What`s New - NCP engineering GmbH

Werbung
NCP Secure Enterprise Management
(Windows)
What’s New
Neue Features von Version 2.02 bis 1.03
Haftungsausschluss
Die in diesem Dokument enthaltenen Informationen können
ohne Vorankündigung geändert werden und stellen keine
Verpflichtung seitens der NCP engineering GmbH dar. Änderungen zum Zwecke des technischen Fortschritts bleiben der
NCP engineering GmbH vorbehalten.
Warenzeichen
Alle genannten Produkte sind eingetragene Warenzeichen der jeweiligen Urheber.
© 2009 NCP engineering GmbH. Technische Änderungen
vorbehalten
NCP engineering
GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg ▪
Telefon +49(0)911 99680 ▪ E-Mail: [email protected]
Seite 1
What’s New
Secure Enterprise Management (Windows)
Inhalt
Neue Features der Version 2.02 Build 40 gegenüber Version 2.00 ............. 2 Neue Features der Version 2.00 gegenüber Version 1.03 ............................ 5 Neue Features der Version 2.02 Build 40 gegenüber Version 2.00
Überarbeitetes Plug-in Verteilungs-Konzept
Mit dem Plug-in-Verteilungs-Konzept für das NCP Secure Enterprise Management werden
die jeweils aktuellsten Plug-ins am zentralen Management Server abgelegt und
sind nicht mehr in der Management Console enthalten. Damit ist sichergestellt,
dass auf den Console PCs mit den gleichen Plug-ins gearbeitet wird.
Nach Installation des Management Servers 2.02 und der Management Console 2.02
werden die Plug-ins am Management Server installiert und mit AdministratorenRechten anschließend an der Management Console freigeschaltet. Folgende Plug-ins
sind für den Management Server 2.02 freigegeben:
•
•
•
•
•
•
•
•
NCP_MgmPlugin_Console_Win32_202_017.exe Management Console Plug-in
NCP_MgmPlugin_Client_Win32_910_40.exe
Client Configuration Plug-in
NCP_MgmPlugin_Firewall_Win32_201_9.exe Firewall Plug-in
NCP_MgmPlugin_LicMgm_Win32_201_13.exe
License Management Plug-in
NCP_MgmPlugin_PKIMgr_Win32_201_16.exe
PKI Management Plug-in
NCP_MgmPlugin_Policy_Win32_201_7.exe
Endpoint Policy Plug-in
NCP_MgmPlugin_Radius_Win32_201_7.exe
RADIUS Plug-in
NCP_MgmPlugin_Script_Win32_201_2.exe
Script Plug-in
Folgende Plug-ins stehen als Test-Software zur Verfügung:
•
•
•
NCP_MgmPlugin_SysMon_Win32_201_7.exe
NCP_MgmPlugin_RemSrv_Win32_702_9.exe
NCP_MgmPlugin_SrvCfg_Win32_800_12.exe
System Monitor Plug-in
Remote Server Configuration Plug-in
Server Configuration Plug-in
Installation der Plug-ins:
Bitte beachten Sie, dass für die Installation der Plug-ins Benutzername und
Passwort für den Management Server benötigt werden! Die Plug-ins können von
jedem Rechner im lokalen Netzwerk unter Angabe der IP-Adresse des Management
Servers auf diesem installiert werden. Dies gilt auch für die Management
Console, die ebenfalls als Plug-in installiert werden kann.
Consolen-Plug-in-Verwaltung:
Die Freischaltung der Plug-ins erfolgt über die Consolen-Plug-in-Verwaltung.
Dazu starten Sie die Management Console und selektieren im Hauptmenü "Management
Server / Consolen Plug-ins". Hier sind die Plug-ins mit Namen, Version, BuildNr. und Upload-Datum aufgelistet. Zum Freischalten markieren Sie das gewünschte
Plug-in und öffnen das Aktivierungsfenster (mit Doppelklick oder mit Klick auf
den Aktivieren-Button), worin die jeweiligen Plug-ins den Administratorgruppen
NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg ▪
Telefon +49(0)911 99680 ▪ E-Mail: [email protected]
Seite 2
What’s New
Secure Enterprise Management (Windows)
zugeordnet werden können.
Nach der Aktivierung melden Sie sich über die Management Console erneut am
Management Server an bzw. starten die Management-Software neu, wenn Sie die
Management Console als Plug-in installiert haben.
Bei der nächsten Verbindung zum zentralen Management Server erfolgt für den
Administrator ein automatischer Download seiner zugewiesenen Plug-ins.
Neue Konfigurations-Optionen
Mit dem Secure Enterprise Management 2.02 können NCP Secure Enterprise Clients
einschließlich der Enterprise-Versionen 9.10 administriert werden. Die neuen
Konfigurationsmöglichkeiten des Enterprise Clients wurden entsprechend in das
Management-System übernommen. Dazu gehören:
-
Multi-Zertifikatskonfiguration (Erweiterte Zertifikatskonfiguration)
Profil-Filter (Profil-Gruppenbildung)
Budget Manager
LAN Update
Software Update-Liste
(Zu diesen Features beachten Sie bitte auch die entsprechenden Beschreibungen im
Client-Navigator zu Ihrem Enterprise Client 9.10, bzw. die Datei
SecEnterpriseCl-Win-Neues910.html)
Client Configuration Plug-in
1. Management für NCP Enterprise Symbian Client
In das Client Configuration Plug-in wurde als neues Produkt der NCP Enterprise
Symbian Client hinzugefügt. Dieser kann in der Vorlage als Produkttyp ausgewählt
werden, sodass für ihn Konfigurationen erstellt werden können.
Die erforderlichen Lizenzschlüssel für die Symbian Clients müssen über das neue
License Management Plug-in eingespielt werden.
2. Konfiguration des Modemtyps
In den Profil-Einstellungen unter Modem kann zur Auswahl eines bestimmten Modems
alternativ ein Typ aus der Listbox gewählt werden oder das Feld frei editiert
werden. Somit können Modems konfiguriert werden, ohne dass die MODEM.INI-Datei
am Consolen-PC vorhanden ist.
3. RSU Secret für Rollout und LAN Update
Ab Management Server 2.02 wird im Fall eines Rollouts für Init-Benutzer ein RSU
Secret generiert und in der Datenbank des Servers sowie am Client gespeichert.
Das RSU Secret gewährleistet eine eindeutige Authentisierung des Benutzers,
unabhängig von der RSU-ID.
NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg ▪
Telefon +49(0)911 99680 ▪ E-Mail: [email protected]
Seite 3
What’s New
Secure Enterprise Management (Windows)
Ab Management System 2.02 wird vorausgesetzt, dass der Client ein RSU Secret
besitzt, um sich beim automatischen Update-Verfahren authentisieren zu können.
Clients ab Version 9.10 können mittels RSU Secret auch über LAN Updates
erhalten.
Nur wenn bei der Anmeldung des RSU Clients das Secret mit dem in der Datenbank
übereinstimmt, wird ein Update durchgeführt.
Clients die noch kein RSU Secret besitzen und sich über VPN mit dem Management
System verbinden, erhalten ihr RSU Secret automatisch wenn der
Konfigurationsparameter "UnAuthOnlyOverVpn" auf "1" gesetzt ist
(Standardeinstellung in der Management Console 2.02 unter "Management Server /
Einstellungen"). Clients, die sich über LAN mit dem Management System verbinden
und noch kein RSU Secret besitzen, werden vom System abgewiesen. Sie müssen
sich, um ein RSU Secret zu erhalten, einmalig über VPN mit dem Management System
verbunden haben. Auch hier muss der Konfigurationsparameter "UnAuthOnlyOverVpn"
auf "1" gesetzt sein.
Im Konfigurationsbereich unter "Info" kann für einen Benutzer geprüft werden, ob
das RSU Secret gesetzt ist. Bei Bedarf kann es dort auch zurückgesetzt werden.
Bei zurückgesetztem Secret muss ein neues Secret über eine VPN-Verbindung
ausgetauscht werden, da sonst eine Verbindung zum Management System abgewiesen
wird.
(Voraussetzung: Management Server und Console 2.02, Client 9.10, Update Client
3.0)
4. Update-Listen bei Software-Verteilung
Bei dem bisherigen Software Update wurde immer in einer festen Reihenfolge
überprüft, ob Aktualisierungen vorliegen. Mit dem Management System 2.02 ist es
möglich Update-Listen nach verschiedenen Kriterien zusammenzustellen.
Im Console-Menü unter "Software-Verwaltung / Software Update-Listen" kann,
abhängig vom Verbindungsmedium des Clients festgelegt werden, wie mit den zur
Verfügung stehenden Updates umgegangen werden soll:
- ob das Update nicht eingespielt wird
- ob das Update ohne Rückfrage erzwungen wird oder
- ob und wie oft der Benutzer gefragt wird (also z. B. bei LAN-Verbindung Update
erzwingen, bei UMTS-Verbindung Benutzer fragen). Dabei kann eine maximale Anzahl
von Ablehnungen konfiguriert werden, nach denen das Update erzwungen eingespielt
wird. Diese Ablehnungen zählen pro Update, nicht pro Medium. (Wenn bei LAN und
UMTS "abfragen" mit 4 Ablehnungen konfiguriert ist, wird nach 2 Ablehnungen bei
LAN-Verbindung und 2 Ablehnungen bei UMTS-Verbindung das Update zwangsweise
eingespielt. Genauso bei einer Ablehnung bei LAN- und drei Ablehnungen bei UMTSVerbindung.
Die Update-Liste gestattet außerdem noch festzulegen:
- die Komponenten, die aktualisiert werden sollen
- die Reihenfolge, in der die Updates eingespielt werden
NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg ▪
Telefon +49(0)911 99680 ▪ E-Mail: [email protected]
Seite 4
What’s New
Secure Enterprise Management (Windows)
Die Software Update-Liste kann in der Client-Konfiguration benutzerspezifisch
oder über die Client-Vorlage gruppenspezifisch zugewiesen werden.
(Voraussetzung: Update Client 3.0, Management Console 2.02;
Beachten Sie dazu auch die Beschreibung "SEM-Auomatisches-Update")
5. RSURESTORE vor Datenbank-Replikation
Mit dem Aufruf von RSURESTORE in der DOS-Box am Primary Manager
(Installationspfad des Server Managers) können alle Einträge der Datenbank eines
neuen Primary Management Servers gelöscht werden.
Das Kommando erfolgt mit:
rsurestore [IP-Address Backup Management Server] [Administrator Password] alldel
Dies ist immer dann sinnvoll, wenn die Datenbank des Primary Servers neu
eingerichtet wurde und die Datenbankeinträge nicht durch die letzte (Tages-)
Sicherung wieder hergestellt werden können. Gelöscht werden dabei Einträge, die
beim ersten Start des SEM automatisch in der Datenbank angelegt werden und damit
verhindern, dass alle Daten vom Primary Failsafe Server repliziert werden
können.
6. Neu unterstützte Datenbanken
Der Server Manager unterstützt ab Version 2.02 die Datenbank MySQL ODBC Driver
Version 5.1 und Microsoft SQL Server 2008. Plug-in-Verteilungs-Konzept
Neue Features der Version 2.00 gegenüber Version 1.03
Neue Konfigurations-Optionen
Mit dem Secure Enterprise Management 2.0 können NCP Secure Enterprise Clients
einschließlich der Enterprise-Versionen 9.03 administriert werden. Die
Konfigurationsmöglichkeiten des Enterprise Clients wurden entsprechend in das
Management-System übernommen.
Darüber hinaus sind folgende Neuerungen aufgenommen worden:
Client Configuration Plug-in
Parameter-Sperren für WLAN-Profile
Für WLAN-Profile kann über die Management-Console für jeden einzelnen Parameter
eine Parametersperre gesetzt werden (Vorlagen / WLAN-Profil / Sperren). Dadurch
ist es möglich, die Update-Funktion "Nur gesperrte Parameter ändern" analog wie
bei der Konfiguration der Zielsysteme einsetzen zu können.
Parameter-Sperren für EAP
In der Management-Console wurde für die EAP-Konfiguration das Anlegen von
NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg ▪
Telefon +49(0)911 99680 ▪ E-Mail: [email protected]
Seite 5
What’s New
Secure Enterprise Management (Windows)
Parametersperren für den Client hinzugefügt.
Konfiguration für Hotspot-Anmeldung
Um die Hostspot-Anmeldung vorkonfigurieren zu können, muss in der Vorlage unter
"Berechtigungen" das "Voreinstellen" für die Hotspot-Konfiguration selektiert werden.
Benutzer-Informationen
Im Client Plug-in wurde die Rubrik "Konfiguration / Benutzer-Informationen"
hinzugefügt. Dort können in 5 Beschreibungsfeldern beliebige Daten zum Benutzer
eingetragen werden (z. B. Name, Rufnummer). Ab Management Server 2.00 Build 7
können diese Felder individuell beschriftet werden (Hauptmenü "Einstellungen /
Beschriftung Benutzer-Informationen").
Benutzerberechtigung für "bekannte Netze"
Im Client Plug-in wurden unter "Vorlage / Berechtigungen / Firewall / Bekannte
Netze" folgende Rechte hinzugefügt:
• Benutzer darf eigene "Bekannte Netze" hinzufügen
• Benutzer darf "Bekannte Netze" bearbeiten
• Benutzer darf "Bekannte Netze" löschen
• Durch den Benutzer hinzugefügte "Bekannte Netze" löschen
Der Benutzer kann damit Berechtigungen zum Einrichten von Friendly Networks
erhalten, unabhängig von den übrigen Firewall-Einstellungen. Für das Setzen
dieser Rechte bzw. der Funktionalität ist mindestens ein Secure Client 8.31
Build 46 erforderlich.
Firewall Plug-in
Benutzerspezifische Firewall-Regeln
Firewall-Regeln können einer Benutzerkonfiguration aus der Vorlage des Firewall
Plug-ins zugewiesen werden; diese Regeln sind dann nicht mehr editierbar.
Zusätzlich können in eine Benutzerkonfiguration aber auch benutzerspezifische
Firewall-Regeln hinzugefügt werden, die noch editierbar sind.
RADIUS Plug-in
Anpassung des RADIUS-Benutzernamens für externe Authentisierung
Über die RADIUS-Konfiguration wurde ermöglicht, einen konfigurierten Suffix oder
Prefix des gruppenspezifischen RADIUS-Benutzernamens für die externe RADIUSAuthentisierung zu entfernen. (Einstellung unter: RADIUS -> RADIUS
Gruppeneinstellungen -> Externe Authentisierung.) Dies gestattet ggf.
Benutzerkonfigurationen eines Active Directory oder LDAP Servers unverändert zu
belassen.
NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg ▪
Telefon +49(0)911 99680 ▪ E-Mail: [email protected]
Seite 6
Herunterladen