NCP Secure Enterprise Management (Windows) What’s New Neue Features von Version 2.02 bis 1.03 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung seitens der NCP engineering GmbH dar. Änderungen zum Zwecke des technischen Fortschritts bleiben der NCP engineering GmbH vorbehalten. Warenzeichen Alle genannten Produkte sind eingetragene Warenzeichen der jeweiligen Urheber. © 2009 NCP engineering GmbH. Technische Änderungen vorbehalten NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg ▪ Telefon +49(0)911 99680 ▪ E-Mail: [email protected] Seite 1 What’s New Secure Enterprise Management (Windows) Inhalt Neue Features der Version 2.02 Build 40 gegenüber Version 2.00 ............. 2 Neue Features der Version 2.00 gegenüber Version 1.03 ............................ 5 Neue Features der Version 2.02 Build 40 gegenüber Version 2.00 Überarbeitetes Plug-in Verteilungs-Konzept Mit dem Plug-in-Verteilungs-Konzept für das NCP Secure Enterprise Management werden die jeweils aktuellsten Plug-ins am zentralen Management Server abgelegt und sind nicht mehr in der Management Console enthalten. Damit ist sichergestellt, dass auf den Console PCs mit den gleichen Plug-ins gearbeitet wird. Nach Installation des Management Servers 2.02 und der Management Console 2.02 werden die Plug-ins am Management Server installiert und mit AdministratorenRechten anschließend an der Management Console freigeschaltet. Folgende Plug-ins sind für den Management Server 2.02 freigegeben: • • • • • • • • NCP_MgmPlugin_Console_Win32_202_017.exe Management Console Plug-in NCP_MgmPlugin_Client_Win32_910_40.exe Client Configuration Plug-in NCP_MgmPlugin_Firewall_Win32_201_9.exe Firewall Plug-in NCP_MgmPlugin_LicMgm_Win32_201_13.exe License Management Plug-in NCP_MgmPlugin_PKIMgr_Win32_201_16.exe PKI Management Plug-in NCP_MgmPlugin_Policy_Win32_201_7.exe Endpoint Policy Plug-in NCP_MgmPlugin_Radius_Win32_201_7.exe RADIUS Plug-in NCP_MgmPlugin_Script_Win32_201_2.exe Script Plug-in Folgende Plug-ins stehen als Test-Software zur Verfügung: • • • NCP_MgmPlugin_SysMon_Win32_201_7.exe NCP_MgmPlugin_RemSrv_Win32_702_9.exe NCP_MgmPlugin_SrvCfg_Win32_800_12.exe System Monitor Plug-in Remote Server Configuration Plug-in Server Configuration Plug-in Installation der Plug-ins: Bitte beachten Sie, dass für die Installation der Plug-ins Benutzername und Passwort für den Management Server benötigt werden! Die Plug-ins können von jedem Rechner im lokalen Netzwerk unter Angabe der IP-Adresse des Management Servers auf diesem installiert werden. Dies gilt auch für die Management Console, die ebenfalls als Plug-in installiert werden kann. Consolen-Plug-in-Verwaltung: Die Freischaltung der Plug-ins erfolgt über die Consolen-Plug-in-Verwaltung. Dazu starten Sie die Management Console und selektieren im Hauptmenü "Management Server / Consolen Plug-ins". Hier sind die Plug-ins mit Namen, Version, BuildNr. und Upload-Datum aufgelistet. Zum Freischalten markieren Sie das gewünschte Plug-in und öffnen das Aktivierungsfenster (mit Doppelklick oder mit Klick auf den Aktivieren-Button), worin die jeweiligen Plug-ins den Administratorgruppen NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg ▪ Telefon +49(0)911 99680 ▪ E-Mail: [email protected] Seite 2 What’s New Secure Enterprise Management (Windows) zugeordnet werden können. Nach der Aktivierung melden Sie sich über die Management Console erneut am Management Server an bzw. starten die Management-Software neu, wenn Sie die Management Console als Plug-in installiert haben. Bei der nächsten Verbindung zum zentralen Management Server erfolgt für den Administrator ein automatischer Download seiner zugewiesenen Plug-ins. Neue Konfigurations-Optionen Mit dem Secure Enterprise Management 2.02 können NCP Secure Enterprise Clients einschließlich der Enterprise-Versionen 9.10 administriert werden. Die neuen Konfigurationsmöglichkeiten des Enterprise Clients wurden entsprechend in das Management-System übernommen. Dazu gehören: - Multi-Zertifikatskonfiguration (Erweiterte Zertifikatskonfiguration) Profil-Filter (Profil-Gruppenbildung) Budget Manager LAN Update Software Update-Liste (Zu diesen Features beachten Sie bitte auch die entsprechenden Beschreibungen im Client-Navigator zu Ihrem Enterprise Client 9.10, bzw. die Datei SecEnterpriseCl-Win-Neues910.html) Client Configuration Plug-in 1. Management für NCP Enterprise Symbian Client In das Client Configuration Plug-in wurde als neues Produkt der NCP Enterprise Symbian Client hinzugefügt. Dieser kann in der Vorlage als Produkttyp ausgewählt werden, sodass für ihn Konfigurationen erstellt werden können. Die erforderlichen Lizenzschlüssel für die Symbian Clients müssen über das neue License Management Plug-in eingespielt werden. 2. Konfiguration des Modemtyps In den Profil-Einstellungen unter Modem kann zur Auswahl eines bestimmten Modems alternativ ein Typ aus der Listbox gewählt werden oder das Feld frei editiert werden. Somit können Modems konfiguriert werden, ohne dass die MODEM.INI-Datei am Consolen-PC vorhanden ist. 3. RSU Secret für Rollout und LAN Update Ab Management Server 2.02 wird im Fall eines Rollouts für Init-Benutzer ein RSU Secret generiert und in der Datenbank des Servers sowie am Client gespeichert. Das RSU Secret gewährleistet eine eindeutige Authentisierung des Benutzers, unabhängig von der RSU-ID. NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg ▪ Telefon +49(0)911 99680 ▪ E-Mail: [email protected] Seite 3 What’s New Secure Enterprise Management (Windows) Ab Management System 2.02 wird vorausgesetzt, dass der Client ein RSU Secret besitzt, um sich beim automatischen Update-Verfahren authentisieren zu können. Clients ab Version 9.10 können mittels RSU Secret auch über LAN Updates erhalten. Nur wenn bei der Anmeldung des RSU Clients das Secret mit dem in der Datenbank übereinstimmt, wird ein Update durchgeführt. Clients die noch kein RSU Secret besitzen und sich über VPN mit dem Management System verbinden, erhalten ihr RSU Secret automatisch wenn der Konfigurationsparameter "UnAuthOnlyOverVpn" auf "1" gesetzt ist (Standardeinstellung in der Management Console 2.02 unter "Management Server / Einstellungen"). Clients, die sich über LAN mit dem Management System verbinden und noch kein RSU Secret besitzen, werden vom System abgewiesen. Sie müssen sich, um ein RSU Secret zu erhalten, einmalig über VPN mit dem Management System verbunden haben. Auch hier muss der Konfigurationsparameter "UnAuthOnlyOverVpn" auf "1" gesetzt sein. Im Konfigurationsbereich unter "Info" kann für einen Benutzer geprüft werden, ob das RSU Secret gesetzt ist. Bei Bedarf kann es dort auch zurückgesetzt werden. Bei zurückgesetztem Secret muss ein neues Secret über eine VPN-Verbindung ausgetauscht werden, da sonst eine Verbindung zum Management System abgewiesen wird. (Voraussetzung: Management Server und Console 2.02, Client 9.10, Update Client 3.0) 4. Update-Listen bei Software-Verteilung Bei dem bisherigen Software Update wurde immer in einer festen Reihenfolge überprüft, ob Aktualisierungen vorliegen. Mit dem Management System 2.02 ist es möglich Update-Listen nach verschiedenen Kriterien zusammenzustellen. Im Console-Menü unter "Software-Verwaltung / Software Update-Listen" kann, abhängig vom Verbindungsmedium des Clients festgelegt werden, wie mit den zur Verfügung stehenden Updates umgegangen werden soll: - ob das Update nicht eingespielt wird - ob das Update ohne Rückfrage erzwungen wird oder - ob und wie oft der Benutzer gefragt wird (also z. B. bei LAN-Verbindung Update erzwingen, bei UMTS-Verbindung Benutzer fragen). Dabei kann eine maximale Anzahl von Ablehnungen konfiguriert werden, nach denen das Update erzwungen eingespielt wird. Diese Ablehnungen zählen pro Update, nicht pro Medium. (Wenn bei LAN und UMTS "abfragen" mit 4 Ablehnungen konfiguriert ist, wird nach 2 Ablehnungen bei LAN-Verbindung und 2 Ablehnungen bei UMTS-Verbindung das Update zwangsweise eingespielt. Genauso bei einer Ablehnung bei LAN- und drei Ablehnungen bei UMTSVerbindung. Die Update-Liste gestattet außerdem noch festzulegen: - die Komponenten, die aktualisiert werden sollen - die Reihenfolge, in der die Updates eingespielt werden NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg ▪ Telefon +49(0)911 99680 ▪ E-Mail: [email protected] Seite 4 What’s New Secure Enterprise Management (Windows) Die Software Update-Liste kann in der Client-Konfiguration benutzerspezifisch oder über die Client-Vorlage gruppenspezifisch zugewiesen werden. (Voraussetzung: Update Client 3.0, Management Console 2.02; Beachten Sie dazu auch die Beschreibung "SEM-Auomatisches-Update") 5. RSURESTORE vor Datenbank-Replikation Mit dem Aufruf von RSURESTORE in der DOS-Box am Primary Manager (Installationspfad des Server Managers) können alle Einträge der Datenbank eines neuen Primary Management Servers gelöscht werden. Das Kommando erfolgt mit: rsurestore [IP-Address Backup Management Server] [Administrator Password] alldel Dies ist immer dann sinnvoll, wenn die Datenbank des Primary Servers neu eingerichtet wurde und die Datenbankeinträge nicht durch die letzte (Tages-) Sicherung wieder hergestellt werden können. Gelöscht werden dabei Einträge, die beim ersten Start des SEM automatisch in der Datenbank angelegt werden und damit verhindern, dass alle Daten vom Primary Failsafe Server repliziert werden können. 6. Neu unterstützte Datenbanken Der Server Manager unterstützt ab Version 2.02 die Datenbank MySQL ODBC Driver Version 5.1 und Microsoft SQL Server 2008. Plug-in-Verteilungs-Konzept Neue Features der Version 2.00 gegenüber Version 1.03 Neue Konfigurations-Optionen Mit dem Secure Enterprise Management 2.0 können NCP Secure Enterprise Clients einschließlich der Enterprise-Versionen 9.03 administriert werden. Die Konfigurationsmöglichkeiten des Enterprise Clients wurden entsprechend in das Management-System übernommen. Darüber hinaus sind folgende Neuerungen aufgenommen worden: Client Configuration Plug-in Parameter-Sperren für WLAN-Profile Für WLAN-Profile kann über die Management-Console für jeden einzelnen Parameter eine Parametersperre gesetzt werden (Vorlagen / WLAN-Profil / Sperren). Dadurch ist es möglich, die Update-Funktion "Nur gesperrte Parameter ändern" analog wie bei der Konfiguration der Zielsysteme einsetzen zu können. Parameter-Sperren für EAP In der Management-Console wurde für die EAP-Konfiguration das Anlegen von NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg ▪ Telefon +49(0)911 99680 ▪ E-Mail: [email protected] Seite 5 What’s New Secure Enterprise Management (Windows) Parametersperren für den Client hinzugefügt. Konfiguration für Hotspot-Anmeldung Um die Hostspot-Anmeldung vorkonfigurieren zu können, muss in der Vorlage unter "Berechtigungen" das "Voreinstellen" für die Hotspot-Konfiguration selektiert werden. Benutzer-Informationen Im Client Plug-in wurde die Rubrik "Konfiguration / Benutzer-Informationen" hinzugefügt. Dort können in 5 Beschreibungsfeldern beliebige Daten zum Benutzer eingetragen werden (z. B. Name, Rufnummer). Ab Management Server 2.00 Build 7 können diese Felder individuell beschriftet werden (Hauptmenü "Einstellungen / Beschriftung Benutzer-Informationen"). Benutzerberechtigung für "bekannte Netze" Im Client Plug-in wurden unter "Vorlage / Berechtigungen / Firewall / Bekannte Netze" folgende Rechte hinzugefügt: • Benutzer darf eigene "Bekannte Netze" hinzufügen • Benutzer darf "Bekannte Netze" bearbeiten • Benutzer darf "Bekannte Netze" löschen • Durch den Benutzer hinzugefügte "Bekannte Netze" löschen Der Benutzer kann damit Berechtigungen zum Einrichten von Friendly Networks erhalten, unabhängig von den übrigen Firewall-Einstellungen. Für das Setzen dieser Rechte bzw. der Funktionalität ist mindestens ein Secure Client 8.31 Build 46 erforderlich. Firewall Plug-in Benutzerspezifische Firewall-Regeln Firewall-Regeln können einer Benutzerkonfiguration aus der Vorlage des Firewall Plug-ins zugewiesen werden; diese Regeln sind dann nicht mehr editierbar. Zusätzlich können in eine Benutzerkonfiguration aber auch benutzerspezifische Firewall-Regeln hinzugefügt werden, die noch editierbar sind. RADIUS Plug-in Anpassung des RADIUS-Benutzernamens für externe Authentisierung Über die RADIUS-Konfiguration wurde ermöglicht, einen konfigurierten Suffix oder Prefix des gruppenspezifischen RADIUS-Benutzernamens für die externe RADIUSAuthentisierung zu entfernen. (Einstellung unter: RADIUS -> RADIUS Gruppeneinstellungen -> Externe Authentisierung.) Dies gestattet ggf. Benutzerkonfigurationen eines Active Directory oder LDAP Servers unverändert zu belassen. NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg ▪ Telefon +49(0)911 99680 ▪ E-Mail: [email protected] Seite 6