wenn Sie verschiedene Konfigurationen für verschiedene Domänen,
Organisationseinheiten oder Unternehmensstandorte einsetzen möchten.
Sie müssen pro Datenbank jeweils eine separate SafeGuard Enterprise Server Instanz
einrichten. Jede Datenbank muss dieselbe Version aufweisen. Es ist beispielsweise nicht
möglich, SGN 7 Datenbanken und SGN 8 Datenbanken mit einem SGN 8 Management Center
zu verwalten.
Zur Vereinfachung der Konfiguration können vorhandene Datenbankkonfigurationen aus einer
Datei importiert werden; neu erstellte Konfigurationen können exportiert und später wieder
verwendet werden.
Um das SafeGuard Management Center für Multi Tenancy zu konfigurieren, führen Sie
zunächst die initiale Konfiguration und danach weitere spezifische Schritte für die Multi Tenancy
Konfiguration durch.
Hinweis: Die Funktion Multi Tenancy muss über eine Installation vom Typ Vollständig
installiert worden sein.
2.5.3.3 Starten der Erstkonfiguration des SafeGuard Management Centers
Nach der Installation des SafeGuard Management Center, müssen Sie die Erstkonfiguration
durchführen. Die Erstkonfiguration muss sowohl für den Single Tenancy als auch für den Multi
Tenancy Modus ausgeführt werden.
So starten Sie den SafeGuard Management Center Konfigurationsassistenten:
1. Starten Sie das SafeGuard Management Center über das Start Menü. Der
Konfigurationsassistent wird gestartet und führt Sie durch die notwendigen Schritte.
2. Klicken Sie auf der Willkommen Seite auf Weiter.
2.5.3.4 Konfigurieren der Datenbankserver-Verbindung
Zum Speichern aller SafeGuard Enterprise spezifischen Verschlüsselungsrichtlinien und
Einstellungen wird eine Datenbank verwendet. Damit das SafeGuard Management Center
mit dem SafeGuard Enterprise Server kommunizieren kann, müssen Sie eine
Authentisierungsmethode für den Zugriff auf die Datenbank festlegen, entweder Windows NT
Authentisierung oder SQL-Authentisierung. Wenn Sie eine Verbindung zum Datenbankserver
mit SQL Authentisierung herstellen möchten, stellen Sie sicher, dass Sie die notwendigen
35
SafeGuard Enterprise
SQL-Anmeldedaten zur Hand haben. Falls notwendig, erhalten Sie diese Informationen von
Ihrem SQL Administrator.
Führen Sie auf der Seite Datenbankserver-Verbindung folgende Schritte aus:
1. Wählen Sie unter Verbindungseinstellungen den SQL-Datenbankserver aus der
Datenbankserver Liste aus. Es werden alle Rechner eines Netzwerks aufgelistet, auf
denen ein Microsoft SQL Server installiert ist. Wenn der Server nicht auswählbar ist, tragen
Sie Servername bzw. IP-Adresse mit dem SQL-Instanznamen manuell ein.
2. Aktivieren Sie SSL verwenden, um die Verbindung zwischen SafeGuard Management
Center und SQL-Datenbankserver zu sichern.Wenn Sie Folgende Anmeldeinformationen
für SQL Server Authentisierung anwenden unter Authentisierung auswählen, empfehlen
wir dringend, diese Einstellung zu aktivieren, da dadurch der Transport der
SQL-Anmeldedaten verschlüsselt wird. SSL-Verschlüsselung erfordert eine funktionsfähige
SSL-Umgebung auf dem SQL-Datenbankserver, die Sie vorab einrichten müssen (siehe
Sichern von Transportverbindungen mit SSL (Seite 47)).
3. Wählen Sie unter Authentisierung die Art der Authentisierung, die für den Zugriff auf die
Datenbankserver-Instanz benutzt werden soll.
■
Aktivieren Sie Windows NT Authentisierung verwenden, um Ihre
Windows-Anmeldedaten zu verwenden.
Hinweis: Verwenden Sie diese Art der Authentisierung, wenn Ihr Computer Teil einer
Domäne ist. Es sind jedoch noch zusätzliche Konfigurationsschritte erforderlich, da der
Benutzer zur Herstellung einer Verbindung mit der Datenbank berechtigt sein muss
(siehe Konfigurieren eines Windows-Kontos für die Anmeldung am SQL-Server (Seite
22) und Konfigurieren der Windows-Authentisierung für die Anmeldung am SQL-Server
(Seite 28)).
■
Aktivieren Sie Folgende Anmeldeinformationen für SQL Server Authentisierung
anwenden, um mit den entsprechenden SQL-Anmeldeinformationen auf die Datenbank
zuzugreifen. Geben Sie die Anmeldeinformationen des SQL-Benutzerkontos ein, das
Ihr SQL-Administrator erstellt hat. Falls notwendig, erhalten Sie diese Informationen
von Ihrem SQL Administrator.
Hinweis: Verwenden Sie diese Art der Authentisierung, wenn Ihr Computer keiner
Domäne angehört. Aktivieren Sie SSL verwenden, um die Verbindung zum und vom
Datenbankserver zu sichern.
4. Klicken Sie auf Weiter.
Die Verbindung zum Datenbankserver ist hergestellt.
2.5.3.5 Erstellen oder Auswählen einer Datenbank
Auf der Seite Datenbankeinstellungen können Sie entweder eine neue Datenbank erzeugen
oder eine bestehende verwenden. Wenn die Datenbank bereits über SQL-Skripts erstellt
wurde, wählt der Assistent automatisch die bestehende Datenbank aus. In diesem Fall ist
keine weitere Konfiguration erforderlich.
Wenn die Datenbank noch nicht erstellt wurde, gehen Sie wie folgt vor:
1. Wählen Sie Eine neue Datenbank mit folgendem Namen erstellen und geben Sie einen
Namen für die neue Datenbank ein. Sie benötigen dazu die entsprechenden
SQL-Zugriffsberechtigungen, siehe Datenbankzugriffsrechte (Seite 21). Um Probleme zu
vermeiden, sollten in SafeGuard Enterprise Datenbanknamen nur folgende Zeichen
verwendet werden: Buchstaben (A - Z, a - z), Zahlen (0 - 9), Unterstriche (_).
2. Klicken Sie auf Weiter.
36
Administratorhilfe
2.5.3.6 Definieren der Active Directory-Authentifizierung
Bevor Sie eine neue Datenbank erstellen können Sie alle für die Verbindung mit Active
Directory nötigen Einstellungen vornehmen. In diesem Schritt definieren Sie den Servernamen
und die Anmeldeinformationen.
Wir empfehlen, die Anmeldeinformationen für Active Directory an dieser Stelle anzugeben
damit die grundlegende Active Directory Struktur automatisch importiert werden kann. Dieser
Import beinhaltet alle Container wie Organisationseinheiten und Gruppen, die mit der
SafeGuard Enterprise Datenbank synchronisiert werden. Bei diesem initialen Import werden
keine Benutzer und Computer importiert, aber es werden alle Schlüssel erstellt und den
entsprechenden Containern zugewiesen. Nach dem Import kann der Administrator Richtlinien
unterschiedlichen Containern zuweisen ohne eine komplette AD-Synchronisierung
durchzuführen. Computer und Benutzer erhalten ihre Richtlinien sobald sie am SGN Server
registriert sind.
Wenn Sie noch keine Anmeldeinformationen haben, können Sie diesen Schritt auch
überspringen und den Active Directory Import später manuell konfigurieren.
Hinweis: Für größere Unternehmen mit komplexen AD-Strukturen sowie für die Bearbeitung
von entfernten, geänderten oder verschobenen Objekten müssen Sie den Assistenten für die
LDAP-Authentisierung verwenden, siehe Importieren einer Active Directory Struktur (Seite
42).
1. Geben Sie auf der Seite Active Directory Authentifizierung den Servernamen oder die
IP-Adresse ein.
2. Wir empfehlen die Verwendung von SSL für die Sicherung der Verbindung zwischen
SafeGuard Enterprise Server und Endpoints.
3. Definieren Sie Ihre Anmeldeinformationen.
4. Klicken Sie auf Weiter.
Nachdem die SafeGuard Enterprise Datenbank erstellt und der Konfigurationsassistent
abgeschlossen ist, wird die grundlegende Struktur des angegebenen Verzeichnisses in die
Datenbank importiert. Alle benötigten Schlüssel werden erstellt und den entsprechenden
Containern zugewiesen.
2.5.3.7 Erstellen eines Haupt-Sicherheitsbeauftragten (Master Security Officer, MSO)
Als Sicherheitsbeauftragter melden Sie sich am SafeGuard Management Center an, um
SafeGuard Enterprise Richtlinien zu erstellen und die Verschlüsselungssoftware für die
Endbenutzer zu konfigurieren.
Der Haupt-Sicherheitsbeauftragte (MSO) ist der Administrator höchster Ebene mit allen
Rechten und einem Zertifikat, das nicht abläuft.
1. Geben Sie auf der Seite Daten des Sicherheitsbeauftragten unter
Haupt-Sicherheitsbeauftragten-ID einen Namen für den Haupt-Sicherheitsbeauftragten
ein, zum Beispiel MSO.
2. Führen Sie auf der Seite Zertifikat für den Haupt-Sicherheitsbeauftragten einen der
folgenden Schritte aus:
■
■
■
Zertifikat des Haupt-Sicherheitsbeauftragten erzeugen (Seite 38)
Import des Zertifikats des Haupt-Sicherheitsbeauftragten (Seite 38)
Export des Zertifikats des Haupt-Sicherheitsbeauftragten (Seite 38)
37
SafeGuard Enterprise
2.5.3.7.1
Zertifikat des Haupt-Sicherheitsbeauftragten erzeugen
In Zertifikat des Haupt-Sicherheitsbeauftragten erzeugen erzeugen Sie ein Kennwort für
den persönlichen Zertifikatspeicher. Der SafeGuard Enterprise Zertifikatspeicher ist ein
virtueller Speicher für SafeGuard Enterprise Zertifikate. Dieser Speicher hat keine
Auswirkungen auf Microsoft-Funktionen. Das in diesem Schritt definierte Kennwort ist das
Kennwort, das später für die Anmeldung am Management Center verwendet wird.
1. Bestätigen Sie unter Haupt-Sicherheitsbeauftragten-ID den Namen des
Haupt-Sicherheitsbeauftragten.
2. Geben Sie nun zweimal ein Kennwort für den Zertifikatspeicher ein und klicken Sie auf
OK.
Das Zertifikat des Haupt-Sicherheitsbeauftragten wird erzeugt und lokal gespeichert
(<mso_name>.cer).
Hinweis: Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf.
Sie benötigen es für die Anmeldung am SafeGuard Management Center.
2.5.3.7.2 Import des Zertifikats des Haupt-Sicherheitsbeauftragten
Wenn bereits ein Zertifikat eines Haupt-Sicherheitsbeauftragten zur Verfügung steht, müssen
Sie es in den Zertifikatsspeicher importieren.
Hinweis: Ein Zertifikat kann nicht aus einer Microsoft PKI importiert werden. Ein importiertes
Zertifikat muss minimal 1024 Bits haben und kann maximal 4096 Bits lang sein. Wir empfehlen
ein Zertifikat mit mindestens 2048 Bit.
1. Klicken Sie unter Authentisierungs-Schlüsseldatei importieren auf die [...] Schaltfläche
und wählen Sie die Schlüsseldatei aus.
2. Geben Sie das Kennwort der Schlüsseldatei ein.
3. Geben Sie das Kennwort für den Zertifikatsspeicher ein.
4. Bestätigen Sie das Kennwort für den Zertifikatsspeicher.
5. Klicken Sie auf OK.
Zertifikat und privater Schlüssel befinden sich nun im Zertifikatsspeicher. Zur Anmeldung an
das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet.
2.5.3.7.3
Export des Zertifikats des Haupt-Sicherheitsbeauftragten
Das MSO-Zertifikat wird in eine private Schlüsseldatei (P12) exportiert. Definieren Sie unter
Zertifikat exportieren ein Kennwort zum Schutz der privaten Schlüsseldatei. Die private
Schlüsseldatei wird für die Wiederherstellung einer beschädigten SafeGuard Management
Center Installation benötigt.
So exportieren Sie das Zertifikat eines Haupt-Sicherheitsbeauftragten:
1. Geben Sie unter Zertifikat exportieren ein Kennwort für den privaten Schlüssel (P12-Datei)
ein und bestätigen Sie es. Das Kennwort muss aus 8 alphanumerischen Zeichen bestehen.
2. Klicken Sie auf OK.
3. Geben Sie einen Speicherort für die private Schlüsseldatei ein.
Die private Schlüsseldatei wird erzeugt und die Datei wird am angegebenen Speicherort
gespeichert <mso_name.p12).
Wichtig: Erstellen Sie eine Sicherungskopie des privaten Schlüssels (P12-Datei) und legen
Sie diese direkt nach der Erstkonfiguration an einem sicheren Speicherort ab. Andernfalls
führt ein eventueller PC-Absturz zum Verlust des Schlüssels und SafeGuard Enterprise muss
neu installiert werden. Das gilt für alle von SafeGuard Enterprise generierten
Sicherheitsbeauftragten-Zertifikate.
38
Administratorhilfe
Sobald das Zertifikat für den Sicherheitsbeauftragten exportiert ist und der Zertifikatspeicher
und der Sicherheitsbeauftragte angelegt sind, fährt der Assistent mit dem Erstellen des
Unternehmenszertifikats fort.
2.5.3.8 Erzeugen des Unternehmenszertifikats
Mit dem Unternehmenszertifikat lassen sich unterschiedliche SafeGuard Management Center
Installationen auseinander halten. In Verbindung mit dem Zertifikat des
Haupt-Sicherheitsbeauftragten lässt sich mit dem Unternehmenszertifikat eine beschädigte
SafeGuard Enterprise Datenbankkonfiguration wiederherstellen.
1. Wählen Sie auf der Seite Unternehmenszertifikat die Option Neues
Unternehmenszertifikat erzeugen.
2. Geben Sie den Namen Ihres Unternehmens ein.
Hinweis: Von SafeGuard Enterprise erzeugte Zertifikate, zum Beispiel Unternehmens-,
Maschinen-, Sicherheitsbeauftragten- und Benutzerzertifikate, sind bei einer Erstinstallation
standardmäßig zur Erweiterung der Sicherheit mit dem Hash-Algorithmus SHA-256 signiert.
Bei Endpoints mit älteren Version von SafeGuard Enterprise als 6.1 müssen Sie unter
Hash-Algorithmus für erzeugte Zertifikate den Algorithmus SHA-1 auswählen. Für
weitere Informationen, siehe Ändern des Algorithmus für selbst-signierte Zertifikate (Seite
293).
3. Klicken Sie auf Weiter.
Das neu angelegte Unternehmenszertifikat wird in der Datenbank gespeichert.
Erstellen Sie eine Sicherungskopie des Unternehmenszertifikats und legen Sie diese direkt
nach der Erstkonfiguration an einem sicheren Speicherort ab.
Informationen zum Reparieren einer beschädigten Datenbankkonfiguration finden Sie unter
Reparieren einer beschädigten Datenbankkonfiguration (Seite 44).
2.5.3.9 Abschließen der Erstkonfiguration des SafeGuard Management Centers
1. Klicken Sie auf Beenden, um die Erstkonfiguration des SafeGuard Management Centers
abzuschließen.
Eine Konfigurationsdatei wird erstellt.
Ergebnis:
■
Eine Verbindung zum SafeGuard Enterprise Server.
■
Eine SafeGuard Enterprise Datenbank.
■
■
Ein Haupt-Sicherheitsbeauftragten-Konto für die Anmeldung an das SafeGuard
Management Center.
Alle notwendigen Zertifikate für die Wiederherstellung einer beschädigten
Datenbankkonfiguration oder SafeGuard Management Center Installation
Sobald der Konfigurationsassistent geschlossen ist, wird das SafeGuard Management Center
gestartet.
39
SafeGuard Enterprise
2.5.4 Erstellen weiterer Datenbankkonfigurationen (Multi Tenancy)
Voraussetzung: Die Funktion Multi Tenancy muss über eine Installation vom Typ Vollständig
installiert worden sein. Die initiale Konfiguration des SafeGuard Management Center muss
durchgeführt worden sein, siehe Starten der Erstkonfiguration des SafeGuard Management
Center (Seite 35).
Hinweis: Sie müssen pro Datenbank jeweils eine separate SafeGuard Enterprise Server
Instanz einrichten.
So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach der
Erstkonfiguration:
1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählen
wird angezeigt.
2. Klicken Sie auf Neu. Der SafeGuard Management Center Konfigurationsassistent wird
automatisch gestartet.
3. Der Assistent führt Sie durch die notwendigen Schritte für das Anlegen einer neuen
Datenbankkonfiguration. Wählen Sie die gewünschten Optionen. Die neue
Datenbankkonfiguration wird generiert.
4. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für
diese Konfiguration auszuwählen und das entsprechende Zertifikatspeicher-Kennwort
einzugeben. Klicken Sie auf OK.
Das SafeGuard Management Center wird geöffnet und mit der ausgewählten
Datenbankkonfiguration verbunden. Beim nächsten Start des SafeGuard Management Center
kann die neue Datenbankkonfiguration aus der Liste ausgewählt werden.
Hinweis: Weitere Informationen zu Multi Tenancy finden Sie unter Mit mehreren
Datenbankkonfigurationen arbeiten (Seite 243).
2.5.5 Konfigurieren zusätzlicher Instanzen des SafeGuard Management
Center
Sie können zusätzliche Instanzen des SafeGuard Management Center konfigurieren, um
Sicherheitsbeauftragten den Zugriff für die Durchführung administrativer Aufgaben auf
verschiedenen Computern zu ermöglichen. Das SafeGuard Management Center kann auf
jedem Rechner im Netzwerk installiert sein, von wo aus auf die Datenbank zugegriffen werden
kann.
SafeGuard Enterprise verwaltet die Zugriffsrechte auf das SafeGuard Management Center
in einem eigenen Zertifikatsverzeichnis. In diesem Verzeichnis müssen die Zertifikate aller
Sicherheitsbeauftragten, die sich am SafeGuard Management Center anmelden dürfen,
vorhanden sein. Für die Anmeldung an das SafeGuard Management Center ist dann nur das
Kennwort für den Zertifikatsspeicher erforderlich.
1. Installieren Sie SGNManagementCenter.msi mit den gewünschten Features auf einem
weiteren Computer.
2. Starten Sie das SafeGuard Management Center auf dem Administratorcomputer. Der
Konfigurationsassistent wird gestartet und führt Sie durch die notwendigen Schritte.
3. Klicken Sie auf der Willkommen Seite auf Weiter.
40
Administratorhilfe
4. Wählen Sie im Dialog Datenbankverbindung unter Datenbankserver die erforderliche
SQL-Datenbankinstanz aus der Liste aus. Alle auf Ihrem Computer oder Netzwerk
verfügbaren Datenbankserver werden angezeigt. Wählen Sie unter Authentisierung die
Art der Authentisierung, die für den Zugriff auf diese Datenbankinstanz benutzt werden
soll. Wenn Sie Folgende Anmeldeinformationen für SQL Server Authentisierung
anwenden wählen, geben Sie die SQL-Benutzerkontenanmeldedaten ein, die Ihr
SQL-Administrator erstellt hat. Klicken Sie auf Weiter.
5. Aktivieren Sie auf der Seite Datenbankeinstellungen die Option Folgende bestehende
Datenbank verwenden und wählen Sie die Datenbank aus der Liste aus. Klicken Sie auf
Weiter.
6. Wählen Sie unter SafeGuard Management Center Authentisierung eine autorisierte
Person aus der Liste aus. Wenn Multi Tenancy aktiviert ist, zeigt der Dialog an, an welcher
Konfiguration sich der Benutzer anmeldet. Geben Sie das Kennwort für den
Zertifikatsspeicher ein und bestätigen Sie es.
Der Zertifikatsspeicher für das aktuelle Benutzerkonto wird angelegt und ist durch dieses
abgesichert. Für die nachfolgenden Anmeldungen benötigen Sie nur noch dieses Kennwort.
7. Klicken Sie auf OK.
Eine Meldung, dass Zertifikat und privater Schlüssel nicht gefunden bzw. nicht darauf
zugegriffen werden kann, wird angezeigt.
8. Klicken Sie zum Importieren der Daten auf Ja und dann auf OK. Dadurch wird der
Importvorgang gestartet.
9. Klicken Sie unter Authentisierungs-Schlüsseldatei importieren auf die [...] Schaltfläche
und wählen Sie die Schlüsseldatei aus. Geben Sie das Kennwort der Schlüsseldatei
ein. Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token-PIN
definierte Kennwort für den Zertifikatsspeicher ein. Wählen Sie In den Zertifikatsspeicher
importieren oder Auf den Token kopieren, um das Zertifikat auf einem Token zu
speichern.
10. Geben Sie zur Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein.
Zertifikat und privater Schlüssel befinden sich nun im Zertifikatsspeicher. Zur Anmeldung an
das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet.
2.5.6 Anmelden am SafeGuard Management Center
Die Anmeldung richtet sich danach, ob Sie das SafeGuard Management Center im Single
Tenancy Modus oder im Multi Tenancy Modus einsetzen.
2.5.6.1 Anmeldung im Single Tenancy Modus
1. Starten Sie das SafeGuard Management Center über das Start-Menü. Ein
Anmeldebildschirm wird angezeigt.
2. Melden Sie sich als Haupt-Sicherheitsbeauftragter an und geben Sie das
Zertifikatspeicher-Kennwort ein, das während der Konfiguration festgelegt wurde. Klicken
Sie auf OK.
Das SafeGuard Management Center wird gestartet.
Hinweis: Wenn Sie ein falsches Kennwort eingeben, wird eine Fehlermeldung angezeigt
und die nächste Anmeldung wird verzögert. Diese Verzögerung wird mit jedem
fehlgeschlagenen Anmeldeversuch größer. Fehlgeschlagene Anmeldeversuche werden
protokolliert.
41
SafeGuard Enterprise
2.5.6.2 Anmeldung im Multi Tenancy Modus
1. Starten Sie das SafeGuard Management Center über das Start-Menü. Der Dialog
Konfiguration auswählen wird angezeigt.
2. Wählen Sie die Datenbankkonfiguration aus, die Sie verwenden möchten, und klicken Sie
auf OK. Die ausgewählte Datenbankkonfiguration wird mit dem SafeGuard Management
Center verbunden und wird aktiv.
3. Sie werden dazu aufgefordert, den Sicherheitsbeauftragtennamen für diese Konfiguration
auszuwählen und das entsprechende Zertifikatspeicher-Kennwort einzugeben. Klicken
Sie auf OK.
Das SafeGuard Management Center wird geöffnet und mit der ausgewählten
Datenbankkonfiguration verbunden.
Hinweis: Wenn Sie ein falsches Kennwort eingeben, wird eine Fehlermeldung angezeigt
und die nächste Anmeldung wird verzögert. Diese Verzögerung wird mit jedem
fehlgeschlagenen Anmeldeversuch größer. Fehlgeschlagene Anmeldeversuche werden
protokolliert.
2.5.7 Einrichten der Organisationsstruktur im SafeGuard Management
Center
Es gibt zwei Möglichkeiten, Ihre Organisation in SafeGuard Enterprise abzubilden:
■
Directory Service importieren, z. B.: Active Directory
Während der Synchronisierung mit dem Active Directory werden Objekte (z. B. Computer,
Benutzer und Gruppen) in das SafeGuard Management Center importiert und in der
SafeGuard Enterprise Datenbank gespeichert.
■
Organisationsstruktur manuell aufbauen
Steht kein Directory Service zur Verfügung oder gibt es nur wenige Organisationseinheiten,
so dass kein Directory Service benötigt wird, können Sie neue Domänen/Arbeitsgruppen
anlegen, an denen sich der Benutzer/Computer anmelden kann.
Sie können entweder nur eine von beiden Möglichkeiten anwenden, oder die beiden
Möglichkeiten mischen. Zum Beispiel können Sie ein Active Directory (AD) ganz oder teilweise
importieren und weitere Organisationseinheiten (OU) manuell anlegen.
Hinweis: Bei der Kombination beider Verfahren werden die manuell angelegten
Organisationseinheiten nicht im AD abgebildet. Wenn in SafeGuard Enterprise angelegte
Organisationseinheiten im AD abgebildet werden sollen, so müssen Sie diese separat zum
AD hinzufügen.
Weitere Informationen zum Importieren oder Anlegen einer Organisationsstruktur finden Sie
unter Aufbau der Organisationsstruktur (Seite 278).
2.5.7.1 Importieren einer Active Directory Struktur
Mit SafeGuard Enterprise können Sie eine Active Directory Struktur ins SafeGuard
Management Center importieren. Während der Synchronisierung mit dem Active Directory
werden Objekte wie Computer, Benutzer und Gruppen in das SafeGuard Management Center
importiert. Alle Daten werden in der SafeGuard Enterprise Datenbank gespeichert.
So konfigurieren Sie Active Directory:
1. Öffnen Sie das SafeGuard Management Center.
42
Administratorhilfe
2. Geben Sie zur Authentisierung das Kennwort ein, das für den Zertifikatspeicher definiert
wurde.
3. Wählen Sie unten links Benutzer und Computer.
4. Wählen Sie oben links Stamm [Filter ist aktiv].
5. Wählen Sie im rechten Fensterbereich die Registerkarte Synchronisieren aus. Der
Assistent für die LDAP-Authentisierung startet automatisch.
6. Geben Sie im Assistenten für die LDAP-Authentisierung Ihre Anmeldeinformationen ein,
die Sie für die Synchronisierung verwenden wollen, und definieren Sie den Servernamen
und die IP-Adresse des Domain Controllers. Der Benutzername muss das Format
Benutzer@Domain haben um Konflikte mit dem NetBIOS-Domänennamen zu vermeiden.
7. Sobald die Verbindung zum Verzeichnis erfolgreich hergestellt wurde, zeigt das Feld
Verzeichnis DSN die Domänen-Information. Klicken Sie auf das Lupen-Symbol, um das
Active Directory zu auszulesen.
8. Wenn der Auslesevorgang abgeschlossen ist, wird die Domänen-Struktur im mittleren
Fensterbereich angezeigt. Wählen Sie die Organisationseinheiten, die Sie in SafeGuard
Enterprise importieren möchten. Es können keine einzelnen Computer, Gruppen oder
Benutzer ausgewählt werden. Sie können jedoch Organisationseinheiten auswählen.
9. Wählen Sie, ob Active Directory Gruppenmitgliedschaften mit dem SafeGuard Management
Center synchronisiert werden sollen. Der Import von Gruppenmitgliedschaften kann
übersprungen werden, indem Sie das Kontrollkästchen Synchronisiere Mitgliedschaften
deselektieren. Der Verzicht auf Import und Synchronisierung von Gruppenmitgliedschaften
wirkt sich positiv auf die Performance des Management Centers aus, besonders bei großen
AD-Strukturen.
Standardmäßig erstellt SafeGuard Enterprise einen Schlüssel für alle Container,
Organisationseinheiten (OU) und Domänenobjekte, die Sie importieren. Das Erstellen der
Schlüssel kann einige Zeit in Anspruch nehmen. Deshalb empfehlen wir, besonders beim
Import einer großen Umgebung, das Erstellen der Schlüssel für Gruppen nicht zu aktivieren,
wenn nicht erforderlich.
10. Klicken Sie zum Starten der Synchronisierung auf Synchronisieren. Nun werden die
Detailinformationen aus dem Active Directory eingelesen. Am Ende der Synchronisierung
wird eine Übersicht über alle Änderungen angezeigt.
11. Klicken Sie auf OK, um alle Änderungen in die SafeGuard Enterprise Datenbank zu
schreiben.
Wenn der Vorgang abgeschlossen ist, wird die Domänen-Struktur im linken Fensterbereich
angezeigt. Der Import des Active Directory ins SafeGuard Management Center ist nun
abgeschlossen.
2.5.8 Importieren der Lizenzdatei
SafeGuard Enterprise hat einen integrierten Lizenzzähler.Wenn Sie das Produkt herunterladen,
können Sie eine Testlizenzdatei herunterladen. Diese Testlizenz enthält fünf Lizenzen für
jedes Modul und muss ins SafeGuard Management Center importiert werden. Dadurch soll
eine problemlose Evaluierung von anderen SafeGuard Enterprise Komponenten ohne
Nebeneffekte gewährleistet werden. Beim Kauf von SafeGuard Enterprise enthält jeder Kunde
eine individuelle Lizenzdatei für das jeweilige Unternehmen, die in das SafeGuard Management
Center importiert werden muss.
Weitere Informationen finden Sie unter Lizenzen (Seite 298).
43
SafeGuard Enterprise
2.5.9 So reparieren Sie eine beschädigte Management Center Installation:
Eine beschädigte Installation des SafeGuard Management Center kann repariert werden
wenn die Datenbank intakt ist. Installieren Sie in diesem Fall das SafeGuard Management
Center neu und verwenden Sie dabei die bestehende Datenbank sowie das gesicherte
Zertifikat für den Haupt-Sicherheitsbeauftragten.
Das Unternehmenszertifikat und das Haupt-Sicherheitsbeauftragten-Zertifikat der
betreffenden Datenbankkonfiguration müssen als .p12 Dateien exportiert worden sein.
Die Dateien müssen verfügbar und gültig sein.
Die Kennwörter für die .p12 Dateien sowie für den Zertifikatsspeicher müssen Ihnen
bekannt sein.
So reparieren Sie eine beschädigte SafeGuard Management Center Installation:
1. Installieren Sie das SafeGuard Management Center Installationspaket neu. Öffnen Sie
das SafeGuard Management Center. Der Konfigurationsassistent wird automatisch geöffnet.
2. Wählen Sie unter Datenbankverbindung den relevanten Datenbankserver und
konfigurieren Sie, falls erforderlich, die Verbindung zur Datenbank. Klicken Sie auf Weiter.
3. Aktivieren Sie unter Datenbankeinstellungen die Option Folgende bestehende
Datenbank verwenden und wählen Sie die Datenbank aus der Liste aus.
4. Führen Sie unter Daten des Sicherheitsbeauftragten einen der folgenden Schritte aus:
■
Wenn die gesicherte Zertifikatsdatei auf dem Computer gefunden wird, wird sie
angezeigt. Geben Sie das Kennwort ein, das Sie zur Anmeldung an das SafeGuard
Management Center benutzen.
■
Wird die gesicherte Zertifikatsdatei nicht auf dem Computer gefunden, wählen Sie
Importieren. Suchen Sie nach der gesicherten Zertifikatsdatei und klicken Sie auf
Öffnen. Geben Sie das Kennwort für die Zertifikatsdatei ein. Klicken Sie auf Ja. Geben
Sie ein Kennwort für die Anmeldung am SafeGuard Management Center ein und
bestätigen Sie es.
5. Klicken Sie auf Weiter und dann auf Fertig stellen, um die Konfiguration des SafeGuard
Management Center abzuschließen.
Die SafeGuard Management Center Installation ist repariert.
2.5.10 Reparieren einer beschädigten Datenbankkonfiguration
Sie können eine beschädigte Datenbankkonfiguration reparieren, indem Sie das SafeGuard
Management Center neu installieren und basierend auf den gesicherten Zertifikatsdateien
eine neue Instanz der Datenbank erstellen. Dadurch wird sichergestellt, dass alle vorhandenen
SafeGuard Enterprise Endpoints Richtlinien von der neuen Installation annehmen.
Das Unternehmenszertifikat und das Haupt-Sicherheitsbeauftragten-Zertifikat der
betreffenden Datenbankkonfiguration müssen als .p12 Dateien exportiert worden sein.
Die Dateien müssen verfügbar und gültig sein.
Die Kennwörter für die beiden .p12 Dateien sowie für den Zertifikatsspeicher müssen Ihnen
bekannt sein.
Hinweis: Dieses Verfahren ist nur dann zu empfehlen, wenn keine gültige Sicherungskopie
der Datenbank verfügbar ist. Alle Computer, die mit einem reparierten Backend verbunden
werden, verlieren ihre Benutzer-Computer Zuordnung. Infolgedessen wird die Power-on
44
Administratorhilfe
Authentication vorübergehend abgeschaltet. Challenge/Response-Mechanismen stehen erst
dann wieder zur Verfügung, wenn der entsprechende Endpoint seine Schlüsselinformationen
wieder erfolgreich übertragen hat.
So reparieren Sie eine beschädigte Datenbankkonfiguration:
1. Installieren Sie das SafeGuard Management Center Installationspaket neu. Öffnen Sie
das SafeGuard Management Center. Der Konfigurationsassistent wird automatisch
geöffnet.
2. Wählen Sie unter Datenbank-Verbindung die Option Neue Datenbank erstellen.
Konfigurieren Sie unter Datenbankeinstellungen die Verbindung zur Datenbank. Klicken
Sie auf Weiter.
3. Wählen Sie unter Daten des Sicherheitsbeauftragten den relevanten
Haupt-Sicherheitsbeauftragten und klicken Sie auf Importieren.
4. Suchen Sie unter Importieren des Zertifikats die gesicherte Zertifikatsdatei. Geben Sie
unter Schlüsseldatei das für diese Datei festgelegte Kennwort ein und bestätigen Sie es.
Klicken Sie auf OK.
5. Das Zertifikat des Haupt-Sicherheitsbeauftragten wird importiert. Klicken Sie auf Weiter.
6. Aktivieren Sie unter Unternehmenszertifikat die Option Über vorhandenes
Unternehmenszertifikat wiederherstellen. Klicken Sie auf Importieren, um die gesicherte
Zertifikatsdatei auszuwählen, die das gültige Unternehmenszertifikat enthält. Sie werden
aufgefordert, das für den Zertifikatsspeicher definierte Kennwort einzugeben. Geben Sie
das Kennwort ein und klicken Sie auf OK. Klicken Sie im Willkommen-Fenster auf Weiter.
Das Unternehmenszertifikat wird importiert.
7. Klicken Sie auf Weiter, dann auf Beenden.
Die Datenbankkonfiguration ist repariert.
2.6 Testen der Kommunikation
Wenn SafeGuard Enterprise Server, die Datenbank und das Management Center eingerichtet
sind, empfehlen wir, einen Verbindungstest durchführen. Dieser Abschnitt enthält die
Voraussetzungen und die benötigten Einstellungen für den Verbindungstest.
2.6.1 Ports/Verbindungen
Die Endpoints müssen folgende Verbindungen aufbauen:
SafeGuard Endpoint
Verbindung zu
SafeGuard Enterprise
Server
Port
Port 443 bei Benutzung der SSL Transportverbindung
Port 80/TCP
Das SafeGuard Management Center muss folgende Verbindungen aufbauen:
45
SafeGuard Enterprise
SafeGuard Management
Center Verbindung zu
SQL Datenbank
Port
SQL Server 2012 dynamischer Port: Port 1433/TCP und Port 1434/TCP
Active Directory
Port 389/TCP
SLDAP
Port 636 für den Active Directory Import
Der SafeGuard Enterprise Server muss folgende Verbindungen aufbauen:
SafeGuard Enterprise
Server Verbindung zu
SQL Datenbank
Active Directory
Port
Port 1433/TCP und Port 1434/TCP für SQL 2012 (Express) dynamischer
Port
Port 389/TCP
2.6.2 Authentisierungsmethode
1. Öffnen Sie auf dem Computer, auf dem SafeGuard Enterprise Server installiert ist, den
Internet Information Services (IIS) Manager.
2. Wählen Sie in der Baumstruktur den relevanten Server und klicken Sie Sites >
Standardwebsite> SGNSRV.
3. Doppelklicken Sie unter IIS auf das Symbol Authentifizierung und prüfen Sie folgende
Einstellungen:
■
■
Setzen Sie Anonyme Authentifizierung auf Aktiviert.
Setzen Sie Windows-Authentifizierung auf Deaktiviert.
2.6.3 Proxyserver-Einstellungen
So definieren Sie Proxyserver-Einstellungen für Webserver und Endpoint:
1. Klicken Sie im Internet Explorer im Extras Menü auf Internetoptionen. Klicken Sie auf
Verbindungen und dann auf LAN-Einstellungen.
2. Deaktivieren Sie in LAN-Einstellungen unter Proxyserver das Kontrollkästchen
Proxyserver für LAN verwenden.
Wenn ein Proxyserver notwendig ist, wählen Sie Proxyserver für lokale Adressen
umgehen.
46
Administratorhilfe
2.6.4 Verbindung prüfen
1. Öffnen Sie auf dem Computer, auf dem SafeGuard Enterprise Server installiert ist, den
Internet Information Services (IIS) Manager.
2. Wählen Sie in der Baumstruktur den relevanten Server und klicken Sie Sites >
Standardwebsite> SGNSRV.
3. Klicken Sie mit der rechten Maustaste auf SGNSRV, wählen Sie Anwendung verwalten
und klicken Sie auf Browse, um die Seite Sophos SafeGuard Web Service zu öffnen.
4. Auf der Seite Sophos SafeGuard Web Service wird eine Liste mit möglichen Aktionen
angezeigt. Klicken Sie in dieser Liste auf CheckConnection und dann auf Aufrufen.
Der Verbindungstest war erfolgreich, wenn Sie diese Ausgabe erhalten:
<Dataroot><WebService>OK</WebService><DBAuth>OK</DBAuth>
Wenn die Kommunikation zwischen dem SafeGuard Enterprise Client und dem Server nicht
richtig funktioniert, lesen Sie im Sophos Knowledgebase-Artikel 109662 nach.
2.7 Sichern von Transportverbindungen mit SSL
SafeGuard Enterprise unterstützt die Verschlüsselung der Transportverbindungen zwischen
den einzelnen Komponenten mit SSL. Sie können SSL für die Transportverschlüsselung
zwischen folgenden Komponenten verwenden:
Datenbankserver <-> SafeGuard Enterprise Server mit IIS
Datenbankserver <-> SafeGuard Management Center
SafeGuard Enterprise Server mit IIS <-> verwaltete Endpoints
Hinweis: Alternativ dazu kann die Verbindung zwischen dem SafeGuard Enterprise Server
und den von SafeGuard Enterprise verwalteten Endpoints mit SafeGuard-spezifischer
Verschlüsselung verschlüsselt werden. Dies empfiehlt sich jedoch nur für Demo- oder
Test-Setups. Für optimale Sicherheit und Performance empfehlen wir ausdrücklich die
Verwendung von SSL für die Verschlüsselung der Kommunikation. Falls dies nicht möglich
ist und die SafeGuard-spezifische Verschlüsselung verwendet wird, so gilt die Obergrenze
von 1000 Clients, die eine Verbindung mit einer Serverinstanz herstellen können.
Hinweis: Mac OS X Clients unterstützen nur SSL.
Bevor SSL für SafeGuard Enterprise aktiviert werden kann, muss eine funktionsfähige
SSL-Umgebung eingerichtet werden.
2.7.1 Voraussetzungen
Um die Kommunikation zwischen dem SafeGuard Enterprise Server und dem mit SafeGuard
Enterprise gesicherten Endpoint mit SSL zu sichern, ist ein gültiges Zertifikat notwendig. Sie
können die folgenden Typen von Zertifikaten verwenden:
■
Ein selbst-signiertes Zertifikat, siehe Verwenden eines selbst-signierten Zertifikats (Seite
48).
■
Ein von einer PKI ausgestelltes Zertifikat mit einem privaten oder öffentlichen
Stammzertifikat, siehe Verwenden eines PKI-generierten Zertifikats (Seite 48).
Technisch macht es keinen Unterschied, ob Sie ein Zertifikat mit einem privaten oder
öffentlichen Stammzertifikat verwenden.
47
SafeGuard Enterprise
Hinweis: Wenn ein von einer PKI erstelltes Zertifikat, aber keine PKI-Infrastruktur verfügbar
ist, können Sie das Zertifikat nicht verwenden, um die Kommunikation mit SSL abzusichern.
In diesem Fall müssen Sie eine PKI aufsetzen oder ein selbst-signiertes Zertifikat erstellen.
2.7.1.1 Verwenden eines selbst-signierten Zertifikats
Um ein selbst-signiertes Zertifikat mit SafeGuard Enterprise zu erstellen:
1. Öffnen Sie den Internetinformationsdienste (IIS) Manager auf dem Computer auf dem der
SafeGuard Enterprise Server gehostet wird und überprüfen Sie den Namen des Servers,
der am obersten Knoten angezeigt wird.
2. Auf dem Computer, auf dem das SafeGuard Management Center installiert ist, wählen
Sie Programme, Sophos, SafeGuard und SafeGuard Enterprise Zertifikatsverwaltung.
3. Öffnen Sie den SafeGuard Zertifikatspeicher.
4. Verwenden Sie zur Authentisierung dasselbe Kennwort wie für die Anmeldung am
SafeGuard Management Center.
5. Klicken Sie die Schaltfläche Neues Zertifikat erzeugen.
6. Der Zertifikatname muss dem Computer entsprechen, der im Internetinformationsdienste
(IIS) Manager im obersten Knoten angezeigt wird.
7. Behalten Sie den Standardwert für die Schlüssellänge bei.
8. Definieren Sie ein Kennwort und klicken Sie auf OK.
9. Speichern Sie die .cert und .p12 Dateien an einem Speicherort, der vom Computer
erreichbar ist, auf dem der IIS installiert ist.
2.7.1.2 Verwenden eines PKI-generierten Zertifikats
Wollen Sie ein PKI-generiertes Zertifikat für die SSL-Kommunikation verwenden, erstellen
Sie ein Zertifikat für den Computer, auf dem der SafeGuard Enterprise Server läuft. Die
folgenden Anforderungen sind gegeben:
■
Der Zertifikatname muss dem Computer entsprechen, der im Internetinformationsdienste
(IIS) Manager im obersten Knoten angezeigt wird.
■
Der FQDN Name des Computers muss bei der Ausstellung des Zertifikats verwendet
werden. Stellen Sie sicher, dass der Client den FQDN per DNS auflösen kann.
Hinweis: Wenn nur ein von einer PKI erstelltes Zertifikat, aber keine PKI Infrastruktur verfügbar
ist, können Sie das Zertifikat nicht verwenden, um die Kommunikation mit SSL zu sichern. In
diesem Fall müssen Sie eine PKI aufsetzen oder ein selbst-signiertes Zertifikat erstellen.
2.7.2 Einrichten von SSL
Die folgenden allgemeinen Aufgaben müssen für die SSL-Einrichtung auf dem Web Server
durchgeführt werden:
48
■
Certificate Authority muss auf dem Server installiert sein, um die bei der
SSL-Verschlüsselung verwendeten Zertifikate auszustellen.
■
Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden, dass er SSL
verwendet und auf das Zertifikat zeigt.
■
Der Servername, den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben,
muss identisch sein mit dem Servernamen, den Sie vorab im SSL-Zertifikat angegeben
haben. Sonst können Client und Server nicht miteinander kommunizieren. Für jeden
SafeGuard Enterprise Server wird ein separates SSL-Zertifikat benötigt.
Administratorhilfe
■
Wenn Sie Network Load Balancer einsetzen, vergewissern Sie sich, dass der Portbereich
den SSL-Port mit einschließt.
Weitere Informationen erhalten Sie von unserem technischen Support oder hier:
■
support.microsoft.com/de-de/kb/324069
■
support.microsoft.com/de-de/kb/316898
2.7.3 Aktivieren der SSL-Verschlüsselung in SafeGuard Enterprise
So aktivieren Sie die SSL-Verschlüsselung in SafeGuard Enterprise:
■
Verbindung zwischen Web Server und Datenbankserver:
Aktivieren Sie SSL-Verschlüsselung während der Registrierung des SafeGuard Enterprise
Servers im SafeGuard Management Center Konfigurationspakete-Werkzeug. Nähere
Informationen finden Sie unter Konfigurieren der Datenbankserververbindung (Seite 35)
oder im Sophos Knowledgebase-Artikel 109012.
■
Für die Verbindung zwischen Datenbankserver und SafeGuard Management Center:
Aktivieren Sie die SSL-Verschlüsselung im SafeGuard Management Center
Konfigurationsassistenten (siehe Konfigurieren der Datenbankserververbindung (Seite
35)).
■
Verbindung zwischen SafeGuard Enterprise Server und durch SafeGuard Enterprise
geschützte Endpoints:
Aktivieren Sie die SSL-Verschlüsselung beim Erzeugen des Konfigurationspakets für den
verwalteten Endpoint im SafeGuard Management Center Konfigurationspakete-Werkzeug
(siehe Erzeugen eines Konfigurationspakets für zentral verwaltete Computer (Seite 54)).
Nähere Informationen dazu, wie SSL am SafeGuard Enterprise Server und dem durch
SafeGuard Enterprise geschützten Endpoint zu konfigurieren ist, finden Sie unter Den
SafeGuard Enterprise Server aufsetzen (Seite 49).
Sie können die SSL-Verschlüsselung für SafeGuard Enterprise während der Erstkonfiguration
der SafeGuard Enterprise Komponenten oder zu einem späteren Zeitpunkt einrichten. Erstellen
Sie danach ein neues Konfigurationspaket und installieren Sie es auf dem entsprechenden
Server oder zentral verwalteten Computer.
2.7.4 Den SafeGuard Enterprise Server aufsetzen
Um den SafeGuard Enterprise Server so zu konfigurieren, dass er SSL für die Kommunikation
zwischen Server und mit SafeGuard Enterprise geschütztem Endpoint verwendet, führen Sie
die folgenden allgemeinen Schritte aus:
1. Installieren Sie das SafeGuard Management Center, siehe Installieren des SafeGuard
Management Center (Seite 34).
2. Installieren Sie den SafeGuard Enterprise Server, siehe Installieren von SafeGuard
Enterprise Server (Seite 20).
3. Testen Sie die Kommunikation zwischen SafeGuard Enterprise Server und der
SQL-Datenbank mit dem Aufruf-Test.
Nachdem Sie diese Konfigurationsschritte erfolgreich abgeschlossen haben, importieren Sie
das Zertifikat, das für die SSL Kommunikation verwendet werden soll. Sie können entweder
ein selbst-signiertes Zertifikat oder ein bestehendes verwenden. Wenn Sie über eine PKI
Infrastruktur verfügen, können Sie ein PKI-generiertes Zertifikat verwenden.
49
SafeGuard Enterprise
2.7.5 Konfigurieren eines Endpoints für SSL
Um SSL auf einem mit SafeGuard Enterprise geschützten Endpoint zu verwenden, führen
Sie die folgenden Schritte aus:
1. Weisen Sie dem Client ein Zertifikat zu, siehe Zuweisen eines Zertifikats (Seite 50).
2. Erstellen Sie ein Client-Konfigurationspaket das SSL beinhaltet, siehe Erzeugen eines
Konfigurationspakets für zentral verwaltete Computer (Seite 54).
2.7.6 Konfigurieren der SGNSRV Webseite für SSL
Transportverschlüsselung
Sobald ein gültiges Zertifikat verfügbar ist, gehen Sie wie folgt vor, um die SGNSRV Webseite
für eine mit Zertifikat gesicherte Verbindung zu konfigurieren.
Hinweis: Die folgende Beschreibung bezieht sich auf Microsoft Windows Server 2012.
1.
2.
3.
4.
Öffnen Sie den Internetinformationsdienste (IIS) Manager.
Wählen Sie im Navigationsbereich den Server, der die SGNSRV Webseite hostet.
Wählen Sie im rechten Fensterbereich Serverzertifikate aus dem Abschnitt IIS.
Wählen Sie im Menü Aktionen auf der rechten Seite die Option Importieren. Der Assistent
zum Zertifikate importieren wird geöffnet.
5. Ändern Sie im offenen Dialog die Dateierweiterung zu *.* und navigieren Sie zu dem Ort,
wo die .p12 und die .cer Dateien gespeichert sind.
6. Wählen Sie die zuvor erzeugte .p12 Datei aus. Sind die Dateierweiterungen deaktiviert,
wählen Sie bitte die Datei mit der Beschreibung "Privater Informationsaustausch".
7. Geben Sie das Kennwort ein und klicken Sie auf OK.
Das Zertifikat ist installiert.
8. Wählen Sie unter Verbindungen im linken Fensterbereich des Internetinformationsdienste
(IIS) Manager den Namen des Servers, auf dem das Zertifikat installiert wurde.
9. Wählen Sie unter Sites die Site, die Sie mit SLL sichern möchten.
10. Wählen Sie im Menü Aktionen auf der rechten Seite die Option Bindungen.
11. Klicken Sie im Dialog Sitebindungen auf Bindung hinzufügen.
12. Wählen Sie bei Typ:https und bei SSL-Zertifikat: das zuvor installierte Zertifikat.
13. Klicken Sie OK und schließen Sie den Dialog Sitebindungen.
14. Wählen Sie im Navigationsbereich den Server und klicken Sie auf Neu starten im Bereich
Aktionen.
2.7.7 Zuweisen eines Zertifikats
Es gibt verschiedene Möglichkeiten, ein Zertifikat einem Endpoint zuzuweisen. Eine davon
ist, eine Microsoft Gruppenrichtlinie zu verwenden. Dies wird in diesem Abschnitt beschrieben.
Falls Sie eine andere Methode verwenden wollen, stellen Sie sicher, dass das Zertifikat im
Zertifikatspeicher des lokalen Computers abgelegt ist.
Zuweisen eines Zertifikats mittels Gruppenrichtlinie:
1. Öffnen Sie die Gruppenrichtlinienverwaltung (gpeditmc.msc).
2. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO), das die Zertifikatseinstellungen
beinhalten soll. Vergewissern Sie sich, dass das GPO mit der Domain, Site oder
50
Administratorhilfe
Organisationseinheit verbunden ist, deren Benutzer mit der Richtlinie verwaltet werden
sollen.
3. Klicken Sie auf das GPO und wählen Sie Bearbeiten.
Der Gruppenrichtlinienverwaltungs-Editor öffnet sich und zeigt den aktuellen Inhalt des
Richtlinienobjekts an.
4. Öffnen Sie im Navigationsbereich Computerkonfiguration > Windows-Einstellungen
> Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel > Vertrauenswürdige
Herausgeber.
5. Klicken Sie das Aktionen Menü und klicken Sie dann auf Importieren....
6. Folgen Sie den Anweisungen im Zertifikatimport-Assistent um das Zertifikat zu finden
und zu importieren.
7. Wenn das Zertifikat selbst-signiert ist und nicht auf ein Zertifikat zurückverfolgt werden
kann, das im ZertifikatspeicherVertrauenswürdige Stammzertifizierungsstellen liegt,
dann müssen die das Zertifikat auch in diesen Zertifikatspeicher kopieren. Klicken Sie auf
Vertrauenswürdige Stammzertifizierungsstellen und wiederholen Sie die Schritte 5
und 6 um eine Kopie des Zertifikats in diesem Zertifikatspeicher zu installieren.
2.8 Registrieren und Konfigurieren des SafeGuard
Enterprise Server
Zur Implementierung der Informationen für die Kommunikation zwischen IIS Server, Datenbank
und dem SafeGuard-geschützten Endpoint muss der SafeGuard Enterprise Server registriert
und konfiguriert werden. Die Informationen werden in einem Server-Konfigurationspaket
gespeichert.
Diesen Schritt führen Sie im SafeGuard Management Center durch. Der Workflow ist davon
abhängig, ob der SafeGuard Enterprise Server auf demselben Computer wie das SafeGuard
Management Center oder auf einem anderen Computer installiert ist.
Sie können auch weitere Eigenschaften festlegen. So lassen sich z. B. zusätzliche
Sicherheitsbeauftragte für den ausgewählten Server hinzufügen. Sie können auch die
Verbindung zur Datenbank konfigurieren.
2.8.1 Registrieren und Konfigurieren des SafeGuard Enterprise Server für
den aktuellen Computer
Wenn Sie das SafeGuard Management Center und SafeGuard Enterprise Server auf dem
Computer, mit dem Sie derzeit arbeiten, installiert haben, registrieren und konfigurieren Sie
den SafeGuard Enterprise Server.
Hinweis: Wenn Multi Tenancy installiert ist, steht diese Option nicht zur Verfügung.
1. Starten Sie das SafeGuard Management Center.
2. Klicken Sie im Extras Menü auf Konfigurationspakete.
3. Wählen Sie die Registerkarte Server und klicken Sie auf Diesen Computer zum SGN
Server machen.
Der Setup-Assistent wird automatisch geöffnet.
4. Übernehmen Sie in allen folgenden Dialogen die Standardeinstellungen.
Der SafeGuard Enterprise Server ist installiert. Ein Server-Konfigurationspaket mit der
Bezeichnung <Server>.msi wird erstellt und direkt auf dem aktuellen Computer installiert.
51
SafeGuard Enterprise
Die Serverinformationen werden auf der Registerkarte Server angezeigt. Sie können
zusätzliche Konfigurationsschritte durchführen.
Hinweis: Wenn Sie ein neues Server-Konfigurationspaket (MSI) auf dem SafeGuard
Enterprise Server installieren möchten, deinstallieren Sie zunächst das alte
Konfigurationspaket. Löschen Sie darüber hinaus den Local Cache manuell, so dass er mit
den neuen Konfigurationsdaten (z. B. SSL-Einstellungen) aktualisiert werden kann. Installieren
Sie dieses Konfigurationspaket auf dem Server.
2.8.2 Registrieren und Konfigurieren des SafeGuard Enterprise Servers für
einen anderen Computer
Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard
Management Center installiert wurde, registrieren und konfigurieren Sie den SafeGuard
Enterprise Server:
1. Starten Sie das SafeGuard Management Center.
2. Klicken Sie im Extras Menü auf Konfigurationspakete.
3. Wählen Sie die Registerkarte Server und klicken Sie auf Hinzufügen.
4. Klicken Sie unter Serverregistrierung auf [...] und wählen Sie das Maschinenzertifikat
des Servers aus, das sich unter C:\Programme (x86)\Sophos\SafeGuard
Enterprise\MachCert am IIS Server, auf dem der SafeGuard Enterprise Server läuft,
befindet. Es trägt den Dateinamen <Computername>.cer. Wenn der SafeGuard
Enterprise Server auf einem anderen Computer als das SafeGuard Management Center
installiert ist, muss diese .cer-Datei als Kopie oder über eine Netzwerkfreigabe zugänglich
sein.
Wählen Sie nicht das MSO-Zertifikat.
Der Fully Qualified Name (FQDN), z. B. server.mycompany.com, sowie
Zertifikatsinformationen werden angezeigt.
Hinweis: Wenn SSL als Transportverschlüsselung zwischen Endpoint und Server
verwendet werden soll, muss der Servername, den Sie hier eingeben, mit dem Servernamen
übereinstimmen, den Sie im SSL-Zertifikat vergeben haben. Andernfalls ist keine
Kommunikation möglich.
5. Klicken Sie auf OK.
Die Serverinformationen werden in der Registerkarte Server angezeigt.
6. Klicken Sie auf die Registerkarte Server-Pakete. Hier werden alle verfügbaren Server
angezeigt. Wählen Sie dort den gewünschten Server aus. Geben Sie einen Ausgabepfad
für das Konfigurationspaket an. Klicken Sie auf Konfigurationspaket erstellen.
Ein Server-Konfigurationspaket (MSI) mit der Bezeichnung <Server>.msi wird im
angegebenen Ausgabeort erstellt.
7. Klicken Sie auf OK, um die Erfolgsmeldung zu bestätigen.
8. Klicken Sie in der Registerkarte Server auf Schließen.
Die Registrierung und Konfiguration des SafeGuard Enterprise Servers ist beendet. Installieren
Sie das Server-Konfigurationspaket (MSI) auf dem Computer, auf dem der SafeGuard
Enterprise Server läuft. Sie können die Serverkonfiguration in der Registerkarte Server
jederzeit ändern.
Hinweis: Wenn Sie ein neues Server-Konfigurationspaket (MSI) auf dem SafeGuard
Enterprise Server installieren möchten, deinstallieren Sie zunächst das alte
Konfigurationspaket. Löschen Sie darüber hinaus den Local Cache manuell, so dass er mit
52
Administratorhilfe
den neuen Konfigurationsdaten (z. B. SSL-Einstellungen) aktualisiert werden kann. Installieren
Sie dieses Konfigurationspaket auf dem Server.
2.8.3 Ändern der SafeGuard Enterprise Server Eigenschaften
Sie können die Eigenschaften und Einstellungen für jeden registrierten Server und seine
Datenbankverbindung jederzeit ändern.
1. Klicken Sie im Extras Menü auf Konfigurationspakete.
2. Gehen Sie zur Registerkarte Server und wählen Sie den erforderlichen Server aus.
3. Gehen Sie wie folgt vor:
Element
Beschreibung
Skript ausführen
Klicken Sie hier, um SafeGuard Enterprise Management API zu
verwenden. Dies ermöglicht die Ausführung von administrativen
Aufgaben über Skripts
Win. Auth. WHD
Klicken Sie hier, um die Windows Authentifizierung für Web
Helpdesk zu aktivieren. Die Option ist standardmäßig deaktiviert.
Server-Rollen
Klicken Sie hier, um eine verfügbare Sicherheitsbeauftragtenrolle
für den ausgewählten Server zu aktivieren/deaktivieren.
Server-Rolle hinzufügen...
Klicken Sie hier, um weitere spezifische
Sicherheitsbeauftragtenrollen für den ausgewählten Server
hinzuzufügen, falls erforderlich. Sie werden dazu aufgefordert, das
Serverzertifikat auszuwählen. Die Sicherheitsbeauftragtenrolle wird
hinzugefügt und kann unter Server-Rollen angezeigt werden.
Datenbankverbindung
Klicken Sie auf [...], um die Verbindung zur Datenbank für jeden
registrierten Server zu konfigurieren. Hier können Sie auch die
Anmeldeinformationen für die Datenbank und die
Transportverschlüsselung zwischen Web Server und
Datenbankserver festlegen. Weitere Informationen finden Sie unter
Konfigurieren der Datenbankserververbindung (Seite 35). Selbst
wenn die Prüfung der Datenbankverbindung nicht erfolgreich ist,
kann ein neues Server-Konfigurationspaket erstellt werden.
Hinweis:
Sie müssen nicht den SafeGuard Management Center
Konfigurationsassistenten erneut ausführen, um die
Datenbankkonfiguration zu aktualisieren. Erstellen Sie einfach ein
neues Server-Konfigurationspaket und verteilen Sie es an den
entsprechenden Server. Sobald dieses auf dem Server installiert
ist, kann auf die neue Datenbankverbindung zugegriffen werden.
4. Erstellen Sie ein neues Server-Konfigurationspaket auf der Registerkarte Server-Pakete.
5. Deinstallieren Sie das alte Server-Konfigurationspaket und installieren Sie danach das
neue auf dem entsprechenden Server.
Die neue Server-Konfiguration wird aktiv.
53
SafeGuard Enterprise
2.8.4 Registrieren des SafeGuard Enterprise Servers mit aktivierter Sophos
Firewall
Ein durch SafeGuard Enterprise geschützter Endpoint kann keine Verbindung mit dem
SafeGuard Enterprise Server herstellen, wenn eine Sophos Firewall mit Standardeinstellungen
auf dem Endpoint installiert ist. Die Sophos Firewall sperrt standardmäßig
NetBIOS-Verbindungen, die für die Auflösung des Netzwerknamens des SafeGuard Enterprise
Servers benötigt werden.
1. Führen Sie als Workaround einen der folgenden Schritte aus:
■
Geben Sie die NetBIOS-Verbindungen in der Firewall frei.
■
Fügen Sie den Fully Qualified Name des SafeGuard Enterprise Servers im
Konfigurationspaket hinzu. Weitere Informationen finden Sie unter Registrieren und
Konfigurieren des SafeGuard Enterprise Server für einen anderen Computer (Seite
52).
2.9 Erzeugen von Konfigurationspaketen
Erzeugen Sie je nach erforderlicher Konfiguration die passenden Konfigurationspakete für
die Endpoints im SafeGuard Management Center:
■
Für zentral verwaltete Endpoints (Windows und Mac OS X) - Pakete für Managed Clients
■
Für nicht verwaltete Endpoints (nur Windows) - Pakete für Standalone Clients
Immer wenn Sie ein Paket für Managed Clients erzeugen, wird automatisch ein Paket für
Windows und ein Paket für Mac (als ZIP-Datei) erstellt. Das ZIP-Paket wird auch für den
Sophos Mobile Control Server verwendet, um sich mit dem SafeGuard Enterprise Backend
zu verbinden.
Das erste Konfigurationspaket muss auf den Endpoints zusammen mit der
Verschlüsselungssoftware installiert werden.
2.9.1 Erzeugen eines Konfigurationspakets für zentral verwaltete Computer
1.
2.
3.
4.
Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
Wählen Sie Pakete für Managed Clients.
Wechseln Sie in der Dropdown-Liste Primärer Server zum registrierten Server.
Falls erforderlich, geben Sie eine Richtliniengruppe an, die auf die Computer angewendet
werden soll. Diese müssen Sie zuvor im SafeGuard Management Center erstellt haben.
Wenn Sie für Aufgaben nach der Installation auf dem Computer Service Accounts
verwenden möchten, stellen Sie sicher, dass die entsprechende Richtlinieneinstellung in
dieser ersten Richtliniengruppe definiert ist, siehe Anlegen von Service Account Listen
(Seite 55).
5. Wählen Sie den Modus für die Transportverschlüsselung, der bestimmt, wie die
Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server
verschlüsselt wird. Weitere Informationen finden Sie unter Sichern von
Transportverbindungen mit SSL (Seite 47).
6. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an.
54
Administratorhilfe
7. Klicken Sie auf Konfigurationspaket erstellen.
WennSie als Modus für die Transportverschlüsselung die SSL-Verschlüsselung
ausgewählt haben, wird die Serververbindung validiert. Wenn die Verbindung fehlschlägt,
wird eine Warnungsmeldung angezeigt. Sie können die Meldung ignorieren und das
Konfigurationspaket trotzdem erstellen. Sie müssen jedoch sicherstellen, dass die
Kommunikation zwischen SafeGuard Client und SafeGuard Server über SSL möglich ist.
Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Sie müssen das
Paket auf den Endpoints verteilen und installieren.
2.9.2 Erzeugen eines Konfigurationspakets für Standalone-Computer
1.
2.
3.
4.
5.
Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
Wählen Sie Pakete für Standalone Clients.
Klicken Sie auf Konfigurationspaket hinzufügen.
Geben Sie einen beliebigen Namen für das Konfigurationspaket ein.
Geben Sie eine zuvor im SafeGuard Management Center erstellte Richtliniengruppe an,
die für die Computer gelten soll.
6. Geben Sie unter Speicherort für Schlüssel-Sicherungskopie einen freigegebenen
Netzwerkpfad für das Speichern der Schlüssel-Recovery-Datei an oder wählen Sie einen
Netzwerkpfad aus. Geben Sie den freigegebenen Pfad in folgender Form ein: \\network
computer\, zum Beispiel \\mycompany.edu\. Wenn Sie hier keinen Pfad angeben,
wird der Benutzer beim ersten Anmelden am Endpoint nach der Installation gefragt, wo
die Schlüsseldatei gespeichert werden soll.
Die Schlüssel-Recovery-Datei (XML) wird für die Durchführung von Recovery-Vorgängen
bei durch SafeGuard Enterprise geschützten Computern benötigt. Sie wird auf allen durch
SafeGuard Enterprise geschützten Computern erzeugt.
Hinweis: Stellen Sie sicher, dass diese Schlüssel-Recovery-Datei an einem Speicherort
abgelegt wird, auf den die Mitarbeiter des Helpdesk Zugriff haben. Die Dateien können
dem Helpdesk auch auf anderem Wege zugänglich gemacht werden. Die Datei ist mit
dem Unternehmenszertifikat verschlüsselt. Sie kann also auch auf externen Medien oder
auf dem Netzwerk gespeichert werden, um sie dem Helpdesk für Recovery-Vorgänge zur
Verfügung zu stellen. Sie kann auch per E-Mail verschickt werden.
7. Unter POA Gruppe können Sie eine POA-Gruppe auswählen, die dem Endpoint zugeordnet
wird. POA-Benutzer können für administrative Aufgaben auf den Endpoint zugreifen,
nachdem die Power-on Authentication aktiviert wurde. Um POA-Benutzer zuzuweisen,
müssen Sie die POA-Gruppe zunächst im Bereich Benutzer & Computer des SafeGuard
Management Center anlegen.
8. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an.
9. Klicken Sie auf Konfigurationspaket erstellen.
Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Sie müssen das
Paket auf den Endpoints verteilen und installieren.
2.9.3 Erstellen von Service Account-Listen
Hinweis: Dieser Abschnitt ist nur für Endpoints mit Power-on Authentication relevant.
Wenn Sie SafeGuard Enterprise über einen zentralen Rollout-Vorgang installieren möchten,
empfehlen wir die Konfiguration einer Service Account-Liste. Ein IT-Administrator, der zu
einer Service Account-Liste hinzugefügt wurde, kann sich nach der Installation von SafeGuard
Enterprise an Endpoints anmelden, ohne die Power-on Authentication zu aktivieren. Ein
55
SafeGuard Enterprise
solches Vorgehen ist empfehlenswert, da normalerweise der erste Benutzer, der sich nach
der Installation an einem Endpoint anmeldet, als primäres Benutzerkonto zur POA hinzugefügt
wird. Benutzer auf einer Service Account-Liste werden als SafeGuard Enterprise Gastbenutzer
behandelt.
Mit Service Accounts ergibt sich folgender Workflow:
■
SafeGuard Enterprise wird auf einem Endpoint installiert.
■
Der Endpoint wird neu gestartet und ein Rollout-Beauftragter, der in einer Service Account
Liste aufgeführt ist, meldet sich über die Windows-Eingabe-Aufforderung an.
■
Gemäß der auf den Endpoint angewendeten Service Account-Liste wird der Benutzer als
Service Account erkannt und als Gastbenutzer behandelt.
■
Der Rollout-Beauftragte wird nicht zur POA hinzugefügt und die POA wird nicht aktiviert.
Der Endbenutzer kann sich anmelden und die POA aktivieren.
Hinweis: Service Account-Listen müssen Sie in einer Richtlinie anlegen und diese der ersten
Richtliniengruppe des ersten Konfigurationspakets zuweisen, das Sie nach der Installation
der Verschlüsselungssoftware auf dem Endpoint installieren. Weitere Informationen finden
Sie unter Service Account-Listen für die Windows-Anmeldung (Seite 191).
2.10 Einrichten von SafeGuard Enterprise auf Endpoints
Sobald das Backend funktioniert kann die Installation der SafeGuard Enterprise Clients
beginnen. Für eine reibungslose Implementierung empfehlen wir, die in diesem Abschnitt
beschriebenen vorbereitenden Schritte zu befolgen.
Der SafeGuard Enterprise Client kann auf unterschiedlicher Hardware und auf
unterschiedlichen Betriebssystemen installiert werden. Sie finden eine Liste mit allen
unterstützten Betriebssystemen sowie die Systemvoraussetzungen in den Versionsinfos im
Sophos Knowledgebase-Artikel 112776.
Allgemeine Empfehlungen für die Vorbereitung Ihres Systems für die Installation von SafeGuard
Enterprise finden Sie im Sophos Knowledgebase-Artikel 108088.
2.10.1 Zentral verwaltete Endpoints und Standalone-Endpoints
Endpoints mit SafeGuard Enterprise können folgendermaßen konfiguriert werden:
■
Verwaltet
Zentrale serverbasierte Verwaltung im SafeGuard Management Center
Bei zentral verwalteten Endpoints besteht generell eine Verbindung zum SafeGuard
Enterprise Server. Sie erhalten ihre Richtlinien über den SafeGuard Enterprise Server.
■
Nicht verwaltet (standalone)
Lokale Verwaltung durch im SafeGuard Management Center erstellte Konfigurationspakete.
Hinweis: Lokale Verwaltung wird nicht auf Mac OS X unterstützt.
Hinweis: Synchronized Encryption wird auf Standalone-Endpoints nicht unterstützt.
Nicht-verwaltete Endpoints sind nicht mit dem SafeGuard Enterprise Server verbunden
und laufen daher im Standalone-Modus. Sie erhalten SafeGuard Enterprise Richtlinien
über Konfigurationspakete.
56
Administratorhilfe
SafeGuard Enterprise Richtlinien werden im SafeGuard Management Center erstellt und
in Konfigurationspakete exportiert. Die Verteilung der Konfigurationspakete kann über
firmeneigene Software-Verteilungsmechanismen erfolgen, oder das Konfigurationspaket
wird manuell auf den Endpoints installiert.
Für die verschiedenen Endpoint-Typen stehen unterschiedliche Pakete und Module zur
Verfügung.
2.10.2 Einschränkungen
Beachten Sie folgende Einschränkungen für zentral verwaltete Endpoints:
■
Einschränkungen für die Initialverschlüsselung
Im Rahmen der initialen Konfiguration von zentral verwalteten Endpoints können
Verschlüsselungsrichtlinien erstellt werden, die in einem Konfigurationspaket an die durch
SafeGuard Enterprise geschützten Endpoints verteilt werden können. Wenn der Endpoint
jedoch nicht direkt nach der Installation des Konfigurationspakets eine Verbindung mit
dem SafeGuard Enterprise Server herstellt, sondern vorübergehend offline ist, werden
nur Verschlüsselungsrichtlinien mit den folgenden spezifischen Einstellungen sofort wirksam:
Volume-basierte Device Encryption, die den Definierten Computerschlüssel zur
Verschlüsselung verwendet.
Damit alle anderen Richtlinien, die Verschlüsselung mit benutzerdefinierten Schlüsseln
umfassen, auf dem durch SafeGuard Enterprise geschützten Endpoint wirksam werden,
muss das entsprechende Konfigurationspaket auch noch einmal der Organizational Unit
des Endpoint zugewiesen werden. Die benutzerdefinierten Schlüssel werden dann erst
erstellt, wenn der Endpoint wieder eine Verbindung zum SafeGuard Enterprise Server
hergestellt hat.
Ursache hierfür ist, dass der Definierte Computerschlüssel direkt auf dem durch
SafeGuard Enterprise geschützten Endpoint beim ersten Neustart nach der Installation
erstellt wird. Benutzerdefinierte Schlüssel hingegen können nur auf dem Endpoint erstellt
werden, wenn er beim SafeGuard Enterprise Server registriert wurde.
■
Einschränkungen für die Unterstützung von BitLocker Drive Encryption
Es kann entweder die SafeGuard Enterprise volume-basierende Verschlüsselung oder
die BitLocker-Laufwerkverschlüsselung verwendet werden. Die gleichzeitige Verwendung
beider Verschlüsselungstypen ist nicht möglich. Wenn Sie den Verschlüsselungstyp ändern
möchten, müssen Sie zuerst alle verschlüsselten Laufwerke entschlüsseln, die SafeGuard
Enterprise Verschlüsselungssoftware deinstallieren und dann mit den gewünschten Features
neu installieren. Der Installer verhindert die gleichzeitige Installation beider Features. Die
Deinstallation und Neuinstallation ist auch dann erforderlich, wenn kein Konfigurationspaket,
das eine Verschlüsselung auslösen soll, installiert wurde.
2.10.3 Verfügbarkeit des SSL-Zertifikats auf dem Client prüfen
Das Zertifikat muss dem Computer zugewiesen sein, nicht dem Benutzer. Die Zertifikatsdatei
muss im Microsoft Zertifikatspeicher unter Vertrauenswürdige Stammzertifizierungsstellen
verfügbar sein.
1. Melden Sie sich an dem Endpoint als Administrator an.
2. Klicken Sie auf Ausführen > mmc.
3. Klicken Sie im Fenster Konsole1 auf Datei und wählen Sie Snap-In hinzufügen/entfernen.
57
SafeGuard Enterprise
4. Wählen Sie im Fenster Snap-In hinzufügen/entfernen auf der linken Seite Zertifikate
und klicken Sie Hinzufügen.
5. Wählen Sie auf der Seite Zertifikat-Snap-In die Option Computerkonto.
6. Wählen Sie auf der Seite Computer auswählen Lokaler Computer: (Computer, auf
dem diese Konsole ausgeführt wird) und klicken Sie auf Fertig stellen.
7. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.
8. Klicken Sie links auf Konsolenstamm > Zertifikate - Lokaler Computer >
Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate.
9. Prüfen Sie im rechten Fensterbereich, ob das zuvor erzeugte Zertifikat im Speicher
verfügbar ist. Wenn das Zertifikat in der Liste erscheint, ist dieser Schritt abgeschlossen.
Wenn nicht, gehen Sie wie folgt vor:
10. Klicken Sie auf Ausführen > gpupdate /force.
Ein Windows Befehlsfenster wird angezeigt.
11. Warten Sie bis das Fenster geschlossen ist und beginnen Sie erneut mit Schritt 1.
2.10.4 Vorbereitung für die Unterstützung von BitLocker Drive Encryption
Hinweis: Bevor Sie mit der Installation beginnen, entscheiden Sie, ob Sie SafeGuard
Enterprise in Verbindung mit der BitLocker Drive Encryption oder die native SafeGuard
Enterprise Festplattenverschlüsselung anwenden möchten. Wenn Sie versuchen, beides
gleichzeitig zu installieren, wird die Installation abgebrochen.
Wenn Sie mit SafeGuard Enterprise BitLocker Endpoints verwalten möchten, treffen Sie
folgende spezifische vorbereitende Maßnahmen auf dem Endpoint:
■
Auf dem Endpoint muss Windows 7 oder höher installiert sein.
■
BitLocker Drive Encryption muss installiert und aktiviert sein.
■
Wenn TPM für die Authentisierung verwendet werden soll, muss TPM initialisiert, im Besitz
und aktiviert sein.
2.10.5 Vorbereitung für Cloud Storage
Das SafeGuard Enterprise Modul Cloud Storage bietet dateibasierte Verschlüsselung von in
der Cloud gespeicherten Daten.
Cloud Storage stellt sicher, dass die lokalen Kopien von Cloud-Daten transparent verschlüsselt
werden und auch verschlüsselt bleiben, wenn sie in der Cloud gespeichert werden.
Die Art und Weise, wie Benutzer mit in der Cloud gespeicherten Daten arbeiten, wird dadurch
nicht beeinflusst. Auf die anbieterspezifische Cloud-Software hat die Anwendung des Moduls
keine Auswirkungen. Sie kann wie zuvor zum Übertragen von Daten an die Cloud oder zum
Empfangen von Daten aus der Cloud benutzt werden.
So bereiten Sie Ihre Endpoints für Cloud Storage vor:
58
■
Die anbieterspezifische Cloud Storage Software muss auf den Endpoint-Computern, auf
denen Sie das Modul Cloud Storage installieren möchten, installiert sein.
■
Die anbieterspezifische Cloud Storage Software muss eine Anwendung oder einen
Systemdienst im lokalen Dateisystem für die Synchronisierung zwischen der Cloud und
dem lokalen System enthalten.
Administratorhilfe
■
Die anbieterspezifische Cloud Storage Software muss die synchronisierten Daten im
lokalen Dateisystem speichern.
Hinweis: Cloud Storage verschlüsselt nur neue in der Cloud gespeicherte Daten. Wurden
Daten bereits vor der Installation von Cloud Storage in der Cloud gespeichert, so werden
diese Daten nicht automatisch verschlüsselt. Um diese Daten zu verschlüsseln, müssen die
Benutzer sie zunächst aus der Cloud entfernen und sie nach der Installation von Cloud Storage
wieder an die Cloud übergeben.
2.10.6 Vorbereitung für Device Encryption mit POA
Vor der Installation von SafeGuard Enterprise empfehlen wir folgende vorbereitende
Maßnahmen.
■
Auf dem Endpoint muss ein Benutzerkonto eingerichtet und aktiv sein.
■
Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
■
Erstellen Sie einen kompletten Backup Ihrer Daten auf dem Endpoint.
■
Laufwerke, die verschlüsselt werden sollen, müssen komplett formatiert sein und einen
Laufwerksbuchstaben zugewiesen haben.
■
Sophos stellt eine Datei für die Hardware-Konfiguration zur Verfügung, um Konflikte
zwischen der POA und Ihrer Endpoint-Hardware zu vermeiden. Die Datei ist im
Installationspaket der Verschlüsselungssoftware enthalten. Wir empfehlen, vor jeder größer
angelegten SafeGuard Enterprise Installation die aktuelle Version dieser Datei zu
installieren. Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 65700.
Sie können uns bei der Optimierung der Hardware-Kompatibilität unterstützen, indem Sie
ein von uns zur Verfügung gestelltes Tool ausführen. Dieses Tool liefert ausschließlich
Hardware-relevante Informationen. Das Tool ist einfach zu bedienen. Die gesammelten
Informationen werden zur Hardware-Konfigurationsdatei hinzugefügt.Weitere Informationen
finden Sie im Sophos Knowledgebase-Artikel 110285.
■
Untersuchen Sie die Festplatte(n) mit folgendem Kommando auf Fehler: chkdsk %drive%
/F /V /X
Danach müssen Sie Ihr System neu starten.
Wichtig: Starten Sie die SafeGuard Enterprise Installation nicht vor diesem Neustart!
Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 107799.
■
Benutzen Sie das Windows-Tool "defrag", um fragmentierte Boot-Dateien, Datendateien
und Ordner auf lokalen Volumes aufzufinden und zu konsolidieren. Weitere Informationen
finden Sie im Sophos Knowledgebase-Artikel 109226.
■
Deinstallieren Sie Third-Party Boot-Manager, z. B. PROnetworks Boot Pro und Boot-US.
■
Wenn Sie für die Installation des Betriebssystems ein Image-Programm verwendet haben,
empfehlen wir, den Master Boot Record (MBR) neu zu schreiben.
■
Wenn die Bootpartition auf dem Endpoint von FAT nach NTFS konvertiert wurde, der
Endpoint aber noch nicht neu gestartet wurde, sollten Sie den Endpoint einmal neu starten.
Andernfalls kann die Installation unter Umständen nicht erfolgreich abgeschlossen werden.
59
SafeGuard Enterprise
■
Nur für SafeGuard Enterprise Clients (managed): Kontrollieren Sie, ob eine Verbindung
zum SafeGuard Enterprise Server besteht. Rufen Sie auf den Endpoints im Internet Explorer
folgende Web-Adresse auf: http://<ServerIPAddress>/sgnsrv. Wenn die Trans-Seite mit
dem Eintrag Check Connection erscheint, ist die Verbindung zum SafeGuard Enterprise
Server hergestellt.
2.11 Installieren der Verschlüsselungssoftware unter
Windows
Für das Einrichten der SafeGuard Enterprise Verschlüsselungssoftware auf Endpoints gibt
es zwei Möglichkeiten:
■
Lokales Installieren der Verschlüsselungssoftware Dies ist zum Beispiel für eine
Testinstallation empfehlenswert.
■
Zentrales Installieren der Verschlüsselungssoftware Dadurch wird eine standardisierte
Installation auf mehreren Endpoints erreicht.
Bevor Sie mit der Installation beginnen, prüfen Sie die verfügbaren Installationspakete und
Features für zentral verwaltete Endpoints und Standalone-Endpoints. Die Installationsschritte
für beide Varianten sind identisch, mit der Ausnahme, dass für jeden der beiden ein
unterschiedliches Konfigurationspaket zugeordnet werden muss.
Das Verhalten des Endpoint bei der ersten Anmeldung nach der Installation von SafeGuard
Enterprise und der Aktivierung der Power-on Authentication ist in der SafeGuard Enterprise
Benutzerhilfe beschrieben.
2.11.1 Installationspakete und Features
Die folgende Tabelle zeigt die Installationspakete und Features der SafeGuard Enterprise
Verschlüsselungssoftware auf Endpoints. Sie finden die Installationspakete im Installers
Ordner Ihrer Produktlieferung.
Es ist zwar möglich, bei einer Erstinstallation nicht alle Features zu installieren, wir empfehlen
jedoch, das komplette SafeGuard Enterprise Paket von Beginn an zu installieren. Die
standardmäßige Installation beinhaltet BitLocker und Synchronized Encryption.
Beachten Sie, dass Sie nur entweder Synchronized Encryption oder Location-Based File
Encryption (pfadbasierte Dateiverschlüsselung) installieren können, nicht beide.
Hinweis: Wenn das Betriebssystem des Endpoint 64-Bit ist, installieren Sie die 64-Bit-Variante
der Installationspakete (<Paketname>_x64.msi).
Paket
Inhalt
Verfügbar für
zentral
verwaltete
Endpoints
Verfügbar für
Standalone-Endpoints
Obligatorisch
Obligatorisch
SGxClientPreinstall.msi Prä-Installations-Paket
(nur Windows 7)
60
Dieses Paket muss vor der Installation
eines
Verschlüsselungsinstallationspakets
installiert werden. Es stattet Endpoints
mit notwendigen Voraussetzungen für
Administratorhilfe
Paket
Inhalt
Verfügbar für
zentral
verwaltete
Endpoints
Verfügbar für
Standalone-Endpoints
eine erfolgreiche Installation der
aktuellen Verschlüsselungssoftware aus.
SGNClient.msi
SafeGuard Client-Installationspaket
SGNClient_x64.msi
Es stattet Endpoints mit notwendigen
Voraussetzungen für eine erfolgreiche
Installation der aktuellen
Verschlüsselungssoftware aus. Für die
Festplattenverschlüsselung von internen
und externen Laufwerken bietet
SafeGuard Enterprise die Alternativen
SafeGuard Volume Based Encryption
oder BitLocker.
BitLocker oder BitLocker C/R
SafeGuard Enterprise verwaltet das
Microsoft BitLocker
Verschlüsselungsmodul. Auf Systemen
mit UEFI gibt es für die BitLocker
Pre-Boot Authentication einen
Challenge/Response Mechanismus,
während auf Systemen mit BIOS der
Recovery-Schlüssel vom SafeGuard
Management Center abgerufen wird.
Wählen Sie den Installationstyp
Angepasst.
SafeGuard Volume Based Encryption
(nur Windows 7 BIOS)
SafeGuard Festplattenverschlüsselung.
Mit SafeGuard Power-on Authentication
Wählen Sie den Installationstyp
Vollständig, Typisch oder Angepasst.
Synchronized Encryption
Beinhaltet Funktionen für
anwendungsbasierte
Dateiverschlüsselung und
selbst-verschlüsselnde HTML zum
automatischen Verschlüsseln von
Mailanhängen in Microsoft Outlook.
Cloud Storage
Dateibasierte Verschlüsselung für in der
Cloud gespeicherte Daten Lokale
Kopien von in der Cloud gespeicherten
Daten werden stets transparent
61
SafeGuard Enterprise
Paket
Inhalt
Verfügbar für
zentral
verwaltete
Endpoints
Verfügbar für
Standalone-Endpoints
verschlüsselt. Für das Übertragen von
Daten an die Cloud oder den Empfang
von Daten aus der Cloud muss
anbieterspezifische Software benutzt
werden.
Wählen Sie den Installationstyp
Vollständig oder Angepasst.
Dateiverschlüsselung
Dateibasierte Verschlüsselung von
Daten auf lokalen Festplatten und
Netzwerkfreigaben, speziell für
Arbeitsgruppen
Wählen Sie den Installationstyp
Vollständig oder Angepasst.
Data Exchange
SafeGuard Data Exchange:
Dateibasierte Verschlüsselung von
Daten auf Wechselmedien auf allen
Plattformen ohne Neuverschlüsselung.
Wählen Sie den Installationstyp
Vollständig oder Angepasst.
2.11.2 Lokales Installieren der Verschlüsselungssoftware
Voraussetzungen:
Die Endpoints müssen für die Verschlüsselung vorbereitet sein, siehe Einrichten von
SafeGuard Enterprise auf Endpoints (Seite 56).
Entscheiden Sie, welches Verschlüsselungspaket und welche Features installiert werden
sollen. So wird beispielsweise das Paket SGxClientPreinstall.msi ab Windows 8
nicht mehr benötigt. Die Anleitung bezüglich POACFG-Datei sind nur relevant für Device
Encryption mit POA und BitLocker mit Challenge/Response.
So führen Sie eine lokale Installation der Verschlüsselungssoftware durch:
1. Melden Sie sich an dem Endpoint als Administrator an.
2. Kopieren Sie die Pakete SGNClient_x64.msi und SGxClientPreinstall.msi auf
den Client.
3. Installieren Sie das Paket SGxClientPreinstall.msi um den Endpoint mit den
notwendigen Voraussetzungen für eine erfolgreiche Installation der aktuellen
Verschlüsselungssoftware auszustatten.
Alternativ zu SGxClientPreinstall.msi können Sie auch das Windows-Paket
vcredist_x86.exe, das in der Produktlieferung enthalten ist, installieren.
62
Administratorhilfe
4. Laden Sie die aktuelle POACFG-Datei herunter wie im Sophos Knowledgebase-Artikel
65700 beschrieben.
5. Speichern Sie die aktuellste Version der POACFG-Datei zentral, so dass sie von jedem
Endpoint aus erreichbar ist.
6. Öffnen Sie am Client ein Eingabeaufforderungsfenster mit Administratorrechten.
7. Wechseln Sie zum Ordner, der die SafeGuard Installationsdateien enthält.
8. Starten Sie die Installation mit folgendem Befehl: MSIEXEC /i <Client.msi>
POACFG=<Pfad der POA-Konfigurationsdatei>
Der SafeGuard Enterprise Client Installationsassistent startet.
9. Übernehmen Sie im Assistenten in allen folgenden Dialogen die Standardeinstellungen.
Bei einer Erstinstallation empfehlen wir, von Beginn an eine Vollständige Installation
auszuwählen. Um nur einen Teil der Features zu installieren, wählen Sie eine Angepasste
Installation.
10. Wechseln Sie zum Speicherort des relevanten Konfigurationspakets (MSI), das Sie zuvor
im SafeGuard Management Center erzeugt haben. Für zentral verwaltete Endpoints und
Standalone-Endpoints müssen spezifische Konfigurationspakete installiert werden (siehe
Erzeugen von Konfigurationspaketen (Seite 54)).
11. Installieren Sie das relevante Konfigurationspaket (MSI) auf dem Computer.
12. Starten Sie die Endpoints zweimal neu um die Power-on Authentication zu aktivieren.
13. Die Computer müssen ein drittes Mal neu gestartet werden, um eine Sicherung der
Kerneldaten bei jedem Windows-Start durchzuführen. Stellen Sie sicher, dass die Computer
vor dem dritten Neustart nicht in den Ruhezustand versetzt werden, damit die Sicherung
der Kerneldaten erfolgreich abgeschlossen werden kann.
SafeGuard Enterprise wird auf dem Endpoint eingerichtet. Informationen zum Anmeldeverhalten
des Computers nach der Installation von SafeGuard Enterprise finden Sie in der SafeGuard
Enterprise Benutzerhilfe.
2.11.3 Zentrale Installation der Verschlüsselungssoftware
Durch die zentrale Installation der Verschlüsselungssoftware wird eine standardisierte
Installation auf mehreren Endpoints erreicht.
Hinweis: Die Installations- und Konfigurationspakete können im Rahmen einer zentralen
Softwareverteilung nur einem Endpoint zugewiesen werden, nicht aber einem Benutzer.
So führen Sie eine zentrale Installation durch:
■
Prüfen Sie die verfügbaren Installationspakete und Features für zentral verwaltete Endpoints
und Standalone-Endpoints, siehe Installationspakete und Features (Seite 60).
■
Prüfen Sie die Kommandozeilenoptionen.
■
Prüfen Sie die Liste mit Feature-Parametern für die ADDLOCAL Befehlszeilenoption.
■
Prüfen Sie die Beispielbefehle.
■
Bereiten Sie das Installationsskript vor.
2.11.3.1 Zentrale Installation der Verschlüsselungssoftware über Active Directory
Stellen Sie sicher, dass Sie die folgenden Schritte bei der zentralen Installation der
Verschlüsselungssoftware über Gruppenrichtlinienobjekte (GPO) in einem Active Directory
durchführen:
63
SafeGuard Enterprise
Hinweis: Die Installations- und Konfigurationspakete können im Rahmen einer zentralen
Softwareverteilung nur einem Endpoint zugewiesen werden, nicht aber einem Benutzer.
■
Verwenden Sie ein gesondertes Gruppenrichtlinienobjekt (GPO) für jedes Installationspaket
und sortieren Sie sie in der folgenden Reihenfolge:
1. Prä-Installations-Paket
2. Verschlüsselungssoftware-Paket
3. Endpoint-Konfigurationspaket
Weitere Informationen finden Sie unter Vorbereiten des Installationsskripts (Seite 64).
■
Wenn die Sprache des Endpoints nicht auf Deutsch gestellt ist, führen Sie zusätzlich
folgendes aus: Wählen Sie im Gruppenrichtlinien-Editor das entsprechende Gruppenobjekt
aus und wählen Sie dann Computerkonfiguration > Softwareeinstellungen > Erweitert.
Wählen Sie im Dialog Erweiterte Bereitstellungsoptionen Sprache beim Bereitstellen
dieses Pakets ignorieren und klicken Sie OK.
2.11.3.2 Vorbereiten des Installationsskripts
Voraussetzungen:
Die Endpoints müssen für die Verschlüsselung vorbereitet sein.
Entscheiden Sie, welches Verschlüsselungspaket und welche Features installiert werden
sollen.
So führen Sie eine zentrale Installation der Verschlüsselungssoftware durch:
1. Erstellen Sie ein Verzeichnis mit der Bezeichnung Software als zentralen Speicherort
für alle Anwendungen.
2. Verwenden Sie Ihre eigenen Tools, um das Installationspaket zu erstellen, das auf den
Endpoints installiert werden soll. Das Paket muss Folgendes in der angegebenen
Reihenfolge enthalten:
Paket
Prä-Installationspaket
SGxClientPreinstall.msi
(nur Windows 7)
Beschreibung
Das obligatorische Paket stattet die Endpoints mit den
nötigen Voraussetzungen für eine erfolgreiche Installation
der aktuellen Verschlüsselungssoftware aus, zum Beispiel
mit der benötigten DLL MSVCR110.dll.
Hinweis: Wenn dieses Paket nicht installiert ist, wird die
Installation der Verschlüsselungssoftware abgebrochen.
Verschlüsselungssoftware-Paket
Für eine Liste der verfügbaren Pakete, siehe
Installationspakete und Features (Seite 60).
Konfigurationspaket für Endpoints Verwenden Sie die zuvor im SafeGuard Management
Center erzeugten Konfigurationspakete. Für zentral
verwaltete Endpoints und Standalone-Endpoints müssen
unterschiedliche Konfigurationspakete installiert werden
(siehe Erzeugen von Konfigurationspaketen (Seite 54)).
Löschen Sie zunächst alle alten Konfigurationspakete.
64
Administratorhilfe
3. Erstellen Sie ein Skript mit den Kommandos für die vorkonfigurierte Installation. Im Skript
müssen die Features der Verschlüsselungssoftware aufgelistet sein, die Sie installieren
möchten, siehe Feature-Parameter für die ADDLOCAL Option (Seite 67). Öffnen Sie eine
Eingabeaufforderung und geben Sie die Skript-Befehle ein. Für Informationen zur
Kommandozeilen-Syntax, siehe Kommandozeilenoptionen für die zentrale Installation
(Seite 65).
4. Verteilen Sie das Paket über unternehmensinterne Software-Verteilungsmechanismen an
die Endpoints.
Das Installation wird auf den Endpoints ausgeführt. Danach sind die Endpoints für den
Einsatz von SafeGuard Enterprise bereit.
5. Starten Sie die Endpoints zweimal neu um die Power-on Authentication zu aktivieren. Die
Computer müssen ein drittes Mal neu gestartet werden, um eine Sicherung der Kerneldaten
bei jedem Windows-Start durchzuführen. Stellen Sie sicher, dass die Computer vor dem
dritten Neustart nicht in den Ruhezustand versetzt werden, damit die Sicherung der
Kerneldaten erfolgreich abgeschlossen werden kann.
Zusätzliche Konfiguration kann erforderlich sein, damit sich die Power-on Authentication
(POA) auf jeder Hardware-Plattform korrekt verhält. Die meisten Hardware-Konflikte lassen
sich mit Hilfe von Hotkeys-Funktionalitäten beheben, die in die POA integriert sind. Hotkeys
können nach der Installation konfiguriert werden, entweder in der POA selbst oder über eine
zusätzliche Konfigurationseinstellung, die dem Windows Installer Befehl msiexec mitgegeben
wird. Weitere Informationen finden Sie in den Sophos Knowledgebase-Artikeln 107781 und
107785.
2.11.3.3 Vorbereitung für Synchronized Encryption
Für die ordnungsgemäße Funktion von Synchronized Encryption muss die Windows-Runtime
vstor-redist.exe installiert sein. Die Datei installiert Microsoft Visual Studio 2010 Tools
für Office-Laufzeit und ist im Installationspaket enthalten.
Wir empfehlen, die Komponenten in folgender Reihenfolge zu installieren:
1. vstor-redist.exe
2. SGNClient.msi
3. Konfigurationspaket
Hinweis: Sie können das Installationspaket nicht installieren bevor die Installation von
vstor-redist.exe abgeschlossen ist.
2.11.3.4 Kommandozeilenoptionen für die zentrale Installation
Wir empfehlen, für die zentrale Installation ein Skript mit der Windows Installer Komponente
msiexec zu erstellen. Msiexec führt eine vorkonfigurierte SafeGuard Enterprise Installation
automatisch aus. Msiexec ist in Windows enthalten. Weitere Informationen finden Sie unter:
http://msdn.microsoft.com/en-us/library/aa367988(VS.85).aspx.
Kommandozeilen-Syntax
msiexec /i <path+msi package name> / <SGN Features> <SGN parameter>
65
SafeGuard Enterprise
Die Kommandozeilensyntax setzt sich folgendermaßen zusammen:
■
■
■
Windows Installer Parameter, die z. B. Warnungen und Fehlermeldungen während der
Installation in eine Datei protokollieren.
SafeGuard Enterprise-Funktionen, die installiert werden sollen, z. B.
Festplattenvollverschlüsselung.
SafeGuard Enterprise Parameter, die z. B. das Installationsverzeichnis angeben.
Kommandozeilen-Optionen
Alle verfügbaren Optionen können Sie über msiexec.exe in der Eingabeaufforderung abrufen.
Im Folgenden sind wichtige Optionen beschrieben.
Option
Beschreibung
/i
Gibt an, dass es sich um eine Installation handelt.
/qn
Installiert ohne Benutzerinteraktion und zeigt keine Benutzeroberfläche
an.
ADDLOCAL=
Listet die SafeGuard Enterprise Features auf, die installiert werden. Wird
die Option nicht angegeben, werden alle Features installiert, die für eine
Standardinstallation vorgesehen sind.
Eine Liste der SafeGuard Enterprise Features in den einzelnen
Installationspaketen und Informationen zu deren Verfügbarkeit je nach
Endpoint-Konfiguration finden Sie unter Installationspakete und Features
(Seite 60). Für eine Liste der Feature-Parameter für die ADDLOCAL
Option, siehe Feature-Parameter für die ADDLOCAL Option (Seite 67).
66
ADDLOCAL=ALL
Unter Windows 7 (BIOS) installiert ADDLOCAL=ALL die SafeGuard
volume-basierende Verschlüsselung und alle anderen verfügbaren
Module. Unter Windows 8 oder höher installiert ADDLOCAL=ALL BitLocker
Unterstützung und Synchronized Encryption.
REBOOT=Force |
NoRestart
Erzwingt oder unterdrückt einen Neustart nach der Installation. Ohne
Angabe wird der Neustart erzwungen (Force).
/L* <path + filename>
Protokolliert alle Warnungen und Fehlermeldungen in die angegebene
Protokolldatei. Der Parameter /Le <Pfad + Dateiname> protokolliert
ausschließlich Fehlermeldungen.
Installdir=
<Verzeichnis>
Gibt das Verzeichnis an, in das die SafeGuard Enterprise
Verschlüsselungssoftware installiert werden soll. Ohne Angabe wird als
Standardinstallationsverzeichnis <SYSTEM>:\PROGRAMME\SOPHOS
verwendet.
Administratorhilfe
2.11.3.5 Feature-Parameter für die ADDLOCAL Option
Sie müssen Sie bereits im Vorfeld definieren, welche Features auf den Endpoints installiert
werden sollen. Die Feature-Namen werden als Parameter zur Kommandozeilenoption
ADDLOCAL hinzugefügt. Listen Sie die Features nach der Eingabe der Option ADDLOCAL in
der Kommandozeile auf:
■
Verwenden Sie Kommas als Trennzeichen zwischen den Features.
■
Beachten Sie Groß- und Kleinschreibung.
■
Wenn Sie ein Feature auswählen, müssen Sie auch alle übergeordneten Features (Feature
Parents) zur Kommandozeile hinzufügen.
■
Bitte beachten Sie, dass die Feature-Namen von den zugehörigen Modulnamen abweichen
können. Sie finden sie in unten stehender Tabelle in Klammern.
■
Die Features Client und CredentialProvider müssen Sie immer auflisten.
In den folgenden Tabellen sind alle Features aufgelistet, die auf den Endpoints installiert
werden können. Weitere Informationen finden Sie unter: Installationspakete und Features
(Seite 60).
Feature Parents
Client
Feature
CredentialProvider
Obligatorisch Das Feature dient zur Anmeldung über
den Credential Provider.
Client, BaseEncryption
SectorBasedEncryption (SafeGuard Volume Based
Encryption)
BitLockerSupport
Nur Win 7: SectorBasedEncryption
Client,BaseEncryption
BitLockerSupport (BitLocker)
Client,BaseEncryption,BitLockerSupport BitLockerSupportCR (BitLocker C/R)
Client, NextGenDataProtection
Client, LocationBasedEncryption
NextGenDataProtection (Synchronized Encryption)
SecureDataExchange (Data Exchange)
Client, LocationBasedEncryption
FileShare (File Encryption)
Client, LocationBasedEncryption
CloudStorage (Cloud Storage)
67
SafeGuard Enterprise
2.11.3.6 Beispielbefehl: SafeGuard volume-basierende Verschlüsselung mit File Encryption
Die Kommandozeile hat folgende Funktion:
■
Die Endpoints werden mit den notwendigen Voraussetzungen für eine erfolgreiche
Installation der aktuellen Verschlüsselungssoftware ausgestattet.
■
Anmeldung an die Endpoints mit dem Windows 7 Credential Provider.
■
SafeGuard Enterprise Power-on Authentication (POA)
■
SafeGuard Enterprise volume-basierende Verschlüsselung.
■
SafeGuard File Encryption mit dateibasierender Verschlüsselung von Daten auf der lokalen
Festplatte und auf Netzwerkfreigaben
■
Das Konfigurationspaket, das den Endpoint als zentral verwalteten Endpoint konfiguriert
und eine Verbindung zum SafeGuard Enterprise Server ermöglicht.
■
Log-Dateien werden erzeugt.
Beispielbefehl:
msiexec /i F:\Software\SGxClientPreinstall.msi /qn /log
I:\Temp\SGxClientPreinstall.log
msiexec /i F:\Software\SGNClient.msi /qn /log I:\Temp\SGNClient.log
ADDLOCAL=Client,CredentialProvider,LocationBasedEncryption,FileShare
Installdir=C:\Program Files\Sophos\SafeGuard Enterprise
msiexec /i F:\Software\SGNConfig_managed.msi /qn /log
I:\Temp\SGNConfig_managed.log
2.11.3.7 Beispielbefehl: SafeGuard BitLocker-Unterstützung mit Challenge/Response
Die Kommandozeile hat folgende Funktion:
68
■
Die Endpoints werden mit den notwendigen Voraussetzungen für eine erfolgreiche
Installation der aktuellen Verschlüsselungssoftware ausgestattet.
■
Anmeldung an die Endpoints mit dem Windows 7 Credential Provider.
■
SafeGuard BitLocker Unterstützung.
■
SafeGuard Challenge/Response für BitLocker Recovery.
■
Das Konfigurationspaket, das den Endpoint als zentral verwalteten Endpoint konfiguriert
und eine Verbindung zum SafeGuard Enterprise Server ermöglicht.
■
Log-Dateien werden erzeugt.
Administratorhilfe
Beispielbefehl:
msiexec /i F:\Software\SGxClientPreinstall.msi /qn /log
I:\Temp\SGxClientPreinstall.log
msiexec /i F:\Software\SGNClient.msi /qn /log I:\Temp\SGNClient.log
ADDLOCAL=Client,CredentialProvider,BitLockerSupport,BitLockerSupportCR
Installdir=C:\Program Files\Sophos\SafeGuard Enterprise
msiexec /i F:\Software\SGNConfig_managed.msi /qn /log
I:\Temp\SGNConfig_managed.log
2.11.3.8 Beispielbefehl: SafeGuard BitLocker-Unterstützung mit Challenge/Response
und File Encryption
Die Kommandozeile hat folgende Funktion:
■
Die Endpoints werden mit den notwendigen Voraussetzungen für eine erfolgreiche
Installation der aktuellen Verschlüsselungssoftware ausgestattet.
■
Anmeldung an die Endpoints mit dem Windows 7 Credential Provider.
■
SafeGuard BitLocker Unterstützung.
■
SafeGuard Challenge/Response für BitLocker Recovery.
■
SafeGuard File Encryption mit dateibasierender Verschlüsselung von Daten auf der lokalen
Festplatte und auf Netzwerkfreigaben
■
Das Konfigurationspaket, das den Endpoint als zentral verwalteten Endpoint konfiguriert
und eine Verbindung zum SafeGuard Enterprise Server ermöglicht.
■
Log-Dateien werden erzeugt.
Beispielbefehl:
msiexec /i F:\Software\SGxClientPreinstall.msi /qn /log
I:\Temp\SGxClientPreinstall.log
msiexec /i F:\Software\SGNClient.msi /qn /log I:\Temp\SGNClient.log
ADDLOCAL=Client,CredentialProvider,BitLockerSupport,BitLockerSupportCR,FileShare
Installdir=C:\Program Files\Sophos\SafeGuard Enterprise
msiexec /i F:\Software\SGNConfig_managed.msi /qn /log
I:\Temp\SGNConfig_managed.log
69
SafeGuard Enterprise
2.11.3.9 Beispielbefehl: Kernel-Lader umschalten
Der POA-Kernel, der für Neuinstallationen verwendet wird, ist für die Verwendung mit
NVMe-Laufwerken optimiert. Wenn Sie einen neu eingerichteten POA-Endpoint starten, wird
neben der Versionsnummer "RM" angezeigt; das bedeutet, dass Sie den aktuellen RM-Kernel
verwenden. Sie können jedoch auf den alten "v86"-Kernel wechseln indem Sie folgenden
Befehl verwenden:
Beispielbefehl:
msiexec.exe /i SGNClient.msi KERNELLOADER=v86
Um zum "RM"-Kernel zurückzukehren brauchen Sie folgenden Befehl:
Beispielbefehl:
msiexec.exe /i SGNClient.msi KERNELLOADER=RM
2.11.4 Installation gemäß FIPS
Die FIPS-Zertifizierung beschreibt Sicherheitsanforderungen für Verschlüsselungsmodule.
So stellen z. B. Behörden in den USA und in Kanada an Software für besonders
sicherheitskritische Informationen die Anforderung der FIPS 140-2 Zertifizierung.
SafeGuard Enterprise verwendet FIPS-zertifizierte AES-Algorithmen, aber standardmäßig
wird eine neue, schnellere Implementierung der AES-Algorithmen installiert, die noch nicht
FIPS-zertifiziert ist.
Um die FIPS-zertifizierte Variante des AES-Algorithmus zu nutzen, setzen Sie beim Installieren
der SafeGuard Enterprise Verschlüsselungssoftware die Eigenschaft FIPS_AES auf 1 (eins).
Das machen Sie, indem Sie die Eigenschaft zum Kommandozeilen-Skript hinzufügen:
msiexec /i F:\Software\SGNClient.msi FIPS=1
Hinweis: Dies betrifft nur SafeGuard Enterprise Device Encryption und Windows 7.
Hinweis: Wenn Sie eine FIPS-konforme Installation aktualisieren, beachten Sie bitte, dass
die neuen Versionen ebenfalls gemäß FIPS installiert werden, unabhängig davon, welche
Einstellung Sie wählen.
2.11.5 Installation auf selbst-verschlüsselnden Opal-Festplatten
SafeGuard Enterprise unterstützt den anbieter-unabhängigen Opal-Standard für
selbst-verschlüsselnde Festplatten und bietet die Verwaltung von Endpoints mit dieser Art
von Festplatten.
Um sicherzustellen, dass die Unterstützung von selbst-verschlüsselnden Opal-Festplatten
diesem Standard möglichst genau entspricht, werden bei der Installation von SafeGuard
Enterprise auf dem Endpoint zwei Arten von Prüfungen durchgeführt:
■
70
Funktionale Prüfungen
Administratorhilfe
Hier wird u. a. geprüft, ob sich die Festplatte als "OPAL"-Festplatte identifiziert, ob
Kommunikationseinstellungen korrekt sind und ob alle für SafeGuard Enterprise
erforderlichen Opal Features von der Festplatte unterstützt werden.
■
Sicherheitsprüfungen
Mit Sicherheitsprüfungen wird sichergestellt, dass nur SafeGuard Enterprise Benutzer auf
der Festplatte registriert sind und dass nur SafeGuard Enterprise Benutzer die Schlüssel
für die software-basierende Verschlüsselung von nicht selbst-verschlüsselnden Laufwerken
haben. Wird bei der Installation festgestellt, dass andere Benutzer registriert sind, versucht
SafeGuard Enterprise automatisch, diese zu deaktivieren. Diese Funktionalität wird durch
den Opal-Standard gefordert. Ausgenommen sind hier einige wenige Standard "Authorities",
die für den Betrieb eines Opal-Systems erforderlich sind.
Hinweis: Diese Sicherheitsprüfungen werden wiederholt, wenn nach einer erfolgreichen
Installation im Opal-Modus eine Verschlüsselungsrichtlinie für die Festplatte angewendet
wird. Schlagen diese fehl, so haben seit der ersten Prüfung bei der Installation außerhalb
von SafeGuard Enterprise Eingriffe in die Laufwerksverwaltung stattgefunden. In diesem
Fall sperrt SafeGuard Enterprise nicht die Opal-Festplatte. Es wird eine entsprechende
Meldung angezeigt.
Sollten einige dieser Prüfungen ohne Recovery-Möglichkeit fehlschlagen, so wird für die
Installation nicht die software-basierende Verschlüsselung angewendet. Stattdessen bleiben
alle Volumes auf der Opal-Festplatte unverschlüsselt.
Ab SafeGuard Enterprise Version 7 werden standardmäßig keine Opal-Prüfungen durchgeführt.
Das bedeutet: Auch wenn ein Opal-Laufwerk vorhanden ist, verschlüsselt SafeGuard Enterprise
Volumes auf diesem Laufwerk mit softwarebasierter Verschlüsselung.
Wenn Sie erzwingen möchten, dass Opal-Prüfungen durchgeführt werden, verwenden Sie
folgende Kommandozeilensyntax:
MSIEXEC /i <name_of_selected_client_msi>.msi OPALMODE=0
Hinweis: Mit einem Upgrade von SafeGuard Enterprise 6.x auf SafeGuard Enterprise 7.0
auf einem System mit einer Opal HDD, die im Opal HW-Verschlüsselungsmodus betrieben
wird, bleibt dieser Verschlüsselungsmodus erhalten.
Bei einigen Opal-Festplatten bestehen u. U. Sicherheitsprobleme. Es besteht keine Möglichkeit,
automatisch festzustellen, welche Privilegien unbekannten Benutzern/Authorities zugeordnet
sind, die bereits zum Zeitpunkt der SafeGuard Enterprise Installation/Verschlüsselung registriert
waren. Wenn die Festplatte den Befehl, diese Benutzer zu deaktivieren, nicht ausführt, wendet
SafeGuard Enterprise die software-basierende Verschlüsselung an, um die größtmögliche
Sicherheit für den SafeGuard Enterprise Benutzer zu gewährleisten. Da wir für die Festplatten
selbst keine Sicherheitsgarantien geben können, haben wir einen speziellen
Installationsschalter implementiert. Diesen Schalter können Sie verwenden, um Festplatten
mit potentiellen Sicherheitsrisiken auf eigene Verantwortung zu benutzen. Eine Liste der
Festplatten, für die dieser Schalter erforderlich ist, sowie weitere Informationen zu unterstützten
Festplatten finden Sie in der SafeGuard Enterprise Versionsinfo.
Um den Installationsschalter anzuwenden, benutzen Sie folgende Kommandozeilensyntax:
MSIEXEC /i <name_of_selected_client_msi>.msi
IGNORE_OPAL_AUTHORITYCHECK_RESULTS=1
Wenn Sie die Installation mit einem Transform durchführen möchten: Die interne Eigenschaft
der .msi-Datei hat denselben Namen.
71
SafeGuard Enterprise
2.12 Installieren der Verschlüsselungssoftware auf Mac
OS X
Das folgende Kapitel beschreibt die Installation der Sophos Verschlüsselungs-Software auf
Mac OS X Client-Rechnern. Folgende Produkte stehen zur Verfügung:
Sophos SafeGuard Native Device Encryption
Sophos SafeGuard File Encryption
Für beide Produkte sind zwei Installationstypen möglich:
■
automatisierte (unbeaufsichtigte) Installation
■
manuelle (beaufsichtigte) Installation
Wenn Sie SafeGuard File Encryption und SafeGuard Native Device Encryption verwenden
möchten, muss es sich in beiden Fällen um Version 8 handeln.
2.12.1 Installationsvoraussetzungen
Stellen Sie vor dem Beginn der Installation sicher, dass das SafeGuard
Enterprise-SSL-Serverzertifikat in den System-Schlüsselbund importiert wurde und für SSL
auf Immer vertrauen gesetzt ist.
1. Bitten Sie Ihren SafeGuard Server-Administrator, Ihnen das SafeGuard
Enterprise-Serverzertifikat (Datei <Zertifikatname>.cer).zur Verfügung zu stellen.
2. Importieren Sie die Datei <Zertifikatname>.cer) in Ihren Schlüsselbund. Wählen Sie dazu
Programme - Dienstprogramme und doppelklicken Sie Schlüsselbundverwaltung.app.
3. Wählen Sie im linken Fensterbereich System.
4. Öffnen Sie ein Finder-Fenster und wählen Sie die Datei <Zertifikatname>.cer von oben.
5. Ziehen Sie die Zertifikatsdatei in die Schlüsselbundverwaltung.
6. Geben Sie Ihr Mac OS X Kennwort ein, wenn Sie dazu aufgefordert werden.
7. Klicken Sie auf Schlüsselbund ändern, um den Vorgang zu bestätigen.
8. Doppelklicken Sie auf die Datei <Zertifikatname>.cer .
9. Klicken Sie auf den Pfeil neben Vertrauen, um die Vertrauenseinstellungen anzuzeigen.
10. Wählen Sie für Secure Sockets Layer (SSL) die Option Immer vertrauen.
11. Schließen Sie den Dialog.
12. Geben Sie Ihr Mac OS X Kennwort ein und klicken Sie zum Bestätigen auf Einstellungen
aktualisieren.
Ein blaues Plus-Zeichen in der unteren rechten Ecke des Zertifikats-Symbols zeigt Ihnen,
dass dieses Zertifikat als vertrauenswürdig für alle Benutzer eingestuft ist.
13. Öffnen Sie einen Browser und geben Sie https://<Servername>/SGNSRV ein, um
sicherzustellen, dass Ihr SafeGuard Enterprise Server verfügbar ist.
Nun können Sie mit der Installation beginnen.
Hinweis:
Das Zertifikat kann auch importiert werden, indem der folgende Befehl ausgeführt wird: sudo
/usr/bin/security add-trusted-cert -d -k
/Library/Keychains/System.keychain -r trustAsRoot -p ssl
72
Administratorhilfe
"/<Ordner>/<Zertifikatname>.cer". Dieser Befehl kann auch für eine automatisierte
Installation mittels Skript verwendet werden. Ändern Sie die Namen des Ordners und des
Zertifikats entsprechend Ihren Anforderungen.
2.12.2 Automatisierte Installation von SafeGuard Native Device Encryption
Eine automatisierte (unbeaufsichtigte) Installation erfordert keinen Benutzereingriff während
des Installationsprozesses.
Der folgende Abschnitt beschreibt die grundsätzlichen Schritte einer automatisierten Installation
von SafeGuard Native Device Encryption für Mac. Verwenden Sie die Managementsoftware,
die auf Ihrem System installiert ist. Je nach Managementsoftware-Lösung, die Sie verwenden,
können die tatsächlichen Schritte von der Beschreibung abweichen.
Um SafeGuard Native Device Encryption für Mac auf Client-Rechnern zu installieren, gehen
Sie wie folgt vor:
1. Laden Sie die Installationsdatei Sophos SafeGuard DE.dmg herunter.
2. Kopieren Sie die Datei auf die Zielrechner.
3. Installieren Sie die Datei auf den Zielrechnern. Wenn Sie Apple Remote Desktop
verwenden, sind die Schritte 2 und 3 zu einem einzelnen Schritt zusammengefasst.
4. Wählen Sie die Konfigurations-Zip-Datei aus und kopieren Sie sie auf die Zielrechner
(siehe Erzeugen von Konfigurationspaketen (Seite 54)).
5. Führen Sie auf den Zielrechnern das folgende Kommando aus:
/usr/bin/sgdeadmin --import-config /Pfad/zur/Datei.zip
6. Passen Sie /Pfad/zur/Datei auf Ihre Einstellungen an. Dieses Kommando muss mit
Administratorrechten ausgeführt werden. Wenn Sie Apple Remote Desktop verwenden,
geben Sie root in das Feld Benutzername ein um festzulegen, welcher Benutzer das
Kommando oben ausführt.
Hinweis:
Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 120507.
2.12.3 Manuelle Installation von SafeGuard Native Device Encryption
Eine manuelle (oder beaufsichtigte) Installation ermöglicht Ihnen, die Installation
Schritt-für-Schritt zu steuern und zu testen. Sie wird auf Mac-Einzelplatzrechnern durchgeführt.
1. Öffnen Sie Sophos SafeGuard DE.dmg.
2. Nachdem Sie die Readme-Datei gelesen haben, doppelklicken Sie auf Sophos SafeGuard
DE.pkg und folgen Sie den Anweisungen des Installationsassistenten. Sie werden nach
Ihrem Kennwort gefragt, um die Installation neuer Software zu erlauben. Das Produkt wird
im Ordner /Library/Sophos SafeGuard DE/ installiert.
3. Klicken Sie auf Schließen, um die Installation abzuschließen.
4. Nach einem Neustart melden Sie sich mit Ihrem Mac Kennwort an.
5. Öffnen Sie die Systemeinstellungen und klicken Sie auf das Sophos Encryption-Symbol,
um die Produkteinstellungen anzuzeigen.
6. Klicken Sie auf die Registerkarte Server.
73
SafeGuard Enterprise
7. Werden Server und Zertifikatsdetails angezeigt, so überspringen Sie die nächsten Schritte
und gehen Sie zu Schritt 11. Wird keine Information angezeigt, so fahren Sie mit dem
nächsten Schritt fort.
8. Wählen Sie die Konfigurations-Zip-Datei aus und kopieren Sie sie auf die Zielrechner
(siehe Erzeugen von Konfigurationspaketen (Seite 54)).
9. Ziehen Sie die Zip-Datei in den Server-Dialog und lassen Sie sie in der Dropzone los.
10. Sie werden aufgefordert, Ihr Mac-Administratorkennwort einzugeben. Geben Sie das
Kennwort ein und klicken Sie zur Bestätigung auf OK.
11. Überprüfen Sie die Verbindung zum SafeGuard Enterprise Server. Details zum
Unternehmenszertifikat werden im unteren Teil des Server-Dialogs angezeigt. Klicken Sie
dann auf Synchronisieren. Eine erfolgreichen Verbindung erkennen Sie an einem
aktualisierten Zeitstempel (Registerkarte Server, Serverinfo-Bereich, Letzter
Serverkontakt:). Bei einer unterbrochenen Verbindung erscheint das folgende Symbol:
Weitere Informationen finden Sie in der System-Logdatei.
2.12.4 Automatisierte Installation von SafeGuard File Encryption
Eine automatisierte (unbeaufsichtigte) Installation erfordert keinen Benutzereingriff während
des Installationsprozesses.
Der folgende Abschnitt beschreibt die grundsätzlichen Schritte einer automatisierten Installation
von SafeGuard File Encryption für Mac. Verwenden Sie die Managementsoftware, die auf
Ihrem System installiert ist. Je nach Managementsoftware-Lösung, die Sie verwenden, können
die tatsächlichen Schritte von der Beschreibung abweichen.
Um SafeGuard File Encryption für Mac auf Client-Rechnern zu installieren, gehen Sie wie
folgt vor:
1. Laden Sie die Installationsdatei Sophos SafeGuard FE.pkg herunter.
2. Kopieren Sie die Datei auf die Zielrechner.
3. Installieren Sie die Datei auf den Zielrechnern. Wenn Sie Apple Remote Desktop
verwenden, sind die Schritte 2 und 3 zu einem einzelnen Schritt zusammengefasst.
4. Wählen Sie die Konfigurations-Zip-Datei aus und kopieren Sie sie auf die Zielrechner
(siehe Erzeugen von Konfigurationspaketen (Seite 54)).
5. Führen Sie auf den Zielrechnern das folgende Kommando aus:
/usr/bin/sgdeadmin --import-config /Pfad/zur/Datei.zip
6. Passen Sie /Pfad/zur/Datei auf Ihre Einstellungen an. Dieses Kommando muss mit
Administratorrechten ausgeführt werden. Wenn Sie Apple Remote Desktop verwenden,
geben Sie root in das Feld Benutzername ein um festzulegen, welcher Benutzer das
Kommando oben ausführt.
7. Sie können Ihrem Workflow weitere Schritte je nach Ihren spezifischen Einstellungen
hinzufügen wie z.B. die Zielrechner herunterzufahren.
Hinweis: Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 120507.
2.12.5 Manuelle Installation von SafeGuard File Encryption
Eine manuelle (oder beaufsichtigte) Installation ermöglicht Ihnen, die Installation
Schritt-für-Schritt zu steuern und zu testen. Sie wird auf Mac-Einzelplatzrechnern durchgeführt.
1. Öffnen Sie Sophos SafeGuard FE.dmg.
74
Administratorhilfe
2. Nachdem Sie die Readme-Datei gelesen haben, doppelklicken Sie auf Sophos SafeGuard
FE.pkg und folgen Sie den Anweisungen des Installationsassistenten. Sie werden nach
Ihrem Kennwort gefragt, um die Installation neuer Software zu erlauben. Das Produkt wird
im Ordner /Library/Sophos SafeGuard FS/ installiert.
3. Klicken Sie auf Schließen, um die Installation abzuschließen.
4. Öffnen Sie die Systemeinstellungen und klicken Sie auf das Sophos Encryption-Symbol,
um die Produkteinstellungen anzuzeigen.
5. Klicken Sie auf die Registerkarte Server.
6. Werden Server und Zertifikatsdetails angezeigt, so überspringen Sie die nächsten Schritte
und gehen Sie zu Schritt 11. Wird keine Information angezeigt, so fahren Sie mit dem
nächsten Schritt fort.
7. Wählen Sie die Konfigurations-Zip-Datei aus und kopieren Sie sie auf die Zielrechner
(siehe Erzeugen von Konfigurationspaketen (Seite 54)).
8. Ziehen Sie die Zip-Datei in den Server-Dialog und lassen Sie sie in der Dropzone los.
9. Sie werden aufgefordert, Ihr Mac-Administratorkennwort einzugeben. Geben Sie das
Kennwort ein und klicken Sie zur Bestätigung auf OK.
10. Geben Sie Ihr Mac-Kennwort ein, um Ihr SafeGuard Benutzerzertifikat anzufordern.
11. Überprüfen Sie die Verbindung zum SafeGuard Enterprise Server. Details zum
Unternehmenszertifikat werden im unteren Teil des Serverdialogs angezeigt. Klicken Sie
dann auf Synchronisieren. Eine erfolgreichen Verbindung erkennen Sie an einem
aktualisierten Zeitstempel (Registerkarte Server, Serverinfo-Bereich, Letzter
Serverkontakt:). Bei einer unterbrochenen Verbindung erscheint das folgende Symbol:
Mehr Information finden Sie in der System-Logdatei.
2.13 Aktualisierung
SafeGuard Enterprise 6.10 oder höher kann direkt auf die aktuelle Version von SafeGuard
Enterprise aktualisiert werden. Wenn Sie eine Aktualisierung von einer älteren Version
durchführen möchten, müssen Sie zunächst eine Aktualisierung auf Version 6.10 durchführen.
Während einer Aktualisierung können Sie keine Änderungen der installierten Features oder
Module vornehmen. Sollten Änderungen erforderlich sein, führen Sie den Installer der bereits
vorhandenen Version erneut aus und ändern Sie die Installation (siehe Migration (Seite 78)).
Die folgenden Komponenten werden bei einer Aktualisierung auf die aktuelle Version von
SafeGuard Enterprise aktualisiert. Führen Sie die Aktualisierung in der angegebenen
Reihenfolge aus:
1.
2.
3.
4.
5.
SafeGuard Enterprise Server
SafeGuard Management Center
Durch SafeGuard Enterprise geschützte Endpoints
SafeGuard Enterprise Konfigurationspakete
SafeGuard Enterprise Web Helpdesk
Standardmäßig werden alle Richtlinien vom Typ Dateiverschlüsselung wie Richtlinien mit
Verschlüsselungstyp Pfadbasiert behandelt oder in solche konvertiert.
Hinweis: Nach der Aktualisierung aller SafeGuard Enterprise Komponenten und Endpoints
auf Version 8.0 empfehlen wir die Umstellung auf den sichereren Algorithmus SHA-256 für
das Signieren von durch SafeGuard Enterprise erzeugten Zertifikaten.
75
SafeGuard Enterprise
2.13.1 Aktualisieren von SafeGuard Enterprise Server
Voraussetzungen
SafeGuard Enterprise Server 6.10 oder höher muss installiert sein. Versionen unter 6.10
müssen erst auf SafeGuard Enterprise Server 6.10 aktualisiert werden.
.NET Framework 4.5 und ASP.NET 4.5 (in der SafeGuard Enterprise Produktlieferung
enthalten) müssen installiert sein.
Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
So aktualisieren Sie den SafeGuard Enterprise Server:
1. Installieren Sie die neueste Version des SafeGuard Enterprise Server Installationspakets
SGNServer.msi.
Wenn Sie alle SGN-Komponenten aktualisiert haben muss der SafeGuard Enterprise Server
neu gestartet werden.
2.13.2 Aktualisieren des SafeGuard Management Center
Voraussetzungen:
SafeGuard Management Center 6.10 oder höher muss installiert sein. Versionen unter
6.10 müssen erst auf SafeGuard Management Center 6.10 aktualisiert werden.
Die Versionsnummern der SafeGuard Enterprise Datenbank, des SafeGuard Enterprise
Servers und des SafeGuard Management Center müssen übereinstimmen.
SafeGuard Management Center 8.0 kann Endpoints verwalten, die mit SafeGuard
Enterprise 6.0 oder höher geschützt werden.
.NET Framework 4,5 ist erforderlich. Dies muss vor der Aktualisierung installiert werden.
Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verfügung.
Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
Wenn Sie eine Aktualisierung von SafeGuard Enterprise 5.x auf SafeGuard Enterprise 8,0
durchführen, müssen Sie manuell eine Standard-Evaluierungslizenz für SafeGuard Cloud
Storage und SafeGuard File Encryption importieren Die Lizenzdatei steht in Ihrer
Produktlieferung zur Verfügung.
So aktualisieren Sie das SafeGuard Management Center:
1. Installieren Sie die aktuelle Version des SafeGuard Management Center Installationspakets
mit den erforderlichen Features, siehe Migration (Seite 78).
2. Starten Sie das SafeGuard Management Center.
3. Das System überprüft die Version der SafeGuard Enterprise Datenbank und aktualisiert
automatisch auf die neue Version.
4. Vor dem Update werden Sie dazu aufgefordert, Ihre Datenbank zu sichern.
SafeGuard Management Center und Datenbank wurden auf die neueste Version aktualisiert.
Übertragen Sie nach der Aktualisierung keine bestehenden POA-Benutzer auf Endpoints, die
durch SafeGuard Enterprise geschützt sind. Diese würden in diesem Fall als normale Benutzer
behandelt und als Benutzer auf den entsprechenden Endpoints registriert.
76
Administratorhilfe
Falls Sie für Sicherungszwecke Richtlinien exportiert haben, exportieren Sie sie nach der
Aktualisierung des SafeGuard Management Center erneut. Richtlinien, die mit älteren
Versionen exportiert wurden, können nicht importiert werden.
2.13.3 Aktualisierung von Endpoints
Dieses Kapitel gilt sowohl für zentral verwaltete Endpoints als auch für Standalone-Endpoints.
Voraussetzungen
Version 6.10 oder höher der SafeGuard Enterprise Verschlüsselungssoftware muss
installiert sein. Ältere Versionen müssen zuerst auf Version 6.10 aktualisiert werden.
Die SafeGuard Enterprise Datenbank, der SafeGuard Enterprise Server und das SafeGuard
Management Center müssen auf die neueste Version aktualisiert sein. Die
Versionsnummern der SafeGuard Enterprise Datenbank, des SafeGuard Enterprise Servers
und des SafeGuard Management Center müssen für einen erfolgreichen Betrieb
übereinstimmen.
SafeGuard Management Center 8.0 und SafeGuard Enterprise Server 8.0 können durch
SafeGuard Enterprise geschützte Endpoints mit Version 6.0 und höher verwalten. Jedoch
empfehlen wir die Verwendung derselben Version der Verschlüsselungssoftware auf allen
Endpoints.
Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
So aktualisieren Sie durch SafeGuard Enterprise geschützte Endpoints:
1. Melden Sie sich an dem Computer als Administrator an.
2. Installieren Sie das aktuelle Prä-Installationspaket SGxClientPreinstall.msi . Dieses
Paket stattet den Endpoint mit den nötigen Voraussetzungen für eine erfolgreiche
Installation der neuen Verschlüsselungssoftware aus.
Deinstallieren Sie keine alten Prä-Installationspakete da diese automatisch aktualisiert
werden.
3. Installieren Sie die aktuelle Version der SafeGuard Enterprise Verschlüsselungssoftware.
Abhängig von der installierten Version wird eine direkte Aktualisierung unter Umständen
nicht unterstützt. Ältere Versionen müssen aktualisiert werden, bis Version 6.10 erreicht
ist.
Der Windows Installer erkennt, welche Features bereits installiert sind und aktualisiert
auch nur diese Features. Wenn die Power-on Authentication installiert ist, steht nach
erfolgreicher Migration (Richtlinien, Schlüssel usw.) auch ein aktualisierter POA-Kernel
zur Verfügung. SafeGuard Enterprise wird auf dem Computer automatisch neu gestartet.
4. Um Configuration Protection vollständig zu entfernen, müssen Sie auch SGNCPClient.msi
(oder SGNCPClient_x64.msi) deinstallieren.
5. Nach dem Abschluss der Installation starten Sie den Endpoint neu, wenn Sie danach
gefragt werden.
Die aktuelle Version der SafeGuard Enterprise Verschlüsselungssoftware ist auf den Endpoints
installiert. Als Nächstes aktualisieren Sie die Konfiguration der Endpoints.
Hinweis: Während einer Aktualisierung können Sie keine Änderungen der installierten Module
vornehmen. Falls Änderungen erforderlich sind, lesen Sie unter Migration (Seite 78) nach.
77
SafeGuard Enterprise
2.13.4 Aktualisieren der Konfigurationspakete der Endpoints
Nach der Aktualisierung der Back-End-Software empfehlen wir dringend, alle alten
Konfigurationspakete aus Sicherheitsgründen zu löschen. Neuinstallationen des SafeGuard
Client müssen mit einem Konfigurationspaket erfolgen, das mit SafeGuard Management
Center Version 8.0 erstellt wurde. Konfigurationspakete, die mit früheren Versionen des
SafeGuard Management Center erstellt wurden, werden nicht unterstützt.
Konfigurationspakete auf bestehenden (bereits konfigurierten) Endpoints müssen in den
folgenden Fällen aktualisiert werden:
Mindestens einer der konfigurierten SafeGuard Server wurde geändert (trifft nur bei zentral
verwalteten Endpoints zu).
Die Richtlinien müssen geändert werden (trifft nur bei Endpoints im Standalone-Modus
zu).
Zum Anwenden von Certificate Change Orders (CCO).
Wen der Hash-Algorithmus zum Signieren der selbst-signierten Zertifikate von SHA-128
auf SHA-256 geändert wird.
Hinweis: Weitere Informationen finden Sie im Abschnitt Ändern des Algorithmus für
selbst-signierte Zertifikate.
Hinweis: Ein Endpoint kann von einem zentral verwalteten zu einem Standalone-Client
herabgestuft werden, indem das verwaltete Konfigurationspaket deinstalliert und ein nicht
verwaltetes Konfigurationspaket installiert wird.
2.14 Migration
Migration bedeutet eine Umstellung installierter Produkte, Module oder Features innerhalb
derselben Version. Sie müssen Ihr Produkt daher innerhalb der alten Version migrieren oder
zuerst die Installation aktualisieren und anschließend die Migration vornehmen.
Hinweis: Falls Sie Ihr aktuell installiertes Produkt oder die aktuell installierte Version in dieser
Anleitung nicht finden, wird keine direkte Aktualisierung oder Migration unterstützt.
Informationen zu den Möglichkeiten einer Aktualisierung oder Migration finden Sie in der
Dokumentation Ihres Produkts oder Ihrer Version.
Hinweis: Wenn mit Ihrem Migrationsszenario eine Änderung Ihrer Lizenz für die Sophos
Verschlüsselungssoftware verbunden ist, muss Ihre neue Lizenz für die Migration zur Verfügung
stehen.
2.14.1 Migration von SafeGuard Easy
Sie können eine Migration der Standalone-Lösung SafeGuard Easy zur SafeGuard Enterprise
Suite mit zentraler Verwaltung durchführen. Somit können Sie umfassende
Verwaltungsfunktionen nutzen, zum Beispiel Benutzer- und Computerverwaltung oder
umfangreiche Protokollierungfunktionen.
78
■
Setzen Sie die letzte Version des SafeGuard Enterprise Servers auf.
■
Migrieren Sie die Management-Konsole.
■
Migrieren Sie die Endpoints auf eine zentral verwaltete Konfiguration.
Administratorhilfe
2.14.1.1 Migration der Management-Konsole
Voraussetzungen
Sie müssen den SafeGuard Policy Editor nicht deinstallieren.
.NET Framework 4.5 und ASP.NET 4.5 (in der SafeGuard Enterprise Produktlieferung
enthalten) müssen installiert sein.
Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
So migrieren Sie die Management-Konsole:
1. Starten Sie auf dem Computer, auf dem der SafeGuard Policy Editor installiert ist,
SGNManagementCenter.msi. Ein Assistent führt Sie durch die Installation. Übernehmen
Sie die Standardeinstellungen.
2. Starten Sie Ihren Computer neu, wenn Sie dazu aufgefordert werden.
3. Starten Sie das SafeGuard Management Center, um die Erstkonfiguration durchzuführen.
4. Konfigurieren Sie die SafeGuard Enterprise Richtlinien nach Ihren Wünschen.
Der SafeGuard Policy Editor wurde zum SafeGuard Management Center migriert.
2.14.1.2 Migrieren von Endpoints auf eine zentral verwaltete Konfiguration.
Standalone-Endpoints lassen sich zu einer zentral verwalteten Konfiguration migrieren. Diese
Endpoints können dadurch im SafeGuard Management Center verwaltet werden und haben
eine Verbindung zum SafeGuard Enterprise Server.
Hinweis: Wenn Sie den Endpoint bereits auf die aktuelle Version aktualisiert haben und nur
die Konfiguration ändern möchten, beginnen Sie mit Schritt 6.
Voraussetzungen
Erstellen Sie ein Backup des Endpoints.
Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
Es ist keine Deinstallation der Sophos SafeGuard Verschlüsselungssoftware auf den
Endpoints nötig. Sophos SafeGuard Version 6.10 oder höher muss auf den Endpoints
installiert sein. Ältere Versionen müssen aktualisiert werden, bis Version 6.10 erreicht ist.
Um Endpoints lokal zu migrieren:
1. Melden Sie sich an dem Endpoint als Administrator an.
2. Installieren Sie das aktuelle Prä-Installationspaket SGxClientPreinstall.msi . Dieses
Paket stattet den Endpoint mit den nötigen Voraussetzungen für eine erfolgreiche
Installation der neuen Verschlüsselungssoftware aus.
Verwenden Sie keine veralteten Prä-Installationspakete.
3. Installieren Sie die aktuelle Version der Sophos SafeGuard Verschlüsselungssoftware.
Der Windows Installer erkennt, welche Features bereits installiert sind und aktualisiert
auch nur diese Features. Wenn die Power-on Authentication installiert ist, steht nach
erfolgreicher Migration (Richtlinien, Schlüssel usw.) auch ein aktualisierter POA-Kernel
zur Verfügung. Sophos SafeGuard wird auf dem Endpoint automatisch neu gestartet.
4. Nach dem Abschluss der Installation starten Sie den Endpoint neu, wenn Sie danach
gefragt werden.
79
SafeGuard Enterprise
5. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
Klicken Sie auf Pakete für Managed Clients und erstellen Sie ein Konfigurationspaket
für zentral verwaltete Endpoints.
6. Weisen Sie dieses Paket dem Endpoint über eine Gruppenrichtlinie zu.
Wichtig: Die Power-on-Authentisierung ist deaktiviert, da die Benutzer-Computer
Zuordnung nicht aktualisiert wird. Nach der Migration sind die Endpoints damit ungeschützt.
7. Der Benutzer muss den Endpoint neu starten. Die erste Anmeldung erfolgt noch über
Autologon. Neue Schlüssel und Zertifikate werden dem Benutzer zugewiesen.
8. Der Benutzer muss den Endpoint noch einmal starten und sich an der Power-on
Authentication anmelden. Die Endpoints werden erst nach dem zweiten Neustart geschützt.
9. Löschen Sie alte und nicht mehr verwendete Konfigurationspakete.
Der Endpoint hat nun eine Verbindung zum SafeGuard Enterprise Server.
2.14.2 Migration von Sophos Disk Encryption
Sophos Disk Encryption wird nicht mehr unterstützt, daher ist es erforderlich, auf SafeGuard
Enterprise zu migrieren. Eine detaillierte Anleitung dazu finden Sie im Sophos
Knowledgebase-Artikel 121160.
2.14.3 Ändern der SafeGuard-Installation auf Endpoints
Sollten Änderungen der installierten Module erforderlich sein, führen Sie den Installer der
bereits vorhandenen Version erneut aus und ändern Sie die Installation. Es gelten die folgenden
Einschränkungen:
Synchronized Encryption kann nicht auf Endpoints installiert werden, auf denen bereits
pfadbasierte Dateiverschlüsselung verwendet wird.
Bei einem Wechsel von SafeGuard volume-basierender Verschlüsselung auf BitLocker
Verschlüsselung oder umgekehrt muss das Produkt deinstalliert und neu installiert werden
(Daten müssen entschlüsselt sein).
Bei einem Wechsel von BitLocker-Unterstützung auf BitLocker mit Challenge/Response
oder umgekehrt muss das Produkt deinstalliert und neu installiert werden (Daten müssen
entschlüsselt sein).
Die Systemanforderungen für jedes Modul finden Sie in den Versionsinfos.
Informationen zur Migration des Betriebssystems finden Sie unter Migration von Endpoints
auf ein anderes Betriebssystem (Seite 80).
2.14.4 Migration von Endpoints auf ein anderes Betriebssystem
Endpoints mit SafeGuard Enterprise können von Windows 7/8 auf Windows 10 migriert werden.
Nur bei Endpoints mit Windows 7 und SafeGuard Full Disk Encryption muss letzteres vor der
Migration auf Windows 10 deinstalliert werden. SafeGuard Full Disk Encryption wird unter
Windows 10 nicht unterstützt. Nähere Informationen zur Deinstallation finden Sie unter
Deinstallation - Überblick (Seite 81). Nähre Informationen zur Verwendung von BitLocker
finden Sie unter Vorbereitung für die Unterstützung von BitLocker Drive Encryption (Seite
58).
Sie können keine Endpoints auf denen SafeGuard Enterprise installiert ist von Windows 7
auf Windows 8 migrieren. Wenn Sie ein älteres Betriebssystem als Windows 10 verwenden,
ist es nur möglich, die Service Pack Version Ihres Betriebssystems zu aktualisieren.
80
Administratorhilfe
2.15 Deinstallation - Überblick
Führen Sie zum Deinstallieren der SafeGuard Enterprise Verschlüsselungssoftware folgende
Schritte durch:
■
Entschlüsseln Sie verschlüsselte Daten.
■
Deinstallieren Sie das Konfigurationspaket.
■
Deinstallieren Sie die Verschlüsselungssoftware.
Damit Entschlüsselung und Deinstallation möglich sind, müssen auf den Endpoints die
entsprechenden Richtlinien wirksam sein.
Hinweis: Wenn sich nach der Deinstallation ein Benutzer mit Administratorrechten am
Endpoint anmeldet, wird im Hintergrund eine Bereinigungsfunktion gestartet. Der Benutzer
wird darüber informiert, dass die Bereinigung einen abschließenden Neustart benötigt.
2.15.1 Entschlüsseln von verschlüsselten Daten
Folgende Voraussetzung muss erfüllt sein:
Für die Entschlüsselung von verschlüsselten Volumes müssen alle volume-basierend
verschlüsselten Volumes einen Laufwerksbuchstaben haben.
1. Bearbeiten Sie im SafeGuard Management Center die aktuelle Richtlinie vom Typ
Geräteschutz, den den zu entschlüsselnden Computern zugewiesen ist. Wählen Sie die
Ziele und stellen Sie die Option Benutzer darf Volume entschlüsseln auf Ja ein. Weisen
Sie die Richtlinie den relevanten Endpoints zu.
2. Erstellen Sie eine Richtlinie vom Typ Geräteschutz, wählen Sie die Ziele, die entschlüsselt
werden sollen und stellen Sie den Verschlüsselungsmodus für Medien auf Keine
Verschlüsselung ein.
3. Legen Sie unter Benutzer & Computer eine Gruppe für die Computer an, die Sie
entschlüsseln möchten: Klicken Sie mit der rechten Maustaste auf den Domänenknoten,
unter dem Sie die Gruppe erstellen möchten. Wählen Sie dann Neu > Neue Gruppe
erzeugen.
4. Wählen Sie den Domänenknoten dieser Gruppe und weisen Sie die
Entschlüsselungsrichtlinie zu, indem Sie die Richtlinie aus der Verfügbare Richtlinien
Liste in die Registerkarte Richtlinien ziehen. Aktivieren Sie die Richtlinie, indem Sie die
Gruppe aus der Liste der Verfügbaren Gruppen in den Bereich Aktivierung ziehen.
Stellen Sie in der Registerkarte Richtlinien des Domänenknotens sicher, dass die Priorität
auf 1 gesetzt und die Einstellung Kein Überschreiben aktiviert ist. Stellen Sie im Bereich
Aktivierung des Domänenknotens sicher, dass nur Mitglieder der Gruppe von dieser
Richtlinie betroffen sind.
5. Wählen Sie im Benutzer & Computer Navigationsbereich die Gruppe, klicken Sie mit der
rechten Maustaste auf die im Aktionsbereich angezeigte Mitglieder Registerkarte und
klicken Sie auf Hinzufügen, um die Computer, die Sie entschlüsseln möchten, zur Gruppe
hinzuzufügen.
6. Führen Sie auf dem Endpoint, der entschlüsselt werden soll, eine Synchronisierung mit
dem SafeGuard Enterprise Server durch. Damit stellen Sie sicher, dass die
Richtlinienaktualisierung auf dem Computer eingegangen und aktiv ist.
81
SafeGuard Enterprise
7. Öffnen Sie den Windows Explorer. Klicken Sie mit der rechten Maustaste auf das Volume,
das entschlüsselt werden soll, und klicken Sie dann auf Verschlüsselung >
Entschlüsselung.
Stellen Sie sicher, dass die Verschlüsselung erfolgreich abgeschlossen werden konnte.
Hinweis: Endpoints können während der Verschlüsselung/Entschlüsselung
heruntergefahren und neu gestartet werden. Wenn auf die Entschlüsselung die
Deinstallation folgt, empfehlen wir, den Endpoint nicht in einen Energiesparmodus oder
den Ruhezustand zu versetzen.
2.15.2 Starten der Deinstallation
Folgende Voraussetzungen müssen erfüllt sein:
Verschlüsselte Daten müssen korrekt entschlüsselt werden, damit nach der Deinstallation
Zugriff auf die Daten besteht. Der Entschlüsselungsvorgang muss abgeschlossen sein.
Die korrekte Entschlüsselung ist besonders wichtig, wenn die Deinstallation von Active
Directory ausgelöst wird.
Darüber hinaus müssen vor der Deinstallation des letzten durch SafeGuard Enterprise
geschützten Endpoint alle verschlüsselten Wechselmedien entschlüsselt werden.
Andernfalls besteht die Gefahr, dass Benutzer nicht mehr auf Ihre Daten zugreifen
können. Solange die SafeGuard Enterprise Datenbank zur Verfügung steht, können
die Daten auf den Wechselmedien wiederhergestellt werden.
Für die Deinstallation der Sophos SafeGuard Festplattenverschlüsselung müssen alle
volume-basierend verschlüsselten Volumes einen Laufwerksbuchstaben haben.
Deinstallieren Sie jeweils immer das komplette Paket mit allen installierten Features.
1. Bearbeiten Sie im SafeGuard Management Center die Richtlinie vom Typ Spezifische
Computereinstellungen. Stellen Sie die Option Deinstallation erlaubt auf Ja ein.
2. Legen Sie unter Benutzer & Computer eine Gruppe für die Computer an, die Sie
entschlüsseln möchten: Klicken Sie mit der rechten Maustaste auf den Domänenknoten,
unter dem Sie die Gruppe erstellen möchten. Wählen Sie dann Neu > Neue Gruppe
erzeugen.
3. Wählen Sie den Domänenknoten dieser Gruppe und weisen Sie die Richtlinien zum
Deinstallieren zu, indem Sie die Richtlinie aus der Verfügbare Richtlinien Liste in die
Registerkarte Richtlinien ziehen. Aktivieren Sie die Richtlinie, indem Sie jetzt die Gruppe
aus der Liste der Verfügbaren Gruppen in den Bereich Aktivierung ziehen. Stellen Sie
in der Registerkarte Richtlinien des Domänenknotens sicher, dass die Priorität auf 1
gesetzt und die Einstellung Kein Überschreiben aktiviert ist. Stellen Sie im Bereich
Aktivierung des Domänenknotens sicher, dass nur Mitglieder der Gruppe von dieser
Richtlinie betroffen sind.
4. Fügen Sie die Endpoints, bei denen die Deinstallation ausgeführt werden soll, zur Gruppe
hinzu.
5. Wenden Sie zum Starten der Deinstallation eine der folgenden Methoden an:
■
■
82
Um eine lokale Deinstallation auf dem Endpoint durchzuführen, synchronisieren Sie
diesen mit dem SafeGuard Enterprise Server. Damit stellen Sie sicher, dass die
Richtlinienaktualisierung auf dem Computer eingegangen und aktiv ist. Wählen Sie
dann Start > Systemsteuerung > Software > Sophos SafeGuard Client > Entfernen.
Verwenden Sie für eine zentrale Deinstallation einen Software-Verteilungsmechanismus
Ihrer Wahl. Stellen Sie sicher, dass alle erforderlichen Daten vor dem Starten der
Deinstallation korrekt entschlüsselt wurden.
Administratorhilfe
2.15.3 Verhindern einer Deinstallation auf den Endpoints
Um den Schutz für Endpoints noch zu verstärken, empfehlen wir, dass Sie die lokale
Deinstallation von SafeGuard Enterprise auf Endpoints verhindern. Setzen Sie das Feld
Deinstallation erlaubt in einer Spezifische Computereinstellungen Richtlinie auf Nein und
übermitteln Sie die Richtlinie an die Endpoints. So werden unautorisierte Versuche, die
Software zu deinstallieren, abgebrochen und protokolliert.
2.15.4 Deinstallation von Native Device Encryption von Mac Endpoints
Wenn Sie die Software von einem Client deinstallieren müssen, gehen Sie wie folgt vor:
1.
2.
3.
4.
Wechseln Sie auf dem Mac Client zu /Library.
Wählen Sie den Ordner /Sophos SafeGuard DE.
Wählen und doppelklicken Sie die Datei Sophos SafeGuard DE Uninstaller.pkg
Ein Assistent führt Sie durch die Deinstallation.
Sobald die letzte .DMG Datei entfernt ist, wird auch die Client-Konfiguration gelöscht.
Hinweis: Es ist nicht notwendig, die Festplatte zu entschlüsseln, bevor Sie die Software
deinstallieren.
Hinweis: Ein Benutzer mit Administrator-Rechten kann nicht daran gehindert werden, die
Software zu deinstallieren. (Eine Richtlinie, die das bei Windows Clients verhindert, hat keine
Auswirkung bei Mac Clients)
Hinweis: Das Uninstaller Package ist signiert und OS X versucht, diese Signatur zu validieren.
Dieser Vorgang kann einige Minuten dauern.
2.15.5 Deinstallation von File Encryption von Mac Endpoints
Wenn Sie die Software von einem Client deinstallieren müssen, gehen Sie wie folgt vor:
1.
2.
3.
4.
5.
Wechseln Sie auf dem Mac Client zu /Library.
Öffnen Sie den Ordner Sophos SafeGuard FS.
Wählen und doppelklicken Sie die Datei Sophos SafeGuard FS Uninstaller.pkg.
Ein Assistent führt Sie durch die Deinstallation.
Starten Sie das System neu, bevor Sie mit Ihrer Arbeit am Mac fortfahren.
Sobald die letzte .DMG Datei entfernt ist, wird auch die Client-Konfiguration gelöscht.
Hinweis: Das Uninstaller Package ist signiert und OS X versucht, diese Signatur zu validieren.
Dieser Vorgang kann einige Minuten dauern.
83
SafeGuard Enterprise
3 SafeGuard Management Center
Das SafeGuard Management Center ist das zentrale Instrument für die Verwaltung von mit
SafeGuard Enterprise verschlüsselten Computern. Mit dem SafeGuard Management Center
können Sie eine unternehmensweite Sicherheitsstrategie implementieren und auf Endpoints
anwenden. Im SafeGuard Management Center können Sie:
■
Organisationsstruktur aufbauen oder importieren.
■
Sicherheitsbeauftragte anlegen.
■
Richtlinien definieren.
■
Konfigurationen exportieren und importieren.
■
Computer mit einer umfassenden Protokollierungsfunktionalität überwachen.
■
Kennwörter und den Zugriff auf verschlüsselte Endpoints wiederherstellen.
Mit dem SafeGuard Management Center wird Multi Tenancy für die Verwaltung von mehreren
Domänen und Datenbanken unterstützt. Sie können verschiedene SafeGuard Enterprise
Datenbanken verwalten und unterschiedliche Konfigurationen verwenden.
Der Zugriff auf das SafeGuard Management Center ist nur privilegierten Benutzern - den
Sicherheitsbeauftragten - erlaubt. Es können mehrere Sicherheitsbeauftragte gleichzeitig mit
den Daten arbeiten. Die verschiedenen Sicherheitsbeauftragten können entsprechend den
ihnen zugewiesenen Rollen und Rechten Tätigkeiten ausführen.
Sie können die SafeGuard Enterprise Richtlinien und Einstellungen an Ihre Anforderungen
anpassen. Nach dem Speichern der neuen Einstellungen in der Datenbank können diese an
die Endpoints übertragen werden, wo sie dann wirksam werden.
Hinweis: Einige Features sind nicht in allen Lizenzen enthalten. Für Informationen dazu,
was in Ihrer Lizenz enthalten ist, wenden Sie sich an Ihren Vertriebspartner.
3.1 Anmeldung am SafeGuard Management Center
Während der Erstkonfiguration von SafeGuard Enterprise wird ein Konto für einen
Haupt-Sicherheitsbeauftragten angelegt. Dieses Konto wird bei der ersten Anmeldung an das
SafeGuard Management Center benötigt. Um das SafeGuard Management Center zu starten,
benötigt der Benutzer das Kennwort für den Zertifikatsspeicher sowie den privaten Schlüssel
des Zertifikats.
Weitere Informationen finden Sie unter Erstellen eines Haupt-Sicherheitsbeauftragten (Master
Security Officer, MSO) (Seite 37).
Die Anmeldung richtet sich danach, ob Sie das SafeGuard Management Center mit einer
Verbindung zu einer Datenbank (Single Tenancy) oder zu mehreren Datenbanken (Multi
Tenancy) einsetzen.
Hinweis: Zwei Sicherheitsbeauftragte dürfen nicht das gleiche Windows-Konto auf einem
Computer benutzen. Andernfalls lassen sich ihre Zugriffsrechte nicht sauber trennen.
84
Administratorhilfe
3.2 SafeGuard Management Center Benutzeroberfläche
Navigationsbereich:
Im Navigationsbereich befinden sich Schaltflächen für alle administrativen Tätigkeiten:
■
Benutzer und Computer
Zum Importieren von Gruppen und Benutzern aus einem Active Directory, aus der Domäne
oder von einem einzelnen Computer.
■
Richtlinien
Zum Erzeugen der Richtlinien.
■
Schlüssel und Zertifikate
Zum Verwalten der Schlüssel und Zertifikate.
■
Token
Zur Verwaltung von Token und Smartcards.
■
Sicherheitsbeauftragte
Zum Anlegen neuer Sicherheitsbeauftragter und Definieren von Aktionen, für deren
Ausführung eine zusätzliche Autorisierung notwendig ist.
■
Berichte
Zum Anlegen und Verwalten von Berichten zu sicherheitsrelevanten Ereignissen.
85
SafeGuard Enterprise
Navigationsfenster
Im Navigationsfenster werden Objekte zur Bearbeitung angezeigt (Active Directory Objekte
wie OUs, Benutzer und Computer; Richtlinien usw.) bzw. können dort erstellt werden. Welche
Objekte angezeigt werden, hängt vom ausgewählten Vorgang ab.
Hinweis: Unter Benutzer & Computer werden die Objekte in der Baumstruktur des
Navigationsfensters in Abhängigkeit von den Zugriffsrechten des Sicherheitsbeauftragten für
Verzeichnisobjekte angezeigt. Die Baumstruktur zeigt nur die Objekte, auf die der angemeldete
Sicherheitsbeauftragte Zugriff hat. Objekte, für die der Zugriff verweigert wird, werden nicht
angezeigt, es sei denn, es sind weiter unten in der Baumstruktur Knoten vorhanden, für die
der Sicherheitsbeauftragte Zugriffsrechte hat. In diesem Fall werden die Objekte, für die der
Zugriff verweigert wird, ausgegraut. Wenn der Sicherheitsbeauftragte das Zugriffsrecht Voller
Zugriff hat, wird das jeweilige Objekt schwarz dargestellt. Objekte mit Zugriffsrecht
Schreibgeschützt, werden blau dargestellt.
Aktionsbereich
Im Aktionsbereich nehmen Sie die Einstellungen für das im Navigationsfenster ausgewählte
Objekt vor. Im Aktionsbereich stehen verschiedene Registerkarten zur Verfügung mit deren
Hilfe die Objekte bearbeitet und die Einstellungen vorgenommen werden können.
Informationen zu den ausgewählten Objekten werden ebenfalls im Aktionsbereich angezeigt.
Dazugehörige Ansichten (Associated Views)
In diesen Ansichten werden zusätzliche Objekte und Informationen angezeigt. Diese geben
einerseits nützliche Informationen bei der Verwaltung des Systems und unterstützen die
einfache Bedienung. Sie können zum Beispiel Objekten Schlüssel per Drag and Drop zuweisen.
Symbolleiste
Hier befinden sich Symbole für die verschiedenen Aktionen im SafeGuard Management
Center. Die Symbole werden eingeblendet, wenn sie für das ausgewählte Objekt zur Verfügung
stehen.
Nach der Anmeldung wird das SafeGuard Management Center immer in der Ansicht gestartet,
in der es geschlossen wurde.
3.3 Sprache der Benutzeroberfläche
Sie können die Sprache der Benutzeroberfläche während der Installation des SafeGuard
Management Center sowie der SafeGuard Enterprise Verschlüsselungssoftware am Endpoint
steuern.
Sprache des SafeGuard Management Center
So stellen Sie die Sprache das SafeGuard Management Center ein:
■
86
Klicken Sie in der SafeGuard Management Center Menüleiste auf Extras > Optionen >
Allgemein. Klicken Sie auf Benutzerdefinierte Sprache verwenden und wählen Sie eine
Administratorhilfe
verfügbare Sprache aus. Die Sprachen Englisch, Deutsch, Französisch und Japanisch
werden unterstützt.
■
Starten Sie das SafeGuard Management Center neu. Er wird in der ausgewählten Sprache
angezeigt.
SafeGuard Enterprise Oberflächensprache auf Endpoints
Die Sprache von SafeGuard Enterprise auf dem Endpoint steuern Sie über den Richtlinientyp
Allgemeine Einstellungen im SafeGuard Management Center (Einstellung, Anpassung >
Sprache am Client):
■
■
Wenn die Sprache des Betriebssystems gewählt wird, richtet sich die Produktsprache
nach der Spracheinstellung des Betriebssystems. Steht die entsprechende
Betriebssystemsprache in SafeGuard Enterprise nicht zur Verfügung, wird standardmäßig
die englische Version von SafeGuard Enterprise angezeigt.
Wenn eine der zur Verfügung stehenden Sprachen gewählt wird, werden die SafeGuard
Enterprise Funktionen auf dem Endpoint in der ausgewählten Sprache angezeigt.
3.4 Prüfen der Datenbankintegrität
Bei der Anmeldung an die Datenbank wird die Datenbankintegrität automatisch geprüft. Sollte
diese Überprüfung Fehler ergeben, wird der Dialog Datenbankintegrität prüfen angezeigt.
Sie können die Datenbankintegrität auch jederzeit nach der Anmeldung prüfen und hierzu
den Dialog Datenbankintegrität prüfen aufrufen:
1. Wählen Sie in der Menüleiste des SafeGuard Management Center Extras >
Datenbankintegrität.
2. Um die Tabellen zu prüfen, klicken Sie auf Alle prüfen oder Ausgewählte prüfen.
Danach werden fehlerhafte Tabellen im Dialog markiert. Um die Fehler zu beheben, klicken
Sie auf Reparieren.
Hinweis: Nach einer Aktualisierung des SafeGuard Enterprise Backend (SQL) wird die
Prüfung der Datenbankintegrität immer gestartet. Die Prüfung muss einmal pro SafeGuard
Enterprise Datenbank durchgeführt werden, um die Aktualisierung abzuschließen.
3.5 Mit Richtlinien arbeiten
Die folgenden Abschnitte beschreiben richtlinienrelevanten Vorgänge, z. B. das Erstellen,
Gruppieren und Sichern von Richtlinien.
Hinweis: Für das Zuweisen, Entfernen oder Bearbeiten von Richtlinien benötigen Sie das
Zugriffsrecht Voller Zugriff für die relevanten Objekte sowie für jede Gruppe, die für die
jeweiligen Richtlinien aktiviert ist.
Eine Beschreibung aller verfügbaren SafeGuard Enterprise-Richtlinieneinstellungen finden
Sie unter Richtlinientypen und ihre Anwendungsfelder (Seite 352).
87
SafeGuard Enterprise
3.5.1 Anlegen von Richtlinien
1. Melden Sie sich mit dem Kennwort, das Sie während der Erstkonfiguration festgelegt
haben, am SafeGuard Management Center an.
2. Klicken Sie im Navigationsbereich auf Richtlinien.
3. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien und wählen
Sie im Kontextmenü den Befehl Neu.
4. Wählen Sie den Richtlinientyp aus.
Es wird ein Dialog für die Benennung der neuen Richtlinie angezeigt.
5. Geben Sie einen Namen und optional eine Beschreibung für die neue Richtlinie ein.
Richtlinien für den Geräteschutz:
Wenn Sie eine Richtlinie dieses Typs erstellen, müssen Sie auch ein Ziel für den
Geräteschutz angeben. Mögliche Ziele sind:
■
Massenspeicher (Boot-Laufwerke/Andere Volumes)
■
Wechselmedien
■
Optische Laufwerke
■
Datenträgermodelle
■
Einzelne Datenträger
■
Cloud Storage
Für jedes Ziel muss eine eigene Richtlinie angelegt werden. Sie können die einzelnen
Richtlinien später z. B. zu einer Richtliniengruppe mit der Bezeichnung Verschlüsselung
zusammenfassen.
6. Klicken Sie auf OK.
Die neu angelegte Richtlinie wird im Navigationsfenster unter Richtlinien angezeigt. Im
Aktionsbereich werden alle Einstellungen für den gewählten Richtlinientyp angezeigt. Die
Einstellungen können dort geändert werden.
3.5.2 Bearbeiten von Richtlinieneinstellungen
Wenn Sie im Navigationsfenster eine Richtlinie auswählen, können Sie deren Einstellungen
im Aktionsbereich bearbeiten.
Hinweis:
Das rote Symbol vor dem Text nicht konfiguriert gibt an, dass für diese Einstellung
ein Wert festgelegt werden muss. Sie können die Richtlinie erst speichern, wenn
Sie eine andere Einstellung als nicht konfiguriert ausgewählt haben.
Setzen von Einstellungen auf Standardwerte
In der Symbolleiste stehen folgende Symbole für Richtlinieneinstellungen zur Verfügung:
88
Administratorhilfe
Symbol
Richtlinieneinstellung
Zeigt Standardwerte für Richtlinieneinstellungen an, die nicht konfiguriert wurden
(Einstellung nicht konfiguriert). Die Standardwerte für Richtlinieneinstellungen
werden standardmäßig angezeigt. Klicken Sie auf das Symbol, um die
Standardwerte auszublenden.
Setzt die markierte Richtlinieneinstellung auf nicht konfiguriert.
Setzt alle Richtlinieneinstellungen eines Bereichs auf nicht konfiguriert.
Setzt den Standardwert für die markierte Richtlinieneinstellung.
Setzt alle Richtlinieneinstellungen eines Bereichs auf den Standardwert.
Unterscheidung zwischen maschinen- und benutzerspezifischen
Richtlinien
Richtlinienfarbe blau
Richtlinie wird nur für Maschinen angewandt, nicht
für Benutzer.
Richtlinienfarbe schwarz
Richtlinie wird für Maschinen und Benutzer
angewandt.
3.5.3 Richtliniengruppen
SafeGuard Enterprise Richtlinien können in Richtliniengruppen zusammengefasst werden.
Eine Richtliniengruppe kann verschiedene Richtlinientypen enthalten. Im SafeGuard
Management Center steht eine Default Richtliniengruppe zur Verfügung, die standardmäßig
unter Benutzer und Computer zu Stamm zugewiesen wird.
Wenn Sie Richtlinien vom selben Typ in einer Gruppe zusammenfassen, werden die
Einstellungen automatisch vereinigt. Sie können dafür eine Auswertungsreihenfolge festlegen.
Die Einstellungen einer höher gereihten Richtlinie überschreiben jene einer niedriger
priorisierten.
Eine definierte Richtlinieneinstellung überschreibt Einstellungen aus anderen Richtlinien,
wenn
■
die Richtlinie mit dieser Einstellung eine höhere Priorität hat.
89
SafeGuard Enterprise
■
die Richtlinieneinstellung noch nicht definiert ist (nicht konfiguriert).
Hinweis: Überlappende Richtlinien, die einer Gruppe zugeordnet sind, können zu einer
falschen Ermittlung der Prioritäten führen. Verwenden Sie separate Richtlinieneinstellungen.
Ausnahme Geräteschutz:
Richtlinien für den Geräteschutz werden nur vereinigt, wenn sie für dasselbe Ziel (z. B.
Boot-Volume) angelegt werden. Weisen sie auf verschiedene Ziele, werden sie addiert.
3.5.3.1 Zusammenfassen von Richtlinien zu Gruppen
Voraussetzung: Die einzelnen Richtlinien der verschiedenen Typen müssen angelegt sein.
1. Klicken Sie im Navigationsbereich auf Richtlinien.
2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien-Gruppen
und wählen Sie Neu.
3. Klicken Sie auf Neue Richtlinien-Gruppe. Es wird ein Dialog für die Benennung der
Richtlinien-Gruppe angezeigt.
4. Geben Sie einen eindeutigen Namen und optional eine Beschreibung für die
Richtlinien-Gruppe ein. Klicken Sie auf OK.
5. Die neu angelegte Richtlinie-Gruppe wird im Navigationsfenster unter Richtlinien-Gruppen
angezeigt.
6. Wählen Sie die Richtlinien-Gruppe aus. Im Aktionsbereich werden alle für das Gruppieren
der Richtlinien notwendigen Elemente angezeigt.
7. Zum Gruppieren der Richtlinien ziehen Sie sie aus der Liste der verfügbaren Richtlinien
in den Richtlinienbereich.
8. Sie können für jede Richtlinie eine Priorität festlegen, indem Sie die Richtlinie über das
Kontextmenü nach oben oder unten reihen.
Wenn Sie Richtlinien vom selben Typ in einer Gruppe zusammenfassen, werden die
Einstellungen automatisch vereinigt. Sie können dafür eine Auswertungsreihenfolge
festlegen. Die Einstellungen einer höher gereihten Richtlinie überschreiben jene einer
niedriger priorisierten. Ist eine Einstellung auf nicht konfiguriert gesetzt, wird die
Einstellung in einer niedriger priorisierten Richtlinie nicht überschrieben.
Ausnahme Geräteschutz:
Richtlinien für den Geräteschutz werden nur vereinigt, wenn sie für dasselbe Ziel (z. B.
Boot-Volume) angelegt werden. Weisen sie auf verschiedene Ziele, werden sie addiert.
9. Speichern Sie die Richtliniengruppe über Datei > Speichern.
Die Richtliniengruppe enthält nun die Einstellungen aller einzelnen Richtlinien.
3.5.3.2 Ergebnis der Gruppierung
Das Ergebnis der Zusammenfassung wird in einer eigenen Ansicht dargestellt.
Klicken Sie zum Anzeigen der Zusammenfassung auf die Registerkarte Ergebnis.
■
Für jeden Richtlinien-Typ steht eine eigene Registerkarte zur Verfügung.
Die aus der Zusammenfassung der einzelnen Richtlinien resultierenden Einstellungen
werden angezeigt.
■
90
Für Richtlinien zum Geräteschutz werden Registerkarten für jedes Ziel der Richtlinie
angezeigt (z. B. Boot-Volumes, Laufwerk X: usw.).
Administratorhilfe
3.5.4 Erstellen von Sicherungskopien von Richtlinien und Richtliniengruppen
Sie können Sicherungskopien von Richtlinien und Richtliniengruppen in Form von XML-Dateien
erstellen. Falls notwendig, lassen sich die betreffenden Richtlinien/Richtliniengruppen daraufhin
aus diesen XML-Dateien wiederherstellen.
1. Wählen Sie die Richtlinie/Richtliniengruppe im Navigationsfenster unter Richtlinien bzw.
Richtlinien-Gruppen aus.
2. Klicken Sie mit der rechten Maustaste und wählen Sie im angezeigten Kontextmenü
Richtlinie sichern.
Hinweis: Der Befehl Richtlinie sichern steht auch im Menü Aktionen zur Verfügung.
3. Geben Sie im Dialog Speichern unter einen Dateinamen für die XML-Datei an und wählen
Sie das Verzeichnis, in dem die Datei gespeichert werden soll. Klicken Sie auf Speichern.
Die Sicherungskopie der Richtlinie/Richtliniengruppe ist im angegebenen Verzeichnis als
XML-Datei abgelegt.
3.5.5 Wiederherstellen von Richtlinien und Richtliniengruppen
So stellen Sie eine Richtlinie/Richtliniengruppe aus einer XML-Datei wieder her:
1. Klicken Sie im Navigationsfenster auf Richtlinien/Richtliniengruppen.
2. Klicken Sie mit der rechten Maustaste und wählen Sie im angezeigten Kontextmenü
Richtlinie wiederherstellen.
Hinweis: Der Befehl Richtlinie wiederherstellen steht auch im Menü Aktionen zur
Verfügung.
3. Wählen Sie die XML-Datei für die Wiederherstellung der Richtlinie/Richtliniengruppe aus
und klicken Sie auf Öffnen.
Die Richtlinie/Richtliniengruppe ist wiederhergestellt.
3.5.6 Zuweisen von Richtlinien
Um Richtlinien zuzuweisen, benötigen Sie das Zugriffsrecht Voller Zugriff für alle beteiligten
Objekte.
1. Klicken Sie auf Benutzer & Computer.
2. Wählen Sie im Navigationsbereich das gewünschte Objekt aus (z. B. Benutzer, Gruppe
oder Container).
3. Wechseln Sie in die Registerkarte Richtlinien.
Im Aktionsbereich werden alle für die Zuweisung der Richtlinie notwendigen Elemente
angezeigt.
4. Zum Zuweisen einer Richtlinie ziehen Sie sie aus der Liste der verfügbaren Richtlinien in
die Registerkarte Richtlinien.
91
SafeGuard Enterprise
5. Sie können für jede Richtlinie eine Priorität festlegen, indem Sie die Richtlinie über das
Kontextmenü nach oben oder unten reihen. Die Einstellungen einer höher gereihten
Richtlinie überschreiben jene einer niedriger priorisierten. Wenn Sie für eine Richtlinie
Kein Überschreiben aktivieren, können die Einstellungen dieser Richtlinie nicht von
anderen überschrieben werden.
Hinweis: Wenn Sie bei einer Richtlinie mit niedrigerer Priorität die Option Kein
Überschreiben aktivieren, so zieht diese Richtlinie, trotz niedrigerer Priorität gegenüber
einer Richtlinie mit einer höheren Priorität.
Um die Einstellungen Priorität oder Kein Überschreiben für Richtlinien im Bereich
Benutzer & Computer zu ändern, benötigen Sie das Zugriffsrecht Voller Zugriff für alle
Objekte, denen die Richtlinien zugewiesen sind. Wenn Sie das Zugriffsrecht Voller Zugriff
nicht für alle Objekte haben, können die Einstellungen nicht bearbeitet werden. Wenn Sie
versuchen, die Felder zu bearbeiten, wird eine Info-Meldung angezeigt.
6. Im Aktivierungsbereich werden die Gruppen .Authentisierte Benutzer - bzw. Computer
angezeigt.
Die Richtlinie gilt für alle Gruppen innerhalb der OU bzw. Domäne.
3.5.6.1 Aktivieren von Richtlinien für einzelne Gruppen
Richtlinien werden immer einer OU bzw. einer Domäne oder Arbeitsgruppe zugewiesen. Sie
gelten standardmäßig für alle Gruppen in diesen Container-Objekten (die Gruppen
.Authentisierte Benutzer und .Authentisierte Computer werden im Aktivierungsbereich
angezeigt).
Sie können aber auch Richtlinien festlegen und sie für eine einzelne oder mehrere Gruppen
aktivieren. Diese Richtlinien gelten dann ausschließlich für diese Gruppen.
Hinweis: Um Richtlinien für einzelne Gruppen zu aktivieren, benötigen Sie das Zugriffsrecht
Voller Zugriff für die relevante Gruppe.
1. Weisen Sie die Richtlinie der OU, in der sich die Gruppe befindet, zu.
2. Im Aktivierungsbereich werden die Gruppen .Authentisierte Benutzer und .Authentisierte
Computer angezeigt.
3. Ziehen Sie diese beiden Gruppen aus dem Aktivierungsbereich in die Liste der Verfügbaren
Gruppen. Die Richtlinie ist in dieser Konstellation für keinen Benutzer und keinen Computer
wirksam.
4. Ziehen Sie jetzt die gewünschte Gruppe (oder auch mehrere Gruppen) aus der Liste der
Verfügbaren Gruppen in den Aktivierungsbereich.
Diese Richtlinie gilt jetzt ausschließlich für diese Gruppe.
Wurden der übergeordneten OU ebenfalls Richtlinien zugeordnet, gilt diese Richtlinie für
diese Gruppe zusätzlich zu jenen, die für die gesamte OU festgelegt wurden.
3.5.7 Verwalten von Richtlinien unter Benutzer & Computer
Neben dem Bereich Richtlinien im SafeGuard Management Center können Sie den Inhalt
einer Richtlinie auch dort einsehen und ändern, wo die Richtlinienzuweisung erfolgt: unter
Benutzer & Computer.
1. Klicken Sie auf Benutzer & Computer.
2. Wählen Sie im Navigationsbereich das gewünschte Containerobjekt.
3. Sie können Richtlinien von zwei Orten aus öffnen, um sie einzusehen oder zu ändern.
■
92
Wechseln Sie in die Registerkarte Richtlinien, oder
Administratorhilfe
■
wechseln Sie in die Registerkarte RSOP.
4. Klicken Sie mit der rechten Maustaste auf die gewünschte zugewiesene oder verfügbare
Richtlinie und wählen Sie Öffnen aus dem Kontextmenü.
Der Richtliniendialog wird angezeigt und Sie können die Richtlinieneinstellungen einsehen
und bearbeiten.
5. Klicken Sie auf OK, um Ihre Änderungen zu speichern.
6. Um die Richtlinieneigenschaften aufzurufen, klicken Sie mit der rechten Maustaste auf die
gewünschte Richtlinie und wählen Sie Eigenschaften aus dem Kontextmenü.
Der Eigenschaften Dialog für die Richtlinie wird angezeigt. Hier können Sie unter
Allgemein und Zuweisung die entsprechenden Informationen einsehen.
3.6 Mit Konfigurationspaketen arbeiten
Im SafeGuard Management Center lassen sich Konfigurationspakete der folgenden Typen
erstellen:
■
Konfigurationspaket für zentral verwaltete Endpoints
Endpoints, die eine Verbindung zum SafeGuard Enterprise Server haben, erhalten Ihre
Richtlinien über den Server. Für den erfolgreichen Einsatz der SafeGuard Enterprise Client
Software nach der Installation müssen Sie zunächst ein Konfigurationspaket für zentral
verwaltete Computer erzeugen und es auf den Computern installieren.
Nach der ersten Konfiguration der Endpoints über das Konfigurationspaket erhalten die
Endpoints Richtlinien über den SafeGuard Enterprise Server, wenn Sie diese im Bereich
Benutzer & Computer des SafeGuard Management Center zugewiesen haben.
■
Konfigurationspaket für Standalone-Endpoints
Standalone-Endpoints haben niemals eine Verbindung zum SafeGuard Enterprise Server,
sie laufen im Standalone-Modus. Die Computer erhalten ihre Richtlinien über
Konfigurationspakete. Für den erfolgreichen Einsatz der Software müssen Sie ein
Konfigurationspaket mit den relevanten Richtliniengruppen erstellen und es über
unternehmenseigene Verteilungsmechanismen an die Endpoints verteilen. Wenn Sie
Richtlinieneinstellungen ändern, müssen Sie jeweils neue Konfigurationspakete erstellen
und an die Endpoints verteilen.
Hinweis: Konfigurationspakete für Standalone-Endpoints können nur auf Windows
Endpoints verwendet werden.
■
Konfigurationspaket für den SafeGuard Enterprise Server
Für den erfolgreichen Einsatz der Software müssen Sie ein Konfigurationspaket für den
SafeGuard Enterprise Server erstellen, das die Datenbank sowie die SSL-Verbindung
definiert, Scripting API aktiviert, usw.
■
Konfigurationspaket für Macs
Über dieses Konfigurationspaket erhalten Macs die Server-Adresse und das
Unternehmenszertifikat. Die Macs übermitteln ihre Statusinformationen, die dann im
SafeGuard Management Center angezeigt werden. Informationen zum Erstellen von
Konfigurationspaketen für Macs finden Sie unter Erstellen von Konfigurationspaketen für
Macs (Seite 97).
93
SafeGuard Enterprise
Hinweis: Überprüfen Sie Ihr Netzwerk und Ihre Computer in regelmäßigen Abständen auf
veraltete oder nicht benutzte Konfigurationspakete und löschen Sie diese aus
Sicherheitsgründen. Deinstallieren Sie vor der Installation eines neuen Konfigurationspakets
auf dem Computer/Server jeweils die veralteten Konfigurationspakete.
3.6.1 Erzeugen eines Konfigurationspakets für zentral verwaltete Endpoints
Voraussetzungen
Prüfen Sie im Benutzer & Computer Navigationsbereich in der Registerkarte Bestand,
ob für die Endpoints, die das neue Konfigurationspaket erhalten sollen, ein Wechsel des
Unternehmenszertifikats erforderlich ist.Wenn das Feld Aktuelles Unternehmenszertifikat
nicht aktiviert ist, unterscheiden sich das derzeit aktive Unternehmenszertifikat in der
SafeGuard Enterprise Datenbank und auf dem Computer voneinander. Daher ist ein
Wechsel des Unternehmenszertifikats erforderlich.
1.
2.
3.
4.
5.
Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
Wählen Sie Pakete für Managed Clients.
Klicken Sie auf Konfigurationspaket hinzufügen.
Geben Sie einen beliebigen Namen für das Konfigurationspaket ein.
Ordnen Sie einen primären SafeGuard Enterprise Server zu (der sekundäre Server ist
nicht notwendig).
6. Falls erforderlich, geben Sie eine Richtliniengruppe an, die auf die Endpoints angewendet
werden soll. Diese müssen Sie zuvor im SafeGuard Management Center erstellt haben.
Wenn Sie für Aufgaben nach der Installation auf dem Endpoint Service Accounts verwenden
möchten, stellen Sie sicher, dass die entsprechende Richtlinieneinstellung in dieser ersten
Richtliniengruppe definiert ist (siehe Service Account-Listen für die Windows-Anmeldung
(Seite 191)).
7. Wenn sich das derzeit aktive Unternehmenszertifikat in der SafeGuard Enterprise
Datenbank von dem auf den Endpoints, die das neue Konfigurationspaket erhalten sollen,
unterscheidet, wählen Sie die relevante CCO (Company Certificate Change Order). Ist
das Feld Aktuelles Unternehmenszertifikat in der Registerkarte Bestand der relevanten
Domäne, der OU oder des Computers unter Benutzer & Computer nicht aktiviert, so ist
ein Wechsel des Unternehmenszertifikats erforderlich. Informationen zur erforderlichen
CCO (Company Certificate Change Order) finden Sie in der Registerkarte CCOs der
Funktion Konfigurationspakete im Menü Extras.
Hinweis: Die Installation des neuen Konfigurationspakets schlägt fehl, wenn die derzeit
aktiven Unternehmenszertifikate in der SafeGuard Enterprise Datenbank und auf dem
Endpoint nicht übereinstimmen und keine passende CCO im Paket enthalten ist.
8. Wählen Sie den Modus für die Transportverschlüsselung, der bestimmt, wie die
Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server
verschlüsselt wird: Sophos-Verschlüsselung oder SSL-Verschlüsselung.
Der Vorteil bei SSL ist, dass es ein Standardprotokoll ist und eine schnellere Verbindung
aufgebaut werden kann als mit der SafeGuard Transportverschlüsselung.
SSL-Verschlüsselung wird standardmäßig ausgewählt. Weitere Informationen zur
Absicherung von Transportverbindungen mit SSL finden Sie in der SafeGuard Enterprise
Installationsanleitung.
9. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an.
94
Administratorhilfe
10. Klicken Sie auf Konfigurationspaket erstellen.
Wenn Sie als Modus für die Transportverschlüsselung die SSL-Verschlüsselung
ausgewählt haben, wird die Serververbindung validiert. Wenn die Verbindung fehlschlägt,
wird eine Warnmeldung angezeigt.
Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Im nächsten
Schritt verteilen Sie das Paket zur Installation an die Endpoints.
3.6.2 Erzeugen eines Konfigurationspakets für Standalone-Endpoints
1.
2.
3.
4.
5.
Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
Wählen Sie Pakete für Standalone Clients.
Klicken Sie auf Konfigurationspaket hinzufügen.
Geben Sie einen beliebigen Namen für das Konfigurationspaket ein.
Geben Sie eine zuvor im SafeGuard Management Center erstellte Richtliniengruppe an,
die für die Endpoints gelten soll.
6. Unter POA Gruppe können Sie eine POA-Gruppe auswählen, die dem Endpoint zugeordnet
wird. POA-Benutzer können für administrative Aufgaben auf den Endpoint zugreifen,
nachdem die SafeGuard Power-on Authentication aktiviert wurde. Um POA-Benutzer
zuzuweisen, müssen Sie die POA-Gruppe zunächst im Bereich Benutzer & Computer
des SafeGuard Management Center anlegen.
7. Wenn sich das derzeit aktive Unternehmenszertifikat in der SafeGuard Enterprise
Datenbank von dem auf den Endpoints, die das neue Konfigurationspaket erhalten sollen,
unterscheidet, wählen Sie die relevante CCO (Company Certificate Change Order).
Hinweis: Die Installation des neuen Konfigurationspakets schlägt fehl, wenn die derzeit
aktiven Unternehmenszertifikate in der SafeGuard Enterprise Datenbank und auf dem
Endpoint nicht übereinstimmen und keine passende CCO im Paket enthalten ist.
8. Geben Sie unter Speicherort für Schlüssel-Sicherungskopie einen freigegebenen
Netzwerkpfad für das Speichern der Schlüssel-Recovery-Datei an oder wählen Sie einen
Netzwerkpfad aus. Geben Sie den freigegebenen Pfad in folgender Form ein: \\network
computer\, zum Beispiel \\mycompany.edu\. Wenn Sie hier keinen Pfad angeben,
wird der Benutzer beim ersten Anmelden am Endpoint nach der Installation gefragt, wo
die Schlüsseldatei gespeichert werden soll.
Die Schlüssel-Recovery-Datei (XML) wird für die Durchführung von Recovery-Vorgängen
bei durch Sophos SafeGuard geschützten Endpoints benötigt. Sie wird auf allen durch
Sophos SafeGuard geschützten Endpoints erzeugt.
Hinweis: Stellen Sie sicher, dass diese Schlüssel-Recovery-Datei an einem Speicherort
abgelegt wird, auf den die Mitarbeiter des Helpdesk Zugriff haben. Die Dateien können
dem Helpdesk auch durch andere Mechanismen zugänglich gemacht werden. Die Datei
ist mit dem Unternehmenszertifikat verschlüsselt. Sie kann also auch auf externen Medien
oder auf dem Netzwerk gespeichert werden, um sie dem Helpdesk für Recovery-Vorgänge
zur Verfügung zu stellen. Sie kann auch per E-Mail verschickt werden.
9. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an.
10. Klicken Sie auf Konfigurationspaket erstellen.
Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Im nächsten
Schritt verteilen Sie das Paket zur Installation an die Endpoints.
95
SafeGuard Enterprise
3.6.3 Erzeugen eines Konfigurationspakets für Macs
Ein Konfigurationspaket für einen Mac enthält die relevanten Serverinformationen sowie das
Unternehmenszertifikat. Der Mac benutzt diese Informationen zum Zurückmelden von
Statusinformationen (SafeGuard POA an/aus, Verschlüsselungsstatus usw.). Die
Statusinformationen werden im SafeGuard Management Center angezeigt.
1.
2.
3.
4.
5.
Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
Wählen Sie Pakete für Managed Clients.
Klicken Sie auf Konfigurationspaket hinzufügen.
Geben Sie einen beliebigen Namen für das Konfigurationspaket ein.
Ordnen Sie einen primären SafeGuard Enterprise Server zu (der sekundäre Server ist
nicht notwendig).
6. Wählen Sie SSL als Transportverschlüsselung für die Verbindung zwischen dem Endpoint
und dem SafeGuard Enterprise Server. Für Macs wird Sophos als
Transportverschlüsselung nicht unterstützt.
7. Geben Sie einen Ausgabepfad für das Konfigurationspaket (ZIP) an.
8. Klicken Sie auf Konfigurationspaket erstellen.
Die Server-Verbindung für den SSL Transportverschlüsselung Modus wird validiert.
Wenn die Verbindung fehlschlägt, wird eine Warnungsmeldung angezeigt.
Das Konfigurationspaket (ZIP) wird nun im angegebenen Verzeichnis angelegt. Im nächsten
Schritt verteilen Sie das Paket zur Installation an Ihre Macs.
96
Administratorhilfe
4 Mac Endpoints verwalten
Macs, auf denen die folgenden Sophos Produkte installiert sind, können von SafeGuard
Enterprise verwaltet werden und/oder Statusinformationen melden. Die Statusinformationen
werden im SafeGuard Management Center angezeigt:
Sophos SafeGuard File Encryption für Mac 6.1 und höher
Sophos SafeGuard Disk Encryption für Mac 6.1/Sophos SafeGuard Native Device
Encryption 7.0
Sophos SafeGuard Disk Encryption for Mac 6 - nur Berichte
4.1 Erzeugen eines Konfigurationspakets für Macs
Ein Konfigurationspaket für einen Mac enthält die relevanten Serverinformationen sowie das
Unternehmenszertifikat. Der Mac benutzt diese Informationen zum Zurückmelden von
Statusinformationen (SafeGuard POA an/aus, Verschlüsselungsstatus usw.). Die
Statusinformationen werden im SafeGuard Management Center angezeigt.
1.
2.
3.
4.
5.
Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
Wählen Sie Pakete für Managed Clients.
Klicken Sie auf Konfigurationspaket hinzufügen.
Geben Sie einen beliebigen Namen für das Konfigurationspaket ein.
Ordnen Sie einen primären SafeGuard Enterprise Server zu (der sekundäre Server ist
nicht notwendig).
6. Wählen Sie SSL als Transportverschlüsselung für die Verbindung zwischen dem Endpoint
und dem SafeGuard Enterprise Server. Für Macs wird Sophos als
Transportverschlüsselung nicht unterstützt.
7. Geben Sie einen Ausgabepfad für das Konfigurationspaket (ZIP) an.
8. Klicken Sie auf Konfigurationspaket erstellen.
Die Server-Verbindung für den SSL Transportverschlüsselung Modus wird validiert.
Wenn die Verbindung fehlschlägt, wird eine Warnungsmeldung angezeigt.
Das Konfigurationspaket (ZIP) wird nun im angegebenen Verzeichnis angelegt. Sie müssen
das Paket auf Ihren Macs verteilen und installieren.
4.2 Über SafeGuard Native Device Encryption für Mac
Sophos SafeGuard Native Device Encryption für Mac bietet Mac Benutzern denselben Schutz
ihrer Daten wie das die Funktionalität zur Festplattenverschlüsselung in SafeGuard Enterprise
für Windows Benutzer tut.
SafeGuard Native Device Encryption für Mac baut auf der in Mac OS X eingebauten
Verschlüsselungstechnologie FileVault 2 auf. Es verwendet FileVault 2 zur Verschlüsselung
der gesamten Festplatte, so dass Ihre Daten sogar dann sicher sind, wenn der Computer
verloren oder gestohlen wird. Darüber hinaus ermöglicht es Ihnen, Festplattenverschlüsselung
in Ihrem gesamten Netzwerk zur Verfügung zu stellen und zu verwalten.
97
SafeGuard Enterprise
Die Verschlüsselung arbeitet transparent. Der Benutzer wird beim Öffnen, Bearbeiten und
Speichern von Dateien nicht zur Verschlüsselung oder Entschlüsselung aufgefordert.
Im Management Center von SafeGuard Enterprise können Sie angeben, welche Computer
(Windows oder Mac) zu verschlüsseln sind, können deren Verschlüsselungsstatus überprüfen
und Benutzern behilflich sein, die ihr Passwort vergessen haben.
4.2.1 Konfiguration
Sophos SafeGuard Native Device Encryption für Mac OS X wird über das SafeGuard
Management Center verwaltet. Das folgende Kapitel beschreibt ausschließlich die
Mac-spezifischen Konfigurationseinstellungen.
SafeGuard Native Device Encryption für Mac wendet nur Richtlinien vom Typ Geräteschutz
und Allgemeine Einstellungen an und ignoriert alle Richtlinieneinstellungen außer Ziel,
Verschlüsselungsmodus für Medien und Server-Verbindungsintervall (Min).
4.2.1.1 Zentral verwaltete Konfigurationsoptionen
Richtlinien werden im SafeGuard Management Center zentral verwaltet. Um die
Festplattenverschlüsselung zu starten, müssen folgende Einstellungen vorgenommen werden:
1. Erzeugen Sie eine neue Richtlinie vom Typ Geräteschutz. Als Ziel des Geräteschutzes
wählen Sie Lokale Datenträger, Interner Speicher oder Boot-Laufwerke. Geben Sie
einen Namen für die Richtlinie ein und klicken Sie auf OK.
2. Wählen Sie für die Option Verschlüsselungsmodus für Medien die Einstellung
Volume-basierend.
Eine neue Richtlinie für Geräteschutz wurde erstellt und für Festplattenverschlüsselung für
Macs konfiguriert.
Hinweis: Stellen Sie sicher, dass die Richtlinie den Endpoints zugewiesen ist, die Sie
verschlüsseln möchten. Sie können die Richtlinie der obersten Ebene Ihrer Domäne oder
Arbeitsgruppe zuweisen. Wenn sich IT-Mitarbeiter um die Installation der Endpoints kümmern,
weisen Sie die Richtlinie erst zu, nachdem die Endpoints den Endbenutzern übergeben
wurden. Sonst besteht die Gefahr, dass die Endpoints zu bald verschlüsselt und IT-Mitarbeiter
anstatt der eigentlichen Benutzer für FileVault 2 aktiviert werden.
4.2.2 Wie funktioniert Verschlüsselung?
FileVault 2 schützt alle Daten mit XTS-AES-128 Datenverschlüsselung auf Laufwerksebene.
Der Algorithmus wurde für 512-Byte Blöcke optimiert. Die Konvertierung von Klartext zu
Chiffretext und umgekehrt hat kaum Auswirkungen auf das Benutzererlebnis, weil ihr vom
System eine entsprechend niedrige Priorität zugewiesen wird.
Arbeitete man früher mit einer Festplattenverschlüsselung, war es notwendig, sich nach dem
Start des Computers zweimal zu identifizieren: Einmal, um das verschlüsselte Startvolume
zu entsperren (POA), und ein zweites Mal, um sich am Schreibtisch anzumelden.
Das ist jedoch nicht mehr notwendig. Benutzer geben ihr Kennwort bei der Pre-Boot Anmeldung
ein und es wird automatisch auch an das Betriebssystem weitergegeben, sobald dieses
hochgefahren ist und Anmeldeinformationen benötigt. Durch die Kennwort-Weiterleitung ist
es nicht notwendig, dass sich Benutzer nach einem Neustart zweimal anmelden müssen.
Benutzer können ihr Kennwort jederzeit zurücksetzen, ohne dass deshalb eine neuerliche
Verschlüsselung notwendig wäre. Der Grund ist ein mehrstufiges
Verschlüsselungsschlüssel-System. Die Schlüssel, die dem Benutzer angezeigt werden (z.
B. Kennwörter für die Anmeldung oder Recovery-Schlüssel) sind abgeleitete
98
Administratorhilfe
Verschlüsselungsschlüssel und können daher ersetzt werden. Der wirkliche
Laufwerksverschlüsselungsschlüssel wird niemals einem Benutzer offengelegt.
Weiter Informationen zu FileVault 2 finden Sie in: Apple Technical White Paper - Best Practices
for Deploying FileVault 2 (Aug. 2012). Es kann von der Apple Website heruntergeladen werden.
4.2.3 Initialverschlüsselung
Wenn Sie per Richtlinie eine volume-basierende Verschlüsselung des Systemlaufwerks
definieren, startet die Festplattenverschlüsselung automatisch sobald der Benutzer den
Endpoint neu startet. Der Benutzer muss wie folgt vorgehen:
1. Geben Sie das Mac OS X Anmeldekennwort ein.
2. Warten Sie bis Ihr Mac neu startet.
Hinweis: Wenn die Aktivierung der Verschlüsselung fehlschlägt, wird eine Fehlermeldung
angezeigt. Nähere Informationen finden Sie in den Logdateien. Der Standardspeicherort
ist /var/log/system.log.
3. Die Festplattenverschlüsselung startet und wird im Hintergrund ausgeführt. Der Benutzer
kann seine Arbeit fortsetzen.
Der Benutzer wird als der erste FileVault 2 Benutzer des Endpoints hinzugefügt.
4.2.4 Entschlüsselung
Normalerweise ist keine Entschlüsselung notwendig. Wenn der Sicherheitsbeauftragte eine
Richtlinie setzt, die Keine Verschlüsselung für Ihren bereits verschlüsselten Mac vorsieht,
bleibt der Mac verschlüsselt. In diesem Fall können Benutzer allerdings auch entschlüsseln.
Die entsprechende Schaltfläche befindet sich auf der Registerkarte Disk Encryption im
Einstellungsbereich.
Benutzer mit lokalen Administrator-Rechten können nicht daran gehindert werden, mithilfe
der eingebauten FileVault 2 Funktionalität manuell zu versuchen, ihre Festplatte zu
entschlüsseln. Jedoch werden sie zu einem Neustart aufgefordert, um die Entschlüsselung
fertigzustellen. Sobald der Mac den Neustart abgeschlossen hat, wird SafeGuard native
Device Encryption für Mac erneut die Verschlüsselung erzwingen, sofern eine entsprechende
Richtlinie gesetzt ist.
4.2.5 FileVault 2 Benutzer hinzufügen
Nur Benutzer, die auf einem Endpoint für FileVault 2 registriert sind, können sich nach einem
Neustart am System anmelden. Um einen Benutzer zu FileVault 2 hinzuzufügen, gehen Sie
folgendermaßen vor:
1. Melden Sie sich mit dem Benutzer an, den Sie für FileVault 2 aktivieren wollen, während
der Mac eingeschaltet bleibt.
2. Geben Sie im Dialog Aktivieren Sie Ihren Benutzeraccount den Benutzernamen und
das OS X Anmeldekennwort dieses Benutzers ein.
Benutzer können sich so einfach anmelden als würde keine Festplattenverschlüsselung
verwendet.
Hinweis: Sie können Benutzer nicht im Management Center Endpoints zuweisen, um ihnen
die Verwendung von FileVault 2 zu erlauben.
99
SafeGuard Enterprise
4.2.6 FileVault 2 Benutzer löschen
Ein Benutzer kann im SafeGuard Management Center von der Liste der Benutzer, die einem
Mac zugeordnet sind, gelöscht werden. Nach dem nächsten Synchronisieren wird der Benutzer
auch am Endpoint von der Liste der FileVault 2 Benutzer gelöscht. Das bedeutet allerdings
nicht, dass sich dieser Benutzer an diesem Mac nicht mehr anmelden kann. Um wieder für
FileVault 2 aktiviert zu werden ist es ist lediglich notwendig, sich einmal anzumelden während
der Mac läuft.
Wenn Sie verhindern wollen, dass ein bestimmter Benutzer einen Mac startet, dann markieren
Sie ihn im Management Center als gesperrt. Dann wird er von der Liste der FileVault 2 Benutzer
am Client gelöscht und es ist keine neuerliche Autorisierung möglich.
Alle FileVault 2 Benutzer können gelöscht werden bis auf den letzten. Wird der Besitzer
gelöscht, wird der nächste Benutzer in der Liste als Besitzer markiert. In SafeGuard Native
Device Encryption für Mac macht es keinen Unterschied, ob ein Benutzer Besitzer ist oder
nicht.
4.2.7 Synchronisierung mit dem Backend
Während der Synchronisierung wird der Status der Clients an das SafeGuard Enterprise
Backend gemeldet, Richtlinien werden aktualisiert und die Benutzer-Computer Zuordnung
wird geprüft.
Die folgenden Informationen werden von den Clients gesendet und im SafeGuard Management
Center angezeigt:
■
Sobald ein Endpoint verschlüsselt ist, ist "POA" selektiert. Weitere Informationen, die
angezeigt werden, umfassen Laufwerksname, Label, Typ, Status, Algorithmus und
Betriebssystem.
■
Neue FileVault 2 Benutzer werden auch im Management Center angezeigt.
Hinweis: Falls die SafeGuard Enterprise Client Software von einem Endpoint entfernt wird,
sind der Endpoint und seine Benutzer im SafeGuard Management Center immer noch sichtbar.
Aber der Zeitstempel des letzten Serverkontakts ändert sich nicht mehr.
Auf Client-Seite wird Folgendes aktualisiert:
■
Richtlinien, die im Management Center geändert wurden, werden am Client nachgezogen.
■
Benutzer, die im Management Center gelöscht oder gesperrt wurden, werden auch von
der Liste der FileVault 2 Benutzer des Clients gelöscht.
4.2.8 Kommandozeilen-Optionen
Terminal erlaubt Ihnen, Kommandos und Kommandozeilen-Optionen einzugeben. Folgende
Kommandozeilen-Optionen stehen zur Verfügung:
Kommando-Name
sgdeadmin
100
Definition
Listet die verfügbaren
Kommandos zusammen mit einer
Kurzhilfe auf.
Zusätzliche Parameter (optional)
--help
Administratorhilfe
Kommando-Name
sgdeadmin --version
sgdeadmin --status
sgdeadmin
--list-user-details
sgdeadmin
--list-policies
sgdeadmin --synchronize
sgdeadmin
--import-recoverykey
["recoverykey"]
Definition
Zusätzliche Parameter (optional)
Zeigt Version und Copyright des
installierten Produkts an.
Zeigt Systemstatusinformationen
wie Versions-, Server- und
Zertifikatsinformation an.
Zeigt Informationen zum
momentan angemeldeten
Benutzer an.
--all zeigt Information für alle
Benutzer an (sudo erforderlich).
Zeigt Richtlinien-spezifische
Informationen an.
Schlüssel-GUIDS werden wenn
möglich in Schlüsselnamen
aufgelöst. Fett ausgezeichnete
Elemente zeigen einen
persönlichen Schlüssel an.
--all zeigt Information für alle
Benutzer an (sudo erforderlich).
--xml zeigt Ausgabe im
xml-Format an.
--xml zeigt Ausgabe im
xml-Format an.
Erzwingt den sofortigen Kontakt
mit dem Server (erfordert eine
funktionierende
Serververbindung).
Importiert den FileVault 2
Recovery-Schlüssel, überschreibt
den bestehenden
Recovery-Schlüssel.
--force Der bestehende
Recovery-Schlüssel wird ohne
nochmalige Bestätigung
überschrieben.
"recoverykey" Wenn der
Recovery-Schlüssel nicht sofort
eingegeben wird, wird der
Benutzer danach gefragt.
sgdeadmin
--import-config
"/Pfad/zur/Zieldatei"
Importiert die angegebene
Konfigurations-Zipdatei Das
Kommando braucht
Administrator-Rechte (sudo).
Hinweis:
Ziehen Sie komplette Pfade mit
der Maus z.B. aus dem Finder in
die Terminal-Anwendung.
sgdeadmin
--enable-server-verify
Schaltet die
SSL-Serververifizierung für die
Kommunikation mit dem
101
SafeGuard Enterprise
Kommando-Name
Definition
Zusätzliche Parameter (optional)
SafeGuard Enterprise-Server ein.
Nach der Installation ist die
SSL-Serververifizierung
standardmäßig aktiviert. Das
Kommando braucht
Administrator-Rechte (sudo).
sgdeadmin
Schaltet die
--disable-server-verify SSL-Serververifizierung für die
Kommunikation mit dem
SafeGuard Enterprise-Server aus.
Das Kommando braucht
Administrator-Rechte (sudo).
Hinweis:
Wir empfehlen nicht, diese Option
zu verwenden, da dadurch eine
Sicherheits-Schwachstelle
entstehen kann.
sgdeadmin
--update-machine-info
[--domain "domain"]
Aktualisiert die aktuell
gespeicherten
Computerinformationen, die
verwendet werden, um diesen
Client auf dem SafeGuard
Enterprise Server zu registrieren.
Das Kommando braucht
Administrator-Rechte (sudo).
Hinweis:
Verwenden Sie diesen Befehl erst
nach dem Ändern der Domain
oder Arbeitsgruppe, zu welcher
der Computer gehört. Gehört der
Computer zu mehreren Domains
oder Arbeitsgruppen und führen
Sie diesen Befehl aus, kann dies
zu einer Änderung der
Domain-Registrierung und
Entfernung von persönlichen
Schlüsseln und/oder FileVault 2
Benutzern führen.
sgdeadmin
--enable-systemmenu
Aktiviert das System-Menü am
Endpoint.
sgdeadmin
--disable-systemmenu
Deaktiviert das System-Menü am
Endpoint.
sgdeadmin --synchronize Startet die Synchronisierung von
Datenbankinformation aus dem
Management Center, wie z.B. von
Richtlinien und Schlüsseln.
102
--domain "domain"
Die Domain, die der Client für die
Registrierung auf dem SafeGuard
Enterprise Server verwenden
sollte. Dieser Parameter ist nur
erforderlich, wenn der Rechner zu
mehreren Domains gehört. Der
Computer muss dieser Domain
hinzugefügt werden, ansonsten
schlägt der Befehl fehl.
Administratorhilfe
4.3 Über SafeGuard File Encryption für Mac
Sophos SafeGuard File Encryption für Mac erweitert den Schutz der Daten, der von Sophos
SafeGuard Enterprise geboten wird, von Windows auch in die Mac-Welt. Ermöglicht wird eine
dateibasierte Verschlüsselung auf lokalen Laufwerken, auf Netzlaufwerken, auf
Wechsellaufwerken und in der Cloud.
Mit SafeGuard File Encryption für Mac können Sie Dateien sicher ver- und entschlüsseln und
diese Dateien mit anderen Benutzern zwischen Mac-Rechnern und PCs austauschen.
Um Dateien zu lesen, die mit SafeGuard Enterprise auf mobilen Geräten verschlüsselt wurden,
verwenden Sie Sophos Secure Workspace für iOS oder Android.
Im SafeGuard Management Center definieren Sie die Regeln für die dateibasierte
Verschlüsselung in File Encryption-Richtlinien. In den File Encryption-Richtlinien geben Sie
die Zielordner für File Encryption, den Verschlüsselungsmodus und den Schlüssel für die
Verschlüsselung an. Diese Zentralverwaltung stellt sicher, dass identische Ordner und
Verschlüsselungsschlüssel auf unterschiedlichen Plattformen verarbeitet werden.
4.3.1 Empfehlungen
Verringern Sie den Administrationsaufwand
Minimieren Sie die Anzahl der Mount Points (bzw. sicheren Ordner).
Deaktivieren Sie die Option Bestätigung vor Erstellen mobiler Accounts einholen.
Wenn Sie mobile Accounts auf Mac-Rechnern erstellen oder verwenden, stellen Sie sicher,
dass die Option Bestätigung vor Erstellen mobiler Accounts einholen deaktiviert ist.
Ist die Option aktiviert, könnte der Benutzer Nicht erstellen auswählen. Dies würde dazu
führen, dass ein unvollständiger OS X Benutzer angelegt wird, z. B. ein Benutzer, der kein
lokales Basisverzeichnis hat.
Zum Deaktivieren der Option sind folgende Schritte erforderlich:
1.
2.
3.
4.
5.
6.
7.
8.
Öffnen Sie die Systemeinstellungen und klicken Sie auf Benutzer & Gruppen.
Klicken Sie auf das Schloss-Symbol und geben Sie dann Ihr Kennwort ein.
Wählen Sie den Benutzer.
Klicken Sie auf Anmeldeoptionen.
Wählen Sie Netzwerkaccount-Server und klicken Sie auf Bearbeiten...
Wählen Sie die Active Directory-Domäne.
Klicken Sie auf Verzeichnisdienste öffnen...
Klicken Sie auf das Schloss-Symbol, geben Sie dann Ihr Kennwort ein und klicken Sie
Konfiguration ändern.
9. Wählen Sie Active Directory und klicken Sie auf das Bearbeiten-Symbol.
10. Klicken Sie auf den Pfeil neben Erweiterte Optionen einblenden.
11. Wählen Sie Mobilen Account bei Anmeldung erstellen und deaktivieren Sie die
Option Bestätigung vor Erstellen mobiler Accounts einholen.
12. Bestätigen Sie Ihre Auswahl mit OK.
4.3.2 Einschränkungen
Maximale Anzahl an sicheren Ordnern (Aktivierungspunkte bzw. Mount Points) auf
einem Client
103
SafeGuard Enterprise
Auf jedem Mac OS X Client kann es maximal 24 sichere Ordner (Aktivierungspunkte bzw.
Mount Points) geben. Sind mehrere Benutzer auf einem Rechner angemeldet, müssen
Sie die Mount Points aller angemeldeten Benutzer addieren.
Ausgeschlossene Ordner
Die folgenden Ordner werden von der Verschlüsselung ausgenommen:
Ordner werden ausgenommen, aber nicht ihre Unterordner:
<Root>/
<Root>/Volumes/
<User Profile>/
Ordner sowie ihre Unterordner werden ausgenommen:
<Root>/bin/
<Root>/sbin/
<Root>/usr/
<Root>/private/
<Root>/dev/
<Root>/Applications/
<Root>/System/
<Root>/Library/
<User Profile>/Library/
/<Removables>/SGPortable/
/<Removables>/System Volume Information/
Das bedeutet, dass z. B. eine Verschlüsselungsregel für das Root einer zusätzlichen
Partition (<Root>/Volumes/) keine Wirkung hat, auch wenn sie als erhaltene Richtlinie
angezeigt wird.
Eine Verschlüsselungsregel für <Root>/abc wirkt sich aus, aber nicht eine
Verschlüsselungsregel für <Root>/private/abc.
Nach Dateien suchen
Spotlight-Suche
Die Spotlight-Suche funktioniert nicht bei verschlüsselten Dateien.
Dateien mit Etikett
Die Suche nach Dateien mit Etikett funktioniert nicht in sicheren Ordnern.
Verschlüsselte Dateien aus sicheren Ordnern verschieben
Wenn Sie eine verschlüsselte Datei von einem sicheren Ordner in einen nicht-sicheren
Ordner verschieben bleibt die Datei verschlüsselt, aber Sie können nicht auf den Inhalt
zugreifen. Sie müssen sie zuerst manuell entschlüsseln.
Wenn Sie eine verschlüsselte Datei in einem sicheren Ordner öffnen und in einen
nicht-sicheren Ordner speichern wird die Datei automatisch entschlüsselt.
104
Administratorhilfe
Permanente Versionsspeicherung in sicheren Ordnern nicht verfügbar
Die Funktion Alle Versionen durchsuchen... ist für Dateien in sicheren Ordnern nicht
verfügbar.
Sichere Ordner freigeben
Ein sicherer Ordner kann nicht über das Netzwerk freigegeben werden.
CDs brennen
Es ist nicht möglich, eine verschlüsselte CD zu brennen.
Dateien löschen
Beim Löschen von Dateien aus einem sicheren Ordner (Aktivierungspunkt bzw. Mount
Point) wird eine Meldung angezeigt, mit der Sie aufgefordert werden, den Löschvorgang
zu bestätigen. Gelöschte Dateien werden nicht in den Papierkorb verschoben und können
somit nicht wiederhergestellt werden.
SafeGuard Portable
SafeGuard Portable ist nicht für Mac OS X verfügbar.
AirDrop verwenden
Verschlüsselte Dateien können mit AirDrop übertragen werden. Stellen Sie sicher, dass
das Zielgerät verschlüsselte Dateien verarbeiten kann, da sich die Anwendungen sonst
möglicherweise anders verhalten als erwartet.
Handoff
Handoff für verschlüsselte Dateien wird nicht unterstützt.
Netzlaufwerke mit autofs aktivieren
Netzlaufwerke, für die eine Richtlinie gilt und die beim Start automatisch aktiviert werden,
werden von Sophos SafeGuard File Encryption nicht erkannt. Solche Aktivierungspunkte
bzw. Mount Points können nicht verarbeitet werden, weil der ursprüngliche Mount Point
nicht ersetzt werden kann.
4.3.3 Konfiguration
Sophos SafeGuard File Encryption für Mac OS X wird über das SafeGuard Management
Center verwaltet. Das folgende Kapitel beschreibt ausschließlich die Mac-spezifischen
Konfigurationseinstellungen.
SafeGuard File Encryption für Mac verwendet nur Richtlinien vom Typ Dateiverschlüsselung
und Allgemeine Einstellungen. Das bedeutet, dass Sie nur eine
Dateiverschlüsselungsrichtlinie für die Verwaltung der Datenverschlüsselung auf dem lokalen
Dateisystem, Wechselmedien, Netzlaufwerken und Cloud-Speicher benötigen.
Geräteschutz-Richtlinien (einschließlich der Richtlinien Cloud-Speicher und Verschlüsselung
von Wechselmedien) werden für SafeGuard File Encryption für Mac OS X ignoriert. Weisen
Sie den Benutzerobjekten immer Dateiverschlüsselung zu. Richtlinien vom Typ
Dateiverschlüsselung, die Endpoints zugewiesen werden, haben keine Wirkung auf OS X
Endpoints.
Hinweis:
105
SafeGuard Enterprise
Im SafeGuard Management Center müssen Pfade mit Backslashs eingegeben werden. Sie
werden auf Mac Endpoints automatisch in Schrägstriche umgewandelt.
4.3.3.1 Zentral verwaltete Konfigurationsoptionen
Die folgenden Optionen werden zentral im Management Center konfiguriert:
■
Richtlinien
■
Schlüssel
■
Zertifikate
Das SafeGuard Enterprise Backend stellt ein X.509-Benutzerzertifikat zur Verfügung.
Wenn Sie sich das erste Mal anmelden, wird ein Zertifikat generiert. Das Zertifikat schützt
den Schlüsselring des Benutzers.
■
Server-Verbindungsintervall
4.3.4 Wie funktioniert Verschlüsselung?
Jede verschlüsselte Datei ist mit einem zufallsgenerierten Schlüssel namens Data Encryption
Key (DEK) unter Verwendung des AES-256-Algorithmus verschlüsselt. Dieser zufällig
generierte und eindeutige DEK wird verschlüsselt und als Datei-Header zusammen mit der
verschlüsselten Datei gespeichert. Dadurch erhöht sich die ursprüngliche Dateigröße um 4
KB.
Der DEK wird mit einem Key Encryption Key (KEK) verschlüsselt. Der KEK wird in der zentralen
SafeGuard Enterprise-Datenbank gespeichert. Der Sicherheitsbeauftragte ordnet diesen KEK
einem einzelnen Benutzer, einer Benutzergruppe oder einer Organisationseinheit zu.
Um eine verschlüsselte Datei zu entschlüsseln, muss der Benutzer den KEK speziell für diese
Datei in seinem Schlüsselring haben.
4.3.5 Initialverschlüsselung
Die Initialverschlüsselung kann im Einstellungsbereich oder auch über die Kommandozeile
gestartet werden. Sowohl Administratoren als auch Benutzer können die initiale
Verschlüsselung von Dateien auf lokalen Festplatten und Wechselmedien anstoßen.
Netzwerkfreigaben können nur von Administratoren verschlüsselt werden.
Eine Richtlinie definiert, ob die Initialverschlüsselung automatisch gestartet wird und ob lokale
Ordner, Wechselmedien oder Cloud-Verzeichnisse verschlüsselt werden.
So starten Sie die Verschlüsselung am Client manuell:
1. Öffnen Sie die Systemeinstellungen.
2. Klicken Sie auf das Sophos Encryption-Symbol.
3. Wählen Sie das Register Richtlinien.
4. Wechseln Sie in die Ansicht Lokal übersetzter Pfad sofern diese nicht bereits geöffnet
ist. Sie können entweder
a) alle Richtlinien über die Schaltfläche Erzwinge alle Richtlinien im unteren Fensterteil
umsetzen
106
Administratorhilfe
oder
b) eine einzelne Richtlinie auswählen und auf Erzwinge Richtlinie klicken.
Hinweis: Trennen Sie keine Geräte, auf denen gerade die Initialverschlüsselung ausgeführt
wird.
Hinweis: Wenn Sie Details und Inhalte des lokal übersetzten Pfads sehen wollen, wählen
Sie den Pfad aus der Liste und klicken Sie auf Im Finder anzeigen.
4.3.6 Umgang mit Passwörtern
Der Sophos SafeGuard Schlüsselring ist mit einem Benutzerzertifikat gesichert. Der
entsprechende private Schlüssel ist mit dem OS X Kennwort geschützt.
Das Kennwort wird benötigt, damit das Zertifikat erzeugt werden kann, wenn der Benutzer
nicht in SafeGuard Enterprise angelegt wurde.
Lokales Ändern des Kennworts
Benutzer können ihre Kennwörter lokal unter Systemeinstellungen > Benutzer & Gruppen
ändern. Es sind keine weiteren Schritte erforderlich.
Kennwort wurde auf einem anderen Endpoint geändert
Hinweis: Kennwörter können auf Windows und Mac Endpoints geändert werden.
Da das Kennwort auf diesem Endpoint nicht mehr bekannt ist, müssen die folgenden Schritte
ausgeführt werden:
1.
2.
3.
4.
Melden Sie sich mit Ihrem neuen Kennwort bei OS X an.
Das System konnte Ihren Schlüsselbund nicht entsperren wird angezeigt.
Wählen Sie Schlüsselbundkennwort aktualisieren.
Geben Sie das alte Kennwort ein.
Nähere Informationen darüber, wie Sie Ihr Kennwort zurücksetzen können, falls Sie es
vergessen haben, finden Sie unter Vergessenes Kennwort zurücksetzen (Seite 112).
4.3.7 Management der Wiederherstellungsschlüssel
Wenn alle für FileVault 2 aktivierten Benutzer eines Systems ihre Kennwörter vergessen,
keine Anmeldeinformationen verfügbar sind und kein Wiederherstellungsschlüssel verfügbar
ist, kann das verschlüsselte Laufwerk nicht entsperrt werden und es besteht kein Zugriff auf
die Daten. Daten könnten unwiederbringlich verloren werden, deshalb ist es wesentlich, die
Wiederherstellung entsprechend zu planen.
Ein neuer Wiederherstellungsschlüssel wird jeweils bei der Aktivierung der
Festplattenverschlüsselung generiert. Wenn Sophos SafeGuard Native Device Encryption
zum Zeitpunkt der Verschlüsselung noch nicht installiert ist, dann wird er dem Benutzer
angezeigt, der in der Folge auch dafür verantwortlich ist, ihn gegen Verlust zu schützen. Ist
Sophos SafeGuard Native Device Encryption installiert, dann wird er sicher an das SafeGuard
Enterprise übermittelt und dort zentral gespeichert. Der Sicherheitsbeauftragte kann den
Wiederherstellungsschlüssel jederzeit abfragen, wenn er benötigt wird. Siehe Vergessenes
Kennwort zurücksetzen (Seite 112).
107
SafeGuard Enterprise
Aber selbst wenn SafeGuard Native Device Encryption zum Zeitpunkt der Verschlüsselung
nicht installiert war, kann der Wiederherstellungsschlüssel zentral verwaltet werden. Dafür ist
es notwendig, ihn zu importieren. Der entsprechende Kommandozeilenbefehl ist sgdeadmin
--import-recoverykey, siehe auch Kommandozeilen-Optionen (Seite 100). Der
Wiederherstellungsschlüssel wird in Großbuchstaben gesendet.
Ein eventuell vorhandener institutioneller Wiederherstellungsschlüssel kann ebenfalls
verwendet werden. Mehr Information dazu finden Sie auch in: OS X: How to create and deploy
a recovery key for FileVault 2 unter support.apple.com/kb/HT5077
4.3.8 Schneller Benutzerwechsel
SafeGuard File Encryption für Mac unterstützt auch den schnellen Benutzerwechsel. Sie
können so zwischen Benutzerkonten auf einem Endpoint wechseln, ohne Anwendung beenden
oder sich von dem Rechner abmelden zu müssen.
4.3.9 Lokale Schlüssel
Hinweis: Lokale Schlüssel können nicht mit SafeGuard Synchronized Encryption verwendet
werden.
Sie können lokale Schlüssel zum Verschlüsseln von Dateien in bestimmten Verzeichnissen
auf Wechselmedien oder in der Cloud verwenden. Diese Verzeichnisse müssen bereits in
einer Verschlüsselungsrichtlinie enthalten sein.
So erzeugen Sie lokale Schlüssel:
1. Öffnen Sie das System-Menü und wählen Sie Schlüssel erzeugen.
2. Wählen Sie einen Namen und eine Passphrase für Ihren Schlüssel und klicken Sie auf
OK.
Der Schlüsselname wird automatisch vorne mit "Local_" und hinten mit Datum und Zeit
ergänzt.
Der Schlüssel wird erzeugt und im Einstellungsbereich angezeigt. Der Benutzer kann nun
den lokalen Schlüssel auf ein Wechselmedium oder einem Cloud-Verzeichnis anwenden.
4.3.10 Kommandozeilen-Optionen
Terminal erlaubt Ihnen, Kommandos und Kommandozeilen-Optionen einzugeben. Folgende
Kommandozeilen-Optionen stehen zur Verfügung:
Kommando-Name
sgfsadmin
sgfsadmin --version
108
Definition
Listet die verfügbaren
Kommandos zusammen mit einer
Kurzhilfe auf.
Zeigt Version und Copyright des
installierten Produkts an.
Zusätzliche Parameter (optional)
--help
Administratorhilfe
Kommando-Name
sgfsadmin --status
sgfsadmin
--list-user-details
sgfsadmin --list-keys
sgfsadmin
--list-policies
sgfsadmin
--enforce-policies
Definition
Zusätzliche Parameter (optional)
Zeigt Systemstatusinformationen
wie Versions-, Server- und
Zertifikatsinformation an.
Zeigt Informationen zum
momentan angemeldeten
Benutzer an.
--all zeigt Information für alle
Benutzer an (sudo erforderlich).
Listet existierende GUIDS und
Schlüsselnamen aller Schlüssel
im Schlüsselbund auf
--all zeigt Information für alle
Benutzer an (sudo erforderlich).
Zeigt Richtlinien-spezifische
Informationen an.
Schlüssel-GUIDS werden wenn
möglich in Schlüsselnamen
aufgelöst. Fett ausgezeichnete
Elemente zeigen einen
persönlichen Schlüssel an.
--all zeigt Information für alle
Benutzer an (sudo erforderlich).
Wendet die
Verschlüsselungs-Richtlinie an
--all wendet die Richtlinie auf
alle Verzeichnisse an, wo
Richtlinien gelten
--xml zeigt Ausgabe im
xml-Format an.
--xml zeigt Ausgabe im
xml-Format an.
--xml zeigt Ausgabe im
xml-Format an.
--raw zeigt Richtlinien in
Originalansicht an, d.h. so wie sie
auf SafeGuard Management
Center-Serverseite aufgesetzt
sind.
"directoryname" wendet die
Richtlinie auf das angegebene
Verzeichnis an.
sgfsadmin --file-status
Zeigt
--xml zeigt Ausgabe im
"filename1"
Verschlüsselungsinformation für xml-Format an.
["filename2"..."filenameN"]
eine Datei oder Dateilisten an. Die
Verwendung von Platzhaltern ist
erlaubt.
sgfsadmin
--import-config
"/Pfad/zur/Datei"
Importiert die angegebene
Konfigurations-Zipdatei Das
Kommando braucht
Administrator-Rechte (sudo).
Hinweis:
Ziehen Sie komplette Pfade mit
der Maus z.B. aus dem Finder in
die Terminal-Anwendung.
109
SafeGuard Enterprise
Kommando-Name
sgfsadmin
--enable-server-verify
Definition
Zusätzliche Parameter (optional)
Schaltet die
SSL-Serververifizierung für die
Kommunikation mit dem
SafeGuard Enterprise-Server ein.
Nach der Installation ist die
SSL-Serververifizierung
standardmäßig aktiviert. Das
Kommando braucht
Administrator-Rechte (sudo).
sgfsadmin
Schaltet die
--disable-server-verify SSL-Serververifizierung für die
Kommunikation mit dem
SafeGuard Enterprise-Server aus.
Das Kommando braucht
Administrator-Rechte (sudo).
Hinweis:
Wir empfehlen nicht, diese Option
zu verwenden, da dadurch eine
Sicherheits-Schwachstelle
entstehen kann.
sgfsadmin
--update-machine-info
[--domain "domain"]
Aktualisiert die aktuell
gespeicherten
Computerinformationen, die
verwendet werden, um diesen
Client auf dem SafeGuard
Enterprise Server zu registrieren.
Das Kommando braucht
Administrator-Rechte (sudo).
Hinweis:
Verwenden Sie diesen Befehl erst
nach dem Ändern der Domain
oder Arbeitsgruppe, zu welcher
der Computer gehört. Gehört der
Computer zu mehreren Domains
oder Arbeitsgruppen und führen
Sie diesen Befehl aus, kann dies
zu einer Änderung der
Domain-Registrierung und
Entfernung von persönlichen
Schlüsseln und/oder FileVault 2
Benutzern führen.
sgfsadmin
Sammelt Anwendungspfade, die
--dump-unprivileged-applications nicht autorisiert sind, auf
verschlüsselte Dateien
[path]
zuzugreifen. Sie können die
Information dazu verwenden, um
Anwendungen zur
Applikationenliste hinzuzufügen.
Sie können die Resultate auf
110
--domain "domain"
Die Domain, die der Client für die
Registrierung auf dem SafeGuard
Enterprise Server verwenden
sollte. Dieser Parameter ist nur
erforderlich, wenn der Rechner zu
mehreren Domains gehört. Der
Computer muss dieser Domain
hinzugefügt werden, ansonsten
schlägt der Befehl fehl.
Administratorhilfe
Kommando-Name
Definition
Zusätzliche Parameter (optional)
einen bestimmten Pfad
beschränken.
Hinweis: Diese Funktion ist nur
für Synchronized Encryption
relevant.
sgfsadmin --synchronize Startet die Synchronisierung von
Datenbankinformation aus dem
Management Center, wie z.B. von
Richtlinien, Zertifikaten und
Schlüsseln.
4.3.11 Verwendung von Time Machine
Hinweis: Dieser Abschnitt ist nur relevant, wenn eine Verschlüsselungsregel für
Wechselmedien definiert ist.
Wenn Sie eine neue Festplatte für das Time Machine Backup verwenden wollen und die
Platte nicht automatisch vom System dafür vorgeschlagen wird, verwenden Sie folgenden
Befehl in der Terminal-Anwendung:
sudo tmutil setdestination -a "/Volumes/.sophos_safeguard_{DISK
NAME}/"
Wenn Sie Time Machine für einen verschlüsselten Ordner verwenden, werden keine alten
Versionen angezeigt. Die Backups sind jedoch in einem verborgenen Ordner gespeichert.
Sie können die Inhalte der Dateien in dem versteckten Pfad nicht lesen. Die Sicherung enthält
somit nur verschlüsselte Daten und Ihre Inhalte bleiben geschützt. Um Dateien
wiederherzustellen, gehen Sie wie folgt vor:
1. Öffnen Sie Time Machine (z. B. indem Sie "Time Machine" in die Spotlight-Suche eingeben).
Die Inhalte Ihres Stammverzeichnisses werden angezeigt.
2. Drücken Sie Shift + CMD + G (für "Gehe zu Ordner:") und geben Sie den versteckten
Pfad des verschlüsselten Ordners ein, den Sie wiederherstellen möchten.
Wenn der verschlüsselte Ordner, mit dem Sie normalerweise arbeiten,
/Benutzer/Admin/Dokumente heißt, geben Sie
/Benutzer/Admin/.sophos_safeguard_Dokumente/ ein.
3. Suchen Sie die Datei, die Sie wiederherstellen möchten, klicken Sie auf das Rad-Symbol
in der Time Machine Menüleiste und wählen Sie <file name> wiederherstellen nach....
Wenn Sie von Time Machine zu Ihrem Desktop zurückkehren, ist Ihre Datei wiederhergestellt
und kann entschlüsselt werden.
Hinweis: Das erste Time Machine Backup nach einer Neuinstallation von SafeGuard File
Encryption dauert länger und benötigt mehr Speicherplatz als sonst. Der Grund dafür ist, dass
OS X keine gestapelten Dateisysteme unterstützt und daher alle lokalen Verzeichnisse, für
die sichere Mount Points erstellt wurden (Dokumente, Musik, Filme etc.), beim Backup dupliziert
werden. Nachdem das erste Backup am verborgenen Speicherort abgeschlossen ist, werden
jedoch ältere Backups gelöscht und Speicherplatz wird freigegeben.
111
SafeGuard Enterprise
4.3.12 Arbeiten mit Wechselmedien
Stellen Sie vor dem Arbeiten mit Wechselmedien sicher, dass Ihnen eine Richtlinie und ein
Schlüssel zugewiesen wurden, die es Ihnen erlauben, Dateien auf Wechselmedien zu
verschlüsseln.
1. Schließen Sie das Wechselmedium an.
2. Es öffnet sich ein Dialog, in dem Sie gefragt werden, ob Sie Klartextdateien auf dem Gerät
verschlüsseln möchten. Nach dem Klicken auf Ja startet die Verschlüsselung. Wenn Sie
auf NEIN klicken, bleiben diese Dateien unverschlüsselt, aber Sie haben Zugriff auf Dateien
auf dem Gerät, die bereits verschlüsselt sind. Unabhängig von Ihrer Auswahl werden neue
Dateien auf dem Gerät immer gemäß der Richtlinie verschlüsselt.
3. Die Dateien auf Ihrem Wechselmedium werden automatisch verschlüsselt. Dies wird durch
das System-Menü-Symbol des sich drehenden Rads angezeigt
4. Sind alle Dateien auf Ihrem Medium verschlüsselt, so hört das Rad auf, sich zu drehen.
5. Werfen Sie das Wechselmedium aus. Das zugehörige Symbol für den sicheren Ordner
wird automatisch ausgeblendet.
Hinweis:
Um Daten auf Wechselmedien zwischen zwei Stellen austauschen und bearbeiten zu
können, müssen beiden Stellen die zugehörige Richtlinie und der entsprechende Schlüssel
zugewiesen werden. Es können keine persönlichen Schlüssel verwendet werden. Für den
Austausch zwischen Windows- und Mac OS X-Clients muss das Gerät mit FAT32 formatiert
sein. Da das Dateiformat nicht im Finder angezeigt werden kann, müssen Sie Das
Festplattendienstprogramm (Disk Utility) verwenden, um das Dateisystem, mit dem das
Wechselmedium formatiert wurde, anzuzeigen. Für den Windows-Client ist eine
Datenaustausch-Richtlinie erforderlich. Die Medien-Passphrase-Funktionalität steht nur
für Windows zur Verfügung. Der Zugriff auf die Daten von einem Mac OS X-Client aus ist
nur möglich, wenn entsprechende Richtlinien vom Typ Dateiverschlüsselung definiert
werden.
4.4 Fehlerbehebung
4.4.1 Vergessenes Kennwort zurücksetzen
Hinweis: Diese Anleitung geht von dem Fall aus, dass ein Benutzer sowohl SafeGuard Disk
Encryption als auch SafeGuard File Encryption oder Synchronized Encryption auf seinem
Mac installiert hat. Ist nur eines der genannten Module installiert, können die erforderlichen
Schritte abweichen.
Hat ein Benutzer sein Mac OS X Anmeldekennwort vergessen, so gehen Sie wie folgt vor:
1. Fordern Sie den Benutzer auf, den Anmeldedialog zu öffnen und auf ? zu klicken.
Die Merkhilfe für das Kennwort wird angezeigt und der Benutzer wird aufgefordert, das
Kennwort mithilfe des Recovery-Schlüssels zurückzusetzen.
2. Lassen Sie den Benutzer auf das Dreieck neben dem Text klicken, um zum nächsten
Schritt (Eingabe des Recovery-Schlüssels) zu gelangen:
112
Administratorhilfe
3. Öffnen Sie im SafeGuard Management Center den Recovery-Assistenten über Extras >
Recovery und zeigen Sie den Recovery-Schlüssel für den betroffenen Endpoint an.
4. Teilen Sie dem Benutzer den Recovery-Schlüssel zur Eingabe im Anmeldedialog mit.
Der Recovery-Schlüssel wird erneuert, sobald er einmal zum Starten des Systems
verwendet wurde. Der neue Recovery-Schlüssel wird automatisch erzeugt und an das
SafeGuard Enterprise Backend gesendet, wo er gespeichert wird, um für das nächste
Recovery verfügbar zu sein.
5. Wählen Sie im SafeGuard Management Center Benutzer und Computer und entfernen
Sie das Benutzerzertifikat.
6. Bei lokalen Benutzern gehen Sie folgendermaßen vor:
a) Fordern Sie den Benutzer auf, ein neues Kennwort und eine Merkhilfe zu definieren.
b) Wählen Sie im SafeGuard Management Center Benutzer und Computer >
.Unbestätigte Benutzer und bestätigen Sie den Benutzer.
c) Lassen Sie den Benutzer die Registerkarte Server im Einstellungsbereich öffnen und
Synchronisieren klicken.
7. Bei Active Directory Benutzern gehen Sie folgendermaßen vor:
a) Setzen Sie das alte Kennwort in der Benutzerverwaltung zurück und generieren Sie
ein vorläufiges Kennwort. Wählen Sie die entsprechende Option um den Benutzer zu
zwingen, sein Kennwort nach der ersten Anmeldung zu ändern.
b) Kontaktieren Sie den Benutzer und übergeben Sie das vorläufige Kennwort.
c) Lassen Sie den Benutzer im Dialog Kennwort zurücksetzen auf Abbrechen klicken
und das vorläufige Kennwort eingeben.
d) Fordern Sie den Benutzer auf, ein neues Kennwort und eine Merkhilfe zu definieren
und auf Passwort zurücksetzen zu klicken.
8. Im folgenden Dialog muss der Benutzer auf Neuen Schlüsselbund erstellen klicken.
9. Nun wird der Benutzer aufgefordert, sein neues Kennwort einzugeben, um ein
SafeGuard-Benutzerzertifikat zu erstellen.
Die Schlüssel des Benutzers werden automatisch in den neuen Schlüsselbund geladen, so
dass alle Dokumente wie bisher zugänglich sind.
Hinweis: Seien Sie bei der Weitergabe von Recovery-Schlüsseln vorsichtig. Ein
Recovery-Schlüssel ist immer gerätespezifisch, nicht benutzerspezifisch. Stellen Sie sicher,
dass der Recovery-Schlüssel nicht dazu missbraucht wird, um unautorisierten Zugriff auf
sensible Benutzerdaten auf demselben Gerät zu erlangen.
4.4.2 Probleme beim Zugriff auf Daten
Wenn ein Benutzer Probleme beim Zugriff auf seine Daten hat, kann dies folgende Ursachen
haben:
■
Der Benutzer wurde noch nicht bestätigt.
Nähere Informationen zu unbestätigten Benutzern finden Sie unter Erweiterte
Authentisierung - Benutzergruppe .Unbestätigte Benutzer (Seite 8).
Hinweis: Lokale Benutzer sind immer unbestätigte Benutzer.
■
Der Benutzer hat nicht den erforderlichen Schlüssel in seinem Schlüsselring.
113
SafeGuard Enterprise
Nähere Informationen zum Zuweisen von Schlüsseln finden Sie unter Zuweisen von
Schlüsseln im Bereich Benutzer & Computer (Seite 288).
■
Die Schlüssel wurden aus Sicherheitsgründen vorübergehend entzogen. Der Endpoint gilt
als unsicher oder gefährdet.
4.4.3 Ordner "SafeGuard Recovered Files"
Unter bestimmten Umständen kann es sein, dass sich ein Ordner namens Sophos SafeGuard
Recovered Files in einem Ordner befindet. Dies ist dann der Fall, wenn SafeGuard File
Encryption versucht, einen neuen sicheren Ordner (Aktivierungspunkt bzw. Mount Point) zu
erstellen, aber der versteckte Ordner, der zum Speichern der verschlüsselten Inhalte erstellt
werden muss (z. B. /Users/admin/.sophos_safeguard_Documents/) bereits existiert und nicht
leer ist. Dann wird der Inhalt des ursprünglichen Ordners (z. B. /Users/admin/Documents) zu
Sophos SafeGuard Recovered Files verschoben und es wird wie sonst auch nur der Inhalt
des versteckten Ordners angezeigt.
4.5 Bestands- und Statusinformationen für Macs
Für Macs liefert der Bestand u. a. folgende Informationen zu den einzelnen Maschinen: Die
angezeigten Daten können variieren, je nachdem, welches Sophos Produkt installiert ist:
114
■
Name des Mac
■
Betriebssystem
■
POA-Typ
■
POA-Status
■
Anzahl an verschlüsselten Laufwerken
■
Anzahl an unverschlüsselten Laufwerken
■
Letzter Server-Kontakt
■
Änderungsdatum
■
Informationen dazu, ob das aktuelle Unternehmenszertifikat verwendet wird.
Administratorhilfe
5 Module
5.1 Synchronized Encryption
Synchronized Encryption baut auf zwei Annahmen auf - erstens, dass alle Daten wichtig sind
und geschützt (verschlüsselt) sein müssen, und zweitens, dass diese Verschlüsselung
persistent sein soll, egal wo sich die Daten befinden. Zusätzlich sollen Daten automatisch
und transparent verschlüsselt werden, so dass sich Benutzer nicht darum kümmern müssen,
ob eine Datei verschlüsselt werden muss oder nicht. Diese grundlegende Prämisse, dass alle
Daten wichtig sind und verschlüsselt werden müssen, stellt sicher, dass Daten nahtlos und
ohne Zutun des Benutzers verschlüsselt werden. Dies ermöglicht Benutzern produktiv zu
bleiben, ihre Daten zu sichern und dabei ihre gewohnten Arbeitsabläufe nicht verändern zu
müssen.
Hinweis: Dieser Abschnitt gilt sowohl für Windows als auch für Mac OS X. Informationen,
die nur für eines der Systeme relevant sind, werden explizit gekennzeichnet.
Module
■
Anwendungsbasierte Dateiverschlüsselung
SafeGuard Enterprise Synchronized Encryption kann jede Datei, die mit einer per Richtlinie
definierten Anwendung erstellt wurde, verschlüsseln, egal wo die Datei gespeichert wird.
Wenn Sie die Dateiverschlüsselung zum Beispiel für Microsoft Word aktivieren, wird jede
Datei, die Sie mit Word erstellen oder speichern automatisch mit dem Synchronized
Encryption-Schlüssel verschlüsselt. Jeder, der diesen Schlüssel in seinem Schlüsselring
hat, kann auf diese Datei zugreifen. Eine Richtlinie definiert eine Liste von Anwendungen,
für die die Dateiverschlüsselung automatisch durchgeführt wird.
■
Outlook Add-In
Synchronized Encryption beinhaltet ein Outlook-Add-In, das automatisch erkennt, wenn
eine E-Mail mit Anhängen an Empfänger außerhalb Ihres Unternehmens versendet wird.
Benützer müssen entscheiden, ob sie den Anhang Kennwortgeschützt oder Ungeschützt
senden möchten. Gegebenenfalls können Benutzer im angezeigten Dialog ein Kennwort
definieren. Alternativ dazu können Sie per Richtlinie ein Standardverhalten definieren, das
automatisch und ohne Benutzerinteraktion ausgeführt wird.
Hinweis: Das Outlook Add-In ist nur für Windows Endpoints verfügbar.
■
Integration in Sophos Central Endpoint Protection - Schlüssel auf gefährdeten
Computern entziehen
In Kombination mit Sophos Central Endpoint Protection können Schlüssel automatisch
entfernt werden, wenn bösartige Aktivitäten auf dem Endpoint festgestellt werden.
Hinweis: Dieses Feature ist nur verfügbar, wenn Sie web-basierte Sophos Central Endpoint
Protection gemeinsam mit SafeGuard Enterprise verwenden.
■
Schlüsselring zwischen SafeGuard Enterprise und Sophos Mobile Control
austauschen
115
SafeGuard Enterprise
Schlüssel im SafeGuard Enterprise Schlüsselring können in der Sophos Secure Workspace
App (SSW), die über Sophos Mobile Control verwaltet wird, bereitgestellt werden. Benutzer
der App können dann die Schlüssel zum Entschlüsseln, Lesen und Verschlüsseln von
Dokumenten verwenden. Diese Dateien können dann sicher zwischen allen Benutzern
von SafeGuard Enterprise und SSW ausgetauscht werden.
5.1.1 Voraussetzungen
Um Synchronized Encryption Funktionen verwenden zu können, müssen die folgenden
Voraussetzungen erfüllt sein:
SafeGuard Enterprise Server, Datenbank und Management Center sind fertig eingerichtet.
Das Modul Synchronized Encryption muss auf den Endpoints installiert sein.
Hinweis:
Synchronized Encryption ersetzt alle anderen SafeGuard Enterprise File Encryption
Module. Es kann nicht zusätzlich zu Data Exchange, File Encryption oder Cloud Storage
installiert werden. File Encryption Richtlinien, die von diesen pfadbasierten Modulen
verwendet werden, sind nicht kompatibel mit den neuen anwendungsbasierten
Synchronized Encryption Richtlinien. Wenn Sie vom SafeGuard Enterprise File
Encryption Modul zum Synchronized Encryption Modul wechseln und die pfadbasierten
Richtlinien behalten, zeigt das RSOP im SafeGuard Management Center zwar beide
Richtlinien an, aber nur die anwendungsbasierte ist gültig. Der Grund dafür ist, dass
das RSOP bei seiner Berechnung die installierten Module auf dem Endpoint nicht
berücksichtigt.
Das Synchronized Encryption Modul ist nicht mit SafeGuard LAN Crypt kompatibel.
So aktivieren Sie die Features:
Erstellen Sie anwendungsbasierte Dateiverschlüsselungsrichtlinien (Synchronized
Encryption).
Erstellen Sie Richtlinien für die Aktivierung des Outlook-Add-Ins (verschlüsselt
Mailanhänge entsprechend der Richtlinieneinstellungen).
Erstellen Sie Richtlinien für die Aktivierung der Integration in Sophos Endpoint Protection
(entfernt bei bösartigen Aktivitäten die Schlüssel von Endpoints).
Konfigurieren Sie die Synchronisierung des SafeGuard Enterprise Schlüsselrings für
mobile Geräte mit Sophos Mobile Control.
Hinweis: Auf Macs gelten nur benutzerbasierte Richtlinien. Maschinenrichtlinien werden
ignoriert.
5.1.1.1 Installation auf Endpoints
Führen Sie den Client-Installer für Ihre Plattform aus. Wählen Sie auf Windows-Endpoints im
darauf folgenden Dialog das Synchronized Encryption Modul aus. Befolgen Sie die
Anweisungen auf dem Bildschirm.
5.1.1.2 Aktualisierung von Endpoints
Windows: Um Ihre Endpoints von SafeGuard Enterprise 6.1 (oder höher) zu aktualisieren
und das Synchronized Encryption Modul zu installieren, führen Sie den Client-Installer für
Ihre Plattform aus und folgen Sie den Anweisungen auf dem Bildschirm. Dies aktualisiert
116
Administratorhilfe
die installierten Module auf Version 8. Um das Synchronized Encryption Modul zu
installieren, starten Sie die Installation erneut, wählen Sie Ändern im Dialog Installation
ändern, reparieren oder entfernen und wählen Sie Synchronized Encryption. Falls
installiert, entfernen Sie pfadbasierte Dateiverschlüsselung.
Mac OS X Führen Sie den Client-Installer aus und folgen Sie den Anweisungen auf dem
Bildschirm.
5.1.1.3 Migration von bestehenden Dateiverschlüsselungsmodulen auf Windows
Benutzer können vom SafeGuard Enterprise File Encryption Modul zum Synchronized
Encryption Modul migrieren. Dateien, die davor verschlüsselt waren, bleiben verschlüsselt
und zugänglich. Dateien, die nach der Migration bearbeitet und gespeichert werden, werden
mit dem Synchronized Encryption-Schlüssel neu verschlüsselt. Dateien können mit dem
Synchronized Encryption-Schlüssel neu verschlüsselt werden indem Sie per Richtlinie eine
Initialverschlüsselung definieren.
Voraussetzungen
Stellen Sie sicher, dass alle erforderlichen Schlüssel ("alte" Schlüssel, die zur Verschlüsselung
mit dem File Encryption Modul verwendet wurden, und "neue" Synchronized Encryption
Schlüssel) im Schlüsselring der Benutzer vorhanden sind.
■
■
Falls nötig, können Sie Benutzern Schlüssel im Management Center zuweisen.
Benutzer müssen, wenn benötigt, benutzerdefinierte lokale Schlüssel in ihren Schlüsselring
importieren, siehe Kapitel Import von Schlüsseln aus einer Datei in der SafeGuard
Enterprise Benutzerhilfe. Dann stehen die lokalen Schlüssel auch auch im SafeGuard
Management Center zur Verfügung. Sie können Benutzern nach Bedarf zugewiesen
werden.
Migration durchführen
Führen Sie folgende Schritte aus:
1. Installieren Sie das Synchronized Encryption Modul am Endpoint. Das Modul ersetzt das
bestehende File Encryption Modul.
2. Stellen Sie sicher, dass alle Schlüssel, die die Benutzer von File Encryption in ihrem
Schlüsselring hatten, im Schlüsselring erhalten bleiben. Dies ermöglicht den Benutzern,
auch mit Synchronized Encryption auf alle verschlüsselten Dateien zuzugreifen.
3. Erzeugen Sie im Management Center neue Synchronized Encryption Richtlinien.
■
■
■
Alle Anwendungen, die auf verschlüsselte Dateien zugreifen können sollen, müssen
in der Applikationenliste enthalten sein, die in den Synchronized Encryption Richtlinien
verwendet wird.
Synchronized Encryption Richtlinien sollen den selben Umfang der Verschlüsselung
haben wie die früheren pfadbasierten File Encryption Richtlinien.
Definieren Sie Einstellungen für die Initialverschlüsselung. Die Initialverschlüsselung
startet unmittelbar nachdem die Richtlinie am Endpoint angewendet wurde und es
werden alle Dateien mit dem Synchronized Encryption Schlüssel verschlüsselt oder
neu verschlüsselt. Folglich sind alle Dateien entsprechend der Richtlinie verschlüsselt.
Hinweis: Die Initialverschlüsselung kann auch über das Windows Explorer Kontextmenü
gestartet werden (SafeGuard File Encryption > Gemäß Richtlinie verschlüsseln).
4. Verteilen Sie die Richtlinien
117
SafeGuard Enterprise
Ergebnis
■
■
■
Verschlüsselte Dateien, die in den Synchronized Encryption Richtlinien enthalten sind,
werden mit dem Synchronized Encryption Schlüssel neu verschlüsselt.
Dateien, die mit Anwendungen erzeugt oder geändert wurden, die in der Synchronized
Encryption Applikationenliste enthalten sind, werden mit dem Synchronized Encryption
Schlüssel verschlüsselt.
Verschlüsselte Dateien, die nicht in den Synchronized Encryption Richtlinien enthalten
sind, bleiben mit dem ursprünglichen File Encryption Schlüssel verschlüsselt. Benutzer,
die den erforderlichen Schlüssel in ihrem Schlüsselring haben, können Dateien immer
manuell entschlüsseln, auch wenn die Dateien in keiner Verschlüsselungsrichtlinie enthalten
sind.
5.1.1.4 Migration von bestehenden Dateiverschlüsselungsmodulen auf OS X
Sophos SafeGuard Enterprise OS X Endpoints können sowohl Synchronized Encryption
Richtlinien vom Typ Anwendungsbasiert als auch File Encryption Richtlinien vom Typ
Pfadbasiert verarbeiten. Abhängig davon, welche Richtlinien sie erhalten, verhalten sie sich
wie Synchronized Encryption Endpoints oder wie File Encryption Endpoints.
Wenn Sie von Version 6.1 aktualisieren, bleiben die Endpoints im pfadbasierten File Encryption
Modus wie in der vorigen Version.
So wechseln Sie auf den anwendungsbasierten Synchronized Encryption Modus:
Migration durchführen
1. Erzeugen Sie im Management Center neue Synchronized Encryption Richtlinien.
■
■
■
Alle Anwendungen, die auf verschlüsselte Dateien zugreifen können sollen, müssen
in der Applikationenliste enthalten sein, die in den Synchronized Encryption Richtlinien
verwendet wird.
Synchronized Encryption Richtlinien sollen den selben Umfang der Verschlüsselung
haben wie die früheren pfadbasierten File Encryption Richtlinien.
Definieren Sie Einstellungen für die Initialverschlüsselung. Die Initialverschlüsselung
startet unmittelbar nachdem die Richtlinie am Endpoint angewendet wurde und es
werden alle Dateien mit dem Synchronized Encryption Schlüssel verschlüsselt oder
neu verschlüsselt. Folglich sind alle Dateien entsprechend der Richtlinie verschlüsselt.
Hinweis: Benutzer können die Initialverschlüsselung auch über die Registerkarte
Richtlinien im Einstellungsbereich starten (Erzwinge alle Richtlinien).
2. Verteilen Sie die Richtlinien
3. Benutzer werden nach dem Erhalt der Richtlinien aufgefordert, sich ab- und wieder
anzumelden.
Ergebnis
■
118
Verschlüsselte Dateien, die in den Synchronized Encryption Richtlinien enthalten sind,
werden mit dem Synchronized Encryption Schlüssel neu verschlüsselt.
Administratorhilfe
■
■
Dateien, die mit Anwendungen erzeugt oder geändert wurden, die in der Synchronized
Encryption Applikationenliste enthalten sind, werden mit dem Synchronized Encryption
Schlüssel verschlüsselt.
Verschlüsselte Dateien, die nicht in den Synchronized Encryption Richtlinien enthalten
sind, bleiben mit dem ursprünglichen File Encryption Schlüssel verschlüsselt. Benutzer,
die den erforderlichen Schlüssel in ihrem Schlüsselring haben, können Dateien immer
manuell entschlüsseln, auch wenn die Dateien in keiner Verschlüsselungsrichtlinie enthalten
sind.
5.1.1.5 Partieller Rollout von Synchronized Encryption
Stellen Sie im Fall eines partiellen Rollouts von SafeGuard Enterprise Synchronized Encryption
sicher, dass alle Benutzer auf gemeinsam verwendete verschlüsselte Dateien zugreifen
können.
Wenn Sie die Verschlüsselung in Ihrem Unternehmen Schritt für Schritt einführen möchten,
können Sie damit beginnen, Synchronized Encryption Richtlinien mit aktivierter Verschlüsselung
zum Beispiel nur an die Endpoints der Marketing -Abteilung zu verteilen. Diese Endpoints
werden dann Dateien entsprechend der Synchronized Encryption Richtlinien verschlüsseln.
Benutzer in anderen Abteilungen können dann nicht auf diese Dateien zugreifen, da die
Synchronized Encryption Richtlinien auf ihren Endpoints noch nicht ausgerollt wurden. Um
diese Situation zu vermeiden, können Sie Lesezugriff-Richtlinien verteilen, die das Lesen von
verschlüsselten Dateien ermöglichen. Damit können keine Daten verschlüsselt werden, jedoch
können verschlüsselte Daten gelesen werden.
Voraussetzung:
SafeGuard Enterprise Server, Datenbank und Management Center sind fertig eingerichtet.
Das Synchronized Encryption Modul ist auf allen Endpoints installiert und kann sich mit
dem Management Center verbinden (Konfigurationspaket ist installiert).
Sie haben eine Applikationenliste und eine Synchronized Encryption Richtlinie für die
Endpoints erstellt, die Daten verschlüsseln sollen.
Folgende Schritte sind für den Rollout von SafeGuard Enterprise Synchronized Encryption
erforderlich:
1. Erstellen Sie eine Synchronized Encryption Richtlinie (anwendungsbasiert) im SafeGuard
Management Center.
2. Verteilen Sie die Richtlinie an die Benutzer, deren Endpoints Daten verschlüsseln sollen.
Im genannten Beispiel sind dies die Endpoints der Marketing-Abteilung.
3. Erstellen Sie Lesezugriff-Richtlinien.
Hinweis: Sie müssen gesonderte Richtlinien für Windows und Mac Endpoints erstellen.
4. Verteilen Sie die Lesezugriff-Richtlinien an alle übrigen Windows und Mac Endpoints. Im
genannten Beispiel sind dies alle Endpoints außerhalb der Marketing-Abteilung.
5.1.1.5.1
Erstellen von Lesezugriff-Richtlinien für Windows Endpoints
1. Klicken Sie im Management Center auf Richtlinien.
2. Klicken Sie mit der rechten Maustaste auf Richtlinien, wählen Sie Neu und dann
Dateiverschlüsselung.
3. Geben Sie einen Namen für die Richtlinie ein und klicken Sie auf OK.
119
SafeGuard Enterprise
4. Wählen Sie in der Registerkarte Dateiverschlüsselung die Option Anwendungsbasierend
(Synchronized Encryption) aus der Auswahlliste Verschlüsselungstyp.
Applikationenliste und Umfang der Verschlüsselung Optionen werden angezeigt.
5. Wählen Sie die Applikationenliste, die Sie zuvor in der Auswahlliste erstellt haben.
6. Wählen Sie aus der Auswahlliste Umfang der Verschlüsselung die Option Definierte
Speicherorte.
7. Wenn Sie die Registerkarte Dateiverschlüsselung verlassen, werden Sie aufgefordert,
Ihre Änderungen zu speichern.
8. Klicken Sie auf Ja.
9. Wechseln Sie zu Benutzer und Computer und aktivieren Sie die neue Richtlinie für die
Windows-Benutzer, die verschlüsselte Daten lesen, aber nicht selbst verschlüsseln können
sollen.
Hinweis: Diese Richtlinie darf keinen Mac OS X Endpoints zugewiesen werden. Dies
kann erreicht werden, indem Sie die Richtlinie nur für .Authentisierte Computer aktivieren,
da Mac OS X Endpoints nur Benutzereinstellungen interpretieren. Ziehen Sie dazu die
Gruppe .Authentisierte Benutzer vom Richtlinien-Aktivierungsbereich in die Liste
Verfügbare Gruppen.
5.1.1.5.2
Erstellen von Lesezugriff-Richtlinien für Mac Endpoints
1. Klicken Sie im Management Center auf Richtlinien.
2. Klicken Sie mit der rechten Maustaste auf Richtlinien, wählen Sie Neu und dann
Dateiverschlüsselung.
3. Geben Sie einen Namen für die Richtlinie ein und klicken Sie auf OK.
4. Wählen Sie in der Registerkarte Dateiverschlüsselung die Option Pfadbasiert aus der
Auswahlliste Verschlüsselungstyp.
Eine Liste zum Definieren der Pfade für die pfadbasierte Verschlüsselung wird angezeigt.
5. Geben Sie folgende Pfade an und schließen Sie sie von der Verschlüsselung aus.
a) Netzwerkfreigaben: Verwenden Sie den Platzhalter <Network Shares>, um auf das
Root-Verzeichnis aller Mac OS X Netzwerkfreigaben zu verweisen.
b) Wechselmedien: Verwenden Sie den Platzhalter <Removables>, um auf das
Root-Verzeichnis aller Mac OS X Wechselmedien zu verweisen.
c) Cloudspeicher-Dienste Geben Sie einen oder mehrere Ordner ein, die mit der Cloud
synchronisiert werden. Es werden nur lokale Pfade unterstützt.
d) Hinweis: Der folgende Pfad wird nur bei Microsoft Outlook für Mac 2011 benötigt.
<User Profile>\Library\Caches\TemporaryItems\Outlook Temp\
e) Hinweis: Der folgende Pfad wird nur bei Microsoft Outlook für Mac 2016 benötigt.
<%TMPDIR%>\com.microsoft.Outlook\Outlook Temp\
f) Hinweis: Die folgenden Pfade werden nur bei Apple Mail benötigt:
<User
Profile>\Library\Containers\com.apple.mail\Data\Library\Mail
Downloads\
<%TMPDIR%>\com.apple.mail\com.apple.mail\
6. Stellen Sie sicher, dass alle Pfade von der Verschlüsselung ausgenommen sind: In der
Spalte Modus ist für alle Pfade Ausschließen ausgewählt.
120
Administratorhilfe
7. Wenn Sie die Registerkarte Dateiverschlüsselung verlassen, werden Sie aufgefordert,
Ihre Änderungen zu speichern.
8. Klicken Sie auf Ja.
9. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie den
Mac-Benutzern zu, die verschlüsselte Daten lesen, aber nicht selbst verschlüsseln können
sollen.
5.1.2 Daten verschlüsseln
SafeGuard Enterprise Synchronized Encryption beinhaltet ein vielseitiges
Dateiverschlüsselungs-Modul. Synchronized Encryption ermöglicht Ihnen, sensible Dateien
anhand der Anwendung, mit der sie erstellt wurden, zu verschlüsseln. Die Verschlüsselung
ist persistent, das bedeutet, Ihre Daten sind auch dann sicher, wenn sie an einen anderen
Ort verschoben, in die Cloud hochgeladen oder per E-Mail versandt werden. Abhängig von
der Richtlinie werden bestimmte Dateitypen automatisch verschlüsselt. In manchen Fällen
kann es jedoch erforderlich sein, einzelne Dateien manuell zu verschlüsseln oder entschlüsseln.
Im Windows Explorer und im OS X Finder sind verschlüsselte Dateien mit einem grünen
Schloss-Symbol gekennzeichnet.
Persistente Verschlüsselung
Windows
■
Wenn Sie eine verschlüsselte Datei von einem verschlüsselten Ordner in einen
unverschlüsselten Ordner verschieben bleibt die Datei trotzdem verschlüsselt. Sie können
die Datei öffnen und bearbeiten. Die Datei bleibt auch verschlüsselt, wenn Sie sie bearbeiten
und speichern.
Mac OS X
■
Verschlüsselte Dateien aus sicheren Ordnern verschieben
Als Sicherheitsbeauftragter definieren Sie, welche Ordner auf Ihren Macs als sichere
Ordner gelten. Wenn Sie Synchronized Encryption verwenden, werden alle Dateien in
sicheren Ordnern automatisch verschlüsselt.
Wenn Sie eine verschlüsselte Datei von einem sicheren Ordner in einen nicht-sicheren
Ordner verschieben bleibt die Datei trotzdem verschlüsselt. Sie können die Datei öffnen,
jedoch wird der Inhalt verschlüsselt angezeigt. Sie müssen sie zuerst manuell entschlüsseln.
Wenn Sie eine verschlüsselte Datei in einem sicheren Ordner öffnen und in einen
nicht-sicheren Ordner speichern wird die Datei automatisch entschlüsselt.
Richtlinien
■
Synchronized Encryption-Richtlinien werden nicht vereinigt. Es wird immer jene Richtlinie
angewendet, die in der Hierarchie dem Zielobjekt (Benutzer/Computer) am nächsten ist.
Die Richtlinie, die gerade für einen Benutzer oder Computer in Kraft ist, wird in der
Registerkarte RSOP unter Benutzer Computer angezeigt.
Backup (Sicherung)
Wenn Sie Backup-Software verwenden (Dateiversionsverlauf unter Windows 8.x und Windows
10 oder Time Machine unter Mac OS X), haben Sie möglicherweise ältere Versionen von den
121
SafeGuard Enterprise
Dateien, die Sie verschlüsseln möchten. Synchronized Encryption kann diese Dateien nicht
verschlüsseln. Wir empfehlen, bestehende Sicherungsdateien zu verschlüsseln oder zu
entfernen und automatische Sicherungen zu deaktivieren.
5.1.2.1 Synchronized Encryption-Schlüssel
SafeGuard Enterprise Synchronized Encryption verwendet nur einen Schlüssel für die
Verschlüsselung von Dateien: Root_Synchronized_Encryption@SGN
Der Schlüssel wird automatisch zugewiesen und steht allen Benutzern einer Domäne zur
Verfügung, nicht jedoch lokalen Benutzern.
5.1.2.2 Applikationenlisten
Für die anwendungsbasierte Dateiverschlüsselung müssen Sie Applikationenlisten erstellen.
Diese Listen enthalten Anwendungen (Applikationen) deren Dateien beim Erstellen oder
Speichern verschlüsselt werden. Nur Anwendungen auf Applikationenlisten können auf
verschlüsselte Daten zugreifen. Alle anderen Anwendungen können in diesem Fall nur
unleserliche, verschlüsselte Inhalte anzeigen. SafeGuard Enterprise stellt eine Vorlage einer
einer Applikationenliste zur Verfügung, die Sie einfach an Ihre Anforderungen anpassen
können. Sie enthält allgemeine Anwendungen, für die anwendungsbasierte
Dateiverschlüsselung aktiviert werden kann. Sie können die Verschlüsselung für einzelne
Anwendungen innerhalb von Gruppen oder für ganze Gruppen von Anwendungen aktivieren
oder deaktivieren.
Hinweis: Bevor Sie Richtlinien vom Typ Anwendungsbasierend (Synchronized Encryption)
erstellen können, müssen Sie Applikationenlisten anlegen.
Applikationenlisten für Mac
Für einige Anwendungen unter OS X müssen Sie bestimmte Pfade von der Verschlüsselung
ausnehmen. Damit beispielsweise Microsoft Office 2011 problemlos funktioniert, müssen Sie
<Dokumente>\Microsoft-Benutzerdaten ausschließen. In der bereitgestellten Vorlage
ist der Pfad bereits angegeben.
5.1.2.2.1
Erstellen von Applikationenlisten
1. Klicken Sie im Management Center auf Richtlinien.
2. Wechseln Sie in der Listenansicht Richtlinien zum Eintrag Applikationenlisten.
3. Klicken Sie mit der rechten Maustaste auf Vorlage und klicken Sie auf Applikationenlisten
duplizieren.
Template_1 wird angezeigt.
4. Klicken Sie mit der rechten Maustaste auf Template_1, wählen Sie Eigenschaften und
geben Sie einen neuen Namen ein.
5. Klicken Sie auf OK.
6. Klicken Sie auf die neue Applikationenliste.
Im rechten Fensterbereich wird der Inhalt der Vorlage angezeigt.
7. Zum Erstellen von Applikationenlisten für Macs, wechseln Sie zur Registerkarte OS X.
8. Deaktivieren Sie in der Liste alle Applikationen, für die Sie keine Verschlüsselung wünschen.
Deaktivieren Sie das Kontrollkästchen Aktiv rechts neben Name der Applikationsgruppe
um alle Applikationen in der Gruppe von der Verschlüsselung auszuschließen. Über das
Kontrollkästchen Aktiv rechts neben einer Applikation können Sie einzelne Applikationen
deaktivieren.
122
Administratorhilfe
9. Fügen Sie bestehenden Gruppen weitere Applikationen hinzu.
a) Klicken Sie mit der rechten Maustaste auf die Gruppe, der Sie eine Anwendung
hinzufügen möchten, klicken Sie Neu und Anwendung.
b) Geben Sie im Feld Name der Applikation einen Namen für die Anwendung ein.
c) Definieren Sie im Feld Speicherort des Prozesses den Pfad und den Namen der
ausführbaren Datei. Sie können den Pfad manuell eingeben oder die Platzhalter in der
Dropdownliste verwenden.
Sie können alle Versionen einer Anwendung unter einem Namen (Name der
Applikation) angeben. Zum Beispiel: Acrobat Reader 11.0 und Acrobat Reader DC
unter Name der Applikation: Reader
d) Dateierweiterung: Die Dateierweiterungen, die Sie hier definieren, haben keine
Auswirkung auf die Dateiverschlüsselung vom Typ Anwendungsbasierend
(Synchronized Encryption), sondern für die initiale Verschlüsselung bestehender
Dateien. Bestehende Dateien, für die Verschlüsselungsregeln gelten, werden nicht
automatisch verschlüsselt. Um diese Dateien zu verschlüsseln, muss die initiale
Verschlüsselung auf den betreffenden Endpoints durchgeführt werden. Dateien mit
den hier definierten Dateierweiterungen werden bei der initialen Verschlüsselung mit
dem Synchronized Encryption Schlüssel verschlüsselt. Sie können Dateierweiterungen
mit oder ohne Punkt (zum Beispiel ".txt" oder "txt") angeben. Platzhalter werden nicht
unterstützt.
Der Ort, an dem die Initialverschlüsselung angewendet werden soll, muss in einer
Richtlinie für die Anwendungsbasierte Dateiverschlüsselung definiert werden.
Wenn Sie eine Anwendungsgruppe deaktivieren, werden die Dateierweiterungen, die
Sie innerhalb der Gruppe für die Initialverschlüsselung definiert haben, ebenfalls
deaktiviert.
10. Nur für OS X : Fügen Sie nach Bedarf der Tabelle Ausgeschlossene Speicherorte Orte
hinzu, die Sie von der Verschlüsselung ausnehmen möchten.
11. Fügen Sie weitere Applikationsgruppen hinzu:
Sie können Applikationsgruppen dazu nutzen, um verschiedene Teile einer Software-Suite
unter einem gemeinsamen Knoten zu bündeln. So können Sie alle Teile gleichzeitig
deaktivieren indem Sie nur die Gruppe aktivieren.
a) Klicken Sie mit der rechten Maustaste die Template-Baumstruktur, klicken Sie auf Neu
und Applikationsgruppe.
b) Geben Sie im Feld Name der Applikationsgruppe einen Namen für die Gruppe ein.
c) Fügen Sie der Gruppe weitere Applikationen hinzu.
12. Wenn Sie die Template-Baumstruktur verlassen, werden Sie aufgefordert, Ihre Änderungen
zu speichern.
13. Klicken Sie auf Ja.
Die neue Applikationenliste wird unter Applikationenlisten in der Listenansicht Richtlinien
angezeigt. Sie können weitere Applikationslisten erstellen und sie in unterschiedlichen
Richtlinien für die anwendungsbasierte Dateiverschlüsselung verwenden.
Wir empfehlen, alle Anwendungen, die einen bestimmten Dateityp (zum Beispiel .docx) öffnen
können, zu Applikationenliste hinzuzufügen. Anwendungen, die Daten über das Internet
freigeben (zum Beispiel E-Mail-Clients, Browser), sollten keiner Applikationenliste hinzugefügt
werden.
123
SafeGuard Enterprise
5.1.2.3 Initialverschlüsselung
Initialverschlüsselung verschlüsselt alle Dateien entsprechend:
Dateiendungen, die in Applikationenlisten definiert sind, siehe Applikationenlisten (Seite
122).
Einstellungen, die in Synchronized Encryption-Richtlinien definiert sind, siehe Erstellen
von Richtlinien für anwendungsbasierte Dateiverschlüsselung (Seite 126).
Die Initialverschlüsselung kann automatisch über eine Richtlinieneinstellung oder manuell
von einem Benutzer angestoßen werden
Wird sie automatisch angestoßen, läuft sie im Hintergrund. Nach Abschluss wird ein Ereignis
protokolliert.
Die Initialverschlüsselung startet jedes Mal, wenn Endpoints eine neue Synchronized
Encryption Richtlinie empfangen und immer wenn Benutzer sich an ihrem Endpoint anmelden.
Dies stellt sicher, dass Dateien immer entsprechend den Firmenrichtlinien verschlüsselt sind
und keine Datei versehentlich unverschlüsselt bleibt.
Hinweis: Die Verarbeitung großer Datenmengen bei der Initialverschlüsselung kann zu einer
eingeschränkten Performance der Endpoints führen.
Unter Windows können Benutzer die Initialverschlüsselung manuell über das Kontextmenü
im Explorer starten (SafeGuard Dateiverschlüsselung > Gemäß Richtlinie verschlüsseln).
Der SafeGuard Dateiverschlüsselungs-Assistent zeigt Informationen zur Anzahl der zu
verschlüsselnden Dateien sowie zum Fortschritt und Ergebnis der Verschlüsselung an.
Mac-Benutzer starten die Initialverschlüsselung in der Registerkarte Richtlinien im
Einstellungsbereich mit Klick auf Erzwinge alle Richtlinien.
Wenn Dateien gefunden werden, die mit einem anderen Schlüssel als dem Synchronized
Encryption Schlüssel verschlüsselt sind und Benutzer haben den verwendeten Schlüssel in
ihrem Schlüsselring, dann werden diese Dateien mit dem Synchronized Encryption Schlüssel
neu verschlüsselt. Dateien, die mit einem Schlüssel verschlüsselt sind, der im Schlüsselring
des Benutzers nicht verfügbar ist, werden nicht verändert.
Die Orte, an denen die Initialverschlüsselung zur Anwendung kommt, werden in Richtlinien
definiert.
5.1.2.3.1
Initialverschlüsselung auf Netzwerkfreigaben
Auf Netzwerkfreigaben kann die Initialverschlüsselung nicht automatisch per
Richtlinieneinstellung gestartet werden. Als Sicherheitsbeauftragter können Sie mit dem
Befehlszeilentool SGFileEncWizard.exe die Initialverschlüsselung für Netzwerkfreigaben von
einem Computer aus starten, auf dem SafeGuard Enterprise Software installiert ist und der
Zugang zu den Netzwerkfreigaben hat.
Auf einem Computer mit SafeGuard Enterprise finden Sie das Tool unter
<SYSTEM>:\Programme (x86)\Sophos\SafeGuard Enterprise\Client\
Beachten Sie folgende Hinweise bevor Sie die Initialverschlüsselung starten:
Der Vorgang kann für Benutzer auf Endpoints ohne Synchronized Encryption (Modul nicht
installiert oder Richtlinie nicht angewendet) zu Problemen führen. Diese Benutzer können
keine Dateien öffnen, die mit Synchronized Encryption verschlüsselt wurden. Stellen Sie
sicher, dass alle Benutzer, die Zugriff auf diese Dateien haben sollen, das Synchronized
Encryption Modul installiert und eine entsprechende Richtlinie angewendet haben.
Wenn Sie Dateien auf Netzwerkfreigaben, die bereits verschlüsselt sind, im Rahmen der
Initialverschlüsselung neu verschlüsseln wollen, benötigen Sie dazu alle Schlüssel in Ihrem
Schlüsselbund, die zur Verschlüsselung dieser Dateien verwendet wurden. Dateien, für
die Sie keinen Schlüssel haben, bleiben mit dem ursprünglichen Schlüssel verschlüsselt.
124
Administratorhilfe
Voraussetzungen für die Initialverschlüsselung auf Netzwerkfreigaben
■
■
■
■
Die Initialverschlüsselung muss auf einem Computer gestartet werden, auf dem die
SafeGuard Enterprise Endpoint Software installiert ist.
Der Endpoint muss Zugriff auf alle zu verschlüsselnden Netzwerkfreigaben haben.
Eine Synchronized Encryption Richtlinie, die alle zu verschlüsselnden Netzwerkfreigaben
beinhaltet, muss auf dem Endpoint angewendet werden.
Alle Schlüssel, die zum Verschlüsseln der auf den Netzwerkfreigaben vorhandenen Dateien
verwendet wurden, müssen in Ihrem Schlüsselring enthalten sein.
Initialverschlüsselung mit SGFileEncWizard
Sie können SGFileEncWizard.exe mit folgenden Parametern aufrufen:
SGFileEncWizard.exe [<startpath>] [%POLICY] [/V0 | /V1 | /V2 | /V3]
[/X] [/L<logfile>]
■
<startpath>: Verarbeite den angegebenen Pfad und seine Unterordner. Mehrere Pfaden
müssen durch Leerzeichen getrennt sein.
Hinweis:
Bei der Initialverschlüsselung auf Netzwerkfreigaben müssen Sie jede zu verschlüsselnde
Netzwerkfreigabe explizit angeben. Nur diese Pfade werden verschlüsselt. Geben Sie die
Pfade in UNC Notation an, um Probleme mit unterschiedlichen Laufwerksbuchstaben für
gemappte Netzwerkfreigaben zu vermeiden. Nur absolute Pfade sind zulässig.
■
%POLICY: Wende Synchronized Encryption Richtlinie an definierten Orten an und
verschlüssle Dateien wenn nötig neu. Es wird die Richtlinie verwendet, die an dem Endpoint
angewendet wird, wo SGFileEncWizard.exe gestartet wird.
Hinweis: Dieser Parameter kann für die Initialverschlüsselung auf Netzwerkfreigaben
weggelassen werden.
■
Parameter /V0: Keine Meldungen protokollieren.
■
Parameter /V1: Nur Fehlermeldungen protokollieren.
■
Parameter /V2: Geänderte Dateien protokollieren.
■
Parameter /V3: Alle verarbeiteten Dateien protokollieren.
■
Parameter /L<path+logfile name>: Output in die angegebene Log-Datei schreiben.
■
Parameter /X: Fenster des Assistenten verbergen.
Beispiel:
SGFileEncWizard.exe \\my-filer-1\data1\users \\my-filer-1\data2
%POLICY /V3 /X /LC:\Logging\mylogfile.xml
Die Initialverschlüsselung wird für Dateien unter \\my-filer-1\data1\users and \\my-filer-1\data2
durchgeführt. Der Assistent wird nicht angezeigt und Informationen über alle verarbeiteten
Dateien werden in mylogfile.xml geschrieben.
125
SafeGuard Enterprise
5.1.2.4 Erstellen von Richtlinien für anwendungsbasierte Dateiverschlüsselung
1. Erstellen Sie im Richtlinien Navigationsbereich eine neue Richtlinie vom Typ
Dateiverschlüsselung.
Die Registerkarte Dateiverschlüsselung wird angezeigt.
2. Wählen Sie Anwendungsbasierend (Synchronized Encryption) aus der
Verschlüsselungstyp Auswahlliste.
Applikationenliste und Umfang der Verschlüsselung Optionen werden angezeigt.
Hinweis: Informationen zum Verschlüsselungstyp Keine Verschlüsselung finden Sie
unter Richtlinien vom Typ Keine Verschlüsselung (Seite 135).
3. Wählen Sie aus der Auswahlliste die Applikationenliste, die Sie vorher erstellt haben.
4. Wählen Sie aus der Auswahlliste Umfang der Verschlüsselung eine der folgenden
Optionen:
■
Überall: Verschlüsselung auf lokale Laufwerke, Wechselmedien, Cloud-Verzeichnisse
und Netzlaufwerke angewendet. Sie können Ausnahmen definieren, wo keine
anwendungsbasierte Verschlüsselung zur Anwendung kommen soll.
Hinweis: Für OS X bedeutet Überall, dass alle Dateien in einigen vordefinierten
Verzeichnissen verschlüsselt werden und so nur von den Anwendungen auf Ihrer
Applikationenliste verwendet werden können. Diese Verzeichnisse sind:
■
Ordner <Desktop>
■
Ordner <Documents>
■
Ordner <Downloads>
■
Ordner <Music>
■
Ordner <Pictures>
■
Ordner <Videos>
■
alle Netzwerkfreigaben
■
alle Wechselmedien
■
alle unterstützten Cloud Storage Anbieter
■
temporäre Ordner, in denen Microsoft Outlook und Apple Mail Mailanhänge speichern
Wichtig: Die Anwendung von Synchronized Encryption auf Netzwerkfreigaben kann
bei manchen Benutzern Probleme hervorrufen. Wenn Dateien auf Netzwerkfreigaben
von Benutzern verschlüsselt wurden, die den Synchronized Encryption Schlüssel in
ihrem Schlüsselbund haben, können andere Benutzer, die diesen Schlüssel nicht
besitzen, diese Dateien nicht öffnen. Um dies zu vermeiden, können Sie zuerst die
Netzwerkfreigaben von der Verschlüsselung ausnehmen und die Ausnahme erst dann
aufheben, wenn alle Benutzer den Synchronized Encryption Schlüssel haben. Benutzer
erhalten ihren Schlüssel wenn eine Synchronized Encryption Richtlinie auf ihrem
Endpoint angewendet wird. Alternativ können Sie den Schlüssel manuell im Management
Center zuweisen.
■
126
Definierte Speicherorte: Hier definieren Sie Speicherorte, wo die Verschlüsselung
angewendet wird. Platzhalter für Pfad-Definitionen werden bereitgestellt. Sie können
Pfade in die Verschlüsselung einschließen oder ausschließen.
Administratorhilfe
5. Abhängig von Ihrer Auswahl bei Umfang der Verschlüsselung können Sie Pfade
definieren, wo anwendungsbasierte Verschlüsselung angewendet wird (Definierte
Speicherorte) oder Ausnahmen von der anwendungsbasierten Verschlüsselung definieren
(Überall).
Hinweis: Sie können Pfade für Windows und OS X in derselben Richtlinie definieren.
Platzhalter für die verschiedenen Systeme sind in der Auswahlliste Pfad verfügbar. Die
Spalte System zeigt, für welches Betriebssystem der Pfad gilt (Alle Systeme, Windows,
Mac OS X). Bewegen Sie den Mauszeiger über die Cloud Storage Platzhalter, um
Informationen anzuzeigen, für welches Betriebssystem Sie den Platzhalter verwenden
können.
6. Setzen Sie in der Spalte Pfad den Pfad für die Anwendungsbasierend (Synchronized
Encryption) Dateiverschlüsselung:
■
Klicken Sie auf die Dropdown-Schaltfläche und wählen Sie einen Platzhalter für einen
Ordnernamen aus der Liste der verfügbaren Platzhalter aus.
Hinweis: Wenn Sie Ihren Cursor über die Listeneinträge führen, werden Tooltips
angezeigt, die zeigen, wie ein Platzhalter üblicherweise auf einem Endpoint umgesetzt
wird. Sie können nur gültige Platzhalter für jedes Betriebssystem eingeben. Eine
Beschreibung aller verfügbaren Platzhalter finden Sie unter Platzhalter für Pfade in
anwendungsbasierten File Encryption-Regeln (Seite 128).
Wichtig: Die Verschlüsselung des gesamten Benutzerprofils mit dem Platzhalter
<User Profile> kann zu einem instabilen Windows Desktop auf dem Endpoint
führen.
■
■
Klicken Sie auf die Browse-Schaltfläche um den gewünschten Ordner im Dateisystem
auszuwählen.
Sie können auch einfach einen Pfadnamen eingeben.
7. Wählen Sie den Modus für die Verschlüsselung:
■
■
Wählen Sie für Umfang der Verschlüsselung - Definierte Speicherorte entweder
Verschlüsseln, um die Applikationen auf der Applikationenliste zur Verschlüsselung
ihrer Dateien unter diesem Pfad zu berechtigen, oder Ausschließen, wenn diese
Applikationen keine Dateien unter diesem Pfad verschlüsseln sollen. Sie können zum
Beispiel die Verschlüsselung für D:\Dokumente aktivieren und dabei das
Unterverzeichnis D:\Dokumente\Unverschlüsselt ausschließen.
Bei Umfang der Verschlüsselung - Überall können Sie nur Pfade von der
Verschlüsselung Ausschließen.
8. Fügen Sie nach Bedarf weitere Pfade hinzu.
9. Definieren Sie Einstellungen für die Initialverschlüsselung. Wählen Sie, wo bestehende
Dateien anhand der definierten Pfade verschlüsselt werden (Auf lokalen Laufwerken,
Auf Wechselmedien, Mit automatisch erkannten Cloud Storage Providern
gespeichert). Die Initialverschlüsselung startet wenn die Richtlinie am Endpoint angewendet
wird oder wenn ein Wechselmedium verbunden wird.
10. Speichern Sie Ihre Änderungen.
Hinweis: Wenn Sie die Registerkarte Dateiverschlüsselung verlassen, werden Sie
aufgefordert, Ihre Änderungen zu speichern.
11. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren
Benutzergruppen zu.
127
SafeGuard Enterprise
5.1.2.4.1
Platzhalter für Pfade in anwendungsbasierten File Encryption Verschlüsselungsregeln
Beim Angeben von Pfaden in Verschlüsselungsregeln in File Encryption Richtlinien können
die folgenden Platzhalter verwendet werden. Um diese Platzhalter auszuwählen, klicken Sie
auf die Dropdown-Schaltfläche des Felds Pfad.
Hinweis: Verwenden Sie immer umgekehrte Schrägstriche als Pfad-Trennzeichen, auch
wenn Sie Richtlinien für File Encryption für Mac OS X erstellen. Auf diese Weise können Sie
Regeln auf beiden Betriebssystemen (Windows und Mac OS X) anwenden. Am Mac OS X
Client werden die umgekehrten Schrägstriche automatisch in Schrägstriche umgewandelt,
um die Anforderungen des Mac OS X Betriebssystems zu erfüllen. Fehler bei der Verwendung
von Platzhaltern werden protokolliert. Ungültige Verschlüsselungsregeln werden protokolliert
und dann auf dem Endpoint verworfen.
Beispiel: Der Windows-Pfad <User Profile>\Dropbox\personal wird unter Mac OS
X so konvertiert: /Users/<Username>/Dropbox/personal.
Pfad-Platzhalter
Betriebssystem
(Alle=Windows
und Mac OS X)
<%environment_variable_name%> Alle
Wert auf dem Endpoint
Wert der Umgebungsvariable. Beispiel:
<%USERNAME%>.
Hinweis: Wenn Umgebungsvariablen
mehrere Speicherorte enthalten (zum
Beispiel die PATH Umgebungsvariable),
werden die Pfade nicht in mehrere Regeln
aufgeteilt. Dies verursacht einen Fehler und
die Verschlüsselungsregel ist ungültig.
128
<Desktop>
Alle
Der virtuelle Ordner, der den Desktop des
Endpoints darstellt.
<Documents>
Alle
Der virtuelle Ordner für den Desktop-Bereich
Eigene Dateien (Äquivalent zu
CSIDL_MYDOCUMENTS). Typischer Pfad:
C:\Documente und
Einstellungen\Benutzername\Eigene Dateien.
<Downloads>
Alle
Der Ordner in dem standardmäßig
Downloads gespeichert werden. Ein typischer
Pfad unter Windows ist
C:\Benutzer\Benutzername\Downloads.
<Music>
Alle
Das Dateisystemverzeichnis, das als
allgemeines Repository für Musikdateien
dient. Typischer Pfad: C:\Documente und
Einstellungen\Benutzername\Eigene
Dateien\Eigene Musik.
<Network Shares>
Alle
<Pictures>
Alle
Das Dateisystemverzeichnis, das als
allgemeines Repository für Bilddateien dient.
Typischer Pfad: C:\Documente und
Administratorhilfe
Pfad-Platzhalter
Betriebssystem
(Alle=Windows
und Mac OS X)
Wert auf dem Endpoint
Einstellungen\Benutzername\Eigene
Dateien\Eigene Bilder.
<Public>
Alle
Das Dateisystemverzeichnis, das als
allgemeines Repository für Dokumente für
alle Benutzer dient. Typischer Pfad:
C:\Benutzer\<Benutzername>\Öffentlich.
<Removables>
Alle
Zeigt auf die Root-Verzeichnisse aller
Wechselmedien.
<User Profile>
Alle
Der Profilordner des Benutzers. Typischer
Pfad: C:\Benutzer\Benutzername.
Hinweis: Die Verschlüsselung des
gesamten Benutzerprofils mit diesem
Platzhalter kann zu einem instabilen
Windows Desktop auf dem Endpoint führen.
<Videos>
Alle
Das Dateisystemverzeichnis, das als
allgemeines Repository für Videodateien für
Benutzer dient. Typischer Pfad:
C:\Documente und Einstellungen\Alle
Benutzer\Dateien\Eigene Videos.
<Cookies>
Windows
Das Dateisystemverzeichnis, das als
allgemeines Repository für Internet Cookies
dient. Typischer Pfad: C:\Documente und
Einstellungen\Benutzername\Cookies.
<Favorites>
Windows
Das Dateisystemverzeichnis, das als
allgemeines Repository für die Favoriten des
Benutzers dient. Typischer Pfad:
C:\Documente und
Einstellungen\Benutzername\Favoriten.
<Local Application Data>
Windows
Das Dateisystemverzeichnis, das als
allgemeines Daten-Repository für lokale
Applikationen (ohne Roaming) dient.
Typischer Pfad: C:\Dokumente und
Einstellungen\Benutzername\Lokale
Einstellungen\Anwendungsdaten.
<Program Data>
Windows
Das Dateisystemverzeichnis, das
Anwendungsdaten für alle Benutzer enthält.
Typischer Pfad: C:\Dokumente und
Einstellungen\Alle
Benutzer\Anwendungsdaten.
<Program Files>
Windows
Der Programme-Ordner. Typischer Pfad:
\Programme. Für 64-Bit Systeme wird dies
auf zwei Regeln erweitert: eine für 32-Bit
129
SafeGuard Enterprise
Pfad-Platzhalter
Betriebssystem
(Alle=Windows
und Mac OS X)
Wert auf dem Endpoint
Anwendungen und eine für 64-Bit
Anwendungen.
<Public Music>
Windows
Das Dateisystemverzeichnis, das als
allgemeines Repository für Musikdateien für
alle Benutzer dient. Typischer Pfad:
C:\Documente und Einstellungen\Alle
Benutzer\Eigene Musik.
<Public Pictures>
Windows
Das Dateisystemverzeichnis, das als
allgemeines Repository für Bilddateien für
alle Benutzer dient. Typischer Pfad:
C:\Documente und Einstellungen\Alle
Benutzer\Dateien\Eigene Bilder.
<Public Videos>
Windows
Das Dateisystemverzeichnis, das als
allgemeines Repository für Videodateien für
alle Benutzer dient. Typischer Pfad:
C:\Documente und Einstellungen\Alle
Benutzer\Dateien\Eigene Videos.
<Roaming>
Windows
Das Dateisystemverzeichnis, das als
allgemeines Repository für
anwendungsspezifische Daten dient.
Typischer Pfad: C:\Dokumente und
Einstellungen\Benutzername\Anwendungsdaten.
System
Windows
Der Windows Systemordner. Typischer Pfad:
C:\Windows\System32. Für 64-Bit Systeme
wird dies auf zwei Regeln erweitert: eine für
32-Bit Anwendungen und eine für 64-Bit
Anwendungen.
<Temporary Burn Folder>
Windows
Das Dateisystemverzeichnis, das als
Staging-Bereich für Dateien, die auf eine CD
geschrieben werden sollen, verwendet wird.
Typischer Pfad: C:\Dokumente und
Einstellungen\Benutzername\Lokale
Einstellungen\Microsoft\CD Burning.
<Temporary Internet Folder> Windows
<Windows>
130
Windows
Das Dateisystemverzeichnis, das als
allgemeines Repository für temporäre
Internetdateien dient. Typischer Pfad:
C:\Dokumente und
Einstellungen\Benutzername\Lokale
Einstellungen\Temporary Internet Files.
Das Windows-Verzeichnis oder SYSROOT.
Dies entspricht den Umgebungsvariablen
%windir% oder %SYSTEMROOT%.
Typischer Pfad: C:\Windows.
Administratorhilfe
Pfad-Platzhalter
Betriebssystem
(Alle=Windows
und Mac OS X)
Wert auf dem Endpoint
<Root>
Mac OS X
Mac OS X Stammverzeichnis.Wir empfehlen,
keine Richtlinien für das Stammverzeichnis
festzulegen, auch wenn dies technisch
möglich ist.
Platzhalter für Cloud Storage
Anbieter
Platzhalter für Cloud Storage
Kann in CSD-Einstellung
(Cloud Storage Definition)
verwendet werden.
Wird aufgelöst in
Box
<!Box!>
Synchronisierungsapplikation, Für
Synchronisierungsordner
Synchronsie
i rungsappkilato
i nen:
Der "Fully
qualified"-Pfad
der
Synchronisierungsapplikation,
die von der
Box-Software
benutzt wird.
Für
Synchronisierungsordner:
Der "Fully
qualified"-Pfad
des
Synchronisierungsordners,
der von der
Box-Software
benutzt wird.
Dropbox
<!Dropbox!>
Synchronisierungsapplikation, Für
Synchronisierungsordner
Synchronsie
i rungsappkilato
i nen:
Der "Fully
qualified"-Pfad
der
Synchronisierungsapplikation,
die von der
Dropbox-Software
benutzt wird.
Für
Synchronisierungsordner:
Der "Fully
qualified"-Pfad
des
Synchronisierungsordners,
der von der
Dropbox-Software
benutzt wird.
131
SafeGuard Enterprise
Anbieter
Platzhalter für Cloud Storage
Kann in CSD-Einstellung
(Cloud Storage Definition)
verwendet werden.
Egnyte
<!Egnyte!>
Synchronisierungsapplikation Der "Fully
qualified"-Pfad
der
Synchronisierungsapplikation,
die von der
Egnyte-Software
benutzt wird.
<!EgnytePrivate!>
Synchronisierungsordner
Alle privaten
Ordner in der
Egnyte Cloud
Storage. Für
Standard-Egnyte-Benutzer
ist dies in der
Regel ein
einzelner
Ordner. Für
Egnyte-Administratoren,
wird dieser
Platzhalter in
der Regel in
mehrere Ordner
umgesetzt.
<!EgnyteShared!>
Synchronisierungsordner
Alle
freigegebenen
Ordner in der
Egnyte Cloud
Storage.
Nur Windows
Wird aufgelöst in
Hinweis:
Änderungen an der Egnyte-Ordnerstruktur (auch das
Hinzufügen oder Entfernen von privaten oder freigegebenen
Ordnern) werden automatisch erkannt. Relevante Richtlinien
werden automatisch aktualisiert.
Hinweis: Da sich Egnyte-Synchronisierungsordner im
Netzwerk befinden können, können Sie bei der Einstellung
Synchronisierungsordner Netzwerkpfade eingeben. Das
SafeGuard Enterprise Cloud Storage Modul wird
standardmäßig auf Netzwerkdateisysteme angewendet.Wenn
dies nicht erforderlich ist, können Sie dieses Verhalten
deaktivieren, indem Sie eine Richtlinie vom Typ Allgemeine
Einstellungen definieren und unter Ignorierte Geräte die
Option Netzwerk auswählen.
Google Drive
132
<!GoogleDrive!>
Synchronisierungsapplikation, Für
Synchronisierungsordner
Synchronsie
i rungsappkilato
i nen:
Der "Fully
Administratorhilfe
Anbieter
Platzhalter für Cloud Storage
Kann in CSD-Einstellung
(Cloud Storage Definition)
verwendet werden.
Wird aufgelöst in
qualified"-Pfad
der
Synchronisierungsapplikation,
die von der
Google Drive
Software
benutzt wird.
Für
Synchronisierungsordner:
Der "Fully
qualified"-Pfad
des
Synchronisierungsordners,
der von der
Google Drive
Software
benutzt wird.
OneDrive
<!OneDrive!>
Synchronisierungsapplikation, Für
Synchronisierungsordner
Synchronsie
i rungsappkilato
i nen:
Der "Fully
qualified"-Pfad
der
Synchronisierungsapplikation,
die von der
OneDrive-Software
benutzt wird.
Für
Synchronisierungsordner:
Der "Fully
qualified"-Pfad
des
Synchronisierungsordners,
der von der
OneDrive-Software
benutzt wird.
Hinweis: SafeGuard Enterprise unterstützt keine Microsoft
Konten. Unter Windows 8.1 kann OneDrive nur verwendet
werden, wenn der Windows-Benutzer ein Domänenbenutzer
ist. Unter Windows 8.1 unterstützt SafeGuard Enterprise
OneDrive nicht für lokale Benutzer.
OneDrive for
Business
<!OneDriveForBusiness!> Synchronisierungsapplikation, Für
Synchronisierungsordner
Synchronsie
i rungsappkilato
i nen:
Der "Fully
qualified"-Pfad
der
Synchronisierungsapplikation,
133
SafeGuard Enterprise
Anbieter
Platzhalter für Cloud Storage
Kann in CSD-Einstellung
(Cloud Storage Definition)
verwendet werden.
Wird aufgelöst in
die von der
OneDrive-Software
benutzt wird.
Für
Synchronisierungsordner:
Der "Fully
qualified"-Pfad
des
Synchronisierungsordners,
der von der
OneDrive-Software
benutzt wird.
Hinweis: OneDrive for Business unterstützt nur das Speichern
von verschlüsselten Dateien in lokalen Ordnern und deren
Synchronisierung mit der Cloud. Das direkte Speichern von
verschlüsselten Dateien aus Microsoft Office 2013 in die
OneDrive for Business Cloud oder auf den SharePoint Server
wird nicht unterstützt. Diese Dateien werden unverschlüsselt
in der Cloud gespeichert.
Dateien, die mit SafeGuard Enterprise in der OneDrive for
Business Cloud verschlüsselt werden, können nicht mit
Microsoft Office 365 geöffnet werden.
SkyDrive
Nur Windows
<!SkyDrive!>
Synchronisierungsapplikation, Für
Synchronisierungsordner
Synchronsie
i rungsappkilato
i nen:
Der "Fully
qualified"-Pfad
der
Synchronisierungsapplikation,
die von der
OneDrive-Software
benutzt wird.
Für
Synchronisierungsordner:
Der "Fully
qualified"-Pfad
des
Synchronisierungsordners,
der von der
OneDrive-Software
benutzt wird.
Microsoft hat SkyDrive in OneDrive umbenannt, aber der
Platzhalter <!SkyDrive!> kann noch verwendet werden.
Daher können auch ältere Richtlinien mit diesem Platzhalter
und SafeGuard Enterprise Endpoints vor Version 7, die den
Platzhalter <!OneDrive!> nicht auflösen können, verwendet
134
Administratorhilfe
Anbieter
Platzhalter für Cloud Storage
Kann in CSD-Einstellung
(Cloud Storage Definition)
verwendet werden.
Wird aufgelöst in
werden. SafeGuard Enterprise Endpoints ab Version 7 können
beide Platzhalter auflösen.
5.1.2.5 Richtlinien vom Typ Keine Verschlüsselung
Werden Richtlinien entlang einer Hierarchiekette zugewiesen, so wirkt jene Richtlinie am
stärksten, die näher beim Zielobjekt (Benutzer/Computer) ist. Das bedeutet: mit der Entfernung
zum Zielobjekt verliert die Richtlinie immer mehr an Kraft - wenn nähere Richtlinien vorhanden
sind. Richtlinien vom Typ Keine Verschlüsselung können dazu verwendet werden, die
Vererbung von Verschlüsselungsrichtlinien an bestimmten Stellen in der Hierarchie zu
unterbrechen. Für untergeordnete Ebenen ist die Richtlinie vom Typ Keine Verschlüsselung
ebenfalls gültig.
Das Verhalten am Endpoint ist vom Modul und der Version abhängig.
Endpoints mit Synchronized Encryption
Richtlinien vom Typ Anwendungsbasierend (Synchronized Encryption) werden NICHT
vereinigt. Es wird immer jene Richtlinie angewendet, die in der Hierarchie dem Zielobjekt
(Benutzer/Computer) am nächsten ist. Ist sie die nächste, wird eine Richtlinie vom Typ Keine
Verschlüsselung wirksam.
Endpoints mit File Encryption Version 8
Richtlinien vom Typ Pfadbasiert werden vereinigt. Werden mehrere Richtlinien zugewiesen,
wird ihr Inhalt anhand bestimmter Regeln bewertet, siehe Regeln für die Zuweisung und
Auswertung von Richtlinien (Seite 250). Für das RSOP (Resulting Set of Policies), siehe
Pfadbasierte File Encryption-Richtlinien im RSOP (Seite 163). Innerhalb einer Zuweisung, hat
die Richtlinie mit der höchsten Priorität (1) Vorrang gegenüber einer Richtlinie mit einer
geringeren Priorität. Hat sie die höchste Priorität, wird eine Richtlinie vom Typ Keine
Verschlüsselung wirksam.
Endpoints mit File Encryption vor Version 8
Eine Richtlinie vom Typ Keine Verschlüsselung hat auf diesen Endpoints keine Auswirkung.
Endpoints mit File Encryption 7.0 und älter können die Einstellung Verschlüsselungstyp
nicht auflösen. Es gelten die Regeln von allen File Encryption Richtlinien vom Typ
Pfadbasiert.
Hinweis: Dies ist besonders dann relevant, wenn Sie Endpoints mit Version 8 und Endpoints
mit älteren Versionen gleichzeitig betreiben.
5.1.3 Outlook-Add-in
Hinweis: Das Outlook Add-In ist nur für Windows Endpoints verfügbar.
Wenn Sie E-Mails mit Anhängen an Empfänger senden, die Synchronized Encryption
verwenden, wird automatisch der Synchronized Encryption-Schlüssel verwendet. Sie brauchen
sich nicht um die Verschlüsselung und Entschlüsselung zu kümmern. Wenn Sie E-Mails an
Empfänger außerhalb Ihres Firmennetzwerks senden, ist es ratsam, Anhänge zu verschlüsseln
135
SafeGuard Enterprise
um sensible Daten zu schützen. SafeGuard Enterprise beinhaltet ein Add-In für Microsoft
Outlook, das Ihnen das Verschlüsseln von Mailanhängen erleichtert. Wenn Sie eine E-Mail
mit einem oder mehreren Anhängen versenden, werden Sie gefragt, wie Sie mit Ihren Dateien
verfahren möchten. Die verfügbaren Optionen hängen vom Verschlüsselungsstatus der
Datei(en) ab, die Sie an die Mail anhängen.
5.1.3.1 Erstellen von Richtlinien zum Aktivieren des SafeGuard Outlook Add-In
So aktivieren Sie das SafeGuard Enterprise Synchronized Encryption Outlook Add-In:
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
Die Registerkarte Allgemeine Einstellungen wird angezeigt.
2. Gehen Sie zum Abschnitt Einstellungen für das E-Mail Add-In.
3. Unter Email Add-In aktivieren wählen Sie Ja.
Das Add-In ist nun aktiv. Jedes Mal, wenn Benutzer ein E-Mail mit Anhang versenden,
werden sie gefragt, wie die Anhänge behandelt werden sollen.
Zusätzlich können Sie Listen mit Domänen anlegen und definieren, wie Anhänge behandelt
werden, die an diese bestimmten Domänen versendet werden.
4. Wählen Sie eine Methode unter Verschlüsselungsmethode für Domains auf Whitelists:
■
■
■
■
Verschlüsselt: Alle Anhänge in E-Mails an die bestimmten Domänen werden
verschlüsselt. Benutzer werden nicht gefragt.
Keine Verschlüsselung: Anhänge in E-Mails an die bestimmten Domänen werden
nicht verschlüsselt. Benutzer werden nicht gefragt.
Unverändert: Verschlüsselte Dateien werden verschlüsselt gesendet; unverschlüsselte
Dateien werden unverschlüsselt gesendet. Benutzer werden nicht gefragt.
Immer fragen: Benutzer werden jedes Mal gefragt, wie die Anhänge behandelt werden
sollen.
5. Geben Sie eine oder mehrere Domänen ein, für die die Verschlüsselungsmethode gelten
soll. Verwenden Sie bei mehreren Domänen ein Komma als Trennzeichen. Platzhalter
und teilweise definierte Domänen werden nicht unterstützt.
6. Wenn Sie die Registerkarte Allgemeine Einstellungen verlassen, werden Sie aufgefordert,
Ihre Änderungen zu speichern.
7. Klicken Sie auf Ja.
8. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren
Benutzergruppen zu.
5.1.4 Integration in Sophos Endpoint Protection
SafeGuard Enterprise Synchronized Encryption schützt Ihre Daten auf Endpoints, auf denen
bösartiges Verhalten festgestellt wird, dadurch, dass Schlüssel entzogen werden.
Wichtig: Dieses Feature ist nur verfügbar, wenn Sie web-basierte Sophos Central Endpoint
Protection gemeinsam mit SafeGuard Enterprise verwenden.
Integration in Sophos Endpoint Protection sorgt für die Kommunikation zwischen Sophos
SafeGuard und Sophos Central Endpoint Protection. Dabei wird der Sicherheitsstatus zwischen
SafeGuard Enterprise und Sophos Central Endpoint Protection ausgetauscht. Wenn Ihr
System infiziert ist, schützt SafeGuard Enterprise Ihre sensiblen Daten. Wenn keine Schlüssel
verfügbar sind, kann auf keine Daten zugegriffen werden.
136
Administratorhilfe
In diesem Fall werden Benutzer darüber informiert, dass der Systemzustand schlecht ist,
dass aber SafeGuard Enterprise ihre verschlüsselten Dateien schützt und sie deshalb nicht
auf die Daten zugreifen können. Endpoints verbleiben in diesem Zustand bis sich der
Systemzustand verbessert. Erst dann stellt SafeGuard Enterprise die Schlüssel wieder zur
Verfügung. Benutzer werden darüber informiert, dass ihr Endpoint wieder sicher ist und sie
wieder auf ihre verschlüsselten Daten zugreifen können.
In Situationen, wenn Sie den schlechten Systemzustand bestimmter Endpoints als nicht
gerechtfertigt ansehen, können Sie Benutzern den Zugriff auf ihren Schlüsselring zurückgeben,
indem Sie die Option Schlüssel auf gefährdeten Computern entziehen auf Nein setzen
und die geänderte Richtlinie auf die betroffenen Benutzergruppen anwenden, siehe Erstellen
von Richtlinien zum Entziehen von Schlüsseln auf gefährdeten Computern (Seite 137).
Wichtig: Beachten Sie, dass die Deaktivierung der Funktion Schlüssel auf gefährdeten
Computern entziehen ein Sicherheitsrisiko darstellt. Sie müssen die Situation davor sorgfältig
analysieren und beurteilen.
Der Sicherheitszustand des Computers wird im Dialog Sophos SafeGuard Client Status
am Endpoint angezeigt.
Voraussetzungen
■
Sophos Central Endpoint Protection 1.0.3 oder höher muss auf den Endpoints installiert
sein.
Hinweis: Prüfen Sie unter Programme und Funktionen, ob Sophos System Protection
verfügbar ist.
■
Eine Richtlinie vom Typ Allgemeine Einstellungen mit aktivierter Option Schlüssel auf
gefährdeten Computern entziehen muss zugewiesen sein.
5.1.4.1 Erstellen von Richtlinien zum Entziehen von Schlüsseln auf gefährdeten
Computern
So schützen Sie Daten, wenn bösartige Aktivitäten auf Endpoints festgestellt werden:
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
Die Registerkarte Allgemeine Einstellungen wird angezeigt.
2. Wechseln Sie in den Bereich Dateiverschlüsselung.
3. Wählen Sie Ja in der Dropdown-Liste Schlüssel auf gefährdeten Computern entziehen.
Nun werden Schlüssel auf Computern, wo bösartige Aktivitäten festgestellt werden,
entzogen. Eine Meldung wird protokolliert.
Hinweis: Bösartiges Verhalten wird unabhängig von den Einstellungen unter Schlüssel
auf gefährdeten Computern entziehen immer in der SafeGuard Enterprise Datenbank
protokolliert.
4. Wenn Sie die Registerkarte Allgemeine Einstellungen verlassen, werden Sie aufgefordert,
Ihre Änderungen zu speichern.
5. Klicken Sie auf Ja.
6. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren
Benutzergruppen zu.
137
SafeGuard Enterprise
5.1.5 SafeGuard Enterprise Schlüsselring für mobile Geräte mit Sophos
Mobile Control freigeben
Schlüssel im SafeGuard Enterprise Schlüsselring können in der Sophos Secure Workspace
App bereitgestellt werden. Benutzer der App können dann die Schlüssel zum Entschlüsseln,
Lesen und Verschlüsseln von Dokumenten verwenden.
Die Schlüsselringe werden zwischen SafeGuard Enterprise und Sophos Mobile Control
synchronisiert. Es werden keine Schlüssel am Sophos Mobile Control Server gespeichert.
Nur die Sophos Secure Workspace App kann die Schlüssel entschlüsseln.
Voraussetzungen
Folgende Voraussetzungen müssen für die Schlüsselring-Synchronisierung erfüllt sein:
■
Sie haben die Integration im SafeGuard Management Center eingerichtet.
■
Sie verwenden Sophos Mobile Control 6.1.
■
Sie haben ein externes Benutzermanagement für das Sophos Mobile Control 6.1 Self
Service Portal wie in der Dokumentation zu Sophos Mobile Control beschrieben eingerichtet
und verwenden dieselbe Active Directory Benutzerdatenbank, die in SafeGuard Enterprise
konfiguriert ist.
■
Sophos Secure Workspace wird von Sophos Mobile Control verwaltet.
■
Sie haben die Integration in Sophos Mobile Control eingerichtet.
■
Damit der Schlüsselring in Sophos Mobile Control verfügbar ist, müssen sich Benutzer
zumindest einmal an SafeGuard Enterprise anmelden.
Features auf Mobilgeräten
Die Schlüsselring-Synchronisierung beinhaltet folgende Features:
■
■
■
■
Die Schlüssel aus dem SafeGuard Enterprise Schlüsselring eines Benutzers sind im
Sophos Secure Workspace Schlüsselring (SSW Schlüsselring) verfügbar.
Benutzer können weiterhin lokale Schlüssel verwenden, die in ihrem SSW Schlüsselring
vor der Synchronisierung verfügbar waren.
Nachdem Sie die Schlüsselring-Synchronisierung eingerichtet haben, können Benutzer
keine neuen lokalen Schlüssel mehr erstellen.
Aus Sicherheitsgründen werden die Schlüssel des SafeGuard Enterprise Schlüsselrings
vom Gerät entfernt, wenn der Sophos Container gesperrt wird.
5.1.5.1 Einrichten der Schlüsselring-Synchronisierung
Wenn Sie die Schlüsselring-Synchronisierung aktivieren, können Benutzer von SafeGuard
Enterprise ihren Schlüsselring auch in der Sophos Secure Workspace App verwenden.
So richten Sie eine Verbindung zwischen Sophos Mobile Control und Sophos SafeGuard
Enterprise ein:
Hinweis: Sie sind dabei, Benutzer-Schlüsselringe für Mobilgeräte verfügbar zu machen.
Wenn diese Geräte den Regeln von Sophos Mobile Control (SMC) entsprechen, kann damit
auf verschlüsselte Dateien zugegriffen werden. Wir empfehlen, mit dem SMC-Administrator
138
Administratorhilfe
zusammenzuarbeiten, um Compliance-Regeln zu erstellen und so unbefugtem Zugriff auf die
Daten vorzubeugen.
1. Laden Sie in der Sophos Mobile Control Konsole die Zertifikatsdatei für den Sophos Mobile
Control Server herunter.
Klicken Sie in der seitlichen Menüleiste in der Sophos Mobile Control Konsole unter
EINSTELLUNGEN auf Einstellungen > Systemeinstellungen und klicken Sie
anschließend auf die Registerkarte SGN.
2. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
3. Wählen Sie Server.
4. Klicken Sie auf Hinzufügen.
Der Dialog Serverregistrierung wird angezeigt.
5. Verwenden Sie die Schaltfläche zum Durchsuchen, um Ihr Sophos Mobile Control
Serverzertifikat auszuwählen, das Sie heruntergeladen haben.
Wichtig: Lassen Sie den Namen im Feld Servername: unverändert.
6. Klicken Sie auf OK.
Der Sophos Mobile Control Server wird in der Registerkarte Server unter
Konfigurationspakete angezeigt.
7. Aktivieren Sie optional das Kontrollkästchen Recovery über Mobile Geräte.
Diese Option übermittelt die Recovery-Schlüssel für BitLocker und FileVault 2 an den
Sophos Mobile Control Server. Benutzer von Sophos Secure Workspace (von Sophos
Mobile Control verwaltet) können diese Schlüssel dann auf ihren Mobilgeräten anzeigen
und für die Wiederherstellung verwenden, siehe Schlüssel für die
Festplattenverschlüsselung mit mobilen Geräten synchronisieren (Seite 233).
Hinweis: Sophos Secure Workspace unterstützt Recovery per Mobilgerät ab Version 6.2.
Wir empfehlen, die Kompatibilität der Einstellungen mit Ihrem SMC-Administrator
abzustimmen, da nur kompatible Mobilgeräte Recovery-Schlüssel empfangen können.
8. Wählen Sie Pakete für Managed Clients.
9. Klicken Sie auf Konfigurationspaket hinzufügen.
10. Geben Sie einen beliebigen Namen für das Konfigurationspaket ein.
11. Wählen Sie in der Spalte Primärer Server den Sophos Mobile Control Server aus der
Auswahlliste. Ein Sekundärer Server wird nicht benötigt.
12. Wählen Sie in der Spalte Transportverschlüsselung die Option SSL.
13. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an.
14. Klicken Sie auf Konfigurationspaket erstellen.
WennSie als Modus für die Transportverschlüsselung die SSL-Verschlüsselung
ausgewählt haben, wird die Serververbindung validiert. Wenn die Verbindung fehlschlägt,
wird eine Warnungsmeldung angezeigt.
Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Nun müssen Sie
das Konfigurationspaket auf Sophos Mobile Control hochladen.
139
SafeGuard Enterprise
5.1.6 Konfigurieren von Dateiverschlüsselungseinstellungen in Richtlinien
vom Typ Allgemeine Einstellungen
Neben den in File Encryption Richtlinien vom VerschlüsselungstypAnwendungsbasierend
definierten Verschlüsselungsregeln können Sie in Richtlinien vom Typ Allgemeine
Einstellungen folgende Einstellungen für die Dateiverschlüsselung konfigurieren:
■
Vertrauenswürdige Anwendungen (meist Virenschutzsoftware)
■
Ignorierte Geräte
5.1.6.1 Konfigurieren von vertrauenswürdigen Anwendungen für anwendungsbasierte
Dateiverschlüsselung
Sie können Anwendungen als vertrauenswürdig definieren, um ihnen Zugriff auf verschlüsselte
Dateien zu geben. Dies ist zum Beispiel notwendig, damit Antivirus-Software verschlüsselte
Dateien überprüfen kann.
Hinweis: Untergeordnete Prozesse werden nicht als vertrauenswürdig eingestuft.
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche des Felds
Vertrauenswürdige Anwendungen.
3. Geben Sie im Editor-Listenfeld die Anwendungen ein, die Sie als vertrauenswürdig
definieren möchten.
■
Sie können mehrere vertrauenswürdige Anwendungen in einer Richtlinie definieren.
Jede Zeile im Editor-Listenfeld definiert jeweils eine Anwendung.
■
Anwendungsnamen müssen auf .exe enden.
■
Anwendungsnamen müssen als Fully Qualified Paths mit Laufwerk/Verzeichnis definiert
werden, zum Beispiel c:\dir\beispiel.exe. Es reicht nicht aus, nur den Dateinamen
einzugeben (zum Beispiel beispiel.exe). Aus Gründen der Benutzerfreundlichkeit
zeigt die Einzelzeilenansicht der Anwendungsliste nur die Dateinamen getrennt durch
Strichpunkte.
■
OS X: Es reicht nicht aus, nur das Anwendungspaket (zum Beispiel
/Applications/Scanner.app) einzugeben. Die Anwendung muss als
/Applications/Scanner.app/Contents/MacOS/Scanner angegeben werden.
■
Die Anwendungsnamen können dieselben Platzhalter für Windows Shell Ordner und
Umgebungsvariablen wie die Verschlüsselungsregeln in File Encryption Richtlinien
enthalten. Eine Beschreibung aller verfügbaren Platzhalter finden Sie unter Platzhalter
für Pfade in pfadbasierten File Encryption-Regeln (Seite 158).
4. Speichern Sie Ihre Änderungen.
Hinweis: Die Richtlinieneinstellungen Vertrauenswürdige Anwendungen sind
Computereinstellungen. Die Richtlinie muss daher Computern, nicht Benutzern, zugewiesen
werden. Andernfalls werden die Einstellungen nicht wirksam.
140
Administratorhilfe
5.1.6.2 Ignorierte Geräte konfigurieren
Sie können Geräte als ignoriert definieren, um sie von der Dateiverschlüsselung
auszuschließen. Sie können nur vollständige Geräte ausschließen.
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche des Felds
Ignorierte Geräte.
3. Führen Sie im Editor-Listenfeld folgende Schritte durch:
a) Wählen Sie Netzwerk wenn Sie keine Daten am Netzwerk verschlüsseln wollen.
b) Geben Sie die entsprechenden Gerätenamen an, um spezifische Geräte von der
Verschlüsselung auszuschließen. Dies ist zum Beispiel nützlich, wenn Sie Systeme
von Dritt-Anbietern ausschließen müssen.
Hinweis: Sie können die Namen der derzeit im System benutzten Geräte mit Tools
von Dritt-Anbietern (z. B. OSR Device Tree) anzeigen lassen. SafeGuard Enterprise
protokolliert alle Geräte, mit denen eine Verbindung hergestellt wird. Mit Hilfe von
Registry Keys können Sie eine Liste von verbundenen und ignorierten Geräten aufrufen.
Weitere Informationen finden Sie unter Anzeige von ignorierten und verbundenen
Geräten (Windows) (Seite 141).
Sie können einzelne (Netzwerk)-Festplattenlaufwerke von der Verschlüsselung
ausschließen, in dem Sie eine File Encryption Verschlüsselungsregel in einer File
Encryption Richtlinie erstellen und den Modus für die Verschlüsselung auf Ignorieren
einstellen. Sie können diese Einstellung nur auf durch Windows verwaltete Laufwerke,
nicht auf Mac OS X Volumes.
5.1.6.2.1
Anzeige von ignorierten und verbundenen Geräten (Windows)
Als Hilfestellung für die Definition von ignorierten Geräten können Sie mit Registry Keys
ermitteln, welche Geräte für die Verschlüsselung in Betracht gezogen werden (verbundene
Geräte) und welche Geräte derzeit ignoriert werden. Die Liste mit ignorierten Geräten enthält
nur Geräte, die tatsächlich auf dem Computer verfügbar sind und ignoriert werden. Wird ein
Gerät in einer Richtlinie als ignoriert definiert und das Gerät ist nicht verfügbar, so wird das
Gerät auch nicht aufgelistet.
Benutzen Sie folgende Registry Keys, um verbundene und ignorierte Geräte zu ermitteln:
■
HKLM\System\CurrentControlSet\Control\Utimaco\SGLCENC\Log\AttachedDevices
■
HKLM\System\CurrentControlSet\Control\Utimaco\SGLCENC\Log\IgnoredDevices
5.1.7 Anwendungsbasierte File Encryption-Richtlinien im RSOP
Da Synchronized Encryption Richtlinien nicht vereinigt werden, wird immer der Inhalt der
Richtlinie angezeigt, die gerade für einen Benutzer oder Computer in Kraft ist (Benutzer und
Computer > RSOP > Dateiverschlüsselung).
5.2 Native Device Encryption verwalten
Um Festplatten besonders schnell, einfach und zuverlässig zu verschlüsseln, greift SafeGuard
auf die Verschlüsselungstechnologie des Betriebssystems zurück. Verwalten Sie Schlüssel
und Wiederherstellungsfunktionen über BitLocker- und mit FileVault 2 verschlüsselte Laufwerke
ganz praktisch über das SafeGuard Management Center.
141
SafeGuard Enterprise
5.2.1 BitLocker Drive Encryption
BitLocker Drive Encryption ist ein in Microsoft Windows Betriebssysteme integriertes Feature
für die Festplattenverschlüsselung mit Pre-Boot Authentication. BitLocker bietet Datenschutz
durch die Verschlüsselung von Boot- sowie Daten-Laufwerken. Bei Windows 8 und höher
kann nur die BitLocker Drive Encryption (nicht die SafeGuard Festplattenverschlüsselung)
für die Festplattenverschlüsselung verwendet werden.
SafeGuard Enterprise kann BitLocker Verschlüsselung auf einem Computer verwalten. Die
BitLocker-Verschlüsselung kann aktiviert und die Verwaltung von bereits mit BitLocker
verschlüsselten Laufwerken übernommen werden.
SafeGuard Enterprise überprüft während der Installation am Endpoint und während dem
ersten Neustart, ob die Hardware die Anforderungen für BitLocker mit SafeGuard
Challenge/Response erfüllt. Falls nicht, wird die SafeGuard Enterprise BitLocker Verwaltung
ohne Challenge/Response ausgeführt. In diesem Fall kann der BitLocker Recovery-Schlüssel
mit dem SafeGuard Management Center abgerufen werden.
5.2.1.1 Authentisierung mit BitLocker-Laufwerkverschlüsselung
Die BitLocker-Laufwerkverschlüsselung bietet verschiedene Authentisierungsoptionen für
Boot- und Datenlaufwerke.
Der Sicherheitsbeauftragte kann die verschiedenen Anmeldemodi in einer Richtlinie im
SafeGuard Management Center einstellen und sie an die BitLocker Endpoints verteilen.
Für SafeGuard Enterprise BitLocker-Benutzer sind folgende Anmeldemodi verfügbar:
■
TPM (nur Boot-Laufwerke)
■
TPM + PIN (nur Boot-Laufwerke)
■
TPM + Systemstartschlüssel (nur Boot-Laufwerke)
■
Kennwort (ohne TPM)
■
Systemstartschlüssel (ohne TPM)
■
Auto-Unlock (nur Datenlaufwerke)
Weitere Informationen zum Einrichten der Anmeldemodi finden Sie unter Authentisierung
(Seite 358).
5.2.1.1.1
Trusted Platform Module (TPM)
Das TPM ist ein Modul auf dem Motherboard, das einer Smartcard ähnelt und
Verschlüsselungsfunktionen sowie Vorgänge für die digitale Signatur ausführt. Es ist in der
Lage, Benutzerschlüssel anzulegen, zu speichern und zu verwalten. Das TPM ist gegen
Angriffe geschützt.
5.2.1.1.2
PIN und Kennwörter
Die Voraussetzungen für BitLocker PINs und Kennwörter werden in den Windows
Gruppenrichtlinien festgelegt und nicht durch die SafeGuard Enterprise-Einstellungen.
Die betreffenden Einstellungen für Kennwörter sind im lokalen Gruppenrichtlinien-Editor
(gpedit.msc) zu finden:
142
Administratorhilfe
Local Computer Policy - Computer Configuration - Administrative Templates - Windows
Components - BitLocker Drive Encryption - Operating System Drives - Configure use
of passwords for operating system drives und
Local Computer Policy - Computer Configuration - Administrative Templates - Windows
Components - BitLocker Drive Encryption - Fixed Data Drives - Configure use of
passwords for fixed data drives.
Die Einstellungen können auch über Active Directory angewendet werden.
PINs bestehen in der Regel nur aus Zahlen. Es kann jedoch die Verwendung aller
Tastaturzeichen (Zahlen, Buchstaben und Sonderzeichen/Symbole) zugelassen werden. Die
Einstellung, mit der diese erweiterten PINs zugelassen werden, ist im lokalen
Gruppenrichtlinien-Editor (gpedit.msc) unter Local Computer Policy - Computer
Configuration - Administrative Templates - Windows Components - BitLocker Drive
Encryption - Operating System Drives zu finden:
Wenn "Erweiterte PINs für Systemstart zulassen" auf "Aktiviert" gesetzt ist, sind erweiterte
PINs zulässig.
Wenn "Erweiterte PINs für Systemstart zulassen" auf "Nicht konfiguriert" gesetzt ist, sind in
SafeGuard Enterprise erweiterte PINs zulässig.
Wenn "Erweiterte PINs für Systemstart zulassen" auf "Deaktiviert" gesetzt ist, sind erweiterte
PINs nicht zulässig.
Hinweis: BitLocker unterstützt nur das EN-US Tastaturlayout. Benutzer könnten daher
Probleme bei der Eingabe erweiterter PINs oder komplexer Kennwörter haben. Wird das
Tastaturlayout vor dem Festlegen der neuen BitLocker-PIN oder des neuen Bit
Locker-Kennworts nicht in EN-US geändert, muss für die Eingabe des gewünschten Zeichens
unter Umständen eine andere Taste gedrückt werden als die auf der Tastatur angegebene.
Deshalb wird vor dem Verschlüsseln des Boot-Laufwerks ein Neustart ausgeführt, um
sicherzustellen, dass der Benutzer die PIN oder das Kennwort beim Starten korrekt eingeben
kann.
5.2.1.1.3
USB-Stick
Die externen Schlüssel können auf einem ungeschützten USB-Stick gespeichert werden.
5.2.1.2 Praxistipps: Richtlinieneinstellungen und Bedienung
Der Sicherheitsbeauftragte konfiguriert die Verschlüsselungsrichtlinien für die zu
verschlüsselnden Laufwerke sowie eine Authentisierungsrichtlinie. Nach Möglichkeit sollte
immer das TPM genutzt werden, aber auch ohne TPM sollte das Boot-Volume verschlüsselt
werden. Die Benutzerinteraktion sollte auf ein Minimum beschränkt werden.
Gemäß diesen Anforderungen wählt der Sicherheitsbeauftragte die folgenden
Authentisierungseinstellungen (diese sind auch die Standardeinstellungen):
■
BitLocker Anmeldemodus für Boot-Laufwerke: TPM + PIN
■
BitLocker Fallback-Anmeldemodus für Boot-Laufwerke: Kennwort oder
Systemstartschlüssel:
■
BitLocker Anmeldemodus für Datenlaufwerke: Auto-Unlock
■
BitLocker Fallback-Anmeldemodus für Datenlaufwerke: Kennwort oder
Systemstartschlüssel:
Der Sicherheitsbeauftragte erstellt eine Geräteschutzrichtlinie mit dem Ziel Interner Speicher
und richtet für den Verschlüsselungsmodus Volume-basierend ein. Danach werden beide
Richtlinien auf die zu verschlüsselnden Endpoints angewendet.
Für SafeGuard Enterprise BitLocker-Benutzer gibt es folgende Szenarien:
143
SafeGuard Enterprise
Fall 1: Ein Benutzer meldet sich mit einem TPM bei einem Endpoint an.
1. Der Benutzer wird aufgefordert, eine PIN für das Boot-Volume einzugeben (z. B. Laufwerk
C: ).
2. Der Benutzer gibt die PIN ein und klickt auf Neu starten und verschlüsseln.
3. Das System testet die Hardware und überprüft, ob der Benutzer die PIN korrekt eingeben
kann. Es startet neu und fordert den Benutzer zur Eingabe der PIN auf.
Wenn der Benutzer die PIN richtig eingibt, wird der Endpoint gestartet.
Gibt der Benutzer die PIN nicht richtig ein (z. B. aufgrund eines falschen Tastaturlayouts),
kann er die Esc-Taste in der BitLocker Pre-Boot-Umgebung drücken, um den Test
abzubrechen, und der Endpoint wird gestartet.
Falls es ein Problem mit der Hardware gibt (z. B. wenn das TPM nicht funktioniert),
wird der Test abgebrochen und der Endpoint gestartet.
4. Der Benutzer meldet sich erneut an.
5. Wenn der Hardware-Test erfolgreich war (der Benutzer konnte die PIN richtig eingeben
und es gab kein Problem mit dem TPM), beginnt die Verschlüsselung des Boot-Volume.
Andernfalls (wenn der Test fehlschlägt), wird ein Fehler angezeigt und das Volume nicht
verschlüsselt. Schlägt der Test fehl, weil der Benutzer Esc in der Pre-Boot-Umgebung
gedrückt hat, wird der Benutzer aufgefordert, erneut eine PIN einzugeben und einen
Neustart vorzunehmen (wie in Schritt 2; die Schritte 3, 4 und 5 werden wiederholt).
6. Die Verschlüsselung des Boot-Volume beginnt.
7. Die Verschlüsselung der Daten-Volumes beginnt ebenfalls, ohne dass eine Interaktion
seitens des Benutzers erforderlich ist.
Fall 2: Ein Benutzer meldet sich bei einem Windows 8-Endpoint ohne TPM an.
1. Der Benutzer wird aufgefordert, ein Kennwort für das Boot-Volume einzugeben.
2. Der Benutzer gibt das Kennwort ein und klickt auf Neu starten und verschlüsseln.
3. Das System startet neu, führt einen Hardwaretest durch und der Benutzer meldet sich wie
im Fall oben erneut an (genau wie in Fall 1, Schritte 3 bis 6, aber die Verweise auf das
TPM sind nicht relevant und anstelle einer PIN ist ein Kennwort erforderlich.)
4. Die Verschlüsselung des Boot-Volume beginnt.
5. Die Verschlüsselung der Daten-Volumes beginnt ebenfalls, ohne dass eine Interaktion
seitens des Benutzers erforderlich ist.
Fall 3: Ein Benutzer meldet sich bei einem Windows 7-Endpoint ohne TPM an.
1. Der Benutzer wird aufgefordert, den Verschlüsselungsschlüssel für das Boot-Volume auf
einem USB-Stick zu speichern.
2. Der Benutzer steckt einen USB-Stick ein und wählt Speichern und neu starten aus.
3. Das System startet neu, führt den Hardwaretest durch und der Benutzer meldet sich erneut
an. (Gleicher Ablauf wie in den vorgenannten Fällen, aber der Benutzer muss beim Booten
den USB-Stick einstecken. Es könnte ein Hardwarefehler auftreten, wenn der USB-Stick
von der BitLocker Pre-Boot-Umgebung nicht gelesen werden kann.)
4. Die Verschlüsselung des Boot-Volume beginnt.
5. Die Verschlüsselung der Daten-Volumes beginnt ebenfalls, ohne dass eine Interaktion
seitens des Benutzers erforderlich ist.
Fall 4: Der Sicherheitsbeauftragte ändert die Richtlinie und setzt den BitLocker
Fallback-Anmeldemodus für Boot-Laufwerke auf Kennwort. Ein Benutzer meldet sich bei
einem Windows 7-Endpoint ohne TPM an.
1. Da der Endpoint kein TPM hat und Windows 7 keine Kennwörter für Boot-Volumes zulässt,
wird das Boot-Volume nicht verschlüsselt.
144
Administratorhilfe
2. Für jedes Nicht-Boot-Volume wird der Benutzer aufgefordert, den externen Schlüssel auf
einem USB-Stick zu speichern. Die Verschlüsselung des betreffenden Volume beginnt,
sobald der Benutzer auf Speichern klickt.
3. Wenn der Benutzer den Endpoint neu startet, muss der USB-Stick eingesteckt sein, damit
die Nicht-Boot-Volumes entsperrt werden.
5.2.1.3 Voraussetzungen für die Verwaltung von BitLocker auf Endpoints
■
Um die Anmeldemethoden TPM + PIN, TPM + Systemstartschlüssel,
Systemstartschlüssel oder Kennwort verwenden zu können, muss die Gruppenrichtlinie
Zusätzliche Authentifizierung beim Start anfordern entweder in Active Directory oder
lokal auf Computern aktiviert werden. Im Editor für lokale Gruppenrichtlinien (gpedit.msc)
kann die Gruppenrichtlinie hier gefunden werden:
Richtlinien für Lokaler Computer\Computerkonfiguration\Administrative
Vorlagen\Windows-Komponenten\BitLocker
Laufwerksverschlüsselung\Betriebssystemlaufwerke
Um Systemstartschlüssel zu verwenden, müssen Sie auch BitLocker ohne kompatibles
TPM zulassen in den Gruppenrichtlinien aktivieren.
■
Um TPM + PIN auf Tablets verwenden zu können, müssen Sie auch die Gruppenrichtlinie
Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor
dem Starten auf Slates aktivieren aktivieren.
Hinweis: Die Gruppenrichtlinien sind bei der Installation auf dem Endpoint automatisch
aktiviert. Stellen Sie sicher, dass die Einstellungen nicht von anderen Gruppenrichtlinien
überschrieben werden.
■
Eine BitLocker-Geräteschutzrichtlinie, die die Konfiguration eines TPM-basierten
Authentifizierungsmechanismus (zum Beispiel TPM, TPM+PIN, TPM +
Systemstartschlüssel) auslöst, leitet automatisch die TPM-Aktivierung ein. Der Benutzer
wird informiert, dass das TPM aktiviert werden muss, und erhält eine Nachricht, wenn das
System neugestartet oder heruntergefahren werden muss (abhängig von dem verwendeten
TPM).
Hinweis: Wenn SafeGuard BitLocker Management auf einem Endpoint installiert ist, dann
kann Nicht vorbereitet als Verschlüsselungsstatus eines Laufwerks angezeigt werden.
Das bedeutet, dass das Laufwerk momentan nicht mit BitLocker verschlüsselt werden
kann, weil notwendige Vorbereitungen noch nicht durchgeführt wurden. Das trifft nur auf
verwaltetete Endpoints zu, weil nicht verwaltetete Endpoints keine Bestandsinformationen
melden können.
Siehe auch Registerkarte Laufwerke (Seite 258).
Der Systemstatus kann mit dem Befehlszeilentool SGNState überprüft werden
(Administratorberechtigungen erforderlich). Nähere Informationen finden Sie im SafeGuard
Enterprise Tools Guide. Volume Info: Gibt an, ob der Endpoint angemessen für die
BitLocker-Verschlüsselung vorbereitet ist oder nicht. In manchen Fällen muss das
Windows-Tool zur Laufwerkvorbereitung auf BitLocker ausgeführt werden.
5.2.1.3.1
SafeGuard Challenge/Response für BitLocker
Um SafeGuard Enterprise BitLocker Challenge/Response verwenden zu können, müssen
die folgenden Voraussetzungen erfüllt sein:
■
64-Bit-Windows
■
UEFI Version 2.3.1 oder höher
145
SafeGuard Enterprise
■
Microsoft UEFI Zertifikat ist verfügbar oder Secure Boot ist deaktiviert.
■
NVRAM Booteinträge sind von Windows aus zugänglich
■
Windows im GPT-Modus installiert
■
Die Hardware ist in der POACFG.xml Datei nicht aufgelistet.
Sophos liefert eine Standard POACFG.xml Datei, die im Setup eingebettet ist. Es wird
empfohlen, die neueste Datei herunterzuladen und dem Installationsprogramm
bereitzustellen
SafeGuard Enterprise überprüft während der Installation am Endpoint und während dem
ersten Neustart, ob die Hardware die Anforderungen für BitLocker mit SafeGuard
Challenge/Response erfüllt. Falls nicht, wird die SafeGuard Enterprise BitLocker Verwaltung
ohne Challenge/Response ausgeführt. In diesem Fall kann der BitLocker Recovery-Schlüssel
mit dem SafeGuard Policy Editor abgerufen werden.
5.2.1.4 BitLocker Drive Encryption mit SafeGuard Enterprise verwalten
Mit SafeGuard Enterprise können Sie BitLocker Drive Encryption vom SafeGuard Management
Center aus verwalten, wie einen nativen SafeGuard Enterprise Client. Als
Sicherheitsbeauftragter können Sie Verschlüsselungs- und Authentisierungsrichtlinien
einrichten und an die BitLocker-Endpoints verteilen.
Während der Installation des SafeGuard Enterprise-Client auf Windows 7 muss die
BitLocker-Funktion explizit ausgewählt werden, um die BitLocker-Verwaltung zu ermöglichen.
Sobald ein BitLocker Endpoint bei SafeGuard Enterprise registriert ist, werden Informationen
zu Benutzer, Computer, Anmeldemodus und Verschlüsselungsstatus angezeigt. Darüber
hinaus werden Ereignisse für BitLocker Clients protokolliert.
Die Verwaltung von BitLocker Clients in SafeGuard Enterprise ist transparent. Das heißt, die
Verwaltungsfunktionen haben im Allgemeinen dieselbe Funktionsweise für BitLocker und
native SafeGuard Enterprise Clients. Der Computertyp lässt sich über die Registerkarte
Bestand eines Containers unter Benutzer und Computer ermitteln. Die Spalte
Verschlüsselungstyp zeigt an, ob es sich bei dem betreffenden Computer um einen
BitLocker-Client handelt.
Die zentrale und vollständig transparente Verwaltung von BitLocker durch SafeGuard Enterprise
ermöglicht somit die Anwendung in heterogenen IT-Umgebungen. SafeGuard Enterprise
erweitert die Funktionalität von BitLocker signifikant. Über SafeGuard Enterprise lassen sich
die Sicherheitsrichtlinien für BitLocker zentral ausrollen. Bei der Verwaltung von BitLocker
über SafeGuard Enterprise stehen darüber hinaus äußerst wichtige Prozesse, wie
Schlüsselverwaltung und Schlüssel-Recovery, zur Verfügung.
Informationen zur SafeGuard Enterprise-Unterstützung der BitLocker To Go-Erweiterung in
Windows 7 und 8 finden Sie unter BitLocker To Go (Seite 150).
5.2.1.5 Verschlüsselung mit dem von SafeGuard Enterprise verwalteten BitLocker
Mit der BitLocker Drive Encryption-Unterstützung in SafeGuard Enterprise können Sie
Boot-Volumes und Daten-Volumes mit BitLocker-Verschlüsselung und -Schlüsseln
verschlüsseln. Darüber hinaus können Daten, z. B. von Wechselmedien, mit SafeGuard
Enterprise dateibasierender Verschlüsselung und SafeGuard Enterprise-Schlüsseln
verschlüsselt werden. Dies ist keine BitLocker-Funktion, wird aber von SafeGuard Enterprise
bereitgestellt.
146
Administratorhilfe
5.2.1.5.1
BitLocker-Verschlüsselungsschlüssel
Bei der Verschlüsselung des Boot-Volumes oder anderer Volumes mit BitLocker über
SafeGuard Enterprise werden die Verschlüsselungsschlüssel immer durch BitLocker erzeugt.
BitLocker erzeugt jeweils einen Schlüssel für jedes Volume. Dieser Schlüssel lässt sich für
keinen anderen Zweck verwenden.
Eine Sicherungskopie des Schlüssels wird in der SafeGuard Enterprise Datenbank gespeichert,
wenn BitLocker mit SafeGuard Enterprise verwendet wird. Dies ermöglicht die Einrichtung
eines Helpdesk- und Recovery-Mechanismus (ähnlich der SafeGuard Enterprise
Challenge/Response Funktionalität).
Es ist jedoch nicht möglich, Schlüssel global auszuwählen oder wiederzuverwenden, wie dies
bei nativen SafeGuard Enterprise Clients der Fall ist. Die Schlüssel werden außerdem auch
nicht im SafeGuard Management Center angezeigt.
Hinweis: BitLocker erlaubt Ihnen auch, Recovery-Schlüssel im Active Directory zu sichern.
Falls dies in den Gruppenrichtlinienobjekten (GPOs) aktiviert ist, dann wird dies automatisch
durchgeführt, wenn ein Laufwerk mit BitLocker verschlüsselt ist. Wenn ein Laufwerk bereits
verschlüsselt ist, kann der Administrator die BitLocker Recovery-Schlüssel händisch mit dem
Windows Manage-BDE tool sichern (siehe "manage-bde -protectors -adbackup -?").
5.2.1.5.2
BitLocker-Algorithmen in SafeGuard Enterprise
BitLocker unterstützt die folgenden Advanced Encryption Standard (AES) Algorithmen:
■
AES-128
■
AES-256
AES-128 mit Diffuser und AES-256 mit Diffuser werden nicht mehr unterstützt. Laufwerke,
die bereits mit einem Algorithmus mit Diffuser verschlüsselt wurden, können mit SafeGuard
Enterprise verwaltet werden.
5.2.1.5.3
Verschlüsselungsrichtlinien für die BitLocker-Laufwerkverschlüsselung
Der Sicherheitsbeauftragte kann eine Richtlinie für die (Erst-)Verschlüsselung im SafeGuard
Management Center anlegen und diese an die BitLocker Endpoints verteilen. Die Richtlinie
wird daraufhin auf den Endpoints ausgeführt. Die in der Richtlinie angegebenen Laufwerke
werden daraufhin mit BitLocker verschlüsselt.
Da die BitLocker Clients im SafeGuard Management Center transparent verwaltet werden,
muss der Sicherheitsbeauftragte keine speziellen BitLocker-Einstellungen für die
Verschlüsselung vornehmen. SafeGuard Enterprise kennt den Status der Clients und wählt
die BitLocker-Verschlüsselung entsprechend. Wird ein BitLocker Client mit SafeGuard
Enterprise installiert und wird die Volume-Verschlüsselung aktiviert, so werden die Volumes
durch die BitLocker-Laufwerkverschlüsselung verschlüsselt.
Ein BitLocker Endpoint verarbeitet Richtlinien vom Typ Geräteschutz und Authentisierung.
Die folgenden Einstellungen werden am Endpoint ausgewertet:
Einstellungen in einer Richtlinie des Typs Geräteschutz:
Ziel:Lokale Datenträger | Interner Speicher | Boot-Laufwerke | Andere Laufwerke
| Laufwerksbuchstaben A: -Z:
Verschlüsselungsmodus für MedienVolume-basierend | Keine Verschlüsselung
Algorithmus für die VerschlüsselungAES128 | AES256
Schnelle InitialverschlüsselungJa | Nein
147
SafeGuard Enterprise
Nähere Informationen finden Sie unter Geräteschutz (Seite 376).
Einstellungen in einer Richtlinie des Typs Authentifizierung:
BitLocker Anmeldemodus für Boot-Laufwerke:TPM | TPM + PIN | TPM +
Systemstartschlüssel | Systemstartschlüssel |
BitLocker Fallback-Anmeldemodus für Boot-Laufwerke:Systemstartschlüssel |
Kennwort | Kennwort oder Systemstartschlüssel | Fehler
BitLocker Anmeldemodus für Datenlaufwerke: Auto-Unlock | Kennwort |
Systemstartschlüssel
BitLocker Fallback-Anmeldemodus für Datenlaufwerke: Systemstartschlüssel |
Kennwort oder Systemstartschlüssel | Kennwort
Nähere Informationen finden Sie unter Authentisierung (Seite 358).
Alle anderen Einstellungen werden vom BitLocker Endpoint ignoriert.
5.2.1.5.4
Verschlüsselung auf einem durch BitLocker geschützten Computer
Vor Beginn der Verschlüsselung werden von BitLocker die Verschlüsselungsschlüssel generiert.
Abhängig vom System kann das Verhalten leicht abweichen.
Endpoints mit TPM
Wenn der Sicherheitsbeauftragte einen Anmeldemodus für BitLocker einrichtet, der TPM
(TPM, TPM+PIN oder TPM + Systemstartschlüssel) beinhaltet, wird die TPM-Aktivierung
automatisch eingeleitet.
Das TPM (Trusted Platform Module) ist ein Hardware-Gerät, das BitLocker zum Speichern
seiner Verschlüsselungsschlüssel verwendet. Die Schlüssel werden nicht auf der Festplatte
des Computers gespeichert. Während des Startvorgangs muss das BIOS (Basic Input/Output
System) auf TPM zugreifen können. Wenn der Benutzer den Computer startet, bezieht
BitLocker diese Schlüssel automatisch vom TPM.
Endpoints ohne TPM
Wenn ein Endpoint nicht mit TPM ausgestattet ist, kann ein BitLocker-Systemstartschlüssel
oder – falls auf dem Endpoint Windows 8 oder höher ausgeführt wird – ein Kennwort als
Anmeldemodus verwendet werden.
Ein BitLocker-Systemstartschlüssel kann mit einem USB-Stick zum Speichern der
Verschlüsselungsschlüssel generiert werden. Der Benutzer muss den Stick immer beim
Starten des Computers einstecken.
Wenn SafeGuard Enterprise BitLocker aktiviert, werden die Benutzer aufgefordert, den
BitLocker-Systemstartschlüssel zu speichern. Es öffnet sich ein Dialog, in dem die gültigen
Ziellaufwerke zum Speichern des Systemstartschlüssels angezeigt werden.
Hinweis: Bei Bootlaufwerken ist es wesentlich, dass der Systemstartschlüssel verfügbar ist,
wenn Sie den Endpoint starten. Der Systemstartschlüssel kann daher nur auf einem
Wechselmedium gespeichert werden.
Bei Daten-Volumes kann der BitLocker-Systemstartschlüssel auf einem verschlüsselten
Boot-Volume gespeichert werden. Dies erfolgt automatisch, wenn Auto-Unlock in der Richtlinie
festgelegt ist.
148
Administratorhilfe
BitLocker Recovery-Schlüssel
Für die BitLocker Recovery sieht SafeGuard Enterprise ein Challenge/Response-Verfahren
vor, das es erlaubt, Informationen vertraulich auszutauschen und die BitLocker
Recovery-Schlüssel beim Helpdesk abzurufen (siehe Response für mit BitLocker verschlüsselte
SafeGuard Enterprise Clients - UEFI-Endpoints (Seite 151) und Recovery-Schlüssel für mit
BitLocker verschlüsselte SafeGuard Enterprise Clients - BIOS-Endpoints (Seite 152)).
Damit Recovery-Vorgänge über Challenge/Response durchgeführt werden können oder ein
Abruf des Recovery-Schlüssels möglich ist, müssen die notwendigen Daten dem Helpdesk
zur Verfügung gestellt werden. Die für den Recovery-Vorgang erforderlichen Daten werden
in spezifischen Schlüssel-Recovery-Dateien gespeichert.
Hinweis: Wenn SafeGuard BitLocker Verwaltung ohne Challenge/Response auf einem
Standalone-Endpoint verwendet wird, dann wird der Recovery-Schlüssel nach einem
Recovery-Vorgang nicht geändert.
Hinweis: Wenn eine mit BitLocker verschlüsselte Festplatte in einem Computer durch eine
neue Festplatte ersetzt wird, diese den Laufwerksbuchstaben der alten Festplatte erhält und
ebenfalls mit BitLocker verschlüsselt wird, speichert SafeGuard Enterprise nur den BitLocker
Recovery-Schlüssel der neuen Festplatte.
Verwaltung von Laufwerken, die bereits mit BitLocker verschlüsselt
sind
Sollte es bei der Installation von SafeGuard Enterprise auf Ihrem Computer Laufwerke geben,
die bereits mit BitLocker verschlüsselt sind, übernimmt SafeGuard Enterprise die Verwaltung
dieser Laufwerke.
Verschlüsselte Bootlaufwerke
■
■
Abhängig von der verwendeten SafeGuard Enterprise BitLocker Unterstützung werden
Sie möglicherweise aufgefordert, Ihren Computer neu zu starten. Es ist wichtig, dass Sie
den Neustart so bald als möglich durchführen.
Wenn für das verschlüsselte Laufwerk eine SafeGuard Enterprise-Verschlüsselungsrichtlinie
gilt:
■
■
■
SafeGuard Enterprise BitLocker Challenge/Response ist installiert: Die Verwaltung
wird übernommen und SafeGuard Enterprise Challenge/Response ist möglich.
SafeGuard Enterprise BitLocker ist installiert: Die Verwaltung wird übernommen und
Recovery ist möglich.
Wenn für das verschlüsselte Laufwerk keine SafeGuard
Enterprise-Verschlüsselungsrichtlinie gilt:
■
■
SafeGuard Enterprise BitLocker Challenge/Response ist installiert: Es wird keine
Verwaltung übernommen und SafeGuard Enterprise Challenge/Response ist nicht
möglich.
SafeGuard Enterprise BitLocker ist installiert: Recovery ist möglich.
Verschlüsselte Festplatten
■
Wenn für das verschlüsselte Laufwerk eine SafeGuard Enterprise-Verschlüsselungsrichtlinie
gilt:
Die Verwaltung wird übernommen und Recovery ist möglich.
149
SafeGuard Enterprise
■
Wenn für das verschlüsselte Laufwerk keine SafeGuard
Enterprise-Verschlüsselungsrichtlinie gilt:
SafeGuard Enterprise Recovery ist möglich.
5.2.1.5.5
Entschlüsselung mit BitLocker
Computer, die mit BitLocker verschlüsselt wurden, lassen sich nicht automatisch entschlüsseln.
Die Entschlüsselung kann entweder über den Menüpunkt BitLocker Drive Encryption in
der Systemsteuerung oder mit dem Microsoft Befehlszeilentool "Manage-bde" ausgeführt
werden.
Um Benutzern zu erlauben, mit BitLocker verschlüsselte Laufwerke händisch zu entschlüsseln,
muss dem Endpoint eine Richtlinie ohne Verschlüsselungsregel für ein BitLocker
verschlüsseltes Laufwerk zugewiesen werden. Der Benutzer kann dann die Entschlüsselung
durch Deaktivieren von BitLocker für das gewünschte Laufwerk unter BitLocker Drive
Encryption in der Systemsteuerung auslösen.
5.2.1.6 BitLocker To Go
Ab Windows 7 wurde die BitLocker -Laufwerkverschlüsselung mit BitLocker To Go erweitert,
so dass Benutzer auch Volumes auf Wechselmedien verschlüsseln können. BitLocker To Go
kann nicht durch SafeGuard Enterprise verwaltet werden.
BitLocker To Go kann verwendet werden, wenn die Client-Komponenten für SafeGuard
Enterprise BitLocker Unterstützung installiert wurden.
Wenn die Client-Komponenten für die volume-basierende Verschlüsselung von SafeGuard
Enterprise installiert wurden, dann ist BitLocker To Go nicht kompatibel und wird deaktiviert.
Volumes und Wechselmedien, die vor der Installation von SafeGuard Enterprise mit BitLocker
To Go verschlüsselt wurden, bleiben lesbar. Die dateibasierende Verschlüsselung von
SafeGuard kann verwendet werden.
5.2.1.6.1
Deaktivieren der BitLocker To Go Verschlüsselung
1. Wählen Sie im Windows Gruppenrichtlinien-Editor Local Computer Policy\Computer
Configuration\Administrative Templates\Windows Components\BitLocker Drive
Encryption\Removable Data Drives.
2. Unter Wechseldatenträger wählen Sie die folgende Richtlinie: Verwendung von BitLocker
auf Wechseldatenträgern steuern. Setzen Sie die Optionen wie folgt:
a) Wählen Sie Aktiviert.
b) Deaktivieren Sie unter Optionen die Option Benutzer können BitLocker-Schutz auf
Wechseldatenträgern anwenden.
c) Wählen Sie unter Optionen die Option Benutzer können BitLocker-Schutz auf
Wechseldatenträgern anhalten und entschlüsseln.
3. Klicken Sie auf OK.
BitLocker To Go Verschlüsselung wird auf den Endpoints deaktiviert. Der Benutzer kann neue
Laufwerke nicht mehr mit BitLocker To Go verschlüsseln. Laufwerke, die bereits vor
Bereitstellung der nativen SafeGuard Enterprise Device Encryption Client-Komponenten mit
BitLocker To Go verschlüsselt wurden, bleiben lesbar.
Die Registry-Einstellungen auf dem Client werden folgendermaßen gesetzt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE]
"RDVConfigureBDE"=dword:00000001
"RDVAllowBDE"=dword:00000000
150
Administratorhilfe
"RDVDisableBDE"=dword:00000001
Diese Registry-Einstellungen werden auch während der Installation der SafeGuard Enterprise
Device Encryption Client-Komponenten gesetzt. BitLocker To Go wird somit auch auf
Computern ohne Domain-Verwaltung (Endpoints in einer Arbeitsgruppe) oder
Standalone-Endpoints deaktiviert.
5.2.1.7 Protokollierte Ereignisse für BitLocker
Vom BitLocker Client gemeldete Ereignisse werden wie für alle anderen SafeGuard Enterprise
Clients protokolliert. Dabei wird nicht explizit erwähnt, dass sich das Ereignis auf einen
BitLocker Client bezieht. Die Berichte entsprechen den für jeden anderen SafeGuard Enterprise
Client erzeugten Berichten.
5.2.1.8 Recovery für BitLocker
Abhängig vom System bietet SafeGuard Enterprise ein Challenge/Response-Verfahren für
die Recovery oder die Möglichkeit, beim Helpdesk den Recovery-Schlüssel zu beschaffen.
Informationen darüber, welche Voraussetzungen für SafeGuard Enterprise Challenge/Response
erfüllt sein müssen, finden Sie unter Voraussetzungen für die Verwaltung von BitLocker auf
Endpoints (Seite 145).
5.2.1.8.1
Response für mit BitLocker verschlüsselte SafeGuard Enterprise Clients - UEFI Endpoints
Für UEFI Endpoints, die bestimmte Voraussetzungen erfüllen, bietet SafeGuard Enterprise
ein Challenge/Response-Verfahren zum Recovery. Auf UEFI Endpoints, die die
Voraussetzungen nicht erfüllen, wird automatisch SafeGuard BitLocker ohne
Challenge/Response installiert. Informationen über die Wiederherstellung dieser Endpoints
finden Sie unter Recovery-Schlüssel für mit BitLocker verschlüsselte SafeGuard Enterprise
Clients - BIOS-Endpoints (Seite 152).
1. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client
(Managed).
2. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste.
3. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn
aus. Hierzu gibt es mehrere Möglichkeiten:
■
Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt
suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten
Computer aus und klicken Sie auf OK. Der Computername wird auf der Seite
Recovery-Typ angezeigt.
■
Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter
klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird
als Distinguished Name angezeigt.
■
Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel:
CN=Desktop1,OU=Development,OU=Headquarter,DC=Sophos,DC=edu
4. Klicken Sie auf Weiter.
5. Wählen Sie das Volume, auf das zugegriffen werden soll, aus der Liste und klicken Sie
auf Weiter.
6. Klicken Sie auf Weiter.
Eine Seite für die Eingabe des Challenge-Codes wird angezeigt.
7. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter.
151
SafeGuard Enterprise
8. Es wird ein Response-Code erzeugt. Teilen Sie dem Benutzer den Response-Code mit.
Hierzu steht eine Buchstabierhilfe zur Verfügung. Sie können den Response-Code auch
in die Zwischenablage kopieren.
Der Benutzer kann den Response-Code eingeben und wieder auf den Endpoint zugreifen.
5.2.1.8.2
Recovery-Schlüssel für mit BitLocker verschlüsselte SafeGuard Enterprise Clients - BIOS
Endpoints
Bei mit BitLocker verschlüsselten Computern lässt sich ein Volume, auf das nicht mehr
zugegriffen werden kann, wiederherstellen.
1. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client
(Managed).
2. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste.
3. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn
aus. Hierzu gibt es mehrere Möglichkeiten:
■
Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt
suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten
Computer aus und klicken Sie auf OK. Der Computername wird im Fenster
Recovery-Typ unter Domäne angezeigt.
■
Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter
klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird
als Distinguished Name angezeigt.
■
Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel:
CN=Desktop1,OU=Development,OU=Headquarter,DC=Utimaco,DC=edu
4. Klicken Sie auf Weiter.
5. Wählen Sie das Volume, auf das zugegriffen werden soll, aus der Liste und klicken Sie
auf Weiter.
6. Der Recovery-Assistent zeigt den 48-stelligen Recovery-Schlüssel an.
7. Teilen Sie dem Benutzer diesen Schlüssel mit.
Der Benutzer kann den Schlüssel eingeben, um den Zugriff auf das mit BitLocker verschlüsselte
Volume auf dem Endpoint wiederherzustellen.
5.2.2 FileVault 2 Verschlüsselung
FileVault 2 ist eine in OS X eingebaute Verschlüsselungstechnogie, die das ganze Laufwerk
schützt und von SafeGuard Enterprise verwaltet werden kann.
5.2.2.1 FileVault 2 Festplattenverschlüsselung mit SafeGuard Enterprise verwalten
Mit SafeGuard Enterprise können Sie FileVault 2 Festplattenverschlüsselung vom SafeGuard
Management Center aus verwalten, wie einen nativen SafeGuard Enterprise Client.
Die SafeGuard Enterprise Client Installation beinhaltet nicht auch die Komponente für die
Verwaltung von FileVault 2. Sie muss separat installiert werden. Nähere Informationen finden
Sie in Ihrer Dokumentation für Sophos SafeGuard Native Device Encryption für Mac.
Die zentrale und vollständig transparente Verwaltung von FileVault2 durch SafeGuard
Enterprise ermöglicht die Anwendung in heterogenen IT-Umgebungen. Sicherheitsrichtlinien
für verschiedene Plattformen können zentral ausgerollt werden.
152
Administratorhilfe
5.2.2.2 Verwalten von FileVault 2 Endpoints im SafeGuard Management Center
Im SafeGuard Management Center lassen sich FileVault 2 Endpoints wie andere native
SafeGuard Endpoints verwalten. Als Sicherheitsbeauftragter können Sie
Verschlüsselungsrichtlinien für die FileVault 2 Endpoints einrichten und verteilen.
Sobald ein FileVault 2 Endpoint bei SafeGuard Enterprise registriert ist, werden Informationen
zu Benutzer, Computer, Anmeldemodus und Verschlüsselungsstatus angezeigt. Darüber
hinaus werden Ereignisse für FileVault 2 Clients protokolliert.
Die Verwaltung von FileVault 2 Clients in SafeGuard Enterprise ist transparent. Das heißt,
die Verwaltungsfunktionen haben im Allgemeinen dieselbe Funktionsweise für FileVault 2
und native SafeGuard Enterprise Clients. Der Computertyp lässt sich in der Registerkarte
Bestand eines Containers unter Benutzer & Computer ermitteln. Die Spalte POA-Typ zeigt
an, ob es sich bei dem betreffenden Computer um einen FileVault 2 Client handelt.
5.2.2.3 Verschlüsselungsrichtlinien für FileVault 2 Festplattenverschlüsselung
Der Sicherheitsbeauftragte kann eine Richtlinie für die Verschlüsselung im SafeGuard
Management Center anlegen und diese an die FileVault 2 Endpoints verteilen. Die Richtlinie
wird daraufhin auf den Endpoints ausgeführt.
Da die FileVault 2 Endpoints im SafeGuard Management Center transparent verwaltet werden,
muss der Sicherheitsbeauftragte keine speziellen FileVault 2-Einstellungen für die
Verschlüsselung vornehmen. SafeGuard Enterprise kennt den Status der Clients und wählt
die FileVault 2-Verschlüsselung entsprechend.
Ein FileVault 2 Endpoint verarbeitet nur Richtlinien des Typs Geräteschutz mit dem Ziel
Boot-Laufwerke und einem Verschlüsselungsmodus für Medien, der auf
Volume-basierend oder Keine Verschlüsselung gesetzt ist. Alle anderen
Richtlinieneinstellungen werden ignoriert.
Volume-basierend aktiviert FileVault 2 auf dem Endpoint.
Keine Verschlüsselung erlaubt dem Benutzer den Mac zu entschlüsseln.
5.2.2.4 Recovery-Schlüssel für Mac-Endpoints
Der Zugriff auf mit FileVault 2 verschlüsselte SafeGuard Enterprise Clients kann mit folgenden
Schritten wiederhergestellt werden:
1. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client
(Managed).
2. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste.
3. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn
aus. Hierzu gibt es mehrere Möglichkeiten:
■
Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt
suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten
Computer aus und klicken Sie auf OK. Der Computername wird im Fenster
Recovery-Typ unter Domäne angezeigt.
■
Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter
klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird
als Distinguished Name angezeigt.
■
Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel:
CN=Desktop1,OU=Development,OU=Headquarter,DC=Utimaco,DC=edu
153
SafeGuard Enterprise
4. Klicken Sie auf Weiter.
5. Der Recovery-Assistent zeigt den 24-stelligen Recovery-Schlüssel an.
6. Teilen Sie dem Benutzer diesen Schlüssel mit.
Der Benutzer kann den Recovery-Schlüssel eingeben, um sich am Mac-Endpoint anzumelden
und das Kennwort zurückzusetzen.
5.3 Pfadbasierte Dateiverschlüsselung
Das SafeGuard Enterprise Modul File Encryption bietet pfadbasierte Dateiverschlüsselung
auf lokalen Festplatten und im Netzwerk, speziell für Arbeitsgruppen bei Netzwerkfreigaben.
Im SafeGuard Management Center definieren Sie die Regeln für die dateibasierende
Verschlüsselung in File Encryption Richtlinien. In diesen Richtlinien geben Sie die Zielordner
für File Encryption, den Verschlüsselungsmodus und den Schlüssel für die Verschlüsselung
an. In Richtlinien vom Typ Allgemeine Einstellungen können Sie festlegen, wie bestimmte
Anwendungen und Dateisysteme auf Endpoints in Zusammenhang mit File Encryption
behandelt werden sollen. Sie können ignorierte und vertrauenswürdige Anwendungen sowie
ignorierte Geräte angeben. Außerdem können Sie die persistente Verschlüsselung für File
Encryption aktivieren.
Für die Verschlüsselung können persönliche Schlüssel verwendet werden. Ein persönlicher
Schlüssel, der für einen Benutzer aktiv ist, gilt nur für diesen bestimmten Benutzer und kann
nicht anderen Benutzern zugewiesen oder mit diesen gemeinsam benutzt werden. Sie können
persönliche Schlüssel im SafeGuard Management Center unter Benutzer & Computer
erzeugen.
Wenn Endpoints eine File Encryption Richtlinie zugewiesen wurde, werden die Dateien in
den von der Richtlinie abgedeckten Speicherorten ohne Benutzerinteraktion transparent
verschlüsselt:
■
Neue Dateien in den relevanten Speicherorten werden automatisch verschlüsselt.
■
Wenn Benutzer den Schlüssel für eine verschlüsselte Datei haben, können sie den Inhalt
lesen und ändern.
■
Wenn Benutzer den Schlüssel für eine verschlüsselte Datei nicht haben, wird der Zugriff
verweigert.
■
Wenn ein Benutzer auf einem Endpoint, auf dem File Encryption nicht installiert ist, auf
eine verschlüsselte Datei zugreift, wird der verschlüsselte Inhalt angezeigt.
Sind in den durch die Verschlüsselungsrichtlinie abgedeckten Speicherorten bereits Dateien
vorhanden, so werden diese nicht automatisch verschlüsselt. Die Benutzer müssen auf dem
Endpoint eine Initialverschlüsselung im SafeGuard Assistent für Dateiverschlüsselung
durchführen. Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise
Benutzerhilfe.
Hinweis:
SafeGuard File Encryption ist mit der in Windows integrierten EFS-Verschlüsselung und
Dateikomprimierung nicht kompatibel. Wenn die EFS-Verschlüsselung aktiviert ist, erhält sie
Priorität vor etwaig anwendbaren File Encryption Verschlüsselungsregeln. In den relevanten
Ordnern angelegte Dateien können in diesem Fall nicht von File Encryption verschlüsselt
werden. Wenn die Komprimierung aktiviert ist, hat die Verschlüsselung durch File Encryption
eine höhere Priorität. Dateien werden verschlüsselt, jedoch nicht komprimiert. Um Dateien
mit File Encryption zu verschlüsseln, muss die EFS-Verschlüsselung oder die Komprimierung
zunächst deaktiviert werden. Dies kann manuell oder durch Ausführen des SafeGuard
Enterprise Assistenten für die Initialverschlüsselung erfolgen.
154
Administratorhilfe
Hinweis:
Für weitere Informationen zu SafeGuard File Encryption für Mac, siehe Über SafeGuard File
Encryption für Mac (Seite 103) und die SafeGuard Enterprise für Mac Benutzerhilfe.
5.3.1 Konfigurieren von Verschlüsselungsregeln in pfadbasierten File
Encryption Richtlinien
Die Regeln für die dateibasierende Verschlüsselung im Netzwerk definieren Sie in einer
Richtlinie des Typs File Encryption.
Hinweis: Wenn bestimmte Ordner verschlüsselt werden (zum Beispiel C:\Programme),
bewirkt dies unter Umständen, dass das Betriebssystem oder bestimmte Anwendungen nicht
mehr laufen. Stellen Sie bei der Definition von Verschlüsselungsregeln sicher, dass diese
Ordner nicht verschlüsselt werden.
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ File
Encryption an oder wählen Sie eine vorhandene aus.
Die Registerkarte Dateiverschlüsselung wird angezeigt.
2. Wählen Sie Pfadbasiert aus der Verschlüsselungstyp Auswahlliste.
Die Tabelle für die Definition, wo anwendungsbasierte Dateiverschlüsselung am Endpoint
angewendet wird, wird angezeigt.
Hinweis: Ältere Versionen von SafeGuard Enterprise verfügen nicht über die Einstellung
Verschlüsselungstyp.Wenn Sie Ihr Management Center aktualisieren, werden bestehende
File Encryption Richtlinien zu Richtlinien vom Typ Pfadbasiert konvertiert. Informationen
zum Verschlüsselungstyp Keine Verschlüsselung finden Sie unter Richtlinien vom Typ
Keine Verschlüsselung (Seite 135).
3. Geben Sie in der Spalte Pfad den Pfad (d. h. den Ordner) an, der durch File Encryption
verschlüsselt werden soll:
■
Klicken Sie auf die Dropdown-Schaltfläche und wählen Sie einen Platzhalter für einen
Ordnernamen aus der Liste der verfügbaren Platzhalter aus.
Hinweis: Wenn Sie Ihren Cursor über die Listeneinträge führen, werden Tooltips
angezeigt, die zeigen, wie ein Platzhalter üblicherweise auf einem Endpoint umgesetzt
wird. Geben Sie nur gültige Platzhalter ein. Eine Beschreibung aller verfügbaren
Platzhalter finden Sie unter Platzhalter für Pfade in pfadbasierten File Encryption-Regeln
(Seite 158).
Wichtig: Die Verschlüsselung des gesamten Benutzerprofils mit dem Platzhalter
<User Profile> kann zu einem instabilen Windows Desktop auf dem Endpoint
führen.
■
■
Klicken Sie auf die Browse-Schaltfläche um den gewünschten Ordner im Dateisystem
auszuwählen.
Sie können auch einfach einen Pfadnamen eingeben.
Hinweis: Nützliche Informationen zum Konfigurieren von Pfaden in
Dateiverschlüsselungsregeln finden Sie unter Zusätzliche Informationen für die Konfiguration
von Pfaden in pfadbasierten File Encryption Verschlüsselungsregeln (Seite 157).
4. Wählen Sie in der Spalte Anwendungsbereich:
■
■
Nur dieser Ordner, um die Regeln nur auf den Ordner anzuwenden, der in der Spalte
Pfad angegeben ist, oder
Mit Unterordnern, um die Regel auch auf alle Unterordner des Ordners anzuwenden.
155
SafeGuard Enterprise
5. Legen Sie in der Spalte Modus fest, wie File Encryption den in der Spalte Pfad
angegebenen Ordner behandeln soll:
■
■
■
Wählen Sie Verschlüsseln, um neue Dateien im Ordner zu verschlüsseln. Der Inhalt
der vorhandenen verschlüsselten Dateien wird transparent entschlüsselt, wenn ein
Benutzer mit dem erforderlichen Schlüssel auf die Dateien zugreift. Hat der Benutzer
nicht den erforderlichen Schlüssel, wird der Zugriff verweigert.
Wenn Sie Ausschließen auswählen, werden neue Dateien im Ordner nicht
verschlüsselt. Sie können diese Option verwenden, wenn Sie zum Beispiel einen
Unterordner von der Verschlüsselung ausnehmen möchten, dessen übergeordneter
Ordner bereits von einer Regel mit der Option Verschlüsseln abgedeckt ist.
Wenn Sie Ignorieren auswählen, werden die Dateien im Ordner von File Encryption
nicht beachtet. Neue Dateien werden im Klartext gespeichert. Wenn ein Benutzer auf
bereits verschlüsselte Dateien in diesem Ordner zugreift, wird der verschlüsselte Inhalt
angezeigt. Dabei spielt es keine Rolle, ob der Benutzer den erforderlichen Schlüssel
hat oder nicht.
6. Wählen Sie in der Spalte Schlüssel den Schlüssel, der für den Verschlüsseln Modus
verwendet werden soll. Sie können Schlüssel verwenden, die in Benutzer & Computer
erstellt und angewendet wurden.
■
Klicken Sie auf die Browse-Schaltfläche, um den Dialog Schlüssel suchen zu öffnen.
Klicken Sie auf Jetzt suchen, um eine Liste mit allen verfügbaren Schlüsseln aufzurufen.
Wählen Sie den gewünschten Schlüssel aus.
Hinweis: Computerschlüssel werden in dieser Liste nicht angezeigt. Sie können von
File Encryption nicht benutzt werden, da sie nur auf einem einzelnen Computer verfügbar
sind. Mit diesen Schlüssel können daher Benutzergruppen nicht auf dieselben Daten
zugreifen.
■
Klicken Sie auf die Schaltfläche Persönlicher Schlüssel mit dem Schlüsselsymbol,
um den Platzhalter Persönlicher Schlüssel in die Spalte Schlüssel einzufügen. Auf
dem Endpoint wird dieser Platzhalter in den aktiven persönlichen Schlüssel des
angemeldeten SafeGuard Enterprise Benutzers umgesetzt. Wenn die relevanten
Benutzer noch keine aktiven persönlichen Schlüssel haben, werden diese automatisch
angelegt. Sie können persönliche Schlüssel für einzelne oder mehrere Benutzer unter
Benutzer & Computer erzeugen. Weitere Informationen finden Sie unter Persönliche
Schlüssel für die dateibasierende Verschlüsselung mit File Encryption (Seite 289).
7. Der System Typ (Windows, Mac OS X oder Alle Plattformen für Windows und Mac
OSX systems) werden automatisch zugewiesen.
8. Fügen Sie je nach Anforderung weitere Verschlüsselungsregeln hinzu und speichern Sie
Ihre Änderungen.
Hinweis: Alle File Encryption Verschlüsselungsregeln, die über Richtlinien zugewiesen
und für Benutzer/Computer an unterschiedlichen Knoten unter Benutzer & Computer
aktiviert werden, werden kumuliert. Die Reihenfolge der Verschlüsselungsregeln innerhalb
einer File Encryption Richtlinie ist für die Evaluierung auf dem Endpoint nicht von
Bedeutung. Innerhalb einer File Encryption Richtlinie können Sie die Regeln durch Ziehen
mit der Maus zur besseren Übersicht nach Wunsch anordnen.
156
Administratorhilfe
5.3.1.1 Zusätzliche Informationen für die Konfiguration von Pfaden in pfadbasierten File
Encryption-Regeln
Beachten Sie beim Konfigurieren von Pfaden in File Encryption Verschlüsselungsregeln die
folgenden Informationen:
■
Ein Pfad darf nur Zeichen enthalten, die auch in Dateisystemen verwendet werden können.
Zeichen wie <, >, * und $ sind nicht zulässig.
■
Geben Sie nur gültige Platzhalter ein. Eine Liste aller unterstützten Platzhalter finden Sie
unter Platzhalter für Pfade in pfadbasierten File Encryption-Regeln (Seite 158).
Hinweis: Die Namen von Umgebungsvariablen werden durch das SafeGuard Management
Center nicht überprüft. Sie müssen nur auf dem Endpoint vorhanden sein.
■
Das Feld Pfad gibt immer einen Ordner an. Sie können keine Regel für eine einzelne Datei
festlegen. Außerdem können Sie keine Platzhalter für Ordnernamen, Dateinamen oder
Dateierweiterungen verwenden.
■
Absolute und relative Regeln
Sie können absolute und relative Regeln definieren. Eine absolute Regel definiert einen
bestimmten Ordner, zum Beispiel C:\encrypt. Eine relative Regel enthält keine UNC
Server/Freigabe Informationen, Laufwerksbuchstaben oder Informationen zu
übergeordneten Ordnern. In einer relativen Regel wird zum Beispiel ein Pfad wie der
folgende verwendet: encrypt_sub. In diesem Fall werden alle Dateien auf allen
Laufwerken (einschließlich Speicherorte im Netzwerk), die sich in einem Ordner mit der
Bezeichnung encrypt_sub (oder in einem untergeordneten Ordner) befinden, von der
Regel abgedeckt.
Hinweis: Relative Pfade werden nur auf Windows-Endpoints unterstützt.
■
Lange Ordnernamen und 8.3 Notation
Geben Sie für File Encryption Verschlüsselungsregeln immer die langen Ordnernamen
an, da die 8.3 Bezeichnungen für lange Ordnernamen von Computer zu Computer
unterschiedlich sein können. 8.3 Namensregeln werden vom durch SafeGuard Enterprise
geschützten Endpoint automatisch bei Anwendung der relevanten Richtlinien erkannt. Es
sollte keine Rolle spielen, ob Anwendungen lange Ordnernamen oder 8.3 Namen für den
Zugriff auf Dateien verwenden. Verwenden Sie für relative Regeln kurze Ordnernamen
um sicherzustellen, dass die Regel umgesetzt werden kann, egal ob eine Anwendung
lange Ordnernamen oder 8.3 Notation verwendet.
■
UNC und verbundene Laufwerke
Ob Sie Regeln in UNC Notation oder basierend auf verbundenen Laufwerksbuchstaben
anwenden, hängt von Ihren spezifischen Anforderungen ab:
Verwenden Sie UNC Notation, wenn sich die Server- und Freigabenamen wahrscheinlich
nicht ändern, die verbundenen Laufwerksbuchstaben jedoch von Benutzer zu Benutzer
unterschiedlich sein können.
Verwenden Sie verbundene Laufwerksbuchstaben, wenn diese unverändert beibehalten
werden, Servernamen aber geändert werden können.
Wenn Sie UNC verwenden, geben Sie einen Servernamen und einen Freigabenamen an,
zum Beispiel \\server\share.
File Encryption gleicht die UNC Namen und die verbundenen Laufwerksbuchstaben intern
ab. In einer Regeln muss ein Pfad somit entweder als UNC-Pfad oder mit verbundenen
Laufwerksbuchstaben definiert sein.
157
SafeGuard Enterprise
Hinweis: Da Benutzer u. U. ihre verbundenen Laufwerksbuchstaben ändern können,
empfehlen wir, aus Sicherheitsgründen UNC-Pfade in File Encryption
Verschlüsselungsregeln zu verwenden.
■
Offline-Ordner
Bei Anwendung der Windows Funktion Offline verfügbar machen müssen Sie keine
speziellen Regeln für lokale (Offline) Kopien von Ordnern erstellen. Neue Dateien in der
lokalen Kopie eines Ordners, der offline verfügbar gemacht wurde, werden entsprechend
den Regeln für den ursprünglichen (Netzwerk-)Speicherplatz verschlüsselt.
Hinweis: Für weitere Informationen zur Benennung von Dateien und Pfade, siehe
http://msdn.microsoft.com/en-us/library/aa365247.aspx.
5.3.1.2 Platzhalter für Pfade in pfadbasierten Dateiverschlüsselungsregeln
Beim Angeben von Pfaden in Verschlüsselungsregeln in File Encryption Richtlinien können
die folgenden Platzhalter verwendet werden. Um diese Platzhalter auszuwählen, klicken Sie
auf die Dropdown-Schaltfläche des Felds Pfad.
Hinweis: Verwenden Sie immer Backslashes als Trennzeichen, auch wenn Sie
Dateiverschlüsselungsregeln für Mac OS X festlegen. Auf diese Weise können Sie Regeln
auf beiden Betriebssystemen (Windows und Mac OS X) anwenden. Am Mac OS X Client
werden die umgekehrten Schrägstriche automatisch in Schrägstriche umgewandelt, um die
Anforderungen des Mac OS X Betriebssystems zu erfüllen. Fehler bei der Verwendung von
Platzhaltern werden protokolliert. Ungültige Verschlüsselungsregeln werden protokolliert und
dann auf dem Endpoint verworfen.
Beispiel: Der Windows-Pfad <User Profile>\Dropbox\personal wird unter Mac OS
X so konvertiert: /Users/<Username>/Dropbox/personal.
Pfad-Platzhalter
Betriebssystem
(Alle=Windows
und Mac OS X)
<%environment_variable_name%> Alle
Wert auf dem Endpoint
Wert der Umgebungsvariable. Beispiel:
<%USERNAME%>.
Hinweis: Wenn Umgebungsvariablen
mehrere Speicherorte enthalten (zum
Beispiel die PATH Umgebungsvariable),
werden die Pfade nicht in mehrere Regeln
aufgeteilt. Dies verursacht einen Fehler und
die Verschlüsselungsregel ist ungültig.
158
<Desktop>
Alle
Der virtuelle Ordner, der den Desktop des
Endpoints darstellt.
<Documents>
Alle
Das ist der virtuelle Ordner für den
Desktop-Bereich Eigene Dateien (Äquivalent
zu CSIDL_MYDOCUMENTS). Typischer
Pfad: C:\Documente und
Einstellungen\Benutzername\Eigene Dateien.
<Downloads>
Alle
Der Ordner in dem standardmäßig
Downloads gespeichert werden. Ein typischer
Administratorhilfe
Pfad-Platzhalter
Betriebssystem
(Alle=Windows
und Mac OS X)
Wert auf dem Endpoint
Pfad unter Windows ist
C:\Benutzer\Benutzername\Downloads.
<Music>
Alle
Das Dateisystemverzeichnis, das als
allgemeines Repository für Musikdateien
dient. Typischer Pfad: C:\Documente und
Einstellungen\Benutzername\Eigene
Dateien\Eigene Musik.
<Network Shares>
Alle
<Pictures>
Alle
Das Dateisystemverzeichnis, das als
allgemeines Repository für Bilddateien dient.
Typischer Pfad: C:\Documente und
Einstellungen\Benutzername\Eigene
Dateien\Eigene Bilder.
<Public>
Alle
Das Dateisystemverzeichnis, das als
allgemeines Repository für Dokumente für
alle Benutzer dient. Typischer Pfad:
C:\Benutzer\<Benutzername>\Öffentlich.
<Removables>
Alle
Zeigt auf die Root-Verzeichnisse aller
Wechselmedien.
<User Profile>
Alle
Der Profilordner des Benutzers. Typischer
Pfad: C:\Benutzer\Benutzername.
Hinweis: Die Verschlüsselung des
gesamten Benutzerprofils mit diesem
Platzhalter kann zu einem instabilen
Windows Desktop auf dem Endpoint führen.
<Videos>
Alle
Das Dateisystemverzeichnis, das als
allgemeines Repository für Videodateien für
alle Benutzer dient. Typischer Pfad:
C:\Documente und Einstellungen\Alle
Benutzer\Dateien\Eigene Videos.
<Cookies>
Windows
Das Dateisystemverzeichnis, das als
allgemeines Repository für Internet Cookies
dient. Typischer Pfad: C:\Documente und
Einstellungen\Benutzername\Cookies.
<Favorites>
Windows
Das Dateisystemverzeichnis, das als
allgemeines Repository für die Favoriten des
Benutzers dient. Typischer Pfad:
C:\Documente und
Einstellungen\Benutzername\Favoriten.
<Local Application Data>
Windows
Das Dateisystemverzeichnis, das als
allgemeines Daten-Repository für lokale
Applikationen (ohne Roaming) dient.
159
SafeGuard Enterprise
Pfad-Platzhalter
Betriebssystem
(Alle=Windows
und Mac OS X)
Wert auf dem Endpoint
Typischer Pfad: C:\Dokumente und
Einstellungen\Benutzername\Lokale
Einstellungen\Anwendungsdaten.
160
<Program Data>
Windows
Das Dateisystemverzeichnis, das
Anwendungsdaten für alle Benutzer enthält.
Typischer Pfad: C:\Dokumente und
Einstellungen\Alle
Benutzer\Anwendungsdaten.
<Program Files>
Windows
Der Programme-Ordner. Typischer Pfad:
\Programme. For 64-Bit Systeme wird dies
auf zwei Regeln erweitert: eine für 32-Bit
Anwendungen und eine für 64-Bit
Anwendungen.
<Public Music>
Windows
Das Dateisystemverzeichnis, das als
allgemeines Repository für Musikdateien für
alle Benutzer dient. Typischer Pfad:
C:\Documente und Einstellungen\Alle
Benutzer\Eigene Musik.
<Public Pictures>
Windows
Das Dateisystemverzeichnis, das als
allgemeines Repository für Bilddateien für
alle Benutzer dient. Typischer Pfad:
C:\Documente und Einstellungen\Alle
Benutzer\Dateien\Eigene Bilder.
<Public Videos>
Windows
Das Dateisystemverzeichnis, das als
allgemeines Repository für Videodateien für
alle Benutzer dient. Typischer Pfad:
C:\Documente und Einstellungen\Alle
Benutzer\Dateien\Eigene Videos.
<Roaming>
Windows
Das Dateisystemverzeichnis, das als
allgemeines Repository für
anwendungsspezifische Daten dient.
Typischer Pfad: C:\Dokumente und
Einstellungen\Benutzername\Anwendungsdaten.
System
Windows
Der Windows Systemordner. Typischer Pfad:
C:\Windows\System32. For 64-Bit Systeme
wird dies auf zwei Regeln erweitert: eine für
32-Bit und eine für 64-Bit.
<Temporary Burn Folder>
Windows
Das Dateisystemverzeichnis, das als
Staging-Bereich für Dateien, die auf eine CD
geschrieben werden sollen, verwendet wird.
Typischer Pfad: C:\Dokumente und
Einstellungen\Benutzername\Lokale
Einstellungen\Microsoft\CD Burning.
Administratorhilfe
Pfad-Platzhalter
Betriebssystem
(Alle=Windows
und Mac OS X)
<Temporary Internet Folder> Windows
Wert auf dem Endpoint
Das Dateisystemverzeichnis, das als
allgemeines Repository für Temporäre
Internetdateien dient. Typischer Pfad:
C:\Dokumente und
Einstellungen\Benutzername\Lokale
Einstellungen\Temporary Internet Files.
<Windows>
Windows
Das Windows-Verzeichnis oder SYSROOT.
Dies entspricht den Umgebungsvariablen
%windir% oder %SYSTEMROOT%.
Typischer Pfad: C:\Windows.
<Root>
Mac OS X
Mac OS X Stammverzeichnis. Es wird nicht
empfohlen, Richtlinien für das
Stammverzeichnis festzulegen, auch wenn
dies technisch möglich ist.
5.3.2 Konfigurieren der pfadbasierten Dateiverschlüsselung in Richtlinien
vom Typ Allgemeine Einstellungen
Neben den in File Encryption Richtlinien vom VerschlüsselungstypPfadbasiert definierten
Verschlüsselungsregeln können Sie in Richtlinien vom Typ Allgemeine Einstellungen
folgende Einstellungen für die Dateiverschlüsselung konfigurieren:
■
Vertrauenswürdige Anwendungen
■
Ignorierte Anwendungen
■
Ignorierte Geräte
■
Persistente Verschlüsselung aktivieren
5.3.2.1 Konfigurieren von vertrauenswürdigen und ignorierten Anwendungen für File
Encryption
Sie können Anwendungen als vertrauenswürdig definieren, um ihnen Zugriff auf verschlüsselte
Dateien zu geben. Dies ist zum Beispiel notwendig, damit Antivirus-Software verschlüsselte
Dateien überprüfen kann.
Sie können Anwendungen als ignoriert definieren, um sie von der transparenten
Dateiverschlüsselung/Dateientschlüsselung auszuschließen. Wenn Sie zum Beispiel ein
Backup-Programm als ignorierte Anwendung definieren, bleiben die vom Programm gesicherten
verschlüsselten Daten verschlüsselt.
Hinweis: Untergeordnete Prozesse werden nicht als vertrauenswürdig/ignoriert eingestuft.
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche der Felder
Vertrauenswürdige Anwendungen oder Ignorierte Anwendungen.
161
SafeGuard Enterprise
3. Geben Sie im Editor-Listenfeld die Anwendungen ein, die Sie als vertrauenswürdig/ignoriert
definieren möchten.
■
Sie können mehrere vertrauenswürdige/ignorierte Anwendungen in einer Richtlinie
definieren. Jede Zeile im Editor-Listenfeld definiert jeweils eine Anwendung.
■
Anwendungsnamen müssen auf .exe enden.
■
Anwendungsnamen müssen als Fully Qualified Paths mit Laufwerk/Verzeichnis definiert
werden, zum Beispiel "c:\dir\beispiel.exe". Es reicht nicht aus, nur den Dateinamen
einzugeben (zum Beispiel "beispiel.exe"). Aus Gründen der Benutzerfreundlichkeit
zeigt die Einzelzeilenansicht der Anwendungsliste nur die Dateinamen getrennt durch
Strichpunkte.
■
Die Anwendungsnamen können dieselben Platzhalter für Windows Shell Ordner und
Umgebungsvariablen wie die Verschlüsselungsregeln in File Encryption Richtlinen
enthalten. Eine Beschreibung aller verfügbaren Platzhalter finden Sie unter Platzhalter
für Pfade in pfadbasierten File Encryption-Regeln (Seite 158).
4. Speichern Sie Ihre Änderungen.
Hinweis: Die Richtlinieneinstellungen Vertrauenswürdige Anwendungen und Ignorierte
Anwendungen sind Computereinstellungen. Die Richtlinie muss daher Computern, nicht
Benutzern, zugewiesen werden. Andernfalls werden die Einstellungen nicht wirksam.
5.3.2.2 Ignorierte Geräte konfigurieren
Sie können Geräte als ignoriert definieren, um sie von der Dateiverschlüsselung
auszuschließen. Sie können nur vollständige Geräte ausschließen.
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche des Felds
Ignorierte Geräte.
3. Führen Sie im Editor-Listenfeld folgende Schritte durch:
a) Wählen Sie Netzwerk wenn Sie keine Daten am Netzwerk verschlüsseln wollen.
b) Geben Sie die entsprechenden Gerätenamen an, um spezifische Geräte von der
Verschlüsselung auszuschließen. Dies ist zum Beispiel nützlich, wenn Sie Systeme
von Dritt-Anbietern ausschließen müssen.
Hinweis: Sie können die Namen der derzeit im System benutzten Geräte mit Tools
von Dritt-Anbietern (z. B. OSR Device Tree) anzeigen lassen. SafeGuard Enterprise
protokolliert alle Geräte, mit denen eine Verbindung hergestellt wird. Mit Hilfe von
Registry Keys können Sie eine Liste von verbundenen und ignorierten Geräten aufrufen.
Weitere Informationen finden Sie unter Anzeige von ignorierten und verbundenen
Geräten (Windows) (Seite 141).
Sie können einzelne (Netzwerk)-Festplattenlaufwerke von der Verschlüsselung
ausschließen, in dem Sie eine File Encryption Verschlüsselungsregel in einer File
Encryption Richtlinie erstellen und den Modus für die Verschlüsselung auf Ignorieren
einstellen. Sie können diese Einstellung nur auf durch Windows verwaltete Laufwerke,
nicht auf Mac OS X Volumes.
5.3.2.2.1
Anzeige von ignorierten und verbundenen Geräten (Windows)
Als Hilfestellung für die Definition von ignorierten Geräten können Sie mit Registry Keys
ermitteln, welche Geräte für die Verschlüsselung in Betracht gezogen werden (verbundene
Geräte) und welche Geräte derzeit ignoriert werden. Die Liste mit ignorierten Geräten enthält
nur Geräte, die tatsächlich auf dem Computer verfügbar sind und ignoriert werden. Wird ein
162
Administratorhilfe
Gerät in einer Richtlinie als ignoriert definiert und das Gerät ist nicht verfügbar, so wird das
Gerät auch nicht aufgelistet.
Benutzen Sie folgende Registry Keys, um verbundene und ignorierte Geräte zu ermitteln:
■
HKLM\System\CurrentControlSet\Control\Utimaco\SGLCENC\Log\AttachedDevices
■
HKLM\System\CurrentControlSet\Control\Utimaco\SGLCENC\Log\IgnoredDevices
5.3.2.3 Konfigurieren der persistenten Verschlüsselung für File Encryption
Der Inhalt von mit File Encryption verschlüsselten Dateien wird jeweils direkt entschlüsselt,
wenn der Benutzer den erforderlichen Schlüssel hat. Wenn der Inhalt in einer neuen Datei
an einem Ablageort gespeichert wird, für den keine Verschlüsselungsregel gilt, bleibt die
resultierende neue Datei unverschlüsselt.
Mit persistenter Verschlüsselung bleiben Kopien von verschlüsselten Dateien auch dann
verschlüsselt, wenn sie an einem Speicherort abgelegt werden, für den keine
Verschlüsselungsregel gilt.
Sie können die persistente Verschlüsselung in Richtlinien vom Typ Allgemeine Einstellungen
konfigurieren. Die Richtlinieneinstellung Persistente Verschlüsselung aktivieren ist
standardmäßig aktiviert.
Hinweis: Wenn Dateien an ein ignoriertes Gerät oder in einen Ordner kopiert oder verschoben
werden, für den eine Richtlinie mit dem Modus für die Verschlüsselung Ignorieren gilt, hat
die Einstellung Persistente Verschlüsselung aktivieren keine Auswirkungen.
5.3.3 Mehrere pfadbasierte Dateiverschlüsselungsregeln
Alle File Encryption Verschlüsselungsregeln, die über Richtlinien zugewiesen und für
Benutzer/Computer an unterschiedlichen Knoten unter Benutzer & Computer im SafeGuard
Management Center aktiviert werden, werden kumuliert.
Sie können eine allgemeine File Encryption Richtlinie mit Regeln, die für alle Benutzer
relevant sind, am Stammverzeichnisknoten und Richtlinien für spezifischere Anforderungen
an den einzelnen Unterknoten zuweisen. Alle Regeln aus allen Richtlinien, die
Benutzern/Computern zugewiesen sind, werden kumuliert und treten auf dem Endpoint in
Kraft.
5.3.3.1 Pfadbasierte File Encryption-Richtlinien im RSOP
Wenn für einen Benutzer/Computer mehrere File Encryption Richtlinien gelten, zeigt die
Registerkarte RSOP (Resulting Set of Policies) unter Benutzer & Computer die Summe aller
File Encryption Verschlüsselungsregeln aus allen File Encryption Richtlinien an. Die Regeln
werden in der Reihenfolge ihrer Evaluierung auf dem Endpoint-Computer sortiert (siehe
Evaluierung von pfadbasierten File Encryption-Regeln auf Endpoints (Seite 164)).
Die Spalte Name der Richtlinie gibt an, woher die einzelnen Regeln stammen.
Für doppelte Regeln wird die zweite (und dritte usw.) Regel mit einem Symbol markiert. Dieses
Symbol bietet auch einen Tooltip, der Sie informiert, das die Regel auf dem Endpoint verworfen
wird, da sie ein Duplikat einer Regel mit einer höheren Priorität ist.
163
SafeGuard Enterprise
5.3.4 Reihenfolge der Evaluierung von anwendungsbasierten
Dateiverschlüsselungsregeln auf Endpoints
File Encryption Verschlüsselungsregeln werden auf Endpoints in einer Reihenfolge sortiert,
die bewirkt, dass genauer definierte Speicherorte zuerst evaluiert werden.
Wenn zwei Regeln mit den gleichen Einstellungen für Pfad und Anwendungsbereich
aus Richtlinien stammen, die unterschiedlichen Knoten zugewiesen sind, wird die Regel
aus der Richtlinie angewendet, die sich näher am Benutzerobjekt in Benutzer & Computer
befindet.
Wenn zwei Regeln mit den gleichen Einstellungen für Pfad und Anwendungsbereich
aus Richtlinien stammen, die demselben Knoten zugewiesen sind, wird die Regel aus der
Richtlinie mit der höchsten Priorität angewendet.
Absolute Regeln werden vor relativen Regeln evaluiert, zum Beispiel c\encrypt vor
encrypt. Weitere Informationen finden Sie unter Zusätzliche Informationen für die
Konfiguration von Pfaden in pfadbasierten File Encryption-Regeln (Seite 157).
Regeln mit einem Pfad mit mehr Unterverzeichnissen werden vor Regeln mit einem Pfad
mit weniger Unterverzeichnissen evaluiert.
Mit UNC definierte Regeln werden vor Regeln mit Laufwerksbuchstabeninformationen
evaluiert.
Regeln, bei denen die Option Nur dieser Ordner aktiviert ist, werden vor Regeln ohne
diese Option evaluiert.
Regeln mit dem Modus Ignorieren werden vor Regeln mit dem Modus Verschlüsseln
oder Ausschließen evaluiert.
Regeln mit dem Modus Ausschließen werden vor Regeln mit dem Modus Verschlüsseln
evaluiert.
Wenn bei zwei Regeln die aufgelisteten Kriterien übereinstimmen, werden die Regeln in
alphabetischer Reihenfolge evaluiert.
5.3.5 Konflikte bei pfadbasierten File Encryption-Regeln
Da einem Benutzer/Computer mehrere File Encryption Richtlinien zugewiesen werden können,
treten u. U. Konflikte auf. Ein Regelkonflikt besteht, wenn die Regeln dieselben Werte für
Pfad, Modus und Unterverzeichnis enthalten, jedoch unterschiedliche Schlüssel. In diesem
Fall gilt die Regel aus der File Encryption Richtlinie mit der höheren Priorität. Die andere
Regel wird verworfen.
5.3.6 Pfadbasierte Dateiverschlüsselung und SafeGuard Data Exchange
Mit SafeGuard Data Exchange lassen sich Daten, die auf mit Endpoint-Computern verbundenen
Wechselmedien gespeichert werden, verschlüsseln und mit anderen Benutzern austauschen.
Für SafeGuard Data Exchange wird dateibasierende Verschlüsselung benutzt.
Wenn sowohl SafeGuard Data Exchange als auch File Encryption (pfadbasierte
Dateiverschlüsselung) auf einem Endpoint installiert ist, kann es vorkommen, dass eine
SafeGuard Data Exchange Verschlüsselungsrichtlinie für ein Laufwerk auf dem Computer
definiert ist und gleichzeitig File Encryption Richtlinien für Ordner auf demselben Laufwerk
gelten. Ist dies der Fall, so erhält die SafeGuard Data Exchange Richtlinie Vorrang vor den
File Encryption Richtlinien. Neue Dateien werden gemäß der SafeGuard Data Exchange
Richtlinie verschlüsselt.
164
Administratorhilfe
Weitere Informationen zu SafeGuard Data Exchange finden Sie unter SafeGuard Data
Exchange (Seite 171).
5.4 Cloud Storage
Das SafeGuard Enterprise Modul Cloud Storage bietet dateibasierende Verschlüsselung von
in der Cloud gespeicherten Daten.
Das Modul beeinflusst nicht die Art und Weise, wie Benutzer mit in der Cloud gespeicherten
Daten arbeiten. Die Benutzer verwenden weiterhin die anbieterspezifischen
Synchronisationsapplikationen zum Übertragen von Daten an die Cloud und Empfangen von
Daten aus der Cloud. Das Modul Cloud Storage stellt sicher, dass die lokalen Kopien der in
der Cloud gespeicherten Daten transparent verschlüsselt werden. Sie werden somit immer
in verschlüsselter Form in der Cloud gespeichert.
Für Cloud Storage legen Sie im SafeGuard Management Center Cloud Storage Definitionen
an und verwenden diese als Ziel für Richtlinien vom Typ Geräteschutz. Es stehen für mehrere
Cloud Storage Anbieter, zum Beispiel Dropbox oder Egnyte, vordefinierte Cloud Storage
Definitionen zur Verfügung.
Wenn für Endpoints eine Cloud Storage Richtlinie gilt, werden die Dateien in den von der
Richtlinie abgedeckten Speicherorten ohne Benutzerinteraktion transparent verschlüsselt:
Verschlüsselte Dateien werden an die Cloud synchronisiert.
Aus der Cloud erhaltene verschlüsselte Dateien können wie üblich mit Applikationen
modifiziert werden.
Mit SafeGuard Portable kann auf durch Cloud Storage verschlüsselte Dateien auf Endpoints
ohne SafeGuard Enterprise Cloud Storage zugegriffen werden.Verschlüsselte Dateien können
so auch in diesem Fall gelesen werden.
Hinweis: Cloud Storage verschlüsselt nur neue in der Cloud gespeicherte Daten. Wurden
Daten bereits vor der Installation des Moduls Cloud Storage in der Cloud gespeichert, so
werden diese Daten nicht automatisch verschlüsselt. Wenn Sie solche Daten verschlüsseln
möchten, müssen Sie sie zunächst aus der Cloud entfernen und dann wieder einfügen.
5.4.1 Anforderungen für Software von Cloud Storage Anbietern
Damit die Verschlüsselung für in der Cloud gespeicherten Daten möglich ist, muss die Software
des Cloud Storage Anbieters
auf dem Computer, auf dem das Modul Cloud Storage installiert ist, laufen.
eine Anwendung (oder einen Systemdienst) im lokalen Dateisystem für die Synchronisierung
zwischen der Cloud und dem lokalen System enthalten.
die synchronisierten Daten im lokalen Dateisystem speichern.
5.4.2 Anlegen von Cloud Storage Definitionen
Im SafeGuard Management Center stehen für mehrere Cloud Storage Anbieter, zum Beispiel
Dropbox oder Egnyte, vordefinierte Cloud Storage Definitionen zur Verfügung. Sie können
die in den vordefinierten Cloud Storage Definitionen festgelegten Pfade nach Ihren
Anforderungen ändern oder eine neue Cloud Storage Definition erstellen und Werte aus der
vordefinierten als Grundlage kopieren. Dies ist vor allem dann hilfreich, wenn Sie nur einen
Teil der Daten in der Cloud Storage verschlüsseln möchten. Sie können auch eigene Cloud
Storage Definitionen anlegen.
165
SafeGuard Enterprise
Hinweis: Wenn bestimmte Ordner verschlüsselt werden (zum Beispiel der Dropbox
Installationsordner), bewirkt dies unter Umständen, dass das Betriebssystem oder bestimmte
Anwendungen nicht mehr laufen. Stellen Sie beim Anlegen von Cloud Storage Definitionen
für Geräteschutz Richtlinien sicher, dass diese Ordner nicht verschlüsselt werden.
1. Wählen Sie im Richtlinien Navigationsbereich Cloud Storage Definitionen.
2. Klicken Sie im Kontextmenü von Cloud Storage Definitionen auf Neu > Cloud Storage
Definition.
3. Der Neue Cloud Storage Definition Dialog wird angezeigt. Geben Sie einen Namen für
die Cloud Storage Definition ein.
4. Klicken Sie auf OK. Die Cloud Storage Definition wird mit dem eingegebenen Namen unter
dem Stammknoten Cloud Storage Definitionen im Richtlinien Navigationsbereich
angezeigt.
5. Wählen Sie die Cloud Storage Definition aus. Im Arbeitsbereich auf der rechten Seite wird
der Inhalt der Cloud Storage Definition angezeigt:
■
■
■
Name des Ziels:
Der zu Beginn eingegebene Name. Dieser wird zur Referenzierung der Cloud Storage
Definition als Ziel für eine Richtlinie des Typs Geräteschutz benutzt.
Synchronisierungsapplikation:
Geben Sie den Pfad und die Anwendung für die Synchronisierung der Daten mit der
Cloud ein (zum Beispiel: <Desktop>\dropbox\dropbox.exe). Die Applikation muss sich
auf einem lokalen Laufwerk befinden.
Synchronisierungsordner:
Geben Sie den/die Ordner ein, der/die mit der Cloud synchronisiert wird/werden. Es
werden nur lokale Pfade unterstützt.
Hinweis: Für Pfade in den Einstellungen Synchronisierungsapplikation und
Synchronisierungsordner werden die gleichen Platzhalter wie für File Encryption
unterstützt (siehe Platzhalter für Pfade in File Encryption-Regeln (Seite 158)).
5.4.2.1 Platzhalter für Cloud Storage Anbieter
Als Sicherheitsbeauftragter können Sie Platzhalter für Cloud Storage Anbieter verwenden,
um Synchronisierungsapplikationen und Synchronisierungsordner zu definieren. Diese
Platzhalter stehen für unterstützte Cloud Storage Applikationen von Drittanbietern. Mit den
Platzhaltern können Sie eine bestimmte Applikation eines Drittanbieters angeben und
denselben Platzhalter zum Verweis auf die Synchronisierungsordner verwenden, die von der
Applikation zur Synchronisierung verwendet werden.
Platzhalter für Cloud Storage Anbieter werden zwischen <! und !> gesetzt.
166
Anbieter
Platzhalter
Kann in CSD-Einstellung
verwendet werden.
Wird aufgelöst in
Box
<!Box!>
Synchronisierungsapplikation, Für
Synchronisierungsordner
Synchronisierungsapplikationen:
Der "Fully qualified"-Pfad
der
Synchronisierungsapplikation,
die von der Box-Software
benutzt wird.
Administratorhilfe
Anbieter
Platzhalter
Kann in CSD-Einstellung
verwendet werden.
Wird aufgelöst in
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad
des
Synchronisierungsordners,
der von der Box-Software
benutzt wird.
Dropbox
<!Dropbox!>
Synchronisierungsapplikation, Für
Synchronisierungsordner
Synchronisierungsapplikationen:
Der "Fully qualified"-Pfad
der
Synchronisierungsapplikation,
die von der
Dropbox-Software benutzt
wird.
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad
des
Synchronisierungsordners,
der von der
Dropbox-Software benutzt
wird.
Egnyte
<!Egnyte!>
Synchronisierungsapplikation Der "Fully qualified"-Pfad
der
Synchronisierungsapplikation,
die von der
Egnyte-Software benutzt
wird.
<!EgnytePrivate!>
Synchronisierungsordner
Alle privaten Ordner in
der Egnyte Cloud
Storage. Für
Standard-Egnyte-Benutzer
ist dies in der Regel ein
einzelner Ordner. Für
Egnyte-Administratoren,
wird dieser Platzhalter in
der Regel in mehrere
Ordner umgesetzt.
<!EgnyteShared!>
Synchronisierungsordner
Alle freigegebenen
Ordner in der Egnyte
Cloud Storage.
Nur Windows
Hinweis:
167
SafeGuard Enterprise
Anbieter
Platzhalter
Kann in CSD-Einstellung
verwendet werden.
Wird aufgelöst in
Änderungen an der Egnyte-Ordnerstruktur (auch das Hinzufügen oder Entfernen
von privaten oder freigegebenen Ordnern) werden automatisch erkannt. Die
entsprechenden Richtlinien werden automatisch angepasst.
Hinweis: Da sich Egnyte-Synchronisierungsordner im Netzwerk befinden können,
können Sie bei der Einstellung Synchronisierungsordner Netzwerkpfade eingeben.
Das SafeGuard Enterprise Cloud Storage Modile verbindet sich daher standardmäßig
mit Netzwerkdateisystemen. Wenn dies nicht erforderlich ist, können Sie dieses
Verhalten deaktivieren, indem Sie eine Richtlinie vom Typ Allgemeine Einstellungen
definieren und unter Ignorierte Geräte die Option Netzwerk auswählen.
Google Drive
<!GoogleDrive!>
Synchronisierungsapplikation, Für
Synchronisierungsordner
Synchronisierungsapplikationen:
Der "Fully qualified"-Pfad
der
Synchronisierungsapplikation,
die von der Google Drive
Software benutzt wird.
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad
des
Synchronisierungsordners,
der von der Google Drive
Software benutzt wird.
OneDrive
<!OneDrive!>
Synchronisierungsapplikation, Für
Synchronisierungsordner
Synchronisierungsapplikationen:
Der "Fully qualified"-Pfad
der
Synchronisierungsapplikation,
die von der
OneDrive-Software
benutzt wird.
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad
der
Synchronisierungsordner,
die von der
OneDrive-Software
benutzt werden.
Hinweis: SafeGuard Enterprise unterstützt keine Microsoft Konten. Unter Windows
8.1 kann OneDrive nur benutzt werden, wenn der Windows Benutzer ein
Domänenbenutzer ist. Unter Windows 8.1 unterstützt SafeGuard Enterprise OneDrive
nicht für lokale Benutzer.
OneDrive for
Business
168
<!OneDriveForBusiness!> Synchronisierungsapplikation, Für
Synchronisierungsordner
Synchronisierungsapplikationen:
Administratorhilfe
Anbieter
Platzhalter
Kann in CSD-Einstellung
verwendet werden.
Wird aufgelöst in
Der "Fully qualified"-Pfad
der
Synchronisierungsapplikation,
die von der
OneDrive-Software
benutzt wird.
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad
der
Synchronisierungsordner,
die von der
OneDrive-Software
benutzt werden.
Hinweis: OneDrive for Business unterstützt nur das Speichern von verschlüsselten
Dateien in lokalen Ordnern und ihre Synchronisierung mit der Cloud. Die Speicherung
von verschlüsselten Dateien von Microsoft Office 2013 Applikationen direkt in der
OneDrive for Business-Cloud oder direkt am SharePoint Server wird nicht unterstützt.
Diese Dateien werden unverschlüsselt in der Cloud gespeichert.
Von SafeGuard Enterprise in der OneDrive for Business-Cloud verschlüsselte Dateien
können nicht von Microsoft Office 365 geöffnet werden.
SkyDrive
Nur Windows
<!SkyDrive!>
Synchronisierungsapplikation, Für
Synchronisierungsordner
Synchronisierungsapplikationen:
Der "Fully qualified"-Pfad
der
Synchronisierungsapplikation,
die von der
OneDrive-Software
benutzt wird.
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad
der
Synchronisierungsordner,
die von der
OneDrive-Software
benutzt werden.
Da Microsoft SkyDrive auf OneDrive umbenannt hat, ist der <!SkyDrive!>
Platzhalter immer noch verfügbar.
Auf diese Weise können ältere Richtlinien und SafeGuard Enterprise Endpoints vor
Version 7, die den <!OneDrive!> Platzhalter nicht handhaben können, ohne
Änderungen verwendet werden. SafeGuard Enterprise Endpoints Version 7 können
beide Platzhalter handhaben.
169
SafeGuard Enterprise
Beispiel
Wenn Sie Dropbox als Cloud Storage Anbieter nutzen, können Sie für die
Synchronisierungsapplikation einfach <!Dropbox!> eingeben. Wenn Sie den
Synchronisierungsordner nicht explizit angeben, wird <!Dropbox!> auch in die Liste mit
Ordnern unter Synchronisierungsordner kopiert.
In diesem Beispiel wird davon ausgegangen, dass
■
■
■
Sie die <!Dropbox!> für die Synchronisierungsapplikation und <!Dropbox!>\encrypt
für den Synchronisierungsordner in der Cloud Storage Definition verwendet haben,
Dropbox auf dem Endpoint installiert ist
Der Benutzer :\dropbox als Ordner, der mit Dropbox synchronisiert werden soll,
konfiguriert hat.
Wenn der durch SafeGuard Enterprise geschützte Endpoint eine Richtlinie mit einer solchen
Cloud Storage Definition (CSD) erhält, werden die Platzhalter in der CSD automatisch
entsprechend dem Pfad der Dropbox.exe für die Synchronisierungsapplikation umgesetzt.
Außerdem wird die Dropbox-Konfiguration gelesen und die Verschlüsselungsrichtlinie auf
den Ordner d:\dropbox\encrypt eingestellt.
5.4.2.2 Exportieren und Importieren von Cloud Storage Definitionen
Als Sicherheitsbeauftragter können Sie Cloud Storage Definitionen exportieren und importieren.
Eine Cloud Storage Definition wird als .xml-Datei exportiert.
■
Um eine Cloud Storage Definition zu exportieren, wählen Sie im Kontextmenü der
gewünschten Cloud Storage Definition im Bereich Richtlinie den Befehl Cloud Storage
Definition exportieren.
■
Um eine Cloud Storage Definition zu importieren, wählen Sie im Kontextmenü des Cloud
Storage Definition Knotens im Bereich Richtlinie den Befehl Cloud Storage Definition
importieren.
Beide Befehle sind auch im Menü Aktionen des SafeGuard Management Center verfügbar.
5.4.3 Erstellen einer Geräteschutz-Richtlinie mit dem Ziel Cloud Storage
Die Cloud Storage Definitionen müssen bereits angelegt worden sein. Es stehen für mehrere
Cloud Storage Anbieter, zum Beispiel Dropbox oder Egnyte, vordefinierte Cloud Storage
Definitionen zur Verfügung.
Die Einstellungen für die Verschlüsselung von Cloud Storage Daten legen Sie in einer Richtlinie
vom Typ Geräteschutz fest.
1. Erstellen Sie im Richtlinien Navigationsbereich eine neue Richtlinie vom Typ
Geräteschutz.
2. Wählen eine Cloud Storage Definition als Ziel aus.
3. Klicken Sie auf OK. Die neu angelegte Richtlinie wird im Navigationsfenster unter
Richtlinien angezeigt. Im Aktionsbereich werden alle Einstellungen für die Richtlinie vom
Typ Geräteschutzangezeigt. Die Einstellungen können dort geändert werden.
4. Wählen Sie für die Option Verschlüsselungsmodus für Medien die Einstellung
Dateibasierend. Volume-basierende Verschlüsselung wird nicht unterstützt.
170
Administratorhilfe
5. Wählen Sie unter Algorithmus für die Verschlüsselung den Algorithmus, der für die
Verschlüsselung der Daten in den Synchronisierungsordnern, die in der Cloud Storage
Definition definiert sind, verwendet werden soll.
6. Mit den Einstellungen Schlüssel für die Verschlüsselung und Für Verschlüsselung
definierter Schlüssel definieren Sie den Schlüssel oder die Schlüssel, die für die
Verschlüsselung verwendet werden sollen. Weitere Informationen finden Sie unter
Geräteschutz (Seite 376).
7. Wenn Sie die Einstellung SafeGuard Portable auf das Ziel kopieren aktivieren, wird
SafeGuard Portable in jeden Synchronisierungsordner kopiert, sobald Inhalte in den Ordner
geschrieben werden. SafeGuard Portable ist eine Anwendung, mit der verschlüsselte
Dateien auf Windows-Computern, auf denen SafeGuard Enterprise installiert ist.
Hinweis: Um verschlüsselte Daten, die in der Cloud gespeichert sind, mit Benutzern zu
teilen, die SafeGuard Enterprise nicht installiert haben, sollten die Benutzer zum Erzeugen
lokaler Schlüssel berechtigt sein (siehe Lokale Schlüssel (Seite 172)).
8. Mit der Option Klartext-Ordner können Sie einen Ordner definieren, der von der
Verschlüsselung ausgeschlossen wird. Daten in Unterordnern des definierten
Klartext-Ordners werden ebenfalls von der Verschlüsselung ausgeschlossen. SafeGuard
Cloud Storage erstellt automatisch leere Klartext-Ordner in allen in der Cloud Storage
Definition definierten Synchronisierungsordnern.
5.4.4 Protokollierung des Dateizugriffs im Cloud-Speicher
Mit der Funktion Berichte im SafeGuard Management Center lässt sich der Dateizugriff im
Cloud-Speicher protokollieren (Datei-Tracking). Für Datei-Tracking spielt es keine Rolle, ob
für die Dateien eine Verschlüsselungsrichtlinie gilt.
In einer Richtlinie vom Typ Protokollierung können Sie Folgendes konfigurieren:
■
Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf einem
Wechselmedium angelegt wird.
■
Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf einem
Wechselmedium umbenannt wird.
■
Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf einem
Wechselmedium gelöscht wird.
Weitere Informationen finden Sie unter Datei-Tracking-Bericht für Wechselmedien und
Cloud-Speicher (Seite 333).
5.5 SafeGuard Data Exchange
Mit SafeGuard Data Exchange lassen sich Daten, die auf mit Endpoint-Computern verbundenen
Wechselmedien gespeichert werden, verschlüsseln und mit anderen Benutzern austauschen.
Alle Ver- und Entschlüsselungsprozesse laufen transparent und mit minimaler
Benutzerinteraktion ab.
Nur Benutzer, die über die entsprechenden Schlüssel verfügen, können den Inhalt der
verschlüsselten Daten lesen. Alle nachfolgenden Verschlüsselungsprozesse laufen transparent.
In der zentralen Administration definieren Sie, wie Daten auf Wechselmedien behandelt
werden sollen.
Als Sicherheitsbeauftragter legen Sie die spezifischen Einstellungen in einer Richtlinie vom
Typ Geräteschutz mit Wechselmedien als Ziel des Geräteschutzes fest.
Für SafeGuard Data Exchange muss dateibasierende Verschlüsselung benutzt werden.
171
SafeGuard Enterprise
5.5.1 Gruppenschlüssel
Für den Austausch von verschlüsselten Daten zwischen Benutzern müssen SafeGuard
Enterprise Gruppenschlüssel verwendet werden. Wenn sich der Gruppenschlüssel in den
Schlüsselringen der Benutzer befindet, erhalten diese vollen transparenten Zugriff auf die mit
ihren Computern verbundenen Wechselmedien.
Auf Computern ohne SafeGuard Enterprise ist der Zugriff auf verschlüsselte Daten auf
Wechselmedien nicht möglich. Eine Ausnahme ist hier der zentrale definierte
Domänen-/Gruppenschlüssel, der in Verbindung mit der Medien-Passphrase benutzt werden
kann.
Hinweis: Um verschlüsselte Daten auf Wechselmedien auch auf/mit Computern ohne
SafeGuard Enterprise zu benutzen/weiterzugeben, können Sie SafeGuard Portable benutzen.
Für SafeGuard Portable ist die Verwendung von lokalen Schlüsseln oder einer
Medien-Passphrase erforderlich.
5.5.2 Lokale Schlüssel
SafeGuard Data Exchange unterstützt die Verschlüsselung mit lokalen Schlüsseln. Lokale
Schlüssel werden auf dem Benutzercomputer erzeugt und können zur Verschlüsselung von
Wechselmedien benutzt werden. Die Schlüssel werden durch Eingabe einer Passphrase
erstellt. In der SafeGuard Enterprise Datenbank wird jeweils eine Sicherungskopie des lokalen
Schlüssels erstellt.
Hinweis: Ein Benutzer ist standardmäßig dazu berechtigt, lokale Schlüssel zu erzeugen.
Sollen Benutzer nicht dazu berechtigt sein, so müssen Sie diese Option explizit deaktivieren.
Dies muss in einer Richtlinie vom Typ Geräteschutz mit Lokale Datenträger als Ziel des
Geräteschutzes festgelegt werden (Allgemeine Einstellungen > Benutzer darf einen
lokalen Schlüssel erzeugen > Nein).
Werden lokale Schlüssel zum Verschlüsseln von Dateien auf Wechselmedien verwendet,
lassen sich diese Dateien auf einem Computer ohne SafeGuard Data Exchange mit SafeGuard
Portable entschlüsseln. Beim Öffnen der Dateien mit SafeGuard Portable wird der Benutzer
dazu aufgefordert, die Passphrase einzugeben, die beim Erzeugen des Schlüssels angegeben
wurde. Wenn dem Benutzer die Passphrase bekannt ist, kann er die Datei öffnen.
Mit SafeGuard Portable erhält jeder Benutzer, der die entsprechende Passphrase kennt,
Zugang zu verschlüsselten Dateien auf Wechselmedien. Auf diese Weise ist ein Austausch
von verschlüsselten Daten mit Partnern, die SafeGuard Enterprise nicht installiert haben,
möglich. Sie benötigen lediglich SafeGuard Portable sowie die Passphrase für die Dateien,
auf die sie zugreifen sollen.
Durch Verwendung von verschiedenen lokalen Schlüsseln für die Verschlüsselung von Dateien
auf Wechselmedien lässt sich der Zugang zu den Dateien sogar selektiv einschränken. Zum
Beispiel: Sie verschlüsseln die Dateien auf einem USB-Stick mit einem Schlüssel mit der
Passphrase mein_lokalerSchlüssel. Für eine einzelne Datei mit dem Dateinamen
FürPartner.doc verwenden Sie die Passphrase partner_lokalerSchlüssel. Wenn Sie den
USB-Stick nun an einen Partner weitergeben und ihm die Passphrase partner_lokalerSchlüssel
mitteilen, hat dieser nur Zugriff auf die Datei FürPartner.doc.
Hinweis: Standardmäßig wird SafeGuard Portable automatisch auf die am System
angeschlossenen Wechselmedien kopiert, sobald Inhalte auf die von einer
Verschlüsselungsregel abgedeckten Medien geschrieben werden. Um SafeGuard Portable
nicht auf die Wechselmedien zu kopieren, deaktivieren Sie die Option SafeGuard Portable
auf das Ziel kopieren in einer Richtlinie vom Typ Geräteschutz.
172
Administratorhilfe
5.5.3 Medien-Passphrase
SafeGuard Data Exchange ermöglicht es Ihnen festzulegen, dass eine einzige
Medien-Passphrase für alle Wechselmedien - mit Ausnahme von optischen Medien - auf den
Endpoints erstellt werden muss. Die Medien-Passphrase ermöglicht sowohl den Zugriff auf
alle zentral definierten Domänen-/Gruppenschlüssel als auch auf alle in SafeGuard Portable
verwendeten lokalen Schlüssel. Der Benutzer muss nur eine einzige Passphrase eingeben
und erhält Zugriff auf alle verschlüsselten Dateien in SafeGuard Portable. Dabei spielt es
keine Rolle, welcher lokale Schlüssel für die Verschlüsselung verwendet wurde.
Auf jedem Endpoint wird automatisch ein einzigartiger Medienverschlüsselungsschlüssel für
die Datenverschlüsselung für jedes Medium erstellt. Dieser Schlüssel ist durch die
Medien-Passphrase und einen zentral definierten Domänen-/Gruppenschlüssel gesichert.
Auf einem Computer mit SafeGuard Data Exchange ist es daher nicht notwendig, die
Medien-Passphrase einzugeben, um auf die verschlüsselten Dateien auf Wechselmedien
zuzugreifen. Der Zugriff wird automatisch gewährt, wenn sich der entsprechende Schlüssel
im Schlüsselring des Benutzers befindet.
Der zu verwendende Domänen-/Gruppenschlüssel muss unter Für Verschlüsselung
definierter Schlüssel festgelegt werden.
Die Medien-Passphrase-Funktionalität steht zur Verfügung, wenn die Option Benutzer darf
eine Medien-Passphrase für Wechselmedien erzeugen in einer Richtlinie vom Typ
Geräteschutz aktiviert ist.
Nach dem Wirksamwerden dieser Einstellung auf dem Endpoint wird der Benutzer automatisch
aufgefordert, eine Medien-Passphrase einzugeben, wenn er zum ersten Mal Wechselmedien
mit dem Computer verbindet. Die Medien-Passphrase ist auf allen Computern, auf denen
sich der Benutzer anmelden darf, gültig. Der Benutzer kann die Medien-Passphrase auch
ändern. In diesem Fall findet automatisch eine Synchronisierung statt, wenn die
Medien-Passphrase auf dem Computer und die Medien-Passphrase der Wechselmedien
nicht mehr synchron sind.
Sollte der Benutzer die Medien-Passphrase vergessen, so kann er diese ohne
Helpdesk-Unterstützung wiederherstellen.
Hinweis: Um die Medien-Passphrase zu aktivieren, aktivieren Sie die Option Benutzer darf
eine Medien-Passphrase für Wechselmedien erzeugen in einer Richtlinie vom Typ
Geräteschutz. Diese Einstellung steht nur dann zur Verfügung, wenn Sie als Ziel des
Geräteschutzes die Option Wechselmedien gewählt haben.
5.5.3.1 Medien-Passphrase und Standalone-Endpoints
Auf einem Standalone-Endpoint (d. h. auf einem Endpoint, der nicht zentral verwaltet wird)
stehen ohne aktivierte Medien-Passphrase-Funktion nach der Installation keine Schlüssel
zur Verfügung, da Standalone-Endpoints nur lokale Schlüssel verwenden. Vor der Benutzung
der Verschlüsselung muss der Benutzer einen Schlüssel erzeugen.
Ist die Medien-Passphrase-Funktionalität in einer Wechselmedienrichtlinie für diese Endpoints
aktiviert, so wird der Medienverschlüsselungsschlüssel automatisch auf dem Endpoint erzeugt
und kann direkt nach Abschluss der Installation für die Verschlüsselung verwendet werden.
Der Schlüssel steht als „vordefinierter“ Schlüssel im Schlüsselring des Benutzers zur Verfügung
und wird in Dialogen für die Schlüsselauswahl als <Benutzername> angezeigt.
Falls verfügbar, werden die Medienverschlüsselungsschlüssel auch für alle initialen
Verschlüsselungsvorgänge verwendet.
173
SafeGuard Enterprise
5.5.4 Best Practice
Dieser Abschnitt beschreibt einige typische Anwendungsfälle für SafeGuard Data Exchange
und deren Umsetzung durch Erstellen der entsprechenden Richtlinien.
Bob und Alice sind zwei Mitarbeiter des gleichen Unternehmens und haben beide SafeGuard
Data Exchange installiert. Joe ist ein externer Partner. Auf seinem Computer ist SafeGuard
Enterprise nicht installiert.
5.5.4.1 Unternehmensinterne Anwendung
Bob möchte verschlüsselte Daten auf Wechselmedien an Alice weitergeben. Beide gehören
derselben Gruppe an und haben daher den entsprechenden Gruppenschlüssel in ihrem
SafeGuard Enterprise Schlüsselring. Da sie den Gruppenschlüssel benutzen, können sie
transparent auf die verschlüsselten Dateien zugreifen, ohne eine Passphrase eingeben zu
müssen.
Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ
Geräteschutz\Wechselmedien fest:
■
Verschlüsselungsmodus für Medien: Dateibasierend
■
Schlüssel für die Verschlüsselung: Definierter Schlüssel aus der Liste
Definierter Schlüssel aus der Liste: <Gruppen-/Domänenschlüssel> (z. B.
group_users_Bob_Alice@DC=...), um sicherzustellen, dass beide denselben Schlüssel
benutzen
Wenn die Firmenrichtlinien zusätzlich festlegen, dass alle Dateien auf Wechselmedien immer
verschlüsselt werden sollen, fügen Sie folgende Einstellungen hinzu:
■
Initialverschlüsselung aller Dateien: Ja
Stellt sicher, dass Dateien auf Wechselmedien verschlüsselt werden, sobald die
Wechselmedien zum ersten Mal mit dem System verbunden werden.
■
Benutzer darf Initialverschlüsselung abbrechen: Nein
Der Benutzer kann die Initialverschlüsselung nicht abbrechen, um sie z. B. zu einem
späteren Zeitpunkt durchzuführen.
■
Benutzer darf auf unverschlüsselte Dateien zugreifen: Nein
Werden auf Wechselmedien unverschlüsselte Dateien entdeckt, so wird der Zugriff auf
diese Dateien verweigert.
■
Benutzer darf Dateien entschlüsseln: Nein
Der Benutzer darf Dateien auf Wechselmedien nicht entschlüsseln.
■
SafeGuard Portable auf das Ziel kopieren: Nein
Für die gemeinsame Benutzung von Wechselmedien innerhalb der Arbeitsgruppe ist
SafeGuard Portable nicht erforderlich. Außerdem würde SafeGuard Portable das
Entschlüsseln von Dateien auf Computern ohne SafeGuard Enterprise erlauben.
Die Benutzer können Daten einfach durch Austausch von Wechselmedien gemeinsam nutzen.
Wenn sie die Wechselmedien mit ihren Computern verbinden, haben sie transparenten Zugriff
auf verschlüsselte Dateien.
174
Administratorhilfe
Hinweis: Dieser Anwendungsfall kann durch Benutzung von SafeGuard Enterprise Device
Encryption umgesetzt werden. Hier ist das gesamte Wechselmedium sektorbasierend
verschlüsselt.
5.5.4.2 Anwendung bei Heimarbeit oder für persönlichen Gebrauch auf Dritt-Computern
■
Heimarbeit:
Bob möchte seine verschlüsselten Wechselmedien auf seinem Computer zuhause
benutzen, auf dem SafeGuard Enterprise nicht installiert ist. Auf seinem Computer zuhause
entschlüsselt Bob Dateien mit SafeGuard Portable. Da für alle seine Wechselmedien eine
einzige Medien-Passphrase definiert ist, muss Bob nur SafeGuard Portable öffnen und
die Medien-Passphrase eingeben. Danach hat Bob transparenten Zugriff auf alle
verschlüsselten Dateien, unabhängig davon, welcher lokale Schüssel für die
Verschlüsselung verwendet wurde.
■
Persönlicher Gebrauch auf Dritt-Computern:
Bob verbindet das Wechselmedium mit Joes (externer Partner) Computer und gibt die
Medien-Passphrase ein, um Zugriff auf die auf dem Medium gespeicherten verschlüsselten
Dateien zu erhalten. Bob kann die Dateien nun - verschlüsselt oder unverschlüsselt - auf
Joes Computer kopieren.
Verhalten auf dem Endpoint:
■
Bob verbindet das Wechselmedium zum ersten Mal mit dem Computer.
■
Der Medienverschlüsselungsschlüssel, der für jedes Medium einzigartig ist, wird automatisch
erzeugt.
■
Bob wird aufgefordert, die Medien-Passphrase für die Offline-Nutzung über SafeGuard
Portable einzugeben.
■
Der Benutzer muss nichts über den zu verwendenden Schlüssel oder den Schlüsselring
wissen. Der Medienverschlüsselungsschlüssel wird ohne Benutzerinteraktion immer für
die Datenverschlüsselung verwendet. Der Medienverschlüsselungsschlüssel ist für den
Benutzer auch nicht sichtbar. Nur der zentral definierte Gruppen-/Domänenschlüssel ist
sichtbar.
■
Bob und Alice haben innerhalb der gleichen Gruppe oder Domäne transparenten Zugriff,
da sie beide den gleichen Gruppen-/Domänenschlüssel verwenden.
■
Wenn Bob auf verschlüsselte Dateien auf Wechselmedien auf einem Computer ohne
SafeGuard Data Exchange zugreifen möchte, kann er die Medien-Passphrase in SafeGuard
Portable benutzen.
Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ
Geräteschutz\Wechselmedien fest:
■
Verschlüsselungsmodus für Medien: Dateibasierend
■
Schlüssel für die Verschlüsselung: Definierter Schlüssel aus der Liste
Definierter Schlüssel aus der Liste: <Gruppen-/Domänenschlüssel> (z. B.
group_users_Bob_Alice@DC=...), um sicherzustellen, dass beide denselben Schlüssel
benutzen.
■
Benutzer darf eine Medien-Passphrase für Wechselmedien erzeugen: Ja
175
SafeGuard Enterprise
Der Benutzer definiert eine Medien-Passphrase auf seinem Computer, die für alle seine
Wechselmedien gilt.
■
SafeGuard Portable auf das Ziel kopieren: Ja
SafeGuard Portable gibt dem Benutzer in einem System ohne SafeGuard Data Exchange
Zugriff auf alle verschlüsselten Dateien auf den Wechselmedien durch die Eingabe einer
einzigen Medien-Passphrase.
Wenn die Firmenrichtlinien zusätzlich festlegen, dass alle Dateien auf Wechselmedien immer
verschlüsselt werden sollen, fügen Sie folgende Einstellungen hinzu:
■
Initialverschlüsselung aller Dateien: Ja
Stellt sicher, dass Dateien auf Wechselmedien verschlüsselt werden, sobald die
Wechselmedien zum ersten Mal mit dem System verbunden werden.
■
Benutzer darf Initialverschlüsselung abbrechen: Nein
Der Benutzer kann die Initialverschlüsselung nicht abbrechen, um sie z. B. zu einem
späteren Zeitpunkt durchzuführen.
■
Benutzer darf auf unverschlüsselte Dateien zugreifen: Nein
Werden auf Wechselmedien unverschlüsselte Dateien entdeckt, so wird der Zugriff auf
diese Dateien verweigert.
■
Benutzer darf Dateien entschlüsseln: Nein
Der Benutzer darf Dateien auf Wechselmedien nicht entschlüsseln.
Im Büro haben sowohl Bob als auch Alice transparenten Zugriff auf verschlüsselte Dateien
auf Wechselmedien. Zuhause oder auf Dritt-Computern können sie verschlüsselte Dateien
mit SafeGuard Portable öffnen. Die Benutzer müssen nur die Medien-Passphrase eingeben
und erhalten somit Zugriff auf alle verschlüsselten Dateien. Dies ist eine einfache und sichere
Methode für die Verschlüsselung von Daten auf allen Wechselmedien. Ziel dieser Konfiguration
ist es, die Benutzerinteraktion auf ein Minimum zu reduzieren und trotzdem jede Datei auf
Wechselmedien zu verschlüsseln und den Benutzern Zugriff auf die verschlüsselten Dateien
im Offline-Modus zu geben. Der Benutzer darf Dateien auf Wechselmedien nicht entschlüsseln.
Hinweis: In dieser Konfiguration sind Benutzer nicht dazu berechtigt, lokale Schlüssel zu
erzeugen, da dies in diesem Anwendungsfall nicht notwendig ist. Dies muss in einer Richtlinie
vom Typ Geräteschutz mit Lokale Datenträger als Ziel des Geräteschutzes festgelegt
werden (Allgemeine Einstellungen > Benutzer darf einen lokalen Schlüssel erzeugen >
Nein).
■
SafeGuard Portable auf Wechselmedien kopieren: Nr.
Für die gemeinsame Benutzung von Wechselmedien innerhalb der Arbeitsgruppe ist
SafeGuard Portable nicht erforderlich. Außerdem würde SafeGuard Portable das
Entschlüsseln von Dateien auf Computern ohne SafeGuard Enterprise erlauben.
Im Büro haben die Benutzer transparenten Zugriff auf verschlüsselte Dateien auf
Wechselmedien. Zuhause öffnen sie verschlüsselte Dateien mit SafeGuard Portable. Die
Benutzer müssen nur die Medien-Passphrase eingeben und erhalten somit Zugriff auf alle
verschlüsselten Dateien, unabhängig davon, welcher Schlüssel für die Verschlüsselung
verwendet wurde.
176
Administratorhilfe
5.5.4.3 Weitergabe von Wechselmedien an externe Partner
Hinweis: Dieses Beispiel gilt nur für Windows Endpoints.
Bob möchte ein verschlüsseltes Medium an Joe (externer Partner) weitergeben, der SafeGuard
Data Exchange nicht installiert hat und daher SafeGuard Portable verwenden muss. Bob
möchte Joe jedoch nicht auf alle verschlüsselten Dateien auf dem Wechselmedium Zugriff
geben. Er kann hierzu einen lokalen Schlüssel erzeugen und die Dateien mit dem lokalen
Schlüssel verschlüsseln. Joe kann nun mit SafeGuard Portable die verschlüsselten Dateien
mit der Passphrase des lokalen Schlüssels öffnen. Bob dagegen kann immer noch die
Medien-Passphrase für den Zugriff auf alle Dateien auf dem Wechselmedium benutzen.
Verhalten auf dem Computer:
■
Bob verbindet das Wechselmedium zum ersten Mal mit dem Computer. Der
Medienverschlüsselungsschlüssel, der für jedes Medium einzigartig ist, wird automatisch
erzeugt.
■
Bob wird aufgefordert, die Medien-Passphrase für die Offline-Nutzung einzugeben.
■
Der Medienverschlüsselungsschlüssel wird ohne Benutzerinteraktion für die
Datenverschlüsselung verwendet, aber...
■
Bob kann nun einen lokalen Schlüssel (z. B. mit der Bezeichnung JoeSchlüssel) für die
Verschlüsselung der spezifischen Dateien, die mit Joe ausgetauscht werden sollen,
erzeugen oder auswählen.
■
Bob und Alice haben innerhalb der gleichen Gruppe oder Domäne transparenten Zugriff,
da sie beide den gleichen Gruppen-/Domänenschlüssel verwenden.
■
Wenn Bob auf verschlüsselte Dateien auf Wechselmedien auf einem Computer ohne
SafeGuard Data Exchange zugreifen möchte, kann er die Medien-Passphrase in SafeGuard
Portable benutzen.
■
Joe kann auf die spezifischen Dateien durch Eingabe der Passphrase des Schlüssels
JoeSchlüssel zugreifen, ohne auf die restlichen Dateien auf dem Wechselmedium zugreifen
zu müssen.
Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ
Geräteschutz\Wechselmedien fest:
■
Verschlüsselungsmodus für Medien: Dateibasierend
■
Schlüssel für die Verschlüsselung: Beliebiger Schlüssel im Schlüsselring des
Benutzers
Ermöglicht dem Benutzer die Auswahl unterschiedlicher Schlüssel für die Verschlüsselung
von Dateien auf Wechselmedien.
Für Verschlüsselung definierter Schlüssel: <Gruppen-/Domänenschlüssel> (z. B.
group_users_Bob_Alice@DC=...), um sicherzustellen, dass beide denselben Schlüssel
benutzen und um beiden den transparenten Zugriff auf Wechselmedien zu ermöglichen,
wenn sie sie mit ihren Computern im Büro verbinden.
■
Benutzer darf eine Medien-Passphrase für Wechselmedien erzeugen: Ja
Der Benutzer definiert eine Medien-Passphrase auf seinem Computer, die für alle seine
Wechselmedien gilt.
177
SafeGuard Enterprise
■
SafeGuard Portable auf das Ziel kopieren: Ja
SafeGuard Portable gibt dem Benutzer in einem System ohne SafeGuard Data Exchange
Zugriff auf alle verschlüsselten Dateien auf den Wechselmedien durch die Eingabe einer
einzigen Medien-Passphrase.
Wenn die Firmenrichtlinien zusätzlich festlegen, dass alle Dateien auf Wechselmedien immer
verschlüsselt werden sollen, fügen Sie folgende Einstellungen hinzu:
■
Initialverschlüsselung aller Dateien: Ja
Stellt sicher, dass Dateien auf Wechselmedien verschlüsselt werden, sobald die
Wechselmedien zum ersten Mal mit dem System verbunden werden.
■
Benutzer darf Initialverschlüsselung abbrechen: Nein
Der Benutzer kann die Initialverschlüsselung nicht abbrechen, um sie z. B. zu einem
späteren Zeitpunkt durchzuführen.
■
Benutzer darf auf unverschlüsselte Dateien zugreifen: Nein
Werden auf Wechselmedien unverschlüsselte Dateien entdeckt, so wird der Zugriff auf
diese Dateien verweigert.
■
Benutzer darf Dateien entschlüsseln: Nein
Der Benutzer darf Dateien auf Wechselmedien nicht entschlüsseln.
Im Büro haben sowohl Bob als auch Alice transparenten Zugriff auf verschlüsselte Dateien
auf Wechselmedien. Zuhause können sie verschlüsselte Dateien mit SafeGuard Portable
durch Eingabe der Medien-Passphrase öffnen. Wenn Bob oder Alice die Wechselmedien an
einen Dritt-Computer weitergeben möchten, auf dem SafeGuard Data Exchange nicht installiert
ist, können sie mit lokalen Schlüsseln sicherstellen, dass externe Partner nur auf einige
spezifische Dateien zugreifen können. Dies ist eine erweiterte Konfiguration, die durch die
Möglichkeit, lokale Schlüssel auf den Computern zu erzeugen, ein höheres Maß an
Benutzerinteraktion umfasst.
Hinweis: Voraussetzung für diesen Beispielanwendungsfall ist es, dass der Benutzer dazu
berechtigt ist, lokale Schlüssel zu erzeugen (Standardeinstellung in SafeGuard Enterprise).
5.5.5 Konfigurieren von vertrauenswürdigen und ignorierten Anwendungen
für SafeGuard Data Exchange
Sie können Anwendungen als vertrauenswürdig definieren, um ihnen Zugriff auf verschlüsselte
Dateien zu geben. Dies ist zum Beispiel notwendig, damit Antivirus-Software verschlüsselte
Dateien überprüfen kann.
Sie können Anwendungen als ignoriert definieren, um sie von der transparenten
Dateiverschlüsselung/Dateientschlüsselung auszuschließen. Wenn Sie zum Beispiel ein
Backup-Programm als ignorierte Anwendung definieren, bleiben die vom Programm gesicherten
verschlüsselten Daten verschlüsselt.
Hinweis: Untergeordnete Prozesse werden nicht als vertrauenswürdig/ignoriert eingestuft.
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche der Felder
Vertrauenswürdige Anwendungen oder Ignorierte Anwendungen.
178
Administratorhilfe
3. Geben Sie im Editor-Listenfeld die Anwendungen ein, die Sie als vertrauenswürdig/ignoriert
definieren möchten.
■
Sie können mehrere vertrauenswürdige/ignorierte Anwendungen in einer Richtlinie
definieren. Jede Zeile im Editor-Listenfeld definiert jeweils eine Anwendung.
■
Anwendungsnamen müssen auf .exe enden.
■
Anwendungsnamen müssen als Fully Qualified Paths mit Laufwerk/Verzeichnis definiert
werden. Es reicht nicht aus, nur den Dateinamen einzugeben (zum Beispiel
"beispiel.exe"). Aus Gründen der Benutzerfreundlichkeit zeigt die Einzelzeilenansicht
der Anwendungsliste nur die Dateinamen getrennt durch Strichpunkte.
4. Speichern Sie Ihre Änderungen.
Hinweis: Die Richtlinieneinstellungen Vertrauenswürdige Anwendungen und Ignorierte
Anwendungen sind Computereinstellungen. Die Richtlinie muss daher Computern, nicht
Benutzern, zugewiesen werden. Andernfalls werden die Einstellungen nicht wirksam.
5.5.6 Konfigurieren von ignorierten Geräten für SafeGuard Data Exchange
Sie können Geräte als ignoriert definieren, um sie von der Dateiverschlüsselung
auszuschließen. Sie können nur vollständige Geräte ausschließen.
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche des Felds
Ignorierte Geräte.
3. Geben Sie die entsprechenden Gerätenamen ein, um spezifische Geräte von der
Verschlüsselung auszuschließen. Dies ist zum Beispiel nützlich, wenn Sie Systeme von
Dritt-Anbietern ausschließen müssen.
Hinweis: Sie können die Namen der derzeit im System benutzten Geräte mit Tools von
Dritt-Anbietern (z. B. OSR Device Tree) anzeigen lassen. SafeGuard Enterprise protokolliert
alle Geräte, mit denen eine Verbindung hergestellt wird. Mit Hilfe von Registry Keys können
Sie eine Liste von verbundenen und ignorierten Geräten aufrufen.
5.5.6.1 Anzeige von verbundenen und ignorierten Geräten für die SafeGuard Data
Exchange Konfiguration
Als Hilfestellung für die Definition von ignorierten Geräten können Sie mit Registry Keys
ermitteln, welche Geräte für die Verschlüsselung in Betracht gezogen werden (verbundene
Geräte) und welche Geräte derzeit ignoriert werden. Die Liste mit ignorierten Geräten enthält
nur Geräte, die tatsächlich auf dem Computer verfügbar sind und ignoriert werden. Wird ein
Gerät in einer Richtlinie als ignoriert definiert und das Gerät ist nicht verfügbar, so wird das
Gerät auch nicht aufgelistet.
Benutzen Sie folgende Registry Keys, um verbundene und ignorierte Geräte zu ermitteln:
■
HKLM\System\CurrentControlSet\Control\Utimaco\SGLCENC\Log\AttachedDevices
■
HKLM\System\CurrentControlSet\Control\Utimaco\SGLCENC\Log\IgnoredDevices
179
SafeGuard Enterprise
5.5.7 Konfigurieren der persistenten Verschlüsselung für SafeGuard Data
Exchange
Der Inhalt von mit SafeGuard Data Exchange verschlüsselten Dateien wird jeweils direkt
entschlüsselt, wenn der Benutzer den erforderlichen Schlüssel hat. Wenn der Inhalt in einer
neuen Datei an einem Ablageort gespeichert wird, für den keine Verschlüsselungsregel gilt,
bleibt die resultierende neue Datei unverschlüsselt.
Mit persistenter Verschlüsselung bleiben Kopien von verschlüsselten Dateien auch dann
verschlüsselt, wenn sie an einem Speicherort abgelegt werden, für den keine
Verschlüsselungsregel gilt.
Sie können die persistente Verschlüsselung in Richtlinien vom Typ Allgemeine Einstellungen
konfigurieren. Die Richtlinieneinstellung Persistente Verschlüsselung aktivieren ist
standardmäßig aktiviert.
Hinweis:
■
Wenn Dateien an ein ignoriertes Gerät oder in einen Ordner kopiert oder verschoben
werden, für den eine Richtlinie mit dem Modus für die Verschlüsselung Ignorieren gilt,
hat die Einstellung Persistente Verschlüsselung aktivieren keine Auswirkungen.
■
Kopiervorgänge werden anhand des Dateinamens erkannt. Wenn ein Benutzer eine
verschlüsselte Datei mit Speichern unter unter einem anderen Dateinamen an einem
Speicherort speichert, für den keine Verschlüsselungsregel gilt, ist die Datei unverschlüsselt.
5.5.8 Protokollierung des Dateizugriffs auf Wechselmedien
Mit der Funktion Berichte des SafeGuard Management Center lässt sich der Dateizugriff auf
Wechselmedien protokollieren (Datei-Tracking). Für Datei-Tracking spielt es keine Rolle, ob
für Dateien auf Wechselmedien eine Verschlüsselungsrichtlinie gilt.
In einer Richtlinie vom Typ Protokollierung können Sie Folgendes konfigurieren:
■
Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem
Wechselmedium angelegt wird.
■
Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem
Wechselmedium umbenannt wird.
■
Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis vom
Wechselmedium gelöscht wird.
Weitere Informationen finden Sie unter Datei-Tracking-Bericht für Wechselmedien und
Cloud-Speicher (Seite 333).
5.5.9 SafeGuard Data Exchange und File Encryption
Das SafeGuard Enterprise Modul File Encryption bietet dateibasierende Verschlüsselung im
Netzwerk, speziell für Arbeitsgruppen bei Netzwerkfreigaben.
Wenn sowohl SafeGuard Data Exchange als auch File Encryption auf einem Endpoint installiert
ist, kann es vorkommen, dass eine SafeGuard Data Exchange Verschlüsselungsrichtlinie für
ein Laufwerk auf dem Computer definiert ist und gleichzeitig File Encryption Richtlinien für
Ordner auf demselben Laufwerk gelten. Ist dies der Fall, so erhält die SafeGuard Data
Exchange Richtlinie Vorrang vor den File Encryption Richtlinien. Neue Dateien werden gemäß
der SafeGuard Data Exchange Richtlinie verschlüsselt.
Weitere Informationen finden Sie unter Pfadbasierte Dateiverschlüsselung (Seite 154).
180
Administratorhilfe
5.6 SafeGuard Festplattenverschlüsselung
SafeGuard Festplattenverschlüsselung mit SafeGuard Power-on Authentication (POA) ist
das Sophos Modul zur Verschlüsselung von Laufwerken auf Endpoints. Es wird mit einer von
Sophos entwickelten Pre-Boot Authentication namens SafeGuard Power On Authentication
(POA) geliefert, die Anmeldeoptionen wie Smartcard und Fingerabdruck sowie einen
Challenge/Response Mechanismus für die Wiederherstellung unterstützt.
Hinweis: SafeGuard Festplattenverschlüsselung ist nur für Endpoints mit Windows 7 (BIOS)
verfügbar.
5.6.1 SafeGuard Enterprise Power-on Authentication (POA)
Hinweis: Diese Beschreibung gilt für Windows 7 Endpoints mit SafeGuard
Festplattenverschlüsselung.
SafeGuard Enterprise identifiziert den Benutzer bereits, bevor das Betriebssystem startet.
Hierbei startet vorher ein SafeGuard Enterprise eigener Systemkern. Dieser ist gegen
Modifikationen geschützt und versteckt auf der Festplatte gespeichert. Erst wenn sich der
Benutzer in der SafeGuard POA korrekt authentisiert hat, wird das Betriebssystem (Windows)
von der verschlüsselten Partition aus gestartet. Die Anmeldung an Windows erfolgt später
automatisch. Analog wird verfahren, wenn sich ein Endpoint im Ruhezustand (Hibernation,
Suspend to Disk) befindet und wieder eingeschaltet wird.
Die SafeGuard Power-on Authentication bietet unter anderem folgende Vorteile:
■
Grafische Benutzeroberfläche, mit Mausunterstützung und verschiebbaren Fenstern, und
damit einfache, übersichtliche Bedienung.
■
Vom Firmenkunden per Richtlinie anpassbares grafisches Layout (Hintergrundbild,
Anmeldebild, Willkommensmeldung etc.).
■
Unterstützung für eine Reihe von Smartcard-Lesegeräten und Smartcards.
■
Unterstützung von Windows-Benutzerkonten und Kennwörtern bereits zum Pre-Boot
Zeitpunkt, keine separaten Zugangsdaten mehr, die sich der Benutzer merken muss.
■
Unterstützung von Unicode und damit auch fremdsprachigen Kennwörtern bzw.
Benutzeroberflächen.
181
SafeGuard Enterprise
5.6.1.1 Ablauf der Anmeldung
SafeGuard Enterprise arbeitet mit zertifikatsbasierter Anmeldung. Deswegen benötigt ein
Benutzer zur erfolgreichen Anmeldung in der SafeGuard Power-on Authentication Schlüssel
und Zertifikate. Benutzerspezifische Schlüssel und Zertifikate werden jedoch erst nach einer
erfolgreichen Windows-Anmeldung erzeugt. Nur Benutzer, die sich erfolgreich an Windows
angemeldet haben, können sich später auch in der SafeGuard Power-on Authentication
authentisieren.
Um den Ablauf der Anmeldung eines Benutzers in SafeGuard Enterprise zu verdeutlichen,
im Folgenden eine kurze Einführung. Eine detaillierte Beschreibung der SafeGuard
POA-Anmeldevorgänge finden Sie in der SafeGuard Enterprise Benutzerhilfe.
SafeGuard Autologon
Nach dem Neustart erscheint bei der ersten Anmeldung am Endpoint der SafeGuard Enterprise
Autologon.
Was passiert?
1. Ein Autouser wird angemeldet.
2. Der Computer registriert sich automatisch am SafeGuard Enterprise Server.
3. Der Maschinenschlüssel wird an den SafeGuard Enterprise Server geschickt und in der
SafeGuard Enterprise Datenbank abgelegt.
4. Die Maschinenrichtlinien werden an den Endpoint geschickt.
Anmeldung an Windows
Der Windows-Anmeldedialog wird angezeigt. Der Benutzer meldet sich an.
Was passiert?
1. Benutzername und ein Hash-Wert der Benutzerdaten werden an den Server geschickt.
2. Benutzerrichtlinien, Zertifikate und Schlüssel werden erzeugt und an den Endpoint
geschickt.
3. Die SafeGuard POA wird aktiviert.
SafeGuard POA-Anmeldung
Nach dem Neustart des Endpoint erscheint die SafeGuard POA.
Was passiert?
1. Zertifikate und Schlüssel für den Benutzer sind vorhanden, und er kann sich in der
SafeGuard POA anmelden.
2. Alle Daten sind sicher mit dem öffentlichen RSA Schlüssel des Benutzers verschlüsselt.
3. Alle weiteren Benutzer, die sich anmelden wollen, müssen erst in die SafeGuard POA
importiert werden.
182
Administratorhilfe
5.6.1.1.1
Anmeldeverzögerung
Auf einem durch SafeGuard Enterprise geschützten Endpoint tritt eine Anmeldeverzögerung
in Kraft, wenn ein Benutzer während der Anmeldung an Windows oder an die SafeGuard
Power-on Authentication falsche Anmeldeinformationen eingibt. Mit jedem fehlgeschlagenen
Anmeldeversuch verlängert sich jeweils die Anmeldeverzögerung. Nach einer fehlgeschlagenen
Anmeldung erscheint ein Dialog, der die verbleibende Verzögerungszeit anzeigt.
Hinweis: Wenn ein Benutzer während der Anmeldung mit Token eine falsche PIN eingibt,
tritt keine Anmeldeverzögerung ein.
Sie können die Anzahl an erlaubten Anmeldeversuchen in einer Richtlinie vom Typ
Authentisierung über die Option Maximalanzahl von erfolglosen Anmeldeversuchen
festlegen. Wenn die Maximalanzahl an erfolglosen Anmeldeversuchen erreicht ist, wird der
Endpoint gesperrt. Um eine Computersperre aufzuheben, kann der Benutzer ein
Challenge/Response-Verfahren starten.
5.6.1.2 Registrieren weiterer SafeGuard Enterprise-Benutzer
Der erste Benutzer, der sich in Windows anmeldet, ist automatisch in der SafeGuard POA
registriert. Zunächst kann sich kein weiterer Windows-Benutzer in der SafeGuard POA
anmelden.
Weitere Benutzer müssen mit Hilfe des ersten Benutzers importiert werden. Eine detaillierte
Beschreibung zum Importieren weiterer Benutzer finden Sie in der SafeGuard Enterprise
Benutzerhilfe.
Eine Richtlinieneinstellung legt fest, wer einen neuen Benutzer importieren darf. Sie finden
diese Richtlinie im SafeGuard Management Center unter
Richtlinien
■
Typ: Spezifische Computereinstellungen
■
Feld: Registrieren von neuen SGN-Benutzern erlauben
Standardeinstellung: Besitzer
Wer der Besitzer eines Endpoint ist, wird im SafeGuard Management Center festgelegt unter
Benutzer und Computer
■
<Endpoint-Name> markieren
■
Registerkarte Benutzer
5.6.1.3 Benutzertypen
Es gibt verschiedene Benutzertypen in SafeGuard Enterprise. Nähere Informationen darüber,
wie das Standardverhalten dieser Benutzertypen geändert werden kann, finden Sie unter
Richtlinientypen und ihre Anwendungsfelder (Seite 352).
■
Besitzer: Der Benutzer, der sich als erster nach der Installation von SafeGuard Enterprise
an einem Endpoint anmeldet, wird nicht nur als SGN-Benutzer eingetragen, sondern auch
als Besitzer dieses Endpoints. Sofern die Standardeinstellungen nicht geändert wurden,
kann der Besitzer es anderen Benutzern ermöglichen, sich an dem Endpoint anzumelden
und SGN-Benutzer zu werden.
■
SGN-Benutzer: Ein „vollwertiger“ SGN-Benutzer kann sich bei der SafeGuard Power-on
Authentication anmelden, wird der UMA (User Machine Assignment - Benutzer-Computer
183
SafeGuard Enterprise
Zuordnung) hinzugefügt und erhält ein Benutzerzertifikat und einen Schlüsselring für den
Zugriff auf verschlüsselte Daten.
■
SGN Windows-Benutzer: Ein SGN Windows-Benutzer wird nicht zur SafeGuard POA
hinzugefügt, verfügt jedoch über einen Schlüsselring, mit dem er wie ein SGN-Benutzer
auf verschlüsselte Dateien zugreifen kann. Er wird auch der UMA hinzugefügt, d. h. er
darf sich auf diesem Endpoint bei Windows anmelden.
■
SGN-Gastbenutzer: Ein SGN-Gastbenutzer wird nicht der UMA hinzugefügt, erhält keine
Berechtigung zum Anmelden bei der SafeGuard POA, bekommt kein Zertifikat und keinen
Schlüsselring zugewiesen und wird nicht in der Datenbank gespeichert. Unter Spezifische
Computereinstellungen - Grundeinstellungen (Seite 382) finden Sie Informationen darüber,
wie verhindert wird, dass sich SGN-Gastbenutzer bei Windows anmelden.
■
Service Account: Mit Service Accounts können sich Benutzer (z. B. Mitarbeiter des
IT-Teams, Rollout-Beauftragte) nach der Installation von SafeGuard Enterprise an Endpoints
anmelden, ohne die SafeGuard POA zu aktivieren und ohne dass sie als SGN-Benutzer
(Besitzer) zu den Endpoints hinzugefügt werden. Benutzer, die in eine Service Account-Liste
aufgenommen wurden, werden nach ihrer Windows-Anmeldung am Endpoint als
SGN-Gastbenutzer behandelt.
■
POA-Benutzer: Nach Aktivierung der POA ist es unter Umständen noch erforderlich,
administrative Aufgaben auszuführen. POA-Benutzer sind vordefinierte lokale Konten, die
die POA absolvieren dürfen. Eine automatische Anmeldung an Windows erfolgt nicht. Die
Benutzer müssen sich an Windows mit ihren vorhandenen Windows-Benutzerkonten
anmelden. Diese Benutzerkonten werden im Bereich Benutzer & Computer des SafeGuard
Management Center definiert (Benutzername und Kennwort) und werden dem Endpoint
in POA-Gruppen zugewiesen. Weitere Informationen finden Sie unter POA -Benutzer für
die SafeGuard POA-Anmeldung (Seite 195).
5.6.1.4 Konfigurieren der SafeGuard Power-on Authentication
Der SafeGuard POA-Dialog besteht aus folgenden Komponenten:
■
Anmeldebild
■
Dialogtexte
■
Sprache des Tastaturlayouts
Das Erscheinungsbild des SafeGuard POA-Dialogs können Sie über Richtlinieneinstellungen
im SafeGuard Management Center an Ihre jeweiligen Anforderungen anpassen.
184
Administratorhilfe
5.6.1.4.1
Hintergrund- und Anmeldebild
In der Standardeinstellung werden Bilder im SafeGuard-Design als Hintergrund- und
Anmeldebild angezeigt. Es ist jedoch möglich, andere Bilder anzuzeigen, z. B. ein Firmenlogo.
Hintergrund- und Anmeldebilder werden über eine Richtlinie vom Typ Allgemeine
Einstellungen festgelegt.
Hintergrund- und Anmeldebilder müssen bestimmten Anforderungen entsprechen, damit sie
in SafeGuard Enterprise verwendet werden können:
Hintergrundbild in der POA
Maximale Dateigröße für alle Hintergrundbilder: 500 KB
SafeGuard Enterprise unterstützt für Hintergrundbilder zwei Varianten:
■
1024x768 (VESA-Modus)
Farben: keine Einschränkung
Richtlinie vom Typ Allgemeine Einstellungen, Option Hintergrundbild in der POA.
■
640 x 480 (VGA-Modus)
Farben: 16
Richtlinie vom Typ Allgemeine Einstellungen, Option Hintergrundbild in der POA
(niedrige Auflösung)
Anmeldebild
Maximale Dateigröße für alle Anmeldebilder: 100 KB
SafeGuard Enterprise unterstützt für Anmeldebilder zwei Varianten:
■
413x140
Farben: keine Einschränkung
Richtlinie vom Typ Allgemeine Einstellungen, Option Anmeldebild in der POA
■
413x140
Farben: 16
Richtlinie vom Typ Allgemeine Einstellungen, Option Anmeldebild in der POA (niedrige
Auflösung)
Bilder müssen zunächst als Dateien (BMP, PNG, JPG) erstellt werden und können dann im
Navigationsbereich registriert werden.
5.6.1.4.1.1
Registrieren von Bildern
1. Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Bilder und
wählen Sie Neu > Bild.
2. Geben Sie unter Bildname einen Namen für das Bild ein.
3. Wählen Sie über die Schaltfläche [...] das zuvor erstellte Bild aus.
4. Klicken Sie auf OK.
Das neue Bild wird als Unterknoten des Eintrags Bilder im Richtlinien-Navigationsbereich
angezeigt. Ist ein Bild markiert, wird es im Aktionsbereich angezeigt. Das Bild kann jetzt beim
Erstellen von Richtlinien ausgewählt werden.
Sie können so weitere Bilder registrieren. Alle registrierten Bilder werden als Unterknoten
angezeigt.
185
SafeGuard Enterprise
Hinweis: Mit der Schaltfläche Bild ändern können Sie das zugeordnete Bild austauschen.
5.6.1.4.2
Benutzerdefinierter Informationstext in der SafeGuard POA
Sie können in der SafeGuard POA folgende benutzerdefinierte Informationstexte anzeigen
lassen:
■
Infotext beim Starten eines Challenge/Response-Verfahrens zur Hilfe bei der Anmeldung
(z. B.: “Bitte rufen Sie Ihren Support unter der Telefonnummer 01234-56789 an.”).
Mit der Option Texte in einer Richtlinie des Typs Allgemeine Einstellungen können Sie
einen Informationstext definieren.
■
Rechtliche Hinweise, die nach der Anmeldung an der SafeGuard POA angezeigt werden.
Mit der Option Text für rechtliche Hinweise in einer Richtlinie des Typs Spezifische
Computereinstellungen können Sie einen Text für rechtliche Hinweise definieren.
■
Text mit zusätzlichen Informationen, der nach der Anmeldung an der SafeGuard POA
angezeigt werden soll.
Mit der Option Text für zusätzliche Informationen in einer Richtlinie des Typs Spezifische
Computereinstellungen können Sie einen Text für zusätzliche Informationen definieren.
5.6.1.4.2.1
Registrieren von Informationstexten
Die Textdateien mit den gewünschten Informationen müssen erstellt werden, bevor sie im
SafeGuard Management Center registriert werden können. Die maximale Dateigröße für
Informationstexte beträgt 50 KB. SafeGuard Enterprise verwendet nur Unicode UTF-16
kodierte Texte. Wenn Sie die Textdateien nicht in diesem Format erstellen, werden sie bei
der Registrierung automatisch in dieses Format konvertiert. Bei der Verwendung von
Sonderzeichen in den Informationstexten für die SafeGuard POA sollte vorsichtig vorgegangen
werden. Einige dieser Zeichen werden u. U. nicht korrekt dargestellt.
So registrieren Sie Informationstexte:
1. Klicken Sie im Richtlinien-Navigationsbereich mit der rechten Maustaste auf Texte und
wählen Sie Neu > Text.
2. Geben Sie unter Textelementname einen Namen für den anzeigenden Text ein.
3. Klicken Sie auf [...] um die zuvor erstellte Textdatei auszuwählen. Wenn eine Konvertierung
notwendig ist, wird eine entsprechende Meldung angezeigt.
4. Klicken Sie auf OK.
Das neue Textelement wird als Unterknoten des Eintrags Texte im
Richtlinien-Navigationsbereich angezeigt. Ist ein Textelement markiert, wird sein Inhalt im
Aktionsbereich auf der rechten Seite angezeigt. Das Textelement kann jetzt beim Erstellen
von Richtlinien ausgewählt werden.
Um weitere Textelemente zu registrieren, gehen Sie wie beschrieben vor. Alle registrierten
Textelemente werden als Unterknoten angezeigt.
Hinweis: Mit der Schaltfläche Text ändern können Sie weiteren Text zum bestehenden Text
hinzufügen. Wenn Sie auf diese Schaltfläche klicken, wird ein Dialog geöffnet, in dem eine
weitere Textdatei ausgewählt werden kann. Der in dieser Datei enthaltene Text wird am Ende
des bestehenden Texts eingefügt.
5.6.1.4.3
Sprache der SafeGuard POA-Dialogtexte
Alle Texte in der SafeGuard POA werden nach der Installation der SafeGuard Enterprise
Verschlüsselungssoftware mit den Standardeinstellungen in der Sprache angezeigt, die bei
186
Administratorhilfe
der Installation von SafeGuard Enterprise in den Regions- und Sprachoptionen von Windows
als Standardsprache am Endpoint eingestellt ist.
Sie können die Sprache der SafeGuard POA-Dialogtexte nach der Installation von SafeGuard
Enterprise mit einer der beide folgenden Methoden umstellen:
■
Ändern Sie die Standardsprache in den Windows Regions- und Sprachoptionen auf dem
Endpoint. Nachdem der Benutzer den Endpoint zweimal neu gestartet hat, ist die neue
Spracheinstellung in der SafeGuard POA aktiv.
■
Erstellen Sie eine Richtlinie des Typs Allgemeine Einstellungen, legen Sie die Sprache
im Feld Sprache am Client fest und übertragen Sie die Richtlinie auf den Endpoint.
Hinweis: Wenn Sie eine Richtlinie erstellen und sie an den Endpoint übertragen, gilt die in
der Richtlinie festgelegte Sprache anstelle der in den Windows Regions- und Sprachoptionen
angegebenen Sprache.
5.6.1.4.4
Tastaturlayout
Beinahe jedes Land hat ein eigenes Tastaturlayout. In der SafeGuard POA macht sich das
Tastaturlayout bei der Eingabe von Benutzernamen, Kennwort und Response Code bemerkbar.
SafeGuard Enterprise übernimmt standardmässig das Tastaturlayout in die SafeGuard POA,
das zum Zeitpunkt der Installation in den Regions- und Sprachoptionen von Windows gesetzt
ist. Ist unter Windows „Deutsch“ als Tastaturlayout gesetzt, wird in der SafeGuard POA das
deutsche Tastaturlayout verwendet.
Die Sprache des verwendeten Tastaturlayouts wird in der SafeGuard POA angezeigt, z. B.
„EN“ für Englisch. Neben dem Standard-Tastaturlayout kann das US-Tastaturlayout (Englisch)
gewählt werden.
Es gibt bestimmte Ausnahmefälle:
■
Das Tastaturlayout wird zwar unterstützt, aufgrund fehlender Schriften (z. B. bei Bulgarisch)
werden im Feld Benutzername aber nur Sonderzeichen angezeigt.
■
Es ist kein spezielles Tastaturlayout verfügbar (z. B. Dominikanische Republik). In solchen
Fällen greift die SafeGuard POA auf das Original-Tastaturlayout zurück. Für die
Dominikanische Republik ist dies „Spanisch“.
■
Wenn Benutzername oder Kennwort aus Zeichen bestehen, die vom ausgewählten
Tastaturlayout oder dem Original-Tastaturlayout nicht unterstützt werden, kann sich der
Benutzer nicht an der SafeGuard POA anmelden.
Hinweis: Alle nicht unterstützten Tastaturlayouts verwenden als Standard das
US-Tastaturlayout. Das bedeutet, dass auch nur Zeichen erkannt und eingegeben werden
können, die im US-Tastaturlayout unterstützt werden. Benutzer können sich demnach nur an
der SafeGuard POA anmelden, wenn ihre Benutzernamen und Kennwörter sich aus Zeichen
zusammensetzen, die vom US-Tastaturlayout oder dem entsprechenden Original-Layout
unterstützt werden.
Virtuelle Tastatur
SafeGuard Enterprise bietet die Möglichkeit, in der SafeGuard POA eine virtuelle Tastatur
anzeigen zu lassen. Der Benutzer kann dann z. B. Anmeldeinformationen durch Klick auf die
am Bildschirm angezeigten Tasten eingeben.
187
SafeGuard Enterprise
Als Sicherheitsbeauftragter können Sie die Anzeige der virtuellen Tastatur in einer Richtlinie
vom Typ Spezifische Computereinstellungen über die Option Virtuelle Tastatur in der
POA aktivieren/deaktivieren.
Die Unterstützung der virtuellen Tastatur muss über eine Richtlinieneinstellung
aktiviert/deaktiviert werden.
Für die virtuelle Tastatur werden verschiedene Layouts angeboten und das Layout kann mit
den gleichen Einstellungen wie das normale Tastaturlayout geändert werden.
5.6.1.4.4.1
Ändern des Tastaturlayouts
Das normale einschließlich des virtuellen Tastaturlayouts der SafeGuard Power-on
Authentication kann nachträglich geändert werden.
1. Wählen Sie Start > Systemsteuerung > Regions- und Sprachoptionen > Erweitert.
2. Wählen Sie auf der Registerkarte Regionale Einstellungen die gewünschte Sprache aus.
3. Wählen Sie dann auf der Registerkarte Erweitert unter Standardeinstellungen für
Benutzerkonten die Option Alle Einstellungen auf das aktuelle Benutzerkonto und
Standardbenutzerprofil anwenden.
4. Klicken Sie auf OK.
Die SafeGuard POA merkt sich das bei der letzten erfolgreichen Anmeldung verwendete
Tastaturlayout und aktiviert dieses beim nächsten Anmelden automatisch. Hierzu sind zwei
Neustarts des Endpoint notwendig. Wenn dieses gemerkte Tastaturlayout über die Regionsund Sprachoptionen abgewählt wird, bleibt es dem Anwender noch so lange erhalten, bis
er eine andere Sprache ausgewählt hat.
Hinweis: Zusätzlich ist es notwendig, die Sprache des Tastatur-Layouts für andere,
nicht-Unicode-Programme, zu ändern.
Falls die gewünschte Sprache nicht auf dem Endpoint vorhanden ist, werden Sie von Windows
evtl. aufgefordert, die Sprache zu installieren. Danach müssen Sie den Endpoint zweimal neu
starten, damit das neue Tastaturlayout von der SafeGuard Power-on Authentication eingelesen
und dann auch über diese eingestellt werden kann.
Sie können das gewünschte Tastaturlayout der SafeGuard Power-on Authentication mit der
Maus oder mit der Tastatur (Alt+Shift) ändern.
Sie können über Start > Ausführen > regedit > HKEY_USERS\.DEFAULT\Keyboard
Layout\Preload einsehen, welche Sprachen auf dem System installiert und damit verfügbar
sind.
5.6.1.5 In der SafeGuard Power-on Authentication unterstützte Hotkeys
Bestimmte Hardware-Einstellungen und -Funktionalitäten können Probleme beim Starten des
Endpoint verursachen, die dazu führen, dass der Rechner im Startvorgang hängen bleibt.
Die SafeGuard Power-on Authentication unterstützt eine Reihe von Hotkeys, mit denen sich
Hardware-Einstellungen und Funktionalitäten modifizieren lassen. Darüber hinaus sind in die
auf dem Endpoint zu installierende .MSI-Datei Grey Lists und Black Lists integriert, die
Funktionen abdecken, von denen ein solches Problemverhalten bekannt ist.
Wir empfehlen, vor jeder größer angelegten SafeGuard Enterprise Installation die aktuelle
Version der SafeGuard POA-Konfigurationsdatei zu installieren. Die Datei wird monatlich
aktualisiert und steht hier zum Download zur Verfügung:
http://www.sophos.com/de-de/support/knowledgebase/110285.aspx
Sie können diese Datei anpassen, um die Hardware einer spezifischen Umgebung abzudecken.
188
Administratorhilfe
Hinweis: Wenn Sie eine angepasste Datei definieren, wird nur diese verwendet, nicht die in
der .msi-Datei integrierte Datei. Die Standarddatei wird nur angewendet, wenn keine SafeGuard
POA-Konfigurationsdatei definiert ist oder keine gefunden wird.
Um die SafeGuard POA-Konfigurationsdatei zu installieren, geben Sie folgenden Befehl ein:
MSIEXEC /i <Client-MSI-Paket> POACFG=<Pfad der SafeGuard
POA-Konfigurationsdatei>
Sie können uns bei der Optimierung der Hardware-Kompatibilität unterstützen, indem Sie ein
von uns zur Verfügung gestelltes Tool ausführen. Dieses Tool liefert ausschließlich
Hardware-relevante Informationen. Das Tool ist einfach zu bedienen. Die gesammelten
Informationen werden zur Hardware-Konfigurationsdatei hinzugefügt.
Für weitere Informationen, siehe
http://www.sophos.com/de-de/support/knowledgebase/110285.aspx.
Die folgenden Hotkeys werden in der SafeGuard POA unterstützt:
■
Shift F3 = USB Legacy Unterstützung (An/Aus)
■
Shift F4 = VESA Grafikmodus (Aus/An)
■
Shift F5 = USB 1.x und 2.0 Unterstützung (Aus/An)
■
Shift F6 = ATA Controller (Aus/An)
■
Shift F7 = nur USB 2.0 Unterstützung (Aus/An)
USB 1.x Unterstützung bleibt wie über Shift F5 gesetzt.
■
Shift F9 = ACPI/APIC (Aus/An)
USB Hotkeys Abhängigkeitsmatrix
Shift F3
Shift F5
Shift F7
Legacy
USB 1.x
USB 2.0
Anmerkung
aus
aus
aus
an
an
an
3.
an
aus
aus
aus
an
an
Standard
aus
an
aus
an
aus
aus
1., 2.
an
an
aus
an
aus
aus
1., 2.
aus
aus
an
an
an
aus
3.
an
aus
an
aus
an
aus
aus
an
an
an
aus
aus
an
an
an
an
aus
aus
2.
1. Shift F5 deaktiviert sowohl die Unterstützung von USB 1.x als auch von USB 2.0.
189
SafeGuard Enterprise
Hinweis: Wenn Sie Shift F5 drücken, reduziert sich die Wartezeit bis zum Starten der
SafeGuard POA erheblich. Beachten Sie jedoch, dass bei Benutzung einer USB-Tastatur
oder einer USB-Maus am betreffenden Computer diese Geräte durch Drücken von Shift
F5 möglicherweise deaktiviert werden.
2. Wenn die USB-Unterstützung nicht aktiviert ist, versucht die SafeGuard POA, BIOS SMM
zu benutzen anstatt den USB-Controller zu sichern und wiederherzustellen. Der
Legacy-Modus kann in diesem Szenario funktionieren.
3. Die Legacy-Unterstützung ist aktiviert, die USB-Unterstützung ist aktiviert. Die SafeGuard
POA versucht, den USB-Controller zu sichern und wiederherzustellen. Der Computer kann
sich je nach eingesetzter BIOS-Version aufhängen.
Es besteht die Möglichkeit, Änderungen, die über Hotkeys vorgenommen werden können,
bei der Installation der SafeGuard Enterprise Verschlüsselungssoftware über eine mst Datei
bereits vorzudefinieren. Verwenden Sie dazu den entsprechenden Aufruf in Verbindung mit
msiexec.
NOVESA
Bestimmt, ob VESA- oder VGA-Modus verwendet wird: 0 = VESA-Modus
(Standard), 1 = VGA-Modus
NOLEGACY
Bestimmt, ob nach der SafeGuard POA-Anmeldung Legacy-Unterstützung aktiviert
ist: 0 = Legacy-Unterstützung aktiviert, 1 = Legacy-Unterstützung nicht aktiviert
(Standard)
ALTERNATE:
Bestimmt, ob USB-Geräte von der SafeGuard POA unterstützt werden: 0 =
USB-Unterstützung ist aktiviert (Standard), 1 = keine USB-Unterstützung
NOATA
Bestimmt, ob der int13-Gerätetreiber verwendet wird: 0 =
Standard-ATA-Gerätetreiber (Standard), 1 = Int13-Gerätetreiber
ACPIAPIC
Bestimmt, ob ACPI/APIC-Unterstützung verwendet wird: 0 = keine
ACPI/APIC-Unterstützung (Standard), 1 = ACPI/APIC-Unterstützung aktiv
5.6.1.6 Deaktivierte SafeGuard POA und Lenovo Rescue and Recovery
Sollte auf dem Computer die SafeGuard Power-on Authentication deaktiviert sein, so sollte
zum Schutz vor dem Zugriff auf verschlüsselte Dateien aus der Rescue and Recovery
Umgebung heraus die Rescue and Recovery Authentisierung eingeschaltet sein.
Detaillierte Informationen zur Aktivierung der Rescue and Recovery Authentisierung finden
Sie in der Lenovo Rescue and Recovery Dokumentation.
5.6.2 Administrative Zugangsoptionen für Endpoints
Hinweis: Die folgenden Beschreibungen beziehen sich auf Windows Endpoints, die mit
SafeGuard Enterprise mit SafeGuard Power-on Authentication geschützt sind.
Um es Benutzern zu ermöglichen, sich nach der Installation von SafeGuard Enterprise zur
Durchführung von administrativen Aufgaben an Endpoints anzumelden, bietet SafeGuard
Enterprise zwei verschiedene Benutzerkontotypen.
■
190
Service Accounts für die Windows-Anmeldung
Administratorhilfe
Mit Service Accounts können sich Benutzer (z. B. Rollout-Beauftragte, Mitglieder des
IT-Teams) nach der Installation von SafeGuard Enterprise an Endpoints anmelden
(Windows-Anmeldung), ohne die SafeGuard Power-on Authentication zu aktivieren. Die
Benutzer werden auch nicht als SafeGuard Enterprise Benutzer zum Endpoint hinzugefügt.
Service Account Listen werden im Bereich Richtlinien des SafeGuard Management Center
angelegt und über Richtlinien den Endpoints zugewiesen. Benutzer, die in eine Service
Account Liste aufgenommen wurden, werden bei der Anmeldung am Endpoint als
Gastbenutzer behandelt.
Hinweis: Service Account Listen werden den Endpoints über Richtlinien zugewiesen. Sie
sollten bereits im ersten SafeGuard Enterprise Konfigurationspaket, das Sie für die
Konfiguration der Endpoints erstellen, enthalten sein.
Weitere Informationen finden Sie unter Service Account-Listen für die Windows-Anmeldung
(Seite 191).
■
POA-Benutzer für die Anmeldung an der SafeGuard POA
POA-Benutzer sind vordefinierte lokale Benutzerkonten, die es Benutzern (z. B. Mitgliedern
des IT-Teams) ermöglichen, sich nach der Aktivierung der SafeGuard POA an Endpoints
zur Ausführung administrativer Aufgaben anzumelden (SafeGuard POA-Anmeldung).
Diese Benutzerkonten werden im Bereich Benutzer & Computer des SafeGuard
Management Center definiert (Benutzername und Kennwort) und werden den Endpoints
über POA-Gruppen in Konfigurationspaketen zugewiesen.
Weitere Informationen finden Sie unter POA -Benutzer für die SafeGuard POA-Anmeldung
(Seite 195).
5.6.3 Service Account Listen für die Windows-Anmeldung
Hinweis: Service Accounts werden nur von Windows Endpoints unterstützt, die von SafeGuard
Enterprise mit SafeGuard Power-on Authentication geschützt werden.
Bei den meisten Implementationen von SafeGuard Enterprise installiert zunächst ein
Rollout-Team neue Computer in einer Umgebung. Danach folgt die Installation von SafeGuard
Enterprise. Zu Installations- und Prüfungszwecken meldet sich der Rollout-Beauftragte dann
am jeweiligen Computer an, bevor der Endbenutzer diesen erhält und die Möglichkeit hat,
die SafeGuard Power-on Authentication zu aktivieren.
So ergibt sich folgendes Szenario:
1. SafeGuard Enterprise wird auf einem Endpoint installiert.
2. Nach dem Neustart des Endpoint meldet sich der Rollout-Beauftragte an.
3. Der Rollout-Beauftragte wird zur SafeGuard POA hinzugefügt und die POA wird aktiv. Der
Rollout-Benutzer wird Besitzer des Endpoint.
Wenn der Endbenutzer den Endpoint erhält, kann er sich nicht an der SafeGuard POA
anmelden. Er muss ein Challenge/Response-Verfahren durchführen.
Um zu verhindern, dass administrative Vorgänge auf einem durch SafeGuard Enterprise
geschützten Endpoint bewirken, dass die SafeGuard Power-on Authentication aktiviert wird
und Rollout-Beauftragte als Benutzer zum Endpoint hinzugefügt werden, ermöglicht SafeGuard
Enterprise das Anlegen von Listen mit Service Accounts. Die in den Listen enthaltenen
Benutzer werden dadurch als SafeGuard Enterprise Gastbenutzer behandelt
Mit Service Accounts ergibt sich folgendes Szenario:
1. SafeGuard Enterprise wird auf einem Endpoint installiert.
191
SafeGuard Enterprise
2. Der Endpoint wird neu gestartet und ein Rollout-Beauftragter, der in einer Service Account
Liste aufgeführt ist, meldet sich an.
3. Gemäß der auf den Computer angewendeten Service Account Liste wird der Benutzer als
Service Account erkannt und als Gastbenutzer behandelt.
Der Rollout-Beauftragte wird nicht zur SafeGuard POA hinzugefügt und die POA wird nicht
aktiviert. Der Rollout-Beauftragte wird nicht Besitzer des Endpoint. Der Endbenutzer kann
sich anmelden und die SafeGuard POA aktivieren.
Hinweis: Service Account Listen werden den Endpoints über Richtlinien zugewiesen. Sie
sollten bereits im ersten SafeGuard Enterprise Konfigurationspaket, das Sie für die
Konfiguration der Endpoints erstellen, enthalten sein.
5.6.3.1 Anlegen von Service Account Listen und Hinzufügen von Benutzern
1. Klicken Sie im Navigationsbereich auf Richtlinien.
2. Markieren Sie im Richtlinien-Navigationsbereich den Eintrag Service Account Listen.
3. Klicken Sie im Kontextmenü von Service Account Listen auf Neu > Service Account
Liste.
4. Geben Sie einen Namen für die Service Account Liste ein und klicken Sie auf OK.
5. Markieren Sie die neue Liste unter Service Account Listen im
Richtlinien-Navigationsfenster.
6. Klicken Sie im Arbeitsbereich mit der rechten Maustaste, um das Kontextmenü für die
Service Account Liste zu öffnen. Wählen Sie Hinzufügen im Kontextmenü.
Eine neue Benutzerzeile wird hinzugefügt.
7. Geben Sie den Benutzernamen und den Domänennamen in den entsprechenden Spalten
ein und drücken Sie Enter. Um weitere Benutzer hinzuzufügen, wiederholen Sie diesen
Schritt.
8. Speichern Sie Ihre Änderungen, indem Sie auf das Speichern Symbol in der Symbolleiste
klicken.
Die Service Account Liste ist registriert und kann beim Anlegen einer Richtlinie ausgewählt
werden.
5.6.3.2 Zusätzliche Informationen zur Eingabe von Benutzer- und Domänennamen
Für die Definition von Benutzern in Service Account Listen in den beiden Feldern
Benutzername und Domänenname gibt es unterschiedliche Vorgehensweisen. Darüber
hinaus gelten für die Eingabewerte in diesen Feldern bestimmte Einschränkungen.
Verschiedene Anmeldekombinationen abdecken
Durch die beiden separaten Felder Benutzername und Domänenname pro Listeneintrag
lassen sich alle möglichen Anmeldekombinationen (z. B. „Benutzer@Domäne oder
„Domäne\Benutzer“) abdecken.
Um mehrere Kombinationen aus Benutzername und Domänenname anzugeben, können Sie
Asterisken (*) als Platzhalter verwenden. Ein * ist als erstes Zeichen, als letztes Zeichen und
als einziges Zeichen zulässig.
Zum Beispiel:
■
192
Benutzername: Administrator
Administratorhilfe
■
Domänenname: *
Mit dieser Kombination geben Sie alle Benutzer mit dem Benutzernamen „Administrator“ an,
die sich an einem Netzwerk oder an einer beliebigen lokalen Maschine anmelden.
Der vordefinierte Domänenname [LOCALHOST], der in der Dropdownliste des Felds
Domänenname zur Verfügung steht, steht für die Anmeldung an einem beliebigen lokalen
Computer.
Zum Beispiel:
■
Benutzername: "Admin*"
■
Domänenname: [LOCALHOST]
Mit dieser Kombination geben Sie alle Benutzer an, deren Benutzernamen mit Admin beginnen
und die sich an einer beliebigen lokalen Maschine anmelden.
Benutzer können sich auf verschiedene Art und Weise anmelden.
Zum Beispiel:
■
Benutzer: test, Domäne: mycompany
■
Benutzer: test, Domäne: mycompany.com.
Da Domänenangaben in Service Account Listen nicht automatisch aufgelöst werden, gibt es
drei mögliche Methoden für das korrekte Angeben der Domäne:
■
■
■
Sie wissen genau, wie sich der Benutzer anmelden wird, und geben die Domäne
entsprechend exakt ein.
Sie erstellen mehrere Einträge in der Service Account Liste.
Sie verwenden Platzhalter, um alle unterschiedlichen Fälle abzudecken (Benutzer: test,
Domäne: mycompany*).
Hinweis: Windows verwendet möglicherweise nicht dieselbe Zeichenfolge und kürzt Namen
ab. Um dadurch entstehende Probleme zu vermeiden, empfehlen wir, den FullQualifiedName
und den Netbios-Namen einzugeben oder Platzhalter zu verwenden.
Einschränkungen
Asterisken sind nur als erstes, letztes und einziges Zeichen zulässig. Beispiele für gültige und
ungültige Zeichenfolgen:
■
Gültige Zeichenfolgen sind z. B.: Admin*, *, *strator, *minis*.
■
Ungültige Zeichenfolgen sind z. B.: **, Admin*trator, Ad*minst*.
Darüber hinaus gelten folgende Einschränkungen:
■
Das Zeichen ? ist in Benutzernamen nicht zulässig.
■
Die Zeichen / \ [ ] : ; | = , + * ? < > " sind in Domänennamen nicht zulässig.
193
SafeGuard Enterprise
5.6.3.3 Bearbeiten und Löschen von Service Account Listen
Als Sicherheitsbeauftragter mit der Berechtigung Service Account Listen ändern können
Sie Service Account Listen jederzeit bearbeiten oder löschen:
■
Um eine Service Account Liste zu bearbeiten, klicken Sie auf der Liste im
Richtlinien-Navigationsfenster. Die Service Account Liste wird im Aktionsbereich geöffnet
und Sie können Benutzernamen zufügen, löschen oder ändern.
■
Um eine Service Account Liste zu löschen, wählen Sie die Liste im
Richtlinien-Navigationsfenster aus, öffnen Sie das Kontextmenü und wählen Sie Löschen.
5.6.3.4 Zuweisen einer Service Account Liste in einer Richtlinie
1. Legen Sie eine Richtlinie vom Typ Authentisierung an oder wählen Sie eine bereits
vorhandene aus.
2. Wählen Sie unter Anmeldeoptionen die gewünschte Service Account Liste aus der
Dropdownliste des Felds Service Account Liste aus.
Hinweis: Die Standardeinstellung dieses Felds ist [Keine Liste], d. h. es gilt keine Service
Account Liste. Rollout-Beauftragte, die sich nach der Installation von SafeGuard Enterprise
an dem Endpoint anmelden, werden somit nicht als Gastbenutzer behandelt und können
die SafeGuard Power-on Authentication aktivieren sowie zum Endpoint hinzugefügt werden.
Um die Zuweisung einer Service Account Liste rückgängig zu machen, wählen Sie die
Option [Keine Liste].
3. Speichern Sie Ihre Änderungen, indem Sie auf das Speichern Symbol in der Symbolleiste
klicken.
Sie können die Richtlinie nun an die Endpoints übertragen, um die Service Accounts auf den
Endpoints zur Verfügung zu stellen.
Hinweis: Wenn Sie unterschiedliche Service Account Listen in verschiedenen Richtlinien
auswählen, die alle nach dem RSOP (Resulting Set of Policies, die für einen bestimmten
Computer/eine bestimmte Gruppe geltenden Einstellungen) relevant sind, setzt die Service
Account Liste in der zuletzt angewandten Richtlinie alle zuvor zugewiesenen Service Account
Listen außer Kraft. Service Account Listen werden nicht zusammengeführt. Um das RSOP
unter Benutzer & Computer einzusehen, brauchen Sie zumindest das Zugriffsrecht
Schreibgeschützt für die relevanten Objekte.
5.6.3.5 Übertragen der Richtlinie an den Endpoint
Service Account Listen sind während der Installation in der Rollout-Phase einer Implementation
besonders hilfreich und wichtig. Es wird daher empfohlen, die Service Account Einstellungen
unmittelbar nach der Installation an den Endpoint zu übertragen. Um die Service Account
Liste zu diesem Zeitpunkt auf dem Endpoint zur Verfügung zu stellen, nehmen Sie in das
erste Konfigurationspaket, das Sie zur Konfiguration des Endpoint nach der Installation
erstellen, eine Richtlinie vom Typ Authentisierung mit den entsprechenden Einstellungen
auf.
Sie können die Einstellungen für die Service Account Liste jederzeit ändern, eine neue
Richtlinie erstellen und diese an die Endpoints übertragen.
5.6.3.6 Anmeldung auf einem Endpoint mit einem Service Account
Bei der ersten Windows-Anmeldung nach dem Neustart des Endpoint meldet sich ein Benutzer,
der auf einer Service Account Liste aufgeführt ist, an dem Endpoint als SafeGuard Enterprise
194
Administratorhilfe
Gastbenutzer an. Diese erste Windows-Anmeldung an diesem Endpoint löst weder eine
ausstehende Aktivierung der SafeGuard Power-on Authentication aus, noch wird durch die
Anmeldung der Benutzer zum Endpoint hinzugefügt. Das SafeGuard Enterprise System Tray
Icon zeigt in diesem Fall auch nicht den Balloon Tool Tip „Initialer Benutzerabgleich
abgeschlossen“ an.
Anzeige des Service Account Status auf dem Endpoint
Der Gastbenutzer-Anmeldestatus wird auch über das System Tray Icon angezeigt. Weitere
Informationen zum System Tray Icon finden Sie in der SafeGuard Enterprise Benutzerhilfe,
Kapitel System Tray Icon und Balloon-Ausgabe (Beschreibung des SGN-Benutzerstatus
Felds).
5.6.3.7 Protokollierte Ereignisse für Service Account Listen
Die in Zusammenhang mit Service Account Listen durchgeführten Aktionen werden über die
folgenden Ereignisse protokolliert:
SafeGuard Management Center
■
Service Account Liste <Name> angelegt.
■
Service Account Liste <Name> geändert.
■
Service Account Liste <Name> gelöscht.
Durch SafeGuard Enterprise geschützte Endpoints
■
Windows-Benutzer <Domäne/Benutzer> hat sich um <Zeit> an Maschine
<Domäne/Computer> als SGN Service Account angemeldet.
■
Neue Service Account Liste importiert.
■
Service Account Liste <Name> gelöscht.
5.6.4 POA-Benutzer für die Anmeldung an der SafeGuard POA
Hinweis: POA-Benutzer werden nur von Windows Endpoints unterstützt, die von SafeGuard
Enterprise mit SafeGuard Power-on Authentication geschützt werden.
Nach der Installation von SafeGuard Enterprise und der Aktivierung der SafeGuard Power-on
Authentication (POA), kann der Zugang zu Endpoints für administrative Aufgaben notwendig
sein. Mit POA-Benutzern können sich Benutzer (z. B. Mitglieder des IT-Teams) zur
Durchführung von administrativen Aufgaben an der SafeGuard Power-on Authentication
anmelden, ohne ein Challenge/Response-Verfahren durchführen zu müssen. Eine
automatische Anmeldung an Windows erfolgt nicht. Die Benutzer müssen sich an Windows
mit ihren vorhandenen Windows-Benutzerkonten anmelden.
Sie können POA-Benutzer anlegen, diese in POA-Gruppen gruppieren und die Gruppen den
Endpoints zuweisen. Die Benutzer, die in der POA-Gruppe enthalten sind, werden zur
SafeGuard POA hinzugefügt und können sich mit Ihrem vordefinierten Benutzernamen und
Kennwort an der POA anmelden.
Hinweis: Für die Verwaltung von POA-Benutzern und POA-Gruppen benötigen Sie das
Zugriffsrecht Voller Zugriff für den POA Knoten unter Benutzer & Computer.
195
SafeGuard Enterprise
5.6.4.1 Erstellen von POA-Benutzern
Für das Erstellen von POA-Benutzern und POA-Gruppen benötigen Sie das Zugriffsrecht
Voller Zugriff für den POA Knoten unter Benutzer & Computer.
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer &
Computer.
2. Wählen Sie im Benutzer & Computer Navigationsfenster unter POA den Knoten
POA-Benutzer.
3. Klicken Sie im POA-Benutzer Kontextmenü auf Neu > Neuen Benutzer erstellen.
Der Dialog Neuen Benutzer erstellen wird angezeigt.
4. Geben Sie im Feld Vollständiger Name einen Namen (den Anmeldenamen) für den neuen
POA-Benutzer ein.
5. Optional können Sie eine Beschreibung für den neuen POA-Benutzer eingeben.
6. Geben Sie ein Kennwort für den neuen POA-Benutzer ein und bestätigen Sie es.
Hinweis: Aus Sicherheitsgründen sollte das Kennwort bestimmten
Mindest-Komplexitätsanforderungen entsprechen. Zum Beispiel sollte es eine Mindestlänge
von 8 Zeichen haben und sowohl aus numerischen als auch alphanumerischen Zeichen
bestehen. Ist das hier eingegebene Kennwort zu kurz, so wird eine entsprechende
Warnungsmeldung angezeigt.
7. Klicken Sie auf OK.
Der neue POA-Benutzer wird angelegt und unter POA-Benutzer im Benutzer & Computer
Navigationsbereich angezeigt.
5.6.4.2 Ändern des Kennworts für einen POA-Benutzer
Für das Bearbeiten von POA-Benutzern und POA-Gruppen benötigen Sie das Zugriffsrecht
Voller Zugriff für den POA Knoten unter Benutzer & Computer.
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer &
Computer.
2. Wählen Sie im Benutzer & Computer Navigationsfenster unter POA, POA-Benutzer den
relevanten POA-Benutzer.
3. Wählen Sie im Kontextmenü des POA-Benutzers den Befehl Eigenschaften.
Der Eigenschaften-Dialog für den POA-Benutzer wird angezeigt.
4. Geben Sie in der Registerkarte Allgemein unter Benutzerkennwort das neue Kennwort
ein und bestätigen Sie es.
5. Klicken Sie auf OK.
Für den relevanten POA-Benutzer gilt das neue Kennwort.
5.6.4.3 Löschen von POA-Benutzern
Für das Löschen von POA-Benutzern und POA-Gruppen benötigen Sie das Zugriffsrecht
Voller Zugriff für den POA Knoten unter Benutzer & Computer.
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer &
Computer.
2. Wählen Sie im Benutzer & Computer Navigationsfenster unter POA, POA-Benutzer den
relevanten POA-Benutzer.
196
Administratorhilfe
3. Klicken Sie mit der rechten Maustaste auf den POA-Benutzer und wählen Sie Löschen
aus dem Kontextmenü.
Der POA-Benutzer wird gelöscht. Es wird nicht mehr im Benutzer & Computer
Navigationsfenster angezeigt.
Hinweis: Wenn der Benutzer einer oder mehreren POA-Gruppen angehört, wird er auch
aus allen Gruppen entfernt. Der POA-Benutzer steht jedoch noch so lange auf dem Endpoint
zur Verfügung, bis die Zuweisung der POA-Gruppe aufgehoben wird.
5.6.4.4 Erstellen von POA-Gruppen
Für das Erstellen von POA-Gruppen benötigen Sie das Zugriffsrecht Voller Zugriff für den
POA Knoten unter Benutzer & Computer.
Damit die POA-Gruppen Endpoints zugewiesen werden können, müssen sie in Gruppen
zusammengefasst werden.
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer &
Computer.
2. Wählen Sie im Benutzer & Computer Navigationsbereich unter POA den Knoten
POA-Gruppen.
3. Klicken Sie im POA-Gruppen Kontextmenü auf Neu > Neue Gruppe erstellen.
Der Neue Gruppe erstellen Dialog wird angezeigt.
4. Geben Sie im Feld Vollständiger Name einen Namen für die neue POA-Gruppe ein.
5. Geben Sie optional eine Beschreibung ein.
6. Klicken Sie auf OK.
Die neue POA-Gruppe ist angelegt. Sie wird unter POA-Gruppen im Benutzer & Computer
Navigationsfenster angezeigt. Sie können nun POA-Benutzer zur Gruppe hinzufügen.
5.6.4.5 Hinzufügen von Benutzern zu POA-Gruppen
Für das Bearbeiten von POA-Gruppen benötigen Sie das Zugriffsrecht Voller Zugriff für den
POA Knoten unter Benutzer & Computer.
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer &
Computer.
2. Wählen Sie im Benutzer & Computer Navigationsfenster unter POA, POA-Gruppe die
relevante POA-Gruppe.
Im Aktionsbereich des SafeGuard Management Center auf der rechten Seite wird die
Mitglieder Registerkarte angezeigt
3. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Hinzufügen
Symbol (grünes Pluszeichen).
Der Mitgliedobjekt auswählen Dialog wird angezeigt
4. Wählen Sie den Benutzer, den Sie zur Gruppe hinzufügen möchten.
5. Klicken Sie auf OK.
Der POA-Benutzer wird zur Gruppe hinzugefügt und in der Registerkarte Mitglieder angezeigt.
197
SafeGuard Enterprise
5.6.4.6 Entfernen von Benutzern aus POA-Gruppen
Für das Bearbeiten von POA-Gruppen benötigen Sie das Zugriffsrecht Voller Zugriff für den
POA Knoten unter Benutzer & Computer.
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer &
Computer.
2. Wählen Sie im Benutzer & Computer Navigationsfenster unter POA, POA-Gruppe die
relevante POA-Gruppe.
Im Aktionsbereich des SafeGuard Management Center auf der rechten Seite wird die
Mitglieder Registerkarte angezeigt
3. Wählen Sie den Benutzer, den Sie aus der Gruppe entfernen möchten.
4. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Löschen Symbol
(rotes Kreuzzeichen).
Der Benutzer wird aus der Gruppe entfernt.
5.6.4.7 Zuweisen von POA-Benutzern zu Endpoints
Hinweis: Damit die POA-Gruppen Endpoints zugewiesen werden können, müssen sie in
Gruppen zusammengefasst werden.
Wie Sie POA-Benutzer Endpoints zuweisen, hängt vom Endpoint-Typ ab:
5.6.4.7.1
■
Für zentral verwaltete Endpoints können POA-Gruppen im Bereich Benutzer & Computer
in der Registerkarte POA-Gruppen-Zuweisung zugewiesen werden.
■
Für Standalone-Endpoints, die im Standalone-Modus laufen und keine Verbindung zum
SafeGuard Enterprise Server haben, muss ein Konfigurationspaket mit einer POA-Gruppe
erstellt und an die Computer verteilt werden.
Zuweisen von POA-Benutzern zu zentral verwalteten Endpoints
Um POA-Benutzer zu zentral verwalteten Endpoints zuzuweisen, benötigen Sie die
Zugriffsrechte Voller Zugriff oder Schreibgeschützt für die relevante POA-Gruppe sowie
das Zugriffsrecht Voller Zugriff für die relevanten Container.
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer &
Computer.
2. Wählen Sie im Benutzer & Computer Navigationsbereich den gewünschten Container.
3. Wählen Sie im Aktionsbereich des SafeGuard Management Center die Registerkarte POA
Gruppenzuweisung.
Unter POA-Gruppen auf der rechten Seite werden alle verfügbaren POA-Gruppen
angezeigt.
4. Ziehen Sie die gewünschte POA-Gruppe aus POA-Gruppen in den POA
Gruppenzuweisung Aktionsbereich.
Gruppenname und Gruppen-DSN der POA-Gruppe werden im Aktionsbereich angezeigt.
5. Speichern Sie Ihre Änderungen in der Datenbank.
Alle Mitglieder der zugewiesenen POA-Gruppe werden an alle Endpoints im ausgewählten
Container übertragen.
198
Administratorhilfe
Sie können die Zuweisung aufheben oder die zugewiesene POA-Gruppe ändern, indem Sie
wie beschrieben vorgehen und Gruppen von und in die Registerkarte POA Gruppenzuweisung
und den Bereich POA-Gruppen ziehen.
Wenn Sie Ihre Änderungen in der Datenbank gespeichert haben, gilt die neue Zuweisung.
5.6.4.7.2
Zuweisen von POA-Benutzern zu Standalone-Endpoints
Um POA-Benutzer zu Standalone-Endpoints zuzuweisen, benötigen Sie die Zugriffsrechte
Schreibgeschützt oder Voller Zugriff für die relevante POA-Gruppe.
POA-Benutzer werden Standalone-Endpoints (im Standalone-Modus betrieben) in
Konfigurationspaketen zugewiesen.
1. Wählen Sie im SafeGuard Management Center aus dem Menü Extras den Befehl
Konfigurationspakete.
2. Wählen Sie ein vorhandenes Konfigurationspaket aus oder erstellen Sie ein neues.
3. Wählen Sie eine POA-Gruppe aus, die Sie zuvor im Bereich Benutzer & Computer des
SafeGuard Management Center erstellt haben.
Darüber hinaus steht standardmäßig eine keine Liste Gruppe zur Auswahl zur Verfügung.
Diese Gruppe kann dazu verwendet werden, die Zuweisung einer POA-Gruppe auf
Endpoints zu löschen.
4. Geben Sie einen Ausgabepfad für das Konfigurationspaket an.
5. Klicken Sie auf Konfigurationspaket erstellen.
6. Installieren Sie das Konfigurationspaket auf den Endpoints.
Durch Installation des Konfigurationspakets werden die Benutzer aus der Gruppe zur
SafeGuard POA auf den Endpoints hinzugefügt. Die POA-Benutzer stehen für die Anmeldung
an die POA zur Verfügung.
Hinweis: Wenn Sie Standalone-Endpoints auf zentral verwaltete Endpoints migrieren, bleiben
die POA-Benutzer aktiv, wenn Sie auch im SafeGuard Management Center zugewiesen
wurden. Die in den POA-Gruppen, die mit Konfigurationspaketen installiert wurden, gesetzten
Kennwörter werden auf die im SafeGuard Management Center angegebenen Kennwörter
gesetzt. Kennwörter, die mit F8 geändert wurden, werden überschrieben.Weitere Informationen
zur Migration von Standalone-Endpoints zu zentral verwalteten Endpoints finden Sie im
SafeGuard Enterprise upgrade guide.
5.6.4.7.3
Aufheben der POA-Benutzer Zuweisung bei Standalone-Endpoints
POA-Benutzer lassen sich von Standalone-Endpoints entfernen, indem Sie eine leere
POA-Gruppe zuweisen:
1. Wählen Sie im Tools Menü des SafeGuard Management Center den Befehl
Konfigurationspakete.
2. Wählen Sie ein vorhandenes Konfigurationspaket aus oder erstellen Sie ein neues.
3. Wählen Sie eine leere POA-Gruppe, die Sie zuvor im Bereich Benutzer & Computer des
SafeGuard Management Center angelegt haben, oder die keine Liste POA-Gruppe, die
standardmäßig unter Konfigurationspakete zur Verfügung steht.
4. Geben Sie einen Ausgabepfad für das Konfigurationspaket an.
5. Klicken Sie auf Konfigurationspaket erstellen.
6. Installieren Sie das Konfigurationspaket auf den Endpoints.
Durch Installation des Konfigurationspakets werden alle POA-Benutzer von den Endpoints
entfernt. Somit werden alle relevanten Benutzer aus der SafeGuard POA entfernt.
199
SafeGuard Enterprise
5.6.4.7.4
Ändern der POA-Benutzer Zuweisungen auf Standalone-Endpoints
1. Legen Sie eine neue POA-Gruppe an oder ändern Sie eine bestehende Gruppe.
2. Erstellen Sie ein neues Konfigurationspaket und wählen Sie die neue oder modifizierte
POA-Gruppe aus.
3. Installieren Sie das Konfigurationspaket auf den Endpoints.
Die neue POA-Gruppe steht auf dem Endpoint zur Verfügung. Alle enthaltenen Benutzer
werden zur POA hinzugefügt. Die neue Gruppe überschreibt die alte. POA-Gruppen werden
nicht miteinander kombiniert.
5.6.4.8 Anmeldung an einem Endpoint mit einem POA-Benutzer
1. Schalten Sie den Endpoint ein.
Der SafeGuard Power-on Authentication Anmeldedialog wird angezeigt.
2. Geben Sie den Benutzernamen und das Kennwort des vordefinierten POA-Benutzers
ein.
Sie werden nicht automatisch an Windows angemeldet. Der Windows-Anmeldedialog wird
angezeigt.
3. Wählen Sie im Domäne Feld die Domäne <POA>.
4. Melden Sie sich mit Ihrem vorhandenen Windows-Benutzerkonto an Windows an.
5.6.4.8.1
Lokale Kennwortänderung
Wurde das Kennwort eines POA-Benutzers mit F8, geändert, so wird die Änderung nicht mit
anderen Endpoints synchronisiert. Der Administrator muss das Kennwort für diesen Benutzer
zentral ändern.
5.6.5 Native Device Encryption verwalten
Um Festplatten besonders schnell, einfach und zuverlässig zu verschlüsseln, greift SafeGuard
auf die Verschlüsselungstechnologie des Betriebssystems zurück. Verwalten Sie Schlüssel
und Wiederherstellungsfunktionen über BitLocker- und mit FileVault 2 verschlüsselte Laufwerke
ganz praktisch über das SafeGuard Management Center.
5.6.5.1 SafeGuard Festplattenverschlüsselung
Ein Kernstück von SafeGuard Enterprise ist die Verschlüsselung von Daten auf
unterschiedlichen Datenträgern. Die Festplattenverschlüsselung kann volume- oder
dateibasierend durchgeführt werden, mit unterschiedlichen Schlüsseln und Algorithmen.
Dateien werden transparent verschlüsselt. Wenn Benutzer Dateien öffnen, bearbeiten und
speichern, werden sie nicht zur Ver- oder Entschlüsselung aufgefordert.
Als Sicherheitsbeauftragter legen Sie die Einstellungen für die Verschlüsselung in einer
Sicherheitsrichtlinie vom Typ Geräteschutz fest. Weitere Informationen finden Sie unter Mit
Richtlinien arbeiten (Seite 87) und Geräteschutz (Seite 376).
Hinweis: Die in den folgenden Abschnitten beschriebene Funktion der
Festplattenvollverschlüsselung kann nur mit Windows 7 BIOS-basierten Systemen genutzt
werden. Wenn Sie andere Systeme wie z. B. UEFI oder Windows 8 verwenden, nutzen Sie
die integrierte Windows BitLocker Drive Encryption-Funktionalität. Weitere Informationen
finden Sie unter BitLocker Drive Encryption (Seite 142).
200
Administratorhilfe
5.6.5.1.1
Volume-basierende Festplattenverschlüsselung
Mit der volume-basierenden Festplattenverschlüsselung werden alle Daten auf einem Volume
(einschließlich Boot-Dateien, Pagefiles, Hibernation Files, temporäre Dateien,
Verzeichnisinformationen usw.) verschlüsselt. Benutzer müssen sich in ihrer Arbeitsweise
nicht anpassen oder auf Sicherheit achten.
Um volume-basierende Verschlüsselung auf Endpoints anzuwenden, erstellen Sie eine
Richtlinie vom Typ Geräteschutz und wählen Sie bei Verschlüsselungsmodus für Medien
die Einstellung Volume-basierend. Weitere Informationen finden Sie unter Geräteschutz
(Seite 376).
Hinweis:
■
Die Volume-basierende Verschlüsselung/Entschlüsselung wird für Laufwerke ohne
Laufwerksbuchstaben nicht unterstützt.
■
Wenn für ein Volume oder einen Volume-Typ eine Verschlüsselungsrichtlinie existiert und
die Verschlüsselung des Volumes schlägt fehl, darf der Benutzer nicht auf das Volume
zugreifen.
■
Endpoints können während der Verschlüsselung/Entschlüsselung heruntergefahren und
neu gestartet werden.
■
Wenn auf die Entschlüsselung die Deinstallation folgt, empfehlen wir, den Endpoint nicht
in einen Energiesparmodus oder den Ruhezustand zu versetzen.
■
Wenn nach der volume-basierenden Verschlüsselung eine Richtlinie auf einen
Endpoint-Computer angewendet wird, die die Entschlüsselung erlaubt, ist Folgendes zu
beachten: Nach einer vollständigen volume-basierenden Verschlüsselung muss der
Endpoint-Computer mindestens einmal neu gestartet werden, bevor die Entschlüsselung
gestartet werden kann.
Hinweis:
Im Gegensatz zur SafeGuard BitLocker Drive Encryption unterstützt die Volume-basierende
SafeGuard-Verschlüsselung keine GUID Partition Table (GPT) Disks. Die Installation wird
abgebrochen, wenn eine solche Disk gefunden wird. Wenn dem System später eine GPT
Disk hinzugefügt wird, werden Volumes auf der Disk verschlüsselt. Beachten Sie, dass die
SafeGuard Recovery-Tools – wie z. B. BE_Restore.exe und recoverkeys.exe – mit solchen
Volumes nicht zurechtkommen. Sophos empfiehlt dringend, eine Verschlüsselung von GPT
Disks zu vermeiden. Zum Entschlüsseln von Volumes, die unbeabsichtigt verschlüsselt wurden,
ändern Sie Ihre SGN-Richtlinien entsprechend und ermöglichen Sie dem Benutzer die
Entschlüsselung.
5.6.5.1.1.1
Volume-basierende Verschlüsselung und die Windows 7 Systempartition
Für Windows 7 Professional, Enterprise und Ultimate wird auf den Endpoints eine
Systempartition angelegt, der kein Laufwerksbuchstabe zugeordnet ist. Diese System-Partition
kann nicht von SafeGuard Enterprise verschlüsselt werden.
5.6.5.1.1.2
Schnelle Initialverschlüsselung
SafeGuard Enterprise bietet die schnelle Initialverschlüsselung als Spezialmodus für die
volume-basierende Verschlüsselung. Dieser Modus reduziert den Zeitraum, der für die initiale
Verschlüsselung (oder die endgültige Entschlüsselung) von Volumes auf Endpoints benötigt
wird. Dies wird dadurch erreicht, dass nur auf den Festplattenspeicherplatz zugegriffen wird,
der tatsächlich in Gebrauch ist.
Für die schnelle Initialverschlüsselung gelten folgende Voraussetzungen:
■
Die schnelle Initialverschlüsselung funktioniert nur auf NTFS-formatierten Volumes.
201
SafeGuard Enterprise
■
Bei NTFS-formatierten Volumes mit einer Cluster-Größe von 64 KB kann die schnelle
Initialverschlüsselung nicht angewendet werden.
Hinweis: Dieser Modus kann zu einem unsichereren Zustand führen, wenn eine Platte vor
der Verwendung mit SafeGuard Enterprise bereits in Gebrauch war. Nicht verwendete Sektoren
können noch Daten enthalten. Daher ist die schnelle Initialverschlüsselung standardmäßig
deaktiviert.
Um die schnelle Initialverschlüsselung zu aktivieren, wählen Sie die Einstellung Schnelle
Initialverschlüsselung in einer Richtlinie vom Typ Geräteschutz.
Hinweis: Für die Entschlüsselung eines Volumes wird unabhängig von der gewählten
Richtlinieneinstellung immer die schnelle Initialverschlüsselung verwendet. Für die
Entschlüsselung gelten ebenfalls die angegebenen Einschränkungen.
5.6.5.1.1.3
Volume-basierende Verschlüsselung und Unidentified File System Objects
Unidentified File System Objects sind Volumes, die von SafeGuard Enterprise nicht eindeutig
als verschlüsselt oder unverschlüsselt identifiziert werden können. Existiert für ein Unidentified
File System Object eine Verschlüsselungsrichtlinie, so wird der Zugriff auf das Volume
verweigert. Existiert keine Verschlüsselungsrichtlinie, so kann der Benutzer auf das Volume
zugreifen.
Hinweis: Existiert für ein Unidentified File System Object eine Verschlüsselungsrichtlinie,
bei der die Richtlinieneinstellung Schlüssel für die Verschlüsselung auf eine Option
eingestellt ist, die die Schlüsselauswahl ermöglicht (z. B. Beliebiger Schlüssel im
Schlüsselring des Benutzers), so entsteht zwischen der Anzeige des
Schlüsselauswahldialogs und der Verweigerung des Zugriffs auf das Volume eine zeitliche
Lücke. Während dieser Zeit kann auf das Volume zugegriffen werden. So lange der
Schlüsselauswahldialog nicht vom Benutzer bestätigt wird, besteht Zugriff auf das Volume.
Um dies zu vermeiden, geben Sie einen vorausgewählten Schlüssel für die Verschlüsselung
an. Weitere Informationen zu den relevanten Richtlinieneinstellungen finden Sie unter
Geräteschutz (Seite 376). Diese zeitliche Lücke entsteht auch dann für mit dem Endpoint
verbundene Unidentified File System Objects, wenn der Benutzer zu dem Zeitpunkt, an dem
die Verschlüsselungsrichtlinie wirksam wird, bereits Dateien auf dem Volume geöffnet hat.
In diesem Fall, kann nicht gewährleistet werden, dass der Zugriff auf das Volume verweigert
wird, da dies zu Datenverlust führen könnte.
5.6.5.1.1.4
Verschlüsselung von Volumes mit aktivierter Autorun-Funktionalität
Wenn Sie auf Volumes, für die die Autorun-Funktionalität aktiviert ist, eine
Verschlüsselungsrichtlinie anwenden, so können folgende Probleme auftreten:
5.6.5.1.1.5
■
Das Volume wird nicht verschlüsselt.
■
Wenn es sich um ein Unidentified File System Object handelt, wird der Zugriff nicht
verweigert.
Zugriff auf mit BitLocker To Go verschlüsselte Volumes
Wird SafeGuard Enterprise mit aktivierter BitLocker To Go Unterstützung verwendet und
existiert eine SafeGuard Enterprise Verschlüsselungsrichtlinie für ein mit BitLocker To Go
verschlüsseltes Volume, so wird der Zugriff auf das Volume verweigert. Existiert keine
SafeGuard Enterprise Verschlüsselungsrichtlinie, so kann der Benutzer auf das Volume
zugreifen.
Weitere Informationen zu BitLocker To Go finden Sie unter BitLocker To Go (Seite 150).
202
Administratorhilfe
5.6.5.1.2
Dateibasierende Festplattenverschlüsselung
Die dateibasierende Verschlüsselung stellt sicher, dass alle Daten verschlüsselt sind (außer
Boot Medium und Verzeichnisinformationen). Mit dateibasierender Verschlüsselung lassen
sich auch optische Medien wie CD/DVD verschlüsseln. Außerdem können Daten mit
Fremdrechnern, auf denen SafeGuard Enterprise nicht installiert ist, ausgetauscht werden
(soweit die Richtlinien dies zulassen) (siehe SafeGuard Data Exchange (Seite 171)).
Hinweis: Mit “Dateibasierender Verschlüsselung” verschlüsselte Daten können nicht
komprimiert werden. Umgekehrt können auch komprimierte Dateien nicht dateibasierend
verschlüsselt werden.
Hinweis: Boot-Volumes werden niemals dateibasierend verschlüsselt. Sie sind automatisch
von einer dateibasierenden Verschlüsselung ausgenommen, auch wenn eine entsprechende
Regel definiert ist.
Um dateibasierende Verschlüsselung auf Endpoints anzuwenden, erstellen Sie eine Richtlinie
vom Typ Geräteschutz und wählen Sie bei Verschlüsselungsmodus für Medien die
Einstellung Dateibasierend.
5.6.5.1.2.1
Standardverhalten beim Speichern von Dateien
Da sich Anwendungen beim Speichern von Dateien unterschiedlich verhalten, bietet SafeGuard
Enterprise zwei Verfahren für das Behandeln von verschlüsselten Dateien, die geändert
wurden.
Wurde eine Datei mit einem anderen Schlüssel als dem Standardschlüssel des Volumes
verschlüsselt und Sie bearbeiten und speichern die Datei, so würde man erwarten, dass der
Verschlüsselungsschlüssel beibehalten wird. Es wurde ja eine Datei bearbeitet, keine neue
erstellt. Viele Anwendungen speichern jedoch Dateien, indem sie eine Kombination aus
Speichern-, Löschen- und Umbenennen-Vorgängen ausführen (z. B. Microsoft Office). Ist
dies der Fall, so verwendet SafeGuard Enterprise in der Standardeinstellung den
Standardschlüssel für diesen Verschlüsselungsvorgang und ändert somit den für die
Verschlüsselung verwendeten Schlüssel.
Wenn Sie dieses Verhalten ändern und den für die Verschlüsselung verwendeten Schlüssel
in jedem Fall beibehalten möchten, können Sie einen Registry Key auf dem Endpoint ändern.
Um den zuvor verwendeten Schlüssel beim Speichern von geänderten Dateien beizubehalten:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UTIMACO\SGLCENC]
"ActivateEncryptionTunneling"=dword:00000001
Um die Verwendung eines anderen Schlüssels (Standardschlüssel) beim Speichern von
geänderten Dateien zuzulassen. Standardeinstellung nach der Installation:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UTIMACO\SGLCENC]
"ActivateEncryptionTunneling"=dword:00000000
Hinweis: Änderungen an dieser Einstellung werden erst nach einem Neustart des Endpoint
wirksam.
5.6.6 Benutzer-Computer Zuordnung (UMA)
SafeGuard Enterprise verwaltet die Informationen, welcher Benutzer sich an welchem
Computer anmelden darf, in einer Liste, für die der Begriff UMA (User Machine Assignment
bzw. Benutzer-Computer Zuordnung) verwendet wird.
203
SafeGuard Enterprise
Voraussetzung für die Aufnahme in die UMA ist, dass sich der Benutzer einmal an einem
Computer mit installiertem SafeGuard Enterprise angemeldet hat und als „kompletter“ Benutzer,
im Sinne von SafeGuard Enterprise, im SafeGuard Management Center vorhanden ist. Als
„komplett“ wird ein Benutzer dann bezeichnet, wenn für ihn nach der ersten Anmeldung ein
Zertifikat erzeugt und danach sein Schlüsselring aufgebaut wurde. Erst dann ist die Möglichkeit
gegeben, dass diese Benutzerdaten auch auf andere Computer repliziert werden können.
Nach der Replikation kann sich der Benutzer auch auf diesen Computern in der SafeGuard
POA anmelden.
In der Standardeinstellung wird der erste Benutzer, der sich nach der Installation von
SafeGuard Enterprise an den Computer anmeldet, in der UMA als Besitzer dieses Computers
eingetragen.
Dieses Attribut erlaubt es dem Benutzer, nachdem er sich im Rahmen der SafeGuard Power-on
Authentication authentisiert hat, weiteren Benutzern die Anmeldung an diesem Computer zu
ermöglichen (siehe Registrieren weiterer SafeGuard Enterprise-Benutzer (Seite 183)). Dadurch
werden auch sie in die UMA für diesen Computer aufgenommen.
So wird automatisch eine Liste aufgebaut, die bestimmt, welcher Benutzer sich an welchem
Computer anmelden darf. Diese Liste kann im SafeGuard Management Center bearbeitet
werden.
5.6.6.1 Benutzer-Computer Zuordnung (UMA) im SafeGuard Management Center
Im SafeGuard Management Center kann eine Zuordnung von Benutzern zu bestimmten
Computern vorgenommen werden. Wird ein Benutzer im SafeGuard Management Center
einem Computer zugeordnet (oder umgekehrt), wird diese Zuweisung in die UMA
aufgenommen. Seine Benutzerdaten (Zertifikat, Schlüssel usw.) werden auf diesen Rechner
repliziert, und er kann sich an diesen Computer anmelden. Wenn ein Benutzer aus der UMA
entfernt wird, werden alle Benutzerdaten automatisch aus der SafeGuard POA gelöscht. Der
Benutzer kann sich dann nicht mehr an der SafeGuard POA mit Benutzername und Kennwort
anmelden.
Hinweis: Um die Benutzer und Computer Zuordnung unter Benutzer & Computer
einzusehen, benötigen Sie mindestens das Zugriffsrecht Schreibgeschützt für eines der
beteiligten Objekte (Benutzer oder Computer). Um die Zuweisung zu definieren oder zu
ändern, benötigen Sie das Zugriffsrecht Voller Zugriff für beide beteiligten Objekte. Die
UMA-Anzeige zeigt die verfügbaren Benutzer/Maschinen gefiltert nach Ihren Zugriffsrechten.
In der UMA-Anzeige, die die Computern zugewiesenen Benutzer und umgekehrt zeigt, werden
Objekte, für die Sie nicht die erforderlichen Zugriffsrechte haben, zu Ihrer Information angezeigt.
Sie können die Zuordnung jedoch nicht ändern.
Im Rahmen dieser Zuordnung kann auch festgelegt bzw. geändert werden, wem es erlaubt
ist, weiteren Benutzern die Anmeldung an diesen Computer zu ermöglichen.
Unter Typ wird im SafeGuard Management Center angezeigt, wie der Benutzer in die
SafeGuard Enterprise Datenbank aufgenommen wurde. Übernommen gibt an, dass der
Benutzer auf einem Endpoint in die UMA für den Computer aufgenommen worden ist.
Hinweis: Wird im SafeGuard Management Center keine Zuweisung vorgenommen und kein
Benutzer als Besitzer festgelegt, wird der Benutzer, der sich als erster nach der Installation
von SafeGuard Enterprise an den Computer anmeldet, als Besitzer eingetragen. Dieser
Benutzer kann weiteren Benutzern die Anmeldung an diesem Computer ermöglichen (siehe
Registrieren weiterer SafeGuard Enterprise-Benutzer (Seite 183). Werden im SafeGuard
Management Center diesem Computer nachträglich Benutzer zugewiesen, so können sich
diese dann auch in der SafeGuard Power-On Authentication anmelden. Voraussetzung dafür
ist allerdings, dass es sich um komplette Benutzer (deren Zertifikat und Schlüssel bereits
existieren) handelt. Die Erlaubnis durch den Besitzer des Computers ist dann nicht notwendig.
204
Administratorhilfe
Über folgende Einstellungen kann festgelegt werden, wem es erlaubt ist, weitere Benutzer in
die UMA aufzunehmen:
■
Kann Besitzer werden Die Auswahl dieser Einstellung ist Voraussetzung dafür, dass ein
Benutzer als Besitzer eines Computers eingetragen werden kann.
■
Benutzer ist Besitzer: Ist diese Einstellung ausgewählt, wird dieser Benutzer als Besitzer
in die UMA eingetragen. Es kann jeweils nur ein Benutzer pro Computer als Besitzer in
der UMA eingetragen werden.
Wer Benutzer in die UMA aufnehmen darf, wird zusätzlich über die Richtlinieneinstellung
Registrieren von neuen SGN-Benutzern erlauben in einer Richtlinie vom Typ Spezifische
Computereinstellungen gesteuert. Die Einstellung Registrierung von SGN
Windows-Benutzern aktivieren in Richtlinien vom Typ Spezifische
Computereinstellungen legt fest, ob SGN Windows-Benutzer auf dem Endpoint registriert
und zur UMA hinzugefügt werden können.
■
Registrieren von neuen SGN-Benutzern erlauben
Niemand
Auch der als Besitzer eingetragene Benutzer kann keinen weiteren Benutzern die Aufnahme
in die UMA ermöglichen. Die Funktionalität, dass ein Besitzer weitere Aufnahmen
ermöglichen kann, wird damit deaktiviert.
Besitzer (Standardeinstellung)
Hinweis: Ein Sicherheitsbeauftragter kann im SafeGuard Management Center immer
Benutzer hinzufügen.
Jeder
Hebt die Einschränkung auf, dass nur der Besitzer Benutzer hinzufügen darf.
Hinweis: Bei Endpoints, auf denen das Device Encryption-Modul nicht installiert ist, muss
die Einstellung Registrieren von neuen SGN-Benutzern erlauben auf Jeder gesetzt
sein, wenn es auf dem Endpoint möglich sein soll, der UMA mehrere Benutzer
hinzuzufügen, die Zugriff auf ihre Schlüsselringe haben sollen. Sonst können Benutzer
nur im Management Center hinzugefügt werden. Diese Option ist wird nur auf zentral
verwalteten Endpoints ausgewertet. Siehe auch Neue SafeGuard Enterprise Data
Exchange-Benutzer erhalten nach dem Anmelden bei SafeGuard Enterprise Data Exchange
Only Clients kein Zertifikat.
■
Registrierung von SGN Windows-Benutzern aktivieren
Wenn Sie Ja auswählen, können SGN Windows-Benutzer auf dem Endpoint registriert
werden. Ein SGN Windows-Benutzer wird nicht zur SafeGuard POA hinzugefügt, verfügt
jedoch über einen Schlüsselring, mit dem er auf verschlüsselte Dateien zugreifen kann
wie ein SGN-Benutzer. Wenn Sie diese Einstellung wählen, werden alle Benutzer, die
andernfalls SGN-Gast-Benutzer geworden wären, zu SGN Windows-Benutzern. Die
Benutzer werden zur UMA hinzugefügt, sobald sie sich an Windows angemeldet haben.
SGN Windows-Benutzer lassen sich auf zentral verwalteten Endpoints automatisch und
auf Standalone-Endpoints manuell aus der UMA entfernen. Weitere Informationen finden
Sie unter Spezifische Computereinstellungen - Grundeinstellungen (Seite 382).
Beispiel:
Das folgende Beispiel zeigt, wie Sie im SafeGuard Management Center festlegen können,
dass sich ausschließlich drei bestimmte Benutzer (Benutzer_a, Benutzer_b, Benutzer_c) auf
dem Computer Computer_ABC anmelden können.
205
SafeGuard Enterprise
Ausgangssituation: Sie legen im SafeGuard Management Center das gewünschte Verhalten
fest. SafeGuard Enterprise wird in der Nacht auf allen Endpoints installiert. Am Morgen sollen
sich die Benutzer an ihrem Computer anmelden können.
1. Weisen Sie im SafeGuard Management Center Benutzer_a, Benutzer_b, Benutzer_c dem
Computer Computer_ABC zu. (Benutzer & Computer -> Computer_ABC auswählen ->
Benutzer via Drag&Drop zuweisen). Damit haben Sie eine UMA festgelegt.
2. Setzen Sie in einer Richtlinie vom Typ Spezifische Computereinstellungen die Einstellung
Registrieren von neuen SGN-Benutzern erlauben auf Niemand. Da es Benutzer_a,
Benutzer_b, Benutzer_c nicht erlaubt werden soll, Benutzer hinzuzufügen, ist es nicht
notwendig, einen Benutzer als Besitzer festzulegen.
3. Weisen Sie die Richtlinie dem Computer zu bzw. an einer Stelle in der Verzeichnisstruktur
zu, wo sie für den Computer wirksam wird.
Bei der Anmeldung des ersten Benutzers an Computer_ABC wird ein Autologon für die
SafeGuard POA ausgeführt. Die Computerrichtlinien werden an den Endpoint geschickt. Da
Benutzer_a in der UMA eingetragen ist, wird er im Zuge der Windows-Anmeldung komplettiert.
Seine Benutzerrichtlinien, Zertifikate und Schlüssel werden an den Endpoint geschickt. Die
SafeGuard POA wird aktiviert.
Hinweis: Der Benutzer kann über die Statusausgabe im SafeGuard Tray Icon überprüfen,
wann dieser Vorgang abgeschlossen ist.
Benutzer_a existiert nun als kompletter Benutzer in SafeGuard Enterprise und kann sich bei
der nächsten Anmeldung in der SafeGuard POA authentisieren und wird automatisch
angemeldet.
Benutzer_a fährt nun den Computer herunter und Benutzer_b will sich anmelden. Da die
SafeGuard POA aktiviert ist, findet kein Autologon mehr statt.
Für die Benutzer_b und Benutzer_c gibt es nun zwei Möglichkeiten, Zugang zu diesem
Computer zu erlangen.
■
Benutzer_a deaktiviert im SafeGuard POA-Anmeldedialog die Option Durchgehende
Anmeldung an Windows und meldet sich an.
■
Benutzer_b authentisiert sich über Challenge/Response in der SafeGuard POA.
In beiden Fällen wird anschließend der Windows-Anmeldedialog angezeigt.
Benutzer_b kann dort seine Windows-Anmeldeinformationen eingeben. Seine
Benutzerrichtlinien, Zertifikate und Schlüssel werden an den Endpoint geschickt. Er wird in
der SafeGuard POA aktiviert. Benutzer_b existiert nun als kompletter Benutzer in SafeGuard
Enterprise. Er kann sich bei der nächsten Anmeldung in der SafeGuard POA authentisieren
und wird automatisch angemeldet.
Es wurde in der Computerrichtlinie zwar festgelegt, dass auf diesem Computer niemand
Benutzer importieren darf, da sie sich aber bereits in der UMA befinden, können Benutzer_b
und Benutzer_c durch die Windows-Anmeldung dennoch komplettiert und in der SafeGuard
POA aktiviert werden.
Alle anderen Benutzer werden nicht in die UMA aufgenommen und können sich daher niemals
an der SafeGuard Power-on Authentication authentisieren. Alle Benutzer, die sich an Windows
anmelden und nicht Benutzer_a, Benutzer_b oder Benutzer_c sind, werden in diesem Szenario
nicht in die UMA aufgenommen und daher auch nie in der SafeGuard POA aktiv.
Sie können im SafeGuard Management Center später weitere Benutzer hinzufügen. Allerdings
steht ihr Schlüsselring nach der ersten Anmeldung noch nicht zur Verfügung, da eine
Synchronisierung erst durch diese Anmeldung angestoßen wird. Nach einer erneuten
Anmeldung steht auch der Schlüsselring zur Verfügung und die Benutzer können entsprechend
206
Administratorhilfe
den geltenden Richtlinien auf den Computer zugreifen. Haben sie sich zuvor noch an keinem
Endpoint erfolgreich angemeldet, können sie wie zuvor beschrieben aufgenommen werden.
Hinweis: Wenn das letzte gültige Benutzerzertifikat von einem SO oder MSO aus der UMA
entfernt wurde, kann jeder Benutzer die SafeGuard POA des entsprechenden Computers
absolvieren. Dasselbe gilt, wenn sich die Domain des Endpoints ändert. Dann sind nur
Windows-Anmeldeinformationen zum Anmelden am Computer, zum Reaktivieren der
SafeGuard POA und das Hinzufügen als neuer Besitzer nötig.
5.6.6.1.1
Benutzer sperren
Durch Auswählen des Kontrollkästchens in der Spalte Benutzer sperren wird dem Benutzer
die Anmeldung an diesem Computer verboten. Wenn der betreffende Benutzer angemeldet
ist, wenn eine Richtlinie, die diese Einstellung enthält, wird der Benutzer abgemeldet.
5.6.6.1.2
Gruppen
Im SafeGuard Management Center können auch Computergruppen einem Benutzer (Konto)
bzw. Benutzergruppen einem Computer zugewiesen werden.
So erstellen Sie eine Gruppe: Klicken Sie unter Benutzer & Computer mit der rechten
Maustaste auf den relevanten Objektknoten, bei dem Sie die Gruppe erstellen möchten.
Wählen Sie dann Neu und Neue Gruppe erzeugen. Geben Sie in Neue Gruppe erzeugen
unter Vollst. Name den Namen der Gruppe und nach Wunsch eine Beschreibung ein. Klicken
Sie auf OK.
Beispiel: Service-Konto
Auf diese Weise ist es z. B. einfach möglich, über ein Service-Konto eine große Anzahl
Computer zu warten. Dazu müssen sich die Computer in einer Gruppe befinden. Diese Gruppe
wird dann einem Service-Konto (Benutzer) zugewiesen. Der Besitzer des Service-Kontos
kann sich dann an alle Computer dieser Gruppe anmelden.
Ebenso kann durch das Zuweisen einer Gruppe, die verschiedene Benutzer enthält, diesen
Benutzern in einem einfachen Schritt die Anmeldung an einem bestimmten Computer
ermöglicht werden.
5.6.6.2 Zuweisen von Benutzer- und Computergruppen
Um die Benutzer und Computer Zuordnung unter Benutzer & Computer einzusehen,
benötigen Sie mindestens das Zugriffsrecht Schreibgeschützt für eines der beteiligten Objekte
(Benutzer oder Computer). Um die Zuweisung zu definieren oder zu ändern, benötigen Sie
das Zugriffsrecht Voller Zugriff für beide beteiligten Objekte. Die UMA-Anzeige zeigt die
verfügbaren Benutzer/Maschinen gefiltert nach Ihren Zugriffsrechten.
Hinweis: Das Zuweisen einzelner Benutzer an einen Computer oder umgekehrt, funktioniert
analog zur Beschreibung für Gruppen.
1. Klicken Sie auf Benutzer & Computer.
2. Zum Zuweisen einer Gruppe von Computern zu einem Benutzer markieren Sie den
Benutzer.
3. Klicken Sie im Aktionsbereich auf die Registerkarte Computer.
Unter Verfügbare Computer werden alle Computer und Computergruppen angezeigt.
4. Ziehen Sie die gewünschten Gruppen aus der Liste der Verfügbaren Gruppen in den
Aktionsbereich.
5. Ein Dialog, in dem Sie gefragt werden, ob der Benutzer Besitzer aller Computer werden
können soll, wird angezeigt.
207
SafeGuard Enterprise
Ist für einen Computer im SafeGuard Management Center kein Besitzer festgelegt, wird
der erste Benutzer, der sich an diesen Computer anmeldet, automatisch als Besitzer
eingetragen. Damit hat er das Recht, anderen Benutzern Zugriff auf diesen Computer zu
erlauben. Voraussetzung dafür ist, dass er das Recht Kann Besitzer werden besitzt.
■
Beantworten Sie diese Frage mit Ja, kann der Benutzer, wenn er sich als erster an
diesen Computer anmeldet, Besitzer werden und damit weiteren Benutzern Zugriff
gewähren.
■
Beantworten Sie diese Frage mit Nein, ist der Benutzer nicht Besitzer dieses Computers.
Für ein Service-Konto ist es in der Regel nicht notwendig, dass der Inhaber dieses Kontos
Besitzer der Computer werden kann. Diese Einstellung kann nach der initialen Zuweisung
geändert werden.
Nach der Beantwortung der Frage werden alle Computer aus der zugewiesenen Gruppe im
Aktionsbereich angezeigt.
Der Benutzer darf sich jetzt an allen Computern anmelden, die so zugewiesen wurden.
Die Zuweisung einer Benutzergruppe an einen einzelnen Computer funktioniert analog zu
dieser Beschreibung.
5.6.7 Sicheres Wake on LAN (WOL)
Im SafeGuard Management Center können Sie Richtlinieneinstellungen für Sicheres Wake
on LAN (WOL) definieren, um Endpoints für Software-Rollout-Vorgänge vorzubereiten. Nach
dem Wirksamwerden einer solchen Richtlinie auf Endpoints werden die notwendigen Parameter
(z. B. SafeGuard POA-Deaktivierung und ein Zeitabstand für Wake on LAN) direkt an die
Endpoints übertragen, wo sie analysiert werden.
Das Rollout-Team kann durch die zur Verfügung gestellten Kommandos ein Scheduling-Skript
so gestalten, dass die größtmögliche Sicherheit des Endpoint trotz deaktivierter SafeGuard
POA gewährleistet bleibt.
Hinweis: Wir weisen an dieser Stelle ausdrücklich darauf hin, dass auch das zeitlich begrenzte
"Ausschalten" der SafeGuard POA für eine bestimmte Anzahl von Boot-Vorgängen ein
Absenken des Sicherheitsniveaus bedeutet.
Die Einstellungen für Sicheres Wake On LAN (WOL) definieren Sie in einer Richtlinie des
Typs Spezifische Computereinstellungen.
5.6.7.1 Sicheres Wake on LAN (WOL): Beispiel
Das SW-Rollout-Team informiert den SafeGuard Enterprise Sicherheitsbeauftragten (SO)
über einen geplanten SW-Rollout für den 25. September 2014 zwischen 03.00 und 06.00
Uhr. Es sind 2 Neustarts notwendig. Der lokale Software Rollout Agent muss sich an Windows
anmelden können.
Im SafeGuard Management Center, erstellt der Sicherheitsbeauftragter eine Richtlinie vom
Typ Spezifische Computereinstellungen mit den folgenden Einstellung und ordnet Sie den
relevanten Endpoints zu.
208
Richtlinieneinstellung
Wert
Anzahl der automatischen Anmeldungen (0 = kein
WOL)
5
Administratorhilfe
Richtlinieneinstellung
Wert
Anmeldung an Windows während WOL erlaubt
Ja
Beginn des Zeitfensters für externen WOL Start
24.Sept. 2014, 12:00
Ende des Zeitfensters für externen WOL Start
25.Sept. 2014, 06:00
Weitere Informationen zu den einzelnen Einstellungen finden Sie unter Spezifische
Computereinstellungen - Grundeinstellungen (Seite 382).
Da die Anzahl an automatischen Anmeldungen auf 5 eingestellt ist, startet der Endpoint 5
mal ohne Authentisierung durch die SafeGuard POA.
Hinweis: Wir empfehlen, für Wake on LAN immer drei Neustarts mehr als notwendig zu
erlauben, um unvorhergesehene Probleme zu umgehen.
Das Zeitintervall setzt der SO auf 12:00 Uhr mittags auf den Tag vor dem SW-Roll-Out. Somit
kann das Scheduling-Skript SGMCMDIntn.exe rechtzeitig starten und WOL ist spätestens
am 25.09 um 03:00 Uhr gestartet.
Das SW-Roll-Out-Team erstellt 2 Kommandos für das Scheduling-Skript:
■
Starte am 24. Sept. 2014, 12.15 Uhr SGMCMDIntn.exe -WOLstart
■
Starte am 26. Sept. 2014, 09.00 Uhr SGMCMDIntn.exe -WOLstop
Das SW-Rollout-Skript wird auf den 25.09.2014, 03.00 Uhr datiert. Am Ende des Skripts kann
WOL explizit wieder deaktiviert werden mit SGMCMDIntn.exe -WOLstop.
Alle Endpoints, die sich bis zum 24.Sept. 2014 anmelden und mit den Roll-out Servern in
Verbindung treten, erhalten die neue Richtlinie und die Scheduling-Kommandos.
Jeder Endpoint, auf dem der Scheduler zwischen dem 24. Sept. 2014,12:00 Uhr und dem
26. Sept. 2014, 09:00 Uhr das Kommando SGMCMDIntn -WOLstart auslöst, fällt in das obige
WOL-Zeitintervall und aktiviert demzufolge Wake on LAN.
5.6.8 Recovery-Optionen
Für Recovery-Vorgänge bietet SafeGuard Enterprise verschiedene Optionen, die auf
unterschiedliche Szenarien zugeschnitten sind:
■
Recovery für die Anmeldung mit Local Self Help
Local Self Help ermöglicht es Benutzern, die Ihr Kennwort vergessen haben, sich
selbständig und ohne Unterstützung des Helpdesk an ihrem Computer anzumelden. So
erhalten Benutzer auch in Situationen, in denen sie keine Telefon- oder Netzwerkverbindung
und somit auch kein Challenge/Response-Verfahren nutzen können (z. B. an Bord eines
Flugzeugs), wieder Zugang zu ihrem Computer. Um sich anzumelden, müssen sie lediglich
eine bestimmte Anzahl an vordefinierten Fragen in der SafeGuard Power-on Authentication
beantworten.
Local Self Help reduziert die Anzahl an Helpdesk-Anforderungen für Recovery-Vorgänge,
die die Anmeldung betreffen. Helpdesk-Mitarbeitern werden somit Routine-Aufgaben
abgenommen und sie können sich auf komplexere Support-Anforderungen konzentrieren.
Weitere Informationen finden Sie unter Recovery mit Local Self Help (Seite 210).
209
SafeGuard Enterprise
■
Recovery mit Challenge/Response
Das Challenge/Response-Verfahren ist ein sicheres und effizientes Recovery-System,
das Benutzer unterstützt, die sich nicht mehr an ihrem Computer anmelden oder nicht
mehr auf verschlüsselte Daten zugreifen können. Während eines
Challenge/Response-Verfahrens übermittelt der Benutzer einen auf dem Endpoint erzeugten
Challenge-Code an den Helpdesk-Beauftragten. Dieser erzeugt auf der Grundlage des
Challenge-Codes einen Response-Code, der den Benutzer zum Ausführen einer
bestimmten Aktion auf dem Computer berechtigt.
Mit Recovery über Challenge/Response bietet SafeGuard Enterprise verschiedene
Workflows für typische Recovery-Szenarien, für die die Unterstützung durch einen Helpdesk
erforderlich ist.
Weitere Informationen finden Sie unter Recovery mit Challenge/Response (Seite 214).
■
System-Recovery für die Sophos SafeGuard Festplattenverschlüsselung
SafeGuard Enterprise bietet verschiedene Methoden und Tools für Recovery-Vorgänge
in Bezug auf wichtige System- und SafeGuard Enterprise Komponenten, z. B.:
Beschädigter MBR
SafeGuard Enterprise Kernel-Probleme
Probleme in Bezug auf Volume-Zugriff
Windows Bootprobleme
Weitere Informationen finden Sie unter System-Recovery für die SafeGuard
Festplattenvollverschlüsselung (Seite 229).
5.6.8.1 Recovery mit Local Self Help
Hinweis: Local Self Help ist nur für Windows 7 Endpoints mit SafeGuard Power-on
Authentication (POA) verfügbar.
Über Local Self Help können sich Benutzer, die Ihr Kennwort vergessen haben, ohne
Unterstützung des Helpdesks wieder an ihrem Computer anmelden. Local Self Help reduziert
die Anzahl an Helpdesk-Anforderungen für Recovery-Vorgänge, die die Anmeldung betreffen.
Helpdesk-Mitarbeitern werden somit Routine-Aufgaben abgenommen und sie können sich
auf komplexere Support-Anforderungen konzentrieren.
Mit Local Self Help erhalten Benutzer auch in Situationen, in denen sie keine Telefon- oder
Netzwerkverbindung und somit auch kein Challenge/Response-Verfahren nutzen können (z.
B. an Bord eines Flugzeugs), wieder Zugang zu ihrem Computer. Um sich anzumelden, muss
der Benutzer lediglich eine bestimmte Anzahl an vordefinierten Fragen in der SafeGuard
Power-on Authentication beantworten.
Die zu beantwortenden Fragen können Sie als zuständiger Sicherheitsbeauftragter zentral
vordefinieren und per Richtlinie an die Endpoints verteilen. Als Vorlage bieten wir Ihnen ein
vordefiniertes Fragenthema an. Sie können dieses Fragenthema unverändert verwenden
oder es bearbeiten. Sie können die Benutzer auch per Richtlinie berechtigen, selbst Fragen
zu definieren.
Wenn Local Self Help per Richtlinie aktiviert ist, steht den Endbenutzern ein Local Self Help
Assistent zur Verfügung, der sie bei der ersten Beantwortung und bei der Bearbeitung von
Fragen unterstützt.
210
Administratorhilfe
Detaillierte Informationen zu Local Self Help auf dem Endpoint finden Sie in der SafeGuard
Enterprise Benutzerhilfe im Kapitel Recovery mit Local Self Help.
5.6.8.1.1
Definieren der Parameter für Local Self Help in einer Richtlinie
Die Einstellungen für Local Self Help definieren Sie in einer Richtlinie vom Typ Allgemeine
Einstellungen unter Recovery für die Anmeldung - Local Self Help. Hier aktivieren Sie
die Funktion zur Benutzung auf den Endpoints und legen weitere Berechtigungen und
Parameter fest.
Local Self Help aktivieren
Um die Funktion Local Self Help für die Benutzung auf Endpoints zu aktivieren, wählen Sie
im Feld Local Self Help aktivieren die Einstellung Ja.
Nach dem Wirksamwerden der Richtlinie auf den Endpoints sind die Benutzer aufgrund dieser
Einstellung berechtigt, Local Self Help für Recovery-Vorgänge, die die Anmeldung betreffen,
zu benutzen. Hierzu müssen die Benutzer die Funktion auf Ihrem Computer durch
Beantwortung einer festgelegten Anzahl der erhaltenen Fragen oder durch Erstellung und
Beantwortung eigener Fragen (je nach Berechtigung) aktivieren.
Nach dem Erhalt der Richtlinie und dem Neustart des Computers steht den Benutzern dafür
der Local Self Help Assistent über das System Tray Icon in der Windows-Taskleiste zur
Verfügung.
Konfigurieren der Funktion Local Self Help
Sie können folgende Optionen für Local Self Help in einer Richtlinie des Typs Allgemeine
Einstellungen definieren.
■
Mindestlänge der Antwort
Legen Sie die Mindestlänge der Antworten in Zeichen fest. Die Standardeinstellung ist 1.
■
Willkommenstext unter Windows
Sie können einen individuellen Informationstext angeben, der beim Starten des Local Self
Help Assistenten auf dem Endpoint im ersten Dialog angezeigt werden soll. Dieser Text
muss zuvor erstellt und registriert werden.
■
Benutzer dürfen eigene Fragen festlegen
Für die Hinterlegung der Fragen und Antworten für Local Self Help gibt es folgende
Möglichkeiten:
■
■
■
Sie definieren als Sicherheitsbeauftragter die Fragen und verteilen Sie an die Benutzer.
Die Benutzer sind nicht dazu berechtigt, eigene Fragen zu definieren.
Sie definieren als Sicherheitsbeauftragter die Fragen und verteilen Sie an die Benutzer.
Die Benutzer sind dazu berechtigt, zusätzlich eigene Fragen zu definieren. Bei der
Beantwortung der für die Aktivierung von Local Self Help notwendigen Mindestanzahl
an Fragen können die Benutzer zwischen vorgegebenen und eigenen Fragen wählen
oder eine Kombination aus beiden verwenden.
Sie berechtigen die Benutzer dazu, eigene Fragen zu definieren und geben keine
vordefinierten Fragen vor. Die Benutzer aktivieren Local Self Help durch Definition und
Beantwortung eigener Fragen.
211
SafeGuard Enterprise
Um die Benutzer dazu zu berechtigen, eigene Fragen zu definieren, wählen Sie im Feld
Benutzer dürfen eigene Fragen festlegen die Einstellung Ja.
5.6.8.1.2
Definieren von Fragen
Voraussetzung dafür, dass Local Self Help auf dem Endpoint verwendet werden kann, ist die
Hinterlegung einer vordefinierten Anzahl an Fragen. Als Sicherheitsbeauftragter mit den
erforderlichen Rechten können Sie festlegen, wie viele Fragen Benutzer beantworten müssen,
um Local Self Help auf den Endpoints zu aktivieren. Sie können auch festlegen, wie viele
Fragen in der SafeGuard POA per Zufallsprinzip ausgewählt werden. Um sich über Local Self
Help an der SafeGuard Power-on Authentication anzumelden, muss der Benutzer alle in der
POA angezeigten Fragen korrekt beantworten.
Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie Local Self Help Fragen
im SafeGuard Management Center registrieren und bearbeiten.
Hinweis:
Nicht alle Zeichen, die in Windows eingegeben werden können, können von der SafeGuard
POA verarbeitet werden. Hebräische oder arabische Zeichen können z. B. nicht verwendet
werden.
5.6.8.1.3
Festlegen der Anzahl an zu beantwortenden Fragen
Sie können die Anzahl an Fragen, die während der Konfiguration von Local Self Help und in
der SafeGuard POA beantwortet werden müssen, festlegen.
1. Markieren Sie im Richtlinien Navigationsbereich den Eintrag Local Self Help Fragen.
2. Im Aktionsbereich können Sie unter Local Self Help Parameter zwei verschiedene Werte
für die Anzahl an Local Self Help Fragen festlegen:
a) Geben Sie im Feld Mindestanzahl der verfügbaren Fragen/Antworten an, wie viele
Fragen die Benutzer im Local Self Help Assistenten beantworten müssen, um Local
Self Help auf den Endpoints zu aktivieren.
Die hier angegebene Anzahl an Fragen muss auf dem Endpoint mit den entsprechenden
Antworten verfügbar sein, damit Local Self Help aktiv ist.
b) Geben Sie im Feld Anzahl der in der POA gestellten Fragen an, wie viele Fragen
die Benutzer in der SafeGuard POA beantworten müssen, wenn Sie sich mit Local Self
Help anmelden.
Die in der SafeGuard POA angezeigten Fragen werden per Zufallsprinzip aus den
Fragen, die der Benutzer im Local Self Help Assistenten beantwortet hat, ausgewählt.
Der im Feld Mindestanzahl der verfügbaren Fragen/Antworten angegebene Wert muss
höher sein als der Wert im Feld Anzahl der in der POA gestellten Fragen. Ist dies nicht
der Fall, so wird beim Speichern Ihrer Änderungen eine Fehlermeldung angezeigt.
Die Felder haben folgende Standardwerte:
■
Mindestanzahl der verfügbaren Fragen/Antworten: 10
■
Anzahl der in der POA gestellten Fragen: 5
3. Speichern Sie Ihre Änderungen in der Datenbank.
Die festgelegten Werte für die Fragenanzahl gelten für die Local Self Help Konfiguration, die
an die Endpoints übertragen wird.
212
Administratorhilfe
5.6.8.1.4
Verwenden der Vorlage
Für Local Self Help ist ein vordefiniertes Fragenthema verfügbar. Sie finden dieses
Fragenthema im SafeGuard Management Center unter Local Self Help Fragen.
Sie können das vordefinierte Fragenthema unverändert verwenden, bearbeiten oder löschen.
5.6.8.1.5
Import von Fragenthemen
Mit dem Importvorgang können Sie Ihre eigenen als .XML-Dateien angelegten Fragenlisten
importieren.
1. Erstellen Sie ein neues Fragenthema (siehe Erstellen eines neuen Fragenthemas und
Hinzufügen von Fragen (Seite 213)).
2. Markieren Sie im Richtlinien Navigationsbereich das neue Fragenthema unter Local Self
Help Fragen.
3. Klicken Sie im Arbeitsbereich mit der rechten Maustaste. Das Kontextmenü für das
Fragenthema wird geöffnet. Wählen Sie Importieren.
4. Wählen Sie das Verzeichnis, in dem das Fragenthema abgelegt ist, sowie das gewünschte
Fragenthema und klicken Sie auf Öffnen.
Die importierten Fragen werden im Arbeitsbereich angezeigt. Sie können das Fragenthema
nun unverändert speichern oder bearbeiten.
5.6.8.1.6
Erstellen eines neuen Fragenthemas und Hinzufügen von Fragen
Sie können neue Fragenthemen zu unterschiedlichen Themenbereichen erstellen. Somit
können Sie Benutzern mehrere Fragenthemen zur Verfügung stellen, aus denen sie das für
sie am besten geeignete Thema auswählen können.
1. Markieren Sie im Richtlinien Navigationsbereich den Eintrag Local Self Help Fragen.
2. Klicken Sie mit der rechten Maustaste auf Local Self Help Fragen und wählen Sie Neu
> Fragenthema.
3. Geben Sie einen Namen für das Fragenthema ein und klicken Sie auf OK.
4. Markieren Sie im Richtlinien Navigationsbereich das neue Fragenthema unter Local Self
Help Fragen.
5. Klicken Sie im Arbeitsbereich mit der rechten Maustaste. Das Kontextmenü für das
Fragenthema wird geöffnet. Wählen Sie Hinzufügen im Kontextmenü.
Eine neue Fragenzeile wird hinzugefügt.
6. Geben Sie Ihre Frage ein und drücken Sie Enter. Um weitere Fragen hinzuzufügen,
wiederholen Sie diesen Vorgang.
7. Speichern Sie Ihre Änderungen, indem Sie auf das Speichern Symbol in der Symbolleiste
klicken.
Ihr Fragenthema ist registriert. Es wird der Richtlinie vom Typ Allgemeine Einstellungen,
über die Local Self Help auf den Endpoints aktiviert wird, automatisch mitgegeben.
5.6.8.1.7
Bearbeiten von Fragenthemen
1. Markieren Sie das gewünschte Fragenthema unter Local Self Help Fragen im Richtlinien
Navigationsbereich.
213
SafeGuard Enterprise
2. Sie können nun Fragen hinzufügen, ändern oder löschen.
■
Um Fragen hinzuzufügen, klicken Sie im Arbeitsbereich mit der rechten Maustaste, um
das Kontextmenü anzuzeigen. Klicken Sie im Kontextmenü auf Hinzufügen. Der
Fragenliste wird eine neue Zeile hinzugefügt. Geben Sie Ihre Frage auf der Zeile ein.
■
Um Fragen zu ändern, klicken Sie auf den Fragentext im Arbeitsbereich. Bei der
gewählten Frage wird ein Stiftsymbol angezeigt. Geben Sie auf der Fragenzeile Ihre
Änderungen ein.
■
Um Fragen zu löschen, markieren Sie die gewünschte Frage durch Klicken auf das
graue Kästchen zu Beginn der Fragenzeile im Arbeitsbereich und wählen Sie im
Kontextmenü des Frageneintrags Entfernen.
3. Speichern Sie Ihre Änderungen, indem Sie auf das Speichern Symbol in der Symbolleiste
klicken.
Ihr geändertes Fragenthema ist registriert. Es wird der Richtlinie vom Typ Allgemeine
Einstellungen, über die Local Self Help auf den Endpoints aktiviert wird, mitgegeben.
5.6.8.1.8
Löschen von Fragenthemen
Um ein Fragenthema zu löschen, klicken Sie mit der rechten Maustaste auf das Fragenthema
unter Local Self Help Fragen im Richtlinien Navigationsbereich und wählen Sie Löschen.
Hinweis: Wenn Sie ein Fragenthema löschen, nachdem die Benutzer bereits Fragen aus
diesem Thema zur Aktivierung von Local Self Help auf ihren Computern beantwortet haben,
werden die Antworten der Benutzer ungültig, da die Fragen nicht mehr vorhanden sind.
5.6.8.1.9
Registrieren von Willkommenstexten
Sie können einen Willkommenstext registrieren, der im ersten Dialog des Local Self Help
Assistenten angezeigt werden soll.
Die Textdateien mit den gewünschten Informationen müssen erstellt werden, bevor sie im
SafeGuard Management Center registriert werden können. Die maximale Dateigröße für
Informationstexte beträgt 50 KB. SafeGuard Enterprise verwendet nur Unicode UTF-16
kodierte Texte. Wenn Sie die Textdateien nicht in diesem Format erstellen, werden sie bei
der Registrierung automatisch in dieses Format konvertiert.
1. Klicken Sie im Richtlinien-Navigationsbereich mit der rechten Maustaste auf Texte und
wählen Sie Neu > Text.
2. Geben Sie unter Textelementname einen Namen für den anzeigenden Text ein.
3. Klicken Sie auf [...] um die zuvor erstellte Textdatei auszuwählen. Wenn eine Konvertierung
notwendig ist, wird eine entsprechende Meldung angezeigt.
4. Klicken Sie auf OK.
Das neue Textelement wird als Unterknoten des Eintrags Texte im
Richtlinien-Navigationsbereich angezeigt. Ist ein Textelement markiert, wird sein Inhalt im
Aktionsbereich auf der rechten Seite angezeigt. Das Textelement kann jetzt beim Erstellen
von Richtlinien ausgewählt werden.
Um weitere Textelemente zu registrieren, gehen Sie wie beschrieben vor. Alle registrierten
Textelemente werden als Unterknoten angezeigt.
5.6.8.2 Recovery mit Challenge/Response
Zur Optimierung von Workflows im Unternehmen und zur Reduzierung von Helpdesk-Kosten
bietet Sophos SafeGuard eine Challenge/Response Recovery-Lösung. Mit einem
benutzerfreundlichen Challenge/Response-Verfahren unterstützt SafeGuard Enterprise
214
Administratorhilfe
Benutzer, die sich an ihrem Computer nicht mehr anmelden oder nicht auf verschlüsselte
Daten zugreifen können.
Diese Funktionalität ist im SafeGuard Enterprise Management Center in Form eines
Recovery-Assistenten integriert.
Nutzen und Vorteile des Challenge/Response-Verfahrens
Das Challenge/Response-Verfahren ist ein sicheres und effizientes Recovery-System.
■
■
■
■
Während des gesamten Vorgangs werden keine vertraulichen Daten in unverschlüsselter
Form ausgetauscht.
Informationen, die unberechtigte Dritte durch Mitverfolgen dieses Vorgangs erhalten
könnten, lassen sich weder zu einem späteren Zeitpunkt noch auf anderen Geräten
verwenden.
Für den Computer, auf den zugegriffen werden soll, muss während des Vorgangs keine
Online-Netzwerkverbindung bestehen. Der Response Code-Assistent für den Helpdesk
läuft auch auf einem Standalone-Endpoint ohne Verbindung zum SafeGuard Enterprise
Server. Eine komplexe Infrastruktur ist nicht notwendig.
Der Benutzer kann schnell wieder mit dem Computer arbeiten. Es gehen keine
verschlüsselten Daten verloren, nur weil der Benutzer das Kennwort vergessen hat.
Typische Notfälle, in denen Hilfe beim Helpdesk angefordert wird
■
Ein Benutzer hat sein Kennwort für die Anmeldung vergessen. Der Computer ist gesperrt.
■
Ein Benutzer hat seinen Token/seine Smartcard vergessen oder verloren.
■
Der lokale Cache der SafeGuard Power-on Authentication ist teilweise beschädigt.
■
■
Ein Benutzer ist krank oder im Urlaub und ein Kollege muss auf die Daten auf dem
Computer zugreifen.
Ein Benutzer möchte auf ein Volume zugreifen, das mit einem Schlüssel verschlüsselt ist,
der auf dem Computer nicht verfügbar ist.
SafeGuard Enterprise bietet für diese typischen Notfälle unterschiedliche Recovery-Workflows,
die dem Benutzer wieder den Zugang zu seinem Computer ermöglichen.
5.6.8.2.1
Challenge/Response Workflow
Das Challenge/Response-Verfahren basiert auf zwei Komponenten:
Endpoint, auf dem der Challenge Code erzeugt wird.
SafeGuard Management Center, in dem Sie als Helpdesk-Beauftragter mit ausreichenden
Rechten einen Response-Code erstellen, der den Benutzer zur Ausführung der
angeforderten Aktion auf dem Computer berechtigt.
215
SafeGuard Enterprise
Hinweis: Für ein Challenge/Response-Verfahren benötigen Sie das Zugriffsrecht Voller
Zugriff für die beteiligten Computer/Benutzer.
1. Der Benutzer fordert auf dem Endpoint einen Challenge-Code an. Je nach Recovery-Typ
wird der Challenge-Code in der SafeGuard Power-on Authentication oder über das
KeyRecovery Tool angefordert.
Es wird ein Challenge-Code aus Ziffern und Buchstaben erzeugt und angezeigt.
2. Der Benutzer wendet sich an den Helpdesk und übermittelt die notwendige
Identifizierungsinformationen sowie den Challenge-Code.
3. Der Helpdesk-Beauftragte startet den Recovery-Assistenten im SafeGuard Management
Center.
4. Der Helpdesk-Beauftragte wählt den entsprechenden Recovery-Typ, bestätigt die
Identifikationsinformationen sowie den Challenge-Code und wählt die gewünschte
Recovery-Aktion aus.
Ein Response-Code in Form einer ASCII-Zeichenfolge wird generiert und angezeigt.
5. Der Helpdesk übermittelt den Response-Code per Telefon oder Text-Mitteilung an den
Benutzer.
6. Der Benutzer gibt den Response-Code ein. Je nach Recovery-Typ erfolgt dies in der
SafeGuard POA oder über das KeyRecovery Tool.
Der Benutzer kann die autorisierte Aktion, z. B. Rücksetzen des Kennworts, ausführen
und wieder mit dem Computer arbeiten.
5.6.8.2.2
Wann muss der Benutzer sein Kennwort ändern?
Im Rahmen eines SafeGuard Enterprise Recovery-Vorgangs muss der Benutzer u. U. sein
Windows-Kennwort ändern. Die folgende Tabelle zeigt, wann es erforderlich ist, das Kennwort
zu ändern. Die ersten vier Spalten zeigen spezifische Bedingungen, die während des
Challenge/Response-Verfahrens auftreten können. Die letzte Spalte gibt basierend auf den
Bedingungen aus den ersten vier Spalten an, ob der Benutzer sein Kennwort ändern muss.
216
Bedingung: C/R mit Bedingung: C/R mit Bedingung:
Benutzeranmeldung Benutzeranmeldung Domänen-Controller
und Anzeige des
verfügbar
Kennworts
Bedingung: Option
zur
Kennwortanzeige
vom Benutzer
abgelehnt
Ergebnis: Benutzer
muss sein
Windows-Kennwort
ändern
Ja
Ja
Ja
Nein
Nein
Ja
Ja
Ja
Ja
Ja
Ja
Ja
Nein
Ja
Nein
Nein
Ja
Ja
entf.
Ja
Nein
Ja
Nein
entf.
Nein
Nein
Nein
Nein
entf.
Nein
Administratorhilfe
5.6.8.2.3
Starten des Recovery-Assistenten
Damit Sie in der Lage sind, ein Recovery-Verfahren auszuführen, stellen Sie sicher, dass Sie
über die erforderlichen Rechte und Berechtigungen verfügen.
1. Melden Sie sich am SafeGuard Management Center an.
2. Klicken Sie auf Extras > Recovery in der Menüleiste.
Der SafeGuard Recovery-Assistent wird gestartet. Sie können wählen, welchen Recovery-Typ
Sie verwenden möchten.
5.6.8.2.4
Recovery-Typen
Wählen Sie den Recovery-Typ, den Sie verwenden möchten. Folgende Recovery-Typen
stehen zur Verfügung:
■
SafeGuard Enterprise Clients (managed)
Challenge/Response für zentral durch das SafeGuard Management Center verwaltete
Endpoints. Sie werden im Bereich Benutzer und Computer des SafeGuard Management
Centers angezeigt.
■
Virtuelle Clients
In komplexen Recovery-Situationen, zum Beispiel wenn die SafeGuard POA beschädigt
ist, lässt sich der Zugriff auf verschlüsselte Daten auf einfache Art und Weise mit
Challenge/Response wieder herstellen. In diesem Fall werden spezifische Dateien mit der
Bezeichnung virtuelle Clients verwendet. Diese Art von Dateien ist sowohl für zentral
verwaltete Computer als auch für Standalone-Endpoints verfügbar.
■
Sophos SafeGuard Clients (Standalone)
Challenge/Response für Standalone-Endpoints Diese Endpoints haben nie eine Verbindung
zum SafeGuard Enterprise Server. Die erforderlichen Recovery-Informationen basieren
auf der Schlüssel-Recovery-Datei. Diese Datei wird auf jedem Endpoint während der
Installation der Sophos SafeGuard Verschlüsselungssoftware erzeugt. Um in diesem Fall
Challenge/Response zur Verfügung zu stellen, muss die Schlüssel-Recovery-Datei dem
SafeGuard Enterprise Helpdesk zur Verfügung stehen, zum Beispiel auf einer
Netzwerkfreigabe.
Hinweis: Darüber hinaus steht das Recovery-Verfahren Local Self Help zur Verfügung, für
das keine Unterstützung durch den Helpdesk benötigt wird.
5.6.8.2.5
Challenge/Response für SafeGuard Enterprise Clients (Managed)
SafeGuard Enterprise bietet ein Recovery-Verfahren für in der Datenbank registrierte Endpoints
für verschiedene Recovery-Szenarien, z. B. Kennwort-Recovery.
Das Challenge/Response-Verfahren wird sowohl für native SafeGuard Enterprise Computer
als auch für mit BitLocker verschlüsselte Endpoints unterstützt. Das System ermittelt den
Computertyp dynamisch. Der Recovery-Workflow wird dementsprechend angepasst.
5.6.8.2.5.1
Recovery-Aktionen für SafeGuard Enterprise Clients
Der Recovery Workflow richtet sich danach, für welchen Typ von Endpoint das
Recovery-Verfahren angefordert wird.
Hinweis: Für mit BitLocker verschlüsselte Computer steht als Recovery-Aktion nur die
Wiederherstellung des Schlüssels, der für die Verschlüsselung eines spezifischen Volumes
verwendet wurde, zur Verfügung. Eine Recovery-Aktion für Kennwörter ist nicht verfügbar.
5.6.8.2.5.1.1 Best Practice für das Wiederherstellen des Kennworts auf SafeGuard POA-Ebene
217
SafeGuard Enterprise
Wir empfehlen, folgende Methoden anzuwenden, wenn der Benutzer sein Kennwort vergessen
hat, um zu vermeiden, dass das Kennwort zentral zurückgesetzt werden muss:
■
Benutzen Sie Local Self Help.
Mit Recovery über Local Self Help kann sich der Benutzer das aktuelle Kennwort anzeigen
lassen und dieses weiterhin benutzen, ohne es zurücksetzen zu müssen. Bei der Benutzung
von Local Self Help ist außerdem keine Unterstützung durch den Helpdesk erforderlich.
■
Bei Anwendung von Challenge/Response für SafeGuard Enterprise Clients
(Managed):
Wir empfehlen, das Kennwort vor dem Challenge/Response-Verfahren nicht zentral im
Active Directory zurückzusetzen. Dadurch wird gewährleistet, dass das Kennwort zwischen
Windows und SafeGuard Enterprise synchron bleibt. Stellen Sie sicher, dass der
Windows-Helpdesk entsprechend informiert ist.
Erzeugen Sie als SafeGuard Enterprise Helpdesk-Beauftragter eine Response für das Booten
des SGN Clients mit Benutzeranmeldung mit der Option Benutzerkennwort anzeigen.
Dies bietet den Vorteil, dass das Kennwort nicht im Active Directory geändert werden muss.
Der Benutzer kann mit dem alten Kennwort weiterarbeiten und dieses später nach Wunsch
lokal ändern.
5.6.8.2.5.1.2 Wiederherstellen des Kennworts auf SafeGuard POA-Ebene
Eines der am häufigsten auftretenden Recovery-Szenarien besteht darin, dass Benutzer ihr
Kennwort vergessen haben. SafeGuard Enterprise wird standardmäßig mit aktivierter
SafeGuard Power-on Authentication (POA) installiert. Das SafeGuard POA-Kennwort, mit
dem auf den Computer zugegriffen wird, ist identisch mit dem Windows-Kennwort.
Wenn der Benutzer das Kennwort auf der SafeGuard POA-Ebene vergessen hat, generiert
der Helpdesk-Beauftragte eine Response mit der Option SGN Client mit Benutzeranmeldung
booten, ohne das Benutzerkennwort anzuzeigen. In diesem Fall startet der Computer jedoch
nach der Eingabe des Response-Codes bis zum Betriebssystem. Der Benutzer muss das
Kennwort auf Windows-Ebene ändern, vorausgesetzt, die Domäne ist erreichbar. Danach
kann der Benutzer sich sowohl an Windows als auch an der SafeGuard Power-on
Authentication mit dem neuen Kennwort anmelden.
5.6.8.2.5.1.3 Anzeigen des Benutzerkennworts
SafeGuard Enterprise bietet Benutzern die Möglichkeit, sich ihr Kennwort während des
Challenge/Response-Verfahrens anzeigen zu lassen. Dies bietet den Vorteil, dass das
Kennwort nicht im Active Directory geändert werden muss. Diese Option ist verfügbar, wenn
die Anforderung SGN Client mit Benutzeranmeldung booten gestellt wird.
5.6.8.2.5.1.4 Ein anderer Benutzer muss den durch SafeGuard Enterprise geschützten Endpoint starten
In diesem Fall startet der Benutzer, der Zugriff benötigt, den Endpoint und gibt seinen
Benutzernamen ein. Der Benutzer fordert dann eine Challenge an. Der SafeGuard Helpdesk
generiert eine Response vom Typ SGN Client mit Benutzeranmeldung booten mit aktivierter
durchgehender Anmeldung an Windows. Der Benutzer wird angemeldet und kann den
Computer benutzen.
5.6.8.2.5.1.5 Wiederherstellen des SafeGuard Enterprise Policy Cache
Diese Aktion wird notwendig, wenn der SafeGuard Policy Cache beschädigt ist. Im Local
Cache werden alle Schlüssel, Richtlinien, Benutzerzertifikate und Audit-Dateien gespeichert.
Standardmäßig ist Recovery für die Anmeldung bei einem beschädigten Local Cache
deaktiviert. Er wird automatisch aus seiner Sicherungskopie wiederhergestellt. In diesem Fall
ist für das Reparieren des Local Cache kein Challenge/Response-Verfahren erforderlich.
Wenn der Local Cache mit einem Challenge/Response-Verfahren repariert werden soll,
218
Administratorhilfe
können Sie den Recovery-Vorgang per Richtlinie aktivieren. In diesem Fall wird der Benutzer
bei einem beschädigten Local Cache automatisch dazu aufgefordert, ein
Challenge/Response-Verfahren zu starten.
5.6.8.2.5.1.6 SafeGuard Data Exchange: Recovery-Vorgänge bei vergessenem Kennwort
SafeGuard Data Exchange ohne Device Encryption bietet für den Fall, dass der Benutzer
sein Kennwort vergessen hat, keinen Recovery-Vorgang über Challenge/Response. In diesem
Fall müssen Sie das Kennwort im Active Directory ändern. Melden Sie sich ohne Sophos
Credential Provider am Endpoint an und stellen Sie die Benutzerkonfiguration auf dem Endpoint
wieder her.
5.6.8.2.5.2
Response für SafeGuard Enterprise Clients
1. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client
(Managed).
2. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste.
3. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn
aus. Hierzu gibt es mehrere Möglichkeiten:
■
Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt
suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten
Computer aus und klicken Sie auf OK. Der Computername wird auf der Seite
Recovery-Typ angezeigt.
■
Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter
klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird
als Distinguished Name angezeigt.
■
Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel:
CN=Desktop1,OU=Development,OU=Headquarter,DC=Sophos,DC=edu
4. Klicken Sie auf Weiter.
5. Wählen Sie die Domäne des Benutzers.
6. Geben Sie den Benutzernamen ein. Hierfür gibt es mehrere Möglichkeiten:
■
Um den Benutzernamen auszuwählen, klicken Sie auf [...] im Abschnitt
Benutzer-Information des Dialogs Recovery für die Anmeldung. Klicken Sie
anschließend auf Jetzt suchen. Eine Liste mit Benutzernamen wird angezeigt. Wählen
Sie den gewünschten Namen und klicken Sie auf OK. Der Benutzername wird auf der
Seite Recovery-Typ angezeigt.
■
Geben Sie den Benutzernamen direkt ein. Stellen Sie sicher, dass der Name korrekt
geschrieben ist.
7. Klicken Sie auf Weiter.
Eine Seite für die Eingabe des Challenge-Codes wird angezeigt.
8. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter.
Der Challenge-Code wird geprüft. Wenn der Code nicht korrekt eingegeben wurde, wird
unterhalb des Blocks, der den Fehler enthält, der Text Ungültige Challenge angezeigt.
219
SafeGuard Enterprise
9. Wenn der Challenge-Code korrekt eingegeben wurde, werden die vom SafeGuard
Enterprise Client angeforderte Aktion sowie die möglichen Recovery-Aktionen auf dem
Client angezeigt. Die möglichen Response-Aktionen richten sich nach den Aktionen, die
auf Client-Seite beim Aufrufen der Challenge angefordert wurden. Wenn auf Client-Seite
zum Beispiel Crypto Token erforderlich angefordert wurde, stehen für die Response die
Aktionen SGN Client mit Benutzeranmeldung booten und SGN Client ohne
Benutzeranmeldung booten zur Verfügung.
10. Wählen Sie die Aktion, die der Benutzer ausführen soll.
11. Wenn Sie SGN Client mit Benutzeranmeldung booten ausgewählt haben, können Sie
zusätzlich auch die Option Benutzerkennwort anzeigen wählen, um das Kennwort auf
dem Zielcomputer anzeigen zu lassen.
12. Klicken Sie auf Weiter.
13. Es wird ein Response-Code erzeugt. Teilen Sie dem Benutzer den Response-Code mit.
Hierzu steht eine Buchstabierhilfe zur Verfügung. Sie können den Response-Code auch
in die Zwischenablage kopieren.
Der Benutzer kann nun den Response-Code auf dem Endpoint eingeben und die autorisierte
Aktion durchführen.
5.6.8.2.6
Challenge/Response mit virtuellen Clients
Mit Recovery über Challenge/Response mit virtuellen Clients bietet SafeGuard Enterprise ein
Recovery-Verfahren für verschlüsselte Volumes in komplexen Notfallsituationen, z. B., wenn
die SafeGuard POA beschädigt ist. Dieses Verfahren lässt sich sowohl auf zentral verwaltete
Endpoints als auch auf Standalone Endoints anwenden.
Hinweis: Recovery mit virtuellen Clients sollte nur in komplexen Notfallsituationen angewendet
werden. Wenn zum Beispiel nur ein Schlüssel für die Wiederherstellung eines Volumes fehlt,
ist es am besten, den fehlenden Schlüssel dem Schlüsselbund des entsprechenden Benutzers
zuzuweisen, um den Zugriff auf das Volume zu ermöglichen.
5.6.8.2.6.1
Recovery Workflow mit virtuellen Clients
Über folgenden allgemeinen Workflow lässt sich der Zugang zum verschlüsselten Endpoint
wiederherstellen:
1. Sie erhalten die SafeGuard Enterprise Recovery Disk vom technischen Support.
Für den Helpdesk steht die Windows PE Recovery Disk mit den aktuellen SafeGuard
Enterprise Filter-Treibern auf der Sophos Support-Website zum Download zur Verfügung.
Weitere Informationen finden Sie unter:
http://www.sophos.com/de-de/support/knowledgebase/108805.aspx.
2. Erstellen Sie den virtuellen Client im SafeGuard Management Center (siehe Erstellen von
virtuellen Clients (Seite 236)).
3. Exportieren Sie den virtuellen Client in eine Datei (sieheExportieren von virtuellen Clients
(Seite 236)).
4. Optional können Sie mehrere Schlüssel für virtuelle Clients in eine Datei exportieren (siehe
Anlegen und Exportieren von Schlüsseldateien für den Recovery-Vorgang (Seite 237)).
5. Booten Sie den Endpoint von der Recovery Disk.
6. Importieren Sie die Datei mit dem virtuellen Client in das KeyRecovery Tool.
7. Starten Sie die Challenge im KeyRecovery Tool.
8. Bestätigen Sie den virtuellen Client im SafeGuard Management Center.
9. Wählen Sie die erforderliche Recovery-Aktion.
220
Administratorhilfe
10. Geben Sie den Challenge-Code im SafeGuard Management Center ein.
11. Generieren Sie den Response-Code im SafeGuard Management Center.
12. Geben Sie den Response-Code im KeyRecovery Tool ein.
Auf den Computer kann wieder zugegriffen werden.
5.6.8.2.6.2
Booten des Computers von der Recovery Disk.
Voraussetzung: Stellen Sie sicher, dass die Boot-Reihenfolge im BIOS das Booten von CD
erlaubt.
1. Fordern Sie vom technischen Support von Sophos die SafeGuard Enterprise Windows
PE Disk an.
Für den Helpdesk steht die Windows PE Recovery Disk mit den aktuellen SafeGuard
Enterprise Filter-Treibern auf der Sophos Support-Website zum Download zur Verfügung.
Weitere Informationen finden Sie unter
http://www.sophos.com/de-de/support/knowledgebase/108805.aspx.
2. Legen Sie auf dem Endpoint die Recovery Disk ein und starten Sie den Computer. Der
integrierte Dateimanager wird geöffnet. Hier sehen Sie auf einen Blick die bereitgestellten
Volumes und Laufwerke.
Der Inhalt des verschlüsselten Laufwerks ist im Dateimanager nicht sichtbar. In den
Eigenschaften des verschlüsselten Laufwerks werden weder das Dateisystem, noch die
Kapazität sowie der verwendete/freie Speicherplatz angegeben.
221
SafeGuard Enterprise
3. Klicken Sie unten im Bereich Quick Launch des Dateimanagers auf das
KeyRecovery-Symbol, um das KeyRecovery Tool zu öffnen. Das Key Recovery Tool zeigt
die Schlüssel-ID verschlüsselter Laufwerke.
4. Suchen Sie nach der Schlüssel-ID des Laufwerks, auf das Sie zugreifen möchten. Die
Schlüssel-ID wird später abgefragt.
Im nächsten Schritt importieren Sie den virtuellen Client in das Key Recovery Tool.
5.6.8.2.6.3
Import des virtuellen Client in das KeyRecovery Tool
Voraussetzung:
Der Computer wurde von der Recovery Disk gebootet.
Stellen Sie sicher, dass das USB-Laufwerk mit der Datei recoverytoken.tok erfolgreich
bereitgestellt wurde.
1. Wählen Sie im Windows PE Dateimanager das Laufwerk aus, auf dem der virtuelle Client
gespeichert ist. Die Datei recoverytoken.tok wird auf der rechten Seite angezeigt.
2. Wählen Sie die Datei recoverytoken.tok aus und ziehen Sie sie auf das Laufwerk, auf dem
sich das KeyRecovery Tool befindet. Legen Sie die Datei hier im Verzeichnis
Toos\SGN-Tools ab.
222
Administratorhilfe
5.6.8.2.6.4
Starten einer Challenge im KeyRecovery Tool
1. Klicken Sie unten im Bereich Quick Launch des Windows PE Dateimanagers auf das
KeyRecovery-Symbol, um das KeyRecovery Tool zu öffnen. Das Key Recovery Tool zeigt
die Schlüssel-ID verschlüsselter Laufwerke.
Das Tool startet und zeigt eine Liste aller Volumes mit den jeweiligen
Verschlüsselungsinformationen (Schlüssel-ID).
2. Wählen Sie das Volume, das Sie entschlüsseln möchten und klicken Sie auf Import mit
C/R, um den Challenge-Code zu erzeugen.
Die Datei mit dem virtuellen Client wird als Referenz in der SafeGuard Enterprise Datenbank
verwendet und in der Challenge angegeben. Der Challenge-Code wird erzeugt und
angezeigt.
3. Übermitteln Sie den Namen des virtuellen Clients und den Challenge-Code an den
Helpdesk, z. B. über Telefon oder eine Textmitteilung. Hierzu steht eine Buchstabierhilfe
zur Verfügung.
5.6.8.2.6.5
Bestätigen des virtuellen Client
Voraussetzung: Der virtuelle Client muss im SafeGuard Management Center unter Virtuelle
Clients angelegt worden sein und er muss in der Datenbank zur Verfügung stehen.
1. Klicken Sie im SafeGuard Management Center auf Extras > Recovery, um den
Recovery-Assistenten zu öffnen.
2. Wählen Sie unter Recovery-Typ die Option Virtueller Client.
3. Geben Sie den Namen des virtuellen Client ein, den Sie vom Benutzer erhalten haben.
Hierzu gibt es verschiedene Möglichkeiten:
■
Geben Sie den eindeutigen Namen direkt ein.
■
Wählen Sie einen Namen, indem Sie auf [...] im Abschnitt Virtueller Client des Dialogs
Recovery-Typ klicken. Klicken Sie anschließend auf Jetzt suchen. Eine Liste mit
virtuellen Clients wird angezeigt. Wählen Sie den gewünschten virtuellen Client aus
und klicken Sie auf OK. Der Name des virtuellen Clients wird nun auf der Recovery-Typ
Seite unter Virtueller Client angezeigt.
4. Klicken Sie auf Weiter, um den Namen der Datei mit dem virtuellen Client zu bestätigen.
Im nächsten Schritt wählen Sie die erforderliche Recovery-Aktion aus.
223
SafeGuard Enterprise
5.6.8.2.6.6
Auswahl der erforderlichen Recovery-Aktion
1. Wählen Sie bei Virtueller Client auf der Angeforderte Aktion Seite eine der folgenden
Optionen:
■
Wählen Sie Schlüssel angefordert, um einen einzelnen Schlüssel für den Zugriff auf
ein verschlüsseltes Volume auf dem Computer wiederherzustellen.
Diese Option ist sowohl für zentral verwaltete Endpoints als auch für
Standalone-Endpoints verfügbar.
■
Wählen Sie Kennwort für Schlüsseldatei angefordert, um mehrere Schlüssel für den
Zugriff auf verschlüsselte Volumes auf dem Computer wiederherzustellen. Die Schlüssel
werden in einer Datei gespeichert, die mit einem Zufallskennwort verschlüsselt wird,
das in der Datenbank abgelegt ist. Das Kennwort ist für jede angelegte Schlüsseldatei
einzigartig. Das Kennwort wird innerhalb des Response-Codes an den Zielcomputer
übertragen.
Diese Option ist nur für zentral verwaltete Endpoints verfügbar.
2. Klicken Sie auf Weiter.
5.6.8.2.6.7
Auswahl des angeforderten Schlüssel (einzelner Schlüssel)
Voraussetzung:
Sie müssen den erforderlichen virtuellen Client im Recovery-Assistenten des SafeGuard
Management Center sowie die Recovery-Aktion Schlüssel angefordert ausgewählt haben.
1. Wählen Sie im Recovery-Assistenten auf der Seite Virtueller Client aus, ob die Aktion
von einem zentral verwalteten-Endpoint oder einem Standalone-Endpoint angefordert
wird.
■
Wählen Sie für zentral verwaltete Endpoints Recovery-Schlüssel für einen SafeGuard
Enterprise Managed Client. Klicken Sie auf [...]. In Schlüssel suchen können Sie
sich die Schlüssel nach Schlüssel-ID oder symbolischem Namen anzeigen lassen.
Klicken Sie auf Jetzt suchen, wählen Sie den Schlüssel und klicken Sie auf OK.
Hinweis: Eine Response kann nur für zugewiesene Schlüssel erzeugt werden. Ist ein
Schlüssel inaktiv, d. h. der Schlüssel ist nicht mindestens einem Benutzer zugewiesen,
ist eine Response mit einem virtuellen Client nicht möglich. In diesem Fall kann der
inaktive Schlüssel zunächst einem beliebigen Benutzer zugewiesen werden. Danach
kann eine Response für den Schlüssel generiert werden.
■
Wählen Sie für Standalone-Endpoints Recovery-Schlüssel für einen Sophos
SafeGuard Standalone Client. Klicken Sie neben dieser Option auf [...], um nach der
entsprechenden Datei zu suchen. Zur Vereinfachung der Identifizierung tragen die
Recovery-Dateien den Namen des Computers: computername.GUID.xml. Wählen Sie
die Datei aus und klicken Sie auf Öffnen.
Hinweis: Die Schlüssel-Recovery-Datei, die zur Wiederherstellung des Zugriffs auf
den Computer erforderlich ist, muss dem Helpdesk zur Verfügung stehen, z. B. über
eine Netzwerkfreigabe.
2. Klicken Sie auf Weiter. Die Seite für die Eingabe des Challenge-Codes wird angezeigt.
Der angeforderte Schlüssel wird mit dem Response-Code an die Benutzerumgebung
übertragen.
5.6.8.2.6.8
Auswahl des angeforderten Schlüssel (mehrere Schlüssel)
Voraussetzung:
224
Administratorhilfe
Diese Option ist nur für zentral verwaltete Endpoints verfügbar.
Sie müssen die Schlüsseldatei zuvor im SafeGuard Management Center unter Schlüssel
imd Zertifikate angelegt haben und das Kennwort, mit dem die Datei verschlüsselt ist, muss
in der Datenbank gespeichert sein.
Sie müssen den erforderlichen virtuellen Client im Recovery-Assistenten des SafeGuard
Management Center sowie die Recovery-Aktion Kennwort für Schlüsseldatei angefordert
ausgewählt haben.
1. Um eine Schlüsseldatei auszuwählen, klicken Sie auf die [...] Schaltfläche neben dieser
Option. Klicken Sie in Schlüsseldatei auf Jetzt suchen. Wählen Sie die Schlüsseldatei
aus und klicken Sie auf OK.
2. Klicken Sie zur Bestätigung auf Weiter.
Die Seite für die Eingabe des Challenge-Codes wird angezeigt.
5.6.8.2.6.9
Eingabe des Challenge-Codes und Erzeugen des Response-Codes
Voraussetzung:
Sie müssen den erforderlichen virtuellen Client im Recovery-Assistenten des SafeGuard
Management Center sowie die erforderliche Recovery-Aktion ausgewählt haben.
1. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter.
Der Challenge-Code wird geprüft.
Wenn der Challenge-Code korrekt eingegeben wurde, wird der Response-Code erzeugt.
Wenn der Code nicht korrekt eingegeben wurde, wird unterhalb des Blocks, der den Fehler
enthält, der Text Ungültige Challenge angezeigt.
2. Teilen Sie dem Benutzer den Response-Code mit. Hierzu steht eine Buchstabierhilfe zur
Verfügung. Sie können den Response-Code auch in die Zwischenablage kopieren.
Wenn Sie Schlüssel angefordert als Recovery-Aktion ausgewählt haben, wird der
angeforderte Schlüssel im Response-Code an die Benutzerumgebung übertragen.
Wenn Sie Kennwort für Schlüsseldatei angefordert als Recovery-Aktion ausgewählte
haben, wird das Kennwort für die verschlüsselte Schlüsseldatei im Response-Code übertragen.
Die Schlüsseldatei wird daraufhin gelöscht.
5.6.8.2.6.10
Eingeben des Response-Codes im KeyRecovery Tool
1. Geben Sie im KeyRecovery Tool auf dem Endpoint den Response-Code ein, den Sie vom
Helpdesk erhalten haben.
Mit dem Response-Code wird der erforderliche Recovery-Schlüssel übertragen.
2. Klicken Sie auf OK. Das für das Challenge/Response-Verfahren gewählte Laufwerk wird
entschlüsselt.
225
SafeGuard Enterprise
3. Um sicherzustellen, dass die Entschlüsselung erfolgreich durchgeführt werden konnte,
wählen Sie das entschlüsselte Laufwerk im Windows PE Dateimanager aus:
Der Inhalt des entschlüsselten Laufwerks wird nun im Dateimanager angezeigt. Das
Dateisystem und die Kapazität sowie der benutzte/freie Speicherplatz werden nun in den
Eigenschaften des entschlüsselten Laufwerks angegeben.
Der Zugriff auf die Daten, die auf dieser Partition gespeichert sind, ist wiederhergestellt. Nach
der erfolgreichen Entschlüsselung haben Sie auf dem entsprechenden Laufwerk Lese- und
Schreibzugriff für Daten. Sie können Daten vom und auf das Laufwerk kopieren.
5.6.8.2.7
Challenge/Response für Sophos SafeGuard Clients (Standalone)
SafeGuard Enterprise bietet Challenge/Response für Recovery-Vorgänge, z. B. wenn der
Benutzer sein Kennwort vergessen oder es zu oft falsch eingegeben hat, auch für
Standalone-Endpoints (Sophos SafeGuard Clients Standalone). Standalone-Endpoints haben
nie eine Verbindung zum SafeGuard Enterprise Server, auch nicht vorübergehend. Sie werden
im Standalone-Modus betrieben.
Die für Challenge/Response-Vorgänge benötigten Recovery-Informationen basieren in diesem
Fall auf der Schlüssel-Recovery-Datei. Diese Schlüssel-Recovery-Datei wird auf jedem
Standalone-Endpoint während der Installation der SafeGuard Enterprise
Verschlüsselungssoftware erzeugt. Die Schlüssel-Recovery-Datei muss dem SafeGuard
Enterprise Helpdesk zur Verfügung stehen, zum Beispiel auf einer Netzwerkfreigabe.
Um die Suche nach und die Gruppierung von Recovery-Dateien zu vereinfachen, enthalten
die Dateinamen den Namen des Computers: computername.GUID.xml. Somit sind
Suchvorgänge mit Asterisken (*) als Platzhalter möglich, z. B.: *.GUID.xml.
Hinweis: Wenn ein Computer umbenannt wird, wird er im Local Cache nicht automatisch
entsprechend umbenannt. Im Local Cache werden alle Schlüssel, Richtlinien,
Benutzerzertifikate und Audit-Dateien gespeichert. Für die Datei-Generierung muss der neue
Computername daher aus dem Local Cache entfernt werden, so dass nur der vorige Name
verbleibt, auch wenn der Computer unter Windows umbenannt wird.
226
Administratorhilfe
5.6.8.2.7.1
Recovery-Aktionen für Sophos SafeGuard Clients (standalone)
Für einen Standalone-Endpoint kann in den folgenden Situationen ein
Challenge/Response-Verfahren gestartet werden:
■
Der Benutzer hat das Kennwort zu oft falsch eingegeben.
■
Der Benutzer hat das Kennwort vergessen.
■
Ein beschädigter Local Cache muss repariert werden.
Für einen Standalone-Endpoint steht kein Benutzerschlüssel in der Datenbank zur Verfügung.
Somit ist in einem Challenge/Response-Verfahren nur die Recovery-Aktion SGN Client ohne
Benutzeranmeldung booten möglich.
Das Challenge/Response-Verfahren ermöglicht das Booten des Computers durch die
SafeGuard Power-on Authentication. Der Benutzer kann sich dann an Windows anmelden.
Mögliche Recovery-Anwendungsfälle:
Der Benutzer hat das Kennwort auf SafeGuard POA-Ebene zu oft falsch eingegeben
und der Computer wurde gesperrt. Der Benutzer weiß jedoch das Kennwort.
Der Computer ist gesperrt und der Benutzer wird dazu aufgefordert, ein
Challenge/Response-Verfahren zu starten, um wieder Zugriff auf den Computer zu erhalten.
Da der Benutzer das Kennwort noch weiß, muss es nicht zurückgesetzt werden. Das
Challenge/Response-Verfahren ermöglicht das Booten des Computers durch die SafeGuard
Power-on Authentication. Der Benutzer kann dann das korrekte Kennwort auf Windows-Ebene
eingeben und den Computer wieder benutzen.
Der Benutzer hat das Kennwort vergessen
Hinweis: Wir empfehlen, Local Self Help einzusetzen, um ein vergessenes Kennwort
wiederherzustellen. Mit Local Self Help können Benutzer sich das aktuelle Benutzerkennwort
anzeigen lassen und es weiterhin zur Anmeldung verwenden. Dadurch wird ein Rücksetzen
des Kennworts vermieden. Außerdem muss der Helpdesk nicht um Hilfe gebeten werden.
Wenn das Kennwort über ein Challenge/Response-Verfahren wiederhergestellt wird, muss
das Kennwort zurückgesetzt werden.
1. Das Challenge/Response-Verfahren ermöglicht das Booten des Computers durch die
SafeGuard Power-on Authentication.
2. Da Ihnen das Kennwort nicht bekannt ist, können der Benutzer es im Windows-Dialog
nicht eingeben. Das Kennwort muss auf Windows-Ebene zurückgesetzt werden. Hierzu
sind weitere Recovery-Vorgänge außerhalb von SafeGuard Enterprise erforderlich, die
über Windows-Standard-Verfahren durchgeführt werden müssen.
Hinweis: Wir empfehlen, das Kennwort vor dem Challenge/Response-Verfahren nicht
zentral im Active Directory zurückzusetzen. Dadurch wird gewährleistet, dass das Kennwort
zwischen Windows und SafeGuard Enterprise synchron bleibt. Stellen Sie sicher, dass
der Windows-Helpdesk entsprechend informiert ist.
Wir empfehlen, die folgenden Methoden für das Zurücksetzen des Kennworts auf
Windows-Ebene:
Über ein Service-Benutzerkonto oder ein Administratorkonto mit den erforderlichen
Windows-Rechten auf dem Endpoint
Über eine Windows-Kennwortrücksetz-Diskette auf dem Endpoint
227
SafeGuard Enterprise
Als Helpdesk-Beauftragter können Sie den Benutzer darüber informieren, welche
Methode benutzt werden soll, und ihm die zusätzlichen Windows-Anmeldeinformationen
oder die erforderliche Diskette zur Verfügung stellen.
3. Der Benutzer gibt das neue Kennwort ein, dass der Helpdesk auf Windows-Ebene
zurückgesetzt hat. Unmittelbar muss der Benutzer das Kennwort in ein nur ihm bekanntes
Kennwort ändern. Basierend auf dem neu gewählten Windows-Kennwort wird ein neues
Benutzerzertifikat erzeugt. Dies ermöglicht es dem Benutzer, sich mit dem neuen Kennwort
wieder an seinem Computer und an der SafeGuard Power-on Authentication anzumelden.
Hinweis: Schlüssel für SafeGuard Data Exchange: Wenn ein Kennwort zurückgesetzt
und ein neues Zertifikat erstellt wird, können die zuvor für SafeGuard Data Exchange
erzeugten lokalen Schlüssel noch verwendet werden, wenn der Endpoint Mitglied einer
Domäne ist. Wenn der Endpoint Mitglied einer Arbeitsgruppe ist, muss dem Benutzer die
SafeGuard Data Exchange Passphrase bekannt sein, damit diese lokalen Schlüssel
reaktiviert werden können.
Der Local Cache muss repariert werden.
Im Local Cache werden alle Schlüssel, Richtlinien, Benutzerzertifikate und Audit-Dateien
gespeichert. Standardmäßig ist Recovery für die Anmeldung bei einem beschädigten Local
Cache deaktiviert, d. h. der Local Cache wird automatisch aus seiner Sicherungskopie
wiederhergestellt. In diesem Fall ist für das Reparieren des Local Cache kein
Challenge/Response-Verfahren erforderlich. Soll der Local Cache jedoch explizit mit einem
Challenge/Response-Verfahren repariert werden, so lässt sich Recovery für die Anmeldung
über eine Richtlinie aktivieren. In diesem Fall wird der Benutzer bei einem beschädigten Local
Cache automatisch dazu aufgefordert, ein Challenge/Response-Verfahren zu starten.
5.6.8.2.7.2
Erzeugen einer Response für Standalone-Endpoints mit der Schlüssel-Recovery-Datei
Hinweis: Die Schlüssel-Recovery-Datei, die während der Installation der SafeGuard Enterprise
Verschlüsselungssoftware generiert wurde, muss an einem Speicherort abgelegt sein, auf
den der Helpdesk-Beauftragte Zugriff hat. Darüber hinaus muss der Name der Datei bekannt
sein.
1. Wählen Sie in der Menüleiste des SafeGuard Management Center Extras > Recovery,
um den Recovery-Assistenten zu öffnen.
2. Wählen Sie unter Recovery-Typ die Option Sophos SafeGuard Client (Standalone).
3. Suchen Sie nach der Schlüssel-Recovery-Datei, indem Sie auf die [...] Schaltfläche neben
dem Feld Schlüssel-Recovery-Datei klicken. Zur Vereinfachung der Identifizierung tragen
die Recovery-Dateien den Namen des Computers: computername.GUID.xml.
4. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter.
Der Challenge-Code wird geprüft.
Wenn der Challenge-Code korrekt eingegeben wurde, werden die vom Endpoint-Computer
angeforderte Recovery-Aktion sowie die möglichen Recovery-Aktionen angezeigt. Wenn
der Code nicht korrekt eingegeben wurde, wird unterhalb des Blocks, der den Fehler
enthält, der Text Ungültige Challenge angezeigt.
5. Wählen Sie die vom Benutzer durchzuführende Aktion aus und klicken Sie auf Weiter.
6. Es wird ein Response-Code erzeugt. Teilen Sie den Response-Code dem Benutzer mit.
Hierzu steht eine Buchstabierhilfe zur Verfügung. Sie können den Response-Code auch
in die Zwischenablage kopieren.
Der Benutzer kann den Response-Code eingeben, die angeforderte Aktion ausführen und
dann wieder mit dem Computer arbeiten.
228
Administratorhilfe
5.6.8.3 System-Recovery für die Sophos SafeGuard Festplattenverschlüsselung
SafeGuard Enterprise verschlüsselt Dateien und Laufwerke transparent. Darüber hinaus
können auch Bootlaufwerke verschlüsselt werden, so dass Entschlüsselungsfunktionalitäten
wie Code, Verschlüsselungsalgorithmen und Verschlüsselungsschlüssel sehr früh in der
Bootphase verfügbar sein müssen. Folglich kann auf verschlüsselte Informationen nicht
zugegriffen werden, wenn entscheidende SafeGuard Enterprise Module nicht verfügbar sind
oder nicht funktionieren.
Die folgenden Abschnitte beschreiben mögliche Probleme und Recovery-Verfahren.
5.6.8.3.1
Daten-Recovery durch Booten von einem externen Medium
Dieser Recovery-Typ kann angewendet werden, wenn sich der Benutzer nicht mehr auf das
verschlüsselte Volume zugreifen kann. In diesem Fall kann der Zugriff auf die verschlüsselten
Daten durch Booten des Computers über eine für SafeGuard Enterprise angepasste Windows
PE Recovery Disk wiederhergestellt werden.
Voraussetzungen:
Der Benutzer, der vom externen Medium bootet, muss dazu berechtigt sein. Das muss im
BIOS des Computers so konfiguriert sein.
Der Computer muss das Booten von anderen Medien außer von der fest eingebauten
Festplatte unterstützen.
So erhalten Sie wieder Zugriff auf die verschlüsselten Daten auf dem Computer:
1. Fordern Sie beim technischen Support von Sophos die SafeGuard Enterprise Windows
PE Disk an.
Für den Helpdesk steht die Windows PE Recovery Disk mit den aktuellen SafeGuard
Enterprise Filter-Treibern auf der Sophos Support-Website zum Download zur Verfügung.
Weitere Informationen finden Sie unter
http://www.sophos.com/de-de/support/knowledgebase/108805.aspx.
2. Legen Sie die Windows PE Recovery Disk ein.
3. Starten Sie den Computer von der Recovery Disk und führen Sie ein Challenge/Response
mit einem virtuellen Client durch. Weitere Informationen finden Sie unter
Challenge/Response mit virtuellen Clients (Seite 220).
Der Zugriff auf die Daten, die auf dieser Partition gespeichert sind, ist wiederhergestellt.
Hinweis: Je nach verwendetem BIOS funktioniert das Booten von der Disk u. U. nicht.
5.6.8.3.2
Beschädigter MBR
Zur Problembehebung im Fall eines beschädigten MBR bietet SafeGuard Enterprise das Tool
BE_Restore.exe.
Eine detaillierte Beschreibung zur Wiederherstellung eines beschädigten MBR finden Sie in
der SafeGuard Enterprise Tools-Anleitung.
5.6.8.3.3
Beschädigter Kernel-Bootcode
Es kann auf eine Festplatte mit einem beschädigten Kernel-Bootcode zugegriffen werden.
Denn Schlüssel werden getrennt vom Kernel in der so genannten KSA (Key Storage Area)
gespeichert. Durch die Trennung von Kernel und Schlüsseln können solche Laufwerke
angeschlossen an einen anderen Computer entschlüsselt werden.
Dazu benötigt der Benutzer, der sich an dem anderen Computer anmeldet, einen Schlüssel
der KSA der nicht bootbaren Partition in seinem Schlüsselring.
229
SafeGuard Enterprise
Im schlimmsten Fall ist die Partition nur mit dem Boot_Key des anderen Computers
verschlüsselt. In diesem Fall muss der Haupt-Sicherheitsbeauftragte oder der
Recovery-Beauftragte dem Benutzer diesen Boot_Key zuweisen.
Weitere Informationen finden Sie unter "Slaven" einer Festplatte (Seite 231).
5.6.8.3.4
Volumes
SafeGuard Enterprise bietet die volume-basierende Verschlüsselung. Dies beinhaltet die
Speicherung von Verschlüsselungsinformationen bestehend aus Bootsektor, primärer bzw.
Backup-KSA und Originalbootsektor auf jedem Laufwerk selbst.
Wenn eine der folgenden Bedingungen zutrifft, besteht auf das jeweilige Volume kein Zugriff
mehr:
5.6.8.3.4.1
■
Beide Key Storage Areas (KSA) sind zur gleichen Zeit beschädigt.
■
Der Original-MBR ist beschädigt.
Bootsektor
Der Bootsektor eines Volumes wird bei der Verschlüsselung gegen den SafeGuard Enterprise
Bootsektor ausgetauscht.
Der SafeGuard Enterprise Bootsektor enthält Informationen über
■
den Ort der primären und Backup-KSA in Clustern und Sektoren bezogen auf den Start
der Partition
■
die Größe der KSA
Auch wenn der SafeGuard Enterprise Bootsektor zerstört ist, ist kein Zugriff auf verschlüsselte
Volumes möglich.
Das Tool BE_Restore kann den zerstörten Bootsektor wiederherstellen.Weitere Informationen
hierzu finden Sie in der SafeGuard Enterprise Tools-Anleitung.
5.6.8.3.4.2
Originaler Bootsektor
Beide KSAs enthalten den originalen Bootsektor. Das ist jener, der ausgeführt wird, nachdem
der DEK (Data Encryption Key) entschlüsselt wurde und der Algorithmus und der Schlüssel
in den BE Filtertreiber geladen wurden.
Ist dieser Bootsektor defekt, kann Windows nicht auf das Volume zugreifen. Normalerweise
wird die bekannte Fehlermeldung „Gerät ist nicht formatiert. Möchten Sie es jetzt formatieren?
Ja/Nein“ angezeigt.
SafeGuard Enterprise wird den DEK für dieses Volume dennoch laden. Jedes Tool, das den
Bootsektor reparieren kann, soll dennoch laufen - vorausgesetzt, es passiert den SafeGuard
Enterprise Upper Volume Filter.
5.6.8.3.5
Windows Bootprobleme
SafeGuard Enterprise ist mit seinem kryptographischen Konzept der volume-spezifischen
Schlüssel (Bootsektor, Key Storage Area KSA) sehr flexibel.
Sie können ein beschädigtes System durch Booten eines Wiederherstellungsmediums von
der SafeGuard Power-on Authentication aus (Windows PE mit dem SafeGuard Enterprise
Verschlüsselungs-Subsystem installiert) retten. Diese Medien haben einen transparenten
Ver-/Entschlüsselungszugriff auf mit SafeGuard Enterprise verschlüsselte Volumes. Der Grund
für das nicht bootbare System kann von dort aus beseitigt werden.
230
Administratorhilfe
5.6.8.3.5.1
Verschlüsselungs-Subsystem
Verschlüsselungs-Subsysteme sind z. B. BEFLT.sys Systeme. Führen Sie das unter Windows
Bootprobleme beschriebene Verfahren aus und reparieren Sie das System.
5.6.8.3.6
Setup WinPE für SafeGuard Enterprise
Um Zugriff auf verschlüsselte Laufwerke mit dem BOOTKEY eines Computers innerhalb einer
WinPE Umgebung zu erhalten, stellt SafeGuard Enterprise WinPE mit notwendigen SafeGuard
Enterprise Funktionsmodulen wie Treibern zur Verfügung. Um SetupWinPE zu starten, geben
Sie folgenden Befehl ein:
SetupWinPE -pe2 <WinPE Image-Datei>
WinPE Image-Datei ist dabei die vollständige Pfadangabe des I386 Verzeichnisses für
eine WinPE-CD.
SetupWinPE führt alle erforderlichen Änderungen durch.
Hinweis: Über eine derartige WinPE-Umgebung kann nur auf verschlüsselte Laufwerke
zugegriffen werden, die mit dem BOOTKEY verschlüsselt sind. Auf Laufwerke, die mit einem
Benutzerschlüssel verschlüsselt sind, kann nicht zugegriffen werden, da die Schlüssel in
dieser Umgebung nicht verfügbar sind.
5.6.8.3.7
„Slaven“ einer Festplatte
SafeGuard Enterprise erlaubt das Slaven von verschlüsselten Volumes oder Festplatten. Es
gestattet dem Endbenutzer, dem Windows-Administrator, dem SafeGuard Enterprise
Sicherheitsbeauftragten trotz sektorbasierter Verschlüsselung neue Volumes oder Festplatten
anzuschließen oder zu entfernen.
Die Key Storage Area (KSA) eines Volumes enthält selbst alle notwendigen Informationen:
■
Den zufallsgenerierten DEK (Data Encryption Key)
■
Eine Identifikation für den Verschlüsselungsalgorithmus, mit dem das Volume verschlüsselt
ist.
■
Die Liste von GUIDs der KEKs (Key Encryption Keys), die den DEK verschlüsseln und
entschlüsseln können.
■
Das Volume selbst enthält seine Größe.
Auf ein mit SafeGuard Enterprise verschlüsseltes Volume kann von allen SafeGuard Enterprise
Endpoints zugegriffen werden, vorausgesetzt der Benutzer oder der Computer besitzt einen
KEK des KSA des Volumes im Schlüsselring.
Benutzer oder Computer müssen den durch den KEK verschlüsselten DEK entschlüsseln
können.
Auf ein Volume, das mit einem verteilbaren KEK, wie einem OU-, Gruppen- oder
Domänenschlüssel verschlüsselt ist, kann von vielen Benutzern und Computern zugegriffen
werden, da viele Benutzer/Computer einer Domäne diesen Schlüssel in ihrem Schlüsselring
haben.
Jedoch kann auf ein Volume, das nur mit dem individuellen Bootschlüssel
(“Boot_machinename”) des durch SafeGuard Enterprise geschützten Endpoint verschlüsselt
wird, nur von diesem Computer selbst zugegriffen werden.
Soll ein Volume nicht in seinem originalen Computer booten, kann es in einem anderen durch
SafeGuard Enterprise geschützten Endpoint „geslaved“ werden. Dann kann aber auf den
korrekten Bootschlüssel nicht zugegriffen werden. Der Zugriff darauf muss möglich gemacht
werden.
231
SafeGuard Enterprise
Immer wenn der Benutzer versucht, von einem anderen Computer auf das Volume zuzugreifen,
ist dies möglich, weil jetzt erneut Übereinstimmung zwischen den KEKs im KSA und den
Schlüsselringen der anderen Benutzer oder Computer besteht.
5.6.8.3.7.1
Beispiel
Alice besitzt ihren individuellen Benutzerschlüssel. Immer, wenn sie sich an ihrem anderen
Computer anmeldet (“Laptop_Alice”), hat sie keinen Zugriff auf das Volume, das mit dem
Bootschlüssel des Computers “SGNCLT” verschlüsselt ist.
Der durch SafeGuard Enterprise geschützte Endpoint “SGMCLT” besitzt nur seinen eigenen
Bootschlüssel BOOT_SGMCLT.
Der Sicherheitsbeauftragte teilt Alice den Bootschlüssel “BOOT_SGNCLT” auf folgende Weise
zu:
1. Auswahl des Benutzers Alice
2. Klick auf das „Fernglas“-Symbol in der SafeGuard Enterprise Symbolleiste. Das startet
den Suchdialog, in dem auch Bootschlüssel angezeigt werden können.
3. Auswahl des Schlüssels “BOOT_SGMCLT”.
Jetzt verfügt Alice über zwei Schlüssel – „User_Alice“ und „BOOT_SGMCLT“. Das kann unter
Schlüssel und Zertifikate nachgeprüft werden.
Der Schlüssel “BOOT_SGMCLT” ist zweimal zugewiesen – zum Computer SGMCLT und
zum Benutzer Alice.
Alice ist es nun möglich, auf das verschlüsselte Volume von jedem anderen SafeGuard
Enterprise Client zuzugreifen, auf dem sie sich anmelden kann.
Dann kann sie auf einfache Weise Tools, wie den Windows Explorer oder regedit.exe,
verwenden, um die Ursache des Bootproblems zu beseitigen.
Wenn im schlimmsten Fall das Problem nicht gelöst werden kann, kann sie Daten auf ein
anderes Laufwerk sichern, das Volume neu formatieren oder es ganz neu aufsetzen.
5.7 SafeGuard Configuration Protection
Das Modul SafeGuard Configuration Protection ist ab SafeGuard Enterprise 6.1 nicht mehr
verfügbar. Die entsprechende Richtlinie sowie der Suspension Wizard sind im SafeGuard
Management Center 8.0 weiterhin für SafeGuard Enterprise 6 oder auch 5.60 Clients mit
installiertem Configuration Protection, die mit einem 8.0 Management Center verwaltet werden,
verfügbar.
Weitere Informationen zu SafeGuard Configuration Protection finden Sie in der SafeGuard
Enterprise 6 Administratorhilfe:
http://www.sophos.com/de-de/medialibrary/PDFs/documentation/sgn_60_h_eng_admin_help.pdf.
232
Administratorhilfe
6 Recovery
6.1 Schlüssel für die Festplattenverschlüsselung mit
mobilen Geräten synchronisieren
Recovery-Schlüssel für BitLocker und FileVault 2 können an den Sophos Mobile Control
Server gesendet werden. Sie werden zum SafeGuard Enterprise Schlüsselring hinzugefügt
und können von Benutzern von Sophos Secure Workspace (verwaltet über Sophos Mobile
Control) auf deren Mobilgerät dargestellt und für die Wiederherstellung verwendet werden.
Sophos Secure Workspace unterstützt Recovery per Mobilgerät ab Version 6.2. Nähere
Informationen dazu finden Sie in der Sophos Secure Workspace 6.2 Benutzerhilfe.
Anforderungen:
Die Synchronisierung der Schlüsselringe werden zwischen SafeGuard Enterprise und
Sophos Mobile Control muss konfiguriert werden. Die Option Recovery über Mobile
Geräte muss aktiv sein, siehe SafeGuard Enterprise Schlüsselring für mobile Geräte mit
Sophos Mobile Control freigeben (Seite 138).
Sophos Secure Workspace 6.2 muss auf den Mobilgeräten verwendet werden.
Benutzer müssen SGN-Benutzer an den Endpoints sein. Sie müssen auf den betroffenen
Endpoints in einer Benutzer-Computer Zuordnung (UMA) sein.
Benutzer müssen an einem bestimmten Computer angemeldet sein, von dem sie die
Schlüssel für die Festplattenverschlüsselung bekommen.
Hinweis: Um die Menge der übermittelten Daten zu beschränken, werden nur die Schlüssel
von zehn Endpoints zum Schlüsselring hinzugefügt. Es werden die zehn Computer
herangezogen, die zuletzt Kontakt zum Server hatten.
6.1.1 Recovery-Schlüssel auf mobilen Geräten anzeigen
Hinweis: Sophos Secure Workspace muss im Sophos Mobile Control Container installiert
sein.
So zeigen Sie den Recovery-Schlüssel für einen Computer an:
1. Tippen Sie im Menü auf Recovery-Schlüssel um eine Liste der Ihnen zugewiesenen
Computer anzuzeigen.
2. Tippen Sie auf den Namen eines Computers um seinen Recovery-Schlüssel anzuzeigen.
3. Um Ihren Computer zu entsperren, folgen Sie den Anweisungen von BitLocker (Windows)
beziehungsweise FileVault (Mac OS X) auf Ihrem Computerbildschirm.
6.2 Recovery für BitLocker
Abhängig vom System bietet SafeGuard Enterprise ein Challenge/Response-Verfahren für
die Recovery oder die Möglichkeit, beim Helpdesk den Recovery-Schlüssel zu beschaffen.
Informationen darüber, welche Voraussetzungen für SafeGuard Enterprise Challenge/Response
erfüllt sein müssen, finden Sie unter Voraussetzungen für die Verwaltung von BitLocker auf
Endpoints (Seite 145).
233
SafeGuard Enterprise
6.2.1 Response für mit BitLocker verschlüsselte SafeGuard Enterprise
Clients - UEFI Endpoints
Für UEFI Endpoints, die bestimmte Voraussetzungen erfüllen, bietet SafeGuard Enterprise
ein Challenge/Response-Verfahren zum Recovery. Auf UEFI Endpoints, die die
Voraussetzungen nicht erfüllen, wird automatisch SafeGuard BitLocker ohne
Challenge/Response installiert. Informationen über die Wiederherstellung dieser Endpoints
finden Sie unter Recovery-Schlüssel für mit BitLocker verschlüsselte SafeGuard Enterprise
Clients - BIOS-Endpoints (Seite 152).
1. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client
(Managed).
2. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste.
3. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn
aus. Hierzu gibt es mehrere Möglichkeiten:
■
Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt
suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten
Computer aus und klicken Sie auf OK. Der Computername wird auf der Seite
Recovery-Typ angezeigt.
■
Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter
klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird
als Distinguished Name angezeigt.
■
Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel:
CN=Desktop1,OU=Development,OU=Headquarter,DC=Sophos,DC=edu
4. Klicken Sie auf Weiter.
5. Wählen Sie das Volume, auf das zugegriffen werden soll, aus der Liste und klicken Sie
auf Weiter.
6. Klicken Sie auf Weiter.
Eine Seite für die Eingabe des Challenge-Codes wird angezeigt.
7. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter.
8. Es wird ein Response-Code erzeugt. Teilen Sie dem Benutzer den Response-Code mit.
Hierzu steht eine Buchstabierhilfe zur Verfügung. Sie können den Response-Code auch
in die Zwischenablage kopieren.
Der Benutzer kann den Response-Code eingeben und wieder auf den Endpoint zugreifen.
6.2.2 Recovery-Schlüssel für mit BitLocker verschlüsselte SafeGuard
Enterprise Clients - BIOS Endpoints
Bei mit BitLocker verschlüsselten Computern lässt sich ein Volume, auf das nicht mehr
zugegriffen werden kann, wiederherstellen.
1. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client
(Managed).
2. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste.
234
Administratorhilfe
3. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn
aus. Hierzu gibt es mehrere Möglichkeiten:
■
Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt
suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten
Computer aus und klicken Sie auf OK. Der Computername wird im Fenster
Recovery-Typ unter Domäne angezeigt.
■
Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter
klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird
als Distinguished Name angezeigt.
■
Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel:
CN=Desktop1,OU=Development,OU=Headquarter,DC=Utimaco,DC=edu
4. Klicken Sie auf Weiter.
5. Wählen Sie das Volume, auf das zugegriffen werden soll, aus der Liste und klicken Sie
auf Weiter.
6. Der Recovery-Assistent zeigt den 48-stelligen Recovery-Schlüssel an.
7. Teilen Sie dem Benutzer diesen Schlüssel mit.
Der Benutzer kann den Schlüssel eingeben, um den Zugriff auf das mit BitLocker verschlüsselte
Volume auf dem Endpoint wiederherzustellen.
6.3 Recovery-Schlüssel für Mac-Endpoints
Der Zugriff auf mit FileVault 2 verschlüsselte SafeGuard Enterprise Clients kann mit folgenden
Schritten wiederhergestellt werden:
1. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client
(Managed).
2. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste.
3. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn
aus. Hierzu gibt es mehrere Möglichkeiten:
■
Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt
suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten
Computer aus und klicken Sie auf OK. Der Computername wird im Fenster
Recovery-Typ unter Domäne angezeigt.
■
Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter
klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird
als Distinguished Name angezeigt.
■
Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel:
CN=Desktop1,OU=Development,OU=Headquarter,DC=Utimaco,DC=edu
4. Klicken Sie auf Weiter.
5. Der Recovery-Assistent zeigt den 24-stelligen Recovery-Schlüssel an.
6. Teilen Sie dem Benutzer diesen Schlüssel mit.
Der Benutzer kann den Recovery-Schlüssel eingeben, um sich am Mac-Endpoint anzumelden
und das Kennwort zurückzusetzen.
235
SafeGuard Enterprise
6.4 Virtuelle Clients
Hinweis: Virtuelle Clients können nur für SafeGuard full disk encryption with SafeGuard
Power-on Authentication (POA) verwendet werden.
Virtuelle Clients sind spezifische verschlüsselte Schlüsseldateien, die im Rahmen eines
Challenge/Response-Verfahrens für Recovery-Zwecke verwendet werden können, wenn die
benötigten Benutzerinformationen nicht zur Verfügung stehen und ein
Challenge/Response-Verfahren normalerweise nicht möglich wäre (z. B. bei beschädigter
SafeGuard POA).
Um in dieser komplexen Recovery-Situation ein Challenge/Response-Verfahren zu
ermöglichen, lassen sich spezifische Dateien, die als virtuelle Clients bezeichnet werden,
erstellen. Diese Dateien müssen vor dem Challenge/Response-Verfahren an den Benutzer
verteilt werden. Mit virtuellen Clients lasst sich ein Challenge/Response-Verfahren mit einem
Schlüssel-Recovery Tool auf dem Endpoint-Computer starten. Der Benutzer muss dann nur
den Helpdesk-Beauftragten über den/die benötigten Schlüssel informieren und den
Response-Code eingeben, um wieder Zugriff auf die verschlüsselten Volumes zu erhalten.
Der Zugriff kann entweder mit Hilfe eines einzelnen Schlüssels oder mit Hilfe einer
verschlüsselten Schlüsseldatei, die mehrere Schlüssel enthält, wiederhergestellt werden.
Im Bereich Schlüssel und Zertifikate des SafeGuard Management Centers haben Sie
folgende Möglichkeiten:
■
Virtuelle Clients anlegen und exportieren
■
Verschlüsselte Schlüsseldateien mit mehreren Schlüsseln anlegen und exportieren
■
Virtuelle Clients und exportierte Schlüsseldateien anzeigen lassen und filtern
■
Virtuelle Clients löschen
6.4.1 Anlegen von virtuellen Clients
Virtuelle Clients können für verschiedene Computer und in mehreren
Challenge/Response-Verfahren benutzt werden.
1.
2.
3.
4.
Klicken Sie im SafeGuard Management Center auf Schlüssel & Zertifikate.
Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients.
Klicken Sie in der Symbolleiste auf Virtuellen Client hinzufügen.
Geben Sie einen eindeutigen Namen für den virtuellen Client ein und klicken Sie auf OK.
Die virtuellen Clients werden anhand der hier eingegebenen Namen in der Datenbank
identifiziert.
5. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um den virtuellen Client in der
Datenbank zu speichern.
Der neue virtuelle Client wird im Aktionsbereich angezeigt.
6.4.2 Export von virtuellen Clients
Nach dem Anlegen des virtuellen Client muss dieser in eine Datei exportiert werden. Diese
Datei hat immer die Bezeichnung recoverytoken.tok und muss an den Helpdesk verteilt
werden. Beim Starten eines Challenge/Response-Verfahrens über ein Recovery Tool, z. B.
236
Administratorhilfe
bei einer beschädigten SafeGuard POA, muss diese Datei in der Endpoint-Umgebung zur
Verfügung stehen. Der Benutzer muss die Datei recoverytoken.tok im selben Verzeichnis
ablegen, in dem sich auch das Recovery Tool befindet, damit ein
Challenge/Response-Verfahren unterstützt wird.
1. Klicken Sie im SafeGuard Management Center auf Schlüssel & Zertifikate.
2. Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients.
3. Klicken Sie im Aktionsbereich auf das Lupensymbol, um nach dem gewünschten virtuellen
Client zu suchen. Die verfügbaren virtuellen Clients werden angezeigt.
4. Wählen Sie den gewünschten Eintrag im Aktionsbereich aus und klicken Sie in der
Symbolleiste auf Virtuellen Client exportieren.
5. Wählen Sie einen Speicherort für die Datei recoverytoken.tok und klicken Sie auf
OK. Eine entsprechende Meldung wird angezeigt.
6. Verteilen Sie die virtuelle Client-Datei recoverytoken.tok an die betreffenden SafeGuard
Enterprise Benutzer.
Der Benutzer sollte diese Datei an einem sicheren Speicherort speichern, z. B. auf einem
USB-Stick. Beim Starten eines Challenge/Response-Verfahrens muss diese Datei im selben
Verzeichnis wie das Recovery Tool abgelegt sein.
6.4.3 Anlegen und Exportieren von Schlüsseldateien für den
Recovery-Vorgang
Sind mehrere Schlüssel erforderlich, um den Zugriff auf ein verschlüsseltes Volume im Rahmen
eines Recovery-Verfahrens mit virtuellen Clients wiederherzustellen, so kann der
Sicherheitsbeauftragte diese Schlüssel in einer exportierten Schlüsseldatei zusammenfassen.
Diese Schlüsseldatei wird mit einem Zufallskennwort verschlüsselt, das in der Datenbank
gespeichert wird. Das Kennwort ist für jede angelegte Schlüsseldatei einzigartig.
Die verschlüsselte Schlüsseldatei muss an den Benutzer übertragen werden und ihm beim
Starten eines Challenge/Response-Verfahrens über ein Recovery Tool zur Verfügung stehen.
Im Rahmen des Challenge/Response-Verfahrens wird das Kennwort für die Schlüsseldatei
mit dem Response-Code übertragen. Die Schlüsseldatei kann daraufhin mit dem Kennwort
entschlüsselt werden und es besteht wieder Zugriff auf alle Volumes, die mit den verfügbaren
Schlüsseln verschlüsselt sind.
Um Schüsseldateien zu exportieren, benötigen Sie das Zugriffsrecht Voller Zugriff für die
Objekte, denen die relevanten Schlüssel zugewiesen sind.
1. Klicken Sie im SafeGuard Management Center auf Schlüssel & Zertifikate.
2. Klicken Sie im Navigationsfenster auf der linken Seite zunächst auf Virtuelle Clients und
dann auf Exportierte Schlüsseldateien.
3. Klicken Sie in der Symbolleiste auf Schlüssel in eine Schlüsseldatei exportieren.
4. Geben Sie im Dialog Schlüssel in eine Schlüsseldatei exportieren folgende Informationen
ein:
a) Verzeichnis: Klicken Sie auf [...], um einen Speicherort für die Schlüsseldatei
auszuwählen.
b) Dateiname: Die Schlüsseldatei ist mit einem Zufallskennwort verschlüsselt, das hier
angezeigt wird. Sie können den hier angezeigten Namen nicht ändern.
c) Klicken Sie auf Schlüssel hinzufügen oder Schlüssel entfernen, um Schlüssel
hinzuzufügen oder zu entfernen. Ein Popup-Fenster, in dem Sie nach den gewünschten
237
SafeGuard Enterprise
Schlüsseln suchen und diese auswählen können, wird angezeigt. Klicken Sie auf OK,
um die Auswahl zu bestätigen.
d) Klicken Sie auf OK, um Ihre Angaben zu bestätigen.
5. Verteilen Sie diese Schlüsseldatei an die betreffende Endpoint-Umgebung. Sie muss vor
der Eingabe des Response-Codes auf dem Endpoint zur Verfügung stehen.
6.4.4 Virtuelle Clients anzeigen und Ansicht filtern
Um Ihnen das Auffinden des erforderlichen virtuellen Clients oder Schlüssels während eines
Challenge/Response-Verfahrens zu erleichtern, bietet der Bereich Schlüssel und Zertifikate
des SafeGuard Management Centers verschiedene Filter- und Suchfunktionalitäten.
6.4.5 Ansichten für virtuelle Clients
1. Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients.
2. Klicken Sie auf das Lupensymbol, um eine vollständige Liste aller virtuellen Clients zu
erstellen.
3. Filtern Sie die virtuellen Clients nach Symbolischer Name oder Schlüssel-GUID.
6.4.6 Ansichten für exportierte Schlüsseldateien
1. Klicken Sie im SafeGuard Management Center zunächst auf Virtuelle Clients und dann
auf Exportierte Schlüsseldateien.
2. Klicken Sie auf das Lupensymbol, um eine vollständige Liste aller exportierten
Schlüsseldateien zu erstellen.
3. Klicken Sie auf das + Symbol neben der gewünschten Schlüsseldatei, um die in der Datei
enthaltenen Schlüssel anzuzeigen.
6.4.7 Löschen von virtuellen Clients
1. Öffnen Sie das SafeGuard Management Center und klicken Sie auf Schlüssel und
Zertifikate.
2. Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients.
3. Klicken Sie im Aktionsbereich auf das Lupensymbol, um nach dem gewünschten virtuellen
Client zu suchen. Die verfügbaren virtuellen Clients werden angezeigt.
4. Wählen Sie den gewünschten Eintrag im Aktionsbereich aus und klicken Sie in der
Symbolleiste auf Virtuellen Client löschen.
5. Speichern Sie ihre Änderungen in der Datenbank, indem Sie in der Symbolleiste auf das
Symbol Speichern klicken.
Der virtuelle Client wird aus der Datenbank gelöscht.
6.5 So reparieren Sie eine beschädigte Management
Center Installation:
Eine beschädigte Installation des SafeGuard Management Center kann repariert werden
wenn die Datenbank intakt ist. Installieren Sie in diesem Fall das SafeGuard Management
238
Administratorhilfe
Center neu und verwenden Sie dabei die bestehende Datenbank sowie das gesicherte
Zertifikat für den Haupt-Sicherheitsbeauftragten.
Das Unternehmenszertifikat und das Haupt-Sicherheitsbeauftragten-Zertifikat der
betreffenden Datenbankkonfiguration müssen als .p12 Dateien exportiert worden sein.
Die Dateien müssen verfügbar und gültig sein.
Die Kennwörter für die .p12 Dateien sowie für den Zertifikatsspeicher müssen Ihnen
bekannt sein.
So reparieren Sie eine beschädigte SafeGuard Management Center Installation:
1. Installieren Sie das SafeGuard Management Center Installationspaket neu. Öffnen Sie
das SafeGuard Management Center. Der Konfigurationsassistent wird automatisch geöffnet.
2. Wählen Sie unter Datenbankverbindung den relevanten Datenbankserver und
konfigurieren Sie, falls erforderlich, die Verbindung zur Datenbank. Klicken Sie auf Weiter.
3. Aktivieren Sie unter Datenbankeinstellungen die Option Folgende bestehende
Datenbank verwenden und wählen Sie die Datenbank aus der Liste aus.
4. Führen Sie unter Daten des Sicherheitsbeauftragten einen der folgenden Schritte aus:
■
Wenn die gesicherte Zertifikatsdatei auf dem Computer gefunden wird, wird sie
angezeigt. Geben Sie das Kennwort ein, das Sie zur Anmeldung an das SafeGuard
Management Center benutzen.
■
Wird die gesicherte Zertifikatsdatei nicht auf dem Computer gefunden, wählen Sie
Importieren. Suchen Sie nach der gesicherten Zertifikatsdatei und klicken Sie auf
Öffnen. Geben Sie das Kennwort für die Zertifikatsdatei ein. Klicken Sie auf Ja. Geben
Sie ein Kennwort für die Anmeldung am SafeGuard Management Center ein und
bestätigen Sie es.
5. Klicken Sie auf Weiter und dann auf Fertig stellen, um die Konfiguration des SafeGuard
Management Center abzuschließen.
Die SafeGuard Management Center Installation ist repariert.
6.6 Reparieren einer beschädigten
Datenbankkonfiguration
Sie können eine beschädigte Datenbankkonfiguration reparieren, indem Sie das SafeGuard
Management Center neu installieren und basierend auf den gesicherten Zertifikatsdateien
eine neue Instanz der Datenbank erstellen. Dadurch wird sichergestellt, dass alle vorhandenen
SafeGuard Enterprise Endpoints Richtlinien von der neuen Installation annehmen.
Das Unternehmenszertifikat und das Haupt-Sicherheitsbeauftragten-Zertifikat der
betreffenden Datenbankkonfiguration müssen als .p12 Dateien exportiert worden sein.
Die Dateien müssen verfügbar und gültig sein.
Die Kennwörter für die beiden .p12 Dateien sowie für den Zertifikatsspeicher müssen Ihnen
bekannt sein.
Hinweis: Dieses Verfahren ist nur dann zu empfehlen, wenn keine gültige Sicherungskopie
der Datenbank verfügbar ist. Alle Computer, die mit einem reparierten Backend verbunden
werden, verlieren ihre Benutzer-Computer Zuordnung. Infolgedessen wird die Power-on
Authentication vorübergehend abgeschaltet. Challenge/Response-Mechanismen stehen erst
dann wieder zur Verfügung, wenn der entsprechende Endpoint seine Schlüsselinformationen
wieder erfolgreich übertragen hat.
239
SafeGuard Enterprise
So reparieren Sie eine beschädigte Datenbankkonfiguration:
1. Installieren Sie das SafeGuard Management Center Installationspaket neu. Öffnen Sie
das SafeGuard Management Center. Der Konfigurationsassistent wird automatisch
geöffnet.
2. Wählen Sie unter Datenbank-Verbindung die Option Neue Datenbank erstellen.
Konfigurieren Sie unter Datenbankeinstellungen die Verbindung zur Datenbank. Klicken
Sie auf Weiter.
3. Wählen Sie unter Daten des Sicherheitsbeauftragten den relevanten
Haupt-Sicherheitsbeauftragten und klicken Sie auf Importieren.
4. Suchen Sie unter Importieren des Zertifikats die gesicherte Zertifikatsdatei. Geben Sie
unter Schlüsseldatei das für diese Datei festgelegte Kennwort ein und bestätigen Sie es.
Klicken Sie auf OK.
5. Das Zertifikat des Haupt-Sicherheitsbeauftragten wird importiert. Klicken Sie auf Weiter.
6. Aktivieren Sie unter Unternehmenszertifikat die Option Über vorhandenes
Unternehmenszertifikat wiederherstellen. Klicken Sie auf Importieren, um die gesicherte
Zertifikatsdatei auszuwählen, die das gültige Unternehmenszertifikat enthält. Sie werden
aufgefordert, das für den Zertifikatsspeicher definierte Kennwort einzugeben. Geben Sie
das Kennwort ein und klicken Sie auf OK. Klicken Sie im Willkommen-Fenster auf Weiter.
Das Unternehmenszertifikat wird importiert.
7. Klicken Sie auf Weiter, dann auf Beenden.
Die Datenbankkonfiguration ist repariert.
240
Administratorhilfe
7 Erweiterte Verwaltung
7.1 Empfohlene Sicherheitsmaßnahmen
Wenn Sie die hier beschriebenen, einfachen Schritte befolgen, reduzieren Sie Risiken und
die Daten auf Ihrem Computer sind jederzeit sicher und geschützt.
Für Informationen zur zertifizierungsgerechten Anwendung von SafeGuard Enterprise finden
Sie im SafeGuard Enterprise Manual for certification-compliant operation (Englisch).
Vermeiden Sie den Standbymodus.
Wenn sich SafeGuard Enterprise-geschützte Endpoints in bestimmten Energiesparmodi
befinden, in denen das Betriebssystem nicht ordnungsgemäß heruntergefahren und bestimmte
Hintergrundprozesse nicht beendet werden, besteht die Gefahr, dass sich Angreifer Zugriff
auf die Verschlüsselungsschlüssel verschaffen. Der Schutz kann erhöht werden, wenn das
Betriebssystem immer vollständig heruntergefahren oder in den Ruhezustand versetzt wird.
Informieren Sie die Benutzer entsprechend oder erwägen Sie, den Standbymodus auf nicht
benutzten Endpoints zentral zu deaktivieren:
■
■
■
Vermeiden Sie den Standbymodus ebenso wie den hybriden Standbymodus. Der hybride
Standbymodus ist eine Mischung aus Energiesparmodus und Standbymodus. Die
Einstellung einer zusätzlichen Kennwort-Abfrage nach dem Aufwecken des Computers
bietet keinen vollen Schutz.
Vermeiden Sie das Sperren von Desktops, das Ausschalten von Monitoren oder das
Zuklappen von Laptops, wenn darauf kein vollständiges Herunterfahren oder der
Ruhezustand folgt. Die Einstellung einer zusätzlichen Kennwort-Abfrage nach dem
Aufwecken des Computers bietet keinen ausreichenden Schutz.
Fahren Sie stattdessen die Endpoints herunter oder versetzen Sie sie in den Ruhezustand.
Beim nächsten Benutzen des Computers wird stets die SafeGuard Power-on Authentication
aktiviert, die somit vollen Schutz bietet.
Hinweis: Es ist wichtig, dass sich die Ruhezustand-Datei auf einem verschlüsselten
Volume befindet. Normalerweise liegt sie auf Laufwerk C:\.
Die entsprechenden Einstellungen für die Energieverwaltung können Sie zentral mit
Gruppenrichtlinienobjekten oder lokal im Eigenschaften für Energieoptionen Dialog in
der Systemsteuerung des Endpoints konfigurieren. Stellen Sie die Aktion für die
Standbymodus Schaltfläche auf Ruhezustand oder Herunterfahren.
Setzen Sie eine Richtlinie für sichere Kennwörter um.
Setzen Sie eine Richtlinie für sichere Kennwörter um und erzwingen Sie einen
Kennwortwechsel in regelmäßigen Abständen, besonders für die Anmeldung an Endpoints.
Kennwörter sollten nicht an andere Personen weitergegeben oder aufgeschrieben werden.
241
SafeGuard Enterprise
Informieren Sie Benutzer, wie sie sichere Kennwörter wählen. Ein sicheres Kennwort folgt
diesen Regeln:
■
■
Es ist lange genug um sicher zu sein: Eine Mindestlänge von 10 Zeichen ist zu empfehlen.
Es enthält eine Mischung aus Buchstaben (Groß- und Kleinschreibung), Zahlen und
Sonderzeichen/Symbolen.
■
Es enthält keine allgemein gebräuchlichen Wörter oder Namen.
■
Es ist schwer zu erraten, aber es ist leicht, es sich zu merken und korrekt einzutippen.
Deaktivieren Sie die SafeGuard Power-on Authentication nicht.
Die SafeGuard Power-on Authentication bietet zusätzlichen Schutz für die Anmeldung am
Endpoint. Sie wird mit der Festplattenverschlüsselung von SafeGuard Enterprise installiert
und standardmäßig aktiviert. Um vollen Schutz zu gewährleisten, deaktivieren Sie die Power-on
Authentication nicht. Weitere Informationen finden Sie unter
http://www.sophos.com/de-de/support/knowledgebase/110282.aspx
Schutz vor dem Einschleusen von Code
Unter Umständen ist das Einschleusen von Code (zum Beispiel DLL Pre-Loading-Angriffe)
möglich, wenn es einem Angreifer gelingt, schädlichen Code (zum Beispiel in ausführbaren
Dateien) in Verzeichnisse einzubringen, in denen die SafeGuard Enterprise
Verschlüsselungssoftware nach legitimem Code sucht. So wenden Sie diese Bedrohung ab:
■
■
■
Installieren Sie die von der Verschlüsselungssoftware geladene Middleware, zum Beispiel
Token Middleware, in Verzeichnissen, auf die externe Angreifer nicht zugreifen können.
Dies sind üblicherweise die Unterverzeichnisse der Windows und Programme
Verzeichnisse.
Die PATH-Umgebungsvariable sollte keine Komponenten enthalten, die auf Ordner
verweisen, auf die externe Angreifer zugreifen können (siehe oben).
Reguläre Benutzer sollten keine Administratorenrechte haben.
Best Practices für die Verschlüsselung
■
Stellen Sie sicher, dass allen Laufwerken ein Laufwerksbuchstabe zugewiesen ist.
Nur Laufwerke, die einen Laufwerksbuchstaben zugewiesen haben, können
verschlüsselt/entschlüsselt werden. Folglich können Laufwerke ohne Laufwerksbuchstaben
missbraucht werden, um an vertrauliche Daten im Klartext zu gelangen.
So wenden Sie diese Bedrohung ab: Erlauben Sie den Benutzern nicht, die
Laufwerkbuchstabenzuweisungen zu ändern. Konfigurieren Sie die Benutzerrechte
entsprechend. Reguläre Benutzer haben dieses Recht standardmäßig nicht.
■
Gehen Sie bei der Anwendung der schnellen Initialverschlüsselung vorsichtig vor.
SafeGuard Enterprise bietet die schnelle Initialverschlüsselung zur Beschleunigung der
Initialverschlüsselung von Volumes. Dies wird dadurch erreicht, dass nur auf den
Speicherplatz zugegriffen wird, der tatsächlich in Gebrauch ist. Dieser Modus kann zu
einem unsichereren Zustand führen, wenn ein Volume vor der Verschlüsselung mit
SafeGuard Enterprise bereits in Gebrauch war. Aufgrund Ihres Aufbaus sind Solid State
242
Administratorhilfe
Disks (SSD) hier stärker betroffen als reguläre Festplatten. Dieser Modus ist standardmäßig
deaktiviert. Weitere Informationen finden Sie unter
http://www.sophos.com/de-de/support/knowledgebase/113334.aspx.
■
■
Verwenden Sie nur den Algorithmus AES-256 für die Datenverschlüsselung.
Verwenden Sie SSL/TLS (SSL Version 3 oder höher) für den Schutz der
Kommunikation zwischen Client und Server.
Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung.
■
Verhindern Sie die Deinstallation.
Um Endpoints zusätzlich zu schützen, kann die lokale Deinstallation von SafeGuard
Enterprise über eine Richtlinie mit spezifischen Computereinstellungen verhindert
werden. Setzen Sie das Feld Deinstallation erlaubt auf Nein und übermitteln Sie die
Richtlinie an die Endpoints. Versuche, die Software zu deinstallieren, werden abgebrochen
und die nicht autorisierten Versuche werden protokolliert.
Wenn Sie eine Demoversion benutzen, setzen Sie vor Ablauf der Demoversion die Option
Deinstallation erlaubt auf Ja.
Wenden Sie den Sophos Manipulationsschutz auf Endpoints an, auf denen Sophos
Endpoint Security and Control installiert ist.
7.2 Mit mehreren Datenbankkonfigurationen arbeiten
(Multi Tenancy)
Das SafeGuard Management Center ermöglicht die Benutzung mehrerer
Datenbankkonfigurationen (Multi Tenants). Wenn Sie diese Funktion nutzen möchten, müssen
Sie sie während der Installation aktivieren. Weitere Informationen finden Sie unter Installation
(Seite 11).
Mit Multi Tenancy können Sie verschiedene SafeGuard Enterprise Datenbankkonfigurationen
konfigurieren und sie für eine Instanz des SafeGuard Management Centers verwalten. Dies
erweist sich vor allem dann als nützlich, wenn Sie verschiedene Konfigurationen für
verschiedene Domänen, OUs oder Unternehmensstandorte einsetzen möchten.
Voraussetzung: Die Funktion Multi Tenancy muss über eine Installation vom Typ Vollständig
installiert worden sein. Die initiale Konfiguration des SafeGuard Management Center muss
durchgeführt worden sein.
Um die Konfigurationsarbeiten zu erleichtern, haben Sie folgende Möglichkeiten:
■
Mehrere Datenbankkonfigurationen erstellen.
■
Zuvor erstellte Datenbankkonfiguration auswählen.
■
Datenbankkonfiguration löschen.
■
Zuvor erstellte Datenbankkonfiguration aus einer Datei importieren.
■
Datenbankkonfiguration zur späteren Wiederverwendung exportieren.
243
SafeGuard Enterprise
7.2.1 Erstellen von weiteren Datenbankkonfigurationen
Voraussetzung: Die Funktion Multi Tenancy muss über eine Installation vom Typ Vollständig
installiert worden sein. Die initiale Konfiguration des SafeGuard Management Center muss
durchgeführt worden sein, siehe Starten der Erstkonfiguration des SafeGuard Management
Center (Seite 35).
Hinweis: Sie müssen pro Datenbank jeweils eine separate SafeGuard Enterprise Server
Instanz einrichten.
So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach der
Erstkonfiguration:
1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählen
wird angezeigt.
2. Klicken Sie auf Neu. Der SafeGuard Management Center Konfigurationsassistent wird
automatisch gestartet.
3. Der Assistent führt Sie durch die notwendigen Schritte für das Anlegen einer neuen
Datenbankkonfiguration. Wählen Sie die gewünschten Optionen. Die neue
Datenbankkonfiguration wird generiert.
4. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für
diese Konfiguration auszuwählen und das entsprechende Zertifikatspeicher-Kennwort
einzugeben. Klicken Sie auf OK.
Das SafeGuard Management Center wird geöffnet und mit der ausgewählten
Datenbankkonfiguration verbunden. Beim nächsten Start des SafeGuard Management Center
kann die neue Datenbankkonfiguration aus der Liste ausgewählt werden.
7.2.2 Konfigurieren zusätzlicher Instanzen des SafeGuard Management
Center
Sie können zusätzliche Instanzen des SafeGuard Management Center konfigurieren, um
Sicherheitsbeauftragten den Zugriff für die Durchführung administrativer Aufgaben auf
verschiedenen Computern zu ermöglichen. Das SafeGuard Management Center kann auf
jedem Rechner im Netzwerk installiert sein, von wo aus auf die Datenbank zugegriffen werden
kann.
SafeGuard Enterprise verwaltet die Zugriffsrechte auf das SafeGuard Management Center
in einem eigenen Zertifikatsverzeichnis. In diesem Verzeichnis müssen die Zertifikate aller
Sicherheitsbeauftragten, die sich am SafeGuard Management Center anmelden dürfen,
vorhanden sein. Für die Anmeldung an das SafeGuard Management Center ist dann nur das
Kennwort für den Zertifikatsspeicher erforderlich.
1. Installieren Sie SGNManagementCenter.msi mit den gewünschten Features auf einem
weiteren Computer.
2. Starten Sie das SafeGuard Management Center auf dem Administratorcomputer. Der
Konfigurationsassistent wird gestartet und führt Sie durch die notwendigen Schritte.
3. Klicken Sie auf der Willkommen Seite auf Weiter.
4. Wählen Sie im Dialog Datenbankverbindung unter Datenbankserver die erforderliche
SQL-Datenbankinstanz aus der Liste aus. Alle auf Ihrem Computer oder Netzwerk
verfügbaren Datenbankserver werden angezeigt. Wählen Sie unter Authentisierung die
Art der Authentisierung, die für den Zugriff auf diese Datenbankinstanz benutzt werden
soll. Wenn Sie Folgende Anmeldeinformationen für SQL Server Authentisierung
anwenden wählen, geben Sie die SQL-Benutzerkontenanmeldedaten ein, die Ihr
SQL-Administrator erstellt hat. Klicken Sie auf Weiter.
244
Administratorhilfe
5. Aktivieren Sie auf der Seite Datenbankeinstellungen die Option Folgende bestehende
Datenbank verwenden und wählen Sie die Datenbank aus der Liste aus. Klicken Sie auf
Weiter.
6. Wählen Sie unter SafeGuard Management Center Authentisierung eine autorisierte
Person aus der Liste aus. Wenn Multi Tenancy aktiviert ist, zeigt der Dialog an, an welcher
Konfiguration sich der Benutzer anmeldet. Geben Sie das Kennwort für den
Zertifikatsspeicher ein und bestätigen Sie es.
Der Zertifikatsspeicher für das aktuelle Benutzerkonto wird angelegt und ist durch dieses
abgesichert. Für die nachfolgenden Anmeldungen benötigen Sie nur noch dieses Kennwort.
7. Klicken Sie auf OK.
Eine Meldung, dass Zertifikat und privater Schlüssel nicht gefunden bzw. nicht darauf
zugegriffen werden kann, wird angezeigt.
8. Klicken Sie zum Importieren der Daten auf Ja und dann auf OK. Dadurch wird der
Importvorgang gestartet.
9. Klicken Sie unter Authentisierungs-Schlüsseldatei importieren auf die [...] Schaltfläche
und wählen Sie die Schlüsseldatei aus. Geben Sie das Kennwort der Schlüsseldatei
ein. Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token-PIN
definierte Kennwort für den Zertifikatsspeicher ein. Wählen Sie In den Zertifikatsspeicher
importieren oder Auf den Token kopieren, um das Zertifikat auf einem Token zu
speichern.
10. Geben Sie zur Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein.
Zertifikat und privater Schlüssel befinden sich nun im Zertifikatsspeicher. Zur Anmeldung an
das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet.
7.2.3 Herstellen einer Verbindung mit einer bereits vorhandenen
Datenbankkonfiguration
So benutzen Sie eine bereits vorhandene SafeGuard Enterprise Datenbankkonfiguration:
1. Starten Sie das SafeGuard Management Center.
Der Dialog Konfiguration auswählen wird angezeigt.
2. Wählen Sie die Datenbankkonfiguration, die Sie verwenden möchten, aus der Dropdownliste
und klicken Sie auf OK.
Die ausgewählte Datenbankkonfiguration wird mit dem SafeGuard Management Center
verbunden und wird aktiv.
3. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für
diese Konfiguration auszuwählen und das entsprechende Zertifikatsspeicherkennwort
einzugeben. Klicken Sie auf OK.
Das SafeGuard Management Center wird geöffnet und mit der ausgewählten
Datenbankkonfiguration verbunden.
7.2.4 Export einer Konfiguration in eine Datei
Um eine Konfiguration zu speichern, damit sie später wiederverwendet werden kann, können
Sie sie in eine Datei exportieren.
1. Starten Sie das SafeGuard Management Center.
Der Dialog Konfiguration auswählen wird angezeigt.
245
SafeGuard Enterprise
2. Wählen Sie die gewünschte Konfiguration aus der Liste und klicken Sie auf Exportieren...
3. Zum Schutz der Konfigurationsdatei werden Sie dazu aufgefordert, ein Kennwort, das die
Konfigurationsdatei verschlüsselt, einzugeben und zu bestätigen. Klicken Sie auf OK.
4. Geben Sie einen Dateinamen und einen Speicherort für die exportierte Konfigurationsdatei
*.SGNConfig an.
Sollte diese Konfiguration bereits vorhanden sein, so werden Sie gefragt, ob Sie die
vorhandene Konfiguration überschreiben möchten.
Die Datenbankkonfiguration wird am angegebenen Speicherort gespeichert.
7.2.5 Import einer Konfiguration aus einer Datei
Um eine Datenbankkonfiguration zu verwenden oder zu ändern, können Sie eine zuvor
erstellte Konfiguration in das SafeGuard Management Center importieren. Hier gibt es zwei
Möglichkeiten:
■
über das SafeGuard Management Center (für Multi Tenancy)
■
durch Doppelklicken auf die Konfigurationsdatei (für Single und Multi Tenancy)
7.2.6 Import einer Konfiguration über das SafeGuard Management Center
1. Starten Sie das SafeGuard Management Center.
Der Dialog Konfiguration auswählen wird angezeigt.
2. Klicken Sie auf Import..., wählen Sie die gewünschte Konfigurationsdatei aus und klicken
Sie auf Öffnen.
3. Geben Sie das Kennwort ein, das während des Exports für die Konfigurationsdatei erstellt
wurde, und klicken Sie auf OK.
Die ausgewählte Konfiguration wird angezeigt.
4. Um die Konfiguration zu aktivieren, klicken Sie auf OK.
5. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für
diese Konfiguration auszuwählen und das entsprechende Zertifikatsspeicherkennwort
einzugeben. Klicken Sie auf OK.
Das SafeGuard Management Center wird geöffnet und mit der importierten
Datenbankkonfiguration verbunden.
7.2.7 Import einer Konfiguration durch Doppelklicken auf die
Konfigurationsdatei (Single und Multi Tenancy)
Hinweis: Dieser Vorgang ist sowohl im Single Tenancy als auch im Multi Tenancy Modus
möglich.
Es besteht auch die Möglichkeit, eine Konfiguration zu exportieren und diese an mehrere
Sicherheitsbeauftragte zu verteilen. Die Sicherheitsbeauftragten müssen lediglich auf die
Konfigurationsdatei doppelklicken, um ein vollständig konfiguriertes SafeGuard Management
Center zu öffnen.
Dies erweist sich vor allem dann als vorteilhaft, wenn Sie die SQL Authentisierung für die
Datenbank verwenden und vermeiden möchten, dass das SQL-Kennwort jedem Administrator
bekannt ist. Sie müssen das Kennwort dann nur einmal eingeben, eine Konfigurationsdatei
erstellen und sie an die Computer der Sicherheitsbeauftragten verteilen.
246
Administratorhilfe
Voraussetzung: Die Erstkonfiguration des SafeGuard Management Centers muss durchgeführt
worden sein. Detaillierte Informationen hierzu finden Sie in der SafeGuard Enterprise
Installationsanleitung.
1. Starten Sie das SafeGuard Management Center.
2. Wählen Sie im Extras Menü Optionen und wechseln Sie in die Registerkarte Datenbank.
3. Geben Sie die Anmeldeinformationen für die SQL Datenbankserververbindung ein oder
bestätigen Sie diese.
4. Klicken Sie auf Konfiguration exportieren, um die Konfiguration in eine Datei zu
exportieren.
5. Geben Sie ein Kennwort für die Konfigurationsdatei ein und bestätigen Sie es.
6. Geben Sie einen Dateinamen ein und wählen Sie einen Speicherort aus.
7. Verteilen Sie die Konfigurationsdatei an die Computer der Sicherheitsbeauftragten. Teilen
Sie ihnen das Kennwort für diese Datei sowie das Zertifikatsspeicherkennwort mit, das
Sie für Anmeldung an das SafeGuard Management Center benötigen.
8. Die Sicherheitsbeauftragten müssen nur auf die Konfigurationsdatei doppelklicken.
9. Sie werden aufgefordert, das Kennwort für die Konfigurationsdatei einzugeben.
10. Zur Anmeldung an das SafeGuard Management Center werden die Sicherheitsbeauftragten
aufgefordert, ihr Zertifikatsspeicherkennwort einzugeben.
Das SafeGuard Management Center startet mit der importierten Konfiguration. Diese
Konfiguration ist die neue Standardkonfiguration.
7.2.8 Schneller Wechsel zwischen Datenbankkonfigurationen
Zur Vereinfachung von Verwaltungsaufgaben bei mehreren Datenbanken bietet das SafeGuard
Management Center den schnellen Wechsel zwischen Datenbankkonfigurationen.
Hinweis: Dieser Vorgang ist auch im Single Tenancy Modus möglich.
1. Wählen Sie Datei in der Menüleiste des SafeGuard Management Centers und klicken Sie
auf Konfiguration wechseln...
2. Wählen Sie die Datenbank, zu der Sie wechseln möchten, aus der Dropdownliste aus und
klicken Sie auf OK.
Das SafeGuard Management Center wird automatisch mit der ausgewählten Konfiguration
neu gestartet.
7.3 SafeGuard Management Center – erweitert
7.3.1 Warnung bei Ablauf des Unternehmenszertifikats
Sechs Monate vor Ablauf des Unternehmenszertifikats zeigt das SafeGuard Management
Center bei der Anmeldung eine Warnung an und fordert Sie dazu auf, das Zertifikat zu erneuern
und an die Endpoints zu übertragen. Ohne gültiges Unternehmenszertifikat können Endpoints
keine Verbindung mit dem Server herstellen.
Sie können das Unternehmenszertifikat jederzeit erneuern. Dies ist auch dann möglich, wenn
das Unternehmenszertifikat bereits abgelaufen ist.Wenn ein Unternehmenszertifikat abgelaufen
ist, wird dies auch durch eine Meldung angegeben. Informationen zum Erneuern des
Unternehmenszertifikats finden Sie unter Erneuerung des Unternehmenszertifikats (Seite
296).
247
SafeGuard Enterprise
7.3.2 Anmeldung im Single Tenancy Modus
1. Starten Sie das SafeGuard Management Center über den Produktordner im Start Menü.
Ein Anmeldebildschirm wird angezeigt.
2. Melden Sie sich als Haupt-Sicherheitsbeauftragter an und geben Sie das
Zertifikatsspeicherkennwort ein, das während der Konfiguration festgelegt wurde. Klicken
Sie auf OK.
Das SafeGuard Management Center wird geöffnet.
Hinweis: Wenn Sie ein falsches Kennwort eingeben, wird eine Fehlermeldung angezeigt
und die nächste Anmeldung wird verzögert. Diese Verzögerung wird mit jedem
fehlgeschlagenen Anmeldeversuch größer. Fehlgeschlagene Anmeldeversuche werden
protokolliert.
7.3.3 Anmeldung im Multi Tenancy Modus
Wenn Sie mehrere Datenbanken konfiguriert haben (Multi Tenancy), erweitert sich der Vorgang
der Anmeldung am SafeGuard Management Center (siehe Mit mehreren
Datenbankkonfigurationen arbeiten (Multi Tenancy) (Seite 243)).
1. Starten Sie das SafeGuard Management Center über den Produktordner im Start Menü.
Der Dialog Konfiguration auswählen wird angezeigt.
2. Wählen Sie die Datenbankkonfiguration, die Sie verwenden möchten, aus der Dropdownliste
und klicken Sie auf OK.
Die ausgewählte Datenbankkonfiguration wird mit dem SafeGuard Management Center
verbunden und wird aktiv.
3. Zur Anmeldung an das SafeGuard Management Center werden Sie dazu aufgefordert,
den Namen des Sicherheitsbeauftragten für diese Konfiguration auszuwählen und Ihr
Zertifikatsspeicherkennwort einzugeben. Klicken Sie auf OK.
Das SafeGuard Management Center wird geöffnet und mit der ausgewählten
Datenbankkonfiguration verbunden.
Hinweis: Wenn Sie ein falsches Kennwort eingeben, wird eine Fehlermeldung angezeigt
und die nächste Anmeldung wird verzögert. Diese Verzögerung wird mit jedem
fehlgeschlagenen Anmeldeversuch größer. Fehlgeschlagene Anmeldeversuche werden
protokolliert.
7.3.4 Suche nach Benutzern, Computern und Gruppen in der SafeGuard
Enterprise Datenbank
Um Objekte im Dialog Benutzer, Computer und Gruppen suchen anzeigen zu lassen,
benötigen Sie die Zugriffsrechte Schreibgeschützt oder Voller Zugriff für die relevanten
Objekte.
Hinweis: Wenn Sie nach Objekten suchen, dann bekommen Sie nur Suchergebnisse innerhalb
der Bereiche (Domäne), für die Sie Zugriff als Sicherheitsbeauftragter haben. Nur ein
Haupt-Sicherheitsbeauftragten (Master Security Officer, MSO) kann einen erfolgreichen Root
Search-Prozess durchführen.
Im Bereich Benutzer & Computer können Sie mit verschiedenen Filtern nach Objekten
suchen. So können Sie z. B. mit dem Filter Doppelte Benutzer und Computer nach
Duplikaten suchen, die durch einen AD-Synchronisierungsvorgang entstehen können. Der
248
Administratorhilfe
Filter zeigt alle Computer mit demselben Namen in einer Domäne sowie alle Benutzer mit
demselben Namen, Anmeldenamen oder Prä-2000 Anmeldenamen in einer Domäne.
So suchen Sie nach Objekten:
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer &
Computer.
2. Wählen Sie im Benutzer & Computer Navigationsbereich den gewünschten Container.
3. Wählen Sie Bearbeiten > Suchen in der SafeGuard Management Center Menüleiste.
Der Benutzer, Computer und Gruppen suchen Dialog wird angezeigt.
4. Wählen Sie den gewünschten Filter aus der Suchen Dropdownliste aus.
5. Im Feld In wird der ausgewählte Container angezeigt.
Den hier angezeigten Container können Sie ändern, indem Sie eine andere Option aus
der Dropdownliste auswählen.
6. Wenn Sie nach einem bestimmten Objekt suchen, geben Sie den erforderlichen Suchnamen
im Feld Suchname ein.
7. Legen Sie mit dem Kontrollkästchen Ansicht nach jeder Suche löschen fest, ob die
Suchergebnisse nach jedem Suchvorgang aus der Ansicht gelöscht werden sollen.
8. Klicken Sie anschließend auf Jetzt suchen.
Die Ergebnisse werden im Benutzer, Computer und Gruppen suchen Dialog angezeigt.
Wenn Sie auf eines der Ergebnisse in diesem Dialog klicken, wird der entsprechende Eintrag
in der Benutzer & Computer Baumstruktur markiert. Wenn Sie z. B. nach Duplikaten gesucht
haben, können Sie diese nun bequem löschen.
7.3.5 Anzeigen von Objekteigenschaften in Benutzer und Computer
Um Objekteigenschaften einzusehen, benötigten Sie die Zugriffsrechte Voller Zugriff oder
Schreibgeschützt für die relevanten Objekte.
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer &
Computer.
2. Klicken Sie im Navigationsbereich von Benutzer & Computer mit der rechten Maustaste
auf das gewünschte Objekt und wählen Sie Eigenschaften.
Die Eigenschaften des ausgewählten Objekts werden angezeigt. Wenn Sie für das Objekt
das Zugriffsrecht Schreibgeschützt haben, werden die Eigenschaften im Dialog ausgegraut
und Sie können diese nicht bearbeiten.
7.3.6 Deaktivieren der Übertragung von Richtlinien
Als Sicherheitsbeauftragter können Sie die Übertragung von Richtlinien an Endpoints
deaktivieren. Klicken Sie hierzu in der SafeGuard Management Center Symbolleiste auf die
Schaltfläche Richtlinienverteilung aktivieren/deaktivieren oder wählen Sie im Menü
Bearbeiten den Befehl Richtlinienverteilung aktivieren/deaktivieren. Nach der Deaktivierung
der Richtlinienübertragung werden keine Richtlinien mehr an die Endpoints geschickt. Um
die Deaktivierung der Richtlinienverteilung rückgängig zu machen, klicken Sie noch einmal
auf die Schaltfläche oder wählen Sie noch einmal den Menübefehl.
Hinweis: Um die Übertragung von Richtlinien zu deaktivieren, benötigen Sie als
Sicherheitsbeauftragter die Berechtigung „Richtlinienverteilung aktivieren/deaktivieren“. Den
beiden vordefinierten Rollen Haupt-Sicherheitsbeauftragter und Sicherheitsbeauftragter ist
249
SafeGuard Enterprise
diese Berechtigung standardmäßig zugewiesen. Neu angelegten benutzerdefinierten Rollen
kann diese Berechtigung jederzeit zugewiesen werden.
7.3.7 Regeln für die Zuweisung und Auswertung von Richtlinien
Die Verwaltung und Auswertung von Richtlinien folgt den in diesem Abschnitt dargestellten
Regeln.
7.3.7.1 Zuweisen und Aktivieren von Richtlinien
Damit eine Richtlinie für einen Benutzer/Computer wirksam werden kann, muss sie einem
Container-Objekt (Root-Knoten, Domäne, OU, BuiltIn-Container oder Arbeitsgruppe)
zugewiesen werden. Damit die zugewiesene Richtlinie für Benutzer/Computer wirksam wird,
werden beim Zuweisen einer Richtlinie an einer beliebigen Stelle in der Hierarchie alle
Computer (authentisierte Computer) und alle Benutzer (authentisierte Benutzer) automatisch
aktiviert (die alleinige Zuweisung ohne Aktivierung reicht nicht aus). In diesen Gruppen sind
alle Benutzer bzw. Computer zusammengefasst.
7.3.7.2 Vererbung von Richtlinien
Vererbung von Richtlinien ist nur zwischen Container-Objekten möglich. Innerhalb eines
Containers - vorausgesetzt er enthält keine weiteren Container-Objekte - können Richtlinien
nur aktiviert werden (auf Gruppenebene). Vererbung zwischen Gruppen ist nicht möglich.
7.3.7.3 Vererbungsreihenfolge von Richtlinien
Werden Richtlinien entlang einer Hierarchiekette zugewiesen, so wirkt jene Richtlinie am
stärksten, die näher beim Zielobjekt (Benutzer/Computer) ist. Das bedeutet: mit der Entfernung
zum Zielobjekt verliert die Richtlinie immer mehr an Kraft - wenn nähere Richtlinien vorhanden
sind.
7.3.7.4 Direkte Zuweisung von Richtlinien
Der Benutzer/Computer erhält eine Richtlinie, die direkt dem Container-Objekt, in dem er sich
tatsächlich befindet (Mitgliedschaft als Benutzer einer Gruppe, die sich in einem anderen
Container-Objekt befindet, alleine reicht nicht aus), zugewiesen wurde. Das Container-Objekt
hat diese Richtlinie nicht geerbt!
7.3.7.5 Indirekte Zuweisung von Richtlinien
Der Benutzer/Computer erhält eine Richtlinie, die das Container-Objekt, in dem er sich
tatsächlich befindet (die Mitgliedschaft in einer Gruppe, die sich in einem anderen
Container-Objekt befindet, als der Benutzer, reicht nicht aus), von einem ihr übergeordneten
Container-Objekt geerbt hat.
7.3.7.6 Aktivieren/Deaktivieren von Richtlinien
Damit eine Richtlinie für einen Computer/Benutzer wirken kann, muss diese auf Gruppenebene
aktiviert werden (Richtlinien können ausschließlich auf Gruppenebene aktiviert werden). Es
spielt keine Rolle, ob sich diese Gruppe im selben Container-Objekt befindet, oder nicht.
Wichtig ist hier nur, dass der Benutzer oder Computer eine direkte bzw. indirekte (durch
Vererbung) Zuordnung der Richtlinie erhalten hat.
250
Administratorhilfe
Befindet sich ein Computer oder Benutzer außerhalb einer OU oder Vererbungslinie und ist
Mitglied einer Gruppe, die sich innerhalb dieser OU befindet, so gilt diese Aktivierung für
diesen Benutzer oder Computer nicht. Denn für diesen Benutzer oder Computer ist keine
gültige Zuweisung (direkt bzw. indirekt) vorhanden. Die Gruppe wurde zwar aktiviert, aber
eine Aktivierung kann nur für Benutzer und Computer gelten, für die auch eine
Richtlinienzuweisung besteht. Das heißt, die Aktivierung von Richtlinien kann nicht über
Container- Grenzen hinausgehen, wenn keine direkte oder indirekte Richtlinienzuweisung für
dieses Objekt existiert.
Eine Richtlinie wird wirksam, wenn sie entweder bei Benutzergruppen oder Computergruppen
aktiviert wurde. Es werden die Benutzergruppen und dann die Computergruppen ausgewertet
(auch authentisierte Benutzer und authentisierte Computer sind Gruppen). Beide Ergebnisse
werden ODER-verknüpft. Liefert diese ODER-Verknüpfung einen positiven Wert für die
Computer/Benutzer-Beziehung, gilt die Richtlinie.
Hinweis: Werden mehrere Richtlinien für ein Objekt aktiv, werden die einzelnen Richtlinien
unter Einhaltung der beschriebenen Regeln, vereinigt. Das heißt, die tatsächlichen
Einstellungen für ein Objekt können aus mehreren unterschiedlichen Richtlinien
zusammengesetzt werden.
Für eine Gruppe gibt es folgende Aktivierungseinstellungen:
■
Aktiviert
Eine Richtlinie wurde zugewiesen. Die Gruppe wird im Aktivierungsbereich des SafeGuard
Management Centers angezeigt.
■
Nicht aktiviert
Eine Richtlinie wurde zugewiesen. Die Gruppe befindet sich nicht im Aktivierungsbereich.
Wird eine Richtlinie einem Container zugewiesen, dann bestimmt die Aktivierungseinstellung
für eine Gruppe (aktiviert), ob diese Richtlinie an diesem Container in die Berechnung der
resultierenden Richtlinie einfließt.
Vererbte Richtlinien können durch diese Aktivierungen nicht kontrolliert werden. Hierfür müsste
an der lokaleren OU Richtlinienvererbung blockieren gesetzt werden, damit die globalere
Richtlinie hier nicht wirken kann.
7.3.7.7 Benutzer-/Gruppeneinstellungen
Richtlinieneinstellungen für Benutzer (im SafeGuard Management Center schwarz dargestellt),
ziehen stärker, als Richtlinieneinstellungen für Computer (im SafeGuard Management Center
blau dargestellt). Werden bei einer Richtlinie für Computer Benutzereinstellungen festgelegt,
werden diese Einstellungen durch die Richtlinie für den Benutzer überschrieben.
Hinweis: Nur die Benutzereinstellungen werden überschrieben. Sollte eine Richtlinie für
Benutzer auch Maschineneinstellungen beinhalten (blau dargestellte Einstellungen) werden
diese nicht von einer Benutzerrichtlinie überschrieben!
Beispiel 1:
Wird für eine Computergruppe die Kennwortlänge 4 definiert, die Benutzergruppe hat aber
für dieselbe Einstellung den Wert 3, gilt für diesen Benutzer auf einem Computer der
Computergruppe, ein Kennwort mit der Länge 3.
Beispiel 2:
Wird für eine Benutzergruppe ein Serverintervall von 1 Minute definiert und für eine
Computergruppe der Wert 3, so wird der Wert 3 verwendet, da es sich beim Wert 1 Minute
um eine Maschineneinstellung, die in einer Richtlinie für Benutzer definiert wurde, handelt.
251
SafeGuard Enterprise
7.3.7.8 Sich widersprechende Verschlüsselungsrichtlinien
Es werden zwei Richtlinien - P1 und P2 - angelegt. Für P1 wurde eine dateibasierende
Verschlüsselung für Laufwerk E:\ definiert und für P2 eine volume-basierende Verschlüsselung
für Laufwerk E:\. P1 wird der OU FBE-User und P2 der OU VBE-User zugewiesen.
Fall 1: Ein Benutzer aus OU FBE-User meldet sich zuerst am Client W7-100 (Container
Computer) an. Laufwerk E:\ ist dateibasierend verschlüsselt. Meldet sich ein Benutzer danach
aus der OU VBE-User am Client W7-100 an, so wird das Laufwerk E:\ volume-basierend
verschlüsselt. Haben beide Benutzer dieselben Schlüssel, können beide auf die Laufwerke
bzw. Dateien zugreifen.
Fall 2: Ein Benutzer aus der OU VBE-User meldet sich zuerst am Computer W7-100
(Container Computer) an. Das Laufwerk ist mit volume-basierender Verschlüsselung
verschlüsselt. Meldet sich nun ein Benutzer der OU FBE-User an und hat dieser einen
gemeinsamen Schlüssel mit den Benutzern aus der OU VBE-User, so wird das Laufwerk E:\
(die volume-basierende Verschlüsselung bleibt erhalten) innerhalb der volume-basierenden
Verschlüsselung dateibasierend verschlüsselt. Hat der Benutzer aus der OU FBE-User
allerdings keinen gemeinsamen Schlüssel, kann er auf das Laufwerk E:\ nicht zugreifen.
7.3.7.9 Priorisierung innerhalb einer Zuweisung
Innerhalb einer Zuweisung, hat die Richtlinie mit der höchsten Priorität (1) Vorrang gegenüber
einer Richtlinie mit einer geringeren Priorität.
Hinweis: Wurde auf gleicher Ebene eine Richtlinie mit niedriger Priorität, aber mit der Option
Kein Überschreiben, zugeordnet, so zieht die Richtlinie trotz niedrigerer Priorität gegenüber
den Richtlinien mit der höheren Priorität.
7.3.7.10 Priorisierung innerhalb einer Gruppe
Innerhalb einer Gruppe, hat die Richtlinie mit der höchsten Priorität (1) Vorrang gegenüber
einer Richtlinie mit einer geringeren Priorität.
7.3.7.11 Statusindikatoren
Durch das Setzen von Statusindikatoren kann das Standardregelwerk der Richtlinien verändert
werden.
■
Richtlinienvererbung blockieren
Wird direkt bei dem Container gesetzt, der keine übergeordneten Richtlinien empfangen
will (Rechtsklick auf das Objekt im Navigationsfenster > Eigenschaften).
Soll ein Container-Objekt keine Richtlinie eines übergeordneten Objektes erben, können
Sie das durch das Setzen von Richtlinienvererbung blockieren verhindern. Ist
Richtlinienvererbung blockieren gesetzt, werden keine übergeordneten
Richtlinieneinstellungen für dieses Container-Objekt wirksam (Ausnahme: Kein
Überschreiben wurde bei der Richtlinienzuweisung aktiviert).
■
Kein Überschreiben
Wird bei der Zuweisung gesetzt und bedeutet, dass diese Richtlinie nicht von anderen
überschrieben werden kann.
Je weiter die Richtlinienzuweisung mit Kein Überschreiben vom Zielobjekt entfernt ist,
umso stärker wird die Wirkung dieser Richtlinie für alle untergeordneten Container-Objekte.
Das heißt: Kein Überschreiben eines übergeordneten Containers überschreibt die
Richtlinieneinstellungen eines untergeordneten Containers. So kann z.B. eine
252
Administratorhilfe
Domänenrichtlinie definiert werden, deren Einstellungen nicht überschrieben werden
können, auch nicht, wenn für eine OU Richtlinienvererbung blockieren gesetzt wurde!
Hinweis: Wurde auf gleicher Ebene eine Richtlinie mit niedriger Priorität, aber mit der
Option Kein Überschreiben, zugeordnet, so zieht die Richtlinie trotz niedrigerer Priorität
gegenüber den Richtlinien mit der höheren Priorität.
7.3.7.12 Einstellungen in Richtlinien
7.3.7.12.1 Computereinstellungen wiederholen
Sie finden diese Einstellung unter:
Richtlinien > Richtlinie vom Typ Allgemeine Einstellungen > Laden der Einstellungen >
Richtlinien-Loopback.
Wird bei einer Richtlinie vom Typ Allgemeine Einstellungen bei der Option
Richtlinien-Loopback die Einstellung Computereinstellungen wiederholen ausgewählt
und die Richtlinie „kommt“ von einem Computer (Computereinstellungen wiederholen hat
für eine Benutzerrichtlinie keine Auswirkung), wird diese Richtlinie am Ende der Auswertung
noch einmal ausgeführt. Dadurch werden etwaige Benutzereinstellungen wieder überschrieben
und es gelten die Computereinstellungen. Für das neuerliche Schreiben werden sämtliche
Computereinstellungen, die der Computer direkt oder indirekt bekommt (auch von Richtlinien
die beim Richtlinien-Loopback Computereinstellungen wiederholen nicht gesetzt wurden),
neu geschrieben.
7.3.7.12.2 Benutzer ignorieren
Sie finden diese Einstellung unter:
Richtlinien > Richtlinie vom Typ Allgemeine Einstellungen > Laden der Einstellungen >
Richtlinien-Loopback.
Wird bei einer Richtlinie vom Typ Allgemeine Einstellungen für einen Computer bei der
Option Richtlinien-Loopback die Einstellung Benutzer ignorieren ausgewählt und die
Richtlinie „kommt“ von einer Maschine, werden nur die Maschineneinstellungen ausgewertet.
Benutzereinstellungen werden nicht ausgewertet.
7.3.7.12.3 Kein Loopback
Sie finden diese Einstellung unter:
Richtlinien > Richtlinie vom Typ Allgemeine Einstellungen > Laden der Einstellungen >
Richtlinien-Loopback.
Kein Loopback beschreibt das Standardverhalten. Benutzerrichtlinien gelten vor
Computerrichtlinien.
7.3.7.12.4 Auswertung der Einstellungen „Benutzer ignorieren“ und „Computereinstellungen wiederholen“
Existieren aktive Richtlinienzuweisungen, werden zuerst die Maschinenrichtlinien ausgewertet
und vereinigt. Ergibt diese Vereinigung der einzelnen Richtlinien bei der Option
Richtlinien-Loopback den Wert Benutzer ignorieren, werden die Richtlinien, die für den
Benutzer bestimmt gewesen wären, nicht mehr ausgewertet. Das bedeutet sowohl für den
Benutzer, als auch für den Computer gelten die gleichen Richtlinien.
Gilt nach der Vereinigung der einzelnen Maschinenrichtlinien bei Richtlinien-Loopback der
Wert Computereinstellungen wiederholen, werden die Benutzerrichtlinien mit den
Maschinenrichtlinien vereinigt. Nach der Vereinigung, werden die Maschinenrichtlinien
nochmals geschrieben und überschreiben gegebenenfalls Einstellungen aus den
Benutzerrichtlinien. Ist eine Einstellung in beiden Richtlinien vorhanden, so ersetzt der Wert
der Maschinenrichtlinie den Wert der Benutzerrichtlinie.
253
SafeGuard Enterprise
Ergibt die Vereinigung der einzelnen Maschinenrichtlinien den Standardwert (Kein
Richtlinien-Loopback), so gilt: Benutzereinstellungen vor Maschineneinstellungen.
7.3.7.12.5 Ausführungsreihenfolge der Richtlinien
Benutzer ignorieren Computer
Computereinstellungen wiederholen Computer -> Benutzer -> Computer. Die erste
„Maschinen-Ausführung“ wird für die Richtlinien benötigt, die schon vor der Benutzeranmeldung
(z. B. Hintergrundbild bei der Anmeldung) geschrieben werden.
Kein Richtlinien-Loopback (Standardeinstellung): Computer -> Benutzer
7.3.7.13 Sonstige Definitionen
Die Entscheidung, ob es sich um eine Benutzer- bzw. Maschinenrichtlinie handelt, hängt von
der Herkunft der Richtlinie ab. Ein Benutzerobjekt „bringt“ eine Benutzerrichtlinie mit, ein
Computer „bringt“ eine Computerrichtlinie mit. Dieselbe Richtlinie kann bei unterschiedlicher
Sicht, sowohl Computer- als auch Benutzerrichtlinie sein.
■
Benutzerrichtlinie
Jene Richtlinie, die der Benutzer zur Auswertung bereitstellt. Wenn eine Richtlinie nur
über einen Benutzer kommt, dann werden die maschinenbezogenen Einstellungen dieser
Richtlinie nicht verwendet. Das heißt, es gelten keine computerbezogenen Einstellungen.
Es gelten die Standardwerte.
■
Computerrichtlinie
Jene Richtlinie, die die Maschine zur Auswertung bereitstellt. Wenn eine Richtlinie nur
über einen Computer kommt, dann werden auch die benutzerspezifischen Einstellungen
dieser Richtlinie verwendet! Die Computerrichtlinie stellt dann eine „für alle Benutzer"
Richtlinie dar.
7.3.8 Bestands- und Statusinformationen
SafeGuard Enterprise liest eine Fülle von Bestands- und Statusinformationen von den
Endpoints aus. Diese Informationen zeigen den aktuellen globalen Zustand der einzelnen
Computer. Im SafeGuard Management Center werden die Informationen im Bereich Benutzer
& Computer in der Registerkarte Bestand dargestellt.
Als Sicherheitsbeauftragter können Sie Bestands- und Statusinformationen einsehen,
exportieren und drucken. So können Sie z. B. Compliance-Berichte erstellen, die die
Verschlüsselung von Endpoints nachweisen. Umfassende Sortier- und Filterfunktionen
unterstützen Sie bei der Auswahl der relevanten Informationen.
Der Bestand liefert u. a. folgende Informationen zu den einzelnen Maschinen:
254
■
Erhaltene Richtlinien
■
Letzter Server-Kontakt
■
Verschlüsselungsstatus aller Medien
■
POA-Status und Typ
■
Installierte SafeGuard Enterprise Module
■
WOL-Status
Administratorhilfe
■
Benutzerinformationen
7.3.8.1 Mac-Endpoints im Bestand
Der Bestand liefert Statusdaten für im SafeGuard Management Center verwaltete Macs.
Weitere Informationen finden Sie unter Bestands- und Statusinformationen für Macs (Seite
114)
7.3.8.2 Einsehen von Bestandsinformationen
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer &
Computer.
2. Klicken Sie im Navigationsfenster auf der linken Seite auf den jeweiligen Container
(Domäne, Arbeitsgruppe oder Computer).
3. Wechseln Sie im Aktionsbereich auf der rechten Seite in die Registerkarte Bestand.
4. Wählen Sie im Bereich Filter die gewünschten Filter für die Bestandsanzeige (siehe Filtern
von Bestandsinformationen (Seite 256)).
Hinweis: Wenn Sie einen einzelnen Computer wählen, stehen die Bestandsinformationen
direkt nach dem Wechsel in die Registerkarte Bestand zur Verfügung. Der Bereich Filter
ist hier nicht verfügbar.
5. Klicken Sie im Bereich Filter auf das Lupensymbol.
Die Bestands- und Statusinformationen werden in einer Übersichtstabelle für alle Maschinen
des ausgewählten Containers angezeigt. Darüber hinaus stehen für die einzelnen Maschinen
die Registerkarten Laufwerke, Benutzer und Merkmale zur Verfügung.
Durch Klicken auf die einzelnen Spalten-Header lassen sich die Bestands- und
Statusinformationen nach den jeweiligen Spalteninformationen sortieren. Darüber hinaus
steht über das Kontextmenü der einzelnen Spalten eine Reihe von Funktionen für die
Sortierung, Gruppierung und Anpassung der angezeigten Anzeige zur Verfügung. Je nach
Ihren Zugriffsrechten werden die Informationen im Bestand in unterschiedlichen Farben
angezeigt:
Informationen für Objekte, für die Sie das Recht Voller Zugriff haben, werden schwarz
angezeigt.
Informationen für Objekte, für die Sie das Recht Schreibgeschützt haben, werden blau
angezeigt.
Informationen für Objekte, für die Sie keine Zugriffsrechte haben, werden grau angezeigt.
7.3.8.3 Anzeigen ausgeblendeter Spalten
Einige Spalten sind in der Bestandsanzeige standardmäßig ausgeblendet.
1. Klicken Sie mit der rechten Maustaste in die Spaltenkopfzeilenleiste der Bestandsanzeige.
2. Wählen Sie aus dem Kontextmenü den Befehl Laufende Spaltenanpassung.
Das Fenster Anpassung mit den ausgeblendeten Spalten wird angezeigt.
3. Ziehen Sie die gewünschte Spalte aus dem Fenster Anpassung in die
Spaltenkopfzeilenleiste.
Die Spalte wird in der Bestandsanzeige angezeigt. Um die Spalte wieder auszublenden,
ziehen Sie sie zurück in das Fenster Anpassung.
255
SafeGuard Enterprise
7.3.8.4 Filtern von Bestandsinformationen
Für die Übersicht der Bestandsinformationen für OUs lassen sich Filter definieren, um die
Darstellung nach bestimmten Kriterien einzuschränken.
Im Filter-Bereich der Registerkarte Bestand stehen folgende Felder für die Definition von
Filtern zur Verfügung:
Feld
Beschreibung
Computername
Um die Bestand- und Statusinformationen für bestimmte Computer
anzeigen zu lassen, geben Sie in diesem Feld den Computernamen
an.
Einschließlich Sub-Container
Aktivieren Sie dieses Feld, um Sub-Container in die Anzeige mit
einzubeziehen.
Letzte Änderung anzeigen
Legen Sie in diesem Feld die Anzahl der anzuzeigenden letzten
Änderungen festlegen.
Darüber hinaus können Sie mit dem Filter-Editor benutzerdefinierte Filter erstellen. Der
Filter-Editor lässt sich über das Kontextmenü der einzelnen Berichtsspalten aufrufen. Im
Fenster Filterdefinition können Sie eigene Filter definieren und auf die jeweilige Spalte
anwenden.
7.3.8.5 Aktualisieren von Bestandsinformationen
Die Endpoints übertragen die jeweils aktuellen Bestandsinformationen, wenn sich die
Informationen geändert haben.
Über den Befehl Aktualisierung anfordern können Sie manuell eine Aktualisierung der
Bestandsinformationen anfordern. Dieser Befehl steht für einen einzelnen oder alle Computer
eines Knotens über das Kontextmenü sowie über das Menü Aktionen in der SafeGuard
Management Center Menüleiste zur Verfügung. Darüber hinaus lässt sich der Befehl über
das Kontextmenü der Listeneinträge auswählen.
Wenn Sie diesen Befehl auswählen oder auf das Symbol Aktualisierung anfordern in der
Symbolleiste klicken, übertragen die jeweiligen Endpoint-Computer ihre aktuellen
Bestandsinformationen.
Wie auch in anderen Bereichen des SafeGuard Management Center, können Sie die Anzeige
mit dem Befehl Aktualisieren aktualisieren. Sie können diesen Befehl aus dem Kontextmenü
für einzelne Computer oder alle Computer in einem Knoten auswählen. Der Befehl steht
außerdem im Ansicht Menü in der Menüleiste zur Verfügung. Zur Aktualisierung der Ansicht
können Sie auch das Doppelpfeilsymbol Aktualisieren in der Symbolleiste wählen.
7.3.8.6 Überblick
Die einzelnen Spalten der Übersicht zeigen folgende Informationen.
Hinweis: Einige Spalten sind standardmäßig ausgeblendet. Sie können diese in der Anzeige
einblenden. Weitere Informationen finden Sie unter Anzeigen ausgeblendeter Spalten (Seite
255).
256
Administratorhilfe
Spalte
Erklärung
Computername
Zeigt den Namen des Computers.
Domäne
Zeigt den Domänennamen des Computers.
Domäne Prä-2000
Zeigt den Domänennamen des Computers vor Windows 2000.
Benutzername (Besitzer)
Zeigt den Benutzernamen des Besitzers des Computers, falls
verfügbar.
Vorname
Zeigt den Vornamen des Besitzers, falls verfügbar.
Nachname
Zeigt den Nachnamen des Besitzers, falls verfügbar.
E-Mail-Adresse
Zeigt die E-Mail-Adresse des Besitzers, falls verfügbar.
Weitere registrierte Benutzer Zeigt die Namen von weiteren registrierten Benutzern des Computers,
falls verfügbar.
Betriebssystem
Zeigt das Betriebssystem des Computers.
Letzter Server-Kontakt
Zeigt an, wann (Datum und Uhrzeit) der Computer zuletzt mit dem
Server kommuniziert hat.
Zuletzt erhaltene Richtlinie
Zeigt an, wann (Datum und Uhrzeit) der Computer die letzte Richtlinie
erhalten hat.
Verschlüsselte Laufwerke
Zeigt die verschlüsselten Laufwerke des Computers.
Unverschlüsselte Laufwerke Zeigt die unverschlüsselten Laufwerke des Computers.
POA Typ
Gibt an, ob der Computer ein nativer SafeGuard Enterprise Endpoint,
ein BitLocker Endpoint mit Challenge/Response, ein BitLocker Endpoint
mit eingebautem Recovery-Mechanismus, ein FileVault 2 Endpoint
oder ein Endpoint mit einer selbst-verschlüsselnden Opal-Festplatte
ist.
POA
Gibt an, ob die SafeGuard Power-on Authentication für den Computer
aktiviert ist.
WOL
Gibt an, ob Wake on LAN für den Computer aktiviert ist.
Änderungsdatum
Zeigt das Datum, an dem sich die Bestandsinformationen durch
Anforderung einer Bestandsaktualisierung oder Übermittlung neuer
Bestandsinformationen vom Client geändert haben.
Aktualisierung angefordert
Zeigt das Datum der letzten Aktualisierungsanforderung an. Der in
diesem Feld angezeigte Wert wird bei der Verarbeitung der
Anforderung durch den Client wieder gelöscht.
257
SafeGuard Enterprise
Spalte
Erklärung
Stamm-DSN
Zeigt den Distinguished Name des dem Computer übergeordneten
Containerobjekts an. Diese Spalte wird nur dann angezeigt, wenn im
Filter-Bereich das Feld Einschließlich Sub-Container aktiviert wurde.
Aktuelles
Unternehmenszertifikat
Gibt an, ob der Computer das aktuelle Unternehmenszertifikat
verwendet.
7.3.8.7 Registerkarte Laufwerke
Die Registerkarte Laufwerke zeigt Bestands- und Statusinformationen zu den Laufwerken
des jeweiligen Computers.
Spalte
Erklärung
Laufwerksname
Zeigt den Laufwerksnamen an.
Label
Zeigt das Label eines Mac-Laufwerks.
Typ
Zeigt den Laufwerkstyp an, z. B. Fest, Wechseldatenträger oder
CD-ROM/DVD.
Status
Zeigt den Verschlüsselungsstatus eines Laufwerks an.
Hinweis: Wenn SafeGuard BitLocker Verwaltung auf einem
Endpoint installiert ist, kann Nicht vorbereitet als
Verschlüsselungsstatus eines Laufwerks angezeigt werden. Das
bedeutet, dass das Laufwerk momentan nicht mit BitLocker
verschlüsselt werden kann, weil notwendige Vorbereitungen noch
nicht durchgeführt wurden. Das trifft nur auf verwaltetete
Endpoints zu, weil nicht verwaltetete Endpoints keine
Bestandsinformationen melden können.
Informationen zu den Voraussetzungen für die Verwaltung und
Verschlüsselung von BitLocker-Laufwerken finden Sie unter
Voraussetzungen für die Verwaltung von BitLocker auf Endpoints
(Seite 145).
Der Verschlüsselungsstatus eines nicht verwalteten Endpoints
kann mit dem Kommandozeilen-Tool SGNState überprüft werden.
Nähere Informationen finden Sie im SafeGuard Enterprise Tools
Guide.
Algorithmus
Zeigt für verschlüsselte Laufwerke den Algorithmus, der zur
Verschlüsselung benutzt wurde, an.
7.3.8.8 Registerkarte Benutzer
Die Registerkarte Benutzer zeigt Bestands- und Statusinformationen zu den Benutzern des
Computers.
258
Administratorhilfe
Spalte
Erklärung
Benutzername
Zeigt den Benutzernamen des Benutzers.
Distinguished Name
Zeigt den DNS-Namen für den Benutzer, zum Beispiel:
CN=Administrator,CN=Users,DC=domain,DC=mycompany,DC=net
Benutzer ist Besitzer
Gibt an, ob der Benutzer als Besitzer des Computers definiert ist.
Benutzer ist gesperrt
Gibt an, ob der Benutzer gesperrt ist.
SGN Windows-Benutzer
Gibt an, ob es sich um einen SGN Windows-Benutzer handelt. Ein
SGN Windows-Benutzer wird nicht zur SafeGuard POA hinzugefügt,
verfügt jedoch über einen Schlüsselring, mit dem er wie ein
SGN-Benutzer auf verschlüsselte Dateien zugreifen kann. Sie können
die Registrierung von SGN Windows-Benutzern auf Endpoints über
Richtlinien des Typs Spezifische Computereinstellungen
aktivieren.
7.3.8.9 Registerkarte Module
Die Registerkarte Module liefert eine Übersicht zu allen auf dem Computer installierten
SafeGuard Enterprise Modulen.
Spalte
Erklärung
Modulname
Zeigt den Namen des installierten SafeGuard Enterprise Moduls.
Version
Zeigt die Software-Version des installierten SafeGuard Enterprise
Moduls.
7.3.8.10 Registerkarte Unternehmenszertifikat
Die Registerkarte Unternehmenszertifikat zeigt die Eigenschaften des derzeit verwendeten
Unternehmenszertifikats und gibt an, ob ein neueres Unternehmenszertifikat verfügbar ist.
Spalte
Erklärung
Antragsteller
Zeigt den Distinguished Name des Antragstellers des
Unternehmenszertifikats.
Seriennummer
Zeigt die Seriennummer des Unternehmenszertifikats.
Aussteller
Zeigt den Distinguished Name des Ausstellers des
Unternehmenszertifikats.
Gültig ab
Zeigt das Datum und die Uhrzeit, ab das Unternehmenszertifikat
gültig wird.
259
SafeGuard Enterprise
Spalte
Erklärung
Gültig bis
Zeigt das Datum und die Uhrzeit, ab das Unternehmenszertifikat
ungültig wird.
Ein neueres
Unternehmenszertifikat ist
verfügbar
Gibt an, ob ein neueres Unternehmenszertifikat als das aktuelle des
Endpoints verfügbar ist.
7.3.8.11 Erstellen von Bestandsberichten
Als Sicherheitsbeauftragter können Sie Bestandsberichte in unterschiedlichen Formaten
erstellen. So können Sie z. B. Compliance-Berichte erstellen, die die Verschlüsselung von
Endpoints nachweisen. Sie können die Berichte drucken oder in eine Datei exportieren.
7.3.8.11.1
Drucken von Bestandsberichten
1. Klicken Sie in der SafeGuard Management Center Menüleiste auf Datei.
2. Sie können den Bericht sofort drucken oder zunächst eine Druckvorschau anzeigen lassen.
Die Druckvorschau bietet eine Reihe von Funktionen, z. B. für die Bearbeitung des
Seitenlayouts (Kopf- und Fußzeile usw.).
7.3.8.11.2
■
Um eine Druckvorschau anzuzeigen, wählen Sie Datei > Druckvorschau.
■
Um das Dokument sofort zu drucken, wählen Sie Datei > Drucken.
Export von Bestandsberichte in Dateien
1. Klicken Sie in der SafeGuard Management Center Menüleiste auf Datei.
2. Wählen Sie Drucken > Druckvorschau.
Die Bestandsbericht Druckvorschau wird angezeigt.
Die Druckvorschau bietet eine Reihe von Funktionen, z. B. für die Bearbeitung des
Seitenlayouts (Kopf- und Fußzeile usw.).
3. Klicken Sie in der Symbolleiste des Fensters Druckvorschau auf die Dropdownliste des
Symbols Dokument exportieren....
4. Wählen Sie den gewünschten Dateityp aus der Liste.
5. Geben Sie die gewünschten Exportoptionen an und klicken Sie auf OK.
Der Bestandsbericht wird in eine Datei des angegebenen Dateityps exportiert.
7.4 SafeGuard Enterprise Sicherheitsbeauftragte
SafeGuard Enterprise kann von einem oder mehreren Sicherheitsbeauftragten administriert
werden. Mit der rollenbasierten Administration ist es möglich, die Verwaltung von SafeGuard
Enterprise auf mehrere Benutzer zu verteilen. Dabei kann einem Benutzer eine oder mehrere
Rollen zugewiesen werden. Um die Sicherheit noch zu erhöhen, kann einer
Sicherheitsbeauftragtenrolle die zusätzliche Autorisierung eines Vorgangs zugewiesen werden.
Während der initialen Konfiguration des SafeGuard Management Center wird automatisch
ein Administrator mit allen Rechten angelegt (Haupt-Sicherheitsbeauftragter oder Master
Security Officer, MSO) und ein Zertifikat wird erstellt, siehe Erstellen eines
260
Administratorhilfe
Haupt-Sicherheitsbeauftragten (Master Security Officer, MSO) (Seite 37). Das MSO Zertifikat
wird standardmäßig nach 5 Jahren ungültig und kann im Management Center im Abschnitt
Sicherheitsbeauftragte erneuert werden. Für andere spezifische Aufgaben, z. B. Helpdeskoder Audit-Aufgaben, können dann weitere Sicherheitsbeauftragte zugewiesen werden.
Sicherheitsbeauftragte lassen sich im Navigationsbereich des SafeGuard Management Center
gemäß der Organisationsstruktur Ihres Unternehmens hierarchisch anordnen. Diese
hierarchische Anordnung gibt jedoch keine Hierarchie in Bezug auf Rechte und Rollen wieder.
Hinweis: Zwei Sicherheitsbeauftragte dürfen nicht das gleiche Windows-Konto auf einem
Computer benutzen. Andernfalls lassen sich ihre Zugriffsrechte nicht sauber trennen. Unter
Umständen ist die zusätzliche Autorisierung nur dann sinnvoll, wenn sich die
Sicherheitsbeauftragten mit kryptographischen Token/Smartcards anmelden müssen.
7.4.1 Rollen für Sicherheitsbeauftragte
SafeGuard Enterprise bietet für die komfortable Verwaltung bereits vordefinierte Rollen mit
verschiedenen Funktionen für Sicherheitsbeauftragte an. Ein Sicherheitsbeauftragter mit den
erforderlichen Rechten hat die Möglichkeit, aus einer Liste von Aktionen/Rechten selbst neue
Rollen zu definieren und bestimmten Sicherheitsbeauftragten zuzuweisen.
Folgende Rollentypen stehen zur Verfügung:
■
Rolle des Haupt-Sicherheitsbeauftragten (Master Security Officer, MSO)
■
Vordefinierte Rollen
■
Benutzerdefinierte Rollen
7.4.1.1 Haupt-Sicherheitsbeauftragter
Nach der Installation von SafeGuard Enterprise wird bei der initialen Konfiguration des
SafeGuard Management Center automatisch ein Haupt-Sicherheitsbeauftragter (Master
Security Officer, MSO) angelegt. Der Haupt-Sicherheitsbeauftragte ist der
Sicherheitsbeauftragte der höchsten Ebene und hat alle Rechte sowie Zugriff auf alle Objekte,
vergleichbar mit dem Administrator bei Windows. Die Rechte des
Haupt-Sicherheitsbeauftragten können nicht geändert werden.
Für eine Instanz des SafeGuard Management Centers können mehrere
Haupt-Sicherheitsbeauftragte angelegt werden. Aus Sicherheitsgründen empfehlen wir,
mindestens einen weiteren Haupt-Sicherheitsbeauftragten anzulegen. Zusätzliche
Haupt-Sicherheitsbeauftragte können jederzeit gelöscht werden, es muss jedoch immer ein
Benutzer mit der Rolle des Haupt-Sicherheitsbeauftragten vorhanden sein, der explizit als
Hauptsicherheits-Beauftragter in der SafeGuard Enterprise Datenbank angelegt wurde.
Ein Haupt-Sicherheitsbeauftragter kann Aufgaben an andere Personen delegieren. Dazu gibt
es zwei Möglichkeiten:
■
Ein neuer Benutzer/Sicherheitsbeauftragter kann unter Sicherheitsbeauftragte angelegt
werden.
■
Ein aus dem Active Directory importierter und im Stammverzeichnis des SafeGuard
Management Center sichtbarer Benutzer oder alle Mitglieder eines Containers können
unter Benutzer & Computer zu Sicherheitsbeauftragten gemacht werden.
Den Sicherheitsbeauftragten können eine oder mehrere Rollen zugeordnet werden. Einem
Benutzer kann z. B. die Rolle des Verwaltungsbeauftragten und die Rolle des
Helpdesk-Beauftragten zugewiesen werden.
261
SafeGuard Enterprise
Der Haupt-Sicherheitsbeauftragte kann aber auch selbst definierte Rollen anlegen und
bestimmten Sicherheitsbeauftragten zuweisen.
7.4.1.1.1
Exportieren des Zertifikats des Haupt-Sicherheitsbeauftragten
So erstellen Sie ein Backup des Zertifikats des derzeit am SafeGuard Management Center
angemeldeten Haupt-Sicherheitsbeauftragten:
1. Wählen Sie Extras > Optionen in der SafeGuard Management Center Menüleiste.
2. Wählen Sie die Registerkarte Zertifikate und klicken Sie im Bereich <Administrator>
Zertifikat auf Exportieren.
3. Sie werden aufgefordert, ein Kennwort für die Sicherung der exportierten Datei einzugeben.
Geben Sie ein Kennwort ein, bestätigen Sie es und klicken Sie auf OK.
4. Geben Sie einen Dateinamen und einen Speicherort für die zu exportierende Datei ein
und klicken Sie auf OK.
Das Zertifikat des derzeit angemeldeten Haupt-Sicherheitsbeauftragten wird als P12-Datei
an den definierten Speicherort exportiert und kann für Recovery-Vorgänge benutzt werden.
7.4.1.2 Vordefinierte Rollen
Im SafeGuard Management Center sind neben dem Haupt-Sicherheitsbeauftragten die
folgenden Rollen vordefiniert. Die diesen vordefinierten Rollen zugewiesenen Rechte können
nicht geändert werden. Verfügt eine vordefinierte Rolle z. B. über das Recht „Richtlinien und
Richtliniengruppen erstellen“, so kann dieses Recht nicht aus der Rolle entfernt werden. Es
können auch keine neuen Rechte zu einer vordefinierten Rollen hinzugefügt werden. Die
zusätzliche Autorisierung durch einen weiteren Sicherheitsbeauftragten hingegen lässt sich
jederzeit den vordefinierten Rollen zuordnen.
■
Verwaltungsbeauftragter
Verwaltungsbeauftragte können Ihren eigenen Knoten im Bereich Sicherheitsbeauftragte
einsehen und sind dazu berechtigt, die ihrem Knoten zugehörigen Sicherheitsbeauftragten
zu verwalten.
■
Sicherheitsbeauftragter
Sicherheitsbeauftragte haben umfassende Rechte u. a. für die SafeGuard Enterprise
Konfiguration, Richtlinien- und Schlüsselverwaltung sowie für Überwachung und Recovery.
■
Helpdesk-Beauftragter
Helpdesk-Beauftragte sind zur Durchführung von Recovery-Vorgängen berechtigt. Darüber
hinaus können sie sich die meisten Funktionsbereiche des SafeGuard Management Center
anzeigen lassen.
■
Audit-Beauftragter
Um SafeGuard Enterprise überwachen zu können, haben Audit-Beauftragte die
Berechtigung, sich die meisten Funktionsbereiche des SafeGuard Management Center
anzeigen zu lassen.
■
Recovery-Beauftragter
Recovery-Beauftragte sind dazu berechtigt, die SafeGuard Enterprise Datenbank zu
reparieren.
262
Administratorhilfe
7.4.1.3 Benutzerdefinierte Rollen
Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie neue Rollen aus einer
Liste mit Aktionen/Rechten definieren und sie einem vorhandenen oder einem neuen
Sicherheitsbeauftragten zuweisen. Wie auch bei den vordefinierten Rollen lässt sich die
zusätzliche Autorisierung durch einen weiteren Sicherheitsbeauftragten für eine Funktion der
betreffenden Rolle jederzeit aktivieren.
Bei der Zuweisung einer neuen Rolle ist für die zusätzliche Autorisierung Folgendes zu
beachten:
Hinweis: Wenn ein Benutzer zwei Rollen mit der gleichen Funktion inne hat, und bei einer
der Rollen die zusätzliche Autorisierung zugeordnet ist, dann gilt das automatisch auch bei
der anderen Rolle.
Ein Sicherheitsbeauftragter mit den erforderlichen Rechten kann Rechte zu einer
benutzerdefinierten Rolle hinzufügen oder Rechte aus der Rolle entfernen. Im Gegensatz zu
vordefinierten Rollen können benutzerdefinierte je nach Anforderung auch gelöscht werden.
Wird die Rolle gelöscht, so ist sie keinem Benutzer mehr zugewiesen. Ist einem Benutzer nur
eine Rolle zugewiesen und wird diese Rolle gelöscht, so kann sich der Benutzer nicht mehr
am SafeGuard Management Center anmelden.
Hinweis: Die Rolle und die darin definierten Aktionen bestimmen, was ein Benutzer darf und
was nicht. Auch dann, wenn dem Benutzer mehrere Rollen zugewiesen worden sind. Nachdem
er sich am System angemeldet hat, werden nur die Bereiche des SafeGuard Management
Centers aktiviert und angezeigt, die für seine Rolle nötig sind. Das betrifft auch die Bereiche
Skripte und API. Sie sollten deshalb immer die Anzeige des Bereichs aktivieren, in dem die
betreffenden Aktionen definiert sind. Aktionen werden nach Funktionsbereich sortiert und
sind hierarchisch strukturiert. Diese Struktur zeigt, welche Aktionen vor der Durchführung
bestimmter anderer Aktionen erforderlich sind.
7.4.1.4 Zusätzliche Autorisierung
Die zusätzliche Autorisierung (auch Vier-Augen-Prinzip genannt) kann spezifischen Aktionen
einer Rolle zugeordnet werden. Das bedeutet, dass der Benutzer dieser Rolle eine bestimmte
Aktion nur ausführen darf, wenn ein Benutzer einer weiteren Rolle anwesend ist und die
Ausführung der Aktion bestätigt. Jedes Mal, wenn ein Benutzer diese Aktion ausführt, muss
ein anderer Benutzer sie bestätigen.
Die zusätzliche Autorisierung lässt sich sowohl vordefinierten als auch benutzerdefinierten
Rollen zuweisen. Sobald es zumindest noch einen Beauftragten mit der gleichen Rolle gibt,
kann auch die eigene Rolle ausgewählt werden.
Die Rolle, die die zusätzliche Autorisierung durchführen soll, muss einem Benutzer zugewiesen
sein und es müssen mindestens zwei Benutzer in der SafeGuard Datenbank vorhanden sein.
Wenn die zusätzliche Autorisierung für eine Aktion erforderlich ist, ist sie auch dann erforderlich,
wenn der Benutzer eine weitere Rolle hat, die die zusätzliche Autorisierung für diese Aktion
nicht erfordert.
Wenn ein Sicherheitsbeauftragter ohne Berechtigung zum Ändern der Einstellungen für die
zusätzliche Autorisierung eine Rolle anlegt, werden die Einstellungen für die zusätzliche
Autorisierung der neuen Rolle gemäß den definierten Einstellungen für den anlegenden
Benutzer voreingestellt.
263
SafeGuard Enterprise
7.4.2 Anlegen einer neuen Rolle
Voraussetzung: Um eine neue Rolle anzulegen, benötigen Sie das Recht, benutzerdefinierte
Rollen einzusehen und zu verwalten. Um die zusätzliche Autorisierung zuzuweisen, benötigen
Sie das Recht „Einstellungen für zusätzliche Autorisierung ändern“.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie mit der rechten Maustaste auf Benutzerdefinierte Rollen und wählen Sie
Neu > Neue benutzerdefinierte Rolle.
3. Geben Sie im Dialog Neue benutzerdefinierte Rolle einen Namen und eine Beschreibung
für die Rolle ein.
4. Wählen Sie die Aktionen für diese Rolle: Wählen Sie die Kontrollkästchen neben den
gewünschten Aktionen in der Spalte Aktiv.
Aktionen werden nach Funktionsbereich sortiert und sind hierarchisch strukturiert. Diese
Struktur zeigt, welche Aktionen vor der Durchführung bestimmter anderer Aktionen
erforderlich sind.
5. Falls erforderlich, weisen Sie die zusätzliche Autorisierung zu: Klicken Sie auf die
Standardeinstellung Kein und wählen Sie die gewünschte Rolle aus der angezeigten
Dropdownliste.
Wenn ein Sicherheitsbeauftragter ohne die Berechtigung zum Ändern der zusätzlichen
Autorisierung eine Rolle anlegt, wird die zusätzliche Autorisierung gemäß den Einstellungen
der Rolle des betreffenden Sicherheitsbeauftragten vordefiniert.
6. Klicken Sie auf OK.
Die neue Rolle wird unter Benutzerdefinierte Rollen im Navigationsfenster angezeigt. Wenn
Sie die Rolle anklicken, werden im rechten Aktionsbereich die zulässigen Aktionen dargestellt.
7.4.3 Zuweisen einer Rolle zu einem Sicherheitsbeauftragten
Voraussetzung: Um eine Rolle zuzuweisen, benötigen Sie das Recht, Sicherheitsbeauftragte
einzusehen und zu ändern.
1. Wählen Sie den gewünschten Sicherheitsbeauftragten im Navigationsfenster aus.
Die Eigenschaften werden im rechten Aktionsbereich für ihn angezeigt.
2. Weisen Sie die gewünschten Rollen durch Auswählen der entsprechenden Kontrollkästchen
zu.
Vordefinierte Rollen werden fett angezeigt.
3. Klicken Sie auf das Doppelpfeil-Symbol Aktualisieren in der Symbolleiste.
Die Rolle ist dem Sicherheitsbeauftragten zugewiesen.
Hinweis: Komplexe, individuell angepasste Rollen können leichte Performanceprobleme bei
der Benutzung des SafeGuard Management Centers verursachen.
7.4.4 Einsehen von Sicherheitsbeauftragten- und Rolleneigenschaften
Voraussetzung: Um sich einen Überblick über die Sicherheitsbeauftragteneigenschaften
oder die Rollenzuordnungen anzeigen zu lassen, benötigen Sie das Recht zum Einsehen
von Sicherheitsbeauftragten und Sicherheitsbeauftragtenrollen.
264
Administratorhilfe
So sehen Sie Sicherheitsbeauftragten- und Rolleneigenschaften ein:
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Doppelklicken Sie im Navigationsbereich auf der linken Seite auf dem Objekt, zu dem Sie
einen Überblick erhalten möchten.
Die im Aktionsbereich angezeigten Informationen richten sich nach dem ausgewählten Objekt.
7.4.4.1 Anzeigen der Eigenschaften für den Haupt-Sicherheitsbeauftragten
Die allgemeinen Informationen sowie die Änderungsinformationen für den
Haupt-Sicherheitsbeauftragten werden angezeigt.
7.4.4.2 Anzeigen der Eigenschaften für Sicherheitsbeauftragte
Die allgemeinen Informationen sowie die Änderungsinformationen für den
Sicherheitsbeauftragten werden angezeigt.
1. Wählen Sie unter Eigenschaften die Registerkarte Aktionen. Diese Registerkarte bietet
eine Zusammenfassung der zulässigen Aktionen sowie der Rollen, die dem
Sicherheitsbeauftragten zugewiesen sind.
7.4.4.3 Anzeigen der Rechte und Rollen von Sicherheitsbeauftragten
Eine Zusammenfassung der Aktionen aller Rollen, die dem Sicherheitsbeauftragten zugewiesen
sind, wird angezeigt. Die Baumstrukturansicht zeigt, welche Aktionen erforderlich sind, damit
bestimmte andere Aktionen durchgeführt werden können. Darüber hinaus können die
zugewiesenen Rollen angezeigt werden.
1. Wählen Sie in den <Sicherheitsbeauftragtenname> Eigenschaften in der Registerkarte
Aktionen eine Aktion, um alle zugewiesenen Rollen aufzurufen, die diese Aktion enthalten.
2. Doppelklicken Sie in der Liste Zugewiesene Rollen mit ausgewählter Aktion auf einer
Rolle. Der <Sicherheitsbeauftragtenname> Eigenschaften Dialog wird geschlossen
und die Eigenschaften der Rolle werden angezeigt.
7.4.4.4 Anzeigen der Rolleneigenschaften
Die allgemeinen Informationen sowie die Änderungsinformationen für die Rolle werden
angezeigt.
1. Wählen Sie unter Eigenschaften die Registerkarte Zuweisung, um die
Sicherheitsbeauftragten anzeigen zu lassen, die dieser Rolle zugeordnet sind.
7.4.4.5 Anzeigen der Rollenzuordnung
1. Doppelklicken Sie in den <Rollenname> Eigenschaften in der Registerkarte Zuweisung
auf einem Sicherheitsbeauftragten. Der Eigenschaften Dialog wird geschlossen und es
werden die allgemeinen Daten und die Rollen des Sicherheitsbeauftragten angezeigt.
7.4.5 Ändern einer Rolle
Für das Ändern von Rollen gibt es folgende Möglichkeiten:
■
Zusätzliche Autorisierung ändern
■
Sie können alle Eigenschaften der Rolle ändern.
265
SafeGuard Enterprise
Das Symbol neben den Rollen zeigt, welche Aktion möglich ist:
Symbol
Beschreibung
Die Rolle kann geändert werden (Aktionen hinzufügen/löschen).
Die zusätzliche Autorisierung kann geändert werden.
Beide Änderungsmöglichkeiten sind verfügbar.
Hinweis: Vordefinierte Rollen und die ihnen zugewiesenen Aktionen können nicht geändert
werden. Ist die zusätzliche Autorisierung aktiviert, so kann dies für jede Rolle, auch für
vordefinierte Rollen, geändert werden.
7.4.5.1 Ändern der zusätzlichen Autorisierung
Voraussetzung: Um die zusätzliche Autorisierung zuzuweisen, benötigen Sie das Recht,
Sicherheitsbeauftragtenrollen einzusehen sowie das Recht „Einstellungen für zusätzliche
Autorisierung ändern“.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen auf die Rolle, die Sie
ändern möchten. Klicken Sie im Aktionsbereich auf der rechten Seite bei der gewünschten
Einstellung in der Spalte Zusätzliche Autorisierung und wählen Sie eine andere Rolle
aus der Liste aus.
Vordefinierte Rollen werden fett angezeigt.
3. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der
Datenbank zu speichern.
Die zusätzliche Autorisierung für diese Rolle wurde geändert.
7.4.5.2 Ändern aller Eigenschaften einer Rolle
Voraussetzung: Um eine benutzerdefinierte Rolle zu ändern, benötigen Sie das Recht zum
Einsehen und Ändern von Sicherheitsbeauftragtenrollen. Zum Ändern der Einstellung für die
zusätzliche Autorisierung benötigen Sie außerdem das Recht „Einstellungen für zusätzliche
Autorisierung ändern“.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen auf die Rolle, die Sie
ändern möchten, und wählen Sie Benutzerdefinierte Rolle ändern.
3. Ändern Sie die Eigenschaften nach Wunsch. Ändern Sie die Einstellungen für die
zusätzliche Autorisierung, indem Sie auf den Wert in dieser Spalte klicken und die
gewünschte Rolle auswählen.
4. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der
Datenbank zu speichern.
266
Administratorhilfe
Die Rolle wurde geändert.
7.4.6 Kopieren einer Rolle
Um eine Rolle anzulegen, die ähnliche Eigenschaften wie eine bereits vorhandene Rolle hat,
können Sie die vorhandene Rolle als Vorlage benutzen. Sie können eine vordefinierte oder
eine benutzerdefinierte Rolle als Vorlage auswählen.
Voraussetzung: Die Verwendung von vorhandenen Rollen als Vorlage ist nur dann möglich,
wenn der derzeit authentisierte Sicherheitsbeauftragte alle Rechte hat, die in dieser
spezifischen Rollenvorlage enthalten sind. Diese Funktion ist also u. U. für
Sicherheitsbeauftragte, deren zulässige Aktionen begrenzt sind, nicht verfügbar.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf die Rolle, die Sie kopieren
möchten, und wählen Sie Neu > Neue Kopie der Rolle. Unter Neue benutzerdefinierte
Rolle werden alle Eigenschaften der vorhandenen Rolle bereits vorausgewählt.
3. Geben Sie einen neuen Namen für diese Rolle ein und ändern Sie die Eigenschaften nach
Wunsch.
4. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der
Datenbank zu speichern.
Die neue Rolle ist angelegt.
7.4.7 Löschen einer Rolle
Hinweis: Vordefinierte Rollen können nicht gelöscht werden.
Voraussetzung: Um eine Rolle zu löschen, benötigen Sie das Recht zum Einsehen und
Löschen von Sicherheitsbeauftragtenrollen.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen mit der rechten
Maustaste auf die Rolle, die Sie löschen möchten, und wählen Sie Löschen. Je nach den
Eigenschaften der Rolle wird eine entsprechende Warnungsmeldung angezeigt.
Hinweis: Wenn Sie eine Rolle löschen, geht diese Rolle bei allen Sicherheitsbeauftragten,
denen sie zugeordnet ist, verloren. Ist einem Sicherheitsbeauftragten nur diese eine Rolle
zugewiesen, so kann dieser sich erst wieder am SafeGuard Management Center anmelden,
wenn ein übergeordneter Sicherheitsbeauftragter ihm eine neue Rolle zuweist. Wird die
Rolle für die zusätzliche Autorisierung verwendet, so wird der Haupt-Sicherheitsbeauftragte
dazu aufgefordert, die zusätzliche Autorisierung durchzuführen.
3. Um die Rolle zu löschen, klicken Sie in der Warnungsmeldung auf Ja.
4. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der
Datenbank zu speichern.
Die Rolle wird aus dem Navigationsfenster entfernt und aus der Datenbank gelöscht.
7.4.8 Anlegen eines Haupt-Sicherheitsbeauftragten
Voraussetzung: Um einen neuen Haupt-Sicherheitsbeauftragten anzulegen, benötigen Sie
das Recht, Sicherheitsbeauftragte einzusehen und anzulegen.
267
SafeGuard Enterprise
Hinweis: Ein schneller Weg, einen neuen Haupt-Sicherheitsbeauftragten zu erstellen, ist,
einen Sicherheitsbeauftragter höher zu stufen. Weitere Informationen finden Sie unter
Höherstufen von Sicherheitsbeauftragten (Seite 274).
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Knoten
Haupt-Sicherheitsbeauftragte und wählen Sie Neu > Neuer
Haupt-Sicherheitsbeauftragter.
268
Administratorhilfe
3. Nehmen Sie die relevanten Einträge unter Neuer Haupt-Sicherheitsbeauftragter vor:
Feld/Kontrollkästchen Beschreibung
Freigeschaltet
Hier kann der Sicherheitsbeauftragte bis auf Weiteres deaktiviert werden.
Das bedeutet, dass er zwar im System existiert, sich aber noch nicht an das
SafeGuard Management Center anmelden kann. Erst wenn er durch einen
anderen Sicherheitsbeauftragten aktiviert wird, kann er sich anmelden und
seine administrativen Tätigkeiten ausführen.
Name
Hier wird der Name des Sicherheitsbeauftragten angegeben, wie er in den
von SafeGuard Enterprise erzeugten Zertifikaten unter cn= eingetragen wird.
Unter diesem Namen wird er auch im Navigationsfenster des SafeGuard
Management Centers angezeigt. Dieser Name muss eindeutig sein.
Maximalwert: 256 Zeichen
Beschreibung
Optional
Maximalwert: 256 Zeichen
Mobiltelefon
Optional
Maximalwert: 128 Zeichen
E-Mail
Optional
Maximalwert: 256 Zeichen
Token-Anmeldung Die Anmeldung kann auf folgende Art erfolgen:
Ohne Token Der Sicherheitsbeauftragte darf sich nicht mit einem Token
anmelden. Er muss sich über die Anmeldeinformationen
(Benutzername/Kennwort) anmelden.
Optional Die Anmeldung kann mit Token oder mit Anmeldeinformationen
erfolgen. Der Sicherheitsbeauftragte kann wählen.
Zwingend erforderlich Die Verwendung eines Token zur Anmeldung ist
zwingend vorgeschrieben. Dazu muss sich der zum Zertifikat des
Sicherheitsbeauftragten gehörende private Schlüssel auf dem Token befinden.
269
SafeGuard Enterprise
Feld/Kontrollkästchen Beschreibung
Zertifikat
Zur Anmeldung an das SafeGuard Management Center benötigt ein
Sicherheitsbeauftragter immer ein Zertifikat. Das Zertifikat kann entweder
von SafeGuard Enterprise selbst erstellt werden oder es wird ein bereits
existierendes verwendet. Ist eine Anmeldung mit Token zwingend notwendig,
so muss das Zertifikat auf den Token des Sicherheitsbeauftragten aufgebracht
werden.
Erzeugen:
Zertifikat und Schlüsseldatei werden erstellt und an einem auswählbaren Ort
gespeichert. Dabei muss ein Kennwort für die .p12-Schlüsseldatei angegeben
und bestätigt werden. Die .p12-Datei muss dem Sicherheitsbeauftragten bei
der Anmeldung zur Verfügung stehen. Das erstellte Zertifikat wird dem
Sicherheitsbeauftragten automatisch zugeteilt und unter Zertifikat angezeigt.
Wenn SafeGuard Enterprise Kennwortregeln angewendet werden, sollten
die Regeln im Active Directory deaktiviert werden.
Hinweis: Maximale Länge des Speicherpfads und des Dateinamens: 260
Zeichen. Zum Anlegen eines Sicherheitsbeauftragten ist der öffentliche Teil
des Zertifikats zwar ausreichend. Bei der Anmeldung an das SafeGuard
Management Center ist jedoch auch der private Teil des Zertifikats (die
Schlüsseldatei) erforderlich. Liegt diese nicht in der Datenbank vor, muss
sie dem Sicherheitsbeauftragten zur Verfügung stehen und kann bei der
Anmeldung dann ggf. im Zertifikatsspeicher abgelegt werden.
Zertifikat
Importieren:
Ein existierendes Zertifikat wird importiert und anschließend dem
Sicherheitsbeauftragten zugewiesen. Wird aus einer .p12 Schlüsseldatei
importiert, muss das Kennwort des Zertifikats bekannt sein.
Wird ein PKCS#12 Zertifikatscontainer ausgewählt, werden alle Zertifikate
in die Liste der zuweisbaren Zertifikate geladen. Die Zuweisung des Zertifikats
erfolgt nach dem Import, indem das Zertifikat im Dropdown-Listenfeld
ausgewählt wird.
4. Klicken Sie zur Bestätigung Ihrer Einstellungen auf OK.
Der neu angelegte Haupt-Sicherheitsbeauftragte wird im Navigationsfenster unter dem Knoten
Haupt-Sicherheitsbeauftragte angezeigt. Die jeweiligen Eigenschaften lassen sich durch
Auswahl des gewünschten Sicherheitsbeauftragten im Navigationsfenster anzeigen. Der
Haupt-Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard
Management Center anmelden.
7.4.9 Anlegen eines Sicherheitsbeauftragten
Voraussetzung: Um einen neuen Sicherheitsbeauftragten anzulegen, benötigen Sie das
Recht, Sicherheitsbeauftragte einzusehen und anzulegen.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den
Sicherheitsbeauftragten-Knoten, in dem Sie den neuen Sicherheitsbeauftragten anlegen
möchten, und wählen Sie Neu > Neuer Sicherheitsbeauftragter.
270
Administratorhilfe
3. Nehmen Sie die relevanten Einträge unter Neuer Sicherheitsbeauftragter vor:
Feld/Kontrollkästchen
Beschreibung
Freigeschaltet
Hier kann der Sicherheitsbeauftragte bis auf Weiteres deaktiviert
werden. Das bedeutet, dass er zwar im System existiert, sich aber
noch nicht an das SafeGuard Management Center anmelden kann.
Erst wenn er durch einen anderen Sicherheitsbeauftragten aktiviert
wird, kann er sich anmelden und seine administrativen Tätigkeiten
ausführen.
Name
Hier wird der Name des Sicherheitsbeauftragten angegeben, wie er
in den von SafeGuard Enterprise erzeugten Zertifikaten unter cn=
eingetragen wird. Unter diesem Namen wird er auch im
Navigationsfenster des SafeGuard Management Centers angezeigt.
Dieser Name muss eindeutig sein.
Maximalwert: 256 Zeichen
Beschreibung
Optional
Maximalwert: 256 Zeichen
Mobiltelefon
Optional
Maximalwert: 128 Zeichen
E-Mail
Optional
Maximalwert: 256 Zeichen
Gültig von/bis
Hier wird angegeben, ab und bis wann (Datum) sich der
Sicherheitsbeauftragte am SafeGuard Management Center anmelden
darf.
Token-Anmeldung
Die Anmeldung kann auf folgende Art erfolgen:
Ohne Token Der Sicherheitsbeauftragte darf sich nicht mit einem
Token anmelden. Er muss sich über die Anmeldeinformationen
(Benutzername/Kennwort) anmelden.
Optional Die Anmeldung kann mit Token oder mit
Anmeldeinformationen erfolgen. Der Sicherheitsbeauftragte kann
wählen.
Zwingend erforderlich Die Verwendung eines Token zur Anmeldung
ist zwingend vorgeschrieben. Dazu muss sich der zum Zertifikat des
Sicherheitsbeauftragten gehörende private Schlüssel auf dem Token
befinden.
271
SafeGuard Enterprise
Feld/Kontrollkästchen
Beschreibung
Zertifikat
Zur Anmeldung an das SafeGuard Management Center benötigt ein
Sicherheitsbeauftragter immer ein Zertifikat. Das Zertifikat kann
entweder von SafeGuard Enterprise selbst erstellt werden oder es
wird ein bereits existierendes verwendet. Ist eine Anmeldung mit
Token zwingend notwendig, so muss das Zertifikat auf den Token
des Sicherheitsbeauftragten aufgebracht werden.
Erzeugen:
Zertifikat und Schlüsseldatei werden neu erstellt und an einem
auswählbaren Ort gespeichert. Dabei muss ein Kennwort für die
.p12-Schlüsseldatei angegeben und bestätigt werden. Die .p12-Datei
muss dem Sicherheitsbeauftragten bei der Anmeldung zur Verfügung
stehen. Das erstellte Zertifikat wird dem Sicherheitsbeauftragten
automatisch zugeteilt und unter Zertifikat angezeigt. Wenn SafeGuard
Enterprise Kennwortregeln angewendet werden, sollten die Regeln
im Active Directory deaktiviert werden.
Hinweis: Maximale Länge des Speicherpfads und des Dateinamens:
260 Zeichen. Zum Anlegen eines Sicherheitsbeauftragten ist der
öffentliche Teil des Zertifikats zwar ausreichend. Bei der Anmeldung
an das SafeGuard Management Center ist jedoch auch der private
Teil des Zertifikats (die Schlüsseldatei) erforderlich. Liegt diese nicht
in der Datenbank vor, muss sie dem Sicherheitsbeauftragten zur
Verfügung stehen und kann bei der Anmeldung dann ggf. im
Zertifikatsspeicher abgelegt werden.
Zertifikat
Importieren:
Ein existierendes Zertifikat wird importiert und anschließend dem
Sicherheitsbeauftragten zugewiesen. Wird aus einer .p12
Schlüsseldatei importiert, muss das Kennwort des Zertifikats bekannt
sein.
Wird ein PKCS#12 Zertifikatscontainer ausgewählt, werden alle
Zertifikate in die Liste der zuweisbaren Zertifikate geladen. Die
Zuweisung des Zertifikats erfolgt nach dem Import, indem das Zertifikat
im Dropdown-Listenfeld ausgewählt wird.
Rollen des
Sicherheitsbeauftragten
Rollen
Dem Sicherheitsbeauftragten können vordefinierte oder
benutzerdefinierte Rollen zugewiesen werden. Die mit jeder Rolle
verbundenen Rechte werden unter Zugelassene Aktion im
Aktionsbereich angezeigt, wenn Sie auf die entsprechende Rolle
klicken oder auf den Sicherheitsbeauftragten rechts-klicken und
Eigenschaften, Aktionen wählen. Einem Benutzer können mehrere
Rollen zugewiesen werden. Vordefinierte Rollen werden fett
dargestellt.
4. Klicken Sie zur Bestätigung Ihrer Einstellungen auf OK.
Der neu angelegte Sicherheitsbeauftragte wird im Navigationsfenster unter dem jeweiligen
Sicherheitsbeauftragten Knoten angezeigt. Die jeweiligen Eigenschaften lassen sich durch
Auswahl des gewünschten Sicherheitsbeauftragten im Navigationsfenster anzeigen. Der
Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard Management
272
Administratorhilfe
Center anmelden. Im nächsten Schritt müssen Sie nun dem Sicherheitsbeauftragten
Verzeichnisobjekte/Domänen zuweisen, damit dieser die erforderlichen Aufgaben ausführen
kann.
7.4.10 Zuweisen von Verzeichnisobjekten zu einem Sicherheitsbeauftragten
Für die Ausführung ihrer Aufgaben benötigen Sicherheitsbeauftragte Zugriffsrechte für
Verzeichnisobjekte. Zugriffsrechte können für Domänen, Organisationseinheiten (OUs) und
Benutzergruppen sowie für den ".Automatisch registriert" Knoten unter dem Stammverzeichnis
erteilt werden.
Unter Benutzer & Computer können Sie die Zugriffsrechte eines anderen
Sicherheitsbeauftragten ändern, wenn Sie vollen Zugriff auf den relevanten Container haben
und für den Sicherheitsbeauftragten verantwortlich sind. Ihre eigenen Zugriffsrechte können
Sie nicht ändern. Wenn Sie einen Sicherheitsbeauftragten einem Verzeichnisobjekt zum
ersten Mal zuweisen, erbt der Sicherheitsbeauftragte Ihre Zugriffsrechte für diesen Container.
Hinweis: Sie können anderen Sicherheitsbeauftragten nicht höhere Zugriffsrechte als Ihre
Zugriffsrechte erteilen.
Voraussetzung: Wenn Sie einem Sicherheitsbeauftragten das Recht, auf Verzeichnisobjekte
zuzugreifen und diese zu verwalten, gewähren/verweigern möchten, benötigen Sie die
"Benutzer und Computer"-Rechte "Zugriffsrechte von Sicherheitsbeauftragten anzeigen" und
"Zugriffsrechte für Verzeichnis erteilen/verweigern". Darüber hinaus benötigen Sie das
Zugriffsrecht Voller Zugriff für das relevante Verzeichnisobjekt.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Wählen Sie im Navigationsfenster auf der linken Seite die gewünschten Verzeichnisobjekte
aus.
Hinweis: Die Navigationsbaumstruktur zeigt nur die Verzeichnisobjekte, für die Sie
Zugriffsrechte haben. Wenn Sie das Zugriffsrecht Voller Zugriff haben, wird das jeweilige
Objekt schwarz dargestellt. Objekte mit Zugriffsrecht Schreibgeschützt, werden blau
dargestellt. Auf einen ausgegrauten Knoten können Sie nicht zugreifen. Dieser wird jedoch
angezeigt, wenn es untergeordnete Knoten gibt, auf die Sie Zugriff haben.
3. Klicken Sie im Aktionsbereich auf der rechten Seite auf die Registerkarte Zugriff.
4. Um die Rechte für die ausgewählten Objekte zuzuweisen, ziehen Sie den gewünschten
Sicherheitsbeauftragten von der äußersten rechten Seite per Drag&Drop in die Zugriff
Tabelle.
5. Wählen Sie in der Spalte Zugriffsrechte die Rechte, die Sie dem Sicherheitsbeauftragten
für die ausgewählten Objekte erteilen möchten.
■
■
■
Voller Zugriff
Schreibgeschützt
Verweigert
Um die Zuweisung der Rechte für die ausgewählten Objekte rückgängig zu machen, ziehen
Sie den Sicherheitsbeauftragten wieder zurück in die Tabelle Sicherheitsbeauftragte.
6. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der
Datenbank zu speichern.
Die ausgewählten Objekte stehen dem relevanten Sicherheitsbeauftragten zur Verfügung.
Hinweis: Wenn zwei Sicherheitsbeauftragte gleichzeitig mit der gleichen SafeGuard Enterprise
Datenbank arbeiten und einer der beiden ändert Zugriffsrechte, wird eine Meldung angezeigt,
die den anderen Sicherheitsbeauftragten darüber informiert. In diesem Fall gehen alle nicht
gespeicherten Änderungen verloren. Verliert ein Sicherheitsbeauftragter alle Zugriffsrechte
273
SafeGuard Enterprise
für einen Knoten, so wird der Zugriff nicht mehr gewährt und es wird eine entsprechende
Meldung angezeigt. Das Navigationsfenster wird entsprechend aktualisiert.
7.4.10.1 Einsehen der Sicherheitsbeauftragtenrechte für Verzeichnisobjekte
Die Sicherheitsbeauftragten zugewiesenen Rechte für Verzeichnisobjekte werden in der
Registerkarte Zugriff der relevanten Objekte unter Benutzer & Computer angezeigt.
Hinweis: Die Registerkarte Zugriff zeigt nur die Zugriffsrechte für Container, für die Sie
Zugriffsrechte haben. Es werden auch nur die Sicherheitsbeauftragten angezeigt, für die Sie
verantwortlich sind.
Die Registerkarte Zugriff enthält folgende Informationen:
Die Spalte Sicherheitsbeauftragte zeigt die Typen und Namen der den
Verzeichnisobjekten zugeordneten Sicherheitsbeauftragten.
Die Spalte Zugewiesen von zeigt den Sicherheitsbeauftragten, der die Zugriffsrechte
zugewiesen hat.
Das Zuweisungsdatum
Die Spalte Zugriffsrechte zeigt die erteilten Rechte: Voller Zugriff, Verweigert oder
Schreibgeschützt.
Die Spalte Ursprung zeigt den vollständigen Namen des Knotens, an dem das Zugriffsrecht
dem entsprechenden Sicherheitsbeauftragten zugewiesen wurde. Zum Beispiel: Wurde
das Recht einem übergeordneten Knoten des ausgewählten Verzeichnisobjekts
zugewiesen, so wird hier der übergeordnete Knoten angezeigt. In diesem Fall hat der
Sicherheitsbeauftragte das Zugriffsrecht für das ausgewählte Verzeichnisobjekt durch
Zuweisung an den übergeordneten Knoten geerbt.
Die Spalte Status zeigt, wie der Sicherheitsbeauftragte das Zugriffsrechte erhalten hat:
Geerbt (blauer Text): Das Zugriffsrecht wurde von einem übergeordneten Knoten
geerbt.
Überschrieben (brauner Text): Das Zugriffsrecht wurde von einem übergeordneten
Knoten geerbt, jedoch am ausgewählten Knoten durch direkte Zuweisung überschrieben.
Direkt zugewiesen (schwarzer Text): Das Zugriffsrecht wurde direkt am ausgewählten
Knoten zugewiesen.
Für geerbte Rechte können Sie in der Spalte Status einen Tooltip anzeigen, der den
Ursprung des relevanten Rechts zeigt.
7.4.11 Höherstufen von Sicherheitsbeauftragten
Sie haben folgende Möglichkeiten:
■
Sie können einen Benutzer im Bereich Benutzer & Computer zum Sicherheitsbeauftragten
ernennen.
■
Sie können einen Sicherheitsbeauftragten im Bereich Sicherheitsbeauftragte zu einem
Haupt-Sicherheitsbeauftragten ernennen.
7.4.11.1 Voraussetzungen für die Ernennung eines Benutzers zum Sicherheitsbeauftragten
Ein Sicherheitsbeauftragter mit den erforderlichen Rechten kann Benutzer zu
Sicherheitsbeauftragten machen und ihnen Rollen zuweisen.
274
Administratorhilfe
Auf diese Weise ernannte Sicherheitsbeauftragte können sich mit Ihren
Windows-Anmeldeinformationen oder ihrer Token/Smartcard-PIN an das SafeGuard
Management Center anmelden. Sie können genauso wie andere Sicherheitsbeauftragte
agieren und verwaltet werden.
Folgende Voraussetzungen müssen erfüllt sein:
■
Benutzer, die zu Sicherheitsbeauftragten ernannt werden sollen, müssen aus einem Active
Directory importiert und im SafeGuard Management Center unter Benutzer & Computer
sichtbar sein.
■
Ein zum Sicherheitsbeauftragter ernannter Benutzer benötigt für die Anmeldung an das
SafeGuard Management Center als Sicherheitsbeauftragter ein Benutzerzertifikat. Sie
können dieses Zertifikat erstellen, wenn Sie den Benutzer zum Sicherheitsbeauftragten
ernennen (siehe Ernennen eines Benutzers zum Sicherheitsbeauftragten (Seite 275)). Für
die Anmeldung mit den Windows-Anmeldeinformationen muss die .p12-Datei mit dem
privaten Schlüssel in der SafeGuard Enterprise Datenbank vorhanden sein. Für die
Anmeldung mit Token bzw. Smartcard-PIN muss sich die .p12-Datei mit dem privaten
Schlüssel auf dem Token bzw. der Smartcard befinden.
Hinweis: Wenn Sie ein Zertifikat erstellen, wenn Sie einen Benutzer höher stufen, dann
ist das Kennwort des Zertifikats für die Anmeldung am SafeGuard Management Center
notwendig. Es ist das Kennwort des Zertifikats einzugeben, obwohl nach dem Windows
Kennwort gefragt wird. Das ist auch der Fall bei der Anmeldung zum SafeGuard Enterprise
Web Help Desk.
7.4.11.2 Ernennen eines Benutzers zum Sicherheitsbeauftragten
Voraussetzung: Um einen Benutzer zum Sicherheitsbeauftragten zu ernennen, müssen Sie
ein Haupt-Sicherheitsbeauftragter oder ein Sicherheitsbeauftragter mit den erforderlichen
Rechten sein.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Klicken Sie mit der rechten Maustaste auf den Benutzer, den Sie zum
Sicherheitsbeauftragten machen möchten. Wählen Sie Diesen Benutzer zum
Sicherheitsbeauftragten machen.
3. Der nächste Schritt richtet sich danach, ob für den ausgewählten Benutzer ein
Benutzerzertifikat verfügbar ist.
■
Wurde dem Benutzer bereits ein Benutzerzertifikat zugewiesen, so wird der
Rollenauswahl Dialog angezeigt. Fahren Sie mit Schritt 4 fort.
■
Ist kein Benutzerzertifikat verfügbar, so werden Sie in einer Meldung gefragt, ob für
diesen Benutzer ein selbst-signiertes Schlüsselpaar erzeugt werden soll. Klicken Sie
auf Ja, geben Sie im Kennwort für neues Zertifikat Dialog ein Kennwort ein und
bestätigen Sie es. Nun wird der Rollenauswahl Dialog angezeigt.
4. Wählen Sie im Rollenauswahl Dialog die erforderlichen Rollen aus und klicken Sie auf
OK.
Der Benutzer ist nun Sicherheitsbeauftragter und wird im Bereich Sicherheitsbeauftragte
mit seinem Benutzernamen angezeigt. Die jeweiligen Eigenschaften lassen sich durch Auswahl
des gewünschten Sicherheitsbeauftragten im Navigationsfenster anzeigen. Ist der private
Schlüssel des Benutzers in der Datenbank gespeichert, so ist Kein Token aktiviert. Wenn
sich der private Schlüssel auf dem Token oder der Smartcard befindet, ist Optional aktiviert.
Nach Wunsch können Sie den Sicherheitsbeauftragten per Drag&Drop auf der gewünschten
Position in der Baumstruktur des Bereichs Sicherheitsbeauftragte platzieren.
275
SafeGuard Enterprise
Der Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard
Management Center anmelden.
7.4.11.3 Ernennen eines Sicherheitsbeauftragten zum Haupt-Sicherheitsbeauftragten
Voraussetzung: Um einen Sicherheitsbeauftragten zum Haupt-Sicherheitsbeauftragten zu
ernennen, benötigen Sie das Recht, Sicherheitsbeauftragte einzusehen und zu modifizieren.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den
Sicherheitsbeauftragten, den Sie zum Haupt-Sicherheitsbeauftragten ernennen möchten.
Wählen Sie Zum Haupt-Sicherheitsbeauftragten ernennen.
3. Weist der ausgewählte Sicherheitsbeauftragte untergeordnete Sicherheitsbeauftragte auf,
so werden Sie dazu aufgefordert, einen neuen übergeordneten Knoten für diese
untergeordneten Sicherheitsbeauftragten auszuwählen.
Der Sicherheitsbeauftragte wird zum Haupt-Sicherheitsbeauftragten ernannt und unter dem
Knoten Haupt-Sicherheitsbeauftragte angezeigt. Als Haupt-Sicherheitsbeauftragter erhält
der ernannte Sicherheitsbeauftragte alle Rechte auf alle Objekte und verliert somit alle
zugewiesenen Rollen sowie einzeln gewährte Domänen-Zugriffsberechtigungen im Bereich
Benutzer & Computer.
7.4.12 Zurückstufen von ernannten Haupt-Sicherheitsbeauftragten
Voraussetzung: Nur Haupt-Sicherheitsbeauftragte können die Ernennung von
Sicherheitsbeauftragten zu Haupt-Sicherheitsbeauftragten rückgängig machen.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den
Haupt-Sicherheitsbeauftragten, dessen Ernennung Sie rückgängig machen möchten.
Wählen Sie Zum Sicherheitsbeauftragten zurückstufen.
3. Sie werden dazu aufgefordert, einen übergeordneten Knoten für den
Sicherheitsbeauftragten zu wählen und mindestens eine Rolle zuzuweisen.
Die Ernennung des Sicherheitsbeauftragten zum Haupt-Sicherheitsbeauftragten wird
rückgängig gemacht und der Sicherheitsbeauftragte wird unter dem ausgewählten
Sicherheitsbeauftragten Knoten angezeigt. Der Sicherheitsbeauftragte verliert alle Rechte
für alle Objekte und erhält nur die Rechte, die den zugewiesenen Rollen zugeordnet sind. Ein
Sicherheitsbeauftragter, dessen Ernennung zum Haupt-Sicherheitsbeauftragten rückgängig
gemacht wurde, hat zunächst keine Domänen-Zugriffsrechte. Domänen-Zugriffsrechte müssen
einzeln im Bereich Benutzer & Computer in der Registerkarte Zugriff gewährt werden.
7.4.13 Ändern des Zertifikats eines Sicherheitsbeauftragten
Voraussetzung: Um das Zertifikat eines Sicherheitsbeauftragten oder
Haupt-Sicherheitsbeauftragten zu ändern, benötigen Sie das Recht, Sicherheitsbeauftragte
einzusehen und zu modifizieren.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster auf den Sicherheitsbeauftragten, dessen Zertifikat Sie
ändern möchten. Das aktuelle Zertifikat wird im Aktionsbereich auf der rechten Seite im
Feld Zertifikate angezeigt.
3. Klicken Sie im Aktionsbereich auf die Dropdownliste Zertifikate und wählen Sie ein anderes
Zertifikat aus.
276
Administratorhilfe
4. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der
Datenbank zu speichern.
7.4.14 Anordnen von Sicherheitsbeauftragten in der Baumstruktur
Sicherheitsbeauftragte lassen sich im Sicherheitsbeauftragte Navigationsbereich des
SafeGuard Management Center gemäß der Organisationsstruktur Ihres Unternehmens
hierarchisch anordnen.
Die Baumstruktur lässt sich für alle Sicherheitsbeauftragten, außer für
Haupt-Sicherheitsbeauftragte, ordnen. Haupt-Sicherheitsbeauftragte werden in einer
nicht-hierarchischen Liste unter dem Haupt-Sicherheitsbeauftragten-Knoten angezeigt. Der
Sicherheitsbeauftragten-Knoten enthält eine Baumstruktur, in der jeder Knoten einen
Sicherheitsbeauftragten repräsentiert. Diese hierarchische Anordnung gibt jedoch keine
Hierarchie in Bezug auf Rechte und Rollen wieder.
Voraussetzung: Um einen Sicherheitsbeauftragten in der Baumstruktur zu verschieben,
benötigen Sie das Recht, Sicherheitsbeauftragte einzusehen und zu modifizieren.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Ziehen Sie den gewünschten Sicherheitsbeauftragten im Navigationsfenster per Drag&Drop
zum gewünschten Knoten.
Alle dem Sicherheitsbeauftragten untergeordneten Sicherheitsbeauftragte werden ebenfalls
verschoben.
7.4.15 Schneller Wechsel zwischen Sicherheitsbeauftragten
Sie können das SafeGuard Management Center schnell und einfach neu starten, wenn Sie
sich mit einem anderen Sicherheitsbeauftragten anmelden möchten.
1. Wählen Sie im SafeGuard Management Center Datei > Sicherheitsbeauftragten
wechseln. Das SafeGuard Management Center wird neu gestartet und es wird ein
Anmeldedialog angezeigt.
2. Wählen Sie den Sicherheitsbeauftragten, mit dem Sie sich an das SafeGuard Management
Center anmelden möchten, und geben Sie das zugehörige Kennwort ein. Wenn Sie im
Multi Tenancy Modus arbeiten, werden Sie wieder an dieselbe Datenbankkonfiguration
angemeldet.
Das SafeGuard Management Center wird neu gestartet und zeigt die dem angemeldeten
Sicherheitsbeauftragten zugeordnete Ansicht.
7.4.16 Löschen eines Sicherheitsbeauftragten
Voraussetzung: Um einen Sicherheitsbeauftragten zu löschen, benötigen Sie das Recht,
Sicherheitsbeauftragte einzusehen und zu löschen.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den
Sicherheitsbeauftragten oder den Haupt-Sicherheitsbeauftragten, den Sie löschen möchten.
Wählen Sie Löschen. Beachten Sie, dass Sie den Sicherheitsbeauftragten, mit dem Sie
angemeldet sind, nicht löschen können.
3. Weist der ausgewählte Sicherheitsbeauftragte untergeordnete Sicherheitsbeauftragte auf,
so werden Sie dazu aufgefordert, einen neuen übergeordneten Knoten für diese
untergeordneten Sicherheitsbeauftragten auszuwählen.
277
SafeGuard Enterprise
Der Sicherheitsbeauftragte wird aus der Datenbank gelöscht.
Hinweis: Mindestens ein Haupt-Sicherheitsbeauftragter, der explizit als Beauftragter angelegt
wurde und nicht nur zum Sicherheitsbeauftragten höhergestuft wurde, muss immer in der
Datenbank verbleiben. Wird ein Benutzer, der zum Sicherheitsbeauftragten ernannt wurde,
aus der Datenbank gelöscht, so wird auch sein Benutzerkonto aus der Datenbank gelöscht.
Hinweis: Wenn der zu löschende Sicherheitsbeauftragte eine Rolle hat, die zusätzliche
Autorisierung umfasst und dem Sicherheitsbeauftragten als einziger diese Rolle zugewiesen
ist, wird der Sicherheitsbeauftragte trotzdem gelöscht. Es wird angenommen, dass der
Haupt-Sicherheitsbeauftragte die zusätzliche Autorisierung übernimmt.
7.5 Aufbau der Organisationsstruktur
Für den Aufbau einer Organisationsstruktur im SafeGuard Management Center gibt es zwei
Möglichkeiten:
Sie können eine bestehende Organisationsstruktur über ein Active Directory in die
SafeGuard Enterprise Datenbank importieren.
Sie können Ihre Organisationsstruktur manuell anlegen, indem Sie Arbeitsgruppen und
Domänen sowie eine Struktur für die Verwaltung von Richtlinien erstellen.
7.5.1 Import aus Active Directory
Sie können eine bestehende Organisationsstruktur über ein Active Directory in die SafeGuard
Enterprise Datenbank importieren.
Wir empfehlen, ein spezielles Windows-Servicekonto anzulegen, das für alle Import- und
Synchronisierungsaufgaben verwendet wird. So stellen Sie sicher, dass alle Import-Vorgänge
korrekt durchgeführt werden und verhindern, dass Objekte in der SafeGuard Enterprise
Datenbank unbeabsichtigt gelöscht werden. Für Informationen zum Zuweisen der notwendigen
Rechte, siehe http://www.sophos.com/de-de/support/knowledgebase/107979.aspx.
7.5.1.1 Importieren der Organisationsstruktur
Hinweis: Mit dem SafeGuard Management Center Taskplaner können Sie einen periodischen
Task für die automatische Synchronisierung zwischen dem Active Directory und SafeGuard
Enterprise erstellen. In Ihrer Produktlieferung steht hierzu eine vordefinierte Skript-Vorlage
zur Verfügung. Weitere Informationen finden Sie unter Planung von Tasks (Seite 318) und
Vordefinierte Skripte für regelmäßig wiederkehrende Tasks (Seite 324).
1. Wählen Sie im SafeGuard Management Center Extras > Optionen.
2. Wählen Sie die Registerkarte Verzeichnis und klicken Sie auf Hinzufügen.
3. Gehen Sie in LDAP Authentisierung folgendermaßen vor:
a) Bei Servername oder IP geben Sie den NetBIOS-Name des Domänencontrollers oder
dessen IP ein.
b) Bei Anmeldeinformationen des Benutzers geben Sie Ihre
Windows-Anmeldeinformationen zur Umgebung ein.
c) Klicken Sie auf OK.
Hinweis: Bei Windows Einzelplatzcomputern muss auf dem Computer ein Verzeichnis
freigegeben sein, damit eine Verbindung via LDAP möglich wird.
4. Klicken Sie auf Benutzer & Computer.
278
Administratorhilfe
5. Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm [Filter ist
aktiv].
6. Klicken Sie im Aktionsbereich auf der rechten Seite auf die Registerkarte Synchronisieren.
7. Wählen Sie das gewünschte Verzeichnis aus der Verzeichnis DSN Liste und klicken Sie
auf das Lupensymbol (oben rechts).
Es erscheint eine Abbildung der Active Directory-Struktur der Organisationseinheiten (OU)
in Ihrem Unternehmen.
8. Markieren Sie die Organisationseinheiten (OU), die synchronisiert werden sollen. Es muss
nicht der gesamte Inhalt des Active Directory importiert werden.
9. Um auch Mitgliedschaften zu synchronisieren, wählen Sie das Kontrollkästchen
Synchronisiere Mitgliedschaften. Um auch den Benutzer Aktiv-Status zu synchronisieren,
wählen Sie das Kontrollkästchen Synchronisiere Benutzer Aktiv-Status.
10. Klicken Sie unten im Aktionsbereich auf Synchronisieren.
Wenn Sie Benutzer und ihre Gruppenzugehörigkeit synchronisieren, wird die Zugehörigkeit
zu einer “Primärgruppe“ nicht synchronisiert, da sie für die Gruppe nicht sichtbar ist.
Die Domänen werden synchronisiert. Details zur Synchronisierung werden angezeigt. Klicken
Sie auf die Meldung, die in der Statusleiste unterhalb der Schaltflächen auf der linken Seite
angezeigt wird, um ein Synchronisierungsprotokoll einzusehen. Klicken Sie auf das Protokoll,
um es in die Zwischenablage zu kopieren und es in eine E-Mail oder eine Datei einzufügen.
Hinweis: Wenn Elemente von einer untergeordneten Baumstruktur in eine andere im Active
Directory verschoben wurden, müssen beide Baumstrukturen mit der SQL-Datenbank
synchronisiert werden. Wird nur eine untergeordnete Datenbank synchronisiert, so werden
die Elemente nicht verschoben, sondern gelöscht.
Hinweis: Es wird empfohlen, Importvorgänge mit mehr als 400.000 Objekten aus dem AD
in mehrere Vorgänge aufzuteilen. Unter Umständen ist dies nicht möglich, wenn sich mehr
als 400.000 Objekte in einer Organisationseinheit befinden.
7.5.1.2 Eine neue Domäne aus einem Active Directory importieren
1. Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm [Filter ist
aktiv].
2. Wählen Sie Datei > Neu > Neue Domäne aus AD importieren.
3. Klicken Sie im Aktionsbereich auf der rechten Seite auf Synchronisieren.
4. Wählen Sie das gewünschte Verzeichnis aus der Verzeichnis DSN Liste und klicken Sie
auf das Lupensymbol (oben rechts).
Es erscheint eine Abbildung der Active Directory-Struktur der Organisationseinheiten (OU)
in Ihrem Unternehmen.
5. Wählen Sie die Domäne, die synchronisiert werden soll, und klicken Sie auf
Synchronisieren.
Hinweis: Wenn Elemente von einer untergeordneten Baumstruktur in eine andere im Active
Directory verschoben wurden, müssen beide Baumstrukturen mit der SQL-Datenbank
synchronisiert werden. Wird nur eine untergeordnete Datenbank synchronisiert, so werden
die Elemente nicht verschoben, sondern gelöscht.
Hinweis: Durch die AD-Synchronisierung wird der (NetBIOS)-Name der Domäne vor Windows
2000 nicht synchronisiert, wenn der Domänen-Controller mit einer IP-Adresse konfiguriert ist.
Konfigurieren Sie den Domänen-Controller so, dass stattdessen der Servername (NetBIOS
oder DNS) verwendet wird. Der Client (auf dem die AD-Synchronisierung läuft) muss entweder
279
SafeGuard Enterprise
Teil der Domäne sein oder es muss sichergestellt sein, dass der DNS-Name zum
Ziel-Domänen-Controller aufgelöst werden kann.
7.5.1.3 Zugriffsrechte für Sicherheitsbeauftragte und Import aus Active Directory
Für die erforderlichen Zugriffsrechte für den Import der Organisationsstruktur aus Active
Directory gilt:
■
Wenn Sie eine Active Directory Verbindung zu einer bereits vorhandenen Domäne
hinzufügen, gilt Folgendes:
Wenn Sie das Zugriffsrecht Voller Zugriff für die Domäne (DNS) haben, werden die
Anmeldeinformationen für die Directory-Verbindung aktualisiert.
Wenn Sie das Zugriffsrecht Schreibgeschützt oder weniger Zugriffsrechte für die
Domäne (DNS) haben, werden die Anmeldeinformationen nicht aktualisiert. Sie können
jedoch vorhandene Anmeldeinformationen für die Synchronisierung benutzen.
■
Für Active Directory Import und Synchronisierung werden die Zugriffsrechte für einen
Container oder eine Domäne auf die Domänenbaumstruktur, die sie importieren können,
übertragen. Wenn Sie für eine untergeordnete Baumstruktur nicht das Zugriffsrecht Voller
Zugriff haben, kann diese nicht synchronisiert werden. Wenn eine untergeordnete
Baumstruktur nicht geändert werden kann, wird sie nicht in der
Synchronisierungs-Baumstruktur angezeigt.
■
Unabhängig von Ihren Sicherheitsbeauftragten-Zugriffsrechten für Verzeichnisobjekte
können Sie eine neue Domäne aus dem Active Directory importieren, wenn diese noch
nicht in der SafeGuard Enterprise Datenbank existiert. Sie und Ihre übergeordneten
Sicherheitsbeauftragten erhalten automatisch das Zugriffsrecht Voller Zugriff für die neue
Domäne.
■
Wenn Sie einen untergeordneten Container (Sub-Container) für die Synchronisierung
auswählen, muss die Synchronisierung bis zum Stammverzeichnis durchgeführt werden.
In der Synchronisierungs-Baumstruktur werden alle relevanten Container automatisch
ausgewählt. Dies ist auch dann der Fall, wenn sich über dem Sub-Container Container
befinden, die gemäß ihren Zugriffsrechten Schreibgeschützt sind, oder für die der Zugriff
Verweigert wird. Wenn Sie die Auswahl eines Sub-Containers aufheben, müssen Sie dies
entsprechend Ihren Zugriffsrechten auch bei den Containern darüber bis zum
Stammverzeichnis tun.
Wenn eine Gruppe, für die nur die Zugriffsrechte Schreibgeschützt oder Verweigert
verfügbar sind, in den Synchronisierungsvorgang einbezogen wird, passiert Folgendes:
Die Gruppenmitgliedschaften werden nicht aktualisiert.
Wenn die Gruppe im Active Directory gelöscht wurde, wird sie nicht aus der SafeGuard
Enterprise Datenbank gelöscht.
Wenn die Gruppe jedoch im Active Directory verschoben wurde, wird sie auch innerhalb
der SafeGuard Enterprise Struktur verschoben. Dies ist auch dann der Fall, wenn sie
in einen Container verschoben werden soll, für den Sie nicht das Voller Zugriff
Zugriffsrecht haben.
Wenn ein Container mit den Zugriffsrechten Schreibgeschützt oder Verweigert zur
Synchronisierung hinzugefügt wird, da er sich auf dem Weg zum Stammverzeichnis
befindet, und dieser Container eine Gruppe mit dem Zugriff Voller Zugriff enthält, wird
diese Gruppe synchronisiert. Gruppen mit den Zugriffsrechten Schreibgeschützt oder
Verweigert werden nicht synchronisiert.
280
Administratorhilfe
7.5.2 Erstellen von Arbeitsgruppen und Domänen
Sicherheitsbeauftragte mit den erforderlichen Berechtigungen können manuell Arbeitsgruppen
oder Domänen mit einer Struktur für die Verwaltung von Richtlinien anlegen. Auch die
Zuweisung von Richtlinien und/oder Verschlüsselungsregeln an lokale Benutzer ist dadurch
möglich.
Sie müssen Domänen nur dann manuell anlegen, wenn Sie keine Domänen aus dem Active
Directory (AD) importieren wollen oder können, z. B. weil kein AD vorhanden ist.
7.5.2.1 Registrierung als neuer Benutzer
Informationen zu Benutzern, die sich zum ersten Mal bei SafeGuard Enterprise anmelden,
finden Sie unter SafeGuard Power-on Authentication (POA) (Seite 181).
Wenn sich ein neuer Benutzer an SafeGuard Enterprise anmeldet, wird dieser sobald der
Endpoint eine Verbindung mit dem SafeGuard Enterprise Server hergestellt hat, registriert
und in im Bereich Benutzer und Computer des SafeGuard Management Center unter der
entsprechenden Domäne oder Arbeitsgruppe angezeigt.
Das für diese Benutzer/Computer vorgesehene Verzeichnis .Automatisch registriert wird
automatisch unterhalb des Stammverzeichnisses sowie unter jeder Domäne/Arbeitsgruppe
erzeugt. Es kann nicht umbenannt oder verschoben werden. Objekte in diesem Verzeichnis
können auch nicht manuell verschoben werden. Wenn die Organisationseinheit (Organizational
Unit, OU) beim nächsten Kontakt mit der SafeGuard Enterprise Datenbank synchronisiert
wird, wird das Objekt in die entsprechenden OU verschoben. Andernfalls verbleibt Sie im
Verzeichnis .Automatisch registriert der jeweiligen Domäne/Arbeitsgruppe.
Als Sicherheitsbeauftragter können Sie dann die automatisch registrierten Objekte wie üblich
verwalten.
Hinweis: Lokale Benutzer können sich nicht mit einem leeren Kennwort an SafeGuard
Enterprise anmelden.Wenn sich lokale Benutzer mit leerem Kennwort an SafeGuard Enterprise
anmelden, bleiben sie Gastbenutzer und werden nicht in der Datenbank gespeichert. Wenn
für diese Benutzer zudem noch Windows Autologon aktiviert ist, wird die Anmeldung
abgebrochen. Für die erfolgreiche Anmeldung an SafeGuard Enterprise muss in diesem Fall
ein neues Kennwort vergeben werden und das Autologon für Windows in der Registry des
Endpoint deaktiviert werden.
Hinweis: Microsoft Konten werden immer als SafeGuard Enterprise Gastbenutzer behandelt.
7.5.2.2 Beispiele für die automatische Registrierung
Im Folgenden finden Sie zwei Beispiele für das Verhalten von automatisch registrierten
Objekten.
Benutzer/Computer außerhalb eines Active Directory
In einem Unternehmen müssen nicht zwangsläufig alle Benutzer/Computer Teil eines Active
Directory (AD) sein, z. B. lokale Benutzer. Ein Unternehmen hat möglicherweise nur eine oder
wenige Arbeitsgruppen, so dass sich der Aufbau eines ADs nicht lohnt.
Dieses Unternehmen möchte SafeGuard Enterprise einsetzen, um dann seine
Benutzer-/Computerobjekte mit Richtlinien zu versehen. Deshalb wird die Organisationsstruktur
des Unternehmens im SafeGuard Management Center folgendermaßen manuell aufgebaut:
281
SafeGuard Enterprise
Die Objekte bleiben im Verzeichnis .Automatisch registriert. Sie können mit dem SafeGuard
Management Center durch Anwendung von Richtlinien auf das Verzeichnis ".Automatisch
registriert" verwaltet werden.
SafeGuard Enterprise Datenbank und Active Directory nicht synchronisiert
Ein Benutzer ist bereits Teil des Active Directory (AD) des Unternehmens. Die SafeGuard
Enterprise Datenbank und das AD sind jedoch nicht synchron. Der Benutzer (Benutzer 1)
meldet sich an SafeGuard Enterprise an und wird automatisch im Bereich Benutzer und
Computer im SafeGuard Management Center unter der Domäne angezeigt, die durch die
Anmeldung vorgegeben ist (Domäne 1).
Der Benutzer ist nun Teil des ".Auto regstriert"-Verzeichnisses. Das Objekt kann mit dem
SafeGuard Management Center durch Anwendung von Richtlinien auf das ".Automatisch
registriert"-Verzeichnis verwaltet werden.
Mit der nächsten Synchronisierung zwischen dem AD und der SafeGuard Enterprise Datenbank
wird Benutzer 1 automatisch in seine Organisationseinheit (Benutzer) verschoben..
282
Administratorhilfe
Damit für Benutzer 1 jetzt Richtlinien aktiv werden können, müssen sie ab jetzt der
Organisationseinheit Benutzer zugewiesen werden.
7.5.2.3 Schlüssel und Zertifikate für autoregistrierte Objekte
Für jedes auto-registrierte Objekt erzeugt der Server nach Bedarf ein Zertifikat.
Ein lokaler Benutzer erhält zwei Schlüssel:
■
den Schlüssel des Containers .Automatisch registriert
■
den privaten Schlüssel, der vom Server bei Bedarf erzeugt wird.
Lokale Benutzer erhalten keine weiteren Schlüssel der ihnen übergeordneten Container, auch
keinen Root-Schlüssel.
Arbeitsgruppen erhalten gar keine Schlüssel.
7.5.2.4 Richtlinien für autoregistrierte Objekte
Für autoregistrierte Objekte können ohne Einschränkung Richtlinien erstellt werden.
Lokale Benutzer werden zur Gruppe „.authentisierte Benutzer“ hinzugefügt. Computer werden
zur Gruppe „.authentisierte Computer“ hinzugefügt. Dementsprechend gelten für sie die
Richtlinien, die für diese Gruppe aktiviert wurden.
7.5.2.5 Erzeugen von Arbeitsgruppen
Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie unter dem
Stammverzeichnis einen Container erzeugen, der eine Windows Arbeitsgruppe repräsentiert.
Arbeitsgruppen erhalten keine Schlüssel. Sie können nicht umbenannt werden.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Rechts-klicken Sie im linken Navigationsfenster auf Stamm [Filter ist aktiv] und wählen
Sie im Kontextmenü Neu > Neue Arbeitsgruppe erzeugen (autom. Registrierung).
283
SafeGuard Enterprise
3. Gehen Sie in Allgemeine Informationen wie folgt vor:
a) Geben Sie einen vollständigen Namen für die Arbeitsgruppe ein.
b) Sie können optional eine Beschreibung hinzufügen.
c) Im Feld Verbindungsstatus wird der Typ des Objekts angezeigt, in diesem Fall
Arbeitsgruppe.
d) Aktivieren Sie Richtlinienvererbung stoppen, wenn gewünscht.
e) Klicken Sie auf OK.
Die Arbeitsgruppe wird erzeugt. Unterhalb des Arbeitsgruppen-Containers wird automatisch
das Standardverzeichnis .Automatisch registriert angelegt. Es kann weder umbenannt noch
gelöscht werden.
7.5.2.6 Löschen von Arbeitsgruppen
Um eine Arbeitsgruppe zu löschen, benötigen Sie das Zugriffsrecht Voller Zugriff für die
relevante Arbeitsgruppe. Falls die Arbeitsgruppe Mitglieder hatte, werden diese ebenfalls
gelöscht. (Bei der nächsten Anmeldung werden sie wieder autoregistriert).
Um eine Arbeitsgruppe zu löschen, benötigen Sie das Zugriffsrecht Voller Zugriff für alle
beteiligten Objekte.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Rechts-klicken Sie im rechten Navigationsbereich auf der Arbeitsgruppe, die gelöscht
werden soll, und wählen Sie Löschen.
3. Klicken Sie zur Bestätigung auf OK.
Die Arbeitsgruppe wird gelöscht. Eventuelle Mitglieder werden ebenfalls gelöscht.
Hinweis: Wenn Sie das Zugriffsrecht Voller Zugriff nicht für alle Mitglieder der Arbeitsgruppe
haben, schlägt das Löschen der Arbeitsgruppe fehl und es wird eine Fehlermeldung angezeigt.
7.5.2.7 Erstellen einer neuen Domäne
Als Sicherheitsbeauftragter mit den nötigen Berechtigungen können Sie unter dem
Stammverzeichnis eine neue Domäne anlegen. Sie sollten nur neue Domänen anlegen, wenn
Sie keine Domänen aus dem Active Directory (AD) importieren wollen oder können, z. B. weil
kein AD vorhanden ist.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Rechts-klicken Sie im linken Navigationsfenster auf Stamm [Filter ist aktiv] und wählen
Sie im Kontextmenü Neu > Neue Domäne erzeugen (autom. Registrierung).
3. In Allgemeine Informationen machen Sie folgende Angaben zum Domänen-Controller.
284
Administratorhilfe
Alle zwei Namenseinträge müssen korrekt sein. Ansonsten wird die Domäne nicht
synchronisiert.
a) Vollst. Name: z. B. rechnername.domäne.com oder die IP-Adresse des
Domänen-Controllers
b) Distinguished Name (schreibgeschützt): DNS-Name, z. B.
DC=rechnername3,DC=domäne,DC=Land
c) Eine Domänenbeschreibung (optional)
d) Netbios Name: Name des Domänen-Controllers
e) Unter Verbindungsstatus wird der Typ des Objekts angezeigt, in diesem Fall Domäne.
f) Aktivieren Sie Richtlinienvererbung stoppen, wenn gewünscht.
g) Klicken Sie auf OK.
Die neue Domäne wird angelegt. Ein Benutzer und/oder ein Computer wird bei der
Autoregistrierung automatisch dieser Domäne zugeordnet. Unterhalb des Domänen-Containers
wird das Standardverzeichnis .Automatisch registriert angelegt. Es kann weder umbenannt
noch gelöscht werden.
7.5.2.8 Umbenennen einer Domäne
Als Sicherheitsbeauftragter mit den nötigen Berechtigungen können Sie eine Domäne
umbenennen und weitere Eigenschaften für sie festlegen. Sie benötigen das Zugriffsrecht
Voller Zugriff für die relevante Domäne.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Rechts-klicken Sie im linken Navigationsfenster auf der Domäne, die umbenannt werden
soll, und wählen Sie Eigenschaften.
3. Ändern Sie in Allgemeine Informationen unter Vollst. Name den Namen der Domäne
und die Beschreibung.
4. In Netbios Name können Sie den Namen des Domänen-Controllers ändern.
5. Außerdem können Sie in der Registerkarte Containereinstellungen den
Wake-on-LAN-Modus für den automatischen Neustart festlegen.
6. Klicken Sie zur Bestätigung Ihrer Einstellungen auf OK.
Die Änderungen sind nun gespeichert.
7.5.2.9 Löschen einer Domäne
Als Sicherheitsbeauftragter mit den nötigen Berechtigungen können Sie Domänen löschen.
Um eine Domäne zu löschen, benötigen Sie das Zugriffsrecht Voller Zugriff für die relevante
Domäne.
Hinweis: Falls die Domäne Mitglieder hatte, werden diese ebenfalls gelöscht.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Rechts-klicken Sie im linken Navigationsfenster auf der Domäne, die gelöscht werden soll,
und wählen Sie Löschen.
3. Klicken Sie auf Ja.
Die Domäne wird gelöscht. Eventuelle Mitglieder werden ebenfalls gelöscht.
Hinweis: Wenn Sie das Zugriffsrecht Voller Zugriff nicht für alle Mitglieder der Domäne
haben, schlägt das Löschen der Domäne fehl und es wird eine Fehlermeldung angezeigt.
285
SafeGuard Enterprise
7.5.2.10 Löschen von automatisch registrierten Computern
Wenn ein automatisch registrierter Computer gelöscht wird, werden alle lokalen Benutzer
dieses Computers ebenfalls gelöscht. Bei der nächsten Anmeldung dieses Computers wird
er erneut automatisch registriert.
7.5.2.11 Filter für lokale Objekte
7.5.2.11.1
Benutzer und Computer
Unter Benutzer & Computer können Sie die Ansicht im linken Navigationsfenster nach
lokalen Benutzern filtern oder einen bestimmten lokalen Benutzer suchen.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Klicken Sie links unten im Navigationsbereich auf Filter.
3. Wählen Sie bei Typ die Option Lokaler Benutzer. Wenn Sie einen bestimmten Benutzer
suchen, geben Sie noch dessen Namen ein.
4. Klicken Sie auf das Lupen-Symbol.
Die Ansicht auf Benutzer & Computer wird entsprechend den Kriterien gefiltert.
Hinweis: Microsoft Konten werden immer als SafeGuard Enterprise Gastbenutzer behandelt.
7.5.2.11.2 Protokollierte Ereignisse für Benutzer, Computer oder Arbeitsgruppen
Die erfolgreiche bzw. nicht erfolgreiche Registrierung eines Benutzers, Computers oder einer
Arbeitsgruppe wird protokolliert. Sie können eine Liste dieser Ereignisse im SafeGuard
Management Center unter Berichte in der Ereignisanzeige auflisten lassen.
7.6 Schlüssel und Zertifikate
SafeGuard Enterprise erzeugt in der Standardeinstellung beim Import der Verzeichnisstruktur
automatisch Schlüssel für:
■
Domänen
■
Container/OUs
und weist diese den entsprechenden Objekten zu. Computer- und Benutzerschlüssel werden
bei Bedarf erzeugt.
Schlüssel für Gruppen
In der Standardeinstellung erzeugt SafeGuard Enterprise nicht automatisch Schlüssel für
Gruppen. Dieses Verhalten ist standardmäßig deaktiviert. All Sicherheitsbeauftragter können
Sie dieses Verhalten in der Schlüssel Registerkarte ändern, indem Sie Extras > Optionen
wählen. Ist in der Schüssel Registerkarte die Option Gruppen ausgewählt, so generiert
SafeGuard Enterprise automatisch Gruppenschlüssel, wenn die Datenbank synchronisiert
wird. In der Registerkarte Synchronisierungwird unten angegeben, für was Schlüssel bei
der Durchführung der Synchronisierung erzeugt werden.
Schlüssel können nicht gelöscht werden! Sie sind immer in der SafeGuard Enterprise
Datenbank enthalten.
Beim ersten Starten eines Endpoints erzeugt SafeGuard Enterprise einen Computerschlüssel
für diesen Endpoint (definierter Computerschlüssel).
Hinweis: Der definierte Computerschlüssel wird nur dann erzeugt, wenn volume-basierende
Verschlüsselung auf dem Endpoint installiert ist.
286
Administratorhilfe
Bei der Anmeldung erhält jeder Benutzer alle Schlüssel aus seinem Schlüsselbund. Dieser
Schlüsselbund besteht aus:
■
aus den Schlüsseln der Gruppen, in denen der Benutzer Mitglied ist.
■
aus den Schlüsseln der den Gruppen, in denen er Mitglied ist, übergeordneten
Container/OUs.
Durch die Schlüssel in seinem Schlüsselbund ist festgelegt, auf welche Daten der Benutzer
zugreifen kann. Es ist dem Benutzer nur möglich, auf Daten zuzugreifen, für die er den
passenden Schlüssel besitzt.
Hinweis: Um zu vermeiden, dass zu viele nicht benutzte Schlüssel im Schlüsselring des
Benutzers angezeigt werden, können Sie festlegen, dass Schlüssel ausgeblendet werden
sollen. Weitere Informationen finden Sie unter Verbergen von Schlüsseln (Seite 289).
Alle vorhandenen Schlüssel werden angezeigt, wenn Sie im Navigationsbereich des SafeGuard
Management Center auf Benutzer & Computer klicken und die Registerkarte Schlüssel
wählen.
Alle überhaupt vorhandenen Schlüssel können angezeigt werden, wenn Sie im
Navigationsbereich des SafeGuard Management Centers auf Schlüssel und Zertifikate
klicken und Schlüssel wählen. Sie können Listen für Zugewiesene Schlüssel und Inaktive
Schlüssel generieren.
Hinweis: Die Liste Zugewiesene Schlüssel zeigt nur die Schlüssel, die Objekten zugewiesen
sind, für die Sie die Zugriffsrechte Schreibgeschützt oder Voller Zugriff haben. In der Ansicht
Schlüssel wird die Anzahl an allen verfügbaren Schlüsseln ungeachtet Ihrer Zugriffsrechte
angegeben. Die Liste Zugewiesene Schlüssel zeigt die Anzahl an Schlüsseln, die gemäß
Ihren Zugriffsrechten sichtbar sind.
1. Diese Ansicht wird durch Klicken auf Benutzer & Computer geöffnet.
2. Die Schlüssel eines hier markierten Objekts werden im Aktionsbereich und in den
dazugehörigen Ansichten angezeigt
3. Die Anzeige im Aktionsbereich ist abhängig von der Auswahl im Navigationsbereich. Es
werden alle dem ausgewählten Objekt zugewiesenen Schlüssel angezeigt.
4. Unter Verfügbare Schlüssel werden alle verfügbaren Schlüssel angezeigt. Dem
ausgewählten Objekt bereits zugewiesene Schlüssel sind ausgegraut. Über Filter kann
zwischen bereits einem Objekt zugewiesenen (aktiven) und noch keinem Objekt
zugewiesenen (inaktiven) Schlüsseln umgeschaltet werden.
Nach dem Import verfügt jeder Benutzer über eine Anzahl von Schlüsseln, die zur
Datenverschlüsselung verwendet werden können.
7.6.1 Schlüssel für die Datenverschlüsselung
Benutzern können bestimmte Schlüssel zur Verschlüsselung von Volumes zugewiesen werden,
indem Richtlinien vom Typ Geräteschutz angelegt werden.
In einer Richtlinie vom Typ Geräteschutz können Sie die Einstellung Schlüssel für die
Verschlüsselung für jedes Medium festlegen.
Hier können Sie festlegen, welche Schlüssel der Benutzer bei der Verschlüsselung verwenden
darf bzw. muss:
■
Beliebiger Schlüssel im Schlüsselring des Benutzers
287
SafeGuard Enterprise
Benutzer können nach der Anmeldung an Windows auswählen, welchen Schlüssel sie für
die Verschlüsselung des Laufwerks verwenden möchten. Es wird ein Dialog angezeigt, in
dem die Benutzer den gewünschten Schlüssel auswählen können.
■
Alle, außer persönliche Schlüssel im Schlüsselring
Benutzer dürfen ihren persönlichen Schlüssel nicht verwenden, um Daten zu verschlüsseln.
■
Beliebiger Gruppenschlüssel im Schlüsselring des Benutzers
Benutzer dürfen nur aus den in ihrem Schlüsselbund vorhandenen Gruppenschlüsseln
auswählen.
■
Definierter Computerschlüssel
Der definierte Computerschlüssel ist der einzigartige Schlüssel, der von SafeGuard
Enterprise nur für den jeweiligen Computer während des ersten Startvorgangs erzeugt
wird. Der Benutzer hat keine Auswahlmöglichkeit. Ein definierter Computerschlüssel wird
nur für die Boot- und Systempartition eingesetzt und für Laufwerke, auf denen sich
Dokumente und Einstellungen befinden.
■
Definierter Schlüssel aus der Liste
Diese Option erlaubt es Ihnen, einen bestimmten Schlüssel zu definieren, der vom Benutzer
zur Verschlüsselung verwendet werden muss. Wenn Sie dem Benutzer einen Schlüssel
auf diese Weise vorgeben wollen, müssen Sie unter Für Verschlüsselung definierter
Schlüssel einen Schlüssel festlegen. Diese Option wird erst angezeigt, wenn Sie
Definierter Schlüssel aus der Liste ausgewählt haben.
Wenn Sie auf die [...] Schaltfläche neben der Option Für Verschlüsselung definierter
Schlüssel klicken, wird ein Dialog angezeigt, in dem Sie einen Schlüssel angeben können.
Stellen Sie sicher, dass der Benutzer auch den entsprechenden Schlüssel hat.
Markieren Sie den gewünschten Schlüssel und klicken Sie auf OK. Der ausgewählte
Schlüssel wird auf dem Endpoint-Computer zur Verschlüsselung verwendet.
7.6.1.1 Zuweisen von Schlüsseln im Bereich Benutzer & Computer
Um Schlüssel zuzuweisen, benötigen Sie das Zugriffsrecht Voller Zugriff für das relevante
Objekt.
So weisen Sie Benutzern neue Schlüssel zu:
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Wählen Sie im Navigationsbereich das gewünschte Objekt aus (z. B. Benutzer, Gruppe
oder Container).
3. Klicken Sie mit der rechten Maustaste auf die Registerkarte Schlüssel und wählen Sie
Neuen Schlüssel zuweisen aus dem Kontextmenü.
4. Führen Sie im Dialog Neuen Schlüssel zuweisen folgende Aufgaben aus:
a) Geben Sie einen Symbolischen Namen und eine Beschreibung für den Schlüssel
ein.
b) Um den Schlüssel im Schlüsselring des Benutzers zu verbergen, wählen Sie das
Kontrollkästchen Schlüssel verbergen.
5. Klicken Sie auf OK.
Der Schlüssel wird zugewiesen und in der Schlüssel Registerkarte angezeigt.
288
Administratorhilfe
7.6.1.2 Verbergen von Schlüsseln
Um zu vermeiden, das zu viele nicht benutzte Schlüssel im Schlüsselring des Benutzers auf
dem Endpoint angezeigt werden, können Sie festlegen, dass Schlüssel ausgeblendet werden
sollen. Schlüssel, die nicht im Schlüsselring des Benutzers angezeigt werden, können trotzdem
noch für den Zugriff auf verschlüsselte Dateien benutzt werden. Sie können jedoch nicht für
das Verschlüsseln neuer Dateien verwendet werden.
So verbergen Sie Schlüssel:
1. Klicken Sie im SafeGuard Management Center auf Schlüssel & Zertifikate.
2. Klicken Sie im Navigationsbereich auf Schlüssel und wählen Sie Zugewiesene Schlüssel.
Das Fenster Zugewiesene Schlüssel mit der Spalte Schlüssel verbergen wird angezeigt.
3. Hier gibt es zwei Möglichkeiten:
■
Wählen Sie das Kontrollkästchen Schlüssel verbergen für den gewünschten Schlüssel.
■
Wählen Sie einen oder mehrere Schlüssel aus und öffnen Sie das Kontextmenü per
Rechtsklick.
Wählen Sie Schlüssel vor Benutzer verbergen.
4. Speichern Sie Ihre Änderungen in der Datenbank.
Die angegebenen Schlüssel werden nicht im Schlüsselring des Benutzers angezeigt.
Weitere Informationen zum Anzeigen des Schlüsselrings des Benutzers auf dem Endpoint
finden Sie in der SafeGuard Enterprise Benutzerhilfe im Kapitel System Tray Icon und
Balloon-Ausgabe.
Hinweis: Wenn in einer Richtlinie ein verborgener Schlüssel für die Verschlüsselung festgelegt
ist, hat die Einstellung Schlüssel verbergen keine Auswirkungen auf die Verschlüsselung
auf dem Endpoint.
7.6.2 Persönliche Schlüssel für die dateibasierende Verschlüsselung mit
File Encryption
Ein persönlicher Schlüssel ist eine besondere Art von Verschlüsselungschlüssel, der für einen
bestimmten Benutzer erzeugt wird und nicht mit anderen Benutzern gemeinsam verwendet
werden kann. Ein persönlicher Schlüssel, der für einen bestimmten Benutzer aktiv ist, wird
als aktiver persönlicher Schlüssel bezeichnet. Aktive persönliche Schlüssel können anderen
Benutzern nicht zugewiesen werden.
In File Encryption Richtlinien können Sie Verschlüsselungsregeln mit dem Platzhalter
Persönlicher Schlüssel statt eines Schlüsselnamens definieren. Für solche Regeln wird als
Verschlüsselungsschlüssel der aktive persönliche Schlüssel des Benutzers verwendet.
Wenn Sie eine Verschlüsselungsregel für den Pfad C:\encrypt für die Verschlüsselung mit
dem persönlichen Schlüssel definieren, werden für die einzelnen Benutzer unterschiedliche
Schlüssel verwendet. So können Sie sicherstellen, dass die Informationen in spezifischen
Ordnern für die Benutzer privat sind. Weitere Informationen finden Sie unter Pfadbasierte
Dateiverschlüsselung (Seite 154).
Wenn eine File Encryption Verschlüsselungsregel einen persönlichen Schlüssel für die
Verschlüsselung vorsieht, werden für die relevanten Benutzer automatisch persönliche
Schlüssel erzeugt, wenn sie noch keine aktiven persönlichen Schlüssel haben.
289
SafeGuard Enterprise
Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie persönliche Schlüssel
für ausgewählte Benutzer oder alle Benutzer in ausgewählten Gruppen im SafeGuard
Management Center erzeugen. Sie können aktive persönliche Schlüssel auch zurückstufen,
wenn zum Beispiel ein Benutzer das Unternehmen verlässt.
7.6.2.1 Automatisches Erzeugen von persönlichen Schlüsseln
Wenn eine File Encryption Verschlüsselungsregel einen persönlichen Schlüssel für die
Verschlüsselung vorsieht und der Benutzer noch keinen aktiven persönlichen Schlüssel hat,
erzeugt der SafeGuard Enterprise Server diesen automatisch. Nach Eingang der Richtlinie
auf dem Endpoint kann der Benutzer so lange keine neuen Dateien in den von der File
Encryption Verschlüsselungsregel abgedeckten Ordner anlegen, bis der erforderliche aktive
persönliche Schlüssel verfügbar wird.
Wenn Sie zum ersten Mal File Encryption-Richtlinien mit Verschlüsselungsregeln mithilfe
persönlicher Schlüssel auf eine größere Gruppe von Benutzern (mehrere hundert oder mehr)
anwenden, die noch keine aktiven persönlichen Schlüssel haben, empfehlen wir, persönliche
Schlüssel im SafeGuard Management Center zu erzeugen (siehe Erzeugen von persönlichen
Schlüsseln für mehrere Benutzer (Seite 291)). Dies reduziert die Auslastung des SafeGuard
Enterprise Servers.
7.6.2.2 Erzeugen eines persönlichen Schlüssels für einzelne Benutzer
Um einen persönlichen Schlüssel zu erzeugen, benötigen Sie die Rechte Schlüssel erzeugen
und Schlüssel zuweisen. Darüber hinaus benötigen Sie das Zugriffsrecht Voller Zugriff für
das relevante Objekt. Um einen aktiven persönlichen Schlüssel zu ersetzen, benötigen Sie
das Recht Persönliche Schlüssel verwalten.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Wählen Sie im Navigationsbereich den gewünschten Benutzer.
3. Klicken Sie mit der rechten Maustaste auf die Registerkarte Schlüssel und wählen Sie
Neuen Schlüssel zuweisen aus dem Kontextmenü.
4. Führen Sie im Dialog Neuen Schlüssel zuweisen folgende Aufgaben aus:
a) Geben Sie eine Beschreibung für den persönlichen Schlüssel ein.
b) Um den persönlichen Schlüssel im Schlüsselring des Benutzers zu verbergen, wählen
Sie Schlüssel verbergen.
5. Abhängig davon, ob Sie einen persönlichen Schlüssel für einen Benutzer erzeugen, der
bereits eine aktiven persönlichen Schlüssel hat, oder für einen Benutzer ohne einen solchen
Schlüssel, zeigt der Dialog Neuen Schlüssel zuweisen verschiedene Kontrollkästchen.
Wählen Sie das jeweils angezeigte Kontrollkästchen, um den neuen Schlüssel als
persönlichen Schlüssel zu definieren:
■
■
Persönlicher Schlüssel: Dieses Kontrollkästchen wird für Benutzer angezeigt, die
noch keinen aktiven persönlichen Schlüssel haben.
Aktiven persönlichen Schlüssel ersetzen: Dieses Kontrollkästchen wird für Benutzer
angezeigt, die bereits einen aktiven persönlichen Schlüssel haben.
6. Klicken Sie auf OK.
Der persönliche Schlüssel wird für den ausgewählten Benutzer erzeugt. In der Registerkarte
Schlüssel wird der Schlüssel als Aktiver persönlicher Schlüssel für den Benutzer angezeigt.
Bei Benutzern, die bereits einen aktiven persönlichen Schlüssel hatten, wird der vorhandene
Schlüssel zurückgestuft und der Benutzer erhält einen neuen. Der zurückgestufte persönliche
Schlüssel verbleibt im Schlüsselring des Benutzers. Der aktive persönlichen Schlüssel kann
anderen Benutzern nicht zugewiesen werden.
290
Administratorhilfe
7.6.2.3 Erzeugen von persönlichen Schlüsseln für mehrere Benutzer
Um persönliche Schlüssel zu erzeugen, benötigen Sie die Rechte Schlüssel erzeugen und
Schlüssel zuweisen. Darüber hinaus benötigen Sie das Zugriffsrecht Voller Zugriff für alle
beteiligten Objekte. Um aktive persönliche Schlüssel zu ersetzen, benötigen Sie das Recht
Persönliche Schlüssel verwalten.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf den Knoten, für den Sie
persönliche Schlüssel erzeugen möchten:
■
■
■
Auf einen Domänenknoten,
auf den .Automatisch registriert Knoten im Stammverzeichnis oder in Domänen oder
auf einen Organisationseinheitenknoten.
3. Wählen Sie aus dem Kontextmenü den Befehl Persönliche Schlüssel für Benutzer
erzeugen.
4. Führen Sie im Dialog Persönliche Schlüssel für Benutzer erzeugen folgende Schritte
durch:
a) Geben Sie eine Beschreibung für die persönlichen Schlüssel ein.
b) Um die persönlichen Schlüssel im Schlüsselring der Benutzer zu verbergen, wählen
Sie Schlüssel verbergen.
c) Um vorhandene, aktive Schlüssel durch neue zu ersetzen, wählen Sie Vorhandene,
aktive persönliche Schlüssel ersetzen.
5. Klicken Sie auf OK.
Für alle Benutzer im ausgewählten Knoten werden persönliche Schlüssel erzeugt. In der
Registerkarte Schlüssel werden die Schlüssel als Aktive persönliche Schlüssel für die
Benutzer angezeigt. Wenn Benutzer bereits zuvor einen aktiven persönlichen Schlüssel hatten
und Sie Vorhandene, aktive persönliche Schlüssel ersetzen gewählt haben, werden die
vorhandenen Schlüssel zurückgestuft und die Benutzer erhalten neue. Die zurückgestuften
persönlichen Schlüssel verbleiben in den Schlüsselringen der Benutzer. Die einzelnen aktiven
persönlichen Schlüssel können anderen Benutzern nicht zugewiesen werden.
7.6.2.4 Zurückstufen von aktiven persönlichen Schlüsseln
Um aktive persönliche Schlüssel zurückzustufen, benötigen Sie die Rechte Schlüssel ändern
und Persönliche Schlüssel verwalten. Das Recht Persönliche Schlüssel verwalten ist
standardmäßig der vordefinierten Rolle des Haupt-Sicherheitsbeauftragten (Master Security
Officer) zugewiesen. Es kann jedoch auch neuen, benutzerdefinierten Rollen zugewiesen
werden. Darüber hinaus benötigen Sie das Zugriffsrecht Voller Zugriff für das relevante
Objekt.
Sie können aktive persönliche Schlüssel manuell zurückstufen, wenn zum Beispiel ein Benutzer
das Unternehmen verlässt. Wenn Sie das Recht Persönliche Schlüssel verwalten haben,
können Sie den zurückgestuften persönlichen Schlüssel dieses Benutzers anderen Benutzern
zuweisen, um Ihnen Lesezugriff auf Dateien zu gewähren, die mit diesem Schlüssel
verschlüsselt sind. Der Schlüssel kann jedoch nicht zum Verschlüsseln von Dateien verwendet
werden.
Hinweis: Dieser Vorgang kann nicht rückgängig gemacht werden. Ein zurückgestufter
persönlicher Schlüssel kann nicht mehr als aktiver persönlicher Schlüssel verwendet werden,
egal für welchen Benutzer.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
291
SafeGuard Enterprise
2. Wählen Sie im Navigationsbereich den gewünschten Benutzer.
3. Klicken Sie in der Registerkarte Schlüssel mit der rechten Maustaste auf den gewünschten
Aktiven persönlichen Schlüssel und wählen Sie Persönlichen Schlüssel zurückstufen
aus dem Kontextmenü.
Der Schlüssel wird zurückgestuft. Er ist immer noch ein persönlicher Schlüssel, kann jedoch
nicht mehr als aktiver persönlicher Schlüssel verwendet werden. Wenn eine File Encryption
Verschlüsselungsregel den persönlichen Schlüssel für die Verschlüsselung vorsieht und der
Benutzer keinen aktiven persönlichen Schlüssel hat, erzeugt der SafeGuard Enterprise Server
diesen automatisch.
7.6.3 Zertifikate
■
Einem Benutzer kann jeweils nur ein Zertifikat zugewiesen sein. Wenn dieses
Benutzerzertifikat auf einem Token gespeichert ist, können die Benutzer sich nur mit
diesem Token (kryptographischer Token - Kerberos) an ihrem Endpoint anmelden.
■
Beachten Sie, dass beim Importieren eines Benutzerzertifikats sowohl der öffentliche als
auch der private Bereich des Zertifikats importiert werden. Wird nur der öffentliche Bereich
importiert, so wird nur die Anmeldung mit Token unterstützt.
■
Die Kombination aus CA Zertifikaten und CRL (Certificate Revocation List) Zertifikaten
muss übereinstimmen. Andernfalls können sich die Benutzer nicht an den entsprechenden
Endpoints anmelden. Bitte überprüfen Sie, ob die Kombination korrekt ist. SafeGuard
Enterprise übernimmt diese Überprüfung nicht!
■
Wenn Certification Authority (CA) Zertifikate in der Datenbank gelöscht werden und Sie
diese nicht mehr verwenden möchten, sollten Sie diese Zertifikate manuell aus dem lokalen
Speicher aller Administrator-Computer entfernen.
SafeGuard Enterprise kann dann nur mit ablaufenden Zertifikaten umgehen, wenn der
alte und neue private Schlüssel auf demselben Token stehen.
■
CA-Zertifikate können nicht von einem Token entnommen und in der Datenbank oder im
Zertifikatsspeicher gespeichert werden. Wenn Sie CA-Zertifikate verwenden möchten,
müssen diese in Dateiform zur Verfügung stehen, nicht nur auf einem Token. Dies gilt
auch für CRLs.
■
Von SafeGuard Enterprise generierte Zertifikate sind mit SHA-1 oder SHA-256 zur
Verifizierung signiert. SHA-256 bietet erweiterte Sicherheit und wird standardmäßig für
Erstinstallationen benutzt. Wenn noch die Verwaltung von SafeGuard Enterprise 6
Endpoints oder älteren Endpoints notwendig ist, wird standardmäßig SHA-1 benutzt.
■
Zertifikate, die vom Kunden zur Verfügung gestellt und in SafeGuard Enterprise importiert
werden, werden derzeit nicht gemäß RFC3280 verifiziert. So wird z. B. nicht verhindert,
dass Signatur-Zertifikate für Verschlüsselungszwecke benutzt werden.
■
Die Anmeldezertifikate für Sicherheitsbeauftragte müssen sich im “MY” Zertifikatspeicher
befinden.
Hinweis: Die Liste Zugewiesene Zertifikate unter Schlüssel und Zertifikate zeigt nur die
Zertifikate, die Objekten zugewiesen sind, für die Sie die Zugriffsrechte Schreibgeschützt
oder Voller Zugriff haben. In der Ansicht Zertifikat wird die Anzahl an allen verfügbaren
Zertifikaten ungeachtet Ihrer Zugriffsrechte angegeben. Die Liste Zugewiesene Zertifikate
zeigt die Anzahl an Zertifikaten, die gemäß Ihren Zugriffsrechten sichtbar sind.
292
Administratorhilfe
Um Zertifikate zu ändern, benötigen Sie das Zugriffsrecht Voller Zugriff für den Container,
in dem sich der Benutzer befindet.
7.6.3.1 Importieren von CA-Zertifikaten und Certificate Revocation Lists
Wenn CA-Zertifikate verwendet werden, importieren Sie die vollständige CA-Hierarchie
einschließlich aller CRLs in die SafeGuard-Datenbank. CA-Zertifikate können nicht von Token
entnommen werden. Diese Zertifikate müssen als Dateien zur Verfügung stehen, damit Sie
sie in die SafeGuard Enterprise Datenbank importieren können. Dies gilt auch für Certificate
Revocation Lists (CRL).
1. Klicken Sie im SafeGuard Management Center auf Schlüssel & Zertifikate.
2. Wählen Sie Zertifikate und klicken Sie auf das CA-Zertifikate importieren Symbol in der
Symbolleiste. Suchen Sie die CA-Zertifikatsdateien, die Sie importieren möchten.
Die importierten Zertifikate werden im rechten Aktionsbereich angezeigt.
3. Wählen Sie Zertifikate und klicken Sie auf das CRL importieren Symbol in der
Symbolleiste. Suchen Sie die CRL-Dateien, die Sie importieren möchten.
Die importierten CRLs werden im rechten Aktionsbereich angezeigt.
4. Überprüfen Sie, ob CA und CRL korrekt sind und übereinstimmen. Die Kombination von
CA-Zertifikaten und CRL zusammenpassen, da ansonsten eine Anmeldung an allen
betroffenen Computern nicht mehr möglich ist. SafeGuard Enterprise übernimmt diese
Überprüfung nicht.
7.6.3.2 Ändern des Algorithmus für selbst-signierte Zertifikate
Voraussetzungen: Alle SafeGuard Enterprise Komponenten müssen die Version 6.1 oder
höher haben.
Von SafeGuard Enterprise erzeugte Zertifikate, zum Beispiel Unternehmens-, Maschinen-,
Sicherheitsbeauftragten- und Benutzerzertifikate, sind bei einer Erstinstallation standardmäßig
zur Erweiterung der Sicherheit mit dem Hash-Algorithmus SHA-256 signiert.
Bei der Aktualisierung von SafeGuard Enterprise 6 oder einer früheren Version wird für
selbst-signierte Zertifikate automatisch der Hash-Algorithmus SHA-1 benutzt. Nach Abschluss
der Aktualisierung können Sie den Hash-Algorithmus für erweiterte Sicherheit manuell zu
SHA-256 ändern.
Hinweis: Ändern Sie den Algorithmus nur dann zu SHA-256, wenn bei allen SafeGuard
Enterprise Komponenten und Endpoints eine Aktualisierung auf die aktuelle Version
durchgeführt wurde. In gemischten Umgebungen, in denen zum Beispiel SafeGuard Enterprise
6 Endpoints mit dem SafeGuard Management Center 7 verwaltet werden, wird SHA-256 nicht
unterstützt. Wenn Sie eine gemischte Umgebung benutzen, dürfen Sie diesen Vorgang nicht
ausführen. In diesem Fall dürfen Sie den Algorithmus nicht zu SHA-256 ändern.
Zum Ändern des Algorithmus für selbst-signierte Zertifikate müssen Sie folgende
Handlungsschritte ausführen:
Ändern des Hash-Algorithmus
Erzeugen einer Certificate Change Order (CCO)
Erzeugen eines Konfigurationspakets mit der CCO
Neustart der SafeGuard Enterprise (Datenbank-) Server
Verteilen und Installieren der Konfigurationspakete auf den Endpoints
293
SafeGuard Enterprise
So ändern Sie den Algorithmus für selbst-signierte Zertifikate:
1. Wählen Sie Extras > Optionen in der SafeGuard Management Center Menüleiste.
2. Wählen Sie in der Registerkarte Allgemein unter Zertifikate den erforderlichen Algorithmus
in Hash-Algorithmus für erzeugte Zertifikate aus und klicken Sie auf OK.
3. Klicken Sie in der Registerkarte Zertifikate unter Anforderung auf Aktualisieren. Geben
Sie im Dialog Unternehmenszertifikat aktualisieren einen Namen für die CCO an und
legen Sie einen Backup-Pfad fest. Geben Sie ein Kennwort für die P12-Datei ein und
bestätigen Sie Ihre Eingabe. Geben Sie nach Wunsch eine Anmerkung ein und klicken
Sie auf Erzeugen.
4. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass diese Änderung nicht rückgängig
gemacht werden kann und dass alle nachfolgend erstellten Konfigurationspakete diese
CCO enthalten müssen, damit Sie auf bereits installierten Endpoints wirksam werden
können.
5. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass die Aktualisierung erfolgreich
war und dass eine CCO erzeugt wurde, die in alle Konfigurationspakete aufgenommen
werden soll. Klicken Sie auf OK.
6. Klicken Sie im Extras Menü auf Konfigurationspakete.
7. Wählen Sie den erforderlichen Konfigurationspakettyp: Pakete für Managed Clients oder
Pakete für Standalone Clients.
8. Klicken Sie auf Konfigurationspaket hinzufügen und geben Sie einen Namen Ihrer Wahl
für das Konfigurationspaket ein.
9. Wählen Sie die zuvor erstellte CCO.
10. Treffen Sie je nach Anforderung eine zusätzliche Auswahl.
11. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an.
12. Klicken Sie auf Konfigurationspaket erstellen.
Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt.
13. Starten Sie alle SafeGuard Enterprise (Datenbank-) Server neu.
14. Verteilen Sie das Paket an die durch SafeGuard Enterprise geschützten Endpoints zur
Installation.
Alle durch SafeGuard Enterprise generierten Zertifikate werden mit dem neuen Algorithmus
signiert.
Siehe auch http://www.sophos.com/de-de/support/knowledgebase/116791.aspx.
7.6.4 Exportieren des Unternehmenszertifikats und des Zertifikats des
Haupt-Sicherheitsbeauftragten
In einer SafeGuard Enterprise Installation sind die beiden folgenden Elemente von
entscheidender Bedeutung und erfordern daher die Erstellung von Backups an einem sicheren
Speicherort:
■
das in der SafeGuard-Datenbank gespeicherte Unternehmenszertifikat
■
das Zertifikat des Haupt-Sicherheitsbeauftragten (MSO) im Zertifikatsspeicher des
Computers, auf dem das SafeGuard Management Center installiert ist.
Beide Zertifikate lassen sich als .p12 Dateien zur Erstellung von Sicherungskopien exportieren.
Um Installationen wiederherzustellen, können Sie die relevanten Unternehmens- und
Sicherheitsbeauftragtenzertifikate als .p12 Dateien importieren und Sie beim Einrichten einer
294
Administratorhilfe
neuen Datenbank benutzen. Dadurch vermeiden Sie das Wiederherstellen der gesamten
Datenbank.
Hinweis: Wir empfehlen, diesen Vorgang direkt nach der Erstkonfiguration des SafeGuard
Management Centers auszuführen.
7.6.4.1 Exportieren von Unternehmenszertifikaten
Hinweis: Nur Haupt-Sicherheitsbeauftragte sind dazu berechtigt, Unternehmenszertifikate
zur Erstellung eines Backups zu exportieren.
1. Wählen Sie Extras > Optionen in der SafeGuard Management Center Menüleiste.
2. Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich
Unternehmenszertifikat auf Exportieren.
3. Sie werden aufgefordert, ein Kennwort für die Sicherung der exportierten Datei einzugeben.
Geben Sie ein Kennwort ein, bestätigen Sie es und klicken Sie auf OK.
4. Geben Sie einen Dateinamen und einen Speicherort für die zu exportierende Datei ein
und klicken Sie auf OK.
Das Unternehmenszertifikat wird als P12-Datei an den definierten Speicherort exportiert und
kann für Recovery-Vorgänge benutzt werden.
7.6.4.2 Exportieren des Zertifikats des Haupt-Sicherheitsbeauftragten
So erstellen Sie ein Backup des Zertifikats des derzeit am SafeGuard Management Center
angemeldeten Haupt-Sicherheitsbeauftragten:
1. Wählen Sie Extras > Optionen in der SafeGuard Management Center Menüleiste.
2. Wählen Sie die Registerkarte Zertifikate und klicken Sie im Bereich <Administrator>
Zertifikat auf Exportieren.
3. Sie werden aufgefordert, ein Kennwort für die Sicherung der exportierten Datei einzugeben.
Geben Sie ein Kennwort ein, bestätigen Sie es und klicken Sie auf OK.
4. Geben Sie einen Dateinamen und einen Speicherort für die zu exportierende Datei ein
und klicken Sie auf OK.
Das Zertifikat des derzeit angemeldeten Haupt-Sicherheitsbeauftragten wird als P12-Datei
an den definierten Speicherort exportiert und kann für Recovery-Vorgänge benutzt werden.
7.7 Company Certificate Change Orders
Company Certificate Change Orders (CCOs) werden in folgenden Fällen verwendet:
Zum Erneuern des Unternehmenszertifikats, wenn dieses bald abläuft.
Die Erneuerung des Unternehmenszertifikats ist für zentral verwaltete Endpoints und
Standalone-Endpoints möglich. Der Vorgang kann jedoch nur von der Management-Konsole
aus ausgelöst werden.
Zum Verschieben von Standalone-Endpoints in eine andere Umgebung, wenn Sie
zum Beispiel zwei verschiedene Sophos SafeGuard Umgebungen haben und Sie diese
in eine Sophos SafeGuard Umgebung zusammenführen möchten. Eine der beiden
Umgebungen muss hier jeweils die Ziel-Umgebung sein.
Hierzu wird das Unternehmenszertifikat der Endpoints einer Umgebung durch das
Unternehmenszertifikat der Zielumgebung ausgetauscht.
295
SafeGuard Enterprise
Hinweis: Nur Haupt-Sicherheitsbeauftragte sind zum Erzeugen von CCOs berechtigt.
Um andere Sicherheitsbeauftragte dazu zu berechtigen, CCOs zu erzeugen, muss der
Hauptsicherheitsbeauftragte eine benutzerdefinierte Rolle erstellen und dieser das Recht
CCOs verwalten zuweisen.
7.7.1 Erneuern des Unternehmenszertifikats
Ein Unternehmenszertifikat, das bald abläuft, kann im SafeGuard Management Center erneuert
werden. Sechs Monate vor Ablauf des Unternehmenszertifikat wird bei jeder Anmeldung an
das SafeGuard Management Center eine Warnung angezeigt. Ohne gültiges
Unternehmenszertifikat können Endpoints keine Verbindung mit dem Server herstellen. Die
Erneuerung des Unternehmenszertifikats erfolgt in drei Schritten:
Erzeugen einer Certificate Change Order (CCO)
Erzeugen eines Konfigurationspakets mit der CCO
Neustart der Server und Verteilen der Konfigurationspakete an die Endpoints
So erneuern Sie das Unternehmenszertifikat:
1. Wählen Sie Extras > Optionen in der SafeGuard Management Center Menüleiste.
2. Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich Anforderung
auf Aktualisieren.
3. Geben Sie im Dialog Unternehmenszertifikat aktualisieren einen Namen für die CCO
an und legen Sie einen Backup-Pfad fest. Geben Sie ein Kennwort für die P12-Datei ein
und bestätigen Sie Ihre Eingabe. Geben Sie nach Wunsch eine Anmerkung ein und klicken
Sie auf Erzeugen.
4. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass diese Änderung nicht rückgängig
gemacht werden kann und dass alle nachfolgend erstellten Konfigurationspakete diese
CCO enthalten müssen, damit Sie auf bereits installierten Endpoints wirksam werden
können.
5. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass die Aktualisierung erfolgreich
war und dass eine CCO erzeugt wurde, die in alle Konfigurationspakete aufgenommen
werden soll. Klicken Sie auf OK.
6. Klicken Sie im Extras Menü auf Konfigurationspakete.
7. Wählen Sie Pakete für Managed Clients.
8. Klicken Sie auf Konfigurationspaket hinzufügen und geben Sie einen Namen Ihrer Wahl
für das Konfigurationspaket ein.
9. Ordnen Sie einen Primären Server zu (der Sekundäre Server ist nicht notwendig).
10. Wählen Sie die zuvor zur Aktualisierung des Unternehmenszertifikats erstellte CCO.
11. Wählen Sie den Modus für die Transportverschlüsselung, der bestimmt, wie die
Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server
verschlüsselt wird: SafeGuard-Transportverschlüsselung oder SSL-Verschlüsselung.
Der Vorteil bei SSL ist, dass es ein Standardprotokoll ist und eine schnellere Verbindung
aufgebaut werden kann als mit der SafeGuard Transportverschlüsselung.
SSL-Verschlüsselung wird standardmäßig ausgewählt. Weitere Informationen zur
Absicherung von Transportverbindungen mit SSL finden Sie unter Sichern von
Transportverbindungen mit SSL (Seite 47).
12. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an.
296
Administratorhilfe
13. Klicken Sie auf Konfigurationspaket erstellen.
WennSie als Modus für die Transportverschlüsselung die SSL-Verschlüsselung
ausgewählt haben, wird die Serververbindung validiert. Wenn die Verbindung fehlschlägt,
wird eine Warnungsmeldung angezeigt.
Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Starten Sie alle
SGN Server neu. Sie müssen das Paket auf den Endpoints verteilen und installieren.
7.7.2 Ersetzen des Unternehmenszertifikats
Das Ersetzen des Unternehmenszertifikats ist notwendig, wenn Sie einen Endpoint von einer
Standalone-Umgebung in eine andere verschieben möchten. Der zu verschiebende Endpoint
benötigt das Unternehmenszertifikat der Umgebung, in die er verschoben werden soll.
Andernfalls akzeptiert der Endpoint keine Richtlinien in der neuen Umgebung. Die Vorgänge,
die zum Ersetzen des Unternehmenszertifikats notwendig sind, können im sowohl im
SafeGuard Management Center als auch im SafeGuard Policy Editor ausgeführt werden. In
der folgenden Beschreibung wird für das SafeGuard Management Center und den SafeGuard
Policy Editor der Begriff Management-Konsole verwendet, da der Vorgang des Ersetzens
des Unternehmenszertifikats in beiden Fällen identisch ist.
Folgende Voraussetzungen müssen erfüllt sein:
Legen Sie die Ausgangs- und die Ziel Management Center/Policy Editor Umgebung fest. Die
Ausgangs-Management-Konsole ist die, die Sie für das Erstellen der Konfigurationspakete
für die Endpoints, die verschoben werden sollen, benutzt haben. Das Ziel ist die
Management-Konsole, in die die Endpoints verschoben werden sollen.
So ersetzen Sie das Unternehmenszertifikat:
1. Exportieren Sie in der Ziel-Management-Konsole das Unternehmenszertifikat: Klicken Sie
im Menü Extras auf Optionen. Wechseln Sie in die Registerkarte Zertifikate und klicken
Sie im Bereich Unternehmenszertifikat auf Exportieren. Wenn aufgefordert, geben Sie
ein Kennwort für den Zertifikatsspeicher ein und bestätigen Sie es und wählen Sie das
Zielverzeichnis und den Dateinamen. Das Unternehmenszertifikat wird exportiert (cer-Datei).
2. Klicken Sie in der Ausgangs-Management-Konsole im Extras Menü auf Optionen. Wählen
Sie die Registerkarte Zertifikate und klicken Sie im Bereich Anforderung auf Erzeugen.
Wählen Sie im CCO erzeugen Dialog das Ziel-Unternehmenszertifikat aus, dass Sie in
der Ziel-Management-Konsole exportiert haben (Schritt 1). Stellen Sie sicher, dass es sich
um das gewünschte Zertifikat handelt. Klicken Sie auf Erzeugen und wählen Sie ein
Zielverzeichnis und einen Dateinamen für die .cco-Datei aus. Bestätigen Sie, dass Sie
eine Company Certificate Change Order erstellen möchten. Bitte beachten Sie, dass
eine Company Certificate Change Order nicht an spezifische Endpoints gebunden ist. Mit
einer Company Certificate Change Order lässt sich jeder Client der Ausgangsumgebung
verschieben.
3. In der Ziel-Management-Konsole müssen Sie die in der Ausgangs-Management-Konsole
erzeugte Company Certificate Change Order importieren. Klicken Sie im Extras Menü auf
Konfigurationspakete... und wählen Sie dann die Registerkarte CCOs. Klicken Sie auf
Importieren.
4. Wählen Sie im Dialog CCO importieren die in der Ausgangs-Management-Konsole
erzeugte Company Certificate Change Order und geben Sie einen Namen und nach
Wunsch eine Beschreibung für die Company Certificate Change Order ein. Klicken Sie
auf OK.
297
SafeGuard Enterprise
5. Erstellen Sie in der Ziel-Management-Konsole ein Konfigurationspaket: Klicken Sie im
Extras Menü auf Konfigurationspakete... > Pakete für Standalone Clients und fügen
Sie ein neues Konfigurationspaket hinzu. Wählen Sie die importierte Company Certificate
Change Order aus dem Dropdown-Menü der Spalte CCO. Geben Sie unter
Konfigurationspaket-Ausgabepfad einen Speicherort an. Klicken Sie auf
Konfigurationspaket erstellen. Das Konfigurationspaket wird am angegebenen
Speicherort angelegt.
6. Installieren Sie dieses Konfigurationspaket auf allen Endpoints, die Sie von der Ausgangsin die Zielumgebung verschieben möchten.
7.7.3 Verwalten von Company Certificate Change Orders
Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
Alle erzeugten CCOs werden in der Registerkarte CCOs angezeigt.
Im unteren Bereich des Dialogs werden detaillierte Informationen zur ausgewählten CCO
angezeigt.
Wenn die CCO für die Erneuerung des Unternehmenszertifikats erstellt wurde, wird das
Quell-Unternehmenszertifikat aktualisiert. Wenn die CCO für eine Verschiebung von
Endpoints erstellt wurde, erneuern Sie das Unternehmenszertifikat der Umgebung, deren
Endpoints in eine andere Umgebung verschoben werden sollen.
Das Ziel-Unternehmenszertifikat ist das neue Unternehmenszertifikat, wenn die CCO zur
Aktualisierung des Unternehmenszertifikats oder des Unternehmenszertifikats der Umgebung,
in die die Endpoints verschoben werden sollen, erzeugt wurde.
Unter den Zertifikatsinformationen wird angegeben, für welche Vorgänge die ausgewählte
CCO verwendet werden kann.
Hinweis: Für die Verwaltung von CCOs benötigen Sie das Recht CCOs verwalten.
7.7.3.1 Import
Um beim Erstellen von Konfigurationspaketen die von einem anderen Management-Werkzeug
erstellte CCO auszuwählen um das Unternehmenszertifikat zu ändern, müssen Sie es erst
importieren.
Klicken Sie auf Importieren..., um einen Dialog zu öffnen, in dem Sie die CCO auswählen
und benennen können. Der hier eingegebene Name wird in der Registerkarte CCOs unter
Konfigurationspakete angezeigt.
7.7.3.2 Export
Mit der Exportieren Funktion lassen sich in der Datenbank gespeicherte CCOs als
.cco-Dateien exportieren.
7.8 Lizenzen
Für die Nutzung von SafeGuard Enterprise mit dem SafeGuard Management Center im
produktiven Betrieb ist eine gültige Lizenz erforderlich. So ist eine gültige Lizenz in der
SafeGuard Enterprise Datenbank zum Beispiel die Voraussetzung für die Übertragung von
Richtlinien an die Endpoints. Darüber hinaus sind für die Token-Verwaltung die entsprechenden
Token-Lizenzen notwendig.
Sie erhalten Lizenzdateien von Ihrem Vertriebspartner. Diese Dateien müssen nach der
Installation in die SafeGuard Enterprise Datenbank importiert werden.
298
Administratorhilfe
Die Lizenzdatei enthält u. a. folgende Informationen:
■
Anzahl an erworbenen Lizenzen pro Modul
■
Kundenname
■
Einen festgelegten Toleranzwert für die Überschreitung der Anzahl an erworbenen Lizenzen
Bei Überschreiten der verfügbaren Lizenzen bzw. des Toleranzlimits werden beim Starten
des SafeGuard Management Centers entsprechende Warnungs- bzw. Fehlermeldungen
ausgegeben.
Für die Lizenzverwaltung bietet das SafeGuard Management Center im Bereich Benutzer &
Computer einen Überblick zum Lizenzstatus des installierten SafeGuard Enterprise Systems.
Der Lizenzstatusüberblick steht in der Registerkarte Lizenzen für den Stamm-Knoten, für
Domänen, OUs, Containerobjekte und Arbeitsgruppen zur Verfügung. Sicherheitsbeauftragte
erhalten hier detaillierte Informationen zum Lizenzstatus. Mit der entsprechenden Berechtigung
können sie Lizenzen in die SafeGuard Enterprise Datenbank importieren.
7.8.1 Lizenzdatei
Die Lizenzdatei, die Sie zum Import in die SafeGuard Enterprise Datenbank erhalten, ist eine
.XML-Datei mit Signatur. Sie enthält folgende Informationen:
■
Kundenname
■
Zusätzliche Informationen (zum Beispiel Abteilung, Niederlassung)
■
Datum, an dem die Lizenz ausgestellt wurde.
■
Anzahl an Lizenzen pro Modul
■
Token-Lizenzinformationen
■
Lizenzablaufdatum
■
Lizenztyp (Demo- oder Voll-Lizenz)
■
Signatur mit Lizenzsignaturzertifikat
7.8.2 Token-Lizenzen
Für die Verwaltung von Token bzw. Smartcards sind die entsprechenden zusätzlichen
Token-Lizenzen erforderlich. Wenn diese Lizenzen nicht zur Verfügung stehen, können Sie
im SafeGuard Management Center keine Richtlinien für Token erstellen.
7.8.3 Evaluierungslizenzen
Die Evaluierungslizenzdatei kann für Evaluierungszwecke verwendet werden. Diese Lizenzen
sind nur für einen bestimmten Zeitraum gültig und haben ein Ablaufdatum, die Funktionalität
ist jedoch in keinster Weise eingeschränkt.
Hinweis: Diese Lizenzen dürfen nicht für den regulären produktiven Betrieb genutzt werden.
299
SafeGuard Enterprise
Nachdem Sie das SafeGuard Management Center installiert und den Konfigurationsassistenten
abgeschlossen haben, können Sie die heruntergeladene Testlizenz importieren, siehe
Lizenzdateien importieren (Seite 302).
So lange Sie keine Lizenzdatei importieren, wird Sie das SafeGuard Management Center
daran erinnern.
7.8.3.1 Testlizenzdateien
Wenn Sie das Produkt herunterladen, können Sie auch eine Testlizenzdatei herunterladen.
Diese Evaluierungslizenz mit der Bezeichnung SafeGuard Enterprise Evaluation License
enthält jeweils fünf Lizenzen pro Modul und hat eine zeitlich begrenzte Gültigkeitsdauer von
zwei Jahren ab dem Release-Datum der jeweiligen SafeGuard Enterprise Version.
7.8.3.2 Individuelle Demo-Lizenzdateien
Wenn Sie mehr Lizenzen für Ihre Evaluierung benötigen als in der Standard-Lizenzdatei
enthalten sind, so besteht auch die Möglichkeit, eine an Ihre spezifischen Anforderungen
angepasste Demo-Lizenz zu erhalten. Wenden Sie sich hierzu bitte an Ihren Vertriebspartner.
Diese Art der Demo-Lizenz unterliegt ebenfalls einer zeitlichen Beschränkung. Darüber hinaus
ist die Lizenz auf die jeweils mit dem Vertriebspartner vereinbarte Anzahl an Lizenzen pro
Modul beschränkt.
Wenn Sie das SafeGuard Management Center starten, werden Sie durch eine
Warnungsmeldung darauf aufmerksam gemacht, dass Sie Demo-Lizenzen nutzen. Bei
Überschreiten der in einer Demo-Lizenz festgelegten Anzahl an verfügbaren Lizenzen oder
der zeitlich begrenzten Nutzungsdauer wird eine Fehlermeldung ausgegeben.
7.8.4 Lizenzstatusüberblick
So rufen Sie den Lizenzstatusüberblick auf:
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer &
Computer.
2. Klicken Sie im Navigationsfenster auf der linken Seite auf den Stammknoten, die Domäne,
die OU, das Containerobjekt oder die Arbeitsgruppe.
3. Wechseln Sie im Aktionsbereich in die Registerkarte Lizenzen.
Der Lizenzstatus wird angezeigt.
Die Anzeige ist in drei Bereiche unterteilt. Der obere Bereich zeigt den Namen des Kunden,
für den die Lizenz ausgestellt wurde, sowie das Datum, an dem die Lizenz ausgestellt wurde.
Der mittlere Bereich liefert detaillierte Informationen zur Lizenz. Die einzelnen Spalten enthalten
folgende Angaben:
300
Spalte
Erklärung
Status (Symbol)
Zeigt den Status der Lizenzen (gültig, Warnung, Fehler) für das
jeweilige Modul durch ein Symbol an.
Feature
Zeigt das installierte Modul an.
Administratorhilfe
Spalte
Erklärung
Erworbene Lizenzen
Zeigt die Anzahl an erworbenen Lizenzen für das installierte Modul
an.
Benutzte Lizenzen
Zeigt die Anzahl an genutzten Lizenzen für das installierte Modul
an.
Läuft ab
Zeigt das Lizenzablaufdatum an.
Typ
Gibt die Lizenzart, Demo-Lizenz oder reguläre Lizenz, an.
Toleranzwert
Zeigt den festgelegten Toleranzwert für die Überschreitung der
Anzahl an erworbenen Lizenzen an.
Wenn Sie die Registerkarte Lizenzen in einer Domäne/OU aufrufen, zeigt die Übersicht den
Status basierend auf den Computern im jeweiligen Zweig.
Unterhalb dieser Übersicht finden Sie Informationen zu den lizenzierten Token-Modulen.
Im unteren Bereich wird der globale Lizenzstatus unabhängig davon, welche Domäne oder
OU ausgewählt wurde, angezeigt. Dies erfolgt durch eine Meldung mit einer dem Ampelprinzip
folgenden Hintergrundfarbe (Grün = gültig, Gelb = Warnung, Rot = Fehler) und ein Symbol.
Bei Warnungs- und Fehlermeldungen erhalten Sie außerdem im unteren Bereich Hinweise
zur Aufhebung des ungültigen Lizenzstatus.
Die in der Registerkarte Lizenzen angezeigten Symbole haben folgende Bedeutung:
Gültige Lizenz
Warnung
Eine Lizenz für ein Modul befindet sich im Status Warnung, wenn
die Anzahl erworbener Lizenzen überschritten wurde.
die Lizenz abgelaufen ist.
Fehler
Eine Lizenz für ein Modul befindet sich im Status Fehler, wenn
der Toleranzwert für die Überschreibung der Anzahl erworbener Lizenzen
überschritten wurde.
die Lizenz vor mehr als einem Monat abgelaufen ist.
Sie können die Ansicht des Lizenzstatusüberblicks aktualisieren, indem Sie auf die Schaltfläche
Lizenzstatus aktualisieren klicken.
301
SafeGuard Enterprise
7.8.5 Import von Lizenzdateien
Voraussetzung: Zum Import einer Lizenzdatei in die SafeGuard Enterprise Datenbank benötigt
ein Sicherheitsbeauftragter das Recht "Lizenzdatei importieren".
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Klicken Sie im Navigationsfenster auf der linken Seite auf den Stamm-Knoten, die Domäne
oder die OU.
3. Wechseln Sie im Aktionsbereich in die Registerkarte Lizenzen.
4. Klicken Sie auf die Schaltfläche Lizenzdatei importieren.
Es wird ein Fenster zur Auswahl der Lizenzdatei angezeigt.
5. Wählen Sie die zu importierende Lizenzdatei aus und klicken Sie auf Öffnen.
Der Lizenz anwenden? Dialog mit dem Inhalt der Lizenzdatei wird angezeigt.
6. Klicken Sie auf die Schaltfläche Lizenz anwenden.
Die Lizenzdatei wird in die SafeGuard Enterprise Datenbank importiert.
Nach dem Import der Lizenzdatei wird bei Modulen, für die Lizenzen erworben wurden, der
Lizenztyp regulär angegeben. Bei Modulen, für die keine Lizenzen erworben wurden und für
die die Evaluierungslizenz (Standard-Lizenzdatei) oder individuelle Demo-Lizenzen genutzt
werden, wird der Lizenztyp Demo angegeben.
Hinweis: Wenn Sie eine neue Lizenzdatei importieren, werden jeweils nur die Module, die
in dieser Datei enthalten sind, aktualisiert. Alle übrigen Modul-Lizenzinformationen werden
entsprechend den in der Datenbank enthaltenen Informationen beibehalten. Diese
Importfunktionalität vereinfacht die Evaluierung von zusätzlichen Modulen nach dem Kauf.
7.8.6 Lizenzüberschreitung
In Ihrer Lizenzdatei ist ein Toleranzwert für die Überschreitung der erworbenen Lizenzen
sowie der Lizenzgültigkeitsdauer festgelegt. Bei Überschreiten der verfügbaren Lizenzen pro
Modul oder der Gültigkeitsdauer wird somit zunächst eine Warnungsmeldung ausgegeben.
Der laufende Betrieb des Systems wird dadurch nicht beeinträchtigt und es tritt in diesem Fall
auch keine Einschränkung der Funktionalität in Kraft. So haben Sie die Gelegenheit, den
Lizenzstatus zu prüfen und Ihre Lizenz zu erweitern bzw. zu erneuern. Der Toleranzwert ist
auf 10 % der Anzahl an erworbenen Lizenzen (der Mindestwert: 5, der Höchstwert: 5.000)
festgelegt.
Bei Überschreiten der Toleranzwerte wird eine Fehlermeldung ausgegeben. In diesem Fall
tritt eine Funktionalitätseinschränkung in Kraft. Die Übertragung von Richtlinien auf die
Endpoints wird deaktiviert. Diese Deaktivierung lässt sich nicht im SafeGuard Management
Center manuell wieder aufheben. Die Lizenz muss erweitert bzw. erneuert werden, um wieder
alle Funktionen nutzen zu können. Außer der Deaktivierung der Richtlinienübertragung hat
die Funktionalitätseinschränkung keine Auswirkungen auf die Endpoints. Bereits zugeordnete
Richtlinien bleiben aktiv. Die Deinstallation von Clients ist auch weiterhin möglich.
Die folgenden Abschnitte beschreiben das Systemverhalten bei Lizenzüberschreitungen sowie
die Maßnahmen zur Aufhebung der Funktionalitätseinschränkung.
7.8.6.1 Ungültige Lizenz: Warnung
Ist die Anzahl an verfügbaren Lizenzen überschritten, so wird beim Starten des SafeGuard
Management Center eine Warnungsmeldung angezeigt.
302
Administratorhilfe
Das SafeGuard Management Center wird geöffnet und zeigt den Lizenzstatusüberblick in der
Registerkarte Lizenzen des Bereichs Benutzer & Computer.
Auch hier informiert Sie eine Warnungsmeldung darüber, dass die Lizenz ungültig ist. Über
die detaillierten Informationen zur Lizenzdatei lässt sich ermitteln, für welches Modul die
Anzahl an verfügbaren Lizenzen überschritten wurde. Durch Verlängerung, Erneuerung oder
Erweiterung der Lizenz lässt sich dieser Lizenzstatus ändern.
7.8.6.2 Ungültige Lizenz: Fehler
Wird der in der Lizenz festgelegte Toleranzwert für die Anzahl an Lizenzen oder die
Gültigkeitsdauer überschritten, so zeigt das SafeGuard Management Center eine
Fehlermeldung an.
Im SafeGuard Management Center wird die Übertragung von Richtlinien auf die
Endpoint-Computer deaktiviert.
In der Registerkarte Lizenzen im Bereich Benutzer & Computer wird eine Fehlermeldung
angezeigt.
Über die detaillierten Informationen zur Lizenzdatei lässt sich ermitteln, für welches Modul
die Anzahl an verfügbaren Lizenzen überschritten wurde.
Um die Einschränkung der Funktionalität aufzuheben, habe Sie folgende Möglichkeiten:
Lizenzen umverteilen
Um ausreichend verfügbare Lizenzen zu erhalten, können Sie die Software auf nicht
genutzten Endpoints deinstallieren und diese somit dauerhaft aus der SafeGuard Enterprise
Datenbank entfernen.
Lizenzen erweitern/erneuern
Wenden Sie sich an Ihren Vertriebspartner, um Ihre Lizenz zu erweitern bzw. zu erneuern.
Sie erhalten eine neue Lizenzdatei zum Import in die SafeGuard Enterprise Datenbank.
Neue Lizenzdatei importieren
Wenn Sie Ihre Lizenz bereits erneuert bzw. erweitert haben, importieren Sie die erhaltene
Lizenzdatei in die SafeGuard Enterprise Datenbank. Diese neu importierte Datei ersetzt
die ungültige Lizenzdatei.
Durch Umverteilen von Lizenzen oder Importieren einer gültigen Lizenzdatei wird die
Funktionalitätseinschränkung aufgehoben und der normale Betrieb des Systems kann
fortgesetzt werden.
7.9 Token und Smartcards
Hinweis: Token und Smartcards können nicht für Mac OS X Endpoints konfiguriert werden.
SafeGuard Enterprise bietet erweiterte Sicherheit durch die Unterstützung von Token und
Smartcards für die Authentisierung. Auf Token/Smartcards lassen sich Zertifikate, digitale
Signaturen und biometrische Informationen speichern.
Die Token-Authentisierung basiert auf dem Prinzip der Zwei-Faktor-Authentisierung: Ein
Benutzer verfügt über einen Token (Besitz), kann den Token aber nur nutzen, wenn er das
spezifische Token-Kennwort kennt (Wissen). Bei Verwendung eines Token oder einer
Smartcard benötigen die Benutzer zur Authentisierung nur noch den Token und eine PIN.
303
SafeGuard Enterprise
Hinweis: Smartcards und Token werden aus Sicht von SafeGuard Enterprise gleich behandelt.
Deshalb werden im Produkt und in der Hilfe die Begriffe "Token" und "Smartcard" gleichgesetzt.
Die Verwendung von Token und Smartcards muss in der Lizenz aktiviert werden (siehe
Token-Lizenzen (Seite 299)).
Hinweis: Bei Windows 8 und höher gibt es eine Funktion namens virtuelle Smartcard. Eine
virtuelle Smartcard simuliert mit Hilfe eines TPM-Chip als Basis die Funktionalität einer
physischen Smartcard, kann aber nicht mit SafeGuard Enterprise genutzt werden.
SafeGuard Enterprise unterstützt Token:
■
in der SafeGuard Power-on Authentication (gilt nicht für Windows 8 und Windows 8.1)
■
auf Betriebssystemebene
■
zur Anmeldung am SafeGuard Management Center
Wenn ein Token für einen Benutzer in SafeGuard Enterprise ausgestellt wird, werden Daten
wie Hersteller, Typ, Seriennummer, Anmeldedaten und Zertifikate in der SafeGuard
Enterprise-Datenbank hinterlegt. Token werden anhand der Seriennummer identifiziert und
sind dann in SafeGuard Enterprise bekannt.
Es ergeben sich erhebliche Vorteile:
■
Sie wissen, welche Token im Umlauf sind und welchen Benutzern sie zugeordnet sind.
■
Sie wissen, wann sie ausgestellt wurden.
■
Wenn Token verlorengegangen sind, kann der Sicherheitsbeauftragte sie identifizieren
und für die Authentisierung sperren. Damit kann Datenmissbrauch verhindert werden.
■
Trotzdem kann der Sicherheitsbeauftragte über Challenge/Response die Anmeldung ohne
Token zeitweilig erlauben, z. B. wenn ein Benutzer seine PIN vergessen hat.
Hinweis: Bei SafeGuard volume-basierender Verschlüsselung wird diese Recovery-Option
für die Anmeldung mit kryptographischen Token (Kerberos) nicht unterstützt.
7.9.1 Token-Typen
Der Begriff "Token" bezieht sich auf alle verwendeten Technologien und ist nicht an eine
bestimmte Form von Gerät gebunden. Dies umfasst alle Geräte, die Daten für die Identifizierung
und Authentisierung speichern und übertragen können, zum Beispiel Smartcards und
USB-Token.
SafeGuard Enterprise unterstützt die folgenden Token/Smartcard-Typen für die Authentisierung:
Nicht-kryptographisch
Die Authentisierung in der SafeGuard POA und in Windows erfolgt auf der Grundlage der
auf dem Token gespeicherten Anmeldedaten (Benutzername/Kennwort).
kryptographisch - Kerberos
Die Authentisierung in der SafeGuard POA und in Windows erfolgt auf der Grundlage der
auf dem Token gespeicherten Zertifikate.
Hinweis: Kryptographische Token können nicht für Standalone-Endpoints verwendet
werden.
304
Administratorhilfe
7.9.1.1 Kryptographische Token - Kerberos
Bei der Verwendung von kryptographischen Token erfolgt die Authentisierung in der SafeGuard
POA über das Zertifikat auf dem Token. Zur Anmeldung müssen die Benutzer nur die PIN
des Token eingeben.
Hinweis: Kryptographische Token können nicht für Standalone-Endpoints verwendet werden.
Den Benutzern müssen vollständig ausgestellte Token bereitgestellt werden. Weitere
Informationen finden Sie unter Konfiguration der Token-Verwendung (Seite 307).
Grundlegende Anforderungen für Zertifikate:
■
Algorithmus: RSA
■
Schlüssellänge: mindestens 1024.
■
Verwendung des Schlüssels: Datenverschlüsselung oder Schlüsselverschlüsselung.
Hinweis: Bei Problemen bei der Anmeldung mit einem Kerberos-Token kann weder
Challenge/Response noch Local Self Help für Recovery-Vorgänge benutzt werden. Hier wird
nur Challenge/Response mit virtuellen Clients unterstützt. Mit diesem Verfahren können
Benutzer wieder Zugriff auf verschlüsselte Volumes auf Ihren Endpoints erlangen.
7.9.2 Komponenten
Für die Benutzung von Token/Smartcards in Verbindung mit SafeGuard Enterprise sind
folgende Komponenten erforderlich:
Token/Smartcard
Token-/Smartcard-Lesegerät
Token-/Smartcard-Treiber
Token/Smartcard Middleware (PKCS#11-Modul)
USB-Token
USB-Token bestehen aus einer Smartcard und einem Smartcard-Leser, wobei sich die beiden
Einheiten in einem Gehäuse befinden. Für die Benutzung von USB Token ist ein USB Port
erforderlich.
7.9.2.1 Token/Smartcards-Lesegeräte und Treiber
■
Windows
Auf Windows-Betriebssystemebene werden PC/SC-kompatible Kartenleser unterstützt.
Die PC/SC-Schnittstelle regelt die Kommunikation zwischen Computer und Smartcard.
Viele dieser Kartenleser sind bereits Teil der Windows-Installation. Smartcards benötigen
PKCS#11 kompatible Smartcard-Treiber, damit sie von SafeGuard Enterprise unterstützt
werden können.
■
Power-on Authentication aktivieren
An der SafeGuard Power-on Authentication wird die PC/SC-Schnittstelle unterstützt, die
die Kommunikation zwischen Computer und Smartcard regelt. Die unterstützten
Smartcard-Treiber sind fest implementiert und die Benutzer können keine zusätzlichen
Treiber hinzufügen. Die passenden Smartcard-Treiber müssen über eine Richtlinie in
SafeGuard Enterprise aktiviert werden.
305
SafeGuard Enterprise
Die Schnittstelle für Smartcard-Leser ist standardisiert und viele Kartenleser haben eine
USB-Schnittstelle oder eine ExpressCard/54-Schnittstelle und implementieren den
CCID-Standard. In SafeGuard Enterprise ist dies eine Voraussetzung für die Unterstützung
in der SafeGuard Power-on Authentication. Außerdem muss auf Treiber-Seite das
PKCS#11-Modul unterstützt werden.
7.9.2.2 Unterstützte Token/Smartcards an der SafeGuard Power-on Authentication
SafeGuard Enterprise unterstützt eine breite Palette an Smartcards/Smartcard-Lesegeräten,
USB-Token mit den entsprechenden Treibern und Middleware in der SafeGuard Power-on
Authentication. In SafeGuard Enterprise werden Token/Smartcards unterstützt, die 2.048 Bit
RSA-Operationen unterstützen.
Da die Unterstützung von Token/Smartcards von Release zu Release erweitert wird, werden
die in der jeweils aktuellen SafeGuard Enterprise Version unterstützten Token und Smartcards
in den Release Notes aufgeführt.
7.9.2.3 Unterstützte Middleware
Die in der folgenden Liste aufgeführte Middleware wird über deren jeweiliges PKCS#11-Modul
unterstützt. PKCS#11 ist eine standardisierte Schnittstelle zur Anbindung kryptographischer
Token/Smartcards an verschiedenste Software. Hier dient PKCS#11 der Kommunikation
zwischen kryptographischen Token/Smartcard, Smartcard-Leser und SafeGuard Enterprise.
Siehe auch http://www.sophos.com/de-de/support/knowledgebase/112781.aspx.
306
Hersteller
Middleware
ActivIdentity
ActivClient, ActivClient (PIV)
AET
SafeSign Identity Client
Aladdin
eToken PKI Client
A-Trust
a.sign Client
Charismatics
Smart Security Interface
Gemalto
Gemalto Access Client, Gemalto Classic Client, Gemalto
.NET Card
IT Solution GmbH
IT Solution trustWare CSP+
Nexus
Nexus Personal
RSA
RSA Authentication Client 2.x, RSA Smart Card Middleware
3.x
Sertifitseerimiskeskus AS
Estonian ID Card
Siemens
CardOS API TC-FNMT
Administratorhilfe
Hersteller
Middleware
ATOS
CardOS API TC-FNMT
FNMT
Módulo PCKS#11 TC-FNMT TC-FNMT
T-Systems
NetKey 3.0
Unizeto
proCertum
Lizenzen
Beachten Sie, dass für die Benutzung der jeweiligen Middleware für das
Standard-Betriebssystem eine Lizenzvereinbarung mit dem jeweiligen Hersteller erforderlich
ist. Informationen zum Erhalt der Lizenzen finden Sie unter
http://www.sophos.com/de-de/support/knowledgebase/116585.aspx.
Wenn Sie Siemens-Lizenzen erwerben möchten, wenden Sie sich an:
Atos IT Solutions and Services GmbH
Otto-Hahn-Ring 6
81739 München
Germany
Die Middleware wird in einer SafeGuard Enterprise-Richtlinie vom Typ Spezifische
Computereinstellungen unter Benutzerdefinierte PKCS#11 Einstellungen im Feld
PKCS#11 Modul für Windows oder PKCS#11 Modul für die Power-on Authentication
angegeben. Das SafeGuard Enterprise Client-Konfigurationspaket muss zudem auf dem
Computer installiert sein, auf dem das SafeGuard Management Center läuft.
7.9.3 Konfigurieren der Token-Benutzung
Führen Sie die folgenden Handlungsschritte aus, wenn Sie den folgenden Benutzern Token
für die Authentisierung bereitstellen möchten:
Benutzer von zentral verwalteten Endpoints
Sicherheitsbeauftragte des SafeGuard Management Center
1. Initialisierung leerer Token
Weitere Informationen finden Sie unter Initialisierung von Token (Seite 308).
2. Installation der Middleware
Weitere Informationen finden Sie unter Installation von Middleware (Seite 308).
3. Aktivierung der Middleware
Weitere Informationen finden Sie unter Aktivierung von Middleware (Seite 309).
4. Ausstellen von Token für Benutzer und Sicherheitsbeauftragte
Weitere Informationen finden Sie unter Ausgabe von Token (Seite 309).
5. Konfigurieren des Anmeldemodus
Weitere Informationen finden Sie unter Konfiguration des Anmeldemodus (Seite 311).
307
SafeGuard Enterprise
6. Konfigurieren weiterer Token-Einstellungen, zum Beispiel Syntaxregeln für PINs.
Weitere Informationen finden Sie unter Verwaltung von PINs (Seite 315) und Verwaltung
von Token und Smartcards (Seite 316).
7. Zuweisen von Zertifikaten und Schlüsseln zu Token/Benutzern
Weitere Informationen finden Sie unter Zuweisung von Zertifikaten (Seite 312).
Sie können auch einen bereits mit Daten einer anderen Anwendung versehenen Token zur
Authentisierung verwenden, sofern genügend freier Speicherplatz für die Zertifikate und
Anmeldeinformationen darauf vorhanden ist.
Für die einfache Token-Verwaltung bietet SafeGuard Enterprise folgende Funktionen:
■
Token-Informationen anzeigen und filtern
■
PINs initialisieren, ändern, zurücksetzen und sperren
■
Token-Daten lesen und löschen
■
Token sperren
Hinweis: Um Token auszustellen und zu verwalten oder Daten auf ausgestellten Token zu
ändern, benötigen Sie das Zugriffsrecht Voller Zugriff für die relevanten Benutzer. Die Ansicht
Ausgestellte Token zeigt die Token für alle Benutzer, für die Sie die Zugriffsrechte
Schreibgeschützt oder Voller Zugriff haben.
7.9.4 Vorbereitung für die Benutzung von Token
Die folgenden vorbereitenden Maßnahmen sind für die Unterstützung von Token/Smartcards
in SafeGuard Enterprise notwendig:
■
Initialisierung leerer Token
■
Installation der Middleware
■
Aktivierung der Middleware
7.9.4.1 Initalisieren eines Token
Bevor ein "leerer", unformatierter Token in SafeGuard Enterprise bentutzt werden kann, muss
er nach den Angaben des Token-Herstellers für die Verwendung vorbereitet, also initialisiert
werden. Bei der Initialisierung wird er mit Basisinformationen, z. B. den Standard-PINs,
beschrieben. Dies erfolgt mit der Initialisierungssoftware des Herstellers.
Weitere Informationen finden Sie in der Dokumentation des relevanten Token-Herstellers.
7.9.4.2 Installation von Middleware
Installieren Sie die korrekte Middleware sowohl auf dem Computer, auf dem das SafeGuard
Management Center installiert ist, als auch auf dem relevanten Endpoint, falls noch nicht
geschehen. Informationen über unterstützte Middleware finden Sie unter Unterstützte
Middleware (Seite 306).
Starten Sie die Computer, auf denen Sie die neue Middleware installiert haben, neu.
308
Administratorhilfe
Hinweis: Wenn Sie Gemalto .NET Card oder Nexus Personal Middleware installieren,
müssen Sie den Installationspfad der Middleware auch zur PATH-Umgebungsvariable der
Systemeigenschaften Ihres Computers hinzufügen.
■
Standard-Installationspfad für Gemalto .NET Card: C:\Programme\Gemalto\PKCS11
for .NET V2 smart cards
■
Standard-Installationspfad für Nexus Personal: C:\Programme\Personal\bin
7.9.4.3 Aktivieren der Middleware
Sie müssen im SafeGuard Management Center über eine Richtlinie die passende Middleware
in Form des PKCS#11-Moduls zuweisen. Dies müssen Sie sowohl für den Computer, auf
dem das SafeGuard Management Center läuft, als auch für den Endpoint erledigen. Dann
erst kann SafeGuard Enterprise mit dem Token kommunizieren. Die Einstellung für das
PKCS#11-Modul können Sie folgendermaßen über eine Richtlinie festlegen.
Voraussetzung: Die Middleware wurde auf dem entsprechenden Computer installiert und
der Token wurde initialisiert. Das SafeGuard Enterprise Client-Konfigurationspaket muss
zudem auf dem Computer installiert sein, auf dem das SafeGuard Management Center läuft.
1. Klicken Sie im SafeGuard Management Center auf Richtlinien.
2. Legen Sie eine neue Richtlinie des Typs Spezifische Computereinstellungen an oder
wählen Sie eine bereits bestehende Richtlinie dieses Typs aus.
3. Wählen Sie im rechten Arbeitsbereich unter Tokenunterstützung > Modulname die
passende Middleware aus. Speichern Sie die Einstellungen.
4. Weisen Sie die Richtlinie zu.
SafeGuard Enterprise kann nun mit dem Token kommunizieren.
7.9.5 Ausstellen eines Token
Beim Ausstellen eines Token in SafeGuard Enterprise werden Daten auf den Token
geschrieben, die dann für die Authentisierung verwendet werden. Bei den Daten handelt es
sich um die Anmeldeinformationen und Zertifikate.
In SafeGuard Enterprise können Token für folgende Benutzerrollen ausgestellt werden:
■
Token für Endbenutzer von zentral verwalteten Endpoints.
■
Token für Sicherheitsbeauftragte (SO)
Zugriff auf den Token haben sowohl der Benutzer als auch der Sicherheitsbeauftragte (SO).
Der Benutzer ist der, der den Token benutzen soll. Nur er hat Zugriff auf private Objekte und
Schlüssel. Der SO hat nur Zugriff auf öffentliche Objekte, kann allerdings die Benutzer-PIN
zurücksetzen.
7.9.5.1 Ausstellen eines Token oder einer Smartcard für Benutzer
Voraussetzungen:
Der Token muss initialisiert und das passende PKCS#11-Modul aktiviert worden sein.
Das SafeGuard Enterprise Client-Konfigurationspaket muss zudem auf dem Computer
installiert sein, auf dem das SafeGuard Management Center läuft.
Sie benötigen das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
309
SafeGuard Enterprise
2. Stecken Sie den Token an der USB-Schnittstelle ein. SafeGuard Enterprise liest den Token
ein.
3. Wählen Sie den Benutzer, für den ein Token ausgestellt werden soll, und öffnen Sie im
rechten Arbeitsbereich die Registerkarte Token-Daten.
4. Gehen Sie in der Registerkarte Token-Daten wie folgt vor:
a) Wählen Sie die Benutzer-ID und Domäne des betreffenden Benutzers aus und geben
Sie sein Windows-Kennwort ein.
b) Klicken Sie auf Token ausstellen.
Der Dialog Token ausstellen wird angezeigt.
5. Wählen Sie den relevanten Slot aus der Verfügbare Slots Dropdownliste aus.
6. Vergeben Sie eine neue Benutzer-PIN und wiederholen Sie die Eingabe.
7. Geben Sie unter SO-PIN die vom Hersteller erhaltene Standard-PUK bzw. die bei der
Token-Initialisierung vergebene PIN ein.
Hinweis: Wenn Sie nur das Feld Benutzer-PIN (erforderlich) ausfüllen, muss die
Benutzer-PIN mit der PIN übereinstimmen, die bei der Token-Initialisierung vergeben
wurde. Sie müssen die Benutzer-PIN dann nicht wiederholen und keine SO-PIN eingeben.
8. Klicken Sie auf Token jetzt ausstellen.
Der Token wird ausgestellt, die Anmeldeinformationen auf den Token geschrieben und die
Token-Informationen in der SafeGuard Enterprise-Datenbank hinterlegt. Im Bereich Token
können Sie sich in der Registerkarte Token-Information die Daten anzeigen lassen.
7.9.5.2 Ausstellen eines Token oder einer Smartcard für einen Sicherheitsbeauftragten
Bei der Erstinstallation von SafeGuard Enterprise besteht für den ersten
Sicherheitsbeauftragten bereits die Möglichkeit, sich einen Token ausstellen zu lassen und
den Anmeldemodus festzulegen (siehe SafeGuard Enterprise Installationsanleitung). Für alle
weiteren Sicherheitsbeauftragten nehmen Sie die Ausstellung eines Token im SafeGuard
Management Center vor.
Voraussetzung:
Der Token muss initialisiert und das passende PKCS#11-Modul aktiviert worden sein.
Sie benötigen die Rechte, die Angaben für den Sicherheitsbeauftragten festlegen zu dürfen.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Stecken Sie den Token an der USB-Schnittstelle ein. SafeGuard Enterprise liest den Token
ein.
3. Markieren Sie im linken Navigationsfenster Sicherheitsbeauftragte und wählen Sie im
Kontextmenü Neu > Neuer Sicherheitsbeauftragter.
Der Dialog Neuen Sicherheitsbeauftragten erstellen wird angezeigt.
4. Geben Sie im Feld Token-Anmeldung die Art der Anmeldung für den
Sicherheitsbeauftragten ein:
■
Wenn sich der Sicherheitsbeauftragte wahlweise mit oder ohne Token authentisieren
soll, wählen Sie Optional.
■
Um festzulegen, dass sich der Sicherheitsbeauftragte mit Token anmelden muss,
wählen Sie Zwingend erforderlich.
Bei dieser Einstellung verbleibt der private Schlüssel auf dem Token. Der Token muss
immer eingesteckt sein, ansonsten wird ein Neustart des Systems notwendig.
310
Administratorhilfe
5. Geben Sie als nächstes das Zertifikat des Sicherheitsbeauftragten an.
■
Um ein neues Zertifikat zu erzeugen, klicken Sie auf die Schaltfläche Erzeugen neben
der Zertifikat Dropdown-Liste.
Geben Sie das Kennwort für das Zertifikat zweimal ein und klicken Sie auf OK.
Legen Sie den Speicherort für das Zertifikat fest.
■
Um Zertifikate zu importieren, klicken Sie auf die Schaltfläche Importieren neben der
Zertifikat Dropdown-Liste, um die entsprechende Zertifikatsdatei zu öffnen.
Nach Zertifikaten wird zuerst in einer Zertifikatsdatei, dann auf dem Token gesucht.
Die Zertifikate können an den jeweiligen Speicherorten verbleiben.
6. Aktivieren Sie die Rollen und Domänen, die dem Beauftragten zugewiesen werden sollen,
unter Rollen.
7. Bestätigen Sie die Eingaben mit OK.
Der Sicherheitsbeauftragte wird angelegt, der Token wird ausgestellt, die Anmeldedaten
werden je nach Einstellung auf den Token geschrieben und die Token-Informationen werden
in der SafeGuard Enterprise-Datenbank hinterlegt. Im Bereich Token können Sie sich in der
Registerkarte Token-Information die Daten anzeigen lassen.
7.9.6 Konfigurieren des Anmeldemodus
Für die Anmeldung von Endbenutzern mit einem Token gibt es zwei Anmeldeformen. Eine
Kombination der beiden Anmeldeformen ist möglich.
■
Anmeldung mit Benutzername/Kennwort
■
Anmeldung mit Token
Wenn Sie sich mit einem Token oder einer Smartcard anmelden, können Sie zwischen
einem Token-Anmeldemodus mit nicht-kryptographischem Token oder mit
Kerberos-Unterstützung (kryptographisch) wählen.
Als Sicherheitsbeauftragter legen Sie den zu verwendenden Anmeldemodus in einer
Sicherheitsrichtlinie vom Typ Authentisierung fest.
Auswahl der Token-Anmeldeoption Kerberos:
■
Sie müssen ein Zertifikat in einer PKI ausstellen und es auf dem Token ablegen. Dieses
Zertifikat wird als Benutzerzertifikat in die SafeGuard Enterprise Datenbank importiert.
Falls dort bereits ein automatisch erzeugtes Zertifikat existiert, wird es durch das importierte
Zertifikat überschrieben.
7.9.6.1 Aktivieren der automatischen Anmeldung an der SafeGuard POA mit
Default-Token-PIN
Eine per Richtlinie verteilte Default-Token-PIN ermöglicht die automatische Benutzeranmeldung
an der SafeGuard Power-on Authentication. Somit muss nicht jeder einzelne Token separat
ausgestellt werden und die Benutzer können sich ohne Benutzerinteraktion automatisch an
der SafeGuard Power-on Authentication anmelden.
Wenn bei der Anmeldung ein Token benutzt wird und dem Computer eine Default-PIN
zugeordnet ist, wird eine durchgehende Anmeldung an der SafeGuard Power-on Authentication
durchgeführt. Der Benutzer muss hier keine PIN eingeben.
311
SafeGuard Enterprise
Als Sicherheitsbeauftragter können Sie diese spezifische PIN in einer Richtlinie vom Typ
Authentisierung festlegen und sie verschiedenen Computern oder Computergruppen, z. B.
allen Computern eines Standorts, zuordnen.
So aktivieren Sie die automatische Anmeldung mit einer Default-Token-PIN:
1.
2.
3.
4.
Klicken Sie im SafeGuard Management Center auf Richtlinien.
Wählen Sie eine Richtlinie vom Typ Authentisierung aus.
Wählen Sie unter Anmeldeoptionen bei Anmeldemodus die Option Token.
Geben Sie bei PIN für automatische Anmeldung mit Token die Default-PIN an, die für
die automatische Anmeldung verwendet werden soll. In diesem Fall müssen keine
PIN-Regeln beachtet werden.
Hinweis: Diese Einstellung steht nur dann zur Verfügung, wenn Sie als möglichen
Anmeldemodus die Option Token gewählt haben.
5. Wählen Sie bei Durchgehende Anmeldung an Windows die Option Durchgehende
Anmeldung deaktivieren. Wenn Sie diese Einstellung nicht auswählen und eine
Default-PIN angeben, können Sie die Richtlinie nicht speichern.
Wenn Sie die Durchgehende Anmeldung an Windows dennoch aktivieren möchten,
können Sie eine weitere Richtlinie vom Typ Authentisierung mit der aktivierten Option
erstellen und sie derselben Computergruppe zuordnen. Im RSOP (Resulting Set of Policies)
sind somit beide Richtlinien aktiv.
6. Definieren Sie nach Wunsch weitere Token-Einstellungen.
7. Speichern Sie Ihre Einstellungen und ordnen Sie die Richtlinie den relevanten Computern
oder Computergruppen zu.
Wenn die automatische Anmeldung auf dem Endpoint erfolgreich durchgeführt werden konnte,
wird Windows gestartet.
Schlägt die automatische Anmeldung auf dem Endpoint fehl, so wird der Benutzer an der
SafeGuard Power-on Authentication aufgefordert, die Token-PIN einzugeben.
7.9.7 Zuweisung von Zertifikaten
Außer den Anmeldeinformationen können auf einen Token auch Zertifikate geschrieben
werden. Es ist möglich, den privaten Teil des Zertifikats (.p12-Datei) ausschließlich auf dem
Token zu speichern. Benutzer können sich dann jedoch nur mit dem Token anmelden. Wir
empfehlen den Einsatz von PKI-Zertifikaten.
So können Sie Authentisierungsdaten Token zuweisen:
■
durch Generieren von Zertifikaten direkt auf dem Token
■
durch Zuweisen von Daten, die sich bereits auf dem Token befinden
■
durch Importieren von Zertifikaten aus einer Datei
Hinweis: CA-Zertifikate können nicht von einem Token entnommen und in der Datenbank
oder im Zertifikatsspeicher gespeichert werden. Wenn Sie CA-Zertifikate verwenden, müssen
diese in Dateiform zur Verfügung stehen, nicht nur auf einem Token. Dies gilt auch für CRLs
(Certificate Revocation List). Außerdem muss die Kombination von CA-Zertifikaten und CRL
zusammenpassen, da ansonsten eine Anmeldung an allen betroffenen Computern nicht mehr
möglich ist. Überprüfen Sie, ob CA und die entsprechende CRL korrekt sind. SafeGuard
Enterprise übernimmt diese Überprüfung nicht! SafeGuard Enterprise kann dann nur mit
ablaufenden Zertifikaten umgehen, wenn der alte und neue private Schlüssel auf demselben
Token stehen.
312
Administratorhilfe
7.9.7.1 Erzeugen von Zertifikaten durch Token
Um Zertifikate durch Token zu erzeugen, benötigen Sie das Zugriffsrecht Voller Zugriff für
den relevanten Benutzer.
Sie können neue Zertifikate direkt durch den Token generieren lassen, wenn zum Beispiel
keine Zertifikatsinfrastruktur vorhanden ist.
Hinweis: Wird der private Teil des Zertifikats allein auf den Token geschrieben, hat der
Benutzer nur mit dem Token Zugriff auf seinen privaten Schlüssel. Der private Schlüssel
befindet sich dann nur noch auf dem Token. Wenn der Token verloren geht, ist der Zugriff
auf den privaten Schlüssel nicht mehr möglich.
Voraussetzung: Der Token ist ausgestellt.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Stecken Sie den Token an der USB-Schnittstelle ein.
SafeGuard Enterprise liest den Token ein.
3. Markieren Sie den Benutzer, für den Sie ein Zertifikat generieren wollen, und öffnen Sie
im rechten Arbeitsbereich die Registerkarte Zertifikat.
4. Klicken Sie auf das Symbol Neues Zertifikat generieren und Token zuweisen in der
SafeGuard Management Center Symbolleiste. Beachten Sie, dass die Schlüssellänge auf
die Tokengröße abgestimmt sein muss.
5. Wählen Sie den Slot aus und geben Sie die Token-PIN ein.
6. Klicken Sie auf Erzeugen.
Das Zertifikat wird durch den Token generiert und dem Benutzer zugewiesen.
7.9.7.2 Zuweisen von Token-Zertifikaten zu einem Benutzer
Voraussetzungen:
Der Token ist ausgestellt.
Sie haben das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.
So weisen Sie ein auf einem Token verfügbares Zertifikat einem Benutzer zu:
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Stecken Sie den Token an der USB-Schnittstelle ein.
SafeGuard Enterprise liest den Token ein.
3. Wählen Sie den Benutzer aus, dem Sie ein Zertifikat zuweisen wollen, und öffnen Sie im
rechten Arbeitsbereich die Registerkarte Zertifikat.
4. Klicken Sie auf das Symbol Zertifikat von Token zuweisen in der SafeGuard Management
Center Symbolleiste.
5. Wählen Sie das passende Zertifikat aus der Liste aus und geben Sie die Token-PIN ein.
6. Klicken Sie auf OK.
Das Zertifikat wird dem Benutzer zugewiesen. Einem Benutzer kann jeweils nur ein Zertifikat
zugewiesen sein.
7.9.7.3 Ändern des Zertifikats eines Benutzers
Sie können die für die Anmeldung erforderlichen Zertifikate ändern oder erneuern, indem Sie
im SafeGuard Management Center ein neues Zertifikat zuweisen. Das Zertifikat wird als
313
SafeGuard Enterprise
Standby-Zertifikat neben dem bereits vorhandenen Zertifikat zugewiesen. Der Benutzer ändert
das Zertifikat auf dem Endpoint, indem er sich mit dem neuen Zertifikat anmeldet.
Hinweis: Sollten Benutzer ihre Token verlieren oder sollten Token manipuliert worden sein,
so tauschen Sie die Token nicht aus, indem Sie neue Zertifikate wie hier beschrieben zuweisen.
Andernfalls können Probleme auftreten. So ist das alte Token-Zertifikat unter Umständen
noch für die Windows-Anmeldung gültig. Solange das alte Zertifikat noch gültig ist, ist die
Anmeldung an Windows noch möglich und der Computer kann entsperrt werden. Um eine
Anmeldung zu verhindern, sperren Sie den Token.
Standby-Zertifikate können in folgenden Fällen verwendet werden:
Ändern von durch (kryptographische) Token erzeugten Zertifikaten
Wechsel von automatisch erzeugten zu durch Token erzeugten Zertifikaten
Wechsel von Authentisierung per Benutzername/Kennwort zur Authentisierung durch
kryptographischen Token (Kerberos).
Voraussetzungen:
Der neue Token ist ausgestellt.
Dem Benutzer ist nur ein Zertifikat zugewiesen.
Sie haben das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.
So ändern Sie das Zertifikat für die Token-Anmeldung für einen Benutzer:
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Stecken Sie den Token an der USB-Schnittstelle ein.
SafeGuard Enterprise liest den Token ein.
3. Wählen Sie den Benutzer aus, für den Sie das Zertifikat ändern wollen, und öffnen Sie im
rechten Arbeitsbereich die Registerkarte Zertifikat.
4. Klicken Sie in der Symbolleiste auf das Symbol für die Aktion, die Sie durchführen möchten.
5. Wählen Sie das relevante Zertifikat aus und geben Sie die Token-PIN ein.
6. Klicken Sie auf OK.
7. Übergeben Sie dem Benutzer den neuen Token.
Das Zertifikat wird dem Benutzer als Standby-Zertifikat zugewiesen. Dies wird durch eine
Häkchen in der Spalte Standby in der Zertifikate Registerkarte des Benutzers angegeben.
Nach der Synchronisierung zwischen dem Endpoint und dem SafeGuard Enterprise Server
gibt der Status-Dialog auf dem Endpoint an, dass dieser Bereit für Zertifikatwechsel ist.
Der Benutzer muss nun einen Zertifikatwechsel auf dem Endpoint-Computer initiieren. Weitere
Informationen hierzu finden Sie in der SafeGuard Enterprise Benutzerhilfe.
Nach dem Zertifikatwechsel auf dem Endpoint wird das Zertifikat während der nächsten
Synchronisierung auch auf dem SafeGuard Enterprise Server erneuert. Dadurch wird das
alte Zertifikat aus der Zertifikate Registerkarte des Benutzers im SafeGuard Management
Center entfernt. Der neue Token ist nun der Standard-Token für den Benutzer.
Hinweis: Im SafeGuard Management Center können beide Zertifikate separat gelöscht
werden. Ist nur ein Standby-Zertifikat verfügbar, so wird das nächste Zertifikat als
Standardzertifikat zugewiesen.
7.9.7.4 Importieren eines Zertifikats aus einer Datei auf einen Token
Voraussetzung: Der Token ist ausgestellt.
314
Administratorhilfe
Für einen Token mit Kerberos-Unterstützung für zentral verwaltete Endpoints müssen Sie
diesen Vorgang auswählen. Das Zertifikat muss von SafeGuard Enterprise erkannt werden
und auf den Token aufgebracht werden. Falls bereits ein automatisch generiertes Zertifikat
existiert, wird es durch das importierte Zertifikat überschrieben.
So fügen Sie den privaten Teil des Zertifikats (.p12-Datei) aus einer Datei auf dem Token
hinzu:
1. Klicken Sie im SafeGuard Management Center auf Token.
2. Stecken Sie den Token an der USB-Schnittstelle ein.
SafeGuard Enterprise liest den Token ein.
3. Markieren Sie den Token, auf den Sie den privaten Teil des Zertifikats aufbringen wollen,
und öffnen Sie im rechten Arbeitsbereich die Registerkarte Anmeldeinformationen &
Zertifikate.
4. Klicken Sie auf das Symbol P12 auf Token in der SafeGuard Management Center
Symbolleiste.
5. Wählen Sie die passende Zertifikatsdatei aus.
6. Geben Sie die Token-PIN und das Kennwort für die .p12-Datei ein und bestätigen Sie mit
OK.
Der private Teil des Zertifikats wird auf den Token aufgebracht. Sie müssen diesen nun einem
Benutzer zuweisen (siehe Token-Zertifikate einem Benutzer zuweisen (Seite 313)). Benutzer
können sich dann nur mit diesem Token anmelden.
7.9.8 Verwalten von PINs
Als Sicherheitsbeauftragter können Sie sowohl die Benutzer-PIN als auch die SO-PIN ändern
bzw. die Änderung der Benutzer-PIN erzwingen. Dies wird üblicherweise bei der
Erstausstellung eines Token notwendig. Außerdem können Sie PINs initialisieren, d. h. neu
vergeben und sperren.
Hinweis: Um PINs zu initialisieren, zu ändern oder zu sperren, benötigen Sie das Zugriffsrecht
Voller Zugriff für alle relevanten Benutzer.
Für Endpoints können Sie weitere PIN-Optionen über Richtlinien festlegen.
Hinweis: Beachten Sie bei PIN-Änderungen, dass manche Token-Hersteller selbst PIN-Regeln
festlegen, die den PIN-Regeln von SafeGuard Enterprise widersprechen können.
Möglicherweise können PINs deshalb nicht wie gewünscht geändert werden, auch wenn sie
den PIN-Regeln von SafeGuard Enterprise entsprechen. Berücksichtigen Sie daher auf jeden
Fall die PIN-Regeln des Token-Herstellers. Diese werden im SafeGuard Management Center
im Bereich Token unter Token-Information angezeigt.
Die Verwaltung der PINs wird im SafeGuard Management Center unter Token durchgeführt.
Der Token ist eingesteckt und links im Navigationsfenster markiert.
7.9.8.1 Initialisieren einer Benutzer-PIN
Voraussetzungen:
Die SO-PIN muss bekannt sein.
Sie benötigen das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.
1. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Benutzer-PIN
initialisieren Symbol.
2. Geben Sie die SO-PIN ein.
315
SafeGuard Enterprise
3. Geben Sie die neue Benutzer-PIN ein, wiederholen Sie die Eingabe und bestätigen Sie
mit OK.
Die Benutzer-PIN wurde initialisiert.
7.9.8.2 Ändern der SO-PIN
Voraussetzung: Die bisherige SO-PIN (PIN des Sicherheitsbeauftragten) muss bekannt sein.
1. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das PIN des
Sicherheitsbeauftragten ändern Symbol.
2. Geben Sie die alte SO-PIN ein.
3. Geben Sie die neue SO-PIN ein, wiederholen Sie die Eingabe und bestätigen Sie mit OK.
Die SO-PIN wurde geändert
7.9.8.3 Ändern einer Benutzer-PIN
Voraussetzung:
Die Benutzer-PIN muss bekannt sein.
Sie benötigen das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.
1. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Benutzer-PIN
ändern Symbol.
2. Geben Sie die alte und die neue Benutzer-PIN ein, wiederholen Sie die neue Benutzer-PIN
und klicken Sie auf OK.
Die Benutzer-PIN wurde geändert. Falls Sie die PIN für einen anderen Benutzer geändert
haben, teilen Sie ihm die Änderung mit.
7.9.8.4 Erzwingen einer PIN-Änderung
Um eine PIN-Änderung zu erzwingen, benötigen Sie das Zugriffsrecht Voller Zugriff für den
relevanten Benutzer.
1. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das PIN-Änderung
erzwingen Symbol.
Wenn sich der Benutzer beim nächsten Mal mit dem Token anmeldet, muss er seine
Benutzer-PIN ändern.
7.9.8.5 PIN-Historie
Die PIN-Historie kann gelöscht werden. Klicken Sie dazu auf das Symbol PIN-Historie
löschen.
7.9.9 Verwalten von Token und Smartcards
Im Bereich Token des SafeGuard Management Centers hat der Sicherheitsbeauftragte
folgende Möglichkeiten:
316
■
Einsehen einer Übersicht über die ausgestellten Token und Zertifikate
■
Filtern von Übersichten
■
Sperren von Token für die Anmeldung
■
Lesen oder Löschen der Daten auf einem Token
Administratorhilfe
7.9.9.1 Anzeigen von Token/Smartcard-Informationen
Als Sicherheitsbeauftragter können Sie sich Informationen über alle oder einzelne ausgestellte
Token anzeigen lassen. Sie können auch Übersichten filtern.
Voraussetzung: Der Token muss eingesteckt sein.
1. Klicken Sie im SafeGuard Management Center auf Token.
2. Um Informationen zu einzelnen Token anzeigen zu lassen, wählen Sie den gewünschten
Token unter Token Slots.
Unter Token-Information werden Hersteller, Typ, Seriennummer, Angaben zu Hardware
und PIN-Regeln angezeigt. Außerdem sehen Sie, welchem Benutzer der Token zugeordnet
ist.
Hinweis: Unter Token Slots werden die ausgestellten Token ungeachtet Ihrer
Zugriffsrechte für die relevanten Benutzer angezeigt, damit Sie sehen können, ob der
Token in Gebrauch ist oder nicht. Wenn Sie keine Zugriffsrechte oder das Zugriffsrecht
Schreibgeschützt für den relevanten Benutzer haben, werden alle Token-Daten in den
Registerkarten Token-Information und Anmeldeinformationen und Zertifikate
ausgegraut und Sie können den Token nicht verwalten.
3. Um eine Übersicht über Token anzeigen zu lassen, wählen Sie Ausgestellte Token. Sie
können alle ausgestellten Token anzeigen lassen oder die Übersicht nach Benutzern
filtern.
Es werden die Seriennummer der Token, die Benutzerzuordnung und das
Ausstellungsdatum angezeigt. Außerdem erkennen Sie, ob der Token gesperrt ist.
Hinweis: Die Ansicht Ausgestellte Token zeigt die Token für alle Benutzer, für die Sie
die Zugriffsrechte Schreibgeschützt oder Voller Zugriff haben.
7.9.9.2 Sperren von Token oder Smartcards
Als Sicherheitsbeauftragter können Sie Token sperren. Dies ist z. B. sinnvoll, wenn ein Token
verloren gegangen ist.
Um einen Token zu sperren, benötigen Sie das Zugriffsrecht Voller Zugriff für den relevanten
Benutzer.
1. Klicken Sie im SafeGuard Management Center auf Token.
2. Markieren Sie links im Navigationsbereich Ausgestellte Token.
3. Wählen Sie den Token, der gesperrt werden soll, und klicken Sie auf das Symbol Token
sperren in der SafeGuard Management Center Symbolleiste.
Der Token wird für die Authentisierung gesperrt, der zugeordnete Benutzer kann sich nicht
mehr damit anmelden. Der Token kann nur mithilfe der SO-PIN entsperrt werden.
7.9.9.3 Löschen von Token/Smartcard-Daten
Als Sicherheitsbeauftragter können Sie die Daten, die über SafeGuard Enterprise auf den
Token geschrieben wurden, vom Token entfernen.
Voraussetzung:
Der Token muss eingesteckt sein.
Sie benötigen das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.
1. Klicken Sie im SafeGuard Management Center auf Token.
317
SafeGuard Enterprise
2. Markieren Sie links im Navigationsbereich den relevanten Token unter Token Slots.
3. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Token löschen
Symbol.
4. Geben Sie die dem Token zugeordnete SO-PIN ein und bestätigen Sie mit OK.
Es werden alle Daten entfernt, die von SafeGuard Enterprise verwaltet werden. Zertifikate
verbleiben auf dem Token.
Die Benutzer-PIN wird auf 1234 zurückgesetzt.
Auf diese Weise gelöschte Token werden automatisch aus der Liste der ausgestellten Token
entfernt.
7.9.9.4 Lesen von Token/Smartcard-Daten
All Sicherheitsbeauftragter können Sie die Daten auf dem Token mit der Benutzer-PIN lesen.
Voraussetzung:
Der Token muss eingesteckt sein. Die PIN muss dem Sicherheitsbeauftragten bekannt
sein. Oder sie muss initialisiert sein (siehe Initialisieren der Benutzer-PIN (Seite 315).
Sie benötigen die Zugriffsrechte Schreibgeschützt oder Voller Zugriff für den relevanten
Benutzer.
1. Klicken Sie im SafeGuard Management Center auf Token.
2. Wählen Sie links im Navigationsbereich unter Token Slots den gewünschten Token und
wählen Sie die Registerkarte Anmeldeinformationen und Zertifikate aus.
3. Klicken Sie auf das Symbol Anmeldeinformationen des Benutzers abrufen und geben
Sie die Benutzer-PIN für den Token ein.
Die Daten, die sich auf dem Token befinden, werden angezeigt.
7.10 Planen von Tasks
Das SafeGuard Management Center bietet den Taskplaner für das Erstellen und Planen von
auf Skripten basierenden Tasks, die in regelmäßigen Abständen ausgeführt werden. Auf dem
SafeGuard Enterprise Server startet ein Service die Tasks automatisch zur Ausführung der
angegebenen Skripte.
Periodische Tasks sind z. B. nützlich für
■
die automatische Synchronisierung zwischen dem Active Directory und SafeGuard
Enterprise.
■
das automatische Löschen von protokollierten Ereignissen.
Für diese beiden Vorgänge stehen in SafeGuard Enterprise vordefinierte Skripte zur Verfügung.
Sie können diese Skripte unverändert verwenden oder Ihren Anforderungen anpassen. Weitere
Informationen finden Sie unter Vordefinierte Skripte für regelmäßig wiederkehrende Tasks
(Seite 324).
Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie Skripte, Regeln und
zeitliche Intervalle für die Tasks im Taskplaner definieren.
Hinweis: Stellen Sie sicher, dass für das Konto, das für die Verwendung des SafeGuard
Enterprise Taskplaners benutzt wird, die geeigneten SQL-Berechtigungen eingestellt sind.
Weitere Informationen hierzu finden Sie in unserer Wissensdatenbank:
http://www.sophos.com/de-de/support/knowledgebase/113582.aspx.
318
Administratorhilfe
Hinweis: Die API kann nicht mehrere Tasks gleichzeitig verarbeiten. Wenn Sie mehrere
Konten pro Task verwenden, führt dies zu Datenbankzugriffsverletzungen.
7.10.1 Erstellen eines neuen Tasks
Um Tasks im Taskplaner zu erstellen, benötigen Sie die Sicherheitsbeauftragtenrechte
Taskplaner benutzen und Tasks verwalten.
1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner.
Der Dialog Taskplaner wird angezeigt.
2. Klicken Sie auf die Schaltfläche Erzeugen...
Der Dialog Neuer Task wird angezeigt.
3. Geben Sie im Feld Name einen eindeutigen Namen für den Task ein.
Ist der Task-Name nicht eindeutig, so wird eine Warnungsmeldung angezeigt, wenn Sie
auf OK klicken, um den Task zu speichern.
4. Wählen Sie aus der Dropdownliste des Felds SGN Server den Server, auf dem der Task
laufen soll.
Die Dropdownliste zeigt nur Server, für die die Skript-Ausführung erlaubt ist. Sie können
die Skript-Ausführung für einen bestimmten Server als erlaubt definieren, wenn Sie diesen
mit der Funktion Konfigurationspakete im SafeGuard Management Center registrieren.
Weitere Informationen zum Registrieren von Servern finden Sie in der SafeGuard Enterprise
Installationsanleitung.
Wenn Sie Keiner auswählen, wird der Task nicht ausgeführt.
5. Klicken Sie auf die Dropdown-Schaltfläche Importieren... neben dem Feld Skript.
Der Dialog Skript-Datei für den Import auswählen wird angezeigt.
Hinweis: Im Verzeichnis Script Templates Ihrer SafeGuard Management Center Installation
stehen zwei vordefinierte Skripte zur Verfügung. Der Dialog Skript-Datei für den Import
auswählen zeigt automatisch dieses Verzeichnis an. Weitere Informationen finden Sie
unter Vordefinierte Skripte für regelmäßig wiederkehrende Tasks (Seite 324).
Mit dem Taskplaner können Sie Skripte importieren, exportieren und bearbeiten. Weitere
Informationen finden Sie unter Mit Skripten im Task Scheduler arbeiten (Seite 323).
6. Wählen Sie das Skript aus, das mit dem Task ausgeführt werden soll, und klicken Sie auf
OK.
Wenn das ausgewählte Skript leer ist, bleibt die Schaltfläche OK im Dialog deaktiviert.
Außerdem wird ein Warnungssymbol angezeigt.
7. Geben Sie im Feld Startzeit an, wann der Task auf dem ausgewählten Server ausgeführt
werden soll.
Die Startzeit wird unter Anwendung der lokalen Zeit des Computers, auf dem das SafeGuard
Management Center läuft, angegeben. Intern wird die Startzeit als Coordinated Universal
Time (UTC) gespeichert. Dadurch können Tasks auch dann exakt zur gleichen Zeit
ausgeführt werden, wenn sich Server in unterschiedlichen Zeitzonen befinden. Alle Server
verwenden die aktuelle Zeit des Datenbankservers für das Starten von Tasks. Zur
Optimierung der Task-Überwachung wird die Datenbankreferenzzeit im Taskplaner Dialog
angezeigt.
319
SafeGuard Enterprise
8. Geben Sie im Feld Wiederholung an, wie oft der Task auf dem ausgewählten Server
ausgeführt werden soll.
■
Um den Task einmal auszuführen, wählen Sie Einmal und geben Sie das gewünschte
Datum an.
■
Um den Task täglich auszuführen, wählen Sie Täglich und dann Jeden Tag (inklusive
Samstag und Sonntag) oder Jeden Wochentag (Montag - Freitag).
■
Um den Task wöchentlich auszuführen, wählen Sie Wöchentlich und geben Sie den
gewünschten Tag in der Woche an.
■
Um den Task monatlich auszuführen, wählen Sie Monatlich und geben Sie den
gewünschten Tag im Monat aus einem Bereich von 1 bis 31 an. Um den Task am
letzten Tag des Monats auszuführen, wählen Sie Letzter aus der Dropdownliste.
Wenn Sie alle obligatorischen Felder ausgefüllt haben, wird die Schaltfläche OK aktiv.
9. Klicken Sie auf OK.
Der Task wird in der Datenbank gespeichert und in der Taskplaner Übersicht angezeigt. Er
wird gemäß dem angegebenen Plan auf dem ausgewählten Server ausgeführt.
7.10.2 Die Taskplaner-Übersichtanzeige
Nachdem Sie Tasks zur Ausführung auf einem SafeGuard Enterprise Server erstellt haben,
werden diese im Dialog Taskplaner angezeigt, den Sie über Extras > Taskplaner öffnen.
Dieser Dialog zeigt die folgenden Spalten für die einzelnen Tasks:
Spalte
Beschreibung
Task-Name
Zeigt den eindeutigen Task-Namen.
SGN Server
Gibt an, auf welchem Server der Task ausgeführt
wird.
Geplante Ausführung
Zeigt den für den Task definierten Zeitplan inklusive
Wiederholung und Zeit.
Nächste Ausführung
Zeigt an, wann der Task zum nächsten Mal
ausgeführt wird (Datum und Uhrzeit). Wenn für
diesen Task keine weiteren Ausführungen
vorgesehen sind, wird in dieser Spalte Keine
angezeigt.
Letzte Ausführung
Zeigt an, wann der Task zum letzten mal ausgeführt
wurde (Datum und Uhrzeit). Wurde der Task noch
nicht ausgeführt, so wird in dieser Spalte Keine
angezeigt.
Ergebnis der letzten Ausführung
Zeigt das Ergebnis der letzten Task-Ausführung:
Erfolgreich
Das dem Task zugeordnete Skript wurde
erfolgreich ausgeführt.
320
Administratorhilfe
Spalte
Beschreibung
Fehlgeschlagen
Der Task konnte nicht ausgeführt werden. Falls
verfügbar, wird eine Fehlernummer angezeigt.
Läuft
Das Skript läuft derzeit.
Unzureichende Berechtigung
Der Task ist aufgrund von unzureichender
Berechtigung für die Skript-Ausführung
fehlgeschlagen.
Abgebrochen
Die Task-Ausführung wurde abgebrochen, da die
Zeitdauer 24 Stunden überschritten hat.
Steuerung nicht möglich
Die Steuerung der Ausführung des Skripts, das
dem Task zugeordnet ist, war nicht möglich. Ein
möglicher Grund hierfür ist z. B., dass der SGN
Scheduler Service gestoppt wurde.
Beschädigtes Skript
Das auszuführende Skript ist beschädigt.
Skript inzwischen gelöscht
Während sich der Task in der Warteschlange für
die Ausführung befand, wurde das Skript aus der
SafeGuard Enterprise Datenbank entfernt.
Runtime-Fehler
Während der Verarbeitung des Scheduler Service
ist ein Runtime-Fehler aufgetreten.
Unterhalb der Spalten befinden sich folgende Schaltflächen:
Schaltfläche
Beschreibung
Erzeugen...
Klicken Sie auf diese Schaltfläche, um einen neuen
Task zu erstellen.
Löschen
Klicken Sie auf diese Schaltfläche, um einen
ausgewählten Task zu löschen.
Eigenschaften
Klicken Sie auf diese Schaltfläche, um den
<Task-Name> Eigenschaften Dialog für einen
ausgewählten Task anzuzeigen. In diesem Dialog
können Sie den Task bearbeiten oder Skripte
importieren, exportieren und bearbeiten.
321
SafeGuard Enterprise
Schaltfläche
Beschreibung
Aktualisieren
Klicken Sie auf diese Schaltfläche, um die
Task-Liste im Taskplaner Dialog zu aktualisieren.
Wenn ein Benutzer in der Zwischenzeit Tasks
hinzugefügt oder gelöscht hat, wird die Task-Liste
aktualisiert.
Alle Server verwenden die aktuelle Zeit des Datenbankservers für das Starten von Tasks.
Um eine bessere Überwachung von Tasks zu gewährleisten wird hier die Zeit des
Datenbankservers angezeigt. Diese wird unter Benutzung der lokalen Zeitzone des Computers,
auf dem das SafeGuard Management Center läuft, angegeben.
7.10.3 Bearbeiten von Tasks
Um Tasks im Taskplaner zu bearbeiten, benötigen Sie die Sicherheitsbeauftragtenrechte
Taskplaner benutzen und Tasks verwalten.
1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner.
Der Dialog Taskplaner mit einer Übersicht über die geplanten Tasks wird angezeigt.
2. Wählen Sie den gewünschten Task und klicken Sie auf die Schaltfläche Eigenschaften.
Der <Task-Name> Eigenschaften Dialog mit den Eigenschaften des ausgewählten Tasks
wird angezeigt.
3. Nehmen Sie die gewünschten Änderungen vor.
Hinweis: Der Task-Name muss eindeutig sein. Wenn Sie den Namen in einen bereits
vorhandenen Task-Namen ändern, wird eine Fehlermeldung angezeigt.
4. Klicken Sie auf OK.
Die Änderungen werden wirksam.
7.10.4 Löschen von Tasks
Um Tasks aus dem Taskplaner zu entfernen, benötigen Sie die Sicherheitsbeauftragtenrechte
Taskplaner benutzen und Tasks verwalten.
1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner.
Der Dialog Taskplaner mit einer Übersicht über die geplanten Tasks wird angezeigt.
2. Wählen Sie den gewünschten Task aus.
Die Schaltfläche Löschen wird aktiv.
3. Klicken Sie auf die Schaltfläche Löschen und bestätigen Sie, dass Sie den Task löschen
möchten.
Der Task wird aus der Übersicht des Taskplaner Dialogs entfernt und nicht mehr auf dem
SafeGuard Enterprise Server ausgeführt.
Hinweis: Wurde der Task in der Zwischenzeit gestartet, so wird er zwar aus dem Taskplaner
Übersichtsdialog entfernt, jedoch noch komplett ausgeführt.
322
Administratorhilfe
7.10.5 Mit Skripten im Taskplaner arbeiten
Mit dem Taskplaner können Sie Skripte importieren, bearbeiten und exportieren. Um mit
Skripten im Taskplanerzu arbeiten, benötigen Sie die Sicherheitsbeauftragtenrechte
Taskplaner benutzen und Tasks verwalten.
7.10.5.1 Import von Skripts
Damit Sie ein Skript für die Ausführung mit einem Task angeben können, müssen Sie es
importieren. Sie können das Skript beim Erstellen eines neuen Tasks importieren. Sie können
auch Skripts für bereits vorhandene Tasks importieren.
1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner.
Der Dialog Taskplaner mit einer Übersicht über die geplanten Tasks wird angezeigt.
2. Wählen Sie den gewünschten Task und klicken Sie auf die Schaltfläche Eigenschaften.
Der <Task-Name> Eigenschaften Dialog mit den Eigenschaften des ausgewählten Tasks
wird angezeigt.
3. Klicken Sie auf die Dropdown-Schaltfläche Importieren... neben dem Feld Skript.
Der Dialog Skript-Datei für den Import auswählen wird angezeigt.
Hinweis: Im Verzeichnis Script Templates Ihrer SafeGuard Management Center Installation
stehen zwei vordefinierte Skripte zur Verfügung. Der Dialog Skript-Datei für den Import
auswählen zeigt automatisch dieses Verzeichnis an. Weitere Informationen finden Sie
unter Vordefinierte Skripte für regelmäßig wiederkehrende Tasks (Seite 324).
4. Wählen Sie das zu importierende Skript aus und klicken Sie auf OK.
Der Skript-Name wird im Feld Skript angezeigt.
5. Klicken Sie auf OK.
Wenn das Skript bereits importiert wurde, werden Sie aufgefordert zu bestätigen, dass
das alte Skript überschrieben werden soll.
Wenn die Größe der zu importierenden Datei 10 MB überschreitet, wird eine Fehlermeldung
angezeigt und der Importvorgang wird zurückgewiesen.
Das Skript wird in der Datenbank gespeichert.
7.10.5.2 Bearbeiten von Skripten
1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner.
Der Dialog Taskplaner mit einer Übersicht über die geplanten Tasks wird angezeigt.
2. Wählen Sie den gewünschten Task und klicken Sie auf die Schaltfläche Eigenschaften.
Der <Task-Name> Eigenschaften Dialog mit den Eigenschaften des ausgewählten Tasks
wird angezeigt.
3. Klicken Sie auf die Dropdown-Schaltfläche Bearbeiten neben dem Feld Skript.
Die Dropdownliste zeigt alle Editor-Programme, die für die Bearbeitung des Skripts zur
Verfügung stehen.
323
SafeGuard Enterprise
4. Wählen Sie den Editor, den Sie verwenden möchten.
Das Skript wird im ausgewählten Editor geöffnet.
5. Nehmen Sie Ihre Änderungen vor und speichern Sie sie.
Der Editor wird geschlossen und der Dialog <Task-Name> Eigenschaften wird wieder
angezeigt.
6. Klicken Sie auf OK.
Das geänderte Skript wird in der Datenbank gespeichert.
7.10.5.3 Export von Skripts
1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner.
Der Dialog Taskplaner mit einer Übersicht über die geplanten Tasks wird angezeigt.
2. Wählen Sie den gewünschten Task und klicken Sie auf die Schaltfläche Eigenschaften.
Der <Task-Name> Eigenschaften Dialog mit den Eigenschaften des ausgewählten Tasks
wird angezeigt.
3. Klicken Sie auf die Schaltfläche Exportieren... neben dem Feld Skript.
Ein Speichern unter Dialog wird angezeigt.
4. Wählen Sie den Speicherort zum Speichern des Skripts ein und klicken Sie auf Speichern.
Das Skript wird am angegebenen Speicherort gespeichert.
7.10.5.4 Vordefinierte Skripte für periodische Tasks
In SafeGuard Enterprise stehen folgende vordefinierte Skripte zur Verfügung:
■
ActiveDirectorySynchronization.vbs
Verwenden Sie dieses Skript für die automatische Synchronisierung zwischen dem Active
Directory und SafeGuard Enterprise.
■
EventLogDeletion.vbs
Verwenden Sie dieses Skript, um protokollierte Ereignisse automatisch zu löschen.
Die Skripte werden automatisch im Unterverzeichnis Script Templates der SafeGuard
Management Center Installation installiert.
Um diese Skripte für Tasks zu verwenden, importieren Sie sie in den Taskplaner und nehmen
Sie vor der Anwendung die notwendigen Parameteränderungen vor.
7.10.5.4.1
Vordefiniertes Skript für die Active Directory Synchronisierung
Sie haben die Möglichkeit, eine bestehende Organisationsstruktur über ein Active Directory
in die SafeGuard Enterprise Datenbank zu importieren. Weitere Informationen finden Sie
unter Importieren der Organisationsstruktur (Seite 278).
Nach dem Importieren der Struktur können Sie einen periodischen Task für die automatische
Synchronisierung zwischen dem Active Directory und SafeGuard Enterprise erstellen. Für
diesen Task können Sie das vordefinierte Skript ActiveDirectorySynchronization.vbs
verwenden.
Das Skript synchronisiert alle vorhandenen Container in der SafeGuard Enterprise Datenbank
mit einem Active Directory.
324
Administratorhilfe
Bevor Sie das Skript in einem periodischen Task verwenden, können Sie folgende Parameter
anpassen:
Parameter
Beschreibung
logFileName
Legen Sie den Ausgabepfad für die Skript-Protokolldatei
fest. Dieser Parameter ist obligatorisch. Ist der Parameter
leer oder ungültig, so kann die Synchronisierung nicht
durchgeführt werden und es wird eine Fehlermeldung
angezeigt. Standardmäßig ist dieser Parameter leer. Ist
bereits eine Protokolldatei vorhanden, so werden neue
Protokolle am Ende der Datei angehängt.
synchronizeMembership
Setzen Sie diesen Parameter auf 1, um auch
Mitgliedschaften zu synchronisieren. Wenn dieser
Parameter auf 0 gesetzt ist, werden die Mitgliedschaften
nicht synchronisiert. Die Standardeinstellung ist 1.
synchronizeAccountState
Setzen Sie diesen Parameter auf 1, um auch den Benutzer
Aktiv-Status zu synchronisieren. Wenn dieser Parameter
auf 0 gesetzt ist, wird der Benutzer Aktiv-Status nicht
synchronisiert. Die Standardeinstellung ist 0.
Hinweis: Stellen Sie sicher, dass sie über die erforderlichen Zugriffsrechte für die Active
Directory Synchronisierung verfügen und dass die notwendigen SQL Berechtigungen für das
Konto, das für die Ausführung des SafeGuard Enterprise Taskplaners benutzt wird, eingestellt
sind. Weitere Informationen finden Sie unter Zugriffsrechte für Sicherheitsbeauftragte und
Import aus Active Directory (Seite 280). Für Informationen zum Einstellen der Active Directory
Zugriffsrechte, siehe http://www.sophos.com/support/knowledgebase/107979.aspx. Für
Informationen zum Einstellen der SQL-Berechtigungen, siehe
http://www.sophos.com/de-de/support/knowledgebase/113582.aspx.
Wenn die Rechte korrekt eingestellt sind, wenden Sie die Änderungen an und starten Sie den
Dienst neu. Wechseln Sie auf den Server, der die SafeGuard Web-Seite hostet. Klicken Sie
Start > Run > Services.msc, um die Services Oberfläche zu öffnen. Klicken Sie mit der
rechten Maustaste auf SafeGuard® Scheduler Service und klicken Sie auf All Tasks >
Restart.
Hinweis: Wir empfehlen, dass Sie das Active Directory in einem vergleichsweise moderaten
Abstand (maximal zweimal am Tag) synchronisieren, damit sich die Serverleistung nicht
bedeutend verringert. Neue Objekte werden in diesen Abständen im SafeGuard Management
Center unter .Autoregistered angezeigt. Hier können Sie wie üblich verwaltet werden.
7.10.5.4.2
Vordefiniertes Skript für das automatische Löschen von protokollierten Ereignissen
Die in der SafeGuard Enterprise Datenbank protokollierten Ereignisse werden in der
EVENT-Tabelle gespeichert. Weitere Informationen zur Protokollierung finden Sie unter
Berichte (Seite 328).
Mit dem Taskplaner können Sie einen periodischen Task für das automatische Löschen von
protokollierten Ereignissen erstellen. Für diesen Task können Sie das vordefinierte Skript
EventLogDeletion.vbs verwenden.
Das Skript löscht Ereignisse aus der EVENT-Tabelle.Wenn Sie den entsprechenden Parameter
einstellen, verschiebt das Skript auch die Ereignisse aus der EVENT-Tabelle in die
Backup-Log-Tabelle EVENT_BACKUP. Dabei wird eine definierte Anzahl an neuesten
Ereignissen in der EVENT-Tabelle belassen.
325
SafeGuard Enterprise
Bevor Sie das Skript in einem periodischen Task verwenden, können Sie folgende Parameter
anpassen:
Parameter
Beschreibung
maxDuration
Mit diesem Parameter legen Sie fest, wie lange (in Tagen)
die Ereignisse in der EVENT-Tabelle verbleiben. Die
Standardeinstellung ist 0. Wenn dieser Parameter auf 0
gesetzt ist, gibt es keine zeitliche Begrenzung für das
Verbleiben der Ereignisse in der EVENT-Tabelle.
maxCount
Mit diesem Parameter legen Sie fest, wie viele Ereignisse
in der EVENT-Tabelle verbleiben. Die Standardeinstellung
ist 5000. Wenn dieser Parameter auf 0 gesetzt ist, gibt es
keine maximale Anzahl an Ereignissen in der
EVENT-Tabelle.
keepBackup
Mit diesem Parameter legen Sie fest, ob Ereignisse in der
EVENT_BACKUP-Tabelle gesichert werden sollen. Die
Standardeinstellung ist 0. Wenn dieser Parameter auf 0
gesetzt ist, werden die Ereignisse nicht gesichert. Setzen
Sie diesen Parameter auf 1, um eine Sicherungskopie der
gelöschten Ereignisse zu erstellen.
Hinweis: Wenn Sie die Ereignisse über das Skript aus der EVENT-Tabelle in die
Backup-Log-Tabelle verschieben, findet die Verkettung der Protokollierung keine Anwendung
mehr. Es ist nicht sinnvoll, die Verkettung zu aktivieren und gleichzeitig die gespeicherte
Prozedur zur Säuberung der EVENT-Tabelle einzusetzen. Weitere Informationen finden Sie
unter Verkettung protokollierter Ereignisse (Seite 335).
7.10.6 Einschränkungen in Bezug auf registrierte Server
Wenn Sie im SafeGuard Management Center mit der Funktion Konfigurationspakete Server
registrieren, können Sie mit einem Maschinenzertifikat mehrere Server Templates registrieren.
Sie können jedoch jeweils nur ein Template auf der realen Maschine installieren.
Wenn Sie für beide Server das Kontrollkästchen Skripts ausführen erlaubt auswählen, zeigt
der Taskplaner beide Server in der Dropdownliste SGN Server in den Dialogen Neuer Task
und <Task-Name> Eigenschaften zur Auswahl an. Der Taskplaner kann nicht ermitteln,
welches der beiden Templates auf der Maschine installiert wurde.
Um dies zu vermeiden, wählen Sie das Kontrollkästchen Skript ausführen erlaubt für
Templates, die nicht auf dem Server installiert sind, nicht aus. Vermeiden Sie außerdem eine
Doppelung von Templates mit demselben Maschinenzertifikat.
Weitere Informationen zum Registrieren von Servern finden Sie in der SafeGuard Enterprise
Installationsanleitung.
7.10.7 Protokollierte Ereignisse für den Taskplaner
Zur Ausführung von Tasks lassen sich Ereignisse protokollieren, die zum Beispiel bei der
Fehlerbehebung nützliche Informationen liefern. Sie können festlegen, dass folgende Ereignisse
protokolliert werden:
■
326
Task erfolgreich ausgeführt
Administratorhilfe
■
Task fehlgeschlagen
■
Service Thread wegen Ausführung gestoppt
Die Ereignisse enthalten den Output der Skriptkonsole zur Unterstützung bei der
Fehlerbehebung.
Weitere Informationen zur Protokollierung finden Sie unter Berichte (Seite 328).
7.11 Auditing
7.11.1 Protokollierte Ereignisse für BitLocker
Vom BitLocker Client gemeldete Ereignisse werden wie für alle anderen SafeGuard Enterprise
Clients protokolliert. Dabei wird nicht explizit erwähnt, dass sich das Ereignis auf einen
BitLocker Client bezieht. Die Berichte entsprechen den für jeden anderen SafeGuard Enterprise
Client erzeugten Berichten.
7.11.2 Protokollierte Ereignisse für Benutzer, Computer oder Arbeitsgruppen
Die erfolgreiche bzw. nicht erfolgreiche Registrierung eines Benutzers, Computers oder einer
Arbeitsgruppe wird protokolliert. Sie können eine Liste dieser Ereignisse im SafeGuard
Management Center unter Berichte in der Ereignisanzeige auflisten lassen.
7.11.3 Protokollierte Ereignisse für Service Account Listen
Die in Zusammenhang mit Service Account Listen durchgeführten Aktionen werden über die
folgenden Ereignisse protokolliert:
SafeGuard Management Center
■
Service Account Liste <Name> angelegt.
■
Service Account Liste <Name> geändert.
■
Service Account Liste <Name> gelöscht.
Durch SafeGuard Enterprise geschützte Endpoints
■
Windows-Benutzer <Domäne/Benutzer> hat sich um <Zeit> an Maschine
<Domäne/Computer> als SGN Service Account angemeldet.
■
Neue Service Account Liste importiert.
■
Service Account Liste <Name> gelöscht.
7.11.4 Protokollierung des Dateizugriffs im Cloud-Speicher
Mit der Funktion Berichte im SafeGuard Management Center lässt sich der Dateizugriff im
Cloud-Speicher protokollieren (Datei-Tracking). Für Datei-Tracking spielt es keine Rolle, ob
für die Dateien eine Verschlüsselungsrichtlinie gilt.
In einer Richtlinie vom Typ Protokollierung können Sie Folgendes konfigurieren:
■
Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf einem
Wechselmedium angelegt wird.
327
SafeGuard Enterprise
■
Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf einem
Wechselmedium umbenannt wird.
■
Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf einem
Wechselmedium gelöscht wird.
Weitere Informationen finden Sie unter Datei-Tracking-Bericht für Wechselmedien und
Cloud-Speicher (Seite 333).
7.11.5 Protokollierung des Dateizugriffs auf Wechselmedien
Mit der Funktion Berichte des SafeGuard Management Center lässt sich der Dateizugriff auf
Wechselmedien protokollieren (Datei-Tracking). Für Datei-Tracking spielt es keine Rolle, ob
für Dateien auf Wechselmedien eine Verschlüsselungsrichtlinie gilt.
In einer Richtlinie vom Typ Protokollierung können Sie Folgendes konfigurieren:
■
Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem
Wechselmedium angelegt wird.
■
Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem
Wechselmedium umbenannt wird.
■
Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis vom
Wechselmedium gelöscht wird.
Weitere Informationen finden Sie unter Datei-Tracking-Bericht für Wechselmedien und
Cloud-Speicher (Seite 333).
7.11.6 Berichte
Die Aufzeichnung sicherheitsrelevanter Vorfälle ist Voraussetzung für eine gründliche
Systemanalyse. Anhand der protokollierten Ereignisse können Vorgänge auf einer
Arbeitsstation bzw. innerhalb eines Netzwerks exakter nachvollzogen werden. Durch die
Protokollierung lassen sich zum Beispiel Schutzverletzungen unautorisierter Dritter nachweisen.
Dem Administrator bzw. Sicherheitsbeauftragten bietet die Protokollierung auch eine Hilfe,
um irrtümlich verwehrte Benutzerrechte ausfindig zu machen und zu korrigieren.
SafeGuard Enterprise protokolliert alle Aktivitäten und Statusinformationen der Endpoints
sowie Administratoraktionen und sicherheitsrelevante Ereignisse und speichert diese zentral.
Die Protokollierung zeichnet Ereignisse auf, die installierte SafeGuard Produkte auslösen.
Die Art des Protokolls wird in Richtlinien vom Typ Protokollierung definiert. Hier legen Sie
auch den fest, wo die protokollierten Ereignisse ausgegeben und gespeichert werden sollen:
in der Windows-Ereignisanzeige des Endpoint oder in der SafeGuard Enterprise Datenbank.
Als Sicherheitsbeauftragter mit den entsprechenden Rechten können Sie die im SafeGuard
Management Center angezeigten Statusinformationen und Protokollberichte einsehen,
ausdrucken und archivieren. Umfassende Sortier- und Filterfunktionen unterstützen Sie im
SafeGuard Management Center bei der Auswahl relevanter Ereignisse aus den verfügbaren
Informationen.
Auch eine automatisierte Auswertung der Log-Datenbank, zum Beispiel über Crystal Reports
oder Microsoft System Center Operations Manager, ist möglich. Die Protokolleinträge werden
von SafeGuard Enterprise sowohl auf Client- als auch auf Server-Seite durch Signatur gegen
unbefugte Manipulation geschützt.
Gemäß der Protokollierungsrichtlinie können Ereignisse aus den folgenden Kategorien
protokolliert werden:
■
328
Authentisierung
Administratorhilfe
■
Administration
■
System
■
Verschlüsselung
■
Client
■
Zugriffskontrolle
■
Für SafeGuard Data Exchange lässt sich der Dateizugriff auf Wechselmedien durch
Protokollierung der relevanten Ereignisse verfolgen. Weitere Informationen zu diesem
Berichtstyp finden Sie unter Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher
(Seite 333).
■
Für SafeGuard Cloud Storage lässt sich der Zugriff auf Dateien in Ihrem Cloud-Speicher
durch Protokollierung der relevanten Ereignisse verfolgen. Weitere Informationen zu diesem
Berichtstyp finden Sie unter Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher
(Seite 333).
7.11.6.1 Anwendungsgebiete
Die SafeGuard Enterprise Protokollierung von Ereignissen ist eine benutzerfreundliche und
umfassende Lösung zum Aufzeichnen und Auswerten von Ereignissen. Die folgenden Beispiele
zeigen einige typische Anwendungsszenarien für SafeGuard Enterprise Berichte.
7.11.6.1.1
Zentrale Überwachung von Endpoints im Netzwerk
Der Sicherheitsbeauftragte will regelmäßig über kritische Ereignisse (zum Beispiel Zugriff auf
Dateien, für die ein Benutzer keine Berechtigung hat, oder eine Reihe von fehlgeschlagenen
Anmeldeversuchen innerhalb eines bestimmten Zeitraums) informiert werden. Über eine
Protokollierungsrichtlinie lässt sich die Protokollierung so konfigurieren, dass alle auf den
relevanten Endpoints auftretenden sicherheitskritischen Ereignisse in einer lokalen
Protokolldatei protokolliert. Nach Erreichen einer festgelegten Anzahl an Ereignissen wird die
Protokolldatei über den SafeGuard Enterprise Server in die SafeGuard Enterprise Datenbank
übertragen. In der Ereignisanzeige des SafeGuard Management Centers kann der
Sicherheitsbeauftragte die Ereignisse abrufen, einsehen und analysieren. Somit lassen sich
die Vorgänge auf den verschiedenen Endpoints kontrollieren, ohne dass Mitarbeiter Einfluss
auf die Aufzeichnungen nehmen können.
7.11.6.1.2
Überwachen mobiler Benutzer
Mobile Benutzer sind in der Regel nicht ständig mit dem Unternehmensnetzwerk verbunden.
Ein Außendienstmitarbeiter nimmt zum Beispiel für einen Termin sein Notebook vom Netz.
Sobald er sich wieder am Netzwerk anmeldet, werden die während der Offline-Zeit
protokollierten SafeGuard Enterprise Ereignisse übertragen. Die Protokollierung liefert somit
einen genauen Überblick über die Benutzeraktivitäten während der betreffende Computer
nicht an das Netzwerk angeschlossen war.
7.11.6.2 Voraussetzung
Ereignisse werden durch den SafeGuard Server verarbeitet. Wenn Sie auf Computern, auf
denen kein SafeGuard Enterprise-Client installiert ist (SafeGuard Management
Center-Computer oder der SafeGuard Enterprise Server selbst), Berichte aktivieren, müssen
Sie sicherstellen, dass Ereignisse an den SafeGuard Enterprise Server gesendet werden.
Sie müssen daher ein Client-Konfigurationspaket auf dem Computer installieren. Dadurch
wird der Computer beim SafeGuard Enterprise Server als Client aktiviert und die Windows
oder SafeGuard Enterprise Protokollierungsfunktionalität kann genutzt werden.
329
SafeGuard Enterprise
Weitere Informationen zu Client-Konfigurationspaketen finden Sie unter Mit
Konfigurationspaketen arbeiten (Seite 93).
7.11.6.3 Ziel für protokollierte Ereignisse
Ziel der protokollierten Ereignisse kann die Windows-Ereignisanzeige oder die SafeGuard
Enterprise Datenbank sein. In das jeweilige Ziel schreibt die Protokollierung nur Ereignisse,
die mit einem SafeGuard-Produkt verknüpft sind.
Die Ausgabeziele für zu protokollierende Ereignisse werden in der Protokollierungsrichtlinie
festgelegt.
7.11.6.3.1
Windows-Ereignisanzeige
Ereignisse, für die Sie in der Protokollierungsrichtlinie die Windows-Ereignisanzeige als Ziel
festlegen, werden in der Windows-Ereignisanzeige abgelegt. Über die
Windows-Ereignisanzeige lassen sich Protokolle für System-, Sicherheits- und
Anwendungs-Ereignisse anzeigen und verwalten. Sie können diese Ereignisprotokolle auch
speichern. Für diese Vorgänge benötigen Sie einen Administrator-Account für den jeweiligen
Endpoint. In der Ereignisanzeige wird jeweils ein Fehlercode, kein beschreibender Text des
Ereignisses, angezeigt.
Hinweis: Eine Voraussetzung, um SafeGuard Enterprise Events in der Windows
Ereignisanzeige sehen zu können, ist, dass ein Client config.msi am Endpoint installiert ist.
Hinweis: Dieses Kapitel beschreibt das Einsehen sowie die Verwaltung und Analyse der
Ereignisprotokolle im SafeGuard Management Center. Weitere Informationen zur
Windows-Ereignisanzeige finden Sie in Ihrer Microsoft-Dokumentation.
7.11.6.3.2
SafeGuard Enterprise Datenbank
Ereignisse, für die Sie in der Protokollierungsrichtlinie die SafeGuard Enterprise Datenbank
als Ziel festlegen, werden in lokalen Protokolldateien im Local Cache des jeweiligen Endpoint
im Verzeichnis auditing\SGMTranslog gesammelt. Diese Dateien werden an den
Transportmechanismus übergeben, der sie dann über den SafeGuard Enterprise Server in
die Datenbank einträgt. Die Übergabe erfolgt standardmäßig immer dann, wenn der
Transportmechanismus erfolgreich eine Verbindung zum Server aufbauen konnte. Um die
Größe einer Protokolldatei einzuschränken, können Sie in einer Richtlinie des Typs Allgemeine
Einstellungen eine maximale Anzahl an Protokolleinträgen definieren. Die Protokolldatei
wird dann vom Protokollsystem nach Erreichen der festgelegten Anzahl an Einträgen in die
Transportqueue des SafeGuard Enterprise Servers gestellt. Die in der zentralen Datenbank
protokollierten Ereignisse lassen sich in der SafeGuard Enterprise Ereignisanzeige oder in
der Datei-Tracking-Anzeige abrufen. Für das Einsehen, Analysieren und Verwalten der in
der Datenbank protokollierten Ereignisse benötigen Sie als Sicherheitsbeauftragter die
relevanten Berechtigungen.
7.11.6.4 Konfigurieren von Einstellungen für die Protokollierung
Die Definition von Berichten erfolgt über zwei Richtlinien:
■
Richtlinie des Typs Allgemeine Einstellungen
In einer Richtlinie des Typs Allgemeine Einstellungen können Sie die Anzahl an
protokollierten Ereignissen angeben, nach deren Erreichen die Protokolldatei mit den für
die zentrale Datenbank bestimmten Ereignissen an die SafeGuard Enterprise Datenbank
übermittelt werden soll. Dadurch wird die Größe der einzelnen zu übertragenden
Protokolldateien begrenzt. Diese Einstellung ist optional.
■
330
Richtlinie des Typs Protokollierung
Administratorhilfe
Die zu protokollierenden Ereignisse werden in der Protokollierungsrichtlinie definiert. Hier
legen Sie als Sicherheitsbeauftragter mit den relevanten Berechtigungen fest, welche
Ereignisse an welchem Ausgabeort protokolliert werden.
7.11.6.4.1
Festlegen der Anzahl an Ereignissen für Rückmeldung
1. Klicken Sie im SafeGuard Management Center auf Richtlinien.
2. Legen Sie eine neue Richtlinie des Typs Allgemeine Einstellung an oder wählen Sie
eine bereits bestehende Richtlinie aus.
3. Legen Sie im Feld Rückmeldung nach Anzahl von Ereignissen unter Protokollierung
die maximale Anzahl an Ereignissen pro Protokolldatei fest
4. Speichern Sie Ihre Einstellungen.
Nach dem Zuweisen der Richtlinie gilt die angegebene Anzahl an Ereignissen.
7.11.6.4.2
Auswahl von Ereignissen
1. Klicken Sie im SafeGuard Management Center auf Richtlinien.
2. Legen Sie eine neue Richtlinie des Typs Protokollierung an oder wählen Sie eine bereits
bestehende Richtlinie aus.
Im rechten Aktionsbereich unter Protokollierung werden die vordefinierten Ereignisse,
die protokolliert werden können, angezeigt. Standardmäßig werden Ereignisse nach Ebene
gruppiert, zum Beispiel Warnung oder Fehler. Sie können die Gruppierung jedoch ändern.
Ein Klick auf die Spaltenüberschrift sortiert die Ereignisse nach ID, Kategorie usw.
3. Um festzulegen, dass ein Ereignis in der SafeGuard Enterprise Datenbank protokolliert
werden soll, wählen Sie das Ereignis in der Spalte mit dem Datenbanksymbol Ereignisse
in der Datenbank protokollieren durch Klicken mit der Maus aus. Für Ereignisse, die in
der Windows-Ereignisanzeige protokolliert werden sollen, klicken Sie in der Spalte mit
dem Ereignisprotokollsymbol Im Ereignisprotokoll protokollieren.
Durch wiederholtes Klicken lässt sich die Markierung wieder aufheben oder auf null setzen.
Für Ereignisse, für die Sie keine Einstellung festlegen, gelten die vordefinierten
Standardwerte.
4. Bei den für die Protokollierung ausgewählten Ereignissen wird in der betreffenden Spalte
ein grünes Häkchen angezeigt. Speichern Sie Ihre Einstellungen.
Nach der Zuweisung der Richtlinie werden die ausgewählten Ereignisse am festgelegten
Ausgabeziel protokolliert.
Hinweis: Eine Auflistung aller für die Protokollierung auswählbaren Ereignisse finden Sie
unter Für Berichte auswählbare Ereignisse (Seite 339).
7.11.6.5 Einsehen von protokollierten Ereignissen
Wenn Sie als Sicherheitsbeauftragter über die entsprechenden Berechtigungen verfügen,
können Sie die in der zentralen Datenbank protokollierten Ereignisse in der SafeGuard
Management Center Ereignisanzeige einsehen.
So rufen Sie in der zentralen Datenbank protokollierte Ereignisse ab:
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die Schaltfläche
Berichte.
2. Markieren Sie im Berichte Navigationsbereich den Eintrag Ereignisanzeige.
3. Klicken Sie im rechten Fensterbereich Ereignisanzeige auf das Lupensymbol.
Alle in der zentralen Datenbank protokollierten Ereignisse werden in der Ereignisanzeige
angezeigt.
331
SafeGuard Enterprise
Die einzelnen Spalten zeigen folgende Informationen zu den protokollierten Ereignissen:
Spalte
Beschreibung
ID
Zeigt eine Nummer zur Identifizierung des Ereignisses.
Ereignis
Zeigt den Ereignistext, d.h. eine Beschreibung des Ereignisses.
Kategorie
Zeigt die Klassifizierung des Ereignisses durch die Quelle, z.
B.:Verschlüsselung, Anmeldung, System.
Anwendung
Zeigt den Bereich der Software, der das Ereignis übermittelt
hat, z. B. SGMAuth, SGBaseENc, SGMAS.
Computer
Zeigt den Namen des Computers, auf dem das protokollierte
Ereignis aufgetreten ist.
Computerdomäne
Zeigt die Domäne des Computers, auf dem das protokollierte
Ereignis aufgetreten ist.
Benutzer
Zeigt den Benutzer, der beim Auftreten des Ereignisses
angemeldet war.
Benutzerdomäne
Zeigt die Domäne des Benutzers, der beim Auftreten des
Ereignisses angemeldet war.
Zeitpunkt der Protokollierung
Zeigt Systemdatum und Systemuhrzeit der Protokollierung
des Ereignisses auf dem Endpoint.
Durch Klicken auf den Spalten-Header lässt sich die Ereignisanzeige nach Ebene, Kategorie
usw. sortieren.
Darüber hinaus steht über das Kontextmenü der einzelnen Spalten eine Reihe von Funktionen
für die Sortierung, Gruppierung und Anpassung der Ereignisanzeige zur Verfügung.
Wenn Sie auf einen Eintrag in der Ereignisanzeige doppelklicken, werden Details zum
protokollierten Ereignis angezeigt.
7.11.6.5.1
Filtern der SafeGuard Enterprise Ereignisanzeige
Das SafeGuard Management Center bietet umfassende Filterfunktionen. Mit diesen Funktionen
können Sie die jeweils relevanten Ereignisse schnell aus Fülle der in der Ereignisanzeige
dargestellten Informationen ermitteln.
Im Filter-Bereich der Ereignisanzeige stehen folgende Felder für die Definition von Filtern
zur Verfügung:
332
Feld
Beschreibung
Kategorien
Unter Anwendung dieses Felds lässt sich die Ereignisanzeige
nach den in der Spalte Kategorie angegebenen Klassifizierungen
durch die Quelle (zum Beispiel Verschlüsselung, Anmeldung,
Administratorhilfe
Feld
Beschreibung
System) filtern. Wählen Sie hierzu die gewünschten Kategorien in
der Dropdownliste des Felds aus.
Fehlerstufe
Unter Anwendung dieses Felds lässt sich die Ereignisanzeige
nach den in der Spalte Ebene angegebenen
Windows-Ereignisklassifizierungen (z. B. Warnung, Fehler) filtern.
Wählen Sie hierzu die gewünschten Ebenen in der Dropdownliste
des Felds aus.
Zeige letzte
In diesem Feld können Sie die Anzahl der anzuzeigenden
Ereignisse festlegen. Es werden jeweils die zuletzt protokollierten
Ereignisse (standardmäßig die 100 letzten Ereignisse) angezeigt.
Darüber hinaus können Sie mit dem Filter-Editor benutzerdefinierte Filter erstellen. Der
Filter-Editor lässt sich über das Kontextmenü der einzelnen Berichtsspalten aufrufen. Im
Fenster Filterdefinition können Sie eigene Filter definieren und auf die jeweilige Spalte
anwenden.
7.11.6.6 Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher
Bei SafeGuard Data Exchange und SafeGuard Cloud Storage lässt sich der Zugriff auf
Dateien auf Wechselmedien oder in Ihrem Cloud-Speicher protokollieren. Unabhängig davon,
ob eine Verschlüsselungsrichtlinie für Dateien auf Wechselmedien oder Cloud-Speicher gilt,
lassen sich Ereignisse für folgende Aktionen protokollieren:
Auf einem Wechselmedium oder im Cloud-Speicher wird eine Datei oder ein Verzeichnis
angelegt.
Auf einem Wechselmedium oder im Cloud-Speicher wird eine Datei oder ein Verzeichnis
umbenannt.
Auf einem Wechselmedium oder im Cloud-Speicher wird eine Datei oder ein Verzeichnis
gelöscht.
Sie können die Events für den Dateizugriff in der Windows Ereignisanzeige oder in der
SafeGuard Enterprise Datei-Tracking-Anzeige einsehen, je nachdem, welches Ziel Sie bei
der Definition der Protokollierungsrichtlinie angeben.
7.11.6.6.1
Konfigurieren von Datei-Tracking
1. Klicken Sie im SafeGuard Management Center auf Richtlinien.
2. Legen Sie eine neue Richtlinie des Typs Protokollierung an oder wählen Sie eine bereits
bestehende Richtlinie aus.
Im rechten Aktionsbereich unter Protokollierung werden die vordefinierten Ereignisse,
die protokolliert werden können, angezeigt. Ein Klick auf die Spaltenüberschrift sortiert die
Ereignisse nach ID, Kategorie usw.
333
SafeGuard Enterprise
3. Um die Protokollierung des Dateizugriffs zu aktivieren, wählen Sie je nach Anforderung
die folgenden Ereignisse:
■
■
Für Dateien, die auf Wechselmedien gespeichert sind:
■
ID 3020 Datei-Tracking für Wechselmedien: Eine Datei wurde erstellt.
■
ID 3021 Datei-Tracking für Wechselmedien: Eine Datei wurde umbenannt.
■
ID 3022 Datei-Tracking für Wechselmedien: Eine Datei wurde gelöscht.
Für Dateien, die im Cloud-Speicher gespeichert sind:
■
ID 3025 Datei-Tracking für Cloud-Speicher: Eine Datei wurde erstellt.
■
ID 3026 Datei-Tracking für Cloud-Speicher: Eine Datei wurde umbenannt.
■
ID 3027 Datei-Tracking für Cloud-Speicher: Eine Datei wurde gelöscht.
Um festzulegen, dass ein Ereignis in der SafeGuard Enterprise Datenbank protokolliert
werden soll, wählen Sie das Ereignis in der Spalte mit dem Datenbanksymbol Ereignisse
in der Datenbank protokollieren durch Klicken mit der Maus aus. Für Ereignisse, die in
der Windows-Ereignisanzeige protokolliert werden sollen, klicken Sie in der Spalte mit
dem Ereignisprotokollsymbol Im Ereignisprotokoll protokollieren.
Bei den für die Protokollierung ausgewählten Ereignissen wird in der betreffenden Spalte
ein grünes Häkchen angezeigt.
4. Speichern Sie Ihre Einstellungen.
Nach dem Zuweisen der Richtlinie ist Datei-Tracking aktiviert und die ausgewählten Ereignisse
werden am ausgewählten Zielort protokolliert.
Hinweis: Beachten Sie, dass sich durch das Aktivieren von Datei-Tracking die Serverlast
erheblich erhöht.
7.11.6.6.2
Einsehen von Datei-Tracking-Ereignissen
Um Datei-Tracking-Protokolle einzusehen, benötigen Sie das Recht
Datei-Tracking-Ereignisse anzeigen.
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die Schaltfläche
Berichte.
2. Markieren Sie im Berichte Navigationsbereich den Eintrag Datei-Tracking-Anzeige.
3. Klicken Sie im Aktionsbereich der Datei-Tracking-Anzeige auf der rechten Seite auf das
Lupensymbol.
Alle in der zentralen Datenbank protokollierten Ereignisse werden in der
Datei-Tracking-Anzeige angezeigt. Die Ansicht ist mit der Ansicht der Ereignisanzeige
identisch. Weitere Informationen finden Sie unter Einsehen von protokollierten Ereignissen
(Seite 331).
7.11.6.7 Drucken von Berichten
Die in der SafeGuard Management Center Ereignisanzeige oder in der
Datei-Tracking-Anzeige angezeigten Ereignisberichte lassen sich über das Datei Menü in
der Menüleiste des SafeGuard Management Center drucken.
■
334
Um vor dem Drucken eine Druckvorschau zu erstellen, wählen Sie Datei > Druckvorschau.
In der Druckvorschau stehen verschiedene Funktionen, zum Beispiel für den Export des
Administratorhilfe
Dokuments in eine Reihe von Ausgabeformaten (zum Beispiel .PDF) oder die Bearbeitung
des Seitenlayouts (zum Beispiel Kopf- und Fußzeile), zur Verfügung.
■
Um das Dokument sofort zu drucken, wählen Sie Datei > Drucken.
7.11.6.8 Verkettung von protokollierten Ereignissen
Die für die zentrale Datenbank bestimmten Ereignisse werden in der EVENT-Tabelle der
SafeGuard Enterprise Datenbank protokolliert. Auf diese Tabelle kann ein spezieller
Integritätsschutz angewendet werden. Die Ereignisse lassen sich als verkettete Liste in der
EVENT-Tabelle protokollieren. Durch die Verkettung ist ein Eintrag in der Liste jeweils von
seinem Vorgängereintrag abhängig. Wird ein Eintrag aus der Liste entfernt, so ist dies sichtbar
und über eine Integritätsprüfung nachweisbar.
Zur Optimierung der Performance ist die Verkettung der Ereignisse in der EVENT-Tabelle
standardmäßig deaktiviert. Sie können zur Überprüfung der Integrität der protokollierten
Ereignisse die Verkettung aktivieren (siehe Überprüfen der Integrität der protokollierten
Ereignisse (Seite 335)).
Hinweis: Wenn die Verkettung von protokollierten Ereignissen deaktiviert ist, gilt kein spezieller
Integritätsschutz für die EVENT-Tabelle.
Hinweis: Zu viele Events können zu Performanceproblemen führen. Weitere Informationen
über die Vermeidung von Performanceproblemen durch Löschen von Ereignissen finden Sie
unter Regelmäßiges Löschen von Ereignissen per Skript (Seite 336).
7.11.6.8.1
Aktivieren der Verkettung protokollierter Ereignisse
1. Stoppen Sie den Webservice SGNSRV auf dem Web Server.
2. Löschen Sie alle Ereignisse aus der Datenbank und erstellen Sie während des
Löschvorgangs eine Sicherungskopie (siehe Löschen ausgewählter oder aller Ereignisse
(Seite 336)).
Hinweis: Wenn Sie die alten Ereignisse nicht aus der Datenbank löschen, funktioniert
die Verkettung nicht, da für die verbleibenden alten Ereignisse die Verkettung nicht aktiviert
war.
3. Setzen Sie folgenden Registry Key auf 0 oder löschen Sie ihn:
HKEY_LOCAL_MACHINE\SOFTWARE\Utimaco\SafeGuard Enterprise DWORD:
DisableLogEventChaining = 0
4. Starten Sie den Webservice neu.
Die Verkettung ist wieder aktiviert.
Hinweis: Um die Verkettung wieder zu deaktivieren, setzen Sie den Registry Key auf 1.
7.11.6.9 Prüfen der Integrität protokollierter Ereignisse
Voraussetzung: Für die Überprüfung der Integrität von protokollierten Ereignissen muss die
Verkettung der Ereignisse in der EVENT-Tabelle aktiviert sein.
1. Klicken Sie im SafeGuard Management Center auf Berichte.
2. Wählen Sie in der SafeGuard Management Center Menüleiste Aktionen > Integrität
prüfen.
Eine Meldung liefert die Informationen zur Integrität der protokollierten Ereignisse.
Hinweis: Ist die Verkettung von Ereignissen deaktiviert, so wird ein Fehler ausgegeben.
335
SafeGuard Enterprise
7.11.6.10 Löschen ausgewählter oder aller Ereignisse
1. Klicken Sie im SafeGuard Management Center auf Berichte.
2. Markieren Sie in der Ereignisanzeige die Ereignisse, die gelöscht werden sollen.
3. Um ausgewählte Ereignisse zu löschen, wählen Sie in der SafeGuard Management Center
Menüleiste Aktionen > Ereignisse löschen oder klicken Sie in der Symbolleiste auf das
Symbol Ausgewählte Ereignisse löschen. Um alle Ereignisse zu löschen, wählen Sie
in der SafeGuard Management Center Menüleiste Aktionen > Alle Ereignisse löschen
oder klicken Sie in der Symbolleiste auf das Symbol Alle Ereignisse löschen.
4. Vor dem Löschen der ausgewählten Ereignisse wird das Fenster Ereignisse sichern als
zum Erstellen einer Sicherungsdatei angezeigt (siehe Erstellen einer Sicherungsdatei
(Seite 336)).
Die ausgewählten Ereignisse werden aus dem Ereignisprotokoll gelöscht.
7.11.6.11 Erstellen einer Sicherungsdatei
Sicherungsdateien von den in der Ereignisanzeige angezeigten Berichten lassen sich im
Rahmen des Löschvorgangs erstellen.
1. Wenn Sie Aktionen > Ereignisse löschen oder Aktionen > Alle Ereignisse löschen
wählen, wird vor dem Löschen der Ereignisse das Fenster Ereignisse sichern als zur
Erstellung einer Sicherungsdatei angezeigt.
2. Um eine Sicherung des Ereignisprotokolls in Form einer XML-Datei zu erstellen, geben
Sie einen Dateinamen und einen Speicherort an und klicken Sie auf OK.
7.11.6.12 Öffnen einer Sicherungsdatei
1. Klicken Sie im SafeGuard Management Center auf Berichte.
2. Wählen Sie in der SafeGuard Management Center Menüleiste Aktionen > Sicherungsdatei
öffnen.
Das Fenster Sicherung öffnen wird angezeigt.
3. Wählen Sie die zu öffnende Sicherungsdatei aus und klicken Sie auf Öffnen.
Die Sicherungsdatei wird geöffnet und die Ereignisse werden in der Ereignisanzeige
angezeigt. Um wieder zur regulären Ansicht der Ereignisanzeige zurückzukehren, klicken
Sie erneut auf das Symbol Sicherungsdatei öffnen in der Symbolleiste.
7.11.6.13 Regelmäßige Säuberung der EVENT-Tabelle über Skript
Hinweis: Das SafeGuard Management Center bietet den Taskplaner für das Erstellen und
Planen von auf Skripten basierenden Tasks, die in regelmäßigen Abständen ausgeführt
werden. Auf dem SafeGuard Enterprise Server startet ein Service die Tasks automatisch zur
Ausführung der angegebenen Skripte.
Für die automatische und effiziente Säuberung der EVENT-Tabelle stehen im \tools Verzeichnis
Ihrer SafeGuard Enterprise Software-Lieferung vier SQL Skripte zur Verfügung:
336
■
spShrinkEventTable_install.sql
■
ScheduledShrinkEventTable_install.sql
■
spShrinkEventTable_uninstall.sql
■
ScheduledShrinkEventTable_uninstall.sql
Administratorhilfe
Die beiden Skripte spShrinkEventTable_install.sql und
ScheduledShrinkEventTable_install.sql installieren eine gespeicherte Prozedur
sowie den Scheduled Job auf dem Datenbank-Server. Der Scheduled Job führt die
gespeicherte Prozedur in festgelegten, regelmäßigen Abständen aus. Die gespeicherte
Prozedur verschiebt Ereignisse aus der EVENT-Tabelle in die Backup-Log-Tabelle
EVENT_BACKUP. Dabei wird eine definierte Anzahl an neuesten Ereignissen in der
EVENT-Tabelle belassen.
Die beiden Skripte spShrinkEventTable_uninstall.sql und
ScheduledShrinkEventTable_uninstall.sql deinstallieren die gespeicherte Prozedur
sowie den Scheduled Job. Diese beiden Skripte löschen auch die EVENT_BACKUP Tabelle.
Hinweis: Wenn Sie die Ereignisse über die gespeicherte Prozedur aus der EVENT-Tabelle
in die Backup-Log-Tabelle verschieben, findet die Verkettung der Protokollierung keine
Anwendung mehr. Es ist nicht sinnvoll, die Verkettung zu aktivieren und gleichzeitig die
gespeicherte Prozedur zur Säuberung der EVENT-Tabelle einzusetzen. Weitere Informationen
finden Sie unter Verkettung protokollierter Ereignisse (Seite 335).
7.11.6.13.1
Erstellen der gespeicherten Prozedur
Das Skript spShrinkEventTable_install.sql erstellt eine gespeicherte Prozedur, die
Daten aus der EVENT-Tabelle in eine Backup-Log-Tabelle mit dem Namen EVENT_BACKUP
verschiebt. Wenn die Tabelle EVENT_BACKUP noch nicht vorhanden ist, wird sie automatisch
erstellt.
Die erste Zeile lautet „USE SafeGuard“. Wenn Sie für Ihre SafeGuard Enterprise Datenbank
einen anderen Namen als „SafeGuard“ verwendet haben, ändern Sie den Namen hier
entsprechend.
Die gespeicherte Prozedur belässt die <n> neuesten Ereignisse in der EVENT-Tabelle und
verschiebt den Rest in die Tabelle EVENT_BACKUP. Die Anzahl an Ereignissen, die in der
EVENT-Tabelle verbleiben sollen, wird über einen Parameter festgelegt.
Um die gespeicherte Prozedur auszuführen, verwenden Sie folgenden Befehl in SQL Server
Management Studio (New Query):
exec spShrinkEventTable 1000
Bei Verwendung dieses Beispielbefehls werden alle Ereignisse außer den neuesten 1000
verschoben.
7.11.6.13.2
Anlegen eines Scheduled Job für die Ausführung der gespeicherten Prozedur
Um die EVENT-Tabelle in regelmäßigen Abständen automatisch zu säubern, können Sie
einen Job am SQL Server anlegen. Dieser Job kann über das Skript
ScheduledShrinkEventTable_install.sql oder über den SQL Enterprise Manager
erstellt werden.
Hinweis: Der Job funktioniert nicht bei SQL Express Datenbanken. Damit der Job ausgeführt
werden kann, muss der SQL Server Agent laufen. Da bei SQL Server Express Installation
kein SQL Server Agent vorhanden ist, werden Jobs hier nicht unterstützt.
■
Der Skript-Teil muss in der msdb ausgeführt werden. Wenn Sie für Ihre SafeGuard
Enterprise Datenbank einen anderen Namen als SafeGuard ausgewählt haben, ändern
Sie den Namen entsprechend.
/* Default: Database name 'SafeGuard' change if required*/
SELECT @SafeGuardDataBase='SafeGuard'
■
Sie können auch die Anzahl an Ereignissen festlegen, die in der EVENT-Tabelle verbleiben
sollen. Die Standardeinstellung ist 100.000.
337
SafeGuard Enterprise
/* Default: keep the latest 100000 events, change if required*/
SELECT @ShrinkCommand='exec spShrinkEventTable 100000'
■
Sie können festlegen, ob die Ausführung des Jobs im NT Event Log protokolliert werden
soll.
exec sp_add_job
@job_name='AutoShrinkEventTable',
@enabled=1,
@notify_level_eventlog=3
Für den Parameter notify_level_eventlog sind folgende Werte verfügbar:
■
Wert
Ergebnis
3
Jede Ausführung des Jobs protokollieren.
2
Fehlschlagen des Jobs protokollieren.
1
Erfolgreiche Ausführung des Jobs protokollieren.
0
Ausführung des Jobs nicht im NT Event Log protokollieren.
Sie können festlegen, wie oft die Ausführung des Jobs im Fall eines Fehlschlags wiederholt
werden soll.
exec sp_add_jobstep
■
@retry_attempts=3
Dieses Beispiel legt 3 Versuche für die Ausführung des Jobs im Fall eines Fehlschlags
fest.
■
@retry_interval=60
Dieses Beispiel legt fest, dass die Ausführung des Jobs in einem Abstand von 60
Minuten wiederholt werden soll.
■
Sie können einen Zeitplan für die Ausführung des Jobs festlegen.
exec sp_add_jobschedule
■
@freq_type=4
Dieses Beispiel legt fest, dass der Job täglich ausgeführt wird.
■
@freq_interval=1
Dieses Beispiel legt fest, dass der Job einmal pro Tag ausgeführt wird.
■
@active_start_time=010000
Dieses Beispiel legt fest, dass der Job um 01:00 Uhr ausgeführt wird.
338
Administratorhilfe
Hinweis: Neben den oben angeführten Beispielwerten lässt sich noch eine Vielzahl von
verschiedenen Zeitplanoptionen mit sp_add-jobschedule definieren. So lässt sich der Job
zum Beispiel alle zwei Minuten oder nur einmal pro Woche ausführen. Weitere Informationen
hierzu finden Sie in der Microsoft Transact SQL Dokumentation.
7.11.6.13.3
Löschen der gespeicherten Prozeduren, Jobs und Tabellen
Das Skript spShrinkEventTable_uninstall.sql löscht die gespeicherte Prozedur sowie
die EVENT-BACKUP Tabelle. Das Skript ScheduledShrinkEventTable_uninstall.sql
deaktiviert den Scheduled Job.
Hinweis: Wenn Sie spShrinkEventTable_uninstall.sql ausführen, wird die Tabelle
EVENT_BACKUP mit allen enthaltenen Daten vollständig gelöscht.
7.11.6.14 Texte für Ereignisberichte
Ereignisse werden nicht mit ihren vollständigen Ereignistexten in der SafeGuard Enterprise
Datenbank protokolliert. Nur die ID und die relevanten Parameterwerte werden in die
Datenbanktabelle geschrieben. Beim Abrufen der Ereignisse in der SafeGuard Management
Center Ereignisanzeige werden die Parameterwerte zusammen mit den in der .dll enthaltenen
Lückentexten in die kompletten Ereignistexte umgesetzt. Dies erfolgt in der jeweils benutzten
Systemsprache des SafeGuard Management Center.
Die für die Ereignistexte verwendeten Lückentexte lassen sich, zum Beispiel durch
SQL-Abfragen, bearbeiten und aufbereiten. Sie können hierzu eine Tabelle mit allen
Lückentexten für Ereignismeldungen erzeugen. Danach können Sie die Lückentexte nach
Ihren Anforderungen anpassen.
So erstellen Sie eine Tabelle mit den Texten für die einzelnen Ereignis-IDs:
1. Wählen Sie in der Menüleiste des SafeGuard Management Center Extras > Optionen.
2. Wählen Sie in der Menüleiste des SafeGuard Management Centers Extras > Optionen.
3. Klicken Sie im Bereich Texte für Ereignisberichte auf die Schaltfläche Erzeuge Tabelle.
Die Tabelle mit den Texten für die Bericht IDs wird in der jeweils aktuellen Sprache des
SafeGuard Management Centers erstellt und kann angepasst werden.
Hinweis: Vor jedem neuen Erstellen der Lückentexte wird die Tabelle jeweils geleert. Wenn
die Texte für eine Sprache wie beschrieben erstellt wurden und ein Benutzer erstellt die Texte
für eine andere Sprache, so werden die Texte für die erste Sprache entfernt.
7.11.7 Für Berichte auswählbare Ereignisse
Die folgende Tabelle bietet einen Überblick zu allen für die Protokollierung auswählbaren
Ereignissen.
Kategorie
Ereignis-ID Beschreibung
System
1005
Dienst gestartet.
System
1006
Dienst starten fehlgeschlagen
System
1007
Dienst angehalten.
System
1016
Integritätstest der Dateien fehlgeschlagen.
339
SafeGuard Enterprise
340
Kategorie
Ereignis-ID Beschreibung
System
1017
Logging Ziel nicht verfügbar.
System
1018
Nicht genehmigter Versuch SafeGuard Enterprise zu deinstallieren
Authentisierung
2001
Externe GINA erkannt und erfolgreich eingebunden.
Authentisierung
2002
Externe GINA erkannt, Einbindung fehlgeschlagen.
Authentisierung
2003
Power-on Authentication ist aktiviert.
Authentisierung
2004
Power-on Authentication ist deaktiviert.
Authentisierung
2005
Wake on LAN ist aktiviert.
Authentisierung
2006
Wake on LAN ist deaktiviert.
Authentisierung
2007
Challenge erzeugt.
Authentisierung
2008
Response erzeugt.
Authentisierung
2009
Anmeldung erfolgreich durchgeführt.
Authentisierung
2010
Anmeldung fehlgeschlagen.
Authentisierung
2011
Benutzer während Anmeldung importiert und als Besitzer markiert.
Authentisierung
2012
Benutzer vom Besitzer importiert und als Nicht- Besitzer markiert
Authentisierung
2013
Benutzer von Nicht-Besitzer importiert und als Nicht-Besitzer
markiert.
Authentisierung
2014
Benutzer als Besitzer entfernt.
Authentisierung
2015
Import des Benutzers während der Anmeldung fehlgeschlagen.
Authentisierung
2016
Benutzer hat sich abgemeldet.
Authentisierung
2017
Benutzer wurde zwangsweise abgemeldet.
Authentisierung
2018
Aktion wurde auf dem Gerät ausgeführt.
Authentisierung
2019
Benutzer hat einen Kennwort/PIN-Wechsel eingeleitet.
Authentisierung
2020
Der Benutzer hat nach der Anmeldung sein Kennwort/PIN
geändert.
Authentisierung
2021
Kennwort/PIN-Qualität.
Authentisierung
2022
Verstoß gegen Kennwort-/PIN-Richtlinie.
Administratorhilfe
Kategorie
Ereignis-ID Beschreibung
Authentisierung
2023
Der LocalCache war beschädigte und wurde restauriert
Authentisierung
2024
Ungültige Passwort Blacklist Konfiguration
Authentisierung
2025
Der empfangene Response Code erlaubt es dem Benutzer, sich
sein Passwort anzeigen zu lassen.
Authentisierung
2030
Angemeldeter Benutzer ist Service Account.
Authentisierung
2035
Anmeldung
Authentisierung
2036
Service Account Liste gelöscht.
Authentisierung
2056
SGN Windows-Benutzer hinzufügen
Authentisierung
2057
SGN Windows-Benutzer von der Maschine entfernen.
Authentisierung
2058
Entfernen des UMA-Benutzers
Authentisierung
2061
Rückgabewert der Computrace-Überprüfung.
Authentisierung
2062
Computrace-Überprüfung konnte nicht ausgeführt werden.
Authentisierung
2071
Kernelinitialisierung erfolgreich abgeschlossen.
Authentisierung
2071
Kernel-Initialisierung ist fehlgeschlagen.
Authentisierung
2073
Maschinenschlüssel wurden auf dem Client erfolgreich erzeugt.
Authentisierung
2074
Maschinenschlüssel konnten auf dem Client nicht erzeugt werden.
Interner Code: 0x%1.
Authentisierung
2075
Abfrage der Platteneigenschaften oder Opal-Initialisierung ist
fehlgeschlagen. Interner Code: 0x%1.
Authentisierung
2079
Importieren eines Benutzers in den Kernel wurde erfolgreich
beendet.
Authentisierung
2080
Löschen eines Benutzers aus dem Kernel wurde erfolgreich
beendet.
Authentisierung
2081
Import eines Benutzers in den Kernel ist fehlgeschlagen.
Authentisierung
2082
Löschen eines Benutzers aus dem Kernel ist fehlgeschlagen.
Authentisierung
2083
Response mit Aktion "Benutzer wird sein Kennwort angezeigt"
erzeugt.
Authentisierung
2084
Response für virtuellen Client erzeugt.
341
SafeGuard Enterprise
Kategorie
Ereignis-ID Beschreibung
Authentisierung
2085
Response für Standalone Client erzeugt.
Authentisierung
2095
Wake on LAN konnte nicht aktiviert werden.
Authentisierung
342
Ein Zertifkat wurde einem Standalone-Client-Benutzer
zugewiesen.
Authentisierung
2096
Wake on LAN konnte nicht deaktiviert werden.
Authentisierung
2097
Der Benutzer hat sich zum ersten Mal mit dem Standby-Token
am Client angemeldet. Der Standby-Token wurde als
Standard-Token eingestellt.
Authentisierung
2098
Die erfolgreiche Aktivierung eines Standby-Certificate wurde dem
Server gemeldet.
Authentisierung
2099
Der Benutzer hat sich zum ersten Mal mit dem Standby-Token
am Client angemeldet. Das Standby-Zertifikate konnte aufgrund
eines Fehlers nicht aktiviert werden.
Authentisierung
2100
Die Aktivierung eines Standby-Certificate ist auf dem Server
fehlgeschlagen.
Administration
2500
SafeGuard Enterprise Administration gestartet.
Administration
2501
Anmeldung an der SafeGuard Enterprise Administration
fehlgeschlagen
Administration
2502
Autorisierung an der SafeGuard Enterprise Administration
fehlgeschlagen.
Administration
2504
Benutzer genehmigt zusätzliche Autorisierung
Administration
2505
Zusätzliche Autorisierung von Benutzer fehlgeschlagen.
Administration
2506
Datenimport vom Verzeichnis erfolgreich.
Administration
2507
Datenimport vom Verzeichnis abgebrochen.
Administration
2508
Datenimport vom Verzeichnis fehlgeschlagen.
Administration
2511
Benutzer angelegt.
Administration
2513
Benutzer wurde geändert.
Administration
2515
Benutzer gelöscht.
Administration
2518
Anlegen des Benutzers fehlgeschlagen.
Administration
2522
Löschen des Benutzers fehlgeschlagen.
Administratorhilfe
Kategorie
Ereignis-ID Beschreibung
Administration
2525
Computer angelegt
Administration
2529
Computer gelöscht.
Administration
2532
Anlegen des Computers fehlgeschlagen.
Administration
2536
Löschen des Computers fehlgeschlagen.
Administration
2539
OU angelegt.
Administration
2543
OU gelöscht.
Administration
2546
Anlegen der OU fehlgeschlagen
Administration
2547
Importieren der OU fehlgeschlagen.
Administration
2550
Löschen der OU fehlgeschlagen.
Administration
2553
Gruppe angelegt.
Administration
2555
Gruppe geändert.
Administration
2556
Gruppe umbenannt.
Administration
2557
Gruppe gelöscht.
Administration
2560
Anlegen der Gruppe fehlgeschlagen.
Administration
2562
Ändern der Gruppe fehlgeschlagen.
Administration
2563
Umbenennen der Gruppe fehlgeschlagen.
Administration
2564
Löschen der Gruppe fehlgeschlagen.
Administration
2573
Mitglieder der Gruppe hinzugefügt.
Administration
2575
Mitglieder aus Gruppe entfernt.
Administration
2576
Hinzufügen der Mitglieder zur Gruppe fehlgeschlagen.
Administration
2578
Entfernen der Mitglieder aus Gruppe fehlgeschlagen.
Administration
2580
Gruppe von OU nach OU verschoben.
Administration
2583
Verschieben der Gruppe von OU nach OU fehlgeschlagen.
Administration
2591
Objekte der Gruppe hinzugefügt.
Administration
2593
Objekte aus Gruppe entfernt.
343
SafeGuard Enterprise
344
Kategorie
Ereignis-ID Beschreibung
Administration
2594
Hinzufügen der Objekte zur Gruppe fehlgeschlagen
Administration
2596
Hinzufügen der Objekte aus Gruppe fehlgeschlagen
Administration
2603
Schlüssel erzeugt. Algorithmus.
Administration
2607
Schlüssel zugeordnet.
Administration
2608
Schlüsselzuordnung aufgehoben.
Administration
2609
Erzeugen des Schlüssels fehlgeschlagen.
Administration
2613
Zuordnung des Schlüssels fehlgeschlagen.
Administration
2614
Entfernen der Zuordnung des Schlüssels fehlgeschlagen.
Administration
2615
Zertifikat erzeugt.
Administration
2616
Zertifikat importiert.
Administration
2619
Zertifikat gelöscht.
Administration
2621
Zertifikat Benutzer zugeordnet.
Administration
2622
Zertifikatszuordnung zu Benutzer aufgehoben.
Administration
2623
Erzeugen des Zertifikats fehlgeschlagen.
Administration
2624
Importieren des Zertifikats fehlgeschlagen.
Administration
2627
Löschen des Zertifikats fehlgeschlagen.
Administration
2628
Verlängern des Zertifikats fehlgeschlagen.
Administration
2629
Zuordnen des Zertifikats zu Benutzer fehlgeschlagen.
Administration
2630
Entfernen der Zuordnung des Zertifikats vom Benutzer
fehlgeschlagen.
Administration
2631
Token eingesteckt.
Administration
2632
Token entfernt.
Administration
2633
Token wurde für Benutzer ausgestellt.
Administration
2634
PIN des Benutzers auf Token ändern.
Administration
2635
PIN des Sicherheitsbeauftragten auf Token ändern.
Administratorhilfe
Kategorie
Ereignis-ID Beschreibung
Administration
2636
Token wurde gesperrt.
Administration
2637
Token entsperrt.
Administration
2638
Token gelöscht.
Administration
2639
Tokenzuordnung für Benutzer aufgehoben.
Administration
2640
Ausstellen des Tokens für Benutzer fehlgeschlagen.
Administration
2641
Ändern der Benutzer-PIN auf Token fehlgeschlagen.
Administration
2642
Ändern der Sicherheitsbeauftragten-PIN auf Token
fehlgeschlagen.
Administration
2643
Sperren des Tokens fehlgeschlagen.
Administration
2644
Entsperren des Tokens fehlgeschlagen.
Administration
2645
Löschen des Tokens fehlgeschlagen.
Administration
2647
Richtlinie erstellt.
Administration
2648
Richtlinie geändert.
Administration
2650
Richtlinie gelöscht.
Administration
2651
Richtlinie der OU zugewiesen und aktiviert.
Administration
2652
Zugewiesene Richtlinie wurde von OU entfernt.
Administration
2653
Erstellen der Richtlinie fehlgeschlagen.
Administration
2654
Ändern der Richtlinie fehlgeschlagen.
Administration
2657
Zuweisung und Aktivierung der Richtlinie zu OU fehlgeschlagen.
Administration
2658
Entfernen der zugewiesenen Richtlinie von OU ist fehlgeschlagen.
Administration
2659
Richtlinien-Gruppe angelegt.
Administration
2660
Richtlinien-Gruppe geändert.
Administration
2661
Richtlinien-Gruppe gelöscht.
Administration
2662
Anlegen der Richtlinien-Gruppe fehlgeschlagen.
Administration
2663
Ändern der Richtlinien-Gruppe fehlgeschlagen.
345
SafeGuard Enterprise
346
Kategorie
Ereignis-ID Beschreibung
Administration
2665
Folgende Richtlinie wurde der Richtlinien-Gruppe hinzugefügt.
Administration
2667
Folgende Richtlinie wurde aus der Richtlinien-Gruppe entfernt.
Administration
2668
Hinzufügen der Richtlinie zur Richtlinien-Gruppe fehlgeschlagen.
Administration
2670
Entfernen der Richtlinie aus Richtlinien-Gruppe fehlgeschlagen.
Administration
2678
Protokollierte Ereignisse exportiert.
Administration
2679
Exportieren der protokollierten Ereignisse fehlgeschlagen.
Administration
2680
Protokollierte Ereignisse gelöscht.
Administration
2681
Löschen der protokollierten Ereignisse fehlgeschlagen.
Administration
2684
Sicherheitsbeauftragter erlaubt die Erneuerung eines Zertifikats
Administration
2685
Beauftragter verbietet die Erneuerung eines Zertifikats
Administration
2686
Änderungen an den Einstellungen für die Zertifikatserneuerung
fehlgeschlagen
Administration
2687
Zertifikat für Beauftragten gewechselt
Administration
2688
Zertifikatswechsel für Beauftragten fehlgeschlagen
Administration
2692
Erzeugen von Arbeitsgruppen.
Administration
2693
Fehlgeschlagenes Erzeugen von Arbeitsgruppen
Administration
2694
Löschen von Arbeitsgruppen.
Administration
2695
Fehlgeschlagenes Löschen von Arbeitsgruppen
Administration
2696
Erzeugen von Benutzern.
Administration
2697
Fehlgeschlagenes Erzeugen von Benutzern.
Administration
2698
Erzeugen von Maschinen.
Administration
2699
Fehlgeschlagenes Erzeugen von Maschinen.
Administration
2700
Die Lizenz wurde verletzt.
Administration
2701
Schlüsseldatei wurde erzeugt.
Administration
2702
Schlüssel für Schlüsseldatei wurde gelöscht.
Administratorhilfe
Kategorie
Ereignis-ID Beschreibung
Administration
2703
Sicherheitsbeauftragter hat die Power-on Authentication in einer
Richtlinie deaktiviert.
Administration
2704
LSH Fragenthema erstellt.
Administration
2705
LSH Fragenthema geändert.
Administration
2706
LSH Fragenthema gelöscht.
Administration
2707
Frage geändert.
Administration
2753
Schreibgeschützt-Zugriff auf den Container '%1' wurde dem
Sicherheitsbeauftragten '%2' zugeordnet.
Administration
2755
Voller Zugriff auf Container '%1' wurde dem
Sicherheitsbeauftragten '%2' zugeordnet.
Administration
2757
Zugriff auf Container '%1' wurde dem Sicherheitsbeauftragten
'%2' entzogen.
Administration
2766
Zugriff auf Container '%1' wurde für den Sicherheitsbeauftragten
'%2' explizit verweigert.
Administration
2767
Verweigerter Zugriff auf Container '%1' wurde für
Sicherheitsbeauftragten '%2' widerrufen.
Administration
2768
Lesezugriff auf Container '%1' wurde dem Sicherheitsbeauftragten
'%2' zugeordnet.
Administration
2810
POA-Benutzer %1 angelegt.
Administration
2811
POA-Benutzer %1 geändert.
Administration
2812
POA-Benutzer %1 gelöscht.
Administration
2815
Erstellen von POA-Benutzer "%1" fehlgeschlagen.
Administration
2816
Ändern von POA-Benutzer "%1" fehlgeschlagen.
Administration
2817
Löschen von POA-Benutzer "%1" fehlgeschlagen.
Administration
2820
POA-Gruppe %1 angelegt.
Administration
2821
POA-Gruppe %1 geändert.
Administration
2822
POA-Gruppe %1 gelöscht.
Administration
2825
Erstellen von POA-Gruppe "%1" fehlgeschlagen.
Administration
2826
Ändern von POA-Gruppe "%1" fehlgeschlagen.
347
SafeGuard Enterprise
348
Kategorie
Ereignis-ID Beschreibung
Administration
2827
Löschen von POA-Gruppe "%1" fehlgeschlagen.
Administration
2850
Taskplaner-Dienst wurde wegen eines Ausnahmefehlers
angehalten.
Administration
2851
Task-Planer Task erfolgreich ausgeführt
Administration
2852
Task-Planer Task fehlgeschlagen
Administration
2853
Task-Planer Task erzeugt oder geändert
Administration
2854
Task-Planer Task gelöscht
Client
3003
Kernelsicherung erfolgreich
Client
3005
Kernelrücksicherung beim ersten Versuch erfolgreich
Client
3006
Kernelrücksicherung beim zweiten Versuch erfolgreich
Client
3007
Kernelsicherung fehlgeschlagen
Client
3008
Kernelrücksicherung fehlgeschlagen
Client
3020
Datei-Tracking für Wechselmedien: Eine Datei wurde erstellt.
Client
3021
Datei-Tracking für Wechselmedien: Eine Datei wurde umbenannt.
Client
3022
Datei-Tracking für Wechselmedien: Eine Datei wurde gelöscht.
Client
3025
Datei-Tracking für Cloud-Speicher: Eine Datei wurde erstellt.
Client
3026
Datei-Tracking für Cloud-Speicher: Eine Datei wurde umbenannt.
Client
3027
Datei-Tracking für Cloud-Speicher: Eine Datei wurde gelöscht.
Client
3030
Benutzer hat LSH-Informationen nach Anmeldung geändert.
Client
3035
LSH aktiviert.
Client
3040
LSH deaktiviert.
Client
3045
LSH verfügbar - Enterprise Client
Client
3046
LSH verfügbar - Standalone Client
Client
3050
LSH deaktiviert - Enterprise Client
Client
3051
LSH nicht verfügbar - Standalone Client
Administratorhilfe
Kategorie
Ereignis-ID Beschreibung
Client
3055
QST Liste (LSH Fragen) geändert.
Client
3405
Deinstallation des Configuration Protection Clients fehlgeschlagen.
Client
3070
Schlüssel-Backup auf Netzwerkfreigabe gespeichert.
Client
3071
Schlüssel-Backup konnte nicht auf der angegebenen
Netzwerkfreigabe gespeichert werden.
Client
3110
POA-Benutzer "%1" in POA importiert.
Client
3111
POA-Benutzer "%1" aus POA gelöscht.
Client
3115
POA -Benutzer "%1": Kennwort mit F8 geändert.
Client
3116
Import von POA-Benutzer "%1" in POA fehlgeschlagen.
Client
3117
Löschen von POA-Benutzer "%1" aus POA fehlgeschlagen.
Client
3118
POA-Benutzer "%1": Kennwortänderung mit F8 fehlgeschlagen.
Client
3406
Interner Fehler im Configuration Protection Client
Client
3407
Mögliche Ereignis-Manipulation im Configuration Protection Client
Client
3408
Mögliche Ereignisprotokoll-Manipulation im Configuration
Protection Client
Verschlüsselung
3501
Zugriff auf Medium auf Laufwerk verweigert.
Verschlüsselung
3502
Zugriff auf Datendatei verweigert.
Verschlüsselung
3503
Sektorbasierte Erst-Verschlüsselung des Laufwerks gestartet.
Verschlüsselung
3504
Sektorbasierte Erst-Verschlüsselung des Laufwerks gestartet.
(Schnellmodus)
Verschlüsselung
3505
Sektorbasierte Erst-Verschlüsselung des Laufwerks fehlerfrei
beendet.
Verschlüsselung
3506
Sektorbasierte Erst-Verschlüsselung des Laufwerks gescheitert
und beendet.
Verschlüsselung
3507
Sektorbasierte Erst-Verschlüsselung des Laufwerks abgebrochen.
Verschlüsselung
3508
Sektorbasierte Erst-Verschlüsselung des Laufwerks
fehlgeschlagen.
Verschlüsselung
3509
Sektorbasierte Entschlüsselung des Laufwerks gestartet.
349
SafeGuard Enterprise
350
Kategorie
Ereignis-ID Beschreibung
Verschlüsselung
3510
Sektorbasierte Entschlüsselung des Laufwerks fehlerfrei beendet.
Verschlüsselung
3511
Sektorbasierte Entschlüsselung des Laufwerks gescheitert und
beendet.
Verschlüsselung
3512
Sektorbasierte Entschlüsselung des Laufwerks abgebrochen.
Verschlüsselung
3513
Sektorbasierte Entschlüsselung des Laufwerks fehlgeschlagen.
Verschlüsselung
3514
Dateibasierende Initialverschlüsselung auf einem Laufwerk
gestartet.
Verschlüsselung
3515
Dateibasierende Initialverschlüsselung auf einem Laufwerk
erfolgreich abgeschlossen.
Verschlüsselung
3516
Dateibasierende Initialverschlüsselung auf einem Laufwerk
fehlgeschlagen und beendet.
Verschlüsselung
3517
Dateibasierende Entschlüsselung auf einem Laufwerk
abgebrochen.
Verschlüsselung
3519
Dateibasierende Verschlüsselung einer Datei gestartet.
Verschlüsselung
3520
Dateibasierende Verschlüsselung einer Datei erfolgreich
abgeschlossen.
Verschlüsselung
3521
Dateibasierende Entschlüsselung auf einem Laufwerk
fehlgeschlagen und beendet.
Verschlüsselung
3522
Dateibasierende Entschlüsselung auf einem Laufwerk
abgebrochen.
Verschlüsselung
3524
Verschlüsselung einer Datei gestartet.
Verschlüsselung
3525
Verschlüsselung einer Datei erfolgreich abgeschlossen.
Verschlüsselung
3526
Verschlüsselung einer Datei fehlgeschlagen.
Verschlüsselung
3540
Entschlüsselung einer Datei gestartet.
Verschlüsselung
3541
Entschlüsselung einer Datei erfolgreich abgeschlossen.
Verschlüsselung
3542
Entschlüsselung einer Datei fehlgeschlagen.
Verschlüsselung
3543
Backup von Bootkey durchgeführt
Verschlüsselung
3544
Überschreitung der Anzahl von Verschlüsselungsalgorithmen für
Start-Laufwerke
Verschlüsselung
3545
Lesefehler von Schlüsseldatenbereiche
Administratorhilfe
Kategorie
Ereignis-ID Beschreibung
Verschlüsselung
3546
Abweisen von Laufwerken gemäß den Richtlinien.
Verschlüsselung
3547
Warnung NTFS Boot Sector Backup fehlt auf Volume %1.
Verschlüsselung
3548
Der Benutzer hat neue BitLocker-Anmeldeinformationen zum
Starten des Computers zur Verfügung gestellt.
Verschlüsselung
3549
Der Benutzer hat versucht, neue BitLocker-Anmeldeinformationen
zum Starten des Computers zur Verfügung zu stellen, aber der
Vorgang ist fehlgeschlagen.
Verschlüsselung
3560
Zugriffsschutz
Verschlüsselung
3600
Allgemeiner Verschlüsselungsfehler
Verschlüsselung
3601
Verschlüsselungsfehler - Laufwerk nicht gefunden
Verschlüsselung
3602
Verschlüsselungsfehler - Laufwerk nicht verfügbar
Verschlüsselung
3603
Verschlüsselungsfehler - Laufwerk entfernt
Verschlüsselung
3604
Verschlüsselungsfehler - Laufwerksfehler
Verschlüsselung
3607
Verschlüsselungsfehler - Der Schlüssel fehlt
Verschlüsselung
3610
Verschlüsselungsfehler - Der Original-KSA Bereich ist beschädigt.
Verschlüsselung
3611
Verschlüsselungsfehler - Der Sicherungs-KSA Bereich ist
beschädigt.
Verschlüsselung
3612
Verschlüsselungsfehler - Der ESA-Bereich ist beschädigt.
Zugriffskontrolle
4400
Port erfolgreich freigegeben
Zugriffskontrolle
4401
Gerät erfolgreich freigegeben
Zugriffskontrolle
4402
Speichergerät erfolgreich freigegeben
Zugriffskontrolle
4403
WLAN erfolgreich freigegeben
Zugriffskontrolle
4404
Port erfolgreich entfernt
Zugriffskontrolle
4405
Gerät erfolgreich entfernt
Zugriffskontrolle
4406
Speichergerät erfolgreich entfernt
Zugriffskontrolle
4407
WLAN-Verbindung erfolgreich getrennt
Zugriffskontrolle
4408
Port eingeschränkt
351
SafeGuard Enterprise
Kategorie
Ereignis-ID Beschreibung
Zugriffskontrolle
4409
Gerät eingeschränkt
Zugriffskontrolle
4410
Speichergerät eingeschränkt
Zugriffskontrolle
4411
WLAN eingeschränkt
Zugriffskontrolle
4412
Port gesperrt
Zugriffskontrolle
4413
Gerät gesperrt
Zugriffskontrolle
4414
Speichergerät gesperrt
Zugriffskontrolle
4415
WLAN gesperrt
7.12 Richtlinientypen und ihre Anwendungsfelder
SafeGuard Enterprise Richtlinien enthalten alle Einstellungen, die zur Abbildung einer
unternehmensweiten Sicherheitsrichtlinie auf den Endpoints wirksam werden sollen.
In SafeGuard Enterprise Richtlinien können Sie Einstellungen für die folgenden Bereiche
(Richtlinientypen) festlegen:
■
Allgemeine Einstellungen
Einstellungen für z. B. Transferrate, Anpassung, Recovery für die Anmeldung,
Hintergrundbilder usw.
■
Authentisierung
Einstellungen zum Anmeldemodus, zur Gerätesperre usw.
■
PIN
Legt Anforderungen an die verwendeten PINs fest.
■
Kennwörter
Legt Anforderungen an die verwendeten Kennwörter fest.
■
Passphrasen
Legt Anforderungen für in SafeGuard Data Exchange verwendete Passphrasen fest.
■
Geräteschutz
Einstellungen für volume- oder dateibasierende Verschlüsselung (auch Einstellungen für
SafeGuard Data Exchange, SafeGuard Cloud Storage und SafeGuard Portable):
Algorithmen, Schlüssel, Laufwerke, auf denen Daten verschlüsselt werden sollen, usw.
■
Spezifische Computereinstellungen
Einstellungen zur SafeGuard Power-on Authentication (aktivieren/deaktivieren), zum
sicheren Wake on LAN, Anzeigeoptionen usw.
352
Administratorhilfe
■
Protokollierung
Legt fest, welche Ereignisse wo protokolliert werden.
■
Configuration Protection
Hinweis: Configuration Protection wird nur für SafeGuard Enterprise Clients bis zur
Version 6,0 unterstützt. Dieser Richtlinientyp ist im 7.0 SafeGuard Management Center
weiterhin für ältere Clients mit Configuration Protection enthalten.
Einstellungen (erlauben/sperren) für die Verwendung von Ports, Peripheriegeräten
(Wechselmedien, Druckern usw.)
■
Dateiverschlüsselung
Einstellungen für dateibasierende Verschlüsselung auf lokalen Festplatten und im Netzwerk,
speziell für Arbeitsgruppen bei Netzwerkfreigaben.
Im SafeGuard Management Center stehen für alle Richtlinientypen Standardrichtlinien zur
Verfügung. Für Geräteschutz Richtlinien stehen Richtlinien für die Festplattenverschlüsselung
(Ziel: Massenspeicher), Cloud Storage (Ziel: DropBox) und Data Exchange (Ziel:
Wechselmedien) zur Verfügung. Die Optionen in diesen Standardrichtlinien sind auf die
relevanten Standardwerte gesetzt. Sie können die Standardeinstellungen Ihren Anforderungen
anpassen. Die Standardrichtlinien haben den Namen <Richtlinientyp> (Default).
Hinweis: Die Namen der Standardrichtlinien richten sich nach der Spracheinstellung während
der Installation. Wenn Sie die Sprache des SafeGuard Management Center nachträglich
ändern, verbleiben die Namen der Standardrichtlinien in der während der Installation
eingestellten Sprache.
7.12.1 Allgemeine Einstellungen
Richtlinieneinstellung
Erklärung
LADEN DER EINSTELLUNGEN
Richtlinien-Loopback
Computereinstellungen wiederholen
Wird unter Richtlinien-Loopback die Option
Computereinstellungen wiederholen ausgewählt und die
Richtlinie kommt von einem Computer (Computereinstellungen
wiederholen einer Benutzer-Richtlinie hat keine Auswirkung), wird
diese Richtlinie zum Schluss nochmals ausgeführt. Dadurch werden
etwaige Benutzereinstellungen wieder überschrieben und es gelten
die Computereinstellungen.
Benutzer ignorieren
Wird bei einer Richtlinie (Maschinen-Richtlinie) unter
Richtlinien-Loopback die Einstellung Benutzer ignorieren
ausgewählt und die Richtlinie "kommt" von einer Maschine, werden
nur die Computereinstellungen ausgewertet. Benutzereinstellungen
werden nicht ausgewertet.
Kein Loopback
Kein Loopback ist das Standardverhalten. Benutzerrichtlinien
gelten vor Maschinenrichtlinien.
353
SafeGuard Enterprise
Richtlinieneinstellung
Erklärung
Wie werden die Einstellungen "Benutzer ignorieren" und
"Computereinstellungen wiederholen" ausgewertet?
Existieren aktive Richtlinienzuweisungen, werden zuerst die
Maschinenrichtlinien ausgewertet und vereinigt. Ergibt diese
Vereinigung der einzelnen Richtlinien beim Richtlinien-Loopback
den Wert Benutzer ignorieren, so werden Richtlinien, welche für
den Benutzer bestimmt gewesen wären, nicht mehr ausgewertet.
Das heißt sowohl für den Benutzer wie auch für die Maschine
gelten die gleichen Richtlinien.
Gilt nach der Vereinigung der einzelnen Maschinen-Richtlinien bei
Richtlinien-Loopback der Wert Computereinstellungen
wiederholen, werden die Benutzer-Richtlinien mit den
Maschinen-Richtlinien vereinigt. Nach der Vereinigung werden die
Maschinen-Richtlinien nochmals geschrieben und überschreiben
gegebenenfalls Einstellungen aus Benutzer-Richtlinien. Das heißt:
Ist eine Einstellung in beiden Richtlinien vorhanden, so ersetzt der
Wert der Maschinen-Richtlinie den Wert der Benutzer-Richtlinie.
Ergibt die Vereinigung der einzelnen Maschinen-Richtlinien "nicht
konfiguriert", so gilt: Benutzereinstellungen vor
Maschineneinstellungen.
TRANSFERRATE
Server-Verbindungsintervall (in Legt den Zeitraum in Minuten fest, nach dem ein SafeGuard
Minuten)
Enterprise Client beim SafeGuard Enterprise Server eine Anfrage
nach Richtlinien (-änderungen) stellt.
Hinweis: Um zu vermeiden, dass eine große Anzahl an Clients
gleichzeitig den Server kontaktiert, findet die Kommunikation in
einem Zeitraum +/- 50 % des eingestellten Intervalls statt. Beispiel:
Wenn Sie "90 Minuten" einstellen, erfolgt die Kommunikation nach
einem Intervall, das 45 bis 135 Minuten betragen kann.
PROTOKOLLIERUNG
Rückmeldung nach Anzahl von Das Protokollsystem, implementiert als Win32 Service "SGM
Ereignissen
LogPlayer", sammelt von SafeGuard Enterprise generierte, für die
zentrale Datenbank bestimmte Protokolleinträge in lokalen
Protokolldateien. Diese befinden sich im LocalCache im Verzeichnis
"auditing\SGMTransLog ". Diese Dateien werden an den
Transportmechanismus übergeben, der sie dann über den SGN
Server in die Datenbank einträgt. Die Übertragung erfolgt sobald
der Transportmechanismus eine Verbindung zum Server hergestellt
hat. Die Protokolldatei wird daher größer, bis eine Verbindung
hergestellt werden konnte. Um die Größe einer einzelnen
Protokolldatei einschränken zu können, kann man über die
Richtlinie eine maximale Anzahl von Protokolleinträgen eintragen.
Dann wird die Protokolldatei vom Protokollsystem nach Erreichen
der eingestellten Anzahl von Einträgen in die Transportqueue des
SGN Servers gestellt und eine neue Protokolldatei begonnen
354
Administratorhilfe
Richtlinieneinstellung
Erklärung
ANPASSUNG
Sprache am Client
Legt fest, in welcher Sprache die Einstellungen für SafeGuard
Enterprise auf dem Endpoint angezeigt werden.
Sie können neben den unterstützten Sprachen kann auch die
Betriebssystem-Spracheinstellung des Endpoint auswählen.
RECOVERY FÜR DIE ANMELDUNG
Recovery für die Anmeldung
Der Windows Local Cache ist Start- und Endpunkt für den
nach Beschädigung des
Datenaustausch zwischen Endpoint und Server. Im Windows Local
Windows Local Cache aktivieren Cache werden alle Schlüssel, Richtlinien, Benutzerzertifikate und
Audit-Dateien abgelegt. Alle im Local Cache gespeicherten Daten
haben eine Signatur und können nicht manuell geändert werden.
Standardmäßig ist der Recovery-Vorgang für die Anmeldung bei
beschädigtem Local Cache deaktiviert. Er wird automatisch aus
seiner Sicherungskopie wiederhergestellt. Für die Reparatur des
Windows Local Cache ist also in diesem Fall kein
Challenge/Response-Verfahren notwendig. Wenn der Windows
Local Cache explizit über ein Challenge/Response-Verfahren
repariert werden soll, wählen Sie in diesem Feld die Einstellung
Ja.
Local Self Help
Local Self Help aktivieren
Legt fest, ob sich Benutzer mit Local Self Help an ihrem Endpoint
anmelden dürfen, wenn sie ihr Kennwort vergessen haben. Local
Self Help ermöglicht Benutzern die Anmeldung durch die
Beantwortung einer definierten Anzahl an zuvor festgelegten
Fragen in der SafeGuard Power-on Authentication. Sie erhalten
somit auch dann Zugriff zu ihrem Computer, wenn weder eine
Internet- noch eine Telefonverbindung zur Verfügung stehen.
Hinweis: Für die Benutzung von Local Self Help ist es notwendig,
dass die automatische Anmeldung an Windows aktiviert ist.
Andernfalls funktioniert die Anmeldung über Local Self Help nicht.
Minimale Länge der Antwort
Definiert die Mindestlänge in Zeichen für die Local Self Help
Antworten.
Willkommenstext unter
Windows
Hier können Sie einen individuellen Informationstext angeben, der
beim Starten des Local Self Help Assistenten auf dem Endpoint
im ersten Dialog angezeigt werden soll. Damit Sie den Text hier
angeben können, muss dieser zunächst im
Richtliniennavigationsbereich unter Texte angelegt werden.
Benutzer dürfen eigene Fragen Die für Local Self Help zu beantwortenden Fragen können Sie als
festlegen
zuständiger Sicherheitsbeauftragter zentral vordefinieren und per
Richtlinie an den Endpoint übertragen. Sie können die Benutzer
355
SafeGuard Enterprise
Richtlinieneinstellung
Erklärung
jedoch auch per Richtlinie berechtigen, selbst Fragen zu definieren.
Um die Benutzer zur Definition eigener Fragen zu berechtigen,
wählen Sie in diesem Feld die Einstellung Ja.
Challenge / Response (C/R)
Recovery für die Anmeldung
über C/R aktivieren
Legt fest, ob ein Benutzer in der SafeGuard Power-on
Authentication (POA) eine Challenge erzeugen darf, um über ein
Challenge/Response-Verfahren wieder Zugang zu seinem
Computer zu erhalten.
Ja: Benutzer darf Challenge erzeugen. In diesem Fall kann der
Benutzer über ein Challenge/Response-Verfahren in Notfällen
wieder Zugang zu seinem Computer erlangen.
Nein: Benutzer darf keine Challenge erzeugen. In diesem Fall kann
der Benutzer im Notfall kein Challenge/Response-Verfahren starten,
um wieder Zugang zu seinem Computer zu erlangen.
Automatische Anmeldung an
Windows erlauben
Erlaubt dem Benutzer nach einer Authentisierung per
Challenge/Response die automatische Anmeldung an Windows.
Ja: Benutzer wird automatisch an Windows angemeldet.
Nein: Windows-Anmeldebildschirm erscheint.
Beispiel: Ein Benutzer hat sein Kennwort vergessen. SafeGuard
Enterprise meldet ihn nach Austausch von Challenge und
Response ohne SafeGuard Enterprise Kennwort am Endpoint an.
In diesem Fall wird die automatische Anmeldung an Windows
ausgeschaltet und der Windows-Anmeldebildschirm erscheint. Da
der Benutzer sein SafeGuard Enterprise (= Windows-Kennwort)
nicht weiß, kann er sich nicht anmelden. Mit Ja wird eine
automatische Anmeldung erlaubt und der Benutzer bleibt nicht im
Windows-Anmeldebildschirm stecken.
Texte
Zeigt nach dem Starten eines Challenge/Response-Vorgangs in
der SafeGuard POA einen Informationstext. Zum Beispiel: “Bitte
rufen Sie Ihren Support unter der Telefonnummer 01234-56789
an.”).
Bevor Sie einen Text angeben können, muss dieser als Textdatei
im Richtlinien-Navigationsbereich unter Texte erstellt werden.
BILDER
Voraussetzung:
Neue Bilder müssen im SafeGuard Management Center im
Richtlinien-Navigationsbereich unter Bilder registriert werden.
Erst nach der Registrierung ist die Liste verfügbar. Unterstütztes
Format: .BMP, PNG, JPEG.
Hintergrundbild in der POA
356
Ersetzt das blaue SafeGuard Enterprise Hintergrundbild durch ein
individuelles Hintergrundbild. Kunden können hier z. B. das
Administratorhilfe
Richtlinieneinstellung
Erklärung
Hintergrundbild in der POA
(niedrige Auflösung)
Firmenlogo in der SafeGuard POA verwenden. Maximale
Dateigröße für alle Hintergrundbilder: 500 KB
Normal:
Auflösung: 1024x768 (VESA-Modus)
Farben: unbegrenzt
Niedrig:
Auflösung: 640 x 480 (VGA-Modus)
Farben: 16 Farben
Anmeldebild in der POA
Anmeldebild in der POA
(niedrige Auflösung)
Ersetzt das während der SafeGuard POA-Anmeldung angezeigte
SafeGuard Enterprise Bild durch ein individuelles Bild, z. B. das
Firmenlogo.
Normal:
Auflösung: 413 x 140 Pixel
Farben: unbegrenzt
Niedrig:
Auflösung: 413 x 140 Pixel
Farben: 16 Farben
Dateiverschlüsselung
Vertrauenswürdige
Anwendungen
Für die dateibasierende Verschlüsselung durch File Encryption
und SafeGuard Data Exchange können Sie vertrauenswürdige
Anwendungen angeben, die auf verschlüsselte Dateien zugreifen
können. Dies ist zum Beispiel notwendig, damit Antivirus-Software
verschlüsselte Dateien überprüfen kann.
Geben Sie die Anwendungen, die Sie als vertrauenswürdig
definieren möchten, in das Editor-Listenfeld des Felds ein.
Anwendungen müssen als Fully Qualified Paths eingegeben
werden.
Ignorierte Anwendungen
Für die dateibasierende Verschlüsselung durch File Encryption
und SafeGuard Data Exchange können Sie ignorierte
Anwendungen angeben, um Sie von der transparenten
Dateiverschlüsselung/Dateientschlüsselung auszuschließen.Wenn
Sie zum Beispiel ein Backup-Programm als ignorierte Anwendung
definieren, bleiben die vom Programm gesicherten verschlüsselten
Daten verschlüsselt.
Geben Sie die Anwendungen, die Sie als ignoriert definieren
möchten, in das Editor-Listenfeld des Felds ein. Anwendungen
müssen als Fully Qualified Paths eingegeben werden.
357
SafeGuard Enterprise
Richtlinieneinstellung
Erklärung
Ignorierte Geräte
Für die dateibasierende Verschlüsselung durch File Encryption
und SafeGuard Data Exchange können Sie ganze Geräte (zum
Beispiel Festplatten) von der dateibasierende Verschlüsselung
ausnehmen.
Wählen Sie im Editor-Listenfeld Netzwerk aus, um ein
vordefiniertes Gerät auszuwählen, oder geben Sie die
erforderlichen Gerätenamen ein, um bestimmte Geräte von der
Verschlüsselung auszuschließen.
Persistente Verschlüsselung
aktivieren
Für die dateibasierende Verschlüsselung durch File Encryption
und SafeGuard Data Exchange können Sie die persistente
Verschlüsselung konfigurieren. Mit persistenter Verschlüsselung
bleiben Kopien von verschlüsselten Dateien auch dann
verschlüsselt, wenn sie an einem Speicherort abgelegt werden,
für den keine Verschlüsselungsregel gilt.
Diese Einstellung ist standardmäßig aktiviert.
Benutzer darf
Standardschlüssel festlegen
Für die dateibasierende Verschlüsselung durch Cloud Storage
können Sie festlegen, ob der Benutzer eine Standardschlüssel
festlegen darf oder nicht. Wenn der Benutzer dies darf, steht der
Befehl Standardschlüssel festlegen im Windows Explorer
Kontextmenü der Cloud Storage Synchronisierungsordner zur
Verfügung. Mit diesem Befehl können Benutzer separate
Standardschlüssel angeben, die für die Verschlüsselung von
unterschiedlichen Synchronisierungsordnern verwendet werden
soll.
7.12.2 Authentisierung
Richtlinieneinstellung
Erklärung
ZUGRIFF
Benutzer kann nur von interner
Festplatte booten:
Hinweis: Diese Einstellung wird nur von Endpoints unterstützt,
auf denen eine ältere SafeGuard Enterprise Version als 6.1
installiert ist. Mit dieser Option konnte es dem Benutzer
ermöglicht werden, den Endpoint von externen Medien zu
starten. Ab Version 6.1 hat diese Einstellung keine Wirkung
mehr auf Endpoints. Für das betreffende Recovery-Szenario
können Sie die Recovery mit virtuellen Clients verwenden (siehe
Challenge/Response mit virtuellen Clients (Seite 220)).
Legt fest, ob Benutzer den Computer von Festplatte und/oder
anderem Medium starten dürfen.
358
Administratorhilfe
Richtlinieneinstellung
Erklärung
JA: Benutzer darf ausschließlich von der Festplatte booten. Die
Möglichkeit, den Computer mit Diskette oder einem weiteren
externen Medium zu starten, wird nicht in der SafeGuard POA
angeboten.
NEIN: Benutzer darf den Computer von Festplatte, Diskette oder
einem externen Medium (USB, CD etc.) starten.
ANMELDEOPTIONEN
Anmeldemodus
Legt fest, wie sich Benutzer in der SafeGuard POA authentisieren
müssen.
Benutzername/Kennwort
Benutzer müssen sich mit ihrem Benutzernamen und
Kennwort anmelden.
Token
Der Benutzer darf sich nur mit einem Token oder einer
Smartcard in der SafeGuard POA anmelden. Dieses
Verfahren bietet eine höhere Sicherheit. Bei der Anmeldung
wird der Benutzer aufgefordert, seinen Token einzustecken.
Durch den Besitz des Token und der Eingabe der PIN wird
die Identität des Benutzers verifiziert. Nach korrekter Eingabe
der PIN liest SafeGuard Enterprise automatisch die Daten
für die Anmeldung des Benutzers aus.
Hinweis: Beachten Sie, dass Sie sich bei Wahl dieses
Anmeldeverfahrens nur mit einem vorher ausgestellten Token
anmelden können.
Die Einstellungen Benutzername/Kennwort und Token lassen
sich kombinieren. Um zu prüfen, ob die Anmeldung mit Token
reibungslos funktioniert, wählen Sie zunächst beide Einstellungen
aus. Erst nach erfolgreicher Token-Anmeldung sollten Sie den
Anmeldemodus Benutzername/Kennwort deaktivieren. Damit
ein Umschalten zwischen den Anmeldemodi möglich ist, erlauben
Sie den Benutzern, sich einmal mit beiden Einstellungen
kombiniert anzumelden, da es sonst zu einer Blockierung bei
der Anmeldung kommen kann. Wenn Sie Local Self Help für die
Token-Anmeldung zulassen möchten, müssen Sie die beiden
Einstellungen ebenfalls kombinieren.
Fingerabdruck
Wählen Sie diese Option, um die Anmeldung mit
Lenovo-Fingerabdruck-Leser zu aktivieren. Benutzer, für die
diese Richtlinie wirksam ist, können sich mit Fingerabdruck
oder Benutzername/Kennwort anmelden. Dieser Vorgang
bietet das höchste Maß an Sicherheit. Bei der Anmeldung
führt die Benutzer den Finger über den Fingerabdruck-Leser.
Wenn der Fingerabdruck erfolgreich erkannt wurde, liest die
SafeGuard Power-on Authentication die
Anmeldeinformationen des Benutzers und meldet den
Benutzer an der Power-on Authentication an. Die
Anmeldeinformationen werden dann an Windows übertragen
und der Benutzer wird an seinem Computer angemeldet.
359
SafeGuard Enterprise
Richtlinieneinstellung
Erklärung
Hinweis: Nach Auswahl dieses Anmeldevorgangs kann
sich der Benutzer nur mit einem vorher registrierten
Fingerabdruck oder mit Benutzername und Kennwort
anmelden. Die Anmeldeverfahren Token und Fingerabdruck
lassen sich auf einem Computer nicht miteinander
kombinieren.
Anmeldeoptionen mit Token
Legt den Typ des Token bzw. der Smartcard fest, der am
Endpoint verwendet werden soll.
Nicht kryptographisch:
Authentisierung bei der SafeGuard POA und bei Windows
mittels Anmeldeinformationen.
Kerberos:
Zertifikatsbasierte Authentisierung an der SafeGuard POA
und an Windows.
Für zentral verwaltete Endpoints stellt der
Sicherheitsbeauftragte ein Zertifikat in einer PKI aus und legt
es auf dem Token ab. Dieses Zertifikat wird als
Benutzerzertifikat in die SafeGuard Enterprise Datenbank
importiert. Falls dort bereits ein automatisch erzeugtes
Zertifikat existiert, wird es durch das importierte Zertifikat
überschrieben. Kryptographische Token können nicht für
Standalone-Endpoints verwendet werden.
Hinweis: Bei Problemen bei der Anmeldung mit einem
Kerberos-Token kann weder Challenge/Response noch Local
Self Help für Recovery-Vorgänge benutzt werden. Hier wird
nur Challenge/Response mit virtuellen Clients unterstützt.
Mit diesem Verfahren können Benutzer wieder Zugriff auf
verschlüsselte Volumes auf Ihren Endpoints erlangen.
PIN für automatische Anmeldung Geben Sie hier eine Default-PIN an, die dem Benutzer die
mit Token
automatische Anmeldung an der SafeGuard Power-on
Authentication mit Token oder Smartcard ermöglicht. Der
Benutzer muss den Token bei der Anmeldung einstecken.
Daraufhin wird eine automatische Anmeldung an der SafeGuard
Power-on Authentication durchgeführt. Windows wird gestartet.
PIN-Regeln müssen hier nicht beachtet werden.
Hinweis:
Diese Option steht nur dann zur Verfügung, wenn die Option
Token als Anmeldemodus gewählt wurde.
Wenn diese Option ausgewählt wird, muss bei
Durchgehende Anmeldung an Windows die Einstellung
Durchgehende Anmeldung deaktivieren gewählt werden.
Erfolglose Anmeldeversuche
dieses Benutzers anzeigen
360
Wenn hier Ja eingestellt ist: Nach der Anmeldung bei SafeGuard
POA und Windows wird ein Dialog mit Informationen über die
Administratorhilfe
Richtlinieneinstellung
Erklärung
letzte fehlgeschlagene Anmeldung (Benutzername/Datum/Zeit)
angezeigt.
Letzte Benutzeranmeldung
anzeigen
Wenn hier Ja eingestellt ist: Nach der Anmeldung bei SafeGuard
POA und Windows wird ein Dialog mit folgenden Informationen
angezeigt:
Letzte erfolgreiche Anmeldung (Benutzername/Datum/Zeit)
Letzte Anmeldeinformationen des angemeldeten Benutzers
'Erzwungene Abmeldung' bei
Sperre der Arbeitsstation
deaktivieren:
Hinweis: Diese Einstellung wird nur unter Windows XP wirksam.
Windows XP wird mit SafeGuard Enterprise 6.1 nicht länger
unterstützt. Die entsprechende Richtlinie ist im SafeGuard
Management Center 7.0 noch verfügbar, um SafeGuard
Enterprise 6 Clients zu unterstützen, die über ein 6.1
Management Center verwaltet werden.
Wenn Benutzer den Endpoint nur für kurze Zeit verlassen wollen,
können Sie den Rechner per Klick auf die Schaltfläche
Arbeitsstation sperren für andere Benutzer sperren und danach
mit ihrem Kennwort wieder entsperren. Nein: Sowohl der
Benutzer, der die Arbeitsstation gesperrt hat, als auch ein
Administrator kann die Sperre aufheben. Hebt ein Administrator
die Sperre auf, so wird der aktuell angemeldete Benutzer
zwangsweise abgemeldet. Ja: Diese Einstellung ändert dieses
Verhalten. In diesem Fall kann nur der Benutzer die Sperre des
Computers aufheben. Ein Aufheben der Sperre durch den
Administrator und das damit verbundene erzwungene Abmelden
des Benutzers ist nicht mehr möglich.
Letzte
Benutzer/Domänen-Auswahl
aktivieren
Ja: Die SafeGuard POA speichert den Benutzernamen und die
Domäne des letzten angemeldeten Benutzers. Benutzer müssen
den Benutzernamen also nicht jedes Mal eingeben, wenn sie
sich anmelden.
Nein: Die SafeGuard POA speichert den Benutzernamen und
die Domäne des letzten angemeldeten Benutzers nicht.
Service Account Liste
Um zu verhindern, dass durch administrative Vorgänge auf
einem durch SafeGuard Enterprise geschützten Endpoint die
Power-on Authentication aktiviert wird und Rollout-Beauftragte
als Benutzer zum Endpoint hinzugefügt werden, bietet SafeGuard
Enterprise Service Account Listen für die Windows-Anmeldung
an SafeGuard Enterprise Endpoints. Die in den Listen
enthaltenen Benutzer werden als SafeGuard Enterprise
Gastbenutzer behandelt
Damit Sie hier eine Liste auswählen können, müssen Sie diese
zunächst im Richtlinien-Navigationsbereich unter Service
Account Listen anlegen.
361
SafeGuard Enterprise
Richtlinieneinstellung
Durchgehende Anmeldung an
Windows
Erklärung
Hinweis: Soll der Benutzer in der Lage sein, anderen Benutzern
Zugriff auf “seinen“ Computer zu gewähren, muss er in der Lage
sein, die durchgehende Anmeldung an Windows zu deaktivieren.
Benutzer wählen lassen
Im SafeGuard POA Anmeldedialog kann der Benutzer durch
Aktivieren/Deaktivieren dieser Option entscheiden, ob er
automatisch an Windows angemeldet werden will oder nicht.
Durchgehende Anmeldung deaktivieren
Nach der Anmeldung an der SafeGuard POA wird
anschließend der Windows-Anmeldedialog angezeigt. Der
Benutzer muss sich manuell an Windows anmelden.
Durchgehende Anmeldung erzwingen
Der Benutzer wird immer automatisch an Windows
angemeldet.
BITLOCKER-OPTIONEN
BitLocker Anmeldemodus für
Boot-Laufwerke
Folgende Optionen stehen zur Verfügung:
TPM: Der Schlüssel für die Anmeldung wird auf dem
TPM-Chip (Trusted Platform Module) gespeichert.
TPM + PIN: Der Schlüssel für die Anmeldung wird auf dem
TPM-Chip gespeichert und zusätzlich wird eine PIN zur
Anmeldung benötigt.
Systemstartschlüssel: Der Schlüssel für die Anmeldung
wird auf einem USB-Stick gespeichert.
TPM + Systemstartschlüssel: Der Schlüssel für die
Anmeldung wird auf dem TPM-Chip und auf einem USB-Stick
gespeichert. Beides wird für die Anmeldung benötigt.
Hinweis: Um die Anmeldemodi TPM + PIN, TPM +
Systemstartschlüssel oder Systemstartschlüssel
verwenden zu können, aktivieren Sie die Gruppenrichtlinie
Zusätzliche Authentifizierung beim Start anfordern
entweder im Active Directory oder auf den Computern lokal.
Im lokalen Gruppenrichtlinien-Editor (gpedit.msc) sind die
Gruppenrichtlinien hier zu finden: Local Computer
Policy\Computer Configuration\Administrative
Templates\Windows Components\BitLocker Drive
Encryption\Operating System Drive
Um Systemstartschlüssel zu verwenden, müssen Sie auch
BitLocker ohne kompatibles TPM zulassen in den
Gruppenrichtlinien aktivieren.
Hinweis: Wenn der momentan am System aktive
Anmeldemodus ein erlaubter Fallback-Anmeldemodus ist,
dann kommt der hier definierte Anmeldemodus nicht zur
Anwendung.
362
Administratorhilfe
Richtlinieneinstellung
Erklärung
BitLocker Anmeldemodus für
Boot-Laufwerke - Fallback
Wenn die als BitLocker Anmeldemodus für Boot-Laufwerke
festgelegte Einstellung nicht angewendet werden kann, bietet
SafeGuard Enterprise folgende Alternativen für die Anmeldung:
Kennwort: Der Benutzer muss ein Kennwort eingeben.
Systemstartschlüssel: Der Schlüssel für die Anmeldung
wird auf einem USB-Stick gespeichert.
Kennwort oder Systemstartschlüssel: USB-Sticks werden
nur verwendet, wenn Kennwörter auf dem
Client-Betriebssystem nicht unterstützt werden.
Fehler: Es wird eine Fehlermeldung angezeigt und das
Volume wird nicht verschlüsselt.
Hinweis: Bei Clients mit Version 6.1 oder niedriger werden
die Werte Kennwort oder Systemstartschlüssel und
Kennwort den alten Einstellungen Systemstartschlüssel
und Fehler zugeordnet.
Hinweis: Kennwörter werden erst ab Windows 8 oder höher
unterstützt.
BitLocker Anmeldemodus für
Datenlaufwerke
Bei Datenlaufwerken sind die folgenden Optionen verfügbar:
Auto-Unlock: Wenn das Boot-Laufwerk verschlüsselt ist,
wird ein externer Schlüssel generiert und auf dem
Boot-Laufwerk gespeichert. Die Datenlaufwerke werden dann
automatisch verschlüsselt. Sie werden automatisch mit der
Auto-Unlock-Funktion von Bitlocker freigegeben. Beachten
Sie, dass Auto-Unlock nur funktioniert, wenn das
Boot-Laufwerk verschlüsselt ist. Andernfalls wird der
Fallback-Modus verwendet.
Kennwort: Der Benutzer wird aufgefordert, ein Kennwort für
jedes Datenlaufwerk einzugeben.
Systemstartschlüssel: Die Schlüssel für die Freigabe der
Datenlaufwerke werden auf einem USB-Stick gespeichert.
Hinweis: Clients mit Version 6.1 oder niedriger ignorieren
diese Richtlinieneinstellung und verwenden stattdessen die
Werte, die für den Anmeldemodus für Boot-Laufwerke
eingestellt wurden. Da das TPM nicht für Datenlaufwerke
genutzt werden kann, wird in diesen Fällen ein USB-Stick
oder eine Fehlermeldung verwendet.
Hinweis: Kennwörter werden erst ab Windows 8 oder höher
unterstützt.
Hinweis: Wenn der momentan am System aktive
Anmeldemodus ein erlaubter Fallback-Anmeldemodus ist,
dann kommt der hier definierte Anmeldemodus nicht zur
Anwendung.
363
SafeGuard Enterprise
Richtlinieneinstellung
Erklärung
BitLocker Anmeldemodus für
Datenlaufwerke - Fallback
Wenn die als BitLocker Anmeldemodus für Datenlaufwerke
festgelegte Einstellung nicht angewendet werden kann, bietet
SafeGuard Enterprise folgende Alternativen:
Kennwort: Der Benutzer wird aufgefordert, ein Kennwort für
jedes Datenlaufwerk einzugeben.
Systemstartschlüssel: Die Schlüssel werden auf einem
USB-Stick gespeichert.
Kennwort oder Systemstartschlüssel: USB-Sticks werden
nur verwendet, wenn Kennwörter auf dem
Client-Betriebssystem nicht unterstützt werden.
Hinweis: Clients mit Version 6.1 oder niedriger ignorieren
diese Richtlinieneinstellung. Sie verwenden stattdessen die
Werte, die für den Fallback-Anmeldemodus für
Boot-Laufwerke eingestellt wurden. Da keine Kennwörter
verarbeitet werden können, wird stattdessen "USB-Stick"
oder "Fehlermeldung" verwendet.
Hinweis: Kennwörter werden erst ab Windows 8 oder höher
unterstützt.
ERFOLGLOSE ANMELDUNGEN
Maximalanzahl von erfolglosen
Anmeldeversuchen
Bestimmt, wie oft ein Benutzer ohne Folgen bei der Anmeldung
einen ungültigen Benutzernamen bzw. ein ungültiges Kennwort
eingeben darf. Wenn der Benutzer zum Beispiel drei mal
nacheinander seinen Benutzernamen oder sein Kennwort falsch
eingegeben hat, führt der vierte Versuch dazu, dass der
Computer gesperrt wird.
Meldungen zur fehlgeschlagenen Definiert die Detailebene für Meldungen zu fehlgeschlagenen
Anmeldung in der POA anzeigen Anmeldungen:
Standard: Zeigt eine kurze Beschreibung an.
Verbose (ausführlich): Zeigt detaillierte Informationen an.
TOKEN-OPTIONEN
Aktion bei Verlust des
Anmeldestatus des Token
Definiert das Verhalten nach dem Trennen des Token vom
Computer.
Mögliche Aktionen sind:
Computer sperren
PIN-Dialog anzeigen
Keine Aktion
364
Administratorhilfe
Richtlinieneinstellung
Erklärung
Freigabe des Token erlauben
Bestimmt, ob der Token bei der Anmeldung entsperrt werden
darf.
OPTIONEN FÜR SPERRE DES GERÄTS
Bildschirm nach X Minuten
Leerlauf sperren
Bestimmt die Zeit, nach deren Überschreitung ein nicht mehr
benutzter Desktop automatisch gesperrt wird.
Der Standardwert ist 0 Minuten, und der Bildschirm wird nicht
gesperrt, wenn dieser Wert nicht geändert wird.
Bei Entfernung des Token
Bildschirm sperren
Bestimmt, ob der Bildschirm gesperrt wird, wenn während einer
Arbeitssitzung der Token entfernt wird.
Bildschirm nach dem Fortsetzen
sperren
Bestimmt, ob der Bildschirm bei Reaktivierung aus dem
Standby-Modus gesperrt wird.
7.12.3 Anlegen von Listen verbotener PINs für die Verwendung mit
Richtlinien
Für Richtlinien des Typs PIN kann eine Liste mit verbotenen PINs angelegt werden. Diese
Liste definiert die Zeichenfolgen, die in nicht in PINs verwendet werden dürfen. PINs werden
für die Anmeldung mit Token verwendet. Weitere Informationen finden Sie unter Token und
Smartcards (Seite 303).
Die Textdateien mit den gewünschten Informationen müssen erstellt werden, bevor sie im
SafeGuard Management Center registriert werden können. Die maximale Dateigröße für
Textdateien beträgt 50 KB. SafeGuard Enterprise verwendet nur Unicode UTF-16 kodierte
Texte. Wenn Sie die Textdateien in einem anderen Format erstellen, werden sie bei der
Registrierung automatisch in dieses Format konvertiert.
Hinweis: In den Listen werden die verbotenen PINs durch einen Zeilenumbruch voneinander
getrennt.
So registrieren Sie die Textdateien:
1. Klicken Sie im Richtlinien-Navigationsbereich mit der rechten Maustaste auf Texte und
wählen Sie Neu > Text.
2. Geben Sie unter Textelementname einen Namen für den anzeigenden Text ein.
3. Klicken Sie auf [...] um die zuvor erstellte Textdatei auszuwählen. Wenn eine Konvertierung
notwendig ist, wird eine entsprechende Meldung angezeigt.
4. Klicken Sie auf OK.
Das neue Textelement wird als Unterknoten des Eintrags Texte im
Richtlinien-Navigationsbereich angezeigt. Ist ein Textelement markiert, wird sein Inhalt im
Aktionsbereich auf der rechten Seite angezeigt. Das Textelement kann jetzt beim Erstellen
von Richtlinien ausgewählt werden.
Um weitere Textelemente zu registrieren, gehen Sie wie beschrieben vor. Alle registrierten
Textelemente werden als Unterknoten angezeigt.
365
SafeGuard Enterprise
Hinweis: Mit der Schaltfläche Text ändern können Sie weiteren Text zum bestehenden Text
hinzufügen. Es wird ein Dialog geöffnet, in dem eine weitere Textdatei ausgewählt werden
kann. Der in dieser Datei enthaltene Text wird am Ende des bestehenden Texts eingefügt.
7.12.4 Syntaxregeln für PINs
In Richtlinien vom Typ PIN definieren Sie Einstellungen für Token-PINs. Diese Einstellungen
gelten nicht für PINs, die zum Anmelden bei mit BitLocker verschlüsselten Endpoints verwendet
werden. Weitere Informationen zu BitLocker PINs finden Sie unter PIN und Kennwörter (Seite
142).
PINs können sowohl Ziffern, Buchstaben als auch Sonderzeichen (wie + - ; etc.) enthalten.
Verwenden Sie bei der Vergabe einer neuen PIN jedoch keine Zeichen mit der Kombination
ALT + <Zeichen>, da dieser Eingabemodus an der SafeGuard Power-on Authentication nicht
zur Verfügung steht.
Hinweis: Definieren Sie PIN-Regeln entweder im SafeGuard Management Center oder im
Active Directory, nicht an beiden Stellen.
Richtlinieneinstellung
Erklärung
PIN
Mindestlänge der PIN
Gibt an, aus wie vielen Zeichen eine PIN bei der Änderung durch
den Benutzer bestehen muss. Der gewünschte Wert kann entweder
direkt eingegeben oder durch Betätigen der Richtungsschaltflächen
vergrößert bzw. verkleinert werden.
Maximallänge der PIN
Gibt an, aus wie vielen Zeichen eine PIN bei der Änderung durch
den Benutzer maximal bestehen darf. Der gewünschte Wert kann
entweder direkt eingegeben oder durch Betätigen der
Richtungsschaltflächen vergrößert bzw. verkleinert werden.
Mindestanzahl an Buchstaben Mit diesen Einstellungen wird erreicht, dass PINs nicht
ausschließlich Zeichen, Ziffern oder Sonderzeichen enthalten,
Mindestanzahl an Ziffern
sondern aus einer Kombination bestehen müssen (z. B. „15blume“).
Diese Einstellungen sind nur dann sinnvoll, wenn eine Mindestlänge
Mindestanzahl an Symbolen
der PIN definiert ist, die größer 2 ist.
Groß-/Kleinschreibung
beachten
Diese Einstellung wird nur bei den Punkten Liste nicht erlaubter
PINs benutzen und Benutzername als PIN verboten wirksam.
Beispiel 1: Sie haben in der Liste der verbotenen PINs „Tafel“
eingetragen. Steht die Option Groß-/Kleinschreibung beachten
auf Ja, werden zusätzliche Kennwortvarianten wie z. B. „TAFEL“
oder „TaFeL“ nicht akzeptiert und die Anmeldung wird verweigert.
Beispiel 2: Der Benutzername für einen Anwender lautet „EMaier“.
Steht Groß-/Kleinschreibung beachten auf Ja und Benutzername
als PIN verboten auf Nein, darf Benutzer EMaier keine Variante
seines Benutzernamens (z. B. ´emaier´ oder ´eMaiEr´ usw.) als
Kennwort verwenden.
Tastaturzeile verboten
366
Als Tastaturzeilen werden eingetippte Zeichenreihen wie „123“ oder
„qwe“ bezeichnet. Maximal zwei auf der Tastatur nebeneinander
Administratorhilfe
Richtlinieneinstellung
Erklärung
liegende Zeichen sind erlaubt. Tastaturspalten beziehen sich nur
auf den alphanumerischen Tastaturteil.
Tastaturspalte verboten
Als Tastaturspalten werden eingetippte Zeichenreihen wie „xsw2“
oder „3edc“ (nicht aber „xdr5“ oder „cft6“!) bezeichnet. Erlaubt sind
maximal zwei in einer Tastaturspalte befindliche Zeichen. Verbieten
Sie Tastaturspalten, werden derartige Zeichenkombinationen als
Kennwörter abgelehnt. Tastaturspalten beziehen sich nur auf den
alphanumerischen Tastaturteil.
Drei oder mehr
aufeinanderfolgende Zeichen
verboten
Verboten werden mit Aktivierung dieser Option Zeichenketten,
die im ASCII-Code aufeinander folgen, sowohl in auf- als auch
in absteigender Reihenfolge („abc“ oder „cba“).
die aus drei oder mehr identischen Zeichen („aaa“ oder „111“)
bestehen.
Benutzername als PIN verboten Bestimmt, ob Benutzername und PIN identisch sein dürfen.
Ja: Windows-Benutzername und PIN müssen unterschiedlich sein.
Nein: Benutzer darf seinen Windows-Benutzernamen gleichzeitig
als PIN verwenden.
Liste nicht erlaubter PINs
benutzen
Bestimmt, ob bestimmte Zeichenfolgen für PINs nicht verwendet
werden dürfen. Abgelegt sind die Zeichenfolgen in der Liste nicht
erlaubter PINs (z. B. Datei im Format .txt).
Liste nicht erlaubter PINs
Definiert Zeichenfolgen, die in einer PIN nicht verwendet werden
dürfen. Wenn ein Benutzer eine verbotene PIN verwendet, wird
eine Fehlermeldung ausgegeben.
Voraussetzung:
Eine Liste (eine Datei) mit verbotenen PINs muss im Management
Center unter Texte im Richtlinien-Navigationsbereich registriert
werden. Erst nach der Registrierung ist die Liste verfügbar.
Maximale Dateigröße: 50 KB
Unterstütztes Format: Unicode
Nicht erlaubte PINs definieren
In der Liste werden die verbotenen PINs durch einen Zeilenumbruch
voneinander getrennt.
Platzhalter: An der Position, an der Sie den Zeichentyp „*“ eingeben,
können mehrere beliebige Zeichen in der PIN enthalten sein.
Beispielsweise wird durch *123* jede Zeichenfolge, die 123 enthält,
als PIN verboten.
Hinweis:
Wenn Sie nur den Platzhalter in die Liste einfügen, können sich
Benutzer nach einer erzwungenen Kennwortänderung nicht
mehr im System anmelden.
Benutzer dürfen auf die Datei keinen Zugriff haben.
367
SafeGuard Enterprise
Richtlinieneinstellung
Erklärung
Die Option Liste nicht erlaubter PINs verwenden muss
aktiviert sein.
ÄNDERUNGEN
PIN-Änderung erlaubt nach
mindestens (Tage)
Legt den Zeitraum fest, in dem eine PIN nicht erneut geändert
werden darf. Diese Einstellung verhindert, dass ein Benutzer seine
PIN innerhalb eines bestimmten Zeitraums beliebig oft ändern kann.
Beispiel:
Die Benutzerin Schmidt definiert eine neue PIN (z. B. „13jk56“).
Für sie (oder für die Gruppe, der sie zugeordnet ist) ist ein Wechsel
nach mind. fünf Tagen festgelegt. Bereits nach zwei Tagen will sie
die PIN „13jk56“ ändern. Dies wird abgelehnt, da Frau Schmidt erst
nach fünf Tagen eine neue PIN definieren darf.
PIN läuft ab nach (Tage)
Der Benutzer muss nach Ablauf des eingestellten Zeitraums seine
PIN ändern. Beträgt der Zeitraum 999 Tage, ist keine PIN-Änderung
erforderlich.
Warnung vor Ablauf (Tage)
Ab “n” Tagen vor Ablauf der PIN wird eine Warnmeldung
ausgegeben und der Benutzer darauf hingewiesen, dass er in
“n“-Tagen seine PIN ändern muss. Er erhält daraufhin die
Möglichkeit, die PIN sofort zu ändern.
ALLGEMEIN
PIN in POA verbergen
Gibt an, ob die Ziffern bei der Eingabe der PIN verborgen werden.
Ist die Option aktiviert, wird während der Eingabe der PIN bei der
POA nichts angezeigt. Ansonsten wird für jedes eingegebene
Zeichen ein Stern angezeigt.
PIN-Generationen
Legt fest, wann bereits verwendete PINs wieder benutzt werden
dürfen. Sinnvoll ist die Definition von PIN-Generationen
insbesondere in Verbindung mit der Einstellung PIN läuft ab nach
(Tage).
Beispiel:
Die Anzahl der PIN-Generationen für den Benutzer Müller wurde
auf 4 festgelegt, die der Tage, nach denen der Benutzer die PIN
wechseln muss, auf 30. Herr Müller meldete sich bislang mit der
PIN „Informatik“ an. Nach Ablauf der Frist von 30Tagen wird er
aufgefordert, seine PIN zu ändern. Herr Müller tippt als neue PIN
wieder „Informatik“ ein und erhält die Fehlermeldung, dass er diese
PIN bereits verwendet hat und eine andere PIN wählen muss.
„Informatik“ darf Herr Müller erst nach der vierten (da
PIN-Generationen = 4) Aufforderung zur Eingabe einer neuen PIN
verwenden.
368
Administratorhilfe
7.12.5 Anlegen einer Liste verbotener Kennwörter für die Verwendung mit
Richtlinien
Für Richtlinien des Typs Kennwort kann eine Liste mit verbotenen Kennwörtern angelegt
werden. Diese Liste definiert die Zeichenfolgen, die in nicht in Kennwörtern verwendet werden
dürfen.
Hinweis: In den Listen werden die nicht erlaubten Kennwörter durch einen Zeilenumbruch
voneinander getrennt.
Die Textdateien mit den gewünschten Informationen müssen erstellt werden, bevor sie im
SafeGuard Management Center registriert werden können. Die maximale Dateigröße für
Textdateien beträgt 50 KB. SafeGuard Enterprise verwendet nur Unicode UTF-16 kodierte
Texte. Wenn Sie die Textdateien in einem anderen Format erstellen, werden sie bei der
Registrierung automatisch in dieses Format konvertiert.
Wenn eine Datei konvertiert wird, wird eine entsprechende Meldung angezeigt.
So registrieren Sie die Textdateien:
1. Klicken Sie im Richtlinien-Navigationsbereich mit der rechten Maustaste auf Texte und
wählen Sie Neu > Text.
2. Geben Sie unter Textelementname einen Namen für den anzeigenden Text ein.
3. Klicken Sie auf [...] um die zuvor erstellte Textdatei auszuwählen. Wenn eine Konvertierung
notwendig ist, wird eine entsprechende Meldung angezeigt.
4. Klicken Sie auf OK.
Das neue Textelement wird als Unterknoten des Eintrags Texte im
Richtlinien-Navigationsbereich angezeigt. Ist ein Textelement markiert, wird sein Inhalt im
Aktionsbereich auf der rechten Seite angezeigt. Das Textelement kann jetzt beim Erstellen
von Richtlinien ausgewählt werden.
Um weitere Textelemente zu registrieren, gehen Sie wie beschrieben vor. Alle registrierten
Textelemente werden als Unterknoten angezeigt.
Hinweis: Mit der Schaltfläche Text ändern können Sie weiteren Text zum bestehenden Text
hinzufügen. Es wird ein Dialog geöffnet, in dem eine weitere Textdatei ausgewählt werden
kann. Der in dieser Datei enthaltene Text wird am Ende des bestehenden Texts eingefügt.
7.12.6 Syntaxregeln für Kennwörter
In Richtlinien vom Typ Kennwort definieren Sie Einstellungen für Kennwörter für die
Anmeldung an das System. Diese Einstellungen gelten nicht für Kennwörter, die zum Anmelden
bei mit BitLocker verschlüsselten Endpoints verwendet werden. Weitere Informationen zu
BitLocker-Kennwörtern finden Sie unter PIN und Kennwörter (Seite 142).
Kennwörter können sowohl Ziffern, Buchstaben als auch Sonderzeichen (wie + - ; etc.)
enthalten. Verwenden Sie bei der Vergabe eines neuen Kennworts jedoch keine Zeichen mit
der Kombination ALT + <Zeichen>, da dieser Eingabemodus an der SafeGuard Power-on
Authentication nicht zur Verfügung steht. Wie Kennwörter, mit denen sich Benutzer am System
anmelden, beschaffen sein müssen, wird in Richtlinien vom Typ Kennwort eingestellt.
Hinweis: Informationen zur Umsetzung einer Richtlinie für sichere Kennwörter finden Sie
unter Empfohlene Sicherheitsmaßnahmen (Seite 241) sowie im SafeGuard Enterprise Manual
for certification-compliant operation (Englisch).
Die Umsetzung von Kennwortregeln und Kennworthistorien kann nur dann gewährleistet
werden, wenn der SGN Credential Provider durchgehend verwendet wird. Definieren Sie
369
SafeGuard Enterprise
Kennwortregeln entweder im SafeGuard Management Center oder im Active Directory, nicht
an beiden Stellen.
Richtlinieneinstellung
Erklärung
KENNWORT
Mindestlänge des Kennworts
Gibt an, aus wie vielen Zeichen ein Kennwort bei der Änderung
durch den Benutzer bestehen muss. Der gewünschte Wert kann
entweder direkt eingegeben oder durch Betätigen der
Richtungsschaltflächen vergrößert bzw. verkleinert werden.
Maximallänge des Kennwortes
Gibt an, aus wie vielen Zeichen ein Kennwort bei der Änderung
durch den Benutzer maximal bestehen darf. Der gewünschte
Wert kann entweder direkt eingegeben oder durch Betätigen der
Richtungsschaltflächen vergrößert bzw. verkleinert werden.
Mindestanzahl an Buchstaben
Mit diesen Einstellungen wird erreicht, dass Kennwörter nicht
ausschließlich Zeichen, Ziffern oder Sonderzeichen enthalten,
sondern aus einer Kombination bestehen müssen (z. B.
„15blume“). Diese Einstellungen sind nur dann sinnvoll, wenn
eine Kennwortmindestlänge definiert ist, die größer 2 ist.
Mindestanzahl an Ziffern
Mindestanzahl an Symbolen
Groß-/Kleinschreibung beachten
Diese Einstellung wird nur bei den Punkten Liste nicht erlaubter
Kennwörter verwenden und Benutzername als Kennwort
verboten wirksam.
Beispiel 1: Sie haben in der Liste der verbotenen Kennwörter
„Tafel“ eingetragen. Steht die Option Groß-/Kleinschreibung
beachten auf Ja, werden zusätzliche Kennwortvarianten wie z.
B. „TAFEL“ oder „TaFeL“ nicht akzeptiert und die Anmeldung
wird verweigert.
Beispiel 2: Der Benutzername für einen Anwender lautet
„EMaier“. Steht Groß-/Kleinschreibung beachten auf Ja und
Benutzername als Kennwort verboten auf Nein, darf Benutzer
EMaier keine Variante seines Benutzernamens (z. B. ´emaier´
oder ´eMaiEr´ usw.) als Kennwort verwenden.
370
Tastaturzeile verboten
Als Tastaturzeilen werden eingetippte Zeichenreihen wie „123“
oder „qwe“ bezeichnet. Maximal zwei auf der Tastatur
nebeneinander liegende Zeichen sind erlaubt. Tastaturspalten
beziehen sich nur auf den alphanumerischen Tastaturteil.
Tastaturspalte verboten
Als Tastaturspalten werden eingetippte Zeichenreihen wie „xsw2“
oder „3edc“ (nicht aber „xdr5“ oder „cft6“!) bezeichnet. Erlaubt
sind maximal zwei in einer Tastaturspalte befindliche Zeichen.
Verbieten Sie Tastaturspalten, werden derartige
Zeichenkombinationen als Kennwörter abgelehnt.Tastaturspalten
beziehen sich nur auf den alphanumerischen Tastaturteil.
Drei oder mehr
aufeinanderfolgende Zeichen
verboten
Verboten werden mit Aktivierung dieser Option Zeichenketten,
die im ASCII-Code aufeinander folgen, sowohl in auf- als
auch in absteigender Reihenfolge („abc“ oder „cba“).
Administratorhilfe
Richtlinieneinstellung
Erklärung
die aus drei oder mehr identischen Zeichen („aaa“ oder „111“)
bestehen.
Benutzername als Kennwort
verboten
Bestimmt, ob der Benutzername als Kennwort unzulässig ist.
Ja: Windows-Benutzername und Kennwort müssen
unterschiedlich sein.
Nein: Windows-Benutzername und Kennwort müssen nicht
unterschiedlich sein.
Liste nicht erlaubter Kennwörter
verwenden
Bestimmt, ob bestimmte Zeichenfolgen für Kennwörter nicht
verwendet werden dürfen. Abgelegt sind die Zeichenfolgen in
der Liste nicht erlaubter Kennwörter (z. B. Datei im Format
.txt).
Liste nicht erlaubter Kennwörter
Definiert Zeichenfolgen, die in einem Kennwort ausgeschlossen
sind. Wenn ein Benutzer ein verbotenes Kennwort verwendet,
wird eine Fehlermeldung ausgegeben.
Eine Liste (eine Datei) mit verbotenen Kennwörtern muss im
SafeGuard Management Center unter Texte im
Richtlinien-Navigationsbereich registriert werden. Erst nach der
Registrierung ist die Liste verfügbar.
Maximale Dateigröße: 50 KB
Unterstütztes Format: Unicode
Nicht erlaubte Kennwörter definieren
In der Liste werden die verbotenen Kennwörter durch einen
neuen Zeilenanfang getrennt. Platzhalter: An der Position, an
der Sie den Zeichentyp "*" eingeben, können mehrere beliebige
Zeichen im Kennwort enthalten sein. Beispielsweise wird durch
*123* jede Zeichenfolge, die 123 enthält, als Kennwort verboten.
Hinweis:
Wenn Sie nur den Platzhalter in die Liste einfügen, können
sich Benutzer nach einer erzwungenen Kennwortänderung
nicht mehr im System anmelden.
Benutzer dürfen auf die Datei keinen Zugriff haben.
Die Option Liste nicht erlaubter Kennwörter verwenden
muss aktiviert sein.
Benutzerkennwortsynchronisation Dieses Feld steuert die Synchronisierung bei Änderung des
mit anderen SGN Clients
Kennworts durch Benutzer, die auf mehreren SafeGuard
Enterprise Endpoints arbeiten und als Benutzer eingetragen
sind. Folgende Optionen stehen zur Verfügung:
Langsam (sobald Benutzer sich anmeldet)
Ändert ein Benutzer sein Kennwort auf einem SafeGuard
Enterprise Endpoint, so muss dieser Benutzer sich auf
anderen Endpoints, auf denen er als Benutzer eingetragen
ist, zunächst noch einmal mit seinem alten Kennwort an der
371
SafeGuard Enterprise
Richtlinieneinstellung
Erklärung
SafeGuard Power-on Authentication anmelden. Erst dann
wird die Kennwortsynchronisation durchgeführt
Schnell (sobald der Computer eine Verbindung hergestellt
hat)
Ändert der Benutzer sein Kennwort auf einem SafeGuard
Enterprise Endpoint, so wird die Kennwortsynchronisierung
mit einem anderen Endpoint, auf dem er als Benutzer
eingetragen ist, durchgeführt, sobald der andere Endpoint
eine Verbindung mit dem Server hergestellt hat. Dies erfolgt
zum Beispiel dann, wenn sich ein anderer Benutzer, der
ebenfalls auf dem Endpoint als Benutzer eingetragen ist, in
der Zwischenzeit an diesem Endpoint anmeldet.
ÄNDERUNGEN
Kennwortänderung erlaubt nach
mindestens (Tage)
Legt den Zeitraum fest, in dem ein Kennwort nicht erneut
geändert werden darf. Diese Einstellung verhindert, dass ein
Benutzer sein Kennwort innerhalb eines bestimmten Zeitraums
beliebig oft ändern kann. Bei einem durch Windows erzwungenen
Kennwortwechsel oder bei einem Wechsel des Kennworts nach
der Anzeige der Warnung, dass das Kennwort in x Tagen abläuft,
wird diese Einstellung nicht ausgewertet!
Beispiel:
Die Benutzerin Schmidt definiert ein neues Kennwort (z. B.
„13jk56“). Für sie (oder für die Gruppe, der sie zugeordnet ist)
ist ein Wechsel nach mind. fünf Tagen festgelegt. Bereits nach
zwei Tagen will sie das Kennwort "13jk56" ändern. Dies wird
abgelehnt, da Frau Schmidt erst nach fünf Tagen ein neues
Kennwort definieren darf.
Kennwort läuft ab nach (Tage)
Ist diese Option aktiviert, muss der Benutzer nach Ablauf des
eingestellten Zeitraums ein neues Kennwort definieren.
Warnung vor Ablauf (Tage)
Ab “n” Tagen vor Ablauf des Kennworts wird eine Warnmeldung
ausgegeben und der Benutzer darauf hingewiesen, dass er in
“n“ Tagen sein Kennwort ändern muss. Er erhält daraufhin die
Möglichkeit, das Kennwort sofort zu ändern.
ALLGEMEIN
Kennwort in POA verbergen
Gibt an, ob die Zeichen bei der Eingabe des Kennworts
verborgen werden. Ist die Option aktiviert, wird während der
Eingabe des Kennworts bei der POA nichts angezeigt. Ansonsten
wird für jedes eingegebene Zeichen ein Stern angezeigt.
Kennwortgenerationen
Legt fest, wann bereits verwendete Kennwörter wieder benutzt
werden dürfen. Sinnvoll ist die Definition von
Kennwortgenerationen insbesondere in Verbindung mit der
Einstellung Kennwort läuft ab nach (Tage).
Beispiel:
372
Administratorhilfe
Richtlinieneinstellung
Erklärung
Die Anzahl der Kennwortgenerationen für den Benutzer Müller
wurde auf 4 festgelegt, die der Tage, nach denen der Benutzer
das Kennwort wechseln muss, auf 30. Herr Müller meldete sich
bislang mit dem Kennwort „Informatik“ an. Nach Ablauf der Frist
von 30 Tagen wird er aufgefordert, sein Kennwort zu ändern.
Herr Müller tippt als neues Kennwort wieder „Informatik“ ein und
erhält die Fehlermeldung, dass er dieses Kennwort bereits
verwendet hat und ein anderes Kennwort wählen muss.
„Informatik“ darf Herr Müller erst nach der vierten (da
Kennwortgenerationen = 4) Aufforderung zur Eingabe eines
neuen Kennworts verwenden.
Hinweis: Wenn für die Kennwortgeneration 0 eingestellt ist,
kann der Benutzer das alte Kennwort als neues Kennwort
festlegen. Dies entspricht jedoch nicht der gängigen Praxis und
ist daher nicht zu empfehlen.
7.12.7 Passphrase für SafeGuard Data Exchange
Der Benutzer muss eine Passphrase eingeben, die zum Erzeugen von lokalen Schlüsseln
für den sicheren Datenaustausch mit SafeGuard Data Exchange verwendet wird. Die auf den
Endpoints erzeugten Schlüssel werden auch in der SafeGuard Enterprise Datenbank
gespeichert. Die erforderlichen Einstellungen definieren Sie in einer Richtlinie vom Typ
Passphrase.
Weitere Informationen zu SafeGuard Data Exchange finden Sie unter SafeGuard Data
Exchange (Seite 171).
Weitere Informationen zu SafeGuard Data Exchange und SafeGuard Portable auf dem
Endpoint finden Sie in der SafeGuard Enterprise Benutzerhilfe im Kapitel SafeGuard Data
Exchange.
Richtlinieneinstellung
Erklärung
PASSPHRASE
Mindestlänge der Passphrase
Legt fest, aus wie vielen Zeichen die Passphrase, aus der der
Schlüssel erzeugt wird, mindestens bestehen muss. Der
gewünschte Wert kann entweder direkt eingegeben oder durch
Betätigen der Richtungstasten vergrößert bzw. verkleinert werden.
Maximallänge der Passphrase
Legt fest, aus wie vielen Zeichen die Passphrase maximal
bestehen darf. Der gewünschte Wert kann entweder direkt
eingegeben oder durch Betätigen der Richtungstasten vergrößert
bzw. verkleinert werden.
Mindestanzahl an Buchstaben
Mit diesen Einstellungen wird erreicht, dass eine Passphrase nicht
ausschließlich Zeichen, Ziffern oder Sonderzeichen enthält,
sondern aus einer Kombination bestehen muss (z. B. „15blume“).
Diese Einstellungen sind nur dann sinnvoll, wenn eine
Mindestlänge der PIN definiert ist, die größer 2 ist.
Mindestanzahl an Ziffern
Mindestanzahl an Symbolen
373
SafeGuard Enterprise
Richtlinieneinstellung
Erklärung
Groß-/Kleinschreibung beachten Diese Einstellung wird beim Setzen der Option Benutzername
als Passphrase verboten wirksam.
Beispiel: Der Benutzername für einen Anwender lautet „EMaier“.
Steht Groß-/Kleinschreibung beachten auf Ja und
Benutzername als Passphrase verboten auf Nein, darf Benutzer
EMaier keine Variante seines Benutzernamens (z. B. ´emaier´
oder ´eMaiEr´ etc.) als Passphrase verwenden.
Tastaturzeile verboten
Als Tastaturzeilen werden eingetippte Zeichenreihen wie „123“
oder „qwe“ bezeichnet. Maximal zwei auf der Tastatur
nebeneinander liegende Zeichen sind erlaubt. Tastaturspalten
beziehen sich nur auf den alphanumerischen Tastaturteil.
Tastaturspalte verboten
Als Tastaturspalten werden eingetippte Zeichenreihen wie „xsw2“
oder „3edc“ (nicht aber „xdr5“ oder „cft6“!) bezeichnet. Erlaubt sind
maximal zwei in einer Tastaturspalte befindliche Zeichen.Verbieten
Sie Tastaturspalten, werden derartige Zeichenkombinationen als
Passphrase abgelehnt. Tastaturspalten beziehen sich nur auf den
alphanumerischen Tastaturteil.
Drei oder mehr
aufeinanderfolgende Zeichen
verboten
Verboten werden mit Aktivierung dieser Option Zeichenketten,
die im ASCII-Code aufeinander folgen, sowohl in auf- als auch
in absteigender Reihenfolge („abc“ oder „cba“).
die aus drei oder mehr identischen Zeichen („aaa“ oder „111“)
bestehen.
Benutzername als Passphrase
verboten
Bestimmt, ob Benutzername und Passphrase identisch sein dürfen.
Ja: Windows-Benutzername und Passphrase müssen
unterschiedlich sein.
Nein: Benutzer darf seinen Windows-Benutzernamen gleichzeitig
als Passphrase verwenden.
7.12.8 White Lists für Geräteschutz-Richtlinien für dateibasierende
Verschlüsselung
Im SafeGuard Management Center können Sie White Lists als Ziele für Richtlinien des Typs
Geräteschutz für dateibasierende Verschlüsselung auswählen. Somit können Sie
Verschlüsselungsrichtlinien für spezifische Gerätemodelle und sogar für spezifische Geräte
erstellen.
Damit Sie eine White List als Ziel für eine Geräteschutz Richtlinie auswählen können, müssen
Sie die Liste im SafeGuard Management Center anlegen. Sie können White Lists für spezifische
Gerätemodelle (z. B. iPod, USB-Geräte eines bestimmten Herstellers usw.) oder für einzelne
Geräte nach Seriennummer definieren. Sie können die Geräte manuell zu den White Lists
hinzufügen oder die Ergebnisse eines SafeGuard Port Auditor Scan-Vorgangs verwenden.
Weitere Informationen finden Sie im SafeGuard PortAuditor User Guide.
374
Administratorhilfe
Sie können dann die White List als Ziel beim Anlegen einer Richtlinie vom Typ Geräteschutz
auswählen.
Hinweis: Wenn Sie eine White List für eine Richtlinie vom Typ Geräteschutz als Ziel
auswählen, können Sie als Verschlüsselungsmodus für Medien nur Keine Verschlüsselung
oder Dateibasierend auswählen. Wenn Sie Keine Verschlüsselung für eine Geräteschutz
Richtlinie mit einer White List auswählen, wird durch diese Richtlinie ein Gerät dann nicht von
der Verschlüsselung ausgenommen, wenn eine andere geltende Richtlinie die
volume-basierende Verschlüsselung fordert.
Hinweis: Für Block Master SafeStick gelten spezielle Anforderungen. Diese Geräte haben
für Administratoren und Benutzer ohne Administratorrechte unterschiedliche IDs. Für die
korrekte Verarbeitung in SafeGuard Enterprise müssen Sie beide IDs zur White List hinzufügen.
Der SafeGuard Port Auditor ermittelt beide IDs, wenn ein SafeStick-Gerät mindestens einmal
auf dem von SafeGuard Port Auditor gescannten Computer geöffnet wurde.
7.12.8.1 Anlegen einer White List für Geräteschutz-Richtlinien für die dateibasierende
Verschlüsselung
1. Markieren Sie im Richtlinien Navigationsbereich den Eintrag White List.
2. Klicken Sie im Kontextmenü von White List auf Neu > White List.
3. Wählen Sie den Typ der White List aus:
■
Um eine White List für spezifische Datenträgermodelle zu erstellen, wählen Sie
Datenträgermodelle.
■
Um eine White List für bestimmte Datenträger nach Seriennummer zu erstellen, wählen
Sie Einzelne Datenträger.
4. Geben Sie unter White List-Quelle an, wie Sie die White List erstellen möchten:
■
Um Datenträger manuell einzugeben, wählen Sie White List manuell erstellen.
Wenn Sie auf OK klicken, wird eine leere White List im SafeGuard Management Center
geöffnet. In dieser leeren White List können Sie die Einträge manuell erstellen. Klicken
Sie dazu auf das grüne Symbol Hinzufügen (Einfügen) in der SafeGuard Management
Center Symbolleiste.
Hinweis: Um die relevanten Strings für ein Gerät mit dem Windows-Geräte-Manager
abzurufen, öffnen Sie das Eigenschaften Fenster für das Gerät und entnehmen Sie
die Werte für die Eigenschaften Hardware-Kennungen und Geräteinstanzkennung.
Es werden nur folgende Schnittstellen unterstützt: USB, 1394, PCMCIA und PCI.
■
Wenn Sie das Ergebnis eines Endpoint Scans durch den SafeGuard Port Auditor als
Quelle verwenden möchten, wählen Sie SafeGuard Port Auditor Ergebnis
importieren.
Die Ergebnisse des Scans durch den SafeGuard Port Auditor müssen vorliegen
(XML-Datei), wenn Sie die White List auf diese Weise erzeugen wollen. Um die Datei
auszuwählen, klicken Sie auf die [...] Schaltfläche.
Weitere Informationen hierzu finden Sie in der SafeGuard PortAuditor Benutzerhilfe.
Nach dem Klicken auf OK wird der Inhalt der importierten Datei im SafeGuard
Management Center angezeigt.
Die White List wird unter White Lists im Richtlinien Navigationsbereich angezeigt. Sie können
Sie beim Erstellen von Richtlinien des Typs Geräteschutz für dateibasierende Verschlüsselung
auswählen.
375
SafeGuard Enterprise
7.12.8.2 Auswahl einer White List als Ziel für Geräteschutz-Richtlinien für die
dateibasierende Verschlüsselung
Voraussetzung: Die gewünschte White List muss im SafeGuard Management Center angelegt
sein.
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die Schaltfläche
Richtlinien.
2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien und wählen
Sie im Kontextmenü den Befehl Neu.
3. Wählen Sie Geräteschutz.
Es wird ein Dialog für die Benennung der neuen Richtlinie angezeigt.
4. Geben Sie einen Namen und optional eine Beschreibung für die neue Richtlinie ein.
5. Wählen Sie unter Ziel des Geräteschutzes die relevante White List:
■
Wenn Sie eine White List für Datenträgermodelle erstellt haben, wird sie unter
Datenträgermodelle angezeigt.
■
Wenn Sie eine White List für bestimmte Datenträger erstellt haben, wird sie unter
Einzelne Datenträger angezeigt.
6. Klicken Sie auf OK.
Die White List ist als Ziel der Richtlinie vom Typ Geräteschutz ausgewählt. Nach der
Übertragung der Richtlinie an die Endpoints gilt der in der Richtlinie festgelegte
Verschlüsselungsmodus.
7.12.9 Geräteschutz
Richtlinien des Typs Geräteschutz enthalten Einstellungen für die Datenverschlüsselungen
auf unterschiedlichen Datenträgern. Die Verschlüsselung kann volume- oder dateibasierend
durchgeführt werden, mit unterschiedlichen Schlüsseln und Algorithmen. Richtlinien des Typs
Geräteschutz enthalten auch Einstellungen für SafeGuard Data Exchange, SafeGuard Cloud
Storage und SafeGuard Portable. Weitere Informationen zu SafeGuard Data Exchange finden
Sie unter SafeGuard Data Exchange (Seite 171). Weitere Informationen zu SafeGuard Cloud
Storage finden Sie unter Cloud Storage (Seite 165). Weitere Informationen zu SafeGuard Data
Exchange, SafeGuard Cloud Storage und SafeGuard Portable auf dem Endpoint finden Sie
in der SafeGuard Enterprise Benutzerhilfe.
Wenn Sie eine Richtlinie dieses Typs erstellen, müssen Sie zunächst ein Ziel für den
Geräteschutz angeben. Mögliche Ziele sind:
■
Massenspeicher (Boot-Laufwerke/Andere Volumes)
■
Wechselmedien
■
Optische Laufwerke
■
Datenträgermodelle
■
Einzelne Datenträger
■
Cloud Storage Definitionen
Für jedes Ziel muss eine eigene Richtlinie angelegt werden.
Hinweis: Ziel Wechselmedien: Eine Richtlinie für die volume-basierende Verschlüsselung
von Wechsellaufwerken, die es dem Benutzer erlaubt, einen Schlüssel aus einer Liste
auszuwählen (z. B. Beliebiger Schlüssel im Schlüsselring des Benutzers), kann vom
376
Administratorhilfe
Benutzer umgangen werden, indem er keinen Schlüssel auswählt. Um sicherzustellen, dass
Wechsellaufwerke immer verschlüsselt werden, verwenden Sie eine dateibasierende
Verschlüsselungsrichtlinie legen Sie in der volume-basierenden Verschlüsselungsrichtlinie
explizit einen Schlüssel fest.
Richtlinieneinstellung
Erklärung
Verschlüsselungsmodus für
Medien
Dient dem Schutz von Endgeräten (PCs, Notebooks usw.) und
allen Arten von Wechseldatenträgern.
Hinweis: Diese Einstellung ist obligatorisch.
Hauptaufgabe ist die Verschlüsselung aller auf lokalen oder
externen Datenträgern gespeicherten Daten. Durch die transparente
Arbeitsweise können Benutzer einfach ihre gewohnten
Anwendungen, z. B. Microsoft Office, weiter benutzen.
Transparente Verschlüsselung bedeutet für den Benutzer, dass
alle verschlüsselt gespeicherten Daten (sei es in verschlüsselten
Verzeichnissen oder Laufwerken) automatisch im Hauptspeicher
entschlüsselt werden, sobald sie in einem Programm geöffnet
werden. Beim Abspeichern der Datei wird diese automatisch wieder
verschlüsselt.
Folgende Optionen stehen zur Verfügung:
Keine Verschlüsselung
Volume-basierend(= transparente, sektorbasierende
Verschlüsselung)
Stellt sicher, dass alle Daten verschlüsselt sind (inkl.
Boot-Dateien, Swapfile, Datei für den Ruhezustand/Hibernation
File, temporäre Dateien, Verzeichnisinformationen usw.) ohne
dass sich der Benutzer in seiner Arbeitsweise anpassen oder
auf Sicherheit achten muss.
Dateibasierend (= transparente, dateibasierte Verschlüsselung,
Smart MediaEncryption)
Stellt sicher, dass alle Daten verschlüsselt sind (außer Boot
Medium und Verzeichnisinformationen), mit dem Vorteil, dass
auch optische Medien wie CD/DVD verschlüsselt werden können
oder Daten mit Fremdrechnern, auf denen kein SafeGuard
Enterprise installiert ist, ausgetauscht werden können (soweit
von der Richtlinie erlaubt).
Hinweis: Für Richtlinien mit White Lists können nur die Optionen
Keine Verschlüsselung oder Dateibasierend ausgewählt werden.
ALLGEMEINE EINSTELLUNGEN
Algorithmus für die
Verschlüsselung
Setzt den Verschlüsselungsalgorithmus.
Liste aller einsetzbaren Algorithmen mit ihren jeweiligen Standards:
AES256: 32 Bytes (256 Bits)
AES128: 16 Bytes (128 Bits)
Schlüssel für die
Verschlüsselung
Legt fest, welcher Schlüssel zur Verschlüsselung verwendet wird.
Es können bestimmte Schlüssel festgelegt werden (z. B.
377
SafeGuard Enterprise
Richtlinieneinstellung
Erklärung
Computer-Schlüssel, oder ein definierter Schlüssel) oder dem
Benutzer kann die Auswahl eines Schlüssels erlaubt werden. Die
Schlüssel, die ein Benutzer verwenden darf, können eingeschränkt
werden.
Folgende Optionen stehen zur Verfügung:
Beliebiger Schlüssel im Schlüsselring des Benutzers
Alle Schlüssel aus dem Schlüsselbund des Benutzers werden
angezeigt und der Benutzer darf einen daraus auswählen.
Hinweis: Diese Option muss gewählt werden, wenn eine
Richtlinie für dateibasierende Verschlüsselung für einen durch
SafeGuard Enterprise geschützten Standalone-Endpoint
angelegt wird.
Alle, außer persönliche Schlüssel im Schlüsselring
Alle Schlüssel aus dem Schlüsselbund mit Ausnahme des
persönlichen Schlüssels werden angezeigt und der Benutzer
darf einen daraus auswählen.
Beliebiger Gruppenschlüssel im Schlüsselring des
Benutzers
Alle Gruppenschlüssel aus dem Schlüsselbund des Benutzers
werden angezeigt und der Benutzer darf einen daraus
auswählen.
Definierter Computerschlüssel
Es wird der Maschinen-Schlüssel verwendet - der Benutzer
selbst kann KEINEN Schlüssel auswählen.
Hinweis: Diese Option muss gewählt werden, wenn eine
Richtlinie für volume-basierende Verschlüsselung für einen
durch SafeGuard Enterprise geschützten Standalone-Endpoint
angelegt wird. Wenn Sie dennoch die Option Beliebiger
Schlüssel im Schlüsselring des Benutzers auswählen und
der Benutzer wählt einen lokal erzeugten Schlüssel für die
volume-basierende Verschlüsselung, wird der Zugriff auf dieses
Volume verweigert.
Beliebiger Schlüssel im Schlüsselring des Benutzers außer
lokal erzeugte Schlüssel
Alle Schlüssel aus dem Schlüsselring mit Ausnahme der lokal
erzeugten Schlüsse werden angezeigt und der Benutzer darf
einen daraus auswählen
Definierter Schlüssel aus der Liste
Der Administrator kann in der Administration bei der
Richtlinien-Einstellung einen beliebigen, existierenden Schlüssel
auswählen.
Der Schlüssel muss unter Für Verschlüsselung definierter
Schlüssel ausgewählt werden.
Bei Verwendung von „Definierter Computer-Schlüssel“
378
Administratorhilfe
Richtlinieneinstellung
Erklärung
Ist SafeGuard Enterprise Device Encryption nicht auf einem
Endpoint installiert (keine SafeGuard POA, keine volume-basierende
Verschlüsselung), wird eine Richtlinie, die den Definierten
Computerschlüssel als Schlüssel für die dateibasierende
Verschlüsselung festlegt, nicht auf dem Endpoint wirksam. Der
definierte Computerschlüssel ist auf einem Endpoint dieses Typs
nicht verfügbar. Die Daten können nicht verschlüsselt werden.
Richtlinien für durch SafeGuard Enterprise geschützte
Standalone-Endpoints:
Hinweis: Bitte beachten Sie beim Erstellen von Richtlinien für
Standalone-Computer, dass für die dateibasierende
Verschlüsselung ausschließlich die Option Beliebiger Schlüssel
im Schlüsselring des Benutzers möglich ist. Zusätzlich darf das
Erzeugen von lokalen Schlüsseln nicht verboten werden.
Falls die Medien-Passphrase-Funktion für Unmanaged Endpoints
aktiviert ist, wird der Medienverschlüsselungsschlüssel automatisch
als Für Verschlüsselung definierter Schlüssel verwendet, da
auf Unmanaged Endpoints keine Gruppenschlüssel zur Verfügung
stehen. Wenn Sie beim Erstellen einer Wechselmedien-Richtlinie
für Standalone-Endpoints einen anderen Schlüssel unter Für
Verschlüsselung definierter Schlüssel auswählen, so hat dies
keine Auswirkung.
Für Verschlüsselung definierter Dieses Feld wird nur dann aktiv, wenn Sie im Feld Schlüssel für
Schlüssel
die Verschlüsselung die Option Definierter Schlüssel aus der
Liste ausgewählt haben. Klicken Sie auf die Schaltfläche [...], um
den Dialog Schlüssel suchen aufzurufen. Klicken Sie auf Jetzt
suchen, um nach Schlüsseln zu suchen und wählen Sie einen
Schlüssel aus der angezeigten Liste aus.
Bei einer Richtlinie vom Typ Geräteschutz mit dem Ziel
Wechselmedien wird dieser Schlüssel zur Verschlüsselung des
Medienverschlüsselungsschlüssel verwendet, wenn die
Medien-Passphrase-Funktionalität aktiviert ist (Benutzer darf eine
Medien-Passphrase für Wechselmedien erzeugen auf Ja
eingestellt).
Für Richtlinien vom Typ Geräteschutz für Wechselmedien müssen
daher die Einstellungen
Schlüssel für die Verschlüsselung
Für Verschlüsselung definierter Schlüssel
unabhängig voneinander spezifiziert werden.
Richtlinien für durch SafeGuard Enterprise geschützte
Standalone-Endpoints:
Falls die Medien-Passphrase-Funktion für Unmanaged Endpoints
aktiviert ist, wird der Medienverschlüsselungsschlüssel automatisch
als Für Verschlüsselung definierter Schlüssel verwendet, da
auf Unmanaged Endpoints keine Gruppenschlüssel zur Verfügung
stehen.
379
SafeGuard Enterprise
Richtlinieneinstellung
Erklärung
Benutzer darf einen lokalen
Schlüssel erzeugen
Diese Einstellung bestimmt, ob Benutzer auf ihren Computern lokale
Schlüssel erzeugen dürfen oder nicht.
Lokale Schlüssel werden auf dem Endpoint basierend auf einer
vom Benutzer eingegebenen Passphrase erzeugt. Die
Anforderungen, denen eine Passphrase entsprechen muss, können
in Richtlinien vom Typ Passphrase festgelegt werden.
Diese Schlüssel werden ebenfalls in der Datenbank gespeichert.
Der Benutzer kann sie auf jedem Endpoint, auf dem er sich
anmelden darf, verwenden.
Lokale Schlüssel können zum sicheren Datenaustausch über
SafeGuard Data Exchange (SG DX) verwendet werden.
VOLUME-BASIERENDE EINSTELLUNGEN
Benutzer darf dem
verschlüsseltem Volume
Schlüssel hinzufügen oder
diese entfernen
Ja: Endpoint-Benutzer dürfen einen zusätzlichen Schlüssel aus
einem Schlüsselbund einfügen/entfernen. Der Dialog wird angezeigt
über den Kontextmenüeintrag Eigenschaften/Verschlüsselung /
Registerkarte.
Nein: Endpoint-Benutzer dürfen keine zusätzlichen Schlüssel
hinzufügen.
Reaktion auf unverschlüsselte Definiert, wie SafeGuard Enterprise mit unverschlüsselten Medien
Volumes
umgeht:
Folgende Optionen stehen zur Verfügung:
Abweisen (= Klartext-Medium wird nicht verschlüsselt)
Nur unverschlüsselte Medien akzeptieren und verschlüsseln
Alle Medien akzeptieren und verschlüsseln
Benutzer darf Volume
entschlüsseln
Bewirkt, dass der Benutzer über einen Kontextmenü-Eintrag im
Windows Explorer das Laufwerk entschlüsseln darf.
Schnelle Initialverschlüsselung Wählen Sie diese Einstellung aus, um den Modus der schnellen
Initialverschlüsselung für die volume-basierende Verschlüsselung
zu aktivieren. Dieser Modus reduziert den Zeitraum, der für die
Initialverschlüsselung auf Endpoints benötigt wird.
Hinweis: Dieser Modus kann zu einem unsicheren Zustand führen.
For further information, see Schnelle Initialverschlüsselung (Seite
201).
Bei defekten Sektoren
fortfahren
Legt fest, ob die Verschlüsselung fortgesetzt oder gestoppt werden
soll, wenn defekte Sektoren entdeckt werden. Die
Standardeinstellung ist Ja.
DATEIBASIERENDE EINSTELLUNGEN
Initialverschlüsselung aller
Dateien
380
Bewirkt, dass die Initialverschlüsselung für ein Laufwerk automatisch
nach der Benutzeranmeldung gestartet wird. Der Benutzer muss
Administratorhilfe
Richtlinieneinstellung
Erklärung
eventuell vorher einen Schlüssel aus dem Schlüsselbund
auswählen.
Benutzer darf
Initialverschlüsselung
abbrechen
Bewirkt, dass der Benutzer die Initialverschlüsselung abbrechen
kann.
Benutzer darf auf
unverschlüsselte Dateien
zugreifen
Definiert, ob ein Benutzer auf unverschlüsselte Dateien auf einem
Laufwerk zugreifen darf.
Benutzer darf Dateien
entschlüsseln
Bewirkt, dass der Benutzer einzelne Dateien oder ganze
Verzeichnisse entschlüsseln kann (über die Windows
Explorer-Erweiterung <rechte Maustaste>).
Benutzer darf eine
Medien-Passphrase für
Wechselmedien erzeugen
Bewirkt, dass der Benutzer eine Medien-Passphrase auf seinem
Endpoint festlegen kann. Die Medien-Passphrase ermöglicht den
einfachen Zugriff auf alle lokalen Schlüssel auf Computern ohne
SafeGuard Data Exchange über SafeGuard Portable.
Nur für Wechselmedien und
Cloud Storage:
Wenn diese Option ausgewählt ist, wird SafeGuard Portable auf
alle Wechselmedien, die mit dem Endpoint verbunden werden,
sowie in alle Synchronisierungsordner, die in einer Cloud Storage
SafeGuard Portable auf das Ziel
Definition für SafeGuard Cloud Storage definiert sind, kopiert.
kopieren
SafeGuard Portable ermöglicht den verschlüsselten Datenaustausch
mit Wechselmedien oder Cloud Storage, ohne dass der Empfänger
der Daten SafeGuard Enterprise installiert haben muss.
Der Empfänger kann mit Hilfe von SafeGuard Portable und der
entsprechenden Passphrase die verschlüsselten Daten
entschlüsseln und auch wieder verschlüsseln. Der Empfänger kann
mit SafeGuard Portable die Daten neu verschlüsseln oder den
ursprünglich verwendeten Schlüssel für die Verschlüsselung
verwenden.
SafeGuard Portable muss nicht auf den Computer des Empfängers
installiert oder kopiert werden, sondern kann direkt von den
Wechselmedien oder von Cloud Storage aus verwendet werden.
Standardschlüssel für die
Initialverschlüsselung
Über einen Dialog kann ein Schlüssel ausgewählt werden, der für
die dateibasierte Initialverschlüsselung verwendet wird. Der
Benutzer kann dann beim Start der Initialverschlüsselung keinen
Schlüssel wählen. Die Initialverschlüsselung startet ohne
Benutzerinteraktion.
Für die Initialverschlüsselung wird immer der hier festgelegte
Schlüssel verwendet.
Beispiel:
Voraussetzung: Ein Standardschlüssel für die
Initialverschlüsselung ist gesetzt.
Verbindet der Benutzer ein USB-Gerät mit dem Computer, startet
die Initialverschlüsselung automatisch. Der definierte Schlüssel
wird benutzt. Es ist kein Benutzereingriff notwendig. Will der
Benutzer anschließend Dateien umschlüsseln oder neue Dateien
auf dem USB-Medium speichern, kann er einen beliebigen
381
SafeGuard Enterprise
Richtlinieneinstellung
Erklärung
Schlüssel auswählen (falls erlaubt und verfügbar). Schließt er dann
ein anderes USB-Gerät an, wird wiederum der Schlüssel, der für
die Initialverschlüsselung festgelegt wurde, zur
Initialverschlüsselung verwendet. Dieser Schlüssel wird auch für
folgende Verschlüsselungsoperationen verwendet, bis der Benutzer
explizit einen anderen Schlüssel auswählt.
Hinweis: Wenn die Medien-Passphrase-Funktion aktiviert ist, wird
diese Option deaktiviert. Der Für Verschlüsselung definierte
Schlüssel wird verwendet.
Klartext-Ordner
Der hier angegebene Ordner wird auf allen Wechselmedien,
Massenspeichern und in allen Cloud Storage
Synchronisierungsordnern erstellt. Dateien, die in diesen Ordner
kopiert werden, bleiben immer unverschlüsselt.
Benutzer darf über
Verschlüsselung entscheiden
Sie können den Benutzer dazu berechtigen zu entscheiden, ob
Dateien auf Wechselmedien und Massenspeichern verschlüsselt
werden sollen:
Wenn Sie hier Ja auswählen, werden Benutzer dazu
aufgefordert zu entscheiden, ob Daten verschlüsselt werden
sollen. Für Massenspeicher wird diese Aufforderung nach jeder
Anmeldung angezeigt. Für Wechselmedien wird sie angezeigt,
wenn die Wechselmedien mit dem Computer verbunden werden.
Wenn Sie für diese Option Ja, Benutzereinstellungen merken
auswählen, können die Benutzer die Option Einstellungen
speichern und Dialog nicht mehr anzeigen wählen, um ihre
Auswahl für das relevante Gerät zu speichern. In diesem Fall
wird der Dialog für das Gerät nicht mehr angezeigt.
Wenn der Benutzer im auf dem Endpoint angezeigten Dialog Nein
wählt, wird weder eine initiale noch eine transparente
Verschlüsselung durchgeführt.
7.12.10 Spezifische Computereinstellungen - Grundeinstellungen
Richtlinieneinstellungen
Erklärung
POWER-ON AUTHENTICATION (POA)
Power-on Authentication aktivieren
Definiert, ob die SafeGuard POA ein- oder
ausgeschaltet sein soll.
Wichtig: Aus Sicherheitsgründen empfehlen wir
dringend, die SafeGuard POA eingeschaltet zu
lassen. Durch Deaktivierung der SafeGuard POA
reduziert sich die Systemsicherheit auf den Schutz
durch die Windows-Anmeldung. Dadurch erhöht
sich das Risiko des unberechtigten Zugriffs auf
verschlüsselte Daten.
382
Administratorhilfe
Richtlinieneinstellungen
Erklärung
Zugriff verweigern, falls keine Verbindung zum Verweigert eine Anmeldung in der SafeGuard
Server in Tagen (0= keine Überprüfung)
POA, wenn zwischen Endpoint und Server länger
als festgelegt keine Verbindung bestand.
SICHERES WAKE ON LAN (WOL)
Mit den Sicheres Wake On LAN Einstellungen
können Sie Endpoints für Software Rollouts
vorbereiten. Nach dem Wirksamwerden einer
solchen Richtlinie auf Endpoints werden die
notwendigen Parameter (z. B. SafeGuard
POA-Deaktivierung und ein Zeitabstand für Wake
on LAN) direkt an die Endpoints übertragen, wo
sie analysiert werden.
Wichtig: Wir weisen an dieser Stelle ausdrücklich
darauf hin, dass auch das zeitlich begrenzte
"Ausschalten" der SafeGuard POA für eine
bestimmte Anzahl von Boot-Vorgängen ein
Absenken des Sicherheitsniveaus bedeutet.
Weitere Informationen zu sicherem Wake on LAN
finden Sie unter Sicheres Wake on LAN (WOL)
(Seite 208).
Anzahl der automatischen Anmeldungen
Definiert die Anzahl der Neustarts mit
ausgeschalteter SafeGuard Power-on
Authentication für Wake on LAN.
Diese Einstellung überschreibt temporär die
Einstellung von Power-on Authentication
aktivieren, bis die Anzahl der eingestellten
automatischen Anmeldungen erreicht ist. Danach
wird die SafeGuard Power-on Authentication
wieder aktiviert.
Wenn Sie die Anzahl an automatischen
Anmeldungen auf zwei einstellen und Power-on
Authentication aktivieren aktiv ist, startet der
Endpoint zweimal ohne Authentisierung durch die
SafeGuard POA.
Wir empfehlen, für Wake on LAN immer drei
Neustarts mehr als notwendig für
Wartungsarbeiten zu erlauben, um
unvorhergesehene Probleme zu umgehen.
Lokale Windows-Anmeldung während WOL
erlauben
Bestimmt, ob lokale Anmeldungen an Windows
während Wake-On-LAN erlaubt sind.
Beginn des Zeitfensters für externen WOL Start Datum und Uhrzeit für den Beginn und das Ende
des Wake on LAN (WOL) können ausgewählt oder
Ende des Zeitfensters für externen WOL Start
eingegeben werden.
Datumsformat: MM/DD/YYYY
Uhrzeitformat: HH:MM
Folgende Eingabekombinationen sind möglich:
383
SafeGuard Enterprise
Richtlinieneinstellungen
Erklärung
Beginn und Ende des WOL werden festgelegt.
Nur das Ende des WOL wird festgelegt, der
Beginn bleibt offen.
Keine Einträge: Es wird kein Zeitintervall für
den Client festgelegt
Bei einem geplanten Software Rollout sollte der
Sicherheitsbeauftragte den Zeitrahmen für WOL
so bemessen, dass das Scheduling-Skript früh
genug startet und allen Endpoints genügend Zeit
zum Booten bleibt.
WOLstart: Der Startpunkt für den WOL im
Scheduling-Skript muss innerhalb des hier in der
Richtlinie festgelegten Zeitintervalls liegen. Wenn
kein Intervall definiert ist, wird WOL lokal am durch
SafeGuard Enterprise geschützten Endpoint nicht
aktiviert. WOLstop: Dieses Kommando wird
unabhängig vom hier festgelegten Endpunkt des
WOL ausgeführt.
BENUTZER-COMPUTER ZUORDNUNG (UMA)
SGN Gastbenutzer nicht zulassen
Hinweis: Diese Einstellung gilt nur für zentral
verwaltete Endpoints.
Legt fest, ob sich Gastbenutzer am Endpoint
anmelden können.
Hinweis: Microsoft Konten werden immer als
SafeGuard Enterprise Gastbenutzer behandelt.
Registrieren von neuen SGN-Benutzern
erlauben
Gibt an, wer einen anderen SGN-Benutzer in die
SafeGuard POA und/oder UMA importieren kann
(indem die durchgehende Anmeldung an das
Betriebssystem deaktiviert wird).
Hinweis: Bei Endpoints, auf denen das Device
Encryption-Modul nicht installiert ist, muss die
Einstellung Registrieren von neuen
SGN-Benutzern erlauben auf Jeder gesetzt sein,
wenn es auf dem Endpoint möglich sein soll, der
UMA mehrere Benutzer hinzuzufügen, die Zugriff
auf ihre Schlüsselringe haben sollen. Sonst
können Benutzer nur im Management Center
hinzugefügt werden. Diese Option ist wird nur auf
zentral verwalteten Endpoints ausgewertet. Siehe
auch Neue SafeGuard Enterprise Data
Exchange-Benutzer erhalten nach dem Anmelden
bei SafeGuard Enterprise Data Exchange Only
Clients kein Zertifikat.
384
Administratorhilfe
Richtlinieneinstellungen
Erklärung
Ist die Einstellung auf Niemand gesetzt, wird die
POA nicht aktiviert. Benutzer müssen im
Management Center manuell hinzugefügt werden.
Registrierung von SGN Windows-Benutzern
aktivieren
Manuelle UMA Bereinigung für Standalone
Clients aktivieren
Legt fest, ob SGN Windows-Benutzer auf dem
Endpoint registriert werden können. Ein SGN
Windows-Benutzer wird nicht zur SafeGuard POA
hinzugefügt, verfügt jedoch über einen
Schlüsselring, mit dem er auf verschlüsselte
Dateien zugreifen kann wie ein SGN-Benutzer.
Wenn Sie diese Einstellung wählen, werden alle
Benutzer, die andernfalls SGN-Gast-Benutzer
geworden wären, zu SGN Windows-Benutzern.
Die Benutzer werden zur UMA hinzugefügt, sobald
sie sich an Windows angemeldet haben.
Hinweis: Diese Einstellung gilt nur für
Standalone-Endpoints.
Legt fest, ob Benutzer SGN-Benutzer und SGN
Windows-Benutzer aus der Benutzer-Computer
Zuordnung entfernen dürfen. Wenn Sie hier Ja
auswählen, steht der Befehl Benutzer-Computer
Zuordnung im System Tray Icon Menü auf dem
Endpoint zur Verfügung. Mit diesem Befehl wird
eine Liste von Benutzern angezeigt, die sich bei
der SafeGuard Power-on Authentication als
SGN-Benutzer und bei Windows als SGN
Windows-Benutzer anmelden können. Im
angezeigten Dialog können Benutzer aus der Liste
entfernt werden. Nach dem Entfernen von
SGN-Benutzern oder SGN Windows-Benutzern,
können sich diese nicht mehr an der SafeGuard
Power-on Authentication oder an Windows
anmelden.
Maximale Anzahl von SGN Windows - Benutzern
Hinweis: Diese Einstellung gilt nur für zentral
bevor Benutzer automatisch gelöscht werden
verwaltete Endpoints.
Mit dieser Einstellung können Sie eine automatisch
Bereinigung der SafeGuard Enterprise
Windows-Benutzer auf zentral verwalteten
Endpoints aktiviert. Sobald der hier gesetzte
Schwellwert von einem SafeGuard Enterprise
Windows-Benutzer überschritten wird, werden alle
vorhandenen SafeGuard Enterprise
Windows-Benutzer außer dem neuen aus der
Benutzer-Computer Zuordnung entfernt. Die
Standardeinstellung ist 10.
ANZEIGEOPTIONEN
385
SafeGuard Enterprise
Richtlinieneinstellungen
Erklärung
Computer-Identifikation anzeigen
Zeigt in der Titelleiste der SafeGuard POA
entweder den Computernamen oder einen frei
definierbaren Text an.
Existiert ein Computername in den
Windows-Netzwerkeinstellungen, wird dieser in
der Grundeinstellung automatisch übernommen.
Text für Computer-Identifikation
Der Text, der in der Titelleiste der SafeGuard POA
angezeigt werden soll.
Ist unter Computer-Identifikation anzeigen die
Option Definierter Name ausgewählt, können Sie
in diesem Eingabefeld den Text eingeben.
Rechtliche Hinweise anzeigen
Zeigt eine Textbox mit frei konfigurierbarem Inhalt
an, die vor der Anmeldung in der SafeGuard POA
erscheint. In manchen Ländern ist das Erscheinen
eines Textfelds mit bestimmtem Inhalt gesetzlich
vorgeschrieben.
Die Box muss vom Benutzer bestätigt werden,
bevor das System fortfährt.
Bevor Sie einen Text angeben können, muss
dieser als Textelement im Richtlinien
Navigationsbereich unter Texte registriert werden.
Text für rechtliche Hinweise
Text, der als rechtlicher Hinweis angezeigt werden
soll.
Sie können hier ein Textelement auswählen, das
im Richtlinien Navigationsbereich unter Texte
registriert wurde.
Zusätzliche Informationen anzeigen
Zeigt eine Textbox mit frei konfigurierbarem Inhalt
an, die nach den rechtlichen Hinweisen (wenn
diese aktiviert sind) erscheint.
Sie können festlegen, ob die zusätzlichen
Informationen angezeigt werden:
Nie
Bei jedem Systemstart
Bei jeder Anmeldung
Bevor Sie einen Text angeben können, muss
dieser als Textelement im Richtlinien
Navigationsbereich unter Texte registriert werden.
386
Administratorhilfe
Richtlinieneinstellungen
Erklärung
Text für zusätzliche Informationen
Text, der als zusätzliche Information angezeigt
werden soll.
Sie können hier ein Textelement auswählen, das
im Richtlinien Navigationsbereich unter Texte
registriert wurde.
Anzeigedauer für zusätzliche Informationen
Zeitraum (in Sekunden) für die Anzeige
zusätzlicher Informationen.
Sie können hier die Anzahl der Sekunden
eingeben, nach denen die Textbox für zusätzliche
Informationen automatisch geschlossen wird. Der
Benutzer kann die Textbox jederzeit durch Klicken
auf OK schließen.
System Tray Icon aktivieren und anzeigen
Über das SafeGuard Enterprise System Tray Icon
kann auf dem Endpoint einfach und schnell auf
alle Benutzerfunktionen zugegriffen werden.
Zusätzlich können für den Benutzer Informationen
über den Status des Endpoint (neue Richtlinien
erhalten usw.) über Balloon Tool Tips ausgegeben
werden.
Ja:
System Tray Icon wird im Infobereich der
Taskleiste angezeigt, der Benutzer wird über
Balloon Tool Tips laufend über den Status des
durch SafeGuard Enterprise geschützten Endpoint.
Nein:
System Tray Icon wird nicht angezeigt. Keine
Statusinformationen für den Benutzer über Ballon
Tool Tips.
Stumm:
System Tray Icon wird im Infobereich der
Taskleiste angezeigt, es werden aber keine
Statusinformationen für den Benutzer über Ballon
Tool Tips ausgegeben.
Overlay-Symbole im Explorer anzeigen
Bestimmt, ob im Windows Explorer
Schlüsselsymbole zur Anzeige des
Verschlüsselungsstatus von Volumes, Geräten,
Ordnern und Dateien angezeigt werden.
Virtuelle Tastatur in der POA
Bestimmt, ob im SafeGuard POA-Anmeldedialog
bei Bedarf eine virtuelle Tastatur zur Eingabe des
Kennworts angezeigt werden kann.
INSTALLATIONSOPTIONEN
387
SafeGuard Enterprise
Richtlinieneinstellungen
Erklärung
Deinstallation erlaubt
Bestimmt, ob die Deinstallation von SafeGuard
Enterprise auf den Endpoints möglich ist. Wird
Deinstallation erlaubt auf Nein gesetzt, kann
SafeGuard Enterprise solange eine Richtlinie mit
dieser Einstellung wirksam ist, auch mit
Administratorrechten nicht deinstalliert werden.
Sophos Manipulationsschutz aktivieren
Aktiviert/deaktiviert die Funktion Sophos
Manipulationsschutz. Wenn Sie die Deinstallation
von SafeGuard Enterprise über die
Richtlinieneinstellung Deinstallation erlaubt als
zulässig definiert haben, können Sie diese
Richtlinieneinstellung auf Ja setzen, um
Deinstallationsvorgänge durch die Funktion
Sophos Manipulationsschutz überprüfen zu lassen
und somit ein leichtfertiges Entfernen der Software
zu verhindern.
Erlaubt die Funktion Sophos Manipulationsschutz
die Deinstallation nicht, wird der
Deinstallationsvorgang abgebrochen.
Ist Sophos Manipulationsschutz aktivieren auf
Nein eingestellt, werden SafeGuard Enterprise
Deinstallationsvorgänge durch die Funktion
Sophos Manipulationsschutz weder geprüft noch
verhindert.
Hinweis: Diese Einstellung gilt nur für Endpoints,
auf denen Sophos Endpoint Security and Control
in der Version 9.5 oder einer neueren Version
installiert ist.
EINSTELLUNGEN FÜR CREDENTIAL PROVIDERS
Credential Provider Wrapping
In SafeGuard Enterprise können Sie konfigurieren,
dass ein anderer Credential Provider als der
Windows Credential Provider verwendet wird.
Vorlagen für die unterstützten Credential Provider
stehen auf Sophos.com zum Download zur
Verfügung. Eine Liste mit Vorlage für getestete
Credential Provider sowie die Information zum
Download erhalten Sie vom Sophos Support.
Mit Hilfe der Richtlinieneinstellung Credential
Provider können Sie eine Vorlage importieren
und auf Endpoints anwenden. Klicken Sie auf
Vorlage importieren und suchen Sie nach der
Vorlagendatei. Die importierte Vorlage und deren
Inhalt werden im mehrzeiligen Feld Credential
Providerangezeigt und als Richtlinie eingestellt.
Um eine Vorlage zu löschen, klicken Sie auf
Vorlage löschen.
388
Administratorhilfe
Richtlinieneinstellungen
Erklärung
Hinweis: Bearbeiten Sie die bereitgestellten
Vorlagendateien nicht. Wenn die XML-Struktur
dieser Dateien geändert wird, werden die
Einstellungen unter Umständen auf dem Endpoint
nicht erkannt. Dann wird unter Umständen der
Standard Windows Credential Provider verwendet.
EINSTELLUNGEN FÜR DIE TOKENUNTERSTÜTZUNG
Token Middleware Modulname
Registriert das PKCS#11 Modul eines Token.
Folgende Optionen stehen zur Verfügung:
ActiveIdentity ActivClient
ActiveIdentity ActivClient (PIV)
AET SafeSign Identity Client
Aladdin eToken PKI Client
a.sign Client
ATOS CardOS API
Charismathics Smart Security Interface
Estonian ID-Card
Gemalto Access Client
Gemalto Classic Client
Gemalto .NET Card
IT Solution trustware CSP+
Módulo PKCS#11 TC-FNMT
Nexus Personal
RSA Authentication Client 2.x
RSA Smart Card Middleware 3.x
Siemens CardOS API
T-Systems NetKey 3.0
Unizeto proCertum
Benutzerdefinierte PKCS#11 Einstellungen...
Wenn Sie Benutzerdefinierte PKCS#11
Einstellungen... auswählen, werden die
Benutzerdefinierten PKCS#11 Einstellungen
aktiviert.
389
SafeGuard Enterprise
Richtlinieneinstellungen
Erklärung
Sie können dann die zu verwendenden
Modulnamen eingeben:
PKCS#11 Modul für Windows
PKCS#11 Modul für die SafeGuard
Power-on Authentication (POA)
Hinweis: Wenn Sie Nexus Personal oder
Gemalto .NET Card Middleware installieren,
müssen Sie den Installationspfad der Middleware
auch zur PATH-Umgebungsvariable der
Systemeigenschaften Ihres Computers
hinzufügen.
Standard-Installationspfad für Gemalto .NET
Card: C:\Programme\ Gemalto\PKCS11
for .NET V2 smart cards
Standard-Installationspfad für Nexus
Personal: C:\Programme\Personal\bin
Lizenzen:
Beachten Sie, dass für die Benutzung der
jeweiligen Middleware für das
Standard-Betriebssystem eine Lizenzvereinbarung
mit dem jeweiligen Hersteller erforderlich ist.
Informationen darüber, wo Sie die Lizenzen
erhalten, finden Sie unter Beschaffung der
erforderlichen Middleware-Lizenzen für das
Betriebssystem gemäß den Voraussetzungen von
SafeGuard Device Encryption.
Wenn Sie Siemens-Lizenzen erwerben möchten,
wenden Sie sich an:
Atos IT Solutions and Services GmbH
Otto-Hahn-Ring 6
D-81739 München
Germany
Dienste, auf die gewartet wird
Diese Einstellung dient zur Problembehebung mit
bestimmten Token. Entsprechende Einstellungen
werden gegebenenfalls von unserem Support
bekannt gegeben.
7.12.11 Protokollierung bei Windows Endpoints
Ereignisse für SafeGuard Enterprise können in der Windows-Ereignisanzeige oder in der
SafeGuard Enterprise Datenbank protokolliert werden. Um festzulegen, welche Ereignisse
an welchem Ziel protokolliert werden sollen, erstellen Sie eine Richtlinie vom Typ
Protokollierung und wählen Sie die gewünschten Ereignisse per Mausklick aus.
Es steht eine Vielzahl von Ereignissen aus unterschiedlichen Kategorien (z. B. Anmeldung,
Verschlüsselung usw.) zur Auswahl zur Verfügung. Es ist daher empfehlenswert, eine
390
Administratorhilfe
Vorgehensweise für die Protokollierung zu definieren und die notwendigen Ereignisse unter
Berücksichtigung der Anforderungen für Berichte und Audits festzulegen.
Weitere Informationen finden Sie unter Berichte (Seite 328).
7.13 Fehlerbehebung
7.13.1 Fehlercodes
7.13.1.1 SGMERR-Codes in der Windows-Ereignisanzeige
In der Windows-Ereignisanzeige könnten Sie folgende Meldung finden:
"Authorization for SafeGuard Enterprise Administration failed for user... Grund:
SGMERR[536870951]"
Welche Bedeutung die Nummer “536870951” hat, finden Sie in dieser Tabelle. Nummer
“536870951” bedeutet zum Beispiel “Die angegebene PIN ist falsch, der Benutzer konnte
nicht authentisiert werden".
Fehler-ID
Anzeige
0
OK
21
Interner Fehler entdeckt
22
Modul nicht initialisiert
23
Datei I/O Fehler entdeckt
24
Speicher kann nicht zugewiesen werden
25
Datei I/O Lesefehler
26
Datei I/O Schreibfehler
50
Keine Operation durchgeführt
101
Allgemeiner Fehler
102
Zugriff verweigert
103
Datei existiert bereits
1201
Registry Eintrag konnte nicht geöffnet werden.
1202
Registry Eintrag konnte nicht gelesen werden.
1203
Registry Eintrag konnte nicht geschrieben werden.
391
SafeGuard Enterprise
392
Fehler-ID
Anzeige
1204
Registry Eintrag konnte nicht entfernt werden.
1205
Registry Eintrag konnte nicht erzeugt werden.
1206
Kein Zugriff auf einen Systemdienst oder Treiber möglich.
1207
Ein Systemdienst oder Treiber konnte nicht in der Registry eingetragen werden.
1208
Ein Systemdienst oder Treiber konnte nicht aus der Registry entfernt werden.
1209
Ein Systemdienst oder Treiber ist bereits in der Registry eingetragen.
1210
Kein Zugriff auf den Service Control Manager möglich.
1211
Ein Eintrag für eine Session konnte in der Registry nicht gefunden werden.
1212
Ein Registry Eintrag ist ungültig oder falsch.
1301
Der Zugriff auf ein Laufwerk ist fehlgeschlagen.
1302
Keine Informationen über ein Laufwerk vorhanden.
1303
Kein Zugriff auf ein Volume möglich.
1304
Ungültige Option definiert.
1305
Unzulässiges Dateisystem.
1306
Das existierende Dateisystem auf einem Volume und das definierte sind
unterschiedlich.
1307
Die vorhandene Größe eines Dateisystem-Clusters und die definierte Größe
sind unterschiedlich.
1308
Unzulässige Sektorgröße eines Dateisystems definiert.
1309
Unzulässiger Startsektor definiert.
1310
Unzulässiger Partitionstyp definiert.
1311
Es konnte kein unfragmentierter, unbenutzter Bereich der erforderlichen Größe
auf einem Volume gefunden werden.
1312
Dateisystem Cluster konnten nicht als benutzt markiert werden.
1313
Dateisystem Cluster konnten nicht als benutzt markiert werden.
1314
Dateisystem Cluster konnten nicht als unbenutzt markiert werden.
Administratorhilfe
Fehler-ID
Anzeige
1315
Dateisystem Cluster konnten nicht als BAD markiert werden.
1316
Es existieren keine Informationen über die Cluster eines Dateisystems.
1317
Der als BAD markierte Bereich auf einem Volume konnte nicht gefunden werden.
1318
Unzulässige Größe eines Bereichs auf einem Volume definiert.
1319
Der MBR Sektor einer Festplatte konnte nicht ersetzt werden.
1330
Ein falsches Kommando für eine Allokierung oder Deallokierung definiert.
1351
Unzulässiger Algorithmus definiert.
1352
Der Zugriff auf den Systemkern ist fehlgeschlagen.
1353
Es ist kein Systemkern installiert.
1354
Beim Zugriff auf den Systemkern ist ein Fehler aufgetreten.
1355
Unzulässige Änderung der Systemeinstellungen.
1401
Auf ein Laufwerk konnten keine Daten geschrieben werden.
1402
Von einem Laufwerk konnten keine Daten gelesen werden.
1403
Der Zugriff auf ein Laufwerk ist fehlgeschlagen.
1404
Unzulässiges Laufwerk.
1405
Änderung der Zugriffsposition auf einem Laufwerk ist fehlgeschlagen.
1406
Laufwerk ist nicht bereit.
1407
Unmount eines Laufwerks ist fehlgeschlagen.
1451
Datei konnte nicht geöffnet werden.
1452
Datei konnte nicht gefunden werden.
1453
Unzulässiger Dateipfad definiert.
1454
Datei konnte nicht erzeugt werden.
1455
Datei konnte nicht kopiert werden.
1456
Keine Informationen über ein Laufwerk vorhanden.
1457
Die Position in einer Datei konnte nicht geändert werden.
393
SafeGuard Enterprise
394
Fehler-ID
Anzeige
1458
Das Lesen von einer Datei ist fehlgeschlagen.
1459
Es konnten keine Daten in eine Datei geschrieben werden.
1460
Eine Datei konnte nicht entfernt werden.
1461
Unzulässiges Dateisystem.
1462
Datei konnte nicht geschlossen werden.
1463
Kein Zugriff auf eine Datei möglich.
1501
Nicht genug Speicher vorhanden.
1502
Unzulässiger oder falscher Parameter definiert.
1503
Ein Puffer für Daten ist zu klein.
1504
Ein DLL-Modul konnte nicht geladen werden.
1505
Eine Funktion oder ein Prozess wurde abgebrochen.
1506
Kein Zugriff erlaubt.
1510
Es ist kein Systemkern installiert.
1511
Ein Programm konnte nicht gestartet werden.
1512
Eine Funktion, ein Objekt oder Daten sind nicht vorhanden.
1513
Unzulässiger Eintrag.
1514
Ein Objekt existiert bereits.
1515
Unzulässiger Funktionsaufruf.
1516
Es ist ein interner Fehler aufgetreten.
1517
Es ist eine Zugriffsverletzung aufgetreten.
1518
Funktion oder Modus wird nicht unterstützt.
1519
Deinstallation ist fehlgeschlagen.
1520
Es ist ein Ausnahmefehler aufgetreten.
1550
Der MBR Sektor der Festplatte konnte nicht ersetzt werden.
2850
Taskplaner-Dienst wurde wegen eines Ausnahmefehlers angehalten.
Administratorhilfe
Fehler-ID
Anzeige
2851
Task-Planer Task erfolgreich ausgeführt
2852
Task-Planer Task fehlgeschlagen
2853
Task-Planer Task erzeugt oder geändert
2854
Task-Planer Task gelöscht
20001
Unbekannt
20002
Prozess beendet
20003
Datei nicht verifiziert
20004
Ungültige Richtlinie
30050
Die Anweisung Öffnen war nicht erfolgreich
30051
Nicht genug Speicherplatz
30052
Allgemeiner Fehler in der Prozess-Kommunikation
30053
Auf eine Ressource kann nicht zugegriffen werden. Das ist ein temporärer
Zustand und ein späterer Versuch könnte erfolgreich beendet werden.
30054
Allgemeiner Kommunikationsfehler
30055
Unerwarteter Rückgabewert
30056
Kein Kartenlesegerät angeschlossen
30057
Zwischenspeicher überfüllt
30058
Karte ist nicht in Betrieb
30059
Eine Zeitüberschreitung ist eingetreten
30060
Unerlaubter Kartentyp
30061
Die gewünschte Funktionsart wird nicht unterstützt /zu dieser Zeit / In dieser OS
/ in dieser Situation.
30062
Ungültiger Treiber
30063
Die Firmware der angeschlossenen Hardware ist von dieser Software nicht
nutzbar
30064
Öffnen der Datei ist fehlgeschlagen
395
SafeGuard Enterprise
396
Fehler-ID
Anzeige
30065
Datei nicht gefunden
30066
Karte nicht eingeführt
30067
Unzulässiges Argument
30068
Die Semaphore wird derzeit verwendet.
30069
Die Semaphore ist momentan in Benutzung
30070
Allgemeiner Fehler.
30071
Sie haben momentan nicht die Rechte, die angefragte Aktion durchzuführen.
Normalerweise ist es notwendig zuvor ein Kennwort einzugeben.
30072
Der Service ist momentan nicht verfügbar.
30073
Ein Element ( z. B. ein Schlüssel mit einem bestimmten Namen ) konnte nicht
gefunden werden.
30074
Das angegebene Kennwort ist falsch.
30075
Das Kennwort wurde mehrere Male falsch eingegeben und ist daher geblockt.
Benutzen Sie ein Verwaltungstool, um dieses zu entsperren.
30076
Die Identität stimmt nicht mit der definierten Identitäts-Gegenprobe überein.
30077
Mehrere Fehler sind aufgetreten. Benutzen Sie diesen Fehlercode, wenn dies
die einzige Möglichkeit ist, einen Fehlercode zu erhalten, aber vorher
verschiedene Fehler aufgetreten sind.
30078
Einige Elemente sind noch vorhanden, daher kann z. B. die Verzeichnisstruktur
etc. nicht gelöscht werden.
30079
Fehler während des Konsistenztestes
30080
Die ID ist auf der Schwarzen Liste. Die angefragte Aktion ist daher nicht erlaubt.
30081
Ungültiges Handle
30082
Ungültige Konfigurationsdatei
30083
Abschnitt nicht gefunden.
30084
Eintrag nicht gefunden.
30085
Keine weiteren Abschnitte vorhanden.
30086
Ende der Datei erreicht.
Administratorhilfe
Fehler-ID
Anzeige
30087
Der angegebene Element existiert bereits.
30088
Das Kennwort ist zu kurz.
30089
Das Kennwort ist zu lang.
30090
Ein Element ( z. B. ein Zertifikat ) ist abgelaufen.
30091
Das Kennwort ist nicht gesperrt.
30092
Der Pfad konnte nicht gefunden werden.
30093
Das Datenverzeichnis ist nicht leer.
30094
Keine weiteren Daten verfügbar
30095
Auf dem Medium ist kein Speicherplatz mehr verfügbar.
30096
Eine Operation wurde abgebrochen.
30097
Read Only Daten; eine Schreiboperation ist fehlgeschlagen.
12451840
Der Schlüssel ist nicht verfügbar.
12451842
Der Schlüssel ist nicht definiert.
12451842
Zugriff auf unverschlüsseltes Medium verweigert.
12451843
Zugriff auf unverschlüsseltes Medium verweigert, wenn nicht es nicht leer ist.
352321637
Die Datei ist nicht verschlüsselt.
352321638
Der Schlüssel ist nicht verfügbar.
352321639
Der richtige Schlüssel ist nicht verfügbar.
352321640
Checksummenfehler im Datei-Header.
352321641
Fehler in CBI-Funktion.
352321642
Ungültiger Dateiname.
352321643
Fehler beim Lesen/Schreiben der temporären Datei.
352321644
Zugriff auf unverschlüsselte Dateien ist nicht erlaubt.
352321645
Key Storage Area (KSA) voll.
352321646
Die Datei ist bereits mit einem anderen Algorithmus verschlüsselt.
397
SafeGuard Enterprise
398
Fehler-ID
Anzeige
352321647
Datei ist mit NTFS komprimiert und kann daher nicht verschlüsselt werden!
352321648
Datei ist mit EFS verschlüsselt!
352321649
Ungültiger Datei-Besitzer!
352321650
Ungültiger Dateiverschlüsselungsmodus!
352321651
Fehler im CBC-Handling!
385875969
Integrität verletzt.
402653185
Das Token enthält keine Berechtigungen.
402653186
Berechtigungen können nicht auf das Token geschrieben werden.
402653187
TDF-Tag konnte nicht angelegt werden.
402653188
TDF-Tag enthält die angeforderten Daten nicht.
402653189
Das Objekt existiert bereits auf dem Token.
402653190
Kein gültiger Slot gefunden.
402653191
Seriennummer konnte nicht gelesen werden
402653192
Verschlüsselung des Tokens ist gescheitert.
402653193
Entschlüsselung des Tokens ist gescheitert.
536870913
Die Schlüsseldatei enthält eine ungültige Daten.
536870914
Teile des RSA-Schlüsselpaares sind ungültig.
536870915
Das Schlüsselpaar konnte nicht importiert werden.
536870916
Das Format der Schlüsseldatei ist ungültig.
536870917
Keine Daten verfügbar.
536870918
Der Import des Zertifikates ist fehlgeschlagen, da das Zertifikat bereits existiert.
536870919
Das Modul ist bereits initialisiert worden.
536870920
Das Modul ist nicht initialisiert worden.
536870921
Die ASN.1-Verschlüsselung ist fehlerhaft.
536870922
Fehlerhafte Datenlänge.
Administratorhilfe
Fehler-ID
Anzeige
536870923
Fehlerhafte Signatur.
536870924
Fehlerhafter Verschlüsselungsmechanismus angewandt.
536870925
Diese Version wird nicht unterstützt.
536870926
Padding Fehler.
536870927
Ungültige Flags.
536870928
Das Zertifikat ist abgelaufen und nicht länger gültig.
536870929
Unkorrekte Zeitangabe. Zertifikat noch nicht gültig.
536870930
Das Zertifikat ist entzogen worden.
536870931
Die Zertifikats-Kette ist ungültig.
536870932
Die Zertifikats-Kette konnte nicht erstellt werden.
536870933
CDP konnte nicht kontaktiert werden.
536870934
Ein Zertifikat, welches nur als End-Dateneinheit genutzt werden kann, ist als CA
oder umgekehrt genutzt worden.
536870935
Probleme mit der Gültigkeitslänge der Zertifikate in der Kette.
536870936
Fehler bei der Öffnung der Datei.
536870937
Fehler beim Lesen einer Datei.
536870938
Ein oder mehrere Parameter, die an die Funktion übergeben worden sind, sind
nicht korrekt.
536870939
Die Ausgabe der Funktion passt nicht in den zur Verfügung gestellten Puffer.
536870940
Ein Problem mit dem Token und/oder Slot ist aufgetaucht.
536870941
Der Token hat nicht genug Speicherkapazität, um die gewünschte Funktion
auszuführen.
536870942
Der Token ist aus dem Slot entfernt worden, während die Funktion ausgeführt
wurde.
536870943
Die gewünschte Funktion konnte nicht ausgeführt werden, es liegen aber keine
detaillierten Informationen über den Grund der Fehlermeldung vor.
536870945
Der Computer auf dem die CBI Sammlung läuft, besitzt ungenügenden Speicher,
um die gewünschte Funktion auszuführen. Im schlechtesten Fall könnte es sein,
dass die Funktion nur teilweise erfolgreich durchgeführt wird.
399
SafeGuard Enterprise
400
Fehler-ID
Anzeige
536870946
Eine gewünschte Funktion wird nicht vom CBI-Archiv unterstütz.
536870947
Es wurde versucht, einen Wert für ein Objekt einzustellen, welches nicht
eingestellt oder abgeändert werden kann.
536870948
Ein ungültiger Wert wurde für ein Objekt angegeben.
536870949
Es wurde versucht, den Wert eines Objektes zu erlangen, was jedoch fehlschlug,
da es sich um ein sensibles Objekt handelt bzw. es nicht extrahierbar ist.
536870950
Die angegebene OIN Lust abgelaufen. (Ob eine PIN eines normalen Benutzers
auf einem ausgegebenen Token jemals abläuft, variiert von Token zu Token.)
536870951
Die angegebene PIN abgelaufen. Der Benutzer konnte nicht authentisiert werden.
536870952
Die angegebene PIN enthält ungültige Zeichen. Dieser Antwort-Code wird nur
für Funktionen angewandt, die versuchen, eine PIN einzurichten.
536870953
Die angegebene PIN ist zu lang oder zu kurz. Dieser Antwort-Code wird nur für
Funktionen angewandt, die versuchen, eine PIN einzurichten.
536870954
Die angegebene PIN ist geblockt und kann nicht genutzt werden. Dies tritt auf,
weil eine gewisse Anzahl an fehlgeschlagenen Versuchen zur Authentisierung
aufgetreten ist und der Token weitere Versuche zur Authentisierung ablehnt.
536870955
Die angegebene Slot ID ist ungültig.
536870956
Der Token war zu dem Zeitpunkt, als die Funktion angefragt wurde nicht in
seinem Slot.
536870957
Das CBI Archiv und/oder der Slot konnte keinen Token im Slot erkennen.
536870958
Die angefragte Aktion kann nicht durchgeführt werden, da der Token
schreibgeschützt ist.
536870959
Der angegebene Benutzer kann nicht angemeldet werden, da dieser
Benutzername bereits zur Sitzung angemeldet ist.
536870960
Der angegebene Benutzer kann nicht angemeldet werden, da ein anderer
Benutzer bereits zur Sitzung angemeldet ist.
536870961
Die gewünschte Aktion kann nicht ausgeführt werden, da der geeignete Benutzer
(oder ein geeigneter Benutzer) nicht angemeldet ist. Zum Beispiel kann die
Abmeldung von der Sitzung nicht vor der Anmeldung liegen.
536870962
Die normale Benutzer PIN ist nicht mit CBIInitPin initialisiert.
536870963
Es wurde versucht, gleichzeitig mehrere verschiedene Benutzer auf dem Token
anzumelden, was der Token und/oder das Archiv zugelassen haben.
Administratorhilfe
Fehler-ID
Anzeige
536870964
Ein ungültiger Wert wurde als CBIUser angegeben. Gültige Typen sind in ASCI11
User Types definiert.
536870965
Ein Objekt mit der angegebenen Kennzeichnung konnte auf dem Token nicht
gefunden werden.
536870966
Eine Zeitüberschreitung ist aufgetreten.
536870967
Diese Version der IE ist nicht unterstützt.
536870968
Authentisierung fehlgeschlagen.
536870969
Das Root-Zertifikat ist gesichert.
536870970
Keine CRL gefunden.
536870971
Keine aktive Internetverbindung vorhanden.
536870972
Es befindet sich ein Fehler im Zeitwert eines Zertifikates.
536870973
Das Zertifikat konnte nicht verifiziert werden.
536870974
Der Aufhebungsstatus dieses Zertifikates ist unbekannt.
536870975
Das Modul wird beendet. Keine weiteren Anfragen gestattet.
536870976
Es ist ein Fehler während einer Netzwerkfunktion aufgetreten.
536870977
Ein ungültiger Aufruf einer Funktion ist empfangen worden.
536870978
Ein Objekt konnte nicht gefunden werden.
536870979
Eine Terminal Server Sitzung wurde unterbrochen.
536870980
Ungültige Handlung.
536870981
Das Objekt ist in Benutzung.
536870982
Der Zufallszahlengenerator wurde nicht initialisiert. (CBIRNDInit ( ) wurde nicht
angefragt.)
536870983
Unbekannter Befehl (siehe CBIControl ( )).
536870984
UNICODE wird nicht unterstützt.
536870985
Der Zufallszahlengenerator benötigt einen größeren Startwert (seed).
536870986
Das Objekt existiert bereits.
401
SafeGuard Enterprise
402
Fehler-ID
Anzeige
536870987
Falsche Algorithmus Kombination. (Siehe CBIRecrypt ( )).
536870988
Das Cryptoki-Modul (PKCS#11) ist nicht initialisiert.
536870989
Das Cryptoki-Modul (PKCS#11) ist bereits initialisiert.
536870990
Das Cryptoki-Modul (PKCS#11) konnte nicht geladen werden.
536870991
Zertifikat nicht gefunden.
536870992
Nicht vertrauenswürdig.
536870993
Ungültiger Schlüssel.
536870994
Der Schlüssel ist nicht exportierbar.
536870995
Der angegebene Algorithmus wird momentan nicht unterstützt.
536870996
Der angegebene Entschlüsselungsmodus wird nicht unterstützt.
536870997
Ein Fehler in der GSENC Sammlung ist aufgetreten.
536870998
Format der Datenabfrage ist nicht bekannt.
536870999
Das Zertifikat hat keinen privaten Schlüssel.
536871000
Ungültige Konfiguration
536871001
Eine Operation ist aktiv.
536871002
Ein Zertifikat in der Kette ist zeitlich nicht verschachtelt.
536871003
Die CRL konnte nicht ersetzt werden.
536871004
Die BENUTZER-PIN wurde bereits initialisiert.
805306369
Sie haben keine ausreichenden Rechte, um diese Aktion auszuführen. Zugriff
verweigert
805306370
Ungültige Handlung.
805306371
Ungültiger Parameter in Benutzung
805306372
Das Objekt existiert bereits.
805306373
Das Objekt konnte nicht gefunden werden.
805306374
Datenbank-Ausnahme aufgetreten.
Administratorhilfe
Fehler-ID
Anzeige
805306375
Die Aktion wurde vom Benutzer abgebrochen.
805306376
Das Token ist keinem bestimmten Benutzer zugewiesen.
805306377
Das Token ist mehr als einem Benutzer zugewiesen.
805306378
Das Token konnte nicht in der Datenbank gefunden werden.
805306379
Das Token wurde erfolgreich gelöscht und aus der Datenbank entfernt.
805306380
Das Token konnte in der Datenbank nicht eindeutig identifiziert werden.
805306381
Die Richtlinie ist einer Richtlinien-Gruppe zugewiesen. Um die Richtlinie zu
löschen, muss diese Zuweisung aufgehoben werden.
805306382
Die Richtlinie ist einer OU zugewiesen. Bitte entfernen Sie zuerst die Zuweisung.
805306383
Das Zertifikat dieses Beauftragten ist ungültig.
805306384
Das Zertifikat dieses Beauftragten ist abgelaufen.
805306385
Der Beauftragte konnte nicht in der Datenbank gefunden werden.
805306386
Der gewählte Beauftragte ist nicht eindeutig.
805306387
Der Beauftragte ist gesperrt und kann nicht authentisiert werden.
805306388
Der Beauftragte ist nicht mehr oder noch nicht gültig.
805306389
Der Beauftragte konnte nicht authentisiert werden - Anfrage außerhalb der
gestatteten Arbeitszeiten.
805306390
Ein Beauftragter kann sich nicht selbst löschen.
805306391
Der Haupt-Sicherheitsbeauftragte kann nicht gelöscht werden, da ein zweiter
Haupt-Sicherheitsbeauftragte zur zusätzlichen Authentisierung erforderlich ist.
805306392
Der Sicherheitsbeauftragte kann nicht gelöscht werden, da ein zweiter
Sicherheitsbeauftragte zur zusätzlichen Authentisierung erforderlich ist.
805306393
Der Prüfungsbeauftragte kann nicht gelöscht werden, da ein weiterer
Prüfungsbeauftragter zur zusätzlichen Authentisierung erforderlich ist.
805306394
Der Recovery-Beauftragte kann nicht gelöscht werden, da ein
Recovery-Beauftragter zur zusätzlichen Authentisierung erforderlich ist.
805306395
Der Beratungsbeauftragte kann nicht gelöscht werden, da ein
Beratungsbeauftragter zur zusätzlichen Authentisierung erforderlich ist.
403
SafeGuard Enterprise
404
Fehler-ID
Anzeige
805306396
Die Funktion des Haupt- Sicherheitsbeauftragten kann nicht entfernt werden, da
ein zweiter Haupt-Sicherheitsbeauftragter zur zusätzlichen Authentisierung
erforderlich ist.
805306397
Die Funktion des Sicherheitsbeauftragten kann nicht entfernt werden, da ein
Sicherheitsbeauftragter zur zusätzlichen Authentisierung erforderlich ist.
805306398
Die Funktion des Prüfungsbeauftragten kann nicht entfernt werden, da ein
Prüfungsbeauftragter zur zusätzlichen Authentisierung erforderlich ist.
805306399
Die Funktion des Wiederherstellungsbeauftragten kann nicht entfernt werden,
da ein Recovery-Beauftragter zur zusätzlichen Authentisierung erforderlich ist.
805306400
Die Funktion des Beratungsbeauftragten kann nicht entfernt werden, da ein
Beratungsbeauftragter zur zusätzlichen Authentisierung erforderlich ist.
805306401
Ein zusätzlicher Beauftragter mit der gewünschten Funktion ist zur zusätzlichen
Authentisierung nicht verfügbar.
805306402
Ereignisanzeige
805306403
Integrität des zentralen Ereignisprotokolls erfolgreich verifiziert.
805306404
Integrität verletzt! Ein oder mehrere Ereignisse wurden vom Beginn der Kette
entfernt.
805306405
Integrität verletzt! Ein oder mehrere Ereignisse sind in der Kette entfernt worden.
Die Mitteilung bei der der Bruch der Kette entdeckt worden ist, ist hervorgehoben.
805306406
Integrität verletzt! Ein oder mehrere Ereignisse wurden vom Ende der Kette
entfernt.
805306407
Exportieren der Ereignisse in Datei fehlgeschlagen. Grund:
805306408
Die momentane Ansicht enthält ungesicherte Daten. Möchten Sie die Änderungen
speichern, bevor Sie die Ansicht verlassen?
805306409
Die Datei konnte nicht geladen werden, oder die Datei ist beschädigt. Grund:
805306410
Die Integrität des Protokolls ist verletzt worden! Ein oder mehrere Ereignisse
sind entfernt worden.
805306411
Sollen die Ereignisse in einer Datei gesichert werden, bevor sie gelöscht werden?
805306412
Anzeige der Aufträge
805306413
CRL mehrfach in der Datenbank gefunden. CRL konnte nicht gelöscht werden.
805306414
CRL nicht in der Datenbank gefunden.
Administratorhilfe
Fehler-ID
Anzeige
805306415
Der Benutzer, dem das Zertifikat zugewiesen werden sollte, konnte nicht in der
Datenbank gefunden werden.
805306416
Ein P7 Blob ist für eine Zertifikats-Zuweisung zwingend erforderlich.
805306417
Der Benutzer, dem das Zertifikat zugewiesen werden sollte, ist nicht eindeutig
benannt.
805306418
Die Zertifikats-Zuweisung kann nicht gefunden werden.
805306419
Die Zuweisung des Zertifikats ist nicht eindeutig. Es ist nicht klar, welche
Zuweisung entfernt werden soll.
805306420
Der Benutzer für den das Zertifikat erstellt werden soll, konnte nicht in der
Datenbank gefunden werden.
805306421
Der Benutzer für den das Zertifikat erstellt werden soll, kann nicht eindeutig
benannt werden.
805306422
Das Zertifikat wurde bereits einem anderen Benutzer zugeordnet. Ein Zertifikat
kann nur einem Benutzer zugeordnet werden.
805306423
Der Computer, dem das Zertifikat zugewiesen werden soll, konnte nicht in der
Datenbank gefunden werden.
805306424
Der Computer, dem das Zertifikat zugewiesen werden soll, konnte nicht eindeutig
identifiziert werden.
805306425
Importierte Zertifikate können nicht durch SGN erneuert werden.
805306426
Inkonsistente Zertifikatsdaten während der Erneuerung
805306427
Die Erneuerung des Zertifikats wurde nicht von einem Sicherheitsbeauftragten
genehmigt.
805306428
Fehler beim Löschen des Token
805306429
Das Zertifikat kann nicht vom Token gelöscht werden, denn es wurde für die
Authentisierung des aktuellen Benutzers verwendet.
805306430
Ein Systemzugang mit diesem Namen existiert bereits. Bitte wählen Sie einen
anderen Namen.
805306431
Dem Sicherheitsbeauftragen sind keine Rollen zugewiesen. Anmeldung nicht
möglich.
805306432
Die Lizenz wurde verletzt.
805306433
Es wurde keine Lizenz gefunden.
805306435
Fehlender oder ungültiger Protokolldateipfad
405
SafeGuard Enterprise
406
Fehler-ID
Anzeige
2415919104
Es wurde keine Richtlinie gefunden.
2415919105
Keine Konfigurationsdatei verfügbar!
2415919106
Keine Verbindung zum Server.
2415919107
Keine weiteren Datenpakete vorhanden.
2415919108
Ungültige Priorität beim Senden zum Server!
2415919109
Es stehen noch Daten zur Verarbeitung an.
2415919110
Die Autoregistrierung ist noch nicht beendet.
2415919111
Datenbank Anmeldung fehlgeschlagen.
2415919112
Falsche Session ID!
2415919113
Datenpaket ignoriert!
3674210305
Domäne nicht gefunden.
3674210306
Maschine nicht gefunden.
3674210307
Benutzer nicht gefunden.
3758096385
Das Kennwort enthält nicht genügend Buchstaben
3758096386
Das Kennwort enthält nicht genügend Zahlen
3758096387
Das Kennwort enthält nicht genügend Sonderzeichen
3758096388
Das Kennwort entspricht dem Benutzernamen
3758096389
Das Kennwort enthält aufeinanderfolgende Zeichen
3758096390
Das Kennwort ähnelt dem Benutzernamen zu stark
3758096391
Das Kennwort wurde in der Liste der verbotenen Kennwörter gefunden
3758096392
Das Kennwort ähnelt dem alten Kennwort zu stark
3758096393
Das Kennwort enthält eine Tastaturreihe mit mehr als zwei Zeichen
3758096394
Das Kennwort enthält eine Tastaturspalte mit mehr als zwei Zeichen
3758096395
Das Kennwort hat seinen Gültigkeitszeitraum noch nicht erreicht
3758096396
Das Kennwort hat seine Gültigkeitsdauer überschritten
Administratorhilfe
Fehler-ID
Anzeige
3758096397
Das Kennwort hat seine minimale Gültigkeitsdauer noch nicht erreicht
3758096398
Das Kennwort hat die maximale Gültigkeitsdauer überschritten
3758096399
Information über einen bevorstehenden Wechsel des Kennwortes muß angezeigt
werden
3758096400
Änderung bei Erstanmeldung erforderlich
3758096401
Das Kennwort wurde in der History gefunden
3758096402
Fehler beim Verifizieren gegen die spezifizierte Blacklist.
4026531840
Keine "platform" vorhanden.
4026531841
Kein Dokument.
4026531842
XML Parse Fehler.
4026531843
Fehler im Document Object Model (XML).
4026531844
Kein <DATAROOT>-Abschnitt gefunden (XML).
4026531845
XML-Tag nicht gefunden.
4026531846
"nostream" Fehler.
4026531847
"printtree" Fehler.
7.13.1.2 BitLocker Fehlercodes
BitLocker Fehler werden durch die folgenden SafeGuard Events gemeldet:
■
2072: Kernel-Initialisierung ist fehlgeschlagen. Interner Code: <Fehlercode>.
■
3506: Sektorbasierte Erst-Verschlüsselung des Laufwerks <Laufwerksbuchstabe>
gescheitert und beendet. Grund: <Fehlercode>
Die folgende Tabelle enthält eine Liste von Fehlercodes für BitLocker:
Fehlercode
(Hex)
Fehlercode
(Dec)
Beschreibung
0x00000000 –
0x000032C8
0 – 15999
Siehe Microsoft Systemfehlercodes
0x00BEB001
12496897
Verschlüsselung ist aufgrund eines Fehlers während der
Kernel-Initialisierung nicht möglich.
407
SafeGuard Enterprise
408
0x00BEB002
12496898
Der Boot Manager darf sich nicht auf dem zu verschlüsselnden
Systemlaufwerk befinden.
0x00BEB003
12496899
Es wurde eine nicht unterstützte Windows Version gefunden.
Minimum ist Windows Vista.
0x00BEB004
12496900
Die konfigurierte Authentisierungsmethode wird nicht unterstützt.
0x00BEB005
12496901
Der PIN Dialog wurde nicht erfolgreich abgeschlossen.
0x00BEB006
12496902
Der Pfad Dialog wurde nicht erfolgreich abgeschlossen.
0x00BEB007
12496903
Fehler in Kommunikation zwischen Prozessen des PIN oder Pfad
Dialogs.
0x00BEB008
12496904
Unbehandelte Ausnahme im PIN oder Pfad Dialog. Der Dialog
wurde angezeigt, aber der Benutzer meldete sich ab oder stoppte
ihn im Task-Manager.
0x00BEB009
12496905
Der in der Richtlinie definierte Verschlüsselungsalgorithmus
stimmt nicht mit dem des verschlüsselten Laufwerks überein.
Standardmäßig (falls nicht geändert) verwendet die systemeigene
BitLocker-Verschlüsselung AES-128, während die SGN Richtlinien
AES-256 definieren.
0x00BEB00A
12496906
Das Volume ist ein schreibgeschütztes Volume. Dynamische
Volumes werden nicht unterstützt.
0x00BEB00B
12496907
Der Hardware-Test ist aufgrund eines Hardwareproblems
fehlgeschlagen.
0x00BEB00C
12496908
Bei der TPM-Initialisierung und -Aktivierung ist ein Fehler
aufgetreten.
0x00BEB00D
12496909
Der Verschlüsselungsalgorithmus in der SGN-Richtlinie steht zu
den Verschlüsselungsalgorithmus-Einstellungen im GPO in
Konflikt.
0x00BEB102
12497154
Die UEFI Version konnte nicht überprüft werden, deshalb wird
BitLocker im Legacy-Modus ausgeführt.
0x00BEB202
12497410
Das Client-Konfigurationspaket wurde noch nicht installiert.
0x00BEB203
12497411
Die UEFI Version wird nicht unterstützt und deshalb wird BitLocker
im Legacy-Modus ausgeführt. Die Minimalanforderung ist 2.3.1.
0x80280006
-2144862202
Das TPM ist inaktiv.
0x80280007
-2144862201
Das TPM ist deaktiviert.
0x80280014
-2144862188
Das TPM hat bereits einen Besitzer.
0x80310037
-2144272329
Die Gruppenrichtlinieneinstellung, die FIPS-Konformität erfordert,
verhindert, dass ein lokales Recovery-Kennwort erzeugt und in
Administratorhilfe
die Schlüssel-Backup-Datei geschrieben wird. Die
Verschlüsselung wird dennoch fortgesetzt.
0x8031005B
-2144272293
Die Gruppenrichtlinie für die angegebene
Authentisierungsmethode ist nicht gesetzt. Bitte aktivieren Sie
die Gruppenrichtlinie "Zusätzliche Authentifizierung beim Start
anfordern".
0x8031005E
-2144272290
Die Gruppenrichtlinie für Verschlüsselung ohne TPM ist nicht
gesetzt. Bitte aktivieren Sie die Gruppenrichtlinie "Zusätzliche
Authentifizierung beim Start anfordern" und aktivieren Sie darin
das Kontrollkästchen "BitLocker ohne kompatibles TPM zulassen".
0x80280000 –
0x803100CF
-2144862208 –
-2144272177
Siehe Microsoft COM Error Codes (TPM, PLA, FVE).
7.14 SafeGuard Enterprise und selbst-verschlüsselnde
Opal-Festplatten
Selbst-verschlüsselnde Festplatten bieten hardware-basierende Verschlüsselung der Daten,
die auf die Festplatte geschrieben werden. Die Trusted Computing Group (TCG) hat den
anbieter-unabhängigen Opal-Standard für selbst-verschlüsselnde Festplatten veröffentlicht.
Festplatten, die dem Opal-Standard entsprechen, werden von unterschiedlichen Herstellern
angeboten. SafeGuard Enterprise unterstützt den Opal-Standard und bietet die Verwaltung
von Endpoints mit selbst-verschlüsselnden Festplatten, die dem Opal-Standard entsprechen.
Siehe auch http://www.sophos.com/de-de/support/knowledgebase/113366.aspx.
7.14.1 Integration von Opal-Festplatten in SafeGuard Enterprise
In SafeGuard Enterprise lassen sich Endpoints mit selbst-verschlüsselnden Opal-Festplatten
wie alle anderen durch SafeGuard Enterprise geschützten Endpoints über das SafeGuard
Management Center verwalten.
Die zentrale und vollständig transparente Verwaltung von Opal-Festplatten durch SafeGuard
Enterprise ermöglicht somit die Anwendung in heterogenen IT-Umgebungen. Durch die
Unterstützung des Opal-Standards bieten wir den vollen Funktionsumfang von SafeGuard
Enterprise für Benutzer von selbst-verschlüsselnden Opal-Festplatten. In Verbindung mit
SafeGuard Enterprise bieten Opal-Festplatten erweiterte Sicherheits-Featrures.
7.14.2 Aufwertung von Opal-Festplatten mit SafeGuard Enterprise
Die Verwaltung von selbst-verschlüsselnden Opal-Festplatten mit SafeGuard Enterprise bietet
Ihnen folgende Vorteile:
■
Zentrale Verwaltung der Endpoints
■
SafeGuard Power-on Authentication mit grafischer Benutzeroberfläche
■
Unterstützung mehrerer Benutzer
■
Unterstützung der Anmeldung mit Token/Smartcard
409
SafeGuard Enterprise
■
Unterstützung der Anmeldung mit Fingerabdruck
■
Recovery (Local Self Help, Challenge/Response)
■
Zentral verwaltete Protokollierung
■
Verschlüsselung von Wechselmedien (z. B. USB-Sticks) mit SafeGuard Data Exchange
7.14.3 Verwaltung von Endpoints mit Opal-Festplatten durch SafeGuard
Enterprise
Sie können Endpoints mit selbst-verschlüsselnden Opal-Festplatten im SafeGuard Management
Center wie alle anderen durch SafeGuard Enterprise geschützten Endpoints verwalten. Als
Sicherheitsbeauftragter können Sie Sicherheitsrichtlinien (z. B. für die Authentisierung) erstellen
und sie an die Endpoints verteilen.
Sobald ein Endpoint mit einer Opal-Festplatte bei SafeGuard Enterprise registriert ist, werden
Informationen zu Benutzer, Computer, Anmeldemodus und Verschlüsselungsstatus angezeigt.
Außerdem werden Ereignisse protokolliert.
Die Verwaltung von Endpoints mit Opal-Festplatten in SafeGuard Enterprise ist transparent.
Das heißt, die Verwaltungsfunktionen haben im Allgemeinen dieselbe Funktionsweise wie
für andere durch SafeGuard Enterprise geschützte Endpoints. Der Computertyp lässt sich in
der Registerkarte Bestand eines Containers unter Benutzer & Computer ermitteln. Die
Spalte POA-Typ zeigt an, ob der betreffende Computer durch SafeGuard Enterprise
verschlüsselt ist oder eine selbst-verschlüsselnde Opal-Festplatte verwendet.
7.14.4 Verschlüsselung von Opal-Festplatten
Festplatten, die dem Opal-Standard entsprechen, sind selbst-verschlüsselnd. Daten werden
automatisch verschlüsselt, wenn sie auf die Festplatte geschrieben werden.
Die Festplatten werden mit einem AES 128/256 Schlüssel als Opal-Kennwort gesperrt. Dieses
Kennwort wird von SafeGuard Enterprise über eine Verschlüsselungsrichtlinie verwaltet (siehe
Sperren von Opal-Festplatten (Seite 410)).
7.14.5 Sperren von Opal-Festplatten
Um Opal-Festplatten zu sperren, muss für mindestens ein Volume auf der Festplatte der
Computerschlüssel in einer Verschlüsselungsrichtlinie definiert werden. Wenn die
Verschlüsselungsrichtlinie ein Boot-Volume umfasst, wird der Computerschlüssel automatisch
definiert.
1. Erstellen Sie im SafeGuard Management Center eine Richtlinie vom Typ Geräteschutz.
2. Wählen Sie im Verschlüsselungsmodus für Medien Feld die Einstellung
Volume-basierend.
3. Wählen Sie im Feld Schlüssel für die Verschlüsselung die Einstellung Definierter
Computerschlüssel.
4. Speichern Sie Ihre Änderungen in der Datenbank.
5. Übertragen Sie die Richtlinie an den relevanten Endpoint.
Die Opal-Festplatte ist gesperrt. Der Zugriff ist nur über die Anmeldung an der SafeGuard
Power-on Authentication möglich.
410
Administratorhilfe
7.14.6 Berechtigung von Benutzern zum Entsperren von Opal-Festplatten
Als Sicherheitsbeauftragter können Sie Benutzer dazu berechtigen, Opal-Festplatten auf ihren
Endpoints mit dem Entschlüsseln Befehl aus dem Windows Explorer Kontextmenü zu
entsperren.
Voraussetzung: In der Geräteschutz-Richtlinie, die für die Opal-Festplatte gilt, muss die
Option Benutzer darf Volume entschlüsseln auf Ja eingestellt sein.
1. Erstellen Sie im SafeGuard Management Center eine Richtlinie vom Typ Geräteschutz
und beziehen Sie alle Volumes auf der Opal-Festplatte in die Richtlinie ein.
2. Wählen Sie im Verschlüsselungsmodus für Medien Feld die Einstellung Keine
Verschlüsselung.
3. Speichern Sie Ihre Änderungen in der Datenbank.
4. Übertragen Sie die Richtlinie an den relevanten Endpoint.
Der Benutzer kann die Opal-Festplatte auf dem Endpoint entsperren. In der Zwischenzeit
bleibt die Festplatte gesperrt.
7.14.7 Protokollierung von Ereignissen für Endpoints mit Opal-Festplatten
Von Endpoints mit selbst-verschlüsselnden Opal-Festplatten gemeldete Ereignisse werden
wie für alle anderen durch SafeGuard Enterprise geschützten Endpoints protokolliert. Dabei
wird der Computertyp nicht explizit erwähnt. Die gemeldeten Ereignisse entsprechen den von
alle anderen durch SafeGuard Enterprise geschützten Endpoints gemeldeten Ereignisse.
Weitere Informationen finden Sie unter Berichte (Seite 328).
411
SafeGuard Enterprise
8 Technischer Support
Technischen Support zu Sophos Produkten können Sie wie folgt abrufen:
412
■
Besuchen Sie die Sophos Community unter community.sophos.com/ und suchen Sie nach
Benutzern mit dem gleichen Problem.
■
Durchsuchen Sie die Sophos Support-Knowledgebase unter
www.sophos.com/de-de/support.aspx.
■
Laden Sie die Produktdokumentation unter www.sophos.com/de-de/support/documentation/
herunter.
■
Öffnen Sie ein Ticket bei unserem Support-Team unter
https://secure2.sophos.com/support/contact-support/support-query.aspx.
Administratorhilfe
9 Rechtliche Hinweise
Copyright © 1996 - 2016 Sophos Limited. Alle Rechte vorbehalten. SafeGuard ist ein
eingetragenes Warenzeichen von Sophos Limited und Sophos Group.
Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch
gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie
verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung
mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche
Genehmigung des Urheberrechtsinhabers.
Sophos, Sophos Anti-Virus und SafeGuard sind eingetragene Warenzeichen der Sophos
Limited, Sophos Group und Utimaco Safeware AG. Alle anderen erwähnten Produkt- und
Unternehmensnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen
Inhaber.
Copyright-Informationen von Drittanbietern finden Sie im Dokument Disclaimer and Copyright
for 3rd Party Software in Ihrem Produktverzeichnis.
413