SafeGuard Enterprise Administratorhilfe Produktversion: 8 Stand: Juli 2016 Inhalt 1 Über SafeGuard Enterprise................................................................................................4 1.1 Neu in SafeGuard Enterprise...............................................................................8 2 Installation .......................................................................................................................11 2.1 SafeGuard Enterprise Komponenten.................................................................11 2.2 Erste Schritte......................................................................................................13 2.3 Einrichten des SafeGuard Enterprise Servers...................................................17 2.4 Einrichten einer SafeGuard Enterprise Datenbank............................................20 2.5 Einrichten des SafeGuard Management Centers...............................................33 2.6 Testen der Kommunikation.................................................................................45 2.7 Sichern von Transportverbindungen mit SSL.....................................................47 2.8 Registrieren und Konfigurieren des SafeGuard Enterprise Server.....................51 2.9 Erzeugen von Konfigurationspaketen.................................................................54 2.10 Einrichten von SafeGuard Enterprise auf Endpoints........................................56 2.11 Installieren der Verschlüsselungssoftware unter Windows...............................60 2.12 Installieren der Verschlüsselungssoftware auf Mac OS X................................72 2.13 Aktualisierung...................................................................................................75 2.14 Migration ..........................................................................................................78 2.15 Deinstallation - Überblick..................................................................................81 3 SafeGuard Management Center......................................................................................84 3.1 Anmeldung am SafeGuard Management Center...............................................84 3.2 SafeGuard Management Center Benutzeroberfläche.......................................85 3.3 Sprache der Benutzeroberfläche........................................................................86 3.4 Prüfen der Datenbankintegrität...........................................................................87 3.5 Mit Richtlinien arbeiten.......................................................................................87 3.6 Mit Konfigurationspaketen arbeiten....................................................................93 4 Mac Endpoints verwalten.................................................................................................97 4.1 Erzeugen eines Konfigurationspakets für Macs..................................................97 4.2 Über SafeGuard Native Device Encryption für Mac...........................................97 4.3 Über SafeGuard File Encryption für Mac..........................................................103 4.4 Fehlerbehebung................................................................................................112 4.5 Bestands- und Statusinformationen für Macs...................................................114 5 Module............................................................................................................................115 5.1 Synchronized Encryption..................................................................................115 5.2 Native Device Encryption verwalten.................................................................141 5.3 Pfadbasierte Dateiverschlüsselung..................................................................154 2 5.4 Cloud Storage...................................................................................................165 5.5 SafeGuard Data Exchange...............................................................................171 5.6 SafeGuard Festplattenverschlüsselung............................................................181 5.7 SafeGuard Configuration Protection.................................................................232 6 Recovery........................................................................................................................233 6.1 Schlüssel für die Festplattenverschlüsselung mit mobilen Geräten synchronisieren .................................................................................................233 6.2 Recovery für BitLocker.....................................................................................233 6.3 Recovery-Schlüssel für Mac-Endpoints............................................................235 6.4 Virtuelle Clients.................................................................................................236 6.5 So reparieren Sie eine beschädigte Management Center Installation:............238 6.6 Reparieren einer beschädigten Datenbankkonfiguration.................................239 7 Erweiterte Verwaltung ....................................................................................................241 7.1 Empfohlene Sicherheitsmaßnahmen................................................................241 7.2 Mit mehreren Datenbankkonfigurationen arbeiten (Multi Tenancy)..................243 7.3 SafeGuard Management Center – erweitert.....................................................247 7.4 SafeGuard Enterprise Sicherheitsbeauftragte..................................................260 7.5 Aufbau der Organisationsstruktur.....................................................................278 7.6 Schlüssel und Zertifikate..................................................................................286 7.7 Company Certificate Change Orders...............................................................295 7.8 Lizenzen...........................................................................................................298 7.9 Token und Smartcards......................................................................................303 7.10 Planen von Tasks............................................................................................318 7.11 Auditing...........................................................................................................327 7.12 Richtlinientypen und ihre Anwendungsfelder..................................................352 7.13 Fehlerbehebung..............................................................................................391 7.14 SafeGuard Enterprise und selbst-verschlüsselnde Opal-Festplatten.............409 8 Technischer Support.......................................................................................................412 9 Rechtliche Hinweise.......................................................................................................413 3 SafeGuard Enterprise 1 Über SafeGuard Enterprise SafeGuard Enterprise ist eine umfassende Datensicherheitslösung, die Informationen auf Servern, PCs und mobilen Geräten durch ein richtlinienbasiertes Verschlüsselungskonzept zuverlässig schützt. Es ermöglicht Benutzern den sicheren Informationsaustausch und das Arbeiten mit Dateien auf Geräten mit unterschiedlichen Betriebssystemen (Windows, Mac OS X, iOS, Android) mithilfe der Sophos Secure Workspace App. Im SafeGuard Management Center verwalten Sie Sicherheitsrichtlinien, Schlüssel und Zertifikate mit einer rollenbasierten Administrationsstrategie. Ausführliche Protokollierung und Reportfunktionen gewährleisten stets den Überblick über alle Ereignisse. Auf Benutzerseite sind Datenverschlüsselung und Schutz vor Angreifern die primären Sicherheitsfunktionen von SafeGuard Enterprise. SafeGuard Enterprise fügt sich dabei nahtlos in die gewohnte Benutzerumgebung ein. Synchronized Encryption - anwendungsbasierte Dateiverschlüsselung Synchronized Encryption baut auf zwei Annahmen auf - erstens, dass alle Daten wichtig sind und geschützt (verschlüsselt) sein müssen, und zweitens, dass diese Verschlüsselung persistent sein soll, egal wo sich die Daten befinden. Zusätzlich sollen Daten automatisch und transparent verschlüsselt werden, so dass sich Benutzer nicht darum kümmern müssen, ob eine Datei verschlüsselt werden muss oder nicht. Diese grundlegende Prämisse, dass alle Daten wichtig sind und verschlüsselt werden müssen, stellt sicher, dass Daten nahtlos und ohne Zutun des Benutzers verschlüsselt werden. Dies ermöglicht Benutzern produktiv zu bleiben, ihre Daten zu schützen und dabei ihre gewohnten Arbeitsabläufe nicht verändern zu müssen, siehe Synchronized Encryption (Seite 115). Anwendungsbasierte Dateiverschlüsselung ■ Cloud Storage Cloudspeicher-Dienste werden gern genutzt, damit Benutzer von jedem Gerät und von jedem Ort aus Zugriff auf ihre Daten haben. Ohne Frage ist diese Freiheit wichtig für die Produktivität. Genauso wichtig ist es jedoch, dass sensible Daten auch beim Speichern in der Cloud sicher bleiben. SafeGuard Enterprise ver- und entschlüsselt Dateien automatisch und unsichtbar, wenn diese über Cloudspeicher-Dienste hoch- oder heruntergeladen werden. ■ Verschlüsselt Dateien, die zu Cloudspeicher-Diensten hochgeladen werden. ■ Erlaubt überall sicheres Teilen von Daten. ■ ■ ■ Erkennt und unterstützt automatisch die häufigsten Cloudspeicher-Dienste wie zum Beispiel Box, Dropbox, OneDrive und Egnyte. Ermöglicht das Lesen von verschlüsselten Dateien mit unserer kostenlosen Sophos Secure Workspace App für iOS und Android. Dateiverschlüsselung Verschlüsselung dient nicht nur dazu, Daten vor neugierigen Blicken von außen zu schützen. Sie sorgt auch bei der Zusammenarbeit innerhalb des Unternehmens für 4 Administratorhilfe Sicherheit und Kontrolle über Dateien. SafeGuard Enterprise geht über simple Ordnerberechtigungen hinaus und sorgt dafür, dass Dateien nur von den Personen gelesen werden können, für die sie bestimmt sind. Gleichzeitig kann die IT-Abteilung Dateien und Backups effizient verwalten. ■ Konfiguriert die Dateiverschlüsselung für freigegebene Ordner. ■ Stellt sicher, dass nur bestimmte Benutzer oder Gruppen auf Daten zugreifen können. ■ Erfordert keine Interaktion seitens Ihrer Benutzer. ■ ■ Bietet eine zusätzliche Ebene an Schutz für den Fall, dass die Unternehmensserver in die Cloud ausgelagert werden. Data Exchange SafeGuard Enterprise verschlüsselt automatisch und transparent Dateien auf Wechselmedien wie USB-Sticks, Speicherkarten und CDs/DVDs. ■ ■ ■ Sie können verschlüsselte Daten auf Wechselmedien einfach innerhalb Ihres Unternehmens austauschen ohne Ihre Benutzer zu beeinträchtigen. Mit einer portablen Anwendung und einem Kennwort können Sie verschlüsselte Wechselmedien auch mit Benutzern ohne SafeGuard Enterprise sicher und einfach teilen. Wechselmedien auf Whitelists sorgen für einfachere und flexiblere Verwaltung der Verschlüsselung. Festplattenverschlüsselung für interne und externe Festplatten. ■ Für UEFI Systeme verwenden Sie die von SafeGuard Enterprise verwaltete BitLocker Verschlüsselung für die Festplattenverschlüsselung. Für diese Endpoints bietet SafeGuard Enterprise verbesserte Challenge/Response Funktionalitäten. Nähere Informationen zu den unterstützten UEFI-Versionen und Beschränkungen hinsichtlich der Unterstützung von SafeGuard BitLocker Challenge/Response finden Sie in den Versionsinfos unter http://downloads.sophos.com/readmes/readsgn_8_deu.html Hinweis: Wenn sich die Beschreibung nur auf UEFI bezieht, ist das explizit angegeben. ■ Für Systeme mit BIOS können Sie zwischen SafeGuard Enterprise Festplattenverschlüsselung und von SafeGuard Enterprise verwalteter BitLocker Verschlüsselung wählen. Die BIOS Version verwendet den BitLocker-eigenen Wiederherstellungsmechanismus. Hinweis: Wenn in diesem Handbuch von SafeGuard Power-on Authentication oder SafeGuard Festplattenverschlüsselung die Rede ist, dann bezieht sich das nur auf Windows 7 BIOS Endpoints. Die Tabelle zeigt, welche Komponenten verfügbar sind. 5 SafeGuard Enterprise SafeGuard BitLocker mit Pre-Boot Festplattenverschlüsselung Authentication (PBA), mit SafeGuard Power-on von SafeGuard verwaltet Authentication (POA) Windows 7 BIOS JA SafeGuard C/R Wiederherstellung für BitLocker Pre-Boot Authentication (PBA) JA Windows 7 UEFI JA JA Windows 8.1 BIOS JA Windows 8.1 UEFI JA JA Windows 10 JA JA Windows 10 Threshold 2 JA JA Hinweis: SafeGuard C/R Wiederherstellung für BitLocker Pre-Boot Authentication (PBA) ist nur auf 64 bit Systemen verfügbar. SafeGuard Festplattenverschlüsselung mit SafeGuard Power-on Authentication (POA) ist das Sophos Modul zur Verschlüsselung von Laufwerken auf Endpoints. Es wird mit einer von Sophos entwickelten Pre-Boot Authentication namens SafeGuard Power On Authentication (POA) geliefert, die Anmeldeoptionen wie Smartcard und Fingerabdruck sowie einen Challenge/Response Mechanismus für die Wiederherstellung unterstützt. BitLocker mit Pre-Boot Authentication (PBA), von SafeGuard verwaltet, ist die Komponente, die das BitLocker Verschlüsselungsmodul und die BitLocker Pre-Boot Authentication aktiviert und verwaltet. Sie ist für BIOS und UEFI Plattformen verfügbar: ■ ■ Die UEFI Version bietet zusätzlich einen SafeGuard Challenge/Response Mechanismus für die BitLocker Wiederherstellung für den Fall, dass Benutzer ihre Kennwörter vergessen. Die UEFI Version kann verwendet werden, wenn bestimmte Plattform-Anforderungen erfüllt sind. Beispielsweise muss die UEFI Version 2.3.1 sein. Nähere Informationen entnehmen Sie bitte den Versions-Infos. Die BIOS Version bietet die Wiederherstellungs-Erweiterungen des SafeGuard Challenge/Response Mechanismus nicht. Sie dient auch als Fallback falls die Anforderungen an die UEFI Version nicht erfüllt sind. Der Sophos Installer prüft, ob die Voraussetzungen erfüllt sind. Falls nicht, installiert er automatisch die BitLocker Version ohne Challenge/Response. Sicherheit für Macs Daten auf Macs sind genauso gefährdet wie Daten auf Windows-PCs. Sie sollten Macs daher unbedingt in Ihre Strategie zur Verschlüsselung von Daten miteinbeziehen. SafeGuard Enterprise schützt Ihre Macs mittels Datei- und Festplattenverschlüsselung und stellt sicher, 6 Administratorhilfe dass alle Daten auf Ihren Macs stets sicher sind. Es enthält Funktionen zum Verschlüsseln von Wechselmedien, Netzwerkfreigaben und Cloud-Verzeichnissen auf Mac. ■ Sie können die Datei- und Festplattenverschlüsselung für Mac im selben Management Center verwalten wie für alle anderen Geräte. ■ Verwaltet Geräte, die mit FileVault2 verschlüsselt sind. ■ Arbeitet im Hintergrund ohne die Performance zu beeinträchtigen. ■ Berichte und komplette Sichtbarkeit des Verschlüsselungsstaus. Für Mac Endpoints sind die folgenden Module verfügbar. Sie werden auch von SafeGuard Enterprise verwaltet oder berichten zumindest an das Management Center. Synchronized Encryption - anwendungsbasiert Sophos SafeGuard File Encryption Sophos SafeGuard Native Device Encryption - pfadbasiert FileVault 2 Verwaltung OS X 10.9 JA JA JA OS X 10.10 JA JA JA OS X 10.11 JA JA JA OS X 10.12 JA JA JA Sophos Secure Workspace Schlüssel im SafeGuard Enterprise Schlüsselring können in der Sophos Secure Workspace App (SSW), die über Sophos Mobile Control verwaltet wird, bereitgestellt werden. Benutzer der App können dann die Schlüssel zum Entschlüsseln, Lesen und Verschlüsseln von Dokumenten verwenden. Diese Dateien können dann sicher zwischen allen Benutzern von SafeGuard Enterprise und SSW ausgetauscht werden. Nähere Informationen zu Sophos Secure Workspace finden Sie unter www.sophos.com. Sophos Mobile Encryption Mit Sophos Mobile Encryption können Sie Dateien lesen, die von den SafeGuard Enterprise-Modulen SafeGuard Cloud Storage oder SafeGuard Data Exchange verschlüsselt wurden. Sie können Dateien mit einem lokalen Schlüssel verschlüsseln. Diese lokalen Schlüssel sind von einer Passphrase abgeleitet, die von einem Benutzer eingegeben wurde. Sie können eine Datei nur entschlüsseln, wenn Sie die Passphrase kennen, die zur Verschlüsselung der Datei verwendet wurde. Nähere Informationen zu Sophos Mobile Encryption finden Sie unter www.sophos.com. 7 SafeGuard Enterprise 1.1 Neu in SafeGuard Enterprise Synchronized Encryption (Seite 115) Anwendungsbasierte Dateiverschlüsselung Outlook Add-In Integration in Sophos Central Endpoint Protection - Schlüssel auf gefährdeten Computern entziehen Schlüsselring zwischen Sophos SafeGuard Enterprise und Sophos Mobile Control austauschen Schlüssel für die Festplattenverschlüsselung mit mobilen Geräten synchronisieren (Seite 233) Erweiterte Authentisierung - Benutzergruppe .Unbestätigte Benutzer (Seite 8) Verbesserte Synchronisierung mit Active Directory und Autoregistrierung (Seite 9) Sophos SafeGuard mit anonymen Nutzungsdaten verbessern (Seite 10) 1.1.1 Erweiterte Authentisierung - Benutzergruppe .Unbestätigte Benutzer Benutzer, die sich an SafeGuard Enterprise anmelden, müssen gegen Active Directory authentisiert werden bevor sie Zugriff auf ihren Schlüsselring haben. Hinweis: Wenn Sie BitLocker über SafeGuard Enterprise verwalten, müssen Sie die Registrierung von neuen SGN-Benutzern für Jeden erlauben: 1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Spezifische Computereinstellungen an oder wählen Sie eine vorhandene aus. 2. Wählen Sie unter Benutzer-Computer Zuordnung (UMA) die Einstellung Registrieren von neuen SGN-Benutzern erlauben und wählen Sie in der Dropdown-Liste Jeder. 3. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren Benutzergruppen zu. Benutzer, die bei der Anmeldung nicht authentisiert werden können, werden in die Gruppe .Unbestätigte Benutzer verschoben. Diese Gruppe wird im Stammknoten und in jeder Domäne oder Arbeitsgruppe angezeigt. Mögliche Gründe dafür, warum Benutzer nicht authentisiert werden können, sind folgende: Der Benutzer hat Anmeldeinformationen eingegeben, die nicht mit denen im Active Directory übereinstimmen. Der Benutzer ist ein lokaler Benutzer am Endpoint. Der Active Directory Authentifizierungsserver ist nicht erreichbar. Der Benutzer gehört zu einer Domäne, die nicht aus dem Active Directory importiert wurde. Hinweis: Diese Benutzer werden zur globalen Gruppe .Unbestätigte Benutzer hinzugefügt, die direkt unter dem Stamm-Knoten in Benutzer und Computer angezeigt wird. Die Authentisierung ist wegen eines unbekannten Fehlers fehlgeschlagen. 8 Administratorhilfe Hinweis: Nur Active Directory Benutzer können authentisiert werden. Dies setzt voraus, dass Active Directory richtig konfiguriert wurde. Solange sich Benutzer in der Gruppe .Unbestätigte Benutzer befinden, haben sie keinen Zugriff auf ihren Schlüsselring. Wenn Sie auf eine .Unbestätigte Benutzer Gruppe klicken, werden Details zu den Benutzern der Gruppe in der Registerkarte Unbestätigte Benutzer im rechten Fensterbereich angezeigt, zum Beispiel der Grund warum Benutzer in diese Gruppe verschoben wurden. Im Client Status Dialog am Endpoint des Benutzers wird unter SGN-Benutzerstatus Unbestätigter Benutzer angezeigt. 1.1.1.1 Benutzer bestätigen Als Sicherheitsbeauftragter müssen Sie Benutzer in der Gruppe .Unbestätigte Benutzer überprüfen. Handelt es sich um autorisierte Benutzer, müssen Sie diese explizit bestätigen um ihnen Zugriff auf ihren Schlüsselring zu gewähren. Ohne ihren Schlüsselring können Benutzer nicht auf verschlüsselte Daten zugreifen. So bestätigen Sie Benutzer in der Gruppe .Unbestätigte Benutzer: 1. Wählen Sie im Management Center die Gruppe .Unbestätigte Benutzer. Benutzer, die nicht gegen Active Directory authentisiert wurden, werden angezeigt. Sie können einzelne Benutzer anklicken, um detaillierte Informationen im rechten Fensterbereich anzuzeigen. 2. Überprüfen Sie, ob Benutzer auf den SafeGuard Enterprise Schlüsselring zugreifen dürfen. 3. Wenn ja, wählen Sie einen Benutzer mit der rechten Maustaste aus und klicken Sie im Kontextmenü auf Benutzer bestätigen. Sie können alle Benutzer in der Gruppe .Unbestätigte Benutzer bestätigen indem Sie die Gruppe selbst markieren und im Kontextmenü Alle Benutzer bestätigen klicken. Bestätigte Benutzer werden automatisch in die richtige Active Directory Struktur verschoben und haben Zugriff auf ihren Schlüsselring. Hinweis: Die Bestätigung von Benutzern kann auch über Scripting API Calls erfolgen. 1.1.1.2 Ereignisse (Log Events) für Unbestätigte Benutzer Ereignisse werden protokolliert, wenn Benutzer zur Gruppe .Unbestätigte Benutzer hinzugefügt werden (Ereignis 2801) und wenn Benutzer erfolgreich bestätigt werden (Ereignis 2800). Sie können eine Liste dieser Ereignisse im SafeGuard Management Center unter Berichte in der Ereignisanzeige auflisten lassen. 1.1.2 Verbesserte Synchronisierung mit Active Directory und Autoregistrierung Der SafeGuard Management Center Konfigurationsassistent hilft neuen Kunden dabei, ein vollständig funktionierendes System einzurichten. Der initiale Import einer Active Directory Struktur wird während der Erstkonfiguration durchgeführt, siehe Starten der Erstkonfiguration des SafeGuard Management Center (Seite 35). Hinzugefügte Benutzer werden automatisch der richtigen Organisationseinheit/Gruppe zugeordnet und empfangen umgehend die benötigten Richtlinien und Schlüssel. Eine angestoßene AD-Synchronisierung wird in diesem Fall nicht mehr benötigt. 9 SafeGuard Enterprise 1.1.3 Sophos SafeGuard mit anonymen Nutzungsdaten verbessern Sophos ist ständig bemüht, SafeGuard Enterprise zu verbessern. Aus diesem Grund senden Kunden regelmäßig anonymisierte Daten an Sophos. Diese Daten werden ausschließlich zur Verbesserung des Produkts verwendet. Die Daten können nicht zur Identifizierung von Kunden oder Geräten verwendet werden und enthalten keine vertraulichen Informationen. Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 123768. Die Übermittlung von Daten an Sophos ist optional. Da die Daten anonymisiert übermittelt werden, ist die Datensammelfunktion standardmäßig aktiviert. Sie können die Funktion im SafeGuard Management Center deaktivieren (Richtlinien > Allgemeine Einstellungen > Feedback > Sophos SafeGuard® durch das Senden von anonymen Nutzungsdaten verbessern). 1.1.3.1 Senden anonymer Nutzungsdaten per Richtlinie deaktivieren So deaktivieren Sie das Senden anonymer Nutzungsdaten: 1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder wählen Sie eine vorhandene aus. Die Registerkarte Allgemeine Einstellungen wird angezeigt. 2. Wechseln Sie in den Bereich Feedback . 3. Wählen Sie in unter Sophos SafeGuard® durch das Senden von anonymen Nutzungsdaten verbessern die Option Nein. 4. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren Benutzergruppen zu. Die Funktion ist nun deaktiviert. Es werden keine Nutzungsdaten an Sophos übermittelt. 10 Administratorhilfe 2 Installation Hinweis: Die Verfügbarkeit einzelner Funktionen hängt von Ihrer Lizenz ab. Für Informationen dazu, was in Ihrer Lizenz enthalten ist, wenden Sie sich an Ihren Vertriebspartner. 2.1 SafeGuard Enterprise Komponenten Dieser Abschnitt bietet einen Überblick über die SafeGuard Enterprise Komponenten und beschreibt, wie sie zusammenspielen. Eine funktionierende SafeGuard Enterprise Infrastruktur besteht mindestens aus folgenden Modulen: SafeGuard Enterprise Datenbank SafeGuard Enterprise Server SafeGuard Management Center SafeGuard Enterprise Client SafeGuard Enterprise Web Helpdesk Eine Microsoft SQL Datenbank speichert Informationen über die Endpoints im Firmennetzwerk. Der Haupt-Sicherheitsbeauftragte oder Master Security Officer (MSO) nutzt das SafeGuard Management Center, um die Datenbankinhalte zu steuern und neue Sicherheitsrichtlinien (Policies) zu erstellen. Die Endpoints der Benutzer lesen die Richtlinien aus der Datenbank und berichten an die Datenbank. Die Kommunikation zwischen Datenbank und Endpoints übernimmt dabei ein Internet Information Services (IIS) basierter Webserver, auf dem der SafeGuard Enterprise Server eingerichtet ist. 11 SafeGuard Enterprise Die folgende Tabelle beschreibt die einzelnen Komponenten: 12 Komponente Beschreibung SafeGuard Enterprise Datenbank(en) basierend auf Microsoft SQL Server Datenbank Die SafeGuard Enterprise Datenbank(en) enthält/enthalten alle relevanten Daten wie Schlüssel/Zertifikate, Informationen zu Benutzern und Computern, Ereignisse und die Richtlinieneinstellungen. Zugriff auf die Datenbank(en) benötigt der SafeGuard Enterprise Server und ein einziger Sicherheitsbeauftragter des SafeGuard Management Centers, meist der Haupt-Sicherheitsbeauftragte (MSO). Die Erzeugung und Konfiguration der SafeGuard Enterprise Datenbank(en) kann über einen Assistenten oder über Skripte erfolgen. SafeGuard Enterprise Server auf IIS basiertem Webserver SafeGuard Enterprise Server läuft als Anwendung auf einem Microsoft Internet Information Services (IIS) basierten Webserver und ermöglicht die Kommunikation zwischen SafeGuard Enterprise Datenbank und SafeGuard Enterprise Endpoints. Der SafeGuard Enterprise Server sendet auf Anfrage SafeGuard Enterprise Richtlinieneinstellungen an die Endpoints. Dafür sind .NET Framework 4.5 und ASP.NET 4.5 erforderlich. Administratorhilfe Komponente Beschreibung Wenn Sie SSL als Transportverschlüsselungsmethode für die Client-Server Kommunikation wählen, müssen Sie die Rolle Basic Authentication installieren. SafeGuard Management Center auf dem Administratorcomputer Zentrales Management-Werkzeug für durch SafeGuard Enterprise geschützte Endpoints zur Verwaltung von Schlüsseln und Zertifikaten, Benutzern und Computern, sowie zur Erstellung von SafeGuard Enterprise Richtlinien. Das SafeGuard Management Center kommuniziert mit der SafeGuard Enterprise Datenbank. .NET Framework 4,5 ist erforderlich. Verzeichnisdienste (optional) Import eines Active Directory. Es enthält die Organisationsstruktur des Unternehmens mit Benutzern und Computern. SafeGuard Enterprise Verschlüsselungssoftware für Datenverschlüsselung und sichere Verschlüsselungssoftware auf Authentisierung. Durch SafeGuard Enterprise geschützte Endpoints Endpoints können entweder mit einem SafeGuard Enterprise Server verbunden sein (zentral verwaltet) oder keine Verbindung zu einem SafeGuard Enterprise Server haben (Standalone). Zentral verwaltete Endpoints erhalten ihre Richtlinien direkt vom SafeGuard Enterprise Server. Standalone-Endpoints erhalten ihre Richtlinien in Konfigurationspaketen, die mit einen Dritt-Verteilungsmechanismus verteilt werden können. 2.2 Erste Schritte Dieser Abschnitt begleitet Sie mit Best-Practice-Beispielen und Empfehlungen durch eine typische Installation von SafeGuard Enterprise. Die Anleitung richtet sich an System-, Netzwerkund Datenbankadministratoren, die SafeGuard Enterprise (SGN) installieren, und beschreibt ein Setup, das hinsichtlich Kommunikation zwischen den einzelnen Komponenten bestmögliche Sicherheit und Performance gewährleistet. Das Dokument geht von einer Struktur aus, in der alle Geräte Mitglieder derselben Domäne sind. Deshalb sind Abweichungen in der Beschreibung von betriebssystem-spezifischen Abläufen möglich, wenn Sie andere Software oder eine Arbeitsgruppenumgebung verwenden. ■ Erstinstallation: Der SGN Install Advisor vereinfacht die erstmalige Einrichtung der Management-Komponenten einschließlich Standardrichtlinien. Um den SGN Install Advisor für eine neue SafeGuard Enterprise Installation aufzurufen, starten Sie SGNInstallAdvisor.bat aus Ihrer Produktlieferung. Ein Assistent führt Sie durch die Installation. ■ Aktualisierung: Führen Sie die unter Aktualisierung (Seite 75) beschriebenen Schritte durch. 2.2.1 Installationsschritte Bevor Sie SafeGuard Enterprise Client Software installieren (Synchronized Encryption, SafeGuard Device Encryption, Data Exchange, File Encryption, Native Device Encryption oder Cloud Storage), muss ein funktionierendes Backend eingerichtet werden. Daher empfehlen wir, die Reihenfolge der beschriebenen Installationsschritte einzuhalten. 13 SafeGuard Enterprise Hinweis: SafeGuard Enterprise für Windows unterstützt keine Apple Hardware und kann nicht in einer Boot Camp Umgebung installiert werden. Verwenden Sie stattdessen einen virtuellen Windows-Client. Alle SafeGuard Enterprise Komponenten (.msi-Pakete) finden Sie in der Produktlieferung. Schritt Beschreibung 14 Paket/Tool 1 Laden Sie die Installer über den Sophos Knowledgebase-Artikel 111195 herunter. 2 Installieren Sie .NET Framework und ASP.NET 4.6.1 sowie die Rolle Standardauthentifizierung. 3 Richten Sie Internet Information Services (IIS) für SafeGuard Enterprise ein (siehe Installation und Konfiguration von Microsoft Internet Information Services (IIS) (Seite 18). 4 Installieren Sie SafeGuard Enterprise Server 5 Konfigurieren Sie die Microsoft SQL Server Datenbankauthentifizierung für den SafeGuard Enterprise Haupt-Sicherheitsbeauftragten, siehe Datenbank-Authentisierung (Seite 21). 6 SafeGuard Enterprise Datenbank(en) über Skripts erzeugen. SafeGuard Management Center Konfigurationsassistent oder Skripts in der Produktlieferung. 7 Installieren Sie das SafeGuard Management Center für die zentrale Verwaltung von Benutzern, Computern, Richtlinien, Schlüsseln und Berichten. SGNManagementCenter.msi 8 Konfigurieren Sie das SafeGuard Management Center: Datenbank und Datenbankserver-Verbindungen, Zertifikate, Anmeldeinformationen für den Haupt-Sicherheitsbeauftragten. SafeGuard Management Center Konfigurationsassistent 9 Registrieren und konfigurieren Sie den SafeGuard Enterprise Server: Erzeugen Sie das Server-Konfigurationspaket und installieren Sie es auf dem IIS Server. Konfigurationspakete-Funktion im SafeGuard Management Center. 10 Erstellen Sie die Organisationsstruktur aus Active Directory SafeGuard Management Center oder manuell. 11 Vorbereiten der Endpoints für die Verschlüsselung SGxClientPreinstall.msi 12 Erstellen Sie das erste Konfigurationspaket für die Endpoint-Konfiguration. Konfigurationspakete-Funktion im SafeGuard Management Center. 13 Installieren Sie die Verschlüsselungssoftware und das Konfigurationspaket auf den Endpoints. Für Informationen zu den verfügbaren Paketen, siehe About SGNServer.msi Administratorhilfe Schritt Beschreibung Paket/Tool managed and unmanaged endpoints (Seite 56). 2.2.2 Überprüfen der Systemanforderungen Bevor Sie SafeGuard Enterprise installieren, prüfen Sie die Systemanforderungen. Informationen zu Hardware- und Software-Anforderungen, Service Packs sowie Festplattenspeicherbedarf für Installation und effektiven Betrieb finden Sie in den aktuellen Versionsinfos auf der SafeGuard Versionsinfos Landing-Page. 2.2.3 Installer Download 1. Laden Sie die Installer von der Sophos Website herunter. Sie erhalten hierzu von Ihrem Systemadministrator die entsprechende Web-Adresse und die erforderlichen Download-Anmeldeinformationen. Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 111195. 2. Legen Sie die Dateien an einem Speicherort ab, auf den Sie für die Installation Zugriff haben. 2.2.4 Sprache der Benutzeroberfläche Die Spracheinstellungen für die Installations- und Konfigurationsassistenten und die verschiedenen SafeGuard Enterprise Komponenten sind wie folgt: Assistenten Die Sprache der Installations- und Konfigurationsassistenten der verschiedenen Installationspakete wird automatisch an die Spracheinstellungen des Betriebssystems angepasst. Wenn die Betriebssystemsprache für diese Assistenten nicht verfügbar ist, wird automatisch Englisch benutzt. SafeGuard Management Center So stellen Sie die Sprache das SafeGuard Management Center ein: ■ ■ Klicken Sie im SafeGuard Management Center auf Extras > Optionen > Allgemein. Klicken Sie auf Benutzerdefinierte Sprache verwenden und wählen Sie eine verfügbare Sprache aus. Starten Sie das SafeGuard Management Centers neu. Er wird in der ausgewählten Sprache angezeigt. 15 SafeGuard Enterprise SafeGuard Enterprise auf Endpoints Die Sprache von SafeGuard Enterprise auf Endpoints steuern Sie über den Richtlinientyp Allgemeine Einstellungen im SafeGuard Management Center (Einstellung Anpassung > Sprache am Client): ■ ■ Wenn die Sprache des Betriebssystems gewählt wird, richtet sich die Produktsprache nach der Spracheinstellung des Betriebssystems auf dem Endpoint. Steht die entsprechende Betriebssystemsprache in SafeGuard Enterprise nicht zur Verfügung, wird standardmäßig die englische Version von SafeGuard Enterprise angezeigt. Wenn eine der zur Verfügung stehenden Sprachen gewählt wird, werden die SafeGuard Enterprise Funktionen auf dem Endpoint in der ausgewählten Sprache angezeigt. 2.2.5 Kompatibilität mit weiteren Sophos-Produkten Dieser Abschnitt beschreibt die Kompatibilität von SafeGuard Enterprise 8.0 mit anderen Sophos-Produkten. 2.2.5.1 Kompatibilität mit SafeGuard LAN Crypt SafeGuard Enterprise 8.0 und SafeGuard LAN Crypt 3.90.2 können zusammen auf einem Endpoint installiert werden. Stellen Sie sicher, dass Sie keine ältere Version von LAN Crypt verwenden. Falls SafeGuard LAN Crypt 3.90.2 bereits installiert ist: 1. Installieren Sie das SafeGuard Prä-Installationspaket auf dem Endpoint (nur unter Windows 7 relevant). 2. Installieren Sie SafeGuard Data Exchange auf dem Endpoint. 3. Installieren Sie das SafeGuard-Client-Konfigurationspaket auf dem Endpoint. 4. Starten Sie den Endpoint neu. Hinweis: Während der Installation werden Sie darüber informiert, dass die Komponente SGLC Profile Loader bereits verwendet wird. Sie können diese Meldung ignorieren. Sie wird dadurch verursacht, dass SafeGuard LAN Crypt und SafeGuard Enterprise gemeinsame Komponenten benutzen. Die betroffenen Komponenten werden beim Neustart aktualisiert. SafeGuard Enterprise 8.0 ist bereits installiert: 1. Installieren Sie SafeGuard LAN Crypt 3.9 auf dem Endpoint. 2. Starten Sie den Endpoint neu. 2.2.5.2 Kompatibilität mit Sophos Enterprise Console Wenn Sie die Verschlüsselung mit Sophos Enterprise Console (SEC) verwalten, installieren Sie den SafeGuard Enterprise Server oder ein SafeGuard Management Center nicht auf einem Server, auf dem der SEC Management Server installiert ist. 2.2.5.3 Kompatibilität mit Sophos Mobile Control SafeGuard Enterprise arbeitet mit Sophos Mobile Control zusammen indem ein gemeinsamer Schlüsselring verwendet wird. Das bedeutet, dass Benutzer auf ihren Mobilgeräten sicher auf Dateien zugreifen können, die mit einem SGN-Schlüssel verschlüsselt sind. Umgekehrt 16 Administratorhilfe können Benutzer auch Dateien in ihrer Secure Workspace App erstellen und später auf ihrem mit SGN geschützten Computer öffnen. Voraussetzungen: Registrieren Sie den SMC-Server mit seinem Zertifikat am SGN Server im Management Center (Extras> Konfigurationspakete > Server). Stellen Sie eine sichere SSL/TLS-Verbindung zwischen den Servern her. Wir empfehlen die Verwendung des TLS 1.2 Verschlüsselungsprotokolls zur Vermeidung von bekannten SSL-Angriffen. Verwenden Sie Active Directory damit Benutzer in SGN über ihre AD-Informationen identifiziert werden können. 2.2.6 Allgemeine Einschränkungen Beachten Sie folgende allgemeine Einschränkungen für SafeGuard Enterprise auf Endpoints: ■ SafeGuard Enterprise for Windows unterstützt keine Apple Hardware und kann nicht in einer Boot Camp Umgebung installiert werden. Verwenden Sie stattdessen einen virtuellen Windows-Client. ■ Systeme mit Festplatten, die über einen SCSI-Bus angeschlossen sind, werden von der SafeGuard Festplattenvollverschlüsselung (SafeGuard volume-basierende Verschlüsselung und BitLocker-Unterstützung) nicht unterstützt. ■ Der schnelle Benutzerwechsel wird nicht unterstützt. ■ Der Einsatz von SafeGuard Enterprise in einer Terminal Server Umgebung wird nicht unterstützt. ■ Wenn Intel Advanced Host Controller Interface (AHCI) auf Endpoints mit POA benutzt wird, muss sich die Boot-Festplatte in Slot 0 befinden. ■ Auf Endpoints mit POA wird SafeGuard volume-basierende Verschlüsselung für Volumes, die sich auf dynamischen Datenträgern oder auf GUID Partitionstabellen (GPT)-Platten befinden, nicht unterstützt. Die Installation bricht in diesen Fällen ab. Wenn diese Platten auf dem Endpoint gefunden werden, werden sie nicht unterstützt. 2.3 Einrichten des SafeGuard Enterprise Servers Der SafeGuard Enterprise Server stellt die Schnittstelle zu den SafeGuard Enterprise Clients her. Er greift wie das SafeGuard Management Center auf die Datenbank zu. Er läuft als Applikation auf einem Web Server basierend auf Microsoft Internet Information Services (IIS). Stellen Sie sicher, dass Sie die aktuellste Version von IIS verwenden. Für bestmögliche Sicherheit und Performance empfehlen wir, den SafeGuard Enterprise Server auf einer dedizierten Maschine zu installieren. Dies gewährleistet außerdem, dass keine anderen Anwendungen mit SafeGuard Enterprise in Konflikt geraten. Der SafeGuard Enterprise Server bietet außerdem den Taskplaner, mit dem Sie periodische Tasks, die auf Skripten basieren, erstellen und geplant ausführen lassen können. Die Tasks laufen automatisch auf dem SafeGuard Enterprise Server. Sie finden die Skripts in der SafeGuard Enterprise Produktlieferung. 17 SafeGuard Enterprise 2.3.1 Voraussetzungen Folgende Voraussetzungen müssen erfüllt sein: ■ Sie benötigen Windows Administratorrechte. ■ Microsoft Internet Information Services (IIS) muss verfügbar sein. IIS steht auf der Microsoft-Website zum Download bereit. ■ Wenn Sie SSL als Transportverschlüsselung zwischen SafeGuard Enterprise Server und SafeGuard Enterprise Client verwenden, muss der IIS Server dafür eingerichtet werden, siehe Sichern von Transportverbindungen mit SSL (Seite 47). Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden, dass er SSL verwendet und auf das Zertifikat zeigt. Der Servername, den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben, muss identisch sein mit dem Servernamen, den Sie vorab im SSL-Zertifikat angegeben haben. Sonst können Client und Server nicht miteinander kommunizieren. Für jeden SafeGuard Enterprise Server wird ein separates SSL-Zertifikat benötigt. Wenn Sie Network Load Balancer einsetzen, vergewissern Sie sich, dass der Portbereich den SSL-Port mit einschließt. ■ .NET Framework 4.5 und ASP.NET 4.5 (in der SafeGuard Enterprise Produktlieferung enthalten) müssen installiert sein. 2.3.2 Installation und Konfiguration von Microsoft Internet Information Services (IIS) Dieser Abschnitt beschreibt, wie Sie Microsoft Internet Information Services (IIS) für den Betrieb mit SafeGuard Enterprise Server vorbereiten. 2.3.2.1 Installieren und Konfigurieren von IIS 7/7.5 auf Microsoft Windows Server 2008/2008 R2 IIS steht auf der Microsoft-Website zum Download bereit. 1. Klicken Sie im Start Menü auf Alle Programme > Administration > Server-Manager. 2. Klicken Sie im Server Manager auf Rollenübersicht > Rollen hinzufügen. 3. Verifizieren Sie auf der Vorbemerkungen Seite des Rollen hinzufügen Assistenten Folgendes: ■ Das Administratorenkonto hat ein sicheres Kennwort. ■ Die Netzwerkeinstellungen, zum Beispiel IP-Adressen, sind konfiguriert. ■ Die neuesten Windows-Sicherheits-Updates sind installiert. 4. Wählen Sie Rollen auswählen auf der rechten Seite und dann Webserver (IIS). Klicken Sie auf der folgenden Seite auf Erforderliche Features hinzufügen. Webserver (IIS) ist im Navigationsbereich des Rollen hinzufügen Assistenten aufgelistet. 5. Klicken Sie auf Webserver (IIS) und dann auf Rollendienste. Behalten Sie die Standard-Rollendienste bei. 18 Administratorhilfe 6. Wählen Sie auf der rechten Seite zusätzlich Folgendes: ASP.NET, dadurch werden alle notwendigen untergeordneten Rollendienste ebenfalls ausgewählt. 7. Wählen Sie IIS-Verwaltungsskripts und -tools. Dies ist für die richtige IIS Konfiguration erforderlich. 8. Klicken Sie auf Weiter > Installieren > Schließen. IIS wird mit einer Standardkonfiguration zum Hosten von ASP.NET installiert. 9. Überprüfen Sie mit http://< server name>, ob die Web-Seite korrekt angezeigt wird. Weitere Informationen finden Sie unter: http://support.microsoft.com. 2.3.2.1.1 Prüfen der .NET Framework Registrierung bei IIS 7 .NET Framework Version 4,5 ist erforderlich. Sie finden das Programm in der SafeGuard Enterprise Produktlieferung. So überprüfen Sie, ob das Programm korrekt auf IIS 7 installiert ist: 1. Wählen Sie im Start Menü den Befehl Ausführen.... 2. Geben Sie folgendes Kommando ein: Appwiz.cpl. Alle auf dem Computer installierten Programme werden angezeigt. 3. Überprüfen Sie, ob .NET Framework Version 4,5 angezeigt wird. Wird die Version nicht angezeigt, installieren Sie sie. Folgen Sie den Schritten im Installationsassistenten und bestätigen Sie alle Standardeinstellungen. 4. Um zu prüfen, ob die Installation korrekt registriert ist, wechseln Sie in C:\Windows\Microsoft.NET\Framework. Jede installierte Version muss als separater Ordner mit der Version als Ordnername sichtbar sein, "v4.5". 2.3.2.1.2 Prüfen der ASP.NET Registrierung bei IIS 7 ASP.NET Version 4,5 ist erforderlich. 1. Um zu überprüfen, ob ASP.NET installiert und mit der korrekten Version registriert ist, geben Sie das Kommando aspnet_regiis.exe -lv auf der Kommandozeile ein. Für ASP.NET Version sollte Version 4.5 angezeigt werden. 2.3.2.2 Installieren und Konfigurieren von IIS 8 auf Microsoft Windows Server 2012/2012 R2 IIS steht auf der Microsoft-Website zum Download bereit. 1. Klicken Sie am Server-Manager Dashboard auf Verwalten > Rollen und Features hinzufügen. 2. Im Assistent zum Hinzufügen von Rollen und Features, auf der Seite Vorbemerkungen, überprüfen Sie Folgendes: ■ Das Administratorenkonto hat ein sicheres Kennwort. ■ Die Netzwerkeinstellungen, zum Beispiel IP-Adressen, sind konfiguriert. ■ Die neuesten Windows-Sicherheits-Updates sind installiert. 3. Wählen Sie Serverrollen im linken Fenster und wählen Sie dann Web Server (IIS). Klicken Sie auf Features hinzufügen im angezeigten Fenster. Rolle "Webserver" (IIS) wird im linken Bereich des Assistent zum Hinzufügen von Rollen und Features gelistet. 4. Wählen Sie Rollendienste unter Rolle "Webserver" (IIS). Behalten Sie die Standard-Rollendienste bei. 19 SafeGuard Enterprise 5. Scrollen Sie nach unten zum Knoten Anwendungsentwicklung und wählen Sie: ■ ■ ■ ASP.NET 4.5 ISAPI Extensions ISAPI Filters Notwendige untergeordnete Rollendienste werden automatisch ausgewählt. 6. Unter dem Knoten Sicherheit aktivieren Sie: ■ ■ Basic Authentication Windows Authentication 7. Klicken Sie auf Weiter > Installieren > Schließen. IIS wird mit der Standardkonfiguration für das Hosten von ASP.NET am Windows Server installiert. Bestätigen Sie über http://<Computername>, dass der Web-Server funktioniert. Wenn die Webseite nicht richtig angezeigt wird, wenden Sie sich bitte an die Microsoft Knowledge Base (http://support.microsoft.com). 2.3.3 Installieren von SafeGuard Enterprise Server Nachdem der IIS konfiguriert ist, können Sie SafeGuard Enterprise Server auf dem IIS Server installieren. Das Installationspaket SGNServer.msi finden Sie in der Produktlieferung. 1. Doppelklicken Sie auf dem Server, auf dem Sie SafeGuard Enterprise Server installieren möchten, auf SGNServer.msi. Ein Assistent führt Sie durch die notwendigen Schritte. 2. Übernehmen Sie in den folgenden Dialogen die Standardeinstellungen. Der Taskplaner wird automatisch mit dem Installationstyp Vollständig installiert. SafeGuard Enterprise Server mit Taskplaner wird installiert. Hinweis: Aus Performance-Gründen ist die Verkettung von protokollierten Ereignissen für die SafeGuard Enterprise Datenbank nach der Installation des SafeGuard Enterprise Servers standardmäßig deaktiviert. Für den Integritätsschutz protokollierter Ereignisse ist jedoch die Verkettung protokollierter Ereignisse erforderlich. Dabei werden alle Einträge in der Ereignistabelle miteinander verkettet, so dass die Entfernung eines Eintrags sichtbar wird und über eine Integritätsprüfung nachgewiesen werden kann. Um den Integritätsschutz zu nutzen, müssen Sie die Verkettung von protokollierten Ereignissen manuell aktivieren. Weitere Informationen finden Sie unter Berichte (Seite 328). Um den Erfolg der Installation zu überprüfen, öffnen Sie Internetinformationsdienste-Manager (Ausführen > inetmgr) und stellen Sie sicher, dass eine Webseite SGNSRV verfügbar ist. 2.4 Einrichten einer SafeGuard Enterprise Datenbank SafeGuard Enterprise speichert alle relevanten Daten wie Schlüssel, Zertifikate, Informationen zu Benutzern und Computern, Ereignisse und die Richtlinieneinstellungen in einer Datenbank. Die SafeGuard Enterprise Datenbank basiert auf Microsoft SQL Server. Prüfen Sie die Liste der aktuell unterstützten SQL Server Typen im Abschnitt zu den Systemanforderungen in den aktuellen Versionsinfos im Sophos Knowledgebase-Artikel 12776. 20 Administratorhilfe Hinweis: Bedenken Sie, wenn Sie die SQL Express Edition verwenden, die von Microsoft vorgegebene Größenbeschränkung für die Datenbank. Die SQL Express Edition ist für größere Umgebungen eher ungeeignet. Sie können die Datenbank entweder automatisch während der Erstkonfiguration im SafeGuard Management Center oder manuell mit den in Ihrer Produktlieferung verfügbaren SQL Skripten einrichten. Wählen Sie die geeignete Methode nach den Gegebenheiten in Ihrer Firmenumgebung. Weitere Informationen finden Sie unter Datenbankzugriffsrechte (Seite 21). Zur Optimierung der Performance lässt sich die SafeGuard Enterprise Datenbank auf mehrere SQL Server replizieren. Informationen zum Aufsetzen der Datenbankreplizierung finden Sie unter Replizieren der SafeGuard Enterprise Datenbank (Seite 29). Sie können mehrere SafeGuard Enterprise Datenbanken für unterschiedliche Mandanten wie Firmenstandorte, Organisationseinheiten oder Domänen einrichten und verwalten (Multi Tenancy). Informationen zum Konfigurieren von Multi Tenancy finden Sie unter Multi Tenancy-Konfigurationen (Seite 35). Hinweis: Wir empfehlen den Einsatz eines permanenten Online-Backups für die Datenbank. Führen Sie ein regelmäßiges Backup Ihrer Datenbank durch, um Schlüssel, Unternehmenszertifikate und Benutzer-Computer Zuordnungen zu sichern. Beispiele für empfohlene Backup-Zyklen: nach dem Erstimport der Daten, nach größeren Änderungen oder in turnusmäßigen Abständen, z. B. wöchentlich oder täglich. 2.4.1 Datenbank-Authentisierung Um auf die SafeGuard Enterprise Datenbank zuzugreifen, muss sich der erste Sicherheitsbeauftragte des SafeGuard Management Centers am SQL Server authentisieren. Es gibt folgende Möglichkeiten: ■ Windows-Authentisierung: Ernennen Sie einen vorhandenen Windows-Benutzer zum SQL-Benutzer ■ SQL-Authentisierung: Richten Sie ein SQL-Benutzerkonto ein. Fragen Sie Ihren SQL-Administrator, welche Form der Authentisierung Sie als Sicherheitsbeauftragter verwenden sollen. Sie benötigen diese Information vor der Erzeugung der Datenbank und vor der Erstkonfiguration des SafeGuard Management Centers im SafeGuard Management Center Konfigurationsassistenten. Verwenden Sie SQL-Authentisierung für Computer, die sich nicht in einer Domäne befinden. Ansonsten verwenden Sie Windows-Authentisierung.Wenn Sie SQL-Authentisierung einsetzen, empfehlen wir, die Verbindung zu und vom Datenbankserver durch SSL zu sichern. Weitere Informationen finden Sie unter Einrichten von SSL (Seite 48). 2.4.1.1 Datenbankzugriffsrechte SafeGuard Enterprise ist so eingerichtet, dass es für das Zusammenspiel mit der SQL-Datenbank nur ein einziges Benutzerkonto mit minimalen Zugriffsberechtigungen auf die Datenbank benötigt. Dieses Benutzerkonto wird vom SafeGuard Management Center genutzt und lediglich auf den ersten Sicherheitsbeauftragten des SafeGuard Management Centers ausgestellt. Damit ist die Verbindung zur SafeGuard Enterprise Datenbank gewährleistet. Während des Betriebs von SafeGuard Enterprise benötigt ein einziger Sicherheitsbeauftragter des SafeGuard Management Centers nur die Lese/Schreib-Berechtigung für die SafeGuard Enterprise Datenbank. 21 SafeGuard Enterprise Die SafeGuard Enterprise Datenbank kann entweder manuell oder automatisch während der Erstkonfiguration im SafeGuard Management Center erzeugt werden. Soll die Datenbank automatisch erstellt werden, so sind für den ersten SafeGuard Management Center Sicherheitsbeauftragten erweiterte Zugriffsrechte für die SQL Datenbank (db_creator) erforderlich. Diese Berechtigungen können dem Sicherheitsbeauftragten danach vom SQL-Administrator aber wieder bis zur nächsten Installation/Aktualisierung entzogen werden. Wenn die Erweiterung der Rechte während der Installation des SafeGuard Management Centers nicht gewünscht ist, kann der SQL-Administrator die SafeGuard Enterprise Datenbank per Skript erzeugen. Dazu können die beiden Skripts CreateDatabase.sql und CreateTables.sql aus der Produktlieferung ausgeführt werden. Die folgende Tabelle zeigt die notwendigen SQL-Berechtigungen für die unterschiedlichen Versionen von Microsoft SQL Server. SQL Server 2012, SQL Server 2012 Express Zugriffsberechtigung Datenbank erstellen Server db_creator Master Datenbank keine SafeGuard Enterprise Datenbank db_ownerpublic (Standard) Datenbank benutzen Server keine Master Datenbank keine SafeGuard Enterprise Datenbank db_datareader db_datawriter public (Standard) 2.4.1.2 Konfigurieren eines Windows-Benutzerkontos für die Anmeldung am SQL Server Die folgende Beschreibung der einzelnen Konfigurationsschritte wendet sich an SQL-Administratoren und bezieht sich auf Microsoft Windows Server 2008 und Microsoft SQL Server 2014, Standard oder Express Edition. Als SQL-Administrator benötigen Sie das Recht zum Anlegen von Benutzerkonten. 1. Öffnen Sie SQL Server Management Studio. Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an. 2. Öffnen Sie den Objekt-Explorer, klicken Sie mit der rechten Maustaste auf Sicherheit, wählen Sie Neu und klicken Sie dann auf Anmelden. 3. Wählen Sie unter Anmeldung - Neu auf der Allgemein Seite die Option Windows-Authentifizierung. 4. Klicken Sie auf Suchen. Suchen Sie nach dem relevanten Windows-Benutzernamen und klicken Sie auf OK. Der Benutzername wird als Anmeldename angezeigt. 22 Administratorhilfe 5. Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde, wählen Sie unter Standarddatenbank die Option Master. 6. Klicken Sie auf OK. 7. Um die Datenbank automatisch während der Erstkonfiguration des SafeGuard Management Centers zu erzeugen, müssen Sie die Zugriffsrechte wie folgt ändern: Weisen Sie jetzt unter Anmeldung - Neu die Zugangsberechtigungen/Rollen zu, indem Sie links auf Serverrollen klicken: Wählen Sie dbcreator. Nach der Installation von SafeGuard Enterprise kann die Datenbankrolle auf dbowner zurückgesetzt werden. 2.4.1.3 Erstellen eines SQL-Kontos für die Anmeldung am SQL Server Jeder Benutzer, der das SafeGuard Management Center verwenden soll, benötigt ein gültiges SQL-Benutzerkonto wenn Windows-Authentifizierung für die Verbindung mit der SafeGuard-Datenbank verwendet wird. Die nachfolgende Beschreibung der einzelnen Konfigurationsschritte richtet sich an SQL-Administratoren. Sie bezieht sich auf Microsoft Windows Server 2008 (alle Editionen) mit Microsoft SQL Server 2008 Standard Edition. Als SQL-Administrator benötigen Sie das Recht, ein SQL-Benutzerkonto zu erstellen. 1. Öffnen Sie SQL Server Management Studio. Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an. 2. Öffnen Sie den Objekt-Explorer, klicken Sie mit der rechten Maustaste auf Sicherheit und wählen Sie Neu > Anmelden. 23 SafeGuard Enterprise 3. Wählen Sie unter Anmeldung - Neu auf der Allgemein Seite die Option SQL Server Authentifizierung. 4. Führen Sie auf der Allgemein Seite bei Anmeldename folgende Schritte durch: a) Geben Sie den Namen des neuen Benutzers ein, z. B. SGN SQLSERVICE. b) Geben Sie ein Kennwort für das Konto ein und bestätigen Sie es. c) Deaktivieren Sie Kennwortrichtlinie erzwingen. d) Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde, wählen Sie unter Standarddatenbank die Option Master. Klicken Sie auf OK. Notieren Sie sich die Authentisierungsmethode und die Anmeldedaten. Sie müssen diese dem SafeGuard Management Center Sicherheitsbeauftragten mitteilen. 24 Administratorhilfe 5. Um die Datenbank automatisch während der Erstkonfiguration des SafeGuard Management Centers zu erzeugen, müssen Sie die Zugriffsrechte wie folgt ändern: Weisen Sie jetzt unter Anmeldung - Neu unter Allgemein die Zugangsberechtigungen/Rollen zu, indem Sie links auf Serverrollen klicken. Wählen Sie dbcreator. Nach der Installation von SafeGuard Enterprise kann die Datenbankrolle auf dbowner zurückgesetzt werden. Das SQL-Benutzerkonto und die Zugriffsberechtigungen sind damit für den SafeGuard Enterprise Sicherheitsbeauftragten eingerichtet. 2.4.2 Erzeugen der SafeGuard Enterprise Datenbank Nachdem das Benutzerkonto für die SQL Server Anmeldung eingerichtet ist, können Sie die SafeGuard Enterprise Datenbank erzeugen. Hier gibt es zwei Möglichkeiten: ■ Mit dem SafeGuard Management Center Konfigurationsassistenten Als Sicherheitsbeauftragter können Sie die SafeGuard Enterprise Datenbank während der Erstkonfiguration im SafeGuard Management Centers leicht und bequem erstellen. Der SafeGuard Management Center Konfigurationsassistent führt Sie durch die Basiskonfiguration, zu der auch die Erstellung der Datenbank gehört. Installieren und konfigurieren Sie hierzu zuerst das SafeGuard Management Center (siehe Einrichten des SafeGuard Management Center (Seite 33)) und ändern Sie dann die relevanten Zugriffsrechte (siehe Ändern der Zugriffsrechte für die SafeGuard Enterprise Datenbank (Seite 27)). 25 SafeGuard Enterprise ■ Mit SQL Skripts, die in der Produktlieferung zur Verfügung stehen. Dieser Weg ist dann angebracht, wenn die Erweiterung der Datenbankberechtigung während der Konfiguration des SafeGuard Management Centers nicht gewünscht ist. Es hängt von Ihrer Unternehmensumgebung ab, welche Methode Sie anwenden. Am besten sollte dies zwischen SQL-Administrator und SafeGuard Enterprise Sicherheitsbeauftragtem vorab geklärt werden. 2.4.2.1 Voraussetzungen Folgende Voraussetzungen müssen erfüllt sein: ■ Microsoft SQL Server muss bereits installiert und konfiguriert sein. Für kleinere Unternehmen eignet sich der Einsatz der Microsoft SQL Express Edition, da keine Lizenzkosten anfallen. ■ Aus Performance-Gründen sollte Microsoft SQL Server nicht auf dem Rechner installiert werden, auf dem der SafeGuard Enterprise Server installiert wird. ■ Die Authentisierungsverfahren sowie die Zugriffsrechte für die Datenbank sollten geklärt werden. 2.4.2.2 Erzeugen der SafeGuard Enterprise Datenbank per Skript Wenn Sie die SafeGuard Datenbank automatisch während der Konfiguration des SafeGuard Management Center erzeugen möchten, können Sie diesen Schritt überspringen. Wenn erweiterte SQL-Berechtigungen während der SafeGuard Management Center Konfiguration nicht erwünscht sind, führen Sie diesen Schritt aus. Dazu stehen im Tools-Verzeichnis der Produktlieferung zwei Datenbank-Skripts zur Verfügung: CreateDatabase.sql CreateTables.sql Die folgende Beschreibung der Arbeitsschritte wendet sich an SQL-Administratoren und bezieht sich auf Microsoft SQL Server 2008 Standard Edition. Als SQL-Administrator benötigen Sie das Recht zum Erstellen einer Datenbank. 1. Kopieren Sie die Skripts CreateDatabase.sql und CreateTables.sql aus der SafeGuard Enterprise Produktlieferung auf den SQL Server. 2. Doppelklicken Sie auf dem Skript CreateDatabase.sql. Das Programm SQL Server Management Studio wird aufgerufen. 3. Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an. 4. Überprüfen Sie, ob die beiden Zielpfade, die zu Beginn des Skripts unter FILENAME (MDF, LDF) angegeben sind, auf der lokalen Festplatte vorhanden sind. Korrigieren Sie sie, wenn nötig. 5. Klicken Sie auf die Schaltfläche Ausführen in der Symbolleiste, um die Datenbank zu erzeugen. Sie haben die Datenbank SafeGuard angelegt. Erzeugen Sie anschließend die Tabellen mit Hilfe des Skripts CreateTables.sql aus der Produktlieferung. 6. Doppelklicken Sie auf CreateTables.sql. Ein weiterer Bereich wird in Microsoft SQL Server Management Studio geöffnet. 7. Geben Sie am Beginn des Skripts use SafeGuard ein, um die SafeGuard Enterprise Datenbank auszuwählen, in der die Tabellen erstellt werden sollen. 26 Administratorhilfe 8. Klicken Sie auf die Schaltfläche Ausführen in der Symbolleiste, um die Tabellen zu erzeugen. Die SafeGuard Enterprise Datenbank und die zugehörigen Tabellen sind erzeugt. 2.4.3 Ändern der Zugriffsrechte für die SafeGuard Enterprise Datenbank Nach dem Erstellen der SafeGuard Enterprise Datenbank muss dem Benutzerkonto Zugriff auf die Datenbank gewährt werden. Diese Zugriffsrechte werden für alle Sicherheitsbeauftragten benötigt, die mit dem SafeGuard Management Center arbeiten und wenn Windows NT Authentisierung verwendet wird. Da es möglich ist, einem Benutzer für eine Datenbank unterschiedliche Rollen und Berechtigungen zuzuweisen, sind nur die Mindestanforderungen beschrieben. 1. Öffnen Sie SQL Server Management Studio. Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an. 2. Öffnen Sie den Objekt-Explorer, doppelklicken Sie auf Sicherheit und dann auf Anmeldungen. 3. Klicken Sie mit der rechten Maustaste auf den erforderlichen Benutzer und klicken Sie dann auf Eigenschaften. 4. Wählen Sie Benutzerzuordnung auf der linken Seite. Wählen Sie unter Users mapped to this login (Benutzer, die dieser Anmeldung zugeordnet sind) die Datenbank SafeGuard. 5. Definieren Sie die erforderlichen Zugriffsrechte für die Benutzung der SafeGuard Enterprise Datenbank unter Mitgliedschaft in Datenbankrolle für: Wählen Sie db_datareader, db_datawriter und public. 6. Klicken Sie auf OK. 2.4.4 Überprüfung von Einstellungen für SQL-Dienste, Named Pipes und TCP/IP Bei der Installation des SafeGuard Management Center muss der SQL Browser Service laufen und Named Pipes und TCP/IP müssen aktiv sein. Diese Einstellungen sind erforderlich, um von anderen Maschinen aus auf den SQL-Server zugreifen zu können. Dies kann im SQL Server-Konfigurations-Manager überprüft werden. Diese Beschreibung bezieht sich auf Microsoft Windows Server 2008 (R2) und Microsoft SQL Server 2012 Standard oder Express Edition. 1. Öffnen Sie den SQL Server-Konfigurations-Manager. 2. Wählen Sie in der Navigationsstruktur auf der linken Seite SQL Server-Dienste. 3. Überprüfen Sie, ob der Status von SQL Server und SQL Server Browser Läuft und der Startmodus auf Automatisch eingestellt ist. 4. Wählen Sie in der Navigationsstruktur auf der linken Seite SQL Server-Netzwerkkonfiguration. 5. Klicken Sie mit der rechten Maustaste auf das Protokoll Named Pipes und klicken Sie auf Aktiviert. 6. Klicken Sie mit der rechten Maustaste auf das Protokoll TCP/IP und klicken Sie auf Aktiviert. 7. Klicken Sie außerdem mit der rechten Maustaste auf das Protokoll TCP/IP und klicken Sie auf Eigenschaften. Belassen Sie in der Registerkarte IP-Adressen unter IPAlll das Feld Dynamische TCP-Ports leer. Geben Sie im Feld TCP Port 1434 ein. 8. Starten Sie die SQL-Dienste neu. 27 SafeGuard Enterprise 2.4.5 Erstellen einer Windows Firewall Regel auf Windows Server Dieser Abschnitt bezieht sich auf Microsoft Windows Server 2008 (R2) mit Microsoft SQL Server 2012 Standard oder Express Edition. Wenn Sie diese Konfiguration verwenden, führen Sie die nachfolgend angegebenen Schritte aus um sicherzustellen, dass eine Verbindung zwischen der SafeGuard Enterprise Datenbank und dem SafeGuard Management Center hergestellt werden kann. 1. Klicken Sie auf dem Computer, der als Host für die SQL Server Instanz dient, auf Start, wählen Sie Verwaltung und klicken Sie dann auf Windows-Firewall mit erweiterter Sicherheit. 2. Wählen Sie in der Navigationsstruktur auf der linken Seite Eingehende Regeln. 3. Klicken Sie in der Menüleiste auf Aktion und dann auf Neue Regel. Der Assistent für neue eingehende Regeln wird gestartet. 4. Wählen Sie auf der Regeltyp Seite Benutzerdefiniert und klicken Sie auf Weiter. 5. Wählen Sie auf der Programm Seite die Programme und Dienste, auf die diese Regel angewendet werden soll. Klicken Sie dann auf Weiter. 6. Wählen Sie auf der Protokolle und Ports Seite TCP als Protokolltyp. Wählen Sie für Lokaler Port die Option Bestimmte Ports und geben Sie 1433 ein. Wählen Sie für Remoteport die Option Alle Ports. Klicken Sie auf Weiter. 7. Auf der Bereich Seite können Sie festlegen, dass die Regel nur für den Netzverkehr von oder an die auf dieser Seite angegebenen IP-Adressen gilt. Nehmen Sie die entsprechende Konfiguration vor und klicken Sie auf Weiter. 8. Wählen Sie auf der Seite Aktion die Option Verbindung zulassen und klicken Sie auf Weiter. 9. Geben Sie auf der Seite Profil an, wo die Regel angewendet werden soll. Klicken Sie dann auf Weiter. 10. Geben Sie auf der Seite Name einen Namen und eine Beschreibung für Ihre Regel ein und klicken Sie auf Beenden. 2.4.6 Konfigurieren der Windows-Authentisierung für die Anmeldung am SQL Server Dieser Abschnitt bezieht sich auf Microsoft Windows Server 2008 mit Microsoft SQL Server 2012 Standard Edition und IIS 7. Um die Kommunikation zwischen dem SafeGuard Enterprise Server und der SafeGuard Enterprise Datenbank bei Anwendung der Windows-Authentisierung zu ermöglichen, muss der Benutzer zu einem Mitglied von Active Directory Gruppen gemacht werden. Die Berechtigungen für lokale Dateien müssen angepasst werden und das SQL Benutzerkonto muss in den Anwendungspool des IIS aufgenommen werden. 1. Wählen Sie Start und dann Ausführen. Geben Sie dsa.msc ein. Öffnen Sie das Active Directory Users and Computers Snap-in. 2. Klappen Sie in der Navigationsstruktur auf der linken Seite die Domänenstruktur aus und wählen Sie Builtin. 3. Fügen Sie den relevanten Windows-Benutzer zu folgenden Gruppen hinzu: IIS_IUSRS, Performance Log Users, Performance Monitor Users. 4. Beenden Sie das Snap-in. 5. Klicken Sie im lokalen Dateisystem im Windows Explorer mit der rechten Taste auf den C:\Windows\Temp Ordner und wählen Sie Eigenschaften. Wählen unter Eigenschaften die Registerkarte Sicherheit. 28 Administratorhilfe 6. Klicken Sie unter Sicherheit auf Hinzufügen und geben Sie den relevanten Windows-Benutzernamen im Feld Geben Sie die zu verwendenden Objektnamen ein ein. Klicken Sie auf OK. 7. Klicken Sie unter Sicherheit bei Berechtigungen auf Erweitert. Klicken Sie in der Berechtigungen Registerkarte des Dialogs Erweiterte Sicherheitseinstellungen für Temp auf Bearbeiten. Setzen Sie dann im Objekt Dialog die folgenden Berechtigungen auf Zulassen: Ordner auflisten / Daten lesen, Dateien erstellen / Daten schreiben, Löschen. 8. Klicken Sie auf OK, schließen Sie den Dialog Eigenschaften für Temp und schließen Sie dann den Windows Explorer. 9. Öffnen Sie den Internet Information Services Manager. 10. Wählen Sie im Bereich Verbindungen auf der linken Seite die Anwendungspools für den relevanten Server-Knoten. 11. Wählen Sie aus der Anwendungspools Liste auf der rechten Seite SGNSRV-Pool. 12. Wählen Sie im Aktionen Bereich auf der linken Seite Erweiterte Einstellungen. 13. Klicken Sie in Erweiterte Einstellungen unter Prozessmodell für die Eigenschaft Identität auf die ... Schaltfläche. 14. Wählen Sie in Identität des Anwendungspools die Option Benutzerdefiniertes Konto und klicken Sie auf Festlegen. 15. Geben Sie in Anmeldeinformationen festlegen den relevanten Windows-Benutzernamen in folgender Form ein: Domäne\<Windows-Benutzername>. Geben Sie das entsprechende Windows-Kennwort ein, bestätigen Sie es und klicken Sie auf OK. 16. Wählen Sie im Bereich Verbindungen auf der linken Seite den relevanten Server-Knoten und klicken Sie im Aktionen Bereich auf Neu starten. 17. Wählen Sie im Bereich Verbindungen auf der linken Seite unter dem relevanten Server-Knoten unter Sites Standard-Websites die Option SGNSRV. 18. Doppelklicken Sie auf der SGNSRV Homepage auf Authentifizierung. 19. Klicken Sie mit der rechten Maustaste auf Anonyme Authentifizierung und wählen Sie Bearbeiten. 20. Wählen Sie bei Identität des anonymen Benutzers die Option Bestimmter Benutzer und überprüfen Sie, ob der Benutzername IUSR lautet. Korrigieren Sie ihn, wenn nötig. 21. Klicken Sie auf OK. Die zusätzliche Konfiguration für die Benutzung eines Windows-Kontos für die Anmeldung am SQL Server ist nun abgeschlossen. 2.4.7 Replikation der SafeGuard Enterprise Datenbank Zur Optimierung der Performance der SafeGuard Enterprise Datenbank lässt sich diese auf mehrere SQL-Server replizieren. Dieser Abschnitt beschreibt das Aufsetzen der Replikation für die SafeGuard Enterprise Datenbank in einer verteilten Umgebung. In der Beschreibung wird davon ausgegangen, dass Sie bereits Erfahrung mit dem Microsoft SQL Server Replikationsmechanismus haben. Hinweis: Die Administration sollte nur bei der Master-Datenbank erfolgen, nicht bei replizierten Datenbanken. Wichtig: Die vorgeschlagene Lösung beschreibt nicht die Datenbankreplikation für die Zwecke eines redundanten Failovers, sondern zur Verbesserung der Performance in Multi-Site-Szenarien. 29 SafeGuard Enterprise 2.4.7.1 Mergereplikation Die Mergereplikation ist der Vorgang der Verteilung von Daten vom Verleger an die Abonnenten. Dabei können Verleger und Abonnenten unabhängig voneinander Aktualisierungen vornehmen und danach einen Merge der Aktualisierungen zwischen den Standorten durchführen. Die Mergereplikation erlaubt es verschiedenen Standorten, autonom zu arbeiten und später die Aktualisierungen zu einem einzigen, einheitlichen Ergebnis zusammenzuführen. Der initiale Snapshot wird auf die Abonnenten angewendet. Microsoft SQL Server verfolgt dann die Änderungen an veröffentlichten Daten beim Verleger und bei den Abonnenten nach. Die Daten werden zwischen den Servern kontinuierlich, zu einem festgelegten Zeitpunkt oder auf Anforderung synchronisiert. Da Aktualisierungen auf mehr als einem Server ausgeführt werden, sind dieselben Daten möglicherweise vom Verleger und von mindestens einem Abonnenten aktualisiert worden. Daher kann es beim Zusammenführen von Aktualisierungen zu Konflikten kommen. Die Mergereplikation bietet Standardmöglichkeiten sowie individuelle Möglichkeiten für die Konfliktlösung, die Sie bei der Konfiguration einer Mergeveröffentlichung definieren können. Tritt ein Konflikt auf, ruft der Merge-Agent einen Resolver auf. Dieser bestimmt, welche Daten akzeptiert und an andere Standorte verteilt werden. 2.4.7.2 Einrichten der Datenbankreplikation Der Vorgang des Einrichtens einer Replikation für die SafeGuard Enterprise Datenbank wird am Beispiel von Microsoft SQL Server beschrieben. Im Beispiel wird SafeGuard Enterprise ausschließlich von der Datenbank in Wien aus administriert. Alle Änderungen werden vom SafeGuard Management Center über den Microsoft SQL Server Replikationsmechanismus an die Datenbanken in Graz und Linz weitergegeben. Die von den Client-Computern über die Web Server gemeldeten Änderungen werden ebenfalls über den Replikationsmechanismus an den Microsoft SQL Server weitergegeben. 30 Administratorhilfe 2.4.7.2.1 Erzeugen der Master-Datenbank Legen Sie zunächst die SafeGuard Enterprise Master-Datenbank an. In unserem Beispiel ist dies die Datenbank Wien. Der Vorgang zum Erzeugen der Master-Datenbank ist mit dem entsprechenden Vorgang für eine SafeGuard Enterprise Installation ohne Replikation identisch. ■ Erzeugen der Master-Datenbank im SafeGuard Management Center Konfigurationsassistenten. Für diesen Vorgang muss das SafeGuard Management Center bereits installiert sein. Weitere Informationen finden Sie unter Starten der Erstkonfiguration des SafeGuard Management Center (Seite 35). ■ Erzeugen Sie die Master-Datenbank mit einem SQL-Skript. Sie finden die Skripts in Ihrer Produktlieferung. Dieser Vorgang wird häufig bevorzugt, wenn erweiterte SQL-Berechtigungen während der SafeGuard Management Konfiguration nicht erwünscht sind. Weitere Informationen finden Sie unter Erzeugen der SafeGuard Enterprise Datenbank per Skript (Seite 26) 2.4.7.2.2 Erzeugen der Replikationsdatenbanken Graz und Linz Nach dem Einrichten der Master-Datenbank erzeugen Sie die Replikationsdatenbanken. Im Beispiel haben die Replikationsdatenbanken die Bezeichnungen Graz und Linz. Hinweis: Datentabellen und EVENT-Tabellen werden in getrennten Datenbanken gehalten. Ereigniseinträge werden standardmäßig nicht verkettet, so dass die EVENT-Datenbank zur Erhöhung der Performance auf mehrere SQL-Server repliziert werden kann. Wenn EVENT-Tabellen verkettet werden, können während der Replikation der Datensätze Probleme auftreten. So erzeugen Sie die Replikationsdatenbanken neu: 1. Erzeugen Sie eine Veröffentlichung für die Master-Datenbank in der Management-Konsole des SQL Servers. Eine Veröffentlichung definiert das Daten-Set, das repliziert werden soll. 2. Wählen Sie alle Tabellen, Ansichten und gespeicherten Prozeduren für die Synchronisierung in dieser Veröffentlichung aus. 3. Erstellen Sie die Replikationsdatenbanken, indem Sie ein Abonnement für Graz und ein Abonnement für Linz erzeugen. Die neuen Datenbanken Graz und Linz erscheinen daraufhin in den Abonnements im SQL Konfigurationsassistenten. 4. Schließen Sie den SQL Konfigurationsassistenten. Die Replikationsüberwachung zeigt, ob der Replikationsmechanismus korrekt läuft. 5. Stellen Sie sicher, dass Sie den korrekten Datenbanknamen in der ersten Zeile des SQL Skripts eingeben. Verwenden Sie zum Beispiel Graz oder Linz. 6. Erzeugen Sie nochmal die Snapshots mit dem Snapshot Agenten. Die Replikationsdatenbanken Graz und Linz wurden angelegt. 2.4.7.3 Installieren und Registrieren von SafeGuard Enterprise Servern Um SafeGuard Enterprise Server auf den Web Servern zu installieren, gehen Sie wie folgt vor. 1. Installieren Sie SafeGuard Enterprise Server auf dem Server WS_1. 2. Installieren Sie SafeGuard Enterprise Server auf dem Server WS_2. 31 SafeGuard Enterprise 3. Registrieren Sie beide Server im SafeGuard Management Center. Im Menü Extras klicken Sie auf Konfigurationspakete, und dann auf Server. Auf der Registerkarte Server klicken Sie auf Hinzufügen. 4. Sie werden dazu aufgefordert, die Serverzertifikate ws_1.cer und ws_2.cer hinzuzufügen. Sie finden die Zertifikate im Ordner \Program Files\Sophos\Sophos SafeGuard\MachCert\. Die Zertifikate werden benötigt, um die entsprechenden Konfigurationspakete zu erstellen. Die SafeGuard Enterprise Server sind installiert und registriert. 2.4.7.4 Erzeugen der Konfigurationspakete für die Datenbank Graz Erzeugen Sie die Konfigurationspakete für die Datenbank Graz: ein Paket für Server WS_1 für die Kommunikation mit der Datenbank Graz sowie ein Paket für die Verbindung des SafeGuard Enterprise Clients Graz mit dem Web Service WS_1. 1. Klicken Sie im SafeGuard Management Center im Extras Menü auf Optionen und dann auf Datenbank. 2. Wählen Sie unter Verbindungseinstellungen WS_1 als Datenbankserver und Graz als Datenbank auf Server. Klicken Sie auf OK. 3. Klicken Sie im Extras Menü auf Konfigurationspakete... und dann auf Server-Pakete. Wählen Sie den Server WS_1 , den Ausgabepfad und klicken Sie auf Konfigurationspaket erstellen. 4. Wechseln Sie auf die Registerkarte Pakete für Managed Clients. Klicken Sie auf Konfigurationspaket hinzufügen und geben Sie einen Namen für das Paket ein. Wählen Sie unter Primärer Server den korrekten Server, mit dem die SafeGuard Enterprise Clients Graz verbunden werden sollen (WS_1). Legen Sie den Ausgabepfad fest und klicken Sie auf Konfigurationspaket erstellen. Die SafeGuard Enterprise Server und Client Konfigurationspakete für die Datenbank Graz werden am definierten Ausgabeort erstellt. 2.4.7.5 Erzeugen der Konfigurationspakete für die Datenbank Linz Sie müssen die Konfigurationspakete für die Datenbank Linz erzeugen: Ein Paket für Server WS_2 für die Kommunikation mit der Datenbank Linz sowie ein Paket für die Verbindung des SafeGuard Enterprise Clients Linz mit dem Web Service WS_2. 1. Klicken Sie im SafeGuard Management Center im Extras Menü auf Optionen und dann auf Datenbank. 2. Wählen Sie unter Verbindungseinstellungen WS_2 als Datenbankserver und Linz als Datenbank auf Server. Klicken Sie auf OK. 3. Klicken Sie im Menü Extras auf Konfigurationspakete... und dann auf Server-Pakete. Wählen Sie den Server WS_2 , den Ausgabepfad und klicken Sie auf Konfigurationspaket erstellen. 4. Wechseln Sie auf die Registerkarte Pakete für Managed Clients. Klicken Sie auf Konfigurationspaket hinzufügen und geben Sie einen Namen für das Paket ein. Wählen Sie unter Primärer Server den korrekten Server, mit dem die SafeGuard Enterprise Clients Linz verbunden werden sollen: WS_2. Legen Sie den Ausgabepfad fest und klicken Sie auf Konfigurationspaket erstellen. Klicken Sie auf Schließen. 5. Verbinden Sie das SafeGuard Management Center wieder mit der Datenbank Wien: Klicken Sie im Extras Menü auf Optionen und dann auf Datenbank. Die SafeGuard Enterprise Server und Client Konfigurationspakete für die Datenbank Linz werden am definierten Ausgabeort erstellt. 32 Administratorhilfe 2.4.7.6 Installieren der SafeGuard Enterprise Server Konfigurationspakete 1. Installieren Sie das Server-Konfigurationspaket (ws_1.msi) auf Web Service WS_1, der mit der Datenbank Graz kommunizieren soll. 2. Installieren Sie das Server-Konfigurationspaket ws_2.msi auf Web Service WS_2, der mit der Datenbank Linz kommunizieren soll. 3. Testen Sie die Kommunikation zwischen den SafeGuard Enterprise Servern und diesen Datenbanken: a) Öffnen Sie auf dem Computer, auf dem SafeGuard Enterprise Server installiert ist, den Internet Information Services (IIS) Manager. b) Klicken Sie in der Baumstruktur auf Internet Information Services Manager. Klicken Sie auf Servername, Websites, Standard-Website. Überprüfen Sie, ob die Web-Seite SGNSRV im Ordner Standard-Web-Seite verfügbar ist. c) Klicken Sie mit der rechten Maustaste auf SGNSRV und klicken Sie auf Durchsuchen. Auf der rechten Seite des Fensters wird eine Liste mit möglichen Aktionen angezeigt. d) Wählen Sie aus dieser Liste die Aktion CheckConnection. Die mögliche Aktion wird auf der rechten Seite des Fensters angezeigt. e) Um die Verbindung zu prüfen, klicken Sie auf Aufrufen. Der Verbindungstest war erfolgreich, wenn Sie diese Ausgabe erhalten: <Dataroot><WebService>OK</WebService><DBAuth>OK</DBAuth> 2.4.7.7 Einrichten des Endpoint Für Informationen zum Installieren der Verschlüsselungssoftware auf Endpoints, siehe Zentrale Installation der Verschlüsselungssoftware (Seite 63) . Hinweis: Stellen Sie zum Einrichten der Endpoints sicher, dass Sie nach der Installation das korrekte Konfigurationspaket installieren: 1. Installieren Sie das Client-Konfigurationspaket Graz auf den Endpoints, die mit dem Graz Server WS_1 verbunden werden sollen. 2. Installieren Sie das Client-Konfigurationspaket Linz auf den Endpoints, die mit dem Linz Server WS_2 verbunden werden sollen. 2.5 Einrichten des SafeGuard Management Centers Dieser Abschnitt beschreibt die Installation und Konfiguration des SafeGuard Management Center. Das SafeGuard Management Center ist das zentrale Verwaltungswerkzeug für SafeGuard Enterprise. Installieren Sie es auf den Administrator-Computern, die Sie für die Verwaltung von SafeGuard Enterprise einsetzen möchten. Das SafeGuard Management Center kann auf jedem Rechner im Netzwerk installiert sein, von wo aus auf die SafeGuard Enterprise Datenbanken zugegriffen werden kann. Mit datenbankspezifischen Konfigurationen (Multi Tenancy) ermöglicht das SafeGuard Management Center den Einsatz von SafeGuard Enterprise mit mehreren Datenbanken. Sie können verschiedene SafeGuard Enterprise Datenbanken für unterschiedliche Bereiche (z. B. Unternehmensstandorte, Organisationseinheiten oder Domänen) einrichten und verwalten. 33 SafeGuard Enterprise Um den Verwaltungsaufwand zu reduzieren, können Sie Datenbankkonfigurationen auch in Dateien exportieren und aus Dateien importieren. 2.5.1 Voraussetzungen Folgende Voraussetzungen müssen erfüllt sein: ■ Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen. ■ .NET Framework 4,5 muss installiert sein. Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verfügung. ■ Wenn Sie eine neue SafeGuard Enterprise Datenbank während der SafeGuard Management Center Konfiguration erzeugen wollen, benötigen Sie entsprechende SQL-Zugriffsberechtigungen, siehe Datenbankzugriffsrechte (Seite 21). 2.5.2 Installieren des SafeGuard Management Center 1. Starten Sie SGNManagementCenter.msi aus dem Installationsordner Ihrer Produktlieferung. Ein Assistent führt Sie durch die notwendigen Schritte. 2. Übernehmen Sie die Standardeinstellungen in den nächsten Dialogen wie folgt. Führen Sie auf der Installationsart auswählen Seite einen der folgenden Schritte aus: ■ Wenn das SafeGuard Management Center nur eine Datenbank unterstützen soll, wählen Sie eine Installation vom Typ Typisch aus. ■ Mit der Option Angepasst können Sie die Features auswählen, die Sie installieren möchten. Wenn das SafeGuard Management Center mehrere Datenbanken unterstützen soll (Multi Tenancy), wählen Sie eine Installation vom Typ Vollständig aus. Weitere Informationen finden Sie unter Multi Tenancy Konfigurationen (Seite 35). ■ Das SafeGuard Management Center ist installiert. Starten Sie Ihren ggf. Computer neu. Im nächsten Schritt führen Sie die Erstkonfiguration im SafeGuard Management Center durch. 2.5.3 Konfigurieren des SafeGuard Management Center Der SafeGuard Management Center Konfigurationsassistent unterstützt Sie bei der Definition der grundlegenden SafeGuard Management Center Einstellungen und bei den Datenbankverbindungen während der initialen Konfiguration. Der Assistent wird automatisch aufgerufen, wenn Sie das SafeGuard Management Center zum ersten Mal nach der Installation starten. Sie können das SafeGuard Management Center für die Anwendung mit einer oder mehreren Datenbank (Multi Tenancy) konfigurieren. Die SafeGuard Management Center Hilfe bietet umfassende Features wie kontextsensitive Hilfe und Volltext-Suche. Um den vollen Funktionsumfang des Hilfesystems nutzen zu können, muss JavaScript in Ihrem Browser aktiviert sein. Auch wenn JavaScript deaktiviert ist, können Sie das SafeGuard Management Center Hilfesystem aufrufen und im System navigieren. Bestimmte Funktionen wie die Volltext-Suche funktionieren dann allerdings nicht. 34 Administratorhilfe 2.5.3.1 Voraussetzungen Folgende Voraussetzungen müssen erfüllt sein: ■ Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen. ■ Halten Sie die folgenden Informationen bereit. Diese erhalten Sie ggf. von Ihrem SQL-Administrator. SQL Anmeldeinformationen. Name des SQL Servers, auf dem die SafeGuard Enterprise Datenbank laufen soll. Name der SafeGuard Enterprise Datenbank, falls diese bereits erzeugt wurde. 2.5.3.2 Multi Tenancy Konfigurationen Sie können mehrere verschiedene SafeGuard Enterprise Datenbankkonfigurationen für eine Instanz des SafeGuard Management Center konfigurieren und verwalten. Dies erweist sich vor allem dann als nützlich, wenn Sie verschiedene Konfigurationen für verschiedene Domänen, Organisationseinheiten oder Unternehmensstandorte einsetzen möchten. Sie müssen pro Datenbank jeweils eine separate SafeGuard Enterprise Server Instanz einrichten. Jede Datenbank muss dieselbe Version aufweisen. Es ist beispielsweise nicht möglich, SGN 7 Datenbanken und SGN 8 Datenbanken mit einem SGN 8 Management Center zu verwalten. Zur Vereinfachung der Konfiguration können vorhandene Datenbankkonfigurationen aus einer Datei importiert werden; neu erstellte Konfigurationen können exportiert und später wieder verwendet werden. Um das SafeGuard Management Center für Multi Tenancy zu konfigurieren, führen Sie zunächst die initiale Konfiguration und danach weitere spezifische Schritte für die Multi Tenancy Konfiguration durch. Hinweis: Die Funktion Multi Tenancy muss über eine Installation vom Typ Vollständig installiert worden sein. 2.5.3.3 Starten der Erstkonfiguration des SafeGuard Management Centers Nach der Installation des SafeGuard Management Center, müssen Sie die Erstkonfiguration durchführen. Die Erstkonfiguration muss sowohl für den Single Tenancy als auch für den Multi Tenancy Modus ausgeführt werden. So starten Sie den SafeGuard Management Center Konfigurationsassistenten: 1. Starten Sie das SafeGuard Management Center über das Start Menü. Der Konfigurationsassistent wird gestartet und führt Sie durch die notwendigen Schritte. 2. Klicken Sie auf der Willkommen Seite auf Weiter. 2.5.3.4 Konfigurieren der Datenbankserver-Verbindung Zum Speichern aller SafeGuard Enterprise spezifischen Verschlüsselungsrichtlinien und Einstellungen wird eine Datenbank verwendet. Damit das SafeGuard Management Center mit dem SafeGuard Enterprise Server kommunizieren kann, müssen Sie eine Authentisierungsmethode für den Zugriff auf die Datenbank festlegen, entweder Windows NT Authentisierung oder SQL-Authentisierung. Wenn Sie eine Verbindung zum Datenbankserver mit SQL Authentisierung herstellen möchten, stellen Sie sicher, dass Sie die notwendigen 35 SafeGuard Enterprise SQL-Anmeldedaten zur Hand haben. Falls notwendig, erhalten Sie diese Informationen von Ihrem SQL Administrator. Führen Sie auf der Seite Datenbankserver-Verbindung folgende Schritte aus: 1. Wählen Sie unter Verbindungseinstellungen den SQL-Datenbankserver aus der Datenbankserver Liste aus. Es werden alle Rechner eines Netzwerks aufgelistet, auf denen ein Microsoft SQL Server installiert ist. Wenn der Server nicht auswählbar ist, tragen Sie Servername bzw. IP-Adresse mit dem SQL-Instanznamen manuell ein. 2. Aktivieren Sie SSL verwenden, um die Verbindung zwischen SafeGuard Management Center und SQL-Datenbankserver zu sichern.Wenn Sie Folgende Anmeldeinformationen für SQL Server Authentisierung anwenden unter Authentisierung auswählen, empfehlen wir dringend, diese Einstellung zu aktivieren, da dadurch der Transport der SQL-Anmeldedaten verschlüsselt wird. SSL-Verschlüsselung erfordert eine funktionsfähige SSL-Umgebung auf dem SQL-Datenbankserver, die Sie vorab einrichten müssen (siehe Sichern von Transportverbindungen mit SSL (Seite 47)). 3. Wählen Sie unter Authentisierung die Art der Authentisierung, die für den Zugriff auf die Datenbankserver-Instanz benutzt werden soll. ■ Aktivieren Sie Windows NT Authentisierung verwenden, um Ihre Windows-Anmeldedaten zu verwenden. Hinweis: Verwenden Sie diese Art der Authentisierung, wenn Ihr Computer Teil einer Domäne ist. Es sind jedoch noch zusätzliche Konfigurationsschritte erforderlich, da der Benutzer zur Herstellung einer Verbindung mit der Datenbank berechtigt sein muss (siehe Konfigurieren eines Windows-Kontos für die Anmeldung am SQL-Server (Seite 22) und Konfigurieren der Windows-Authentisierung für die Anmeldung am SQL-Server (Seite 28)). ■ Aktivieren Sie Folgende Anmeldeinformationen für SQL Server Authentisierung anwenden, um mit den entsprechenden SQL-Anmeldeinformationen auf die Datenbank zuzugreifen. Geben Sie die Anmeldeinformationen des SQL-Benutzerkontos ein, das Ihr SQL-Administrator erstellt hat. Falls notwendig, erhalten Sie diese Informationen von Ihrem SQL Administrator. Hinweis: Verwenden Sie diese Art der Authentisierung, wenn Ihr Computer keiner Domäne angehört. Aktivieren Sie SSL verwenden, um die Verbindung zum und vom Datenbankserver zu sichern. 4. Klicken Sie auf Weiter. Die Verbindung zum Datenbankserver ist hergestellt. 2.5.3.5 Erstellen oder Auswählen einer Datenbank Auf der Seite Datenbankeinstellungen können Sie entweder eine neue Datenbank erzeugen oder eine bestehende verwenden. Wenn die Datenbank bereits über SQL-Skripts erstellt wurde, wählt der Assistent automatisch die bestehende Datenbank aus. In diesem Fall ist keine weitere Konfiguration erforderlich. Wenn die Datenbank noch nicht erstellt wurde, gehen Sie wie folgt vor: 1. Wählen Sie Eine neue Datenbank mit folgendem Namen erstellen und geben Sie einen Namen für die neue Datenbank ein. Sie benötigen dazu die entsprechenden SQL-Zugriffsberechtigungen, siehe Datenbankzugriffsrechte (Seite 21). Um Probleme zu vermeiden, sollten in SafeGuard Enterprise Datenbanknamen nur folgende Zeichen verwendet werden: Buchstaben (A - Z, a - z), Zahlen (0 - 9), Unterstriche (_). 2. Klicken Sie auf Weiter. 36 Administratorhilfe 2.5.3.6 Definieren der Active Directory-Authentifizierung Bevor Sie eine neue Datenbank erstellen können Sie alle für die Verbindung mit Active Directory nötigen Einstellungen vornehmen. In diesem Schritt definieren Sie den Servernamen und die Anmeldeinformationen. Wir empfehlen, die Anmeldeinformationen für Active Directory an dieser Stelle anzugeben damit die grundlegende Active Directory Struktur automatisch importiert werden kann. Dieser Import beinhaltet alle Container wie Organisationseinheiten und Gruppen, die mit der SafeGuard Enterprise Datenbank synchronisiert werden. Bei diesem initialen Import werden keine Benutzer und Computer importiert, aber es werden alle Schlüssel erstellt und den entsprechenden Containern zugewiesen. Nach dem Import kann der Administrator Richtlinien unterschiedlichen Containern zuweisen ohne eine komplette AD-Synchronisierung durchzuführen. Computer und Benutzer erhalten ihre Richtlinien sobald sie am SGN Server registriert sind. Wenn Sie noch keine Anmeldeinformationen haben, können Sie diesen Schritt auch überspringen und den Active Directory Import später manuell konfigurieren. Hinweis: Für größere Unternehmen mit komplexen AD-Strukturen sowie für die Bearbeitung von entfernten, geänderten oder verschobenen Objekten müssen Sie den Assistenten für die LDAP-Authentisierung verwenden, siehe Importieren einer Active Directory Struktur (Seite 42). 1. Geben Sie auf der Seite Active Directory Authentifizierung den Servernamen oder die IP-Adresse ein. 2. Wir empfehlen die Verwendung von SSL für die Sicherung der Verbindung zwischen SafeGuard Enterprise Server und Endpoints. 3. Definieren Sie Ihre Anmeldeinformationen. 4. Klicken Sie auf Weiter. Nachdem die SafeGuard Enterprise Datenbank erstellt und der Konfigurationsassistent abgeschlossen ist, wird die grundlegende Struktur des angegebenen Verzeichnisses in die Datenbank importiert. Alle benötigten Schlüssel werden erstellt und den entsprechenden Containern zugewiesen. 2.5.3.7 Erstellen eines Haupt-Sicherheitsbeauftragten (Master Security Officer, MSO) Als Sicherheitsbeauftragter melden Sie sich am SafeGuard Management Center an, um SafeGuard Enterprise Richtlinien zu erstellen und die Verschlüsselungssoftware für die Endbenutzer zu konfigurieren. Der Haupt-Sicherheitsbeauftragte (MSO) ist der Administrator höchster Ebene mit allen Rechten und einem Zertifikat, das nicht abläuft. 1. Geben Sie auf der Seite Daten des Sicherheitsbeauftragten unter Haupt-Sicherheitsbeauftragten-ID einen Namen für den Haupt-Sicherheitsbeauftragten ein, zum Beispiel MSO. 2. Führen Sie auf der Seite Zertifikat für den Haupt-Sicherheitsbeauftragten einen der folgenden Schritte aus: ■ ■ ■ Zertifikat des Haupt-Sicherheitsbeauftragten erzeugen (Seite 38) Import des Zertifikats des Haupt-Sicherheitsbeauftragten (Seite 38) Export des Zertifikats des Haupt-Sicherheitsbeauftragten (Seite 38) 37 SafeGuard Enterprise 2.5.3.7.1 Zertifikat des Haupt-Sicherheitsbeauftragten erzeugen In Zertifikat des Haupt-Sicherheitsbeauftragten erzeugen erzeugen Sie ein Kennwort für den persönlichen Zertifikatspeicher. Der SafeGuard Enterprise Zertifikatspeicher ist ein virtueller Speicher für SafeGuard Enterprise Zertifikate. Dieser Speicher hat keine Auswirkungen auf Microsoft-Funktionen. Das in diesem Schritt definierte Kennwort ist das Kennwort, das später für die Anmeldung am Management Center verwendet wird. 1. Bestätigen Sie unter Haupt-Sicherheitsbeauftragten-ID den Namen des Haupt-Sicherheitsbeauftragten. 2. Geben Sie nun zweimal ein Kennwort für den Zertifikatspeicher ein und klicken Sie auf OK. Das Zertifikat des Haupt-Sicherheitsbeauftragten wird erzeugt und lokal gespeichert (<mso_name>.cer). Hinweis: Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf. Sie benötigen es für die Anmeldung am SafeGuard Management Center. 2.5.3.7.2 Import des Zertifikats des Haupt-Sicherheitsbeauftragten Wenn bereits ein Zertifikat eines Haupt-Sicherheitsbeauftragten zur Verfügung steht, müssen Sie es in den Zertifikatsspeicher importieren. Hinweis: Ein Zertifikat kann nicht aus einer Microsoft PKI importiert werden. Ein importiertes Zertifikat muss minimal 1024 Bits haben und kann maximal 4096 Bits lang sein. Wir empfehlen ein Zertifikat mit mindestens 2048 Bit. 1. Klicken Sie unter Authentisierungs-Schlüsseldatei importieren auf die [...] Schaltfläche und wählen Sie die Schlüsseldatei aus. 2. Geben Sie das Kennwort der Schlüsseldatei ein. 3. Geben Sie das Kennwort für den Zertifikatsspeicher ein. 4. Bestätigen Sie das Kennwort für den Zertifikatsspeicher. 5. Klicken Sie auf OK. Zertifikat und privater Schlüssel befinden sich nun im Zertifikatsspeicher. Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet. 2.5.3.7.3 Export des Zertifikats des Haupt-Sicherheitsbeauftragten Das MSO-Zertifikat wird in eine private Schlüsseldatei (P12) exportiert. Definieren Sie unter Zertifikat exportieren ein Kennwort zum Schutz der privaten Schlüsseldatei. Die private Schlüsseldatei wird für die Wiederherstellung einer beschädigten SafeGuard Management Center Installation benötigt. So exportieren Sie das Zertifikat eines Haupt-Sicherheitsbeauftragten: 1. Geben Sie unter Zertifikat exportieren ein Kennwort für den privaten Schlüssel (P12-Datei) ein und bestätigen Sie es. Das Kennwort muss aus 8 alphanumerischen Zeichen bestehen. 2. Klicken Sie auf OK. 3. Geben Sie einen Speicherort für die private Schlüsseldatei ein. Die private Schlüsseldatei wird erzeugt und die Datei wird am angegebenen Speicherort gespeichert <mso_name.p12). Wichtig: Erstellen Sie eine Sicherungskopie des privaten Schlüssels (P12-Datei) und legen Sie diese direkt nach der Erstkonfiguration an einem sicheren Speicherort ab. Andernfalls führt ein eventueller PC-Absturz zum Verlust des Schlüssels und SafeGuard Enterprise muss neu installiert werden. Das gilt für alle von SafeGuard Enterprise generierten Sicherheitsbeauftragten-Zertifikate. 38 Administratorhilfe Sobald das Zertifikat für den Sicherheitsbeauftragten exportiert ist und der Zertifikatspeicher und der Sicherheitsbeauftragte angelegt sind, fährt der Assistent mit dem Erstellen des Unternehmenszertifikats fort. 2.5.3.8 Erzeugen des Unternehmenszertifikats Mit dem Unternehmenszertifikat lassen sich unterschiedliche SafeGuard Management Center Installationen auseinander halten. In Verbindung mit dem Zertifikat des Haupt-Sicherheitsbeauftragten lässt sich mit dem Unternehmenszertifikat eine beschädigte SafeGuard Enterprise Datenbankkonfiguration wiederherstellen. 1. Wählen Sie auf der Seite Unternehmenszertifikat die Option Neues Unternehmenszertifikat erzeugen. 2. Geben Sie den Namen Ihres Unternehmens ein. Hinweis: Von SafeGuard Enterprise erzeugte Zertifikate, zum Beispiel Unternehmens-, Maschinen-, Sicherheitsbeauftragten- und Benutzerzertifikate, sind bei einer Erstinstallation standardmäßig zur Erweiterung der Sicherheit mit dem Hash-Algorithmus SHA-256 signiert. Bei Endpoints mit älteren Version von SafeGuard Enterprise als 6.1 müssen Sie unter Hash-Algorithmus für erzeugte Zertifikate den Algorithmus SHA-1 auswählen. Für weitere Informationen, siehe Ändern des Algorithmus für selbst-signierte Zertifikate (Seite 293). 3. Klicken Sie auf Weiter. Das neu angelegte Unternehmenszertifikat wird in der Datenbank gespeichert. Erstellen Sie eine Sicherungskopie des Unternehmenszertifikats und legen Sie diese direkt nach der Erstkonfiguration an einem sicheren Speicherort ab. Informationen zum Reparieren einer beschädigten Datenbankkonfiguration finden Sie unter Reparieren einer beschädigten Datenbankkonfiguration (Seite 44). 2.5.3.9 Abschließen der Erstkonfiguration des SafeGuard Management Centers 1. Klicken Sie auf Beenden, um die Erstkonfiguration des SafeGuard Management Centers abzuschließen. Eine Konfigurationsdatei wird erstellt. Ergebnis: ■ Eine Verbindung zum SafeGuard Enterprise Server. ■ Eine SafeGuard Enterprise Datenbank. ■ ■ Ein Haupt-Sicherheitsbeauftragten-Konto für die Anmeldung an das SafeGuard Management Center. Alle notwendigen Zertifikate für die Wiederherstellung einer beschädigten Datenbankkonfiguration oder SafeGuard Management Center Installation Sobald der Konfigurationsassistent geschlossen ist, wird das SafeGuard Management Center gestartet. 39 SafeGuard Enterprise 2.5.4 Erstellen weiterer Datenbankkonfigurationen (Multi Tenancy) Voraussetzung: Die Funktion Multi Tenancy muss über eine Installation vom Typ Vollständig installiert worden sein. Die initiale Konfiguration des SafeGuard Management Center muss durchgeführt worden sein, siehe Starten der Erstkonfiguration des SafeGuard Management Center (Seite 35). Hinweis: Sie müssen pro Datenbank jeweils eine separate SafeGuard Enterprise Server Instanz einrichten. So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach der Erstkonfiguration: 1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählen wird angezeigt. 2. Klicken Sie auf Neu. Der SafeGuard Management Center Konfigurationsassistent wird automatisch gestartet. 3. Der Assistent führt Sie durch die notwendigen Schritte für das Anlegen einer neuen Datenbankkonfiguration. Wählen Sie die gewünschten Optionen. Die neue Datenbankkonfiguration wird generiert. 4. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für diese Konfiguration auszuwählen und das entsprechende Zertifikatspeicher-Kennwort einzugeben. Klicken Sie auf OK. Das SafeGuard Management Center wird geöffnet und mit der ausgewählten Datenbankkonfiguration verbunden. Beim nächsten Start des SafeGuard Management Center kann die neue Datenbankkonfiguration aus der Liste ausgewählt werden. Hinweis: Weitere Informationen zu Multi Tenancy finden Sie unter Mit mehreren Datenbankkonfigurationen arbeiten (Seite 243). 2.5.5 Konfigurieren zusätzlicher Instanzen des SafeGuard Management Center Sie können zusätzliche Instanzen des SafeGuard Management Center konfigurieren, um Sicherheitsbeauftragten den Zugriff für die Durchführung administrativer Aufgaben auf verschiedenen Computern zu ermöglichen. Das SafeGuard Management Center kann auf jedem Rechner im Netzwerk installiert sein, von wo aus auf die Datenbank zugegriffen werden kann. SafeGuard Enterprise verwaltet die Zugriffsrechte auf das SafeGuard Management Center in einem eigenen Zertifikatsverzeichnis. In diesem Verzeichnis müssen die Zertifikate aller Sicherheitsbeauftragten, die sich am SafeGuard Management Center anmelden dürfen, vorhanden sein. Für die Anmeldung an das SafeGuard Management Center ist dann nur das Kennwort für den Zertifikatsspeicher erforderlich. 1. Installieren Sie SGNManagementCenter.msi mit den gewünschten Features auf einem weiteren Computer. 2. Starten Sie das SafeGuard Management Center auf dem Administratorcomputer. Der Konfigurationsassistent wird gestartet und führt Sie durch die notwendigen Schritte. 3. Klicken Sie auf der Willkommen Seite auf Weiter. 40 Administratorhilfe 4. Wählen Sie im Dialog Datenbankverbindung unter Datenbankserver die erforderliche SQL-Datenbankinstanz aus der Liste aus. Alle auf Ihrem Computer oder Netzwerk verfügbaren Datenbankserver werden angezeigt. Wählen Sie unter Authentisierung die Art der Authentisierung, die für den Zugriff auf diese Datenbankinstanz benutzt werden soll. Wenn Sie Folgende Anmeldeinformationen für SQL Server Authentisierung anwenden wählen, geben Sie die SQL-Benutzerkontenanmeldedaten ein, die Ihr SQL-Administrator erstellt hat. Klicken Sie auf Weiter. 5. Aktivieren Sie auf der Seite Datenbankeinstellungen die Option Folgende bestehende Datenbank verwenden und wählen Sie die Datenbank aus der Liste aus. Klicken Sie auf Weiter. 6. Wählen Sie unter SafeGuard Management Center Authentisierung eine autorisierte Person aus der Liste aus. Wenn Multi Tenancy aktiviert ist, zeigt der Dialog an, an welcher Konfiguration sich der Benutzer anmeldet. Geben Sie das Kennwort für den Zertifikatsspeicher ein und bestätigen Sie es. Der Zertifikatsspeicher für das aktuelle Benutzerkonto wird angelegt und ist durch dieses abgesichert. Für die nachfolgenden Anmeldungen benötigen Sie nur noch dieses Kennwort. 7. Klicken Sie auf OK. Eine Meldung, dass Zertifikat und privater Schlüssel nicht gefunden bzw. nicht darauf zugegriffen werden kann, wird angezeigt. 8. Klicken Sie zum Importieren der Daten auf Ja und dann auf OK. Dadurch wird der Importvorgang gestartet. 9. Klicken Sie unter Authentisierungs-Schlüsseldatei importieren auf die [...] Schaltfläche und wählen Sie die Schlüsseldatei aus. Geben Sie das Kennwort der Schlüsseldatei ein. Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token-PIN definierte Kennwort für den Zertifikatsspeicher ein. Wählen Sie In den Zertifikatsspeicher importieren oder Auf den Token kopieren, um das Zertifikat auf einem Token zu speichern. 10. Geben Sie zur Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein. Zertifikat und privater Schlüssel befinden sich nun im Zertifikatsspeicher. Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet. 2.5.6 Anmelden am SafeGuard Management Center Die Anmeldung richtet sich danach, ob Sie das SafeGuard Management Center im Single Tenancy Modus oder im Multi Tenancy Modus einsetzen. 2.5.6.1 Anmeldung im Single Tenancy Modus 1. Starten Sie das SafeGuard Management Center über das Start-Menü. Ein Anmeldebildschirm wird angezeigt. 2. Melden Sie sich als Haupt-Sicherheitsbeauftragter an und geben Sie das Zertifikatspeicher-Kennwort ein, das während der Konfiguration festgelegt wurde. Klicken Sie auf OK. Das SafeGuard Management Center wird gestartet. Hinweis: Wenn Sie ein falsches Kennwort eingeben, wird eine Fehlermeldung angezeigt und die nächste Anmeldung wird verzögert. Diese Verzögerung wird mit jedem fehlgeschlagenen Anmeldeversuch größer. Fehlgeschlagene Anmeldeversuche werden protokolliert. 41 SafeGuard Enterprise 2.5.6.2 Anmeldung im Multi Tenancy Modus 1. Starten Sie das SafeGuard Management Center über das Start-Menü. Der Dialog Konfiguration auswählen wird angezeigt. 2. Wählen Sie die Datenbankkonfiguration aus, die Sie verwenden möchten, und klicken Sie auf OK. Die ausgewählte Datenbankkonfiguration wird mit dem SafeGuard Management Center verbunden und wird aktiv. 3. Sie werden dazu aufgefordert, den Sicherheitsbeauftragtennamen für diese Konfiguration auszuwählen und das entsprechende Zertifikatspeicher-Kennwort einzugeben. Klicken Sie auf OK. Das SafeGuard Management Center wird geöffnet und mit der ausgewählten Datenbankkonfiguration verbunden. Hinweis: Wenn Sie ein falsches Kennwort eingeben, wird eine Fehlermeldung angezeigt und die nächste Anmeldung wird verzögert. Diese Verzögerung wird mit jedem fehlgeschlagenen Anmeldeversuch größer. Fehlgeschlagene Anmeldeversuche werden protokolliert. 2.5.7 Einrichten der Organisationsstruktur im SafeGuard Management Center Es gibt zwei Möglichkeiten, Ihre Organisation in SafeGuard Enterprise abzubilden: ■ Directory Service importieren, z. B.: Active Directory Während der Synchronisierung mit dem Active Directory werden Objekte (z. B. Computer, Benutzer und Gruppen) in das SafeGuard Management Center importiert und in der SafeGuard Enterprise Datenbank gespeichert. ■ Organisationsstruktur manuell aufbauen Steht kein Directory Service zur Verfügung oder gibt es nur wenige Organisationseinheiten, so dass kein Directory Service benötigt wird, können Sie neue Domänen/Arbeitsgruppen anlegen, an denen sich der Benutzer/Computer anmelden kann. Sie können entweder nur eine von beiden Möglichkeiten anwenden, oder die beiden Möglichkeiten mischen. Zum Beispiel können Sie ein Active Directory (AD) ganz oder teilweise importieren und weitere Organisationseinheiten (OU) manuell anlegen. Hinweis: Bei der Kombination beider Verfahren werden die manuell angelegten Organisationseinheiten nicht im AD abgebildet. Wenn in SafeGuard Enterprise angelegte Organisationseinheiten im AD abgebildet werden sollen, so müssen Sie diese separat zum AD hinzufügen. Weitere Informationen zum Importieren oder Anlegen einer Organisationsstruktur finden Sie unter Aufbau der Organisationsstruktur (Seite 278). 2.5.7.1 Importieren einer Active Directory Struktur Mit SafeGuard Enterprise können Sie eine Active Directory Struktur ins SafeGuard Management Center importieren. Während der Synchronisierung mit dem Active Directory werden Objekte wie Computer, Benutzer und Gruppen in das SafeGuard Management Center importiert. Alle Daten werden in der SafeGuard Enterprise Datenbank gespeichert. So konfigurieren Sie Active Directory: 1. Öffnen Sie das SafeGuard Management Center. 42 Administratorhilfe 2. Geben Sie zur Authentisierung das Kennwort ein, das für den Zertifikatspeicher definiert wurde. 3. Wählen Sie unten links Benutzer und Computer. 4. Wählen Sie oben links Stamm [Filter ist aktiv]. 5. Wählen Sie im rechten Fensterbereich die Registerkarte Synchronisieren aus. Der Assistent für die LDAP-Authentisierung startet automatisch. 6. Geben Sie im Assistenten für die LDAP-Authentisierung Ihre Anmeldeinformationen ein, die Sie für die Synchronisierung verwenden wollen, und definieren Sie den Servernamen und die IP-Adresse des Domain Controllers. Der Benutzername muss das Format Benutzer@Domain haben um Konflikte mit dem NetBIOS-Domänennamen zu vermeiden. 7. Sobald die Verbindung zum Verzeichnis erfolgreich hergestellt wurde, zeigt das Feld Verzeichnis DSN die Domänen-Information. Klicken Sie auf das Lupen-Symbol, um das Active Directory zu auszulesen. 8. Wenn der Auslesevorgang abgeschlossen ist, wird die Domänen-Struktur im mittleren Fensterbereich angezeigt. Wählen Sie die Organisationseinheiten, die Sie in SafeGuard Enterprise importieren möchten. Es können keine einzelnen Computer, Gruppen oder Benutzer ausgewählt werden. Sie können jedoch Organisationseinheiten auswählen. 9. Wählen Sie, ob Active Directory Gruppenmitgliedschaften mit dem SafeGuard Management Center synchronisiert werden sollen. Der Import von Gruppenmitgliedschaften kann übersprungen werden, indem Sie das Kontrollkästchen Synchronisiere Mitgliedschaften deselektieren. Der Verzicht auf Import und Synchronisierung von Gruppenmitgliedschaften wirkt sich positiv auf die Performance des Management Centers aus, besonders bei großen AD-Strukturen. Standardmäßig erstellt SafeGuard Enterprise einen Schlüssel für alle Container, Organisationseinheiten (OU) und Domänenobjekte, die Sie importieren. Das Erstellen der Schlüssel kann einige Zeit in Anspruch nehmen. Deshalb empfehlen wir, besonders beim Import einer großen Umgebung, das Erstellen der Schlüssel für Gruppen nicht zu aktivieren, wenn nicht erforderlich. 10. Klicken Sie zum Starten der Synchronisierung auf Synchronisieren. Nun werden die Detailinformationen aus dem Active Directory eingelesen. Am Ende der Synchronisierung wird eine Übersicht über alle Änderungen angezeigt. 11. Klicken Sie auf OK, um alle Änderungen in die SafeGuard Enterprise Datenbank zu schreiben. Wenn der Vorgang abgeschlossen ist, wird die Domänen-Struktur im linken Fensterbereich angezeigt. Der Import des Active Directory ins SafeGuard Management Center ist nun abgeschlossen. 2.5.8 Importieren der Lizenzdatei SafeGuard Enterprise hat einen integrierten Lizenzzähler.Wenn Sie das Produkt herunterladen, können Sie eine Testlizenzdatei herunterladen. Diese Testlizenz enthält fünf Lizenzen für jedes Modul und muss ins SafeGuard Management Center importiert werden. Dadurch soll eine problemlose Evaluierung von anderen SafeGuard Enterprise Komponenten ohne Nebeneffekte gewährleistet werden. Beim Kauf von SafeGuard Enterprise enthält jeder Kunde eine individuelle Lizenzdatei für das jeweilige Unternehmen, die in das SafeGuard Management Center importiert werden muss. Weitere Informationen finden Sie unter Lizenzen (Seite 298). 43 SafeGuard Enterprise 2.5.9 So reparieren Sie eine beschädigte Management Center Installation: Eine beschädigte Installation des SafeGuard Management Center kann repariert werden wenn die Datenbank intakt ist. Installieren Sie in diesem Fall das SafeGuard Management Center neu und verwenden Sie dabei die bestehende Datenbank sowie das gesicherte Zertifikat für den Haupt-Sicherheitsbeauftragten. Das Unternehmenszertifikat und das Haupt-Sicherheitsbeauftragten-Zertifikat der betreffenden Datenbankkonfiguration müssen als .p12 Dateien exportiert worden sein. Die Dateien müssen verfügbar und gültig sein. Die Kennwörter für die .p12 Dateien sowie für den Zertifikatsspeicher müssen Ihnen bekannt sein. So reparieren Sie eine beschädigte SafeGuard Management Center Installation: 1. Installieren Sie das SafeGuard Management Center Installationspaket neu. Öffnen Sie das SafeGuard Management Center. Der Konfigurationsassistent wird automatisch geöffnet. 2. Wählen Sie unter Datenbankverbindung den relevanten Datenbankserver und konfigurieren Sie, falls erforderlich, die Verbindung zur Datenbank. Klicken Sie auf Weiter. 3. Aktivieren Sie unter Datenbankeinstellungen die Option Folgende bestehende Datenbank verwenden und wählen Sie die Datenbank aus der Liste aus. 4. Führen Sie unter Daten des Sicherheitsbeauftragten einen der folgenden Schritte aus: ■ Wenn die gesicherte Zertifikatsdatei auf dem Computer gefunden wird, wird sie angezeigt. Geben Sie das Kennwort ein, das Sie zur Anmeldung an das SafeGuard Management Center benutzen. ■ Wird die gesicherte Zertifikatsdatei nicht auf dem Computer gefunden, wählen Sie Importieren. Suchen Sie nach der gesicherten Zertifikatsdatei und klicken Sie auf Öffnen. Geben Sie das Kennwort für die Zertifikatsdatei ein. Klicken Sie auf Ja. Geben Sie ein Kennwort für die Anmeldung am SafeGuard Management Center ein und bestätigen Sie es. 5. Klicken Sie auf Weiter und dann auf Fertig stellen, um die Konfiguration des SafeGuard Management Center abzuschließen. Die SafeGuard Management Center Installation ist repariert. 2.5.10 Reparieren einer beschädigten Datenbankkonfiguration Sie können eine beschädigte Datenbankkonfiguration reparieren, indem Sie das SafeGuard Management Center neu installieren und basierend auf den gesicherten Zertifikatsdateien eine neue Instanz der Datenbank erstellen. Dadurch wird sichergestellt, dass alle vorhandenen SafeGuard Enterprise Endpoints Richtlinien von der neuen Installation annehmen. Das Unternehmenszertifikat und das Haupt-Sicherheitsbeauftragten-Zertifikat der betreffenden Datenbankkonfiguration müssen als .p12 Dateien exportiert worden sein. Die Dateien müssen verfügbar und gültig sein. Die Kennwörter für die beiden .p12 Dateien sowie für den Zertifikatsspeicher müssen Ihnen bekannt sein. Hinweis: Dieses Verfahren ist nur dann zu empfehlen, wenn keine gültige Sicherungskopie der Datenbank verfügbar ist. Alle Computer, die mit einem reparierten Backend verbunden werden, verlieren ihre Benutzer-Computer Zuordnung. Infolgedessen wird die Power-on 44 Administratorhilfe Authentication vorübergehend abgeschaltet. Challenge/Response-Mechanismen stehen erst dann wieder zur Verfügung, wenn der entsprechende Endpoint seine Schlüsselinformationen wieder erfolgreich übertragen hat. So reparieren Sie eine beschädigte Datenbankkonfiguration: 1. Installieren Sie das SafeGuard Management Center Installationspaket neu. Öffnen Sie das SafeGuard Management Center. Der Konfigurationsassistent wird automatisch geöffnet. 2. Wählen Sie unter Datenbank-Verbindung die Option Neue Datenbank erstellen. Konfigurieren Sie unter Datenbankeinstellungen die Verbindung zur Datenbank. Klicken Sie auf Weiter. 3. Wählen Sie unter Daten des Sicherheitsbeauftragten den relevanten Haupt-Sicherheitsbeauftragten und klicken Sie auf Importieren. 4. Suchen Sie unter Importieren des Zertifikats die gesicherte Zertifikatsdatei. Geben Sie unter Schlüsseldatei das für diese Datei festgelegte Kennwort ein und bestätigen Sie es. Klicken Sie auf OK. 5. Das Zertifikat des Haupt-Sicherheitsbeauftragten wird importiert. Klicken Sie auf Weiter. 6. Aktivieren Sie unter Unternehmenszertifikat die Option Über vorhandenes Unternehmenszertifikat wiederherstellen. Klicken Sie auf Importieren, um die gesicherte Zertifikatsdatei auszuwählen, die das gültige Unternehmenszertifikat enthält. Sie werden aufgefordert, das für den Zertifikatsspeicher definierte Kennwort einzugeben. Geben Sie das Kennwort ein und klicken Sie auf OK. Klicken Sie im Willkommen-Fenster auf Weiter. Das Unternehmenszertifikat wird importiert. 7. Klicken Sie auf Weiter, dann auf Beenden. Die Datenbankkonfiguration ist repariert. 2.6 Testen der Kommunikation Wenn SafeGuard Enterprise Server, die Datenbank und das Management Center eingerichtet sind, empfehlen wir, einen Verbindungstest durchführen. Dieser Abschnitt enthält die Voraussetzungen und die benötigten Einstellungen für den Verbindungstest. 2.6.1 Ports/Verbindungen Die Endpoints müssen folgende Verbindungen aufbauen: SafeGuard Endpoint Verbindung zu SafeGuard Enterprise Server Port Port 443 bei Benutzung der SSL Transportverbindung Port 80/TCP Das SafeGuard Management Center muss folgende Verbindungen aufbauen: 45 SafeGuard Enterprise SafeGuard Management Center Verbindung zu SQL Datenbank Port SQL Server 2012 dynamischer Port: Port 1433/TCP und Port 1434/TCP Active Directory Port 389/TCP SLDAP Port 636 für den Active Directory Import Der SafeGuard Enterprise Server muss folgende Verbindungen aufbauen: SafeGuard Enterprise Server Verbindung zu SQL Datenbank Active Directory Port Port 1433/TCP und Port 1434/TCP für SQL 2012 (Express) dynamischer Port Port 389/TCP 2.6.2 Authentisierungsmethode 1. Öffnen Sie auf dem Computer, auf dem SafeGuard Enterprise Server installiert ist, den Internet Information Services (IIS) Manager. 2. Wählen Sie in der Baumstruktur den relevanten Server und klicken Sie Sites > Standardwebsite> SGNSRV. 3. Doppelklicken Sie unter IIS auf das Symbol Authentifizierung und prüfen Sie folgende Einstellungen: ■ ■ Setzen Sie Anonyme Authentifizierung auf Aktiviert. Setzen Sie Windows-Authentifizierung auf Deaktiviert. 2.6.3 Proxyserver-Einstellungen So definieren Sie Proxyserver-Einstellungen für Webserver und Endpoint: 1. Klicken Sie im Internet Explorer im Extras Menü auf Internetoptionen. Klicken Sie auf Verbindungen und dann auf LAN-Einstellungen. 2. Deaktivieren Sie in LAN-Einstellungen unter Proxyserver das Kontrollkästchen Proxyserver für LAN verwenden. Wenn ein Proxyserver notwendig ist, wählen Sie Proxyserver für lokale Adressen umgehen. 46 Administratorhilfe 2.6.4 Verbindung prüfen 1. Öffnen Sie auf dem Computer, auf dem SafeGuard Enterprise Server installiert ist, den Internet Information Services (IIS) Manager. 2. Wählen Sie in der Baumstruktur den relevanten Server und klicken Sie Sites > Standardwebsite> SGNSRV. 3. Klicken Sie mit der rechten Maustaste auf SGNSRV, wählen Sie Anwendung verwalten und klicken Sie auf Browse, um die Seite Sophos SafeGuard Web Service zu öffnen. 4. Auf der Seite Sophos SafeGuard Web Service wird eine Liste mit möglichen Aktionen angezeigt. Klicken Sie in dieser Liste auf CheckConnection und dann auf Aufrufen. Der Verbindungstest war erfolgreich, wenn Sie diese Ausgabe erhalten: <Dataroot><WebService>OK</WebService><DBAuth>OK</DBAuth> Wenn die Kommunikation zwischen dem SafeGuard Enterprise Client und dem Server nicht richtig funktioniert, lesen Sie im Sophos Knowledgebase-Artikel 109662 nach. 2.7 Sichern von Transportverbindungen mit SSL SafeGuard Enterprise unterstützt die Verschlüsselung der Transportverbindungen zwischen den einzelnen Komponenten mit SSL. Sie können SSL für die Transportverschlüsselung zwischen folgenden Komponenten verwenden: Datenbankserver <-> SafeGuard Enterprise Server mit IIS Datenbankserver <-> SafeGuard Management Center SafeGuard Enterprise Server mit IIS <-> verwaltete Endpoints Hinweis: Alternativ dazu kann die Verbindung zwischen dem SafeGuard Enterprise Server und den von SafeGuard Enterprise verwalteten Endpoints mit SafeGuard-spezifischer Verschlüsselung verschlüsselt werden. Dies empfiehlt sich jedoch nur für Demo- oder Test-Setups. Für optimale Sicherheit und Performance empfehlen wir ausdrücklich die Verwendung von SSL für die Verschlüsselung der Kommunikation. Falls dies nicht möglich ist und die SafeGuard-spezifische Verschlüsselung verwendet wird, so gilt die Obergrenze von 1000 Clients, die eine Verbindung mit einer Serverinstanz herstellen können. Hinweis: Mac OS X Clients unterstützen nur SSL. Bevor SSL für SafeGuard Enterprise aktiviert werden kann, muss eine funktionsfähige SSL-Umgebung eingerichtet werden. 2.7.1 Voraussetzungen Um die Kommunikation zwischen dem SafeGuard Enterprise Server und dem mit SafeGuard Enterprise gesicherten Endpoint mit SSL zu sichern, ist ein gültiges Zertifikat notwendig. Sie können die folgenden Typen von Zertifikaten verwenden: ■ Ein selbst-signiertes Zertifikat, siehe Verwenden eines selbst-signierten Zertifikats (Seite 48). ■ Ein von einer PKI ausgestelltes Zertifikat mit einem privaten oder öffentlichen Stammzertifikat, siehe Verwenden eines PKI-generierten Zertifikats (Seite 48). Technisch macht es keinen Unterschied, ob Sie ein Zertifikat mit einem privaten oder öffentlichen Stammzertifikat verwenden. 47 SafeGuard Enterprise Hinweis: Wenn ein von einer PKI erstelltes Zertifikat, aber keine PKI-Infrastruktur verfügbar ist, können Sie das Zertifikat nicht verwenden, um die Kommunikation mit SSL abzusichern. In diesem Fall müssen Sie eine PKI aufsetzen oder ein selbst-signiertes Zertifikat erstellen. 2.7.1.1 Verwenden eines selbst-signierten Zertifikats Um ein selbst-signiertes Zertifikat mit SafeGuard Enterprise zu erstellen: 1. Öffnen Sie den Internetinformationsdienste (IIS) Manager auf dem Computer auf dem der SafeGuard Enterprise Server gehostet wird und überprüfen Sie den Namen des Servers, der am obersten Knoten angezeigt wird. 2. Auf dem Computer, auf dem das SafeGuard Management Center installiert ist, wählen Sie Programme, Sophos, SafeGuard und SafeGuard Enterprise Zertifikatsverwaltung. 3. Öffnen Sie den SafeGuard Zertifikatspeicher. 4. Verwenden Sie zur Authentisierung dasselbe Kennwort wie für die Anmeldung am SafeGuard Management Center. 5. Klicken Sie die Schaltfläche Neues Zertifikat erzeugen. 6. Der Zertifikatname muss dem Computer entsprechen, der im Internetinformationsdienste (IIS) Manager im obersten Knoten angezeigt wird. 7. Behalten Sie den Standardwert für die Schlüssellänge bei. 8. Definieren Sie ein Kennwort und klicken Sie auf OK. 9. Speichern Sie die .cert und .p12 Dateien an einem Speicherort, der vom Computer erreichbar ist, auf dem der IIS installiert ist. 2.7.1.2 Verwenden eines PKI-generierten Zertifikats Wollen Sie ein PKI-generiertes Zertifikat für die SSL-Kommunikation verwenden, erstellen Sie ein Zertifikat für den Computer, auf dem der SafeGuard Enterprise Server läuft. Die folgenden Anforderungen sind gegeben: ■ Der Zertifikatname muss dem Computer entsprechen, der im Internetinformationsdienste (IIS) Manager im obersten Knoten angezeigt wird. ■ Der FQDN Name des Computers muss bei der Ausstellung des Zertifikats verwendet werden. Stellen Sie sicher, dass der Client den FQDN per DNS auflösen kann. Hinweis: Wenn nur ein von einer PKI erstelltes Zertifikat, aber keine PKI Infrastruktur verfügbar ist, können Sie das Zertifikat nicht verwenden, um die Kommunikation mit SSL zu sichern. In diesem Fall müssen Sie eine PKI aufsetzen oder ein selbst-signiertes Zertifikat erstellen. 2.7.2 Einrichten von SSL Die folgenden allgemeinen Aufgaben müssen für die SSL-Einrichtung auf dem Web Server durchgeführt werden: 48 ■ Certificate Authority muss auf dem Server installiert sein, um die bei der SSL-Verschlüsselung verwendeten Zertifikate auszustellen. ■ Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden, dass er SSL verwendet und auf das Zertifikat zeigt. ■ Der Servername, den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben, muss identisch sein mit dem Servernamen, den Sie vorab im SSL-Zertifikat angegeben haben. Sonst können Client und Server nicht miteinander kommunizieren. Für jeden SafeGuard Enterprise Server wird ein separates SSL-Zertifikat benötigt. Administratorhilfe ■ Wenn Sie Network Load Balancer einsetzen, vergewissern Sie sich, dass der Portbereich den SSL-Port mit einschließt. Weitere Informationen erhalten Sie von unserem technischen Support oder hier: ■ support.microsoft.com/de-de/kb/324069 ■ support.microsoft.com/de-de/kb/316898 2.7.3 Aktivieren der SSL-Verschlüsselung in SafeGuard Enterprise So aktivieren Sie die SSL-Verschlüsselung in SafeGuard Enterprise: ■ Verbindung zwischen Web Server und Datenbankserver: Aktivieren Sie SSL-Verschlüsselung während der Registrierung des SafeGuard Enterprise Servers im SafeGuard Management Center Konfigurationspakete-Werkzeug. Nähere Informationen finden Sie unter Konfigurieren der Datenbankserververbindung (Seite 35) oder im Sophos Knowledgebase-Artikel 109012. ■ Für die Verbindung zwischen Datenbankserver und SafeGuard Management Center: Aktivieren Sie die SSL-Verschlüsselung im SafeGuard Management Center Konfigurationsassistenten (siehe Konfigurieren der Datenbankserververbindung (Seite 35)). ■ Verbindung zwischen SafeGuard Enterprise Server und durch SafeGuard Enterprise geschützte Endpoints: Aktivieren Sie die SSL-Verschlüsselung beim Erzeugen des Konfigurationspakets für den verwalteten Endpoint im SafeGuard Management Center Konfigurationspakete-Werkzeug (siehe Erzeugen eines Konfigurationspakets für zentral verwaltete Computer (Seite 54)). Nähere Informationen dazu, wie SSL am SafeGuard Enterprise Server und dem durch SafeGuard Enterprise geschützten Endpoint zu konfigurieren ist, finden Sie unter Den SafeGuard Enterprise Server aufsetzen (Seite 49). Sie können die SSL-Verschlüsselung für SafeGuard Enterprise während der Erstkonfiguration der SafeGuard Enterprise Komponenten oder zu einem späteren Zeitpunkt einrichten. Erstellen Sie danach ein neues Konfigurationspaket und installieren Sie es auf dem entsprechenden Server oder zentral verwalteten Computer. 2.7.4 Den SafeGuard Enterprise Server aufsetzen Um den SafeGuard Enterprise Server so zu konfigurieren, dass er SSL für die Kommunikation zwischen Server und mit SafeGuard Enterprise geschütztem Endpoint verwendet, führen Sie die folgenden allgemeinen Schritte aus: 1. Installieren Sie das SafeGuard Management Center, siehe Installieren des SafeGuard Management Center (Seite 34). 2. Installieren Sie den SafeGuard Enterprise Server, siehe Installieren von SafeGuard Enterprise Server (Seite 20). 3. Testen Sie die Kommunikation zwischen SafeGuard Enterprise Server und der SQL-Datenbank mit dem Aufruf-Test. Nachdem Sie diese Konfigurationsschritte erfolgreich abgeschlossen haben, importieren Sie das Zertifikat, das für die SSL Kommunikation verwendet werden soll. Sie können entweder ein selbst-signiertes Zertifikat oder ein bestehendes verwenden. Wenn Sie über eine PKI Infrastruktur verfügen, können Sie ein PKI-generiertes Zertifikat verwenden. 49 SafeGuard Enterprise 2.7.5 Konfigurieren eines Endpoints für SSL Um SSL auf einem mit SafeGuard Enterprise geschützten Endpoint zu verwenden, führen Sie die folgenden Schritte aus: 1. Weisen Sie dem Client ein Zertifikat zu, siehe Zuweisen eines Zertifikats (Seite 50). 2. Erstellen Sie ein Client-Konfigurationspaket das SSL beinhaltet, siehe Erzeugen eines Konfigurationspakets für zentral verwaltete Computer (Seite 54). 2.7.6 Konfigurieren der SGNSRV Webseite für SSL Transportverschlüsselung Sobald ein gültiges Zertifikat verfügbar ist, gehen Sie wie folgt vor, um die SGNSRV Webseite für eine mit Zertifikat gesicherte Verbindung zu konfigurieren. Hinweis: Die folgende Beschreibung bezieht sich auf Microsoft Windows Server 2012. 1. 2. 3. 4. Öffnen Sie den Internetinformationsdienste (IIS) Manager. Wählen Sie im Navigationsbereich den Server, der die SGNSRV Webseite hostet. Wählen Sie im rechten Fensterbereich Serverzertifikate aus dem Abschnitt IIS. Wählen Sie im Menü Aktionen auf der rechten Seite die Option Importieren. Der Assistent zum Zertifikate importieren wird geöffnet. 5. Ändern Sie im offenen Dialog die Dateierweiterung zu *.* und navigieren Sie zu dem Ort, wo die .p12 und die .cer Dateien gespeichert sind. 6. Wählen Sie die zuvor erzeugte .p12 Datei aus. Sind die Dateierweiterungen deaktiviert, wählen Sie bitte die Datei mit der Beschreibung "Privater Informationsaustausch". 7. Geben Sie das Kennwort ein und klicken Sie auf OK. Das Zertifikat ist installiert. 8. Wählen Sie unter Verbindungen im linken Fensterbereich des Internetinformationsdienste (IIS) Manager den Namen des Servers, auf dem das Zertifikat installiert wurde. 9. Wählen Sie unter Sites die Site, die Sie mit SLL sichern möchten. 10. Wählen Sie im Menü Aktionen auf der rechten Seite die Option Bindungen. 11. Klicken Sie im Dialog Sitebindungen auf Bindung hinzufügen. 12. Wählen Sie bei Typ:https und bei SSL-Zertifikat: das zuvor installierte Zertifikat. 13. Klicken Sie OK und schließen Sie den Dialog Sitebindungen. 14. Wählen Sie im Navigationsbereich den Server und klicken Sie auf Neu starten im Bereich Aktionen. 2.7.7 Zuweisen eines Zertifikats Es gibt verschiedene Möglichkeiten, ein Zertifikat einem Endpoint zuzuweisen. Eine davon ist, eine Microsoft Gruppenrichtlinie zu verwenden. Dies wird in diesem Abschnitt beschrieben. Falls Sie eine andere Methode verwenden wollen, stellen Sie sicher, dass das Zertifikat im Zertifikatspeicher des lokalen Computers abgelegt ist. Zuweisen eines Zertifikats mittels Gruppenrichtlinie: 1. Öffnen Sie die Gruppenrichtlinienverwaltung (gpeditmc.msc). 2. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO), das die Zertifikatseinstellungen beinhalten soll. Vergewissern Sie sich, dass das GPO mit der Domain, Site oder 50 Administratorhilfe Organisationseinheit verbunden ist, deren Benutzer mit der Richtlinie verwaltet werden sollen. 3. Klicken Sie auf das GPO und wählen Sie Bearbeiten. Der Gruppenrichtlinienverwaltungs-Editor öffnet sich und zeigt den aktuellen Inhalt des Richtlinienobjekts an. 4. Öffnen Sie im Navigationsbereich Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel > Vertrauenswürdige Herausgeber. 5. Klicken Sie das Aktionen Menü und klicken Sie dann auf Importieren.... 6. Folgen Sie den Anweisungen im Zertifikatimport-Assistent um das Zertifikat zu finden und zu importieren. 7. Wenn das Zertifikat selbst-signiert ist und nicht auf ein Zertifikat zurückverfolgt werden kann, das im ZertifikatspeicherVertrauenswürdige Stammzertifizierungsstellen liegt, dann müssen die das Zertifikat auch in diesen Zertifikatspeicher kopieren. Klicken Sie auf Vertrauenswürdige Stammzertifizierungsstellen und wiederholen Sie die Schritte 5 und 6 um eine Kopie des Zertifikats in diesem Zertifikatspeicher zu installieren. 2.8 Registrieren und Konfigurieren des SafeGuard Enterprise Server Zur Implementierung der Informationen für die Kommunikation zwischen IIS Server, Datenbank und dem SafeGuard-geschützten Endpoint muss der SafeGuard Enterprise Server registriert und konfiguriert werden. Die Informationen werden in einem Server-Konfigurationspaket gespeichert. Diesen Schritt führen Sie im SafeGuard Management Center durch. Der Workflow ist davon abhängig, ob der SafeGuard Enterprise Server auf demselben Computer wie das SafeGuard Management Center oder auf einem anderen Computer installiert ist. Sie können auch weitere Eigenschaften festlegen. So lassen sich z. B. zusätzliche Sicherheitsbeauftragte für den ausgewählten Server hinzufügen. Sie können auch die Verbindung zur Datenbank konfigurieren. 2.8.1 Registrieren und Konfigurieren des SafeGuard Enterprise Server für den aktuellen Computer Wenn Sie das SafeGuard Management Center und SafeGuard Enterprise Server auf dem Computer, mit dem Sie derzeit arbeiten, installiert haben, registrieren und konfigurieren Sie den SafeGuard Enterprise Server. Hinweis: Wenn Multi Tenancy installiert ist, steht diese Option nicht zur Verfügung. 1. Starten Sie das SafeGuard Management Center. 2. Klicken Sie im Extras Menü auf Konfigurationspakete. 3. Wählen Sie die Registerkarte Server und klicken Sie auf Diesen Computer zum SGN Server machen. Der Setup-Assistent wird automatisch geöffnet. 4. Übernehmen Sie in allen folgenden Dialogen die Standardeinstellungen. Der SafeGuard Enterprise Server ist installiert. Ein Server-Konfigurationspaket mit der Bezeichnung <Server>.msi wird erstellt und direkt auf dem aktuellen Computer installiert. 51 SafeGuard Enterprise Die Serverinformationen werden auf der Registerkarte Server angezeigt. Sie können zusätzliche Konfigurationsschritte durchführen. Hinweis: Wenn Sie ein neues Server-Konfigurationspaket (MSI) auf dem SafeGuard Enterprise Server installieren möchten, deinstallieren Sie zunächst das alte Konfigurationspaket. Löschen Sie darüber hinaus den Local Cache manuell, so dass er mit den neuen Konfigurationsdaten (z. B. SSL-Einstellungen) aktualisiert werden kann. Installieren Sie dieses Konfigurationspaket auf dem Server. 2.8.2 Registrieren und Konfigurieren des SafeGuard Enterprise Servers für einen anderen Computer Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard Management Center installiert wurde, registrieren und konfigurieren Sie den SafeGuard Enterprise Server: 1. Starten Sie das SafeGuard Management Center. 2. Klicken Sie im Extras Menü auf Konfigurationspakete. 3. Wählen Sie die Registerkarte Server und klicken Sie auf Hinzufügen. 4. Klicken Sie unter Serverregistrierung auf [...] und wählen Sie das Maschinenzertifikat des Servers aus, das sich unter C:\Programme (x86)\Sophos\SafeGuard Enterprise\MachCert am IIS Server, auf dem der SafeGuard Enterprise Server läuft, befindet. Es trägt den Dateinamen <Computername>.cer. Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard Management Center installiert ist, muss diese .cer-Datei als Kopie oder über eine Netzwerkfreigabe zugänglich sein. Wählen Sie nicht das MSO-Zertifikat. Der Fully Qualified Name (FQDN), z. B. server.mycompany.com, sowie Zertifikatsinformationen werden angezeigt. Hinweis: Wenn SSL als Transportverschlüsselung zwischen Endpoint und Server verwendet werden soll, muss der Servername, den Sie hier eingeben, mit dem Servernamen übereinstimmen, den Sie im SSL-Zertifikat vergeben haben. Andernfalls ist keine Kommunikation möglich. 5. Klicken Sie auf OK. Die Serverinformationen werden in der Registerkarte Server angezeigt. 6. Klicken Sie auf die Registerkarte Server-Pakete. Hier werden alle verfügbaren Server angezeigt. Wählen Sie dort den gewünschten Server aus. Geben Sie einen Ausgabepfad für das Konfigurationspaket an. Klicken Sie auf Konfigurationspaket erstellen. Ein Server-Konfigurationspaket (MSI) mit der Bezeichnung <Server>.msi wird im angegebenen Ausgabeort erstellt. 7. Klicken Sie auf OK, um die Erfolgsmeldung zu bestätigen. 8. Klicken Sie in der Registerkarte Server auf Schließen. Die Registrierung und Konfiguration des SafeGuard Enterprise Servers ist beendet. Installieren Sie das Server-Konfigurationspaket (MSI) auf dem Computer, auf dem der SafeGuard Enterprise Server läuft. Sie können die Serverkonfiguration in der Registerkarte Server jederzeit ändern. Hinweis: Wenn Sie ein neues Server-Konfigurationspaket (MSI) auf dem SafeGuard Enterprise Server installieren möchten, deinstallieren Sie zunächst das alte Konfigurationspaket. Löschen Sie darüber hinaus den Local Cache manuell, so dass er mit 52 Administratorhilfe den neuen Konfigurationsdaten (z. B. SSL-Einstellungen) aktualisiert werden kann. Installieren Sie dieses Konfigurationspaket auf dem Server. 2.8.3 Ändern der SafeGuard Enterprise Server Eigenschaften Sie können die Eigenschaften und Einstellungen für jeden registrierten Server und seine Datenbankverbindung jederzeit ändern. 1. Klicken Sie im Extras Menü auf Konfigurationspakete. 2. Gehen Sie zur Registerkarte Server und wählen Sie den erforderlichen Server aus. 3. Gehen Sie wie folgt vor: Element Beschreibung Skript ausführen Klicken Sie hier, um SafeGuard Enterprise Management API zu verwenden. Dies ermöglicht die Ausführung von administrativen Aufgaben über Skripts Win. Auth. WHD Klicken Sie hier, um die Windows Authentifizierung für Web Helpdesk zu aktivieren. Die Option ist standardmäßig deaktiviert. Server-Rollen Klicken Sie hier, um eine verfügbare Sicherheitsbeauftragtenrolle für den ausgewählten Server zu aktivieren/deaktivieren. Server-Rolle hinzufügen... Klicken Sie hier, um weitere spezifische Sicherheitsbeauftragtenrollen für den ausgewählten Server hinzuzufügen, falls erforderlich. Sie werden dazu aufgefordert, das Serverzertifikat auszuwählen. Die Sicherheitsbeauftragtenrolle wird hinzugefügt und kann unter Server-Rollen angezeigt werden. Datenbankverbindung Klicken Sie auf [...], um die Verbindung zur Datenbank für jeden registrierten Server zu konfigurieren. Hier können Sie auch die Anmeldeinformationen für die Datenbank und die Transportverschlüsselung zwischen Web Server und Datenbankserver festlegen. Weitere Informationen finden Sie unter Konfigurieren der Datenbankserververbindung (Seite 35). Selbst wenn die Prüfung der Datenbankverbindung nicht erfolgreich ist, kann ein neues Server-Konfigurationspaket erstellt werden. Hinweis: Sie müssen nicht den SafeGuard Management Center Konfigurationsassistenten erneut ausführen, um die Datenbankkonfiguration zu aktualisieren. Erstellen Sie einfach ein neues Server-Konfigurationspaket und verteilen Sie es an den entsprechenden Server. Sobald dieses auf dem Server installiert ist, kann auf die neue Datenbankverbindung zugegriffen werden. 4. Erstellen Sie ein neues Server-Konfigurationspaket auf der Registerkarte Server-Pakete. 5. Deinstallieren Sie das alte Server-Konfigurationspaket und installieren Sie danach das neue auf dem entsprechenden Server. Die neue Server-Konfiguration wird aktiv. 53 SafeGuard Enterprise 2.8.4 Registrieren des SafeGuard Enterprise Servers mit aktivierter Sophos Firewall Ein durch SafeGuard Enterprise geschützter Endpoint kann keine Verbindung mit dem SafeGuard Enterprise Server herstellen, wenn eine Sophos Firewall mit Standardeinstellungen auf dem Endpoint installiert ist. Die Sophos Firewall sperrt standardmäßig NetBIOS-Verbindungen, die für die Auflösung des Netzwerknamens des SafeGuard Enterprise Servers benötigt werden. 1. Führen Sie als Workaround einen der folgenden Schritte aus: ■ Geben Sie die NetBIOS-Verbindungen in der Firewall frei. ■ Fügen Sie den Fully Qualified Name des SafeGuard Enterprise Servers im Konfigurationspaket hinzu. Weitere Informationen finden Sie unter Registrieren und Konfigurieren des SafeGuard Enterprise Server für einen anderen Computer (Seite 52). 2.9 Erzeugen von Konfigurationspaketen Erzeugen Sie je nach erforderlicher Konfiguration die passenden Konfigurationspakete für die Endpoints im SafeGuard Management Center: ■ Für zentral verwaltete Endpoints (Windows und Mac OS X) - Pakete für Managed Clients ■ Für nicht verwaltete Endpoints (nur Windows) - Pakete für Standalone Clients Immer wenn Sie ein Paket für Managed Clients erzeugen, wird automatisch ein Paket für Windows und ein Paket für Mac (als ZIP-Datei) erstellt. Das ZIP-Paket wird auch für den Sophos Mobile Control Server verwendet, um sich mit dem SafeGuard Enterprise Backend zu verbinden. Das erste Konfigurationspaket muss auf den Endpoints zusammen mit der Verschlüsselungssoftware installiert werden. 2.9.1 Erzeugen eines Konfigurationspakets für zentral verwaltete Computer 1. 2. 3. 4. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete. Wählen Sie Pakete für Managed Clients. Wechseln Sie in der Dropdown-Liste Primärer Server zum registrierten Server. Falls erforderlich, geben Sie eine Richtliniengruppe an, die auf die Computer angewendet werden soll. Diese müssen Sie zuvor im SafeGuard Management Center erstellt haben. Wenn Sie für Aufgaben nach der Installation auf dem Computer Service Accounts verwenden möchten, stellen Sie sicher, dass die entsprechende Richtlinieneinstellung in dieser ersten Richtliniengruppe definiert ist, siehe Anlegen von Service Account Listen (Seite 55). 5. Wählen Sie den Modus für die Transportverschlüsselung, der bestimmt, wie die Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server verschlüsselt wird. Weitere Informationen finden Sie unter Sichern von Transportverbindungen mit SSL (Seite 47). 6. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an. 54 Administratorhilfe 7. Klicken Sie auf Konfigurationspaket erstellen. WennSie als Modus für die Transportverschlüsselung die SSL-Verschlüsselung ausgewählt haben, wird die Serververbindung validiert. Wenn die Verbindung fehlschlägt, wird eine Warnungsmeldung angezeigt. Sie können die Meldung ignorieren und das Konfigurationspaket trotzdem erstellen. Sie müssen jedoch sicherstellen, dass die Kommunikation zwischen SafeGuard Client und SafeGuard Server über SSL möglich ist. Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Sie müssen das Paket auf den Endpoints verteilen und installieren. 2.9.2 Erzeugen eines Konfigurationspakets für Standalone-Computer 1. 2. 3. 4. 5. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete. Wählen Sie Pakete für Standalone Clients. Klicken Sie auf Konfigurationspaket hinzufügen. Geben Sie einen beliebigen Namen für das Konfigurationspaket ein. Geben Sie eine zuvor im SafeGuard Management Center erstellte Richtliniengruppe an, die für die Computer gelten soll. 6. Geben Sie unter Speicherort für Schlüssel-Sicherungskopie einen freigegebenen Netzwerkpfad für das Speichern der Schlüssel-Recovery-Datei an oder wählen Sie einen Netzwerkpfad aus. Geben Sie den freigegebenen Pfad in folgender Form ein: \\network computer\, zum Beispiel \\mycompany.edu\. Wenn Sie hier keinen Pfad angeben, wird der Benutzer beim ersten Anmelden am Endpoint nach der Installation gefragt, wo die Schlüsseldatei gespeichert werden soll. Die Schlüssel-Recovery-Datei (XML) wird für die Durchführung von Recovery-Vorgängen bei durch SafeGuard Enterprise geschützten Computern benötigt. Sie wird auf allen durch SafeGuard Enterprise geschützten Computern erzeugt. Hinweis: Stellen Sie sicher, dass diese Schlüssel-Recovery-Datei an einem Speicherort abgelegt wird, auf den die Mitarbeiter des Helpdesk Zugriff haben. Die Dateien können dem Helpdesk auch auf anderem Wege zugänglich gemacht werden. Die Datei ist mit dem Unternehmenszertifikat verschlüsselt. Sie kann also auch auf externen Medien oder auf dem Netzwerk gespeichert werden, um sie dem Helpdesk für Recovery-Vorgänge zur Verfügung zu stellen. Sie kann auch per E-Mail verschickt werden. 7. Unter POA Gruppe können Sie eine POA-Gruppe auswählen, die dem Endpoint zugeordnet wird. POA-Benutzer können für administrative Aufgaben auf den Endpoint zugreifen, nachdem die Power-on Authentication aktiviert wurde. Um POA-Benutzer zuzuweisen, müssen Sie die POA-Gruppe zunächst im Bereich Benutzer & Computer des SafeGuard Management Center anlegen. 8. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an. 9. Klicken Sie auf Konfigurationspaket erstellen. Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Sie müssen das Paket auf den Endpoints verteilen und installieren. 2.9.3 Erstellen von Service Account-Listen Hinweis: Dieser Abschnitt ist nur für Endpoints mit Power-on Authentication relevant. Wenn Sie SafeGuard Enterprise über einen zentralen Rollout-Vorgang installieren möchten, empfehlen wir die Konfiguration einer Service Account-Liste. Ein IT-Administrator, der zu einer Service Account-Liste hinzugefügt wurde, kann sich nach der Installation von SafeGuard Enterprise an Endpoints anmelden, ohne die Power-on Authentication zu aktivieren. Ein 55 SafeGuard Enterprise solches Vorgehen ist empfehlenswert, da normalerweise der erste Benutzer, der sich nach der Installation an einem Endpoint anmeldet, als primäres Benutzerkonto zur POA hinzugefügt wird. Benutzer auf einer Service Account-Liste werden als SafeGuard Enterprise Gastbenutzer behandelt. Mit Service Accounts ergibt sich folgender Workflow: ■ SafeGuard Enterprise wird auf einem Endpoint installiert. ■ Der Endpoint wird neu gestartet und ein Rollout-Beauftragter, der in einer Service Account Liste aufgeführt ist, meldet sich über die Windows-Eingabe-Aufforderung an. ■ Gemäß der auf den Endpoint angewendeten Service Account-Liste wird der Benutzer als Service Account erkannt und als Gastbenutzer behandelt. ■ Der Rollout-Beauftragte wird nicht zur POA hinzugefügt und die POA wird nicht aktiviert. Der Endbenutzer kann sich anmelden und die POA aktivieren. Hinweis: Service Account-Listen müssen Sie in einer Richtlinie anlegen und diese der ersten Richtliniengruppe des ersten Konfigurationspakets zuweisen, das Sie nach der Installation der Verschlüsselungssoftware auf dem Endpoint installieren. Weitere Informationen finden Sie unter Service Account-Listen für die Windows-Anmeldung (Seite 191). 2.10 Einrichten von SafeGuard Enterprise auf Endpoints Sobald das Backend funktioniert kann die Installation der SafeGuard Enterprise Clients beginnen. Für eine reibungslose Implementierung empfehlen wir, die in diesem Abschnitt beschriebenen vorbereitenden Schritte zu befolgen. Der SafeGuard Enterprise Client kann auf unterschiedlicher Hardware und auf unterschiedlichen Betriebssystemen installiert werden. Sie finden eine Liste mit allen unterstützten Betriebssystemen sowie die Systemvoraussetzungen in den Versionsinfos im Sophos Knowledgebase-Artikel 112776. Allgemeine Empfehlungen für die Vorbereitung Ihres Systems für die Installation von SafeGuard Enterprise finden Sie im Sophos Knowledgebase-Artikel 108088. 2.10.1 Zentral verwaltete Endpoints und Standalone-Endpoints Endpoints mit SafeGuard Enterprise können folgendermaßen konfiguriert werden: ■ Verwaltet Zentrale serverbasierte Verwaltung im SafeGuard Management Center Bei zentral verwalteten Endpoints besteht generell eine Verbindung zum SafeGuard Enterprise Server. Sie erhalten ihre Richtlinien über den SafeGuard Enterprise Server. ■ Nicht verwaltet (standalone) Lokale Verwaltung durch im SafeGuard Management Center erstellte Konfigurationspakete. Hinweis: Lokale Verwaltung wird nicht auf Mac OS X unterstützt. Hinweis: Synchronized Encryption wird auf Standalone-Endpoints nicht unterstützt. Nicht-verwaltete Endpoints sind nicht mit dem SafeGuard Enterprise Server verbunden und laufen daher im Standalone-Modus. Sie erhalten SafeGuard Enterprise Richtlinien über Konfigurationspakete. 56 Administratorhilfe SafeGuard Enterprise Richtlinien werden im SafeGuard Management Center erstellt und in Konfigurationspakete exportiert. Die Verteilung der Konfigurationspakete kann über firmeneigene Software-Verteilungsmechanismen erfolgen, oder das Konfigurationspaket wird manuell auf den Endpoints installiert. Für die verschiedenen Endpoint-Typen stehen unterschiedliche Pakete und Module zur Verfügung. 2.10.2 Einschränkungen Beachten Sie folgende Einschränkungen für zentral verwaltete Endpoints: ■ Einschränkungen für die Initialverschlüsselung Im Rahmen der initialen Konfiguration von zentral verwalteten Endpoints können Verschlüsselungsrichtlinien erstellt werden, die in einem Konfigurationspaket an die durch SafeGuard Enterprise geschützten Endpoints verteilt werden können. Wenn der Endpoint jedoch nicht direkt nach der Installation des Konfigurationspakets eine Verbindung mit dem SafeGuard Enterprise Server herstellt, sondern vorübergehend offline ist, werden nur Verschlüsselungsrichtlinien mit den folgenden spezifischen Einstellungen sofort wirksam: Volume-basierte Device Encryption, die den Definierten Computerschlüssel zur Verschlüsselung verwendet. Damit alle anderen Richtlinien, die Verschlüsselung mit benutzerdefinierten Schlüsseln umfassen, auf dem durch SafeGuard Enterprise geschützten Endpoint wirksam werden, muss das entsprechende Konfigurationspaket auch noch einmal der Organizational Unit des Endpoint zugewiesen werden. Die benutzerdefinierten Schlüssel werden dann erst erstellt, wenn der Endpoint wieder eine Verbindung zum SafeGuard Enterprise Server hergestellt hat. Ursache hierfür ist, dass der Definierte Computerschlüssel direkt auf dem durch SafeGuard Enterprise geschützten Endpoint beim ersten Neustart nach der Installation erstellt wird. Benutzerdefinierte Schlüssel hingegen können nur auf dem Endpoint erstellt werden, wenn er beim SafeGuard Enterprise Server registriert wurde. ■ Einschränkungen für die Unterstützung von BitLocker Drive Encryption Es kann entweder die SafeGuard Enterprise volume-basierende Verschlüsselung oder die BitLocker-Laufwerkverschlüsselung verwendet werden. Die gleichzeitige Verwendung beider Verschlüsselungstypen ist nicht möglich. Wenn Sie den Verschlüsselungstyp ändern möchten, müssen Sie zuerst alle verschlüsselten Laufwerke entschlüsseln, die SafeGuard Enterprise Verschlüsselungssoftware deinstallieren und dann mit den gewünschten Features neu installieren. Der Installer verhindert die gleichzeitige Installation beider Features. Die Deinstallation und Neuinstallation ist auch dann erforderlich, wenn kein Konfigurationspaket, das eine Verschlüsselung auslösen soll, installiert wurde. 2.10.3 Verfügbarkeit des SSL-Zertifikats auf dem Client prüfen Das Zertifikat muss dem Computer zugewiesen sein, nicht dem Benutzer. Die Zertifikatsdatei muss im Microsoft Zertifikatspeicher unter Vertrauenswürdige Stammzertifizierungsstellen verfügbar sein. 1. Melden Sie sich an dem Endpoint als Administrator an. 2. Klicken Sie auf Ausführen > mmc. 3. Klicken Sie im Fenster Konsole1 auf Datei und wählen Sie Snap-In hinzufügen/entfernen. 57 SafeGuard Enterprise 4. Wählen Sie im Fenster Snap-In hinzufügen/entfernen auf der linken Seite Zertifikate und klicken Sie Hinzufügen. 5. Wählen Sie auf der Seite Zertifikat-Snap-In die Option Computerkonto. 6. Wählen Sie auf der Seite Computer auswählen Lokaler Computer: (Computer, auf dem diese Konsole ausgeführt wird) und klicken Sie auf Fertig stellen. 7. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK. 8. Klicken Sie links auf Konsolenstamm > Zertifikate - Lokaler Computer > Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate. 9. Prüfen Sie im rechten Fensterbereich, ob das zuvor erzeugte Zertifikat im Speicher verfügbar ist. Wenn das Zertifikat in der Liste erscheint, ist dieser Schritt abgeschlossen. Wenn nicht, gehen Sie wie folgt vor: 10. Klicken Sie auf Ausführen > gpupdate /force. Ein Windows Befehlsfenster wird angezeigt. 11. Warten Sie bis das Fenster geschlossen ist und beginnen Sie erneut mit Schritt 1. 2.10.4 Vorbereitung für die Unterstützung von BitLocker Drive Encryption Hinweis: Bevor Sie mit der Installation beginnen, entscheiden Sie, ob Sie SafeGuard Enterprise in Verbindung mit der BitLocker Drive Encryption oder die native SafeGuard Enterprise Festplattenverschlüsselung anwenden möchten. Wenn Sie versuchen, beides gleichzeitig zu installieren, wird die Installation abgebrochen. Wenn Sie mit SafeGuard Enterprise BitLocker Endpoints verwalten möchten, treffen Sie folgende spezifische vorbereitende Maßnahmen auf dem Endpoint: ■ Auf dem Endpoint muss Windows 7 oder höher installiert sein. ■ BitLocker Drive Encryption muss installiert und aktiviert sein. ■ Wenn TPM für die Authentisierung verwendet werden soll, muss TPM initialisiert, im Besitz und aktiviert sein. 2.10.5 Vorbereitung für Cloud Storage Das SafeGuard Enterprise Modul Cloud Storage bietet dateibasierte Verschlüsselung von in der Cloud gespeicherten Daten. Cloud Storage stellt sicher, dass die lokalen Kopien von Cloud-Daten transparent verschlüsselt werden und auch verschlüsselt bleiben, wenn sie in der Cloud gespeichert werden. Die Art und Weise, wie Benutzer mit in der Cloud gespeicherten Daten arbeiten, wird dadurch nicht beeinflusst. Auf die anbieterspezifische Cloud-Software hat die Anwendung des Moduls keine Auswirkungen. Sie kann wie zuvor zum Übertragen von Daten an die Cloud oder zum Empfangen von Daten aus der Cloud benutzt werden. So bereiten Sie Ihre Endpoints für Cloud Storage vor: 58 ■ Die anbieterspezifische Cloud Storage Software muss auf den Endpoint-Computern, auf denen Sie das Modul Cloud Storage installieren möchten, installiert sein. ■ Die anbieterspezifische Cloud Storage Software muss eine Anwendung oder einen Systemdienst im lokalen Dateisystem für die Synchronisierung zwischen der Cloud und dem lokalen System enthalten. Administratorhilfe ■ Die anbieterspezifische Cloud Storage Software muss die synchronisierten Daten im lokalen Dateisystem speichern. Hinweis: Cloud Storage verschlüsselt nur neue in der Cloud gespeicherte Daten. Wurden Daten bereits vor der Installation von Cloud Storage in der Cloud gespeichert, so werden diese Daten nicht automatisch verschlüsselt. Um diese Daten zu verschlüsseln, müssen die Benutzer sie zunächst aus der Cloud entfernen und sie nach der Installation von Cloud Storage wieder an die Cloud übergeben. 2.10.6 Vorbereitung für Device Encryption mit POA Vor der Installation von SafeGuard Enterprise empfehlen wir folgende vorbereitende Maßnahmen. ■ Auf dem Endpoint muss ein Benutzerkonto eingerichtet und aktiv sein. ■ Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen. ■ Erstellen Sie einen kompletten Backup Ihrer Daten auf dem Endpoint. ■ Laufwerke, die verschlüsselt werden sollen, müssen komplett formatiert sein und einen Laufwerksbuchstaben zugewiesen haben. ■ Sophos stellt eine Datei für die Hardware-Konfiguration zur Verfügung, um Konflikte zwischen der POA und Ihrer Endpoint-Hardware zu vermeiden. Die Datei ist im Installationspaket der Verschlüsselungssoftware enthalten. Wir empfehlen, vor jeder größer angelegten SafeGuard Enterprise Installation die aktuelle Version dieser Datei zu installieren. Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 65700. Sie können uns bei der Optimierung der Hardware-Kompatibilität unterstützen, indem Sie ein von uns zur Verfügung gestelltes Tool ausführen. Dieses Tool liefert ausschließlich Hardware-relevante Informationen. Das Tool ist einfach zu bedienen. Die gesammelten Informationen werden zur Hardware-Konfigurationsdatei hinzugefügt.Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 110285. ■ Untersuchen Sie die Festplatte(n) mit folgendem Kommando auf Fehler: chkdsk %drive% /F /V /X Danach müssen Sie Ihr System neu starten. Wichtig: Starten Sie die SafeGuard Enterprise Installation nicht vor diesem Neustart! Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 107799. ■ Benutzen Sie das Windows-Tool "defrag", um fragmentierte Boot-Dateien, Datendateien und Ordner auf lokalen Volumes aufzufinden und zu konsolidieren. Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 109226. ■ Deinstallieren Sie Third-Party Boot-Manager, z. B. PROnetworks Boot Pro und Boot-US. ■ Wenn Sie für die Installation des Betriebssystems ein Image-Programm verwendet haben, empfehlen wir, den Master Boot Record (MBR) neu zu schreiben. ■ Wenn die Bootpartition auf dem Endpoint von FAT nach NTFS konvertiert wurde, der Endpoint aber noch nicht neu gestartet wurde, sollten Sie den Endpoint einmal neu starten. Andernfalls kann die Installation unter Umständen nicht erfolgreich abgeschlossen werden. 59 SafeGuard Enterprise ■ Nur für SafeGuard Enterprise Clients (managed): Kontrollieren Sie, ob eine Verbindung zum SafeGuard Enterprise Server besteht. Rufen Sie auf den Endpoints im Internet Explorer folgende Web-Adresse auf: http://<ServerIPAddress>/sgnsrv. Wenn die Trans-Seite mit dem Eintrag Check Connection erscheint, ist die Verbindung zum SafeGuard Enterprise Server hergestellt. 2.11 Installieren der Verschlüsselungssoftware unter Windows Für das Einrichten der SafeGuard Enterprise Verschlüsselungssoftware auf Endpoints gibt es zwei Möglichkeiten: ■ Lokales Installieren der Verschlüsselungssoftware Dies ist zum Beispiel für eine Testinstallation empfehlenswert. ■ Zentrales Installieren der Verschlüsselungssoftware Dadurch wird eine standardisierte Installation auf mehreren Endpoints erreicht. Bevor Sie mit der Installation beginnen, prüfen Sie die verfügbaren Installationspakete und Features für zentral verwaltete Endpoints und Standalone-Endpoints. Die Installationsschritte für beide Varianten sind identisch, mit der Ausnahme, dass für jeden der beiden ein unterschiedliches Konfigurationspaket zugeordnet werden muss. Das Verhalten des Endpoint bei der ersten Anmeldung nach der Installation von SafeGuard Enterprise und der Aktivierung der Power-on Authentication ist in der SafeGuard Enterprise Benutzerhilfe beschrieben. 2.11.1 Installationspakete und Features Die folgende Tabelle zeigt die Installationspakete und Features der SafeGuard Enterprise Verschlüsselungssoftware auf Endpoints. Sie finden die Installationspakete im Installers Ordner Ihrer Produktlieferung. Es ist zwar möglich, bei einer Erstinstallation nicht alle Features zu installieren, wir empfehlen jedoch, das komplette SafeGuard Enterprise Paket von Beginn an zu installieren. Die standardmäßige Installation beinhaltet BitLocker und Synchronized Encryption. Beachten Sie, dass Sie nur entweder Synchronized Encryption oder Location-Based File Encryption (pfadbasierte Dateiverschlüsselung) installieren können, nicht beide. Hinweis: Wenn das Betriebssystem des Endpoint 64-Bit ist, installieren Sie die 64-Bit-Variante der Installationspakete (<Paketname>_x64.msi). Paket Inhalt Verfügbar für zentral verwaltete Endpoints Verfügbar für Standalone-Endpoints Obligatorisch Obligatorisch SGxClientPreinstall.msi Prä-Installations-Paket (nur Windows 7) 60 Dieses Paket muss vor der Installation eines Verschlüsselungsinstallationspakets installiert werden. Es stattet Endpoints mit notwendigen Voraussetzungen für Administratorhilfe Paket Inhalt Verfügbar für zentral verwaltete Endpoints Verfügbar für Standalone-Endpoints eine erfolgreiche Installation der aktuellen Verschlüsselungssoftware aus. SGNClient.msi SafeGuard Client-Installationspaket SGNClient_x64.msi Es stattet Endpoints mit notwendigen Voraussetzungen für eine erfolgreiche Installation der aktuellen Verschlüsselungssoftware aus. Für die Festplattenverschlüsselung von internen und externen Laufwerken bietet SafeGuard Enterprise die Alternativen SafeGuard Volume Based Encryption oder BitLocker. BitLocker oder BitLocker C/R SafeGuard Enterprise verwaltet das Microsoft BitLocker Verschlüsselungsmodul. Auf Systemen mit UEFI gibt es für die BitLocker Pre-Boot Authentication einen Challenge/Response Mechanismus, während auf Systemen mit BIOS der Recovery-Schlüssel vom SafeGuard Management Center abgerufen wird. Wählen Sie den Installationstyp Angepasst. SafeGuard Volume Based Encryption (nur Windows 7 BIOS) SafeGuard Festplattenverschlüsselung. Mit SafeGuard Power-on Authentication Wählen Sie den Installationstyp Vollständig, Typisch oder Angepasst. Synchronized Encryption Beinhaltet Funktionen für anwendungsbasierte Dateiverschlüsselung und selbst-verschlüsselnde HTML zum automatischen Verschlüsseln von Mailanhängen in Microsoft Outlook. Cloud Storage Dateibasierte Verschlüsselung für in der Cloud gespeicherte Daten Lokale Kopien von in der Cloud gespeicherten Daten werden stets transparent 61 SafeGuard Enterprise Paket Inhalt Verfügbar für zentral verwaltete Endpoints Verfügbar für Standalone-Endpoints verschlüsselt. Für das Übertragen von Daten an die Cloud oder den Empfang von Daten aus der Cloud muss anbieterspezifische Software benutzt werden. Wählen Sie den Installationstyp Vollständig oder Angepasst. Dateiverschlüsselung Dateibasierte Verschlüsselung von Daten auf lokalen Festplatten und Netzwerkfreigaben, speziell für Arbeitsgruppen Wählen Sie den Installationstyp Vollständig oder Angepasst. Data Exchange SafeGuard Data Exchange: Dateibasierte Verschlüsselung von Daten auf Wechselmedien auf allen Plattformen ohne Neuverschlüsselung. Wählen Sie den Installationstyp Vollständig oder Angepasst. 2.11.2 Lokales Installieren der Verschlüsselungssoftware Voraussetzungen: Die Endpoints müssen für die Verschlüsselung vorbereitet sein, siehe Einrichten von SafeGuard Enterprise auf Endpoints (Seite 56). Entscheiden Sie, welches Verschlüsselungspaket und welche Features installiert werden sollen. So wird beispielsweise das Paket SGxClientPreinstall.msi ab Windows 8 nicht mehr benötigt. Die Anleitung bezüglich POACFG-Datei sind nur relevant für Device Encryption mit POA und BitLocker mit Challenge/Response. So führen Sie eine lokale Installation der Verschlüsselungssoftware durch: 1. Melden Sie sich an dem Endpoint als Administrator an. 2. Kopieren Sie die Pakete SGNClient_x64.msi und SGxClientPreinstall.msi auf den Client. 3. Installieren Sie das Paket SGxClientPreinstall.msi um den Endpoint mit den notwendigen Voraussetzungen für eine erfolgreiche Installation der aktuellen Verschlüsselungssoftware auszustatten. Alternativ zu SGxClientPreinstall.msi können Sie auch das Windows-Paket vcredist_x86.exe, das in der Produktlieferung enthalten ist, installieren. 62 Administratorhilfe 4. Laden Sie die aktuelle POACFG-Datei herunter wie im Sophos Knowledgebase-Artikel 65700 beschrieben. 5. Speichern Sie die aktuellste Version der POACFG-Datei zentral, so dass sie von jedem Endpoint aus erreichbar ist. 6. Öffnen Sie am Client ein Eingabeaufforderungsfenster mit Administratorrechten. 7. Wechseln Sie zum Ordner, der die SafeGuard Installationsdateien enthält. 8. Starten Sie die Installation mit folgendem Befehl: MSIEXEC /i <Client.msi> POACFG=<Pfad der POA-Konfigurationsdatei> Der SafeGuard Enterprise Client Installationsassistent startet. 9. Übernehmen Sie im Assistenten in allen folgenden Dialogen die Standardeinstellungen. Bei einer Erstinstallation empfehlen wir, von Beginn an eine Vollständige Installation auszuwählen. Um nur einen Teil der Features zu installieren, wählen Sie eine Angepasste Installation. 10. Wechseln Sie zum Speicherort des relevanten Konfigurationspakets (MSI), das Sie zuvor im SafeGuard Management Center erzeugt haben. Für zentral verwaltete Endpoints und Standalone-Endpoints müssen spezifische Konfigurationspakete installiert werden (siehe Erzeugen von Konfigurationspaketen (Seite 54)). 11. Installieren Sie das relevante Konfigurationspaket (MSI) auf dem Computer. 12. Starten Sie die Endpoints zweimal neu um die Power-on Authentication zu aktivieren. 13. Die Computer müssen ein drittes Mal neu gestartet werden, um eine Sicherung der Kerneldaten bei jedem Windows-Start durchzuführen. Stellen Sie sicher, dass die Computer vor dem dritten Neustart nicht in den Ruhezustand versetzt werden, damit die Sicherung der Kerneldaten erfolgreich abgeschlossen werden kann. SafeGuard Enterprise wird auf dem Endpoint eingerichtet. Informationen zum Anmeldeverhalten des Computers nach der Installation von SafeGuard Enterprise finden Sie in der SafeGuard Enterprise Benutzerhilfe. 2.11.3 Zentrale Installation der Verschlüsselungssoftware Durch die zentrale Installation der Verschlüsselungssoftware wird eine standardisierte Installation auf mehreren Endpoints erreicht. Hinweis: Die Installations- und Konfigurationspakete können im Rahmen einer zentralen Softwareverteilung nur einem Endpoint zugewiesen werden, nicht aber einem Benutzer. So führen Sie eine zentrale Installation durch: ■ Prüfen Sie die verfügbaren Installationspakete und Features für zentral verwaltete Endpoints und Standalone-Endpoints, siehe Installationspakete und Features (Seite 60). ■ Prüfen Sie die Kommandozeilenoptionen. ■ Prüfen Sie die Liste mit Feature-Parametern für die ADDLOCAL Befehlszeilenoption. ■ Prüfen Sie die Beispielbefehle. ■ Bereiten Sie das Installationsskript vor. 2.11.3.1 Zentrale Installation der Verschlüsselungssoftware über Active Directory Stellen Sie sicher, dass Sie die folgenden Schritte bei der zentralen Installation der Verschlüsselungssoftware über Gruppenrichtlinienobjekte (GPO) in einem Active Directory durchführen: 63 SafeGuard Enterprise Hinweis: Die Installations- und Konfigurationspakete können im Rahmen einer zentralen Softwareverteilung nur einem Endpoint zugewiesen werden, nicht aber einem Benutzer. ■ Verwenden Sie ein gesondertes Gruppenrichtlinienobjekt (GPO) für jedes Installationspaket und sortieren Sie sie in der folgenden Reihenfolge: 1. Prä-Installations-Paket 2. Verschlüsselungssoftware-Paket 3. Endpoint-Konfigurationspaket Weitere Informationen finden Sie unter Vorbereiten des Installationsskripts (Seite 64). ■ Wenn die Sprache des Endpoints nicht auf Deutsch gestellt ist, führen Sie zusätzlich folgendes aus: Wählen Sie im Gruppenrichtlinien-Editor das entsprechende Gruppenobjekt aus und wählen Sie dann Computerkonfiguration > Softwareeinstellungen > Erweitert. Wählen Sie im Dialog Erweiterte Bereitstellungsoptionen Sprache beim Bereitstellen dieses Pakets ignorieren und klicken Sie OK. 2.11.3.2 Vorbereiten des Installationsskripts Voraussetzungen: Die Endpoints müssen für die Verschlüsselung vorbereitet sein. Entscheiden Sie, welches Verschlüsselungspaket und welche Features installiert werden sollen. So führen Sie eine zentrale Installation der Verschlüsselungssoftware durch: 1. Erstellen Sie ein Verzeichnis mit der Bezeichnung Software als zentralen Speicherort für alle Anwendungen. 2. Verwenden Sie Ihre eigenen Tools, um das Installationspaket zu erstellen, das auf den Endpoints installiert werden soll. Das Paket muss Folgendes in der angegebenen Reihenfolge enthalten: Paket Prä-Installationspaket SGxClientPreinstall.msi (nur Windows 7) Beschreibung Das obligatorische Paket stattet die Endpoints mit den nötigen Voraussetzungen für eine erfolgreiche Installation der aktuellen Verschlüsselungssoftware aus, zum Beispiel mit der benötigten DLL MSVCR110.dll. Hinweis: Wenn dieses Paket nicht installiert ist, wird die Installation der Verschlüsselungssoftware abgebrochen. Verschlüsselungssoftware-Paket Für eine Liste der verfügbaren Pakete, siehe Installationspakete und Features (Seite 60). Konfigurationspaket für Endpoints Verwenden Sie die zuvor im SafeGuard Management Center erzeugten Konfigurationspakete. Für zentral verwaltete Endpoints und Standalone-Endpoints müssen unterschiedliche Konfigurationspakete installiert werden (siehe Erzeugen von Konfigurationspaketen (Seite 54)). Löschen Sie zunächst alle alten Konfigurationspakete. 64 Administratorhilfe 3. Erstellen Sie ein Skript mit den Kommandos für die vorkonfigurierte Installation. Im Skript müssen die Features der Verschlüsselungssoftware aufgelistet sein, die Sie installieren möchten, siehe Feature-Parameter für die ADDLOCAL Option (Seite 67). Öffnen Sie eine Eingabeaufforderung und geben Sie die Skript-Befehle ein. Für Informationen zur Kommandozeilen-Syntax, siehe Kommandozeilenoptionen für die zentrale Installation (Seite 65). 4. Verteilen Sie das Paket über unternehmensinterne Software-Verteilungsmechanismen an die Endpoints. Das Installation wird auf den Endpoints ausgeführt. Danach sind die Endpoints für den Einsatz von SafeGuard Enterprise bereit. 5. Starten Sie die Endpoints zweimal neu um die Power-on Authentication zu aktivieren. Die Computer müssen ein drittes Mal neu gestartet werden, um eine Sicherung der Kerneldaten bei jedem Windows-Start durchzuführen. Stellen Sie sicher, dass die Computer vor dem dritten Neustart nicht in den Ruhezustand versetzt werden, damit die Sicherung der Kerneldaten erfolgreich abgeschlossen werden kann. Zusätzliche Konfiguration kann erforderlich sein, damit sich die Power-on Authentication (POA) auf jeder Hardware-Plattform korrekt verhält. Die meisten Hardware-Konflikte lassen sich mit Hilfe von Hotkeys-Funktionalitäten beheben, die in die POA integriert sind. Hotkeys können nach der Installation konfiguriert werden, entweder in der POA selbst oder über eine zusätzliche Konfigurationseinstellung, die dem Windows Installer Befehl msiexec mitgegeben wird. Weitere Informationen finden Sie in den Sophos Knowledgebase-Artikeln 107781 und 107785. 2.11.3.3 Vorbereitung für Synchronized Encryption Für die ordnungsgemäße Funktion von Synchronized Encryption muss die Windows-Runtime vstor-redist.exe installiert sein. Die Datei installiert Microsoft Visual Studio 2010 Tools für Office-Laufzeit und ist im Installationspaket enthalten. Wir empfehlen, die Komponenten in folgender Reihenfolge zu installieren: 1. vstor-redist.exe 2. SGNClient.msi 3. Konfigurationspaket Hinweis: Sie können das Installationspaket nicht installieren bevor die Installation von vstor-redist.exe abgeschlossen ist. 2.11.3.4 Kommandozeilenoptionen für die zentrale Installation Wir empfehlen, für die zentrale Installation ein Skript mit der Windows Installer Komponente msiexec zu erstellen. Msiexec führt eine vorkonfigurierte SafeGuard Enterprise Installation automatisch aus. Msiexec ist in Windows enthalten. Weitere Informationen finden Sie unter: http://msdn.microsoft.com/en-us/library/aa367988(VS.85).aspx. Kommandozeilen-Syntax msiexec /i <path+msi package name> / <SGN Features> <SGN parameter> 65 SafeGuard Enterprise Die Kommandozeilensyntax setzt sich folgendermaßen zusammen: ■ ■ ■ Windows Installer Parameter, die z. B. Warnungen und Fehlermeldungen während der Installation in eine Datei protokollieren. SafeGuard Enterprise-Funktionen, die installiert werden sollen, z. B. Festplattenvollverschlüsselung. SafeGuard Enterprise Parameter, die z. B. das Installationsverzeichnis angeben. Kommandozeilen-Optionen Alle verfügbaren Optionen können Sie über msiexec.exe in der Eingabeaufforderung abrufen. Im Folgenden sind wichtige Optionen beschrieben. Option Beschreibung /i Gibt an, dass es sich um eine Installation handelt. /qn Installiert ohne Benutzerinteraktion und zeigt keine Benutzeroberfläche an. ADDLOCAL= Listet die SafeGuard Enterprise Features auf, die installiert werden. Wird die Option nicht angegeben, werden alle Features installiert, die für eine Standardinstallation vorgesehen sind. Eine Liste der SafeGuard Enterprise Features in den einzelnen Installationspaketen und Informationen zu deren Verfügbarkeit je nach Endpoint-Konfiguration finden Sie unter Installationspakete und Features (Seite 60). Für eine Liste der Feature-Parameter für die ADDLOCAL Option, siehe Feature-Parameter für die ADDLOCAL Option (Seite 67). 66 ADDLOCAL=ALL Unter Windows 7 (BIOS) installiert ADDLOCAL=ALL die SafeGuard volume-basierende Verschlüsselung und alle anderen verfügbaren Module. Unter Windows 8 oder höher installiert ADDLOCAL=ALL BitLocker Unterstützung und Synchronized Encryption. REBOOT=Force | NoRestart Erzwingt oder unterdrückt einen Neustart nach der Installation. Ohne Angabe wird der Neustart erzwungen (Force). /L* <path + filename> Protokolliert alle Warnungen und Fehlermeldungen in die angegebene Protokolldatei. Der Parameter /Le <Pfad + Dateiname> protokolliert ausschließlich Fehlermeldungen. Installdir= <Verzeichnis> Gibt das Verzeichnis an, in das die SafeGuard Enterprise Verschlüsselungssoftware installiert werden soll. Ohne Angabe wird als Standardinstallationsverzeichnis <SYSTEM>:\PROGRAMME\SOPHOS verwendet. Administratorhilfe 2.11.3.5 Feature-Parameter für die ADDLOCAL Option Sie müssen Sie bereits im Vorfeld definieren, welche Features auf den Endpoints installiert werden sollen. Die Feature-Namen werden als Parameter zur Kommandozeilenoption ADDLOCAL hinzugefügt. Listen Sie die Features nach der Eingabe der Option ADDLOCAL in der Kommandozeile auf: ■ Verwenden Sie Kommas als Trennzeichen zwischen den Features. ■ Beachten Sie Groß- und Kleinschreibung. ■ Wenn Sie ein Feature auswählen, müssen Sie auch alle übergeordneten Features (Feature Parents) zur Kommandozeile hinzufügen. ■ Bitte beachten Sie, dass die Feature-Namen von den zugehörigen Modulnamen abweichen können. Sie finden sie in unten stehender Tabelle in Klammern. ■ Die Features Client und CredentialProvider müssen Sie immer auflisten. In den folgenden Tabellen sind alle Features aufgelistet, die auf den Endpoints installiert werden können. Weitere Informationen finden Sie unter: Installationspakete und Features (Seite 60). Feature Parents Client Feature CredentialProvider Obligatorisch Das Feature dient zur Anmeldung über den Credential Provider. Client, BaseEncryption SectorBasedEncryption (SafeGuard Volume Based Encryption) BitLockerSupport Nur Win 7: SectorBasedEncryption Client,BaseEncryption BitLockerSupport (BitLocker) Client,BaseEncryption,BitLockerSupport BitLockerSupportCR (BitLocker C/R) Client, NextGenDataProtection Client, LocationBasedEncryption NextGenDataProtection (Synchronized Encryption) SecureDataExchange (Data Exchange) Client, LocationBasedEncryption FileShare (File Encryption) Client, LocationBasedEncryption CloudStorage (Cloud Storage) 67 SafeGuard Enterprise 2.11.3.6 Beispielbefehl: SafeGuard volume-basierende Verschlüsselung mit File Encryption Die Kommandozeile hat folgende Funktion: ■ Die Endpoints werden mit den notwendigen Voraussetzungen für eine erfolgreiche Installation der aktuellen Verschlüsselungssoftware ausgestattet. ■ Anmeldung an die Endpoints mit dem Windows 7 Credential Provider. ■ SafeGuard Enterprise Power-on Authentication (POA) ■ SafeGuard Enterprise volume-basierende Verschlüsselung. ■ SafeGuard File Encryption mit dateibasierender Verschlüsselung von Daten auf der lokalen Festplatte und auf Netzwerkfreigaben ■ Das Konfigurationspaket, das den Endpoint als zentral verwalteten Endpoint konfiguriert und eine Verbindung zum SafeGuard Enterprise Server ermöglicht. ■ Log-Dateien werden erzeugt. Beispielbefehl: msiexec /i F:\Software\SGxClientPreinstall.msi /qn /log I:\Temp\SGxClientPreinstall.log msiexec /i F:\Software\SGNClient.msi /qn /log I:\Temp\SGNClient.log ADDLOCAL=Client,CredentialProvider,LocationBasedEncryption,FileShare Installdir=C:\Program Files\Sophos\SafeGuard Enterprise msiexec /i F:\Software\SGNConfig_managed.msi /qn /log I:\Temp\SGNConfig_managed.log 2.11.3.7 Beispielbefehl: SafeGuard BitLocker-Unterstützung mit Challenge/Response Die Kommandozeile hat folgende Funktion: 68 ■ Die Endpoints werden mit den notwendigen Voraussetzungen für eine erfolgreiche Installation der aktuellen Verschlüsselungssoftware ausgestattet. ■ Anmeldung an die Endpoints mit dem Windows 7 Credential Provider. ■ SafeGuard BitLocker Unterstützung. ■ SafeGuard Challenge/Response für BitLocker Recovery. ■ Das Konfigurationspaket, das den Endpoint als zentral verwalteten Endpoint konfiguriert und eine Verbindung zum SafeGuard Enterprise Server ermöglicht. ■ Log-Dateien werden erzeugt. Administratorhilfe Beispielbefehl: msiexec /i F:\Software\SGxClientPreinstall.msi /qn /log I:\Temp\SGxClientPreinstall.log msiexec /i F:\Software\SGNClient.msi /qn /log I:\Temp\SGNClient.log ADDLOCAL=Client,CredentialProvider,BitLockerSupport,BitLockerSupportCR Installdir=C:\Program Files\Sophos\SafeGuard Enterprise msiexec /i F:\Software\SGNConfig_managed.msi /qn /log I:\Temp\SGNConfig_managed.log 2.11.3.8 Beispielbefehl: SafeGuard BitLocker-Unterstützung mit Challenge/Response und File Encryption Die Kommandozeile hat folgende Funktion: ■ Die Endpoints werden mit den notwendigen Voraussetzungen für eine erfolgreiche Installation der aktuellen Verschlüsselungssoftware ausgestattet. ■ Anmeldung an die Endpoints mit dem Windows 7 Credential Provider. ■ SafeGuard BitLocker Unterstützung. ■ SafeGuard Challenge/Response für BitLocker Recovery. ■ SafeGuard File Encryption mit dateibasierender Verschlüsselung von Daten auf der lokalen Festplatte und auf Netzwerkfreigaben ■ Das Konfigurationspaket, das den Endpoint als zentral verwalteten Endpoint konfiguriert und eine Verbindung zum SafeGuard Enterprise Server ermöglicht. ■ Log-Dateien werden erzeugt. Beispielbefehl: msiexec /i F:\Software\SGxClientPreinstall.msi /qn /log I:\Temp\SGxClientPreinstall.log msiexec /i F:\Software\SGNClient.msi /qn /log I:\Temp\SGNClient.log ADDLOCAL=Client,CredentialProvider,BitLockerSupport,BitLockerSupportCR,FileShare Installdir=C:\Program Files\Sophos\SafeGuard Enterprise msiexec /i F:\Software\SGNConfig_managed.msi /qn /log I:\Temp\SGNConfig_managed.log 69 SafeGuard Enterprise 2.11.3.9 Beispielbefehl: Kernel-Lader umschalten Der POA-Kernel, der für Neuinstallationen verwendet wird, ist für die Verwendung mit NVMe-Laufwerken optimiert. Wenn Sie einen neu eingerichteten POA-Endpoint starten, wird neben der Versionsnummer "RM" angezeigt; das bedeutet, dass Sie den aktuellen RM-Kernel verwenden. Sie können jedoch auf den alten "v86"-Kernel wechseln indem Sie folgenden Befehl verwenden: Beispielbefehl: msiexec.exe /i SGNClient.msi KERNELLOADER=v86 Um zum "RM"-Kernel zurückzukehren brauchen Sie folgenden Befehl: Beispielbefehl: msiexec.exe /i SGNClient.msi KERNELLOADER=RM 2.11.4 Installation gemäß FIPS Die FIPS-Zertifizierung beschreibt Sicherheitsanforderungen für Verschlüsselungsmodule. So stellen z. B. Behörden in den USA und in Kanada an Software für besonders sicherheitskritische Informationen die Anforderung der FIPS 140-2 Zertifizierung. SafeGuard Enterprise verwendet FIPS-zertifizierte AES-Algorithmen, aber standardmäßig wird eine neue, schnellere Implementierung der AES-Algorithmen installiert, die noch nicht FIPS-zertifiziert ist. Um die FIPS-zertifizierte Variante des AES-Algorithmus zu nutzen, setzen Sie beim Installieren der SafeGuard Enterprise Verschlüsselungssoftware die Eigenschaft FIPS_AES auf 1 (eins). Das machen Sie, indem Sie die Eigenschaft zum Kommandozeilen-Skript hinzufügen: msiexec /i F:\Software\SGNClient.msi FIPS=1 Hinweis: Dies betrifft nur SafeGuard Enterprise Device Encryption und Windows 7. Hinweis: Wenn Sie eine FIPS-konforme Installation aktualisieren, beachten Sie bitte, dass die neuen Versionen ebenfalls gemäß FIPS installiert werden, unabhängig davon, welche Einstellung Sie wählen. 2.11.5 Installation auf selbst-verschlüsselnden Opal-Festplatten SafeGuard Enterprise unterstützt den anbieter-unabhängigen Opal-Standard für selbst-verschlüsselnde Festplatten und bietet die Verwaltung von Endpoints mit dieser Art von Festplatten. Um sicherzustellen, dass die Unterstützung von selbst-verschlüsselnden Opal-Festplatten diesem Standard möglichst genau entspricht, werden bei der Installation von SafeGuard Enterprise auf dem Endpoint zwei Arten von Prüfungen durchgeführt: ■ 70 Funktionale Prüfungen Administratorhilfe Hier wird u. a. geprüft, ob sich die Festplatte als "OPAL"-Festplatte identifiziert, ob Kommunikationseinstellungen korrekt sind und ob alle für SafeGuard Enterprise erforderlichen Opal Features von der Festplatte unterstützt werden. ■ Sicherheitsprüfungen Mit Sicherheitsprüfungen wird sichergestellt, dass nur SafeGuard Enterprise Benutzer auf der Festplatte registriert sind und dass nur SafeGuard Enterprise Benutzer die Schlüssel für die software-basierende Verschlüsselung von nicht selbst-verschlüsselnden Laufwerken haben. Wird bei der Installation festgestellt, dass andere Benutzer registriert sind, versucht SafeGuard Enterprise automatisch, diese zu deaktivieren. Diese Funktionalität wird durch den Opal-Standard gefordert. Ausgenommen sind hier einige wenige Standard "Authorities", die für den Betrieb eines Opal-Systems erforderlich sind. Hinweis: Diese Sicherheitsprüfungen werden wiederholt, wenn nach einer erfolgreichen Installation im Opal-Modus eine Verschlüsselungsrichtlinie für die Festplatte angewendet wird. Schlagen diese fehl, so haben seit der ersten Prüfung bei der Installation außerhalb von SafeGuard Enterprise Eingriffe in die Laufwerksverwaltung stattgefunden. In diesem Fall sperrt SafeGuard Enterprise nicht die Opal-Festplatte. Es wird eine entsprechende Meldung angezeigt. Sollten einige dieser Prüfungen ohne Recovery-Möglichkeit fehlschlagen, so wird für die Installation nicht die software-basierende Verschlüsselung angewendet. Stattdessen bleiben alle Volumes auf der Opal-Festplatte unverschlüsselt. Ab SafeGuard Enterprise Version 7 werden standardmäßig keine Opal-Prüfungen durchgeführt. Das bedeutet: Auch wenn ein Opal-Laufwerk vorhanden ist, verschlüsselt SafeGuard Enterprise Volumes auf diesem Laufwerk mit softwarebasierter Verschlüsselung. Wenn Sie erzwingen möchten, dass Opal-Prüfungen durchgeführt werden, verwenden Sie folgende Kommandozeilensyntax: MSIEXEC /i <name_of_selected_client_msi>.msi OPALMODE=0 Hinweis: Mit einem Upgrade von SafeGuard Enterprise 6.x auf SafeGuard Enterprise 7.0 auf einem System mit einer Opal HDD, die im Opal HW-Verschlüsselungsmodus betrieben wird, bleibt dieser Verschlüsselungsmodus erhalten. Bei einigen Opal-Festplatten bestehen u. U. Sicherheitsprobleme. Es besteht keine Möglichkeit, automatisch festzustellen, welche Privilegien unbekannten Benutzern/Authorities zugeordnet sind, die bereits zum Zeitpunkt der SafeGuard Enterprise Installation/Verschlüsselung registriert waren. Wenn die Festplatte den Befehl, diese Benutzer zu deaktivieren, nicht ausführt, wendet SafeGuard Enterprise die software-basierende Verschlüsselung an, um die größtmögliche Sicherheit für den SafeGuard Enterprise Benutzer zu gewährleisten. Da wir für die Festplatten selbst keine Sicherheitsgarantien geben können, haben wir einen speziellen Installationsschalter implementiert. Diesen Schalter können Sie verwenden, um Festplatten mit potentiellen Sicherheitsrisiken auf eigene Verantwortung zu benutzen. Eine Liste der Festplatten, für die dieser Schalter erforderlich ist, sowie weitere Informationen zu unterstützten Festplatten finden Sie in der SafeGuard Enterprise Versionsinfo. Um den Installationsschalter anzuwenden, benutzen Sie folgende Kommandozeilensyntax: MSIEXEC /i <name_of_selected_client_msi>.msi IGNORE_OPAL_AUTHORITYCHECK_RESULTS=1 Wenn Sie die Installation mit einem Transform durchführen möchten: Die interne Eigenschaft der .msi-Datei hat denselben Namen. 71 SafeGuard Enterprise 2.12 Installieren der Verschlüsselungssoftware auf Mac OS X Das folgende Kapitel beschreibt die Installation der Sophos Verschlüsselungs-Software auf Mac OS X Client-Rechnern. Folgende Produkte stehen zur Verfügung: Sophos SafeGuard Native Device Encryption Sophos SafeGuard File Encryption Für beide Produkte sind zwei Installationstypen möglich: ■ automatisierte (unbeaufsichtigte) Installation ■ manuelle (beaufsichtigte) Installation Wenn Sie SafeGuard File Encryption und SafeGuard Native Device Encryption verwenden möchten, muss es sich in beiden Fällen um Version 8 handeln. 2.12.1 Installationsvoraussetzungen Stellen Sie vor dem Beginn der Installation sicher, dass das SafeGuard Enterprise-SSL-Serverzertifikat in den System-Schlüsselbund importiert wurde und für SSL auf Immer vertrauen gesetzt ist. 1. Bitten Sie Ihren SafeGuard Server-Administrator, Ihnen das SafeGuard Enterprise-Serverzertifikat (Datei <Zertifikatname>.cer).zur Verfügung zu stellen. 2. Importieren Sie die Datei <Zertifikatname>.cer) in Ihren Schlüsselbund. Wählen Sie dazu Programme - Dienstprogramme und doppelklicken Sie Schlüsselbundverwaltung.app. 3. Wählen Sie im linken Fensterbereich System. 4. Öffnen Sie ein Finder-Fenster und wählen Sie die Datei <Zertifikatname>.cer von oben. 5. Ziehen Sie die Zertifikatsdatei in die Schlüsselbundverwaltung. 6. Geben Sie Ihr Mac OS X Kennwort ein, wenn Sie dazu aufgefordert werden. 7. Klicken Sie auf Schlüsselbund ändern, um den Vorgang zu bestätigen. 8. Doppelklicken Sie auf die Datei <Zertifikatname>.cer . 9. Klicken Sie auf den Pfeil neben Vertrauen, um die Vertrauenseinstellungen anzuzeigen. 10. Wählen Sie für Secure Sockets Layer (SSL) die Option Immer vertrauen. 11. Schließen Sie den Dialog. 12. Geben Sie Ihr Mac OS X Kennwort ein und klicken Sie zum Bestätigen auf Einstellungen aktualisieren. Ein blaues Plus-Zeichen in der unteren rechten Ecke des Zertifikats-Symbols zeigt Ihnen, dass dieses Zertifikat als vertrauenswürdig für alle Benutzer eingestuft ist. 13. Öffnen Sie einen Browser und geben Sie https://<Servername>/SGNSRV ein, um sicherzustellen, dass Ihr SafeGuard Enterprise Server verfügbar ist. Nun können Sie mit der Installation beginnen. Hinweis: Das Zertifikat kann auch importiert werden, indem der folgende Befehl ausgeführt wird: sudo /usr/bin/security add-trusted-cert -d -k /Library/Keychains/System.keychain -r trustAsRoot -p ssl 72 Administratorhilfe "/<Ordner>/<Zertifikatname>.cer". Dieser Befehl kann auch für eine automatisierte Installation mittels Skript verwendet werden. Ändern Sie die Namen des Ordners und des Zertifikats entsprechend Ihren Anforderungen. 2.12.2 Automatisierte Installation von SafeGuard Native Device Encryption Eine automatisierte (unbeaufsichtigte) Installation erfordert keinen Benutzereingriff während des Installationsprozesses. Der folgende Abschnitt beschreibt die grundsätzlichen Schritte einer automatisierten Installation von SafeGuard Native Device Encryption für Mac. Verwenden Sie die Managementsoftware, die auf Ihrem System installiert ist. Je nach Managementsoftware-Lösung, die Sie verwenden, können die tatsächlichen Schritte von der Beschreibung abweichen. Um SafeGuard Native Device Encryption für Mac auf Client-Rechnern zu installieren, gehen Sie wie folgt vor: 1. Laden Sie die Installationsdatei Sophos SafeGuard DE.dmg herunter. 2. Kopieren Sie die Datei auf die Zielrechner. 3. Installieren Sie die Datei auf den Zielrechnern. Wenn Sie Apple Remote Desktop verwenden, sind die Schritte 2 und 3 zu einem einzelnen Schritt zusammengefasst. 4. Wählen Sie die Konfigurations-Zip-Datei aus und kopieren Sie sie auf die Zielrechner (siehe Erzeugen von Konfigurationspaketen (Seite 54)). 5. Führen Sie auf den Zielrechnern das folgende Kommando aus: /usr/bin/sgdeadmin --import-config /Pfad/zur/Datei.zip 6. Passen Sie /Pfad/zur/Datei auf Ihre Einstellungen an. Dieses Kommando muss mit Administratorrechten ausgeführt werden. Wenn Sie Apple Remote Desktop verwenden, geben Sie root in das Feld Benutzername ein um festzulegen, welcher Benutzer das Kommando oben ausführt. Hinweis: Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 120507. 2.12.3 Manuelle Installation von SafeGuard Native Device Encryption Eine manuelle (oder beaufsichtigte) Installation ermöglicht Ihnen, die Installation Schritt-für-Schritt zu steuern und zu testen. Sie wird auf Mac-Einzelplatzrechnern durchgeführt. 1. Öffnen Sie Sophos SafeGuard DE.dmg. 2. Nachdem Sie die Readme-Datei gelesen haben, doppelklicken Sie auf Sophos SafeGuard DE.pkg und folgen Sie den Anweisungen des Installationsassistenten. Sie werden nach Ihrem Kennwort gefragt, um die Installation neuer Software zu erlauben. Das Produkt wird im Ordner /Library/Sophos SafeGuard DE/ installiert. 3. Klicken Sie auf Schließen, um die Installation abzuschließen. 4. Nach einem Neustart melden Sie sich mit Ihrem Mac Kennwort an. 5. Öffnen Sie die Systemeinstellungen und klicken Sie auf das Sophos Encryption-Symbol, um die Produkteinstellungen anzuzeigen. 6. Klicken Sie auf die Registerkarte Server. 73 SafeGuard Enterprise 7. Werden Server und Zertifikatsdetails angezeigt, so überspringen Sie die nächsten Schritte und gehen Sie zu Schritt 11. Wird keine Information angezeigt, so fahren Sie mit dem nächsten Schritt fort. 8. Wählen Sie die Konfigurations-Zip-Datei aus und kopieren Sie sie auf die Zielrechner (siehe Erzeugen von Konfigurationspaketen (Seite 54)). 9. Ziehen Sie die Zip-Datei in den Server-Dialog und lassen Sie sie in der Dropzone los. 10. Sie werden aufgefordert, Ihr Mac-Administratorkennwort einzugeben. Geben Sie das Kennwort ein und klicken Sie zur Bestätigung auf OK. 11. Überprüfen Sie die Verbindung zum SafeGuard Enterprise Server. Details zum Unternehmenszertifikat werden im unteren Teil des Server-Dialogs angezeigt. Klicken Sie dann auf Synchronisieren. Eine erfolgreichen Verbindung erkennen Sie an einem aktualisierten Zeitstempel (Registerkarte Server, Serverinfo-Bereich, Letzter Serverkontakt:). Bei einer unterbrochenen Verbindung erscheint das folgende Symbol: Weitere Informationen finden Sie in der System-Logdatei. 2.12.4 Automatisierte Installation von SafeGuard File Encryption Eine automatisierte (unbeaufsichtigte) Installation erfordert keinen Benutzereingriff während des Installationsprozesses. Der folgende Abschnitt beschreibt die grundsätzlichen Schritte einer automatisierten Installation von SafeGuard File Encryption für Mac. Verwenden Sie die Managementsoftware, die auf Ihrem System installiert ist. Je nach Managementsoftware-Lösung, die Sie verwenden, können die tatsächlichen Schritte von der Beschreibung abweichen. Um SafeGuard File Encryption für Mac auf Client-Rechnern zu installieren, gehen Sie wie folgt vor: 1. Laden Sie die Installationsdatei Sophos SafeGuard FE.pkg herunter. 2. Kopieren Sie die Datei auf die Zielrechner. 3. Installieren Sie die Datei auf den Zielrechnern. Wenn Sie Apple Remote Desktop verwenden, sind die Schritte 2 und 3 zu einem einzelnen Schritt zusammengefasst. 4. Wählen Sie die Konfigurations-Zip-Datei aus und kopieren Sie sie auf die Zielrechner (siehe Erzeugen von Konfigurationspaketen (Seite 54)). 5. Führen Sie auf den Zielrechnern das folgende Kommando aus: /usr/bin/sgdeadmin --import-config /Pfad/zur/Datei.zip 6. Passen Sie /Pfad/zur/Datei auf Ihre Einstellungen an. Dieses Kommando muss mit Administratorrechten ausgeführt werden. Wenn Sie Apple Remote Desktop verwenden, geben Sie root in das Feld Benutzername ein um festzulegen, welcher Benutzer das Kommando oben ausführt. 7. Sie können Ihrem Workflow weitere Schritte je nach Ihren spezifischen Einstellungen hinzufügen wie z.B. die Zielrechner herunterzufahren. Hinweis: Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 120507. 2.12.5 Manuelle Installation von SafeGuard File Encryption Eine manuelle (oder beaufsichtigte) Installation ermöglicht Ihnen, die Installation Schritt-für-Schritt zu steuern und zu testen. Sie wird auf Mac-Einzelplatzrechnern durchgeführt. 1. Öffnen Sie Sophos SafeGuard FE.dmg. 74 Administratorhilfe 2. Nachdem Sie die Readme-Datei gelesen haben, doppelklicken Sie auf Sophos SafeGuard FE.pkg und folgen Sie den Anweisungen des Installationsassistenten. Sie werden nach Ihrem Kennwort gefragt, um die Installation neuer Software zu erlauben. Das Produkt wird im Ordner /Library/Sophos SafeGuard FS/ installiert. 3. Klicken Sie auf Schließen, um die Installation abzuschließen. 4. Öffnen Sie die Systemeinstellungen und klicken Sie auf das Sophos Encryption-Symbol, um die Produkteinstellungen anzuzeigen. 5. Klicken Sie auf die Registerkarte Server. 6. Werden Server und Zertifikatsdetails angezeigt, so überspringen Sie die nächsten Schritte und gehen Sie zu Schritt 11. Wird keine Information angezeigt, so fahren Sie mit dem nächsten Schritt fort. 7. Wählen Sie die Konfigurations-Zip-Datei aus und kopieren Sie sie auf die Zielrechner (siehe Erzeugen von Konfigurationspaketen (Seite 54)). 8. Ziehen Sie die Zip-Datei in den Server-Dialog und lassen Sie sie in der Dropzone los. 9. Sie werden aufgefordert, Ihr Mac-Administratorkennwort einzugeben. Geben Sie das Kennwort ein und klicken Sie zur Bestätigung auf OK. 10. Geben Sie Ihr Mac-Kennwort ein, um Ihr SafeGuard Benutzerzertifikat anzufordern. 11. Überprüfen Sie die Verbindung zum SafeGuard Enterprise Server. Details zum Unternehmenszertifikat werden im unteren Teil des Serverdialogs angezeigt. Klicken Sie dann auf Synchronisieren. Eine erfolgreichen Verbindung erkennen Sie an einem aktualisierten Zeitstempel (Registerkarte Server, Serverinfo-Bereich, Letzter Serverkontakt:). Bei einer unterbrochenen Verbindung erscheint das folgende Symbol: Mehr Information finden Sie in der System-Logdatei. 2.13 Aktualisierung SafeGuard Enterprise 6.10 oder höher kann direkt auf die aktuelle Version von SafeGuard Enterprise aktualisiert werden. Wenn Sie eine Aktualisierung von einer älteren Version durchführen möchten, müssen Sie zunächst eine Aktualisierung auf Version 6.10 durchführen. Während einer Aktualisierung können Sie keine Änderungen der installierten Features oder Module vornehmen. Sollten Änderungen erforderlich sein, führen Sie den Installer der bereits vorhandenen Version erneut aus und ändern Sie die Installation (siehe Migration (Seite 78)). Die folgenden Komponenten werden bei einer Aktualisierung auf die aktuelle Version von SafeGuard Enterprise aktualisiert. Führen Sie die Aktualisierung in der angegebenen Reihenfolge aus: 1. 2. 3. 4. 5. SafeGuard Enterprise Server SafeGuard Management Center Durch SafeGuard Enterprise geschützte Endpoints SafeGuard Enterprise Konfigurationspakete SafeGuard Enterprise Web Helpdesk Standardmäßig werden alle Richtlinien vom Typ Dateiverschlüsselung wie Richtlinien mit Verschlüsselungstyp Pfadbasiert behandelt oder in solche konvertiert. Hinweis: Nach der Aktualisierung aller SafeGuard Enterprise Komponenten und Endpoints auf Version 8.0 empfehlen wir die Umstellung auf den sichereren Algorithmus SHA-256 für das Signieren von durch SafeGuard Enterprise erzeugten Zertifikaten. 75 SafeGuard Enterprise 2.13.1 Aktualisieren von SafeGuard Enterprise Server Voraussetzungen SafeGuard Enterprise Server 6.10 oder höher muss installiert sein. Versionen unter 6.10 müssen erst auf SafeGuard Enterprise Server 6.10 aktualisiert werden. .NET Framework 4.5 und ASP.NET 4.5 (in der SafeGuard Enterprise Produktlieferung enthalten) müssen installiert sein. Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen. So aktualisieren Sie den SafeGuard Enterprise Server: 1. Installieren Sie die neueste Version des SafeGuard Enterprise Server Installationspakets SGNServer.msi. Wenn Sie alle SGN-Komponenten aktualisiert haben muss der SafeGuard Enterprise Server neu gestartet werden. 2.13.2 Aktualisieren des SafeGuard Management Center Voraussetzungen: SafeGuard Management Center 6.10 oder höher muss installiert sein. Versionen unter 6.10 müssen erst auf SafeGuard Management Center 6.10 aktualisiert werden. Die Versionsnummern der SafeGuard Enterprise Datenbank, des SafeGuard Enterprise Servers und des SafeGuard Management Center müssen übereinstimmen. SafeGuard Management Center 8.0 kann Endpoints verwalten, die mit SafeGuard Enterprise 6.0 oder höher geschützt werden. .NET Framework 4,5 ist erforderlich. Dies muss vor der Aktualisierung installiert werden. Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verfügung. Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen. Wenn Sie eine Aktualisierung von SafeGuard Enterprise 5.x auf SafeGuard Enterprise 8,0 durchführen, müssen Sie manuell eine Standard-Evaluierungslizenz für SafeGuard Cloud Storage und SafeGuard File Encryption importieren Die Lizenzdatei steht in Ihrer Produktlieferung zur Verfügung. So aktualisieren Sie das SafeGuard Management Center: 1. Installieren Sie die aktuelle Version des SafeGuard Management Center Installationspakets mit den erforderlichen Features, siehe Migration (Seite 78). 2. Starten Sie das SafeGuard Management Center. 3. Das System überprüft die Version der SafeGuard Enterprise Datenbank und aktualisiert automatisch auf die neue Version. 4. Vor dem Update werden Sie dazu aufgefordert, Ihre Datenbank zu sichern. SafeGuard Management Center und Datenbank wurden auf die neueste Version aktualisiert. Übertragen Sie nach der Aktualisierung keine bestehenden POA-Benutzer auf Endpoints, die durch SafeGuard Enterprise geschützt sind. Diese würden in diesem Fall als normale Benutzer behandelt und als Benutzer auf den entsprechenden Endpoints registriert. 76 Administratorhilfe Falls Sie für Sicherungszwecke Richtlinien exportiert haben, exportieren Sie sie nach der Aktualisierung des SafeGuard Management Center erneut. Richtlinien, die mit älteren Versionen exportiert wurden, können nicht importiert werden. 2.13.3 Aktualisierung von Endpoints Dieses Kapitel gilt sowohl für zentral verwaltete Endpoints als auch für Standalone-Endpoints. Voraussetzungen Version 6.10 oder höher der SafeGuard Enterprise Verschlüsselungssoftware muss installiert sein. Ältere Versionen müssen zuerst auf Version 6.10 aktualisiert werden. Die SafeGuard Enterprise Datenbank, der SafeGuard Enterprise Server und das SafeGuard Management Center müssen auf die neueste Version aktualisiert sein. Die Versionsnummern der SafeGuard Enterprise Datenbank, des SafeGuard Enterprise Servers und des SafeGuard Management Center müssen für einen erfolgreichen Betrieb übereinstimmen. SafeGuard Management Center 8.0 und SafeGuard Enterprise Server 8.0 können durch SafeGuard Enterprise geschützte Endpoints mit Version 6.0 und höher verwalten. Jedoch empfehlen wir die Verwendung derselben Version der Verschlüsselungssoftware auf allen Endpoints. Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen. So aktualisieren Sie durch SafeGuard Enterprise geschützte Endpoints: 1. Melden Sie sich an dem Computer als Administrator an. 2. Installieren Sie das aktuelle Prä-Installationspaket SGxClientPreinstall.msi . Dieses Paket stattet den Endpoint mit den nötigen Voraussetzungen für eine erfolgreiche Installation der neuen Verschlüsselungssoftware aus. Deinstallieren Sie keine alten Prä-Installationspakete da diese automatisch aktualisiert werden. 3. Installieren Sie die aktuelle Version der SafeGuard Enterprise Verschlüsselungssoftware. Abhängig von der installierten Version wird eine direkte Aktualisierung unter Umständen nicht unterstützt. Ältere Versionen müssen aktualisiert werden, bis Version 6.10 erreicht ist. Der Windows Installer erkennt, welche Features bereits installiert sind und aktualisiert auch nur diese Features. Wenn die Power-on Authentication installiert ist, steht nach erfolgreicher Migration (Richtlinien, Schlüssel usw.) auch ein aktualisierter POA-Kernel zur Verfügung. SafeGuard Enterprise wird auf dem Computer automatisch neu gestartet. 4. Um Configuration Protection vollständig zu entfernen, müssen Sie auch SGNCPClient.msi (oder SGNCPClient_x64.msi) deinstallieren. 5. Nach dem Abschluss der Installation starten Sie den Endpoint neu, wenn Sie danach gefragt werden. Die aktuelle Version der SafeGuard Enterprise Verschlüsselungssoftware ist auf den Endpoints installiert. Als Nächstes aktualisieren Sie die Konfiguration der Endpoints. Hinweis: Während einer Aktualisierung können Sie keine Änderungen der installierten Module vornehmen. Falls Änderungen erforderlich sind, lesen Sie unter Migration (Seite 78) nach. 77 SafeGuard Enterprise 2.13.4 Aktualisieren der Konfigurationspakete der Endpoints Nach der Aktualisierung der Back-End-Software empfehlen wir dringend, alle alten Konfigurationspakete aus Sicherheitsgründen zu löschen. Neuinstallationen des SafeGuard Client müssen mit einem Konfigurationspaket erfolgen, das mit SafeGuard Management Center Version 8.0 erstellt wurde. Konfigurationspakete, die mit früheren Versionen des SafeGuard Management Center erstellt wurden, werden nicht unterstützt. Konfigurationspakete auf bestehenden (bereits konfigurierten) Endpoints müssen in den folgenden Fällen aktualisiert werden: Mindestens einer der konfigurierten SafeGuard Server wurde geändert (trifft nur bei zentral verwalteten Endpoints zu). Die Richtlinien müssen geändert werden (trifft nur bei Endpoints im Standalone-Modus zu). Zum Anwenden von Certificate Change Orders (CCO). Wen der Hash-Algorithmus zum Signieren der selbst-signierten Zertifikate von SHA-128 auf SHA-256 geändert wird. Hinweis: Weitere Informationen finden Sie im Abschnitt Ändern des Algorithmus für selbst-signierte Zertifikate. Hinweis: Ein Endpoint kann von einem zentral verwalteten zu einem Standalone-Client herabgestuft werden, indem das verwaltete Konfigurationspaket deinstalliert und ein nicht verwaltetes Konfigurationspaket installiert wird. 2.14 Migration Migration bedeutet eine Umstellung installierter Produkte, Module oder Features innerhalb derselben Version. Sie müssen Ihr Produkt daher innerhalb der alten Version migrieren oder zuerst die Installation aktualisieren und anschließend die Migration vornehmen. Hinweis: Falls Sie Ihr aktuell installiertes Produkt oder die aktuell installierte Version in dieser Anleitung nicht finden, wird keine direkte Aktualisierung oder Migration unterstützt. Informationen zu den Möglichkeiten einer Aktualisierung oder Migration finden Sie in der Dokumentation Ihres Produkts oder Ihrer Version. Hinweis: Wenn mit Ihrem Migrationsszenario eine Änderung Ihrer Lizenz für die Sophos Verschlüsselungssoftware verbunden ist, muss Ihre neue Lizenz für die Migration zur Verfügung stehen. 2.14.1 Migration von SafeGuard Easy Sie können eine Migration der Standalone-Lösung SafeGuard Easy zur SafeGuard Enterprise Suite mit zentraler Verwaltung durchführen. Somit können Sie umfassende Verwaltungsfunktionen nutzen, zum Beispiel Benutzer- und Computerverwaltung oder umfangreiche Protokollierungfunktionen. 78 ■ Setzen Sie die letzte Version des SafeGuard Enterprise Servers auf. ■ Migrieren Sie die Management-Konsole. ■ Migrieren Sie die Endpoints auf eine zentral verwaltete Konfiguration. Administratorhilfe 2.14.1.1 Migration der Management-Konsole Voraussetzungen Sie müssen den SafeGuard Policy Editor nicht deinstallieren. .NET Framework 4.5 und ASP.NET 4.5 (in der SafeGuard Enterprise Produktlieferung enthalten) müssen installiert sein. Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen. So migrieren Sie die Management-Konsole: 1. Starten Sie auf dem Computer, auf dem der SafeGuard Policy Editor installiert ist, SGNManagementCenter.msi. Ein Assistent führt Sie durch die Installation. Übernehmen Sie die Standardeinstellungen. 2. Starten Sie Ihren Computer neu, wenn Sie dazu aufgefordert werden. 3. Starten Sie das SafeGuard Management Center, um die Erstkonfiguration durchzuführen. 4. Konfigurieren Sie die SafeGuard Enterprise Richtlinien nach Ihren Wünschen. Der SafeGuard Policy Editor wurde zum SafeGuard Management Center migriert. 2.14.1.2 Migrieren von Endpoints auf eine zentral verwaltete Konfiguration. Standalone-Endpoints lassen sich zu einer zentral verwalteten Konfiguration migrieren. Diese Endpoints können dadurch im SafeGuard Management Center verwaltet werden und haben eine Verbindung zum SafeGuard Enterprise Server. Hinweis: Wenn Sie den Endpoint bereits auf die aktuelle Version aktualisiert haben und nur die Konfiguration ändern möchten, beginnen Sie mit Schritt 6. Voraussetzungen Erstellen Sie ein Backup des Endpoints. Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen. Es ist keine Deinstallation der Sophos SafeGuard Verschlüsselungssoftware auf den Endpoints nötig. Sophos SafeGuard Version 6.10 oder höher muss auf den Endpoints installiert sein. Ältere Versionen müssen aktualisiert werden, bis Version 6.10 erreicht ist. Um Endpoints lokal zu migrieren: 1. Melden Sie sich an dem Endpoint als Administrator an. 2. Installieren Sie das aktuelle Prä-Installationspaket SGxClientPreinstall.msi . Dieses Paket stattet den Endpoint mit den nötigen Voraussetzungen für eine erfolgreiche Installation der neuen Verschlüsselungssoftware aus. Verwenden Sie keine veralteten Prä-Installationspakete. 3. Installieren Sie die aktuelle Version der Sophos SafeGuard Verschlüsselungssoftware. Der Windows Installer erkennt, welche Features bereits installiert sind und aktualisiert auch nur diese Features. Wenn die Power-on Authentication installiert ist, steht nach erfolgreicher Migration (Richtlinien, Schlüssel usw.) auch ein aktualisierter POA-Kernel zur Verfügung. Sophos SafeGuard wird auf dem Endpoint automatisch neu gestartet. 4. Nach dem Abschluss der Installation starten Sie den Endpoint neu, wenn Sie danach gefragt werden. 79 SafeGuard Enterprise 5. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete. Klicken Sie auf Pakete für Managed Clients und erstellen Sie ein Konfigurationspaket für zentral verwaltete Endpoints. 6. Weisen Sie dieses Paket dem Endpoint über eine Gruppenrichtlinie zu. Wichtig: Die Power-on-Authentisierung ist deaktiviert, da die Benutzer-Computer Zuordnung nicht aktualisiert wird. Nach der Migration sind die Endpoints damit ungeschützt. 7. Der Benutzer muss den Endpoint neu starten. Die erste Anmeldung erfolgt noch über Autologon. Neue Schlüssel und Zertifikate werden dem Benutzer zugewiesen. 8. Der Benutzer muss den Endpoint noch einmal starten und sich an der Power-on Authentication anmelden. Die Endpoints werden erst nach dem zweiten Neustart geschützt. 9. Löschen Sie alte und nicht mehr verwendete Konfigurationspakete. Der Endpoint hat nun eine Verbindung zum SafeGuard Enterprise Server. 2.14.2 Migration von Sophos Disk Encryption Sophos Disk Encryption wird nicht mehr unterstützt, daher ist es erforderlich, auf SafeGuard Enterprise zu migrieren. Eine detaillierte Anleitung dazu finden Sie im Sophos Knowledgebase-Artikel 121160. 2.14.3 Ändern der SafeGuard-Installation auf Endpoints Sollten Änderungen der installierten Module erforderlich sein, führen Sie den Installer der bereits vorhandenen Version erneut aus und ändern Sie die Installation. Es gelten die folgenden Einschränkungen: Synchronized Encryption kann nicht auf Endpoints installiert werden, auf denen bereits pfadbasierte Dateiverschlüsselung verwendet wird. Bei einem Wechsel von SafeGuard volume-basierender Verschlüsselung auf BitLocker Verschlüsselung oder umgekehrt muss das Produkt deinstalliert und neu installiert werden (Daten müssen entschlüsselt sein). Bei einem Wechsel von BitLocker-Unterstützung auf BitLocker mit Challenge/Response oder umgekehrt muss das Produkt deinstalliert und neu installiert werden (Daten müssen entschlüsselt sein). Die Systemanforderungen für jedes Modul finden Sie in den Versionsinfos. Informationen zur Migration des Betriebssystems finden Sie unter Migration von Endpoints auf ein anderes Betriebssystem (Seite 80). 2.14.4 Migration von Endpoints auf ein anderes Betriebssystem Endpoints mit SafeGuard Enterprise können von Windows 7/8 auf Windows 10 migriert werden. Nur bei Endpoints mit Windows 7 und SafeGuard Full Disk Encryption muss letzteres vor der Migration auf Windows 10 deinstalliert werden. SafeGuard Full Disk Encryption wird unter Windows 10 nicht unterstützt. Nähere Informationen zur Deinstallation finden Sie unter Deinstallation - Überblick (Seite 81). Nähre Informationen zur Verwendung von BitLocker finden Sie unter Vorbereitung für die Unterstützung von BitLocker Drive Encryption (Seite 58). Sie können keine Endpoints auf denen SafeGuard Enterprise installiert ist von Windows 7 auf Windows 8 migrieren. Wenn Sie ein älteres Betriebssystem als Windows 10 verwenden, ist es nur möglich, die Service Pack Version Ihres Betriebssystems zu aktualisieren. 80 Administratorhilfe 2.15 Deinstallation - Überblick Führen Sie zum Deinstallieren der SafeGuard Enterprise Verschlüsselungssoftware folgende Schritte durch: ■ Entschlüsseln Sie verschlüsselte Daten. ■ Deinstallieren Sie das Konfigurationspaket. ■ Deinstallieren Sie die Verschlüsselungssoftware. Damit Entschlüsselung und Deinstallation möglich sind, müssen auf den Endpoints die entsprechenden Richtlinien wirksam sein. Hinweis: Wenn sich nach der Deinstallation ein Benutzer mit Administratorrechten am Endpoint anmeldet, wird im Hintergrund eine Bereinigungsfunktion gestartet. Der Benutzer wird darüber informiert, dass die Bereinigung einen abschließenden Neustart benötigt. 2.15.1 Entschlüsseln von verschlüsselten Daten Folgende Voraussetzung muss erfüllt sein: Für die Entschlüsselung von verschlüsselten Volumes müssen alle volume-basierend verschlüsselten Volumes einen Laufwerksbuchstaben haben. 1. Bearbeiten Sie im SafeGuard Management Center die aktuelle Richtlinie vom Typ Geräteschutz, den den zu entschlüsselnden Computern zugewiesen ist. Wählen Sie die Ziele und stellen Sie die Option Benutzer darf Volume entschlüsseln auf Ja ein. Weisen Sie die Richtlinie den relevanten Endpoints zu. 2. Erstellen Sie eine Richtlinie vom Typ Geräteschutz, wählen Sie die Ziele, die entschlüsselt werden sollen und stellen Sie den Verschlüsselungsmodus für Medien auf Keine Verschlüsselung ein. 3. Legen Sie unter Benutzer & Computer eine Gruppe für die Computer an, die Sie entschlüsseln möchten: Klicken Sie mit der rechten Maustaste auf den Domänenknoten, unter dem Sie die Gruppe erstellen möchten. Wählen Sie dann Neu > Neue Gruppe erzeugen. 4. Wählen Sie den Domänenknoten dieser Gruppe und weisen Sie die Entschlüsselungsrichtlinie zu, indem Sie die Richtlinie aus der Verfügbare Richtlinien Liste in die Registerkarte Richtlinien ziehen. Aktivieren Sie die Richtlinie, indem Sie die Gruppe aus der Liste der Verfügbaren Gruppen in den Bereich Aktivierung ziehen. Stellen Sie in der Registerkarte Richtlinien des Domänenknotens sicher, dass die Priorität auf 1 gesetzt und die Einstellung Kein Überschreiben aktiviert ist. Stellen Sie im Bereich Aktivierung des Domänenknotens sicher, dass nur Mitglieder der Gruppe von dieser Richtlinie betroffen sind. 5. Wählen Sie im Benutzer & Computer Navigationsbereich die Gruppe, klicken Sie mit der rechten Maustaste auf die im Aktionsbereich angezeigte Mitglieder Registerkarte und klicken Sie auf Hinzufügen, um die Computer, die Sie entschlüsseln möchten, zur Gruppe hinzuzufügen. 6. Führen Sie auf dem Endpoint, der entschlüsselt werden soll, eine Synchronisierung mit dem SafeGuard Enterprise Server durch. Damit stellen Sie sicher, dass die Richtlinienaktualisierung auf dem Computer eingegangen und aktiv ist. 81 SafeGuard Enterprise 7. Öffnen Sie den Windows Explorer. Klicken Sie mit der rechten Maustaste auf das Volume, das entschlüsselt werden soll, und klicken Sie dann auf Verschlüsselung > Entschlüsselung. Stellen Sie sicher, dass die Verschlüsselung erfolgreich abgeschlossen werden konnte. Hinweis: Endpoints können während der Verschlüsselung/Entschlüsselung heruntergefahren und neu gestartet werden. Wenn auf die Entschlüsselung die Deinstallation folgt, empfehlen wir, den Endpoint nicht in einen Energiesparmodus oder den Ruhezustand zu versetzen. 2.15.2 Starten der Deinstallation Folgende Voraussetzungen müssen erfüllt sein: Verschlüsselte Daten müssen korrekt entschlüsselt werden, damit nach der Deinstallation Zugriff auf die Daten besteht. Der Entschlüsselungsvorgang muss abgeschlossen sein. Die korrekte Entschlüsselung ist besonders wichtig, wenn die Deinstallation von Active Directory ausgelöst wird. Darüber hinaus müssen vor der Deinstallation des letzten durch SafeGuard Enterprise geschützten Endpoint alle verschlüsselten Wechselmedien entschlüsselt werden. Andernfalls besteht die Gefahr, dass Benutzer nicht mehr auf Ihre Daten zugreifen können. Solange die SafeGuard Enterprise Datenbank zur Verfügung steht, können die Daten auf den Wechselmedien wiederhergestellt werden. Für die Deinstallation der Sophos SafeGuard Festplattenverschlüsselung müssen alle volume-basierend verschlüsselten Volumes einen Laufwerksbuchstaben haben. Deinstallieren Sie jeweils immer das komplette Paket mit allen installierten Features. 1. Bearbeiten Sie im SafeGuard Management Center die Richtlinie vom Typ Spezifische Computereinstellungen. Stellen Sie die Option Deinstallation erlaubt auf Ja ein. 2. Legen Sie unter Benutzer & Computer eine Gruppe für die Computer an, die Sie entschlüsseln möchten: Klicken Sie mit der rechten Maustaste auf den Domänenknoten, unter dem Sie die Gruppe erstellen möchten. Wählen Sie dann Neu > Neue Gruppe erzeugen. 3. Wählen Sie den Domänenknoten dieser Gruppe und weisen Sie die Richtlinien zum Deinstallieren zu, indem Sie die Richtlinie aus der Verfügbare Richtlinien Liste in die Registerkarte Richtlinien ziehen. Aktivieren Sie die Richtlinie, indem Sie jetzt die Gruppe aus der Liste der Verfügbaren Gruppen in den Bereich Aktivierung ziehen. Stellen Sie in der Registerkarte Richtlinien des Domänenknotens sicher, dass die Priorität auf 1 gesetzt und die Einstellung Kein Überschreiben aktiviert ist. Stellen Sie im Bereich Aktivierung des Domänenknotens sicher, dass nur Mitglieder der Gruppe von dieser Richtlinie betroffen sind. 4. Fügen Sie die Endpoints, bei denen die Deinstallation ausgeführt werden soll, zur Gruppe hinzu. 5. Wenden Sie zum Starten der Deinstallation eine der folgenden Methoden an: ■ ■ 82 Um eine lokale Deinstallation auf dem Endpoint durchzuführen, synchronisieren Sie diesen mit dem SafeGuard Enterprise Server. Damit stellen Sie sicher, dass die Richtlinienaktualisierung auf dem Computer eingegangen und aktiv ist. Wählen Sie dann Start > Systemsteuerung > Software > Sophos SafeGuard Client > Entfernen. Verwenden Sie für eine zentrale Deinstallation einen Software-Verteilungsmechanismus Ihrer Wahl. Stellen Sie sicher, dass alle erforderlichen Daten vor dem Starten der Deinstallation korrekt entschlüsselt wurden. Administratorhilfe 2.15.3 Verhindern einer Deinstallation auf den Endpoints Um den Schutz für Endpoints noch zu verstärken, empfehlen wir, dass Sie die lokale Deinstallation von SafeGuard Enterprise auf Endpoints verhindern. Setzen Sie das Feld Deinstallation erlaubt in einer Spezifische Computereinstellungen Richtlinie auf Nein und übermitteln Sie die Richtlinie an die Endpoints. So werden unautorisierte Versuche, die Software zu deinstallieren, abgebrochen und protokolliert. 2.15.4 Deinstallation von Native Device Encryption von Mac Endpoints Wenn Sie die Software von einem Client deinstallieren müssen, gehen Sie wie folgt vor: 1. 2. 3. 4. Wechseln Sie auf dem Mac Client zu /Library. Wählen Sie den Ordner /Sophos SafeGuard DE. Wählen und doppelklicken Sie die Datei Sophos SafeGuard DE Uninstaller.pkg Ein Assistent führt Sie durch die Deinstallation. Sobald die letzte .DMG Datei entfernt ist, wird auch die Client-Konfiguration gelöscht. Hinweis: Es ist nicht notwendig, die Festplatte zu entschlüsseln, bevor Sie die Software deinstallieren. Hinweis: Ein Benutzer mit Administrator-Rechten kann nicht daran gehindert werden, die Software zu deinstallieren. (Eine Richtlinie, die das bei Windows Clients verhindert, hat keine Auswirkung bei Mac Clients) Hinweis: Das Uninstaller Package ist signiert und OS X versucht, diese Signatur zu validieren. Dieser Vorgang kann einige Minuten dauern. 2.15.5 Deinstallation von File Encryption von Mac Endpoints Wenn Sie die Software von einem Client deinstallieren müssen, gehen Sie wie folgt vor: 1. 2. 3. 4. 5. Wechseln Sie auf dem Mac Client zu /Library. Öffnen Sie den Ordner Sophos SafeGuard FS. Wählen und doppelklicken Sie die Datei Sophos SafeGuard FS Uninstaller.pkg. Ein Assistent führt Sie durch die Deinstallation. Starten Sie das System neu, bevor Sie mit Ihrer Arbeit am Mac fortfahren. Sobald die letzte .DMG Datei entfernt ist, wird auch die Client-Konfiguration gelöscht. Hinweis: Das Uninstaller Package ist signiert und OS X versucht, diese Signatur zu validieren. Dieser Vorgang kann einige Minuten dauern. 83 SafeGuard Enterprise 3 SafeGuard Management Center Das SafeGuard Management Center ist das zentrale Instrument für die Verwaltung von mit SafeGuard Enterprise verschlüsselten Computern. Mit dem SafeGuard Management Center können Sie eine unternehmensweite Sicherheitsstrategie implementieren und auf Endpoints anwenden. Im SafeGuard Management Center können Sie: ■ Organisationsstruktur aufbauen oder importieren. ■ Sicherheitsbeauftragte anlegen. ■ Richtlinien definieren. ■ Konfigurationen exportieren und importieren. ■ Computer mit einer umfassenden Protokollierungsfunktionalität überwachen. ■ Kennwörter und den Zugriff auf verschlüsselte Endpoints wiederherstellen. Mit dem SafeGuard Management Center wird Multi Tenancy für die Verwaltung von mehreren Domänen und Datenbanken unterstützt. Sie können verschiedene SafeGuard Enterprise Datenbanken verwalten und unterschiedliche Konfigurationen verwenden. Der Zugriff auf das SafeGuard Management Center ist nur privilegierten Benutzern - den Sicherheitsbeauftragten - erlaubt. Es können mehrere Sicherheitsbeauftragte gleichzeitig mit den Daten arbeiten. Die verschiedenen Sicherheitsbeauftragten können entsprechend den ihnen zugewiesenen Rollen und Rechten Tätigkeiten ausführen. Sie können die SafeGuard Enterprise Richtlinien und Einstellungen an Ihre Anforderungen anpassen. Nach dem Speichern der neuen Einstellungen in der Datenbank können diese an die Endpoints übertragen werden, wo sie dann wirksam werden. Hinweis: Einige Features sind nicht in allen Lizenzen enthalten. Für Informationen dazu, was in Ihrer Lizenz enthalten ist, wenden Sie sich an Ihren Vertriebspartner. 3.1 Anmeldung am SafeGuard Management Center Während der Erstkonfiguration von SafeGuard Enterprise wird ein Konto für einen Haupt-Sicherheitsbeauftragten angelegt. Dieses Konto wird bei der ersten Anmeldung an das SafeGuard Management Center benötigt. Um das SafeGuard Management Center zu starten, benötigt der Benutzer das Kennwort für den Zertifikatsspeicher sowie den privaten Schlüssel des Zertifikats. Weitere Informationen finden Sie unter Erstellen eines Haupt-Sicherheitsbeauftragten (Master Security Officer, MSO) (Seite 37). Die Anmeldung richtet sich danach, ob Sie das SafeGuard Management Center mit einer Verbindung zu einer Datenbank (Single Tenancy) oder zu mehreren Datenbanken (Multi Tenancy) einsetzen. Hinweis: Zwei Sicherheitsbeauftragte dürfen nicht das gleiche Windows-Konto auf einem Computer benutzen. Andernfalls lassen sich ihre Zugriffsrechte nicht sauber trennen. 84 Administratorhilfe 3.2 SafeGuard Management Center Benutzeroberfläche Navigationsbereich: Im Navigationsbereich befinden sich Schaltflächen für alle administrativen Tätigkeiten: ■ Benutzer und Computer Zum Importieren von Gruppen und Benutzern aus einem Active Directory, aus der Domäne oder von einem einzelnen Computer. ■ Richtlinien Zum Erzeugen der Richtlinien. ■ Schlüssel und Zertifikate Zum Verwalten der Schlüssel und Zertifikate. ■ Token Zur Verwaltung von Token und Smartcards. ■ Sicherheitsbeauftragte Zum Anlegen neuer Sicherheitsbeauftragter und Definieren von Aktionen, für deren Ausführung eine zusätzliche Autorisierung notwendig ist. ■ Berichte Zum Anlegen und Verwalten von Berichten zu sicherheitsrelevanten Ereignissen. 85 SafeGuard Enterprise Navigationsfenster Im Navigationsfenster werden Objekte zur Bearbeitung angezeigt (Active Directory Objekte wie OUs, Benutzer und Computer; Richtlinien usw.) bzw. können dort erstellt werden. Welche Objekte angezeigt werden, hängt vom ausgewählten Vorgang ab. Hinweis: Unter Benutzer & Computer werden die Objekte in der Baumstruktur des Navigationsfensters in Abhängigkeit von den Zugriffsrechten des Sicherheitsbeauftragten für Verzeichnisobjekte angezeigt. Die Baumstruktur zeigt nur die Objekte, auf die der angemeldete Sicherheitsbeauftragte Zugriff hat. Objekte, für die der Zugriff verweigert wird, werden nicht angezeigt, es sei denn, es sind weiter unten in der Baumstruktur Knoten vorhanden, für die der Sicherheitsbeauftragte Zugriffsrechte hat. In diesem Fall werden die Objekte, für die der Zugriff verweigert wird, ausgegraut. Wenn der Sicherheitsbeauftragte das Zugriffsrecht Voller Zugriff hat, wird das jeweilige Objekt schwarz dargestellt. Objekte mit Zugriffsrecht Schreibgeschützt, werden blau dargestellt. Aktionsbereich Im Aktionsbereich nehmen Sie die Einstellungen für das im Navigationsfenster ausgewählte Objekt vor. Im Aktionsbereich stehen verschiedene Registerkarten zur Verfügung mit deren Hilfe die Objekte bearbeitet und die Einstellungen vorgenommen werden können. Informationen zu den ausgewählten Objekten werden ebenfalls im Aktionsbereich angezeigt. Dazugehörige Ansichten (Associated Views) In diesen Ansichten werden zusätzliche Objekte und Informationen angezeigt. Diese geben einerseits nützliche Informationen bei der Verwaltung des Systems und unterstützen die einfache Bedienung. Sie können zum Beispiel Objekten Schlüssel per Drag and Drop zuweisen. Symbolleiste Hier befinden sich Symbole für die verschiedenen Aktionen im SafeGuard Management Center. Die Symbole werden eingeblendet, wenn sie für das ausgewählte Objekt zur Verfügung stehen. Nach der Anmeldung wird das SafeGuard Management Center immer in der Ansicht gestartet, in der es geschlossen wurde. 3.3 Sprache der Benutzeroberfläche Sie können die Sprache der Benutzeroberfläche während der Installation des SafeGuard Management Center sowie der SafeGuard Enterprise Verschlüsselungssoftware am Endpoint steuern. Sprache des SafeGuard Management Center So stellen Sie die Sprache das SafeGuard Management Center ein: ■ 86 Klicken Sie in der SafeGuard Management Center Menüleiste auf Extras > Optionen > Allgemein. Klicken Sie auf Benutzerdefinierte Sprache verwenden und wählen Sie eine Administratorhilfe verfügbare Sprache aus. Die Sprachen Englisch, Deutsch, Französisch und Japanisch werden unterstützt. ■ Starten Sie das SafeGuard Management Center neu. Er wird in der ausgewählten Sprache angezeigt. SafeGuard Enterprise Oberflächensprache auf Endpoints Die Sprache von SafeGuard Enterprise auf dem Endpoint steuern Sie über den Richtlinientyp Allgemeine Einstellungen im SafeGuard Management Center (Einstellung, Anpassung > Sprache am Client): ■ ■ Wenn die Sprache des Betriebssystems gewählt wird, richtet sich die Produktsprache nach der Spracheinstellung des Betriebssystems. Steht die entsprechende Betriebssystemsprache in SafeGuard Enterprise nicht zur Verfügung, wird standardmäßig die englische Version von SafeGuard Enterprise angezeigt. Wenn eine der zur Verfügung stehenden Sprachen gewählt wird, werden die SafeGuard Enterprise Funktionen auf dem Endpoint in der ausgewählten Sprache angezeigt. 3.4 Prüfen der Datenbankintegrität Bei der Anmeldung an die Datenbank wird die Datenbankintegrität automatisch geprüft. Sollte diese Überprüfung Fehler ergeben, wird der Dialog Datenbankintegrität prüfen angezeigt. Sie können die Datenbankintegrität auch jederzeit nach der Anmeldung prüfen und hierzu den Dialog Datenbankintegrität prüfen aufrufen: 1. Wählen Sie in der Menüleiste des SafeGuard Management Center Extras > Datenbankintegrität. 2. Um die Tabellen zu prüfen, klicken Sie auf Alle prüfen oder Ausgewählte prüfen. Danach werden fehlerhafte Tabellen im Dialog markiert. Um die Fehler zu beheben, klicken Sie auf Reparieren. Hinweis: Nach einer Aktualisierung des SafeGuard Enterprise Backend (SQL) wird die Prüfung der Datenbankintegrität immer gestartet. Die Prüfung muss einmal pro SafeGuard Enterprise Datenbank durchgeführt werden, um die Aktualisierung abzuschließen. 3.5 Mit Richtlinien arbeiten Die folgenden Abschnitte beschreiben richtlinienrelevanten Vorgänge, z. B. das Erstellen, Gruppieren und Sichern von Richtlinien. Hinweis: Für das Zuweisen, Entfernen oder Bearbeiten von Richtlinien benötigen Sie das Zugriffsrecht Voller Zugriff für die relevanten Objekte sowie für jede Gruppe, die für die jeweiligen Richtlinien aktiviert ist. Eine Beschreibung aller verfügbaren SafeGuard Enterprise-Richtlinieneinstellungen finden Sie unter Richtlinientypen und ihre Anwendungsfelder (Seite 352). 87 SafeGuard Enterprise 3.5.1 Anlegen von Richtlinien 1. Melden Sie sich mit dem Kennwort, das Sie während der Erstkonfiguration festgelegt haben, am SafeGuard Management Center an. 2. Klicken Sie im Navigationsbereich auf Richtlinien. 3. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien und wählen Sie im Kontextmenü den Befehl Neu. 4. Wählen Sie den Richtlinientyp aus. Es wird ein Dialog für die Benennung der neuen Richtlinie angezeigt. 5. Geben Sie einen Namen und optional eine Beschreibung für die neue Richtlinie ein. Richtlinien für den Geräteschutz: Wenn Sie eine Richtlinie dieses Typs erstellen, müssen Sie auch ein Ziel für den Geräteschutz angeben. Mögliche Ziele sind: ■ Massenspeicher (Boot-Laufwerke/Andere Volumes) ■ Wechselmedien ■ Optische Laufwerke ■ Datenträgermodelle ■ Einzelne Datenträger ■ Cloud Storage Für jedes Ziel muss eine eigene Richtlinie angelegt werden. Sie können die einzelnen Richtlinien später z. B. zu einer Richtliniengruppe mit der Bezeichnung Verschlüsselung zusammenfassen. 6. Klicken Sie auf OK. Die neu angelegte Richtlinie wird im Navigationsfenster unter Richtlinien angezeigt. Im Aktionsbereich werden alle Einstellungen für den gewählten Richtlinientyp angezeigt. Die Einstellungen können dort geändert werden. 3.5.2 Bearbeiten von Richtlinieneinstellungen Wenn Sie im Navigationsfenster eine Richtlinie auswählen, können Sie deren Einstellungen im Aktionsbereich bearbeiten. Hinweis: Das rote Symbol vor dem Text nicht konfiguriert gibt an, dass für diese Einstellung ein Wert festgelegt werden muss. Sie können die Richtlinie erst speichern, wenn Sie eine andere Einstellung als nicht konfiguriert ausgewählt haben. Setzen von Einstellungen auf Standardwerte In der Symbolleiste stehen folgende Symbole für Richtlinieneinstellungen zur Verfügung: 88 Administratorhilfe Symbol Richtlinieneinstellung Zeigt Standardwerte für Richtlinieneinstellungen an, die nicht konfiguriert wurden (Einstellung nicht konfiguriert). Die Standardwerte für Richtlinieneinstellungen werden standardmäßig angezeigt. Klicken Sie auf das Symbol, um die Standardwerte auszublenden. Setzt die markierte Richtlinieneinstellung auf nicht konfiguriert. Setzt alle Richtlinieneinstellungen eines Bereichs auf nicht konfiguriert. Setzt den Standardwert für die markierte Richtlinieneinstellung. Setzt alle Richtlinieneinstellungen eines Bereichs auf den Standardwert. Unterscheidung zwischen maschinen- und benutzerspezifischen Richtlinien Richtlinienfarbe blau Richtlinie wird nur für Maschinen angewandt, nicht für Benutzer. Richtlinienfarbe schwarz Richtlinie wird für Maschinen und Benutzer angewandt. 3.5.3 Richtliniengruppen SafeGuard Enterprise Richtlinien können in Richtliniengruppen zusammengefasst werden. Eine Richtliniengruppe kann verschiedene Richtlinientypen enthalten. Im SafeGuard Management Center steht eine Default Richtliniengruppe zur Verfügung, die standardmäßig unter Benutzer und Computer zu Stamm zugewiesen wird. Wenn Sie Richtlinien vom selben Typ in einer Gruppe zusammenfassen, werden die Einstellungen automatisch vereinigt. Sie können dafür eine Auswertungsreihenfolge festlegen. Die Einstellungen einer höher gereihten Richtlinie überschreiben jene einer niedriger priorisierten. Eine definierte Richtlinieneinstellung überschreibt Einstellungen aus anderen Richtlinien, wenn ■ die Richtlinie mit dieser Einstellung eine höhere Priorität hat. 89 SafeGuard Enterprise ■ die Richtlinieneinstellung noch nicht definiert ist (nicht konfiguriert). Hinweis: Überlappende Richtlinien, die einer Gruppe zugeordnet sind, können zu einer falschen Ermittlung der Prioritäten führen. Verwenden Sie separate Richtlinieneinstellungen. Ausnahme Geräteschutz: Richtlinien für den Geräteschutz werden nur vereinigt, wenn sie für dasselbe Ziel (z. B. Boot-Volume) angelegt werden. Weisen sie auf verschiedene Ziele, werden sie addiert. 3.5.3.1 Zusammenfassen von Richtlinien zu Gruppen Voraussetzung: Die einzelnen Richtlinien der verschiedenen Typen müssen angelegt sein. 1. Klicken Sie im Navigationsbereich auf Richtlinien. 2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien-Gruppen und wählen Sie Neu. 3. Klicken Sie auf Neue Richtlinien-Gruppe. Es wird ein Dialog für die Benennung der Richtlinien-Gruppe angezeigt. 4. Geben Sie einen eindeutigen Namen und optional eine Beschreibung für die Richtlinien-Gruppe ein. Klicken Sie auf OK. 5. Die neu angelegte Richtlinie-Gruppe wird im Navigationsfenster unter Richtlinien-Gruppen angezeigt. 6. Wählen Sie die Richtlinien-Gruppe aus. Im Aktionsbereich werden alle für das Gruppieren der Richtlinien notwendigen Elemente angezeigt. 7. Zum Gruppieren der Richtlinien ziehen Sie sie aus der Liste der verfügbaren Richtlinien in den Richtlinienbereich. 8. Sie können für jede Richtlinie eine Priorität festlegen, indem Sie die Richtlinie über das Kontextmenü nach oben oder unten reihen. Wenn Sie Richtlinien vom selben Typ in einer Gruppe zusammenfassen, werden die Einstellungen automatisch vereinigt. Sie können dafür eine Auswertungsreihenfolge festlegen. Die Einstellungen einer höher gereihten Richtlinie überschreiben jene einer niedriger priorisierten. Ist eine Einstellung auf nicht konfiguriert gesetzt, wird die Einstellung in einer niedriger priorisierten Richtlinie nicht überschrieben. Ausnahme Geräteschutz: Richtlinien für den Geräteschutz werden nur vereinigt, wenn sie für dasselbe Ziel (z. B. Boot-Volume) angelegt werden. Weisen sie auf verschiedene Ziele, werden sie addiert. 9. Speichern Sie die Richtliniengruppe über Datei > Speichern. Die Richtliniengruppe enthält nun die Einstellungen aller einzelnen Richtlinien. 3.5.3.2 Ergebnis der Gruppierung Das Ergebnis der Zusammenfassung wird in einer eigenen Ansicht dargestellt. Klicken Sie zum Anzeigen der Zusammenfassung auf die Registerkarte Ergebnis. ■ Für jeden Richtlinien-Typ steht eine eigene Registerkarte zur Verfügung. Die aus der Zusammenfassung der einzelnen Richtlinien resultierenden Einstellungen werden angezeigt. ■ 90 Für Richtlinien zum Geräteschutz werden Registerkarten für jedes Ziel der Richtlinie angezeigt (z. B. Boot-Volumes, Laufwerk X: usw.). Administratorhilfe 3.5.4 Erstellen von Sicherungskopien von Richtlinien und Richtliniengruppen Sie können Sicherungskopien von Richtlinien und Richtliniengruppen in Form von XML-Dateien erstellen. Falls notwendig, lassen sich die betreffenden Richtlinien/Richtliniengruppen daraufhin aus diesen XML-Dateien wiederherstellen. 1. Wählen Sie die Richtlinie/Richtliniengruppe im Navigationsfenster unter Richtlinien bzw. Richtlinien-Gruppen aus. 2. Klicken Sie mit der rechten Maustaste und wählen Sie im angezeigten Kontextmenü Richtlinie sichern. Hinweis: Der Befehl Richtlinie sichern steht auch im Menü Aktionen zur Verfügung. 3. Geben Sie im Dialog Speichern unter einen Dateinamen für die XML-Datei an und wählen Sie das Verzeichnis, in dem die Datei gespeichert werden soll. Klicken Sie auf Speichern. Die Sicherungskopie der Richtlinie/Richtliniengruppe ist im angegebenen Verzeichnis als XML-Datei abgelegt. 3.5.5 Wiederherstellen von Richtlinien und Richtliniengruppen So stellen Sie eine Richtlinie/Richtliniengruppe aus einer XML-Datei wieder her: 1. Klicken Sie im Navigationsfenster auf Richtlinien/Richtliniengruppen. 2. Klicken Sie mit der rechten Maustaste und wählen Sie im angezeigten Kontextmenü Richtlinie wiederherstellen. Hinweis: Der Befehl Richtlinie wiederherstellen steht auch im Menü Aktionen zur Verfügung. 3. Wählen Sie die XML-Datei für die Wiederherstellung der Richtlinie/Richtliniengruppe aus und klicken Sie auf Öffnen. Die Richtlinie/Richtliniengruppe ist wiederhergestellt. 3.5.6 Zuweisen von Richtlinien Um Richtlinien zuzuweisen, benötigen Sie das Zugriffsrecht Voller Zugriff für alle beteiligten Objekte. 1. Klicken Sie auf Benutzer & Computer. 2. Wählen Sie im Navigationsbereich das gewünschte Objekt aus (z. B. Benutzer, Gruppe oder Container). 3. Wechseln Sie in die Registerkarte Richtlinien. Im Aktionsbereich werden alle für die Zuweisung der Richtlinie notwendigen Elemente angezeigt. 4. Zum Zuweisen einer Richtlinie ziehen Sie sie aus der Liste der verfügbaren Richtlinien in die Registerkarte Richtlinien. 91 SafeGuard Enterprise 5. Sie können für jede Richtlinie eine Priorität festlegen, indem Sie die Richtlinie über das Kontextmenü nach oben oder unten reihen. Die Einstellungen einer höher gereihten Richtlinie überschreiben jene einer niedriger priorisierten. Wenn Sie für eine Richtlinie Kein Überschreiben aktivieren, können die Einstellungen dieser Richtlinie nicht von anderen überschrieben werden. Hinweis: Wenn Sie bei einer Richtlinie mit niedrigerer Priorität die Option Kein Überschreiben aktivieren, so zieht diese Richtlinie, trotz niedrigerer Priorität gegenüber einer Richtlinie mit einer höheren Priorität. Um die Einstellungen Priorität oder Kein Überschreiben für Richtlinien im Bereich Benutzer & Computer zu ändern, benötigen Sie das Zugriffsrecht Voller Zugriff für alle Objekte, denen die Richtlinien zugewiesen sind. Wenn Sie das Zugriffsrecht Voller Zugriff nicht für alle Objekte haben, können die Einstellungen nicht bearbeitet werden. Wenn Sie versuchen, die Felder zu bearbeiten, wird eine Info-Meldung angezeigt. 6. Im Aktivierungsbereich werden die Gruppen .Authentisierte Benutzer - bzw. Computer angezeigt. Die Richtlinie gilt für alle Gruppen innerhalb der OU bzw. Domäne. 3.5.6.1 Aktivieren von Richtlinien für einzelne Gruppen Richtlinien werden immer einer OU bzw. einer Domäne oder Arbeitsgruppe zugewiesen. Sie gelten standardmäßig für alle Gruppen in diesen Container-Objekten (die Gruppen .Authentisierte Benutzer und .Authentisierte Computer werden im Aktivierungsbereich angezeigt). Sie können aber auch Richtlinien festlegen und sie für eine einzelne oder mehrere Gruppen aktivieren. Diese Richtlinien gelten dann ausschließlich für diese Gruppen. Hinweis: Um Richtlinien für einzelne Gruppen zu aktivieren, benötigen Sie das Zugriffsrecht Voller Zugriff für die relevante Gruppe. 1. Weisen Sie die Richtlinie der OU, in der sich die Gruppe befindet, zu. 2. Im Aktivierungsbereich werden die Gruppen .Authentisierte Benutzer und .Authentisierte Computer angezeigt. 3. Ziehen Sie diese beiden Gruppen aus dem Aktivierungsbereich in die Liste der Verfügbaren Gruppen. Die Richtlinie ist in dieser Konstellation für keinen Benutzer und keinen Computer wirksam. 4. Ziehen Sie jetzt die gewünschte Gruppe (oder auch mehrere Gruppen) aus der Liste der Verfügbaren Gruppen in den Aktivierungsbereich. Diese Richtlinie gilt jetzt ausschließlich für diese Gruppe. Wurden der übergeordneten OU ebenfalls Richtlinien zugeordnet, gilt diese Richtlinie für diese Gruppe zusätzlich zu jenen, die für die gesamte OU festgelegt wurden. 3.5.7 Verwalten von Richtlinien unter Benutzer & Computer Neben dem Bereich Richtlinien im SafeGuard Management Center können Sie den Inhalt einer Richtlinie auch dort einsehen und ändern, wo die Richtlinienzuweisung erfolgt: unter Benutzer & Computer. 1. Klicken Sie auf Benutzer & Computer. 2. Wählen Sie im Navigationsbereich das gewünschte Containerobjekt. 3. Sie können Richtlinien von zwei Orten aus öffnen, um sie einzusehen oder zu ändern. ■ 92 Wechseln Sie in die Registerkarte Richtlinien, oder Administratorhilfe ■ wechseln Sie in die Registerkarte RSOP. 4. Klicken Sie mit der rechten Maustaste auf die gewünschte zugewiesene oder verfügbare Richtlinie und wählen Sie Öffnen aus dem Kontextmenü. Der Richtliniendialog wird angezeigt und Sie können die Richtlinieneinstellungen einsehen und bearbeiten. 5. Klicken Sie auf OK, um Ihre Änderungen zu speichern. 6. Um die Richtlinieneigenschaften aufzurufen, klicken Sie mit der rechten Maustaste auf die gewünschte Richtlinie und wählen Sie Eigenschaften aus dem Kontextmenü. Der Eigenschaften Dialog für die Richtlinie wird angezeigt. Hier können Sie unter Allgemein und Zuweisung die entsprechenden Informationen einsehen. 3.6 Mit Konfigurationspaketen arbeiten Im SafeGuard Management Center lassen sich Konfigurationspakete der folgenden Typen erstellen: ■ Konfigurationspaket für zentral verwaltete Endpoints Endpoints, die eine Verbindung zum SafeGuard Enterprise Server haben, erhalten Ihre Richtlinien über den Server. Für den erfolgreichen Einsatz der SafeGuard Enterprise Client Software nach der Installation müssen Sie zunächst ein Konfigurationspaket für zentral verwaltete Computer erzeugen und es auf den Computern installieren. Nach der ersten Konfiguration der Endpoints über das Konfigurationspaket erhalten die Endpoints Richtlinien über den SafeGuard Enterprise Server, wenn Sie diese im Bereich Benutzer & Computer des SafeGuard Management Center zugewiesen haben. ■ Konfigurationspaket für Standalone-Endpoints Standalone-Endpoints haben niemals eine Verbindung zum SafeGuard Enterprise Server, sie laufen im Standalone-Modus. Die Computer erhalten ihre Richtlinien über Konfigurationspakete. Für den erfolgreichen Einsatz der Software müssen Sie ein Konfigurationspaket mit den relevanten Richtliniengruppen erstellen und es über unternehmenseigene Verteilungsmechanismen an die Endpoints verteilen. Wenn Sie Richtlinieneinstellungen ändern, müssen Sie jeweils neue Konfigurationspakete erstellen und an die Endpoints verteilen. Hinweis: Konfigurationspakete für Standalone-Endpoints können nur auf Windows Endpoints verwendet werden. ■ Konfigurationspaket für den SafeGuard Enterprise Server Für den erfolgreichen Einsatz der Software müssen Sie ein Konfigurationspaket für den SafeGuard Enterprise Server erstellen, das die Datenbank sowie die SSL-Verbindung definiert, Scripting API aktiviert, usw. ■ Konfigurationspaket für Macs Über dieses Konfigurationspaket erhalten Macs die Server-Adresse und das Unternehmenszertifikat. Die Macs übermitteln ihre Statusinformationen, die dann im SafeGuard Management Center angezeigt werden. Informationen zum Erstellen von Konfigurationspaketen für Macs finden Sie unter Erstellen von Konfigurationspaketen für Macs (Seite 97). 93 SafeGuard Enterprise Hinweis: Überprüfen Sie Ihr Netzwerk und Ihre Computer in regelmäßigen Abständen auf veraltete oder nicht benutzte Konfigurationspakete und löschen Sie diese aus Sicherheitsgründen. Deinstallieren Sie vor der Installation eines neuen Konfigurationspakets auf dem Computer/Server jeweils die veralteten Konfigurationspakete. 3.6.1 Erzeugen eines Konfigurationspakets für zentral verwaltete Endpoints Voraussetzungen Prüfen Sie im Benutzer & Computer Navigationsbereich in der Registerkarte Bestand, ob für die Endpoints, die das neue Konfigurationspaket erhalten sollen, ein Wechsel des Unternehmenszertifikats erforderlich ist.Wenn das Feld Aktuelles Unternehmenszertifikat nicht aktiviert ist, unterscheiden sich das derzeit aktive Unternehmenszertifikat in der SafeGuard Enterprise Datenbank und auf dem Computer voneinander. Daher ist ein Wechsel des Unternehmenszertifikats erforderlich. 1. 2. 3. 4. 5. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete. Wählen Sie Pakete für Managed Clients. Klicken Sie auf Konfigurationspaket hinzufügen. Geben Sie einen beliebigen Namen für das Konfigurationspaket ein. Ordnen Sie einen primären SafeGuard Enterprise Server zu (der sekundäre Server ist nicht notwendig). 6. Falls erforderlich, geben Sie eine Richtliniengruppe an, die auf die Endpoints angewendet werden soll. Diese müssen Sie zuvor im SafeGuard Management Center erstellt haben. Wenn Sie für Aufgaben nach der Installation auf dem Endpoint Service Accounts verwenden möchten, stellen Sie sicher, dass die entsprechende Richtlinieneinstellung in dieser ersten Richtliniengruppe definiert ist (siehe Service Account-Listen für die Windows-Anmeldung (Seite 191)). 7. Wenn sich das derzeit aktive Unternehmenszertifikat in der SafeGuard Enterprise Datenbank von dem auf den Endpoints, die das neue Konfigurationspaket erhalten sollen, unterscheidet, wählen Sie die relevante CCO (Company Certificate Change Order). Ist das Feld Aktuelles Unternehmenszertifikat in der Registerkarte Bestand der relevanten Domäne, der OU oder des Computers unter Benutzer & Computer nicht aktiviert, so ist ein Wechsel des Unternehmenszertifikats erforderlich. Informationen zur erforderlichen CCO (Company Certificate Change Order) finden Sie in der Registerkarte CCOs der Funktion Konfigurationspakete im Menü Extras. Hinweis: Die Installation des neuen Konfigurationspakets schlägt fehl, wenn die derzeit aktiven Unternehmenszertifikate in der SafeGuard Enterprise Datenbank und auf dem Endpoint nicht übereinstimmen und keine passende CCO im Paket enthalten ist. 8. Wählen Sie den Modus für die Transportverschlüsselung, der bestimmt, wie die Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server verschlüsselt wird: Sophos-Verschlüsselung oder SSL-Verschlüsselung. Der Vorteil bei SSL ist, dass es ein Standardprotokoll ist und eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschlüsselung. SSL-Verschlüsselung wird standardmäßig ausgewählt. Weitere Informationen zur Absicherung von Transportverbindungen mit SSL finden Sie in der SafeGuard Enterprise Installationsanleitung. 9. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an. 94 Administratorhilfe 10. Klicken Sie auf Konfigurationspaket erstellen. Wenn Sie als Modus für die Transportverschlüsselung die SSL-Verschlüsselung ausgewählt haben, wird die Serververbindung validiert. Wenn die Verbindung fehlschlägt, wird eine Warnmeldung angezeigt. Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Im nächsten Schritt verteilen Sie das Paket zur Installation an die Endpoints. 3.6.2 Erzeugen eines Konfigurationspakets für Standalone-Endpoints 1. 2. 3. 4. 5. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete. Wählen Sie Pakete für Standalone Clients. Klicken Sie auf Konfigurationspaket hinzufügen. Geben Sie einen beliebigen Namen für das Konfigurationspaket ein. Geben Sie eine zuvor im SafeGuard Management Center erstellte Richtliniengruppe an, die für die Endpoints gelten soll. 6. Unter POA Gruppe können Sie eine POA-Gruppe auswählen, die dem Endpoint zugeordnet wird. POA-Benutzer können für administrative Aufgaben auf den Endpoint zugreifen, nachdem die SafeGuard Power-on Authentication aktiviert wurde. Um POA-Benutzer zuzuweisen, müssen Sie die POA-Gruppe zunächst im Bereich Benutzer & Computer des SafeGuard Management Center anlegen. 7. Wenn sich das derzeit aktive Unternehmenszertifikat in der SafeGuard Enterprise Datenbank von dem auf den Endpoints, die das neue Konfigurationspaket erhalten sollen, unterscheidet, wählen Sie die relevante CCO (Company Certificate Change Order). Hinweis: Die Installation des neuen Konfigurationspakets schlägt fehl, wenn die derzeit aktiven Unternehmenszertifikate in der SafeGuard Enterprise Datenbank und auf dem Endpoint nicht übereinstimmen und keine passende CCO im Paket enthalten ist. 8. Geben Sie unter Speicherort für Schlüssel-Sicherungskopie einen freigegebenen Netzwerkpfad für das Speichern der Schlüssel-Recovery-Datei an oder wählen Sie einen Netzwerkpfad aus. Geben Sie den freigegebenen Pfad in folgender Form ein: \\network computer\, zum Beispiel \\mycompany.edu\. Wenn Sie hier keinen Pfad angeben, wird der Benutzer beim ersten Anmelden am Endpoint nach der Installation gefragt, wo die Schlüsseldatei gespeichert werden soll. Die Schlüssel-Recovery-Datei (XML) wird für die Durchführung von Recovery-Vorgängen bei durch Sophos SafeGuard geschützten Endpoints benötigt. Sie wird auf allen durch Sophos SafeGuard geschützten Endpoints erzeugt. Hinweis: Stellen Sie sicher, dass diese Schlüssel-Recovery-Datei an einem Speicherort abgelegt wird, auf den die Mitarbeiter des Helpdesk Zugriff haben. Die Dateien können dem Helpdesk auch durch andere Mechanismen zugänglich gemacht werden. Die Datei ist mit dem Unternehmenszertifikat verschlüsselt. Sie kann also auch auf externen Medien oder auf dem Netzwerk gespeichert werden, um sie dem Helpdesk für Recovery-Vorgänge zur Verfügung zu stellen. Sie kann auch per E-Mail verschickt werden. 9. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an. 10. Klicken Sie auf Konfigurationspaket erstellen. Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Im nächsten Schritt verteilen Sie das Paket zur Installation an die Endpoints. 95 SafeGuard Enterprise 3.6.3 Erzeugen eines Konfigurationspakets für Macs Ein Konfigurationspaket für einen Mac enthält die relevanten Serverinformationen sowie das Unternehmenszertifikat. Der Mac benutzt diese Informationen zum Zurückmelden von Statusinformationen (SafeGuard POA an/aus, Verschlüsselungsstatus usw.). Die Statusinformationen werden im SafeGuard Management Center angezeigt. 1. 2. 3. 4. 5. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete. Wählen Sie Pakete für Managed Clients. Klicken Sie auf Konfigurationspaket hinzufügen. Geben Sie einen beliebigen Namen für das Konfigurationspaket ein. Ordnen Sie einen primären SafeGuard Enterprise Server zu (der sekundäre Server ist nicht notwendig). 6. Wählen Sie SSL als Transportverschlüsselung für die Verbindung zwischen dem Endpoint und dem SafeGuard Enterprise Server. Für Macs wird Sophos als Transportverschlüsselung nicht unterstützt. 7. Geben Sie einen Ausgabepfad für das Konfigurationspaket (ZIP) an. 8. Klicken Sie auf Konfigurationspaket erstellen. Die Server-Verbindung für den SSL Transportverschlüsselung Modus wird validiert. Wenn die Verbindung fehlschlägt, wird eine Warnungsmeldung angezeigt. Das Konfigurationspaket (ZIP) wird nun im angegebenen Verzeichnis angelegt. Im nächsten Schritt verteilen Sie das Paket zur Installation an Ihre Macs. 96 Administratorhilfe 4 Mac Endpoints verwalten Macs, auf denen die folgenden Sophos Produkte installiert sind, können von SafeGuard Enterprise verwaltet werden und/oder Statusinformationen melden. Die Statusinformationen werden im SafeGuard Management Center angezeigt: Sophos SafeGuard File Encryption für Mac 6.1 und höher Sophos SafeGuard Disk Encryption für Mac 6.1/Sophos SafeGuard Native Device Encryption 7.0 Sophos SafeGuard Disk Encryption for Mac 6 - nur Berichte 4.1 Erzeugen eines Konfigurationspakets für Macs Ein Konfigurationspaket für einen Mac enthält die relevanten Serverinformationen sowie das Unternehmenszertifikat. Der Mac benutzt diese Informationen zum Zurückmelden von Statusinformationen (SafeGuard POA an/aus, Verschlüsselungsstatus usw.). Die Statusinformationen werden im SafeGuard Management Center angezeigt. 1. 2. 3. 4. 5. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete. Wählen Sie Pakete für Managed Clients. Klicken Sie auf Konfigurationspaket hinzufügen. Geben Sie einen beliebigen Namen für das Konfigurationspaket ein. Ordnen Sie einen primären SafeGuard Enterprise Server zu (der sekundäre Server ist nicht notwendig). 6. Wählen Sie SSL als Transportverschlüsselung für die Verbindung zwischen dem Endpoint und dem SafeGuard Enterprise Server. Für Macs wird Sophos als Transportverschlüsselung nicht unterstützt. 7. Geben Sie einen Ausgabepfad für das Konfigurationspaket (ZIP) an. 8. Klicken Sie auf Konfigurationspaket erstellen. Die Server-Verbindung für den SSL Transportverschlüsselung Modus wird validiert. Wenn die Verbindung fehlschlägt, wird eine Warnungsmeldung angezeigt. Das Konfigurationspaket (ZIP) wird nun im angegebenen Verzeichnis angelegt. Sie müssen das Paket auf Ihren Macs verteilen und installieren. 4.2 Über SafeGuard Native Device Encryption für Mac Sophos SafeGuard Native Device Encryption für Mac bietet Mac Benutzern denselben Schutz ihrer Daten wie das die Funktionalität zur Festplattenverschlüsselung in SafeGuard Enterprise für Windows Benutzer tut. SafeGuard Native Device Encryption für Mac baut auf der in Mac OS X eingebauten Verschlüsselungstechnologie FileVault 2 auf. Es verwendet FileVault 2 zur Verschlüsselung der gesamten Festplatte, so dass Ihre Daten sogar dann sicher sind, wenn der Computer verloren oder gestohlen wird. Darüber hinaus ermöglicht es Ihnen, Festplattenverschlüsselung in Ihrem gesamten Netzwerk zur Verfügung zu stellen und zu verwalten. 97 SafeGuard Enterprise Die Verschlüsselung arbeitet transparent. Der Benutzer wird beim Öffnen, Bearbeiten und Speichern von Dateien nicht zur Verschlüsselung oder Entschlüsselung aufgefordert. Im Management Center von SafeGuard Enterprise können Sie angeben, welche Computer (Windows oder Mac) zu verschlüsseln sind, können deren Verschlüsselungsstatus überprüfen und Benutzern behilflich sein, die ihr Passwort vergessen haben. 4.2.1 Konfiguration Sophos SafeGuard Native Device Encryption für Mac OS X wird über das SafeGuard Management Center verwaltet. Das folgende Kapitel beschreibt ausschließlich die Mac-spezifischen Konfigurationseinstellungen. SafeGuard Native Device Encryption für Mac wendet nur Richtlinien vom Typ Geräteschutz und Allgemeine Einstellungen an und ignoriert alle Richtlinieneinstellungen außer Ziel, Verschlüsselungsmodus für Medien und Server-Verbindungsintervall (Min). 4.2.1.1 Zentral verwaltete Konfigurationsoptionen Richtlinien werden im SafeGuard Management Center zentral verwaltet. Um die Festplattenverschlüsselung zu starten, müssen folgende Einstellungen vorgenommen werden: 1. Erzeugen Sie eine neue Richtlinie vom Typ Geräteschutz. Als Ziel des Geräteschutzes wählen Sie Lokale Datenträger, Interner Speicher oder Boot-Laufwerke. Geben Sie einen Namen für die Richtlinie ein und klicken Sie auf OK. 2. Wählen Sie für die Option Verschlüsselungsmodus für Medien die Einstellung Volume-basierend. Eine neue Richtlinie für Geräteschutz wurde erstellt und für Festplattenverschlüsselung für Macs konfiguriert. Hinweis: Stellen Sie sicher, dass die Richtlinie den Endpoints zugewiesen ist, die Sie verschlüsseln möchten. Sie können die Richtlinie der obersten Ebene Ihrer Domäne oder Arbeitsgruppe zuweisen. Wenn sich IT-Mitarbeiter um die Installation der Endpoints kümmern, weisen Sie die Richtlinie erst zu, nachdem die Endpoints den Endbenutzern übergeben wurden. Sonst besteht die Gefahr, dass die Endpoints zu bald verschlüsselt und IT-Mitarbeiter anstatt der eigentlichen Benutzer für FileVault 2 aktiviert werden. 4.2.2 Wie funktioniert Verschlüsselung? FileVault 2 schützt alle Daten mit XTS-AES-128 Datenverschlüsselung auf Laufwerksebene. Der Algorithmus wurde für 512-Byte Blöcke optimiert. Die Konvertierung von Klartext zu Chiffretext und umgekehrt hat kaum Auswirkungen auf das Benutzererlebnis, weil ihr vom System eine entsprechend niedrige Priorität zugewiesen wird. Arbeitete man früher mit einer Festplattenverschlüsselung, war es notwendig, sich nach dem Start des Computers zweimal zu identifizieren: Einmal, um das verschlüsselte Startvolume zu entsperren (POA), und ein zweites Mal, um sich am Schreibtisch anzumelden. Das ist jedoch nicht mehr notwendig. Benutzer geben ihr Kennwort bei der Pre-Boot Anmeldung ein und es wird automatisch auch an das Betriebssystem weitergegeben, sobald dieses hochgefahren ist und Anmeldeinformationen benötigt. Durch die Kennwort-Weiterleitung ist es nicht notwendig, dass sich Benutzer nach einem Neustart zweimal anmelden müssen. Benutzer können ihr Kennwort jederzeit zurücksetzen, ohne dass deshalb eine neuerliche Verschlüsselung notwendig wäre. Der Grund ist ein mehrstufiges Verschlüsselungsschlüssel-System. Die Schlüssel, die dem Benutzer angezeigt werden (z. B. Kennwörter für die Anmeldung oder Recovery-Schlüssel) sind abgeleitete 98 Administratorhilfe Verschlüsselungsschlüssel und können daher ersetzt werden. Der wirkliche Laufwerksverschlüsselungsschlüssel wird niemals einem Benutzer offengelegt. Weiter Informationen zu FileVault 2 finden Sie in: Apple Technical White Paper - Best Practices for Deploying FileVault 2 (Aug. 2012). Es kann von der Apple Website heruntergeladen werden. 4.2.3 Initialverschlüsselung Wenn Sie per Richtlinie eine volume-basierende Verschlüsselung des Systemlaufwerks definieren, startet die Festplattenverschlüsselung automatisch sobald der Benutzer den Endpoint neu startet. Der Benutzer muss wie folgt vorgehen: 1. Geben Sie das Mac OS X Anmeldekennwort ein. 2. Warten Sie bis Ihr Mac neu startet. Hinweis: Wenn die Aktivierung der Verschlüsselung fehlschlägt, wird eine Fehlermeldung angezeigt. Nähere Informationen finden Sie in den Logdateien. Der Standardspeicherort ist /var/log/system.log. 3. Die Festplattenverschlüsselung startet und wird im Hintergrund ausgeführt. Der Benutzer kann seine Arbeit fortsetzen. Der Benutzer wird als der erste FileVault 2 Benutzer des Endpoints hinzugefügt. 4.2.4 Entschlüsselung Normalerweise ist keine Entschlüsselung notwendig. Wenn der Sicherheitsbeauftragte eine Richtlinie setzt, die Keine Verschlüsselung für Ihren bereits verschlüsselten Mac vorsieht, bleibt der Mac verschlüsselt. In diesem Fall können Benutzer allerdings auch entschlüsseln. Die entsprechende Schaltfläche befindet sich auf der Registerkarte Disk Encryption im Einstellungsbereich. Benutzer mit lokalen Administrator-Rechten können nicht daran gehindert werden, mithilfe der eingebauten FileVault 2 Funktionalität manuell zu versuchen, ihre Festplatte zu entschlüsseln. Jedoch werden sie zu einem Neustart aufgefordert, um die Entschlüsselung fertigzustellen. Sobald der Mac den Neustart abgeschlossen hat, wird SafeGuard native Device Encryption für Mac erneut die Verschlüsselung erzwingen, sofern eine entsprechende Richtlinie gesetzt ist. 4.2.5 FileVault 2 Benutzer hinzufügen Nur Benutzer, die auf einem Endpoint für FileVault 2 registriert sind, können sich nach einem Neustart am System anmelden. Um einen Benutzer zu FileVault 2 hinzuzufügen, gehen Sie folgendermaßen vor: 1. Melden Sie sich mit dem Benutzer an, den Sie für FileVault 2 aktivieren wollen, während der Mac eingeschaltet bleibt. 2. Geben Sie im Dialog Aktivieren Sie Ihren Benutzeraccount den Benutzernamen und das OS X Anmeldekennwort dieses Benutzers ein. Benutzer können sich so einfach anmelden als würde keine Festplattenverschlüsselung verwendet. Hinweis: Sie können Benutzer nicht im Management Center Endpoints zuweisen, um ihnen die Verwendung von FileVault 2 zu erlauben. 99 SafeGuard Enterprise 4.2.6 FileVault 2 Benutzer löschen Ein Benutzer kann im SafeGuard Management Center von der Liste der Benutzer, die einem Mac zugeordnet sind, gelöscht werden. Nach dem nächsten Synchronisieren wird der Benutzer auch am Endpoint von der Liste der FileVault 2 Benutzer gelöscht. Das bedeutet allerdings nicht, dass sich dieser Benutzer an diesem Mac nicht mehr anmelden kann. Um wieder für FileVault 2 aktiviert zu werden ist es ist lediglich notwendig, sich einmal anzumelden während der Mac läuft. Wenn Sie verhindern wollen, dass ein bestimmter Benutzer einen Mac startet, dann markieren Sie ihn im Management Center als gesperrt. Dann wird er von der Liste der FileVault 2 Benutzer am Client gelöscht und es ist keine neuerliche Autorisierung möglich. Alle FileVault 2 Benutzer können gelöscht werden bis auf den letzten. Wird der Besitzer gelöscht, wird der nächste Benutzer in der Liste als Besitzer markiert. In SafeGuard Native Device Encryption für Mac macht es keinen Unterschied, ob ein Benutzer Besitzer ist oder nicht. 4.2.7 Synchronisierung mit dem Backend Während der Synchronisierung wird der Status der Clients an das SafeGuard Enterprise Backend gemeldet, Richtlinien werden aktualisiert und die Benutzer-Computer Zuordnung wird geprüft. Die folgenden Informationen werden von den Clients gesendet und im SafeGuard Management Center angezeigt: ■ Sobald ein Endpoint verschlüsselt ist, ist "POA" selektiert. Weitere Informationen, die angezeigt werden, umfassen Laufwerksname, Label, Typ, Status, Algorithmus und Betriebssystem. ■ Neue FileVault 2 Benutzer werden auch im Management Center angezeigt. Hinweis: Falls die SafeGuard Enterprise Client Software von einem Endpoint entfernt wird, sind der Endpoint und seine Benutzer im SafeGuard Management Center immer noch sichtbar. Aber der Zeitstempel des letzten Serverkontakts ändert sich nicht mehr. Auf Client-Seite wird Folgendes aktualisiert: ■ Richtlinien, die im Management Center geändert wurden, werden am Client nachgezogen. ■ Benutzer, die im Management Center gelöscht oder gesperrt wurden, werden auch von der Liste der FileVault 2 Benutzer des Clients gelöscht. 4.2.8 Kommandozeilen-Optionen Terminal erlaubt Ihnen, Kommandos und Kommandozeilen-Optionen einzugeben. Folgende Kommandozeilen-Optionen stehen zur Verfügung: Kommando-Name sgdeadmin 100 Definition Listet die verfügbaren Kommandos zusammen mit einer Kurzhilfe auf. Zusätzliche Parameter (optional) --help Administratorhilfe Kommando-Name sgdeadmin --version sgdeadmin --status sgdeadmin --list-user-details sgdeadmin --list-policies sgdeadmin --synchronize sgdeadmin --import-recoverykey ["recoverykey"] Definition Zusätzliche Parameter (optional) Zeigt Version und Copyright des installierten Produkts an. Zeigt Systemstatusinformationen wie Versions-, Server- und Zertifikatsinformation an. Zeigt Informationen zum momentan angemeldeten Benutzer an. --all zeigt Information für alle Benutzer an (sudo erforderlich). Zeigt Richtlinien-spezifische Informationen an. Schlüssel-GUIDS werden wenn möglich in Schlüsselnamen aufgelöst. Fett ausgezeichnete Elemente zeigen einen persönlichen Schlüssel an. --all zeigt Information für alle Benutzer an (sudo erforderlich). --xml zeigt Ausgabe im xml-Format an. --xml zeigt Ausgabe im xml-Format an. Erzwingt den sofortigen Kontakt mit dem Server (erfordert eine funktionierende Serververbindung). Importiert den FileVault 2 Recovery-Schlüssel, überschreibt den bestehenden Recovery-Schlüssel. --force Der bestehende Recovery-Schlüssel wird ohne nochmalige Bestätigung überschrieben. "recoverykey" Wenn der Recovery-Schlüssel nicht sofort eingegeben wird, wird der Benutzer danach gefragt. sgdeadmin --import-config "/Pfad/zur/Zieldatei" Importiert die angegebene Konfigurations-Zipdatei Das Kommando braucht Administrator-Rechte (sudo). Hinweis: Ziehen Sie komplette Pfade mit der Maus z.B. aus dem Finder in die Terminal-Anwendung. sgdeadmin --enable-server-verify Schaltet die SSL-Serververifizierung für die Kommunikation mit dem 101 SafeGuard Enterprise Kommando-Name Definition Zusätzliche Parameter (optional) SafeGuard Enterprise-Server ein. Nach der Installation ist die SSL-Serververifizierung standardmäßig aktiviert. Das Kommando braucht Administrator-Rechte (sudo). sgdeadmin Schaltet die --disable-server-verify SSL-Serververifizierung für die Kommunikation mit dem SafeGuard Enterprise-Server aus. Das Kommando braucht Administrator-Rechte (sudo). Hinweis: Wir empfehlen nicht, diese Option zu verwenden, da dadurch eine Sicherheits-Schwachstelle entstehen kann. sgdeadmin --update-machine-info [--domain "domain"] Aktualisiert die aktuell gespeicherten Computerinformationen, die verwendet werden, um diesen Client auf dem SafeGuard Enterprise Server zu registrieren. Das Kommando braucht Administrator-Rechte (sudo). Hinweis: Verwenden Sie diesen Befehl erst nach dem Ändern der Domain oder Arbeitsgruppe, zu welcher der Computer gehört. Gehört der Computer zu mehreren Domains oder Arbeitsgruppen und führen Sie diesen Befehl aus, kann dies zu einer Änderung der Domain-Registrierung und Entfernung von persönlichen Schlüsseln und/oder FileVault 2 Benutzern führen. sgdeadmin --enable-systemmenu Aktiviert das System-Menü am Endpoint. sgdeadmin --disable-systemmenu Deaktiviert das System-Menü am Endpoint. sgdeadmin --synchronize Startet die Synchronisierung von Datenbankinformation aus dem Management Center, wie z.B. von Richtlinien und Schlüsseln. 102 --domain "domain" Die Domain, die der Client für die Registrierung auf dem SafeGuard Enterprise Server verwenden sollte. Dieser Parameter ist nur erforderlich, wenn der Rechner zu mehreren Domains gehört. Der Computer muss dieser Domain hinzugefügt werden, ansonsten schlägt der Befehl fehl. Administratorhilfe 4.3 Über SafeGuard File Encryption für Mac Sophos SafeGuard File Encryption für Mac erweitert den Schutz der Daten, der von Sophos SafeGuard Enterprise geboten wird, von Windows auch in die Mac-Welt. Ermöglicht wird eine dateibasierte Verschlüsselung auf lokalen Laufwerken, auf Netzlaufwerken, auf Wechsellaufwerken und in der Cloud. Mit SafeGuard File Encryption für Mac können Sie Dateien sicher ver- und entschlüsseln und diese Dateien mit anderen Benutzern zwischen Mac-Rechnern und PCs austauschen. Um Dateien zu lesen, die mit SafeGuard Enterprise auf mobilen Geräten verschlüsselt wurden, verwenden Sie Sophos Secure Workspace für iOS oder Android. Im SafeGuard Management Center definieren Sie die Regeln für die dateibasierte Verschlüsselung in File Encryption-Richtlinien. In den File Encryption-Richtlinien geben Sie die Zielordner für File Encryption, den Verschlüsselungsmodus und den Schlüssel für die Verschlüsselung an. Diese Zentralverwaltung stellt sicher, dass identische Ordner und Verschlüsselungsschlüssel auf unterschiedlichen Plattformen verarbeitet werden. 4.3.1 Empfehlungen Verringern Sie den Administrationsaufwand Minimieren Sie die Anzahl der Mount Points (bzw. sicheren Ordner). Deaktivieren Sie die Option Bestätigung vor Erstellen mobiler Accounts einholen. Wenn Sie mobile Accounts auf Mac-Rechnern erstellen oder verwenden, stellen Sie sicher, dass die Option Bestätigung vor Erstellen mobiler Accounts einholen deaktiviert ist. Ist die Option aktiviert, könnte der Benutzer Nicht erstellen auswählen. Dies würde dazu führen, dass ein unvollständiger OS X Benutzer angelegt wird, z. B. ein Benutzer, der kein lokales Basisverzeichnis hat. Zum Deaktivieren der Option sind folgende Schritte erforderlich: 1. 2. 3. 4. 5. 6. 7. 8. Öffnen Sie die Systemeinstellungen und klicken Sie auf Benutzer & Gruppen. Klicken Sie auf das Schloss-Symbol und geben Sie dann Ihr Kennwort ein. Wählen Sie den Benutzer. Klicken Sie auf Anmeldeoptionen. Wählen Sie Netzwerkaccount-Server und klicken Sie auf Bearbeiten... Wählen Sie die Active Directory-Domäne. Klicken Sie auf Verzeichnisdienste öffnen... Klicken Sie auf das Schloss-Symbol, geben Sie dann Ihr Kennwort ein und klicken Sie Konfiguration ändern. 9. Wählen Sie Active Directory und klicken Sie auf das Bearbeiten-Symbol. 10. Klicken Sie auf den Pfeil neben Erweiterte Optionen einblenden. 11. Wählen Sie Mobilen Account bei Anmeldung erstellen und deaktivieren Sie die Option Bestätigung vor Erstellen mobiler Accounts einholen. 12. Bestätigen Sie Ihre Auswahl mit OK. 4.3.2 Einschränkungen Maximale Anzahl an sicheren Ordnern (Aktivierungspunkte bzw. Mount Points) auf einem Client 103 SafeGuard Enterprise Auf jedem Mac OS X Client kann es maximal 24 sichere Ordner (Aktivierungspunkte bzw. Mount Points) geben. Sind mehrere Benutzer auf einem Rechner angemeldet, müssen Sie die Mount Points aller angemeldeten Benutzer addieren. Ausgeschlossene Ordner Die folgenden Ordner werden von der Verschlüsselung ausgenommen: Ordner werden ausgenommen, aber nicht ihre Unterordner: <Root>/ <Root>/Volumes/ <User Profile>/ Ordner sowie ihre Unterordner werden ausgenommen: <Root>/bin/ <Root>/sbin/ <Root>/usr/ <Root>/private/ <Root>/dev/ <Root>/Applications/ <Root>/System/ <Root>/Library/ <User Profile>/Library/ /<Removables>/SGPortable/ /<Removables>/System Volume Information/ Das bedeutet, dass z. B. eine Verschlüsselungsregel für das Root einer zusätzlichen Partition (<Root>/Volumes/) keine Wirkung hat, auch wenn sie als erhaltene Richtlinie angezeigt wird. Eine Verschlüsselungsregel für <Root>/abc wirkt sich aus, aber nicht eine Verschlüsselungsregel für <Root>/private/abc. Nach Dateien suchen Spotlight-Suche Die Spotlight-Suche funktioniert nicht bei verschlüsselten Dateien. Dateien mit Etikett Die Suche nach Dateien mit Etikett funktioniert nicht in sicheren Ordnern. Verschlüsselte Dateien aus sicheren Ordnern verschieben Wenn Sie eine verschlüsselte Datei von einem sicheren Ordner in einen nicht-sicheren Ordner verschieben bleibt die Datei verschlüsselt, aber Sie können nicht auf den Inhalt zugreifen. Sie müssen sie zuerst manuell entschlüsseln. Wenn Sie eine verschlüsselte Datei in einem sicheren Ordner öffnen und in einen nicht-sicheren Ordner speichern wird die Datei automatisch entschlüsselt. 104 Administratorhilfe Permanente Versionsspeicherung in sicheren Ordnern nicht verfügbar Die Funktion Alle Versionen durchsuchen... ist für Dateien in sicheren Ordnern nicht verfügbar. Sichere Ordner freigeben Ein sicherer Ordner kann nicht über das Netzwerk freigegeben werden. CDs brennen Es ist nicht möglich, eine verschlüsselte CD zu brennen. Dateien löschen Beim Löschen von Dateien aus einem sicheren Ordner (Aktivierungspunkt bzw. Mount Point) wird eine Meldung angezeigt, mit der Sie aufgefordert werden, den Löschvorgang zu bestätigen. Gelöschte Dateien werden nicht in den Papierkorb verschoben und können somit nicht wiederhergestellt werden. SafeGuard Portable SafeGuard Portable ist nicht für Mac OS X verfügbar. AirDrop verwenden Verschlüsselte Dateien können mit AirDrop übertragen werden. Stellen Sie sicher, dass das Zielgerät verschlüsselte Dateien verarbeiten kann, da sich die Anwendungen sonst möglicherweise anders verhalten als erwartet. Handoff Handoff für verschlüsselte Dateien wird nicht unterstützt. Netzlaufwerke mit autofs aktivieren Netzlaufwerke, für die eine Richtlinie gilt und die beim Start automatisch aktiviert werden, werden von Sophos SafeGuard File Encryption nicht erkannt. Solche Aktivierungspunkte bzw. Mount Points können nicht verarbeitet werden, weil der ursprüngliche Mount Point nicht ersetzt werden kann. 4.3.3 Konfiguration Sophos SafeGuard File Encryption für Mac OS X wird über das SafeGuard Management Center verwaltet. Das folgende Kapitel beschreibt ausschließlich die Mac-spezifischen Konfigurationseinstellungen. SafeGuard File Encryption für Mac verwendet nur Richtlinien vom Typ Dateiverschlüsselung und Allgemeine Einstellungen. Das bedeutet, dass Sie nur eine Dateiverschlüsselungsrichtlinie für die Verwaltung der Datenverschlüsselung auf dem lokalen Dateisystem, Wechselmedien, Netzlaufwerken und Cloud-Speicher benötigen. Geräteschutz-Richtlinien (einschließlich der Richtlinien Cloud-Speicher und Verschlüsselung von Wechselmedien) werden für SafeGuard File Encryption für Mac OS X ignoriert. Weisen Sie den Benutzerobjekten immer Dateiverschlüsselung zu. Richtlinien vom Typ Dateiverschlüsselung, die Endpoints zugewiesen werden, haben keine Wirkung auf OS X Endpoints. Hinweis: 105 SafeGuard Enterprise Im SafeGuard Management Center müssen Pfade mit Backslashs eingegeben werden. Sie werden auf Mac Endpoints automatisch in Schrägstriche umgewandelt. 4.3.3.1 Zentral verwaltete Konfigurationsoptionen Die folgenden Optionen werden zentral im Management Center konfiguriert: ■ Richtlinien ■ Schlüssel ■ Zertifikate Das SafeGuard Enterprise Backend stellt ein X.509-Benutzerzertifikat zur Verfügung. Wenn Sie sich das erste Mal anmelden, wird ein Zertifikat generiert. Das Zertifikat schützt den Schlüsselring des Benutzers. ■ Server-Verbindungsintervall 4.3.4 Wie funktioniert Verschlüsselung? Jede verschlüsselte Datei ist mit einem zufallsgenerierten Schlüssel namens Data Encryption Key (DEK) unter Verwendung des AES-256-Algorithmus verschlüsselt. Dieser zufällig generierte und eindeutige DEK wird verschlüsselt und als Datei-Header zusammen mit der verschlüsselten Datei gespeichert. Dadurch erhöht sich die ursprüngliche Dateigröße um 4 KB. Der DEK wird mit einem Key Encryption Key (KEK) verschlüsselt. Der KEK wird in der zentralen SafeGuard Enterprise-Datenbank gespeichert. Der Sicherheitsbeauftragte ordnet diesen KEK einem einzelnen Benutzer, einer Benutzergruppe oder einer Organisationseinheit zu. Um eine verschlüsselte Datei zu entschlüsseln, muss der Benutzer den KEK speziell für diese Datei in seinem Schlüsselring haben. 4.3.5 Initialverschlüsselung Die Initialverschlüsselung kann im Einstellungsbereich oder auch über die Kommandozeile gestartet werden. Sowohl Administratoren als auch Benutzer können die initiale Verschlüsselung von Dateien auf lokalen Festplatten und Wechselmedien anstoßen. Netzwerkfreigaben können nur von Administratoren verschlüsselt werden. Eine Richtlinie definiert, ob die Initialverschlüsselung automatisch gestartet wird und ob lokale Ordner, Wechselmedien oder Cloud-Verzeichnisse verschlüsselt werden. So starten Sie die Verschlüsselung am Client manuell: 1. Öffnen Sie die Systemeinstellungen. 2. Klicken Sie auf das Sophos Encryption-Symbol. 3. Wählen Sie das Register Richtlinien. 4. Wechseln Sie in die Ansicht Lokal übersetzter Pfad sofern diese nicht bereits geöffnet ist. Sie können entweder a) alle Richtlinien über die Schaltfläche Erzwinge alle Richtlinien im unteren Fensterteil umsetzen 106 Administratorhilfe oder b) eine einzelne Richtlinie auswählen und auf Erzwinge Richtlinie klicken. Hinweis: Trennen Sie keine Geräte, auf denen gerade die Initialverschlüsselung ausgeführt wird. Hinweis: Wenn Sie Details und Inhalte des lokal übersetzten Pfads sehen wollen, wählen Sie den Pfad aus der Liste und klicken Sie auf Im Finder anzeigen. 4.3.6 Umgang mit Passwörtern Der Sophos SafeGuard Schlüsselring ist mit einem Benutzerzertifikat gesichert. Der entsprechende private Schlüssel ist mit dem OS X Kennwort geschützt. Das Kennwort wird benötigt, damit das Zertifikat erzeugt werden kann, wenn der Benutzer nicht in SafeGuard Enterprise angelegt wurde. Lokales Ändern des Kennworts Benutzer können ihre Kennwörter lokal unter Systemeinstellungen > Benutzer & Gruppen ändern. Es sind keine weiteren Schritte erforderlich. Kennwort wurde auf einem anderen Endpoint geändert Hinweis: Kennwörter können auf Windows und Mac Endpoints geändert werden. Da das Kennwort auf diesem Endpoint nicht mehr bekannt ist, müssen die folgenden Schritte ausgeführt werden: 1. 2. 3. 4. Melden Sie sich mit Ihrem neuen Kennwort bei OS X an. Das System konnte Ihren Schlüsselbund nicht entsperren wird angezeigt. Wählen Sie Schlüsselbundkennwort aktualisieren. Geben Sie das alte Kennwort ein. Nähere Informationen darüber, wie Sie Ihr Kennwort zurücksetzen können, falls Sie es vergessen haben, finden Sie unter Vergessenes Kennwort zurücksetzen (Seite 112). 4.3.7 Management der Wiederherstellungsschlüssel Wenn alle für FileVault 2 aktivierten Benutzer eines Systems ihre Kennwörter vergessen, keine Anmeldeinformationen verfügbar sind und kein Wiederherstellungsschlüssel verfügbar ist, kann das verschlüsselte Laufwerk nicht entsperrt werden und es besteht kein Zugriff auf die Daten. Daten könnten unwiederbringlich verloren werden, deshalb ist es wesentlich, die Wiederherstellung entsprechend zu planen. Ein neuer Wiederherstellungsschlüssel wird jeweils bei der Aktivierung der Festplattenverschlüsselung generiert. Wenn Sophos SafeGuard Native Device Encryption zum Zeitpunkt der Verschlüsselung noch nicht installiert ist, dann wird er dem Benutzer angezeigt, der in der Folge auch dafür verantwortlich ist, ihn gegen Verlust zu schützen. Ist Sophos SafeGuard Native Device Encryption installiert, dann wird er sicher an das SafeGuard Enterprise übermittelt und dort zentral gespeichert. Der Sicherheitsbeauftragte kann den Wiederherstellungsschlüssel jederzeit abfragen, wenn er benötigt wird. Siehe Vergessenes Kennwort zurücksetzen (Seite 112). 107 SafeGuard Enterprise Aber selbst wenn SafeGuard Native Device Encryption zum Zeitpunkt der Verschlüsselung nicht installiert war, kann der Wiederherstellungsschlüssel zentral verwaltet werden. Dafür ist es notwendig, ihn zu importieren. Der entsprechende Kommandozeilenbefehl ist sgdeadmin --import-recoverykey, siehe auch Kommandozeilen-Optionen (Seite 100). Der Wiederherstellungsschlüssel wird in Großbuchstaben gesendet. Ein eventuell vorhandener institutioneller Wiederherstellungsschlüssel kann ebenfalls verwendet werden. Mehr Information dazu finden Sie auch in: OS X: How to create and deploy a recovery key for FileVault 2 unter support.apple.com/kb/HT5077 4.3.8 Schneller Benutzerwechsel SafeGuard File Encryption für Mac unterstützt auch den schnellen Benutzerwechsel. Sie können so zwischen Benutzerkonten auf einem Endpoint wechseln, ohne Anwendung beenden oder sich von dem Rechner abmelden zu müssen. 4.3.9 Lokale Schlüssel Hinweis: Lokale Schlüssel können nicht mit SafeGuard Synchronized Encryption verwendet werden. Sie können lokale Schlüssel zum Verschlüsseln von Dateien in bestimmten Verzeichnissen auf Wechselmedien oder in der Cloud verwenden. Diese Verzeichnisse müssen bereits in einer Verschlüsselungsrichtlinie enthalten sein. So erzeugen Sie lokale Schlüssel: 1. Öffnen Sie das System-Menü und wählen Sie Schlüssel erzeugen. 2. Wählen Sie einen Namen und eine Passphrase für Ihren Schlüssel und klicken Sie auf OK. Der Schlüsselname wird automatisch vorne mit "Local_" und hinten mit Datum und Zeit ergänzt. Der Schlüssel wird erzeugt und im Einstellungsbereich angezeigt. Der Benutzer kann nun den lokalen Schlüssel auf ein Wechselmedium oder einem Cloud-Verzeichnis anwenden. 4.3.10 Kommandozeilen-Optionen Terminal erlaubt Ihnen, Kommandos und Kommandozeilen-Optionen einzugeben. Folgende Kommandozeilen-Optionen stehen zur Verfügung: Kommando-Name sgfsadmin sgfsadmin --version 108 Definition Listet die verfügbaren Kommandos zusammen mit einer Kurzhilfe auf. Zeigt Version und Copyright des installierten Produkts an. Zusätzliche Parameter (optional) --help Administratorhilfe Kommando-Name sgfsadmin --status sgfsadmin --list-user-details sgfsadmin --list-keys sgfsadmin --list-policies sgfsadmin --enforce-policies Definition Zusätzliche Parameter (optional) Zeigt Systemstatusinformationen wie Versions-, Server- und Zertifikatsinformation an. Zeigt Informationen zum momentan angemeldeten Benutzer an. --all zeigt Information für alle Benutzer an (sudo erforderlich). Listet existierende GUIDS und Schlüsselnamen aller Schlüssel im Schlüsselbund auf --all zeigt Information für alle Benutzer an (sudo erforderlich). Zeigt Richtlinien-spezifische Informationen an. Schlüssel-GUIDS werden wenn möglich in Schlüsselnamen aufgelöst. Fett ausgezeichnete Elemente zeigen einen persönlichen Schlüssel an. --all zeigt Information für alle Benutzer an (sudo erforderlich). Wendet die Verschlüsselungs-Richtlinie an --all wendet die Richtlinie auf alle Verzeichnisse an, wo Richtlinien gelten --xml zeigt Ausgabe im xml-Format an. --xml zeigt Ausgabe im xml-Format an. --xml zeigt Ausgabe im xml-Format an. --raw zeigt Richtlinien in Originalansicht an, d.h. so wie sie auf SafeGuard Management Center-Serverseite aufgesetzt sind. "directoryname" wendet die Richtlinie auf das angegebene Verzeichnis an. sgfsadmin --file-status Zeigt --xml zeigt Ausgabe im "filename1" Verschlüsselungsinformation für xml-Format an. ["filename2"..."filenameN"] eine Datei oder Dateilisten an. Die Verwendung von Platzhaltern ist erlaubt. sgfsadmin --import-config "/Pfad/zur/Datei" Importiert die angegebene Konfigurations-Zipdatei Das Kommando braucht Administrator-Rechte (sudo). Hinweis: Ziehen Sie komplette Pfade mit der Maus z.B. aus dem Finder in die Terminal-Anwendung. 109 SafeGuard Enterprise Kommando-Name sgfsadmin --enable-server-verify Definition Zusätzliche Parameter (optional) Schaltet die SSL-Serververifizierung für die Kommunikation mit dem SafeGuard Enterprise-Server ein. Nach der Installation ist die SSL-Serververifizierung standardmäßig aktiviert. Das Kommando braucht Administrator-Rechte (sudo). sgfsadmin Schaltet die --disable-server-verify SSL-Serververifizierung für die Kommunikation mit dem SafeGuard Enterprise-Server aus. Das Kommando braucht Administrator-Rechte (sudo). Hinweis: Wir empfehlen nicht, diese Option zu verwenden, da dadurch eine Sicherheits-Schwachstelle entstehen kann. sgfsadmin --update-machine-info [--domain "domain"] Aktualisiert die aktuell gespeicherten Computerinformationen, die verwendet werden, um diesen Client auf dem SafeGuard Enterprise Server zu registrieren. Das Kommando braucht Administrator-Rechte (sudo). Hinweis: Verwenden Sie diesen Befehl erst nach dem Ändern der Domain oder Arbeitsgruppe, zu welcher der Computer gehört. Gehört der Computer zu mehreren Domains oder Arbeitsgruppen und führen Sie diesen Befehl aus, kann dies zu einer Änderung der Domain-Registrierung und Entfernung von persönlichen Schlüsseln und/oder FileVault 2 Benutzern führen. sgfsadmin Sammelt Anwendungspfade, die --dump-unprivileged-applications nicht autorisiert sind, auf verschlüsselte Dateien [path] zuzugreifen. Sie können die Information dazu verwenden, um Anwendungen zur Applikationenliste hinzuzufügen. Sie können die Resultate auf 110 --domain "domain" Die Domain, die der Client für die Registrierung auf dem SafeGuard Enterprise Server verwenden sollte. Dieser Parameter ist nur erforderlich, wenn der Rechner zu mehreren Domains gehört. Der Computer muss dieser Domain hinzugefügt werden, ansonsten schlägt der Befehl fehl. Administratorhilfe Kommando-Name Definition Zusätzliche Parameter (optional) einen bestimmten Pfad beschränken. Hinweis: Diese Funktion ist nur für Synchronized Encryption relevant. sgfsadmin --synchronize Startet die Synchronisierung von Datenbankinformation aus dem Management Center, wie z.B. von Richtlinien, Zertifikaten und Schlüsseln. 4.3.11 Verwendung von Time Machine Hinweis: Dieser Abschnitt ist nur relevant, wenn eine Verschlüsselungsregel für Wechselmedien definiert ist. Wenn Sie eine neue Festplatte für das Time Machine Backup verwenden wollen und die Platte nicht automatisch vom System dafür vorgeschlagen wird, verwenden Sie folgenden Befehl in der Terminal-Anwendung: sudo tmutil setdestination -a "/Volumes/.sophos_safeguard_{DISK NAME}/" Wenn Sie Time Machine für einen verschlüsselten Ordner verwenden, werden keine alten Versionen angezeigt. Die Backups sind jedoch in einem verborgenen Ordner gespeichert. Sie können die Inhalte der Dateien in dem versteckten Pfad nicht lesen. Die Sicherung enthält somit nur verschlüsselte Daten und Ihre Inhalte bleiben geschützt. Um Dateien wiederherzustellen, gehen Sie wie folgt vor: 1. Öffnen Sie Time Machine (z. B. indem Sie "Time Machine" in die Spotlight-Suche eingeben). Die Inhalte Ihres Stammverzeichnisses werden angezeigt. 2. Drücken Sie Shift + CMD + G (für "Gehe zu Ordner:") und geben Sie den versteckten Pfad des verschlüsselten Ordners ein, den Sie wiederherstellen möchten. Wenn der verschlüsselte Ordner, mit dem Sie normalerweise arbeiten, /Benutzer/Admin/Dokumente heißt, geben Sie /Benutzer/Admin/.sophos_safeguard_Dokumente/ ein. 3. Suchen Sie die Datei, die Sie wiederherstellen möchten, klicken Sie auf das Rad-Symbol in der Time Machine Menüleiste und wählen Sie <file name> wiederherstellen nach.... Wenn Sie von Time Machine zu Ihrem Desktop zurückkehren, ist Ihre Datei wiederhergestellt und kann entschlüsselt werden. Hinweis: Das erste Time Machine Backup nach einer Neuinstallation von SafeGuard File Encryption dauert länger und benötigt mehr Speicherplatz als sonst. Der Grund dafür ist, dass OS X keine gestapelten Dateisysteme unterstützt und daher alle lokalen Verzeichnisse, für die sichere Mount Points erstellt wurden (Dokumente, Musik, Filme etc.), beim Backup dupliziert werden. Nachdem das erste Backup am verborgenen Speicherort abgeschlossen ist, werden jedoch ältere Backups gelöscht und Speicherplatz wird freigegeben. 111 SafeGuard Enterprise 4.3.12 Arbeiten mit Wechselmedien Stellen Sie vor dem Arbeiten mit Wechselmedien sicher, dass Ihnen eine Richtlinie und ein Schlüssel zugewiesen wurden, die es Ihnen erlauben, Dateien auf Wechselmedien zu verschlüsseln. 1. Schließen Sie das Wechselmedium an. 2. Es öffnet sich ein Dialog, in dem Sie gefragt werden, ob Sie Klartextdateien auf dem Gerät verschlüsseln möchten. Nach dem Klicken auf Ja startet die Verschlüsselung. Wenn Sie auf NEIN klicken, bleiben diese Dateien unverschlüsselt, aber Sie haben Zugriff auf Dateien auf dem Gerät, die bereits verschlüsselt sind. Unabhängig von Ihrer Auswahl werden neue Dateien auf dem Gerät immer gemäß der Richtlinie verschlüsselt. 3. Die Dateien auf Ihrem Wechselmedium werden automatisch verschlüsselt. Dies wird durch das System-Menü-Symbol des sich drehenden Rads angezeigt 4. Sind alle Dateien auf Ihrem Medium verschlüsselt, so hört das Rad auf, sich zu drehen. 5. Werfen Sie das Wechselmedium aus. Das zugehörige Symbol für den sicheren Ordner wird automatisch ausgeblendet. Hinweis: Um Daten auf Wechselmedien zwischen zwei Stellen austauschen und bearbeiten zu können, müssen beiden Stellen die zugehörige Richtlinie und der entsprechende Schlüssel zugewiesen werden. Es können keine persönlichen Schlüssel verwendet werden. Für den Austausch zwischen Windows- und Mac OS X-Clients muss das Gerät mit FAT32 formatiert sein. Da das Dateiformat nicht im Finder angezeigt werden kann, müssen Sie Das Festplattendienstprogramm (Disk Utility) verwenden, um das Dateisystem, mit dem das Wechselmedium formatiert wurde, anzuzeigen. Für den Windows-Client ist eine Datenaustausch-Richtlinie erforderlich. Die Medien-Passphrase-Funktionalität steht nur für Windows zur Verfügung. Der Zugriff auf die Daten von einem Mac OS X-Client aus ist nur möglich, wenn entsprechende Richtlinien vom Typ Dateiverschlüsselung definiert werden. 4.4 Fehlerbehebung 4.4.1 Vergessenes Kennwort zurücksetzen Hinweis: Diese Anleitung geht von dem Fall aus, dass ein Benutzer sowohl SafeGuard Disk Encryption als auch SafeGuard File Encryption oder Synchronized Encryption auf seinem Mac installiert hat. Ist nur eines der genannten Module installiert, können die erforderlichen Schritte abweichen. Hat ein Benutzer sein Mac OS X Anmeldekennwort vergessen, so gehen Sie wie folgt vor: 1. Fordern Sie den Benutzer auf, den Anmeldedialog zu öffnen und auf ? zu klicken. Die Merkhilfe für das Kennwort wird angezeigt und der Benutzer wird aufgefordert, das Kennwort mithilfe des Recovery-Schlüssels zurückzusetzen. 2. Lassen Sie den Benutzer auf das Dreieck neben dem Text klicken, um zum nächsten Schritt (Eingabe des Recovery-Schlüssels) zu gelangen: 112 Administratorhilfe 3. Öffnen Sie im SafeGuard Management Center den Recovery-Assistenten über Extras > Recovery und zeigen Sie den Recovery-Schlüssel für den betroffenen Endpoint an. 4. Teilen Sie dem Benutzer den Recovery-Schlüssel zur Eingabe im Anmeldedialog mit. Der Recovery-Schlüssel wird erneuert, sobald er einmal zum Starten des Systems verwendet wurde. Der neue Recovery-Schlüssel wird automatisch erzeugt und an das SafeGuard Enterprise Backend gesendet, wo er gespeichert wird, um für das nächste Recovery verfügbar zu sein. 5. Wählen Sie im SafeGuard Management Center Benutzer und Computer und entfernen Sie das Benutzerzertifikat. 6. Bei lokalen Benutzern gehen Sie folgendermaßen vor: a) Fordern Sie den Benutzer auf, ein neues Kennwort und eine Merkhilfe zu definieren. b) Wählen Sie im SafeGuard Management Center Benutzer und Computer > .Unbestätigte Benutzer und bestätigen Sie den Benutzer. c) Lassen Sie den Benutzer die Registerkarte Server im Einstellungsbereich öffnen und Synchronisieren klicken. 7. Bei Active Directory Benutzern gehen Sie folgendermaßen vor: a) Setzen Sie das alte Kennwort in der Benutzerverwaltung zurück und generieren Sie ein vorläufiges Kennwort. Wählen Sie die entsprechende Option um den Benutzer zu zwingen, sein Kennwort nach der ersten Anmeldung zu ändern. b) Kontaktieren Sie den Benutzer und übergeben Sie das vorläufige Kennwort. c) Lassen Sie den Benutzer im Dialog Kennwort zurücksetzen auf Abbrechen klicken und das vorläufige Kennwort eingeben. d) Fordern Sie den Benutzer auf, ein neues Kennwort und eine Merkhilfe zu definieren und auf Passwort zurücksetzen zu klicken. 8. Im folgenden Dialog muss der Benutzer auf Neuen Schlüsselbund erstellen klicken. 9. Nun wird der Benutzer aufgefordert, sein neues Kennwort einzugeben, um ein SafeGuard-Benutzerzertifikat zu erstellen. Die Schlüssel des Benutzers werden automatisch in den neuen Schlüsselbund geladen, so dass alle Dokumente wie bisher zugänglich sind. Hinweis: Seien Sie bei der Weitergabe von Recovery-Schlüsseln vorsichtig. Ein Recovery-Schlüssel ist immer gerätespezifisch, nicht benutzerspezifisch. Stellen Sie sicher, dass der Recovery-Schlüssel nicht dazu missbraucht wird, um unautorisierten Zugriff auf sensible Benutzerdaten auf demselben Gerät zu erlangen. 4.4.2 Probleme beim Zugriff auf Daten Wenn ein Benutzer Probleme beim Zugriff auf seine Daten hat, kann dies folgende Ursachen haben: ■ Der Benutzer wurde noch nicht bestätigt. Nähere Informationen zu unbestätigten Benutzern finden Sie unter Erweiterte Authentisierung - Benutzergruppe .Unbestätigte Benutzer (Seite 8). Hinweis: Lokale Benutzer sind immer unbestätigte Benutzer. ■ Der Benutzer hat nicht den erforderlichen Schlüssel in seinem Schlüsselring. 113 SafeGuard Enterprise Nähere Informationen zum Zuweisen von Schlüsseln finden Sie unter Zuweisen von Schlüsseln im Bereich Benutzer & Computer (Seite 288). ■ Die Schlüssel wurden aus Sicherheitsgründen vorübergehend entzogen. Der Endpoint gilt als unsicher oder gefährdet. 4.4.3 Ordner "SafeGuard Recovered Files" Unter bestimmten Umständen kann es sein, dass sich ein Ordner namens Sophos SafeGuard Recovered Files in einem Ordner befindet. Dies ist dann der Fall, wenn SafeGuard File Encryption versucht, einen neuen sicheren Ordner (Aktivierungspunkt bzw. Mount Point) zu erstellen, aber der versteckte Ordner, der zum Speichern der verschlüsselten Inhalte erstellt werden muss (z. B. /Users/admin/.sophos_safeguard_Documents/) bereits existiert und nicht leer ist. Dann wird der Inhalt des ursprünglichen Ordners (z. B. /Users/admin/Documents) zu Sophos SafeGuard Recovered Files verschoben und es wird wie sonst auch nur der Inhalt des versteckten Ordners angezeigt. 4.5 Bestands- und Statusinformationen für Macs Für Macs liefert der Bestand u. a. folgende Informationen zu den einzelnen Maschinen: Die angezeigten Daten können variieren, je nachdem, welches Sophos Produkt installiert ist: 114 ■ Name des Mac ■ Betriebssystem ■ POA-Typ ■ POA-Status ■ Anzahl an verschlüsselten Laufwerken ■ Anzahl an unverschlüsselten Laufwerken ■ Letzter Server-Kontakt ■ Änderungsdatum ■ Informationen dazu, ob das aktuelle Unternehmenszertifikat verwendet wird. Administratorhilfe 5 Module 5.1 Synchronized Encryption Synchronized Encryption baut auf zwei Annahmen auf - erstens, dass alle Daten wichtig sind und geschützt (verschlüsselt) sein müssen, und zweitens, dass diese Verschlüsselung persistent sein soll, egal wo sich die Daten befinden. Zusätzlich sollen Daten automatisch und transparent verschlüsselt werden, so dass sich Benutzer nicht darum kümmern müssen, ob eine Datei verschlüsselt werden muss oder nicht. Diese grundlegende Prämisse, dass alle Daten wichtig sind und verschlüsselt werden müssen, stellt sicher, dass Daten nahtlos und ohne Zutun des Benutzers verschlüsselt werden. Dies ermöglicht Benutzern produktiv zu bleiben, ihre Daten zu sichern und dabei ihre gewohnten Arbeitsabläufe nicht verändern zu müssen. Hinweis: Dieser Abschnitt gilt sowohl für Windows als auch für Mac OS X. Informationen, die nur für eines der Systeme relevant sind, werden explizit gekennzeichnet. Module ■ Anwendungsbasierte Dateiverschlüsselung SafeGuard Enterprise Synchronized Encryption kann jede Datei, die mit einer per Richtlinie definierten Anwendung erstellt wurde, verschlüsseln, egal wo die Datei gespeichert wird. Wenn Sie die Dateiverschlüsselung zum Beispiel für Microsoft Word aktivieren, wird jede Datei, die Sie mit Word erstellen oder speichern automatisch mit dem Synchronized Encryption-Schlüssel verschlüsselt. Jeder, der diesen Schlüssel in seinem Schlüsselring hat, kann auf diese Datei zugreifen. Eine Richtlinie definiert eine Liste von Anwendungen, für die die Dateiverschlüsselung automatisch durchgeführt wird. ■ Outlook Add-In Synchronized Encryption beinhaltet ein Outlook-Add-In, das automatisch erkennt, wenn eine E-Mail mit Anhängen an Empfänger außerhalb Ihres Unternehmens versendet wird. Benützer müssen entscheiden, ob sie den Anhang Kennwortgeschützt oder Ungeschützt senden möchten. Gegebenenfalls können Benutzer im angezeigten Dialog ein Kennwort definieren. Alternativ dazu können Sie per Richtlinie ein Standardverhalten definieren, das automatisch und ohne Benutzerinteraktion ausgeführt wird. Hinweis: Das Outlook Add-In ist nur für Windows Endpoints verfügbar. ■ Integration in Sophos Central Endpoint Protection - Schlüssel auf gefährdeten Computern entziehen In Kombination mit Sophos Central Endpoint Protection können Schlüssel automatisch entfernt werden, wenn bösartige Aktivitäten auf dem Endpoint festgestellt werden. Hinweis: Dieses Feature ist nur verfügbar, wenn Sie web-basierte Sophos Central Endpoint Protection gemeinsam mit SafeGuard Enterprise verwenden. ■ Schlüsselring zwischen SafeGuard Enterprise und Sophos Mobile Control austauschen 115 SafeGuard Enterprise Schlüssel im SafeGuard Enterprise Schlüsselring können in der Sophos Secure Workspace App (SSW), die über Sophos Mobile Control verwaltet wird, bereitgestellt werden. Benutzer der App können dann die Schlüssel zum Entschlüsseln, Lesen und Verschlüsseln von Dokumenten verwenden. Diese Dateien können dann sicher zwischen allen Benutzern von SafeGuard Enterprise und SSW ausgetauscht werden. 5.1.1 Voraussetzungen Um Synchronized Encryption Funktionen verwenden zu können, müssen die folgenden Voraussetzungen erfüllt sein: SafeGuard Enterprise Server, Datenbank und Management Center sind fertig eingerichtet. Das Modul Synchronized Encryption muss auf den Endpoints installiert sein. Hinweis: Synchronized Encryption ersetzt alle anderen SafeGuard Enterprise File Encryption Module. Es kann nicht zusätzlich zu Data Exchange, File Encryption oder Cloud Storage installiert werden. File Encryption Richtlinien, die von diesen pfadbasierten Modulen verwendet werden, sind nicht kompatibel mit den neuen anwendungsbasierten Synchronized Encryption Richtlinien. Wenn Sie vom SafeGuard Enterprise File Encryption Modul zum Synchronized Encryption Modul wechseln und die pfadbasierten Richtlinien behalten, zeigt das RSOP im SafeGuard Management Center zwar beide Richtlinien an, aber nur die anwendungsbasierte ist gültig. Der Grund dafür ist, dass das RSOP bei seiner Berechnung die installierten Module auf dem Endpoint nicht berücksichtigt. Das Synchronized Encryption Modul ist nicht mit SafeGuard LAN Crypt kompatibel. So aktivieren Sie die Features: Erstellen Sie anwendungsbasierte Dateiverschlüsselungsrichtlinien (Synchronized Encryption). Erstellen Sie Richtlinien für die Aktivierung des Outlook-Add-Ins (verschlüsselt Mailanhänge entsprechend der Richtlinieneinstellungen). Erstellen Sie Richtlinien für die Aktivierung der Integration in Sophos Endpoint Protection (entfernt bei bösartigen Aktivitäten die Schlüssel von Endpoints). Konfigurieren Sie die Synchronisierung des SafeGuard Enterprise Schlüsselrings für mobile Geräte mit Sophos Mobile Control. Hinweis: Auf Macs gelten nur benutzerbasierte Richtlinien. Maschinenrichtlinien werden ignoriert. 5.1.1.1 Installation auf Endpoints Führen Sie den Client-Installer für Ihre Plattform aus. Wählen Sie auf Windows-Endpoints im darauf folgenden Dialog das Synchronized Encryption Modul aus. Befolgen Sie die Anweisungen auf dem Bildschirm. 5.1.1.2 Aktualisierung von Endpoints Windows: Um Ihre Endpoints von SafeGuard Enterprise 6.1 (oder höher) zu aktualisieren und das Synchronized Encryption Modul zu installieren, führen Sie den Client-Installer für Ihre Plattform aus und folgen Sie den Anweisungen auf dem Bildschirm. Dies aktualisiert 116 Administratorhilfe die installierten Module auf Version 8. Um das Synchronized Encryption Modul zu installieren, starten Sie die Installation erneut, wählen Sie Ändern im Dialog Installation ändern, reparieren oder entfernen und wählen Sie Synchronized Encryption. Falls installiert, entfernen Sie pfadbasierte Dateiverschlüsselung. Mac OS X Führen Sie den Client-Installer aus und folgen Sie den Anweisungen auf dem Bildschirm. 5.1.1.3 Migration von bestehenden Dateiverschlüsselungsmodulen auf Windows Benutzer können vom SafeGuard Enterprise File Encryption Modul zum Synchronized Encryption Modul migrieren. Dateien, die davor verschlüsselt waren, bleiben verschlüsselt und zugänglich. Dateien, die nach der Migration bearbeitet und gespeichert werden, werden mit dem Synchronized Encryption-Schlüssel neu verschlüsselt. Dateien können mit dem Synchronized Encryption-Schlüssel neu verschlüsselt werden indem Sie per Richtlinie eine Initialverschlüsselung definieren. Voraussetzungen Stellen Sie sicher, dass alle erforderlichen Schlüssel ("alte" Schlüssel, die zur Verschlüsselung mit dem File Encryption Modul verwendet wurden, und "neue" Synchronized Encryption Schlüssel) im Schlüsselring der Benutzer vorhanden sind. ■ ■ Falls nötig, können Sie Benutzern Schlüssel im Management Center zuweisen. Benutzer müssen, wenn benötigt, benutzerdefinierte lokale Schlüssel in ihren Schlüsselring importieren, siehe Kapitel Import von Schlüsseln aus einer Datei in der SafeGuard Enterprise Benutzerhilfe. Dann stehen die lokalen Schlüssel auch auch im SafeGuard Management Center zur Verfügung. Sie können Benutzern nach Bedarf zugewiesen werden. Migration durchführen Führen Sie folgende Schritte aus: 1. Installieren Sie das Synchronized Encryption Modul am Endpoint. Das Modul ersetzt das bestehende File Encryption Modul. 2. Stellen Sie sicher, dass alle Schlüssel, die die Benutzer von File Encryption in ihrem Schlüsselring hatten, im Schlüsselring erhalten bleiben. Dies ermöglicht den Benutzern, auch mit Synchronized Encryption auf alle verschlüsselten Dateien zuzugreifen. 3. Erzeugen Sie im Management Center neue Synchronized Encryption Richtlinien. ■ ■ ■ Alle Anwendungen, die auf verschlüsselte Dateien zugreifen können sollen, müssen in der Applikationenliste enthalten sein, die in den Synchronized Encryption Richtlinien verwendet wird. Synchronized Encryption Richtlinien sollen den selben Umfang der Verschlüsselung haben wie die früheren pfadbasierten File Encryption Richtlinien. Definieren Sie Einstellungen für die Initialverschlüsselung. Die Initialverschlüsselung startet unmittelbar nachdem die Richtlinie am Endpoint angewendet wurde und es werden alle Dateien mit dem Synchronized Encryption Schlüssel verschlüsselt oder neu verschlüsselt. Folglich sind alle Dateien entsprechend der Richtlinie verschlüsselt. Hinweis: Die Initialverschlüsselung kann auch über das Windows Explorer Kontextmenü gestartet werden (SafeGuard File Encryption > Gemäß Richtlinie verschlüsseln). 4. Verteilen Sie die Richtlinien 117 SafeGuard Enterprise Ergebnis ■ ■ ■ Verschlüsselte Dateien, die in den Synchronized Encryption Richtlinien enthalten sind, werden mit dem Synchronized Encryption Schlüssel neu verschlüsselt. Dateien, die mit Anwendungen erzeugt oder geändert wurden, die in der Synchronized Encryption Applikationenliste enthalten sind, werden mit dem Synchronized Encryption Schlüssel verschlüsselt. Verschlüsselte Dateien, die nicht in den Synchronized Encryption Richtlinien enthalten sind, bleiben mit dem ursprünglichen File Encryption Schlüssel verschlüsselt. Benutzer, die den erforderlichen Schlüssel in ihrem Schlüsselring haben, können Dateien immer manuell entschlüsseln, auch wenn die Dateien in keiner Verschlüsselungsrichtlinie enthalten sind. 5.1.1.4 Migration von bestehenden Dateiverschlüsselungsmodulen auf OS X Sophos SafeGuard Enterprise OS X Endpoints können sowohl Synchronized Encryption Richtlinien vom Typ Anwendungsbasiert als auch File Encryption Richtlinien vom Typ Pfadbasiert verarbeiten. Abhängig davon, welche Richtlinien sie erhalten, verhalten sie sich wie Synchronized Encryption Endpoints oder wie File Encryption Endpoints. Wenn Sie von Version 6.1 aktualisieren, bleiben die Endpoints im pfadbasierten File Encryption Modus wie in der vorigen Version. So wechseln Sie auf den anwendungsbasierten Synchronized Encryption Modus: Migration durchführen 1. Erzeugen Sie im Management Center neue Synchronized Encryption Richtlinien. ■ ■ ■ Alle Anwendungen, die auf verschlüsselte Dateien zugreifen können sollen, müssen in der Applikationenliste enthalten sein, die in den Synchronized Encryption Richtlinien verwendet wird. Synchronized Encryption Richtlinien sollen den selben Umfang der Verschlüsselung haben wie die früheren pfadbasierten File Encryption Richtlinien. Definieren Sie Einstellungen für die Initialverschlüsselung. Die Initialverschlüsselung startet unmittelbar nachdem die Richtlinie am Endpoint angewendet wurde und es werden alle Dateien mit dem Synchronized Encryption Schlüssel verschlüsselt oder neu verschlüsselt. Folglich sind alle Dateien entsprechend der Richtlinie verschlüsselt. Hinweis: Benutzer können die Initialverschlüsselung auch über die Registerkarte Richtlinien im Einstellungsbereich starten (Erzwinge alle Richtlinien). 2. Verteilen Sie die Richtlinien 3. Benutzer werden nach dem Erhalt der Richtlinien aufgefordert, sich ab- und wieder anzumelden. Ergebnis ■ 118 Verschlüsselte Dateien, die in den Synchronized Encryption Richtlinien enthalten sind, werden mit dem Synchronized Encryption Schlüssel neu verschlüsselt. Administratorhilfe ■ ■ Dateien, die mit Anwendungen erzeugt oder geändert wurden, die in der Synchronized Encryption Applikationenliste enthalten sind, werden mit dem Synchronized Encryption Schlüssel verschlüsselt. Verschlüsselte Dateien, die nicht in den Synchronized Encryption Richtlinien enthalten sind, bleiben mit dem ursprünglichen File Encryption Schlüssel verschlüsselt. Benutzer, die den erforderlichen Schlüssel in ihrem Schlüsselring haben, können Dateien immer manuell entschlüsseln, auch wenn die Dateien in keiner Verschlüsselungsrichtlinie enthalten sind. 5.1.1.5 Partieller Rollout von Synchronized Encryption Stellen Sie im Fall eines partiellen Rollouts von SafeGuard Enterprise Synchronized Encryption sicher, dass alle Benutzer auf gemeinsam verwendete verschlüsselte Dateien zugreifen können. Wenn Sie die Verschlüsselung in Ihrem Unternehmen Schritt für Schritt einführen möchten, können Sie damit beginnen, Synchronized Encryption Richtlinien mit aktivierter Verschlüsselung zum Beispiel nur an die Endpoints der Marketing -Abteilung zu verteilen. Diese Endpoints werden dann Dateien entsprechend der Synchronized Encryption Richtlinien verschlüsseln. Benutzer in anderen Abteilungen können dann nicht auf diese Dateien zugreifen, da die Synchronized Encryption Richtlinien auf ihren Endpoints noch nicht ausgerollt wurden. Um diese Situation zu vermeiden, können Sie Lesezugriff-Richtlinien verteilen, die das Lesen von verschlüsselten Dateien ermöglichen. Damit können keine Daten verschlüsselt werden, jedoch können verschlüsselte Daten gelesen werden. Voraussetzung: SafeGuard Enterprise Server, Datenbank und Management Center sind fertig eingerichtet. Das Synchronized Encryption Modul ist auf allen Endpoints installiert und kann sich mit dem Management Center verbinden (Konfigurationspaket ist installiert). Sie haben eine Applikationenliste und eine Synchronized Encryption Richtlinie für die Endpoints erstellt, die Daten verschlüsseln sollen. Folgende Schritte sind für den Rollout von SafeGuard Enterprise Synchronized Encryption erforderlich: 1. Erstellen Sie eine Synchronized Encryption Richtlinie (anwendungsbasiert) im SafeGuard Management Center. 2. Verteilen Sie die Richtlinie an die Benutzer, deren Endpoints Daten verschlüsseln sollen. Im genannten Beispiel sind dies die Endpoints der Marketing-Abteilung. 3. Erstellen Sie Lesezugriff-Richtlinien. Hinweis: Sie müssen gesonderte Richtlinien für Windows und Mac Endpoints erstellen. 4. Verteilen Sie die Lesezugriff-Richtlinien an alle übrigen Windows und Mac Endpoints. Im genannten Beispiel sind dies alle Endpoints außerhalb der Marketing-Abteilung. 5.1.1.5.1 Erstellen von Lesezugriff-Richtlinien für Windows Endpoints 1. Klicken Sie im Management Center auf Richtlinien. 2. Klicken Sie mit der rechten Maustaste auf Richtlinien, wählen Sie Neu und dann Dateiverschlüsselung. 3. Geben Sie einen Namen für die Richtlinie ein und klicken Sie auf OK. 119 SafeGuard Enterprise 4. Wählen Sie in der Registerkarte Dateiverschlüsselung die Option Anwendungsbasierend (Synchronized Encryption) aus der Auswahlliste Verschlüsselungstyp. Applikationenliste und Umfang der Verschlüsselung Optionen werden angezeigt. 5. Wählen Sie die Applikationenliste, die Sie zuvor in der Auswahlliste erstellt haben. 6. Wählen Sie aus der Auswahlliste Umfang der Verschlüsselung die Option Definierte Speicherorte. 7. Wenn Sie die Registerkarte Dateiverschlüsselung verlassen, werden Sie aufgefordert, Ihre Änderungen zu speichern. 8. Klicken Sie auf Ja. 9. Wechseln Sie zu Benutzer und Computer und aktivieren Sie die neue Richtlinie für die Windows-Benutzer, die verschlüsselte Daten lesen, aber nicht selbst verschlüsseln können sollen. Hinweis: Diese Richtlinie darf keinen Mac OS X Endpoints zugewiesen werden. Dies kann erreicht werden, indem Sie die Richtlinie nur für .Authentisierte Computer aktivieren, da Mac OS X Endpoints nur Benutzereinstellungen interpretieren. Ziehen Sie dazu die Gruppe .Authentisierte Benutzer vom Richtlinien-Aktivierungsbereich in die Liste Verfügbare Gruppen. 5.1.1.5.2 Erstellen von Lesezugriff-Richtlinien für Mac Endpoints 1. Klicken Sie im Management Center auf Richtlinien. 2. Klicken Sie mit der rechten Maustaste auf Richtlinien, wählen Sie Neu und dann Dateiverschlüsselung. 3. Geben Sie einen Namen für die Richtlinie ein und klicken Sie auf OK. 4. Wählen Sie in der Registerkarte Dateiverschlüsselung die Option Pfadbasiert aus der Auswahlliste Verschlüsselungstyp. Eine Liste zum Definieren der Pfade für die pfadbasierte Verschlüsselung wird angezeigt. 5. Geben Sie folgende Pfade an und schließen Sie sie von der Verschlüsselung aus. a) Netzwerkfreigaben: Verwenden Sie den Platzhalter <Network Shares>, um auf das Root-Verzeichnis aller Mac OS X Netzwerkfreigaben zu verweisen. b) Wechselmedien: Verwenden Sie den Platzhalter <Removables>, um auf das Root-Verzeichnis aller Mac OS X Wechselmedien zu verweisen. c) Cloudspeicher-Dienste Geben Sie einen oder mehrere Ordner ein, die mit der Cloud synchronisiert werden. Es werden nur lokale Pfade unterstützt. d) Hinweis: Der folgende Pfad wird nur bei Microsoft Outlook für Mac 2011 benötigt. <User Profile>\Library\Caches\TemporaryItems\Outlook Temp\ e) Hinweis: Der folgende Pfad wird nur bei Microsoft Outlook für Mac 2016 benötigt. <%TMPDIR%>\com.microsoft.Outlook\Outlook Temp\ f) Hinweis: Die folgenden Pfade werden nur bei Apple Mail benötigt: <User Profile>\Library\Containers\com.apple.mail\Data\Library\Mail Downloads\ <%TMPDIR%>\com.apple.mail\com.apple.mail\ 6. Stellen Sie sicher, dass alle Pfade von der Verschlüsselung ausgenommen sind: In der Spalte Modus ist für alle Pfade Ausschließen ausgewählt. 120 Administratorhilfe 7. Wenn Sie die Registerkarte Dateiverschlüsselung verlassen, werden Sie aufgefordert, Ihre Änderungen zu speichern. 8. Klicken Sie auf Ja. 9. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie den Mac-Benutzern zu, die verschlüsselte Daten lesen, aber nicht selbst verschlüsseln können sollen. 5.1.2 Daten verschlüsseln SafeGuard Enterprise Synchronized Encryption beinhaltet ein vielseitiges Dateiverschlüsselungs-Modul. Synchronized Encryption ermöglicht Ihnen, sensible Dateien anhand der Anwendung, mit der sie erstellt wurden, zu verschlüsseln. Die Verschlüsselung ist persistent, das bedeutet, Ihre Daten sind auch dann sicher, wenn sie an einen anderen Ort verschoben, in die Cloud hochgeladen oder per E-Mail versandt werden. Abhängig von der Richtlinie werden bestimmte Dateitypen automatisch verschlüsselt. In manchen Fällen kann es jedoch erforderlich sein, einzelne Dateien manuell zu verschlüsseln oder entschlüsseln. Im Windows Explorer und im OS X Finder sind verschlüsselte Dateien mit einem grünen Schloss-Symbol gekennzeichnet. Persistente Verschlüsselung Windows ■ Wenn Sie eine verschlüsselte Datei von einem verschlüsselten Ordner in einen unverschlüsselten Ordner verschieben bleibt die Datei trotzdem verschlüsselt. Sie können die Datei öffnen und bearbeiten. Die Datei bleibt auch verschlüsselt, wenn Sie sie bearbeiten und speichern. Mac OS X ■ Verschlüsselte Dateien aus sicheren Ordnern verschieben Als Sicherheitsbeauftragter definieren Sie, welche Ordner auf Ihren Macs als sichere Ordner gelten. Wenn Sie Synchronized Encryption verwenden, werden alle Dateien in sicheren Ordnern automatisch verschlüsselt. Wenn Sie eine verschlüsselte Datei von einem sicheren Ordner in einen nicht-sicheren Ordner verschieben bleibt die Datei trotzdem verschlüsselt. Sie können die Datei öffnen, jedoch wird der Inhalt verschlüsselt angezeigt. Sie müssen sie zuerst manuell entschlüsseln. Wenn Sie eine verschlüsselte Datei in einem sicheren Ordner öffnen und in einen nicht-sicheren Ordner speichern wird die Datei automatisch entschlüsselt. Richtlinien ■ Synchronized Encryption-Richtlinien werden nicht vereinigt. Es wird immer jene Richtlinie angewendet, die in der Hierarchie dem Zielobjekt (Benutzer/Computer) am nächsten ist. Die Richtlinie, die gerade für einen Benutzer oder Computer in Kraft ist, wird in der Registerkarte RSOP unter Benutzer Computer angezeigt. Backup (Sicherung) Wenn Sie Backup-Software verwenden (Dateiversionsverlauf unter Windows 8.x und Windows 10 oder Time Machine unter Mac OS X), haben Sie möglicherweise ältere Versionen von den 121 SafeGuard Enterprise Dateien, die Sie verschlüsseln möchten. Synchronized Encryption kann diese Dateien nicht verschlüsseln. Wir empfehlen, bestehende Sicherungsdateien zu verschlüsseln oder zu entfernen und automatische Sicherungen zu deaktivieren. 5.1.2.1 Synchronized Encryption-Schlüssel SafeGuard Enterprise Synchronized Encryption verwendet nur einen Schlüssel für die Verschlüsselung von Dateien: Root_Synchronized_Encryption@SGN Der Schlüssel wird automatisch zugewiesen und steht allen Benutzern einer Domäne zur Verfügung, nicht jedoch lokalen Benutzern. 5.1.2.2 Applikationenlisten Für die anwendungsbasierte Dateiverschlüsselung müssen Sie Applikationenlisten erstellen. Diese Listen enthalten Anwendungen (Applikationen) deren Dateien beim Erstellen oder Speichern verschlüsselt werden. Nur Anwendungen auf Applikationenlisten können auf verschlüsselte Daten zugreifen. Alle anderen Anwendungen können in diesem Fall nur unleserliche, verschlüsselte Inhalte anzeigen. SafeGuard Enterprise stellt eine Vorlage einer einer Applikationenliste zur Verfügung, die Sie einfach an Ihre Anforderungen anpassen können. Sie enthält allgemeine Anwendungen, für die anwendungsbasierte Dateiverschlüsselung aktiviert werden kann. Sie können die Verschlüsselung für einzelne Anwendungen innerhalb von Gruppen oder für ganze Gruppen von Anwendungen aktivieren oder deaktivieren. Hinweis: Bevor Sie Richtlinien vom Typ Anwendungsbasierend (Synchronized Encryption) erstellen können, müssen Sie Applikationenlisten anlegen. Applikationenlisten für Mac Für einige Anwendungen unter OS X müssen Sie bestimmte Pfade von der Verschlüsselung ausnehmen. Damit beispielsweise Microsoft Office 2011 problemlos funktioniert, müssen Sie <Dokumente>\Microsoft-Benutzerdaten ausschließen. In der bereitgestellten Vorlage ist der Pfad bereits angegeben. 5.1.2.2.1 Erstellen von Applikationenlisten 1. Klicken Sie im Management Center auf Richtlinien. 2. Wechseln Sie in der Listenansicht Richtlinien zum Eintrag Applikationenlisten. 3. Klicken Sie mit der rechten Maustaste auf Vorlage und klicken Sie auf Applikationenlisten duplizieren. Template_1 wird angezeigt. 4. Klicken Sie mit der rechten Maustaste auf Template_1, wählen Sie Eigenschaften und geben Sie einen neuen Namen ein. 5. Klicken Sie auf OK. 6. Klicken Sie auf die neue Applikationenliste. Im rechten Fensterbereich wird der Inhalt der Vorlage angezeigt. 7. Zum Erstellen von Applikationenlisten für Macs, wechseln Sie zur Registerkarte OS X. 8. Deaktivieren Sie in der Liste alle Applikationen, für die Sie keine Verschlüsselung wünschen. Deaktivieren Sie das Kontrollkästchen Aktiv rechts neben Name der Applikationsgruppe um alle Applikationen in der Gruppe von der Verschlüsselung auszuschließen. Über das Kontrollkästchen Aktiv rechts neben einer Applikation können Sie einzelne Applikationen deaktivieren. 122 Administratorhilfe 9. Fügen Sie bestehenden Gruppen weitere Applikationen hinzu. a) Klicken Sie mit der rechten Maustaste auf die Gruppe, der Sie eine Anwendung hinzufügen möchten, klicken Sie Neu und Anwendung. b) Geben Sie im Feld Name der Applikation einen Namen für die Anwendung ein. c) Definieren Sie im Feld Speicherort des Prozesses den Pfad und den Namen der ausführbaren Datei. Sie können den Pfad manuell eingeben oder die Platzhalter in der Dropdownliste verwenden. Sie können alle Versionen einer Anwendung unter einem Namen (Name der Applikation) angeben. Zum Beispiel: Acrobat Reader 11.0 und Acrobat Reader DC unter Name der Applikation: Reader d) Dateierweiterung: Die Dateierweiterungen, die Sie hier definieren, haben keine Auswirkung auf die Dateiverschlüsselung vom Typ Anwendungsbasierend (Synchronized Encryption), sondern für die initiale Verschlüsselung bestehender Dateien. Bestehende Dateien, für die Verschlüsselungsregeln gelten, werden nicht automatisch verschlüsselt. Um diese Dateien zu verschlüsseln, muss die initiale Verschlüsselung auf den betreffenden Endpoints durchgeführt werden. Dateien mit den hier definierten Dateierweiterungen werden bei der initialen Verschlüsselung mit dem Synchronized Encryption Schlüssel verschlüsselt. Sie können Dateierweiterungen mit oder ohne Punkt (zum Beispiel ".txt" oder "txt") angeben. Platzhalter werden nicht unterstützt. Der Ort, an dem die Initialverschlüsselung angewendet werden soll, muss in einer Richtlinie für die Anwendungsbasierte Dateiverschlüsselung definiert werden. Wenn Sie eine Anwendungsgruppe deaktivieren, werden die Dateierweiterungen, die Sie innerhalb der Gruppe für die Initialverschlüsselung definiert haben, ebenfalls deaktiviert. 10. Nur für OS X : Fügen Sie nach Bedarf der Tabelle Ausgeschlossene Speicherorte Orte hinzu, die Sie von der Verschlüsselung ausnehmen möchten. 11. Fügen Sie weitere Applikationsgruppen hinzu: Sie können Applikationsgruppen dazu nutzen, um verschiedene Teile einer Software-Suite unter einem gemeinsamen Knoten zu bündeln. So können Sie alle Teile gleichzeitig deaktivieren indem Sie nur die Gruppe aktivieren. a) Klicken Sie mit der rechten Maustaste die Template-Baumstruktur, klicken Sie auf Neu und Applikationsgruppe. b) Geben Sie im Feld Name der Applikationsgruppe einen Namen für die Gruppe ein. c) Fügen Sie der Gruppe weitere Applikationen hinzu. 12. Wenn Sie die Template-Baumstruktur verlassen, werden Sie aufgefordert, Ihre Änderungen zu speichern. 13. Klicken Sie auf Ja. Die neue Applikationenliste wird unter Applikationenlisten in der Listenansicht Richtlinien angezeigt. Sie können weitere Applikationslisten erstellen und sie in unterschiedlichen Richtlinien für die anwendungsbasierte Dateiverschlüsselung verwenden. Wir empfehlen, alle Anwendungen, die einen bestimmten Dateityp (zum Beispiel .docx) öffnen können, zu Applikationenliste hinzuzufügen. Anwendungen, die Daten über das Internet freigeben (zum Beispiel E-Mail-Clients, Browser), sollten keiner Applikationenliste hinzugefügt werden. 123 SafeGuard Enterprise 5.1.2.3 Initialverschlüsselung Initialverschlüsselung verschlüsselt alle Dateien entsprechend: Dateiendungen, die in Applikationenlisten definiert sind, siehe Applikationenlisten (Seite 122). Einstellungen, die in Synchronized Encryption-Richtlinien definiert sind, siehe Erstellen von Richtlinien für anwendungsbasierte Dateiverschlüsselung (Seite 126). Die Initialverschlüsselung kann automatisch über eine Richtlinieneinstellung oder manuell von einem Benutzer angestoßen werden Wird sie automatisch angestoßen, läuft sie im Hintergrund. Nach Abschluss wird ein Ereignis protokolliert. Die Initialverschlüsselung startet jedes Mal, wenn Endpoints eine neue Synchronized Encryption Richtlinie empfangen und immer wenn Benutzer sich an ihrem Endpoint anmelden. Dies stellt sicher, dass Dateien immer entsprechend den Firmenrichtlinien verschlüsselt sind und keine Datei versehentlich unverschlüsselt bleibt. Hinweis: Die Verarbeitung großer Datenmengen bei der Initialverschlüsselung kann zu einer eingeschränkten Performance der Endpoints führen. Unter Windows können Benutzer die Initialverschlüsselung manuell über das Kontextmenü im Explorer starten (SafeGuard Dateiverschlüsselung > Gemäß Richtlinie verschlüsseln). Der SafeGuard Dateiverschlüsselungs-Assistent zeigt Informationen zur Anzahl der zu verschlüsselnden Dateien sowie zum Fortschritt und Ergebnis der Verschlüsselung an. Mac-Benutzer starten die Initialverschlüsselung in der Registerkarte Richtlinien im Einstellungsbereich mit Klick auf Erzwinge alle Richtlinien. Wenn Dateien gefunden werden, die mit einem anderen Schlüssel als dem Synchronized Encryption Schlüssel verschlüsselt sind und Benutzer haben den verwendeten Schlüssel in ihrem Schlüsselring, dann werden diese Dateien mit dem Synchronized Encryption Schlüssel neu verschlüsselt. Dateien, die mit einem Schlüssel verschlüsselt sind, der im Schlüsselring des Benutzers nicht verfügbar ist, werden nicht verändert. Die Orte, an denen die Initialverschlüsselung zur Anwendung kommt, werden in Richtlinien definiert. 5.1.2.3.1 Initialverschlüsselung auf Netzwerkfreigaben Auf Netzwerkfreigaben kann die Initialverschlüsselung nicht automatisch per Richtlinieneinstellung gestartet werden. Als Sicherheitsbeauftragter können Sie mit dem Befehlszeilentool SGFileEncWizard.exe die Initialverschlüsselung für Netzwerkfreigaben von einem Computer aus starten, auf dem SafeGuard Enterprise Software installiert ist und der Zugang zu den Netzwerkfreigaben hat. Auf einem Computer mit SafeGuard Enterprise finden Sie das Tool unter <SYSTEM>:\Programme (x86)\Sophos\SafeGuard Enterprise\Client\ Beachten Sie folgende Hinweise bevor Sie die Initialverschlüsselung starten: Der Vorgang kann für Benutzer auf Endpoints ohne Synchronized Encryption (Modul nicht installiert oder Richtlinie nicht angewendet) zu Problemen führen. Diese Benutzer können keine Dateien öffnen, die mit Synchronized Encryption verschlüsselt wurden. Stellen Sie sicher, dass alle Benutzer, die Zugriff auf diese Dateien haben sollen, das Synchronized Encryption Modul installiert und eine entsprechende Richtlinie angewendet haben. Wenn Sie Dateien auf Netzwerkfreigaben, die bereits verschlüsselt sind, im Rahmen der Initialverschlüsselung neu verschlüsseln wollen, benötigen Sie dazu alle Schlüssel in Ihrem Schlüsselbund, die zur Verschlüsselung dieser Dateien verwendet wurden. Dateien, für die Sie keinen Schlüssel haben, bleiben mit dem ursprünglichen Schlüssel verschlüsselt. 124 Administratorhilfe Voraussetzungen für die Initialverschlüsselung auf Netzwerkfreigaben ■ ■ ■ ■ Die Initialverschlüsselung muss auf einem Computer gestartet werden, auf dem die SafeGuard Enterprise Endpoint Software installiert ist. Der Endpoint muss Zugriff auf alle zu verschlüsselnden Netzwerkfreigaben haben. Eine Synchronized Encryption Richtlinie, die alle zu verschlüsselnden Netzwerkfreigaben beinhaltet, muss auf dem Endpoint angewendet werden. Alle Schlüssel, die zum Verschlüsseln der auf den Netzwerkfreigaben vorhandenen Dateien verwendet wurden, müssen in Ihrem Schlüsselring enthalten sein. Initialverschlüsselung mit SGFileEncWizard Sie können SGFileEncWizard.exe mit folgenden Parametern aufrufen: SGFileEncWizard.exe [<startpath>] [%POLICY] [/V0 | /V1 | /V2 | /V3] [/X] [/L<logfile>] ■ <startpath>: Verarbeite den angegebenen Pfad und seine Unterordner. Mehrere Pfaden müssen durch Leerzeichen getrennt sein. Hinweis: Bei der Initialverschlüsselung auf Netzwerkfreigaben müssen Sie jede zu verschlüsselnde Netzwerkfreigabe explizit angeben. Nur diese Pfade werden verschlüsselt. Geben Sie die Pfade in UNC Notation an, um Probleme mit unterschiedlichen Laufwerksbuchstaben für gemappte Netzwerkfreigaben zu vermeiden. Nur absolute Pfade sind zulässig. ■ %POLICY: Wende Synchronized Encryption Richtlinie an definierten Orten an und verschlüssle Dateien wenn nötig neu. Es wird die Richtlinie verwendet, die an dem Endpoint angewendet wird, wo SGFileEncWizard.exe gestartet wird. Hinweis: Dieser Parameter kann für die Initialverschlüsselung auf Netzwerkfreigaben weggelassen werden. ■ Parameter /V0: Keine Meldungen protokollieren. ■ Parameter /V1: Nur Fehlermeldungen protokollieren. ■ Parameter /V2: Geänderte Dateien protokollieren. ■ Parameter /V3: Alle verarbeiteten Dateien protokollieren. ■ Parameter /L<path+logfile name>: Output in die angegebene Log-Datei schreiben. ■ Parameter /X: Fenster des Assistenten verbergen. Beispiel: SGFileEncWizard.exe \\my-filer-1\data1\users \\my-filer-1\data2 %POLICY /V3 /X /LC:\Logging\mylogfile.xml Die Initialverschlüsselung wird für Dateien unter \\my-filer-1\data1\users and \\my-filer-1\data2 durchgeführt. Der Assistent wird nicht angezeigt und Informationen über alle verarbeiteten Dateien werden in mylogfile.xml geschrieben. 125 SafeGuard Enterprise 5.1.2.4 Erstellen von Richtlinien für anwendungsbasierte Dateiverschlüsselung 1. Erstellen Sie im Richtlinien Navigationsbereich eine neue Richtlinie vom Typ Dateiverschlüsselung. Die Registerkarte Dateiverschlüsselung wird angezeigt. 2. Wählen Sie Anwendungsbasierend (Synchronized Encryption) aus der Verschlüsselungstyp Auswahlliste. Applikationenliste und Umfang der Verschlüsselung Optionen werden angezeigt. Hinweis: Informationen zum Verschlüsselungstyp Keine Verschlüsselung finden Sie unter Richtlinien vom Typ Keine Verschlüsselung (Seite 135). 3. Wählen Sie aus der Auswahlliste die Applikationenliste, die Sie vorher erstellt haben. 4. Wählen Sie aus der Auswahlliste Umfang der Verschlüsselung eine der folgenden Optionen: ■ Überall: Verschlüsselung auf lokale Laufwerke, Wechselmedien, Cloud-Verzeichnisse und Netzlaufwerke angewendet. Sie können Ausnahmen definieren, wo keine anwendungsbasierte Verschlüsselung zur Anwendung kommen soll. Hinweis: Für OS X bedeutet Überall, dass alle Dateien in einigen vordefinierten Verzeichnissen verschlüsselt werden und so nur von den Anwendungen auf Ihrer Applikationenliste verwendet werden können. Diese Verzeichnisse sind: ■ Ordner <Desktop> ■ Ordner <Documents> ■ Ordner <Downloads> ■ Ordner <Music> ■ Ordner <Pictures> ■ Ordner <Videos> ■ alle Netzwerkfreigaben ■ alle Wechselmedien ■ alle unterstützten Cloud Storage Anbieter ■ temporäre Ordner, in denen Microsoft Outlook und Apple Mail Mailanhänge speichern Wichtig: Die Anwendung von Synchronized Encryption auf Netzwerkfreigaben kann bei manchen Benutzern Probleme hervorrufen. Wenn Dateien auf Netzwerkfreigaben von Benutzern verschlüsselt wurden, die den Synchronized Encryption Schlüssel in ihrem Schlüsselbund haben, können andere Benutzer, die diesen Schlüssel nicht besitzen, diese Dateien nicht öffnen. Um dies zu vermeiden, können Sie zuerst die Netzwerkfreigaben von der Verschlüsselung ausnehmen und die Ausnahme erst dann aufheben, wenn alle Benutzer den Synchronized Encryption Schlüssel haben. Benutzer erhalten ihren Schlüssel wenn eine Synchronized Encryption Richtlinie auf ihrem Endpoint angewendet wird. Alternativ können Sie den Schlüssel manuell im Management Center zuweisen. ■ 126 Definierte Speicherorte: Hier definieren Sie Speicherorte, wo die Verschlüsselung angewendet wird. Platzhalter für Pfad-Definitionen werden bereitgestellt. Sie können Pfade in die Verschlüsselung einschließen oder ausschließen. Administratorhilfe 5. Abhängig von Ihrer Auswahl bei Umfang der Verschlüsselung können Sie Pfade definieren, wo anwendungsbasierte Verschlüsselung angewendet wird (Definierte Speicherorte) oder Ausnahmen von der anwendungsbasierten Verschlüsselung definieren (Überall). Hinweis: Sie können Pfade für Windows und OS X in derselben Richtlinie definieren. Platzhalter für die verschiedenen Systeme sind in der Auswahlliste Pfad verfügbar. Die Spalte System zeigt, für welches Betriebssystem der Pfad gilt (Alle Systeme, Windows, Mac OS X). Bewegen Sie den Mauszeiger über die Cloud Storage Platzhalter, um Informationen anzuzeigen, für welches Betriebssystem Sie den Platzhalter verwenden können. 6. Setzen Sie in der Spalte Pfad den Pfad für die Anwendungsbasierend (Synchronized Encryption) Dateiverschlüsselung: ■ Klicken Sie auf die Dropdown-Schaltfläche und wählen Sie einen Platzhalter für einen Ordnernamen aus der Liste der verfügbaren Platzhalter aus. Hinweis: Wenn Sie Ihren Cursor über die Listeneinträge führen, werden Tooltips angezeigt, die zeigen, wie ein Platzhalter üblicherweise auf einem Endpoint umgesetzt wird. Sie können nur gültige Platzhalter für jedes Betriebssystem eingeben. Eine Beschreibung aller verfügbaren Platzhalter finden Sie unter Platzhalter für Pfade in anwendungsbasierten File Encryption-Regeln (Seite 128). Wichtig: Die Verschlüsselung des gesamten Benutzerprofils mit dem Platzhalter <User Profile> kann zu einem instabilen Windows Desktop auf dem Endpoint führen. ■ ■ Klicken Sie auf die Browse-Schaltfläche um den gewünschten Ordner im Dateisystem auszuwählen. Sie können auch einfach einen Pfadnamen eingeben. 7. Wählen Sie den Modus für die Verschlüsselung: ■ ■ Wählen Sie für Umfang der Verschlüsselung - Definierte Speicherorte entweder Verschlüsseln, um die Applikationen auf der Applikationenliste zur Verschlüsselung ihrer Dateien unter diesem Pfad zu berechtigen, oder Ausschließen, wenn diese Applikationen keine Dateien unter diesem Pfad verschlüsseln sollen. Sie können zum Beispiel die Verschlüsselung für D:\Dokumente aktivieren und dabei das Unterverzeichnis D:\Dokumente\Unverschlüsselt ausschließen. Bei Umfang der Verschlüsselung - Überall können Sie nur Pfade von der Verschlüsselung Ausschließen. 8. Fügen Sie nach Bedarf weitere Pfade hinzu. 9. Definieren Sie Einstellungen für die Initialverschlüsselung. Wählen Sie, wo bestehende Dateien anhand der definierten Pfade verschlüsselt werden (Auf lokalen Laufwerken, Auf Wechselmedien, Mit automatisch erkannten Cloud Storage Providern gespeichert). Die Initialverschlüsselung startet wenn die Richtlinie am Endpoint angewendet wird oder wenn ein Wechselmedium verbunden wird. 10. Speichern Sie Ihre Änderungen. Hinweis: Wenn Sie die Registerkarte Dateiverschlüsselung verlassen, werden Sie aufgefordert, Ihre Änderungen zu speichern. 11. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren Benutzergruppen zu. 127 SafeGuard Enterprise 5.1.2.4.1 Platzhalter für Pfade in anwendungsbasierten File Encryption Verschlüsselungsregeln Beim Angeben von Pfaden in Verschlüsselungsregeln in File Encryption Richtlinien können die folgenden Platzhalter verwendet werden. Um diese Platzhalter auszuwählen, klicken Sie auf die Dropdown-Schaltfläche des Felds Pfad. Hinweis: Verwenden Sie immer umgekehrte Schrägstriche als Pfad-Trennzeichen, auch wenn Sie Richtlinien für File Encryption für Mac OS X erstellen. Auf diese Weise können Sie Regeln auf beiden Betriebssystemen (Windows und Mac OS X) anwenden. Am Mac OS X Client werden die umgekehrten Schrägstriche automatisch in Schrägstriche umgewandelt, um die Anforderungen des Mac OS X Betriebssystems zu erfüllen. Fehler bei der Verwendung von Platzhaltern werden protokolliert. Ungültige Verschlüsselungsregeln werden protokolliert und dann auf dem Endpoint verworfen. Beispiel: Der Windows-Pfad <User Profile>\Dropbox\personal wird unter Mac OS X so konvertiert: /Users/<Username>/Dropbox/personal. Pfad-Platzhalter Betriebssystem (Alle=Windows und Mac OS X) <%environment_variable_name%> Alle Wert auf dem Endpoint Wert der Umgebungsvariable. Beispiel: <%USERNAME%>. Hinweis: Wenn Umgebungsvariablen mehrere Speicherorte enthalten (zum Beispiel die PATH Umgebungsvariable), werden die Pfade nicht in mehrere Regeln aufgeteilt. Dies verursacht einen Fehler und die Verschlüsselungsregel ist ungültig. 128 <Desktop> Alle Der virtuelle Ordner, der den Desktop des Endpoints darstellt. <Documents> Alle Der virtuelle Ordner für den Desktop-Bereich Eigene Dateien (Äquivalent zu CSIDL_MYDOCUMENTS). Typischer Pfad: C:\Documente und Einstellungen\Benutzername\Eigene Dateien. <Downloads> Alle Der Ordner in dem standardmäßig Downloads gespeichert werden. Ein typischer Pfad unter Windows ist C:\Benutzer\Benutzername\Downloads. <Music> Alle Das Dateisystemverzeichnis, das als allgemeines Repository für Musikdateien dient. Typischer Pfad: C:\Documente und Einstellungen\Benutzername\Eigene Dateien\Eigene Musik. <Network Shares> Alle <Pictures> Alle Das Dateisystemverzeichnis, das als allgemeines Repository für Bilddateien dient. Typischer Pfad: C:\Documente und Administratorhilfe Pfad-Platzhalter Betriebssystem (Alle=Windows und Mac OS X) Wert auf dem Endpoint Einstellungen\Benutzername\Eigene Dateien\Eigene Bilder. <Public> Alle Das Dateisystemverzeichnis, das als allgemeines Repository für Dokumente für alle Benutzer dient. Typischer Pfad: C:\Benutzer\<Benutzername>\Öffentlich. <Removables> Alle Zeigt auf die Root-Verzeichnisse aller Wechselmedien. <User Profile> Alle Der Profilordner des Benutzers. Typischer Pfad: C:\Benutzer\Benutzername. Hinweis: Die Verschlüsselung des gesamten Benutzerprofils mit diesem Platzhalter kann zu einem instabilen Windows Desktop auf dem Endpoint führen. <Videos> Alle Das Dateisystemverzeichnis, das als allgemeines Repository für Videodateien für Benutzer dient. Typischer Pfad: C:\Documente und Einstellungen\Alle Benutzer\Dateien\Eigene Videos. <Cookies> Windows Das Dateisystemverzeichnis, das als allgemeines Repository für Internet Cookies dient. Typischer Pfad: C:\Documente und Einstellungen\Benutzername\Cookies. <Favorites> Windows Das Dateisystemverzeichnis, das als allgemeines Repository für die Favoriten des Benutzers dient. Typischer Pfad: C:\Documente und Einstellungen\Benutzername\Favoriten. <Local Application Data> Windows Das Dateisystemverzeichnis, das als allgemeines Daten-Repository für lokale Applikationen (ohne Roaming) dient. Typischer Pfad: C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten. <Program Data> Windows Das Dateisystemverzeichnis, das Anwendungsdaten für alle Benutzer enthält. Typischer Pfad: C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten. <Program Files> Windows Der Programme-Ordner. Typischer Pfad: \Programme. Für 64-Bit Systeme wird dies auf zwei Regeln erweitert: eine für 32-Bit 129 SafeGuard Enterprise Pfad-Platzhalter Betriebssystem (Alle=Windows und Mac OS X) Wert auf dem Endpoint Anwendungen und eine für 64-Bit Anwendungen. <Public Music> Windows Das Dateisystemverzeichnis, das als allgemeines Repository für Musikdateien für alle Benutzer dient. Typischer Pfad: C:\Documente und Einstellungen\Alle Benutzer\Eigene Musik. <Public Pictures> Windows Das Dateisystemverzeichnis, das als allgemeines Repository für Bilddateien für alle Benutzer dient. Typischer Pfad: C:\Documente und Einstellungen\Alle Benutzer\Dateien\Eigene Bilder. <Public Videos> Windows Das Dateisystemverzeichnis, das als allgemeines Repository für Videodateien für alle Benutzer dient. Typischer Pfad: C:\Documente und Einstellungen\Alle Benutzer\Dateien\Eigene Videos. <Roaming> Windows Das Dateisystemverzeichnis, das als allgemeines Repository für anwendungsspezifische Daten dient. Typischer Pfad: C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten. System Windows Der Windows Systemordner. Typischer Pfad: C:\Windows\System32. Für 64-Bit Systeme wird dies auf zwei Regeln erweitert: eine für 32-Bit Anwendungen und eine für 64-Bit Anwendungen. <Temporary Burn Folder> Windows Das Dateisystemverzeichnis, das als Staging-Bereich für Dateien, die auf eine CD geschrieben werden sollen, verwendet wird. Typischer Pfad: C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Microsoft\CD Burning. <Temporary Internet Folder> Windows <Windows> 130 Windows Das Dateisystemverzeichnis, das als allgemeines Repository für temporäre Internetdateien dient. Typischer Pfad: C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temporary Internet Files. Das Windows-Verzeichnis oder SYSROOT. Dies entspricht den Umgebungsvariablen %windir% oder %SYSTEMROOT%. Typischer Pfad: C:\Windows. Administratorhilfe Pfad-Platzhalter Betriebssystem (Alle=Windows und Mac OS X) Wert auf dem Endpoint <Root> Mac OS X Mac OS X Stammverzeichnis.Wir empfehlen, keine Richtlinien für das Stammverzeichnis festzulegen, auch wenn dies technisch möglich ist. Platzhalter für Cloud Storage Anbieter Platzhalter für Cloud Storage Kann in CSD-Einstellung (Cloud Storage Definition) verwendet werden. Wird aufgelöst in Box <!Box!> Synchronisierungsapplikation, Für Synchronisierungsordner Synchronsie i rungsappkilato i nen: Der "Fully qualified"-Pfad der Synchronisierungsapplikation, die von der Box-Software benutzt wird. Für Synchronisierungsordner: Der "Fully qualified"-Pfad des Synchronisierungsordners, der von der Box-Software benutzt wird. Dropbox <!Dropbox!> Synchronisierungsapplikation, Für Synchronisierungsordner Synchronsie i rungsappkilato i nen: Der "Fully qualified"-Pfad der Synchronisierungsapplikation, die von der Dropbox-Software benutzt wird. Für Synchronisierungsordner: Der "Fully qualified"-Pfad des Synchronisierungsordners, der von der Dropbox-Software benutzt wird. 131 SafeGuard Enterprise Anbieter Platzhalter für Cloud Storage Kann in CSD-Einstellung (Cloud Storage Definition) verwendet werden. Egnyte <!Egnyte!> Synchronisierungsapplikation Der "Fully qualified"-Pfad der Synchronisierungsapplikation, die von der Egnyte-Software benutzt wird. <!EgnytePrivate!> Synchronisierungsordner Alle privaten Ordner in der Egnyte Cloud Storage. Für Standard-Egnyte-Benutzer ist dies in der Regel ein einzelner Ordner. Für Egnyte-Administratoren, wird dieser Platzhalter in der Regel in mehrere Ordner umgesetzt. <!EgnyteShared!> Synchronisierungsordner Alle freigegebenen Ordner in der Egnyte Cloud Storage. Nur Windows Wird aufgelöst in Hinweis: Änderungen an der Egnyte-Ordnerstruktur (auch das Hinzufügen oder Entfernen von privaten oder freigegebenen Ordnern) werden automatisch erkannt. Relevante Richtlinien werden automatisch aktualisiert. Hinweis: Da sich Egnyte-Synchronisierungsordner im Netzwerk befinden können, können Sie bei der Einstellung Synchronisierungsordner Netzwerkpfade eingeben. Das SafeGuard Enterprise Cloud Storage Modul wird standardmäßig auf Netzwerkdateisysteme angewendet.Wenn dies nicht erforderlich ist, können Sie dieses Verhalten deaktivieren, indem Sie eine Richtlinie vom Typ Allgemeine Einstellungen definieren und unter Ignorierte Geräte die Option Netzwerk auswählen. Google Drive 132 <!GoogleDrive!> Synchronisierungsapplikation, Für Synchronisierungsordner Synchronsie i rungsappkilato i nen: Der "Fully Administratorhilfe Anbieter Platzhalter für Cloud Storage Kann in CSD-Einstellung (Cloud Storage Definition) verwendet werden. Wird aufgelöst in qualified"-Pfad der Synchronisierungsapplikation, die von der Google Drive Software benutzt wird. Für Synchronisierungsordner: Der "Fully qualified"-Pfad des Synchronisierungsordners, der von der Google Drive Software benutzt wird. OneDrive <!OneDrive!> Synchronisierungsapplikation, Für Synchronisierungsordner Synchronsie i rungsappkilato i nen: Der "Fully qualified"-Pfad der Synchronisierungsapplikation, die von der OneDrive-Software benutzt wird. Für Synchronisierungsordner: Der "Fully qualified"-Pfad des Synchronisierungsordners, der von der OneDrive-Software benutzt wird. Hinweis: SafeGuard Enterprise unterstützt keine Microsoft Konten. Unter Windows 8.1 kann OneDrive nur verwendet werden, wenn der Windows-Benutzer ein Domänenbenutzer ist. Unter Windows 8.1 unterstützt SafeGuard Enterprise OneDrive nicht für lokale Benutzer. OneDrive for Business <!OneDriveForBusiness!> Synchronisierungsapplikation, Für Synchronisierungsordner Synchronsie i rungsappkilato i nen: Der "Fully qualified"-Pfad der Synchronisierungsapplikation, 133 SafeGuard Enterprise Anbieter Platzhalter für Cloud Storage Kann in CSD-Einstellung (Cloud Storage Definition) verwendet werden. Wird aufgelöst in die von der OneDrive-Software benutzt wird. Für Synchronisierungsordner: Der "Fully qualified"-Pfad des Synchronisierungsordners, der von der OneDrive-Software benutzt wird. Hinweis: OneDrive for Business unterstützt nur das Speichern von verschlüsselten Dateien in lokalen Ordnern und deren Synchronisierung mit der Cloud. Das direkte Speichern von verschlüsselten Dateien aus Microsoft Office 2013 in die OneDrive for Business Cloud oder auf den SharePoint Server wird nicht unterstützt. Diese Dateien werden unverschlüsselt in der Cloud gespeichert. Dateien, die mit SafeGuard Enterprise in der OneDrive for Business Cloud verschlüsselt werden, können nicht mit Microsoft Office 365 geöffnet werden. SkyDrive Nur Windows <!SkyDrive!> Synchronisierungsapplikation, Für Synchronisierungsordner Synchronsie i rungsappkilato i nen: Der "Fully qualified"-Pfad der Synchronisierungsapplikation, die von der OneDrive-Software benutzt wird. Für Synchronisierungsordner: Der "Fully qualified"-Pfad des Synchronisierungsordners, der von der OneDrive-Software benutzt wird. Microsoft hat SkyDrive in OneDrive umbenannt, aber der Platzhalter <!SkyDrive!> kann noch verwendet werden. Daher können auch ältere Richtlinien mit diesem Platzhalter und SafeGuard Enterprise Endpoints vor Version 7, die den Platzhalter <!OneDrive!> nicht auflösen können, verwendet 134 Administratorhilfe Anbieter Platzhalter für Cloud Storage Kann in CSD-Einstellung (Cloud Storage Definition) verwendet werden. Wird aufgelöst in werden. SafeGuard Enterprise Endpoints ab Version 7 können beide Platzhalter auflösen. 5.1.2.5 Richtlinien vom Typ Keine Verschlüsselung Werden Richtlinien entlang einer Hierarchiekette zugewiesen, so wirkt jene Richtlinie am stärksten, die näher beim Zielobjekt (Benutzer/Computer) ist. Das bedeutet: mit der Entfernung zum Zielobjekt verliert die Richtlinie immer mehr an Kraft - wenn nähere Richtlinien vorhanden sind. Richtlinien vom Typ Keine Verschlüsselung können dazu verwendet werden, die Vererbung von Verschlüsselungsrichtlinien an bestimmten Stellen in der Hierarchie zu unterbrechen. Für untergeordnete Ebenen ist die Richtlinie vom Typ Keine Verschlüsselung ebenfalls gültig. Das Verhalten am Endpoint ist vom Modul und der Version abhängig. Endpoints mit Synchronized Encryption Richtlinien vom Typ Anwendungsbasierend (Synchronized Encryption) werden NICHT vereinigt. Es wird immer jene Richtlinie angewendet, die in der Hierarchie dem Zielobjekt (Benutzer/Computer) am nächsten ist. Ist sie die nächste, wird eine Richtlinie vom Typ Keine Verschlüsselung wirksam. Endpoints mit File Encryption Version 8 Richtlinien vom Typ Pfadbasiert werden vereinigt. Werden mehrere Richtlinien zugewiesen, wird ihr Inhalt anhand bestimmter Regeln bewertet, siehe Regeln für die Zuweisung und Auswertung von Richtlinien (Seite 250). Für das RSOP (Resulting Set of Policies), siehe Pfadbasierte File Encryption-Richtlinien im RSOP (Seite 163). Innerhalb einer Zuweisung, hat die Richtlinie mit der höchsten Priorität (1) Vorrang gegenüber einer Richtlinie mit einer geringeren Priorität. Hat sie die höchste Priorität, wird eine Richtlinie vom Typ Keine Verschlüsselung wirksam. Endpoints mit File Encryption vor Version 8 Eine Richtlinie vom Typ Keine Verschlüsselung hat auf diesen Endpoints keine Auswirkung. Endpoints mit File Encryption 7.0 und älter können die Einstellung Verschlüsselungstyp nicht auflösen. Es gelten die Regeln von allen File Encryption Richtlinien vom Typ Pfadbasiert. Hinweis: Dies ist besonders dann relevant, wenn Sie Endpoints mit Version 8 und Endpoints mit älteren Versionen gleichzeitig betreiben. 5.1.3 Outlook-Add-in Hinweis: Das Outlook Add-In ist nur für Windows Endpoints verfügbar. Wenn Sie E-Mails mit Anhängen an Empfänger senden, die Synchronized Encryption verwenden, wird automatisch der Synchronized Encryption-Schlüssel verwendet. Sie brauchen sich nicht um die Verschlüsselung und Entschlüsselung zu kümmern. Wenn Sie E-Mails an Empfänger außerhalb Ihres Firmennetzwerks senden, ist es ratsam, Anhänge zu verschlüsseln 135 SafeGuard Enterprise um sensible Daten zu schützen. SafeGuard Enterprise beinhaltet ein Add-In für Microsoft Outlook, das Ihnen das Verschlüsseln von Mailanhängen erleichtert. Wenn Sie eine E-Mail mit einem oder mehreren Anhängen versenden, werden Sie gefragt, wie Sie mit Ihren Dateien verfahren möchten. Die verfügbaren Optionen hängen vom Verschlüsselungsstatus der Datei(en) ab, die Sie an die Mail anhängen. 5.1.3.1 Erstellen von Richtlinien zum Aktivieren des SafeGuard Outlook Add-In So aktivieren Sie das SafeGuard Enterprise Synchronized Encryption Outlook Add-In: 1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder wählen Sie eine vorhandene aus. Die Registerkarte Allgemeine Einstellungen wird angezeigt. 2. Gehen Sie zum Abschnitt Einstellungen für das E-Mail Add-In. 3. Unter Email Add-In aktivieren wählen Sie Ja. Das Add-In ist nun aktiv. Jedes Mal, wenn Benutzer ein E-Mail mit Anhang versenden, werden sie gefragt, wie die Anhänge behandelt werden sollen. Zusätzlich können Sie Listen mit Domänen anlegen und definieren, wie Anhänge behandelt werden, die an diese bestimmten Domänen versendet werden. 4. Wählen Sie eine Methode unter Verschlüsselungsmethode für Domains auf Whitelists: ■ ■ ■ ■ Verschlüsselt: Alle Anhänge in E-Mails an die bestimmten Domänen werden verschlüsselt. Benutzer werden nicht gefragt. Keine Verschlüsselung: Anhänge in E-Mails an die bestimmten Domänen werden nicht verschlüsselt. Benutzer werden nicht gefragt. Unverändert: Verschlüsselte Dateien werden verschlüsselt gesendet; unverschlüsselte Dateien werden unverschlüsselt gesendet. Benutzer werden nicht gefragt. Immer fragen: Benutzer werden jedes Mal gefragt, wie die Anhänge behandelt werden sollen. 5. Geben Sie eine oder mehrere Domänen ein, für die die Verschlüsselungsmethode gelten soll. Verwenden Sie bei mehreren Domänen ein Komma als Trennzeichen. Platzhalter und teilweise definierte Domänen werden nicht unterstützt. 6. Wenn Sie die Registerkarte Allgemeine Einstellungen verlassen, werden Sie aufgefordert, Ihre Änderungen zu speichern. 7. Klicken Sie auf Ja. 8. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren Benutzergruppen zu. 5.1.4 Integration in Sophos Endpoint Protection SafeGuard Enterprise Synchronized Encryption schützt Ihre Daten auf Endpoints, auf denen bösartiges Verhalten festgestellt wird, dadurch, dass Schlüssel entzogen werden. Wichtig: Dieses Feature ist nur verfügbar, wenn Sie web-basierte Sophos Central Endpoint Protection gemeinsam mit SafeGuard Enterprise verwenden. Integration in Sophos Endpoint Protection sorgt für die Kommunikation zwischen Sophos SafeGuard und Sophos Central Endpoint Protection. Dabei wird der Sicherheitsstatus zwischen SafeGuard Enterprise und Sophos Central Endpoint Protection ausgetauscht. Wenn Ihr System infiziert ist, schützt SafeGuard Enterprise Ihre sensiblen Daten. Wenn keine Schlüssel verfügbar sind, kann auf keine Daten zugegriffen werden. 136 Administratorhilfe In diesem Fall werden Benutzer darüber informiert, dass der Systemzustand schlecht ist, dass aber SafeGuard Enterprise ihre verschlüsselten Dateien schützt und sie deshalb nicht auf die Daten zugreifen können. Endpoints verbleiben in diesem Zustand bis sich der Systemzustand verbessert. Erst dann stellt SafeGuard Enterprise die Schlüssel wieder zur Verfügung. Benutzer werden darüber informiert, dass ihr Endpoint wieder sicher ist und sie wieder auf ihre verschlüsselten Daten zugreifen können. In Situationen, wenn Sie den schlechten Systemzustand bestimmter Endpoints als nicht gerechtfertigt ansehen, können Sie Benutzern den Zugriff auf ihren Schlüsselring zurückgeben, indem Sie die Option Schlüssel auf gefährdeten Computern entziehen auf Nein setzen und die geänderte Richtlinie auf die betroffenen Benutzergruppen anwenden, siehe Erstellen von Richtlinien zum Entziehen von Schlüsseln auf gefährdeten Computern (Seite 137). Wichtig: Beachten Sie, dass die Deaktivierung der Funktion Schlüssel auf gefährdeten Computern entziehen ein Sicherheitsrisiko darstellt. Sie müssen die Situation davor sorgfältig analysieren und beurteilen. Der Sicherheitszustand des Computers wird im Dialog Sophos SafeGuard Client Status am Endpoint angezeigt. Voraussetzungen ■ Sophos Central Endpoint Protection 1.0.3 oder höher muss auf den Endpoints installiert sein. Hinweis: Prüfen Sie unter Programme und Funktionen, ob Sophos System Protection verfügbar ist. ■ Eine Richtlinie vom Typ Allgemeine Einstellungen mit aktivierter Option Schlüssel auf gefährdeten Computern entziehen muss zugewiesen sein. 5.1.4.1 Erstellen von Richtlinien zum Entziehen von Schlüsseln auf gefährdeten Computern So schützen Sie Daten, wenn bösartige Aktivitäten auf Endpoints festgestellt werden: 1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder wählen Sie eine vorhandene aus. Die Registerkarte Allgemeine Einstellungen wird angezeigt. 2. Wechseln Sie in den Bereich Dateiverschlüsselung. 3. Wählen Sie Ja in der Dropdown-Liste Schlüssel auf gefährdeten Computern entziehen. Nun werden Schlüssel auf Computern, wo bösartige Aktivitäten festgestellt werden, entzogen. Eine Meldung wird protokolliert. Hinweis: Bösartiges Verhalten wird unabhängig von den Einstellungen unter Schlüssel auf gefährdeten Computern entziehen immer in der SafeGuard Enterprise Datenbank protokolliert. 4. Wenn Sie die Registerkarte Allgemeine Einstellungen verlassen, werden Sie aufgefordert, Ihre Änderungen zu speichern. 5. Klicken Sie auf Ja. 6. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren Benutzergruppen zu. 137 SafeGuard Enterprise 5.1.5 SafeGuard Enterprise Schlüsselring für mobile Geräte mit Sophos Mobile Control freigeben Schlüssel im SafeGuard Enterprise Schlüsselring können in der Sophos Secure Workspace App bereitgestellt werden. Benutzer der App können dann die Schlüssel zum Entschlüsseln, Lesen und Verschlüsseln von Dokumenten verwenden. Die Schlüsselringe werden zwischen SafeGuard Enterprise und Sophos Mobile Control synchronisiert. Es werden keine Schlüssel am Sophos Mobile Control Server gespeichert. Nur die Sophos Secure Workspace App kann die Schlüssel entschlüsseln. Voraussetzungen Folgende Voraussetzungen müssen für die Schlüsselring-Synchronisierung erfüllt sein: ■ Sie haben die Integration im SafeGuard Management Center eingerichtet. ■ Sie verwenden Sophos Mobile Control 6.1. ■ Sie haben ein externes Benutzermanagement für das Sophos Mobile Control 6.1 Self Service Portal wie in der Dokumentation zu Sophos Mobile Control beschrieben eingerichtet und verwenden dieselbe Active Directory Benutzerdatenbank, die in SafeGuard Enterprise konfiguriert ist. ■ Sophos Secure Workspace wird von Sophos Mobile Control verwaltet. ■ Sie haben die Integration in Sophos Mobile Control eingerichtet. ■ Damit der Schlüsselring in Sophos Mobile Control verfügbar ist, müssen sich Benutzer zumindest einmal an SafeGuard Enterprise anmelden. Features auf Mobilgeräten Die Schlüsselring-Synchronisierung beinhaltet folgende Features: ■ ■ ■ ■ Die Schlüssel aus dem SafeGuard Enterprise Schlüsselring eines Benutzers sind im Sophos Secure Workspace Schlüsselring (SSW Schlüsselring) verfügbar. Benutzer können weiterhin lokale Schlüssel verwenden, die in ihrem SSW Schlüsselring vor der Synchronisierung verfügbar waren. Nachdem Sie die Schlüsselring-Synchronisierung eingerichtet haben, können Benutzer keine neuen lokalen Schlüssel mehr erstellen. Aus Sicherheitsgründen werden die Schlüssel des SafeGuard Enterprise Schlüsselrings vom Gerät entfernt, wenn der Sophos Container gesperrt wird. 5.1.5.1 Einrichten der Schlüsselring-Synchronisierung Wenn Sie die Schlüsselring-Synchronisierung aktivieren, können Benutzer von SafeGuard Enterprise ihren Schlüsselring auch in der Sophos Secure Workspace App verwenden. So richten Sie eine Verbindung zwischen Sophos Mobile Control und Sophos SafeGuard Enterprise ein: Hinweis: Sie sind dabei, Benutzer-Schlüsselringe für Mobilgeräte verfügbar zu machen. Wenn diese Geräte den Regeln von Sophos Mobile Control (SMC) entsprechen, kann damit auf verschlüsselte Dateien zugegriffen werden. Wir empfehlen, mit dem SMC-Administrator 138 Administratorhilfe zusammenzuarbeiten, um Compliance-Regeln zu erstellen und so unbefugtem Zugriff auf die Daten vorzubeugen. 1. Laden Sie in der Sophos Mobile Control Konsole die Zertifikatsdatei für den Sophos Mobile Control Server herunter. Klicken Sie in der seitlichen Menüleiste in der Sophos Mobile Control Konsole unter EINSTELLUNGEN auf Einstellungen > Systemeinstellungen und klicken Sie anschließend auf die Registerkarte SGN. 2. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete. 3. Wählen Sie Server. 4. Klicken Sie auf Hinzufügen. Der Dialog Serverregistrierung wird angezeigt. 5. Verwenden Sie die Schaltfläche zum Durchsuchen, um Ihr Sophos Mobile Control Serverzertifikat auszuwählen, das Sie heruntergeladen haben. Wichtig: Lassen Sie den Namen im Feld Servername: unverändert. 6. Klicken Sie auf OK. Der Sophos Mobile Control Server wird in der Registerkarte Server unter Konfigurationspakete angezeigt. 7. Aktivieren Sie optional das Kontrollkästchen Recovery über Mobile Geräte. Diese Option übermittelt die Recovery-Schlüssel für BitLocker und FileVault 2 an den Sophos Mobile Control Server. Benutzer von Sophos Secure Workspace (von Sophos Mobile Control verwaltet) können diese Schlüssel dann auf ihren Mobilgeräten anzeigen und für die Wiederherstellung verwenden, siehe Schlüssel für die Festplattenverschlüsselung mit mobilen Geräten synchronisieren (Seite 233). Hinweis: Sophos Secure Workspace unterstützt Recovery per Mobilgerät ab Version 6.2. Wir empfehlen, die Kompatibilität der Einstellungen mit Ihrem SMC-Administrator abzustimmen, da nur kompatible Mobilgeräte Recovery-Schlüssel empfangen können. 8. Wählen Sie Pakete für Managed Clients. 9. Klicken Sie auf Konfigurationspaket hinzufügen. 10. Geben Sie einen beliebigen Namen für das Konfigurationspaket ein. 11. Wählen Sie in der Spalte Primärer Server den Sophos Mobile Control Server aus der Auswahlliste. Ein Sekundärer Server wird nicht benötigt. 12. Wählen Sie in der Spalte Transportverschlüsselung die Option SSL. 13. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an. 14. Klicken Sie auf Konfigurationspaket erstellen. WennSie als Modus für die Transportverschlüsselung die SSL-Verschlüsselung ausgewählt haben, wird die Serververbindung validiert. Wenn die Verbindung fehlschlägt, wird eine Warnungsmeldung angezeigt. Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Nun müssen Sie das Konfigurationspaket auf Sophos Mobile Control hochladen. 139 SafeGuard Enterprise 5.1.6 Konfigurieren von Dateiverschlüsselungseinstellungen in Richtlinien vom Typ Allgemeine Einstellungen Neben den in File Encryption Richtlinien vom VerschlüsselungstypAnwendungsbasierend definierten Verschlüsselungsregeln können Sie in Richtlinien vom Typ Allgemeine Einstellungen folgende Einstellungen für die Dateiverschlüsselung konfigurieren: ■ Vertrauenswürdige Anwendungen (meist Virenschutzsoftware) ■ Ignorierte Geräte 5.1.6.1 Konfigurieren von vertrauenswürdigen Anwendungen für anwendungsbasierte Dateiverschlüsselung Sie können Anwendungen als vertrauenswürdig definieren, um ihnen Zugriff auf verschlüsselte Dateien zu geben. Dies ist zum Beispiel notwendig, damit Antivirus-Software verschlüsselte Dateien überprüfen kann. Hinweis: Untergeordnete Prozesse werden nicht als vertrauenswürdig eingestuft. 1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder wählen Sie eine vorhandene aus. 2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche des Felds Vertrauenswürdige Anwendungen. 3. Geben Sie im Editor-Listenfeld die Anwendungen ein, die Sie als vertrauenswürdig definieren möchten. ■ Sie können mehrere vertrauenswürdige Anwendungen in einer Richtlinie definieren. Jede Zeile im Editor-Listenfeld definiert jeweils eine Anwendung. ■ Anwendungsnamen müssen auf .exe enden. ■ Anwendungsnamen müssen als Fully Qualified Paths mit Laufwerk/Verzeichnis definiert werden, zum Beispiel c:\dir\beispiel.exe. Es reicht nicht aus, nur den Dateinamen einzugeben (zum Beispiel beispiel.exe). Aus Gründen der Benutzerfreundlichkeit zeigt die Einzelzeilenansicht der Anwendungsliste nur die Dateinamen getrennt durch Strichpunkte. ■ OS X: Es reicht nicht aus, nur das Anwendungspaket (zum Beispiel /Applications/Scanner.app) einzugeben. Die Anwendung muss als /Applications/Scanner.app/Contents/MacOS/Scanner angegeben werden. ■ Die Anwendungsnamen können dieselben Platzhalter für Windows Shell Ordner und Umgebungsvariablen wie die Verschlüsselungsregeln in File Encryption Richtlinien enthalten. Eine Beschreibung aller verfügbaren Platzhalter finden Sie unter Platzhalter für Pfade in pfadbasierten File Encryption-Regeln (Seite 158). 4. Speichern Sie Ihre Änderungen. Hinweis: Die Richtlinieneinstellungen Vertrauenswürdige Anwendungen sind Computereinstellungen. Die Richtlinie muss daher Computern, nicht Benutzern, zugewiesen werden. Andernfalls werden die Einstellungen nicht wirksam. 140 Administratorhilfe 5.1.6.2 Ignorierte Geräte konfigurieren Sie können Geräte als ignoriert definieren, um sie von der Dateiverschlüsselung auszuschließen. Sie können nur vollständige Geräte ausschließen. 1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder wählen Sie eine vorhandene aus. 2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche des Felds Ignorierte Geräte. 3. Führen Sie im Editor-Listenfeld folgende Schritte durch: a) Wählen Sie Netzwerk wenn Sie keine Daten am Netzwerk verschlüsseln wollen. b) Geben Sie die entsprechenden Gerätenamen an, um spezifische Geräte von der Verschlüsselung auszuschließen. Dies ist zum Beispiel nützlich, wenn Sie Systeme von Dritt-Anbietern ausschließen müssen. Hinweis: Sie können die Namen der derzeit im System benutzten Geräte mit Tools von Dritt-Anbietern (z. B. OSR Device Tree) anzeigen lassen. SafeGuard Enterprise protokolliert alle Geräte, mit denen eine Verbindung hergestellt wird. Mit Hilfe von Registry Keys können Sie eine Liste von verbundenen und ignorierten Geräten aufrufen. Weitere Informationen finden Sie unter Anzeige von ignorierten und verbundenen Geräten (Windows) (Seite 141). Sie können einzelne (Netzwerk)-Festplattenlaufwerke von der Verschlüsselung ausschließen, in dem Sie eine File Encryption Verschlüsselungsregel in einer File Encryption Richtlinie erstellen und den Modus für die Verschlüsselung auf Ignorieren einstellen. Sie können diese Einstellung nur auf durch Windows verwaltete Laufwerke, nicht auf Mac OS X Volumes. 5.1.6.2.1 Anzeige von ignorierten und verbundenen Geräten (Windows) Als Hilfestellung für die Definition von ignorierten Geräten können Sie mit Registry Keys ermitteln, welche Geräte für die Verschlüsselung in Betracht gezogen werden (verbundene Geräte) und welche Geräte derzeit ignoriert werden. Die Liste mit ignorierten Geräten enthält nur Geräte, die tatsächlich auf dem Computer verfügbar sind und ignoriert werden. Wird ein Gerät in einer Richtlinie als ignoriert definiert und das Gerät ist nicht verfügbar, so wird das Gerät auch nicht aufgelistet. Benutzen Sie folgende Registry Keys, um verbundene und ignorierte Geräte zu ermitteln: ■ HKLM\System\CurrentControlSet\Control\Utimaco\SGLCENC\Log\AttachedDevices ■ HKLM\System\CurrentControlSet\Control\Utimaco\SGLCENC\Log\IgnoredDevices 5.1.7 Anwendungsbasierte File Encryption-Richtlinien im RSOP Da Synchronized Encryption Richtlinien nicht vereinigt werden, wird immer der Inhalt der Richtlinie angezeigt, die gerade für einen Benutzer oder Computer in Kraft ist (Benutzer und Computer > RSOP > Dateiverschlüsselung). 5.2 Native Device Encryption verwalten Um Festplatten besonders schnell, einfach und zuverlässig zu verschlüsseln, greift SafeGuard auf die Verschlüsselungstechnologie des Betriebssystems zurück. Verwalten Sie Schlüssel und Wiederherstellungsfunktionen über BitLocker- und mit FileVault 2 verschlüsselte Laufwerke ganz praktisch über das SafeGuard Management Center. 141 SafeGuard Enterprise 5.2.1 BitLocker Drive Encryption BitLocker Drive Encryption ist ein in Microsoft Windows Betriebssysteme integriertes Feature für die Festplattenverschlüsselung mit Pre-Boot Authentication. BitLocker bietet Datenschutz durch die Verschlüsselung von Boot- sowie Daten-Laufwerken. Bei Windows 8 und höher kann nur die BitLocker Drive Encryption (nicht die SafeGuard Festplattenverschlüsselung) für die Festplattenverschlüsselung verwendet werden. SafeGuard Enterprise kann BitLocker Verschlüsselung auf einem Computer verwalten. Die BitLocker-Verschlüsselung kann aktiviert und die Verwaltung von bereits mit BitLocker verschlüsselten Laufwerken übernommen werden. SafeGuard Enterprise überprüft während der Installation am Endpoint und während dem ersten Neustart, ob die Hardware die Anforderungen für BitLocker mit SafeGuard Challenge/Response erfüllt. Falls nicht, wird die SafeGuard Enterprise BitLocker Verwaltung ohne Challenge/Response ausgeführt. In diesem Fall kann der BitLocker Recovery-Schlüssel mit dem SafeGuard Management Center abgerufen werden. 5.2.1.1 Authentisierung mit BitLocker-Laufwerkverschlüsselung Die BitLocker-Laufwerkverschlüsselung bietet verschiedene Authentisierungsoptionen für Boot- und Datenlaufwerke. Der Sicherheitsbeauftragte kann die verschiedenen Anmeldemodi in einer Richtlinie im SafeGuard Management Center einstellen und sie an die BitLocker Endpoints verteilen. Für SafeGuard Enterprise BitLocker-Benutzer sind folgende Anmeldemodi verfügbar: ■ TPM (nur Boot-Laufwerke) ■ TPM + PIN (nur Boot-Laufwerke) ■ TPM + Systemstartschlüssel (nur Boot-Laufwerke) ■ Kennwort (ohne TPM) ■ Systemstartschlüssel (ohne TPM) ■ Auto-Unlock (nur Datenlaufwerke) Weitere Informationen zum Einrichten der Anmeldemodi finden Sie unter Authentisierung (Seite 358). 5.2.1.1.1 Trusted Platform Module (TPM) Das TPM ist ein Modul auf dem Motherboard, das einer Smartcard ähnelt und Verschlüsselungsfunktionen sowie Vorgänge für die digitale Signatur ausführt. Es ist in der Lage, Benutzerschlüssel anzulegen, zu speichern und zu verwalten. Das TPM ist gegen Angriffe geschützt. 5.2.1.1.2 PIN und Kennwörter Die Voraussetzungen für BitLocker PINs und Kennwörter werden in den Windows Gruppenrichtlinien festgelegt und nicht durch die SafeGuard Enterprise-Einstellungen. Die betreffenden Einstellungen für Kennwörter sind im lokalen Gruppenrichtlinien-Editor (gpedit.msc) zu finden: 142 Administratorhilfe Local Computer Policy - Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Operating System Drives - Configure use of passwords for operating system drives und Local Computer Policy - Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Fixed Data Drives - Configure use of passwords for fixed data drives. Die Einstellungen können auch über Active Directory angewendet werden. PINs bestehen in der Regel nur aus Zahlen. Es kann jedoch die Verwendung aller Tastaturzeichen (Zahlen, Buchstaben und Sonderzeichen/Symbole) zugelassen werden. Die Einstellung, mit der diese erweiterten PINs zugelassen werden, ist im lokalen Gruppenrichtlinien-Editor (gpedit.msc) unter Local Computer Policy - Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption - Operating System Drives zu finden: Wenn "Erweiterte PINs für Systemstart zulassen" auf "Aktiviert" gesetzt ist, sind erweiterte PINs zulässig. Wenn "Erweiterte PINs für Systemstart zulassen" auf "Nicht konfiguriert" gesetzt ist, sind in SafeGuard Enterprise erweiterte PINs zulässig. Wenn "Erweiterte PINs für Systemstart zulassen" auf "Deaktiviert" gesetzt ist, sind erweiterte PINs nicht zulässig. Hinweis: BitLocker unterstützt nur das EN-US Tastaturlayout. Benutzer könnten daher Probleme bei der Eingabe erweiterter PINs oder komplexer Kennwörter haben. Wird das Tastaturlayout vor dem Festlegen der neuen BitLocker-PIN oder des neuen Bit Locker-Kennworts nicht in EN-US geändert, muss für die Eingabe des gewünschten Zeichens unter Umständen eine andere Taste gedrückt werden als die auf der Tastatur angegebene. Deshalb wird vor dem Verschlüsseln des Boot-Laufwerks ein Neustart ausgeführt, um sicherzustellen, dass der Benutzer die PIN oder das Kennwort beim Starten korrekt eingeben kann. 5.2.1.1.3 USB-Stick Die externen Schlüssel können auf einem ungeschützten USB-Stick gespeichert werden. 5.2.1.2 Praxistipps: Richtlinieneinstellungen und Bedienung Der Sicherheitsbeauftragte konfiguriert die Verschlüsselungsrichtlinien für die zu verschlüsselnden Laufwerke sowie eine Authentisierungsrichtlinie. Nach Möglichkeit sollte immer das TPM genutzt werden, aber auch ohne TPM sollte das Boot-Volume verschlüsselt werden. Die Benutzerinteraktion sollte auf ein Minimum beschränkt werden. Gemäß diesen Anforderungen wählt der Sicherheitsbeauftragte die folgenden Authentisierungseinstellungen (diese sind auch die Standardeinstellungen): ■ BitLocker Anmeldemodus für Boot-Laufwerke: TPM + PIN ■ BitLocker Fallback-Anmeldemodus für Boot-Laufwerke: Kennwort oder Systemstartschlüssel: ■ BitLocker Anmeldemodus für Datenlaufwerke: Auto-Unlock ■ BitLocker Fallback-Anmeldemodus für Datenlaufwerke: Kennwort oder Systemstartschlüssel: Der Sicherheitsbeauftragte erstellt eine Geräteschutzrichtlinie mit dem Ziel Interner Speicher und richtet für den Verschlüsselungsmodus Volume-basierend ein. Danach werden beide Richtlinien auf die zu verschlüsselnden Endpoints angewendet. Für SafeGuard Enterprise BitLocker-Benutzer gibt es folgende Szenarien: 143 SafeGuard Enterprise Fall 1: Ein Benutzer meldet sich mit einem TPM bei einem Endpoint an. 1. Der Benutzer wird aufgefordert, eine PIN für das Boot-Volume einzugeben (z. B. Laufwerk C: ). 2. Der Benutzer gibt die PIN ein und klickt auf Neu starten und verschlüsseln. 3. Das System testet die Hardware und überprüft, ob der Benutzer die PIN korrekt eingeben kann. Es startet neu und fordert den Benutzer zur Eingabe der PIN auf. Wenn der Benutzer die PIN richtig eingibt, wird der Endpoint gestartet. Gibt der Benutzer die PIN nicht richtig ein (z. B. aufgrund eines falschen Tastaturlayouts), kann er die Esc-Taste in der BitLocker Pre-Boot-Umgebung drücken, um den Test abzubrechen, und der Endpoint wird gestartet. Falls es ein Problem mit der Hardware gibt (z. B. wenn das TPM nicht funktioniert), wird der Test abgebrochen und der Endpoint gestartet. 4. Der Benutzer meldet sich erneut an. 5. Wenn der Hardware-Test erfolgreich war (der Benutzer konnte die PIN richtig eingeben und es gab kein Problem mit dem TPM), beginnt die Verschlüsselung des Boot-Volume. Andernfalls (wenn der Test fehlschlägt), wird ein Fehler angezeigt und das Volume nicht verschlüsselt. Schlägt der Test fehl, weil der Benutzer Esc in der Pre-Boot-Umgebung gedrückt hat, wird der Benutzer aufgefordert, erneut eine PIN einzugeben und einen Neustart vorzunehmen (wie in Schritt 2; die Schritte 3, 4 und 5 werden wiederholt). 6. Die Verschlüsselung des Boot-Volume beginnt. 7. Die Verschlüsselung der Daten-Volumes beginnt ebenfalls, ohne dass eine Interaktion seitens des Benutzers erforderlich ist. Fall 2: Ein Benutzer meldet sich bei einem Windows 8-Endpoint ohne TPM an. 1. Der Benutzer wird aufgefordert, ein Kennwort für das Boot-Volume einzugeben. 2. Der Benutzer gibt das Kennwort ein und klickt auf Neu starten und verschlüsseln. 3. Das System startet neu, führt einen Hardwaretest durch und der Benutzer meldet sich wie im Fall oben erneut an (genau wie in Fall 1, Schritte 3 bis 6, aber die Verweise auf das TPM sind nicht relevant und anstelle einer PIN ist ein Kennwort erforderlich.) 4. Die Verschlüsselung des Boot-Volume beginnt. 5. Die Verschlüsselung der Daten-Volumes beginnt ebenfalls, ohne dass eine Interaktion seitens des Benutzers erforderlich ist. Fall 3: Ein Benutzer meldet sich bei einem Windows 7-Endpoint ohne TPM an. 1. Der Benutzer wird aufgefordert, den Verschlüsselungsschlüssel für das Boot-Volume auf einem USB-Stick zu speichern. 2. Der Benutzer steckt einen USB-Stick ein und wählt Speichern und neu starten aus. 3. Das System startet neu, führt den Hardwaretest durch und der Benutzer meldet sich erneut an. (Gleicher Ablauf wie in den vorgenannten Fällen, aber der Benutzer muss beim Booten den USB-Stick einstecken. Es könnte ein Hardwarefehler auftreten, wenn der USB-Stick von der BitLocker Pre-Boot-Umgebung nicht gelesen werden kann.) 4. Die Verschlüsselung des Boot-Volume beginnt. 5. Die Verschlüsselung der Daten-Volumes beginnt ebenfalls, ohne dass eine Interaktion seitens des Benutzers erforderlich ist. Fall 4: Der Sicherheitsbeauftragte ändert die Richtlinie und setzt den BitLocker Fallback-Anmeldemodus für Boot-Laufwerke auf Kennwort. Ein Benutzer meldet sich bei einem Windows 7-Endpoint ohne TPM an. 1. Da der Endpoint kein TPM hat und Windows 7 keine Kennwörter für Boot-Volumes zulässt, wird das Boot-Volume nicht verschlüsselt. 144 Administratorhilfe 2. Für jedes Nicht-Boot-Volume wird der Benutzer aufgefordert, den externen Schlüssel auf einem USB-Stick zu speichern. Die Verschlüsselung des betreffenden Volume beginnt, sobald der Benutzer auf Speichern klickt. 3. Wenn der Benutzer den Endpoint neu startet, muss der USB-Stick eingesteckt sein, damit die Nicht-Boot-Volumes entsperrt werden. 5.2.1.3 Voraussetzungen für die Verwaltung von BitLocker auf Endpoints ■ Um die Anmeldemethoden TPM + PIN, TPM + Systemstartschlüssel, Systemstartschlüssel oder Kennwort verwenden zu können, muss die Gruppenrichtlinie Zusätzliche Authentifizierung beim Start anfordern entweder in Active Directory oder lokal auf Computern aktiviert werden. Im Editor für lokale Gruppenrichtlinien (gpedit.msc) kann die Gruppenrichtlinie hier gefunden werden: Richtlinien für Lokaler Computer\Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker Laufwerksverschlüsselung\Betriebssystemlaufwerke Um Systemstartschlüssel zu verwenden, müssen Sie auch BitLocker ohne kompatibles TPM zulassen in den Gruppenrichtlinien aktivieren. ■ Um TPM + PIN auf Tablets verwenden zu können, müssen Sie auch die Gruppenrichtlinie Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates aktivieren aktivieren. Hinweis: Die Gruppenrichtlinien sind bei der Installation auf dem Endpoint automatisch aktiviert. Stellen Sie sicher, dass die Einstellungen nicht von anderen Gruppenrichtlinien überschrieben werden. ■ Eine BitLocker-Geräteschutzrichtlinie, die die Konfiguration eines TPM-basierten Authentifizierungsmechanismus (zum Beispiel TPM, TPM+PIN, TPM + Systemstartschlüssel) auslöst, leitet automatisch die TPM-Aktivierung ein. Der Benutzer wird informiert, dass das TPM aktiviert werden muss, und erhält eine Nachricht, wenn das System neugestartet oder heruntergefahren werden muss (abhängig von dem verwendeten TPM). Hinweis: Wenn SafeGuard BitLocker Management auf einem Endpoint installiert ist, dann kann Nicht vorbereitet als Verschlüsselungsstatus eines Laufwerks angezeigt werden. Das bedeutet, dass das Laufwerk momentan nicht mit BitLocker verschlüsselt werden kann, weil notwendige Vorbereitungen noch nicht durchgeführt wurden. Das trifft nur auf verwaltetete Endpoints zu, weil nicht verwaltetete Endpoints keine Bestandsinformationen melden können. Siehe auch Registerkarte Laufwerke (Seite 258). Der Systemstatus kann mit dem Befehlszeilentool SGNState überprüft werden (Administratorberechtigungen erforderlich). Nähere Informationen finden Sie im SafeGuard Enterprise Tools Guide. Volume Info: Gibt an, ob der Endpoint angemessen für die BitLocker-Verschlüsselung vorbereitet ist oder nicht. In manchen Fällen muss das Windows-Tool zur Laufwerkvorbereitung auf BitLocker ausgeführt werden. 5.2.1.3.1 SafeGuard Challenge/Response für BitLocker Um SafeGuard Enterprise BitLocker Challenge/Response verwenden zu können, müssen die folgenden Voraussetzungen erfüllt sein: ■ 64-Bit-Windows ■ UEFI Version 2.3.1 oder höher 145 SafeGuard Enterprise ■ Microsoft UEFI Zertifikat ist verfügbar oder Secure Boot ist deaktiviert. ■ NVRAM Booteinträge sind von Windows aus zugänglich ■ Windows im GPT-Modus installiert ■ Die Hardware ist in der POACFG.xml Datei nicht aufgelistet. Sophos liefert eine Standard POACFG.xml Datei, die im Setup eingebettet ist. Es wird empfohlen, die neueste Datei herunterzuladen und dem Installationsprogramm bereitzustellen SafeGuard Enterprise überprüft während der Installation am Endpoint und während dem ersten Neustart, ob die Hardware die Anforderungen für BitLocker mit SafeGuard Challenge/Response erfüllt. Falls nicht, wird die SafeGuard Enterprise BitLocker Verwaltung ohne Challenge/Response ausgeführt. In diesem Fall kann der BitLocker Recovery-Schlüssel mit dem SafeGuard Policy Editor abgerufen werden. 5.2.1.4 BitLocker Drive Encryption mit SafeGuard Enterprise verwalten Mit SafeGuard Enterprise können Sie BitLocker Drive Encryption vom SafeGuard Management Center aus verwalten, wie einen nativen SafeGuard Enterprise Client. Als Sicherheitsbeauftragter können Sie Verschlüsselungs- und Authentisierungsrichtlinien einrichten und an die BitLocker-Endpoints verteilen. Während der Installation des SafeGuard Enterprise-Client auf Windows 7 muss die BitLocker-Funktion explizit ausgewählt werden, um die BitLocker-Verwaltung zu ermöglichen. Sobald ein BitLocker Endpoint bei SafeGuard Enterprise registriert ist, werden Informationen zu Benutzer, Computer, Anmeldemodus und Verschlüsselungsstatus angezeigt. Darüber hinaus werden Ereignisse für BitLocker Clients protokolliert. Die Verwaltung von BitLocker Clients in SafeGuard Enterprise ist transparent. Das heißt, die Verwaltungsfunktionen haben im Allgemeinen dieselbe Funktionsweise für BitLocker und native SafeGuard Enterprise Clients. Der Computertyp lässt sich über die Registerkarte Bestand eines Containers unter Benutzer und Computer ermitteln. Die Spalte Verschlüsselungstyp zeigt an, ob es sich bei dem betreffenden Computer um einen BitLocker-Client handelt. Die zentrale und vollständig transparente Verwaltung von BitLocker durch SafeGuard Enterprise ermöglicht somit die Anwendung in heterogenen IT-Umgebungen. SafeGuard Enterprise erweitert die Funktionalität von BitLocker signifikant. Über SafeGuard Enterprise lassen sich die Sicherheitsrichtlinien für BitLocker zentral ausrollen. Bei der Verwaltung von BitLocker über SafeGuard Enterprise stehen darüber hinaus äußerst wichtige Prozesse, wie Schlüsselverwaltung und Schlüssel-Recovery, zur Verfügung. Informationen zur SafeGuard Enterprise-Unterstützung der BitLocker To Go-Erweiterung in Windows 7 und 8 finden Sie unter BitLocker To Go (Seite 150). 5.2.1.5 Verschlüsselung mit dem von SafeGuard Enterprise verwalteten BitLocker Mit der BitLocker Drive Encryption-Unterstützung in SafeGuard Enterprise können Sie Boot-Volumes und Daten-Volumes mit BitLocker-Verschlüsselung und -Schlüsseln verschlüsseln. Darüber hinaus können Daten, z. B. von Wechselmedien, mit SafeGuard Enterprise dateibasierender Verschlüsselung und SafeGuard Enterprise-Schlüsseln verschlüsselt werden. Dies ist keine BitLocker-Funktion, wird aber von SafeGuard Enterprise bereitgestellt. 146 Administratorhilfe 5.2.1.5.1 BitLocker-Verschlüsselungsschlüssel Bei der Verschlüsselung des Boot-Volumes oder anderer Volumes mit BitLocker über SafeGuard Enterprise werden die Verschlüsselungsschlüssel immer durch BitLocker erzeugt. BitLocker erzeugt jeweils einen Schlüssel für jedes Volume. Dieser Schlüssel lässt sich für keinen anderen Zweck verwenden. Eine Sicherungskopie des Schlüssels wird in der SafeGuard Enterprise Datenbank gespeichert, wenn BitLocker mit SafeGuard Enterprise verwendet wird. Dies ermöglicht die Einrichtung eines Helpdesk- und Recovery-Mechanismus (ähnlich der SafeGuard Enterprise Challenge/Response Funktionalität). Es ist jedoch nicht möglich, Schlüssel global auszuwählen oder wiederzuverwenden, wie dies bei nativen SafeGuard Enterprise Clients der Fall ist. Die Schlüssel werden außerdem auch nicht im SafeGuard Management Center angezeigt. Hinweis: BitLocker erlaubt Ihnen auch, Recovery-Schlüssel im Active Directory zu sichern. Falls dies in den Gruppenrichtlinienobjekten (GPOs) aktiviert ist, dann wird dies automatisch durchgeführt, wenn ein Laufwerk mit BitLocker verschlüsselt ist. Wenn ein Laufwerk bereits verschlüsselt ist, kann der Administrator die BitLocker Recovery-Schlüssel händisch mit dem Windows Manage-BDE tool sichern (siehe "manage-bde -protectors -adbackup -?"). 5.2.1.5.2 BitLocker-Algorithmen in SafeGuard Enterprise BitLocker unterstützt die folgenden Advanced Encryption Standard (AES) Algorithmen: ■ AES-128 ■ AES-256 AES-128 mit Diffuser und AES-256 mit Diffuser werden nicht mehr unterstützt. Laufwerke, die bereits mit einem Algorithmus mit Diffuser verschlüsselt wurden, können mit SafeGuard Enterprise verwaltet werden. 5.2.1.5.3 Verschlüsselungsrichtlinien für die BitLocker-Laufwerkverschlüsselung Der Sicherheitsbeauftragte kann eine Richtlinie für die (Erst-)Verschlüsselung im SafeGuard Management Center anlegen und diese an die BitLocker Endpoints verteilen. Die Richtlinie wird daraufhin auf den Endpoints ausgeführt. Die in der Richtlinie angegebenen Laufwerke werden daraufhin mit BitLocker verschlüsselt. Da die BitLocker Clients im SafeGuard Management Center transparent verwaltet werden, muss der Sicherheitsbeauftragte keine speziellen BitLocker-Einstellungen für die Verschlüsselung vornehmen. SafeGuard Enterprise kennt den Status der Clients und wählt die BitLocker-Verschlüsselung entsprechend. Wird ein BitLocker Client mit SafeGuard Enterprise installiert und wird die Volume-Verschlüsselung aktiviert, so werden die Volumes durch die BitLocker-Laufwerkverschlüsselung verschlüsselt. Ein BitLocker Endpoint verarbeitet Richtlinien vom Typ Geräteschutz und Authentisierung. Die folgenden Einstellungen werden am Endpoint ausgewertet: Einstellungen in einer Richtlinie des Typs Geräteschutz: Ziel:Lokale Datenträger | Interner Speicher | Boot-Laufwerke | Andere Laufwerke | Laufwerksbuchstaben A: -Z: Verschlüsselungsmodus für MedienVolume-basierend | Keine Verschlüsselung Algorithmus für die VerschlüsselungAES128 | AES256 Schnelle InitialverschlüsselungJa | Nein 147 SafeGuard Enterprise Nähere Informationen finden Sie unter Geräteschutz (Seite 376). Einstellungen in einer Richtlinie des Typs Authentifizierung: BitLocker Anmeldemodus für Boot-Laufwerke:TPM | TPM + PIN | TPM + Systemstartschlüssel | Systemstartschlüssel | BitLocker Fallback-Anmeldemodus für Boot-Laufwerke:Systemstartschlüssel | Kennwort | Kennwort oder Systemstartschlüssel | Fehler BitLocker Anmeldemodus für Datenlaufwerke: Auto-Unlock | Kennwort | Systemstartschlüssel BitLocker Fallback-Anmeldemodus für Datenlaufwerke: Systemstartschlüssel | Kennwort oder Systemstartschlüssel | Kennwort Nähere Informationen finden Sie unter Authentisierung (Seite 358). Alle anderen Einstellungen werden vom BitLocker Endpoint ignoriert. 5.2.1.5.4 Verschlüsselung auf einem durch BitLocker geschützten Computer Vor Beginn der Verschlüsselung werden von BitLocker die Verschlüsselungsschlüssel generiert. Abhängig vom System kann das Verhalten leicht abweichen. Endpoints mit TPM Wenn der Sicherheitsbeauftragte einen Anmeldemodus für BitLocker einrichtet, der TPM (TPM, TPM+PIN oder TPM + Systemstartschlüssel) beinhaltet, wird die TPM-Aktivierung automatisch eingeleitet. Das TPM (Trusted Platform Module) ist ein Hardware-Gerät, das BitLocker zum Speichern seiner Verschlüsselungsschlüssel verwendet. Die Schlüssel werden nicht auf der Festplatte des Computers gespeichert. Während des Startvorgangs muss das BIOS (Basic Input/Output System) auf TPM zugreifen können. Wenn der Benutzer den Computer startet, bezieht BitLocker diese Schlüssel automatisch vom TPM. Endpoints ohne TPM Wenn ein Endpoint nicht mit TPM ausgestattet ist, kann ein BitLocker-Systemstartschlüssel oder – falls auf dem Endpoint Windows 8 oder höher ausgeführt wird – ein Kennwort als Anmeldemodus verwendet werden. Ein BitLocker-Systemstartschlüssel kann mit einem USB-Stick zum Speichern der Verschlüsselungsschlüssel generiert werden. Der Benutzer muss den Stick immer beim Starten des Computers einstecken. Wenn SafeGuard Enterprise BitLocker aktiviert, werden die Benutzer aufgefordert, den BitLocker-Systemstartschlüssel zu speichern. Es öffnet sich ein Dialog, in dem die gültigen Ziellaufwerke zum Speichern des Systemstartschlüssels angezeigt werden. Hinweis: Bei Bootlaufwerken ist es wesentlich, dass der Systemstartschlüssel verfügbar ist, wenn Sie den Endpoint starten. Der Systemstartschlüssel kann daher nur auf einem Wechselmedium gespeichert werden. Bei Daten-Volumes kann der BitLocker-Systemstartschlüssel auf einem verschlüsselten Boot-Volume gespeichert werden. Dies erfolgt automatisch, wenn Auto-Unlock in der Richtlinie festgelegt ist. 148 Administratorhilfe BitLocker Recovery-Schlüssel Für die BitLocker Recovery sieht SafeGuard Enterprise ein Challenge/Response-Verfahren vor, das es erlaubt, Informationen vertraulich auszutauschen und die BitLocker Recovery-Schlüssel beim Helpdesk abzurufen (siehe Response für mit BitLocker verschlüsselte SafeGuard Enterprise Clients - UEFI-Endpoints (Seite 151) und Recovery-Schlüssel für mit BitLocker verschlüsselte SafeGuard Enterprise Clients - BIOS-Endpoints (Seite 152)). Damit Recovery-Vorgänge über Challenge/Response durchgeführt werden können oder ein Abruf des Recovery-Schlüssels möglich ist, müssen die notwendigen Daten dem Helpdesk zur Verfügung gestellt werden. Die für den Recovery-Vorgang erforderlichen Daten werden in spezifischen Schlüssel-Recovery-Dateien gespeichert. Hinweis: Wenn SafeGuard BitLocker Verwaltung ohne Challenge/Response auf einem Standalone-Endpoint verwendet wird, dann wird der Recovery-Schlüssel nach einem Recovery-Vorgang nicht geändert. Hinweis: Wenn eine mit BitLocker verschlüsselte Festplatte in einem Computer durch eine neue Festplatte ersetzt wird, diese den Laufwerksbuchstaben der alten Festplatte erhält und ebenfalls mit BitLocker verschlüsselt wird, speichert SafeGuard Enterprise nur den BitLocker Recovery-Schlüssel der neuen Festplatte. Verwaltung von Laufwerken, die bereits mit BitLocker verschlüsselt sind Sollte es bei der Installation von SafeGuard Enterprise auf Ihrem Computer Laufwerke geben, die bereits mit BitLocker verschlüsselt sind, übernimmt SafeGuard Enterprise die Verwaltung dieser Laufwerke. Verschlüsselte Bootlaufwerke ■ ■ Abhängig von der verwendeten SafeGuard Enterprise BitLocker Unterstützung werden Sie möglicherweise aufgefordert, Ihren Computer neu zu starten. Es ist wichtig, dass Sie den Neustart so bald als möglich durchführen. Wenn für das verschlüsselte Laufwerk eine SafeGuard Enterprise-Verschlüsselungsrichtlinie gilt: ■ ■ ■ SafeGuard Enterprise BitLocker Challenge/Response ist installiert: Die Verwaltung wird übernommen und SafeGuard Enterprise Challenge/Response ist möglich. SafeGuard Enterprise BitLocker ist installiert: Die Verwaltung wird übernommen und Recovery ist möglich. Wenn für das verschlüsselte Laufwerk keine SafeGuard Enterprise-Verschlüsselungsrichtlinie gilt: ■ ■ SafeGuard Enterprise BitLocker Challenge/Response ist installiert: Es wird keine Verwaltung übernommen und SafeGuard Enterprise Challenge/Response ist nicht möglich. SafeGuard Enterprise BitLocker ist installiert: Recovery ist möglich. Verschlüsselte Festplatten ■ Wenn für das verschlüsselte Laufwerk eine SafeGuard Enterprise-Verschlüsselungsrichtlinie gilt: Die Verwaltung wird übernommen und Recovery ist möglich. 149 SafeGuard Enterprise ■ Wenn für das verschlüsselte Laufwerk keine SafeGuard Enterprise-Verschlüsselungsrichtlinie gilt: SafeGuard Enterprise Recovery ist möglich. 5.2.1.5.5 Entschlüsselung mit BitLocker Computer, die mit BitLocker verschlüsselt wurden, lassen sich nicht automatisch entschlüsseln. Die Entschlüsselung kann entweder über den Menüpunkt BitLocker Drive Encryption in der Systemsteuerung oder mit dem Microsoft Befehlszeilentool "Manage-bde" ausgeführt werden. Um Benutzern zu erlauben, mit BitLocker verschlüsselte Laufwerke händisch zu entschlüsseln, muss dem Endpoint eine Richtlinie ohne Verschlüsselungsregel für ein BitLocker verschlüsseltes Laufwerk zugewiesen werden. Der Benutzer kann dann die Entschlüsselung durch Deaktivieren von BitLocker für das gewünschte Laufwerk unter BitLocker Drive Encryption in der Systemsteuerung auslösen. 5.2.1.6 BitLocker To Go Ab Windows 7 wurde die BitLocker -Laufwerkverschlüsselung mit BitLocker To Go erweitert, so dass Benutzer auch Volumes auf Wechselmedien verschlüsseln können. BitLocker To Go kann nicht durch SafeGuard Enterprise verwaltet werden. BitLocker To Go kann verwendet werden, wenn die Client-Komponenten für SafeGuard Enterprise BitLocker Unterstützung installiert wurden. Wenn die Client-Komponenten für die volume-basierende Verschlüsselung von SafeGuard Enterprise installiert wurden, dann ist BitLocker To Go nicht kompatibel und wird deaktiviert. Volumes und Wechselmedien, die vor der Installation von SafeGuard Enterprise mit BitLocker To Go verschlüsselt wurden, bleiben lesbar. Die dateibasierende Verschlüsselung von SafeGuard kann verwendet werden. 5.2.1.6.1 Deaktivieren der BitLocker To Go Verschlüsselung 1. Wählen Sie im Windows Gruppenrichtlinien-Editor Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives. 2. Unter Wechseldatenträger wählen Sie die folgende Richtlinie: Verwendung von BitLocker auf Wechseldatenträgern steuern. Setzen Sie die Optionen wie folgt: a) Wählen Sie Aktiviert. b) Deaktivieren Sie unter Optionen die Option Benutzer können BitLocker-Schutz auf Wechseldatenträgern anwenden. c) Wählen Sie unter Optionen die Option Benutzer können BitLocker-Schutz auf Wechseldatenträgern anhalten und entschlüsseln. 3. Klicken Sie auf OK. BitLocker To Go Verschlüsselung wird auf den Endpoints deaktiviert. Der Benutzer kann neue Laufwerke nicht mehr mit BitLocker To Go verschlüsseln. Laufwerke, die bereits vor Bereitstellung der nativen SafeGuard Enterprise Device Encryption Client-Komponenten mit BitLocker To Go verschlüsselt wurden, bleiben lesbar. Die Registry-Einstellungen auf dem Client werden folgendermaßen gesetzt: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE] "RDVConfigureBDE"=dword:00000001 "RDVAllowBDE"=dword:00000000 150 Administratorhilfe "RDVDisableBDE"=dword:00000001 Diese Registry-Einstellungen werden auch während der Installation der SafeGuard Enterprise Device Encryption Client-Komponenten gesetzt. BitLocker To Go wird somit auch auf Computern ohne Domain-Verwaltung (Endpoints in einer Arbeitsgruppe) oder Standalone-Endpoints deaktiviert. 5.2.1.7 Protokollierte Ereignisse für BitLocker Vom BitLocker Client gemeldete Ereignisse werden wie für alle anderen SafeGuard Enterprise Clients protokolliert. Dabei wird nicht explizit erwähnt, dass sich das Ereignis auf einen BitLocker Client bezieht. Die Berichte entsprechen den für jeden anderen SafeGuard Enterprise Client erzeugten Berichten. 5.2.1.8 Recovery für BitLocker Abhängig vom System bietet SafeGuard Enterprise ein Challenge/Response-Verfahren für die Recovery oder die Möglichkeit, beim Helpdesk den Recovery-Schlüssel zu beschaffen. Informationen darüber, welche Voraussetzungen für SafeGuard Enterprise Challenge/Response erfüllt sein müssen, finden Sie unter Voraussetzungen für die Verwaltung von BitLocker auf Endpoints (Seite 145). 5.2.1.8.1 Response für mit BitLocker verschlüsselte SafeGuard Enterprise Clients - UEFI Endpoints Für UEFI Endpoints, die bestimmte Voraussetzungen erfüllen, bietet SafeGuard Enterprise ein Challenge/Response-Verfahren zum Recovery. Auf UEFI Endpoints, die die Voraussetzungen nicht erfüllen, wird automatisch SafeGuard BitLocker ohne Challenge/Response installiert. Informationen über die Wiederherstellung dieser Endpoints finden Sie unter Recovery-Schlüssel für mit BitLocker verschlüsselte SafeGuard Enterprise Clients - BIOS-Endpoints (Seite 152). 1. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client (Managed). 2. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste. 3. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn aus. Hierzu gibt es mehrere Möglichkeiten: ■ Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten Computer aus und klicken Sie auf OK. Der Computername wird auf der Seite Recovery-Typ angezeigt. ■ Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird als Distinguished Name angezeigt. ■ Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel: CN=Desktop1,OU=Development,OU=Headquarter,DC=Sophos,DC=edu 4. Klicken Sie auf Weiter. 5. Wählen Sie das Volume, auf das zugegriffen werden soll, aus der Liste und klicken Sie auf Weiter. 6. Klicken Sie auf Weiter. Eine Seite für die Eingabe des Challenge-Codes wird angezeigt. 7. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter. 151 SafeGuard Enterprise 8. Es wird ein Response-Code erzeugt. Teilen Sie dem Benutzer den Response-Code mit. Hierzu steht eine Buchstabierhilfe zur Verfügung. Sie können den Response-Code auch in die Zwischenablage kopieren. Der Benutzer kann den Response-Code eingeben und wieder auf den Endpoint zugreifen. 5.2.1.8.2 Recovery-Schlüssel für mit BitLocker verschlüsselte SafeGuard Enterprise Clients - BIOS Endpoints Bei mit BitLocker verschlüsselten Computern lässt sich ein Volume, auf das nicht mehr zugegriffen werden kann, wiederherstellen. 1. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client (Managed). 2. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste. 3. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn aus. Hierzu gibt es mehrere Möglichkeiten: ■ Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten Computer aus und klicken Sie auf OK. Der Computername wird im Fenster Recovery-Typ unter Domäne angezeigt. ■ Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird als Distinguished Name angezeigt. ■ Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel: CN=Desktop1,OU=Development,OU=Headquarter,DC=Utimaco,DC=edu 4. Klicken Sie auf Weiter. 5. Wählen Sie das Volume, auf das zugegriffen werden soll, aus der Liste und klicken Sie auf Weiter. 6. Der Recovery-Assistent zeigt den 48-stelligen Recovery-Schlüssel an. 7. Teilen Sie dem Benutzer diesen Schlüssel mit. Der Benutzer kann den Schlüssel eingeben, um den Zugriff auf das mit BitLocker verschlüsselte Volume auf dem Endpoint wiederherzustellen. 5.2.2 FileVault 2 Verschlüsselung FileVault 2 ist eine in OS X eingebaute Verschlüsselungstechnogie, die das ganze Laufwerk schützt und von SafeGuard Enterprise verwaltet werden kann. 5.2.2.1 FileVault 2 Festplattenverschlüsselung mit SafeGuard Enterprise verwalten Mit SafeGuard Enterprise können Sie FileVault 2 Festplattenverschlüsselung vom SafeGuard Management Center aus verwalten, wie einen nativen SafeGuard Enterprise Client. Die SafeGuard Enterprise Client Installation beinhaltet nicht auch die Komponente für die Verwaltung von FileVault 2. Sie muss separat installiert werden. Nähere Informationen finden Sie in Ihrer Dokumentation für Sophos SafeGuard Native Device Encryption für Mac. Die zentrale und vollständig transparente Verwaltung von FileVault2 durch SafeGuard Enterprise ermöglicht die Anwendung in heterogenen IT-Umgebungen. Sicherheitsrichtlinien für verschiedene Plattformen können zentral ausgerollt werden. 152 Administratorhilfe 5.2.2.2 Verwalten von FileVault 2 Endpoints im SafeGuard Management Center Im SafeGuard Management Center lassen sich FileVault 2 Endpoints wie andere native SafeGuard Endpoints verwalten. Als Sicherheitsbeauftragter können Sie Verschlüsselungsrichtlinien für die FileVault 2 Endpoints einrichten und verteilen. Sobald ein FileVault 2 Endpoint bei SafeGuard Enterprise registriert ist, werden Informationen zu Benutzer, Computer, Anmeldemodus und Verschlüsselungsstatus angezeigt. Darüber hinaus werden Ereignisse für FileVault 2 Clients protokolliert. Die Verwaltung von FileVault 2 Clients in SafeGuard Enterprise ist transparent. Das heißt, die Verwaltungsfunktionen haben im Allgemeinen dieselbe Funktionsweise für FileVault 2 und native SafeGuard Enterprise Clients. Der Computertyp lässt sich in der Registerkarte Bestand eines Containers unter Benutzer & Computer ermitteln. Die Spalte POA-Typ zeigt an, ob es sich bei dem betreffenden Computer um einen FileVault 2 Client handelt. 5.2.2.3 Verschlüsselungsrichtlinien für FileVault 2 Festplattenverschlüsselung Der Sicherheitsbeauftragte kann eine Richtlinie für die Verschlüsselung im SafeGuard Management Center anlegen und diese an die FileVault 2 Endpoints verteilen. Die Richtlinie wird daraufhin auf den Endpoints ausgeführt. Da die FileVault 2 Endpoints im SafeGuard Management Center transparent verwaltet werden, muss der Sicherheitsbeauftragte keine speziellen FileVault 2-Einstellungen für die Verschlüsselung vornehmen. SafeGuard Enterprise kennt den Status der Clients und wählt die FileVault 2-Verschlüsselung entsprechend. Ein FileVault 2 Endpoint verarbeitet nur Richtlinien des Typs Geräteschutz mit dem Ziel Boot-Laufwerke und einem Verschlüsselungsmodus für Medien, der auf Volume-basierend oder Keine Verschlüsselung gesetzt ist. Alle anderen Richtlinieneinstellungen werden ignoriert. Volume-basierend aktiviert FileVault 2 auf dem Endpoint. Keine Verschlüsselung erlaubt dem Benutzer den Mac zu entschlüsseln. 5.2.2.4 Recovery-Schlüssel für Mac-Endpoints Der Zugriff auf mit FileVault 2 verschlüsselte SafeGuard Enterprise Clients kann mit folgenden Schritten wiederhergestellt werden: 1. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client (Managed). 2. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste. 3. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn aus. Hierzu gibt es mehrere Möglichkeiten: ■ Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten Computer aus und klicken Sie auf OK. Der Computername wird im Fenster Recovery-Typ unter Domäne angezeigt. ■ Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird als Distinguished Name angezeigt. ■ Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel: CN=Desktop1,OU=Development,OU=Headquarter,DC=Utimaco,DC=edu 153 SafeGuard Enterprise 4. Klicken Sie auf Weiter. 5. Der Recovery-Assistent zeigt den 24-stelligen Recovery-Schlüssel an. 6. Teilen Sie dem Benutzer diesen Schlüssel mit. Der Benutzer kann den Recovery-Schlüssel eingeben, um sich am Mac-Endpoint anzumelden und das Kennwort zurückzusetzen. 5.3 Pfadbasierte Dateiverschlüsselung Das SafeGuard Enterprise Modul File Encryption bietet pfadbasierte Dateiverschlüsselung auf lokalen Festplatten und im Netzwerk, speziell für Arbeitsgruppen bei Netzwerkfreigaben. Im SafeGuard Management Center definieren Sie die Regeln für die dateibasierende Verschlüsselung in File Encryption Richtlinien. In diesen Richtlinien geben Sie die Zielordner für File Encryption, den Verschlüsselungsmodus und den Schlüssel für die Verschlüsselung an. In Richtlinien vom Typ Allgemeine Einstellungen können Sie festlegen, wie bestimmte Anwendungen und Dateisysteme auf Endpoints in Zusammenhang mit File Encryption behandelt werden sollen. Sie können ignorierte und vertrauenswürdige Anwendungen sowie ignorierte Geräte angeben. Außerdem können Sie die persistente Verschlüsselung für File Encryption aktivieren. Für die Verschlüsselung können persönliche Schlüssel verwendet werden. Ein persönlicher Schlüssel, der für einen Benutzer aktiv ist, gilt nur für diesen bestimmten Benutzer und kann nicht anderen Benutzern zugewiesen oder mit diesen gemeinsam benutzt werden. Sie können persönliche Schlüssel im SafeGuard Management Center unter Benutzer & Computer erzeugen. Wenn Endpoints eine File Encryption Richtlinie zugewiesen wurde, werden die Dateien in den von der Richtlinie abgedeckten Speicherorten ohne Benutzerinteraktion transparent verschlüsselt: ■ Neue Dateien in den relevanten Speicherorten werden automatisch verschlüsselt. ■ Wenn Benutzer den Schlüssel für eine verschlüsselte Datei haben, können sie den Inhalt lesen und ändern. ■ Wenn Benutzer den Schlüssel für eine verschlüsselte Datei nicht haben, wird der Zugriff verweigert. ■ Wenn ein Benutzer auf einem Endpoint, auf dem File Encryption nicht installiert ist, auf eine verschlüsselte Datei zugreift, wird der verschlüsselte Inhalt angezeigt. Sind in den durch die Verschlüsselungsrichtlinie abgedeckten Speicherorten bereits Dateien vorhanden, so werden diese nicht automatisch verschlüsselt. Die Benutzer müssen auf dem Endpoint eine Initialverschlüsselung im SafeGuard Assistent für Dateiverschlüsselung durchführen. Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Benutzerhilfe. Hinweis: SafeGuard File Encryption ist mit der in Windows integrierten EFS-Verschlüsselung und Dateikomprimierung nicht kompatibel. Wenn die EFS-Verschlüsselung aktiviert ist, erhält sie Priorität vor etwaig anwendbaren File Encryption Verschlüsselungsregeln. In den relevanten Ordnern angelegte Dateien können in diesem Fall nicht von File Encryption verschlüsselt werden. Wenn die Komprimierung aktiviert ist, hat die Verschlüsselung durch File Encryption eine höhere Priorität. Dateien werden verschlüsselt, jedoch nicht komprimiert. Um Dateien mit File Encryption zu verschlüsseln, muss die EFS-Verschlüsselung oder die Komprimierung zunächst deaktiviert werden. Dies kann manuell oder durch Ausführen des SafeGuard Enterprise Assistenten für die Initialverschlüsselung erfolgen. 154 Administratorhilfe Hinweis: Für weitere Informationen zu SafeGuard File Encryption für Mac, siehe Über SafeGuard File Encryption für Mac (Seite 103) und die SafeGuard Enterprise für Mac Benutzerhilfe. 5.3.1 Konfigurieren von Verschlüsselungsregeln in pfadbasierten File Encryption Richtlinien Die Regeln für die dateibasierende Verschlüsselung im Netzwerk definieren Sie in einer Richtlinie des Typs File Encryption. Hinweis: Wenn bestimmte Ordner verschlüsselt werden (zum Beispiel C:\Programme), bewirkt dies unter Umständen, dass das Betriebssystem oder bestimmte Anwendungen nicht mehr laufen. Stellen Sie bei der Definition von Verschlüsselungsregeln sicher, dass diese Ordner nicht verschlüsselt werden. 1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ File Encryption an oder wählen Sie eine vorhandene aus. Die Registerkarte Dateiverschlüsselung wird angezeigt. 2. Wählen Sie Pfadbasiert aus der Verschlüsselungstyp Auswahlliste. Die Tabelle für die Definition, wo anwendungsbasierte Dateiverschlüsselung am Endpoint angewendet wird, wird angezeigt. Hinweis: Ältere Versionen von SafeGuard Enterprise verfügen nicht über die Einstellung Verschlüsselungstyp.Wenn Sie Ihr Management Center aktualisieren, werden bestehende File Encryption Richtlinien zu Richtlinien vom Typ Pfadbasiert konvertiert. Informationen zum Verschlüsselungstyp Keine Verschlüsselung finden Sie unter Richtlinien vom Typ Keine Verschlüsselung (Seite 135). 3. Geben Sie in der Spalte Pfad den Pfad (d. h. den Ordner) an, der durch File Encryption verschlüsselt werden soll: ■ Klicken Sie auf die Dropdown-Schaltfläche und wählen Sie einen Platzhalter für einen Ordnernamen aus der Liste der verfügbaren Platzhalter aus. Hinweis: Wenn Sie Ihren Cursor über die Listeneinträge führen, werden Tooltips angezeigt, die zeigen, wie ein Platzhalter üblicherweise auf einem Endpoint umgesetzt wird. Geben Sie nur gültige Platzhalter ein. Eine Beschreibung aller verfügbaren Platzhalter finden Sie unter Platzhalter für Pfade in pfadbasierten File Encryption-Regeln (Seite 158). Wichtig: Die Verschlüsselung des gesamten Benutzerprofils mit dem Platzhalter <User Profile> kann zu einem instabilen Windows Desktop auf dem Endpoint führen. ■ ■ Klicken Sie auf die Browse-Schaltfläche um den gewünschten Ordner im Dateisystem auszuwählen. Sie können auch einfach einen Pfadnamen eingeben. Hinweis: Nützliche Informationen zum Konfigurieren von Pfaden in Dateiverschlüsselungsregeln finden Sie unter Zusätzliche Informationen für die Konfiguration von Pfaden in pfadbasierten File Encryption Verschlüsselungsregeln (Seite 157). 4. Wählen Sie in der Spalte Anwendungsbereich: ■ ■ Nur dieser Ordner, um die Regeln nur auf den Ordner anzuwenden, der in der Spalte Pfad angegeben ist, oder Mit Unterordnern, um die Regel auch auf alle Unterordner des Ordners anzuwenden. 155 SafeGuard Enterprise 5. Legen Sie in der Spalte Modus fest, wie File Encryption den in der Spalte Pfad angegebenen Ordner behandeln soll: ■ ■ ■ Wählen Sie Verschlüsseln, um neue Dateien im Ordner zu verschlüsseln. Der Inhalt der vorhandenen verschlüsselten Dateien wird transparent entschlüsselt, wenn ein Benutzer mit dem erforderlichen Schlüssel auf die Dateien zugreift. Hat der Benutzer nicht den erforderlichen Schlüssel, wird der Zugriff verweigert. Wenn Sie Ausschließen auswählen, werden neue Dateien im Ordner nicht verschlüsselt. Sie können diese Option verwenden, wenn Sie zum Beispiel einen Unterordner von der Verschlüsselung ausnehmen möchten, dessen übergeordneter Ordner bereits von einer Regel mit der Option Verschlüsseln abgedeckt ist. Wenn Sie Ignorieren auswählen, werden die Dateien im Ordner von File Encryption nicht beachtet. Neue Dateien werden im Klartext gespeichert. Wenn ein Benutzer auf bereits verschlüsselte Dateien in diesem Ordner zugreift, wird der verschlüsselte Inhalt angezeigt. Dabei spielt es keine Rolle, ob der Benutzer den erforderlichen Schlüssel hat oder nicht. 6. Wählen Sie in der Spalte Schlüssel den Schlüssel, der für den Verschlüsseln Modus verwendet werden soll. Sie können Schlüssel verwenden, die in Benutzer & Computer erstellt und angewendet wurden. ■ Klicken Sie auf die Browse-Schaltfläche, um den Dialog Schlüssel suchen zu öffnen. Klicken Sie auf Jetzt suchen, um eine Liste mit allen verfügbaren Schlüsseln aufzurufen. Wählen Sie den gewünschten Schlüssel aus. Hinweis: Computerschlüssel werden in dieser Liste nicht angezeigt. Sie können von File Encryption nicht benutzt werden, da sie nur auf einem einzelnen Computer verfügbar sind. Mit diesen Schlüssel können daher Benutzergruppen nicht auf dieselben Daten zugreifen. ■ Klicken Sie auf die Schaltfläche Persönlicher Schlüssel mit dem Schlüsselsymbol, um den Platzhalter Persönlicher Schlüssel in die Spalte Schlüssel einzufügen. Auf dem Endpoint wird dieser Platzhalter in den aktiven persönlichen Schlüssel des angemeldeten SafeGuard Enterprise Benutzers umgesetzt. Wenn die relevanten Benutzer noch keine aktiven persönlichen Schlüssel haben, werden diese automatisch angelegt. Sie können persönliche Schlüssel für einzelne oder mehrere Benutzer unter Benutzer & Computer erzeugen. Weitere Informationen finden Sie unter Persönliche Schlüssel für die dateibasierende Verschlüsselung mit File Encryption (Seite 289). 7. Der System Typ (Windows, Mac OS X oder Alle Plattformen für Windows und Mac OSX systems) werden automatisch zugewiesen. 8. Fügen Sie je nach Anforderung weitere Verschlüsselungsregeln hinzu und speichern Sie Ihre Änderungen. Hinweis: Alle File Encryption Verschlüsselungsregeln, die über Richtlinien zugewiesen und für Benutzer/Computer an unterschiedlichen Knoten unter Benutzer & Computer aktiviert werden, werden kumuliert. Die Reihenfolge der Verschlüsselungsregeln innerhalb einer File Encryption Richtlinie ist für die Evaluierung auf dem Endpoint nicht von Bedeutung. Innerhalb einer File Encryption Richtlinie können Sie die Regeln durch Ziehen mit der Maus zur besseren Übersicht nach Wunsch anordnen. 156 Administratorhilfe 5.3.1.1 Zusätzliche Informationen für die Konfiguration von Pfaden in pfadbasierten File Encryption-Regeln Beachten Sie beim Konfigurieren von Pfaden in File Encryption Verschlüsselungsregeln die folgenden Informationen: ■ Ein Pfad darf nur Zeichen enthalten, die auch in Dateisystemen verwendet werden können. Zeichen wie <, >, * und $ sind nicht zulässig. ■ Geben Sie nur gültige Platzhalter ein. Eine Liste aller unterstützten Platzhalter finden Sie unter Platzhalter für Pfade in pfadbasierten File Encryption-Regeln (Seite 158). Hinweis: Die Namen von Umgebungsvariablen werden durch das SafeGuard Management Center nicht überprüft. Sie müssen nur auf dem Endpoint vorhanden sein. ■ Das Feld Pfad gibt immer einen Ordner an. Sie können keine Regel für eine einzelne Datei festlegen. Außerdem können Sie keine Platzhalter für Ordnernamen, Dateinamen oder Dateierweiterungen verwenden. ■ Absolute und relative Regeln Sie können absolute und relative Regeln definieren. Eine absolute Regel definiert einen bestimmten Ordner, zum Beispiel C:\encrypt. Eine relative Regel enthält keine UNC Server/Freigabe Informationen, Laufwerksbuchstaben oder Informationen zu übergeordneten Ordnern. In einer relativen Regel wird zum Beispiel ein Pfad wie der folgende verwendet: encrypt_sub. In diesem Fall werden alle Dateien auf allen Laufwerken (einschließlich Speicherorte im Netzwerk), die sich in einem Ordner mit der Bezeichnung encrypt_sub (oder in einem untergeordneten Ordner) befinden, von der Regel abgedeckt. Hinweis: Relative Pfade werden nur auf Windows-Endpoints unterstützt. ■ Lange Ordnernamen und 8.3 Notation Geben Sie für File Encryption Verschlüsselungsregeln immer die langen Ordnernamen an, da die 8.3 Bezeichnungen für lange Ordnernamen von Computer zu Computer unterschiedlich sein können. 8.3 Namensregeln werden vom durch SafeGuard Enterprise geschützten Endpoint automatisch bei Anwendung der relevanten Richtlinien erkannt. Es sollte keine Rolle spielen, ob Anwendungen lange Ordnernamen oder 8.3 Namen für den Zugriff auf Dateien verwenden. Verwenden Sie für relative Regeln kurze Ordnernamen um sicherzustellen, dass die Regel umgesetzt werden kann, egal ob eine Anwendung lange Ordnernamen oder 8.3 Notation verwendet. ■ UNC und verbundene Laufwerke Ob Sie Regeln in UNC Notation oder basierend auf verbundenen Laufwerksbuchstaben anwenden, hängt von Ihren spezifischen Anforderungen ab: Verwenden Sie UNC Notation, wenn sich die Server- und Freigabenamen wahrscheinlich nicht ändern, die verbundenen Laufwerksbuchstaben jedoch von Benutzer zu Benutzer unterschiedlich sein können. Verwenden Sie verbundene Laufwerksbuchstaben, wenn diese unverändert beibehalten werden, Servernamen aber geändert werden können. Wenn Sie UNC verwenden, geben Sie einen Servernamen und einen Freigabenamen an, zum Beispiel \\server\share. File Encryption gleicht die UNC Namen und die verbundenen Laufwerksbuchstaben intern ab. In einer Regeln muss ein Pfad somit entweder als UNC-Pfad oder mit verbundenen Laufwerksbuchstaben definiert sein. 157 SafeGuard Enterprise Hinweis: Da Benutzer u. U. ihre verbundenen Laufwerksbuchstaben ändern können, empfehlen wir, aus Sicherheitsgründen UNC-Pfade in File Encryption Verschlüsselungsregeln zu verwenden. ■ Offline-Ordner Bei Anwendung der Windows Funktion Offline verfügbar machen müssen Sie keine speziellen Regeln für lokale (Offline) Kopien von Ordnern erstellen. Neue Dateien in der lokalen Kopie eines Ordners, der offline verfügbar gemacht wurde, werden entsprechend den Regeln für den ursprünglichen (Netzwerk-)Speicherplatz verschlüsselt. Hinweis: Für weitere Informationen zur Benennung von Dateien und Pfade, siehe http://msdn.microsoft.com/en-us/library/aa365247.aspx. 5.3.1.2 Platzhalter für Pfade in pfadbasierten Dateiverschlüsselungsregeln Beim Angeben von Pfaden in Verschlüsselungsregeln in File Encryption Richtlinien können die folgenden Platzhalter verwendet werden. Um diese Platzhalter auszuwählen, klicken Sie auf die Dropdown-Schaltfläche des Felds Pfad. Hinweis: Verwenden Sie immer Backslashes als Trennzeichen, auch wenn Sie Dateiverschlüsselungsregeln für Mac OS X festlegen. Auf diese Weise können Sie Regeln auf beiden Betriebssystemen (Windows und Mac OS X) anwenden. Am Mac OS X Client werden die umgekehrten Schrägstriche automatisch in Schrägstriche umgewandelt, um die Anforderungen des Mac OS X Betriebssystems zu erfüllen. Fehler bei der Verwendung von Platzhaltern werden protokolliert. Ungültige Verschlüsselungsregeln werden protokolliert und dann auf dem Endpoint verworfen. Beispiel: Der Windows-Pfad <User Profile>\Dropbox\personal wird unter Mac OS X so konvertiert: /Users/<Username>/Dropbox/personal. Pfad-Platzhalter Betriebssystem (Alle=Windows und Mac OS X) <%environment_variable_name%> Alle Wert auf dem Endpoint Wert der Umgebungsvariable. Beispiel: <%USERNAME%>. Hinweis: Wenn Umgebungsvariablen mehrere Speicherorte enthalten (zum Beispiel die PATH Umgebungsvariable), werden die Pfade nicht in mehrere Regeln aufgeteilt. Dies verursacht einen Fehler und die Verschlüsselungsregel ist ungültig. 158 <Desktop> Alle Der virtuelle Ordner, der den Desktop des Endpoints darstellt. <Documents> Alle Das ist der virtuelle Ordner für den Desktop-Bereich Eigene Dateien (Äquivalent zu CSIDL_MYDOCUMENTS). Typischer Pfad: C:\Documente und Einstellungen\Benutzername\Eigene Dateien. <Downloads> Alle Der Ordner in dem standardmäßig Downloads gespeichert werden. Ein typischer Administratorhilfe Pfad-Platzhalter Betriebssystem (Alle=Windows und Mac OS X) Wert auf dem Endpoint Pfad unter Windows ist C:\Benutzer\Benutzername\Downloads. <Music> Alle Das Dateisystemverzeichnis, das als allgemeines Repository für Musikdateien dient. Typischer Pfad: C:\Documente und Einstellungen\Benutzername\Eigene Dateien\Eigene Musik. <Network Shares> Alle <Pictures> Alle Das Dateisystemverzeichnis, das als allgemeines Repository für Bilddateien dient. Typischer Pfad: C:\Documente und Einstellungen\Benutzername\Eigene Dateien\Eigene Bilder. <Public> Alle Das Dateisystemverzeichnis, das als allgemeines Repository für Dokumente für alle Benutzer dient. Typischer Pfad: C:\Benutzer\<Benutzername>\Öffentlich. <Removables> Alle Zeigt auf die Root-Verzeichnisse aller Wechselmedien. <User Profile> Alle Der Profilordner des Benutzers. Typischer Pfad: C:\Benutzer\Benutzername. Hinweis: Die Verschlüsselung des gesamten Benutzerprofils mit diesem Platzhalter kann zu einem instabilen Windows Desktop auf dem Endpoint führen. <Videos> Alle Das Dateisystemverzeichnis, das als allgemeines Repository für Videodateien für alle Benutzer dient. Typischer Pfad: C:\Documente und Einstellungen\Alle Benutzer\Dateien\Eigene Videos. <Cookies> Windows Das Dateisystemverzeichnis, das als allgemeines Repository für Internet Cookies dient. Typischer Pfad: C:\Documente und Einstellungen\Benutzername\Cookies. <Favorites> Windows Das Dateisystemverzeichnis, das als allgemeines Repository für die Favoriten des Benutzers dient. Typischer Pfad: C:\Documente und Einstellungen\Benutzername\Favoriten. <Local Application Data> Windows Das Dateisystemverzeichnis, das als allgemeines Daten-Repository für lokale Applikationen (ohne Roaming) dient. 159 SafeGuard Enterprise Pfad-Platzhalter Betriebssystem (Alle=Windows und Mac OS X) Wert auf dem Endpoint Typischer Pfad: C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten. 160 <Program Data> Windows Das Dateisystemverzeichnis, das Anwendungsdaten für alle Benutzer enthält. Typischer Pfad: C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten. <Program Files> Windows Der Programme-Ordner. Typischer Pfad: \Programme. For 64-Bit Systeme wird dies auf zwei Regeln erweitert: eine für 32-Bit Anwendungen und eine für 64-Bit Anwendungen. <Public Music> Windows Das Dateisystemverzeichnis, das als allgemeines Repository für Musikdateien für alle Benutzer dient. Typischer Pfad: C:\Documente und Einstellungen\Alle Benutzer\Eigene Musik. <Public Pictures> Windows Das Dateisystemverzeichnis, das als allgemeines Repository für Bilddateien für alle Benutzer dient. Typischer Pfad: C:\Documente und Einstellungen\Alle Benutzer\Dateien\Eigene Bilder. <Public Videos> Windows Das Dateisystemverzeichnis, das als allgemeines Repository für Videodateien für alle Benutzer dient. Typischer Pfad: C:\Documente und Einstellungen\Alle Benutzer\Dateien\Eigene Videos. <Roaming> Windows Das Dateisystemverzeichnis, das als allgemeines Repository für anwendungsspezifische Daten dient. Typischer Pfad: C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten. System Windows Der Windows Systemordner. Typischer Pfad: C:\Windows\System32. For 64-Bit Systeme wird dies auf zwei Regeln erweitert: eine für 32-Bit und eine für 64-Bit. <Temporary Burn Folder> Windows Das Dateisystemverzeichnis, das als Staging-Bereich für Dateien, die auf eine CD geschrieben werden sollen, verwendet wird. Typischer Pfad: C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Microsoft\CD Burning. Administratorhilfe Pfad-Platzhalter Betriebssystem (Alle=Windows und Mac OS X) <Temporary Internet Folder> Windows Wert auf dem Endpoint Das Dateisystemverzeichnis, das als allgemeines Repository für Temporäre Internetdateien dient. Typischer Pfad: C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temporary Internet Files. <Windows> Windows Das Windows-Verzeichnis oder SYSROOT. Dies entspricht den Umgebungsvariablen %windir% oder %SYSTEMROOT%. Typischer Pfad: C:\Windows. <Root> Mac OS X Mac OS X Stammverzeichnis. Es wird nicht empfohlen, Richtlinien für das Stammverzeichnis festzulegen, auch wenn dies technisch möglich ist. 5.3.2 Konfigurieren der pfadbasierten Dateiverschlüsselung in Richtlinien vom Typ Allgemeine Einstellungen Neben den in File Encryption Richtlinien vom VerschlüsselungstypPfadbasiert definierten Verschlüsselungsregeln können Sie in Richtlinien vom Typ Allgemeine Einstellungen folgende Einstellungen für die Dateiverschlüsselung konfigurieren: ■ Vertrauenswürdige Anwendungen ■ Ignorierte Anwendungen ■ Ignorierte Geräte ■ Persistente Verschlüsselung aktivieren 5.3.2.1 Konfigurieren von vertrauenswürdigen und ignorierten Anwendungen für File Encryption Sie können Anwendungen als vertrauenswürdig definieren, um ihnen Zugriff auf verschlüsselte Dateien zu geben. Dies ist zum Beispiel notwendig, damit Antivirus-Software verschlüsselte Dateien überprüfen kann. Sie können Anwendungen als ignoriert definieren, um sie von der transparenten Dateiverschlüsselung/Dateientschlüsselung auszuschließen. Wenn Sie zum Beispiel ein Backup-Programm als ignorierte Anwendung definieren, bleiben die vom Programm gesicherten verschlüsselten Daten verschlüsselt. Hinweis: Untergeordnete Prozesse werden nicht als vertrauenswürdig/ignoriert eingestuft. 1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder wählen Sie eine vorhandene aus. 2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche der Felder Vertrauenswürdige Anwendungen oder Ignorierte Anwendungen. 161 SafeGuard Enterprise 3. Geben Sie im Editor-Listenfeld die Anwendungen ein, die Sie als vertrauenswürdig/ignoriert definieren möchten. ■ Sie können mehrere vertrauenswürdige/ignorierte Anwendungen in einer Richtlinie definieren. Jede Zeile im Editor-Listenfeld definiert jeweils eine Anwendung. ■ Anwendungsnamen müssen auf .exe enden. ■ Anwendungsnamen müssen als Fully Qualified Paths mit Laufwerk/Verzeichnis definiert werden, zum Beispiel "c:\dir\beispiel.exe". Es reicht nicht aus, nur den Dateinamen einzugeben (zum Beispiel "beispiel.exe"). Aus Gründen der Benutzerfreundlichkeit zeigt die Einzelzeilenansicht der Anwendungsliste nur die Dateinamen getrennt durch Strichpunkte. ■ Die Anwendungsnamen können dieselben Platzhalter für Windows Shell Ordner und Umgebungsvariablen wie die Verschlüsselungsregeln in File Encryption Richtlinen enthalten. Eine Beschreibung aller verfügbaren Platzhalter finden Sie unter Platzhalter für Pfade in pfadbasierten File Encryption-Regeln (Seite 158). 4. Speichern Sie Ihre Änderungen. Hinweis: Die Richtlinieneinstellungen Vertrauenswürdige Anwendungen und Ignorierte Anwendungen sind Computereinstellungen. Die Richtlinie muss daher Computern, nicht Benutzern, zugewiesen werden. Andernfalls werden die Einstellungen nicht wirksam. 5.3.2.2 Ignorierte Geräte konfigurieren Sie können Geräte als ignoriert definieren, um sie von der Dateiverschlüsselung auszuschließen. Sie können nur vollständige Geräte ausschließen. 1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder wählen Sie eine vorhandene aus. 2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche des Felds Ignorierte Geräte. 3. Führen Sie im Editor-Listenfeld folgende Schritte durch: a) Wählen Sie Netzwerk wenn Sie keine Daten am Netzwerk verschlüsseln wollen. b) Geben Sie die entsprechenden Gerätenamen an, um spezifische Geräte von der Verschlüsselung auszuschließen. Dies ist zum Beispiel nützlich, wenn Sie Systeme von Dritt-Anbietern ausschließen müssen. Hinweis: Sie können die Namen der derzeit im System benutzten Geräte mit Tools von Dritt-Anbietern (z. B. OSR Device Tree) anzeigen lassen. SafeGuard Enterprise protokolliert alle Geräte, mit denen eine Verbindung hergestellt wird. Mit Hilfe von Registry Keys können Sie eine Liste von verbundenen und ignorierten Geräten aufrufen. Weitere Informationen finden Sie unter Anzeige von ignorierten und verbundenen Geräten (Windows) (Seite 141). Sie können einzelne (Netzwerk)-Festplattenlaufwerke von der Verschlüsselung ausschließen, in dem Sie eine File Encryption Verschlüsselungsregel in einer File Encryption Richtlinie erstellen und den Modus für die Verschlüsselung auf Ignorieren einstellen. Sie können diese Einstellung nur auf durch Windows verwaltete Laufwerke, nicht auf Mac OS X Volumes. 5.3.2.2.1 Anzeige von ignorierten und verbundenen Geräten (Windows) Als Hilfestellung für die Definition von ignorierten Geräten können Sie mit Registry Keys ermitteln, welche Geräte für die Verschlüsselung in Betracht gezogen werden (verbundene Geräte) und welche Geräte derzeit ignoriert werden. Die Liste mit ignorierten Geräten enthält nur Geräte, die tatsächlich auf dem Computer verfügbar sind und ignoriert werden. Wird ein 162 Administratorhilfe Gerät in einer Richtlinie als ignoriert definiert und das Gerät ist nicht verfügbar, so wird das Gerät auch nicht aufgelistet. Benutzen Sie folgende Registry Keys, um verbundene und ignorierte Geräte zu ermitteln: ■ HKLM\System\CurrentControlSet\Control\Utimaco\SGLCENC\Log\AttachedDevices ■ HKLM\System\CurrentControlSet\Control\Utimaco\SGLCENC\Log\IgnoredDevices 5.3.2.3 Konfigurieren der persistenten Verschlüsselung für File Encryption Der Inhalt von mit File Encryption verschlüsselten Dateien wird jeweils direkt entschlüsselt, wenn der Benutzer den erforderlichen Schlüssel hat. Wenn der Inhalt in einer neuen Datei an einem Ablageort gespeichert wird, für den keine Verschlüsselungsregel gilt, bleibt die resultierende neue Datei unverschlüsselt. Mit persistenter Verschlüsselung bleiben Kopien von verschlüsselten Dateien auch dann verschlüsselt, wenn sie an einem Speicherort abgelegt werden, für den keine Verschlüsselungsregel gilt. Sie können die persistente Verschlüsselung in Richtlinien vom Typ Allgemeine Einstellungen konfigurieren. Die Richtlinieneinstellung Persistente Verschlüsselung aktivieren ist standardmäßig aktiviert. Hinweis: Wenn Dateien an ein ignoriertes Gerät oder in einen Ordner kopiert oder verschoben werden, für den eine Richtlinie mit dem Modus für die Verschlüsselung Ignorieren gilt, hat die Einstellung Persistente Verschlüsselung aktivieren keine Auswirkungen. 5.3.3 Mehrere pfadbasierte Dateiverschlüsselungsregeln Alle File Encryption Verschlüsselungsregeln, die über Richtlinien zugewiesen und für Benutzer/Computer an unterschiedlichen Knoten unter Benutzer & Computer im SafeGuard Management Center aktiviert werden, werden kumuliert. Sie können eine allgemeine File Encryption Richtlinie mit Regeln, die für alle Benutzer relevant sind, am Stammverzeichnisknoten und Richtlinien für spezifischere Anforderungen an den einzelnen Unterknoten zuweisen. Alle Regeln aus allen Richtlinien, die Benutzern/Computern zugewiesen sind, werden kumuliert und treten auf dem Endpoint in Kraft. 5.3.3.1 Pfadbasierte File Encryption-Richtlinien im RSOP Wenn für einen Benutzer/Computer mehrere File Encryption Richtlinien gelten, zeigt die Registerkarte RSOP (Resulting Set of Policies) unter Benutzer & Computer die Summe aller File Encryption Verschlüsselungsregeln aus allen File Encryption Richtlinien an. Die Regeln werden in der Reihenfolge ihrer Evaluierung auf dem Endpoint-Computer sortiert (siehe Evaluierung von pfadbasierten File Encryption-Regeln auf Endpoints (Seite 164)). Die Spalte Name der Richtlinie gibt an, woher die einzelnen Regeln stammen. Für doppelte Regeln wird die zweite (und dritte usw.) Regel mit einem Symbol markiert. Dieses Symbol bietet auch einen Tooltip, der Sie informiert, das die Regel auf dem Endpoint verworfen wird, da sie ein Duplikat einer Regel mit einer höheren Priorität ist. 163 SafeGuard Enterprise 5.3.4 Reihenfolge der Evaluierung von anwendungsbasierten Dateiverschlüsselungsregeln auf Endpoints File Encryption Verschlüsselungsregeln werden auf Endpoints in einer Reihenfolge sortiert, die bewirkt, dass genauer definierte Speicherorte zuerst evaluiert werden. Wenn zwei Regeln mit den gleichen Einstellungen für Pfad und Anwendungsbereich aus Richtlinien stammen, die unterschiedlichen Knoten zugewiesen sind, wird die Regel aus der Richtlinie angewendet, die sich näher am Benutzerobjekt in Benutzer & Computer befindet. Wenn zwei Regeln mit den gleichen Einstellungen für Pfad und Anwendungsbereich aus Richtlinien stammen, die demselben Knoten zugewiesen sind, wird die Regel aus der Richtlinie mit der höchsten Priorität angewendet. Absolute Regeln werden vor relativen Regeln evaluiert, zum Beispiel c\encrypt vor encrypt. Weitere Informationen finden Sie unter Zusätzliche Informationen für die Konfiguration von Pfaden in pfadbasierten File Encryption-Regeln (Seite 157). Regeln mit einem Pfad mit mehr Unterverzeichnissen werden vor Regeln mit einem Pfad mit weniger Unterverzeichnissen evaluiert. Mit UNC definierte Regeln werden vor Regeln mit Laufwerksbuchstabeninformationen evaluiert. Regeln, bei denen die Option Nur dieser Ordner aktiviert ist, werden vor Regeln ohne diese Option evaluiert. Regeln mit dem Modus Ignorieren werden vor Regeln mit dem Modus Verschlüsseln oder Ausschließen evaluiert. Regeln mit dem Modus Ausschließen werden vor Regeln mit dem Modus Verschlüsseln evaluiert. Wenn bei zwei Regeln die aufgelisteten Kriterien übereinstimmen, werden die Regeln in alphabetischer Reihenfolge evaluiert. 5.3.5 Konflikte bei pfadbasierten File Encryption-Regeln Da einem Benutzer/Computer mehrere File Encryption Richtlinien zugewiesen werden können, treten u. U. Konflikte auf. Ein Regelkonflikt besteht, wenn die Regeln dieselben Werte für Pfad, Modus und Unterverzeichnis enthalten, jedoch unterschiedliche Schlüssel. In diesem Fall gilt die Regel aus der File Encryption Richtlinie mit der höheren Priorität. Die andere Regel wird verworfen. 5.3.6 Pfadbasierte Dateiverschlüsselung und SafeGuard Data Exchange Mit SafeGuard Data Exchange lassen sich Daten, die auf mit Endpoint-Computern verbundenen Wechselmedien gespeichert werden, verschlüsseln und mit anderen Benutzern austauschen. Für SafeGuard Data Exchange wird dateibasierende Verschlüsselung benutzt. Wenn sowohl SafeGuard Data Exchange als auch File Encryption (pfadbasierte Dateiverschlüsselung) auf einem Endpoint installiert ist, kann es vorkommen, dass eine SafeGuard Data Exchange Verschlüsselungsrichtlinie für ein Laufwerk auf dem Computer definiert ist und gleichzeitig File Encryption Richtlinien für Ordner auf demselben Laufwerk gelten. Ist dies der Fall, so erhält die SafeGuard Data Exchange Richtlinie Vorrang vor den File Encryption Richtlinien. Neue Dateien werden gemäß der SafeGuard Data Exchange Richtlinie verschlüsselt. 164 Administratorhilfe Weitere Informationen zu SafeGuard Data Exchange finden Sie unter SafeGuard Data Exchange (Seite 171). 5.4 Cloud Storage Das SafeGuard Enterprise Modul Cloud Storage bietet dateibasierende Verschlüsselung von in der Cloud gespeicherten Daten. Das Modul beeinflusst nicht die Art und Weise, wie Benutzer mit in der Cloud gespeicherten Daten arbeiten. Die Benutzer verwenden weiterhin die anbieterspezifischen Synchronisationsapplikationen zum Übertragen von Daten an die Cloud und Empfangen von Daten aus der Cloud. Das Modul Cloud Storage stellt sicher, dass die lokalen Kopien der in der Cloud gespeicherten Daten transparent verschlüsselt werden. Sie werden somit immer in verschlüsselter Form in der Cloud gespeichert. Für Cloud Storage legen Sie im SafeGuard Management Center Cloud Storage Definitionen an und verwenden diese als Ziel für Richtlinien vom Typ Geräteschutz. Es stehen für mehrere Cloud Storage Anbieter, zum Beispiel Dropbox oder Egnyte, vordefinierte Cloud Storage Definitionen zur Verfügung. Wenn für Endpoints eine Cloud Storage Richtlinie gilt, werden die Dateien in den von der Richtlinie abgedeckten Speicherorten ohne Benutzerinteraktion transparent verschlüsselt: Verschlüsselte Dateien werden an die Cloud synchronisiert. Aus der Cloud erhaltene verschlüsselte Dateien können wie üblich mit Applikationen modifiziert werden. Mit SafeGuard Portable kann auf durch Cloud Storage verschlüsselte Dateien auf Endpoints ohne SafeGuard Enterprise Cloud Storage zugegriffen werden.Verschlüsselte Dateien können so auch in diesem Fall gelesen werden. Hinweis: Cloud Storage verschlüsselt nur neue in der Cloud gespeicherte Daten. Wurden Daten bereits vor der Installation des Moduls Cloud Storage in der Cloud gespeichert, so werden diese Daten nicht automatisch verschlüsselt. Wenn Sie solche Daten verschlüsseln möchten, müssen Sie sie zunächst aus der Cloud entfernen und dann wieder einfügen. 5.4.1 Anforderungen für Software von Cloud Storage Anbietern Damit die Verschlüsselung für in der Cloud gespeicherten Daten möglich ist, muss die Software des Cloud Storage Anbieters auf dem Computer, auf dem das Modul Cloud Storage installiert ist, laufen. eine Anwendung (oder einen Systemdienst) im lokalen Dateisystem für die Synchronisierung zwischen der Cloud und dem lokalen System enthalten. die synchronisierten Daten im lokalen Dateisystem speichern. 5.4.2 Anlegen von Cloud Storage Definitionen Im SafeGuard Management Center stehen für mehrere Cloud Storage Anbieter, zum Beispiel Dropbox oder Egnyte, vordefinierte Cloud Storage Definitionen zur Verfügung. Sie können die in den vordefinierten Cloud Storage Definitionen festgelegten Pfade nach Ihren Anforderungen ändern oder eine neue Cloud Storage Definition erstellen und Werte aus der vordefinierten als Grundlage kopieren. Dies ist vor allem dann hilfreich, wenn Sie nur einen Teil der Daten in der Cloud Storage verschlüsseln möchten. Sie können auch eigene Cloud Storage Definitionen anlegen. 165 SafeGuard Enterprise Hinweis: Wenn bestimmte Ordner verschlüsselt werden (zum Beispiel der Dropbox Installationsordner), bewirkt dies unter Umständen, dass das Betriebssystem oder bestimmte Anwendungen nicht mehr laufen. Stellen Sie beim Anlegen von Cloud Storage Definitionen für Geräteschutz Richtlinien sicher, dass diese Ordner nicht verschlüsselt werden. 1. Wählen Sie im Richtlinien Navigationsbereich Cloud Storage Definitionen. 2. Klicken Sie im Kontextmenü von Cloud Storage Definitionen auf Neu > Cloud Storage Definition. 3. Der Neue Cloud Storage Definition Dialog wird angezeigt. Geben Sie einen Namen für die Cloud Storage Definition ein. 4. Klicken Sie auf OK. Die Cloud Storage Definition wird mit dem eingegebenen Namen unter dem Stammknoten Cloud Storage Definitionen im Richtlinien Navigationsbereich angezeigt. 5. Wählen Sie die Cloud Storage Definition aus. Im Arbeitsbereich auf der rechten Seite wird der Inhalt der Cloud Storage Definition angezeigt: ■ ■ ■ Name des Ziels: Der zu Beginn eingegebene Name. Dieser wird zur Referenzierung der Cloud Storage Definition als Ziel für eine Richtlinie des Typs Geräteschutz benutzt. Synchronisierungsapplikation: Geben Sie den Pfad und die Anwendung für die Synchronisierung der Daten mit der Cloud ein (zum Beispiel: <Desktop>\dropbox\dropbox.exe). Die Applikation muss sich auf einem lokalen Laufwerk befinden. Synchronisierungsordner: Geben Sie den/die Ordner ein, der/die mit der Cloud synchronisiert wird/werden. Es werden nur lokale Pfade unterstützt. Hinweis: Für Pfade in den Einstellungen Synchronisierungsapplikation und Synchronisierungsordner werden die gleichen Platzhalter wie für File Encryption unterstützt (siehe Platzhalter für Pfade in File Encryption-Regeln (Seite 158)). 5.4.2.1 Platzhalter für Cloud Storage Anbieter Als Sicherheitsbeauftragter können Sie Platzhalter für Cloud Storage Anbieter verwenden, um Synchronisierungsapplikationen und Synchronisierungsordner zu definieren. Diese Platzhalter stehen für unterstützte Cloud Storage Applikationen von Drittanbietern. Mit den Platzhaltern können Sie eine bestimmte Applikation eines Drittanbieters angeben und denselben Platzhalter zum Verweis auf die Synchronisierungsordner verwenden, die von der Applikation zur Synchronisierung verwendet werden. Platzhalter für Cloud Storage Anbieter werden zwischen <! und !> gesetzt. 166 Anbieter Platzhalter Kann in CSD-Einstellung verwendet werden. Wird aufgelöst in Box <!Box!> Synchronisierungsapplikation, Für Synchronisierungsordner Synchronisierungsapplikationen: Der "Fully qualified"-Pfad der Synchronisierungsapplikation, die von der Box-Software benutzt wird. Administratorhilfe Anbieter Platzhalter Kann in CSD-Einstellung verwendet werden. Wird aufgelöst in Für Synchronisierungsordner: Der "Fully qualified"-Pfad des Synchronisierungsordners, der von der Box-Software benutzt wird. Dropbox <!Dropbox!> Synchronisierungsapplikation, Für Synchronisierungsordner Synchronisierungsapplikationen: Der "Fully qualified"-Pfad der Synchronisierungsapplikation, die von der Dropbox-Software benutzt wird. Für Synchronisierungsordner: Der "Fully qualified"-Pfad des Synchronisierungsordners, der von der Dropbox-Software benutzt wird. Egnyte <!Egnyte!> Synchronisierungsapplikation Der "Fully qualified"-Pfad der Synchronisierungsapplikation, die von der Egnyte-Software benutzt wird. <!EgnytePrivate!> Synchronisierungsordner Alle privaten Ordner in der Egnyte Cloud Storage. Für Standard-Egnyte-Benutzer ist dies in der Regel ein einzelner Ordner. Für Egnyte-Administratoren, wird dieser Platzhalter in der Regel in mehrere Ordner umgesetzt. <!EgnyteShared!> Synchronisierungsordner Alle freigegebenen Ordner in der Egnyte Cloud Storage. Nur Windows Hinweis: 167 SafeGuard Enterprise Anbieter Platzhalter Kann in CSD-Einstellung verwendet werden. Wird aufgelöst in Änderungen an der Egnyte-Ordnerstruktur (auch das Hinzufügen oder Entfernen von privaten oder freigegebenen Ordnern) werden automatisch erkannt. Die entsprechenden Richtlinien werden automatisch angepasst. Hinweis: Da sich Egnyte-Synchronisierungsordner im Netzwerk befinden können, können Sie bei der Einstellung Synchronisierungsordner Netzwerkpfade eingeben. Das SafeGuard Enterprise Cloud Storage Modile verbindet sich daher standardmäßig mit Netzwerkdateisystemen. Wenn dies nicht erforderlich ist, können Sie dieses Verhalten deaktivieren, indem Sie eine Richtlinie vom Typ Allgemeine Einstellungen definieren und unter Ignorierte Geräte die Option Netzwerk auswählen. Google Drive <!GoogleDrive!> Synchronisierungsapplikation, Für Synchronisierungsordner Synchronisierungsapplikationen: Der "Fully qualified"-Pfad der Synchronisierungsapplikation, die von der Google Drive Software benutzt wird. Für Synchronisierungsordner: Der "Fully qualified"-Pfad des Synchronisierungsordners, der von der Google Drive Software benutzt wird. OneDrive <!OneDrive!> Synchronisierungsapplikation, Für Synchronisierungsordner Synchronisierungsapplikationen: Der "Fully qualified"-Pfad der Synchronisierungsapplikation, die von der OneDrive-Software benutzt wird. Für Synchronisierungsordner: Der "Fully qualified"-Pfad der Synchronisierungsordner, die von der OneDrive-Software benutzt werden. Hinweis: SafeGuard Enterprise unterstützt keine Microsoft Konten. Unter Windows 8.1 kann OneDrive nur benutzt werden, wenn der Windows Benutzer ein Domänenbenutzer ist. Unter Windows 8.1 unterstützt SafeGuard Enterprise OneDrive nicht für lokale Benutzer. OneDrive for Business 168 <!OneDriveForBusiness!> Synchronisierungsapplikation, Für Synchronisierungsordner Synchronisierungsapplikationen: Administratorhilfe Anbieter Platzhalter Kann in CSD-Einstellung verwendet werden. Wird aufgelöst in Der "Fully qualified"-Pfad der Synchronisierungsapplikation, die von der OneDrive-Software benutzt wird. Für Synchronisierungsordner: Der "Fully qualified"-Pfad der Synchronisierungsordner, die von der OneDrive-Software benutzt werden. Hinweis: OneDrive for Business unterstützt nur das Speichern von verschlüsselten Dateien in lokalen Ordnern und ihre Synchronisierung mit der Cloud. Die Speicherung von verschlüsselten Dateien von Microsoft Office 2013 Applikationen direkt in der OneDrive for Business-Cloud oder direkt am SharePoint Server wird nicht unterstützt. Diese Dateien werden unverschlüsselt in der Cloud gespeichert. Von SafeGuard Enterprise in der OneDrive for Business-Cloud verschlüsselte Dateien können nicht von Microsoft Office 365 geöffnet werden. SkyDrive Nur Windows <!SkyDrive!> Synchronisierungsapplikation, Für Synchronisierungsordner Synchronisierungsapplikationen: Der "Fully qualified"-Pfad der Synchronisierungsapplikation, die von der OneDrive-Software benutzt wird. Für Synchronisierungsordner: Der "Fully qualified"-Pfad der Synchronisierungsordner, die von der OneDrive-Software benutzt werden. Da Microsoft SkyDrive auf OneDrive umbenannt hat, ist der <!SkyDrive!> Platzhalter immer noch verfügbar. Auf diese Weise können ältere Richtlinien und SafeGuard Enterprise Endpoints vor Version 7, die den <!OneDrive!> Platzhalter nicht handhaben können, ohne Änderungen verwendet werden. SafeGuard Enterprise Endpoints Version 7 können beide Platzhalter handhaben. 169 SafeGuard Enterprise Beispiel Wenn Sie Dropbox als Cloud Storage Anbieter nutzen, können Sie für die Synchronisierungsapplikation einfach <!Dropbox!> eingeben. Wenn Sie den Synchronisierungsordner nicht explizit angeben, wird <!Dropbox!> auch in die Liste mit Ordnern unter Synchronisierungsordner kopiert. In diesem Beispiel wird davon ausgegangen, dass ■ ■ ■ Sie die <!Dropbox!> für die Synchronisierungsapplikation und <!Dropbox!>\encrypt für den Synchronisierungsordner in der Cloud Storage Definition verwendet haben, Dropbox auf dem Endpoint installiert ist Der Benutzer :\dropbox als Ordner, der mit Dropbox synchronisiert werden soll, konfiguriert hat. Wenn der durch SafeGuard Enterprise geschützte Endpoint eine Richtlinie mit einer solchen Cloud Storage Definition (CSD) erhält, werden die Platzhalter in der CSD automatisch entsprechend dem Pfad der Dropbox.exe für die Synchronisierungsapplikation umgesetzt. Außerdem wird die Dropbox-Konfiguration gelesen und die Verschlüsselungsrichtlinie auf den Ordner d:\dropbox\encrypt eingestellt. 5.4.2.2 Exportieren und Importieren von Cloud Storage Definitionen Als Sicherheitsbeauftragter können Sie Cloud Storage Definitionen exportieren und importieren. Eine Cloud Storage Definition wird als .xml-Datei exportiert. ■ Um eine Cloud Storage Definition zu exportieren, wählen Sie im Kontextmenü der gewünschten Cloud Storage Definition im Bereich Richtlinie den Befehl Cloud Storage Definition exportieren. ■ Um eine Cloud Storage Definition zu importieren, wählen Sie im Kontextmenü des Cloud Storage Definition Knotens im Bereich Richtlinie den Befehl Cloud Storage Definition importieren. Beide Befehle sind auch im Menü Aktionen des SafeGuard Management Center verfügbar. 5.4.3 Erstellen einer Geräteschutz-Richtlinie mit dem Ziel Cloud Storage Die Cloud Storage Definitionen müssen bereits angelegt worden sein. Es stehen für mehrere Cloud Storage Anbieter, zum Beispiel Dropbox oder Egnyte, vordefinierte Cloud Storage Definitionen zur Verfügung. Die Einstellungen für die Verschlüsselung von Cloud Storage Daten legen Sie in einer Richtlinie vom Typ Geräteschutz fest. 1. Erstellen Sie im Richtlinien Navigationsbereich eine neue Richtlinie vom Typ Geräteschutz. 2. Wählen eine Cloud Storage Definition als Ziel aus. 3. Klicken Sie auf OK. Die neu angelegte Richtlinie wird im Navigationsfenster unter Richtlinien angezeigt. Im Aktionsbereich werden alle Einstellungen für die Richtlinie vom Typ Geräteschutzangezeigt. Die Einstellungen können dort geändert werden. 4. Wählen Sie für die Option Verschlüsselungsmodus für Medien die Einstellung Dateibasierend. Volume-basierende Verschlüsselung wird nicht unterstützt. 170 Administratorhilfe 5. Wählen Sie unter Algorithmus für die Verschlüsselung den Algorithmus, der für die Verschlüsselung der Daten in den Synchronisierungsordnern, die in der Cloud Storage Definition definiert sind, verwendet werden soll. 6. Mit den Einstellungen Schlüssel für die Verschlüsselung und Für Verschlüsselung definierter Schlüssel definieren Sie den Schlüssel oder die Schlüssel, die für die Verschlüsselung verwendet werden sollen. Weitere Informationen finden Sie unter Geräteschutz (Seite 376). 7. Wenn Sie die Einstellung SafeGuard Portable auf das Ziel kopieren aktivieren, wird SafeGuard Portable in jeden Synchronisierungsordner kopiert, sobald Inhalte in den Ordner geschrieben werden. SafeGuard Portable ist eine Anwendung, mit der verschlüsselte Dateien auf Windows-Computern, auf denen SafeGuard Enterprise installiert ist. Hinweis: Um verschlüsselte Daten, die in der Cloud gespeichert sind, mit Benutzern zu teilen, die SafeGuard Enterprise nicht installiert haben, sollten die Benutzer zum Erzeugen lokaler Schlüssel berechtigt sein (siehe Lokale Schlüssel (Seite 172)). 8. Mit der Option Klartext-Ordner können Sie einen Ordner definieren, der von der Verschlüsselung ausgeschlossen wird. Daten in Unterordnern des definierten Klartext-Ordners werden ebenfalls von der Verschlüsselung ausgeschlossen. SafeGuard Cloud Storage erstellt automatisch leere Klartext-Ordner in allen in der Cloud Storage Definition definierten Synchronisierungsordnern. 5.4.4 Protokollierung des Dateizugriffs im Cloud-Speicher Mit der Funktion Berichte im SafeGuard Management Center lässt sich der Dateizugriff im Cloud-Speicher protokollieren (Datei-Tracking). Für Datei-Tracking spielt es keine Rolle, ob für die Dateien eine Verschlüsselungsrichtlinie gilt. In einer Richtlinie vom Typ Protokollierung können Sie Folgendes konfigurieren: ■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf einem Wechselmedium angelegt wird. ■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf einem Wechselmedium umbenannt wird. ■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf einem Wechselmedium gelöscht wird. Weitere Informationen finden Sie unter Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher (Seite 333). 5.5 SafeGuard Data Exchange Mit SafeGuard Data Exchange lassen sich Daten, die auf mit Endpoint-Computern verbundenen Wechselmedien gespeichert werden, verschlüsseln und mit anderen Benutzern austauschen. Alle Ver- und Entschlüsselungsprozesse laufen transparent und mit minimaler Benutzerinteraktion ab. Nur Benutzer, die über die entsprechenden Schlüssel verfügen, können den Inhalt der verschlüsselten Daten lesen. Alle nachfolgenden Verschlüsselungsprozesse laufen transparent. In der zentralen Administration definieren Sie, wie Daten auf Wechselmedien behandelt werden sollen. Als Sicherheitsbeauftragter legen Sie die spezifischen Einstellungen in einer Richtlinie vom Typ Geräteschutz mit Wechselmedien als Ziel des Geräteschutzes fest. Für SafeGuard Data Exchange muss dateibasierende Verschlüsselung benutzt werden. 171 SafeGuard Enterprise 5.5.1 Gruppenschlüssel Für den Austausch von verschlüsselten Daten zwischen Benutzern müssen SafeGuard Enterprise Gruppenschlüssel verwendet werden. Wenn sich der Gruppenschlüssel in den Schlüsselringen der Benutzer befindet, erhalten diese vollen transparenten Zugriff auf die mit ihren Computern verbundenen Wechselmedien. Auf Computern ohne SafeGuard Enterprise ist der Zugriff auf verschlüsselte Daten auf Wechselmedien nicht möglich. Eine Ausnahme ist hier der zentrale definierte Domänen-/Gruppenschlüssel, der in Verbindung mit der Medien-Passphrase benutzt werden kann. Hinweis: Um verschlüsselte Daten auf Wechselmedien auch auf/mit Computern ohne SafeGuard Enterprise zu benutzen/weiterzugeben, können Sie SafeGuard Portable benutzen. Für SafeGuard Portable ist die Verwendung von lokalen Schlüsseln oder einer Medien-Passphrase erforderlich. 5.5.2 Lokale Schlüssel SafeGuard Data Exchange unterstützt die Verschlüsselung mit lokalen Schlüsseln. Lokale Schlüssel werden auf dem Benutzercomputer erzeugt und können zur Verschlüsselung von Wechselmedien benutzt werden. Die Schlüssel werden durch Eingabe einer Passphrase erstellt. In der SafeGuard Enterprise Datenbank wird jeweils eine Sicherungskopie des lokalen Schlüssels erstellt. Hinweis: Ein Benutzer ist standardmäßig dazu berechtigt, lokale Schlüssel zu erzeugen. Sollen Benutzer nicht dazu berechtigt sein, so müssen Sie diese Option explizit deaktivieren. Dies muss in einer Richtlinie vom Typ Geräteschutz mit Lokale Datenträger als Ziel des Geräteschutzes festgelegt werden (Allgemeine Einstellungen > Benutzer darf einen lokalen Schlüssel erzeugen > Nein). Werden lokale Schlüssel zum Verschlüsseln von Dateien auf Wechselmedien verwendet, lassen sich diese Dateien auf einem Computer ohne SafeGuard Data Exchange mit SafeGuard Portable entschlüsseln. Beim Öffnen der Dateien mit SafeGuard Portable wird der Benutzer dazu aufgefordert, die Passphrase einzugeben, die beim Erzeugen des Schlüssels angegeben wurde. Wenn dem Benutzer die Passphrase bekannt ist, kann er die Datei öffnen. Mit SafeGuard Portable erhält jeder Benutzer, der die entsprechende Passphrase kennt, Zugang zu verschlüsselten Dateien auf Wechselmedien. Auf diese Weise ist ein Austausch von verschlüsselten Daten mit Partnern, die SafeGuard Enterprise nicht installiert haben, möglich. Sie benötigen lediglich SafeGuard Portable sowie die Passphrase für die Dateien, auf die sie zugreifen sollen. Durch Verwendung von verschiedenen lokalen Schlüsseln für die Verschlüsselung von Dateien auf Wechselmedien lässt sich der Zugang zu den Dateien sogar selektiv einschränken. Zum Beispiel: Sie verschlüsseln die Dateien auf einem USB-Stick mit einem Schlüssel mit der Passphrase mein_lokalerSchlüssel. Für eine einzelne Datei mit dem Dateinamen FürPartner.doc verwenden Sie die Passphrase partner_lokalerSchlüssel. Wenn Sie den USB-Stick nun an einen Partner weitergeben und ihm die Passphrase partner_lokalerSchlüssel mitteilen, hat dieser nur Zugriff auf die Datei FürPartner.doc. Hinweis: Standardmäßig wird SafeGuard Portable automatisch auf die am System angeschlossenen Wechselmedien kopiert, sobald Inhalte auf die von einer Verschlüsselungsregel abgedeckten Medien geschrieben werden. Um SafeGuard Portable nicht auf die Wechselmedien zu kopieren, deaktivieren Sie die Option SafeGuard Portable auf das Ziel kopieren in einer Richtlinie vom Typ Geräteschutz. 172 Administratorhilfe 5.5.3 Medien-Passphrase SafeGuard Data Exchange ermöglicht es Ihnen festzulegen, dass eine einzige Medien-Passphrase für alle Wechselmedien - mit Ausnahme von optischen Medien - auf den Endpoints erstellt werden muss. Die Medien-Passphrase ermöglicht sowohl den Zugriff auf alle zentral definierten Domänen-/Gruppenschlüssel als auch auf alle in SafeGuard Portable verwendeten lokalen Schlüssel. Der Benutzer muss nur eine einzige Passphrase eingeben und erhält Zugriff auf alle verschlüsselten Dateien in SafeGuard Portable. Dabei spielt es keine Rolle, welcher lokale Schlüssel für die Verschlüsselung verwendet wurde. Auf jedem Endpoint wird automatisch ein einzigartiger Medienverschlüsselungsschlüssel für die Datenverschlüsselung für jedes Medium erstellt. Dieser Schlüssel ist durch die Medien-Passphrase und einen zentral definierten Domänen-/Gruppenschlüssel gesichert. Auf einem Computer mit SafeGuard Data Exchange ist es daher nicht notwendig, die Medien-Passphrase einzugeben, um auf die verschlüsselten Dateien auf Wechselmedien zuzugreifen. Der Zugriff wird automatisch gewährt, wenn sich der entsprechende Schlüssel im Schlüsselring des Benutzers befindet. Der zu verwendende Domänen-/Gruppenschlüssel muss unter Für Verschlüsselung definierter Schlüssel festgelegt werden. Die Medien-Passphrase-Funktionalität steht zur Verfügung, wenn die Option Benutzer darf eine Medien-Passphrase für Wechselmedien erzeugen in einer Richtlinie vom Typ Geräteschutz aktiviert ist. Nach dem Wirksamwerden dieser Einstellung auf dem Endpoint wird der Benutzer automatisch aufgefordert, eine Medien-Passphrase einzugeben, wenn er zum ersten Mal Wechselmedien mit dem Computer verbindet. Die Medien-Passphrase ist auf allen Computern, auf denen sich der Benutzer anmelden darf, gültig. Der Benutzer kann die Medien-Passphrase auch ändern. In diesem Fall findet automatisch eine Synchronisierung statt, wenn die Medien-Passphrase auf dem Computer und die Medien-Passphrase der Wechselmedien nicht mehr synchron sind. Sollte der Benutzer die Medien-Passphrase vergessen, so kann er diese ohne Helpdesk-Unterstützung wiederherstellen. Hinweis: Um die Medien-Passphrase zu aktivieren, aktivieren Sie die Option Benutzer darf eine Medien-Passphrase für Wechselmedien erzeugen in einer Richtlinie vom Typ Geräteschutz. Diese Einstellung steht nur dann zur Verfügung, wenn Sie als Ziel des Geräteschutzes die Option Wechselmedien gewählt haben. 5.5.3.1 Medien-Passphrase und Standalone-Endpoints Auf einem Standalone-Endpoint (d. h. auf einem Endpoint, der nicht zentral verwaltet wird) stehen ohne aktivierte Medien-Passphrase-Funktion nach der Installation keine Schlüssel zur Verfügung, da Standalone-Endpoints nur lokale Schlüssel verwenden. Vor der Benutzung der Verschlüsselung muss der Benutzer einen Schlüssel erzeugen. Ist die Medien-Passphrase-Funktionalität in einer Wechselmedienrichtlinie für diese Endpoints aktiviert, so wird der Medienverschlüsselungsschlüssel automatisch auf dem Endpoint erzeugt und kann direkt nach Abschluss der Installation für die Verschlüsselung verwendet werden. Der Schlüssel steht als „vordefinierter“ Schlüssel im Schlüsselring des Benutzers zur Verfügung und wird in Dialogen für die Schlüsselauswahl als <Benutzername> angezeigt. Falls verfügbar, werden die Medienverschlüsselungsschlüssel auch für alle initialen Verschlüsselungsvorgänge verwendet. 173 SafeGuard Enterprise 5.5.4 Best Practice Dieser Abschnitt beschreibt einige typische Anwendungsfälle für SafeGuard Data Exchange und deren Umsetzung durch Erstellen der entsprechenden Richtlinien. Bob und Alice sind zwei Mitarbeiter des gleichen Unternehmens und haben beide SafeGuard Data Exchange installiert. Joe ist ein externer Partner. Auf seinem Computer ist SafeGuard Enterprise nicht installiert. 5.5.4.1 Unternehmensinterne Anwendung Bob möchte verschlüsselte Daten auf Wechselmedien an Alice weitergeben. Beide gehören derselben Gruppe an und haben daher den entsprechenden Gruppenschlüssel in ihrem SafeGuard Enterprise Schlüsselring. Da sie den Gruppenschlüssel benutzen, können sie transparent auf die verschlüsselten Dateien zugreifen, ohne eine Passphrase eingeben zu müssen. Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ Geräteschutz\Wechselmedien fest: ■ Verschlüsselungsmodus für Medien: Dateibasierend ■ Schlüssel für die Verschlüsselung: Definierter Schlüssel aus der Liste Definierter Schlüssel aus der Liste: <Gruppen-/Domänenschlüssel> (z. B. group_users_Bob_Alice@DC=...), um sicherzustellen, dass beide denselben Schlüssel benutzen Wenn die Firmenrichtlinien zusätzlich festlegen, dass alle Dateien auf Wechselmedien immer verschlüsselt werden sollen, fügen Sie folgende Einstellungen hinzu: ■ Initialverschlüsselung aller Dateien: Ja Stellt sicher, dass Dateien auf Wechselmedien verschlüsselt werden, sobald die Wechselmedien zum ersten Mal mit dem System verbunden werden. ■ Benutzer darf Initialverschlüsselung abbrechen: Nein Der Benutzer kann die Initialverschlüsselung nicht abbrechen, um sie z. B. zu einem späteren Zeitpunkt durchzuführen. ■ Benutzer darf auf unverschlüsselte Dateien zugreifen: Nein Werden auf Wechselmedien unverschlüsselte Dateien entdeckt, so wird der Zugriff auf diese Dateien verweigert. ■ Benutzer darf Dateien entschlüsseln: Nein Der Benutzer darf Dateien auf Wechselmedien nicht entschlüsseln. ■ SafeGuard Portable auf das Ziel kopieren: Nein Für die gemeinsame Benutzung von Wechselmedien innerhalb der Arbeitsgruppe ist SafeGuard Portable nicht erforderlich. Außerdem würde SafeGuard Portable das Entschlüsseln von Dateien auf Computern ohne SafeGuard Enterprise erlauben. Die Benutzer können Daten einfach durch Austausch von Wechselmedien gemeinsam nutzen. Wenn sie die Wechselmedien mit ihren Computern verbinden, haben sie transparenten Zugriff auf verschlüsselte Dateien. 174 Administratorhilfe Hinweis: Dieser Anwendungsfall kann durch Benutzung von SafeGuard Enterprise Device Encryption umgesetzt werden. Hier ist das gesamte Wechselmedium sektorbasierend verschlüsselt. 5.5.4.2 Anwendung bei Heimarbeit oder für persönlichen Gebrauch auf Dritt-Computern ■ Heimarbeit: Bob möchte seine verschlüsselten Wechselmedien auf seinem Computer zuhause benutzen, auf dem SafeGuard Enterprise nicht installiert ist. Auf seinem Computer zuhause entschlüsselt Bob Dateien mit SafeGuard Portable. Da für alle seine Wechselmedien eine einzige Medien-Passphrase definiert ist, muss Bob nur SafeGuard Portable öffnen und die Medien-Passphrase eingeben. Danach hat Bob transparenten Zugriff auf alle verschlüsselten Dateien, unabhängig davon, welcher lokale Schüssel für die Verschlüsselung verwendet wurde. ■ Persönlicher Gebrauch auf Dritt-Computern: Bob verbindet das Wechselmedium mit Joes (externer Partner) Computer und gibt die Medien-Passphrase ein, um Zugriff auf die auf dem Medium gespeicherten verschlüsselten Dateien zu erhalten. Bob kann die Dateien nun - verschlüsselt oder unverschlüsselt - auf Joes Computer kopieren. Verhalten auf dem Endpoint: ■ Bob verbindet das Wechselmedium zum ersten Mal mit dem Computer. ■ Der Medienverschlüsselungsschlüssel, der für jedes Medium einzigartig ist, wird automatisch erzeugt. ■ Bob wird aufgefordert, die Medien-Passphrase für die Offline-Nutzung über SafeGuard Portable einzugeben. ■ Der Benutzer muss nichts über den zu verwendenden Schlüssel oder den Schlüsselring wissen. Der Medienverschlüsselungsschlüssel wird ohne Benutzerinteraktion immer für die Datenverschlüsselung verwendet. Der Medienverschlüsselungsschlüssel ist für den Benutzer auch nicht sichtbar. Nur der zentral definierte Gruppen-/Domänenschlüssel ist sichtbar. ■ Bob und Alice haben innerhalb der gleichen Gruppe oder Domäne transparenten Zugriff, da sie beide den gleichen Gruppen-/Domänenschlüssel verwenden. ■ Wenn Bob auf verschlüsselte Dateien auf Wechselmedien auf einem Computer ohne SafeGuard Data Exchange zugreifen möchte, kann er die Medien-Passphrase in SafeGuard Portable benutzen. Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ Geräteschutz\Wechselmedien fest: ■ Verschlüsselungsmodus für Medien: Dateibasierend ■ Schlüssel für die Verschlüsselung: Definierter Schlüssel aus der Liste Definierter Schlüssel aus der Liste: <Gruppen-/Domänenschlüssel> (z. B. group_users_Bob_Alice@DC=...), um sicherzustellen, dass beide denselben Schlüssel benutzen. ■ Benutzer darf eine Medien-Passphrase für Wechselmedien erzeugen: Ja 175 SafeGuard Enterprise Der Benutzer definiert eine Medien-Passphrase auf seinem Computer, die für alle seine Wechselmedien gilt. ■ SafeGuard Portable auf das Ziel kopieren: Ja SafeGuard Portable gibt dem Benutzer in einem System ohne SafeGuard Data Exchange Zugriff auf alle verschlüsselten Dateien auf den Wechselmedien durch die Eingabe einer einzigen Medien-Passphrase. Wenn die Firmenrichtlinien zusätzlich festlegen, dass alle Dateien auf Wechselmedien immer verschlüsselt werden sollen, fügen Sie folgende Einstellungen hinzu: ■ Initialverschlüsselung aller Dateien: Ja Stellt sicher, dass Dateien auf Wechselmedien verschlüsselt werden, sobald die Wechselmedien zum ersten Mal mit dem System verbunden werden. ■ Benutzer darf Initialverschlüsselung abbrechen: Nein Der Benutzer kann die Initialverschlüsselung nicht abbrechen, um sie z. B. zu einem späteren Zeitpunkt durchzuführen. ■ Benutzer darf auf unverschlüsselte Dateien zugreifen: Nein Werden auf Wechselmedien unverschlüsselte Dateien entdeckt, so wird der Zugriff auf diese Dateien verweigert. ■ Benutzer darf Dateien entschlüsseln: Nein Der Benutzer darf Dateien auf Wechselmedien nicht entschlüsseln. Im Büro haben sowohl Bob als auch Alice transparenten Zugriff auf verschlüsselte Dateien auf Wechselmedien. Zuhause oder auf Dritt-Computern können sie verschlüsselte Dateien mit SafeGuard Portable öffnen. Die Benutzer müssen nur die Medien-Passphrase eingeben und erhalten somit Zugriff auf alle verschlüsselten Dateien. Dies ist eine einfache und sichere Methode für die Verschlüsselung von Daten auf allen Wechselmedien. Ziel dieser Konfiguration ist es, die Benutzerinteraktion auf ein Minimum zu reduzieren und trotzdem jede Datei auf Wechselmedien zu verschlüsseln und den Benutzern Zugriff auf die verschlüsselten Dateien im Offline-Modus zu geben. Der Benutzer darf Dateien auf Wechselmedien nicht entschlüsseln. Hinweis: In dieser Konfiguration sind Benutzer nicht dazu berechtigt, lokale Schlüssel zu erzeugen, da dies in diesem Anwendungsfall nicht notwendig ist. Dies muss in einer Richtlinie vom Typ Geräteschutz mit Lokale Datenträger als Ziel des Geräteschutzes festgelegt werden (Allgemeine Einstellungen > Benutzer darf einen lokalen Schlüssel erzeugen > Nein). ■ SafeGuard Portable auf Wechselmedien kopieren: Nr. Für die gemeinsame Benutzung von Wechselmedien innerhalb der Arbeitsgruppe ist SafeGuard Portable nicht erforderlich. Außerdem würde SafeGuard Portable das Entschlüsseln von Dateien auf Computern ohne SafeGuard Enterprise erlauben. Im Büro haben die Benutzer transparenten Zugriff auf verschlüsselte Dateien auf Wechselmedien. Zuhause öffnen sie verschlüsselte Dateien mit SafeGuard Portable. Die Benutzer müssen nur die Medien-Passphrase eingeben und erhalten somit Zugriff auf alle verschlüsselten Dateien, unabhängig davon, welcher Schlüssel für die Verschlüsselung verwendet wurde. 176 Administratorhilfe 5.5.4.3 Weitergabe von Wechselmedien an externe Partner Hinweis: Dieses Beispiel gilt nur für Windows Endpoints. Bob möchte ein verschlüsseltes Medium an Joe (externer Partner) weitergeben, der SafeGuard Data Exchange nicht installiert hat und daher SafeGuard Portable verwenden muss. Bob möchte Joe jedoch nicht auf alle verschlüsselten Dateien auf dem Wechselmedium Zugriff geben. Er kann hierzu einen lokalen Schlüssel erzeugen und die Dateien mit dem lokalen Schlüssel verschlüsseln. Joe kann nun mit SafeGuard Portable die verschlüsselten Dateien mit der Passphrase des lokalen Schlüssels öffnen. Bob dagegen kann immer noch die Medien-Passphrase für den Zugriff auf alle Dateien auf dem Wechselmedium benutzen. Verhalten auf dem Computer: ■ Bob verbindet das Wechselmedium zum ersten Mal mit dem Computer. Der Medienverschlüsselungsschlüssel, der für jedes Medium einzigartig ist, wird automatisch erzeugt. ■ Bob wird aufgefordert, die Medien-Passphrase für die Offline-Nutzung einzugeben. ■ Der Medienverschlüsselungsschlüssel wird ohne Benutzerinteraktion für die Datenverschlüsselung verwendet, aber... ■ Bob kann nun einen lokalen Schlüssel (z. B. mit der Bezeichnung JoeSchlüssel) für die Verschlüsselung der spezifischen Dateien, die mit Joe ausgetauscht werden sollen, erzeugen oder auswählen. ■ Bob und Alice haben innerhalb der gleichen Gruppe oder Domäne transparenten Zugriff, da sie beide den gleichen Gruppen-/Domänenschlüssel verwenden. ■ Wenn Bob auf verschlüsselte Dateien auf Wechselmedien auf einem Computer ohne SafeGuard Data Exchange zugreifen möchte, kann er die Medien-Passphrase in SafeGuard Portable benutzen. ■ Joe kann auf die spezifischen Dateien durch Eingabe der Passphrase des Schlüssels JoeSchlüssel zugreifen, ohne auf die restlichen Dateien auf dem Wechselmedium zugreifen zu müssen. Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ Geräteschutz\Wechselmedien fest: ■ Verschlüsselungsmodus für Medien: Dateibasierend ■ Schlüssel für die Verschlüsselung: Beliebiger Schlüssel im Schlüsselring des Benutzers Ermöglicht dem Benutzer die Auswahl unterschiedlicher Schlüssel für die Verschlüsselung von Dateien auf Wechselmedien. Für Verschlüsselung definierter Schlüssel: <Gruppen-/Domänenschlüssel> (z. B. group_users_Bob_Alice@DC=...), um sicherzustellen, dass beide denselben Schlüssel benutzen und um beiden den transparenten Zugriff auf Wechselmedien zu ermöglichen, wenn sie sie mit ihren Computern im Büro verbinden. ■ Benutzer darf eine Medien-Passphrase für Wechselmedien erzeugen: Ja Der Benutzer definiert eine Medien-Passphrase auf seinem Computer, die für alle seine Wechselmedien gilt. 177 SafeGuard Enterprise ■ SafeGuard Portable auf das Ziel kopieren: Ja SafeGuard Portable gibt dem Benutzer in einem System ohne SafeGuard Data Exchange Zugriff auf alle verschlüsselten Dateien auf den Wechselmedien durch die Eingabe einer einzigen Medien-Passphrase. Wenn die Firmenrichtlinien zusätzlich festlegen, dass alle Dateien auf Wechselmedien immer verschlüsselt werden sollen, fügen Sie folgende Einstellungen hinzu: ■ Initialverschlüsselung aller Dateien: Ja Stellt sicher, dass Dateien auf Wechselmedien verschlüsselt werden, sobald die Wechselmedien zum ersten Mal mit dem System verbunden werden. ■ Benutzer darf Initialverschlüsselung abbrechen: Nein Der Benutzer kann die Initialverschlüsselung nicht abbrechen, um sie z. B. zu einem späteren Zeitpunkt durchzuführen. ■ Benutzer darf auf unverschlüsselte Dateien zugreifen: Nein Werden auf Wechselmedien unverschlüsselte Dateien entdeckt, so wird der Zugriff auf diese Dateien verweigert. ■ Benutzer darf Dateien entschlüsseln: Nein Der Benutzer darf Dateien auf Wechselmedien nicht entschlüsseln. Im Büro haben sowohl Bob als auch Alice transparenten Zugriff auf verschlüsselte Dateien auf Wechselmedien. Zuhause können sie verschlüsselte Dateien mit SafeGuard Portable durch Eingabe der Medien-Passphrase öffnen. Wenn Bob oder Alice die Wechselmedien an einen Dritt-Computer weitergeben möchten, auf dem SafeGuard Data Exchange nicht installiert ist, können sie mit lokalen Schlüsseln sicherstellen, dass externe Partner nur auf einige spezifische Dateien zugreifen können. Dies ist eine erweiterte Konfiguration, die durch die Möglichkeit, lokale Schlüssel auf den Computern zu erzeugen, ein höheres Maß an Benutzerinteraktion umfasst. Hinweis: Voraussetzung für diesen Beispielanwendungsfall ist es, dass der Benutzer dazu berechtigt ist, lokale Schlüssel zu erzeugen (Standardeinstellung in SafeGuard Enterprise). 5.5.5 Konfigurieren von vertrauenswürdigen und ignorierten Anwendungen für SafeGuard Data Exchange Sie können Anwendungen als vertrauenswürdig definieren, um ihnen Zugriff auf verschlüsselte Dateien zu geben. Dies ist zum Beispiel notwendig, damit Antivirus-Software verschlüsselte Dateien überprüfen kann. Sie können Anwendungen als ignoriert definieren, um sie von der transparenten Dateiverschlüsselung/Dateientschlüsselung auszuschließen. Wenn Sie zum Beispiel ein Backup-Programm als ignorierte Anwendung definieren, bleiben die vom Programm gesicherten verschlüsselten Daten verschlüsselt. Hinweis: Untergeordnete Prozesse werden nicht als vertrauenswürdig/ignoriert eingestuft. 1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder wählen Sie eine vorhandene aus. 2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche der Felder Vertrauenswürdige Anwendungen oder Ignorierte Anwendungen. 178 Administratorhilfe 3. Geben Sie im Editor-Listenfeld die Anwendungen ein, die Sie als vertrauenswürdig/ignoriert definieren möchten. ■ Sie können mehrere vertrauenswürdige/ignorierte Anwendungen in einer Richtlinie definieren. Jede Zeile im Editor-Listenfeld definiert jeweils eine Anwendung. ■ Anwendungsnamen müssen auf .exe enden. ■ Anwendungsnamen müssen als Fully Qualified Paths mit Laufwerk/Verzeichnis definiert werden. Es reicht nicht aus, nur den Dateinamen einzugeben (zum Beispiel "beispiel.exe"). Aus Gründen der Benutzerfreundlichkeit zeigt die Einzelzeilenansicht der Anwendungsliste nur die Dateinamen getrennt durch Strichpunkte. 4. Speichern Sie Ihre Änderungen. Hinweis: Die Richtlinieneinstellungen Vertrauenswürdige Anwendungen und Ignorierte Anwendungen sind Computereinstellungen. Die Richtlinie muss daher Computern, nicht Benutzern, zugewiesen werden. Andernfalls werden die Einstellungen nicht wirksam. 5.5.6 Konfigurieren von ignorierten Geräten für SafeGuard Data Exchange Sie können Geräte als ignoriert definieren, um sie von der Dateiverschlüsselung auszuschließen. Sie können nur vollständige Geräte ausschließen. 1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder wählen Sie eine vorhandene aus. 2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche des Felds Ignorierte Geräte. 3. Geben Sie die entsprechenden Gerätenamen ein, um spezifische Geräte von der Verschlüsselung auszuschließen. Dies ist zum Beispiel nützlich, wenn Sie Systeme von Dritt-Anbietern ausschließen müssen. Hinweis: Sie können die Namen der derzeit im System benutzten Geräte mit Tools von Dritt-Anbietern (z. B. OSR Device Tree) anzeigen lassen. SafeGuard Enterprise protokolliert alle Geräte, mit denen eine Verbindung hergestellt wird. Mit Hilfe von Registry Keys können Sie eine Liste von verbundenen und ignorierten Geräten aufrufen. 5.5.6.1 Anzeige von verbundenen und ignorierten Geräten für die SafeGuard Data Exchange Konfiguration Als Hilfestellung für die Definition von ignorierten Geräten können Sie mit Registry Keys ermitteln, welche Geräte für die Verschlüsselung in Betracht gezogen werden (verbundene Geräte) und welche Geräte derzeit ignoriert werden. Die Liste mit ignorierten Geräten enthält nur Geräte, die tatsächlich auf dem Computer verfügbar sind und ignoriert werden. Wird ein Gerät in einer Richtlinie als ignoriert definiert und das Gerät ist nicht verfügbar, so wird das Gerät auch nicht aufgelistet. Benutzen Sie folgende Registry Keys, um verbundene und ignorierte Geräte zu ermitteln: ■ HKLM\System\CurrentControlSet\Control\Utimaco\SGLCENC\Log\AttachedDevices ■ HKLM\System\CurrentControlSet\Control\Utimaco\SGLCENC\Log\IgnoredDevices 179 SafeGuard Enterprise 5.5.7 Konfigurieren der persistenten Verschlüsselung für SafeGuard Data Exchange Der Inhalt von mit SafeGuard Data Exchange verschlüsselten Dateien wird jeweils direkt entschlüsselt, wenn der Benutzer den erforderlichen Schlüssel hat. Wenn der Inhalt in einer neuen Datei an einem Ablageort gespeichert wird, für den keine Verschlüsselungsregel gilt, bleibt die resultierende neue Datei unverschlüsselt. Mit persistenter Verschlüsselung bleiben Kopien von verschlüsselten Dateien auch dann verschlüsselt, wenn sie an einem Speicherort abgelegt werden, für den keine Verschlüsselungsregel gilt. Sie können die persistente Verschlüsselung in Richtlinien vom Typ Allgemeine Einstellungen konfigurieren. Die Richtlinieneinstellung Persistente Verschlüsselung aktivieren ist standardmäßig aktiviert. Hinweis: ■ Wenn Dateien an ein ignoriertes Gerät oder in einen Ordner kopiert oder verschoben werden, für den eine Richtlinie mit dem Modus für die Verschlüsselung Ignorieren gilt, hat die Einstellung Persistente Verschlüsselung aktivieren keine Auswirkungen. ■ Kopiervorgänge werden anhand des Dateinamens erkannt. Wenn ein Benutzer eine verschlüsselte Datei mit Speichern unter unter einem anderen Dateinamen an einem Speicherort speichert, für den keine Verschlüsselungsregel gilt, ist die Datei unverschlüsselt. 5.5.8 Protokollierung des Dateizugriffs auf Wechselmedien Mit der Funktion Berichte des SafeGuard Management Center lässt sich der Dateizugriff auf Wechselmedien protokollieren (Datei-Tracking). Für Datei-Tracking spielt es keine Rolle, ob für Dateien auf Wechselmedien eine Verschlüsselungsrichtlinie gilt. In einer Richtlinie vom Typ Protokollierung können Sie Folgendes konfigurieren: ■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium angelegt wird. ■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium umbenannt wird. ■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis vom Wechselmedium gelöscht wird. Weitere Informationen finden Sie unter Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher (Seite 333). 5.5.9 SafeGuard Data Exchange und File Encryption Das SafeGuard Enterprise Modul File Encryption bietet dateibasierende Verschlüsselung im Netzwerk, speziell für Arbeitsgruppen bei Netzwerkfreigaben. Wenn sowohl SafeGuard Data Exchange als auch File Encryption auf einem Endpoint installiert ist, kann es vorkommen, dass eine SafeGuard Data Exchange Verschlüsselungsrichtlinie für ein Laufwerk auf dem Computer definiert ist und gleichzeitig File Encryption Richtlinien für Ordner auf demselben Laufwerk gelten. Ist dies der Fall, so erhält die SafeGuard Data Exchange Richtlinie Vorrang vor den File Encryption Richtlinien. Neue Dateien werden gemäß der SafeGuard Data Exchange Richtlinie verschlüsselt. Weitere Informationen finden Sie unter Pfadbasierte Dateiverschlüsselung (Seite 154). 180 Administratorhilfe 5.6 SafeGuard Festplattenverschlüsselung SafeGuard Festplattenverschlüsselung mit SafeGuard Power-on Authentication (POA) ist das Sophos Modul zur Verschlüsselung von Laufwerken auf Endpoints. Es wird mit einer von Sophos entwickelten Pre-Boot Authentication namens SafeGuard Power On Authentication (POA) geliefert, die Anmeldeoptionen wie Smartcard und Fingerabdruck sowie einen Challenge/Response Mechanismus für die Wiederherstellung unterstützt. Hinweis: SafeGuard Festplattenverschlüsselung ist nur für Endpoints mit Windows 7 (BIOS) verfügbar. 5.6.1 SafeGuard Enterprise Power-on Authentication (POA) Hinweis: Diese Beschreibung gilt für Windows 7 Endpoints mit SafeGuard Festplattenverschlüsselung. SafeGuard Enterprise identifiziert den Benutzer bereits, bevor das Betriebssystem startet. Hierbei startet vorher ein SafeGuard Enterprise eigener Systemkern. Dieser ist gegen Modifikationen geschützt und versteckt auf der Festplatte gespeichert. Erst wenn sich der Benutzer in der SafeGuard POA korrekt authentisiert hat, wird das Betriebssystem (Windows) von der verschlüsselten Partition aus gestartet. Die Anmeldung an Windows erfolgt später automatisch. Analog wird verfahren, wenn sich ein Endpoint im Ruhezustand (Hibernation, Suspend to Disk) befindet und wieder eingeschaltet wird. Die SafeGuard Power-on Authentication bietet unter anderem folgende Vorteile: ■ Grafische Benutzeroberfläche, mit Mausunterstützung und verschiebbaren Fenstern, und damit einfache, übersichtliche Bedienung. ■ Vom Firmenkunden per Richtlinie anpassbares grafisches Layout (Hintergrundbild, Anmeldebild, Willkommensmeldung etc.). ■ Unterstützung für eine Reihe von Smartcard-Lesegeräten und Smartcards. ■ Unterstützung von Windows-Benutzerkonten und Kennwörtern bereits zum Pre-Boot Zeitpunkt, keine separaten Zugangsdaten mehr, die sich der Benutzer merken muss. ■ Unterstützung von Unicode und damit auch fremdsprachigen Kennwörtern bzw. Benutzeroberflächen. 181 SafeGuard Enterprise 5.6.1.1 Ablauf der Anmeldung SafeGuard Enterprise arbeitet mit zertifikatsbasierter Anmeldung. Deswegen benötigt ein Benutzer zur erfolgreichen Anmeldung in der SafeGuard Power-on Authentication Schlüssel und Zertifikate. Benutzerspezifische Schlüssel und Zertifikate werden jedoch erst nach einer erfolgreichen Windows-Anmeldung erzeugt. Nur Benutzer, die sich erfolgreich an Windows angemeldet haben, können sich später auch in der SafeGuard Power-on Authentication authentisieren. Um den Ablauf der Anmeldung eines Benutzers in SafeGuard Enterprise zu verdeutlichen, im Folgenden eine kurze Einführung. Eine detaillierte Beschreibung der SafeGuard POA-Anmeldevorgänge finden Sie in der SafeGuard Enterprise Benutzerhilfe. SafeGuard Autologon Nach dem Neustart erscheint bei der ersten Anmeldung am Endpoint der SafeGuard Enterprise Autologon. Was passiert? 1. Ein Autouser wird angemeldet. 2. Der Computer registriert sich automatisch am SafeGuard Enterprise Server. 3. Der Maschinenschlüssel wird an den SafeGuard Enterprise Server geschickt und in der SafeGuard Enterprise Datenbank abgelegt. 4. Die Maschinenrichtlinien werden an den Endpoint geschickt. Anmeldung an Windows Der Windows-Anmeldedialog wird angezeigt. Der Benutzer meldet sich an. Was passiert? 1. Benutzername und ein Hash-Wert der Benutzerdaten werden an den Server geschickt. 2. Benutzerrichtlinien, Zertifikate und Schlüssel werden erzeugt und an den Endpoint geschickt. 3. Die SafeGuard POA wird aktiviert. SafeGuard POA-Anmeldung Nach dem Neustart des Endpoint erscheint die SafeGuard POA. Was passiert? 1. Zertifikate und Schlüssel für den Benutzer sind vorhanden, und er kann sich in der SafeGuard POA anmelden. 2. Alle Daten sind sicher mit dem öffentlichen RSA Schlüssel des Benutzers verschlüsselt. 3. Alle weiteren Benutzer, die sich anmelden wollen, müssen erst in die SafeGuard POA importiert werden. 182 Administratorhilfe 5.6.1.1.1 Anmeldeverzögerung Auf einem durch SafeGuard Enterprise geschützten Endpoint tritt eine Anmeldeverzögerung in Kraft, wenn ein Benutzer während der Anmeldung an Windows oder an die SafeGuard Power-on Authentication falsche Anmeldeinformationen eingibt. Mit jedem fehlgeschlagenen Anmeldeversuch verlängert sich jeweils die Anmeldeverzögerung. Nach einer fehlgeschlagenen Anmeldung erscheint ein Dialog, der die verbleibende Verzögerungszeit anzeigt. Hinweis: Wenn ein Benutzer während der Anmeldung mit Token eine falsche PIN eingibt, tritt keine Anmeldeverzögerung ein. Sie können die Anzahl an erlaubten Anmeldeversuchen in einer Richtlinie vom Typ Authentisierung über die Option Maximalanzahl von erfolglosen Anmeldeversuchen festlegen. Wenn die Maximalanzahl an erfolglosen Anmeldeversuchen erreicht ist, wird der Endpoint gesperrt. Um eine Computersperre aufzuheben, kann der Benutzer ein Challenge/Response-Verfahren starten. 5.6.1.2 Registrieren weiterer SafeGuard Enterprise-Benutzer Der erste Benutzer, der sich in Windows anmeldet, ist automatisch in der SafeGuard POA registriert. Zunächst kann sich kein weiterer Windows-Benutzer in der SafeGuard POA anmelden. Weitere Benutzer müssen mit Hilfe des ersten Benutzers importiert werden. Eine detaillierte Beschreibung zum Importieren weiterer Benutzer finden Sie in der SafeGuard Enterprise Benutzerhilfe. Eine Richtlinieneinstellung legt fest, wer einen neuen Benutzer importieren darf. Sie finden diese Richtlinie im SafeGuard Management Center unter Richtlinien ■ Typ: Spezifische Computereinstellungen ■ Feld: Registrieren von neuen SGN-Benutzern erlauben Standardeinstellung: Besitzer Wer der Besitzer eines Endpoint ist, wird im SafeGuard Management Center festgelegt unter Benutzer und Computer ■ <Endpoint-Name> markieren ■ Registerkarte Benutzer 5.6.1.3 Benutzertypen Es gibt verschiedene Benutzertypen in SafeGuard Enterprise. Nähere Informationen darüber, wie das Standardverhalten dieser Benutzertypen geändert werden kann, finden Sie unter Richtlinientypen und ihre Anwendungsfelder (Seite 352). ■ Besitzer: Der Benutzer, der sich als erster nach der Installation von SafeGuard Enterprise an einem Endpoint anmeldet, wird nicht nur als SGN-Benutzer eingetragen, sondern auch als Besitzer dieses Endpoints. Sofern die Standardeinstellungen nicht geändert wurden, kann der Besitzer es anderen Benutzern ermöglichen, sich an dem Endpoint anzumelden und SGN-Benutzer zu werden. ■ SGN-Benutzer: Ein „vollwertiger“ SGN-Benutzer kann sich bei der SafeGuard Power-on Authentication anmelden, wird der UMA (User Machine Assignment - Benutzer-Computer 183 SafeGuard Enterprise Zuordnung) hinzugefügt und erhält ein Benutzerzertifikat und einen Schlüsselring für den Zugriff auf verschlüsselte Daten. ■ SGN Windows-Benutzer: Ein SGN Windows-Benutzer wird nicht zur SafeGuard POA hinzugefügt, verfügt jedoch über einen Schlüsselring, mit dem er wie ein SGN-Benutzer auf verschlüsselte Dateien zugreifen kann. Er wird auch der UMA hinzugefügt, d. h. er darf sich auf diesem Endpoint bei Windows anmelden. ■ SGN-Gastbenutzer: Ein SGN-Gastbenutzer wird nicht der UMA hinzugefügt, erhält keine Berechtigung zum Anmelden bei der SafeGuard POA, bekommt kein Zertifikat und keinen Schlüsselring zugewiesen und wird nicht in der Datenbank gespeichert. Unter Spezifische Computereinstellungen - Grundeinstellungen (Seite 382) finden Sie Informationen darüber, wie verhindert wird, dass sich SGN-Gastbenutzer bei Windows anmelden. ■ Service Account: Mit Service Accounts können sich Benutzer (z. B. Mitarbeiter des IT-Teams, Rollout-Beauftragte) nach der Installation von SafeGuard Enterprise an Endpoints anmelden, ohne die SafeGuard POA zu aktivieren und ohne dass sie als SGN-Benutzer (Besitzer) zu den Endpoints hinzugefügt werden. Benutzer, die in eine Service Account-Liste aufgenommen wurden, werden nach ihrer Windows-Anmeldung am Endpoint als SGN-Gastbenutzer behandelt. ■ POA-Benutzer: Nach Aktivierung der POA ist es unter Umständen noch erforderlich, administrative Aufgaben auszuführen. POA-Benutzer sind vordefinierte lokale Konten, die die POA absolvieren dürfen. Eine automatische Anmeldung an Windows erfolgt nicht. Die Benutzer müssen sich an Windows mit ihren vorhandenen Windows-Benutzerkonten anmelden. Diese Benutzerkonten werden im Bereich Benutzer & Computer des SafeGuard Management Center definiert (Benutzername und Kennwort) und werden dem Endpoint in POA-Gruppen zugewiesen. Weitere Informationen finden Sie unter POA -Benutzer für die SafeGuard POA-Anmeldung (Seite 195). 5.6.1.4 Konfigurieren der SafeGuard Power-on Authentication Der SafeGuard POA-Dialog besteht aus folgenden Komponenten: ■ Anmeldebild ■ Dialogtexte ■ Sprache des Tastaturlayouts Das Erscheinungsbild des SafeGuard POA-Dialogs können Sie über Richtlinieneinstellungen im SafeGuard Management Center an Ihre jeweiligen Anforderungen anpassen. 184 Administratorhilfe 5.6.1.4.1 Hintergrund- und Anmeldebild In der Standardeinstellung werden Bilder im SafeGuard-Design als Hintergrund- und Anmeldebild angezeigt. Es ist jedoch möglich, andere Bilder anzuzeigen, z. B. ein Firmenlogo. Hintergrund- und Anmeldebilder werden über eine Richtlinie vom Typ Allgemeine Einstellungen festgelegt. Hintergrund- und Anmeldebilder müssen bestimmten Anforderungen entsprechen, damit sie in SafeGuard Enterprise verwendet werden können: Hintergrundbild in der POA Maximale Dateigröße für alle Hintergrundbilder: 500 KB SafeGuard Enterprise unterstützt für Hintergrundbilder zwei Varianten: ■ 1024x768 (VESA-Modus) Farben: keine Einschränkung Richtlinie vom Typ Allgemeine Einstellungen, Option Hintergrundbild in der POA. ■ 640 x 480 (VGA-Modus) Farben: 16 Richtlinie vom Typ Allgemeine Einstellungen, Option Hintergrundbild in der POA (niedrige Auflösung) Anmeldebild Maximale Dateigröße für alle Anmeldebilder: 100 KB SafeGuard Enterprise unterstützt für Anmeldebilder zwei Varianten: ■ 413x140 Farben: keine Einschränkung Richtlinie vom Typ Allgemeine Einstellungen, Option Anmeldebild in der POA ■ 413x140 Farben: 16 Richtlinie vom Typ Allgemeine Einstellungen, Option Anmeldebild in der POA (niedrige Auflösung) Bilder müssen zunächst als Dateien (BMP, PNG, JPG) erstellt werden und können dann im Navigationsbereich registriert werden. 5.6.1.4.1.1 Registrieren von Bildern 1. Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Bilder und wählen Sie Neu > Bild. 2. Geben Sie unter Bildname einen Namen für das Bild ein. 3. Wählen Sie über die Schaltfläche [...] das zuvor erstellte Bild aus. 4. Klicken Sie auf OK. Das neue Bild wird als Unterknoten des Eintrags Bilder im Richtlinien-Navigationsbereich angezeigt. Ist ein Bild markiert, wird es im Aktionsbereich angezeigt. Das Bild kann jetzt beim Erstellen von Richtlinien ausgewählt werden. Sie können so weitere Bilder registrieren. Alle registrierten Bilder werden als Unterknoten angezeigt. 185 SafeGuard Enterprise Hinweis: Mit der Schaltfläche Bild ändern können Sie das zugeordnete Bild austauschen. 5.6.1.4.2 Benutzerdefinierter Informationstext in der SafeGuard POA Sie können in der SafeGuard POA folgende benutzerdefinierte Informationstexte anzeigen lassen: ■ Infotext beim Starten eines Challenge/Response-Verfahrens zur Hilfe bei der Anmeldung (z. B.: “Bitte rufen Sie Ihren Support unter der Telefonnummer 01234-56789 an.”). Mit der Option Texte in einer Richtlinie des Typs Allgemeine Einstellungen können Sie einen Informationstext definieren. ■ Rechtliche Hinweise, die nach der Anmeldung an der SafeGuard POA angezeigt werden. Mit der Option Text für rechtliche Hinweise in einer Richtlinie des Typs Spezifische Computereinstellungen können Sie einen Text für rechtliche Hinweise definieren. ■ Text mit zusätzlichen Informationen, der nach der Anmeldung an der SafeGuard POA angezeigt werden soll. Mit der Option Text für zusätzliche Informationen in einer Richtlinie des Typs Spezifische Computereinstellungen können Sie einen Text für zusätzliche Informationen definieren. 5.6.1.4.2.1 Registrieren von Informationstexten Die Textdateien mit den gewünschten Informationen müssen erstellt werden, bevor sie im SafeGuard Management Center registriert werden können. Die maximale Dateigröße für Informationstexte beträgt 50 KB. SafeGuard Enterprise verwendet nur Unicode UTF-16 kodierte Texte. Wenn Sie die Textdateien nicht in diesem Format erstellen, werden sie bei der Registrierung automatisch in dieses Format konvertiert. Bei der Verwendung von Sonderzeichen in den Informationstexten für die SafeGuard POA sollte vorsichtig vorgegangen werden. Einige dieser Zeichen werden u. U. nicht korrekt dargestellt. So registrieren Sie Informationstexte: 1. Klicken Sie im Richtlinien-Navigationsbereich mit der rechten Maustaste auf Texte und wählen Sie Neu > Text. 2. Geben Sie unter Textelementname einen Namen für den anzeigenden Text ein. 3. Klicken Sie auf [...] um die zuvor erstellte Textdatei auszuwählen. Wenn eine Konvertierung notwendig ist, wird eine entsprechende Meldung angezeigt. 4. Klicken Sie auf OK. Das neue Textelement wird als Unterknoten des Eintrags Texte im Richtlinien-Navigationsbereich angezeigt. Ist ein Textelement markiert, wird sein Inhalt im Aktionsbereich auf der rechten Seite angezeigt. Das Textelement kann jetzt beim Erstellen von Richtlinien ausgewählt werden. Um weitere Textelemente zu registrieren, gehen Sie wie beschrieben vor. Alle registrierten Textelemente werden als Unterknoten angezeigt. Hinweis: Mit der Schaltfläche Text ändern können Sie weiteren Text zum bestehenden Text hinzufügen. Wenn Sie auf diese Schaltfläche klicken, wird ein Dialog geöffnet, in dem eine weitere Textdatei ausgewählt werden kann. Der in dieser Datei enthaltene Text wird am Ende des bestehenden Texts eingefügt. 5.6.1.4.3 Sprache der SafeGuard POA-Dialogtexte Alle Texte in der SafeGuard POA werden nach der Installation der SafeGuard Enterprise Verschlüsselungssoftware mit den Standardeinstellungen in der Sprache angezeigt, die bei 186 Administratorhilfe der Installation von SafeGuard Enterprise in den Regions- und Sprachoptionen von Windows als Standardsprache am Endpoint eingestellt ist. Sie können die Sprache der SafeGuard POA-Dialogtexte nach der Installation von SafeGuard Enterprise mit einer der beide folgenden Methoden umstellen: ■ Ändern Sie die Standardsprache in den Windows Regions- und Sprachoptionen auf dem Endpoint. Nachdem der Benutzer den Endpoint zweimal neu gestartet hat, ist die neue Spracheinstellung in der SafeGuard POA aktiv. ■ Erstellen Sie eine Richtlinie des Typs Allgemeine Einstellungen, legen Sie die Sprache im Feld Sprache am Client fest und übertragen Sie die Richtlinie auf den Endpoint. Hinweis: Wenn Sie eine Richtlinie erstellen und sie an den Endpoint übertragen, gilt die in der Richtlinie festgelegte Sprache anstelle der in den Windows Regions- und Sprachoptionen angegebenen Sprache. 5.6.1.4.4 Tastaturlayout Beinahe jedes Land hat ein eigenes Tastaturlayout. In der SafeGuard POA macht sich das Tastaturlayout bei der Eingabe von Benutzernamen, Kennwort und Response Code bemerkbar. SafeGuard Enterprise übernimmt standardmässig das Tastaturlayout in die SafeGuard POA, das zum Zeitpunkt der Installation in den Regions- und Sprachoptionen von Windows gesetzt ist. Ist unter Windows „Deutsch“ als Tastaturlayout gesetzt, wird in der SafeGuard POA das deutsche Tastaturlayout verwendet. Die Sprache des verwendeten Tastaturlayouts wird in der SafeGuard POA angezeigt, z. B. „EN“ für Englisch. Neben dem Standard-Tastaturlayout kann das US-Tastaturlayout (Englisch) gewählt werden. Es gibt bestimmte Ausnahmefälle: ■ Das Tastaturlayout wird zwar unterstützt, aufgrund fehlender Schriften (z. B. bei Bulgarisch) werden im Feld Benutzername aber nur Sonderzeichen angezeigt. ■ Es ist kein spezielles Tastaturlayout verfügbar (z. B. Dominikanische Republik). In solchen Fällen greift die SafeGuard POA auf das Original-Tastaturlayout zurück. Für die Dominikanische Republik ist dies „Spanisch“. ■ Wenn Benutzername oder Kennwort aus Zeichen bestehen, die vom ausgewählten Tastaturlayout oder dem Original-Tastaturlayout nicht unterstützt werden, kann sich der Benutzer nicht an der SafeGuard POA anmelden. Hinweis: Alle nicht unterstützten Tastaturlayouts verwenden als Standard das US-Tastaturlayout. Das bedeutet, dass auch nur Zeichen erkannt und eingegeben werden können, die im US-Tastaturlayout unterstützt werden. Benutzer können sich demnach nur an der SafeGuard POA anmelden, wenn ihre Benutzernamen und Kennwörter sich aus Zeichen zusammensetzen, die vom US-Tastaturlayout oder dem entsprechenden Original-Layout unterstützt werden. Virtuelle Tastatur SafeGuard Enterprise bietet die Möglichkeit, in der SafeGuard POA eine virtuelle Tastatur anzeigen zu lassen. Der Benutzer kann dann z. B. Anmeldeinformationen durch Klick auf die am Bildschirm angezeigten Tasten eingeben. 187 SafeGuard Enterprise Als Sicherheitsbeauftragter können Sie die Anzeige der virtuellen Tastatur in einer Richtlinie vom Typ Spezifische Computereinstellungen über die Option Virtuelle Tastatur in der POA aktivieren/deaktivieren. Die Unterstützung der virtuellen Tastatur muss über eine Richtlinieneinstellung aktiviert/deaktiviert werden. Für die virtuelle Tastatur werden verschiedene Layouts angeboten und das Layout kann mit den gleichen Einstellungen wie das normale Tastaturlayout geändert werden. 5.6.1.4.4.1 Ändern des Tastaturlayouts Das normale einschließlich des virtuellen Tastaturlayouts der SafeGuard Power-on Authentication kann nachträglich geändert werden. 1. Wählen Sie Start > Systemsteuerung > Regions- und Sprachoptionen > Erweitert. 2. Wählen Sie auf der Registerkarte Regionale Einstellungen die gewünschte Sprache aus. 3. Wählen Sie dann auf der Registerkarte Erweitert unter Standardeinstellungen für Benutzerkonten die Option Alle Einstellungen auf das aktuelle Benutzerkonto und Standardbenutzerprofil anwenden. 4. Klicken Sie auf OK. Die SafeGuard POA merkt sich das bei der letzten erfolgreichen Anmeldung verwendete Tastaturlayout und aktiviert dieses beim nächsten Anmelden automatisch. Hierzu sind zwei Neustarts des Endpoint notwendig. Wenn dieses gemerkte Tastaturlayout über die Regionsund Sprachoptionen abgewählt wird, bleibt es dem Anwender noch so lange erhalten, bis er eine andere Sprache ausgewählt hat. Hinweis: Zusätzlich ist es notwendig, die Sprache des Tastatur-Layouts für andere, nicht-Unicode-Programme, zu ändern. Falls die gewünschte Sprache nicht auf dem Endpoint vorhanden ist, werden Sie von Windows evtl. aufgefordert, die Sprache zu installieren. Danach müssen Sie den Endpoint zweimal neu starten, damit das neue Tastaturlayout von der SafeGuard Power-on Authentication eingelesen und dann auch über diese eingestellt werden kann. Sie können das gewünschte Tastaturlayout der SafeGuard Power-on Authentication mit der Maus oder mit der Tastatur (Alt+Shift) ändern. Sie können über Start > Ausführen > regedit > HKEY_USERS\.DEFAULT\Keyboard Layout\Preload einsehen, welche Sprachen auf dem System installiert und damit verfügbar sind. 5.6.1.5 In der SafeGuard Power-on Authentication unterstützte Hotkeys Bestimmte Hardware-Einstellungen und -Funktionalitäten können Probleme beim Starten des Endpoint verursachen, die dazu führen, dass der Rechner im Startvorgang hängen bleibt. Die SafeGuard Power-on Authentication unterstützt eine Reihe von Hotkeys, mit denen sich Hardware-Einstellungen und Funktionalitäten modifizieren lassen. Darüber hinaus sind in die auf dem Endpoint zu installierende .MSI-Datei Grey Lists und Black Lists integriert, die Funktionen abdecken, von denen ein solches Problemverhalten bekannt ist. Wir empfehlen, vor jeder größer angelegten SafeGuard Enterprise Installation die aktuelle Version der SafeGuard POA-Konfigurationsdatei zu installieren. Die Datei wird monatlich aktualisiert und steht hier zum Download zur Verfügung: http://www.sophos.com/de-de/support/knowledgebase/110285.aspx Sie können diese Datei anpassen, um die Hardware einer spezifischen Umgebung abzudecken. 188 Administratorhilfe Hinweis: Wenn Sie eine angepasste Datei definieren, wird nur diese verwendet, nicht die in der .msi-Datei integrierte Datei. Die Standarddatei wird nur angewendet, wenn keine SafeGuard POA-Konfigurationsdatei definiert ist oder keine gefunden wird. Um die SafeGuard POA-Konfigurationsdatei zu installieren, geben Sie folgenden Befehl ein: MSIEXEC /i <Client-MSI-Paket> POACFG=<Pfad der SafeGuard POA-Konfigurationsdatei> Sie können uns bei der Optimierung der Hardware-Kompatibilität unterstützen, indem Sie ein von uns zur Verfügung gestelltes Tool ausführen. Dieses Tool liefert ausschließlich Hardware-relevante Informationen. Das Tool ist einfach zu bedienen. Die gesammelten Informationen werden zur Hardware-Konfigurationsdatei hinzugefügt. Für weitere Informationen, siehe http://www.sophos.com/de-de/support/knowledgebase/110285.aspx. Die folgenden Hotkeys werden in der SafeGuard POA unterstützt: ■ Shift F3 = USB Legacy Unterstützung (An/Aus) ■ Shift F4 = VESA Grafikmodus (Aus/An) ■ Shift F5 = USB 1.x und 2.0 Unterstützung (Aus/An) ■ Shift F6 = ATA Controller (Aus/An) ■ Shift F7 = nur USB 2.0 Unterstützung (Aus/An) USB 1.x Unterstützung bleibt wie über Shift F5 gesetzt. ■ Shift F9 = ACPI/APIC (Aus/An) USB Hotkeys Abhängigkeitsmatrix Shift F3 Shift F5 Shift F7 Legacy USB 1.x USB 2.0 Anmerkung aus aus aus an an an 3. an aus aus aus an an Standard aus an aus an aus aus 1., 2. an an aus an aus aus 1., 2. aus aus an an an aus 3. an aus an aus an aus aus an an an aus aus an an an an aus aus 2. 1. Shift F5 deaktiviert sowohl die Unterstützung von USB 1.x als auch von USB 2.0. 189 SafeGuard Enterprise Hinweis: Wenn Sie Shift F5 drücken, reduziert sich die Wartezeit bis zum Starten der SafeGuard POA erheblich. Beachten Sie jedoch, dass bei Benutzung einer USB-Tastatur oder einer USB-Maus am betreffenden Computer diese Geräte durch Drücken von Shift F5 möglicherweise deaktiviert werden. 2. Wenn die USB-Unterstützung nicht aktiviert ist, versucht die SafeGuard POA, BIOS SMM zu benutzen anstatt den USB-Controller zu sichern und wiederherzustellen. Der Legacy-Modus kann in diesem Szenario funktionieren. 3. Die Legacy-Unterstützung ist aktiviert, die USB-Unterstützung ist aktiviert. Die SafeGuard POA versucht, den USB-Controller zu sichern und wiederherzustellen. Der Computer kann sich je nach eingesetzter BIOS-Version aufhängen. Es besteht die Möglichkeit, Änderungen, die über Hotkeys vorgenommen werden können, bei der Installation der SafeGuard Enterprise Verschlüsselungssoftware über eine mst Datei bereits vorzudefinieren. Verwenden Sie dazu den entsprechenden Aufruf in Verbindung mit msiexec. NOVESA Bestimmt, ob VESA- oder VGA-Modus verwendet wird: 0 = VESA-Modus (Standard), 1 = VGA-Modus NOLEGACY Bestimmt, ob nach der SafeGuard POA-Anmeldung Legacy-Unterstützung aktiviert ist: 0 = Legacy-Unterstützung aktiviert, 1 = Legacy-Unterstützung nicht aktiviert (Standard) ALTERNATE: Bestimmt, ob USB-Geräte von der SafeGuard POA unterstützt werden: 0 = USB-Unterstützung ist aktiviert (Standard), 1 = keine USB-Unterstützung NOATA Bestimmt, ob der int13-Gerätetreiber verwendet wird: 0 = Standard-ATA-Gerätetreiber (Standard), 1 = Int13-Gerätetreiber ACPIAPIC Bestimmt, ob ACPI/APIC-Unterstützung verwendet wird: 0 = keine ACPI/APIC-Unterstützung (Standard), 1 = ACPI/APIC-Unterstützung aktiv 5.6.1.6 Deaktivierte SafeGuard POA und Lenovo Rescue and Recovery Sollte auf dem Computer die SafeGuard Power-on Authentication deaktiviert sein, so sollte zum Schutz vor dem Zugriff auf verschlüsselte Dateien aus der Rescue and Recovery Umgebung heraus die Rescue and Recovery Authentisierung eingeschaltet sein. Detaillierte Informationen zur Aktivierung der Rescue and Recovery Authentisierung finden Sie in der Lenovo Rescue and Recovery Dokumentation. 5.6.2 Administrative Zugangsoptionen für Endpoints Hinweis: Die folgenden Beschreibungen beziehen sich auf Windows Endpoints, die mit SafeGuard Enterprise mit SafeGuard Power-on Authentication geschützt sind. Um es Benutzern zu ermöglichen, sich nach der Installation von SafeGuard Enterprise zur Durchführung von administrativen Aufgaben an Endpoints anzumelden, bietet SafeGuard Enterprise zwei verschiedene Benutzerkontotypen. ■ 190 Service Accounts für die Windows-Anmeldung Administratorhilfe Mit Service Accounts können sich Benutzer (z. B. Rollout-Beauftragte, Mitglieder des IT-Teams) nach der Installation von SafeGuard Enterprise an Endpoints anmelden (Windows-Anmeldung), ohne die SafeGuard Power-on Authentication zu aktivieren. Die Benutzer werden auch nicht als SafeGuard Enterprise Benutzer zum Endpoint hinzugefügt. Service Account Listen werden im Bereich Richtlinien des SafeGuard Management Center angelegt und über Richtlinien den Endpoints zugewiesen. Benutzer, die in eine Service Account Liste aufgenommen wurden, werden bei der Anmeldung am Endpoint als Gastbenutzer behandelt. Hinweis: Service Account Listen werden den Endpoints über Richtlinien zugewiesen. Sie sollten bereits im ersten SafeGuard Enterprise Konfigurationspaket, das Sie für die Konfiguration der Endpoints erstellen, enthalten sein. Weitere Informationen finden Sie unter Service Account-Listen für die Windows-Anmeldung (Seite 191). ■ POA-Benutzer für die Anmeldung an der SafeGuard POA POA-Benutzer sind vordefinierte lokale Benutzerkonten, die es Benutzern (z. B. Mitgliedern des IT-Teams) ermöglichen, sich nach der Aktivierung der SafeGuard POA an Endpoints zur Ausführung administrativer Aufgaben anzumelden (SafeGuard POA-Anmeldung). Diese Benutzerkonten werden im Bereich Benutzer & Computer des SafeGuard Management Center definiert (Benutzername und Kennwort) und werden den Endpoints über POA-Gruppen in Konfigurationspaketen zugewiesen. Weitere Informationen finden Sie unter POA -Benutzer für die SafeGuard POA-Anmeldung (Seite 195). 5.6.3 Service Account Listen für die Windows-Anmeldung Hinweis: Service Accounts werden nur von Windows Endpoints unterstützt, die von SafeGuard Enterprise mit SafeGuard Power-on Authentication geschützt werden. Bei den meisten Implementationen von SafeGuard Enterprise installiert zunächst ein Rollout-Team neue Computer in einer Umgebung. Danach folgt die Installation von SafeGuard Enterprise. Zu Installations- und Prüfungszwecken meldet sich der Rollout-Beauftragte dann am jeweiligen Computer an, bevor der Endbenutzer diesen erhält und die Möglichkeit hat, die SafeGuard Power-on Authentication zu aktivieren. So ergibt sich folgendes Szenario: 1. SafeGuard Enterprise wird auf einem Endpoint installiert. 2. Nach dem Neustart des Endpoint meldet sich der Rollout-Beauftragte an. 3. Der Rollout-Beauftragte wird zur SafeGuard POA hinzugefügt und die POA wird aktiv. Der Rollout-Benutzer wird Besitzer des Endpoint. Wenn der Endbenutzer den Endpoint erhält, kann er sich nicht an der SafeGuard POA anmelden. Er muss ein Challenge/Response-Verfahren durchführen. Um zu verhindern, dass administrative Vorgänge auf einem durch SafeGuard Enterprise geschützten Endpoint bewirken, dass die SafeGuard Power-on Authentication aktiviert wird und Rollout-Beauftragte als Benutzer zum Endpoint hinzugefügt werden, ermöglicht SafeGuard Enterprise das Anlegen von Listen mit Service Accounts. Die in den Listen enthaltenen Benutzer werden dadurch als SafeGuard Enterprise Gastbenutzer behandelt Mit Service Accounts ergibt sich folgendes Szenario: 1. SafeGuard Enterprise wird auf einem Endpoint installiert. 191 SafeGuard Enterprise 2. Der Endpoint wird neu gestartet und ein Rollout-Beauftragter, der in einer Service Account Liste aufgeführt ist, meldet sich an. 3. Gemäß der auf den Computer angewendeten Service Account Liste wird der Benutzer als Service Account erkannt und als Gastbenutzer behandelt. Der Rollout-Beauftragte wird nicht zur SafeGuard POA hinzugefügt und die POA wird nicht aktiviert. Der Rollout-Beauftragte wird nicht Besitzer des Endpoint. Der Endbenutzer kann sich anmelden und die SafeGuard POA aktivieren. Hinweis: Service Account Listen werden den Endpoints über Richtlinien zugewiesen. Sie sollten bereits im ersten SafeGuard Enterprise Konfigurationspaket, das Sie für die Konfiguration der Endpoints erstellen, enthalten sein. 5.6.3.1 Anlegen von Service Account Listen und Hinzufügen von Benutzern 1. Klicken Sie im Navigationsbereich auf Richtlinien. 2. Markieren Sie im Richtlinien-Navigationsbereich den Eintrag Service Account Listen. 3. Klicken Sie im Kontextmenü von Service Account Listen auf Neu > Service Account Liste. 4. Geben Sie einen Namen für die Service Account Liste ein und klicken Sie auf OK. 5. Markieren Sie die neue Liste unter Service Account Listen im Richtlinien-Navigationsfenster. 6. Klicken Sie im Arbeitsbereich mit der rechten Maustaste, um das Kontextmenü für die Service Account Liste zu öffnen. Wählen Sie Hinzufügen im Kontextmenü. Eine neue Benutzerzeile wird hinzugefügt. 7. Geben Sie den Benutzernamen und den Domänennamen in den entsprechenden Spalten ein und drücken Sie Enter. Um weitere Benutzer hinzuzufügen, wiederholen Sie diesen Schritt. 8. Speichern Sie Ihre Änderungen, indem Sie auf das Speichern Symbol in der Symbolleiste klicken. Die Service Account Liste ist registriert und kann beim Anlegen einer Richtlinie ausgewählt werden. 5.6.3.2 Zusätzliche Informationen zur Eingabe von Benutzer- und Domänennamen Für die Definition von Benutzern in Service Account Listen in den beiden Feldern Benutzername und Domänenname gibt es unterschiedliche Vorgehensweisen. Darüber hinaus gelten für die Eingabewerte in diesen Feldern bestimmte Einschränkungen. Verschiedene Anmeldekombinationen abdecken Durch die beiden separaten Felder Benutzername und Domänenname pro Listeneintrag lassen sich alle möglichen Anmeldekombinationen (z. B. „Benutzer@Domäne oder „Domäne\Benutzer“) abdecken. Um mehrere Kombinationen aus Benutzername und Domänenname anzugeben, können Sie Asterisken (*) als Platzhalter verwenden. Ein * ist als erstes Zeichen, als letztes Zeichen und als einziges Zeichen zulässig. Zum Beispiel: ■ 192 Benutzername: Administrator Administratorhilfe ■ Domänenname: * Mit dieser Kombination geben Sie alle Benutzer mit dem Benutzernamen „Administrator“ an, die sich an einem Netzwerk oder an einer beliebigen lokalen Maschine anmelden. Der vordefinierte Domänenname [LOCALHOST], der in der Dropdownliste des Felds Domänenname zur Verfügung steht, steht für die Anmeldung an einem beliebigen lokalen Computer. Zum Beispiel: ■ Benutzername: "Admin*" ■ Domänenname: [LOCALHOST] Mit dieser Kombination geben Sie alle Benutzer an, deren Benutzernamen mit Admin beginnen und die sich an einer beliebigen lokalen Maschine anmelden. Benutzer können sich auf verschiedene Art und Weise anmelden. Zum Beispiel: ■ Benutzer: test, Domäne: mycompany ■ Benutzer: test, Domäne: mycompany.com. Da Domänenangaben in Service Account Listen nicht automatisch aufgelöst werden, gibt es drei mögliche Methoden für das korrekte Angeben der Domäne: ■ ■ ■ Sie wissen genau, wie sich der Benutzer anmelden wird, und geben die Domäne entsprechend exakt ein. Sie erstellen mehrere Einträge in der Service Account Liste. Sie verwenden Platzhalter, um alle unterschiedlichen Fälle abzudecken (Benutzer: test, Domäne: mycompany*). Hinweis: Windows verwendet möglicherweise nicht dieselbe Zeichenfolge und kürzt Namen ab. Um dadurch entstehende Probleme zu vermeiden, empfehlen wir, den FullQualifiedName und den Netbios-Namen einzugeben oder Platzhalter zu verwenden. Einschränkungen Asterisken sind nur als erstes, letztes und einziges Zeichen zulässig. Beispiele für gültige und ungültige Zeichenfolgen: ■ Gültige Zeichenfolgen sind z. B.: Admin*, *, *strator, *minis*. ■ Ungültige Zeichenfolgen sind z. B.: **, Admin*trator, Ad*minst*. Darüber hinaus gelten folgende Einschränkungen: ■ Das Zeichen ? ist in Benutzernamen nicht zulässig. ■ Die Zeichen / \ [ ] : ; | = , + * ? < > " sind in Domänennamen nicht zulässig. 193 SafeGuard Enterprise 5.6.3.3 Bearbeiten und Löschen von Service Account Listen Als Sicherheitsbeauftragter mit der Berechtigung Service Account Listen ändern können Sie Service Account Listen jederzeit bearbeiten oder löschen: ■ Um eine Service Account Liste zu bearbeiten, klicken Sie auf der Liste im Richtlinien-Navigationsfenster. Die Service Account Liste wird im Aktionsbereich geöffnet und Sie können Benutzernamen zufügen, löschen oder ändern. ■ Um eine Service Account Liste zu löschen, wählen Sie die Liste im Richtlinien-Navigationsfenster aus, öffnen Sie das Kontextmenü und wählen Sie Löschen. 5.6.3.4 Zuweisen einer Service Account Liste in einer Richtlinie 1. Legen Sie eine Richtlinie vom Typ Authentisierung an oder wählen Sie eine bereits vorhandene aus. 2. Wählen Sie unter Anmeldeoptionen die gewünschte Service Account Liste aus der Dropdownliste des Felds Service Account Liste aus. Hinweis: Die Standardeinstellung dieses Felds ist [Keine Liste], d. h. es gilt keine Service Account Liste. Rollout-Beauftragte, die sich nach der Installation von SafeGuard Enterprise an dem Endpoint anmelden, werden somit nicht als Gastbenutzer behandelt und können die SafeGuard Power-on Authentication aktivieren sowie zum Endpoint hinzugefügt werden. Um die Zuweisung einer Service Account Liste rückgängig zu machen, wählen Sie die Option [Keine Liste]. 3. Speichern Sie Ihre Änderungen, indem Sie auf das Speichern Symbol in der Symbolleiste klicken. Sie können die Richtlinie nun an die Endpoints übertragen, um die Service Accounts auf den Endpoints zur Verfügung zu stellen. Hinweis: Wenn Sie unterschiedliche Service Account Listen in verschiedenen Richtlinien auswählen, die alle nach dem RSOP (Resulting Set of Policies, die für einen bestimmten Computer/eine bestimmte Gruppe geltenden Einstellungen) relevant sind, setzt die Service Account Liste in der zuletzt angewandten Richtlinie alle zuvor zugewiesenen Service Account Listen außer Kraft. Service Account Listen werden nicht zusammengeführt. Um das RSOP unter Benutzer & Computer einzusehen, brauchen Sie zumindest das Zugriffsrecht Schreibgeschützt für die relevanten Objekte. 5.6.3.5 Übertragen der Richtlinie an den Endpoint Service Account Listen sind während der Installation in der Rollout-Phase einer Implementation besonders hilfreich und wichtig. Es wird daher empfohlen, die Service Account Einstellungen unmittelbar nach der Installation an den Endpoint zu übertragen. Um die Service Account Liste zu diesem Zeitpunkt auf dem Endpoint zur Verfügung zu stellen, nehmen Sie in das erste Konfigurationspaket, das Sie zur Konfiguration des Endpoint nach der Installation erstellen, eine Richtlinie vom Typ Authentisierung mit den entsprechenden Einstellungen auf. Sie können die Einstellungen für die Service Account Liste jederzeit ändern, eine neue Richtlinie erstellen und diese an die Endpoints übertragen. 5.6.3.6 Anmeldung auf einem Endpoint mit einem Service Account Bei der ersten Windows-Anmeldung nach dem Neustart des Endpoint meldet sich ein Benutzer, der auf einer Service Account Liste aufgeführt ist, an dem Endpoint als SafeGuard Enterprise 194 Administratorhilfe Gastbenutzer an. Diese erste Windows-Anmeldung an diesem Endpoint löst weder eine ausstehende Aktivierung der SafeGuard Power-on Authentication aus, noch wird durch die Anmeldung der Benutzer zum Endpoint hinzugefügt. Das SafeGuard Enterprise System Tray Icon zeigt in diesem Fall auch nicht den Balloon Tool Tip „Initialer Benutzerabgleich abgeschlossen“ an. Anzeige des Service Account Status auf dem Endpoint Der Gastbenutzer-Anmeldestatus wird auch über das System Tray Icon angezeigt. Weitere Informationen zum System Tray Icon finden Sie in der SafeGuard Enterprise Benutzerhilfe, Kapitel System Tray Icon und Balloon-Ausgabe (Beschreibung des SGN-Benutzerstatus Felds). 5.6.3.7 Protokollierte Ereignisse für Service Account Listen Die in Zusammenhang mit Service Account Listen durchgeführten Aktionen werden über die folgenden Ereignisse protokolliert: SafeGuard Management Center ■ Service Account Liste <Name> angelegt. ■ Service Account Liste <Name> geändert. ■ Service Account Liste <Name> gelöscht. Durch SafeGuard Enterprise geschützte Endpoints ■ Windows-Benutzer <Domäne/Benutzer> hat sich um <Zeit> an Maschine <Domäne/Computer> als SGN Service Account angemeldet. ■ Neue Service Account Liste importiert. ■ Service Account Liste <Name> gelöscht. 5.6.4 POA-Benutzer für die Anmeldung an der SafeGuard POA Hinweis: POA-Benutzer werden nur von Windows Endpoints unterstützt, die von SafeGuard Enterprise mit SafeGuard Power-on Authentication geschützt werden. Nach der Installation von SafeGuard Enterprise und der Aktivierung der SafeGuard Power-on Authentication (POA), kann der Zugang zu Endpoints für administrative Aufgaben notwendig sein. Mit POA-Benutzern können sich Benutzer (z. B. Mitglieder des IT-Teams) zur Durchführung von administrativen Aufgaben an der SafeGuard Power-on Authentication anmelden, ohne ein Challenge/Response-Verfahren durchführen zu müssen. Eine automatische Anmeldung an Windows erfolgt nicht. Die Benutzer müssen sich an Windows mit ihren vorhandenen Windows-Benutzerkonten anmelden. Sie können POA-Benutzer anlegen, diese in POA-Gruppen gruppieren und die Gruppen den Endpoints zuweisen. Die Benutzer, die in der POA-Gruppe enthalten sind, werden zur SafeGuard POA hinzugefügt und können sich mit Ihrem vordefinierten Benutzernamen und Kennwort an der POA anmelden. Hinweis: Für die Verwaltung von POA-Benutzern und POA-Gruppen benötigen Sie das Zugriffsrecht Voller Zugriff für den POA Knoten unter Benutzer & Computer. 195 SafeGuard Enterprise 5.6.4.1 Erstellen von POA-Benutzern Für das Erstellen von POA-Benutzern und POA-Gruppen benötigen Sie das Zugriffsrecht Voller Zugriff für den POA Knoten unter Benutzer & Computer. 1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer. 2. Wählen Sie im Benutzer & Computer Navigationsfenster unter POA den Knoten POA-Benutzer. 3. Klicken Sie im POA-Benutzer Kontextmenü auf Neu > Neuen Benutzer erstellen. Der Dialog Neuen Benutzer erstellen wird angezeigt. 4. Geben Sie im Feld Vollständiger Name einen Namen (den Anmeldenamen) für den neuen POA-Benutzer ein. 5. Optional können Sie eine Beschreibung für den neuen POA-Benutzer eingeben. 6. Geben Sie ein Kennwort für den neuen POA-Benutzer ein und bestätigen Sie es. Hinweis: Aus Sicherheitsgründen sollte das Kennwort bestimmten Mindest-Komplexitätsanforderungen entsprechen. Zum Beispiel sollte es eine Mindestlänge von 8 Zeichen haben und sowohl aus numerischen als auch alphanumerischen Zeichen bestehen. Ist das hier eingegebene Kennwort zu kurz, so wird eine entsprechende Warnungsmeldung angezeigt. 7. Klicken Sie auf OK. Der neue POA-Benutzer wird angelegt und unter POA-Benutzer im Benutzer & Computer Navigationsbereich angezeigt. 5.6.4.2 Ändern des Kennworts für einen POA-Benutzer Für das Bearbeiten von POA-Benutzern und POA-Gruppen benötigen Sie das Zugriffsrecht Voller Zugriff für den POA Knoten unter Benutzer & Computer. 1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer. 2. Wählen Sie im Benutzer & Computer Navigationsfenster unter POA, POA-Benutzer den relevanten POA-Benutzer. 3. Wählen Sie im Kontextmenü des POA-Benutzers den Befehl Eigenschaften. Der Eigenschaften-Dialog für den POA-Benutzer wird angezeigt. 4. Geben Sie in der Registerkarte Allgemein unter Benutzerkennwort das neue Kennwort ein und bestätigen Sie es. 5. Klicken Sie auf OK. Für den relevanten POA-Benutzer gilt das neue Kennwort. 5.6.4.3 Löschen von POA-Benutzern Für das Löschen von POA-Benutzern und POA-Gruppen benötigen Sie das Zugriffsrecht Voller Zugriff für den POA Knoten unter Benutzer & Computer. 1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer. 2. Wählen Sie im Benutzer & Computer Navigationsfenster unter POA, POA-Benutzer den relevanten POA-Benutzer. 196 Administratorhilfe 3. Klicken Sie mit der rechten Maustaste auf den POA-Benutzer und wählen Sie Löschen aus dem Kontextmenü. Der POA-Benutzer wird gelöscht. Es wird nicht mehr im Benutzer & Computer Navigationsfenster angezeigt. Hinweis: Wenn der Benutzer einer oder mehreren POA-Gruppen angehört, wird er auch aus allen Gruppen entfernt. Der POA-Benutzer steht jedoch noch so lange auf dem Endpoint zur Verfügung, bis die Zuweisung der POA-Gruppe aufgehoben wird. 5.6.4.4 Erstellen von POA-Gruppen Für das Erstellen von POA-Gruppen benötigen Sie das Zugriffsrecht Voller Zugriff für den POA Knoten unter Benutzer & Computer. Damit die POA-Gruppen Endpoints zugewiesen werden können, müssen sie in Gruppen zusammengefasst werden. 1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer. 2. Wählen Sie im Benutzer & Computer Navigationsbereich unter POA den Knoten POA-Gruppen. 3. Klicken Sie im POA-Gruppen Kontextmenü auf Neu > Neue Gruppe erstellen. Der Neue Gruppe erstellen Dialog wird angezeigt. 4. Geben Sie im Feld Vollständiger Name einen Namen für die neue POA-Gruppe ein. 5. Geben Sie optional eine Beschreibung ein. 6. Klicken Sie auf OK. Die neue POA-Gruppe ist angelegt. Sie wird unter POA-Gruppen im Benutzer & Computer Navigationsfenster angezeigt. Sie können nun POA-Benutzer zur Gruppe hinzufügen. 5.6.4.5 Hinzufügen von Benutzern zu POA-Gruppen Für das Bearbeiten von POA-Gruppen benötigen Sie das Zugriffsrecht Voller Zugriff für den POA Knoten unter Benutzer & Computer. 1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer. 2. Wählen Sie im Benutzer & Computer Navigationsfenster unter POA, POA-Gruppe die relevante POA-Gruppe. Im Aktionsbereich des SafeGuard Management Center auf der rechten Seite wird die Mitglieder Registerkarte angezeigt 3. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Hinzufügen Symbol (grünes Pluszeichen). Der Mitgliedobjekt auswählen Dialog wird angezeigt 4. Wählen Sie den Benutzer, den Sie zur Gruppe hinzufügen möchten. 5. Klicken Sie auf OK. Der POA-Benutzer wird zur Gruppe hinzugefügt und in der Registerkarte Mitglieder angezeigt. 197 SafeGuard Enterprise 5.6.4.6 Entfernen von Benutzern aus POA-Gruppen Für das Bearbeiten von POA-Gruppen benötigen Sie das Zugriffsrecht Voller Zugriff für den POA Knoten unter Benutzer & Computer. 1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer. 2. Wählen Sie im Benutzer & Computer Navigationsfenster unter POA, POA-Gruppe die relevante POA-Gruppe. Im Aktionsbereich des SafeGuard Management Center auf der rechten Seite wird die Mitglieder Registerkarte angezeigt 3. Wählen Sie den Benutzer, den Sie aus der Gruppe entfernen möchten. 4. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Löschen Symbol (rotes Kreuzzeichen). Der Benutzer wird aus der Gruppe entfernt. 5.6.4.7 Zuweisen von POA-Benutzern zu Endpoints Hinweis: Damit die POA-Gruppen Endpoints zugewiesen werden können, müssen sie in Gruppen zusammengefasst werden. Wie Sie POA-Benutzer Endpoints zuweisen, hängt vom Endpoint-Typ ab: 5.6.4.7.1 ■ Für zentral verwaltete Endpoints können POA-Gruppen im Bereich Benutzer & Computer in der Registerkarte POA-Gruppen-Zuweisung zugewiesen werden. ■ Für Standalone-Endpoints, die im Standalone-Modus laufen und keine Verbindung zum SafeGuard Enterprise Server haben, muss ein Konfigurationspaket mit einer POA-Gruppe erstellt und an die Computer verteilt werden. Zuweisen von POA-Benutzern zu zentral verwalteten Endpoints Um POA-Benutzer zu zentral verwalteten Endpoints zuzuweisen, benötigen Sie die Zugriffsrechte Voller Zugriff oder Schreibgeschützt für die relevante POA-Gruppe sowie das Zugriffsrecht Voller Zugriff für die relevanten Container. 1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer. 2. Wählen Sie im Benutzer & Computer Navigationsbereich den gewünschten Container. 3. Wählen Sie im Aktionsbereich des SafeGuard Management Center die Registerkarte POA Gruppenzuweisung. Unter POA-Gruppen auf der rechten Seite werden alle verfügbaren POA-Gruppen angezeigt. 4. Ziehen Sie die gewünschte POA-Gruppe aus POA-Gruppen in den POA Gruppenzuweisung Aktionsbereich. Gruppenname und Gruppen-DSN der POA-Gruppe werden im Aktionsbereich angezeigt. 5. Speichern Sie Ihre Änderungen in der Datenbank. Alle Mitglieder der zugewiesenen POA-Gruppe werden an alle Endpoints im ausgewählten Container übertragen. 198 Administratorhilfe Sie können die Zuweisung aufheben oder die zugewiesene POA-Gruppe ändern, indem Sie wie beschrieben vorgehen und Gruppen von und in die Registerkarte POA Gruppenzuweisung und den Bereich POA-Gruppen ziehen. Wenn Sie Ihre Änderungen in der Datenbank gespeichert haben, gilt die neue Zuweisung. 5.6.4.7.2 Zuweisen von POA-Benutzern zu Standalone-Endpoints Um POA-Benutzer zu Standalone-Endpoints zuzuweisen, benötigen Sie die Zugriffsrechte Schreibgeschützt oder Voller Zugriff für die relevante POA-Gruppe. POA-Benutzer werden Standalone-Endpoints (im Standalone-Modus betrieben) in Konfigurationspaketen zugewiesen. 1. Wählen Sie im SafeGuard Management Center aus dem Menü Extras den Befehl Konfigurationspakete. 2. Wählen Sie ein vorhandenes Konfigurationspaket aus oder erstellen Sie ein neues. 3. Wählen Sie eine POA-Gruppe aus, die Sie zuvor im Bereich Benutzer & Computer des SafeGuard Management Center erstellt haben. Darüber hinaus steht standardmäßig eine keine Liste Gruppe zur Auswahl zur Verfügung. Diese Gruppe kann dazu verwendet werden, die Zuweisung einer POA-Gruppe auf Endpoints zu löschen. 4. Geben Sie einen Ausgabepfad für das Konfigurationspaket an. 5. Klicken Sie auf Konfigurationspaket erstellen. 6. Installieren Sie das Konfigurationspaket auf den Endpoints. Durch Installation des Konfigurationspakets werden die Benutzer aus der Gruppe zur SafeGuard POA auf den Endpoints hinzugefügt. Die POA-Benutzer stehen für die Anmeldung an die POA zur Verfügung. Hinweis: Wenn Sie Standalone-Endpoints auf zentral verwaltete Endpoints migrieren, bleiben die POA-Benutzer aktiv, wenn Sie auch im SafeGuard Management Center zugewiesen wurden. Die in den POA-Gruppen, die mit Konfigurationspaketen installiert wurden, gesetzten Kennwörter werden auf die im SafeGuard Management Center angegebenen Kennwörter gesetzt. Kennwörter, die mit F8 geändert wurden, werden überschrieben.Weitere Informationen zur Migration von Standalone-Endpoints zu zentral verwalteten Endpoints finden Sie im SafeGuard Enterprise upgrade guide. 5.6.4.7.3 Aufheben der POA-Benutzer Zuweisung bei Standalone-Endpoints POA-Benutzer lassen sich von Standalone-Endpoints entfernen, indem Sie eine leere POA-Gruppe zuweisen: 1. Wählen Sie im Tools Menü des SafeGuard Management Center den Befehl Konfigurationspakete. 2. Wählen Sie ein vorhandenes Konfigurationspaket aus oder erstellen Sie ein neues. 3. Wählen Sie eine leere POA-Gruppe, die Sie zuvor im Bereich Benutzer & Computer des SafeGuard Management Center angelegt haben, oder die keine Liste POA-Gruppe, die standardmäßig unter Konfigurationspakete zur Verfügung steht. 4. Geben Sie einen Ausgabepfad für das Konfigurationspaket an. 5. Klicken Sie auf Konfigurationspaket erstellen. 6. Installieren Sie das Konfigurationspaket auf den Endpoints. Durch Installation des Konfigurationspakets werden alle POA-Benutzer von den Endpoints entfernt. Somit werden alle relevanten Benutzer aus der SafeGuard POA entfernt. 199 SafeGuard Enterprise 5.6.4.7.4 Ändern der POA-Benutzer Zuweisungen auf Standalone-Endpoints 1. Legen Sie eine neue POA-Gruppe an oder ändern Sie eine bestehende Gruppe. 2. Erstellen Sie ein neues Konfigurationspaket und wählen Sie die neue oder modifizierte POA-Gruppe aus. 3. Installieren Sie das Konfigurationspaket auf den Endpoints. Die neue POA-Gruppe steht auf dem Endpoint zur Verfügung. Alle enthaltenen Benutzer werden zur POA hinzugefügt. Die neue Gruppe überschreibt die alte. POA-Gruppen werden nicht miteinander kombiniert. 5.6.4.8 Anmeldung an einem Endpoint mit einem POA-Benutzer 1. Schalten Sie den Endpoint ein. Der SafeGuard Power-on Authentication Anmeldedialog wird angezeigt. 2. Geben Sie den Benutzernamen und das Kennwort des vordefinierten POA-Benutzers ein. Sie werden nicht automatisch an Windows angemeldet. Der Windows-Anmeldedialog wird angezeigt. 3. Wählen Sie im Domäne Feld die Domäne <POA>. 4. Melden Sie sich mit Ihrem vorhandenen Windows-Benutzerkonto an Windows an. 5.6.4.8.1 Lokale Kennwortänderung Wurde das Kennwort eines POA-Benutzers mit F8, geändert, so wird die Änderung nicht mit anderen Endpoints synchronisiert. Der Administrator muss das Kennwort für diesen Benutzer zentral ändern. 5.6.5 Native Device Encryption verwalten Um Festplatten besonders schnell, einfach und zuverlässig zu verschlüsseln, greift SafeGuard auf die Verschlüsselungstechnologie des Betriebssystems zurück. Verwalten Sie Schlüssel und Wiederherstellungsfunktionen über BitLocker- und mit FileVault 2 verschlüsselte Laufwerke ganz praktisch über das SafeGuard Management Center. 5.6.5.1 SafeGuard Festplattenverschlüsselung Ein Kernstück von SafeGuard Enterprise ist die Verschlüsselung von Daten auf unterschiedlichen Datenträgern. Die Festplattenverschlüsselung kann volume- oder dateibasierend durchgeführt werden, mit unterschiedlichen Schlüsseln und Algorithmen. Dateien werden transparent verschlüsselt. Wenn Benutzer Dateien öffnen, bearbeiten und speichern, werden sie nicht zur Ver- oder Entschlüsselung aufgefordert. Als Sicherheitsbeauftragter legen Sie die Einstellungen für die Verschlüsselung in einer Sicherheitsrichtlinie vom Typ Geräteschutz fest. Weitere Informationen finden Sie unter Mit Richtlinien arbeiten (Seite 87) und Geräteschutz (Seite 376). Hinweis: Die in den folgenden Abschnitten beschriebene Funktion der Festplattenvollverschlüsselung kann nur mit Windows 7 BIOS-basierten Systemen genutzt werden. Wenn Sie andere Systeme wie z. B. UEFI oder Windows 8 verwenden, nutzen Sie die integrierte Windows BitLocker Drive Encryption-Funktionalität. Weitere Informationen finden Sie unter BitLocker Drive Encryption (Seite 142). 200 Administratorhilfe 5.6.5.1.1 Volume-basierende Festplattenverschlüsselung Mit der volume-basierenden Festplattenverschlüsselung werden alle Daten auf einem Volume (einschließlich Boot-Dateien, Pagefiles, Hibernation Files, temporäre Dateien, Verzeichnisinformationen usw.) verschlüsselt. Benutzer müssen sich in ihrer Arbeitsweise nicht anpassen oder auf Sicherheit achten. Um volume-basierende Verschlüsselung auf Endpoints anzuwenden, erstellen Sie eine Richtlinie vom Typ Geräteschutz und wählen Sie bei Verschlüsselungsmodus für Medien die Einstellung Volume-basierend. Weitere Informationen finden Sie unter Geräteschutz (Seite 376). Hinweis: ■ Die Volume-basierende Verschlüsselung/Entschlüsselung wird für Laufwerke ohne Laufwerksbuchstaben nicht unterstützt. ■ Wenn für ein Volume oder einen Volume-Typ eine Verschlüsselungsrichtlinie existiert und die Verschlüsselung des Volumes schlägt fehl, darf der Benutzer nicht auf das Volume zugreifen. ■ Endpoints können während der Verschlüsselung/Entschlüsselung heruntergefahren und neu gestartet werden. ■ Wenn auf die Entschlüsselung die Deinstallation folgt, empfehlen wir, den Endpoint nicht in einen Energiesparmodus oder den Ruhezustand zu versetzen. ■ Wenn nach der volume-basierenden Verschlüsselung eine Richtlinie auf einen Endpoint-Computer angewendet wird, die die Entschlüsselung erlaubt, ist Folgendes zu beachten: Nach einer vollständigen volume-basierenden Verschlüsselung muss der Endpoint-Computer mindestens einmal neu gestartet werden, bevor die Entschlüsselung gestartet werden kann. Hinweis: Im Gegensatz zur SafeGuard BitLocker Drive Encryption unterstützt die Volume-basierende SafeGuard-Verschlüsselung keine GUID Partition Table (GPT) Disks. Die Installation wird abgebrochen, wenn eine solche Disk gefunden wird. Wenn dem System später eine GPT Disk hinzugefügt wird, werden Volumes auf der Disk verschlüsselt. Beachten Sie, dass die SafeGuard Recovery-Tools – wie z. B. BE_Restore.exe und recoverkeys.exe – mit solchen Volumes nicht zurechtkommen. Sophos empfiehlt dringend, eine Verschlüsselung von GPT Disks zu vermeiden. Zum Entschlüsseln von Volumes, die unbeabsichtigt verschlüsselt wurden, ändern Sie Ihre SGN-Richtlinien entsprechend und ermöglichen Sie dem Benutzer die Entschlüsselung. 5.6.5.1.1.1 Volume-basierende Verschlüsselung und die Windows 7 Systempartition Für Windows 7 Professional, Enterprise und Ultimate wird auf den Endpoints eine Systempartition angelegt, der kein Laufwerksbuchstabe zugeordnet ist. Diese System-Partition kann nicht von SafeGuard Enterprise verschlüsselt werden. 5.6.5.1.1.2 Schnelle Initialverschlüsselung SafeGuard Enterprise bietet die schnelle Initialverschlüsselung als Spezialmodus für die volume-basierende Verschlüsselung. Dieser Modus reduziert den Zeitraum, der für die initiale Verschlüsselung (oder die endgültige Entschlüsselung) von Volumes auf Endpoints benötigt wird. Dies wird dadurch erreicht, dass nur auf den Festplattenspeicherplatz zugegriffen wird, der tatsächlich in Gebrauch ist. Für die schnelle Initialverschlüsselung gelten folgende Voraussetzungen: ■ Die schnelle Initialverschlüsselung funktioniert nur auf NTFS-formatierten Volumes. 201 SafeGuard Enterprise ■ Bei NTFS-formatierten Volumes mit einer Cluster-Größe von 64 KB kann die schnelle Initialverschlüsselung nicht angewendet werden. Hinweis: Dieser Modus kann zu einem unsichereren Zustand führen, wenn eine Platte vor der Verwendung mit SafeGuard Enterprise bereits in Gebrauch war. Nicht verwendete Sektoren können noch Daten enthalten. Daher ist die schnelle Initialverschlüsselung standardmäßig deaktiviert. Um die schnelle Initialverschlüsselung zu aktivieren, wählen Sie die Einstellung Schnelle Initialverschlüsselung in einer Richtlinie vom Typ Geräteschutz. Hinweis: Für die Entschlüsselung eines Volumes wird unabhängig von der gewählten Richtlinieneinstellung immer die schnelle Initialverschlüsselung verwendet. Für die Entschlüsselung gelten ebenfalls die angegebenen Einschränkungen. 5.6.5.1.1.3 Volume-basierende Verschlüsselung und Unidentified File System Objects Unidentified File System Objects sind Volumes, die von SafeGuard Enterprise nicht eindeutig als verschlüsselt oder unverschlüsselt identifiziert werden können. Existiert für ein Unidentified File System Object eine Verschlüsselungsrichtlinie, so wird der Zugriff auf das Volume verweigert. Existiert keine Verschlüsselungsrichtlinie, so kann der Benutzer auf das Volume zugreifen. Hinweis: Existiert für ein Unidentified File System Object eine Verschlüsselungsrichtlinie, bei der die Richtlinieneinstellung Schlüssel für die Verschlüsselung auf eine Option eingestellt ist, die die Schlüsselauswahl ermöglicht (z. B. Beliebiger Schlüssel im Schlüsselring des Benutzers), so entsteht zwischen der Anzeige des Schlüsselauswahldialogs und der Verweigerung des Zugriffs auf das Volume eine zeitliche Lücke. Während dieser Zeit kann auf das Volume zugegriffen werden. So lange der Schlüsselauswahldialog nicht vom Benutzer bestätigt wird, besteht Zugriff auf das Volume. Um dies zu vermeiden, geben Sie einen vorausgewählten Schlüssel für die Verschlüsselung an. Weitere Informationen zu den relevanten Richtlinieneinstellungen finden Sie unter Geräteschutz (Seite 376). Diese zeitliche Lücke entsteht auch dann für mit dem Endpoint verbundene Unidentified File System Objects, wenn der Benutzer zu dem Zeitpunkt, an dem die Verschlüsselungsrichtlinie wirksam wird, bereits Dateien auf dem Volume geöffnet hat. In diesem Fall, kann nicht gewährleistet werden, dass der Zugriff auf das Volume verweigert wird, da dies zu Datenverlust führen könnte. 5.6.5.1.1.4 Verschlüsselung von Volumes mit aktivierter Autorun-Funktionalität Wenn Sie auf Volumes, für die die Autorun-Funktionalität aktiviert ist, eine Verschlüsselungsrichtlinie anwenden, so können folgende Probleme auftreten: 5.6.5.1.1.5 ■ Das Volume wird nicht verschlüsselt. ■ Wenn es sich um ein Unidentified File System Object handelt, wird der Zugriff nicht verweigert. Zugriff auf mit BitLocker To Go verschlüsselte Volumes Wird SafeGuard Enterprise mit aktivierter BitLocker To Go Unterstützung verwendet und existiert eine SafeGuard Enterprise Verschlüsselungsrichtlinie für ein mit BitLocker To Go verschlüsseltes Volume, so wird der Zugriff auf das Volume verweigert. Existiert keine SafeGuard Enterprise Verschlüsselungsrichtlinie, so kann der Benutzer auf das Volume zugreifen. Weitere Informationen zu BitLocker To Go finden Sie unter BitLocker To Go (Seite 150). 202 Administratorhilfe 5.6.5.1.2 Dateibasierende Festplattenverschlüsselung Die dateibasierende Verschlüsselung stellt sicher, dass alle Daten verschlüsselt sind (außer Boot Medium und Verzeichnisinformationen). Mit dateibasierender Verschlüsselung lassen sich auch optische Medien wie CD/DVD verschlüsseln. Außerdem können Daten mit Fremdrechnern, auf denen SafeGuard Enterprise nicht installiert ist, ausgetauscht werden (soweit die Richtlinien dies zulassen) (siehe SafeGuard Data Exchange (Seite 171)). Hinweis: Mit “Dateibasierender Verschlüsselung” verschlüsselte Daten können nicht komprimiert werden. Umgekehrt können auch komprimierte Dateien nicht dateibasierend verschlüsselt werden. Hinweis: Boot-Volumes werden niemals dateibasierend verschlüsselt. Sie sind automatisch von einer dateibasierenden Verschlüsselung ausgenommen, auch wenn eine entsprechende Regel definiert ist. Um dateibasierende Verschlüsselung auf Endpoints anzuwenden, erstellen Sie eine Richtlinie vom Typ Geräteschutz und wählen Sie bei Verschlüsselungsmodus für Medien die Einstellung Dateibasierend. 5.6.5.1.2.1 Standardverhalten beim Speichern von Dateien Da sich Anwendungen beim Speichern von Dateien unterschiedlich verhalten, bietet SafeGuard Enterprise zwei Verfahren für das Behandeln von verschlüsselten Dateien, die geändert wurden. Wurde eine Datei mit einem anderen Schlüssel als dem Standardschlüssel des Volumes verschlüsselt und Sie bearbeiten und speichern die Datei, so würde man erwarten, dass der Verschlüsselungsschlüssel beibehalten wird. Es wurde ja eine Datei bearbeitet, keine neue erstellt. Viele Anwendungen speichern jedoch Dateien, indem sie eine Kombination aus Speichern-, Löschen- und Umbenennen-Vorgängen ausführen (z. B. Microsoft Office). Ist dies der Fall, so verwendet SafeGuard Enterprise in der Standardeinstellung den Standardschlüssel für diesen Verschlüsselungsvorgang und ändert somit den für die Verschlüsselung verwendeten Schlüssel. Wenn Sie dieses Verhalten ändern und den für die Verschlüsselung verwendeten Schlüssel in jedem Fall beibehalten möchten, können Sie einen Registry Key auf dem Endpoint ändern. Um den zuvor verwendeten Schlüssel beim Speichern von geänderten Dateien beizubehalten: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UTIMACO\SGLCENC] "ActivateEncryptionTunneling"=dword:00000001 Um die Verwendung eines anderen Schlüssels (Standardschlüssel) beim Speichern von geänderten Dateien zuzulassen. Standardeinstellung nach der Installation: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UTIMACO\SGLCENC] "ActivateEncryptionTunneling"=dword:00000000 Hinweis: Änderungen an dieser Einstellung werden erst nach einem Neustart des Endpoint wirksam. 5.6.6 Benutzer-Computer Zuordnung (UMA) SafeGuard Enterprise verwaltet die Informationen, welcher Benutzer sich an welchem Computer anmelden darf, in einer Liste, für die der Begriff UMA (User Machine Assignment bzw. Benutzer-Computer Zuordnung) verwendet wird. 203 SafeGuard Enterprise Voraussetzung für die Aufnahme in die UMA ist, dass sich der Benutzer einmal an einem Computer mit installiertem SafeGuard Enterprise angemeldet hat und als „kompletter“ Benutzer, im Sinne von SafeGuard Enterprise, im SafeGuard Management Center vorhanden ist. Als „komplett“ wird ein Benutzer dann bezeichnet, wenn für ihn nach der ersten Anmeldung ein Zertifikat erzeugt und danach sein Schlüsselring aufgebaut wurde. Erst dann ist die Möglichkeit gegeben, dass diese Benutzerdaten auch auf andere Computer repliziert werden können. Nach der Replikation kann sich der Benutzer auch auf diesen Computern in der SafeGuard POA anmelden. In der Standardeinstellung wird der erste Benutzer, der sich nach der Installation von SafeGuard Enterprise an den Computer anmeldet, in der UMA als Besitzer dieses Computers eingetragen. Dieses Attribut erlaubt es dem Benutzer, nachdem er sich im Rahmen der SafeGuard Power-on Authentication authentisiert hat, weiteren Benutzern die Anmeldung an diesem Computer zu ermöglichen (siehe Registrieren weiterer SafeGuard Enterprise-Benutzer (Seite 183)). Dadurch werden auch sie in die UMA für diesen Computer aufgenommen. So wird automatisch eine Liste aufgebaut, die bestimmt, welcher Benutzer sich an welchem Computer anmelden darf. Diese Liste kann im SafeGuard Management Center bearbeitet werden. 5.6.6.1 Benutzer-Computer Zuordnung (UMA) im SafeGuard Management Center Im SafeGuard Management Center kann eine Zuordnung von Benutzern zu bestimmten Computern vorgenommen werden. Wird ein Benutzer im SafeGuard Management Center einem Computer zugeordnet (oder umgekehrt), wird diese Zuweisung in die UMA aufgenommen. Seine Benutzerdaten (Zertifikat, Schlüssel usw.) werden auf diesen Rechner repliziert, und er kann sich an diesen Computer anmelden. Wenn ein Benutzer aus der UMA entfernt wird, werden alle Benutzerdaten automatisch aus der SafeGuard POA gelöscht. Der Benutzer kann sich dann nicht mehr an der SafeGuard POA mit Benutzername und Kennwort anmelden. Hinweis: Um die Benutzer und Computer Zuordnung unter Benutzer & Computer einzusehen, benötigen Sie mindestens das Zugriffsrecht Schreibgeschützt für eines der beteiligten Objekte (Benutzer oder Computer). Um die Zuweisung zu definieren oder zu ändern, benötigen Sie das Zugriffsrecht Voller Zugriff für beide beteiligten Objekte. Die UMA-Anzeige zeigt die verfügbaren Benutzer/Maschinen gefiltert nach Ihren Zugriffsrechten. In der UMA-Anzeige, die die Computern zugewiesenen Benutzer und umgekehrt zeigt, werden Objekte, für die Sie nicht die erforderlichen Zugriffsrechte haben, zu Ihrer Information angezeigt. Sie können die Zuordnung jedoch nicht ändern. Im Rahmen dieser Zuordnung kann auch festgelegt bzw. geändert werden, wem es erlaubt ist, weiteren Benutzern die Anmeldung an diesen Computer zu ermöglichen. Unter Typ wird im SafeGuard Management Center angezeigt, wie der Benutzer in die SafeGuard Enterprise Datenbank aufgenommen wurde. Übernommen gibt an, dass der Benutzer auf einem Endpoint in die UMA für den Computer aufgenommen worden ist. Hinweis: Wird im SafeGuard Management Center keine Zuweisung vorgenommen und kein Benutzer als Besitzer festgelegt, wird der Benutzer, der sich als erster nach der Installation von SafeGuard Enterprise an den Computer anmeldet, als Besitzer eingetragen. Dieser Benutzer kann weiteren Benutzern die Anmeldung an diesem Computer ermöglichen (siehe Registrieren weiterer SafeGuard Enterprise-Benutzer (Seite 183). Werden im SafeGuard Management Center diesem Computer nachträglich Benutzer zugewiesen, so können sich diese dann auch in der SafeGuard Power-On Authentication anmelden. Voraussetzung dafür ist allerdings, dass es sich um komplette Benutzer (deren Zertifikat und Schlüssel bereits existieren) handelt. Die Erlaubnis durch den Besitzer des Computers ist dann nicht notwendig. 204 Administratorhilfe Über folgende Einstellungen kann festgelegt werden, wem es erlaubt ist, weitere Benutzer in die UMA aufzunehmen: ■ Kann Besitzer werden Die Auswahl dieser Einstellung ist Voraussetzung dafür, dass ein Benutzer als Besitzer eines Computers eingetragen werden kann. ■ Benutzer ist Besitzer: Ist diese Einstellung ausgewählt, wird dieser Benutzer als Besitzer in die UMA eingetragen. Es kann jeweils nur ein Benutzer pro Computer als Besitzer in der UMA eingetragen werden. Wer Benutzer in die UMA aufnehmen darf, wird zusätzlich über die Richtlinieneinstellung Registrieren von neuen SGN-Benutzern erlauben in einer Richtlinie vom Typ Spezifische Computereinstellungen gesteuert. Die Einstellung Registrierung von SGN Windows-Benutzern aktivieren in Richtlinien vom Typ Spezifische Computereinstellungen legt fest, ob SGN Windows-Benutzer auf dem Endpoint registriert und zur UMA hinzugefügt werden können. ■ Registrieren von neuen SGN-Benutzern erlauben Niemand Auch der als Besitzer eingetragene Benutzer kann keinen weiteren Benutzern die Aufnahme in die UMA ermöglichen. Die Funktionalität, dass ein Besitzer weitere Aufnahmen ermöglichen kann, wird damit deaktiviert. Besitzer (Standardeinstellung) Hinweis: Ein Sicherheitsbeauftragter kann im SafeGuard Management Center immer Benutzer hinzufügen. Jeder Hebt die Einschränkung auf, dass nur der Besitzer Benutzer hinzufügen darf. Hinweis: Bei Endpoints, auf denen das Device Encryption-Modul nicht installiert ist, muss die Einstellung Registrieren von neuen SGN-Benutzern erlauben auf Jeder gesetzt sein, wenn es auf dem Endpoint möglich sein soll, der UMA mehrere Benutzer hinzuzufügen, die Zugriff auf ihre Schlüsselringe haben sollen. Sonst können Benutzer nur im Management Center hinzugefügt werden. Diese Option ist wird nur auf zentral verwalteten Endpoints ausgewertet. Siehe auch Neue SafeGuard Enterprise Data Exchange-Benutzer erhalten nach dem Anmelden bei SafeGuard Enterprise Data Exchange Only Clients kein Zertifikat. ■ Registrierung von SGN Windows-Benutzern aktivieren Wenn Sie Ja auswählen, können SGN Windows-Benutzer auf dem Endpoint registriert werden. Ein SGN Windows-Benutzer wird nicht zur SafeGuard POA hinzugefügt, verfügt jedoch über einen Schlüsselring, mit dem er auf verschlüsselte Dateien zugreifen kann wie ein SGN-Benutzer. Wenn Sie diese Einstellung wählen, werden alle Benutzer, die andernfalls SGN-Gast-Benutzer geworden wären, zu SGN Windows-Benutzern. Die Benutzer werden zur UMA hinzugefügt, sobald sie sich an Windows angemeldet haben. SGN Windows-Benutzer lassen sich auf zentral verwalteten Endpoints automatisch und auf Standalone-Endpoints manuell aus der UMA entfernen. Weitere Informationen finden Sie unter Spezifische Computereinstellungen - Grundeinstellungen (Seite 382). Beispiel: Das folgende Beispiel zeigt, wie Sie im SafeGuard Management Center festlegen können, dass sich ausschließlich drei bestimmte Benutzer (Benutzer_a, Benutzer_b, Benutzer_c) auf dem Computer Computer_ABC anmelden können. 205 SafeGuard Enterprise Ausgangssituation: Sie legen im SafeGuard Management Center das gewünschte Verhalten fest. SafeGuard Enterprise wird in der Nacht auf allen Endpoints installiert. Am Morgen sollen sich die Benutzer an ihrem Computer anmelden können. 1. Weisen Sie im SafeGuard Management Center Benutzer_a, Benutzer_b, Benutzer_c dem Computer Computer_ABC zu. (Benutzer & Computer -> Computer_ABC auswählen -> Benutzer via Drag&Drop zuweisen). Damit haben Sie eine UMA festgelegt. 2. Setzen Sie in einer Richtlinie vom Typ Spezifische Computereinstellungen die Einstellung Registrieren von neuen SGN-Benutzern erlauben auf Niemand. Da es Benutzer_a, Benutzer_b, Benutzer_c nicht erlaubt werden soll, Benutzer hinzuzufügen, ist es nicht notwendig, einen Benutzer als Besitzer festzulegen. 3. Weisen Sie die Richtlinie dem Computer zu bzw. an einer Stelle in der Verzeichnisstruktur zu, wo sie für den Computer wirksam wird. Bei der Anmeldung des ersten Benutzers an Computer_ABC wird ein Autologon für die SafeGuard POA ausgeführt. Die Computerrichtlinien werden an den Endpoint geschickt. Da Benutzer_a in der UMA eingetragen ist, wird er im Zuge der Windows-Anmeldung komplettiert. Seine Benutzerrichtlinien, Zertifikate und Schlüssel werden an den Endpoint geschickt. Die SafeGuard POA wird aktiviert. Hinweis: Der Benutzer kann über die Statusausgabe im SafeGuard Tray Icon überprüfen, wann dieser Vorgang abgeschlossen ist. Benutzer_a existiert nun als kompletter Benutzer in SafeGuard Enterprise und kann sich bei der nächsten Anmeldung in der SafeGuard POA authentisieren und wird automatisch angemeldet. Benutzer_a fährt nun den Computer herunter und Benutzer_b will sich anmelden. Da die SafeGuard POA aktiviert ist, findet kein Autologon mehr statt. Für die Benutzer_b und Benutzer_c gibt es nun zwei Möglichkeiten, Zugang zu diesem Computer zu erlangen. ■ Benutzer_a deaktiviert im SafeGuard POA-Anmeldedialog die Option Durchgehende Anmeldung an Windows und meldet sich an. ■ Benutzer_b authentisiert sich über Challenge/Response in der SafeGuard POA. In beiden Fällen wird anschließend der Windows-Anmeldedialog angezeigt. Benutzer_b kann dort seine Windows-Anmeldeinformationen eingeben. Seine Benutzerrichtlinien, Zertifikate und Schlüssel werden an den Endpoint geschickt. Er wird in der SafeGuard POA aktiviert. Benutzer_b existiert nun als kompletter Benutzer in SafeGuard Enterprise. Er kann sich bei der nächsten Anmeldung in der SafeGuard POA authentisieren und wird automatisch angemeldet. Es wurde in der Computerrichtlinie zwar festgelegt, dass auf diesem Computer niemand Benutzer importieren darf, da sie sich aber bereits in der UMA befinden, können Benutzer_b und Benutzer_c durch die Windows-Anmeldung dennoch komplettiert und in der SafeGuard POA aktiviert werden. Alle anderen Benutzer werden nicht in die UMA aufgenommen und können sich daher niemals an der SafeGuard Power-on Authentication authentisieren. Alle Benutzer, die sich an Windows anmelden und nicht Benutzer_a, Benutzer_b oder Benutzer_c sind, werden in diesem Szenario nicht in die UMA aufgenommen und daher auch nie in der SafeGuard POA aktiv. Sie können im SafeGuard Management Center später weitere Benutzer hinzufügen. Allerdings steht ihr Schlüsselring nach der ersten Anmeldung noch nicht zur Verfügung, da eine Synchronisierung erst durch diese Anmeldung angestoßen wird. Nach einer erneuten Anmeldung steht auch der Schlüsselring zur Verfügung und die Benutzer können entsprechend 206 Administratorhilfe den geltenden Richtlinien auf den Computer zugreifen. Haben sie sich zuvor noch an keinem Endpoint erfolgreich angemeldet, können sie wie zuvor beschrieben aufgenommen werden. Hinweis: Wenn das letzte gültige Benutzerzertifikat von einem SO oder MSO aus der UMA entfernt wurde, kann jeder Benutzer die SafeGuard POA des entsprechenden Computers absolvieren. Dasselbe gilt, wenn sich die Domain des Endpoints ändert. Dann sind nur Windows-Anmeldeinformationen zum Anmelden am Computer, zum Reaktivieren der SafeGuard POA und das Hinzufügen als neuer Besitzer nötig. 5.6.6.1.1 Benutzer sperren Durch Auswählen des Kontrollkästchens in der Spalte Benutzer sperren wird dem Benutzer die Anmeldung an diesem Computer verboten. Wenn der betreffende Benutzer angemeldet ist, wenn eine Richtlinie, die diese Einstellung enthält, wird der Benutzer abgemeldet. 5.6.6.1.2 Gruppen Im SafeGuard Management Center können auch Computergruppen einem Benutzer (Konto) bzw. Benutzergruppen einem Computer zugewiesen werden. So erstellen Sie eine Gruppe: Klicken Sie unter Benutzer & Computer mit der rechten Maustaste auf den relevanten Objektknoten, bei dem Sie die Gruppe erstellen möchten. Wählen Sie dann Neu und Neue Gruppe erzeugen. Geben Sie in Neue Gruppe erzeugen unter Vollst. Name den Namen der Gruppe und nach Wunsch eine Beschreibung ein. Klicken Sie auf OK. Beispiel: Service-Konto Auf diese Weise ist es z. B. einfach möglich, über ein Service-Konto eine große Anzahl Computer zu warten. Dazu müssen sich die Computer in einer Gruppe befinden. Diese Gruppe wird dann einem Service-Konto (Benutzer) zugewiesen. Der Besitzer des Service-Kontos kann sich dann an alle Computer dieser Gruppe anmelden. Ebenso kann durch das Zuweisen einer Gruppe, die verschiedene Benutzer enthält, diesen Benutzern in einem einfachen Schritt die Anmeldung an einem bestimmten Computer ermöglicht werden. 5.6.6.2 Zuweisen von Benutzer- und Computergruppen Um die Benutzer und Computer Zuordnung unter Benutzer & Computer einzusehen, benötigen Sie mindestens das Zugriffsrecht Schreibgeschützt für eines der beteiligten Objekte (Benutzer oder Computer). Um die Zuweisung zu definieren oder zu ändern, benötigen Sie das Zugriffsrecht Voller Zugriff für beide beteiligten Objekte. Die UMA-Anzeige zeigt die verfügbaren Benutzer/Maschinen gefiltert nach Ihren Zugriffsrechten. Hinweis: Das Zuweisen einzelner Benutzer an einen Computer oder umgekehrt, funktioniert analog zur Beschreibung für Gruppen. 1. Klicken Sie auf Benutzer & Computer. 2. Zum Zuweisen einer Gruppe von Computern zu einem Benutzer markieren Sie den Benutzer. 3. Klicken Sie im Aktionsbereich auf die Registerkarte Computer. Unter Verfügbare Computer werden alle Computer und Computergruppen angezeigt. 4. Ziehen Sie die gewünschten Gruppen aus der Liste der Verfügbaren Gruppen in den Aktionsbereich. 5. Ein Dialog, in dem Sie gefragt werden, ob der Benutzer Besitzer aller Computer werden können soll, wird angezeigt. 207 SafeGuard Enterprise Ist für einen Computer im SafeGuard Management Center kein Besitzer festgelegt, wird der erste Benutzer, der sich an diesen Computer anmeldet, automatisch als Besitzer eingetragen. Damit hat er das Recht, anderen Benutzern Zugriff auf diesen Computer zu erlauben. Voraussetzung dafür ist, dass er das Recht Kann Besitzer werden besitzt. ■ Beantworten Sie diese Frage mit Ja, kann der Benutzer, wenn er sich als erster an diesen Computer anmeldet, Besitzer werden und damit weiteren Benutzern Zugriff gewähren. ■ Beantworten Sie diese Frage mit Nein, ist der Benutzer nicht Besitzer dieses Computers. Für ein Service-Konto ist es in der Regel nicht notwendig, dass der Inhaber dieses Kontos Besitzer der Computer werden kann. Diese Einstellung kann nach der initialen Zuweisung geändert werden. Nach der Beantwortung der Frage werden alle Computer aus der zugewiesenen Gruppe im Aktionsbereich angezeigt. Der Benutzer darf sich jetzt an allen Computern anmelden, die so zugewiesen wurden. Die Zuweisung einer Benutzergruppe an einen einzelnen Computer funktioniert analog zu dieser Beschreibung. 5.6.7 Sicheres Wake on LAN (WOL) Im SafeGuard Management Center können Sie Richtlinieneinstellungen für Sicheres Wake on LAN (WOL) definieren, um Endpoints für Software-Rollout-Vorgänge vorzubereiten. Nach dem Wirksamwerden einer solchen Richtlinie auf Endpoints werden die notwendigen Parameter (z. B. SafeGuard POA-Deaktivierung und ein Zeitabstand für Wake on LAN) direkt an die Endpoints übertragen, wo sie analysiert werden. Das Rollout-Team kann durch die zur Verfügung gestellten Kommandos ein Scheduling-Skript so gestalten, dass die größtmögliche Sicherheit des Endpoint trotz deaktivierter SafeGuard POA gewährleistet bleibt. Hinweis: Wir weisen an dieser Stelle ausdrücklich darauf hin, dass auch das zeitlich begrenzte "Ausschalten" der SafeGuard POA für eine bestimmte Anzahl von Boot-Vorgängen ein Absenken des Sicherheitsniveaus bedeutet. Die Einstellungen für Sicheres Wake On LAN (WOL) definieren Sie in einer Richtlinie des Typs Spezifische Computereinstellungen. 5.6.7.1 Sicheres Wake on LAN (WOL): Beispiel Das SW-Rollout-Team informiert den SafeGuard Enterprise Sicherheitsbeauftragten (SO) über einen geplanten SW-Rollout für den 25. September 2014 zwischen 03.00 und 06.00 Uhr. Es sind 2 Neustarts notwendig. Der lokale Software Rollout Agent muss sich an Windows anmelden können. Im SafeGuard Management Center, erstellt der Sicherheitsbeauftragter eine Richtlinie vom Typ Spezifische Computereinstellungen mit den folgenden Einstellung und ordnet Sie den relevanten Endpoints zu. 208 Richtlinieneinstellung Wert Anzahl der automatischen Anmeldungen (0 = kein WOL) 5 Administratorhilfe Richtlinieneinstellung Wert Anmeldung an Windows während WOL erlaubt Ja Beginn des Zeitfensters für externen WOL Start 24.Sept. 2014, 12:00 Ende des Zeitfensters für externen WOL Start 25.Sept. 2014, 06:00 Weitere Informationen zu den einzelnen Einstellungen finden Sie unter Spezifische Computereinstellungen - Grundeinstellungen (Seite 382). Da die Anzahl an automatischen Anmeldungen auf 5 eingestellt ist, startet der Endpoint 5 mal ohne Authentisierung durch die SafeGuard POA. Hinweis: Wir empfehlen, für Wake on LAN immer drei Neustarts mehr als notwendig zu erlauben, um unvorhergesehene Probleme zu umgehen. Das Zeitintervall setzt der SO auf 12:00 Uhr mittags auf den Tag vor dem SW-Roll-Out. Somit kann das Scheduling-Skript SGMCMDIntn.exe rechtzeitig starten und WOL ist spätestens am 25.09 um 03:00 Uhr gestartet. Das SW-Roll-Out-Team erstellt 2 Kommandos für das Scheduling-Skript: ■ Starte am 24. Sept. 2014, 12.15 Uhr SGMCMDIntn.exe -WOLstart ■ Starte am 26. Sept. 2014, 09.00 Uhr SGMCMDIntn.exe -WOLstop Das SW-Rollout-Skript wird auf den 25.09.2014, 03.00 Uhr datiert. Am Ende des Skripts kann WOL explizit wieder deaktiviert werden mit SGMCMDIntn.exe -WOLstop. Alle Endpoints, die sich bis zum 24.Sept. 2014 anmelden und mit den Roll-out Servern in Verbindung treten, erhalten die neue Richtlinie und die Scheduling-Kommandos. Jeder Endpoint, auf dem der Scheduler zwischen dem 24. Sept. 2014,12:00 Uhr und dem 26. Sept. 2014, 09:00 Uhr das Kommando SGMCMDIntn -WOLstart auslöst, fällt in das obige WOL-Zeitintervall und aktiviert demzufolge Wake on LAN. 5.6.8 Recovery-Optionen Für Recovery-Vorgänge bietet SafeGuard Enterprise verschiedene Optionen, die auf unterschiedliche Szenarien zugeschnitten sind: ■ Recovery für die Anmeldung mit Local Self Help Local Self Help ermöglicht es Benutzern, die Ihr Kennwort vergessen haben, sich selbständig und ohne Unterstützung des Helpdesk an ihrem Computer anzumelden. So erhalten Benutzer auch in Situationen, in denen sie keine Telefon- oder Netzwerkverbindung und somit auch kein Challenge/Response-Verfahren nutzen können (z. B. an Bord eines Flugzeugs), wieder Zugang zu ihrem Computer. Um sich anzumelden, müssen sie lediglich eine bestimmte Anzahl an vordefinierten Fragen in der SafeGuard Power-on Authentication beantworten. Local Self Help reduziert die Anzahl an Helpdesk-Anforderungen für Recovery-Vorgänge, die die Anmeldung betreffen. Helpdesk-Mitarbeitern werden somit Routine-Aufgaben abgenommen und sie können sich auf komplexere Support-Anforderungen konzentrieren. Weitere Informationen finden Sie unter Recovery mit Local Self Help (Seite 210). 209 SafeGuard Enterprise ■ Recovery mit Challenge/Response Das Challenge/Response-Verfahren ist ein sicheres und effizientes Recovery-System, das Benutzer unterstützt, die sich nicht mehr an ihrem Computer anmelden oder nicht mehr auf verschlüsselte Daten zugreifen können. Während eines Challenge/Response-Verfahrens übermittelt der Benutzer einen auf dem Endpoint erzeugten Challenge-Code an den Helpdesk-Beauftragten. Dieser erzeugt auf der Grundlage des Challenge-Codes einen Response-Code, der den Benutzer zum Ausführen einer bestimmten Aktion auf dem Computer berechtigt. Mit Recovery über Challenge/Response bietet SafeGuard Enterprise verschiedene Workflows für typische Recovery-Szenarien, für die die Unterstützung durch einen Helpdesk erforderlich ist. Weitere Informationen finden Sie unter Recovery mit Challenge/Response (Seite 214). ■ System-Recovery für die Sophos SafeGuard Festplattenverschlüsselung SafeGuard Enterprise bietet verschiedene Methoden und Tools für Recovery-Vorgänge in Bezug auf wichtige System- und SafeGuard Enterprise Komponenten, z. B.: Beschädigter MBR SafeGuard Enterprise Kernel-Probleme Probleme in Bezug auf Volume-Zugriff Windows Bootprobleme Weitere Informationen finden Sie unter System-Recovery für die SafeGuard Festplattenvollverschlüsselung (Seite 229). 5.6.8.1 Recovery mit Local Self Help Hinweis: Local Self Help ist nur für Windows 7 Endpoints mit SafeGuard Power-on Authentication (POA) verfügbar. Über Local Self Help können sich Benutzer, die Ihr Kennwort vergessen haben, ohne Unterstützung des Helpdesks wieder an ihrem Computer anmelden. Local Self Help reduziert die Anzahl an Helpdesk-Anforderungen für Recovery-Vorgänge, die die Anmeldung betreffen. Helpdesk-Mitarbeitern werden somit Routine-Aufgaben abgenommen und sie können sich auf komplexere Support-Anforderungen konzentrieren. Mit Local Self Help erhalten Benutzer auch in Situationen, in denen sie keine Telefon- oder Netzwerkverbindung und somit auch kein Challenge/Response-Verfahren nutzen können (z. B. an Bord eines Flugzeugs), wieder Zugang zu ihrem Computer. Um sich anzumelden, muss der Benutzer lediglich eine bestimmte Anzahl an vordefinierten Fragen in der SafeGuard Power-on Authentication beantworten. Die zu beantwortenden Fragen können Sie als zuständiger Sicherheitsbeauftragter zentral vordefinieren und per Richtlinie an die Endpoints verteilen. Als Vorlage bieten wir Ihnen ein vordefiniertes Fragenthema an. Sie können dieses Fragenthema unverändert verwenden oder es bearbeiten. Sie können die Benutzer auch per Richtlinie berechtigen, selbst Fragen zu definieren. Wenn Local Self Help per Richtlinie aktiviert ist, steht den Endbenutzern ein Local Self Help Assistent zur Verfügung, der sie bei der ersten Beantwortung und bei der Bearbeitung von Fragen unterstützt. 210 Administratorhilfe Detaillierte Informationen zu Local Self Help auf dem Endpoint finden Sie in der SafeGuard Enterprise Benutzerhilfe im Kapitel Recovery mit Local Self Help. 5.6.8.1.1 Definieren der Parameter für Local Self Help in einer Richtlinie Die Einstellungen für Local Self Help definieren Sie in einer Richtlinie vom Typ Allgemeine Einstellungen unter Recovery für die Anmeldung - Local Self Help. Hier aktivieren Sie die Funktion zur Benutzung auf den Endpoints und legen weitere Berechtigungen und Parameter fest. Local Self Help aktivieren Um die Funktion Local Self Help für die Benutzung auf Endpoints zu aktivieren, wählen Sie im Feld Local Self Help aktivieren die Einstellung Ja. Nach dem Wirksamwerden der Richtlinie auf den Endpoints sind die Benutzer aufgrund dieser Einstellung berechtigt, Local Self Help für Recovery-Vorgänge, die die Anmeldung betreffen, zu benutzen. Hierzu müssen die Benutzer die Funktion auf Ihrem Computer durch Beantwortung einer festgelegten Anzahl der erhaltenen Fragen oder durch Erstellung und Beantwortung eigener Fragen (je nach Berechtigung) aktivieren. Nach dem Erhalt der Richtlinie und dem Neustart des Computers steht den Benutzern dafür der Local Self Help Assistent über das System Tray Icon in der Windows-Taskleiste zur Verfügung. Konfigurieren der Funktion Local Self Help Sie können folgende Optionen für Local Self Help in einer Richtlinie des Typs Allgemeine Einstellungen definieren. ■ Mindestlänge der Antwort Legen Sie die Mindestlänge der Antworten in Zeichen fest. Die Standardeinstellung ist 1. ■ Willkommenstext unter Windows Sie können einen individuellen Informationstext angeben, der beim Starten des Local Self Help Assistenten auf dem Endpoint im ersten Dialog angezeigt werden soll. Dieser Text muss zuvor erstellt und registriert werden. ■ Benutzer dürfen eigene Fragen festlegen Für die Hinterlegung der Fragen und Antworten für Local Self Help gibt es folgende Möglichkeiten: ■ ■ ■ Sie definieren als Sicherheitsbeauftragter die Fragen und verteilen Sie an die Benutzer. Die Benutzer sind nicht dazu berechtigt, eigene Fragen zu definieren. Sie definieren als Sicherheitsbeauftragter die Fragen und verteilen Sie an die Benutzer. Die Benutzer sind dazu berechtigt, zusätzlich eigene Fragen zu definieren. Bei der Beantwortung der für die Aktivierung von Local Self Help notwendigen Mindestanzahl an Fragen können die Benutzer zwischen vorgegebenen und eigenen Fragen wählen oder eine Kombination aus beiden verwenden. Sie berechtigen die Benutzer dazu, eigene Fragen zu definieren und geben keine vordefinierten Fragen vor. Die Benutzer aktivieren Local Self Help durch Definition und Beantwortung eigener Fragen. 211 SafeGuard Enterprise Um die Benutzer dazu zu berechtigen, eigene Fragen zu definieren, wählen Sie im Feld Benutzer dürfen eigene Fragen festlegen die Einstellung Ja. 5.6.8.1.2 Definieren von Fragen Voraussetzung dafür, dass Local Self Help auf dem Endpoint verwendet werden kann, ist die Hinterlegung einer vordefinierten Anzahl an Fragen. Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie festlegen, wie viele Fragen Benutzer beantworten müssen, um Local Self Help auf den Endpoints zu aktivieren. Sie können auch festlegen, wie viele Fragen in der SafeGuard POA per Zufallsprinzip ausgewählt werden. Um sich über Local Self Help an der SafeGuard Power-on Authentication anzumelden, muss der Benutzer alle in der POA angezeigten Fragen korrekt beantworten. Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie Local Self Help Fragen im SafeGuard Management Center registrieren und bearbeiten. Hinweis: Nicht alle Zeichen, die in Windows eingegeben werden können, können von der SafeGuard POA verarbeitet werden. Hebräische oder arabische Zeichen können z. B. nicht verwendet werden. 5.6.8.1.3 Festlegen der Anzahl an zu beantwortenden Fragen Sie können die Anzahl an Fragen, die während der Konfiguration von Local Self Help und in der SafeGuard POA beantwortet werden müssen, festlegen. 1. Markieren Sie im Richtlinien Navigationsbereich den Eintrag Local Self Help Fragen. 2. Im Aktionsbereich können Sie unter Local Self Help Parameter zwei verschiedene Werte für die Anzahl an Local Self Help Fragen festlegen: a) Geben Sie im Feld Mindestanzahl der verfügbaren Fragen/Antworten an, wie viele Fragen die Benutzer im Local Self Help Assistenten beantworten müssen, um Local Self Help auf den Endpoints zu aktivieren. Die hier angegebene Anzahl an Fragen muss auf dem Endpoint mit den entsprechenden Antworten verfügbar sein, damit Local Self Help aktiv ist. b) Geben Sie im Feld Anzahl der in der POA gestellten Fragen an, wie viele Fragen die Benutzer in der SafeGuard POA beantworten müssen, wenn Sie sich mit Local Self Help anmelden. Die in der SafeGuard POA angezeigten Fragen werden per Zufallsprinzip aus den Fragen, die der Benutzer im Local Self Help Assistenten beantwortet hat, ausgewählt. Der im Feld Mindestanzahl der verfügbaren Fragen/Antworten angegebene Wert muss höher sein als der Wert im Feld Anzahl der in der POA gestellten Fragen. Ist dies nicht der Fall, so wird beim Speichern Ihrer Änderungen eine Fehlermeldung angezeigt. Die Felder haben folgende Standardwerte: ■ Mindestanzahl der verfügbaren Fragen/Antworten: 10 ■ Anzahl der in der POA gestellten Fragen: 5 3. Speichern Sie Ihre Änderungen in der Datenbank. Die festgelegten Werte für die Fragenanzahl gelten für die Local Self Help Konfiguration, die an die Endpoints übertragen wird. 212 Administratorhilfe 5.6.8.1.4 Verwenden der Vorlage Für Local Self Help ist ein vordefiniertes Fragenthema verfügbar. Sie finden dieses Fragenthema im SafeGuard Management Center unter Local Self Help Fragen. Sie können das vordefinierte Fragenthema unverändert verwenden, bearbeiten oder löschen. 5.6.8.1.5 Import von Fragenthemen Mit dem Importvorgang können Sie Ihre eigenen als .XML-Dateien angelegten Fragenlisten importieren. 1. Erstellen Sie ein neues Fragenthema (siehe Erstellen eines neuen Fragenthemas und Hinzufügen von Fragen (Seite 213)). 2. Markieren Sie im Richtlinien Navigationsbereich das neue Fragenthema unter Local Self Help Fragen. 3. Klicken Sie im Arbeitsbereich mit der rechten Maustaste. Das Kontextmenü für das Fragenthema wird geöffnet. Wählen Sie Importieren. 4. Wählen Sie das Verzeichnis, in dem das Fragenthema abgelegt ist, sowie das gewünschte Fragenthema und klicken Sie auf Öffnen. Die importierten Fragen werden im Arbeitsbereich angezeigt. Sie können das Fragenthema nun unverändert speichern oder bearbeiten. 5.6.8.1.6 Erstellen eines neuen Fragenthemas und Hinzufügen von Fragen Sie können neue Fragenthemen zu unterschiedlichen Themenbereichen erstellen. Somit können Sie Benutzern mehrere Fragenthemen zur Verfügung stellen, aus denen sie das für sie am besten geeignete Thema auswählen können. 1. Markieren Sie im Richtlinien Navigationsbereich den Eintrag Local Self Help Fragen. 2. Klicken Sie mit der rechten Maustaste auf Local Self Help Fragen und wählen Sie Neu > Fragenthema. 3. Geben Sie einen Namen für das Fragenthema ein und klicken Sie auf OK. 4. Markieren Sie im Richtlinien Navigationsbereich das neue Fragenthema unter Local Self Help Fragen. 5. Klicken Sie im Arbeitsbereich mit der rechten Maustaste. Das Kontextmenü für das Fragenthema wird geöffnet. Wählen Sie Hinzufügen im Kontextmenü. Eine neue Fragenzeile wird hinzugefügt. 6. Geben Sie Ihre Frage ein und drücken Sie Enter. Um weitere Fragen hinzuzufügen, wiederholen Sie diesen Vorgang. 7. Speichern Sie Ihre Änderungen, indem Sie auf das Speichern Symbol in der Symbolleiste klicken. Ihr Fragenthema ist registriert. Es wird der Richtlinie vom Typ Allgemeine Einstellungen, über die Local Self Help auf den Endpoints aktiviert wird, automatisch mitgegeben. 5.6.8.1.7 Bearbeiten von Fragenthemen 1. Markieren Sie das gewünschte Fragenthema unter Local Self Help Fragen im Richtlinien Navigationsbereich. 213 SafeGuard Enterprise 2. Sie können nun Fragen hinzufügen, ändern oder löschen. ■ Um Fragen hinzuzufügen, klicken Sie im Arbeitsbereich mit der rechten Maustaste, um das Kontextmenü anzuzeigen. Klicken Sie im Kontextmenü auf Hinzufügen. Der Fragenliste wird eine neue Zeile hinzugefügt. Geben Sie Ihre Frage auf der Zeile ein. ■ Um Fragen zu ändern, klicken Sie auf den Fragentext im Arbeitsbereich. Bei der gewählten Frage wird ein Stiftsymbol angezeigt. Geben Sie auf der Fragenzeile Ihre Änderungen ein. ■ Um Fragen zu löschen, markieren Sie die gewünschte Frage durch Klicken auf das graue Kästchen zu Beginn der Fragenzeile im Arbeitsbereich und wählen Sie im Kontextmenü des Frageneintrags Entfernen. 3. Speichern Sie Ihre Änderungen, indem Sie auf das Speichern Symbol in der Symbolleiste klicken. Ihr geändertes Fragenthema ist registriert. Es wird der Richtlinie vom Typ Allgemeine Einstellungen, über die Local Self Help auf den Endpoints aktiviert wird, mitgegeben. 5.6.8.1.8 Löschen von Fragenthemen Um ein Fragenthema zu löschen, klicken Sie mit der rechten Maustaste auf das Fragenthema unter Local Self Help Fragen im Richtlinien Navigationsbereich und wählen Sie Löschen. Hinweis: Wenn Sie ein Fragenthema löschen, nachdem die Benutzer bereits Fragen aus diesem Thema zur Aktivierung von Local Self Help auf ihren Computern beantwortet haben, werden die Antworten der Benutzer ungültig, da die Fragen nicht mehr vorhanden sind. 5.6.8.1.9 Registrieren von Willkommenstexten Sie können einen Willkommenstext registrieren, der im ersten Dialog des Local Self Help Assistenten angezeigt werden soll. Die Textdateien mit den gewünschten Informationen müssen erstellt werden, bevor sie im SafeGuard Management Center registriert werden können. Die maximale Dateigröße für Informationstexte beträgt 50 KB. SafeGuard Enterprise verwendet nur Unicode UTF-16 kodierte Texte. Wenn Sie die Textdateien nicht in diesem Format erstellen, werden sie bei der Registrierung automatisch in dieses Format konvertiert. 1. Klicken Sie im Richtlinien-Navigationsbereich mit der rechten Maustaste auf Texte und wählen Sie Neu > Text. 2. Geben Sie unter Textelementname einen Namen für den anzeigenden Text ein. 3. Klicken Sie auf [...] um die zuvor erstellte Textdatei auszuwählen. Wenn eine Konvertierung notwendig ist, wird eine entsprechende Meldung angezeigt. 4. Klicken Sie auf OK. Das neue Textelement wird als Unterknoten des Eintrags Texte im Richtlinien-Navigationsbereich angezeigt. Ist ein Textelement markiert, wird sein Inhalt im Aktionsbereich auf der rechten Seite angezeigt. Das Textelement kann jetzt beim Erstellen von Richtlinien ausgewählt werden. Um weitere Textelemente zu registrieren, gehen Sie wie beschrieben vor. Alle registrierten Textelemente werden als Unterknoten angezeigt. 5.6.8.2 Recovery mit Challenge/Response Zur Optimierung von Workflows im Unternehmen und zur Reduzierung von Helpdesk-Kosten bietet Sophos SafeGuard eine Challenge/Response Recovery-Lösung. Mit einem benutzerfreundlichen Challenge/Response-Verfahren unterstützt SafeGuard Enterprise 214 Administratorhilfe Benutzer, die sich an ihrem Computer nicht mehr anmelden oder nicht auf verschlüsselte Daten zugreifen können. Diese Funktionalität ist im SafeGuard Enterprise Management Center in Form eines Recovery-Assistenten integriert. Nutzen und Vorteile des Challenge/Response-Verfahrens Das Challenge/Response-Verfahren ist ein sicheres und effizientes Recovery-System. ■ ■ ■ ■ Während des gesamten Vorgangs werden keine vertraulichen Daten in unverschlüsselter Form ausgetauscht. Informationen, die unberechtigte Dritte durch Mitverfolgen dieses Vorgangs erhalten könnten, lassen sich weder zu einem späteren Zeitpunkt noch auf anderen Geräten verwenden. Für den Computer, auf den zugegriffen werden soll, muss während des Vorgangs keine Online-Netzwerkverbindung bestehen. Der Response Code-Assistent für den Helpdesk läuft auch auf einem Standalone-Endpoint ohne Verbindung zum SafeGuard Enterprise Server. Eine komplexe Infrastruktur ist nicht notwendig. Der Benutzer kann schnell wieder mit dem Computer arbeiten. Es gehen keine verschlüsselten Daten verloren, nur weil der Benutzer das Kennwort vergessen hat. Typische Notfälle, in denen Hilfe beim Helpdesk angefordert wird ■ Ein Benutzer hat sein Kennwort für die Anmeldung vergessen. Der Computer ist gesperrt. ■ Ein Benutzer hat seinen Token/seine Smartcard vergessen oder verloren. ■ Der lokale Cache der SafeGuard Power-on Authentication ist teilweise beschädigt. ■ ■ Ein Benutzer ist krank oder im Urlaub und ein Kollege muss auf die Daten auf dem Computer zugreifen. Ein Benutzer möchte auf ein Volume zugreifen, das mit einem Schlüssel verschlüsselt ist, der auf dem Computer nicht verfügbar ist. SafeGuard Enterprise bietet für diese typischen Notfälle unterschiedliche Recovery-Workflows, die dem Benutzer wieder den Zugang zu seinem Computer ermöglichen. 5.6.8.2.1 Challenge/Response Workflow Das Challenge/Response-Verfahren basiert auf zwei Komponenten: Endpoint, auf dem der Challenge Code erzeugt wird. SafeGuard Management Center, in dem Sie als Helpdesk-Beauftragter mit ausreichenden Rechten einen Response-Code erstellen, der den Benutzer zur Ausführung der angeforderten Aktion auf dem Computer berechtigt. 215 SafeGuard Enterprise Hinweis: Für ein Challenge/Response-Verfahren benötigen Sie das Zugriffsrecht Voller Zugriff für die beteiligten Computer/Benutzer. 1. Der Benutzer fordert auf dem Endpoint einen Challenge-Code an. Je nach Recovery-Typ wird der Challenge-Code in der SafeGuard Power-on Authentication oder über das KeyRecovery Tool angefordert. Es wird ein Challenge-Code aus Ziffern und Buchstaben erzeugt und angezeigt. 2. Der Benutzer wendet sich an den Helpdesk und übermittelt die notwendige Identifizierungsinformationen sowie den Challenge-Code. 3. Der Helpdesk-Beauftragte startet den Recovery-Assistenten im SafeGuard Management Center. 4. Der Helpdesk-Beauftragte wählt den entsprechenden Recovery-Typ, bestätigt die Identifikationsinformationen sowie den Challenge-Code und wählt die gewünschte Recovery-Aktion aus. Ein Response-Code in Form einer ASCII-Zeichenfolge wird generiert und angezeigt. 5. Der Helpdesk übermittelt den Response-Code per Telefon oder Text-Mitteilung an den Benutzer. 6. Der Benutzer gibt den Response-Code ein. Je nach Recovery-Typ erfolgt dies in der SafeGuard POA oder über das KeyRecovery Tool. Der Benutzer kann die autorisierte Aktion, z. B. Rücksetzen des Kennworts, ausführen und wieder mit dem Computer arbeiten. 5.6.8.2.2 Wann muss der Benutzer sein Kennwort ändern? Im Rahmen eines SafeGuard Enterprise Recovery-Vorgangs muss der Benutzer u. U. sein Windows-Kennwort ändern. Die folgende Tabelle zeigt, wann es erforderlich ist, das Kennwort zu ändern. Die ersten vier Spalten zeigen spezifische Bedingungen, die während des Challenge/Response-Verfahrens auftreten können. Die letzte Spalte gibt basierend auf den Bedingungen aus den ersten vier Spalten an, ob der Benutzer sein Kennwort ändern muss. 216 Bedingung: C/R mit Bedingung: C/R mit Bedingung: Benutzeranmeldung Benutzeranmeldung Domänen-Controller und Anzeige des verfügbar Kennworts Bedingung: Option zur Kennwortanzeige vom Benutzer abgelehnt Ergebnis: Benutzer muss sein Windows-Kennwort ändern Ja Ja Ja Nein Nein Ja Ja Ja Ja Ja Ja Ja Nein Ja Nein Nein Ja Ja entf. Ja Nein Ja Nein entf. Nein Nein Nein Nein entf. Nein Administratorhilfe 5.6.8.2.3 Starten des Recovery-Assistenten Damit Sie in der Lage sind, ein Recovery-Verfahren auszuführen, stellen Sie sicher, dass Sie über die erforderlichen Rechte und Berechtigungen verfügen. 1. Melden Sie sich am SafeGuard Management Center an. 2. Klicken Sie auf Extras > Recovery in der Menüleiste. Der SafeGuard Recovery-Assistent wird gestartet. Sie können wählen, welchen Recovery-Typ Sie verwenden möchten. 5.6.8.2.4 Recovery-Typen Wählen Sie den Recovery-Typ, den Sie verwenden möchten. Folgende Recovery-Typen stehen zur Verfügung: ■ SafeGuard Enterprise Clients (managed) Challenge/Response für zentral durch das SafeGuard Management Center verwaltete Endpoints. Sie werden im Bereich Benutzer und Computer des SafeGuard Management Centers angezeigt. ■ Virtuelle Clients In komplexen Recovery-Situationen, zum Beispiel wenn die SafeGuard POA beschädigt ist, lässt sich der Zugriff auf verschlüsselte Daten auf einfache Art und Weise mit Challenge/Response wieder herstellen. In diesem Fall werden spezifische Dateien mit der Bezeichnung virtuelle Clients verwendet. Diese Art von Dateien ist sowohl für zentral verwaltete Computer als auch für Standalone-Endpoints verfügbar. ■ Sophos SafeGuard Clients (Standalone) Challenge/Response für Standalone-Endpoints Diese Endpoints haben nie eine Verbindung zum SafeGuard Enterprise Server. Die erforderlichen Recovery-Informationen basieren auf der Schlüssel-Recovery-Datei. Diese Datei wird auf jedem Endpoint während der Installation der Sophos SafeGuard Verschlüsselungssoftware erzeugt. Um in diesem Fall Challenge/Response zur Verfügung zu stellen, muss die Schlüssel-Recovery-Datei dem SafeGuard Enterprise Helpdesk zur Verfügung stehen, zum Beispiel auf einer Netzwerkfreigabe. Hinweis: Darüber hinaus steht das Recovery-Verfahren Local Self Help zur Verfügung, für das keine Unterstützung durch den Helpdesk benötigt wird. 5.6.8.2.5 Challenge/Response für SafeGuard Enterprise Clients (Managed) SafeGuard Enterprise bietet ein Recovery-Verfahren für in der Datenbank registrierte Endpoints für verschiedene Recovery-Szenarien, z. B. Kennwort-Recovery. Das Challenge/Response-Verfahren wird sowohl für native SafeGuard Enterprise Computer als auch für mit BitLocker verschlüsselte Endpoints unterstützt. Das System ermittelt den Computertyp dynamisch. Der Recovery-Workflow wird dementsprechend angepasst. 5.6.8.2.5.1 Recovery-Aktionen für SafeGuard Enterprise Clients Der Recovery Workflow richtet sich danach, für welchen Typ von Endpoint das Recovery-Verfahren angefordert wird. Hinweis: Für mit BitLocker verschlüsselte Computer steht als Recovery-Aktion nur die Wiederherstellung des Schlüssels, der für die Verschlüsselung eines spezifischen Volumes verwendet wurde, zur Verfügung. Eine Recovery-Aktion für Kennwörter ist nicht verfügbar. 5.6.8.2.5.1.1 Best Practice für das Wiederherstellen des Kennworts auf SafeGuard POA-Ebene 217 SafeGuard Enterprise Wir empfehlen, folgende Methoden anzuwenden, wenn der Benutzer sein Kennwort vergessen hat, um zu vermeiden, dass das Kennwort zentral zurückgesetzt werden muss: ■ Benutzen Sie Local Self Help. Mit Recovery über Local Self Help kann sich der Benutzer das aktuelle Kennwort anzeigen lassen und dieses weiterhin benutzen, ohne es zurücksetzen zu müssen. Bei der Benutzung von Local Self Help ist außerdem keine Unterstützung durch den Helpdesk erforderlich. ■ Bei Anwendung von Challenge/Response für SafeGuard Enterprise Clients (Managed): Wir empfehlen, das Kennwort vor dem Challenge/Response-Verfahren nicht zentral im Active Directory zurückzusetzen. Dadurch wird gewährleistet, dass das Kennwort zwischen Windows und SafeGuard Enterprise synchron bleibt. Stellen Sie sicher, dass der Windows-Helpdesk entsprechend informiert ist. Erzeugen Sie als SafeGuard Enterprise Helpdesk-Beauftragter eine Response für das Booten des SGN Clients mit Benutzeranmeldung mit der Option Benutzerkennwort anzeigen. Dies bietet den Vorteil, dass das Kennwort nicht im Active Directory geändert werden muss. Der Benutzer kann mit dem alten Kennwort weiterarbeiten und dieses später nach Wunsch lokal ändern. 5.6.8.2.5.1.2 Wiederherstellen des Kennworts auf SafeGuard POA-Ebene Eines der am häufigsten auftretenden Recovery-Szenarien besteht darin, dass Benutzer ihr Kennwort vergessen haben. SafeGuard Enterprise wird standardmäßig mit aktivierter SafeGuard Power-on Authentication (POA) installiert. Das SafeGuard POA-Kennwort, mit dem auf den Computer zugegriffen wird, ist identisch mit dem Windows-Kennwort. Wenn der Benutzer das Kennwort auf der SafeGuard POA-Ebene vergessen hat, generiert der Helpdesk-Beauftragte eine Response mit der Option SGN Client mit Benutzeranmeldung booten, ohne das Benutzerkennwort anzuzeigen. In diesem Fall startet der Computer jedoch nach der Eingabe des Response-Codes bis zum Betriebssystem. Der Benutzer muss das Kennwort auf Windows-Ebene ändern, vorausgesetzt, die Domäne ist erreichbar. Danach kann der Benutzer sich sowohl an Windows als auch an der SafeGuard Power-on Authentication mit dem neuen Kennwort anmelden. 5.6.8.2.5.1.3 Anzeigen des Benutzerkennworts SafeGuard Enterprise bietet Benutzern die Möglichkeit, sich ihr Kennwort während des Challenge/Response-Verfahrens anzeigen zu lassen. Dies bietet den Vorteil, dass das Kennwort nicht im Active Directory geändert werden muss. Diese Option ist verfügbar, wenn die Anforderung SGN Client mit Benutzeranmeldung booten gestellt wird. 5.6.8.2.5.1.4 Ein anderer Benutzer muss den durch SafeGuard Enterprise geschützten Endpoint starten In diesem Fall startet der Benutzer, der Zugriff benötigt, den Endpoint und gibt seinen Benutzernamen ein. Der Benutzer fordert dann eine Challenge an. Der SafeGuard Helpdesk generiert eine Response vom Typ SGN Client mit Benutzeranmeldung booten mit aktivierter durchgehender Anmeldung an Windows. Der Benutzer wird angemeldet und kann den Computer benutzen. 5.6.8.2.5.1.5 Wiederherstellen des SafeGuard Enterprise Policy Cache Diese Aktion wird notwendig, wenn der SafeGuard Policy Cache beschädigt ist. Im Local Cache werden alle Schlüssel, Richtlinien, Benutzerzertifikate und Audit-Dateien gespeichert. Standardmäßig ist Recovery für die Anmeldung bei einem beschädigten Local Cache deaktiviert. Er wird automatisch aus seiner Sicherungskopie wiederhergestellt. In diesem Fall ist für das Reparieren des Local Cache kein Challenge/Response-Verfahren erforderlich. Wenn der Local Cache mit einem Challenge/Response-Verfahren repariert werden soll, 218 Administratorhilfe können Sie den Recovery-Vorgang per Richtlinie aktivieren. In diesem Fall wird der Benutzer bei einem beschädigten Local Cache automatisch dazu aufgefordert, ein Challenge/Response-Verfahren zu starten. 5.6.8.2.5.1.6 SafeGuard Data Exchange: Recovery-Vorgänge bei vergessenem Kennwort SafeGuard Data Exchange ohne Device Encryption bietet für den Fall, dass der Benutzer sein Kennwort vergessen hat, keinen Recovery-Vorgang über Challenge/Response. In diesem Fall müssen Sie das Kennwort im Active Directory ändern. Melden Sie sich ohne Sophos Credential Provider am Endpoint an und stellen Sie die Benutzerkonfiguration auf dem Endpoint wieder her. 5.6.8.2.5.2 Response für SafeGuard Enterprise Clients 1. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client (Managed). 2. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste. 3. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn aus. Hierzu gibt es mehrere Möglichkeiten: ■ Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten Computer aus und klicken Sie auf OK. Der Computername wird auf der Seite Recovery-Typ angezeigt. ■ Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird als Distinguished Name angezeigt. ■ Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel: CN=Desktop1,OU=Development,OU=Headquarter,DC=Sophos,DC=edu 4. Klicken Sie auf Weiter. 5. Wählen Sie die Domäne des Benutzers. 6. Geben Sie den Benutzernamen ein. Hierfür gibt es mehrere Möglichkeiten: ■ Um den Benutzernamen auszuwählen, klicken Sie auf [...] im Abschnitt Benutzer-Information des Dialogs Recovery für die Anmeldung. Klicken Sie anschließend auf Jetzt suchen. Eine Liste mit Benutzernamen wird angezeigt. Wählen Sie den gewünschten Namen und klicken Sie auf OK. Der Benutzername wird auf der Seite Recovery-Typ angezeigt. ■ Geben Sie den Benutzernamen direkt ein. Stellen Sie sicher, dass der Name korrekt geschrieben ist. 7. Klicken Sie auf Weiter. Eine Seite für die Eingabe des Challenge-Codes wird angezeigt. 8. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter. Der Challenge-Code wird geprüft. Wenn der Code nicht korrekt eingegeben wurde, wird unterhalb des Blocks, der den Fehler enthält, der Text Ungültige Challenge angezeigt. 219 SafeGuard Enterprise 9. Wenn der Challenge-Code korrekt eingegeben wurde, werden die vom SafeGuard Enterprise Client angeforderte Aktion sowie die möglichen Recovery-Aktionen auf dem Client angezeigt. Die möglichen Response-Aktionen richten sich nach den Aktionen, die auf Client-Seite beim Aufrufen der Challenge angefordert wurden. Wenn auf Client-Seite zum Beispiel Crypto Token erforderlich angefordert wurde, stehen für die Response die Aktionen SGN Client mit Benutzeranmeldung booten und SGN Client ohne Benutzeranmeldung booten zur Verfügung. 10. Wählen Sie die Aktion, die der Benutzer ausführen soll. 11. Wenn Sie SGN Client mit Benutzeranmeldung booten ausgewählt haben, können Sie zusätzlich auch die Option Benutzerkennwort anzeigen wählen, um das Kennwort auf dem Zielcomputer anzeigen zu lassen. 12. Klicken Sie auf Weiter. 13. Es wird ein Response-Code erzeugt. Teilen Sie dem Benutzer den Response-Code mit. Hierzu steht eine Buchstabierhilfe zur Verfügung. Sie können den Response-Code auch in die Zwischenablage kopieren. Der Benutzer kann nun den Response-Code auf dem Endpoint eingeben und die autorisierte Aktion durchführen. 5.6.8.2.6 Challenge/Response mit virtuellen Clients Mit Recovery über Challenge/Response mit virtuellen Clients bietet SafeGuard Enterprise ein Recovery-Verfahren für verschlüsselte Volumes in komplexen Notfallsituationen, z. B., wenn die SafeGuard POA beschädigt ist. Dieses Verfahren lässt sich sowohl auf zentral verwaltete Endpoints als auch auf Standalone Endoints anwenden. Hinweis: Recovery mit virtuellen Clients sollte nur in komplexen Notfallsituationen angewendet werden. Wenn zum Beispiel nur ein Schlüssel für die Wiederherstellung eines Volumes fehlt, ist es am besten, den fehlenden Schlüssel dem Schlüsselbund des entsprechenden Benutzers zuzuweisen, um den Zugriff auf das Volume zu ermöglichen. 5.6.8.2.6.1 Recovery Workflow mit virtuellen Clients Über folgenden allgemeinen Workflow lässt sich der Zugang zum verschlüsselten Endpoint wiederherstellen: 1. Sie erhalten die SafeGuard Enterprise Recovery Disk vom technischen Support. Für den Helpdesk steht die Windows PE Recovery Disk mit den aktuellen SafeGuard Enterprise Filter-Treibern auf der Sophos Support-Website zum Download zur Verfügung. Weitere Informationen finden Sie unter: http://www.sophos.com/de-de/support/knowledgebase/108805.aspx. 2. Erstellen Sie den virtuellen Client im SafeGuard Management Center (siehe Erstellen von virtuellen Clients (Seite 236)). 3. Exportieren Sie den virtuellen Client in eine Datei (sieheExportieren von virtuellen Clients (Seite 236)). 4. Optional können Sie mehrere Schlüssel für virtuelle Clients in eine Datei exportieren (siehe Anlegen und Exportieren von Schlüsseldateien für den Recovery-Vorgang (Seite 237)). 5. Booten Sie den Endpoint von der Recovery Disk. 6. Importieren Sie die Datei mit dem virtuellen Client in das KeyRecovery Tool. 7. Starten Sie die Challenge im KeyRecovery Tool. 8. Bestätigen Sie den virtuellen Client im SafeGuard Management Center. 9. Wählen Sie die erforderliche Recovery-Aktion. 220 Administratorhilfe 10. Geben Sie den Challenge-Code im SafeGuard Management Center ein. 11. Generieren Sie den Response-Code im SafeGuard Management Center. 12. Geben Sie den Response-Code im KeyRecovery Tool ein. Auf den Computer kann wieder zugegriffen werden. 5.6.8.2.6.2 Booten des Computers von der Recovery Disk. Voraussetzung: Stellen Sie sicher, dass die Boot-Reihenfolge im BIOS das Booten von CD erlaubt. 1. Fordern Sie vom technischen Support von Sophos die SafeGuard Enterprise Windows PE Disk an. Für den Helpdesk steht die Windows PE Recovery Disk mit den aktuellen SafeGuard Enterprise Filter-Treibern auf der Sophos Support-Website zum Download zur Verfügung. Weitere Informationen finden Sie unter http://www.sophos.com/de-de/support/knowledgebase/108805.aspx. 2. Legen Sie auf dem Endpoint die Recovery Disk ein und starten Sie den Computer. Der integrierte Dateimanager wird geöffnet. Hier sehen Sie auf einen Blick die bereitgestellten Volumes und Laufwerke. Der Inhalt des verschlüsselten Laufwerks ist im Dateimanager nicht sichtbar. In den Eigenschaften des verschlüsselten Laufwerks werden weder das Dateisystem, noch die Kapazität sowie der verwendete/freie Speicherplatz angegeben. 221 SafeGuard Enterprise 3. Klicken Sie unten im Bereich Quick Launch des Dateimanagers auf das KeyRecovery-Symbol, um das KeyRecovery Tool zu öffnen. Das Key Recovery Tool zeigt die Schlüssel-ID verschlüsselter Laufwerke. 4. Suchen Sie nach der Schlüssel-ID des Laufwerks, auf das Sie zugreifen möchten. Die Schlüssel-ID wird später abgefragt. Im nächsten Schritt importieren Sie den virtuellen Client in das Key Recovery Tool. 5.6.8.2.6.3 Import des virtuellen Client in das KeyRecovery Tool Voraussetzung: Der Computer wurde von der Recovery Disk gebootet. Stellen Sie sicher, dass das USB-Laufwerk mit der Datei recoverytoken.tok erfolgreich bereitgestellt wurde. 1. Wählen Sie im Windows PE Dateimanager das Laufwerk aus, auf dem der virtuelle Client gespeichert ist. Die Datei recoverytoken.tok wird auf der rechten Seite angezeigt. 2. Wählen Sie die Datei recoverytoken.tok aus und ziehen Sie sie auf das Laufwerk, auf dem sich das KeyRecovery Tool befindet. Legen Sie die Datei hier im Verzeichnis Toos\SGN-Tools ab. 222 Administratorhilfe 5.6.8.2.6.4 Starten einer Challenge im KeyRecovery Tool 1. Klicken Sie unten im Bereich Quick Launch des Windows PE Dateimanagers auf das KeyRecovery-Symbol, um das KeyRecovery Tool zu öffnen. Das Key Recovery Tool zeigt die Schlüssel-ID verschlüsselter Laufwerke. Das Tool startet und zeigt eine Liste aller Volumes mit den jeweiligen Verschlüsselungsinformationen (Schlüssel-ID). 2. Wählen Sie das Volume, das Sie entschlüsseln möchten und klicken Sie auf Import mit C/R, um den Challenge-Code zu erzeugen. Die Datei mit dem virtuellen Client wird als Referenz in der SafeGuard Enterprise Datenbank verwendet und in der Challenge angegeben. Der Challenge-Code wird erzeugt und angezeigt. 3. Übermitteln Sie den Namen des virtuellen Clients und den Challenge-Code an den Helpdesk, z. B. über Telefon oder eine Textmitteilung. Hierzu steht eine Buchstabierhilfe zur Verfügung. 5.6.8.2.6.5 Bestätigen des virtuellen Client Voraussetzung: Der virtuelle Client muss im SafeGuard Management Center unter Virtuelle Clients angelegt worden sein und er muss in der Datenbank zur Verfügung stehen. 1. Klicken Sie im SafeGuard Management Center auf Extras > Recovery, um den Recovery-Assistenten zu öffnen. 2. Wählen Sie unter Recovery-Typ die Option Virtueller Client. 3. Geben Sie den Namen des virtuellen Client ein, den Sie vom Benutzer erhalten haben. Hierzu gibt es verschiedene Möglichkeiten: ■ Geben Sie den eindeutigen Namen direkt ein. ■ Wählen Sie einen Namen, indem Sie auf [...] im Abschnitt Virtueller Client des Dialogs Recovery-Typ klicken. Klicken Sie anschließend auf Jetzt suchen. Eine Liste mit virtuellen Clients wird angezeigt. Wählen Sie den gewünschten virtuellen Client aus und klicken Sie auf OK. Der Name des virtuellen Clients wird nun auf der Recovery-Typ Seite unter Virtueller Client angezeigt. 4. Klicken Sie auf Weiter, um den Namen der Datei mit dem virtuellen Client zu bestätigen. Im nächsten Schritt wählen Sie die erforderliche Recovery-Aktion aus. 223 SafeGuard Enterprise 5.6.8.2.6.6 Auswahl der erforderlichen Recovery-Aktion 1. Wählen Sie bei Virtueller Client auf der Angeforderte Aktion Seite eine der folgenden Optionen: ■ Wählen Sie Schlüssel angefordert, um einen einzelnen Schlüssel für den Zugriff auf ein verschlüsseltes Volume auf dem Computer wiederherzustellen. Diese Option ist sowohl für zentral verwaltete Endpoints als auch für Standalone-Endpoints verfügbar. ■ Wählen Sie Kennwort für Schlüsseldatei angefordert, um mehrere Schlüssel für den Zugriff auf verschlüsselte Volumes auf dem Computer wiederherzustellen. Die Schlüssel werden in einer Datei gespeichert, die mit einem Zufallskennwort verschlüsselt wird, das in der Datenbank abgelegt ist. Das Kennwort ist für jede angelegte Schlüsseldatei einzigartig. Das Kennwort wird innerhalb des Response-Codes an den Zielcomputer übertragen. Diese Option ist nur für zentral verwaltete Endpoints verfügbar. 2. Klicken Sie auf Weiter. 5.6.8.2.6.7 Auswahl des angeforderten Schlüssel (einzelner Schlüssel) Voraussetzung: Sie müssen den erforderlichen virtuellen Client im Recovery-Assistenten des SafeGuard Management Center sowie die Recovery-Aktion Schlüssel angefordert ausgewählt haben. 1. Wählen Sie im Recovery-Assistenten auf der Seite Virtueller Client aus, ob die Aktion von einem zentral verwalteten-Endpoint oder einem Standalone-Endpoint angefordert wird. ■ Wählen Sie für zentral verwaltete Endpoints Recovery-Schlüssel für einen SafeGuard Enterprise Managed Client. Klicken Sie auf [...]. In Schlüssel suchen können Sie sich die Schlüssel nach Schlüssel-ID oder symbolischem Namen anzeigen lassen. Klicken Sie auf Jetzt suchen, wählen Sie den Schlüssel und klicken Sie auf OK. Hinweis: Eine Response kann nur für zugewiesene Schlüssel erzeugt werden. Ist ein Schlüssel inaktiv, d. h. der Schlüssel ist nicht mindestens einem Benutzer zugewiesen, ist eine Response mit einem virtuellen Client nicht möglich. In diesem Fall kann der inaktive Schlüssel zunächst einem beliebigen Benutzer zugewiesen werden. Danach kann eine Response für den Schlüssel generiert werden. ■ Wählen Sie für Standalone-Endpoints Recovery-Schlüssel für einen Sophos SafeGuard Standalone Client. Klicken Sie neben dieser Option auf [...], um nach der entsprechenden Datei zu suchen. Zur Vereinfachung der Identifizierung tragen die Recovery-Dateien den Namen des Computers: computername.GUID.xml. Wählen Sie die Datei aus und klicken Sie auf Öffnen. Hinweis: Die Schlüssel-Recovery-Datei, die zur Wiederherstellung des Zugriffs auf den Computer erforderlich ist, muss dem Helpdesk zur Verfügung stehen, z. B. über eine Netzwerkfreigabe. 2. Klicken Sie auf Weiter. Die Seite für die Eingabe des Challenge-Codes wird angezeigt. Der angeforderte Schlüssel wird mit dem Response-Code an die Benutzerumgebung übertragen. 5.6.8.2.6.8 Auswahl des angeforderten Schlüssel (mehrere Schlüssel) Voraussetzung: 224 Administratorhilfe Diese Option ist nur für zentral verwaltete Endpoints verfügbar. Sie müssen die Schlüsseldatei zuvor im SafeGuard Management Center unter Schlüssel imd Zertifikate angelegt haben und das Kennwort, mit dem die Datei verschlüsselt ist, muss in der Datenbank gespeichert sein. Sie müssen den erforderlichen virtuellen Client im Recovery-Assistenten des SafeGuard Management Center sowie die Recovery-Aktion Kennwort für Schlüsseldatei angefordert ausgewählt haben. 1. Um eine Schlüsseldatei auszuwählen, klicken Sie auf die [...] Schaltfläche neben dieser Option. Klicken Sie in Schlüsseldatei auf Jetzt suchen. Wählen Sie die Schlüsseldatei aus und klicken Sie auf OK. 2. Klicken Sie zur Bestätigung auf Weiter. Die Seite für die Eingabe des Challenge-Codes wird angezeigt. 5.6.8.2.6.9 Eingabe des Challenge-Codes und Erzeugen des Response-Codes Voraussetzung: Sie müssen den erforderlichen virtuellen Client im Recovery-Assistenten des SafeGuard Management Center sowie die erforderliche Recovery-Aktion ausgewählt haben. 1. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter. Der Challenge-Code wird geprüft. Wenn der Challenge-Code korrekt eingegeben wurde, wird der Response-Code erzeugt. Wenn der Code nicht korrekt eingegeben wurde, wird unterhalb des Blocks, der den Fehler enthält, der Text Ungültige Challenge angezeigt. 2. Teilen Sie dem Benutzer den Response-Code mit. Hierzu steht eine Buchstabierhilfe zur Verfügung. Sie können den Response-Code auch in die Zwischenablage kopieren. Wenn Sie Schlüssel angefordert als Recovery-Aktion ausgewählt haben, wird der angeforderte Schlüssel im Response-Code an die Benutzerumgebung übertragen. Wenn Sie Kennwort für Schlüsseldatei angefordert als Recovery-Aktion ausgewählte haben, wird das Kennwort für die verschlüsselte Schlüsseldatei im Response-Code übertragen. Die Schlüsseldatei wird daraufhin gelöscht. 5.6.8.2.6.10 Eingeben des Response-Codes im KeyRecovery Tool 1. Geben Sie im KeyRecovery Tool auf dem Endpoint den Response-Code ein, den Sie vom Helpdesk erhalten haben. Mit dem Response-Code wird der erforderliche Recovery-Schlüssel übertragen. 2. Klicken Sie auf OK. Das für das Challenge/Response-Verfahren gewählte Laufwerk wird entschlüsselt. 225 SafeGuard Enterprise 3. Um sicherzustellen, dass die Entschlüsselung erfolgreich durchgeführt werden konnte, wählen Sie das entschlüsselte Laufwerk im Windows PE Dateimanager aus: Der Inhalt des entschlüsselten Laufwerks wird nun im Dateimanager angezeigt. Das Dateisystem und die Kapazität sowie der benutzte/freie Speicherplatz werden nun in den Eigenschaften des entschlüsselten Laufwerks angegeben. Der Zugriff auf die Daten, die auf dieser Partition gespeichert sind, ist wiederhergestellt. Nach der erfolgreichen Entschlüsselung haben Sie auf dem entsprechenden Laufwerk Lese- und Schreibzugriff für Daten. Sie können Daten vom und auf das Laufwerk kopieren. 5.6.8.2.7 Challenge/Response für Sophos SafeGuard Clients (Standalone) SafeGuard Enterprise bietet Challenge/Response für Recovery-Vorgänge, z. B. wenn der Benutzer sein Kennwort vergessen oder es zu oft falsch eingegeben hat, auch für Standalone-Endpoints (Sophos SafeGuard Clients Standalone). Standalone-Endpoints haben nie eine Verbindung zum SafeGuard Enterprise Server, auch nicht vorübergehend. Sie werden im Standalone-Modus betrieben. Die für Challenge/Response-Vorgänge benötigten Recovery-Informationen basieren in diesem Fall auf der Schlüssel-Recovery-Datei. Diese Schlüssel-Recovery-Datei wird auf jedem Standalone-Endpoint während der Installation der SafeGuard Enterprise Verschlüsselungssoftware erzeugt. Die Schlüssel-Recovery-Datei muss dem SafeGuard Enterprise Helpdesk zur Verfügung stehen, zum Beispiel auf einer Netzwerkfreigabe. Um die Suche nach und die Gruppierung von Recovery-Dateien zu vereinfachen, enthalten die Dateinamen den Namen des Computers: computername.GUID.xml. Somit sind Suchvorgänge mit Asterisken (*) als Platzhalter möglich, z. B.: *.GUID.xml. Hinweis: Wenn ein Computer umbenannt wird, wird er im Local Cache nicht automatisch entsprechend umbenannt. Im Local Cache werden alle Schlüssel, Richtlinien, Benutzerzertifikate und Audit-Dateien gespeichert. Für die Datei-Generierung muss der neue Computername daher aus dem Local Cache entfernt werden, so dass nur der vorige Name verbleibt, auch wenn der Computer unter Windows umbenannt wird. 226 Administratorhilfe 5.6.8.2.7.1 Recovery-Aktionen für Sophos SafeGuard Clients (standalone) Für einen Standalone-Endpoint kann in den folgenden Situationen ein Challenge/Response-Verfahren gestartet werden: ■ Der Benutzer hat das Kennwort zu oft falsch eingegeben. ■ Der Benutzer hat das Kennwort vergessen. ■ Ein beschädigter Local Cache muss repariert werden. Für einen Standalone-Endpoint steht kein Benutzerschlüssel in der Datenbank zur Verfügung. Somit ist in einem Challenge/Response-Verfahren nur die Recovery-Aktion SGN Client ohne Benutzeranmeldung booten möglich. Das Challenge/Response-Verfahren ermöglicht das Booten des Computers durch die SafeGuard Power-on Authentication. Der Benutzer kann sich dann an Windows anmelden. Mögliche Recovery-Anwendungsfälle: Der Benutzer hat das Kennwort auf SafeGuard POA-Ebene zu oft falsch eingegeben und der Computer wurde gesperrt. Der Benutzer weiß jedoch das Kennwort. Der Computer ist gesperrt und der Benutzer wird dazu aufgefordert, ein Challenge/Response-Verfahren zu starten, um wieder Zugriff auf den Computer zu erhalten. Da der Benutzer das Kennwort noch weiß, muss es nicht zurückgesetzt werden. Das Challenge/Response-Verfahren ermöglicht das Booten des Computers durch die SafeGuard Power-on Authentication. Der Benutzer kann dann das korrekte Kennwort auf Windows-Ebene eingeben und den Computer wieder benutzen. Der Benutzer hat das Kennwort vergessen Hinweis: Wir empfehlen, Local Self Help einzusetzen, um ein vergessenes Kennwort wiederherzustellen. Mit Local Self Help können Benutzer sich das aktuelle Benutzerkennwort anzeigen lassen und es weiterhin zur Anmeldung verwenden. Dadurch wird ein Rücksetzen des Kennworts vermieden. Außerdem muss der Helpdesk nicht um Hilfe gebeten werden. Wenn das Kennwort über ein Challenge/Response-Verfahren wiederhergestellt wird, muss das Kennwort zurückgesetzt werden. 1. Das Challenge/Response-Verfahren ermöglicht das Booten des Computers durch die SafeGuard Power-on Authentication. 2. Da Ihnen das Kennwort nicht bekannt ist, können der Benutzer es im Windows-Dialog nicht eingeben. Das Kennwort muss auf Windows-Ebene zurückgesetzt werden. Hierzu sind weitere Recovery-Vorgänge außerhalb von SafeGuard Enterprise erforderlich, die über Windows-Standard-Verfahren durchgeführt werden müssen. Hinweis: Wir empfehlen, das Kennwort vor dem Challenge/Response-Verfahren nicht zentral im Active Directory zurückzusetzen. Dadurch wird gewährleistet, dass das Kennwort zwischen Windows und SafeGuard Enterprise synchron bleibt. Stellen Sie sicher, dass der Windows-Helpdesk entsprechend informiert ist. Wir empfehlen, die folgenden Methoden für das Zurücksetzen des Kennworts auf Windows-Ebene: Über ein Service-Benutzerkonto oder ein Administratorkonto mit den erforderlichen Windows-Rechten auf dem Endpoint Über eine Windows-Kennwortrücksetz-Diskette auf dem Endpoint 227 SafeGuard Enterprise Als Helpdesk-Beauftragter können Sie den Benutzer darüber informieren, welche Methode benutzt werden soll, und ihm die zusätzlichen Windows-Anmeldeinformationen oder die erforderliche Diskette zur Verfügung stellen. 3. Der Benutzer gibt das neue Kennwort ein, dass der Helpdesk auf Windows-Ebene zurückgesetzt hat. Unmittelbar muss der Benutzer das Kennwort in ein nur ihm bekanntes Kennwort ändern. Basierend auf dem neu gewählten Windows-Kennwort wird ein neues Benutzerzertifikat erzeugt. Dies ermöglicht es dem Benutzer, sich mit dem neuen Kennwort wieder an seinem Computer und an der SafeGuard Power-on Authentication anzumelden. Hinweis: Schlüssel für SafeGuard Data Exchange: Wenn ein Kennwort zurückgesetzt und ein neues Zertifikat erstellt wird, können die zuvor für SafeGuard Data Exchange erzeugten lokalen Schlüssel noch verwendet werden, wenn der Endpoint Mitglied einer Domäne ist. Wenn der Endpoint Mitglied einer Arbeitsgruppe ist, muss dem Benutzer die SafeGuard Data Exchange Passphrase bekannt sein, damit diese lokalen Schlüssel reaktiviert werden können. Der Local Cache muss repariert werden. Im Local Cache werden alle Schlüssel, Richtlinien, Benutzerzertifikate und Audit-Dateien gespeichert. Standardmäßig ist Recovery für die Anmeldung bei einem beschädigten Local Cache deaktiviert, d. h. der Local Cache wird automatisch aus seiner Sicherungskopie wiederhergestellt. In diesem Fall ist für das Reparieren des Local Cache kein Challenge/Response-Verfahren erforderlich. Soll der Local Cache jedoch explizit mit einem Challenge/Response-Verfahren repariert werden, so lässt sich Recovery für die Anmeldung über eine Richtlinie aktivieren. In diesem Fall wird der Benutzer bei einem beschädigten Local Cache automatisch dazu aufgefordert, ein Challenge/Response-Verfahren zu starten. 5.6.8.2.7.2 Erzeugen einer Response für Standalone-Endpoints mit der Schlüssel-Recovery-Datei Hinweis: Die Schlüssel-Recovery-Datei, die während der Installation der SafeGuard Enterprise Verschlüsselungssoftware generiert wurde, muss an einem Speicherort abgelegt sein, auf den der Helpdesk-Beauftragte Zugriff hat. Darüber hinaus muss der Name der Datei bekannt sein. 1. Wählen Sie in der Menüleiste des SafeGuard Management Center Extras > Recovery, um den Recovery-Assistenten zu öffnen. 2. Wählen Sie unter Recovery-Typ die Option Sophos SafeGuard Client (Standalone). 3. Suchen Sie nach der Schlüssel-Recovery-Datei, indem Sie auf die [...] Schaltfläche neben dem Feld Schlüssel-Recovery-Datei klicken. Zur Vereinfachung der Identifizierung tragen die Recovery-Dateien den Namen des Computers: computername.GUID.xml. 4. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter. Der Challenge-Code wird geprüft. Wenn der Challenge-Code korrekt eingegeben wurde, werden die vom Endpoint-Computer angeforderte Recovery-Aktion sowie die möglichen Recovery-Aktionen angezeigt. Wenn der Code nicht korrekt eingegeben wurde, wird unterhalb des Blocks, der den Fehler enthält, der Text Ungültige Challenge angezeigt. 5. Wählen Sie die vom Benutzer durchzuführende Aktion aus und klicken Sie auf Weiter. 6. Es wird ein Response-Code erzeugt. Teilen Sie den Response-Code dem Benutzer mit. Hierzu steht eine Buchstabierhilfe zur Verfügung. Sie können den Response-Code auch in die Zwischenablage kopieren. Der Benutzer kann den Response-Code eingeben, die angeforderte Aktion ausführen und dann wieder mit dem Computer arbeiten. 228 Administratorhilfe 5.6.8.3 System-Recovery für die Sophos SafeGuard Festplattenverschlüsselung SafeGuard Enterprise verschlüsselt Dateien und Laufwerke transparent. Darüber hinaus können auch Bootlaufwerke verschlüsselt werden, so dass Entschlüsselungsfunktionalitäten wie Code, Verschlüsselungsalgorithmen und Verschlüsselungsschlüssel sehr früh in der Bootphase verfügbar sein müssen. Folglich kann auf verschlüsselte Informationen nicht zugegriffen werden, wenn entscheidende SafeGuard Enterprise Module nicht verfügbar sind oder nicht funktionieren. Die folgenden Abschnitte beschreiben mögliche Probleme und Recovery-Verfahren. 5.6.8.3.1 Daten-Recovery durch Booten von einem externen Medium Dieser Recovery-Typ kann angewendet werden, wenn sich der Benutzer nicht mehr auf das verschlüsselte Volume zugreifen kann. In diesem Fall kann der Zugriff auf die verschlüsselten Daten durch Booten des Computers über eine für SafeGuard Enterprise angepasste Windows PE Recovery Disk wiederhergestellt werden. Voraussetzungen: Der Benutzer, der vom externen Medium bootet, muss dazu berechtigt sein. Das muss im BIOS des Computers so konfiguriert sein. Der Computer muss das Booten von anderen Medien außer von der fest eingebauten Festplatte unterstützen. So erhalten Sie wieder Zugriff auf die verschlüsselten Daten auf dem Computer: 1. Fordern Sie beim technischen Support von Sophos die SafeGuard Enterprise Windows PE Disk an. Für den Helpdesk steht die Windows PE Recovery Disk mit den aktuellen SafeGuard Enterprise Filter-Treibern auf der Sophos Support-Website zum Download zur Verfügung. Weitere Informationen finden Sie unter http://www.sophos.com/de-de/support/knowledgebase/108805.aspx. 2. Legen Sie die Windows PE Recovery Disk ein. 3. Starten Sie den Computer von der Recovery Disk und führen Sie ein Challenge/Response mit einem virtuellen Client durch. Weitere Informationen finden Sie unter Challenge/Response mit virtuellen Clients (Seite 220). Der Zugriff auf die Daten, die auf dieser Partition gespeichert sind, ist wiederhergestellt. Hinweis: Je nach verwendetem BIOS funktioniert das Booten von der Disk u. U. nicht. 5.6.8.3.2 Beschädigter MBR Zur Problembehebung im Fall eines beschädigten MBR bietet SafeGuard Enterprise das Tool BE_Restore.exe. Eine detaillierte Beschreibung zur Wiederherstellung eines beschädigten MBR finden Sie in der SafeGuard Enterprise Tools-Anleitung. 5.6.8.3.3 Beschädigter Kernel-Bootcode Es kann auf eine Festplatte mit einem beschädigten Kernel-Bootcode zugegriffen werden. Denn Schlüssel werden getrennt vom Kernel in der so genannten KSA (Key Storage Area) gespeichert. Durch die Trennung von Kernel und Schlüsseln können solche Laufwerke angeschlossen an einen anderen Computer entschlüsselt werden. Dazu benötigt der Benutzer, der sich an dem anderen Computer anmeldet, einen Schlüssel der KSA der nicht bootbaren Partition in seinem Schlüsselring. 229 SafeGuard Enterprise Im schlimmsten Fall ist die Partition nur mit dem Boot_Key des anderen Computers verschlüsselt. In diesem Fall muss der Haupt-Sicherheitsbeauftragte oder der Recovery-Beauftragte dem Benutzer diesen Boot_Key zuweisen. Weitere Informationen finden Sie unter "Slaven" einer Festplatte (Seite 231). 5.6.8.3.4 Volumes SafeGuard Enterprise bietet die volume-basierende Verschlüsselung. Dies beinhaltet die Speicherung von Verschlüsselungsinformationen bestehend aus Bootsektor, primärer bzw. Backup-KSA und Originalbootsektor auf jedem Laufwerk selbst. Wenn eine der folgenden Bedingungen zutrifft, besteht auf das jeweilige Volume kein Zugriff mehr: 5.6.8.3.4.1 ■ Beide Key Storage Areas (KSA) sind zur gleichen Zeit beschädigt. ■ Der Original-MBR ist beschädigt. Bootsektor Der Bootsektor eines Volumes wird bei der Verschlüsselung gegen den SafeGuard Enterprise Bootsektor ausgetauscht. Der SafeGuard Enterprise Bootsektor enthält Informationen über ■ den Ort der primären und Backup-KSA in Clustern und Sektoren bezogen auf den Start der Partition ■ die Größe der KSA Auch wenn der SafeGuard Enterprise Bootsektor zerstört ist, ist kein Zugriff auf verschlüsselte Volumes möglich. Das Tool BE_Restore kann den zerstörten Bootsektor wiederherstellen.Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Tools-Anleitung. 5.6.8.3.4.2 Originaler Bootsektor Beide KSAs enthalten den originalen Bootsektor. Das ist jener, der ausgeführt wird, nachdem der DEK (Data Encryption Key) entschlüsselt wurde und der Algorithmus und der Schlüssel in den BE Filtertreiber geladen wurden. Ist dieser Bootsektor defekt, kann Windows nicht auf das Volume zugreifen. Normalerweise wird die bekannte Fehlermeldung „Gerät ist nicht formatiert. Möchten Sie es jetzt formatieren? Ja/Nein“ angezeigt. SafeGuard Enterprise wird den DEK für dieses Volume dennoch laden. Jedes Tool, das den Bootsektor reparieren kann, soll dennoch laufen - vorausgesetzt, es passiert den SafeGuard Enterprise Upper Volume Filter. 5.6.8.3.5 Windows Bootprobleme SafeGuard Enterprise ist mit seinem kryptographischen Konzept der volume-spezifischen Schlüssel (Bootsektor, Key Storage Area KSA) sehr flexibel. Sie können ein beschädigtes System durch Booten eines Wiederherstellungsmediums von der SafeGuard Power-on Authentication aus (Windows PE mit dem SafeGuard Enterprise Verschlüsselungs-Subsystem installiert) retten. Diese Medien haben einen transparenten Ver-/Entschlüsselungszugriff auf mit SafeGuard Enterprise verschlüsselte Volumes. Der Grund für das nicht bootbare System kann von dort aus beseitigt werden. 230 Administratorhilfe 5.6.8.3.5.1 Verschlüsselungs-Subsystem Verschlüsselungs-Subsysteme sind z. B. BEFLT.sys Systeme. Führen Sie das unter Windows Bootprobleme beschriebene Verfahren aus und reparieren Sie das System. 5.6.8.3.6 Setup WinPE für SafeGuard Enterprise Um Zugriff auf verschlüsselte Laufwerke mit dem BOOTKEY eines Computers innerhalb einer WinPE Umgebung zu erhalten, stellt SafeGuard Enterprise WinPE mit notwendigen SafeGuard Enterprise Funktionsmodulen wie Treibern zur Verfügung. Um SetupWinPE zu starten, geben Sie folgenden Befehl ein: SetupWinPE -pe2 <WinPE Image-Datei> WinPE Image-Datei ist dabei die vollständige Pfadangabe des I386 Verzeichnisses für eine WinPE-CD. SetupWinPE führt alle erforderlichen Änderungen durch. Hinweis: Über eine derartige WinPE-Umgebung kann nur auf verschlüsselte Laufwerke zugegriffen werden, die mit dem BOOTKEY verschlüsselt sind. Auf Laufwerke, die mit einem Benutzerschlüssel verschlüsselt sind, kann nicht zugegriffen werden, da die Schlüssel in dieser Umgebung nicht verfügbar sind. 5.6.8.3.7 „Slaven“ einer Festplatte SafeGuard Enterprise erlaubt das Slaven von verschlüsselten Volumes oder Festplatten. Es gestattet dem Endbenutzer, dem Windows-Administrator, dem SafeGuard Enterprise Sicherheitsbeauftragten trotz sektorbasierter Verschlüsselung neue Volumes oder Festplatten anzuschließen oder zu entfernen. Die Key Storage Area (KSA) eines Volumes enthält selbst alle notwendigen Informationen: ■ Den zufallsgenerierten DEK (Data Encryption Key) ■ Eine Identifikation für den Verschlüsselungsalgorithmus, mit dem das Volume verschlüsselt ist. ■ Die Liste von GUIDs der KEKs (Key Encryption Keys), die den DEK verschlüsseln und entschlüsseln können. ■ Das Volume selbst enthält seine Größe. Auf ein mit SafeGuard Enterprise verschlüsseltes Volume kann von allen SafeGuard Enterprise Endpoints zugegriffen werden, vorausgesetzt der Benutzer oder der Computer besitzt einen KEK des KSA des Volumes im Schlüsselring. Benutzer oder Computer müssen den durch den KEK verschlüsselten DEK entschlüsseln können. Auf ein Volume, das mit einem verteilbaren KEK, wie einem OU-, Gruppen- oder Domänenschlüssel verschlüsselt ist, kann von vielen Benutzern und Computern zugegriffen werden, da viele Benutzer/Computer einer Domäne diesen Schlüssel in ihrem Schlüsselring haben. Jedoch kann auf ein Volume, das nur mit dem individuellen Bootschlüssel (“Boot_machinename”) des durch SafeGuard Enterprise geschützten Endpoint verschlüsselt wird, nur von diesem Computer selbst zugegriffen werden. Soll ein Volume nicht in seinem originalen Computer booten, kann es in einem anderen durch SafeGuard Enterprise geschützten Endpoint „geslaved“ werden. Dann kann aber auf den korrekten Bootschlüssel nicht zugegriffen werden. Der Zugriff darauf muss möglich gemacht werden. 231 SafeGuard Enterprise Immer wenn der Benutzer versucht, von einem anderen Computer auf das Volume zuzugreifen, ist dies möglich, weil jetzt erneut Übereinstimmung zwischen den KEKs im KSA und den Schlüsselringen der anderen Benutzer oder Computer besteht. 5.6.8.3.7.1 Beispiel Alice besitzt ihren individuellen Benutzerschlüssel. Immer, wenn sie sich an ihrem anderen Computer anmeldet (“Laptop_Alice”), hat sie keinen Zugriff auf das Volume, das mit dem Bootschlüssel des Computers “SGNCLT” verschlüsselt ist. Der durch SafeGuard Enterprise geschützte Endpoint “SGMCLT” besitzt nur seinen eigenen Bootschlüssel BOOT_SGMCLT. Der Sicherheitsbeauftragte teilt Alice den Bootschlüssel “BOOT_SGNCLT” auf folgende Weise zu: 1. Auswahl des Benutzers Alice 2. Klick auf das „Fernglas“-Symbol in der SafeGuard Enterprise Symbolleiste. Das startet den Suchdialog, in dem auch Bootschlüssel angezeigt werden können. 3. Auswahl des Schlüssels “BOOT_SGMCLT”. Jetzt verfügt Alice über zwei Schlüssel – „User_Alice“ und „BOOT_SGMCLT“. Das kann unter Schlüssel und Zertifikate nachgeprüft werden. Der Schlüssel “BOOT_SGMCLT” ist zweimal zugewiesen – zum Computer SGMCLT und zum Benutzer Alice. Alice ist es nun möglich, auf das verschlüsselte Volume von jedem anderen SafeGuard Enterprise Client zuzugreifen, auf dem sie sich anmelden kann. Dann kann sie auf einfache Weise Tools, wie den Windows Explorer oder regedit.exe, verwenden, um die Ursache des Bootproblems zu beseitigen. Wenn im schlimmsten Fall das Problem nicht gelöst werden kann, kann sie Daten auf ein anderes Laufwerk sichern, das Volume neu formatieren oder es ganz neu aufsetzen. 5.7 SafeGuard Configuration Protection Das Modul SafeGuard Configuration Protection ist ab SafeGuard Enterprise 6.1 nicht mehr verfügbar. Die entsprechende Richtlinie sowie der Suspension Wizard sind im SafeGuard Management Center 8.0 weiterhin für SafeGuard Enterprise 6 oder auch 5.60 Clients mit installiertem Configuration Protection, die mit einem 8.0 Management Center verwaltet werden, verfügbar. Weitere Informationen zu SafeGuard Configuration Protection finden Sie in der SafeGuard Enterprise 6 Administratorhilfe: http://www.sophos.com/de-de/medialibrary/PDFs/documentation/sgn_60_h_eng_admin_help.pdf. 232 Administratorhilfe 6 Recovery 6.1 Schlüssel für die Festplattenverschlüsselung mit mobilen Geräten synchronisieren Recovery-Schlüssel für BitLocker und FileVault 2 können an den Sophos Mobile Control Server gesendet werden. Sie werden zum SafeGuard Enterprise Schlüsselring hinzugefügt und können von Benutzern von Sophos Secure Workspace (verwaltet über Sophos Mobile Control) auf deren Mobilgerät dargestellt und für die Wiederherstellung verwendet werden. Sophos Secure Workspace unterstützt Recovery per Mobilgerät ab Version 6.2. Nähere Informationen dazu finden Sie in der Sophos Secure Workspace 6.2 Benutzerhilfe. Anforderungen: Die Synchronisierung der Schlüsselringe werden zwischen SafeGuard Enterprise und Sophos Mobile Control muss konfiguriert werden. Die Option Recovery über Mobile Geräte muss aktiv sein, siehe SafeGuard Enterprise Schlüsselring für mobile Geräte mit Sophos Mobile Control freigeben (Seite 138). Sophos Secure Workspace 6.2 muss auf den Mobilgeräten verwendet werden. Benutzer müssen SGN-Benutzer an den Endpoints sein. Sie müssen auf den betroffenen Endpoints in einer Benutzer-Computer Zuordnung (UMA) sein. Benutzer müssen an einem bestimmten Computer angemeldet sein, von dem sie die Schlüssel für die Festplattenverschlüsselung bekommen. Hinweis: Um die Menge der übermittelten Daten zu beschränken, werden nur die Schlüssel von zehn Endpoints zum Schlüsselring hinzugefügt. Es werden die zehn Computer herangezogen, die zuletzt Kontakt zum Server hatten. 6.1.1 Recovery-Schlüssel auf mobilen Geräten anzeigen Hinweis: Sophos Secure Workspace muss im Sophos Mobile Control Container installiert sein. So zeigen Sie den Recovery-Schlüssel für einen Computer an: 1. Tippen Sie im Menü auf Recovery-Schlüssel um eine Liste der Ihnen zugewiesenen Computer anzuzeigen. 2. Tippen Sie auf den Namen eines Computers um seinen Recovery-Schlüssel anzuzeigen. 3. Um Ihren Computer zu entsperren, folgen Sie den Anweisungen von BitLocker (Windows) beziehungsweise FileVault (Mac OS X) auf Ihrem Computerbildschirm. 6.2 Recovery für BitLocker Abhängig vom System bietet SafeGuard Enterprise ein Challenge/Response-Verfahren für die Recovery oder die Möglichkeit, beim Helpdesk den Recovery-Schlüssel zu beschaffen. Informationen darüber, welche Voraussetzungen für SafeGuard Enterprise Challenge/Response erfüllt sein müssen, finden Sie unter Voraussetzungen für die Verwaltung von BitLocker auf Endpoints (Seite 145). 233 SafeGuard Enterprise 6.2.1 Response für mit BitLocker verschlüsselte SafeGuard Enterprise Clients - UEFI Endpoints Für UEFI Endpoints, die bestimmte Voraussetzungen erfüllen, bietet SafeGuard Enterprise ein Challenge/Response-Verfahren zum Recovery. Auf UEFI Endpoints, die die Voraussetzungen nicht erfüllen, wird automatisch SafeGuard BitLocker ohne Challenge/Response installiert. Informationen über die Wiederherstellung dieser Endpoints finden Sie unter Recovery-Schlüssel für mit BitLocker verschlüsselte SafeGuard Enterprise Clients - BIOS-Endpoints (Seite 152). 1. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client (Managed). 2. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste. 3. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn aus. Hierzu gibt es mehrere Möglichkeiten: ■ Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten Computer aus und klicken Sie auf OK. Der Computername wird auf der Seite Recovery-Typ angezeigt. ■ Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird als Distinguished Name angezeigt. ■ Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel: CN=Desktop1,OU=Development,OU=Headquarter,DC=Sophos,DC=edu 4. Klicken Sie auf Weiter. 5. Wählen Sie das Volume, auf das zugegriffen werden soll, aus der Liste und klicken Sie auf Weiter. 6. Klicken Sie auf Weiter. Eine Seite für die Eingabe des Challenge-Codes wird angezeigt. 7. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter. 8. Es wird ein Response-Code erzeugt. Teilen Sie dem Benutzer den Response-Code mit. Hierzu steht eine Buchstabierhilfe zur Verfügung. Sie können den Response-Code auch in die Zwischenablage kopieren. Der Benutzer kann den Response-Code eingeben und wieder auf den Endpoint zugreifen. 6.2.2 Recovery-Schlüssel für mit BitLocker verschlüsselte SafeGuard Enterprise Clients - BIOS Endpoints Bei mit BitLocker verschlüsselten Computern lässt sich ein Volume, auf das nicht mehr zugegriffen werden kann, wiederherstellen. 1. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client (Managed). 2. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste. 234 Administratorhilfe 3. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn aus. Hierzu gibt es mehrere Möglichkeiten: ■ Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten Computer aus und klicken Sie auf OK. Der Computername wird im Fenster Recovery-Typ unter Domäne angezeigt. ■ Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird als Distinguished Name angezeigt. ■ Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel: CN=Desktop1,OU=Development,OU=Headquarter,DC=Utimaco,DC=edu 4. Klicken Sie auf Weiter. 5. Wählen Sie das Volume, auf das zugegriffen werden soll, aus der Liste und klicken Sie auf Weiter. 6. Der Recovery-Assistent zeigt den 48-stelligen Recovery-Schlüssel an. 7. Teilen Sie dem Benutzer diesen Schlüssel mit. Der Benutzer kann den Schlüssel eingeben, um den Zugriff auf das mit BitLocker verschlüsselte Volume auf dem Endpoint wiederherzustellen. 6.3 Recovery-Schlüssel für Mac-Endpoints Der Zugriff auf mit FileVault 2 verschlüsselte SafeGuard Enterprise Clients kann mit folgenden Schritten wiederhergestellt werden: 1. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client (Managed). 2. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste. 3. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn aus. Hierzu gibt es mehrere Möglichkeiten: ■ Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten Computer aus und klicken Sie auf OK. Der Computername wird im Fenster Recovery-Typ unter Domäne angezeigt. ■ Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird als Distinguished Name angezeigt. ■ Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel: CN=Desktop1,OU=Development,OU=Headquarter,DC=Utimaco,DC=edu 4. Klicken Sie auf Weiter. 5. Der Recovery-Assistent zeigt den 24-stelligen Recovery-Schlüssel an. 6. Teilen Sie dem Benutzer diesen Schlüssel mit. Der Benutzer kann den Recovery-Schlüssel eingeben, um sich am Mac-Endpoint anzumelden und das Kennwort zurückzusetzen. 235 SafeGuard Enterprise 6.4 Virtuelle Clients Hinweis: Virtuelle Clients können nur für SafeGuard full disk encryption with SafeGuard Power-on Authentication (POA) verwendet werden. Virtuelle Clients sind spezifische verschlüsselte Schlüsseldateien, die im Rahmen eines Challenge/Response-Verfahrens für Recovery-Zwecke verwendet werden können, wenn die benötigten Benutzerinformationen nicht zur Verfügung stehen und ein Challenge/Response-Verfahren normalerweise nicht möglich wäre (z. B. bei beschädigter SafeGuard POA). Um in dieser komplexen Recovery-Situation ein Challenge/Response-Verfahren zu ermöglichen, lassen sich spezifische Dateien, die als virtuelle Clients bezeichnet werden, erstellen. Diese Dateien müssen vor dem Challenge/Response-Verfahren an den Benutzer verteilt werden. Mit virtuellen Clients lasst sich ein Challenge/Response-Verfahren mit einem Schlüssel-Recovery Tool auf dem Endpoint-Computer starten. Der Benutzer muss dann nur den Helpdesk-Beauftragten über den/die benötigten Schlüssel informieren und den Response-Code eingeben, um wieder Zugriff auf die verschlüsselten Volumes zu erhalten. Der Zugriff kann entweder mit Hilfe eines einzelnen Schlüssels oder mit Hilfe einer verschlüsselten Schlüsseldatei, die mehrere Schlüssel enthält, wiederhergestellt werden. Im Bereich Schlüssel und Zertifikate des SafeGuard Management Centers haben Sie folgende Möglichkeiten: ■ Virtuelle Clients anlegen und exportieren ■ Verschlüsselte Schlüsseldateien mit mehreren Schlüsseln anlegen und exportieren ■ Virtuelle Clients und exportierte Schlüsseldateien anzeigen lassen und filtern ■ Virtuelle Clients löschen 6.4.1 Anlegen von virtuellen Clients Virtuelle Clients können für verschiedene Computer und in mehreren Challenge/Response-Verfahren benutzt werden. 1. 2. 3. 4. Klicken Sie im SafeGuard Management Center auf Schlüssel & Zertifikate. Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients. Klicken Sie in der Symbolleiste auf Virtuellen Client hinzufügen. Geben Sie einen eindeutigen Namen für den virtuellen Client ein und klicken Sie auf OK. Die virtuellen Clients werden anhand der hier eingegebenen Namen in der Datenbank identifiziert. 5. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um den virtuellen Client in der Datenbank zu speichern. Der neue virtuelle Client wird im Aktionsbereich angezeigt. 6.4.2 Export von virtuellen Clients Nach dem Anlegen des virtuellen Client muss dieser in eine Datei exportiert werden. Diese Datei hat immer die Bezeichnung recoverytoken.tok und muss an den Helpdesk verteilt werden. Beim Starten eines Challenge/Response-Verfahrens über ein Recovery Tool, z. B. 236 Administratorhilfe bei einer beschädigten SafeGuard POA, muss diese Datei in der Endpoint-Umgebung zur Verfügung stehen. Der Benutzer muss die Datei recoverytoken.tok im selben Verzeichnis ablegen, in dem sich auch das Recovery Tool befindet, damit ein Challenge/Response-Verfahren unterstützt wird. 1. Klicken Sie im SafeGuard Management Center auf Schlüssel & Zertifikate. 2. Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients. 3. Klicken Sie im Aktionsbereich auf das Lupensymbol, um nach dem gewünschten virtuellen Client zu suchen. Die verfügbaren virtuellen Clients werden angezeigt. 4. Wählen Sie den gewünschten Eintrag im Aktionsbereich aus und klicken Sie in der Symbolleiste auf Virtuellen Client exportieren. 5. Wählen Sie einen Speicherort für die Datei recoverytoken.tok und klicken Sie auf OK. Eine entsprechende Meldung wird angezeigt. 6. Verteilen Sie die virtuelle Client-Datei recoverytoken.tok an die betreffenden SafeGuard Enterprise Benutzer. Der Benutzer sollte diese Datei an einem sicheren Speicherort speichern, z. B. auf einem USB-Stick. Beim Starten eines Challenge/Response-Verfahrens muss diese Datei im selben Verzeichnis wie das Recovery Tool abgelegt sein. 6.4.3 Anlegen und Exportieren von Schlüsseldateien für den Recovery-Vorgang Sind mehrere Schlüssel erforderlich, um den Zugriff auf ein verschlüsseltes Volume im Rahmen eines Recovery-Verfahrens mit virtuellen Clients wiederherzustellen, so kann der Sicherheitsbeauftragte diese Schlüssel in einer exportierten Schlüsseldatei zusammenfassen. Diese Schlüsseldatei wird mit einem Zufallskennwort verschlüsselt, das in der Datenbank gespeichert wird. Das Kennwort ist für jede angelegte Schlüsseldatei einzigartig. Die verschlüsselte Schlüsseldatei muss an den Benutzer übertragen werden und ihm beim Starten eines Challenge/Response-Verfahrens über ein Recovery Tool zur Verfügung stehen. Im Rahmen des Challenge/Response-Verfahrens wird das Kennwort für die Schlüsseldatei mit dem Response-Code übertragen. Die Schlüsseldatei kann daraufhin mit dem Kennwort entschlüsselt werden und es besteht wieder Zugriff auf alle Volumes, die mit den verfügbaren Schlüsseln verschlüsselt sind. Um Schüsseldateien zu exportieren, benötigen Sie das Zugriffsrecht Voller Zugriff für die Objekte, denen die relevanten Schlüssel zugewiesen sind. 1. Klicken Sie im SafeGuard Management Center auf Schlüssel & Zertifikate. 2. Klicken Sie im Navigationsfenster auf der linken Seite zunächst auf Virtuelle Clients und dann auf Exportierte Schlüsseldateien. 3. Klicken Sie in der Symbolleiste auf Schlüssel in eine Schlüsseldatei exportieren. 4. Geben Sie im Dialog Schlüssel in eine Schlüsseldatei exportieren folgende Informationen ein: a) Verzeichnis: Klicken Sie auf [...], um einen Speicherort für die Schlüsseldatei auszuwählen. b) Dateiname: Die Schlüsseldatei ist mit einem Zufallskennwort verschlüsselt, das hier angezeigt wird. Sie können den hier angezeigten Namen nicht ändern. c) Klicken Sie auf Schlüssel hinzufügen oder Schlüssel entfernen, um Schlüssel hinzuzufügen oder zu entfernen. Ein Popup-Fenster, in dem Sie nach den gewünschten 237 SafeGuard Enterprise Schlüsseln suchen und diese auswählen können, wird angezeigt. Klicken Sie auf OK, um die Auswahl zu bestätigen. d) Klicken Sie auf OK, um Ihre Angaben zu bestätigen. 5. Verteilen Sie diese Schlüsseldatei an die betreffende Endpoint-Umgebung. Sie muss vor der Eingabe des Response-Codes auf dem Endpoint zur Verfügung stehen. 6.4.4 Virtuelle Clients anzeigen und Ansicht filtern Um Ihnen das Auffinden des erforderlichen virtuellen Clients oder Schlüssels während eines Challenge/Response-Verfahrens zu erleichtern, bietet der Bereich Schlüssel und Zertifikate des SafeGuard Management Centers verschiedene Filter- und Suchfunktionalitäten. 6.4.5 Ansichten für virtuelle Clients 1. Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients. 2. Klicken Sie auf das Lupensymbol, um eine vollständige Liste aller virtuellen Clients zu erstellen. 3. Filtern Sie die virtuellen Clients nach Symbolischer Name oder Schlüssel-GUID. 6.4.6 Ansichten für exportierte Schlüsseldateien 1. Klicken Sie im SafeGuard Management Center zunächst auf Virtuelle Clients und dann auf Exportierte Schlüsseldateien. 2. Klicken Sie auf das Lupensymbol, um eine vollständige Liste aller exportierten Schlüsseldateien zu erstellen. 3. Klicken Sie auf das + Symbol neben der gewünschten Schlüsseldatei, um die in der Datei enthaltenen Schlüssel anzuzeigen. 6.4.7 Löschen von virtuellen Clients 1. Öffnen Sie das SafeGuard Management Center und klicken Sie auf Schlüssel und Zertifikate. 2. Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients. 3. Klicken Sie im Aktionsbereich auf das Lupensymbol, um nach dem gewünschten virtuellen Client zu suchen. Die verfügbaren virtuellen Clients werden angezeigt. 4. Wählen Sie den gewünschten Eintrag im Aktionsbereich aus und klicken Sie in der Symbolleiste auf Virtuellen Client löschen. 5. Speichern Sie ihre Änderungen in der Datenbank, indem Sie in der Symbolleiste auf das Symbol Speichern klicken. Der virtuelle Client wird aus der Datenbank gelöscht. 6.5 So reparieren Sie eine beschädigte Management Center Installation: Eine beschädigte Installation des SafeGuard Management Center kann repariert werden wenn die Datenbank intakt ist. Installieren Sie in diesem Fall das SafeGuard Management 238 Administratorhilfe Center neu und verwenden Sie dabei die bestehende Datenbank sowie das gesicherte Zertifikat für den Haupt-Sicherheitsbeauftragten. Das Unternehmenszertifikat und das Haupt-Sicherheitsbeauftragten-Zertifikat der betreffenden Datenbankkonfiguration müssen als .p12 Dateien exportiert worden sein. Die Dateien müssen verfügbar und gültig sein. Die Kennwörter für die .p12 Dateien sowie für den Zertifikatsspeicher müssen Ihnen bekannt sein. So reparieren Sie eine beschädigte SafeGuard Management Center Installation: 1. Installieren Sie das SafeGuard Management Center Installationspaket neu. Öffnen Sie das SafeGuard Management Center. Der Konfigurationsassistent wird automatisch geöffnet. 2. Wählen Sie unter Datenbankverbindung den relevanten Datenbankserver und konfigurieren Sie, falls erforderlich, die Verbindung zur Datenbank. Klicken Sie auf Weiter. 3. Aktivieren Sie unter Datenbankeinstellungen die Option Folgende bestehende Datenbank verwenden und wählen Sie die Datenbank aus der Liste aus. 4. Führen Sie unter Daten des Sicherheitsbeauftragten einen der folgenden Schritte aus: ■ Wenn die gesicherte Zertifikatsdatei auf dem Computer gefunden wird, wird sie angezeigt. Geben Sie das Kennwort ein, das Sie zur Anmeldung an das SafeGuard Management Center benutzen. ■ Wird die gesicherte Zertifikatsdatei nicht auf dem Computer gefunden, wählen Sie Importieren. Suchen Sie nach der gesicherten Zertifikatsdatei und klicken Sie auf Öffnen. Geben Sie das Kennwort für die Zertifikatsdatei ein. Klicken Sie auf Ja. Geben Sie ein Kennwort für die Anmeldung am SafeGuard Management Center ein und bestätigen Sie es. 5. Klicken Sie auf Weiter und dann auf Fertig stellen, um die Konfiguration des SafeGuard Management Center abzuschließen. Die SafeGuard Management Center Installation ist repariert. 6.6 Reparieren einer beschädigten Datenbankkonfiguration Sie können eine beschädigte Datenbankkonfiguration reparieren, indem Sie das SafeGuard Management Center neu installieren und basierend auf den gesicherten Zertifikatsdateien eine neue Instanz der Datenbank erstellen. Dadurch wird sichergestellt, dass alle vorhandenen SafeGuard Enterprise Endpoints Richtlinien von der neuen Installation annehmen. Das Unternehmenszertifikat und das Haupt-Sicherheitsbeauftragten-Zertifikat der betreffenden Datenbankkonfiguration müssen als .p12 Dateien exportiert worden sein. Die Dateien müssen verfügbar und gültig sein. Die Kennwörter für die beiden .p12 Dateien sowie für den Zertifikatsspeicher müssen Ihnen bekannt sein. Hinweis: Dieses Verfahren ist nur dann zu empfehlen, wenn keine gültige Sicherungskopie der Datenbank verfügbar ist. Alle Computer, die mit einem reparierten Backend verbunden werden, verlieren ihre Benutzer-Computer Zuordnung. Infolgedessen wird die Power-on Authentication vorübergehend abgeschaltet. Challenge/Response-Mechanismen stehen erst dann wieder zur Verfügung, wenn der entsprechende Endpoint seine Schlüsselinformationen wieder erfolgreich übertragen hat. 239 SafeGuard Enterprise So reparieren Sie eine beschädigte Datenbankkonfiguration: 1. Installieren Sie das SafeGuard Management Center Installationspaket neu. Öffnen Sie das SafeGuard Management Center. Der Konfigurationsassistent wird automatisch geöffnet. 2. Wählen Sie unter Datenbank-Verbindung die Option Neue Datenbank erstellen. Konfigurieren Sie unter Datenbankeinstellungen die Verbindung zur Datenbank. Klicken Sie auf Weiter. 3. Wählen Sie unter Daten des Sicherheitsbeauftragten den relevanten Haupt-Sicherheitsbeauftragten und klicken Sie auf Importieren. 4. Suchen Sie unter Importieren des Zertifikats die gesicherte Zertifikatsdatei. Geben Sie unter Schlüsseldatei das für diese Datei festgelegte Kennwort ein und bestätigen Sie es. Klicken Sie auf OK. 5. Das Zertifikat des Haupt-Sicherheitsbeauftragten wird importiert. Klicken Sie auf Weiter. 6. Aktivieren Sie unter Unternehmenszertifikat die Option Über vorhandenes Unternehmenszertifikat wiederherstellen. Klicken Sie auf Importieren, um die gesicherte Zertifikatsdatei auszuwählen, die das gültige Unternehmenszertifikat enthält. Sie werden aufgefordert, das für den Zertifikatsspeicher definierte Kennwort einzugeben. Geben Sie das Kennwort ein und klicken Sie auf OK. Klicken Sie im Willkommen-Fenster auf Weiter. Das Unternehmenszertifikat wird importiert. 7. Klicken Sie auf Weiter, dann auf Beenden. Die Datenbankkonfiguration ist repariert. 240 Administratorhilfe 7 Erweiterte Verwaltung 7.1 Empfohlene Sicherheitsmaßnahmen Wenn Sie die hier beschriebenen, einfachen Schritte befolgen, reduzieren Sie Risiken und die Daten auf Ihrem Computer sind jederzeit sicher und geschützt. Für Informationen zur zertifizierungsgerechten Anwendung von SafeGuard Enterprise finden Sie im SafeGuard Enterprise Manual for certification-compliant operation (Englisch). Vermeiden Sie den Standbymodus. Wenn sich SafeGuard Enterprise-geschützte Endpoints in bestimmten Energiesparmodi befinden, in denen das Betriebssystem nicht ordnungsgemäß heruntergefahren und bestimmte Hintergrundprozesse nicht beendet werden, besteht die Gefahr, dass sich Angreifer Zugriff auf die Verschlüsselungsschlüssel verschaffen. Der Schutz kann erhöht werden, wenn das Betriebssystem immer vollständig heruntergefahren oder in den Ruhezustand versetzt wird. Informieren Sie die Benutzer entsprechend oder erwägen Sie, den Standbymodus auf nicht benutzten Endpoints zentral zu deaktivieren: ■ ■ ■ Vermeiden Sie den Standbymodus ebenso wie den hybriden Standbymodus. Der hybride Standbymodus ist eine Mischung aus Energiesparmodus und Standbymodus. Die Einstellung einer zusätzlichen Kennwort-Abfrage nach dem Aufwecken des Computers bietet keinen vollen Schutz. Vermeiden Sie das Sperren von Desktops, das Ausschalten von Monitoren oder das Zuklappen von Laptops, wenn darauf kein vollständiges Herunterfahren oder der Ruhezustand folgt. Die Einstellung einer zusätzlichen Kennwort-Abfrage nach dem Aufwecken des Computers bietet keinen ausreichenden Schutz. Fahren Sie stattdessen die Endpoints herunter oder versetzen Sie sie in den Ruhezustand. Beim nächsten Benutzen des Computers wird stets die SafeGuard Power-on Authentication aktiviert, die somit vollen Schutz bietet. Hinweis: Es ist wichtig, dass sich die Ruhezustand-Datei auf einem verschlüsselten Volume befindet. Normalerweise liegt sie auf Laufwerk C:\. Die entsprechenden Einstellungen für die Energieverwaltung können Sie zentral mit Gruppenrichtlinienobjekten oder lokal im Eigenschaften für Energieoptionen Dialog in der Systemsteuerung des Endpoints konfigurieren. Stellen Sie die Aktion für die Standbymodus Schaltfläche auf Ruhezustand oder Herunterfahren. Setzen Sie eine Richtlinie für sichere Kennwörter um. Setzen Sie eine Richtlinie für sichere Kennwörter um und erzwingen Sie einen Kennwortwechsel in regelmäßigen Abständen, besonders für die Anmeldung an Endpoints. Kennwörter sollten nicht an andere Personen weitergegeben oder aufgeschrieben werden. 241 SafeGuard Enterprise Informieren Sie Benutzer, wie sie sichere Kennwörter wählen. Ein sicheres Kennwort folgt diesen Regeln: ■ ■ Es ist lange genug um sicher zu sein: Eine Mindestlänge von 10 Zeichen ist zu empfehlen. Es enthält eine Mischung aus Buchstaben (Groß- und Kleinschreibung), Zahlen und Sonderzeichen/Symbolen. ■ Es enthält keine allgemein gebräuchlichen Wörter oder Namen. ■ Es ist schwer zu erraten, aber es ist leicht, es sich zu merken und korrekt einzutippen. Deaktivieren Sie die SafeGuard Power-on Authentication nicht. Die SafeGuard Power-on Authentication bietet zusätzlichen Schutz für die Anmeldung am Endpoint. Sie wird mit der Festplattenverschlüsselung von SafeGuard Enterprise installiert und standardmäßig aktiviert. Um vollen Schutz zu gewährleisten, deaktivieren Sie die Power-on Authentication nicht. Weitere Informationen finden Sie unter http://www.sophos.com/de-de/support/knowledgebase/110282.aspx Schutz vor dem Einschleusen von Code Unter Umständen ist das Einschleusen von Code (zum Beispiel DLL Pre-Loading-Angriffe) möglich, wenn es einem Angreifer gelingt, schädlichen Code (zum Beispiel in ausführbaren Dateien) in Verzeichnisse einzubringen, in denen die SafeGuard Enterprise Verschlüsselungssoftware nach legitimem Code sucht. So wenden Sie diese Bedrohung ab: ■ ■ ■ Installieren Sie die von der Verschlüsselungssoftware geladene Middleware, zum Beispiel Token Middleware, in Verzeichnissen, auf die externe Angreifer nicht zugreifen können. Dies sind üblicherweise die Unterverzeichnisse der Windows und Programme Verzeichnisse. Die PATH-Umgebungsvariable sollte keine Komponenten enthalten, die auf Ordner verweisen, auf die externe Angreifer zugreifen können (siehe oben). Reguläre Benutzer sollten keine Administratorenrechte haben. Best Practices für die Verschlüsselung ■ Stellen Sie sicher, dass allen Laufwerken ein Laufwerksbuchstabe zugewiesen ist. Nur Laufwerke, die einen Laufwerksbuchstaben zugewiesen haben, können verschlüsselt/entschlüsselt werden. Folglich können Laufwerke ohne Laufwerksbuchstaben missbraucht werden, um an vertrauliche Daten im Klartext zu gelangen. So wenden Sie diese Bedrohung ab: Erlauben Sie den Benutzern nicht, die Laufwerkbuchstabenzuweisungen zu ändern. Konfigurieren Sie die Benutzerrechte entsprechend. Reguläre Benutzer haben dieses Recht standardmäßig nicht. ■ Gehen Sie bei der Anwendung der schnellen Initialverschlüsselung vorsichtig vor. SafeGuard Enterprise bietet die schnelle Initialverschlüsselung zur Beschleunigung der Initialverschlüsselung von Volumes. Dies wird dadurch erreicht, dass nur auf den Speicherplatz zugegriffen wird, der tatsächlich in Gebrauch ist. Dieser Modus kann zu einem unsichereren Zustand führen, wenn ein Volume vor der Verschlüsselung mit SafeGuard Enterprise bereits in Gebrauch war. Aufgrund Ihres Aufbaus sind Solid State 242 Administratorhilfe Disks (SSD) hier stärker betroffen als reguläre Festplatten. Dieser Modus ist standardmäßig deaktiviert. Weitere Informationen finden Sie unter http://www.sophos.com/de-de/support/knowledgebase/113334.aspx. ■ ■ Verwenden Sie nur den Algorithmus AES-256 für die Datenverschlüsselung. Verwenden Sie SSL/TLS (SSL Version 3 oder höher) für den Schutz der Kommunikation zwischen Client und Server. Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung. ■ Verhindern Sie die Deinstallation. Um Endpoints zusätzlich zu schützen, kann die lokale Deinstallation von SafeGuard Enterprise über eine Richtlinie mit spezifischen Computereinstellungen verhindert werden. Setzen Sie das Feld Deinstallation erlaubt auf Nein und übermitteln Sie die Richtlinie an die Endpoints. Versuche, die Software zu deinstallieren, werden abgebrochen und die nicht autorisierten Versuche werden protokolliert. Wenn Sie eine Demoversion benutzen, setzen Sie vor Ablauf der Demoversion die Option Deinstallation erlaubt auf Ja. Wenden Sie den Sophos Manipulationsschutz auf Endpoints an, auf denen Sophos Endpoint Security and Control installiert ist. 7.2 Mit mehreren Datenbankkonfigurationen arbeiten (Multi Tenancy) Das SafeGuard Management Center ermöglicht die Benutzung mehrerer Datenbankkonfigurationen (Multi Tenants). Wenn Sie diese Funktion nutzen möchten, müssen Sie sie während der Installation aktivieren. Weitere Informationen finden Sie unter Installation (Seite 11). Mit Multi Tenancy können Sie verschiedene SafeGuard Enterprise Datenbankkonfigurationen konfigurieren und sie für eine Instanz des SafeGuard Management Centers verwalten. Dies erweist sich vor allem dann als nützlich, wenn Sie verschiedene Konfigurationen für verschiedene Domänen, OUs oder Unternehmensstandorte einsetzen möchten. Voraussetzung: Die Funktion Multi Tenancy muss über eine Installation vom Typ Vollständig installiert worden sein. Die initiale Konfiguration des SafeGuard Management Center muss durchgeführt worden sein. Um die Konfigurationsarbeiten zu erleichtern, haben Sie folgende Möglichkeiten: ■ Mehrere Datenbankkonfigurationen erstellen. ■ Zuvor erstellte Datenbankkonfiguration auswählen. ■ Datenbankkonfiguration löschen. ■ Zuvor erstellte Datenbankkonfiguration aus einer Datei importieren. ■ Datenbankkonfiguration zur späteren Wiederverwendung exportieren. 243 SafeGuard Enterprise 7.2.1 Erstellen von weiteren Datenbankkonfigurationen Voraussetzung: Die Funktion Multi Tenancy muss über eine Installation vom Typ Vollständig installiert worden sein. Die initiale Konfiguration des SafeGuard Management Center muss durchgeführt worden sein, siehe Starten der Erstkonfiguration des SafeGuard Management Center (Seite 35). Hinweis: Sie müssen pro Datenbank jeweils eine separate SafeGuard Enterprise Server Instanz einrichten. So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach der Erstkonfiguration: 1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählen wird angezeigt. 2. Klicken Sie auf Neu. Der SafeGuard Management Center Konfigurationsassistent wird automatisch gestartet. 3. Der Assistent führt Sie durch die notwendigen Schritte für das Anlegen einer neuen Datenbankkonfiguration. Wählen Sie die gewünschten Optionen. Die neue Datenbankkonfiguration wird generiert. 4. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für diese Konfiguration auszuwählen und das entsprechende Zertifikatspeicher-Kennwort einzugeben. Klicken Sie auf OK. Das SafeGuard Management Center wird geöffnet und mit der ausgewählten Datenbankkonfiguration verbunden. Beim nächsten Start des SafeGuard Management Center kann die neue Datenbankkonfiguration aus der Liste ausgewählt werden. 7.2.2 Konfigurieren zusätzlicher Instanzen des SafeGuard Management Center Sie können zusätzliche Instanzen des SafeGuard Management Center konfigurieren, um Sicherheitsbeauftragten den Zugriff für die Durchführung administrativer Aufgaben auf verschiedenen Computern zu ermöglichen. Das SafeGuard Management Center kann auf jedem Rechner im Netzwerk installiert sein, von wo aus auf die Datenbank zugegriffen werden kann. SafeGuard Enterprise verwaltet die Zugriffsrechte auf das SafeGuard Management Center in einem eigenen Zertifikatsverzeichnis. In diesem Verzeichnis müssen die Zertifikate aller Sicherheitsbeauftragten, die sich am SafeGuard Management Center anmelden dürfen, vorhanden sein. Für die Anmeldung an das SafeGuard Management Center ist dann nur das Kennwort für den Zertifikatsspeicher erforderlich. 1. Installieren Sie SGNManagementCenter.msi mit den gewünschten Features auf einem weiteren Computer. 2. Starten Sie das SafeGuard Management Center auf dem Administratorcomputer. Der Konfigurationsassistent wird gestartet und führt Sie durch die notwendigen Schritte. 3. Klicken Sie auf der Willkommen Seite auf Weiter. 4. Wählen Sie im Dialog Datenbankverbindung unter Datenbankserver die erforderliche SQL-Datenbankinstanz aus der Liste aus. Alle auf Ihrem Computer oder Netzwerk verfügbaren Datenbankserver werden angezeigt. Wählen Sie unter Authentisierung die Art der Authentisierung, die für den Zugriff auf diese Datenbankinstanz benutzt werden soll. Wenn Sie Folgende Anmeldeinformationen für SQL Server Authentisierung anwenden wählen, geben Sie die SQL-Benutzerkontenanmeldedaten ein, die Ihr SQL-Administrator erstellt hat. Klicken Sie auf Weiter. 244 Administratorhilfe 5. Aktivieren Sie auf der Seite Datenbankeinstellungen die Option Folgende bestehende Datenbank verwenden und wählen Sie die Datenbank aus der Liste aus. Klicken Sie auf Weiter. 6. Wählen Sie unter SafeGuard Management Center Authentisierung eine autorisierte Person aus der Liste aus. Wenn Multi Tenancy aktiviert ist, zeigt der Dialog an, an welcher Konfiguration sich der Benutzer anmeldet. Geben Sie das Kennwort für den Zertifikatsspeicher ein und bestätigen Sie es. Der Zertifikatsspeicher für das aktuelle Benutzerkonto wird angelegt und ist durch dieses abgesichert. Für die nachfolgenden Anmeldungen benötigen Sie nur noch dieses Kennwort. 7. Klicken Sie auf OK. Eine Meldung, dass Zertifikat und privater Schlüssel nicht gefunden bzw. nicht darauf zugegriffen werden kann, wird angezeigt. 8. Klicken Sie zum Importieren der Daten auf Ja und dann auf OK. Dadurch wird der Importvorgang gestartet. 9. Klicken Sie unter Authentisierungs-Schlüsseldatei importieren auf die [...] Schaltfläche und wählen Sie die Schlüsseldatei aus. Geben Sie das Kennwort der Schlüsseldatei ein. Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token-PIN definierte Kennwort für den Zertifikatsspeicher ein. Wählen Sie In den Zertifikatsspeicher importieren oder Auf den Token kopieren, um das Zertifikat auf einem Token zu speichern. 10. Geben Sie zur Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein. Zertifikat und privater Schlüssel befinden sich nun im Zertifikatsspeicher. Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet. 7.2.3 Herstellen einer Verbindung mit einer bereits vorhandenen Datenbankkonfiguration So benutzen Sie eine bereits vorhandene SafeGuard Enterprise Datenbankkonfiguration: 1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählen wird angezeigt. 2. Wählen Sie die Datenbankkonfiguration, die Sie verwenden möchten, aus der Dropdownliste und klicken Sie auf OK. Die ausgewählte Datenbankkonfiguration wird mit dem SafeGuard Management Center verbunden und wird aktiv. 3. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für diese Konfiguration auszuwählen und das entsprechende Zertifikatsspeicherkennwort einzugeben. Klicken Sie auf OK. Das SafeGuard Management Center wird geöffnet und mit der ausgewählten Datenbankkonfiguration verbunden. 7.2.4 Export einer Konfiguration in eine Datei Um eine Konfiguration zu speichern, damit sie später wiederverwendet werden kann, können Sie sie in eine Datei exportieren. 1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählen wird angezeigt. 245 SafeGuard Enterprise 2. Wählen Sie die gewünschte Konfiguration aus der Liste und klicken Sie auf Exportieren... 3. Zum Schutz der Konfigurationsdatei werden Sie dazu aufgefordert, ein Kennwort, das die Konfigurationsdatei verschlüsselt, einzugeben und zu bestätigen. Klicken Sie auf OK. 4. Geben Sie einen Dateinamen und einen Speicherort für die exportierte Konfigurationsdatei *.SGNConfig an. Sollte diese Konfiguration bereits vorhanden sein, so werden Sie gefragt, ob Sie die vorhandene Konfiguration überschreiben möchten. Die Datenbankkonfiguration wird am angegebenen Speicherort gespeichert. 7.2.5 Import einer Konfiguration aus einer Datei Um eine Datenbankkonfiguration zu verwenden oder zu ändern, können Sie eine zuvor erstellte Konfiguration in das SafeGuard Management Center importieren. Hier gibt es zwei Möglichkeiten: ■ über das SafeGuard Management Center (für Multi Tenancy) ■ durch Doppelklicken auf die Konfigurationsdatei (für Single und Multi Tenancy) 7.2.6 Import einer Konfiguration über das SafeGuard Management Center 1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählen wird angezeigt. 2. Klicken Sie auf Import..., wählen Sie die gewünschte Konfigurationsdatei aus und klicken Sie auf Öffnen. 3. Geben Sie das Kennwort ein, das während des Exports für die Konfigurationsdatei erstellt wurde, und klicken Sie auf OK. Die ausgewählte Konfiguration wird angezeigt. 4. Um die Konfiguration zu aktivieren, klicken Sie auf OK. 5. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für diese Konfiguration auszuwählen und das entsprechende Zertifikatsspeicherkennwort einzugeben. Klicken Sie auf OK. Das SafeGuard Management Center wird geöffnet und mit der importierten Datenbankkonfiguration verbunden. 7.2.7 Import einer Konfiguration durch Doppelklicken auf die Konfigurationsdatei (Single und Multi Tenancy) Hinweis: Dieser Vorgang ist sowohl im Single Tenancy als auch im Multi Tenancy Modus möglich. Es besteht auch die Möglichkeit, eine Konfiguration zu exportieren und diese an mehrere Sicherheitsbeauftragte zu verteilen. Die Sicherheitsbeauftragten müssen lediglich auf die Konfigurationsdatei doppelklicken, um ein vollständig konfiguriertes SafeGuard Management Center zu öffnen. Dies erweist sich vor allem dann als vorteilhaft, wenn Sie die SQL Authentisierung für die Datenbank verwenden und vermeiden möchten, dass das SQL-Kennwort jedem Administrator bekannt ist. Sie müssen das Kennwort dann nur einmal eingeben, eine Konfigurationsdatei erstellen und sie an die Computer der Sicherheitsbeauftragten verteilen. 246 Administratorhilfe Voraussetzung: Die Erstkonfiguration des SafeGuard Management Centers muss durchgeführt worden sein. Detaillierte Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung. 1. Starten Sie das SafeGuard Management Center. 2. Wählen Sie im Extras Menü Optionen und wechseln Sie in die Registerkarte Datenbank. 3. Geben Sie die Anmeldeinformationen für die SQL Datenbankserververbindung ein oder bestätigen Sie diese. 4. Klicken Sie auf Konfiguration exportieren, um die Konfiguration in eine Datei zu exportieren. 5. Geben Sie ein Kennwort für die Konfigurationsdatei ein und bestätigen Sie es. 6. Geben Sie einen Dateinamen ein und wählen Sie einen Speicherort aus. 7. Verteilen Sie die Konfigurationsdatei an die Computer der Sicherheitsbeauftragten. Teilen Sie ihnen das Kennwort für diese Datei sowie das Zertifikatsspeicherkennwort mit, das Sie für Anmeldung an das SafeGuard Management Center benötigen. 8. Die Sicherheitsbeauftragten müssen nur auf die Konfigurationsdatei doppelklicken. 9. Sie werden aufgefordert, das Kennwort für die Konfigurationsdatei einzugeben. 10. Zur Anmeldung an das SafeGuard Management Center werden die Sicherheitsbeauftragten aufgefordert, ihr Zertifikatsspeicherkennwort einzugeben. Das SafeGuard Management Center startet mit der importierten Konfiguration. Diese Konfiguration ist die neue Standardkonfiguration. 7.2.8 Schneller Wechsel zwischen Datenbankkonfigurationen Zur Vereinfachung von Verwaltungsaufgaben bei mehreren Datenbanken bietet das SafeGuard Management Center den schnellen Wechsel zwischen Datenbankkonfigurationen. Hinweis: Dieser Vorgang ist auch im Single Tenancy Modus möglich. 1. Wählen Sie Datei in der Menüleiste des SafeGuard Management Centers und klicken Sie auf Konfiguration wechseln... 2. Wählen Sie die Datenbank, zu der Sie wechseln möchten, aus der Dropdownliste aus und klicken Sie auf OK. Das SafeGuard Management Center wird automatisch mit der ausgewählten Konfiguration neu gestartet. 7.3 SafeGuard Management Center – erweitert 7.3.1 Warnung bei Ablauf des Unternehmenszertifikats Sechs Monate vor Ablauf des Unternehmenszertifikats zeigt das SafeGuard Management Center bei der Anmeldung eine Warnung an und fordert Sie dazu auf, das Zertifikat zu erneuern und an die Endpoints zu übertragen. Ohne gültiges Unternehmenszertifikat können Endpoints keine Verbindung mit dem Server herstellen. Sie können das Unternehmenszertifikat jederzeit erneuern. Dies ist auch dann möglich, wenn das Unternehmenszertifikat bereits abgelaufen ist.Wenn ein Unternehmenszertifikat abgelaufen ist, wird dies auch durch eine Meldung angegeben. Informationen zum Erneuern des Unternehmenszertifikats finden Sie unter Erneuerung des Unternehmenszertifikats (Seite 296). 247 SafeGuard Enterprise 7.3.2 Anmeldung im Single Tenancy Modus 1. Starten Sie das SafeGuard Management Center über den Produktordner im Start Menü. Ein Anmeldebildschirm wird angezeigt. 2. Melden Sie sich als Haupt-Sicherheitsbeauftragter an und geben Sie das Zertifikatsspeicherkennwort ein, das während der Konfiguration festgelegt wurde. Klicken Sie auf OK. Das SafeGuard Management Center wird geöffnet. Hinweis: Wenn Sie ein falsches Kennwort eingeben, wird eine Fehlermeldung angezeigt und die nächste Anmeldung wird verzögert. Diese Verzögerung wird mit jedem fehlgeschlagenen Anmeldeversuch größer. Fehlgeschlagene Anmeldeversuche werden protokolliert. 7.3.3 Anmeldung im Multi Tenancy Modus Wenn Sie mehrere Datenbanken konfiguriert haben (Multi Tenancy), erweitert sich der Vorgang der Anmeldung am SafeGuard Management Center (siehe Mit mehreren Datenbankkonfigurationen arbeiten (Multi Tenancy) (Seite 243)). 1. Starten Sie das SafeGuard Management Center über den Produktordner im Start Menü. Der Dialog Konfiguration auswählen wird angezeigt. 2. Wählen Sie die Datenbankkonfiguration, die Sie verwenden möchten, aus der Dropdownliste und klicken Sie auf OK. Die ausgewählte Datenbankkonfiguration wird mit dem SafeGuard Management Center verbunden und wird aktiv. 3. Zur Anmeldung an das SafeGuard Management Center werden Sie dazu aufgefordert, den Namen des Sicherheitsbeauftragten für diese Konfiguration auszuwählen und Ihr Zertifikatsspeicherkennwort einzugeben. Klicken Sie auf OK. Das SafeGuard Management Center wird geöffnet und mit der ausgewählten Datenbankkonfiguration verbunden. Hinweis: Wenn Sie ein falsches Kennwort eingeben, wird eine Fehlermeldung angezeigt und die nächste Anmeldung wird verzögert. Diese Verzögerung wird mit jedem fehlgeschlagenen Anmeldeversuch größer. Fehlgeschlagene Anmeldeversuche werden protokolliert. 7.3.4 Suche nach Benutzern, Computern und Gruppen in der SafeGuard Enterprise Datenbank Um Objekte im Dialog Benutzer, Computer und Gruppen suchen anzeigen zu lassen, benötigen Sie die Zugriffsrechte Schreibgeschützt oder Voller Zugriff für die relevanten Objekte. Hinweis: Wenn Sie nach Objekten suchen, dann bekommen Sie nur Suchergebnisse innerhalb der Bereiche (Domäne), für die Sie Zugriff als Sicherheitsbeauftragter haben. Nur ein Haupt-Sicherheitsbeauftragten (Master Security Officer, MSO) kann einen erfolgreichen Root Search-Prozess durchführen. Im Bereich Benutzer & Computer können Sie mit verschiedenen Filtern nach Objekten suchen. So können Sie z. B. mit dem Filter Doppelte Benutzer und Computer nach Duplikaten suchen, die durch einen AD-Synchronisierungsvorgang entstehen können. Der 248 Administratorhilfe Filter zeigt alle Computer mit demselben Namen in einer Domäne sowie alle Benutzer mit demselben Namen, Anmeldenamen oder Prä-2000 Anmeldenamen in einer Domäne. So suchen Sie nach Objekten: 1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer. 2. Wählen Sie im Benutzer & Computer Navigationsbereich den gewünschten Container. 3. Wählen Sie Bearbeiten > Suchen in der SafeGuard Management Center Menüleiste. Der Benutzer, Computer und Gruppen suchen Dialog wird angezeigt. 4. Wählen Sie den gewünschten Filter aus der Suchen Dropdownliste aus. 5. Im Feld In wird der ausgewählte Container angezeigt. Den hier angezeigten Container können Sie ändern, indem Sie eine andere Option aus der Dropdownliste auswählen. 6. Wenn Sie nach einem bestimmten Objekt suchen, geben Sie den erforderlichen Suchnamen im Feld Suchname ein. 7. Legen Sie mit dem Kontrollkästchen Ansicht nach jeder Suche löschen fest, ob die Suchergebnisse nach jedem Suchvorgang aus der Ansicht gelöscht werden sollen. 8. Klicken Sie anschließend auf Jetzt suchen. Die Ergebnisse werden im Benutzer, Computer und Gruppen suchen Dialog angezeigt. Wenn Sie auf eines der Ergebnisse in diesem Dialog klicken, wird der entsprechende Eintrag in der Benutzer & Computer Baumstruktur markiert. Wenn Sie z. B. nach Duplikaten gesucht haben, können Sie diese nun bequem löschen. 7.3.5 Anzeigen von Objekteigenschaften in Benutzer und Computer Um Objekteigenschaften einzusehen, benötigten Sie die Zugriffsrechte Voller Zugriff oder Schreibgeschützt für die relevanten Objekte. 1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer. 2. Klicken Sie im Navigationsbereich von Benutzer & Computer mit der rechten Maustaste auf das gewünschte Objekt und wählen Sie Eigenschaften. Die Eigenschaften des ausgewählten Objekts werden angezeigt. Wenn Sie für das Objekt das Zugriffsrecht Schreibgeschützt haben, werden die Eigenschaften im Dialog ausgegraut und Sie können diese nicht bearbeiten. 7.3.6 Deaktivieren der Übertragung von Richtlinien Als Sicherheitsbeauftragter können Sie die Übertragung von Richtlinien an Endpoints deaktivieren. Klicken Sie hierzu in der SafeGuard Management Center Symbolleiste auf die Schaltfläche Richtlinienverteilung aktivieren/deaktivieren oder wählen Sie im Menü Bearbeiten den Befehl Richtlinienverteilung aktivieren/deaktivieren. Nach der Deaktivierung der Richtlinienübertragung werden keine Richtlinien mehr an die Endpoints geschickt. Um die Deaktivierung der Richtlinienverteilung rückgängig zu machen, klicken Sie noch einmal auf die Schaltfläche oder wählen Sie noch einmal den Menübefehl. Hinweis: Um die Übertragung von Richtlinien zu deaktivieren, benötigen Sie als Sicherheitsbeauftragter die Berechtigung „Richtlinienverteilung aktivieren/deaktivieren“. Den beiden vordefinierten Rollen Haupt-Sicherheitsbeauftragter und Sicherheitsbeauftragter ist 249 SafeGuard Enterprise diese Berechtigung standardmäßig zugewiesen. Neu angelegten benutzerdefinierten Rollen kann diese Berechtigung jederzeit zugewiesen werden. 7.3.7 Regeln für die Zuweisung und Auswertung von Richtlinien Die Verwaltung und Auswertung von Richtlinien folgt den in diesem Abschnitt dargestellten Regeln. 7.3.7.1 Zuweisen und Aktivieren von Richtlinien Damit eine Richtlinie für einen Benutzer/Computer wirksam werden kann, muss sie einem Container-Objekt (Root-Knoten, Domäne, OU, BuiltIn-Container oder Arbeitsgruppe) zugewiesen werden. Damit die zugewiesene Richtlinie für Benutzer/Computer wirksam wird, werden beim Zuweisen einer Richtlinie an einer beliebigen Stelle in der Hierarchie alle Computer (authentisierte Computer) und alle Benutzer (authentisierte Benutzer) automatisch aktiviert (die alleinige Zuweisung ohne Aktivierung reicht nicht aus). In diesen Gruppen sind alle Benutzer bzw. Computer zusammengefasst. 7.3.7.2 Vererbung von Richtlinien Vererbung von Richtlinien ist nur zwischen Container-Objekten möglich. Innerhalb eines Containers - vorausgesetzt er enthält keine weiteren Container-Objekte - können Richtlinien nur aktiviert werden (auf Gruppenebene). Vererbung zwischen Gruppen ist nicht möglich. 7.3.7.3 Vererbungsreihenfolge von Richtlinien Werden Richtlinien entlang einer Hierarchiekette zugewiesen, so wirkt jene Richtlinie am stärksten, die näher beim Zielobjekt (Benutzer/Computer) ist. Das bedeutet: mit der Entfernung zum Zielobjekt verliert die Richtlinie immer mehr an Kraft - wenn nähere Richtlinien vorhanden sind. 7.3.7.4 Direkte Zuweisung von Richtlinien Der Benutzer/Computer erhält eine Richtlinie, die direkt dem Container-Objekt, in dem er sich tatsächlich befindet (Mitgliedschaft als Benutzer einer Gruppe, die sich in einem anderen Container-Objekt befindet, alleine reicht nicht aus), zugewiesen wurde. Das Container-Objekt hat diese Richtlinie nicht geerbt! 7.3.7.5 Indirekte Zuweisung von Richtlinien Der Benutzer/Computer erhält eine Richtlinie, die das Container-Objekt, in dem er sich tatsächlich befindet (die Mitgliedschaft in einer Gruppe, die sich in einem anderen Container-Objekt befindet, als der Benutzer, reicht nicht aus), von einem ihr übergeordneten Container-Objekt geerbt hat. 7.3.7.6 Aktivieren/Deaktivieren von Richtlinien Damit eine Richtlinie für einen Computer/Benutzer wirken kann, muss diese auf Gruppenebene aktiviert werden (Richtlinien können ausschließlich auf Gruppenebene aktiviert werden). Es spielt keine Rolle, ob sich diese Gruppe im selben Container-Objekt befindet, oder nicht. Wichtig ist hier nur, dass der Benutzer oder Computer eine direkte bzw. indirekte (durch Vererbung) Zuordnung der Richtlinie erhalten hat. 250 Administratorhilfe Befindet sich ein Computer oder Benutzer außerhalb einer OU oder Vererbungslinie und ist Mitglied einer Gruppe, die sich innerhalb dieser OU befindet, so gilt diese Aktivierung für diesen Benutzer oder Computer nicht. Denn für diesen Benutzer oder Computer ist keine gültige Zuweisung (direkt bzw. indirekt) vorhanden. Die Gruppe wurde zwar aktiviert, aber eine Aktivierung kann nur für Benutzer und Computer gelten, für die auch eine Richtlinienzuweisung besteht. Das heißt, die Aktivierung von Richtlinien kann nicht über Container- Grenzen hinausgehen, wenn keine direkte oder indirekte Richtlinienzuweisung für dieses Objekt existiert. Eine Richtlinie wird wirksam, wenn sie entweder bei Benutzergruppen oder Computergruppen aktiviert wurde. Es werden die Benutzergruppen und dann die Computergruppen ausgewertet (auch authentisierte Benutzer und authentisierte Computer sind Gruppen). Beide Ergebnisse werden ODER-verknüpft. Liefert diese ODER-Verknüpfung einen positiven Wert für die Computer/Benutzer-Beziehung, gilt die Richtlinie. Hinweis: Werden mehrere Richtlinien für ein Objekt aktiv, werden die einzelnen Richtlinien unter Einhaltung der beschriebenen Regeln, vereinigt. Das heißt, die tatsächlichen Einstellungen für ein Objekt können aus mehreren unterschiedlichen Richtlinien zusammengesetzt werden. Für eine Gruppe gibt es folgende Aktivierungseinstellungen: ■ Aktiviert Eine Richtlinie wurde zugewiesen. Die Gruppe wird im Aktivierungsbereich des SafeGuard Management Centers angezeigt. ■ Nicht aktiviert Eine Richtlinie wurde zugewiesen. Die Gruppe befindet sich nicht im Aktivierungsbereich. Wird eine Richtlinie einem Container zugewiesen, dann bestimmt die Aktivierungseinstellung für eine Gruppe (aktiviert), ob diese Richtlinie an diesem Container in die Berechnung der resultierenden Richtlinie einfließt. Vererbte Richtlinien können durch diese Aktivierungen nicht kontrolliert werden. Hierfür müsste an der lokaleren OU Richtlinienvererbung blockieren gesetzt werden, damit die globalere Richtlinie hier nicht wirken kann. 7.3.7.7 Benutzer-/Gruppeneinstellungen Richtlinieneinstellungen für Benutzer (im SafeGuard Management Center schwarz dargestellt), ziehen stärker, als Richtlinieneinstellungen für Computer (im SafeGuard Management Center blau dargestellt). Werden bei einer Richtlinie für Computer Benutzereinstellungen festgelegt, werden diese Einstellungen durch die Richtlinie für den Benutzer überschrieben. Hinweis: Nur die Benutzereinstellungen werden überschrieben. Sollte eine Richtlinie für Benutzer auch Maschineneinstellungen beinhalten (blau dargestellte Einstellungen) werden diese nicht von einer Benutzerrichtlinie überschrieben! Beispiel 1: Wird für eine Computergruppe die Kennwortlänge 4 definiert, die Benutzergruppe hat aber für dieselbe Einstellung den Wert 3, gilt für diesen Benutzer auf einem Computer der Computergruppe, ein Kennwort mit der Länge 3. Beispiel 2: Wird für eine Benutzergruppe ein Serverintervall von 1 Minute definiert und für eine Computergruppe der Wert 3, so wird der Wert 3 verwendet, da es sich beim Wert 1 Minute um eine Maschineneinstellung, die in einer Richtlinie für Benutzer definiert wurde, handelt. 251 SafeGuard Enterprise 7.3.7.8 Sich widersprechende Verschlüsselungsrichtlinien Es werden zwei Richtlinien - P1 und P2 - angelegt. Für P1 wurde eine dateibasierende Verschlüsselung für Laufwerk E:\ definiert und für P2 eine volume-basierende Verschlüsselung für Laufwerk E:\. P1 wird der OU FBE-User und P2 der OU VBE-User zugewiesen. Fall 1: Ein Benutzer aus OU FBE-User meldet sich zuerst am Client W7-100 (Container Computer) an. Laufwerk E:\ ist dateibasierend verschlüsselt. Meldet sich ein Benutzer danach aus der OU VBE-User am Client W7-100 an, so wird das Laufwerk E:\ volume-basierend verschlüsselt. Haben beide Benutzer dieselben Schlüssel, können beide auf die Laufwerke bzw. Dateien zugreifen. Fall 2: Ein Benutzer aus der OU VBE-User meldet sich zuerst am Computer W7-100 (Container Computer) an. Das Laufwerk ist mit volume-basierender Verschlüsselung verschlüsselt. Meldet sich nun ein Benutzer der OU FBE-User an und hat dieser einen gemeinsamen Schlüssel mit den Benutzern aus der OU VBE-User, so wird das Laufwerk E:\ (die volume-basierende Verschlüsselung bleibt erhalten) innerhalb der volume-basierenden Verschlüsselung dateibasierend verschlüsselt. Hat der Benutzer aus der OU FBE-User allerdings keinen gemeinsamen Schlüssel, kann er auf das Laufwerk E:\ nicht zugreifen. 7.3.7.9 Priorisierung innerhalb einer Zuweisung Innerhalb einer Zuweisung, hat die Richtlinie mit der höchsten Priorität (1) Vorrang gegenüber einer Richtlinie mit einer geringeren Priorität. Hinweis: Wurde auf gleicher Ebene eine Richtlinie mit niedriger Priorität, aber mit der Option Kein Überschreiben, zugeordnet, so zieht die Richtlinie trotz niedrigerer Priorität gegenüber den Richtlinien mit der höheren Priorität. 7.3.7.10 Priorisierung innerhalb einer Gruppe Innerhalb einer Gruppe, hat die Richtlinie mit der höchsten Priorität (1) Vorrang gegenüber einer Richtlinie mit einer geringeren Priorität. 7.3.7.11 Statusindikatoren Durch das Setzen von Statusindikatoren kann das Standardregelwerk der Richtlinien verändert werden. ■ Richtlinienvererbung blockieren Wird direkt bei dem Container gesetzt, der keine übergeordneten Richtlinien empfangen will (Rechtsklick auf das Objekt im Navigationsfenster > Eigenschaften). Soll ein Container-Objekt keine Richtlinie eines übergeordneten Objektes erben, können Sie das durch das Setzen von Richtlinienvererbung blockieren verhindern. Ist Richtlinienvererbung blockieren gesetzt, werden keine übergeordneten Richtlinieneinstellungen für dieses Container-Objekt wirksam (Ausnahme: Kein Überschreiben wurde bei der Richtlinienzuweisung aktiviert). ■ Kein Überschreiben Wird bei der Zuweisung gesetzt und bedeutet, dass diese Richtlinie nicht von anderen überschrieben werden kann. Je weiter die Richtlinienzuweisung mit Kein Überschreiben vom Zielobjekt entfernt ist, umso stärker wird die Wirkung dieser Richtlinie für alle untergeordneten Container-Objekte. Das heißt: Kein Überschreiben eines übergeordneten Containers überschreibt die Richtlinieneinstellungen eines untergeordneten Containers. So kann z.B. eine 252 Administratorhilfe Domänenrichtlinie definiert werden, deren Einstellungen nicht überschrieben werden können, auch nicht, wenn für eine OU Richtlinienvererbung blockieren gesetzt wurde! Hinweis: Wurde auf gleicher Ebene eine Richtlinie mit niedriger Priorität, aber mit der Option Kein Überschreiben, zugeordnet, so zieht die Richtlinie trotz niedrigerer Priorität gegenüber den Richtlinien mit der höheren Priorität. 7.3.7.12 Einstellungen in Richtlinien 7.3.7.12.1 Computereinstellungen wiederholen Sie finden diese Einstellung unter: Richtlinien > Richtlinie vom Typ Allgemeine Einstellungen > Laden der Einstellungen > Richtlinien-Loopback. Wird bei einer Richtlinie vom Typ Allgemeine Einstellungen bei der Option Richtlinien-Loopback die Einstellung Computereinstellungen wiederholen ausgewählt und die Richtlinie „kommt“ von einem Computer (Computereinstellungen wiederholen hat für eine Benutzerrichtlinie keine Auswirkung), wird diese Richtlinie am Ende der Auswertung noch einmal ausgeführt. Dadurch werden etwaige Benutzereinstellungen wieder überschrieben und es gelten die Computereinstellungen. Für das neuerliche Schreiben werden sämtliche Computereinstellungen, die der Computer direkt oder indirekt bekommt (auch von Richtlinien die beim Richtlinien-Loopback Computereinstellungen wiederholen nicht gesetzt wurden), neu geschrieben. 7.3.7.12.2 Benutzer ignorieren Sie finden diese Einstellung unter: Richtlinien > Richtlinie vom Typ Allgemeine Einstellungen > Laden der Einstellungen > Richtlinien-Loopback. Wird bei einer Richtlinie vom Typ Allgemeine Einstellungen für einen Computer bei der Option Richtlinien-Loopback die Einstellung Benutzer ignorieren ausgewählt und die Richtlinie „kommt“ von einer Maschine, werden nur die Maschineneinstellungen ausgewertet. Benutzereinstellungen werden nicht ausgewertet. 7.3.7.12.3 Kein Loopback Sie finden diese Einstellung unter: Richtlinien > Richtlinie vom Typ Allgemeine Einstellungen > Laden der Einstellungen > Richtlinien-Loopback. Kein Loopback beschreibt das Standardverhalten. Benutzerrichtlinien gelten vor Computerrichtlinien. 7.3.7.12.4 Auswertung der Einstellungen „Benutzer ignorieren“ und „Computereinstellungen wiederholen“ Existieren aktive Richtlinienzuweisungen, werden zuerst die Maschinenrichtlinien ausgewertet und vereinigt. Ergibt diese Vereinigung der einzelnen Richtlinien bei der Option Richtlinien-Loopback den Wert Benutzer ignorieren, werden die Richtlinien, die für den Benutzer bestimmt gewesen wären, nicht mehr ausgewertet. Das bedeutet sowohl für den Benutzer, als auch für den Computer gelten die gleichen Richtlinien. Gilt nach der Vereinigung der einzelnen Maschinenrichtlinien bei Richtlinien-Loopback der Wert Computereinstellungen wiederholen, werden die Benutzerrichtlinien mit den Maschinenrichtlinien vereinigt. Nach der Vereinigung, werden die Maschinenrichtlinien nochmals geschrieben und überschreiben gegebenenfalls Einstellungen aus den Benutzerrichtlinien. Ist eine Einstellung in beiden Richtlinien vorhanden, so ersetzt der Wert der Maschinenrichtlinie den Wert der Benutzerrichtlinie. 253 SafeGuard Enterprise Ergibt die Vereinigung der einzelnen Maschinenrichtlinien den Standardwert (Kein Richtlinien-Loopback), so gilt: Benutzereinstellungen vor Maschineneinstellungen. 7.3.7.12.5 Ausführungsreihenfolge der Richtlinien Benutzer ignorieren Computer Computereinstellungen wiederholen Computer -> Benutzer -> Computer. Die erste „Maschinen-Ausführung“ wird für die Richtlinien benötigt, die schon vor der Benutzeranmeldung (z. B. Hintergrundbild bei der Anmeldung) geschrieben werden. Kein Richtlinien-Loopback (Standardeinstellung): Computer -> Benutzer 7.3.7.13 Sonstige Definitionen Die Entscheidung, ob es sich um eine Benutzer- bzw. Maschinenrichtlinie handelt, hängt von der Herkunft der Richtlinie ab. Ein Benutzerobjekt „bringt“ eine Benutzerrichtlinie mit, ein Computer „bringt“ eine Computerrichtlinie mit. Dieselbe Richtlinie kann bei unterschiedlicher Sicht, sowohl Computer- als auch Benutzerrichtlinie sein. ■ Benutzerrichtlinie Jene Richtlinie, die der Benutzer zur Auswertung bereitstellt. Wenn eine Richtlinie nur über einen Benutzer kommt, dann werden die maschinenbezogenen Einstellungen dieser Richtlinie nicht verwendet. Das heißt, es gelten keine computerbezogenen Einstellungen. Es gelten die Standardwerte. ■ Computerrichtlinie Jene Richtlinie, die die Maschine zur Auswertung bereitstellt. Wenn eine Richtlinie nur über einen Computer kommt, dann werden auch die benutzerspezifischen Einstellungen dieser Richtlinie verwendet! Die Computerrichtlinie stellt dann eine „für alle Benutzer" Richtlinie dar. 7.3.8 Bestands- und Statusinformationen SafeGuard Enterprise liest eine Fülle von Bestands- und Statusinformationen von den Endpoints aus. Diese Informationen zeigen den aktuellen globalen Zustand der einzelnen Computer. Im SafeGuard Management Center werden die Informationen im Bereich Benutzer & Computer in der Registerkarte Bestand dargestellt. Als Sicherheitsbeauftragter können Sie Bestands- und Statusinformationen einsehen, exportieren und drucken. So können Sie z. B. Compliance-Berichte erstellen, die die Verschlüsselung von Endpoints nachweisen. Umfassende Sortier- und Filterfunktionen unterstützen Sie bei der Auswahl der relevanten Informationen. Der Bestand liefert u. a. folgende Informationen zu den einzelnen Maschinen: 254 ■ Erhaltene Richtlinien ■ Letzter Server-Kontakt ■ Verschlüsselungsstatus aller Medien ■ POA-Status und Typ ■ Installierte SafeGuard Enterprise Module ■ WOL-Status Administratorhilfe ■ Benutzerinformationen 7.3.8.1 Mac-Endpoints im Bestand Der Bestand liefert Statusdaten für im SafeGuard Management Center verwaltete Macs. Weitere Informationen finden Sie unter Bestands- und Statusinformationen für Macs (Seite 114) 7.3.8.2 Einsehen von Bestandsinformationen 1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer. 2. Klicken Sie im Navigationsfenster auf der linken Seite auf den jeweiligen Container (Domäne, Arbeitsgruppe oder Computer). 3. Wechseln Sie im Aktionsbereich auf der rechten Seite in die Registerkarte Bestand. 4. Wählen Sie im Bereich Filter die gewünschten Filter für die Bestandsanzeige (siehe Filtern von Bestandsinformationen (Seite 256)). Hinweis: Wenn Sie einen einzelnen Computer wählen, stehen die Bestandsinformationen direkt nach dem Wechsel in die Registerkarte Bestand zur Verfügung. Der Bereich Filter ist hier nicht verfügbar. 5. Klicken Sie im Bereich Filter auf das Lupensymbol. Die Bestands- und Statusinformationen werden in einer Übersichtstabelle für alle Maschinen des ausgewählten Containers angezeigt. Darüber hinaus stehen für die einzelnen Maschinen die Registerkarten Laufwerke, Benutzer und Merkmale zur Verfügung. Durch Klicken auf die einzelnen Spalten-Header lassen sich die Bestands- und Statusinformationen nach den jeweiligen Spalteninformationen sortieren. Darüber hinaus steht über das Kontextmenü der einzelnen Spalten eine Reihe von Funktionen für die Sortierung, Gruppierung und Anpassung der angezeigten Anzeige zur Verfügung. Je nach Ihren Zugriffsrechten werden die Informationen im Bestand in unterschiedlichen Farben angezeigt: Informationen für Objekte, für die Sie das Recht Voller Zugriff haben, werden schwarz angezeigt. Informationen für Objekte, für die Sie das Recht Schreibgeschützt haben, werden blau angezeigt. Informationen für Objekte, für die Sie keine Zugriffsrechte haben, werden grau angezeigt. 7.3.8.3 Anzeigen ausgeblendeter Spalten Einige Spalten sind in der Bestandsanzeige standardmäßig ausgeblendet. 1. Klicken Sie mit der rechten Maustaste in die Spaltenkopfzeilenleiste der Bestandsanzeige. 2. Wählen Sie aus dem Kontextmenü den Befehl Laufende Spaltenanpassung. Das Fenster Anpassung mit den ausgeblendeten Spalten wird angezeigt. 3. Ziehen Sie die gewünschte Spalte aus dem Fenster Anpassung in die Spaltenkopfzeilenleiste. Die Spalte wird in der Bestandsanzeige angezeigt. Um die Spalte wieder auszublenden, ziehen Sie sie zurück in das Fenster Anpassung. 255 SafeGuard Enterprise 7.3.8.4 Filtern von Bestandsinformationen Für die Übersicht der Bestandsinformationen für OUs lassen sich Filter definieren, um die Darstellung nach bestimmten Kriterien einzuschränken. Im Filter-Bereich der Registerkarte Bestand stehen folgende Felder für die Definition von Filtern zur Verfügung: Feld Beschreibung Computername Um die Bestand- und Statusinformationen für bestimmte Computer anzeigen zu lassen, geben Sie in diesem Feld den Computernamen an. Einschließlich Sub-Container Aktivieren Sie dieses Feld, um Sub-Container in die Anzeige mit einzubeziehen. Letzte Änderung anzeigen Legen Sie in diesem Feld die Anzahl der anzuzeigenden letzten Änderungen festlegen. Darüber hinaus können Sie mit dem Filter-Editor benutzerdefinierte Filter erstellen. Der Filter-Editor lässt sich über das Kontextmenü der einzelnen Berichtsspalten aufrufen. Im Fenster Filterdefinition können Sie eigene Filter definieren und auf die jeweilige Spalte anwenden. 7.3.8.5 Aktualisieren von Bestandsinformationen Die Endpoints übertragen die jeweils aktuellen Bestandsinformationen, wenn sich die Informationen geändert haben. Über den Befehl Aktualisierung anfordern können Sie manuell eine Aktualisierung der Bestandsinformationen anfordern. Dieser Befehl steht für einen einzelnen oder alle Computer eines Knotens über das Kontextmenü sowie über das Menü Aktionen in der SafeGuard Management Center Menüleiste zur Verfügung. Darüber hinaus lässt sich der Befehl über das Kontextmenü der Listeneinträge auswählen. Wenn Sie diesen Befehl auswählen oder auf das Symbol Aktualisierung anfordern in der Symbolleiste klicken, übertragen die jeweiligen Endpoint-Computer ihre aktuellen Bestandsinformationen. Wie auch in anderen Bereichen des SafeGuard Management Center, können Sie die Anzeige mit dem Befehl Aktualisieren aktualisieren. Sie können diesen Befehl aus dem Kontextmenü für einzelne Computer oder alle Computer in einem Knoten auswählen. Der Befehl steht außerdem im Ansicht Menü in der Menüleiste zur Verfügung. Zur Aktualisierung der Ansicht können Sie auch das Doppelpfeilsymbol Aktualisieren in der Symbolleiste wählen. 7.3.8.6 Überblick Die einzelnen Spalten der Übersicht zeigen folgende Informationen. Hinweis: Einige Spalten sind standardmäßig ausgeblendet. Sie können diese in der Anzeige einblenden. Weitere Informationen finden Sie unter Anzeigen ausgeblendeter Spalten (Seite 255). 256 Administratorhilfe Spalte Erklärung Computername Zeigt den Namen des Computers. Domäne Zeigt den Domänennamen des Computers. Domäne Prä-2000 Zeigt den Domänennamen des Computers vor Windows 2000. Benutzername (Besitzer) Zeigt den Benutzernamen des Besitzers des Computers, falls verfügbar. Vorname Zeigt den Vornamen des Besitzers, falls verfügbar. Nachname Zeigt den Nachnamen des Besitzers, falls verfügbar. E-Mail-Adresse Zeigt die E-Mail-Adresse des Besitzers, falls verfügbar. Weitere registrierte Benutzer Zeigt die Namen von weiteren registrierten Benutzern des Computers, falls verfügbar. Betriebssystem Zeigt das Betriebssystem des Computers. Letzter Server-Kontakt Zeigt an, wann (Datum und Uhrzeit) der Computer zuletzt mit dem Server kommuniziert hat. Zuletzt erhaltene Richtlinie Zeigt an, wann (Datum und Uhrzeit) der Computer die letzte Richtlinie erhalten hat. Verschlüsselte Laufwerke Zeigt die verschlüsselten Laufwerke des Computers. Unverschlüsselte Laufwerke Zeigt die unverschlüsselten Laufwerke des Computers. POA Typ Gibt an, ob der Computer ein nativer SafeGuard Enterprise Endpoint, ein BitLocker Endpoint mit Challenge/Response, ein BitLocker Endpoint mit eingebautem Recovery-Mechanismus, ein FileVault 2 Endpoint oder ein Endpoint mit einer selbst-verschlüsselnden Opal-Festplatte ist. POA Gibt an, ob die SafeGuard Power-on Authentication für den Computer aktiviert ist. WOL Gibt an, ob Wake on LAN für den Computer aktiviert ist. Änderungsdatum Zeigt das Datum, an dem sich die Bestandsinformationen durch Anforderung einer Bestandsaktualisierung oder Übermittlung neuer Bestandsinformationen vom Client geändert haben. Aktualisierung angefordert Zeigt das Datum der letzten Aktualisierungsanforderung an. Der in diesem Feld angezeigte Wert wird bei der Verarbeitung der Anforderung durch den Client wieder gelöscht. 257 SafeGuard Enterprise Spalte Erklärung Stamm-DSN Zeigt den Distinguished Name des dem Computer übergeordneten Containerobjekts an. Diese Spalte wird nur dann angezeigt, wenn im Filter-Bereich das Feld Einschließlich Sub-Container aktiviert wurde. Aktuelles Unternehmenszertifikat Gibt an, ob der Computer das aktuelle Unternehmenszertifikat verwendet. 7.3.8.7 Registerkarte Laufwerke Die Registerkarte Laufwerke zeigt Bestands- und Statusinformationen zu den Laufwerken des jeweiligen Computers. Spalte Erklärung Laufwerksname Zeigt den Laufwerksnamen an. Label Zeigt das Label eines Mac-Laufwerks. Typ Zeigt den Laufwerkstyp an, z. B. Fest, Wechseldatenträger oder CD-ROM/DVD. Status Zeigt den Verschlüsselungsstatus eines Laufwerks an. Hinweis: Wenn SafeGuard BitLocker Verwaltung auf einem Endpoint installiert ist, kann Nicht vorbereitet als Verschlüsselungsstatus eines Laufwerks angezeigt werden. Das bedeutet, dass das Laufwerk momentan nicht mit BitLocker verschlüsselt werden kann, weil notwendige Vorbereitungen noch nicht durchgeführt wurden. Das trifft nur auf verwaltetete Endpoints zu, weil nicht verwaltetete Endpoints keine Bestandsinformationen melden können. Informationen zu den Voraussetzungen für die Verwaltung und Verschlüsselung von BitLocker-Laufwerken finden Sie unter Voraussetzungen für die Verwaltung von BitLocker auf Endpoints (Seite 145). Der Verschlüsselungsstatus eines nicht verwalteten Endpoints kann mit dem Kommandozeilen-Tool SGNState überprüft werden. Nähere Informationen finden Sie im SafeGuard Enterprise Tools Guide. Algorithmus Zeigt für verschlüsselte Laufwerke den Algorithmus, der zur Verschlüsselung benutzt wurde, an. 7.3.8.8 Registerkarte Benutzer Die Registerkarte Benutzer zeigt Bestands- und Statusinformationen zu den Benutzern des Computers. 258 Administratorhilfe Spalte Erklärung Benutzername Zeigt den Benutzernamen des Benutzers. Distinguished Name Zeigt den DNS-Namen für den Benutzer, zum Beispiel: CN=Administrator,CN=Users,DC=domain,DC=mycompany,DC=net Benutzer ist Besitzer Gibt an, ob der Benutzer als Besitzer des Computers definiert ist. Benutzer ist gesperrt Gibt an, ob der Benutzer gesperrt ist. SGN Windows-Benutzer Gibt an, ob es sich um einen SGN Windows-Benutzer handelt. Ein SGN Windows-Benutzer wird nicht zur SafeGuard POA hinzugefügt, verfügt jedoch über einen Schlüsselring, mit dem er wie ein SGN-Benutzer auf verschlüsselte Dateien zugreifen kann. Sie können die Registrierung von SGN Windows-Benutzern auf Endpoints über Richtlinien des Typs Spezifische Computereinstellungen aktivieren. 7.3.8.9 Registerkarte Module Die Registerkarte Module liefert eine Übersicht zu allen auf dem Computer installierten SafeGuard Enterprise Modulen. Spalte Erklärung Modulname Zeigt den Namen des installierten SafeGuard Enterprise Moduls. Version Zeigt die Software-Version des installierten SafeGuard Enterprise Moduls. 7.3.8.10 Registerkarte Unternehmenszertifikat Die Registerkarte Unternehmenszertifikat zeigt die Eigenschaften des derzeit verwendeten Unternehmenszertifikats und gibt an, ob ein neueres Unternehmenszertifikat verfügbar ist. Spalte Erklärung Antragsteller Zeigt den Distinguished Name des Antragstellers des Unternehmenszertifikats. Seriennummer Zeigt die Seriennummer des Unternehmenszertifikats. Aussteller Zeigt den Distinguished Name des Ausstellers des Unternehmenszertifikats. Gültig ab Zeigt das Datum und die Uhrzeit, ab das Unternehmenszertifikat gültig wird. 259 SafeGuard Enterprise Spalte Erklärung Gültig bis Zeigt das Datum und die Uhrzeit, ab das Unternehmenszertifikat ungültig wird. Ein neueres Unternehmenszertifikat ist verfügbar Gibt an, ob ein neueres Unternehmenszertifikat als das aktuelle des Endpoints verfügbar ist. 7.3.8.11 Erstellen von Bestandsberichten Als Sicherheitsbeauftragter können Sie Bestandsberichte in unterschiedlichen Formaten erstellen. So können Sie z. B. Compliance-Berichte erstellen, die die Verschlüsselung von Endpoints nachweisen. Sie können die Berichte drucken oder in eine Datei exportieren. 7.3.8.11.1 Drucken von Bestandsberichten 1. Klicken Sie in der SafeGuard Management Center Menüleiste auf Datei. 2. Sie können den Bericht sofort drucken oder zunächst eine Druckvorschau anzeigen lassen. Die Druckvorschau bietet eine Reihe von Funktionen, z. B. für die Bearbeitung des Seitenlayouts (Kopf- und Fußzeile usw.). 7.3.8.11.2 ■ Um eine Druckvorschau anzuzeigen, wählen Sie Datei > Druckvorschau. ■ Um das Dokument sofort zu drucken, wählen Sie Datei > Drucken. Export von Bestandsberichte in Dateien 1. Klicken Sie in der SafeGuard Management Center Menüleiste auf Datei. 2. Wählen Sie Drucken > Druckvorschau. Die Bestandsbericht Druckvorschau wird angezeigt. Die Druckvorschau bietet eine Reihe von Funktionen, z. B. für die Bearbeitung des Seitenlayouts (Kopf- und Fußzeile usw.). 3. Klicken Sie in der Symbolleiste des Fensters Druckvorschau auf die Dropdownliste des Symbols Dokument exportieren.... 4. Wählen Sie den gewünschten Dateityp aus der Liste. 5. Geben Sie die gewünschten Exportoptionen an und klicken Sie auf OK. Der Bestandsbericht wird in eine Datei des angegebenen Dateityps exportiert. 7.4 SafeGuard Enterprise Sicherheitsbeauftragte SafeGuard Enterprise kann von einem oder mehreren Sicherheitsbeauftragten administriert werden. Mit der rollenbasierten Administration ist es möglich, die Verwaltung von SafeGuard Enterprise auf mehrere Benutzer zu verteilen. Dabei kann einem Benutzer eine oder mehrere Rollen zugewiesen werden. Um die Sicherheit noch zu erhöhen, kann einer Sicherheitsbeauftragtenrolle die zusätzliche Autorisierung eines Vorgangs zugewiesen werden. Während der initialen Konfiguration des SafeGuard Management Center wird automatisch ein Administrator mit allen Rechten angelegt (Haupt-Sicherheitsbeauftragter oder Master Security Officer, MSO) und ein Zertifikat wird erstellt, siehe Erstellen eines 260 Administratorhilfe Haupt-Sicherheitsbeauftragten (Master Security Officer, MSO) (Seite 37). Das MSO Zertifikat wird standardmäßig nach 5 Jahren ungültig und kann im Management Center im Abschnitt Sicherheitsbeauftragte erneuert werden. Für andere spezifische Aufgaben, z. B. Helpdeskoder Audit-Aufgaben, können dann weitere Sicherheitsbeauftragte zugewiesen werden. Sicherheitsbeauftragte lassen sich im Navigationsbereich des SafeGuard Management Center gemäß der Organisationsstruktur Ihres Unternehmens hierarchisch anordnen. Diese hierarchische Anordnung gibt jedoch keine Hierarchie in Bezug auf Rechte und Rollen wieder. Hinweis: Zwei Sicherheitsbeauftragte dürfen nicht das gleiche Windows-Konto auf einem Computer benutzen. Andernfalls lassen sich ihre Zugriffsrechte nicht sauber trennen. Unter Umständen ist die zusätzliche Autorisierung nur dann sinnvoll, wenn sich die Sicherheitsbeauftragten mit kryptographischen Token/Smartcards anmelden müssen. 7.4.1 Rollen für Sicherheitsbeauftragte SafeGuard Enterprise bietet für die komfortable Verwaltung bereits vordefinierte Rollen mit verschiedenen Funktionen für Sicherheitsbeauftragte an. Ein Sicherheitsbeauftragter mit den erforderlichen Rechten hat die Möglichkeit, aus einer Liste von Aktionen/Rechten selbst neue Rollen zu definieren und bestimmten Sicherheitsbeauftragten zuzuweisen. Folgende Rollentypen stehen zur Verfügung: ■ Rolle des Haupt-Sicherheitsbeauftragten (Master Security Officer, MSO) ■ Vordefinierte Rollen ■ Benutzerdefinierte Rollen 7.4.1.1 Haupt-Sicherheitsbeauftragter Nach der Installation von SafeGuard Enterprise wird bei der initialen Konfiguration des SafeGuard Management Center automatisch ein Haupt-Sicherheitsbeauftragter (Master Security Officer, MSO) angelegt. Der Haupt-Sicherheitsbeauftragte ist der Sicherheitsbeauftragte der höchsten Ebene und hat alle Rechte sowie Zugriff auf alle Objekte, vergleichbar mit dem Administrator bei Windows. Die Rechte des Haupt-Sicherheitsbeauftragten können nicht geändert werden. Für eine Instanz des SafeGuard Management Centers können mehrere Haupt-Sicherheitsbeauftragte angelegt werden. Aus Sicherheitsgründen empfehlen wir, mindestens einen weiteren Haupt-Sicherheitsbeauftragten anzulegen. Zusätzliche Haupt-Sicherheitsbeauftragte können jederzeit gelöscht werden, es muss jedoch immer ein Benutzer mit der Rolle des Haupt-Sicherheitsbeauftragten vorhanden sein, der explizit als Hauptsicherheits-Beauftragter in der SafeGuard Enterprise Datenbank angelegt wurde. Ein Haupt-Sicherheitsbeauftragter kann Aufgaben an andere Personen delegieren. Dazu gibt es zwei Möglichkeiten: ■ Ein neuer Benutzer/Sicherheitsbeauftragter kann unter Sicherheitsbeauftragte angelegt werden. ■ Ein aus dem Active Directory importierter und im Stammverzeichnis des SafeGuard Management Center sichtbarer Benutzer oder alle Mitglieder eines Containers können unter Benutzer & Computer zu Sicherheitsbeauftragten gemacht werden. Den Sicherheitsbeauftragten können eine oder mehrere Rollen zugeordnet werden. Einem Benutzer kann z. B. die Rolle des Verwaltungsbeauftragten und die Rolle des Helpdesk-Beauftragten zugewiesen werden. 261 SafeGuard Enterprise Der Haupt-Sicherheitsbeauftragte kann aber auch selbst definierte Rollen anlegen und bestimmten Sicherheitsbeauftragten zuweisen. 7.4.1.1.1 Exportieren des Zertifikats des Haupt-Sicherheitsbeauftragten So erstellen Sie ein Backup des Zertifikats des derzeit am SafeGuard Management Center angemeldeten Haupt-Sicherheitsbeauftragten: 1. Wählen Sie Extras > Optionen in der SafeGuard Management Center Menüleiste. 2. Wählen Sie die Registerkarte Zertifikate und klicken Sie im Bereich <Administrator> Zertifikat auf Exportieren. 3. Sie werden aufgefordert, ein Kennwort für die Sicherung der exportierten Datei einzugeben. Geben Sie ein Kennwort ein, bestätigen Sie es und klicken Sie auf OK. 4. Geben Sie einen Dateinamen und einen Speicherort für die zu exportierende Datei ein und klicken Sie auf OK. Das Zertifikat des derzeit angemeldeten Haupt-Sicherheitsbeauftragten wird als P12-Datei an den definierten Speicherort exportiert und kann für Recovery-Vorgänge benutzt werden. 7.4.1.2 Vordefinierte Rollen Im SafeGuard Management Center sind neben dem Haupt-Sicherheitsbeauftragten die folgenden Rollen vordefiniert. Die diesen vordefinierten Rollen zugewiesenen Rechte können nicht geändert werden. Verfügt eine vordefinierte Rolle z. B. über das Recht „Richtlinien und Richtliniengruppen erstellen“, so kann dieses Recht nicht aus der Rolle entfernt werden. Es können auch keine neuen Rechte zu einer vordefinierten Rollen hinzugefügt werden. Die zusätzliche Autorisierung durch einen weiteren Sicherheitsbeauftragten hingegen lässt sich jederzeit den vordefinierten Rollen zuordnen. ■ Verwaltungsbeauftragter Verwaltungsbeauftragte können Ihren eigenen Knoten im Bereich Sicherheitsbeauftragte einsehen und sind dazu berechtigt, die ihrem Knoten zugehörigen Sicherheitsbeauftragten zu verwalten. ■ Sicherheitsbeauftragter Sicherheitsbeauftragte haben umfassende Rechte u. a. für die SafeGuard Enterprise Konfiguration, Richtlinien- und Schlüsselverwaltung sowie für Überwachung und Recovery. ■ Helpdesk-Beauftragter Helpdesk-Beauftragte sind zur Durchführung von Recovery-Vorgängen berechtigt. Darüber hinaus können sie sich die meisten Funktionsbereiche des SafeGuard Management Center anzeigen lassen. ■ Audit-Beauftragter Um SafeGuard Enterprise überwachen zu können, haben Audit-Beauftragte die Berechtigung, sich die meisten Funktionsbereiche des SafeGuard Management Center anzeigen zu lassen. ■ Recovery-Beauftragter Recovery-Beauftragte sind dazu berechtigt, die SafeGuard Enterprise Datenbank zu reparieren. 262 Administratorhilfe 7.4.1.3 Benutzerdefinierte Rollen Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie neue Rollen aus einer Liste mit Aktionen/Rechten definieren und sie einem vorhandenen oder einem neuen Sicherheitsbeauftragten zuweisen. Wie auch bei den vordefinierten Rollen lässt sich die zusätzliche Autorisierung durch einen weiteren Sicherheitsbeauftragten für eine Funktion der betreffenden Rolle jederzeit aktivieren. Bei der Zuweisung einer neuen Rolle ist für die zusätzliche Autorisierung Folgendes zu beachten: Hinweis: Wenn ein Benutzer zwei Rollen mit der gleichen Funktion inne hat, und bei einer der Rollen die zusätzliche Autorisierung zugeordnet ist, dann gilt das automatisch auch bei der anderen Rolle. Ein Sicherheitsbeauftragter mit den erforderlichen Rechten kann Rechte zu einer benutzerdefinierten Rolle hinzufügen oder Rechte aus der Rolle entfernen. Im Gegensatz zu vordefinierten Rollen können benutzerdefinierte je nach Anforderung auch gelöscht werden. Wird die Rolle gelöscht, so ist sie keinem Benutzer mehr zugewiesen. Ist einem Benutzer nur eine Rolle zugewiesen und wird diese Rolle gelöscht, so kann sich der Benutzer nicht mehr am SafeGuard Management Center anmelden. Hinweis: Die Rolle und die darin definierten Aktionen bestimmen, was ein Benutzer darf und was nicht. Auch dann, wenn dem Benutzer mehrere Rollen zugewiesen worden sind. Nachdem er sich am System angemeldet hat, werden nur die Bereiche des SafeGuard Management Centers aktiviert und angezeigt, die für seine Rolle nötig sind. Das betrifft auch die Bereiche Skripte und API. Sie sollten deshalb immer die Anzeige des Bereichs aktivieren, in dem die betreffenden Aktionen definiert sind. Aktionen werden nach Funktionsbereich sortiert und sind hierarchisch strukturiert. Diese Struktur zeigt, welche Aktionen vor der Durchführung bestimmter anderer Aktionen erforderlich sind. 7.4.1.4 Zusätzliche Autorisierung Die zusätzliche Autorisierung (auch Vier-Augen-Prinzip genannt) kann spezifischen Aktionen einer Rolle zugeordnet werden. Das bedeutet, dass der Benutzer dieser Rolle eine bestimmte Aktion nur ausführen darf, wenn ein Benutzer einer weiteren Rolle anwesend ist und die Ausführung der Aktion bestätigt. Jedes Mal, wenn ein Benutzer diese Aktion ausführt, muss ein anderer Benutzer sie bestätigen. Die zusätzliche Autorisierung lässt sich sowohl vordefinierten als auch benutzerdefinierten Rollen zuweisen. Sobald es zumindest noch einen Beauftragten mit der gleichen Rolle gibt, kann auch die eigene Rolle ausgewählt werden. Die Rolle, die die zusätzliche Autorisierung durchführen soll, muss einem Benutzer zugewiesen sein und es müssen mindestens zwei Benutzer in der SafeGuard Datenbank vorhanden sein. Wenn die zusätzliche Autorisierung für eine Aktion erforderlich ist, ist sie auch dann erforderlich, wenn der Benutzer eine weitere Rolle hat, die die zusätzliche Autorisierung für diese Aktion nicht erfordert. Wenn ein Sicherheitsbeauftragter ohne Berechtigung zum Ändern der Einstellungen für die zusätzliche Autorisierung eine Rolle anlegt, werden die Einstellungen für die zusätzliche Autorisierung der neuen Rolle gemäß den definierten Einstellungen für den anlegenden Benutzer voreingestellt. 263 SafeGuard Enterprise 7.4.2 Anlegen einer neuen Rolle Voraussetzung: Um eine neue Rolle anzulegen, benötigen Sie das Recht, benutzerdefinierte Rollen einzusehen und zu verwalten. Um die zusätzliche Autorisierung zuzuweisen, benötigen Sie das Recht „Einstellungen für zusätzliche Autorisierung ändern“. 1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte. 2. Klicken Sie mit der rechten Maustaste auf Benutzerdefinierte Rollen und wählen Sie Neu > Neue benutzerdefinierte Rolle. 3. Geben Sie im Dialog Neue benutzerdefinierte Rolle einen Namen und eine Beschreibung für die Rolle ein. 4. Wählen Sie die Aktionen für diese Rolle: Wählen Sie die Kontrollkästchen neben den gewünschten Aktionen in der Spalte Aktiv. Aktionen werden nach Funktionsbereich sortiert und sind hierarchisch strukturiert. Diese Struktur zeigt, welche Aktionen vor der Durchführung bestimmter anderer Aktionen erforderlich sind. 5. Falls erforderlich, weisen Sie die zusätzliche Autorisierung zu: Klicken Sie auf die Standardeinstellung Kein und wählen Sie die gewünschte Rolle aus der angezeigten Dropdownliste. Wenn ein Sicherheitsbeauftragter ohne die Berechtigung zum Ändern der zusätzlichen Autorisierung eine Rolle anlegt, wird die zusätzliche Autorisierung gemäß den Einstellungen der Rolle des betreffenden Sicherheitsbeauftragten vordefiniert. 6. Klicken Sie auf OK. Die neue Rolle wird unter Benutzerdefinierte Rollen im Navigationsfenster angezeigt. Wenn Sie die Rolle anklicken, werden im rechten Aktionsbereich die zulässigen Aktionen dargestellt. 7.4.3 Zuweisen einer Rolle zu einem Sicherheitsbeauftragten Voraussetzung: Um eine Rolle zuzuweisen, benötigen Sie das Recht, Sicherheitsbeauftragte einzusehen und zu ändern. 1. Wählen Sie den gewünschten Sicherheitsbeauftragten im Navigationsfenster aus. Die Eigenschaften werden im rechten Aktionsbereich für ihn angezeigt. 2. Weisen Sie die gewünschten Rollen durch Auswählen der entsprechenden Kontrollkästchen zu. Vordefinierte Rollen werden fett angezeigt. 3. Klicken Sie auf das Doppelpfeil-Symbol Aktualisieren in der Symbolleiste. Die Rolle ist dem Sicherheitsbeauftragten zugewiesen. Hinweis: Komplexe, individuell angepasste Rollen können leichte Performanceprobleme bei der Benutzung des SafeGuard Management Centers verursachen. 7.4.4 Einsehen von Sicherheitsbeauftragten- und Rolleneigenschaften Voraussetzung: Um sich einen Überblick über die Sicherheitsbeauftragteneigenschaften oder die Rollenzuordnungen anzeigen zu lassen, benötigen Sie das Recht zum Einsehen von Sicherheitsbeauftragten und Sicherheitsbeauftragtenrollen. 264 Administratorhilfe So sehen Sie Sicherheitsbeauftragten- und Rolleneigenschaften ein: 1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte. 2. Doppelklicken Sie im Navigationsbereich auf der linken Seite auf dem Objekt, zu dem Sie einen Überblick erhalten möchten. Die im Aktionsbereich angezeigten Informationen richten sich nach dem ausgewählten Objekt. 7.4.4.1 Anzeigen der Eigenschaften für den Haupt-Sicherheitsbeauftragten Die allgemeinen Informationen sowie die Änderungsinformationen für den Haupt-Sicherheitsbeauftragten werden angezeigt. 7.4.4.2 Anzeigen der Eigenschaften für Sicherheitsbeauftragte Die allgemeinen Informationen sowie die Änderungsinformationen für den Sicherheitsbeauftragten werden angezeigt. 1. Wählen Sie unter Eigenschaften die Registerkarte Aktionen. Diese Registerkarte bietet eine Zusammenfassung der zulässigen Aktionen sowie der Rollen, die dem Sicherheitsbeauftragten zugewiesen sind. 7.4.4.3 Anzeigen der Rechte und Rollen von Sicherheitsbeauftragten Eine Zusammenfassung der Aktionen aller Rollen, die dem Sicherheitsbeauftragten zugewiesen sind, wird angezeigt. Die Baumstrukturansicht zeigt, welche Aktionen erforderlich sind, damit bestimmte andere Aktionen durchgeführt werden können. Darüber hinaus können die zugewiesenen Rollen angezeigt werden. 1. Wählen Sie in den <Sicherheitsbeauftragtenname> Eigenschaften in der Registerkarte Aktionen eine Aktion, um alle zugewiesenen Rollen aufzurufen, die diese Aktion enthalten. 2. Doppelklicken Sie in der Liste Zugewiesene Rollen mit ausgewählter Aktion auf einer Rolle. Der <Sicherheitsbeauftragtenname> Eigenschaften Dialog wird geschlossen und die Eigenschaften der Rolle werden angezeigt. 7.4.4.4 Anzeigen der Rolleneigenschaften Die allgemeinen Informationen sowie die Änderungsinformationen für die Rolle werden angezeigt. 1. Wählen Sie unter Eigenschaften die Registerkarte Zuweisung, um die Sicherheitsbeauftragten anzeigen zu lassen, die dieser Rolle zugeordnet sind. 7.4.4.5 Anzeigen der Rollenzuordnung 1. Doppelklicken Sie in den <Rollenname> Eigenschaften in der Registerkarte Zuweisung auf einem Sicherheitsbeauftragten. Der Eigenschaften Dialog wird geschlossen und es werden die allgemeinen Daten und die Rollen des Sicherheitsbeauftragten angezeigt. 7.4.5 Ändern einer Rolle Für das Ändern von Rollen gibt es folgende Möglichkeiten: ■ Zusätzliche Autorisierung ändern ■ Sie können alle Eigenschaften der Rolle ändern. 265 SafeGuard Enterprise Das Symbol neben den Rollen zeigt, welche Aktion möglich ist: Symbol Beschreibung Die Rolle kann geändert werden (Aktionen hinzufügen/löschen). Die zusätzliche Autorisierung kann geändert werden. Beide Änderungsmöglichkeiten sind verfügbar. Hinweis: Vordefinierte Rollen und die ihnen zugewiesenen Aktionen können nicht geändert werden. Ist die zusätzliche Autorisierung aktiviert, so kann dies für jede Rolle, auch für vordefinierte Rollen, geändert werden. 7.4.5.1 Ändern der zusätzlichen Autorisierung Voraussetzung: Um die zusätzliche Autorisierung zuzuweisen, benötigen Sie das Recht, Sicherheitsbeauftragtenrollen einzusehen sowie das Recht „Einstellungen für zusätzliche Autorisierung ändern“. 1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte. 2. Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen auf die Rolle, die Sie ändern möchten. Klicken Sie im Aktionsbereich auf der rechten Seite bei der gewünschten Einstellung in der Spalte Zusätzliche Autorisierung und wählen Sie eine andere Rolle aus der Liste aus. Vordefinierte Rollen werden fett angezeigt. 3. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der Datenbank zu speichern. Die zusätzliche Autorisierung für diese Rolle wurde geändert. 7.4.5.2 Ändern aller Eigenschaften einer Rolle Voraussetzung: Um eine benutzerdefinierte Rolle zu ändern, benötigen Sie das Recht zum Einsehen und Ändern von Sicherheitsbeauftragtenrollen. Zum Ändern der Einstellung für die zusätzliche Autorisierung benötigen Sie außerdem das Recht „Einstellungen für zusätzliche Autorisierung ändern“. 1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte. 2. Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen auf die Rolle, die Sie ändern möchten, und wählen Sie Benutzerdefinierte Rolle ändern. 3. Ändern Sie die Eigenschaften nach Wunsch. Ändern Sie die Einstellungen für die zusätzliche Autorisierung, indem Sie auf den Wert in dieser Spalte klicken und die gewünschte Rolle auswählen. 4. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der Datenbank zu speichern. 266 Administratorhilfe Die Rolle wurde geändert. 7.4.6 Kopieren einer Rolle Um eine Rolle anzulegen, die ähnliche Eigenschaften wie eine bereits vorhandene Rolle hat, können Sie die vorhandene Rolle als Vorlage benutzen. Sie können eine vordefinierte oder eine benutzerdefinierte Rolle als Vorlage auswählen. Voraussetzung: Die Verwendung von vorhandenen Rollen als Vorlage ist nur dann möglich, wenn der derzeit authentisierte Sicherheitsbeauftragte alle Rechte hat, die in dieser spezifischen Rollenvorlage enthalten sind. Diese Funktion ist also u. U. für Sicherheitsbeauftragte, deren zulässige Aktionen begrenzt sind, nicht verfügbar. 1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte. 2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf die Rolle, die Sie kopieren möchten, und wählen Sie Neu > Neue Kopie der Rolle. Unter Neue benutzerdefinierte Rolle werden alle Eigenschaften der vorhandenen Rolle bereits vorausgewählt. 3. Geben Sie einen neuen Namen für diese Rolle ein und ändern Sie die Eigenschaften nach Wunsch. 4. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der Datenbank zu speichern. Die neue Rolle ist angelegt. 7.4.7 Löschen einer Rolle Hinweis: Vordefinierte Rollen können nicht gelöscht werden. Voraussetzung: Um eine Rolle zu löschen, benötigen Sie das Recht zum Einsehen und Löschen von Sicherheitsbeauftragtenrollen. 1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte. 2. Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen mit der rechten Maustaste auf die Rolle, die Sie löschen möchten, und wählen Sie Löschen. Je nach den Eigenschaften der Rolle wird eine entsprechende Warnungsmeldung angezeigt. Hinweis: Wenn Sie eine Rolle löschen, geht diese Rolle bei allen Sicherheitsbeauftragten, denen sie zugeordnet ist, verloren. Ist einem Sicherheitsbeauftragten nur diese eine Rolle zugewiesen, so kann dieser sich erst wieder am SafeGuard Management Center anmelden, wenn ein übergeordneter Sicherheitsbeauftragter ihm eine neue Rolle zuweist. Wird die Rolle für die zusätzliche Autorisierung verwendet, so wird der Haupt-Sicherheitsbeauftragte dazu aufgefordert, die zusätzliche Autorisierung durchzuführen. 3. Um die Rolle zu löschen, klicken Sie in der Warnungsmeldung auf Ja. 4. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der Datenbank zu speichern. Die Rolle wird aus dem Navigationsfenster entfernt und aus der Datenbank gelöscht. 7.4.8 Anlegen eines Haupt-Sicherheitsbeauftragten Voraussetzung: Um einen neuen Haupt-Sicherheitsbeauftragten anzulegen, benötigen Sie das Recht, Sicherheitsbeauftragte einzusehen und anzulegen. 267 SafeGuard Enterprise Hinweis: Ein schneller Weg, einen neuen Haupt-Sicherheitsbeauftragten zu erstellen, ist, einen Sicherheitsbeauftragter höher zu stufen. Weitere Informationen finden Sie unter Höherstufen von Sicherheitsbeauftragten (Seite 274). 1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte. 2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Knoten Haupt-Sicherheitsbeauftragte und wählen Sie Neu > Neuer Haupt-Sicherheitsbeauftragter. 268 Administratorhilfe 3. Nehmen Sie die relevanten Einträge unter Neuer Haupt-Sicherheitsbeauftragter vor: Feld/Kontrollkästchen Beschreibung Freigeschaltet Hier kann der Sicherheitsbeauftragte bis auf Weiteres deaktiviert werden. Das bedeutet, dass er zwar im System existiert, sich aber noch nicht an das SafeGuard Management Center anmelden kann. Erst wenn er durch einen anderen Sicherheitsbeauftragten aktiviert wird, kann er sich anmelden und seine administrativen Tätigkeiten ausführen. Name Hier wird der Name des Sicherheitsbeauftragten angegeben, wie er in den von SafeGuard Enterprise erzeugten Zertifikaten unter cn= eingetragen wird. Unter diesem Namen wird er auch im Navigationsfenster des SafeGuard Management Centers angezeigt. Dieser Name muss eindeutig sein. Maximalwert: 256 Zeichen Beschreibung Optional Maximalwert: 256 Zeichen Mobiltelefon Optional Maximalwert: 128 Zeichen E-Mail Optional Maximalwert: 256 Zeichen Token-Anmeldung Die Anmeldung kann auf folgende Art erfolgen: Ohne Token Der Sicherheitsbeauftragte darf sich nicht mit einem Token anmelden. Er muss sich über die Anmeldeinformationen (Benutzername/Kennwort) anmelden. Optional Die Anmeldung kann mit Token oder mit Anmeldeinformationen erfolgen. Der Sicherheitsbeauftragte kann wählen. Zwingend erforderlich Die Verwendung eines Token zur Anmeldung ist zwingend vorgeschrieben. Dazu muss sich der zum Zertifikat des Sicherheitsbeauftragten gehörende private Schlüssel auf dem Token befinden. 269 SafeGuard Enterprise Feld/Kontrollkästchen Beschreibung Zertifikat Zur Anmeldung an das SafeGuard Management Center benötigt ein Sicherheitsbeauftragter immer ein Zertifikat. Das Zertifikat kann entweder von SafeGuard Enterprise selbst erstellt werden oder es wird ein bereits existierendes verwendet. Ist eine Anmeldung mit Token zwingend notwendig, so muss das Zertifikat auf den Token des Sicherheitsbeauftragten aufgebracht werden. Erzeugen: Zertifikat und Schlüsseldatei werden erstellt und an einem auswählbaren Ort gespeichert. Dabei muss ein Kennwort für die .p12-Schlüsseldatei angegeben und bestätigt werden. Die .p12-Datei muss dem Sicherheitsbeauftragten bei der Anmeldung zur Verfügung stehen. Das erstellte Zertifikat wird dem Sicherheitsbeauftragten automatisch zugeteilt und unter Zertifikat angezeigt. Wenn SafeGuard Enterprise Kennwortregeln angewendet werden, sollten die Regeln im Active Directory deaktiviert werden. Hinweis: Maximale Länge des Speicherpfads und des Dateinamens: 260 Zeichen. Zum Anlegen eines Sicherheitsbeauftragten ist der öffentliche Teil des Zertifikats zwar ausreichend. Bei der Anmeldung an das SafeGuard Management Center ist jedoch auch der private Teil des Zertifikats (die Schlüsseldatei) erforderlich. Liegt diese nicht in der Datenbank vor, muss sie dem Sicherheitsbeauftragten zur Verfügung stehen und kann bei der Anmeldung dann ggf. im Zertifikatsspeicher abgelegt werden. Zertifikat Importieren: Ein existierendes Zertifikat wird importiert und anschließend dem Sicherheitsbeauftragten zugewiesen. Wird aus einer .p12 Schlüsseldatei importiert, muss das Kennwort des Zertifikats bekannt sein. Wird ein PKCS#12 Zertifikatscontainer ausgewählt, werden alle Zertifikate in die Liste der zuweisbaren Zertifikate geladen. Die Zuweisung des Zertifikats erfolgt nach dem Import, indem das Zertifikat im Dropdown-Listenfeld ausgewählt wird. 4. Klicken Sie zur Bestätigung Ihrer Einstellungen auf OK. Der neu angelegte Haupt-Sicherheitsbeauftragte wird im Navigationsfenster unter dem Knoten Haupt-Sicherheitsbeauftragte angezeigt. Die jeweiligen Eigenschaften lassen sich durch Auswahl des gewünschten Sicherheitsbeauftragten im Navigationsfenster anzeigen. Der Haupt-Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard Management Center anmelden. 7.4.9 Anlegen eines Sicherheitsbeauftragten Voraussetzung: Um einen neuen Sicherheitsbeauftragten anzulegen, benötigen Sie das Recht, Sicherheitsbeauftragte einzusehen und anzulegen. 1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte. 2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Sicherheitsbeauftragten-Knoten, in dem Sie den neuen Sicherheitsbeauftragten anlegen möchten, und wählen Sie Neu > Neuer Sicherheitsbeauftragter. 270 Administratorhilfe 3. Nehmen Sie die relevanten Einträge unter Neuer Sicherheitsbeauftragter vor: Feld/Kontrollkästchen Beschreibung Freigeschaltet Hier kann der Sicherheitsbeauftragte bis auf Weiteres deaktiviert werden. Das bedeutet, dass er zwar im System existiert, sich aber noch nicht an das SafeGuard Management Center anmelden kann. Erst wenn er durch einen anderen Sicherheitsbeauftragten aktiviert wird, kann er sich anmelden und seine administrativen Tätigkeiten ausführen. Name Hier wird der Name des Sicherheitsbeauftragten angegeben, wie er in den von SafeGuard Enterprise erzeugten Zertifikaten unter cn= eingetragen wird. Unter diesem Namen wird er auch im Navigationsfenster des SafeGuard Management Centers angezeigt. Dieser Name muss eindeutig sein. Maximalwert: 256 Zeichen Beschreibung Optional Maximalwert: 256 Zeichen Mobiltelefon Optional Maximalwert: 128 Zeichen E-Mail Optional Maximalwert: 256 Zeichen Gültig von/bis Hier wird angegeben, ab und bis wann (Datum) sich der Sicherheitsbeauftragte am SafeGuard Management Center anmelden darf. Token-Anmeldung Die Anmeldung kann auf folgende Art erfolgen: Ohne Token Der Sicherheitsbeauftragte darf sich nicht mit einem Token anmelden. Er muss sich über die Anmeldeinformationen (Benutzername/Kennwort) anmelden. Optional Die Anmeldung kann mit Token oder mit Anmeldeinformationen erfolgen. Der Sicherheitsbeauftragte kann wählen. Zwingend erforderlich Die Verwendung eines Token zur Anmeldung ist zwingend vorgeschrieben. Dazu muss sich der zum Zertifikat des Sicherheitsbeauftragten gehörende private Schlüssel auf dem Token befinden. 271 SafeGuard Enterprise Feld/Kontrollkästchen Beschreibung Zertifikat Zur Anmeldung an das SafeGuard Management Center benötigt ein Sicherheitsbeauftragter immer ein Zertifikat. Das Zertifikat kann entweder von SafeGuard Enterprise selbst erstellt werden oder es wird ein bereits existierendes verwendet. Ist eine Anmeldung mit Token zwingend notwendig, so muss das Zertifikat auf den Token des Sicherheitsbeauftragten aufgebracht werden. Erzeugen: Zertifikat und Schlüsseldatei werden neu erstellt und an einem auswählbaren Ort gespeichert. Dabei muss ein Kennwort für die .p12-Schlüsseldatei angegeben und bestätigt werden. Die .p12-Datei muss dem Sicherheitsbeauftragten bei der Anmeldung zur Verfügung stehen. Das erstellte Zertifikat wird dem Sicherheitsbeauftragten automatisch zugeteilt und unter Zertifikat angezeigt. Wenn SafeGuard Enterprise Kennwortregeln angewendet werden, sollten die Regeln im Active Directory deaktiviert werden. Hinweis: Maximale Länge des Speicherpfads und des Dateinamens: 260 Zeichen. Zum Anlegen eines Sicherheitsbeauftragten ist der öffentliche Teil des Zertifikats zwar ausreichend. Bei der Anmeldung an das SafeGuard Management Center ist jedoch auch der private Teil des Zertifikats (die Schlüsseldatei) erforderlich. Liegt diese nicht in der Datenbank vor, muss sie dem Sicherheitsbeauftragten zur Verfügung stehen und kann bei der Anmeldung dann ggf. im Zertifikatsspeicher abgelegt werden. Zertifikat Importieren: Ein existierendes Zertifikat wird importiert und anschließend dem Sicherheitsbeauftragten zugewiesen. Wird aus einer .p12 Schlüsseldatei importiert, muss das Kennwort des Zertifikats bekannt sein. Wird ein PKCS#12 Zertifikatscontainer ausgewählt, werden alle Zertifikate in die Liste der zuweisbaren Zertifikate geladen. Die Zuweisung des Zertifikats erfolgt nach dem Import, indem das Zertifikat im Dropdown-Listenfeld ausgewählt wird. Rollen des Sicherheitsbeauftragten Rollen Dem Sicherheitsbeauftragten können vordefinierte oder benutzerdefinierte Rollen zugewiesen werden. Die mit jeder Rolle verbundenen Rechte werden unter Zugelassene Aktion im Aktionsbereich angezeigt, wenn Sie auf die entsprechende Rolle klicken oder auf den Sicherheitsbeauftragten rechts-klicken und Eigenschaften, Aktionen wählen. Einem Benutzer können mehrere Rollen zugewiesen werden. Vordefinierte Rollen werden fett dargestellt. 4. Klicken Sie zur Bestätigung Ihrer Einstellungen auf OK. Der neu angelegte Sicherheitsbeauftragte wird im Navigationsfenster unter dem jeweiligen Sicherheitsbeauftragten Knoten angezeigt. Die jeweiligen Eigenschaften lassen sich durch Auswahl des gewünschten Sicherheitsbeauftragten im Navigationsfenster anzeigen. Der Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard Management 272 Administratorhilfe Center anmelden. Im nächsten Schritt müssen Sie nun dem Sicherheitsbeauftragten Verzeichnisobjekte/Domänen zuweisen, damit dieser die erforderlichen Aufgaben ausführen kann. 7.4.10 Zuweisen von Verzeichnisobjekten zu einem Sicherheitsbeauftragten Für die Ausführung ihrer Aufgaben benötigen Sicherheitsbeauftragte Zugriffsrechte für Verzeichnisobjekte. Zugriffsrechte können für Domänen, Organisationseinheiten (OUs) und Benutzergruppen sowie für den ".Automatisch registriert" Knoten unter dem Stammverzeichnis erteilt werden. Unter Benutzer & Computer können Sie die Zugriffsrechte eines anderen Sicherheitsbeauftragten ändern, wenn Sie vollen Zugriff auf den relevanten Container haben und für den Sicherheitsbeauftragten verantwortlich sind. Ihre eigenen Zugriffsrechte können Sie nicht ändern. Wenn Sie einen Sicherheitsbeauftragten einem Verzeichnisobjekt zum ersten Mal zuweisen, erbt der Sicherheitsbeauftragte Ihre Zugriffsrechte für diesen Container. Hinweis: Sie können anderen Sicherheitsbeauftragten nicht höhere Zugriffsrechte als Ihre Zugriffsrechte erteilen. Voraussetzung: Wenn Sie einem Sicherheitsbeauftragten das Recht, auf Verzeichnisobjekte zuzugreifen und diese zu verwalten, gewähren/verweigern möchten, benötigen Sie die "Benutzer und Computer"-Rechte "Zugriffsrechte von Sicherheitsbeauftragten anzeigen" und "Zugriffsrechte für Verzeichnis erteilen/verweigern". Darüber hinaus benötigen Sie das Zugriffsrecht Voller Zugriff für das relevante Verzeichnisobjekt. 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 2. Wählen Sie im Navigationsfenster auf der linken Seite die gewünschten Verzeichnisobjekte aus. Hinweis: Die Navigationsbaumstruktur zeigt nur die Verzeichnisobjekte, für die Sie Zugriffsrechte haben. Wenn Sie das Zugriffsrecht Voller Zugriff haben, wird das jeweilige Objekt schwarz dargestellt. Objekte mit Zugriffsrecht Schreibgeschützt, werden blau dargestellt. Auf einen ausgegrauten Knoten können Sie nicht zugreifen. Dieser wird jedoch angezeigt, wenn es untergeordnete Knoten gibt, auf die Sie Zugriff haben. 3. Klicken Sie im Aktionsbereich auf der rechten Seite auf die Registerkarte Zugriff. 4. Um die Rechte für die ausgewählten Objekte zuzuweisen, ziehen Sie den gewünschten Sicherheitsbeauftragten von der äußersten rechten Seite per Drag&Drop in die Zugriff Tabelle. 5. Wählen Sie in der Spalte Zugriffsrechte die Rechte, die Sie dem Sicherheitsbeauftragten für die ausgewählten Objekte erteilen möchten. ■ ■ ■ Voller Zugriff Schreibgeschützt Verweigert Um die Zuweisung der Rechte für die ausgewählten Objekte rückgängig zu machen, ziehen Sie den Sicherheitsbeauftragten wieder zurück in die Tabelle Sicherheitsbeauftragte. 6. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der Datenbank zu speichern. Die ausgewählten Objekte stehen dem relevanten Sicherheitsbeauftragten zur Verfügung. Hinweis: Wenn zwei Sicherheitsbeauftragte gleichzeitig mit der gleichen SafeGuard Enterprise Datenbank arbeiten und einer der beiden ändert Zugriffsrechte, wird eine Meldung angezeigt, die den anderen Sicherheitsbeauftragten darüber informiert. In diesem Fall gehen alle nicht gespeicherten Änderungen verloren. Verliert ein Sicherheitsbeauftragter alle Zugriffsrechte 273 SafeGuard Enterprise für einen Knoten, so wird der Zugriff nicht mehr gewährt und es wird eine entsprechende Meldung angezeigt. Das Navigationsfenster wird entsprechend aktualisiert. 7.4.10.1 Einsehen der Sicherheitsbeauftragtenrechte für Verzeichnisobjekte Die Sicherheitsbeauftragten zugewiesenen Rechte für Verzeichnisobjekte werden in der Registerkarte Zugriff der relevanten Objekte unter Benutzer & Computer angezeigt. Hinweis: Die Registerkarte Zugriff zeigt nur die Zugriffsrechte für Container, für die Sie Zugriffsrechte haben. Es werden auch nur die Sicherheitsbeauftragten angezeigt, für die Sie verantwortlich sind. Die Registerkarte Zugriff enthält folgende Informationen: Die Spalte Sicherheitsbeauftragte zeigt die Typen und Namen der den Verzeichnisobjekten zugeordneten Sicherheitsbeauftragten. Die Spalte Zugewiesen von zeigt den Sicherheitsbeauftragten, der die Zugriffsrechte zugewiesen hat. Das Zuweisungsdatum Die Spalte Zugriffsrechte zeigt die erteilten Rechte: Voller Zugriff, Verweigert oder Schreibgeschützt. Die Spalte Ursprung zeigt den vollständigen Namen des Knotens, an dem das Zugriffsrecht dem entsprechenden Sicherheitsbeauftragten zugewiesen wurde. Zum Beispiel: Wurde das Recht einem übergeordneten Knoten des ausgewählten Verzeichnisobjekts zugewiesen, so wird hier der übergeordnete Knoten angezeigt. In diesem Fall hat der Sicherheitsbeauftragte das Zugriffsrecht für das ausgewählte Verzeichnisobjekt durch Zuweisung an den übergeordneten Knoten geerbt. Die Spalte Status zeigt, wie der Sicherheitsbeauftragte das Zugriffsrechte erhalten hat: Geerbt (blauer Text): Das Zugriffsrecht wurde von einem übergeordneten Knoten geerbt. Überschrieben (brauner Text): Das Zugriffsrecht wurde von einem übergeordneten Knoten geerbt, jedoch am ausgewählten Knoten durch direkte Zuweisung überschrieben. Direkt zugewiesen (schwarzer Text): Das Zugriffsrecht wurde direkt am ausgewählten Knoten zugewiesen. Für geerbte Rechte können Sie in der Spalte Status einen Tooltip anzeigen, der den Ursprung des relevanten Rechts zeigt. 7.4.11 Höherstufen von Sicherheitsbeauftragten Sie haben folgende Möglichkeiten: ■ Sie können einen Benutzer im Bereich Benutzer & Computer zum Sicherheitsbeauftragten ernennen. ■ Sie können einen Sicherheitsbeauftragten im Bereich Sicherheitsbeauftragte zu einem Haupt-Sicherheitsbeauftragten ernennen. 7.4.11.1 Voraussetzungen für die Ernennung eines Benutzers zum Sicherheitsbeauftragten Ein Sicherheitsbeauftragter mit den erforderlichen Rechten kann Benutzer zu Sicherheitsbeauftragten machen und ihnen Rollen zuweisen. 274 Administratorhilfe Auf diese Weise ernannte Sicherheitsbeauftragte können sich mit Ihren Windows-Anmeldeinformationen oder ihrer Token/Smartcard-PIN an das SafeGuard Management Center anmelden. Sie können genauso wie andere Sicherheitsbeauftragte agieren und verwaltet werden. Folgende Voraussetzungen müssen erfüllt sein: ■ Benutzer, die zu Sicherheitsbeauftragten ernannt werden sollen, müssen aus einem Active Directory importiert und im SafeGuard Management Center unter Benutzer & Computer sichtbar sein. ■ Ein zum Sicherheitsbeauftragter ernannter Benutzer benötigt für die Anmeldung an das SafeGuard Management Center als Sicherheitsbeauftragter ein Benutzerzertifikat. Sie können dieses Zertifikat erstellen, wenn Sie den Benutzer zum Sicherheitsbeauftragten ernennen (siehe Ernennen eines Benutzers zum Sicherheitsbeauftragten (Seite 275)). Für die Anmeldung mit den Windows-Anmeldeinformationen muss die .p12-Datei mit dem privaten Schlüssel in der SafeGuard Enterprise Datenbank vorhanden sein. Für die Anmeldung mit Token bzw. Smartcard-PIN muss sich die .p12-Datei mit dem privaten Schlüssel auf dem Token bzw. der Smartcard befinden. Hinweis: Wenn Sie ein Zertifikat erstellen, wenn Sie einen Benutzer höher stufen, dann ist das Kennwort des Zertifikats für die Anmeldung am SafeGuard Management Center notwendig. Es ist das Kennwort des Zertifikats einzugeben, obwohl nach dem Windows Kennwort gefragt wird. Das ist auch der Fall bei der Anmeldung zum SafeGuard Enterprise Web Help Desk. 7.4.11.2 Ernennen eines Benutzers zum Sicherheitsbeauftragten Voraussetzung: Um einen Benutzer zum Sicherheitsbeauftragten zu ernennen, müssen Sie ein Haupt-Sicherheitsbeauftragter oder ein Sicherheitsbeauftragter mit den erforderlichen Rechten sein. 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 2. Klicken Sie mit der rechten Maustaste auf den Benutzer, den Sie zum Sicherheitsbeauftragten machen möchten. Wählen Sie Diesen Benutzer zum Sicherheitsbeauftragten machen. 3. Der nächste Schritt richtet sich danach, ob für den ausgewählten Benutzer ein Benutzerzertifikat verfügbar ist. ■ Wurde dem Benutzer bereits ein Benutzerzertifikat zugewiesen, so wird der Rollenauswahl Dialog angezeigt. Fahren Sie mit Schritt 4 fort. ■ Ist kein Benutzerzertifikat verfügbar, so werden Sie in einer Meldung gefragt, ob für diesen Benutzer ein selbst-signiertes Schlüsselpaar erzeugt werden soll. Klicken Sie auf Ja, geben Sie im Kennwort für neues Zertifikat Dialog ein Kennwort ein und bestätigen Sie es. Nun wird der Rollenauswahl Dialog angezeigt. 4. Wählen Sie im Rollenauswahl Dialog die erforderlichen Rollen aus und klicken Sie auf OK. Der Benutzer ist nun Sicherheitsbeauftragter und wird im Bereich Sicherheitsbeauftragte mit seinem Benutzernamen angezeigt. Die jeweiligen Eigenschaften lassen sich durch Auswahl des gewünschten Sicherheitsbeauftragten im Navigationsfenster anzeigen. Ist der private Schlüssel des Benutzers in der Datenbank gespeichert, so ist Kein Token aktiviert. Wenn sich der private Schlüssel auf dem Token oder der Smartcard befindet, ist Optional aktiviert. Nach Wunsch können Sie den Sicherheitsbeauftragten per Drag&Drop auf der gewünschten Position in der Baumstruktur des Bereichs Sicherheitsbeauftragte platzieren. 275 SafeGuard Enterprise Der Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard Management Center anmelden. 7.4.11.3 Ernennen eines Sicherheitsbeauftragten zum Haupt-Sicherheitsbeauftragten Voraussetzung: Um einen Sicherheitsbeauftragten zum Haupt-Sicherheitsbeauftragten zu ernennen, benötigen Sie das Recht, Sicherheitsbeauftragte einzusehen und zu modifizieren. 1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte. 2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Sicherheitsbeauftragten, den Sie zum Haupt-Sicherheitsbeauftragten ernennen möchten. Wählen Sie Zum Haupt-Sicherheitsbeauftragten ernennen. 3. Weist der ausgewählte Sicherheitsbeauftragte untergeordnete Sicherheitsbeauftragte auf, so werden Sie dazu aufgefordert, einen neuen übergeordneten Knoten für diese untergeordneten Sicherheitsbeauftragten auszuwählen. Der Sicherheitsbeauftragte wird zum Haupt-Sicherheitsbeauftragten ernannt und unter dem Knoten Haupt-Sicherheitsbeauftragte angezeigt. Als Haupt-Sicherheitsbeauftragter erhält der ernannte Sicherheitsbeauftragte alle Rechte auf alle Objekte und verliert somit alle zugewiesenen Rollen sowie einzeln gewährte Domänen-Zugriffsberechtigungen im Bereich Benutzer & Computer. 7.4.12 Zurückstufen von ernannten Haupt-Sicherheitsbeauftragten Voraussetzung: Nur Haupt-Sicherheitsbeauftragte können die Ernennung von Sicherheitsbeauftragten zu Haupt-Sicherheitsbeauftragten rückgängig machen. 1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte. 2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Haupt-Sicherheitsbeauftragten, dessen Ernennung Sie rückgängig machen möchten. Wählen Sie Zum Sicherheitsbeauftragten zurückstufen. 3. Sie werden dazu aufgefordert, einen übergeordneten Knoten für den Sicherheitsbeauftragten zu wählen und mindestens eine Rolle zuzuweisen. Die Ernennung des Sicherheitsbeauftragten zum Haupt-Sicherheitsbeauftragten wird rückgängig gemacht und der Sicherheitsbeauftragte wird unter dem ausgewählten Sicherheitsbeauftragten Knoten angezeigt. Der Sicherheitsbeauftragte verliert alle Rechte für alle Objekte und erhält nur die Rechte, die den zugewiesenen Rollen zugeordnet sind. Ein Sicherheitsbeauftragter, dessen Ernennung zum Haupt-Sicherheitsbeauftragten rückgängig gemacht wurde, hat zunächst keine Domänen-Zugriffsrechte. Domänen-Zugriffsrechte müssen einzeln im Bereich Benutzer & Computer in der Registerkarte Zugriff gewährt werden. 7.4.13 Ändern des Zertifikats eines Sicherheitsbeauftragten Voraussetzung: Um das Zertifikat eines Sicherheitsbeauftragten oder Haupt-Sicherheitsbeauftragten zu ändern, benötigen Sie das Recht, Sicherheitsbeauftragte einzusehen und zu modifizieren. 1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte. 2. Klicken Sie im Navigationsfenster auf den Sicherheitsbeauftragten, dessen Zertifikat Sie ändern möchten. Das aktuelle Zertifikat wird im Aktionsbereich auf der rechten Seite im Feld Zertifikate angezeigt. 3. Klicken Sie im Aktionsbereich auf die Dropdownliste Zertifikate und wählen Sie ein anderes Zertifikat aus. 276 Administratorhilfe 4. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der Datenbank zu speichern. 7.4.14 Anordnen von Sicherheitsbeauftragten in der Baumstruktur Sicherheitsbeauftragte lassen sich im Sicherheitsbeauftragte Navigationsbereich des SafeGuard Management Center gemäß der Organisationsstruktur Ihres Unternehmens hierarchisch anordnen. Die Baumstruktur lässt sich für alle Sicherheitsbeauftragten, außer für Haupt-Sicherheitsbeauftragte, ordnen. Haupt-Sicherheitsbeauftragte werden in einer nicht-hierarchischen Liste unter dem Haupt-Sicherheitsbeauftragten-Knoten angezeigt. Der Sicherheitsbeauftragten-Knoten enthält eine Baumstruktur, in der jeder Knoten einen Sicherheitsbeauftragten repräsentiert. Diese hierarchische Anordnung gibt jedoch keine Hierarchie in Bezug auf Rechte und Rollen wieder. Voraussetzung: Um einen Sicherheitsbeauftragten in der Baumstruktur zu verschieben, benötigen Sie das Recht, Sicherheitsbeauftragte einzusehen und zu modifizieren. 1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte. 2. Ziehen Sie den gewünschten Sicherheitsbeauftragten im Navigationsfenster per Drag&Drop zum gewünschten Knoten. Alle dem Sicherheitsbeauftragten untergeordneten Sicherheitsbeauftragte werden ebenfalls verschoben. 7.4.15 Schneller Wechsel zwischen Sicherheitsbeauftragten Sie können das SafeGuard Management Center schnell und einfach neu starten, wenn Sie sich mit einem anderen Sicherheitsbeauftragten anmelden möchten. 1. Wählen Sie im SafeGuard Management Center Datei > Sicherheitsbeauftragten wechseln. Das SafeGuard Management Center wird neu gestartet und es wird ein Anmeldedialog angezeigt. 2. Wählen Sie den Sicherheitsbeauftragten, mit dem Sie sich an das SafeGuard Management Center anmelden möchten, und geben Sie das zugehörige Kennwort ein. Wenn Sie im Multi Tenancy Modus arbeiten, werden Sie wieder an dieselbe Datenbankkonfiguration angemeldet. Das SafeGuard Management Center wird neu gestartet und zeigt die dem angemeldeten Sicherheitsbeauftragten zugeordnete Ansicht. 7.4.16 Löschen eines Sicherheitsbeauftragten Voraussetzung: Um einen Sicherheitsbeauftragten zu löschen, benötigen Sie das Recht, Sicherheitsbeauftragte einzusehen und zu löschen. 1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte. 2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Sicherheitsbeauftragten oder den Haupt-Sicherheitsbeauftragten, den Sie löschen möchten. Wählen Sie Löschen. Beachten Sie, dass Sie den Sicherheitsbeauftragten, mit dem Sie angemeldet sind, nicht löschen können. 3. Weist der ausgewählte Sicherheitsbeauftragte untergeordnete Sicherheitsbeauftragte auf, so werden Sie dazu aufgefordert, einen neuen übergeordneten Knoten für diese untergeordneten Sicherheitsbeauftragten auszuwählen. 277 SafeGuard Enterprise Der Sicherheitsbeauftragte wird aus der Datenbank gelöscht. Hinweis: Mindestens ein Haupt-Sicherheitsbeauftragter, der explizit als Beauftragter angelegt wurde und nicht nur zum Sicherheitsbeauftragten höhergestuft wurde, muss immer in der Datenbank verbleiben. Wird ein Benutzer, der zum Sicherheitsbeauftragten ernannt wurde, aus der Datenbank gelöscht, so wird auch sein Benutzerkonto aus der Datenbank gelöscht. Hinweis: Wenn der zu löschende Sicherheitsbeauftragte eine Rolle hat, die zusätzliche Autorisierung umfasst und dem Sicherheitsbeauftragten als einziger diese Rolle zugewiesen ist, wird der Sicherheitsbeauftragte trotzdem gelöscht. Es wird angenommen, dass der Haupt-Sicherheitsbeauftragte die zusätzliche Autorisierung übernimmt. 7.5 Aufbau der Organisationsstruktur Für den Aufbau einer Organisationsstruktur im SafeGuard Management Center gibt es zwei Möglichkeiten: Sie können eine bestehende Organisationsstruktur über ein Active Directory in die SafeGuard Enterprise Datenbank importieren. Sie können Ihre Organisationsstruktur manuell anlegen, indem Sie Arbeitsgruppen und Domänen sowie eine Struktur für die Verwaltung von Richtlinien erstellen. 7.5.1 Import aus Active Directory Sie können eine bestehende Organisationsstruktur über ein Active Directory in die SafeGuard Enterprise Datenbank importieren. Wir empfehlen, ein spezielles Windows-Servicekonto anzulegen, das für alle Import- und Synchronisierungsaufgaben verwendet wird. So stellen Sie sicher, dass alle Import-Vorgänge korrekt durchgeführt werden und verhindern, dass Objekte in der SafeGuard Enterprise Datenbank unbeabsichtigt gelöscht werden. Für Informationen zum Zuweisen der notwendigen Rechte, siehe http://www.sophos.com/de-de/support/knowledgebase/107979.aspx. 7.5.1.1 Importieren der Organisationsstruktur Hinweis: Mit dem SafeGuard Management Center Taskplaner können Sie einen periodischen Task für die automatische Synchronisierung zwischen dem Active Directory und SafeGuard Enterprise erstellen. In Ihrer Produktlieferung steht hierzu eine vordefinierte Skript-Vorlage zur Verfügung. Weitere Informationen finden Sie unter Planung von Tasks (Seite 318) und Vordefinierte Skripte für regelmäßig wiederkehrende Tasks (Seite 324). 1. Wählen Sie im SafeGuard Management Center Extras > Optionen. 2. Wählen Sie die Registerkarte Verzeichnis und klicken Sie auf Hinzufügen. 3. Gehen Sie in LDAP Authentisierung folgendermaßen vor: a) Bei Servername oder IP geben Sie den NetBIOS-Name des Domänencontrollers oder dessen IP ein. b) Bei Anmeldeinformationen des Benutzers geben Sie Ihre Windows-Anmeldeinformationen zur Umgebung ein. c) Klicken Sie auf OK. Hinweis: Bei Windows Einzelplatzcomputern muss auf dem Computer ein Verzeichnis freigegeben sein, damit eine Verbindung via LDAP möglich wird. 4. Klicken Sie auf Benutzer & Computer. 278 Administratorhilfe 5. Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm [Filter ist aktiv]. 6. Klicken Sie im Aktionsbereich auf der rechten Seite auf die Registerkarte Synchronisieren. 7. Wählen Sie das gewünschte Verzeichnis aus der Verzeichnis DSN Liste und klicken Sie auf das Lupensymbol (oben rechts). Es erscheint eine Abbildung der Active Directory-Struktur der Organisationseinheiten (OU) in Ihrem Unternehmen. 8. Markieren Sie die Organisationseinheiten (OU), die synchronisiert werden sollen. Es muss nicht der gesamte Inhalt des Active Directory importiert werden. 9. Um auch Mitgliedschaften zu synchronisieren, wählen Sie das Kontrollkästchen Synchronisiere Mitgliedschaften. Um auch den Benutzer Aktiv-Status zu synchronisieren, wählen Sie das Kontrollkästchen Synchronisiere Benutzer Aktiv-Status. 10. Klicken Sie unten im Aktionsbereich auf Synchronisieren. Wenn Sie Benutzer und ihre Gruppenzugehörigkeit synchronisieren, wird die Zugehörigkeit zu einer “Primärgruppe“ nicht synchronisiert, da sie für die Gruppe nicht sichtbar ist. Die Domänen werden synchronisiert. Details zur Synchronisierung werden angezeigt. Klicken Sie auf die Meldung, die in der Statusleiste unterhalb der Schaltflächen auf der linken Seite angezeigt wird, um ein Synchronisierungsprotokoll einzusehen. Klicken Sie auf das Protokoll, um es in die Zwischenablage zu kopieren und es in eine E-Mail oder eine Datei einzufügen. Hinweis: Wenn Elemente von einer untergeordneten Baumstruktur in eine andere im Active Directory verschoben wurden, müssen beide Baumstrukturen mit der SQL-Datenbank synchronisiert werden. Wird nur eine untergeordnete Datenbank synchronisiert, so werden die Elemente nicht verschoben, sondern gelöscht. Hinweis: Es wird empfohlen, Importvorgänge mit mehr als 400.000 Objekten aus dem AD in mehrere Vorgänge aufzuteilen. Unter Umständen ist dies nicht möglich, wenn sich mehr als 400.000 Objekte in einer Organisationseinheit befinden. 7.5.1.2 Eine neue Domäne aus einem Active Directory importieren 1. Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm [Filter ist aktiv]. 2. Wählen Sie Datei > Neu > Neue Domäne aus AD importieren. 3. Klicken Sie im Aktionsbereich auf der rechten Seite auf Synchronisieren. 4. Wählen Sie das gewünschte Verzeichnis aus der Verzeichnis DSN Liste und klicken Sie auf das Lupensymbol (oben rechts). Es erscheint eine Abbildung der Active Directory-Struktur der Organisationseinheiten (OU) in Ihrem Unternehmen. 5. Wählen Sie die Domäne, die synchronisiert werden soll, und klicken Sie auf Synchronisieren. Hinweis: Wenn Elemente von einer untergeordneten Baumstruktur in eine andere im Active Directory verschoben wurden, müssen beide Baumstrukturen mit der SQL-Datenbank synchronisiert werden. Wird nur eine untergeordnete Datenbank synchronisiert, so werden die Elemente nicht verschoben, sondern gelöscht. Hinweis: Durch die AD-Synchronisierung wird der (NetBIOS)-Name der Domäne vor Windows 2000 nicht synchronisiert, wenn der Domänen-Controller mit einer IP-Adresse konfiguriert ist. Konfigurieren Sie den Domänen-Controller so, dass stattdessen der Servername (NetBIOS oder DNS) verwendet wird. Der Client (auf dem die AD-Synchronisierung läuft) muss entweder 279 SafeGuard Enterprise Teil der Domäne sein oder es muss sichergestellt sein, dass der DNS-Name zum Ziel-Domänen-Controller aufgelöst werden kann. 7.5.1.3 Zugriffsrechte für Sicherheitsbeauftragte und Import aus Active Directory Für die erforderlichen Zugriffsrechte für den Import der Organisationsstruktur aus Active Directory gilt: ■ Wenn Sie eine Active Directory Verbindung zu einer bereits vorhandenen Domäne hinzufügen, gilt Folgendes: Wenn Sie das Zugriffsrecht Voller Zugriff für die Domäne (DNS) haben, werden die Anmeldeinformationen für die Directory-Verbindung aktualisiert. Wenn Sie das Zugriffsrecht Schreibgeschützt oder weniger Zugriffsrechte für die Domäne (DNS) haben, werden die Anmeldeinformationen nicht aktualisiert. Sie können jedoch vorhandene Anmeldeinformationen für die Synchronisierung benutzen. ■ Für Active Directory Import und Synchronisierung werden die Zugriffsrechte für einen Container oder eine Domäne auf die Domänenbaumstruktur, die sie importieren können, übertragen. Wenn Sie für eine untergeordnete Baumstruktur nicht das Zugriffsrecht Voller Zugriff haben, kann diese nicht synchronisiert werden. Wenn eine untergeordnete Baumstruktur nicht geändert werden kann, wird sie nicht in der Synchronisierungs-Baumstruktur angezeigt. ■ Unabhängig von Ihren Sicherheitsbeauftragten-Zugriffsrechten für Verzeichnisobjekte können Sie eine neue Domäne aus dem Active Directory importieren, wenn diese noch nicht in der SafeGuard Enterprise Datenbank existiert. Sie und Ihre übergeordneten Sicherheitsbeauftragten erhalten automatisch das Zugriffsrecht Voller Zugriff für die neue Domäne. ■ Wenn Sie einen untergeordneten Container (Sub-Container) für die Synchronisierung auswählen, muss die Synchronisierung bis zum Stammverzeichnis durchgeführt werden. In der Synchronisierungs-Baumstruktur werden alle relevanten Container automatisch ausgewählt. Dies ist auch dann der Fall, wenn sich über dem Sub-Container Container befinden, die gemäß ihren Zugriffsrechten Schreibgeschützt sind, oder für die der Zugriff Verweigert wird. Wenn Sie die Auswahl eines Sub-Containers aufheben, müssen Sie dies entsprechend Ihren Zugriffsrechten auch bei den Containern darüber bis zum Stammverzeichnis tun. Wenn eine Gruppe, für die nur die Zugriffsrechte Schreibgeschützt oder Verweigert verfügbar sind, in den Synchronisierungsvorgang einbezogen wird, passiert Folgendes: Die Gruppenmitgliedschaften werden nicht aktualisiert. Wenn die Gruppe im Active Directory gelöscht wurde, wird sie nicht aus der SafeGuard Enterprise Datenbank gelöscht. Wenn die Gruppe jedoch im Active Directory verschoben wurde, wird sie auch innerhalb der SafeGuard Enterprise Struktur verschoben. Dies ist auch dann der Fall, wenn sie in einen Container verschoben werden soll, für den Sie nicht das Voller Zugriff Zugriffsrecht haben. Wenn ein Container mit den Zugriffsrechten Schreibgeschützt oder Verweigert zur Synchronisierung hinzugefügt wird, da er sich auf dem Weg zum Stammverzeichnis befindet, und dieser Container eine Gruppe mit dem Zugriff Voller Zugriff enthält, wird diese Gruppe synchronisiert. Gruppen mit den Zugriffsrechten Schreibgeschützt oder Verweigert werden nicht synchronisiert. 280 Administratorhilfe 7.5.2 Erstellen von Arbeitsgruppen und Domänen Sicherheitsbeauftragte mit den erforderlichen Berechtigungen können manuell Arbeitsgruppen oder Domänen mit einer Struktur für die Verwaltung von Richtlinien anlegen. Auch die Zuweisung von Richtlinien und/oder Verschlüsselungsregeln an lokale Benutzer ist dadurch möglich. Sie müssen Domänen nur dann manuell anlegen, wenn Sie keine Domänen aus dem Active Directory (AD) importieren wollen oder können, z. B. weil kein AD vorhanden ist. 7.5.2.1 Registrierung als neuer Benutzer Informationen zu Benutzern, die sich zum ersten Mal bei SafeGuard Enterprise anmelden, finden Sie unter SafeGuard Power-on Authentication (POA) (Seite 181). Wenn sich ein neuer Benutzer an SafeGuard Enterprise anmeldet, wird dieser sobald der Endpoint eine Verbindung mit dem SafeGuard Enterprise Server hergestellt hat, registriert und in im Bereich Benutzer und Computer des SafeGuard Management Center unter der entsprechenden Domäne oder Arbeitsgruppe angezeigt. Das für diese Benutzer/Computer vorgesehene Verzeichnis .Automatisch registriert wird automatisch unterhalb des Stammverzeichnisses sowie unter jeder Domäne/Arbeitsgruppe erzeugt. Es kann nicht umbenannt oder verschoben werden. Objekte in diesem Verzeichnis können auch nicht manuell verschoben werden. Wenn die Organisationseinheit (Organizational Unit, OU) beim nächsten Kontakt mit der SafeGuard Enterprise Datenbank synchronisiert wird, wird das Objekt in die entsprechenden OU verschoben. Andernfalls verbleibt Sie im Verzeichnis .Automatisch registriert der jeweiligen Domäne/Arbeitsgruppe. Als Sicherheitsbeauftragter können Sie dann die automatisch registrierten Objekte wie üblich verwalten. Hinweis: Lokale Benutzer können sich nicht mit einem leeren Kennwort an SafeGuard Enterprise anmelden.Wenn sich lokale Benutzer mit leerem Kennwort an SafeGuard Enterprise anmelden, bleiben sie Gastbenutzer und werden nicht in der Datenbank gespeichert. Wenn für diese Benutzer zudem noch Windows Autologon aktiviert ist, wird die Anmeldung abgebrochen. Für die erfolgreiche Anmeldung an SafeGuard Enterprise muss in diesem Fall ein neues Kennwort vergeben werden und das Autologon für Windows in der Registry des Endpoint deaktiviert werden. Hinweis: Microsoft Konten werden immer als SafeGuard Enterprise Gastbenutzer behandelt. 7.5.2.2 Beispiele für die automatische Registrierung Im Folgenden finden Sie zwei Beispiele für das Verhalten von automatisch registrierten Objekten. Benutzer/Computer außerhalb eines Active Directory In einem Unternehmen müssen nicht zwangsläufig alle Benutzer/Computer Teil eines Active Directory (AD) sein, z. B. lokale Benutzer. Ein Unternehmen hat möglicherweise nur eine oder wenige Arbeitsgruppen, so dass sich der Aufbau eines ADs nicht lohnt. Dieses Unternehmen möchte SafeGuard Enterprise einsetzen, um dann seine Benutzer-/Computerobjekte mit Richtlinien zu versehen. Deshalb wird die Organisationsstruktur des Unternehmens im SafeGuard Management Center folgendermaßen manuell aufgebaut: 281 SafeGuard Enterprise Die Objekte bleiben im Verzeichnis .Automatisch registriert. Sie können mit dem SafeGuard Management Center durch Anwendung von Richtlinien auf das Verzeichnis ".Automatisch registriert" verwaltet werden. SafeGuard Enterprise Datenbank und Active Directory nicht synchronisiert Ein Benutzer ist bereits Teil des Active Directory (AD) des Unternehmens. Die SafeGuard Enterprise Datenbank und das AD sind jedoch nicht synchron. Der Benutzer (Benutzer 1) meldet sich an SafeGuard Enterprise an und wird automatisch im Bereich Benutzer und Computer im SafeGuard Management Center unter der Domäne angezeigt, die durch die Anmeldung vorgegeben ist (Domäne 1). Der Benutzer ist nun Teil des ".Auto regstriert"-Verzeichnisses. Das Objekt kann mit dem SafeGuard Management Center durch Anwendung von Richtlinien auf das ".Automatisch registriert"-Verzeichnis verwaltet werden. Mit der nächsten Synchronisierung zwischen dem AD und der SafeGuard Enterprise Datenbank wird Benutzer 1 automatisch in seine Organisationseinheit (Benutzer) verschoben.. 282 Administratorhilfe Damit für Benutzer 1 jetzt Richtlinien aktiv werden können, müssen sie ab jetzt der Organisationseinheit Benutzer zugewiesen werden. 7.5.2.3 Schlüssel und Zertifikate für autoregistrierte Objekte Für jedes auto-registrierte Objekt erzeugt der Server nach Bedarf ein Zertifikat. Ein lokaler Benutzer erhält zwei Schlüssel: ■ den Schlüssel des Containers .Automatisch registriert ■ den privaten Schlüssel, der vom Server bei Bedarf erzeugt wird. Lokale Benutzer erhalten keine weiteren Schlüssel der ihnen übergeordneten Container, auch keinen Root-Schlüssel. Arbeitsgruppen erhalten gar keine Schlüssel. 7.5.2.4 Richtlinien für autoregistrierte Objekte Für autoregistrierte Objekte können ohne Einschränkung Richtlinien erstellt werden. Lokale Benutzer werden zur Gruppe „.authentisierte Benutzer“ hinzugefügt. Computer werden zur Gruppe „.authentisierte Computer“ hinzugefügt. Dementsprechend gelten für sie die Richtlinien, die für diese Gruppe aktiviert wurden. 7.5.2.5 Erzeugen von Arbeitsgruppen Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie unter dem Stammverzeichnis einen Container erzeugen, der eine Windows Arbeitsgruppe repräsentiert. Arbeitsgruppen erhalten keine Schlüssel. Sie können nicht umbenannt werden. 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 2. Rechts-klicken Sie im linken Navigationsfenster auf Stamm [Filter ist aktiv] und wählen Sie im Kontextmenü Neu > Neue Arbeitsgruppe erzeugen (autom. Registrierung). 283 SafeGuard Enterprise 3. Gehen Sie in Allgemeine Informationen wie folgt vor: a) Geben Sie einen vollständigen Namen für die Arbeitsgruppe ein. b) Sie können optional eine Beschreibung hinzufügen. c) Im Feld Verbindungsstatus wird der Typ des Objekts angezeigt, in diesem Fall Arbeitsgruppe. d) Aktivieren Sie Richtlinienvererbung stoppen, wenn gewünscht. e) Klicken Sie auf OK. Die Arbeitsgruppe wird erzeugt. Unterhalb des Arbeitsgruppen-Containers wird automatisch das Standardverzeichnis .Automatisch registriert angelegt. Es kann weder umbenannt noch gelöscht werden. 7.5.2.6 Löschen von Arbeitsgruppen Um eine Arbeitsgruppe zu löschen, benötigen Sie das Zugriffsrecht Voller Zugriff für die relevante Arbeitsgruppe. Falls die Arbeitsgruppe Mitglieder hatte, werden diese ebenfalls gelöscht. (Bei der nächsten Anmeldung werden sie wieder autoregistriert). Um eine Arbeitsgruppe zu löschen, benötigen Sie das Zugriffsrecht Voller Zugriff für alle beteiligten Objekte. 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 2. Rechts-klicken Sie im rechten Navigationsbereich auf der Arbeitsgruppe, die gelöscht werden soll, und wählen Sie Löschen. 3. Klicken Sie zur Bestätigung auf OK. Die Arbeitsgruppe wird gelöscht. Eventuelle Mitglieder werden ebenfalls gelöscht. Hinweis: Wenn Sie das Zugriffsrecht Voller Zugriff nicht für alle Mitglieder der Arbeitsgruppe haben, schlägt das Löschen der Arbeitsgruppe fehl und es wird eine Fehlermeldung angezeigt. 7.5.2.7 Erstellen einer neuen Domäne Als Sicherheitsbeauftragter mit den nötigen Berechtigungen können Sie unter dem Stammverzeichnis eine neue Domäne anlegen. Sie sollten nur neue Domänen anlegen, wenn Sie keine Domänen aus dem Active Directory (AD) importieren wollen oder können, z. B. weil kein AD vorhanden ist. 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 2. Rechts-klicken Sie im linken Navigationsfenster auf Stamm [Filter ist aktiv] und wählen Sie im Kontextmenü Neu > Neue Domäne erzeugen (autom. Registrierung). 3. In Allgemeine Informationen machen Sie folgende Angaben zum Domänen-Controller. 284 Administratorhilfe Alle zwei Namenseinträge müssen korrekt sein. Ansonsten wird die Domäne nicht synchronisiert. a) Vollst. Name: z. B. rechnername.domäne.com oder die IP-Adresse des Domänen-Controllers b) Distinguished Name (schreibgeschützt): DNS-Name, z. B. DC=rechnername3,DC=domäne,DC=Land c) Eine Domänenbeschreibung (optional) d) Netbios Name: Name des Domänen-Controllers e) Unter Verbindungsstatus wird der Typ des Objekts angezeigt, in diesem Fall Domäne. f) Aktivieren Sie Richtlinienvererbung stoppen, wenn gewünscht. g) Klicken Sie auf OK. Die neue Domäne wird angelegt. Ein Benutzer und/oder ein Computer wird bei der Autoregistrierung automatisch dieser Domäne zugeordnet. Unterhalb des Domänen-Containers wird das Standardverzeichnis .Automatisch registriert angelegt. Es kann weder umbenannt noch gelöscht werden. 7.5.2.8 Umbenennen einer Domäne Als Sicherheitsbeauftragter mit den nötigen Berechtigungen können Sie eine Domäne umbenennen und weitere Eigenschaften für sie festlegen. Sie benötigen das Zugriffsrecht Voller Zugriff für die relevante Domäne. 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 2. Rechts-klicken Sie im linken Navigationsfenster auf der Domäne, die umbenannt werden soll, und wählen Sie Eigenschaften. 3. Ändern Sie in Allgemeine Informationen unter Vollst. Name den Namen der Domäne und die Beschreibung. 4. In Netbios Name können Sie den Namen des Domänen-Controllers ändern. 5. Außerdem können Sie in der Registerkarte Containereinstellungen den Wake-on-LAN-Modus für den automatischen Neustart festlegen. 6. Klicken Sie zur Bestätigung Ihrer Einstellungen auf OK. Die Änderungen sind nun gespeichert. 7.5.2.9 Löschen einer Domäne Als Sicherheitsbeauftragter mit den nötigen Berechtigungen können Sie Domänen löschen. Um eine Domäne zu löschen, benötigen Sie das Zugriffsrecht Voller Zugriff für die relevante Domäne. Hinweis: Falls die Domäne Mitglieder hatte, werden diese ebenfalls gelöscht. 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 2. Rechts-klicken Sie im linken Navigationsfenster auf der Domäne, die gelöscht werden soll, und wählen Sie Löschen. 3. Klicken Sie auf Ja. Die Domäne wird gelöscht. Eventuelle Mitglieder werden ebenfalls gelöscht. Hinweis: Wenn Sie das Zugriffsrecht Voller Zugriff nicht für alle Mitglieder der Domäne haben, schlägt das Löschen der Domäne fehl und es wird eine Fehlermeldung angezeigt. 285 SafeGuard Enterprise 7.5.2.10 Löschen von automatisch registrierten Computern Wenn ein automatisch registrierter Computer gelöscht wird, werden alle lokalen Benutzer dieses Computers ebenfalls gelöscht. Bei der nächsten Anmeldung dieses Computers wird er erneut automatisch registriert. 7.5.2.11 Filter für lokale Objekte 7.5.2.11.1 Benutzer und Computer Unter Benutzer & Computer können Sie die Ansicht im linken Navigationsfenster nach lokalen Benutzern filtern oder einen bestimmten lokalen Benutzer suchen. 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 2. Klicken Sie links unten im Navigationsbereich auf Filter. 3. Wählen Sie bei Typ die Option Lokaler Benutzer. Wenn Sie einen bestimmten Benutzer suchen, geben Sie noch dessen Namen ein. 4. Klicken Sie auf das Lupen-Symbol. Die Ansicht auf Benutzer & Computer wird entsprechend den Kriterien gefiltert. Hinweis: Microsoft Konten werden immer als SafeGuard Enterprise Gastbenutzer behandelt. 7.5.2.11.2 Protokollierte Ereignisse für Benutzer, Computer oder Arbeitsgruppen Die erfolgreiche bzw. nicht erfolgreiche Registrierung eines Benutzers, Computers oder einer Arbeitsgruppe wird protokolliert. Sie können eine Liste dieser Ereignisse im SafeGuard Management Center unter Berichte in der Ereignisanzeige auflisten lassen. 7.6 Schlüssel und Zertifikate SafeGuard Enterprise erzeugt in der Standardeinstellung beim Import der Verzeichnisstruktur automatisch Schlüssel für: ■ Domänen ■ Container/OUs und weist diese den entsprechenden Objekten zu. Computer- und Benutzerschlüssel werden bei Bedarf erzeugt. Schlüssel für Gruppen In der Standardeinstellung erzeugt SafeGuard Enterprise nicht automatisch Schlüssel für Gruppen. Dieses Verhalten ist standardmäßig deaktiviert. All Sicherheitsbeauftragter können Sie dieses Verhalten in der Schlüssel Registerkarte ändern, indem Sie Extras > Optionen wählen. Ist in der Schüssel Registerkarte die Option Gruppen ausgewählt, so generiert SafeGuard Enterprise automatisch Gruppenschlüssel, wenn die Datenbank synchronisiert wird. In der Registerkarte Synchronisierungwird unten angegeben, für was Schlüssel bei der Durchführung der Synchronisierung erzeugt werden. Schlüssel können nicht gelöscht werden! Sie sind immer in der SafeGuard Enterprise Datenbank enthalten. Beim ersten Starten eines Endpoints erzeugt SafeGuard Enterprise einen Computerschlüssel für diesen Endpoint (definierter Computerschlüssel). Hinweis: Der definierte Computerschlüssel wird nur dann erzeugt, wenn volume-basierende Verschlüsselung auf dem Endpoint installiert ist. 286 Administratorhilfe Bei der Anmeldung erhält jeder Benutzer alle Schlüssel aus seinem Schlüsselbund. Dieser Schlüsselbund besteht aus: ■ aus den Schlüsseln der Gruppen, in denen der Benutzer Mitglied ist. ■ aus den Schlüsseln der den Gruppen, in denen er Mitglied ist, übergeordneten Container/OUs. Durch die Schlüssel in seinem Schlüsselbund ist festgelegt, auf welche Daten der Benutzer zugreifen kann. Es ist dem Benutzer nur möglich, auf Daten zuzugreifen, für die er den passenden Schlüssel besitzt. Hinweis: Um zu vermeiden, dass zu viele nicht benutzte Schlüssel im Schlüsselring des Benutzers angezeigt werden, können Sie festlegen, dass Schlüssel ausgeblendet werden sollen. Weitere Informationen finden Sie unter Verbergen von Schlüsseln (Seite 289). Alle vorhandenen Schlüssel werden angezeigt, wenn Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer klicken und die Registerkarte Schlüssel wählen. Alle überhaupt vorhandenen Schlüssel können angezeigt werden, wenn Sie im Navigationsbereich des SafeGuard Management Centers auf Schlüssel und Zertifikate klicken und Schlüssel wählen. Sie können Listen für Zugewiesene Schlüssel und Inaktive Schlüssel generieren. Hinweis: Die Liste Zugewiesene Schlüssel zeigt nur die Schlüssel, die Objekten zugewiesen sind, für die Sie die Zugriffsrechte Schreibgeschützt oder Voller Zugriff haben. In der Ansicht Schlüssel wird die Anzahl an allen verfügbaren Schlüsseln ungeachtet Ihrer Zugriffsrechte angegeben. Die Liste Zugewiesene Schlüssel zeigt die Anzahl an Schlüsseln, die gemäß Ihren Zugriffsrechten sichtbar sind. 1. Diese Ansicht wird durch Klicken auf Benutzer & Computer geöffnet. 2. Die Schlüssel eines hier markierten Objekts werden im Aktionsbereich und in den dazugehörigen Ansichten angezeigt 3. Die Anzeige im Aktionsbereich ist abhängig von der Auswahl im Navigationsbereich. Es werden alle dem ausgewählten Objekt zugewiesenen Schlüssel angezeigt. 4. Unter Verfügbare Schlüssel werden alle verfügbaren Schlüssel angezeigt. Dem ausgewählten Objekt bereits zugewiesene Schlüssel sind ausgegraut. Über Filter kann zwischen bereits einem Objekt zugewiesenen (aktiven) und noch keinem Objekt zugewiesenen (inaktiven) Schlüsseln umgeschaltet werden. Nach dem Import verfügt jeder Benutzer über eine Anzahl von Schlüsseln, die zur Datenverschlüsselung verwendet werden können. 7.6.1 Schlüssel für die Datenverschlüsselung Benutzern können bestimmte Schlüssel zur Verschlüsselung von Volumes zugewiesen werden, indem Richtlinien vom Typ Geräteschutz angelegt werden. In einer Richtlinie vom Typ Geräteschutz können Sie die Einstellung Schlüssel für die Verschlüsselung für jedes Medium festlegen. Hier können Sie festlegen, welche Schlüssel der Benutzer bei der Verschlüsselung verwenden darf bzw. muss: ■ Beliebiger Schlüssel im Schlüsselring des Benutzers 287 SafeGuard Enterprise Benutzer können nach der Anmeldung an Windows auswählen, welchen Schlüssel sie für die Verschlüsselung des Laufwerks verwenden möchten. Es wird ein Dialog angezeigt, in dem die Benutzer den gewünschten Schlüssel auswählen können. ■ Alle, außer persönliche Schlüssel im Schlüsselring Benutzer dürfen ihren persönlichen Schlüssel nicht verwenden, um Daten zu verschlüsseln. ■ Beliebiger Gruppenschlüssel im Schlüsselring des Benutzers Benutzer dürfen nur aus den in ihrem Schlüsselbund vorhandenen Gruppenschlüsseln auswählen. ■ Definierter Computerschlüssel Der definierte Computerschlüssel ist der einzigartige Schlüssel, der von SafeGuard Enterprise nur für den jeweiligen Computer während des ersten Startvorgangs erzeugt wird. Der Benutzer hat keine Auswahlmöglichkeit. Ein definierter Computerschlüssel wird nur für die Boot- und Systempartition eingesetzt und für Laufwerke, auf denen sich Dokumente und Einstellungen befinden. ■ Definierter Schlüssel aus der Liste Diese Option erlaubt es Ihnen, einen bestimmten Schlüssel zu definieren, der vom Benutzer zur Verschlüsselung verwendet werden muss. Wenn Sie dem Benutzer einen Schlüssel auf diese Weise vorgeben wollen, müssen Sie unter Für Verschlüsselung definierter Schlüssel einen Schlüssel festlegen. Diese Option wird erst angezeigt, wenn Sie Definierter Schlüssel aus der Liste ausgewählt haben. Wenn Sie auf die [...] Schaltfläche neben der Option Für Verschlüsselung definierter Schlüssel klicken, wird ein Dialog angezeigt, in dem Sie einen Schlüssel angeben können. Stellen Sie sicher, dass der Benutzer auch den entsprechenden Schlüssel hat. Markieren Sie den gewünschten Schlüssel und klicken Sie auf OK. Der ausgewählte Schlüssel wird auf dem Endpoint-Computer zur Verschlüsselung verwendet. 7.6.1.1 Zuweisen von Schlüsseln im Bereich Benutzer & Computer Um Schlüssel zuzuweisen, benötigen Sie das Zugriffsrecht Voller Zugriff für das relevante Objekt. So weisen Sie Benutzern neue Schlüssel zu: 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 2. Wählen Sie im Navigationsbereich das gewünschte Objekt aus (z. B. Benutzer, Gruppe oder Container). 3. Klicken Sie mit der rechten Maustaste auf die Registerkarte Schlüssel und wählen Sie Neuen Schlüssel zuweisen aus dem Kontextmenü. 4. Führen Sie im Dialog Neuen Schlüssel zuweisen folgende Aufgaben aus: a) Geben Sie einen Symbolischen Namen und eine Beschreibung für den Schlüssel ein. b) Um den Schlüssel im Schlüsselring des Benutzers zu verbergen, wählen Sie das Kontrollkästchen Schlüssel verbergen. 5. Klicken Sie auf OK. Der Schlüssel wird zugewiesen und in der Schlüssel Registerkarte angezeigt. 288 Administratorhilfe 7.6.1.2 Verbergen von Schlüsseln Um zu vermeiden, das zu viele nicht benutzte Schlüssel im Schlüsselring des Benutzers auf dem Endpoint angezeigt werden, können Sie festlegen, dass Schlüssel ausgeblendet werden sollen. Schlüssel, die nicht im Schlüsselring des Benutzers angezeigt werden, können trotzdem noch für den Zugriff auf verschlüsselte Dateien benutzt werden. Sie können jedoch nicht für das Verschlüsseln neuer Dateien verwendet werden. So verbergen Sie Schlüssel: 1. Klicken Sie im SafeGuard Management Center auf Schlüssel & Zertifikate. 2. Klicken Sie im Navigationsbereich auf Schlüssel und wählen Sie Zugewiesene Schlüssel. Das Fenster Zugewiesene Schlüssel mit der Spalte Schlüssel verbergen wird angezeigt. 3. Hier gibt es zwei Möglichkeiten: ■ Wählen Sie das Kontrollkästchen Schlüssel verbergen für den gewünschten Schlüssel. ■ Wählen Sie einen oder mehrere Schlüssel aus und öffnen Sie das Kontextmenü per Rechtsklick. Wählen Sie Schlüssel vor Benutzer verbergen. 4. Speichern Sie Ihre Änderungen in der Datenbank. Die angegebenen Schlüssel werden nicht im Schlüsselring des Benutzers angezeigt. Weitere Informationen zum Anzeigen des Schlüsselrings des Benutzers auf dem Endpoint finden Sie in der SafeGuard Enterprise Benutzerhilfe im Kapitel System Tray Icon und Balloon-Ausgabe. Hinweis: Wenn in einer Richtlinie ein verborgener Schlüssel für die Verschlüsselung festgelegt ist, hat die Einstellung Schlüssel verbergen keine Auswirkungen auf die Verschlüsselung auf dem Endpoint. 7.6.2 Persönliche Schlüssel für die dateibasierende Verschlüsselung mit File Encryption Ein persönlicher Schlüssel ist eine besondere Art von Verschlüsselungschlüssel, der für einen bestimmten Benutzer erzeugt wird und nicht mit anderen Benutzern gemeinsam verwendet werden kann. Ein persönlicher Schlüssel, der für einen bestimmten Benutzer aktiv ist, wird als aktiver persönlicher Schlüssel bezeichnet. Aktive persönliche Schlüssel können anderen Benutzern nicht zugewiesen werden. In File Encryption Richtlinien können Sie Verschlüsselungsregeln mit dem Platzhalter Persönlicher Schlüssel statt eines Schlüsselnamens definieren. Für solche Regeln wird als Verschlüsselungsschlüssel der aktive persönliche Schlüssel des Benutzers verwendet. Wenn Sie eine Verschlüsselungsregel für den Pfad C:\encrypt für die Verschlüsselung mit dem persönlichen Schlüssel definieren, werden für die einzelnen Benutzer unterschiedliche Schlüssel verwendet. So können Sie sicherstellen, dass die Informationen in spezifischen Ordnern für die Benutzer privat sind. Weitere Informationen finden Sie unter Pfadbasierte Dateiverschlüsselung (Seite 154). Wenn eine File Encryption Verschlüsselungsregel einen persönlichen Schlüssel für die Verschlüsselung vorsieht, werden für die relevanten Benutzer automatisch persönliche Schlüssel erzeugt, wenn sie noch keine aktiven persönlichen Schlüssel haben. 289 SafeGuard Enterprise Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie persönliche Schlüssel für ausgewählte Benutzer oder alle Benutzer in ausgewählten Gruppen im SafeGuard Management Center erzeugen. Sie können aktive persönliche Schlüssel auch zurückstufen, wenn zum Beispiel ein Benutzer das Unternehmen verlässt. 7.6.2.1 Automatisches Erzeugen von persönlichen Schlüsseln Wenn eine File Encryption Verschlüsselungsregel einen persönlichen Schlüssel für die Verschlüsselung vorsieht und der Benutzer noch keinen aktiven persönlichen Schlüssel hat, erzeugt der SafeGuard Enterprise Server diesen automatisch. Nach Eingang der Richtlinie auf dem Endpoint kann der Benutzer so lange keine neuen Dateien in den von der File Encryption Verschlüsselungsregel abgedeckten Ordner anlegen, bis der erforderliche aktive persönliche Schlüssel verfügbar wird. Wenn Sie zum ersten Mal File Encryption-Richtlinien mit Verschlüsselungsregeln mithilfe persönlicher Schlüssel auf eine größere Gruppe von Benutzern (mehrere hundert oder mehr) anwenden, die noch keine aktiven persönlichen Schlüssel haben, empfehlen wir, persönliche Schlüssel im SafeGuard Management Center zu erzeugen (siehe Erzeugen von persönlichen Schlüsseln für mehrere Benutzer (Seite 291)). Dies reduziert die Auslastung des SafeGuard Enterprise Servers. 7.6.2.2 Erzeugen eines persönlichen Schlüssels für einzelne Benutzer Um einen persönlichen Schlüssel zu erzeugen, benötigen Sie die Rechte Schlüssel erzeugen und Schlüssel zuweisen. Darüber hinaus benötigen Sie das Zugriffsrecht Voller Zugriff für das relevante Objekt. Um einen aktiven persönlichen Schlüssel zu ersetzen, benötigen Sie das Recht Persönliche Schlüssel verwalten. 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 2. Wählen Sie im Navigationsbereich den gewünschten Benutzer. 3. Klicken Sie mit der rechten Maustaste auf die Registerkarte Schlüssel und wählen Sie Neuen Schlüssel zuweisen aus dem Kontextmenü. 4. Führen Sie im Dialog Neuen Schlüssel zuweisen folgende Aufgaben aus: a) Geben Sie eine Beschreibung für den persönlichen Schlüssel ein. b) Um den persönlichen Schlüssel im Schlüsselring des Benutzers zu verbergen, wählen Sie Schlüssel verbergen. 5. Abhängig davon, ob Sie einen persönlichen Schlüssel für einen Benutzer erzeugen, der bereits eine aktiven persönlichen Schlüssel hat, oder für einen Benutzer ohne einen solchen Schlüssel, zeigt der Dialog Neuen Schlüssel zuweisen verschiedene Kontrollkästchen. Wählen Sie das jeweils angezeigte Kontrollkästchen, um den neuen Schlüssel als persönlichen Schlüssel zu definieren: ■ ■ Persönlicher Schlüssel: Dieses Kontrollkästchen wird für Benutzer angezeigt, die noch keinen aktiven persönlichen Schlüssel haben. Aktiven persönlichen Schlüssel ersetzen: Dieses Kontrollkästchen wird für Benutzer angezeigt, die bereits einen aktiven persönlichen Schlüssel haben. 6. Klicken Sie auf OK. Der persönliche Schlüssel wird für den ausgewählten Benutzer erzeugt. In der Registerkarte Schlüssel wird der Schlüssel als Aktiver persönlicher Schlüssel für den Benutzer angezeigt. Bei Benutzern, die bereits einen aktiven persönlichen Schlüssel hatten, wird der vorhandene Schlüssel zurückgestuft und der Benutzer erhält einen neuen. Der zurückgestufte persönliche Schlüssel verbleibt im Schlüsselring des Benutzers. Der aktive persönlichen Schlüssel kann anderen Benutzern nicht zugewiesen werden. 290 Administratorhilfe 7.6.2.3 Erzeugen von persönlichen Schlüsseln für mehrere Benutzer Um persönliche Schlüssel zu erzeugen, benötigen Sie die Rechte Schlüssel erzeugen und Schlüssel zuweisen. Darüber hinaus benötigen Sie das Zugriffsrecht Voller Zugriff für alle beteiligten Objekte. Um aktive persönliche Schlüssel zu ersetzen, benötigen Sie das Recht Persönliche Schlüssel verwalten. 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 2. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf den Knoten, für den Sie persönliche Schlüssel erzeugen möchten: ■ ■ ■ Auf einen Domänenknoten, auf den .Automatisch registriert Knoten im Stammverzeichnis oder in Domänen oder auf einen Organisationseinheitenknoten. 3. Wählen Sie aus dem Kontextmenü den Befehl Persönliche Schlüssel für Benutzer erzeugen. 4. Führen Sie im Dialog Persönliche Schlüssel für Benutzer erzeugen folgende Schritte durch: a) Geben Sie eine Beschreibung für die persönlichen Schlüssel ein. b) Um die persönlichen Schlüssel im Schlüsselring der Benutzer zu verbergen, wählen Sie Schlüssel verbergen. c) Um vorhandene, aktive Schlüssel durch neue zu ersetzen, wählen Sie Vorhandene, aktive persönliche Schlüssel ersetzen. 5. Klicken Sie auf OK. Für alle Benutzer im ausgewählten Knoten werden persönliche Schlüssel erzeugt. In der Registerkarte Schlüssel werden die Schlüssel als Aktive persönliche Schlüssel für die Benutzer angezeigt. Wenn Benutzer bereits zuvor einen aktiven persönlichen Schlüssel hatten und Sie Vorhandene, aktive persönliche Schlüssel ersetzen gewählt haben, werden die vorhandenen Schlüssel zurückgestuft und die Benutzer erhalten neue. Die zurückgestuften persönlichen Schlüssel verbleiben in den Schlüsselringen der Benutzer. Die einzelnen aktiven persönlichen Schlüssel können anderen Benutzern nicht zugewiesen werden. 7.6.2.4 Zurückstufen von aktiven persönlichen Schlüsseln Um aktive persönliche Schlüssel zurückzustufen, benötigen Sie die Rechte Schlüssel ändern und Persönliche Schlüssel verwalten. Das Recht Persönliche Schlüssel verwalten ist standardmäßig der vordefinierten Rolle des Haupt-Sicherheitsbeauftragten (Master Security Officer) zugewiesen. Es kann jedoch auch neuen, benutzerdefinierten Rollen zugewiesen werden. Darüber hinaus benötigen Sie das Zugriffsrecht Voller Zugriff für das relevante Objekt. Sie können aktive persönliche Schlüssel manuell zurückstufen, wenn zum Beispiel ein Benutzer das Unternehmen verlässt. Wenn Sie das Recht Persönliche Schlüssel verwalten haben, können Sie den zurückgestuften persönlichen Schlüssel dieses Benutzers anderen Benutzern zuweisen, um Ihnen Lesezugriff auf Dateien zu gewähren, die mit diesem Schlüssel verschlüsselt sind. Der Schlüssel kann jedoch nicht zum Verschlüsseln von Dateien verwendet werden. Hinweis: Dieser Vorgang kann nicht rückgängig gemacht werden. Ein zurückgestufter persönlicher Schlüssel kann nicht mehr als aktiver persönlicher Schlüssel verwendet werden, egal für welchen Benutzer. 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 291 SafeGuard Enterprise 2. Wählen Sie im Navigationsbereich den gewünschten Benutzer. 3. Klicken Sie in der Registerkarte Schlüssel mit der rechten Maustaste auf den gewünschten Aktiven persönlichen Schlüssel und wählen Sie Persönlichen Schlüssel zurückstufen aus dem Kontextmenü. Der Schlüssel wird zurückgestuft. Er ist immer noch ein persönlicher Schlüssel, kann jedoch nicht mehr als aktiver persönlicher Schlüssel verwendet werden. Wenn eine File Encryption Verschlüsselungsregel den persönlichen Schlüssel für die Verschlüsselung vorsieht und der Benutzer keinen aktiven persönlichen Schlüssel hat, erzeugt der SafeGuard Enterprise Server diesen automatisch. 7.6.3 Zertifikate ■ Einem Benutzer kann jeweils nur ein Zertifikat zugewiesen sein. Wenn dieses Benutzerzertifikat auf einem Token gespeichert ist, können die Benutzer sich nur mit diesem Token (kryptographischer Token - Kerberos) an ihrem Endpoint anmelden. ■ Beachten Sie, dass beim Importieren eines Benutzerzertifikats sowohl der öffentliche als auch der private Bereich des Zertifikats importiert werden. Wird nur der öffentliche Bereich importiert, so wird nur die Anmeldung mit Token unterstützt. ■ Die Kombination aus CA Zertifikaten und CRL (Certificate Revocation List) Zertifikaten muss übereinstimmen. Andernfalls können sich die Benutzer nicht an den entsprechenden Endpoints anmelden. Bitte überprüfen Sie, ob die Kombination korrekt ist. SafeGuard Enterprise übernimmt diese Überprüfung nicht! ■ Wenn Certification Authority (CA) Zertifikate in der Datenbank gelöscht werden und Sie diese nicht mehr verwenden möchten, sollten Sie diese Zertifikate manuell aus dem lokalen Speicher aller Administrator-Computer entfernen. SafeGuard Enterprise kann dann nur mit ablaufenden Zertifikaten umgehen, wenn der alte und neue private Schlüssel auf demselben Token stehen. ■ CA-Zertifikate können nicht von einem Token entnommen und in der Datenbank oder im Zertifikatsspeicher gespeichert werden. Wenn Sie CA-Zertifikate verwenden möchten, müssen diese in Dateiform zur Verfügung stehen, nicht nur auf einem Token. Dies gilt auch für CRLs. ■ Von SafeGuard Enterprise generierte Zertifikate sind mit SHA-1 oder SHA-256 zur Verifizierung signiert. SHA-256 bietet erweiterte Sicherheit und wird standardmäßig für Erstinstallationen benutzt. Wenn noch die Verwaltung von SafeGuard Enterprise 6 Endpoints oder älteren Endpoints notwendig ist, wird standardmäßig SHA-1 benutzt. ■ Zertifikate, die vom Kunden zur Verfügung gestellt und in SafeGuard Enterprise importiert werden, werden derzeit nicht gemäß RFC3280 verifiziert. So wird z. B. nicht verhindert, dass Signatur-Zertifikate für Verschlüsselungszwecke benutzt werden. ■ Die Anmeldezertifikate für Sicherheitsbeauftragte müssen sich im “MY” Zertifikatspeicher befinden. Hinweis: Die Liste Zugewiesene Zertifikate unter Schlüssel und Zertifikate zeigt nur die Zertifikate, die Objekten zugewiesen sind, für die Sie die Zugriffsrechte Schreibgeschützt oder Voller Zugriff haben. In der Ansicht Zertifikat wird die Anzahl an allen verfügbaren Zertifikaten ungeachtet Ihrer Zugriffsrechte angegeben. Die Liste Zugewiesene Zertifikate zeigt die Anzahl an Zertifikaten, die gemäß Ihren Zugriffsrechten sichtbar sind. 292 Administratorhilfe Um Zertifikate zu ändern, benötigen Sie das Zugriffsrecht Voller Zugriff für den Container, in dem sich der Benutzer befindet. 7.6.3.1 Importieren von CA-Zertifikaten und Certificate Revocation Lists Wenn CA-Zertifikate verwendet werden, importieren Sie die vollständige CA-Hierarchie einschließlich aller CRLs in die SafeGuard-Datenbank. CA-Zertifikate können nicht von Token entnommen werden. Diese Zertifikate müssen als Dateien zur Verfügung stehen, damit Sie sie in die SafeGuard Enterprise Datenbank importieren können. Dies gilt auch für Certificate Revocation Lists (CRL). 1. Klicken Sie im SafeGuard Management Center auf Schlüssel & Zertifikate. 2. Wählen Sie Zertifikate und klicken Sie auf das CA-Zertifikate importieren Symbol in der Symbolleiste. Suchen Sie die CA-Zertifikatsdateien, die Sie importieren möchten. Die importierten Zertifikate werden im rechten Aktionsbereich angezeigt. 3. Wählen Sie Zertifikate und klicken Sie auf das CRL importieren Symbol in der Symbolleiste. Suchen Sie die CRL-Dateien, die Sie importieren möchten. Die importierten CRLs werden im rechten Aktionsbereich angezeigt. 4. Überprüfen Sie, ob CA und CRL korrekt sind und übereinstimmen. Die Kombination von CA-Zertifikaten und CRL zusammenpassen, da ansonsten eine Anmeldung an allen betroffenen Computern nicht mehr möglich ist. SafeGuard Enterprise übernimmt diese Überprüfung nicht. 7.6.3.2 Ändern des Algorithmus für selbst-signierte Zertifikate Voraussetzungen: Alle SafeGuard Enterprise Komponenten müssen die Version 6.1 oder höher haben. Von SafeGuard Enterprise erzeugte Zertifikate, zum Beispiel Unternehmens-, Maschinen-, Sicherheitsbeauftragten- und Benutzerzertifikate, sind bei einer Erstinstallation standardmäßig zur Erweiterung der Sicherheit mit dem Hash-Algorithmus SHA-256 signiert. Bei der Aktualisierung von SafeGuard Enterprise 6 oder einer früheren Version wird für selbst-signierte Zertifikate automatisch der Hash-Algorithmus SHA-1 benutzt. Nach Abschluss der Aktualisierung können Sie den Hash-Algorithmus für erweiterte Sicherheit manuell zu SHA-256 ändern. Hinweis: Ändern Sie den Algorithmus nur dann zu SHA-256, wenn bei allen SafeGuard Enterprise Komponenten und Endpoints eine Aktualisierung auf die aktuelle Version durchgeführt wurde. In gemischten Umgebungen, in denen zum Beispiel SafeGuard Enterprise 6 Endpoints mit dem SafeGuard Management Center 7 verwaltet werden, wird SHA-256 nicht unterstützt. Wenn Sie eine gemischte Umgebung benutzen, dürfen Sie diesen Vorgang nicht ausführen. In diesem Fall dürfen Sie den Algorithmus nicht zu SHA-256 ändern. Zum Ändern des Algorithmus für selbst-signierte Zertifikate müssen Sie folgende Handlungsschritte ausführen: Ändern des Hash-Algorithmus Erzeugen einer Certificate Change Order (CCO) Erzeugen eines Konfigurationspakets mit der CCO Neustart der SafeGuard Enterprise (Datenbank-) Server Verteilen und Installieren der Konfigurationspakete auf den Endpoints 293 SafeGuard Enterprise So ändern Sie den Algorithmus für selbst-signierte Zertifikate: 1. Wählen Sie Extras > Optionen in der SafeGuard Management Center Menüleiste. 2. Wählen Sie in der Registerkarte Allgemein unter Zertifikate den erforderlichen Algorithmus in Hash-Algorithmus für erzeugte Zertifikate aus und klicken Sie auf OK. 3. Klicken Sie in der Registerkarte Zertifikate unter Anforderung auf Aktualisieren. Geben Sie im Dialog Unternehmenszertifikat aktualisieren einen Namen für die CCO an und legen Sie einen Backup-Pfad fest. Geben Sie ein Kennwort für die P12-Datei ein und bestätigen Sie Ihre Eingabe. Geben Sie nach Wunsch eine Anmerkung ein und klicken Sie auf Erzeugen. 4. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass diese Änderung nicht rückgängig gemacht werden kann und dass alle nachfolgend erstellten Konfigurationspakete diese CCO enthalten müssen, damit Sie auf bereits installierten Endpoints wirksam werden können. 5. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass die Aktualisierung erfolgreich war und dass eine CCO erzeugt wurde, die in alle Konfigurationspakete aufgenommen werden soll. Klicken Sie auf OK. 6. Klicken Sie im Extras Menü auf Konfigurationspakete. 7. Wählen Sie den erforderlichen Konfigurationspakettyp: Pakete für Managed Clients oder Pakete für Standalone Clients. 8. Klicken Sie auf Konfigurationspaket hinzufügen und geben Sie einen Namen Ihrer Wahl für das Konfigurationspaket ein. 9. Wählen Sie die zuvor erstellte CCO. 10. Treffen Sie je nach Anforderung eine zusätzliche Auswahl. 11. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an. 12. Klicken Sie auf Konfigurationspaket erstellen. Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. 13. Starten Sie alle SafeGuard Enterprise (Datenbank-) Server neu. 14. Verteilen Sie das Paket an die durch SafeGuard Enterprise geschützten Endpoints zur Installation. Alle durch SafeGuard Enterprise generierten Zertifikate werden mit dem neuen Algorithmus signiert. Siehe auch http://www.sophos.com/de-de/support/knowledgebase/116791.aspx. 7.6.4 Exportieren des Unternehmenszertifikats und des Zertifikats des Haupt-Sicherheitsbeauftragten In einer SafeGuard Enterprise Installation sind die beiden folgenden Elemente von entscheidender Bedeutung und erfordern daher die Erstellung von Backups an einem sicheren Speicherort: ■ das in der SafeGuard-Datenbank gespeicherte Unternehmenszertifikat ■ das Zertifikat des Haupt-Sicherheitsbeauftragten (MSO) im Zertifikatsspeicher des Computers, auf dem das SafeGuard Management Center installiert ist. Beide Zertifikate lassen sich als .p12 Dateien zur Erstellung von Sicherungskopien exportieren. Um Installationen wiederherzustellen, können Sie die relevanten Unternehmens- und Sicherheitsbeauftragtenzertifikate als .p12 Dateien importieren und Sie beim Einrichten einer 294 Administratorhilfe neuen Datenbank benutzen. Dadurch vermeiden Sie das Wiederherstellen der gesamten Datenbank. Hinweis: Wir empfehlen, diesen Vorgang direkt nach der Erstkonfiguration des SafeGuard Management Centers auszuführen. 7.6.4.1 Exportieren von Unternehmenszertifikaten Hinweis: Nur Haupt-Sicherheitsbeauftragte sind dazu berechtigt, Unternehmenszertifikate zur Erstellung eines Backups zu exportieren. 1. Wählen Sie Extras > Optionen in der SafeGuard Management Center Menüleiste. 2. Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich Unternehmenszertifikat auf Exportieren. 3. Sie werden aufgefordert, ein Kennwort für die Sicherung der exportierten Datei einzugeben. Geben Sie ein Kennwort ein, bestätigen Sie es und klicken Sie auf OK. 4. Geben Sie einen Dateinamen und einen Speicherort für die zu exportierende Datei ein und klicken Sie auf OK. Das Unternehmenszertifikat wird als P12-Datei an den definierten Speicherort exportiert und kann für Recovery-Vorgänge benutzt werden. 7.6.4.2 Exportieren des Zertifikats des Haupt-Sicherheitsbeauftragten So erstellen Sie ein Backup des Zertifikats des derzeit am SafeGuard Management Center angemeldeten Haupt-Sicherheitsbeauftragten: 1. Wählen Sie Extras > Optionen in der SafeGuard Management Center Menüleiste. 2. Wählen Sie die Registerkarte Zertifikate und klicken Sie im Bereich <Administrator> Zertifikat auf Exportieren. 3. Sie werden aufgefordert, ein Kennwort für die Sicherung der exportierten Datei einzugeben. Geben Sie ein Kennwort ein, bestätigen Sie es und klicken Sie auf OK. 4. Geben Sie einen Dateinamen und einen Speicherort für die zu exportierende Datei ein und klicken Sie auf OK. Das Zertifikat des derzeit angemeldeten Haupt-Sicherheitsbeauftragten wird als P12-Datei an den definierten Speicherort exportiert und kann für Recovery-Vorgänge benutzt werden. 7.7 Company Certificate Change Orders Company Certificate Change Orders (CCOs) werden in folgenden Fällen verwendet: Zum Erneuern des Unternehmenszertifikats, wenn dieses bald abläuft. Die Erneuerung des Unternehmenszertifikats ist für zentral verwaltete Endpoints und Standalone-Endpoints möglich. Der Vorgang kann jedoch nur von der Management-Konsole aus ausgelöst werden. Zum Verschieben von Standalone-Endpoints in eine andere Umgebung, wenn Sie zum Beispiel zwei verschiedene Sophos SafeGuard Umgebungen haben und Sie diese in eine Sophos SafeGuard Umgebung zusammenführen möchten. Eine der beiden Umgebungen muss hier jeweils die Ziel-Umgebung sein. Hierzu wird das Unternehmenszertifikat der Endpoints einer Umgebung durch das Unternehmenszertifikat der Zielumgebung ausgetauscht. 295 SafeGuard Enterprise Hinweis: Nur Haupt-Sicherheitsbeauftragte sind zum Erzeugen von CCOs berechtigt. Um andere Sicherheitsbeauftragte dazu zu berechtigen, CCOs zu erzeugen, muss der Hauptsicherheitsbeauftragte eine benutzerdefinierte Rolle erstellen und dieser das Recht CCOs verwalten zuweisen. 7.7.1 Erneuern des Unternehmenszertifikats Ein Unternehmenszertifikat, das bald abläuft, kann im SafeGuard Management Center erneuert werden. Sechs Monate vor Ablauf des Unternehmenszertifikat wird bei jeder Anmeldung an das SafeGuard Management Center eine Warnung angezeigt. Ohne gültiges Unternehmenszertifikat können Endpoints keine Verbindung mit dem Server herstellen. Die Erneuerung des Unternehmenszertifikats erfolgt in drei Schritten: Erzeugen einer Certificate Change Order (CCO) Erzeugen eines Konfigurationspakets mit der CCO Neustart der Server und Verteilen der Konfigurationspakete an die Endpoints So erneuern Sie das Unternehmenszertifikat: 1. Wählen Sie Extras > Optionen in der SafeGuard Management Center Menüleiste. 2. Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich Anforderung auf Aktualisieren. 3. Geben Sie im Dialog Unternehmenszertifikat aktualisieren einen Namen für die CCO an und legen Sie einen Backup-Pfad fest. Geben Sie ein Kennwort für die P12-Datei ein und bestätigen Sie Ihre Eingabe. Geben Sie nach Wunsch eine Anmerkung ein und klicken Sie auf Erzeugen. 4. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass diese Änderung nicht rückgängig gemacht werden kann und dass alle nachfolgend erstellten Konfigurationspakete diese CCO enthalten müssen, damit Sie auf bereits installierten Endpoints wirksam werden können. 5. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass die Aktualisierung erfolgreich war und dass eine CCO erzeugt wurde, die in alle Konfigurationspakete aufgenommen werden soll. Klicken Sie auf OK. 6. Klicken Sie im Extras Menü auf Konfigurationspakete. 7. Wählen Sie Pakete für Managed Clients. 8. Klicken Sie auf Konfigurationspaket hinzufügen und geben Sie einen Namen Ihrer Wahl für das Konfigurationspaket ein. 9. Ordnen Sie einen Primären Server zu (der Sekundäre Server ist nicht notwendig). 10. Wählen Sie die zuvor zur Aktualisierung des Unternehmenszertifikats erstellte CCO. 11. Wählen Sie den Modus für die Transportverschlüsselung, der bestimmt, wie die Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server verschlüsselt wird: SafeGuard-Transportverschlüsselung oder SSL-Verschlüsselung. Der Vorteil bei SSL ist, dass es ein Standardprotokoll ist und eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschlüsselung. SSL-Verschlüsselung wird standardmäßig ausgewählt. Weitere Informationen zur Absicherung von Transportverbindungen mit SSL finden Sie unter Sichern von Transportverbindungen mit SSL (Seite 47). 12. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an. 296 Administratorhilfe 13. Klicken Sie auf Konfigurationspaket erstellen. WennSie als Modus für die Transportverschlüsselung die SSL-Verschlüsselung ausgewählt haben, wird die Serververbindung validiert. Wenn die Verbindung fehlschlägt, wird eine Warnungsmeldung angezeigt. Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Starten Sie alle SGN Server neu. Sie müssen das Paket auf den Endpoints verteilen und installieren. 7.7.2 Ersetzen des Unternehmenszertifikats Das Ersetzen des Unternehmenszertifikats ist notwendig, wenn Sie einen Endpoint von einer Standalone-Umgebung in eine andere verschieben möchten. Der zu verschiebende Endpoint benötigt das Unternehmenszertifikat der Umgebung, in die er verschoben werden soll. Andernfalls akzeptiert der Endpoint keine Richtlinien in der neuen Umgebung. Die Vorgänge, die zum Ersetzen des Unternehmenszertifikats notwendig sind, können im sowohl im SafeGuard Management Center als auch im SafeGuard Policy Editor ausgeführt werden. In der folgenden Beschreibung wird für das SafeGuard Management Center und den SafeGuard Policy Editor der Begriff Management-Konsole verwendet, da der Vorgang des Ersetzens des Unternehmenszertifikats in beiden Fällen identisch ist. Folgende Voraussetzungen müssen erfüllt sein: Legen Sie die Ausgangs- und die Ziel Management Center/Policy Editor Umgebung fest. Die Ausgangs-Management-Konsole ist die, die Sie für das Erstellen der Konfigurationspakete für die Endpoints, die verschoben werden sollen, benutzt haben. Das Ziel ist die Management-Konsole, in die die Endpoints verschoben werden sollen. So ersetzen Sie das Unternehmenszertifikat: 1. Exportieren Sie in der Ziel-Management-Konsole das Unternehmenszertifikat: Klicken Sie im Menü Extras auf Optionen. Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich Unternehmenszertifikat auf Exportieren. Wenn aufgefordert, geben Sie ein Kennwort für den Zertifikatsspeicher ein und bestätigen Sie es und wählen Sie das Zielverzeichnis und den Dateinamen. Das Unternehmenszertifikat wird exportiert (cer-Datei). 2. Klicken Sie in der Ausgangs-Management-Konsole im Extras Menü auf Optionen. Wählen Sie die Registerkarte Zertifikate und klicken Sie im Bereich Anforderung auf Erzeugen. Wählen Sie im CCO erzeugen Dialog das Ziel-Unternehmenszertifikat aus, dass Sie in der Ziel-Management-Konsole exportiert haben (Schritt 1). Stellen Sie sicher, dass es sich um das gewünschte Zertifikat handelt. Klicken Sie auf Erzeugen und wählen Sie ein Zielverzeichnis und einen Dateinamen für die .cco-Datei aus. Bestätigen Sie, dass Sie eine Company Certificate Change Order erstellen möchten. Bitte beachten Sie, dass eine Company Certificate Change Order nicht an spezifische Endpoints gebunden ist. Mit einer Company Certificate Change Order lässt sich jeder Client der Ausgangsumgebung verschieben. 3. In der Ziel-Management-Konsole müssen Sie die in der Ausgangs-Management-Konsole erzeugte Company Certificate Change Order importieren. Klicken Sie im Extras Menü auf Konfigurationspakete... und wählen Sie dann die Registerkarte CCOs. Klicken Sie auf Importieren. 4. Wählen Sie im Dialog CCO importieren die in der Ausgangs-Management-Konsole erzeugte Company Certificate Change Order und geben Sie einen Namen und nach Wunsch eine Beschreibung für die Company Certificate Change Order ein. Klicken Sie auf OK. 297 SafeGuard Enterprise 5. Erstellen Sie in der Ziel-Management-Konsole ein Konfigurationspaket: Klicken Sie im Extras Menü auf Konfigurationspakete... > Pakete für Standalone Clients und fügen Sie ein neues Konfigurationspaket hinzu. Wählen Sie die importierte Company Certificate Change Order aus dem Dropdown-Menü der Spalte CCO. Geben Sie unter Konfigurationspaket-Ausgabepfad einen Speicherort an. Klicken Sie auf Konfigurationspaket erstellen. Das Konfigurationspaket wird am angegebenen Speicherort angelegt. 6. Installieren Sie dieses Konfigurationspaket auf allen Endpoints, die Sie von der Ausgangsin die Zielumgebung verschieben möchten. 7.7.3 Verwalten von Company Certificate Change Orders Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete. Alle erzeugten CCOs werden in der Registerkarte CCOs angezeigt. Im unteren Bereich des Dialogs werden detaillierte Informationen zur ausgewählten CCO angezeigt. Wenn die CCO für die Erneuerung des Unternehmenszertifikats erstellt wurde, wird das Quell-Unternehmenszertifikat aktualisiert. Wenn die CCO für eine Verschiebung von Endpoints erstellt wurde, erneuern Sie das Unternehmenszertifikat der Umgebung, deren Endpoints in eine andere Umgebung verschoben werden sollen. Das Ziel-Unternehmenszertifikat ist das neue Unternehmenszertifikat, wenn die CCO zur Aktualisierung des Unternehmenszertifikats oder des Unternehmenszertifikats der Umgebung, in die die Endpoints verschoben werden sollen, erzeugt wurde. Unter den Zertifikatsinformationen wird angegeben, für welche Vorgänge die ausgewählte CCO verwendet werden kann. Hinweis: Für die Verwaltung von CCOs benötigen Sie das Recht CCOs verwalten. 7.7.3.1 Import Um beim Erstellen von Konfigurationspaketen die von einem anderen Management-Werkzeug erstellte CCO auszuwählen um das Unternehmenszertifikat zu ändern, müssen Sie es erst importieren. Klicken Sie auf Importieren..., um einen Dialog zu öffnen, in dem Sie die CCO auswählen und benennen können. Der hier eingegebene Name wird in der Registerkarte CCOs unter Konfigurationspakete angezeigt. 7.7.3.2 Export Mit der Exportieren Funktion lassen sich in der Datenbank gespeicherte CCOs als .cco-Dateien exportieren. 7.8 Lizenzen Für die Nutzung von SafeGuard Enterprise mit dem SafeGuard Management Center im produktiven Betrieb ist eine gültige Lizenz erforderlich. So ist eine gültige Lizenz in der SafeGuard Enterprise Datenbank zum Beispiel die Voraussetzung für die Übertragung von Richtlinien an die Endpoints. Darüber hinaus sind für die Token-Verwaltung die entsprechenden Token-Lizenzen notwendig. Sie erhalten Lizenzdateien von Ihrem Vertriebspartner. Diese Dateien müssen nach der Installation in die SafeGuard Enterprise Datenbank importiert werden. 298 Administratorhilfe Die Lizenzdatei enthält u. a. folgende Informationen: ■ Anzahl an erworbenen Lizenzen pro Modul ■ Kundenname ■ Einen festgelegten Toleranzwert für die Überschreitung der Anzahl an erworbenen Lizenzen Bei Überschreiten der verfügbaren Lizenzen bzw. des Toleranzlimits werden beim Starten des SafeGuard Management Centers entsprechende Warnungs- bzw. Fehlermeldungen ausgegeben. Für die Lizenzverwaltung bietet das SafeGuard Management Center im Bereich Benutzer & Computer einen Überblick zum Lizenzstatus des installierten SafeGuard Enterprise Systems. Der Lizenzstatusüberblick steht in der Registerkarte Lizenzen für den Stamm-Knoten, für Domänen, OUs, Containerobjekte und Arbeitsgruppen zur Verfügung. Sicherheitsbeauftragte erhalten hier detaillierte Informationen zum Lizenzstatus. Mit der entsprechenden Berechtigung können sie Lizenzen in die SafeGuard Enterprise Datenbank importieren. 7.8.1 Lizenzdatei Die Lizenzdatei, die Sie zum Import in die SafeGuard Enterprise Datenbank erhalten, ist eine .XML-Datei mit Signatur. Sie enthält folgende Informationen: ■ Kundenname ■ Zusätzliche Informationen (zum Beispiel Abteilung, Niederlassung) ■ Datum, an dem die Lizenz ausgestellt wurde. ■ Anzahl an Lizenzen pro Modul ■ Token-Lizenzinformationen ■ Lizenzablaufdatum ■ Lizenztyp (Demo- oder Voll-Lizenz) ■ Signatur mit Lizenzsignaturzertifikat 7.8.2 Token-Lizenzen Für die Verwaltung von Token bzw. Smartcards sind die entsprechenden zusätzlichen Token-Lizenzen erforderlich. Wenn diese Lizenzen nicht zur Verfügung stehen, können Sie im SafeGuard Management Center keine Richtlinien für Token erstellen. 7.8.3 Evaluierungslizenzen Die Evaluierungslizenzdatei kann für Evaluierungszwecke verwendet werden. Diese Lizenzen sind nur für einen bestimmten Zeitraum gültig und haben ein Ablaufdatum, die Funktionalität ist jedoch in keinster Weise eingeschränkt. Hinweis: Diese Lizenzen dürfen nicht für den regulären produktiven Betrieb genutzt werden. 299 SafeGuard Enterprise Nachdem Sie das SafeGuard Management Center installiert und den Konfigurationsassistenten abgeschlossen haben, können Sie die heruntergeladene Testlizenz importieren, siehe Lizenzdateien importieren (Seite 302). So lange Sie keine Lizenzdatei importieren, wird Sie das SafeGuard Management Center daran erinnern. 7.8.3.1 Testlizenzdateien Wenn Sie das Produkt herunterladen, können Sie auch eine Testlizenzdatei herunterladen. Diese Evaluierungslizenz mit der Bezeichnung SafeGuard Enterprise Evaluation License enthält jeweils fünf Lizenzen pro Modul und hat eine zeitlich begrenzte Gültigkeitsdauer von zwei Jahren ab dem Release-Datum der jeweiligen SafeGuard Enterprise Version. 7.8.3.2 Individuelle Demo-Lizenzdateien Wenn Sie mehr Lizenzen für Ihre Evaluierung benötigen als in der Standard-Lizenzdatei enthalten sind, so besteht auch die Möglichkeit, eine an Ihre spezifischen Anforderungen angepasste Demo-Lizenz zu erhalten. Wenden Sie sich hierzu bitte an Ihren Vertriebspartner. Diese Art der Demo-Lizenz unterliegt ebenfalls einer zeitlichen Beschränkung. Darüber hinaus ist die Lizenz auf die jeweils mit dem Vertriebspartner vereinbarte Anzahl an Lizenzen pro Modul beschränkt. Wenn Sie das SafeGuard Management Center starten, werden Sie durch eine Warnungsmeldung darauf aufmerksam gemacht, dass Sie Demo-Lizenzen nutzen. Bei Überschreiten der in einer Demo-Lizenz festgelegten Anzahl an verfügbaren Lizenzen oder der zeitlich begrenzten Nutzungsdauer wird eine Fehlermeldung ausgegeben. 7.8.4 Lizenzstatusüberblick So rufen Sie den Lizenzstatusüberblick auf: 1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer. 2. Klicken Sie im Navigationsfenster auf der linken Seite auf den Stammknoten, die Domäne, die OU, das Containerobjekt oder die Arbeitsgruppe. 3. Wechseln Sie im Aktionsbereich in die Registerkarte Lizenzen. Der Lizenzstatus wird angezeigt. Die Anzeige ist in drei Bereiche unterteilt. Der obere Bereich zeigt den Namen des Kunden, für den die Lizenz ausgestellt wurde, sowie das Datum, an dem die Lizenz ausgestellt wurde. Der mittlere Bereich liefert detaillierte Informationen zur Lizenz. Die einzelnen Spalten enthalten folgende Angaben: 300 Spalte Erklärung Status (Symbol) Zeigt den Status der Lizenzen (gültig, Warnung, Fehler) für das jeweilige Modul durch ein Symbol an. Feature Zeigt das installierte Modul an. Administratorhilfe Spalte Erklärung Erworbene Lizenzen Zeigt die Anzahl an erworbenen Lizenzen für das installierte Modul an. Benutzte Lizenzen Zeigt die Anzahl an genutzten Lizenzen für das installierte Modul an. Läuft ab Zeigt das Lizenzablaufdatum an. Typ Gibt die Lizenzart, Demo-Lizenz oder reguläre Lizenz, an. Toleranzwert Zeigt den festgelegten Toleranzwert für die Überschreitung der Anzahl an erworbenen Lizenzen an. Wenn Sie die Registerkarte Lizenzen in einer Domäne/OU aufrufen, zeigt die Übersicht den Status basierend auf den Computern im jeweiligen Zweig. Unterhalb dieser Übersicht finden Sie Informationen zu den lizenzierten Token-Modulen. Im unteren Bereich wird der globale Lizenzstatus unabhängig davon, welche Domäne oder OU ausgewählt wurde, angezeigt. Dies erfolgt durch eine Meldung mit einer dem Ampelprinzip folgenden Hintergrundfarbe (Grün = gültig, Gelb = Warnung, Rot = Fehler) und ein Symbol. Bei Warnungs- und Fehlermeldungen erhalten Sie außerdem im unteren Bereich Hinweise zur Aufhebung des ungültigen Lizenzstatus. Die in der Registerkarte Lizenzen angezeigten Symbole haben folgende Bedeutung: Gültige Lizenz Warnung Eine Lizenz für ein Modul befindet sich im Status Warnung, wenn die Anzahl erworbener Lizenzen überschritten wurde. die Lizenz abgelaufen ist. Fehler Eine Lizenz für ein Modul befindet sich im Status Fehler, wenn der Toleranzwert für die Überschreibung der Anzahl erworbener Lizenzen überschritten wurde. die Lizenz vor mehr als einem Monat abgelaufen ist. Sie können die Ansicht des Lizenzstatusüberblicks aktualisieren, indem Sie auf die Schaltfläche Lizenzstatus aktualisieren klicken. 301 SafeGuard Enterprise 7.8.5 Import von Lizenzdateien Voraussetzung: Zum Import einer Lizenzdatei in die SafeGuard Enterprise Datenbank benötigt ein Sicherheitsbeauftragter das Recht "Lizenzdatei importieren". 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 2. Klicken Sie im Navigationsfenster auf der linken Seite auf den Stamm-Knoten, die Domäne oder die OU. 3. Wechseln Sie im Aktionsbereich in die Registerkarte Lizenzen. 4. Klicken Sie auf die Schaltfläche Lizenzdatei importieren. Es wird ein Fenster zur Auswahl der Lizenzdatei angezeigt. 5. Wählen Sie die zu importierende Lizenzdatei aus und klicken Sie auf Öffnen. Der Lizenz anwenden? Dialog mit dem Inhalt der Lizenzdatei wird angezeigt. 6. Klicken Sie auf die Schaltfläche Lizenz anwenden. Die Lizenzdatei wird in die SafeGuard Enterprise Datenbank importiert. Nach dem Import der Lizenzdatei wird bei Modulen, für die Lizenzen erworben wurden, der Lizenztyp regulär angegeben. Bei Modulen, für die keine Lizenzen erworben wurden und für die die Evaluierungslizenz (Standard-Lizenzdatei) oder individuelle Demo-Lizenzen genutzt werden, wird der Lizenztyp Demo angegeben. Hinweis: Wenn Sie eine neue Lizenzdatei importieren, werden jeweils nur die Module, die in dieser Datei enthalten sind, aktualisiert. Alle übrigen Modul-Lizenzinformationen werden entsprechend den in der Datenbank enthaltenen Informationen beibehalten. Diese Importfunktionalität vereinfacht die Evaluierung von zusätzlichen Modulen nach dem Kauf. 7.8.6 Lizenzüberschreitung In Ihrer Lizenzdatei ist ein Toleranzwert für die Überschreitung der erworbenen Lizenzen sowie der Lizenzgültigkeitsdauer festgelegt. Bei Überschreiten der verfügbaren Lizenzen pro Modul oder der Gültigkeitsdauer wird somit zunächst eine Warnungsmeldung ausgegeben. Der laufende Betrieb des Systems wird dadurch nicht beeinträchtigt und es tritt in diesem Fall auch keine Einschränkung der Funktionalität in Kraft. So haben Sie die Gelegenheit, den Lizenzstatus zu prüfen und Ihre Lizenz zu erweitern bzw. zu erneuern. Der Toleranzwert ist auf 10 % der Anzahl an erworbenen Lizenzen (der Mindestwert: 5, der Höchstwert: 5.000) festgelegt. Bei Überschreiten der Toleranzwerte wird eine Fehlermeldung ausgegeben. In diesem Fall tritt eine Funktionalitätseinschränkung in Kraft. Die Übertragung von Richtlinien auf die Endpoints wird deaktiviert. Diese Deaktivierung lässt sich nicht im SafeGuard Management Center manuell wieder aufheben. Die Lizenz muss erweitert bzw. erneuert werden, um wieder alle Funktionen nutzen zu können. Außer der Deaktivierung der Richtlinienübertragung hat die Funktionalitätseinschränkung keine Auswirkungen auf die Endpoints. Bereits zugeordnete Richtlinien bleiben aktiv. Die Deinstallation von Clients ist auch weiterhin möglich. Die folgenden Abschnitte beschreiben das Systemverhalten bei Lizenzüberschreitungen sowie die Maßnahmen zur Aufhebung der Funktionalitätseinschränkung. 7.8.6.1 Ungültige Lizenz: Warnung Ist die Anzahl an verfügbaren Lizenzen überschritten, so wird beim Starten des SafeGuard Management Center eine Warnungsmeldung angezeigt. 302 Administratorhilfe Das SafeGuard Management Center wird geöffnet und zeigt den Lizenzstatusüberblick in der Registerkarte Lizenzen des Bereichs Benutzer & Computer. Auch hier informiert Sie eine Warnungsmeldung darüber, dass die Lizenz ungültig ist. Über die detaillierten Informationen zur Lizenzdatei lässt sich ermitteln, für welches Modul die Anzahl an verfügbaren Lizenzen überschritten wurde. Durch Verlängerung, Erneuerung oder Erweiterung der Lizenz lässt sich dieser Lizenzstatus ändern. 7.8.6.2 Ungültige Lizenz: Fehler Wird der in der Lizenz festgelegte Toleranzwert für die Anzahl an Lizenzen oder die Gültigkeitsdauer überschritten, so zeigt das SafeGuard Management Center eine Fehlermeldung an. Im SafeGuard Management Center wird die Übertragung von Richtlinien auf die Endpoint-Computer deaktiviert. In der Registerkarte Lizenzen im Bereich Benutzer & Computer wird eine Fehlermeldung angezeigt. Über die detaillierten Informationen zur Lizenzdatei lässt sich ermitteln, für welches Modul die Anzahl an verfügbaren Lizenzen überschritten wurde. Um die Einschränkung der Funktionalität aufzuheben, habe Sie folgende Möglichkeiten: Lizenzen umverteilen Um ausreichend verfügbare Lizenzen zu erhalten, können Sie die Software auf nicht genutzten Endpoints deinstallieren und diese somit dauerhaft aus der SafeGuard Enterprise Datenbank entfernen. Lizenzen erweitern/erneuern Wenden Sie sich an Ihren Vertriebspartner, um Ihre Lizenz zu erweitern bzw. zu erneuern. Sie erhalten eine neue Lizenzdatei zum Import in die SafeGuard Enterprise Datenbank. Neue Lizenzdatei importieren Wenn Sie Ihre Lizenz bereits erneuert bzw. erweitert haben, importieren Sie die erhaltene Lizenzdatei in die SafeGuard Enterprise Datenbank. Diese neu importierte Datei ersetzt die ungültige Lizenzdatei. Durch Umverteilen von Lizenzen oder Importieren einer gültigen Lizenzdatei wird die Funktionalitätseinschränkung aufgehoben und der normale Betrieb des Systems kann fortgesetzt werden. 7.9 Token und Smartcards Hinweis: Token und Smartcards können nicht für Mac OS X Endpoints konfiguriert werden. SafeGuard Enterprise bietet erweiterte Sicherheit durch die Unterstützung von Token und Smartcards für die Authentisierung. Auf Token/Smartcards lassen sich Zertifikate, digitale Signaturen und biometrische Informationen speichern. Die Token-Authentisierung basiert auf dem Prinzip der Zwei-Faktor-Authentisierung: Ein Benutzer verfügt über einen Token (Besitz), kann den Token aber nur nutzen, wenn er das spezifische Token-Kennwort kennt (Wissen). Bei Verwendung eines Token oder einer Smartcard benötigen die Benutzer zur Authentisierung nur noch den Token und eine PIN. 303 SafeGuard Enterprise Hinweis: Smartcards und Token werden aus Sicht von SafeGuard Enterprise gleich behandelt. Deshalb werden im Produkt und in der Hilfe die Begriffe "Token" und "Smartcard" gleichgesetzt. Die Verwendung von Token und Smartcards muss in der Lizenz aktiviert werden (siehe Token-Lizenzen (Seite 299)). Hinweis: Bei Windows 8 und höher gibt es eine Funktion namens virtuelle Smartcard. Eine virtuelle Smartcard simuliert mit Hilfe eines TPM-Chip als Basis die Funktionalität einer physischen Smartcard, kann aber nicht mit SafeGuard Enterprise genutzt werden. SafeGuard Enterprise unterstützt Token: ■ in der SafeGuard Power-on Authentication (gilt nicht für Windows 8 und Windows 8.1) ■ auf Betriebssystemebene ■ zur Anmeldung am SafeGuard Management Center Wenn ein Token für einen Benutzer in SafeGuard Enterprise ausgestellt wird, werden Daten wie Hersteller, Typ, Seriennummer, Anmeldedaten und Zertifikate in der SafeGuard Enterprise-Datenbank hinterlegt. Token werden anhand der Seriennummer identifiziert und sind dann in SafeGuard Enterprise bekannt. Es ergeben sich erhebliche Vorteile: ■ Sie wissen, welche Token im Umlauf sind und welchen Benutzern sie zugeordnet sind. ■ Sie wissen, wann sie ausgestellt wurden. ■ Wenn Token verlorengegangen sind, kann der Sicherheitsbeauftragte sie identifizieren und für die Authentisierung sperren. Damit kann Datenmissbrauch verhindert werden. ■ Trotzdem kann der Sicherheitsbeauftragte über Challenge/Response die Anmeldung ohne Token zeitweilig erlauben, z. B. wenn ein Benutzer seine PIN vergessen hat. Hinweis: Bei SafeGuard volume-basierender Verschlüsselung wird diese Recovery-Option für die Anmeldung mit kryptographischen Token (Kerberos) nicht unterstützt. 7.9.1 Token-Typen Der Begriff "Token" bezieht sich auf alle verwendeten Technologien und ist nicht an eine bestimmte Form von Gerät gebunden. Dies umfasst alle Geräte, die Daten für die Identifizierung und Authentisierung speichern und übertragen können, zum Beispiel Smartcards und USB-Token. SafeGuard Enterprise unterstützt die folgenden Token/Smartcard-Typen für die Authentisierung: Nicht-kryptographisch Die Authentisierung in der SafeGuard POA und in Windows erfolgt auf der Grundlage der auf dem Token gespeicherten Anmeldedaten (Benutzername/Kennwort). kryptographisch - Kerberos Die Authentisierung in der SafeGuard POA und in Windows erfolgt auf der Grundlage der auf dem Token gespeicherten Zertifikate. Hinweis: Kryptographische Token können nicht für Standalone-Endpoints verwendet werden. 304 Administratorhilfe 7.9.1.1 Kryptographische Token - Kerberos Bei der Verwendung von kryptographischen Token erfolgt die Authentisierung in der SafeGuard POA über das Zertifikat auf dem Token. Zur Anmeldung müssen die Benutzer nur die PIN des Token eingeben. Hinweis: Kryptographische Token können nicht für Standalone-Endpoints verwendet werden. Den Benutzern müssen vollständig ausgestellte Token bereitgestellt werden. Weitere Informationen finden Sie unter Konfiguration der Token-Verwendung (Seite 307). Grundlegende Anforderungen für Zertifikate: ■ Algorithmus: RSA ■ Schlüssellänge: mindestens 1024. ■ Verwendung des Schlüssels: Datenverschlüsselung oder Schlüsselverschlüsselung. Hinweis: Bei Problemen bei der Anmeldung mit einem Kerberos-Token kann weder Challenge/Response noch Local Self Help für Recovery-Vorgänge benutzt werden. Hier wird nur Challenge/Response mit virtuellen Clients unterstützt. Mit diesem Verfahren können Benutzer wieder Zugriff auf verschlüsselte Volumes auf Ihren Endpoints erlangen. 7.9.2 Komponenten Für die Benutzung von Token/Smartcards in Verbindung mit SafeGuard Enterprise sind folgende Komponenten erforderlich: Token/Smartcard Token-/Smartcard-Lesegerät Token-/Smartcard-Treiber Token/Smartcard Middleware (PKCS#11-Modul) USB-Token USB-Token bestehen aus einer Smartcard und einem Smartcard-Leser, wobei sich die beiden Einheiten in einem Gehäuse befinden. Für die Benutzung von USB Token ist ein USB Port erforderlich. 7.9.2.1 Token/Smartcards-Lesegeräte und Treiber ■ Windows Auf Windows-Betriebssystemebene werden PC/SC-kompatible Kartenleser unterstützt. Die PC/SC-Schnittstelle regelt die Kommunikation zwischen Computer und Smartcard. Viele dieser Kartenleser sind bereits Teil der Windows-Installation. Smartcards benötigen PKCS#11 kompatible Smartcard-Treiber, damit sie von SafeGuard Enterprise unterstützt werden können. ■ Power-on Authentication aktivieren An der SafeGuard Power-on Authentication wird die PC/SC-Schnittstelle unterstützt, die die Kommunikation zwischen Computer und Smartcard regelt. Die unterstützten Smartcard-Treiber sind fest implementiert und die Benutzer können keine zusätzlichen Treiber hinzufügen. Die passenden Smartcard-Treiber müssen über eine Richtlinie in SafeGuard Enterprise aktiviert werden. 305 SafeGuard Enterprise Die Schnittstelle für Smartcard-Leser ist standardisiert und viele Kartenleser haben eine USB-Schnittstelle oder eine ExpressCard/54-Schnittstelle und implementieren den CCID-Standard. In SafeGuard Enterprise ist dies eine Voraussetzung für die Unterstützung in der SafeGuard Power-on Authentication. Außerdem muss auf Treiber-Seite das PKCS#11-Modul unterstützt werden. 7.9.2.2 Unterstützte Token/Smartcards an der SafeGuard Power-on Authentication SafeGuard Enterprise unterstützt eine breite Palette an Smartcards/Smartcard-Lesegeräten, USB-Token mit den entsprechenden Treibern und Middleware in der SafeGuard Power-on Authentication. In SafeGuard Enterprise werden Token/Smartcards unterstützt, die 2.048 Bit RSA-Operationen unterstützen. Da die Unterstützung von Token/Smartcards von Release zu Release erweitert wird, werden die in der jeweils aktuellen SafeGuard Enterprise Version unterstützten Token und Smartcards in den Release Notes aufgeführt. 7.9.2.3 Unterstützte Middleware Die in der folgenden Liste aufgeführte Middleware wird über deren jeweiliges PKCS#11-Modul unterstützt. PKCS#11 ist eine standardisierte Schnittstelle zur Anbindung kryptographischer Token/Smartcards an verschiedenste Software. Hier dient PKCS#11 der Kommunikation zwischen kryptographischen Token/Smartcard, Smartcard-Leser und SafeGuard Enterprise. Siehe auch http://www.sophos.com/de-de/support/knowledgebase/112781.aspx. 306 Hersteller Middleware ActivIdentity ActivClient, ActivClient (PIV) AET SafeSign Identity Client Aladdin eToken PKI Client A-Trust a.sign Client Charismatics Smart Security Interface Gemalto Gemalto Access Client, Gemalto Classic Client, Gemalto .NET Card IT Solution GmbH IT Solution trustWare CSP+ Nexus Nexus Personal RSA RSA Authentication Client 2.x, RSA Smart Card Middleware 3.x Sertifitseerimiskeskus AS Estonian ID Card Siemens CardOS API TC-FNMT Administratorhilfe Hersteller Middleware ATOS CardOS API TC-FNMT FNMT Módulo PCKS#11 TC-FNMT TC-FNMT T-Systems NetKey 3.0 Unizeto proCertum Lizenzen Beachten Sie, dass für die Benutzung der jeweiligen Middleware für das Standard-Betriebssystem eine Lizenzvereinbarung mit dem jeweiligen Hersteller erforderlich ist. Informationen zum Erhalt der Lizenzen finden Sie unter http://www.sophos.com/de-de/support/knowledgebase/116585.aspx. Wenn Sie Siemens-Lizenzen erwerben möchten, wenden Sie sich an: Atos IT Solutions and Services GmbH Otto-Hahn-Ring 6 81739 München Germany Die Middleware wird in einer SafeGuard Enterprise-Richtlinie vom Typ Spezifische Computereinstellungen unter Benutzerdefinierte PKCS#11 Einstellungen im Feld PKCS#11 Modul für Windows oder PKCS#11 Modul für die Power-on Authentication angegeben. Das SafeGuard Enterprise Client-Konfigurationspaket muss zudem auf dem Computer installiert sein, auf dem das SafeGuard Management Center läuft. 7.9.3 Konfigurieren der Token-Benutzung Führen Sie die folgenden Handlungsschritte aus, wenn Sie den folgenden Benutzern Token für die Authentisierung bereitstellen möchten: Benutzer von zentral verwalteten Endpoints Sicherheitsbeauftragte des SafeGuard Management Center 1. Initialisierung leerer Token Weitere Informationen finden Sie unter Initialisierung von Token (Seite 308). 2. Installation der Middleware Weitere Informationen finden Sie unter Installation von Middleware (Seite 308). 3. Aktivierung der Middleware Weitere Informationen finden Sie unter Aktivierung von Middleware (Seite 309). 4. Ausstellen von Token für Benutzer und Sicherheitsbeauftragte Weitere Informationen finden Sie unter Ausgabe von Token (Seite 309). 5. Konfigurieren des Anmeldemodus Weitere Informationen finden Sie unter Konfiguration des Anmeldemodus (Seite 311). 307 SafeGuard Enterprise 6. Konfigurieren weiterer Token-Einstellungen, zum Beispiel Syntaxregeln für PINs. Weitere Informationen finden Sie unter Verwaltung von PINs (Seite 315) und Verwaltung von Token und Smartcards (Seite 316). 7. Zuweisen von Zertifikaten und Schlüsseln zu Token/Benutzern Weitere Informationen finden Sie unter Zuweisung von Zertifikaten (Seite 312). Sie können auch einen bereits mit Daten einer anderen Anwendung versehenen Token zur Authentisierung verwenden, sofern genügend freier Speicherplatz für die Zertifikate und Anmeldeinformationen darauf vorhanden ist. Für die einfache Token-Verwaltung bietet SafeGuard Enterprise folgende Funktionen: ■ Token-Informationen anzeigen und filtern ■ PINs initialisieren, ändern, zurücksetzen und sperren ■ Token-Daten lesen und löschen ■ Token sperren Hinweis: Um Token auszustellen und zu verwalten oder Daten auf ausgestellten Token zu ändern, benötigen Sie das Zugriffsrecht Voller Zugriff für die relevanten Benutzer. Die Ansicht Ausgestellte Token zeigt die Token für alle Benutzer, für die Sie die Zugriffsrechte Schreibgeschützt oder Voller Zugriff haben. 7.9.4 Vorbereitung für die Benutzung von Token Die folgenden vorbereitenden Maßnahmen sind für die Unterstützung von Token/Smartcards in SafeGuard Enterprise notwendig: ■ Initialisierung leerer Token ■ Installation der Middleware ■ Aktivierung der Middleware 7.9.4.1 Initalisieren eines Token Bevor ein "leerer", unformatierter Token in SafeGuard Enterprise bentutzt werden kann, muss er nach den Angaben des Token-Herstellers für die Verwendung vorbereitet, also initialisiert werden. Bei der Initialisierung wird er mit Basisinformationen, z. B. den Standard-PINs, beschrieben. Dies erfolgt mit der Initialisierungssoftware des Herstellers. Weitere Informationen finden Sie in der Dokumentation des relevanten Token-Herstellers. 7.9.4.2 Installation von Middleware Installieren Sie die korrekte Middleware sowohl auf dem Computer, auf dem das SafeGuard Management Center installiert ist, als auch auf dem relevanten Endpoint, falls noch nicht geschehen. Informationen über unterstützte Middleware finden Sie unter Unterstützte Middleware (Seite 306). Starten Sie die Computer, auf denen Sie die neue Middleware installiert haben, neu. 308 Administratorhilfe Hinweis: Wenn Sie Gemalto .NET Card oder Nexus Personal Middleware installieren, müssen Sie den Installationspfad der Middleware auch zur PATH-Umgebungsvariable der Systemeigenschaften Ihres Computers hinzufügen. ■ Standard-Installationspfad für Gemalto .NET Card: C:\Programme\Gemalto\PKCS11 for .NET V2 smart cards ■ Standard-Installationspfad für Nexus Personal: C:\Programme\Personal\bin 7.9.4.3 Aktivieren der Middleware Sie müssen im SafeGuard Management Center über eine Richtlinie die passende Middleware in Form des PKCS#11-Moduls zuweisen. Dies müssen Sie sowohl für den Computer, auf dem das SafeGuard Management Center läuft, als auch für den Endpoint erledigen. Dann erst kann SafeGuard Enterprise mit dem Token kommunizieren. Die Einstellung für das PKCS#11-Modul können Sie folgendermaßen über eine Richtlinie festlegen. Voraussetzung: Die Middleware wurde auf dem entsprechenden Computer installiert und der Token wurde initialisiert. Das SafeGuard Enterprise Client-Konfigurationspaket muss zudem auf dem Computer installiert sein, auf dem das SafeGuard Management Center läuft. 1. Klicken Sie im SafeGuard Management Center auf Richtlinien. 2. Legen Sie eine neue Richtlinie des Typs Spezifische Computereinstellungen an oder wählen Sie eine bereits bestehende Richtlinie dieses Typs aus. 3. Wählen Sie im rechten Arbeitsbereich unter Tokenunterstützung > Modulname die passende Middleware aus. Speichern Sie die Einstellungen. 4. Weisen Sie die Richtlinie zu. SafeGuard Enterprise kann nun mit dem Token kommunizieren. 7.9.5 Ausstellen eines Token Beim Ausstellen eines Token in SafeGuard Enterprise werden Daten auf den Token geschrieben, die dann für die Authentisierung verwendet werden. Bei den Daten handelt es sich um die Anmeldeinformationen und Zertifikate. In SafeGuard Enterprise können Token für folgende Benutzerrollen ausgestellt werden: ■ Token für Endbenutzer von zentral verwalteten Endpoints. ■ Token für Sicherheitsbeauftragte (SO) Zugriff auf den Token haben sowohl der Benutzer als auch der Sicherheitsbeauftragte (SO). Der Benutzer ist der, der den Token benutzen soll. Nur er hat Zugriff auf private Objekte und Schlüssel. Der SO hat nur Zugriff auf öffentliche Objekte, kann allerdings die Benutzer-PIN zurücksetzen. 7.9.5.1 Ausstellen eines Token oder einer Smartcard für Benutzer Voraussetzungen: Der Token muss initialisiert und das passende PKCS#11-Modul aktiviert worden sein. Das SafeGuard Enterprise Client-Konfigurationspaket muss zudem auf dem Computer installiert sein, auf dem das SafeGuard Management Center läuft. Sie benötigen das Zugriffsrecht Voller Zugriff für den relevanten Benutzer. 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 309 SafeGuard Enterprise 2. Stecken Sie den Token an der USB-Schnittstelle ein. SafeGuard Enterprise liest den Token ein. 3. Wählen Sie den Benutzer, für den ein Token ausgestellt werden soll, und öffnen Sie im rechten Arbeitsbereich die Registerkarte Token-Daten. 4. Gehen Sie in der Registerkarte Token-Daten wie folgt vor: a) Wählen Sie die Benutzer-ID und Domäne des betreffenden Benutzers aus und geben Sie sein Windows-Kennwort ein. b) Klicken Sie auf Token ausstellen. Der Dialog Token ausstellen wird angezeigt. 5. Wählen Sie den relevanten Slot aus der Verfügbare Slots Dropdownliste aus. 6. Vergeben Sie eine neue Benutzer-PIN und wiederholen Sie die Eingabe. 7. Geben Sie unter SO-PIN die vom Hersteller erhaltene Standard-PUK bzw. die bei der Token-Initialisierung vergebene PIN ein. Hinweis: Wenn Sie nur das Feld Benutzer-PIN (erforderlich) ausfüllen, muss die Benutzer-PIN mit der PIN übereinstimmen, die bei der Token-Initialisierung vergeben wurde. Sie müssen die Benutzer-PIN dann nicht wiederholen und keine SO-PIN eingeben. 8. Klicken Sie auf Token jetzt ausstellen. Der Token wird ausgestellt, die Anmeldeinformationen auf den Token geschrieben und die Token-Informationen in der SafeGuard Enterprise-Datenbank hinterlegt. Im Bereich Token können Sie sich in der Registerkarte Token-Information die Daten anzeigen lassen. 7.9.5.2 Ausstellen eines Token oder einer Smartcard für einen Sicherheitsbeauftragten Bei der Erstinstallation von SafeGuard Enterprise besteht für den ersten Sicherheitsbeauftragten bereits die Möglichkeit, sich einen Token ausstellen zu lassen und den Anmeldemodus festzulegen (siehe SafeGuard Enterprise Installationsanleitung). Für alle weiteren Sicherheitsbeauftragten nehmen Sie die Ausstellung eines Token im SafeGuard Management Center vor. Voraussetzung: Der Token muss initialisiert und das passende PKCS#11-Modul aktiviert worden sein. Sie benötigen die Rechte, die Angaben für den Sicherheitsbeauftragten festlegen zu dürfen. 1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte. 2. Stecken Sie den Token an der USB-Schnittstelle ein. SafeGuard Enterprise liest den Token ein. 3. Markieren Sie im linken Navigationsfenster Sicherheitsbeauftragte und wählen Sie im Kontextmenü Neu > Neuer Sicherheitsbeauftragter. Der Dialog Neuen Sicherheitsbeauftragten erstellen wird angezeigt. 4. Geben Sie im Feld Token-Anmeldung die Art der Anmeldung für den Sicherheitsbeauftragten ein: ■ Wenn sich der Sicherheitsbeauftragte wahlweise mit oder ohne Token authentisieren soll, wählen Sie Optional. ■ Um festzulegen, dass sich der Sicherheitsbeauftragte mit Token anmelden muss, wählen Sie Zwingend erforderlich. Bei dieser Einstellung verbleibt der private Schlüssel auf dem Token. Der Token muss immer eingesteckt sein, ansonsten wird ein Neustart des Systems notwendig. 310 Administratorhilfe 5. Geben Sie als nächstes das Zertifikat des Sicherheitsbeauftragten an. ■ Um ein neues Zertifikat zu erzeugen, klicken Sie auf die Schaltfläche Erzeugen neben der Zertifikat Dropdown-Liste. Geben Sie das Kennwort für das Zertifikat zweimal ein und klicken Sie auf OK. Legen Sie den Speicherort für das Zertifikat fest. ■ Um Zertifikate zu importieren, klicken Sie auf die Schaltfläche Importieren neben der Zertifikat Dropdown-Liste, um die entsprechende Zertifikatsdatei zu öffnen. Nach Zertifikaten wird zuerst in einer Zertifikatsdatei, dann auf dem Token gesucht. Die Zertifikate können an den jeweiligen Speicherorten verbleiben. 6. Aktivieren Sie die Rollen und Domänen, die dem Beauftragten zugewiesen werden sollen, unter Rollen. 7. Bestätigen Sie die Eingaben mit OK. Der Sicherheitsbeauftragte wird angelegt, der Token wird ausgestellt, die Anmeldedaten werden je nach Einstellung auf den Token geschrieben und die Token-Informationen werden in der SafeGuard Enterprise-Datenbank hinterlegt. Im Bereich Token können Sie sich in der Registerkarte Token-Information die Daten anzeigen lassen. 7.9.6 Konfigurieren des Anmeldemodus Für die Anmeldung von Endbenutzern mit einem Token gibt es zwei Anmeldeformen. Eine Kombination der beiden Anmeldeformen ist möglich. ■ Anmeldung mit Benutzername/Kennwort ■ Anmeldung mit Token Wenn Sie sich mit einem Token oder einer Smartcard anmelden, können Sie zwischen einem Token-Anmeldemodus mit nicht-kryptographischem Token oder mit Kerberos-Unterstützung (kryptographisch) wählen. Als Sicherheitsbeauftragter legen Sie den zu verwendenden Anmeldemodus in einer Sicherheitsrichtlinie vom Typ Authentisierung fest. Auswahl der Token-Anmeldeoption Kerberos: ■ Sie müssen ein Zertifikat in einer PKI ausstellen und es auf dem Token ablegen. Dieses Zertifikat wird als Benutzerzertifikat in die SafeGuard Enterprise Datenbank importiert. Falls dort bereits ein automatisch erzeugtes Zertifikat existiert, wird es durch das importierte Zertifikat überschrieben. 7.9.6.1 Aktivieren der automatischen Anmeldung an der SafeGuard POA mit Default-Token-PIN Eine per Richtlinie verteilte Default-Token-PIN ermöglicht die automatische Benutzeranmeldung an der SafeGuard Power-on Authentication. Somit muss nicht jeder einzelne Token separat ausgestellt werden und die Benutzer können sich ohne Benutzerinteraktion automatisch an der SafeGuard Power-on Authentication anmelden. Wenn bei der Anmeldung ein Token benutzt wird und dem Computer eine Default-PIN zugeordnet ist, wird eine durchgehende Anmeldung an der SafeGuard Power-on Authentication durchgeführt. Der Benutzer muss hier keine PIN eingeben. 311 SafeGuard Enterprise Als Sicherheitsbeauftragter können Sie diese spezifische PIN in einer Richtlinie vom Typ Authentisierung festlegen und sie verschiedenen Computern oder Computergruppen, z. B. allen Computern eines Standorts, zuordnen. So aktivieren Sie die automatische Anmeldung mit einer Default-Token-PIN: 1. 2. 3. 4. Klicken Sie im SafeGuard Management Center auf Richtlinien. Wählen Sie eine Richtlinie vom Typ Authentisierung aus. Wählen Sie unter Anmeldeoptionen bei Anmeldemodus die Option Token. Geben Sie bei PIN für automatische Anmeldung mit Token die Default-PIN an, die für die automatische Anmeldung verwendet werden soll. In diesem Fall müssen keine PIN-Regeln beachtet werden. Hinweis: Diese Einstellung steht nur dann zur Verfügung, wenn Sie als möglichen Anmeldemodus die Option Token gewählt haben. 5. Wählen Sie bei Durchgehende Anmeldung an Windows die Option Durchgehende Anmeldung deaktivieren. Wenn Sie diese Einstellung nicht auswählen und eine Default-PIN angeben, können Sie die Richtlinie nicht speichern. Wenn Sie die Durchgehende Anmeldung an Windows dennoch aktivieren möchten, können Sie eine weitere Richtlinie vom Typ Authentisierung mit der aktivierten Option erstellen und sie derselben Computergruppe zuordnen. Im RSOP (Resulting Set of Policies) sind somit beide Richtlinien aktiv. 6. Definieren Sie nach Wunsch weitere Token-Einstellungen. 7. Speichern Sie Ihre Einstellungen und ordnen Sie die Richtlinie den relevanten Computern oder Computergruppen zu. Wenn die automatische Anmeldung auf dem Endpoint erfolgreich durchgeführt werden konnte, wird Windows gestartet. Schlägt die automatische Anmeldung auf dem Endpoint fehl, so wird der Benutzer an der SafeGuard Power-on Authentication aufgefordert, die Token-PIN einzugeben. 7.9.7 Zuweisung von Zertifikaten Außer den Anmeldeinformationen können auf einen Token auch Zertifikate geschrieben werden. Es ist möglich, den privaten Teil des Zertifikats (.p12-Datei) ausschließlich auf dem Token zu speichern. Benutzer können sich dann jedoch nur mit dem Token anmelden. Wir empfehlen den Einsatz von PKI-Zertifikaten. So können Sie Authentisierungsdaten Token zuweisen: ■ durch Generieren von Zertifikaten direkt auf dem Token ■ durch Zuweisen von Daten, die sich bereits auf dem Token befinden ■ durch Importieren von Zertifikaten aus einer Datei Hinweis: CA-Zertifikate können nicht von einem Token entnommen und in der Datenbank oder im Zertifikatsspeicher gespeichert werden. Wenn Sie CA-Zertifikate verwenden, müssen diese in Dateiform zur Verfügung stehen, nicht nur auf einem Token. Dies gilt auch für CRLs (Certificate Revocation List). Außerdem muss die Kombination von CA-Zertifikaten und CRL zusammenpassen, da ansonsten eine Anmeldung an allen betroffenen Computern nicht mehr möglich ist. Überprüfen Sie, ob CA und die entsprechende CRL korrekt sind. SafeGuard Enterprise übernimmt diese Überprüfung nicht! SafeGuard Enterprise kann dann nur mit ablaufenden Zertifikaten umgehen, wenn der alte und neue private Schlüssel auf demselben Token stehen. 312 Administratorhilfe 7.9.7.1 Erzeugen von Zertifikaten durch Token Um Zertifikate durch Token zu erzeugen, benötigen Sie das Zugriffsrecht Voller Zugriff für den relevanten Benutzer. Sie können neue Zertifikate direkt durch den Token generieren lassen, wenn zum Beispiel keine Zertifikatsinfrastruktur vorhanden ist. Hinweis: Wird der private Teil des Zertifikats allein auf den Token geschrieben, hat der Benutzer nur mit dem Token Zugriff auf seinen privaten Schlüssel. Der private Schlüssel befindet sich dann nur noch auf dem Token. Wenn der Token verloren geht, ist der Zugriff auf den privaten Schlüssel nicht mehr möglich. Voraussetzung: Der Token ist ausgestellt. 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 2. Stecken Sie den Token an der USB-Schnittstelle ein. SafeGuard Enterprise liest den Token ein. 3. Markieren Sie den Benutzer, für den Sie ein Zertifikat generieren wollen, und öffnen Sie im rechten Arbeitsbereich die Registerkarte Zertifikat. 4. Klicken Sie auf das Symbol Neues Zertifikat generieren und Token zuweisen in der SafeGuard Management Center Symbolleiste. Beachten Sie, dass die Schlüssellänge auf die Tokengröße abgestimmt sein muss. 5. Wählen Sie den Slot aus und geben Sie die Token-PIN ein. 6. Klicken Sie auf Erzeugen. Das Zertifikat wird durch den Token generiert und dem Benutzer zugewiesen. 7.9.7.2 Zuweisen von Token-Zertifikaten zu einem Benutzer Voraussetzungen: Der Token ist ausgestellt. Sie haben das Zugriffsrecht Voller Zugriff für den relevanten Benutzer. So weisen Sie ein auf einem Token verfügbares Zertifikat einem Benutzer zu: 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 2. Stecken Sie den Token an der USB-Schnittstelle ein. SafeGuard Enterprise liest den Token ein. 3. Wählen Sie den Benutzer aus, dem Sie ein Zertifikat zuweisen wollen, und öffnen Sie im rechten Arbeitsbereich die Registerkarte Zertifikat. 4. Klicken Sie auf das Symbol Zertifikat von Token zuweisen in der SafeGuard Management Center Symbolleiste. 5. Wählen Sie das passende Zertifikat aus der Liste aus und geben Sie die Token-PIN ein. 6. Klicken Sie auf OK. Das Zertifikat wird dem Benutzer zugewiesen. Einem Benutzer kann jeweils nur ein Zertifikat zugewiesen sein. 7.9.7.3 Ändern des Zertifikats eines Benutzers Sie können die für die Anmeldung erforderlichen Zertifikate ändern oder erneuern, indem Sie im SafeGuard Management Center ein neues Zertifikat zuweisen. Das Zertifikat wird als 313 SafeGuard Enterprise Standby-Zertifikat neben dem bereits vorhandenen Zertifikat zugewiesen. Der Benutzer ändert das Zertifikat auf dem Endpoint, indem er sich mit dem neuen Zertifikat anmeldet. Hinweis: Sollten Benutzer ihre Token verlieren oder sollten Token manipuliert worden sein, so tauschen Sie die Token nicht aus, indem Sie neue Zertifikate wie hier beschrieben zuweisen. Andernfalls können Probleme auftreten. So ist das alte Token-Zertifikat unter Umständen noch für die Windows-Anmeldung gültig. Solange das alte Zertifikat noch gültig ist, ist die Anmeldung an Windows noch möglich und der Computer kann entsperrt werden. Um eine Anmeldung zu verhindern, sperren Sie den Token. Standby-Zertifikate können in folgenden Fällen verwendet werden: Ändern von durch (kryptographische) Token erzeugten Zertifikaten Wechsel von automatisch erzeugten zu durch Token erzeugten Zertifikaten Wechsel von Authentisierung per Benutzername/Kennwort zur Authentisierung durch kryptographischen Token (Kerberos). Voraussetzungen: Der neue Token ist ausgestellt. Dem Benutzer ist nur ein Zertifikat zugewiesen. Sie haben das Zugriffsrecht Voller Zugriff für den relevanten Benutzer. So ändern Sie das Zertifikat für die Token-Anmeldung für einen Benutzer: 1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer. 2. Stecken Sie den Token an der USB-Schnittstelle ein. SafeGuard Enterprise liest den Token ein. 3. Wählen Sie den Benutzer aus, für den Sie das Zertifikat ändern wollen, und öffnen Sie im rechten Arbeitsbereich die Registerkarte Zertifikat. 4. Klicken Sie in der Symbolleiste auf das Symbol für die Aktion, die Sie durchführen möchten. 5. Wählen Sie das relevante Zertifikat aus und geben Sie die Token-PIN ein. 6. Klicken Sie auf OK. 7. Übergeben Sie dem Benutzer den neuen Token. Das Zertifikat wird dem Benutzer als Standby-Zertifikat zugewiesen. Dies wird durch eine Häkchen in der Spalte Standby in der Zertifikate Registerkarte des Benutzers angegeben. Nach der Synchronisierung zwischen dem Endpoint und dem SafeGuard Enterprise Server gibt der Status-Dialog auf dem Endpoint an, dass dieser Bereit für Zertifikatwechsel ist. Der Benutzer muss nun einen Zertifikatwechsel auf dem Endpoint-Computer initiieren. Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Benutzerhilfe. Nach dem Zertifikatwechsel auf dem Endpoint wird das Zertifikat während der nächsten Synchronisierung auch auf dem SafeGuard Enterprise Server erneuert. Dadurch wird das alte Zertifikat aus der Zertifikate Registerkarte des Benutzers im SafeGuard Management Center entfernt. Der neue Token ist nun der Standard-Token für den Benutzer. Hinweis: Im SafeGuard Management Center können beide Zertifikate separat gelöscht werden. Ist nur ein Standby-Zertifikat verfügbar, so wird das nächste Zertifikat als Standardzertifikat zugewiesen. 7.9.7.4 Importieren eines Zertifikats aus einer Datei auf einen Token Voraussetzung: Der Token ist ausgestellt. 314 Administratorhilfe Für einen Token mit Kerberos-Unterstützung für zentral verwaltete Endpoints müssen Sie diesen Vorgang auswählen. Das Zertifikat muss von SafeGuard Enterprise erkannt werden und auf den Token aufgebracht werden. Falls bereits ein automatisch generiertes Zertifikat existiert, wird es durch das importierte Zertifikat überschrieben. So fügen Sie den privaten Teil des Zertifikats (.p12-Datei) aus einer Datei auf dem Token hinzu: 1. Klicken Sie im SafeGuard Management Center auf Token. 2. Stecken Sie den Token an der USB-Schnittstelle ein. SafeGuard Enterprise liest den Token ein. 3. Markieren Sie den Token, auf den Sie den privaten Teil des Zertifikats aufbringen wollen, und öffnen Sie im rechten Arbeitsbereich die Registerkarte Anmeldeinformationen & Zertifikate. 4. Klicken Sie auf das Symbol P12 auf Token in der SafeGuard Management Center Symbolleiste. 5. Wählen Sie die passende Zertifikatsdatei aus. 6. Geben Sie die Token-PIN und das Kennwort für die .p12-Datei ein und bestätigen Sie mit OK. Der private Teil des Zertifikats wird auf den Token aufgebracht. Sie müssen diesen nun einem Benutzer zuweisen (siehe Token-Zertifikate einem Benutzer zuweisen (Seite 313)). Benutzer können sich dann nur mit diesem Token anmelden. 7.9.8 Verwalten von PINs Als Sicherheitsbeauftragter können Sie sowohl die Benutzer-PIN als auch die SO-PIN ändern bzw. die Änderung der Benutzer-PIN erzwingen. Dies wird üblicherweise bei der Erstausstellung eines Token notwendig. Außerdem können Sie PINs initialisieren, d. h. neu vergeben und sperren. Hinweis: Um PINs zu initialisieren, zu ändern oder zu sperren, benötigen Sie das Zugriffsrecht Voller Zugriff für alle relevanten Benutzer. Für Endpoints können Sie weitere PIN-Optionen über Richtlinien festlegen. Hinweis: Beachten Sie bei PIN-Änderungen, dass manche Token-Hersteller selbst PIN-Regeln festlegen, die den PIN-Regeln von SafeGuard Enterprise widersprechen können. Möglicherweise können PINs deshalb nicht wie gewünscht geändert werden, auch wenn sie den PIN-Regeln von SafeGuard Enterprise entsprechen. Berücksichtigen Sie daher auf jeden Fall die PIN-Regeln des Token-Herstellers. Diese werden im SafeGuard Management Center im Bereich Token unter Token-Information angezeigt. Die Verwaltung der PINs wird im SafeGuard Management Center unter Token durchgeführt. Der Token ist eingesteckt und links im Navigationsfenster markiert. 7.9.8.1 Initialisieren einer Benutzer-PIN Voraussetzungen: Die SO-PIN muss bekannt sein. Sie benötigen das Zugriffsrecht Voller Zugriff für den relevanten Benutzer. 1. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Benutzer-PIN initialisieren Symbol. 2. Geben Sie die SO-PIN ein. 315 SafeGuard Enterprise 3. Geben Sie die neue Benutzer-PIN ein, wiederholen Sie die Eingabe und bestätigen Sie mit OK. Die Benutzer-PIN wurde initialisiert. 7.9.8.2 Ändern der SO-PIN Voraussetzung: Die bisherige SO-PIN (PIN des Sicherheitsbeauftragten) muss bekannt sein. 1. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das PIN des Sicherheitsbeauftragten ändern Symbol. 2. Geben Sie die alte SO-PIN ein. 3. Geben Sie die neue SO-PIN ein, wiederholen Sie die Eingabe und bestätigen Sie mit OK. Die SO-PIN wurde geändert 7.9.8.3 Ändern einer Benutzer-PIN Voraussetzung: Die Benutzer-PIN muss bekannt sein. Sie benötigen das Zugriffsrecht Voller Zugriff für den relevanten Benutzer. 1. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Benutzer-PIN ändern Symbol. 2. Geben Sie die alte und die neue Benutzer-PIN ein, wiederholen Sie die neue Benutzer-PIN und klicken Sie auf OK. Die Benutzer-PIN wurde geändert. Falls Sie die PIN für einen anderen Benutzer geändert haben, teilen Sie ihm die Änderung mit. 7.9.8.4 Erzwingen einer PIN-Änderung Um eine PIN-Änderung zu erzwingen, benötigen Sie das Zugriffsrecht Voller Zugriff für den relevanten Benutzer. 1. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das PIN-Änderung erzwingen Symbol. Wenn sich der Benutzer beim nächsten Mal mit dem Token anmeldet, muss er seine Benutzer-PIN ändern. 7.9.8.5 PIN-Historie Die PIN-Historie kann gelöscht werden. Klicken Sie dazu auf das Symbol PIN-Historie löschen. 7.9.9 Verwalten von Token und Smartcards Im Bereich Token des SafeGuard Management Centers hat der Sicherheitsbeauftragte folgende Möglichkeiten: 316 ■ Einsehen einer Übersicht über die ausgestellten Token und Zertifikate ■ Filtern von Übersichten ■ Sperren von Token für die Anmeldung ■ Lesen oder Löschen der Daten auf einem Token Administratorhilfe 7.9.9.1 Anzeigen von Token/Smartcard-Informationen Als Sicherheitsbeauftragter können Sie sich Informationen über alle oder einzelne ausgestellte Token anzeigen lassen. Sie können auch Übersichten filtern. Voraussetzung: Der Token muss eingesteckt sein. 1. Klicken Sie im SafeGuard Management Center auf Token. 2. Um Informationen zu einzelnen Token anzeigen zu lassen, wählen Sie den gewünschten Token unter Token Slots. Unter Token-Information werden Hersteller, Typ, Seriennummer, Angaben zu Hardware und PIN-Regeln angezeigt. Außerdem sehen Sie, welchem Benutzer der Token zugeordnet ist. Hinweis: Unter Token Slots werden die ausgestellten Token ungeachtet Ihrer Zugriffsrechte für die relevanten Benutzer angezeigt, damit Sie sehen können, ob der Token in Gebrauch ist oder nicht. Wenn Sie keine Zugriffsrechte oder das Zugriffsrecht Schreibgeschützt für den relevanten Benutzer haben, werden alle Token-Daten in den Registerkarten Token-Information und Anmeldeinformationen und Zertifikate ausgegraut und Sie können den Token nicht verwalten. 3. Um eine Übersicht über Token anzeigen zu lassen, wählen Sie Ausgestellte Token. Sie können alle ausgestellten Token anzeigen lassen oder die Übersicht nach Benutzern filtern. Es werden die Seriennummer der Token, die Benutzerzuordnung und das Ausstellungsdatum angezeigt. Außerdem erkennen Sie, ob der Token gesperrt ist. Hinweis: Die Ansicht Ausgestellte Token zeigt die Token für alle Benutzer, für die Sie die Zugriffsrechte Schreibgeschützt oder Voller Zugriff haben. 7.9.9.2 Sperren von Token oder Smartcards Als Sicherheitsbeauftragter können Sie Token sperren. Dies ist z. B. sinnvoll, wenn ein Token verloren gegangen ist. Um einen Token zu sperren, benötigen Sie das Zugriffsrecht Voller Zugriff für den relevanten Benutzer. 1. Klicken Sie im SafeGuard Management Center auf Token. 2. Markieren Sie links im Navigationsbereich Ausgestellte Token. 3. Wählen Sie den Token, der gesperrt werden soll, und klicken Sie auf das Symbol Token sperren in der SafeGuard Management Center Symbolleiste. Der Token wird für die Authentisierung gesperrt, der zugeordnete Benutzer kann sich nicht mehr damit anmelden. Der Token kann nur mithilfe der SO-PIN entsperrt werden. 7.9.9.3 Löschen von Token/Smartcard-Daten Als Sicherheitsbeauftragter können Sie die Daten, die über SafeGuard Enterprise auf den Token geschrieben wurden, vom Token entfernen. Voraussetzung: Der Token muss eingesteckt sein. Sie benötigen das Zugriffsrecht Voller Zugriff für den relevanten Benutzer. 1. Klicken Sie im SafeGuard Management Center auf Token. 317 SafeGuard Enterprise 2. Markieren Sie links im Navigationsbereich den relevanten Token unter Token Slots. 3. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Token löschen Symbol. 4. Geben Sie die dem Token zugeordnete SO-PIN ein und bestätigen Sie mit OK. Es werden alle Daten entfernt, die von SafeGuard Enterprise verwaltet werden. Zertifikate verbleiben auf dem Token. Die Benutzer-PIN wird auf 1234 zurückgesetzt. Auf diese Weise gelöschte Token werden automatisch aus der Liste der ausgestellten Token entfernt. 7.9.9.4 Lesen von Token/Smartcard-Daten All Sicherheitsbeauftragter können Sie die Daten auf dem Token mit der Benutzer-PIN lesen. Voraussetzung: Der Token muss eingesteckt sein. Die PIN muss dem Sicherheitsbeauftragten bekannt sein. Oder sie muss initialisiert sein (siehe Initialisieren der Benutzer-PIN (Seite 315). Sie benötigen die Zugriffsrechte Schreibgeschützt oder Voller Zugriff für den relevanten Benutzer. 1. Klicken Sie im SafeGuard Management Center auf Token. 2. Wählen Sie links im Navigationsbereich unter Token Slots den gewünschten Token und wählen Sie die Registerkarte Anmeldeinformationen und Zertifikate aus. 3. Klicken Sie auf das Symbol Anmeldeinformationen des Benutzers abrufen und geben Sie die Benutzer-PIN für den Token ein. Die Daten, die sich auf dem Token befinden, werden angezeigt. 7.10 Planen von Tasks Das SafeGuard Management Center bietet den Taskplaner für das Erstellen und Planen von auf Skripten basierenden Tasks, die in regelmäßigen Abständen ausgeführt werden. Auf dem SafeGuard Enterprise Server startet ein Service die Tasks automatisch zur Ausführung der angegebenen Skripte. Periodische Tasks sind z. B. nützlich für ■ die automatische Synchronisierung zwischen dem Active Directory und SafeGuard Enterprise. ■ das automatische Löschen von protokollierten Ereignissen. Für diese beiden Vorgänge stehen in SafeGuard Enterprise vordefinierte Skripte zur Verfügung. Sie können diese Skripte unverändert verwenden oder Ihren Anforderungen anpassen. Weitere Informationen finden Sie unter Vordefinierte Skripte für regelmäßig wiederkehrende Tasks (Seite 324). Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie Skripte, Regeln und zeitliche Intervalle für die Tasks im Taskplaner definieren. Hinweis: Stellen Sie sicher, dass für das Konto, das für die Verwendung des SafeGuard Enterprise Taskplaners benutzt wird, die geeigneten SQL-Berechtigungen eingestellt sind. Weitere Informationen hierzu finden Sie in unserer Wissensdatenbank: http://www.sophos.com/de-de/support/knowledgebase/113582.aspx. 318 Administratorhilfe Hinweis: Die API kann nicht mehrere Tasks gleichzeitig verarbeiten. Wenn Sie mehrere Konten pro Task verwenden, führt dies zu Datenbankzugriffsverletzungen. 7.10.1 Erstellen eines neuen Tasks Um Tasks im Taskplaner zu erstellen, benötigen Sie die Sicherheitsbeauftragtenrechte Taskplaner benutzen und Tasks verwalten. 1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner. Der Dialog Taskplaner wird angezeigt. 2. Klicken Sie auf die Schaltfläche Erzeugen... Der Dialog Neuer Task wird angezeigt. 3. Geben Sie im Feld Name einen eindeutigen Namen für den Task ein. Ist der Task-Name nicht eindeutig, so wird eine Warnungsmeldung angezeigt, wenn Sie auf OK klicken, um den Task zu speichern. 4. Wählen Sie aus der Dropdownliste des Felds SGN Server den Server, auf dem der Task laufen soll. Die Dropdownliste zeigt nur Server, für die die Skript-Ausführung erlaubt ist. Sie können die Skript-Ausführung für einen bestimmten Server als erlaubt definieren, wenn Sie diesen mit der Funktion Konfigurationspakete im SafeGuard Management Center registrieren. Weitere Informationen zum Registrieren von Servern finden Sie in der SafeGuard Enterprise Installationsanleitung. Wenn Sie Keiner auswählen, wird der Task nicht ausgeführt. 5. Klicken Sie auf die Dropdown-Schaltfläche Importieren... neben dem Feld Skript. Der Dialog Skript-Datei für den Import auswählen wird angezeigt. Hinweis: Im Verzeichnis Script Templates Ihrer SafeGuard Management Center Installation stehen zwei vordefinierte Skripte zur Verfügung. Der Dialog Skript-Datei für den Import auswählen zeigt automatisch dieses Verzeichnis an. Weitere Informationen finden Sie unter Vordefinierte Skripte für regelmäßig wiederkehrende Tasks (Seite 324). Mit dem Taskplaner können Sie Skripte importieren, exportieren und bearbeiten. Weitere Informationen finden Sie unter Mit Skripten im Task Scheduler arbeiten (Seite 323). 6. Wählen Sie das Skript aus, das mit dem Task ausgeführt werden soll, und klicken Sie auf OK. Wenn das ausgewählte Skript leer ist, bleibt die Schaltfläche OK im Dialog deaktiviert. Außerdem wird ein Warnungssymbol angezeigt. 7. Geben Sie im Feld Startzeit an, wann der Task auf dem ausgewählten Server ausgeführt werden soll. Die Startzeit wird unter Anwendung der lokalen Zeit des Computers, auf dem das SafeGuard Management Center läuft, angegeben. Intern wird die Startzeit als Coordinated Universal Time (UTC) gespeichert. Dadurch können Tasks auch dann exakt zur gleichen Zeit ausgeführt werden, wenn sich Server in unterschiedlichen Zeitzonen befinden. Alle Server verwenden die aktuelle Zeit des Datenbankservers für das Starten von Tasks. Zur Optimierung der Task-Überwachung wird die Datenbankreferenzzeit im Taskplaner Dialog angezeigt. 319 SafeGuard Enterprise 8. Geben Sie im Feld Wiederholung an, wie oft der Task auf dem ausgewählten Server ausgeführt werden soll. ■ Um den Task einmal auszuführen, wählen Sie Einmal und geben Sie das gewünschte Datum an. ■ Um den Task täglich auszuführen, wählen Sie Täglich und dann Jeden Tag (inklusive Samstag und Sonntag) oder Jeden Wochentag (Montag - Freitag). ■ Um den Task wöchentlich auszuführen, wählen Sie Wöchentlich und geben Sie den gewünschten Tag in der Woche an. ■ Um den Task monatlich auszuführen, wählen Sie Monatlich und geben Sie den gewünschten Tag im Monat aus einem Bereich von 1 bis 31 an. Um den Task am letzten Tag des Monats auszuführen, wählen Sie Letzter aus der Dropdownliste. Wenn Sie alle obligatorischen Felder ausgefüllt haben, wird die Schaltfläche OK aktiv. 9. Klicken Sie auf OK. Der Task wird in der Datenbank gespeichert und in der Taskplaner Übersicht angezeigt. Er wird gemäß dem angegebenen Plan auf dem ausgewählten Server ausgeführt. 7.10.2 Die Taskplaner-Übersichtanzeige Nachdem Sie Tasks zur Ausführung auf einem SafeGuard Enterprise Server erstellt haben, werden diese im Dialog Taskplaner angezeigt, den Sie über Extras > Taskplaner öffnen. Dieser Dialog zeigt die folgenden Spalten für die einzelnen Tasks: Spalte Beschreibung Task-Name Zeigt den eindeutigen Task-Namen. SGN Server Gibt an, auf welchem Server der Task ausgeführt wird. Geplante Ausführung Zeigt den für den Task definierten Zeitplan inklusive Wiederholung und Zeit. Nächste Ausführung Zeigt an, wann der Task zum nächsten Mal ausgeführt wird (Datum und Uhrzeit). Wenn für diesen Task keine weiteren Ausführungen vorgesehen sind, wird in dieser Spalte Keine angezeigt. Letzte Ausführung Zeigt an, wann der Task zum letzten mal ausgeführt wurde (Datum und Uhrzeit). Wurde der Task noch nicht ausgeführt, so wird in dieser Spalte Keine angezeigt. Ergebnis der letzten Ausführung Zeigt das Ergebnis der letzten Task-Ausführung: Erfolgreich Das dem Task zugeordnete Skript wurde erfolgreich ausgeführt. 320 Administratorhilfe Spalte Beschreibung Fehlgeschlagen Der Task konnte nicht ausgeführt werden. Falls verfügbar, wird eine Fehlernummer angezeigt. Läuft Das Skript läuft derzeit. Unzureichende Berechtigung Der Task ist aufgrund von unzureichender Berechtigung für die Skript-Ausführung fehlgeschlagen. Abgebrochen Die Task-Ausführung wurde abgebrochen, da die Zeitdauer 24 Stunden überschritten hat. Steuerung nicht möglich Die Steuerung der Ausführung des Skripts, das dem Task zugeordnet ist, war nicht möglich. Ein möglicher Grund hierfür ist z. B., dass der SGN Scheduler Service gestoppt wurde. Beschädigtes Skript Das auszuführende Skript ist beschädigt. Skript inzwischen gelöscht Während sich der Task in der Warteschlange für die Ausführung befand, wurde das Skript aus der SafeGuard Enterprise Datenbank entfernt. Runtime-Fehler Während der Verarbeitung des Scheduler Service ist ein Runtime-Fehler aufgetreten. Unterhalb der Spalten befinden sich folgende Schaltflächen: Schaltfläche Beschreibung Erzeugen... Klicken Sie auf diese Schaltfläche, um einen neuen Task zu erstellen. Löschen Klicken Sie auf diese Schaltfläche, um einen ausgewählten Task zu löschen. Eigenschaften Klicken Sie auf diese Schaltfläche, um den <Task-Name> Eigenschaften Dialog für einen ausgewählten Task anzuzeigen. In diesem Dialog können Sie den Task bearbeiten oder Skripte importieren, exportieren und bearbeiten. 321 SafeGuard Enterprise Schaltfläche Beschreibung Aktualisieren Klicken Sie auf diese Schaltfläche, um die Task-Liste im Taskplaner Dialog zu aktualisieren. Wenn ein Benutzer in der Zwischenzeit Tasks hinzugefügt oder gelöscht hat, wird die Task-Liste aktualisiert. Alle Server verwenden die aktuelle Zeit des Datenbankservers für das Starten von Tasks. Um eine bessere Überwachung von Tasks zu gewährleisten wird hier die Zeit des Datenbankservers angezeigt. Diese wird unter Benutzung der lokalen Zeitzone des Computers, auf dem das SafeGuard Management Center läuft, angegeben. 7.10.3 Bearbeiten von Tasks Um Tasks im Taskplaner zu bearbeiten, benötigen Sie die Sicherheitsbeauftragtenrechte Taskplaner benutzen und Tasks verwalten. 1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner. Der Dialog Taskplaner mit einer Übersicht über die geplanten Tasks wird angezeigt. 2. Wählen Sie den gewünschten Task und klicken Sie auf die Schaltfläche Eigenschaften. Der <Task-Name> Eigenschaften Dialog mit den Eigenschaften des ausgewählten Tasks wird angezeigt. 3. Nehmen Sie die gewünschten Änderungen vor. Hinweis: Der Task-Name muss eindeutig sein. Wenn Sie den Namen in einen bereits vorhandenen Task-Namen ändern, wird eine Fehlermeldung angezeigt. 4. Klicken Sie auf OK. Die Änderungen werden wirksam. 7.10.4 Löschen von Tasks Um Tasks aus dem Taskplaner zu entfernen, benötigen Sie die Sicherheitsbeauftragtenrechte Taskplaner benutzen und Tasks verwalten. 1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner. Der Dialog Taskplaner mit einer Übersicht über die geplanten Tasks wird angezeigt. 2. Wählen Sie den gewünschten Task aus. Die Schaltfläche Löschen wird aktiv. 3. Klicken Sie auf die Schaltfläche Löschen und bestätigen Sie, dass Sie den Task löschen möchten. Der Task wird aus der Übersicht des Taskplaner Dialogs entfernt und nicht mehr auf dem SafeGuard Enterprise Server ausgeführt. Hinweis: Wurde der Task in der Zwischenzeit gestartet, so wird er zwar aus dem Taskplaner Übersichtsdialog entfernt, jedoch noch komplett ausgeführt. 322 Administratorhilfe 7.10.5 Mit Skripten im Taskplaner arbeiten Mit dem Taskplaner können Sie Skripte importieren, bearbeiten und exportieren. Um mit Skripten im Taskplanerzu arbeiten, benötigen Sie die Sicherheitsbeauftragtenrechte Taskplaner benutzen und Tasks verwalten. 7.10.5.1 Import von Skripts Damit Sie ein Skript für die Ausführung mit einem Task angeben können, müssen Sie es importieren. Sie können das Skript beim Erstellen eines neuen Tasks importieren. Sie können auch Skripts für bereits vorhandene Tasks importieren. 1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner. Der Dialog Taskplaner mit einer Übersicht über die geplanten Tasks wird angezeigt. 2. Wählen Sie den gewünschten Task und klicken Sie auf die Schaltfläche Eigenschaften. Der <Task-Name> Eigenschaften Dialog mit den Eigenschaften des ausgewählten Tasks wird angezeigt. 3. Klicken Sie auf die Dropdown-Schaltfläche Importieren... neben dem Feld Skript. Der Dialog Skript-Datei für den Import auswählen wird angezeigt. Hinweis: Im Verzeichnis Script Templates Ihrer SafeGuard Management Center Installation stehen zwei vordefinierte Skripte zur Verfügung. Der Dialog Skript-Datei für den Import auswählen zeigt automatisch dieses Verzeichnis an. Weitere Informationen finden Sie unter Vordefinierte Skripte für regelmäßig wiederkehrende Tasks (Seite 324). 4. Wählen Sie das zu importierende Skript aus und klicken Sie auf OK. Der Skript-Name wird im Feld Skript angezeigt. 5. Klicken Sie auf OK. Wenn das Skript bereits importiert wurde, werden Sie aufgefordert zu bestätigen, dass das alte Skript überschrieben werden soll. Wenn die Größe der zu importierenden Datei 10 MB überschreitet, wird eine Fehlermeldung angezeigt und der Importvorgang wird zurückgewiesen. Das Skript wird in der Datenbank gespeichert. 7.10.5.2 Bearbeiten von Skripten 1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner. Der Dialog Taskplaner mit einer Übersicht über die geplanten Tasks wird angezeigt. 2. Wählen Sie den gewünschten Task und klicken Sie auf die Schaltfläche Eigenschaften. Der <Task-Name> Eigenschaften Dialog mit den Eigenschaften des ausgewählten Tasks wird angezeigt. 3. Klicken Sie auf die Dropdown-Schaltfläche Bearbeiten neben dem Feld Skript. Die Dropdownliste zeigt alle Editor-Programme, die für die Bearbeitung des Skripts zur Verfügung stehen. 323 SafeGuard Enterprise 4. Wählen Sie den Editor, den Sie verwenden möchten. Das Skript wird im ausgewählten Editor geöffnet. 5. Nehmen Sie Ihre Änderungen vor und speichern Sie sie. Der Editor wird geschlossen und der Dialog <Task-Name> Eigenschaften wird wieder angezeigt. 6. Klicken Sie auf OK. Das geänderte Skript wird in der Datenbank gespeichert. 7.10.5.3 Export von Skripts 1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner. Der Dialog Taskplaner mit einer Übersicht über die geplanten Tasks wird angezeigt. 2. Wählen Sie den gewünschten Task und klicken Sie auf die Schaltfläche Eigenschaften. Der <Task-Name> Eigenschaften Dialog mit den Eigenschaften des ausgewählten Tasks wird angezeigt. 3. Klicken Sie auf die Schaltfläche Exportieren... neben dem Feld Skript. Ein Speichern unter Dialog wird angezeigt. 4. Wählen Sie den Speicherort zum Speichern des Skripts ein und klicken Sie auf Speichern. Das Skript wird am angegebenen Speicherort gespeichert. 7.10.5.4 Vordefinierte Skripte für periodische Tasks In SafeGuard Enterprise stehen folgende vordefinierte Skripte zur Verfügung: ■ ActiveDirectorySynchronization.vbs Verwenden Sie dieses Skript für die automatische Synchronisierung zwischen dem Active Directory und SafeGuard Enterprise. ■ EventLogDeletion.vbs Verwenden Sie dieses Skript, um protokollierte Ereignisse automatisch zu löschen. Die Skripte werden automatisch im Unterverzeichnis Script Templates der SafeGuard Management Center Installation installiert. Um diese Skripte für Tasks zu verwenden, importieren Sie sie in den Taskplaner und nehmen Sie vor der Anwendung die notwendigen Parameteränderungen vor. 7.10.5.4.1 Vordefiniertes Skript für die Active Directory Synchronisierung Sie haben die Möglichkeit, eine bestehende Organisationsstruktur über ein Active Directory in die SafeGuard Enterprise Datenbank zu importieren. Weitere Informationen finden Sie unter Importieren der Organisationsstruktur (Seite 278). Nach dem Importieren der Struktur können Sie einen periodischen Task für die automatische Synchronisierung zwischen dem Active Directory und SafeGuard Enterprise erstellen. Für diesen Task können Sie das vordefinierte Skript ActiveDirectorySynchronization.vbs verwenden. Das Skript synchronisiert alle vorhandenen Container in der SafeGuard Enterprise Datenbank mit einem Active Directory. 324 Administratorhilfe Bevor Sie das Skript in einem periodischen Task verwenden, können Sie folgende Parameter anpassen: Parameter Beschreibung logFileName Legen Sie den Ausgabepfad für die Skript-Protokolldatei fest. Dieser Parameter ist obligatorisch. Ist der Parameter leer oder ungültig, so kann die Synchronisierung nicht durchgeführt werden und es wird eine Fehlermeldung angezeigt. Standardmäßig ist dieser Parameter leer. Ist bereits eine Protokolldatei vorhanden, so werden neue Protokolle am Ende der Datei angehängt. synchronizeMembership Setzen Sie diesen Parameter auf 1, um auch Mitgliedschaften zu synchronisieren. Wenn dieser Parameter auf 0 gesetzt ist, werden die Mitgliedschaften nicht synchronisiert. Die Standardeinstellung ist 1. synchronizeAccountState Setzen Sie diesen Parameter auf 1, um auch den Benutzer Aktiv-Status zu synchronisieren. Wenn dieser Parameter auf 0 gesetzt ist, wird der Benutzer Aktiv-Status nicht synchronisiert. Die Standardeinstellung ist 0. Hinweis: Stellen Sie sicher, dass sie über die erforderlichen Zugriffsrechte für die Active Directory Synchronisierung verfügen und dass die notwendigen SQL Berechtigungen für das Konto, das für die Ausführung des SafeGuard Enterprise Taskplaners benutzt wird, eingestellt sind. Weitere Informationen finden Sie unter Zugriffsrechte für Sicherheitsbeauftragte und Import aus Active Directory (Seite 280). Für Informationen zum Einstellen der Active Directory Zugriffsrechte, siehe http://www.sophos.com/support/knowledgebase/107979.aspx. Für Informationen zum Einstellen der SQL-Berechtigungen, siehe http://www.sophos.com/de-de/support/knowledgebase/113582.aspx. Wenn die Rechte korrekt eingestellt sind, wenden Sie die Änderungen an und starten Sie den Dienst neu. Wechseln Sie auf den Server, der die SafeGuard Web-Seite hostet. Klicken Sie Start > Run > Services.msc, um die Services Oberfläche zu öffnen. Klicken Sie mit der rechten Maustaste auf SafeGuard® Scheduler Service und klicken Sie auf All Tasks > Restart. Hinweis: Wir empfehlen, dass Sie das Active Directory in einem vergleichsweise moderaten Abstand (maximal zweimal am Tag) synchronisieren, damit sich die Serverleistung nicht bedeutend verringert. Neue Objekte werden in diesen Abständen im SafeGuard Management Center unter .Autoregistered angezeigt. Hier können Sie wie üblich verwaltet werden. 7.10.5.4.2 Vordefiniertes Skript für das automatische Löschen von protokollierten Ereignissen Die in der SafeGuard Enterprise Datenbank protokollierten Ereignisse werden in der EVENT-Tabelle gespeichert. Weitere Informationen zur Protokollierung finden Sie unter Berichte (Seite 328). Mit dem Taskplaner können Sie einen periodischen Task für das automatische Löschen von protokollierten Ereignissen erstellen. Für diesen Task können Sie das vordefinierte Skript EventLogDeletion.vbs verwenden. Das Skript löscht Ereignisse aus der EVENT-Tabelle.Wenn Sie den entsprechenden Parameter einstellen, verschiebt das Skript auch die Ereignisse aus der EVENT-Tabelle in die Backup-Log-Tabelle EVENT_BACKUP. Dabei wird eine definierte Anzahl an neuesten Ereignissen in der EVENT-Tabelle belassen. 325 SafeGuard Enterprise Bevor Sie das Skript in einem periodischen Task verwenden, können Sie folgende Parameter anpassen: Parameter Beschreibung maxDuration Mit diesem Parameter legen Sie fest, wie lange (in Tagen) die Ereignisse in der EVENT-Tabelle verbleiben. Die Standardeinstellung ist 0. Wenn dieser Parameter auf 0 gesetzt ist, gibt es keine zeitliche Begrenzung für das Verbleiben der Ereignisse in der EVENT-Tabelle. maxCount Mit diesem Parameter legen Sie fest, wie viele Ereignisse in der EVENT-Tabelle verbleiben. Die Standardeinstellung ist 5000. Wenn dieser Parameter auf 0 gesetzt ist, gibt es keine maximale Anzahl an Ereignissen in der EVENT-Tabelle. keepBackup Mit diesem Parameter legen Sie fest, ob Ereignisse in der EVENT_BACKUP-Tabelle gesichert werden sollen. Die Standardeinstellung ist 0. Wenn dieser Parameter auf 0 gesetzt ist, werden die Ereignisse nicht gesichert. Setzen Sie diesen Parameter auf 1, um eine Sicherungskopie der gelöschten Ereignisse zu erstellen. Hinweis: Wenn Sie die Ereignisse über das Skript aus der EVENT-Tabelle in die Backup-Log-Tabelle verschieben, findet die Verkettung der Protokollierung keine Anwendung mehr. Es ist nicht sinnvoll, die Verkettung zu aktivieren und gleichzeitig die gespeicherte Prozedur zur Säuberung der EVENT-Tabelle einzusetzen. Weitere Informationen finden Sie unter Verkettung protokollierter Ereignisse (Seite 335). 7.10.6 Einschränkungen in Bezug auf registrierte Server Wenn Sie im SafeGuard Management Center mit der Funktion Konfigurationspakete Server registrieren, können Sie mit einem Maschinenzertifikat mehrere Server Templates registrieren. Sie können jedoch jeweils nur ein Template auf der realen Maschine installieren. Wenn Sie für beide Server das Kontrollkästchen Skripts ausführen erlaubt auswählen, zeigt der Taskplaner beide Server in der Dropdownliste SGN Server in den Dialogen Neuer Task und <Task-Name> Eigenschaften zur Auswahl an. Der Taskplaner kann nicht ermitteln, welches der beiden Templates auf der Maschine installiert wurde. Um dies zu vermeiden, wählen Sie das Kontrollkästchen Skript ausführen erlaubt für Templates, die nicht auf dem Server installiert sind, nicht aus. Vermeiden Sie außerdem eine Doppelung von Templates mit demselben Maschinenzertifikat. Weitere Informationen zum Registrieren von Servern finden Sie in der SafeGuard Enterprise Installationsanleitung. 7.10.7 Protokollierte Ereignisse für den Taskplaner Zur Ausführung von Tasks lassen sich Ereignisse protokollieren, die zum Beispiel bei der Fehlerbehebung nützliche Informationen liefern. Sie können festlegen, dass folgende Ereignisse protokolliert werden: ■ 326 Task erfolgreich ausgeführt Administratorhilfe ■ Task fehlgeschlagen ■ Service Thread wegen Ausführung gestoppt Die Ereignisse enthalten den Output der Skriptkonsole zur Unterstützung bei der Fehlerbehebung. Weitere Informationen zur Protokollierung finden Sie unter Berichte (Seite 328). 7.11 Auditing 7.11.1 Protokollierte Ereignisse für BitLocker Vom BitLocker Client gemeldete Ereignisse werden wie für alle anderen SafeGuard Enterprise Clients protokolliert. Dabei wird nicht explizit erwähnt, dass sich das Ereignis auf einen BitLocker Client bezieht. Die Berichte entsprechen den für jeden anderen SafeGuard Enterprise Client erzeugten Berichten. 7.11.2 Protokollierte Ereignisse für Benutzer, Computer oder Arbeitsgruppen Die erfolgreiche bzw. nicht erfolgreiche Registrierung eines Benutzers, Computers oder einer Arbeitsgruppe wird protokolliert. Sie können eine Liste dieser Ereignisse im SafeGuard Management Center unter Berichte in der Ereignisanzeige auflisten lassen. 7.11.3 Protokollierte Ereignisse für Service Account Listen Die in Zusammenhang mit Service Account Listen durchgeführten Aktionen werden über die folgenden Ereignisse protokolliert: SafeGuard Management Center ■ Service Account Liste <Name> angelegt. ■ Service Account Liste <Name> geändert. ■ Service Account Liste <Name> gelöscht. Durch SafeGuard Enterprise geschützte Endpoints ■ Windows-Benutzer <Domäne/Benutzer> hat sich um <Zeit> an Maschine <Domäne/Computer> als SGN Service Account angemeldet. ■ Neue Service Account Liste importiert. ■ Service Account Liste <Name> gelöscht. 7.11.4 Protokollierung des Dateizugriffs im Cloud-Speicher Mit der Funktion Berichte im SafeGuard Management Center lässt sich der Dateizugriff im Cloud-Speicher protokollieren (Datei-Tracking). Für Datei-Tracking spielt es keine Rolle, ob für die Dateien eine Verschlüsselungsrichtlinie gilt. In einer Richtlinie vom Typ Protokollierung können Sie Folgendes konfigurieren: ■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf einem Wechselmedium angelegt wird. 327 SafeGuard Enterprise ■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf einem Wechselmedium umbenannt wird. ■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf einem Wechselmedium gelöscht wird. Weitere Informationen finden Sie unter Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher (Seite 333). 7.11.5 Protokollierung des Dateizugriffs auf Wechselmedien Mit der Funktion Berichte des SafeGuard Management Center lässt sich der Dateizugriff auf Wechselmedien protokollieren (Datei-Tracking). Für Datei-Tracking spielt es keine Rolle, ob für Dateien auf Wechselmedien eine Verschlüsselungsrichtlinie gilt. In einer Richtlinie vom Typ Protokollierung können Sie Folgendes konfigurieren: ■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium angelegt wird. ■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium umbenannt wird. ■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis vom Wechselmedium gelöscht wird. Weitere Informationen finden Sie unter Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher (Seite 333). 7.11.6 Berichte Die Aufzeichnung sicherheitsrelevanter Vorfälle ist Voraussetzung für eine gründliche Systemanalyse. Anhand der protokollierten Ereignisse können Vorgänge auf einer Arbeitsstation bzw. innerhalb eines Netzwerks exakter nachvollzogen werden. Durch die Protokollierung lassen sich zum Beispiel Schutzverletzungen unautorisierter Dritter nachweisen. Dem Administrator bzw. Sicherheitsbeauftragten bietet die Protokollierung auch eine Hilfe, um irrtümlich verwehrte Benutzerrechte ausfindig zu machen und zu korrigieren. SafeGuard Enterprise protokolliert alle Aktivitäten und Statusinformationen der Endpoints sowie Administratoraktionen und sicherheitsrelevante Ereignisse und speichert diese zentral. Die Protokollierung zeichnet Ereignisse auf, die installierte SafeGuard Produkte auslösen. Die Art des Protokolls wird in Richtlinien vom Typ Protokollierung definiert. Hier legen Sie auch den fest, wo die protokollierten Ereignisse ausgegeben und gespeichert werden sollen: in der Windows-Ereignisanzeige des Endpoint oder in der SafeGuard Enterprise Datenbank. Als Sicherheitsbeauftragter mit den entsprechenden Rechten können Sie die im SafeGuard Management Center angezeigten Statusinformationen und Protokollberichte einsehen, ausdrucken und archivieren. Umfassende Sortier- und Filterfunktionen unterstützen Sie im SafeGuard Management Center bei der Auswahl relevanter Ereignisse aus den verfügbaren Informationen. Auch eine automatisierte Auswertung der Log-Datenbank, zum Beispiel über Crystal Reports oder Microsoft System Center Operations Manager, ist möglich. Die Protokolleinträge werden von SafeGuard Enterprise sowohl auf Client- als auch auf Server-Seite durch Signatur gegen unbefugte Manipulation geschützt. Gemäß der Protokollierungsrichtlinie können Ereignisse aus den folgenden Kategorien protokolliert werden: ■ 328 Authentisierung Administratorhilfe ■ Administration ■ System ■ Verschlüsselung ■ Client ■ Zugriffskontrolle ■ Für SafeGuard Data Exchange lässt sich der Dateizugriff auf Wechselmedien durch Protokollierung der relevanten Ereignisse verfolgen. Weitere Informationen zu diesem Berichtstyp finden Sie unter Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher (Seite 333). ■ Für SafeGuard Cloud Storage lässt sich der Zugriff auf Dateien in Ihrem Cloud-Speicher durch Protokollierung der relevanten Ereignisse verfolgen. Weitere Informationen zu diesem Berichtstyp finden Sie unter Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher (Seite 333). 7.11.6.1 Anwendungsgebiete Die SafeGuard Enterprise Protokollierung von Ereignissen ist eine benutzerfreundliche und umfassende Lösung zum Aufzeichnen und Auswerten von Ereignissen. Die folgenden Beispiele zeigen einige typische Anwendungsszenarien für SafeGuard Enterprise Berichte. 7.11.6.1.1 Zentrale Überwachung von Endpoints im Netzwerk Der Sicherheitsbeauftragte will regelmäßig über kritische Ereignisse (zum Beispiel Zugriff auf Dateien, für die ein Benutzer keine Berechtigung hat, oder eine Reihe von fehlgeschlagenen Anmeldeversuchen innerhalb eines bestimmten Zeitraums) informiert werden. Über eine Protokollierungsrichtlinie lässt sich die Protokollierung so konfigurieren, dass alle auf den relevanten Endpoints auftretenden sicherheitskritischen Ereignisse in einer lokalen Protokolldatei protokolliert. Nach Erreichen einer festgelegten Anzahl an Ereignissen wird die Protokolldatei über den SafeGuard Enterprise Server in die SafeGuard Enterprise Datenbank übertragen. In der Ereignisanzeige des SafeGuard Management Centers kann der Sicherheitsbeauftragte die Ereignisse abrufen, einsehen und analysieren. Somit lassen sich die Vorgänge auf den verschiedenen Endpoints kontrollieren, ohne dass Mitarbeiter Einfluss auf die Aufzeichnungen nehmen können. 7.11.6.1.2 Überwachen mobiler Benutzer Mobile Benutzer sind in der Regel nicht ständig mit dem Unternehmensnetzwerk verbunden. Ein Außendienstmitarbeiter nimmt zum Beispiel für einen Termin sein Notebook vom Netz. Sobald er sich wieder am Netzwerk anmeldet, werden die während der Offline-Zeit protokollierten SafeGuard Enterprise Ereignisse übertragen. Die Protokollierung liefert somit einen genauen Überblick über die Benutzeraktivitäten während der betreffende Computer nicht an das Netzwerk angeschlossen war. 7.11.6.2 Voraussetzung Ereignisse werden durch den SafeGuard Server verarbeitet. Wenn Sie auf Computern, auf denen kein SafeGuard Enterprise-Client installiert ist (SafeGuard Management Center-Computer oder der SafeGuard Enterprise Server selbst), Berichte aktivieren, müssen Sie sicherstellen, dass Ereignisse an den SafeGuard Enterprise Server gesendet werden. Sie müssen daher ein Client-Konfigurationspaket auf dem Computer installieren. Dadurch wird der Computer beim SafeGuard Enterprise Server als Client aktiviert und die Windows oder SafeGuard Enterprise Protokollierungsfunktionalität kann genutzt werden. 329 SafeGuard Enterprise Weitere Informationen zu Client-Konfigurationspaketen finden Sie unter Mit Konfigurationspaketen arbeiten (Seite 93). 7.11.6.3 Ziel für protokollierte Ereignisse Ziel der protokollierten Ereignisse kann die Windows-Ereignisanzeige oder die SafeGuard Enterprise Datenbank sein. In das jeweilige Ziel schreibt die Protokollierung nur Ereignisse, die mit einem SafeGuard-Produkt verknüpft sind. Die Ausgabeziele für zu protokollierende Ereignisse werden in der Protokollierungsrichtlinie festgelegt. 7.11.6.3.1 Windows-Ereignisanzeige Ereignisse, für die Sie in der Protokollierungsrichtlinie die Windows-Ereignisanzeige als Ziel festlegen, werden in der Windows-Ereignisanzeige abgelegt. Über die Windows-Ereignisanzeige lassen sich Protokolle für System-, Sicherheits- und Anwendungs-Ereignisse anzeigen und verwalten. Sie können diese Ereignisprotokolle auch speichern. Für diese Vorgänge benötigen Sie einen Administrator-Account für den jeweiligen Endpoint. In der Ereignisanzeige wird jeweils ein Fehlercode, kein beschreibender Text des Ereignisses, angezeigt. Hinweis: Eine Voraussetzung, um SafeGuard Enterprise Events in der Windows Ereignisanzeige sehen zu können, ist, dass ein Client config.msi am Endpoint installiert ist. Hinweis: Dieses Kapitel beschreibt das Einsehen sowie die Verwaltung und Analyse der Ereignisprotokolle im SafeGuard Management Center. Weitere Informationen zur Windows-Ereignisanzeige finden Sie in Ihrer Microsoft-Dokumentation. 7.11.6.3.2 SafeGuard Enterprise Datenbank Ereignisse, für die Sie in der Protokollierungsrichtlinie die SafeGuard Enterprise Datenbank als Ziel festlegen, werden in lokalen Protokolldateien im Local Cache des jeweiligen Endpoint im Verzeichnis auditing\SGMTranslog gesammelt. Diese Dateien werden an den Transportmechanismus übergeben, der sie dann über den SafeGuard Enterprise Server in die Datenbank einträgt. Die Übergabe erfolgt standardmäßig immer dann, wenn der Transportmechanismus erfolgreich eine Verbindung zum Server aufbauen konnte. Um die Größe einer Protokolldatei einzuschränken, können Sie in einer Richtlinie des Typs Allgemeine Einstellungen eine maximale Anzahl an Protokolleinträgen definieren. Die Protokolldatei wird dann vom Protokollsystem nach Erreichen der festgelegten Anzahl an Einträgen in die Transportqueue des SafeGuard Enterprise Servers gestellt. Die in der zentralen Datenbank protokollierten Ereignisse lassen sich in der SafeGuard Enterprise Ereignisanzeige oder in der Datei-Tracking-Anzeige abrufen. Für das Einsehen, Analysieren und Verwalten der in der Datenbank protokollierten Ereignisse benötigen Sie als Sicherheitsbeauftragter die relevanten Berechtigungen. 7.11.6.4 Konfigurieren von Einstellungen für die Protokollierung Die Definition von Berichten erfolgt über zwei Richtlinien: ■ Richtlinie des Typs Allgemeine Einstellungen In einer Richtlinie des Typs Allgemeine Einstellungen können Sie die Anzahl an protokollierten Ereignissen angeben, nach deren Erreichen die Protokolldatei mit den für die zentrale Datenbank bestimmten Ereignissen an die SafeGuard Enterprise Datenbank übermittelt werden soll. Dadurch wird die Größe der einzelnen zu übertragenden Protokolldateien begrenzt. Diese Einstellung ist optional. ■ 330 Richtlinie des Typs Protokollierung Administratorhilfe Die zu protokollierenden Ereignisse werden in der Protokollierungsrichtlinie definiert. Hier legen Sie als Sicherheitsbeauftragter mit den relevanten Berechtigungen fest, welche Ereignisse an welchem Ausgabeort protokolliert werden. 7.11.6.4.1 Festlegen der Anzahl an Ereignissen für Rückmeldung 1. Klicken Sie im SafeGuard Management Center auf Richtlinien. 2. Legen Sie eine neue Richtlinie des Typs Allgemeine Einstellung an oder wählen Sie eine bereits bestehende Richtlinie aus. 3. Legen Sie im Feld Rückmeldung nach Anzahl von Ereignissen unter Protokollierung die maximale Anzahl an Ereignissen pro Protokolldatei fest 4. Speichern Sie Ihre Einstellungen. Nach dem Zuweisen der Richtlinie gilt die angegebene Anzahl an Ereignissen. 7.11.6.4.2 Auswahl von Ereignissen 1. Klicken Sie im SafeGuard Management Center auf Richtlinien. 2. Legen Sie eine neue Richtlinie des Typs Protokollierung an oder wählen Sie eine bereits bestehende Richtlinie aus. Im rechten Aktionsbereich unter Protokollierung werden die vordefinierten Ereignisse, die protokolliert werden können, angezeigt. Standardmäßig werden Ereignisse nach Ebene gruppiert, zum Beispiel Warnung oder Fehler. Sie können die Gruppierung jedoch ändern. Ein Klick auf die Spaltenüberschrift sortiert die Ereignisse nach ID, Kategorie usw. 3. Um festzulegen, dass ein Ereignis in der SafeGuard Enterprise Datenbank protokolliert werden soll, wählen Sie das Ereignis in der Spalte mit dem Datenbanksymbol Ereignisse in der Datenbank protokollieren durch Klicken mit der Maus aus. Für Ereignisse, die in der Windows-Ereignisanzeige protokolliert werden sollen, klicken Sie in der Spalte mit dem Ereignisprotokollsymbol Im Ereignisprotokoll protokollieren. Durch wiederholtes Klicken lässt sich die Markierung wieder aufheben oder auf null setzen. Für Ereignisse, für die Sie keine Einstellung festlegen, gelten die vordefinierten Standardwerte. 4. Bei den für die Protokollierung ausgewählten Ereignissen wird in der betreffenden Spalte ein grünes Häkchen angezeigt. Speichern Sie Ihre Einstellungen. Nach der Zuweisung der Richtlinie werden die ausgewählten Ereignisse am festgelegten Ausgabeziel protokolliert. Hinweis: Eine Auflistung aller für die Protokollierung auswählbaren Ereignisse finden Sie unter Für Berichte auswählbare Ereignisse (Seite 339). 7.11.6.5 Einsehen von protokollierten Ereignissen Wenn Sie als Sicherheitsbeauftragter über die entsprechenden Berechtigungen verfügen, können Sie die in der zentralen Datenbank protokollierten Ereignisse in der SafeGuard Management Center Ereignisanzeige einsehen. So rufen Sie in der zentralen Datenbank protokollierte Ereignisse ab: 1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die Schaltfläche Berichte. 2. Markieren Sie im Berichte Navigationsbereich den Eintrag Ereignisanzeige. 3. Klicken Sie im rechten Fensterbereich Ereignisanzeige auf das Lupensymbol. Alle in der zentralen Datenbank protokollierten Ereignisse werden in der Ereignisanzeige angezeigt. 331 SafeGuard Enterprise Die einzelnen Spalten zeigen folgende Informationen zu den protokollierten Ereignissen: Spalte Beschreibung ID Zeigt eine Nummer zur Identifizierung des Ereignisses. Ereignis Zeigt den Ereignistext, d.h. eine Beschreibung des Ereignisses. Kategorie Zeigt die Klassifizierung des Ereignisses durch die Quelle, z. B.:Verschlüsselung, Anmeldung, System. Anwendung Zeigt den Bereich der Software, der das Ereignis übermittelt hat, z. B. SGMAuth, SGBaseENc, SGMAS. Computer Zeigt den Namen des Computers, auf dem das protokollierte Ereignis aufgetreten ist. Computerdomäne Zeigt die Domäne des Computers, auf dem das protokollierte Ereignis aufgetreten ist. Benutzer Zeigt den Benutzer, der beim Auftreten des Ereignisses angemeldet war. Benutzerdomäne Zeigt die Domäne des Benutzers, der beim Auftreten des Ereignisses angemeldet war. Zeitpunkt der Protokollierung Zeigt Systemdatum und Systemuhrzeit der Protokollierung des Ereignisses auf dem Endpoint. Durch Klicken auf den Spalten-Header lässt sich die Ereignisanzeige nach Ebene, Kategorie usw. sortieren. Darüber hinaus steht über das Kontextmenü der einzelnen Spalten eine Reihe von Funktionen für die Sortierung, Gruppierung und Anpassung der Ereignisanzeige zur Verfügung. Wenn Sie auf einen Eintrag in der Ereignisanzeige doppelklicken, werden Details zum protokollierten Ereignis angezeigt. 7.11.6.5.1 Filtern der SafeGuard Enterprise Ereignisanzeige Das SafeGuard Management Center bietet umfassende Filterfunktionen. Mit diesen Funktionen können Sie die jeweils relevanten Ereignisse schnell aus Fülle der in der Ereignisanzeige dargestellten Informationen ermitteln. Im Filter-Bereich der Ereignisanzeige stehen folgende Felder für die Definition von Filtern zur Verfügung: 332 Feld Beschreibung Kategorien Unter Anwendung dieses Felds lässt sich die Ereignisanzeige nach den in der Spalte Kategorie angegebenen Klassifizierungen durch die Quelle (zum Beispiel Verschlüsselung, Anmeldung, Administratorhilfe Feld Beschreibung System) filtern. Wählen Sie hierzu die gewünschten Kategorien in der Dropdownliste des Felds aus. Fehlerstufe Unter Anwendung dieses Felds lässt sich die Ereignisanzeige nach den in der Spalte Ebene angegebenen Windows-Ereignisklassifizierungen (z. B. Warnung, Fehler) filtern. Wählen Sie hierzu die gewünschten Ebenen in der Dropdownliste des Felds aus. Zeige letzte In diesem Feld können Sie die Anzahl der anzuzeigenden Ereignisse festlegen. Es werden jeweils die zuletzt protokollierten Ereignisse (standardmäßig die 100 letzten Ereignisse) angezeigt. Darüber hinaus können Sie mit dem Filter-Editor benutzerdefinierte Filter erstellen. Der Filter-Editor lässt sich über das Kontextmenü der einzelnen Berichtsspalten aufrufen. Im Fenster Filterdefinition können Sie eigene Filter definieren und auf die jeweilige Spalte anwenden. 7.11.6.6 Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher Bei SafeGuard Data Exchange und SafeGuard Cloud Storage lässt sich der Zugriff auf Dateien auf Wechselmedien oder in Ihrem Cloud-Speicher protokollieren. Unabhängig davon, ob eine Verschlüsselungsrichtlinie für Dateien auf Wechselmedien oder Cloud-Speicher gilt, lassen sich Ereignisse für folgende Aktionen protokollieren: Auf einem Wechselmedium oder im Cloud-Speicher wird eine Datei oder ein Verzeichnis angelegt. Auf einem Wechselmedium oder im Cloud-Speicher wird eine Datei oder ein Verzeichnis umbenannt. Auf einem Wechselmedium oder im Cloud-Speicher wird eine Datei oder ein Verzeichnis gelöscht. Sie können die Events für den Dateizugriff in der Windows Ereignisanzeige oder in der SafeGuard Enterprise Datei-Tracking-Anzeige einsehen, je nachdem, welches Ziel Sie bei der Definition der Protokollierungsrichtlinie angeben. 7.11.6.6.1 Konfigurieren von Datei-Tracking 1. Klicken Sie im SafeGuard Management Center auf Richtlinien. 2. Legen Sie eine neue Richtlinie des Typs Protokollierung an oder wählen Sie eine bereits bestehende Richtlinie aus. Im rechten Aktionsbereich unter Protokollierung werden die vordefinierten Ereignisse, die protokolliert werden können, angezeigt. Ein Klick auf die Spaltenüberschrift sortiert die Ereignisse nach ID, Kategorie usw. 333 SafeGuard Enterprise 3. Um die Protokollierung des Dateizugriffs zu aktivieren, wählen Sie je nach Anforderung die folgenden Ereignisse: ■ ■ Für Dateien, die auf Wechselmedien gespeichert sind: ■ ID 3020 Datei-Tracking für Wechselmedien: Eine Datei wurde erstellt. ■ ID 3021 Datei-Tracking für Wechselmedien: Eine Datei wurde umbenannt. ■ ID 3022 Datei-Tracking für Wechselmedien: Eine Datei wurde gelöscht. Für Dateien, die im Cloud-Speicher gespeichert sind: ■ ID 3025 Datei-Tracking für Cloud-Speicher: Eine Datei wurde erstellt. ■ ID 3026 Datei-Tracking für Cloud-Speicher: Eine Datei wurde umbenannt. ■ ID 3027 Datei-Tracking für Cloud-Speicher: Eine Datei wurde gelöscht. Um festzulegen, dass ein Ereignis in der SafeGuard Enterprise Datenbank protokolliert werden soll, wählen Sie das Ereignis in der Spalte mit dem Datenbanksymbol Ereignisse in der Datenbank protokollieren durch Klicken mit der Maus aus. Für Ereignisse, die in der Windows-Ereignisanzeige protokolliert werden sollen, klicken Sie in der Spalte mit dem Ereignisprotokollsymbol Im Ereignisprotokoll protokollieren. Bei den für die Protokollierung ausgewählten Ereignissen wird in der betreffenden Spalte ein grünes Häkchen angezeigt. 4. Speichern Sie Ihre Einstellungen. Nach dem Zuweisen der Richtlinie ist Datei-Tracking aktiviert und die ausgewählten Ereignisse werden am ausgewählten Zielort protokolliert. Hinweis: Beachten Sie, dass sich durch das Aktivieren von Datei-Tracking die Serverlast erheblich erhöht. 7.11.6.6.2 Einsehen von Datei-Tracking-Ereignissen Um Datei-Tracking-Protokolle einzusehen, benötigen Sie das Recht Datei-Tracking-Ereignisse anzeigen. 1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die Schaltfläche Berichte. 2. Markieren Sie im Berichte Navigationsbereich den Eintrag Datei-Tracking-Anzeige. 3. Klicken Sie im Aktionsbereich der Datei-Tracking-Anzeige auf der rechten Seite auf das Lupensymbol. Alle in der zentralen Datenbank protokollierten Ereignisse werden in der Datei-Tracking-Anzeige angezeigt. Die Ansicht ist mit der Ansicht der Ereignisanzeige identisch. Weitere Informationen finden Sie unter Einsehen von protokollierten Ereignissen (Seite 331). 7.11.6.7 Drucken von Berichten Die in der SafeGuard Management Center Ereignisanzeige oder in der Datei-Tracking-Anzeige angezeigten Ereignisberichte lassen sich über das Datei Menü in der Menüleiste des SafeGuard Management Center drucken. ■ 334 Um vor dem Drucken eine Druckvorschau zu erstellen, wählen Sie Datei > Druckvorschau. In der Druckvorschau stehen verschiedene Funktionen, zum Beispiel für den Export des Administratorhilfe Dokuments in eine Reihe von Ausgabeformaten (zum Beispiel .PDF) oder die Bearbeitung des Seitenlayouts (zum Beispiel Kopf- und Fußzeile), zur Verfügung. ■ Um das Dokument sofort zu drucken, wählen Sie Datei > Drucken. 7.11.6.8 Verkettung von protokollierten Ereignissen Die für die zentrale Datenbank bestimmten Ereignisse werden in der EVENT-Tabelle der SafeGuard Enterprise Datenbank protokolliert. Auf diese Tabelle kann ein spezieller Integritätsschutz angewendet werden. Die Ereignisse lassen sich als verkettete Liste in der EVENT-Tabelle protokollieren. Durch die Verkettung ist ein Eintrag in der Liste jeweils von seinem Vorgängereintrag abhängig. Wird ein Eintrag aus der Liste entfernt, so ist dies sichtbar und über eine Integritätsprüfung nachweisbar. Zur Optimierung der Performance ist die Verkettung der Ereignisse in der EVENT-Tabelle standardmäßig deaktiviert. Sie können zur Überprüfung der Integrität der protokollierten Ereignisse die Verkettung aktivieren (siehe Überprüfen der Integrität der protokollierten Ereignisse (Seite 335)). Hinweis: Wenn die Verkettung von protokollierten Ereignissen deaktiviert ist, gilt kein spezieller Integritätsschutz für die EVENT-Tabelle. Hinweis: Zu viele Events können zu Performanceproblemen führen. Weitere Informationen über die Vermeidung von Performanceproblemen durch Löschen von Ereignissen finden Sie unter Regelmäßiges Löschen von Ereignissen per Skript (Seite 336). 7.11.6.8.1 Aktivieren der Verkettung protokollierter Ereignisse 1. Stoppen Sie den Webservice SGNSRV auf dem Web Server. 2. Löschen Sie alle Ereignisse aus der Datenbank und erstellen Sie während des Löschvorgangs eine Sicherungskopie (siehe Löschen ausgewählter oder aller Ereignisse (Seite 336)). Hinweis: Wenn Sie die alten Ereignisse nicht aus der Datenbank löschen, funktioniert die Verkettung nicht, da für die verbleibenden alten Ereignisse die Verkettung nicht aktiviert war. 3. Setzen Sie folgenden Registry Key auf 0 oder löschen Sie ihn: HKEY_LOCAL_MACHINE\SOFTWARE\Utimaco\SafeGuard Enterprise DWORD: DisableLogEventChaining = 0 4. Starten Sie den Webservice neu. Die Verkettung ist wieder aktiviert. Hinweis: Um die Verkettung wieder zu deaktivieren, setzen Sie den Registry Key auf 1. 7.11.6.9 Prüfen der Integrität protokollierter Ereignisse Voraussetzung: Für die Überprüfung der Integrität von protokollierten Ereignissen muss die Verkettung der Ereignisse in der EVENT-Tabelle aktiviert sein. 1. Klicken Sie im SafeGuard Management Center auf Berichte. 2. Wählen Sie in der SafeGuard Management Center Menüleiste Aktionen > Integrität prüfen. Eine Meldung liefert die Informationen zur Integrität der protokollierten Ereignisse. Hinweis: Ist die Verkettung von Ereignissen deaktiviert, so wird ein Fehler ausgegeben. 335 SafeGuard Enterprise 7.11.6.10 Löschen ausgewählter oder aller Ereignisse 1. Klicken Sie im SafeGuard Management Center auf Berichte. 2. Markieren Sie in der Ereignisanzeige die Ereignisse, die gelöscht werden sollen. 3. Um ausgewählte Ereignisse zu löschen, wählen Sie in der SafeGuard Management Center Menüleiste Aktionen > Ereignisse löschen oder klicken Sie in der Symbolleiste auf das Symbol Ausgewählte Ereignisse löschen. Um alle Ereignisse zu löschen, wählen Sie in der SafeGuard Management Center Menüleiste Aktionen > Alle Ereignisse löschen oder klicken Sie in der Symbolleiste auf das Symbol Alle Ereignisse löschen. 4. Vor dem Löschen der ausgewählten Ereignisse wird das Fenster Ereignisse sichern als zum Erstellen einer Sicherungsdatei angezeigt (siehe Erstellen einer Sicherungsdatei (Seite 336)). Die ausgewählten Ereignisse werden aus dem Ereignisprotokoll gelöscht. 7.11.6.11 Erstellen einer Sicherungsdatei Sicherungsdateien von den in der Ereignisanzeige angezeigten Berichten lassen sich im Rahmen des Löschvorgangs erstellen. 1. Wenn Sie Aktionen > Ereignisse löschen oder Aktionen > Alle Ereignisse löschen wählen, wird vor dem Löschen der Ereignisse das Fenster Ereignisse sichern als zur Erstellung einer Sicherungsdatei angezeigt. 2. Um eine Sicherung des Ereignisprotokolls in Form einer XML-Datei zu erstellen, geben Sie einen Dateinamen und einen Speicherort an und klicken Sie auf OK. 7.11.6.12 Öffnen einer Sicherungsdatei 1. Klicken Sie im SafeGuard Management Center auf Berichte. 2. Wählen Sie in der SafeGuard Management Center Menüleiste Aktionen > Sicherungsdatei öffnen. Das Fenster Sicherung öffnen wird angezeigt. 3. Wählen Sie die zu öffnende Sicherungsdatei aus und klicken Sie auf Öffnen. Die Sicherungsdatei wird geöffnet und die Ereignisse werden in der Ereignisanzeige angezeigt. Um wieder zur regulären Ansicht der Ereignisanzeige zurückzukehren, klicken Sie erneut auf das Symbol Sicherungsdatei öffnen in der Symbolleiste. 7.11.6.13 Regelmäßige Säuberung der EVENT-Tabelle über Skript Hinweis: Das SafeGuard Management Center bietet den Taskplaner für das Erstellen und Planen von auf Skripten basierenden Tasks, die in regelmäßigen Abständen ausgeführt werden. Auf dem SafeGuard Enterprise Server startet ein Service die Tasks automatisch zur Ausführung der angegebenen Skripte. Für die automatische und effiziente Säuberung der EVENT-Tabelle stehen im \tools Verzeichnis Ihrer SafeGuard Enterprise Software-Lieferung vier SQL Skripte zur Verfügung: 336 ■ spShrinkEventTable_install.sql ■ ScheduledShrinkEventTable_install.sql ■ spShrinkEventTable_uninstall.sql ■ ScheduledShrinkEventTable_uninstall.sql Administratorhilfe Die beiden Skripte spShrinkEventTable_install.sql und ScheduledShrinkEventTable_install.sql installieren eine gespeicherte Prozedur sowie den Scheduled Job auf dem Datenbank-Server. Der Scheduled Job führt die gespeicherte Prozedur in festgelegten, regelmäßigen Abständen aus. Die gespeicherte Prozedur verschiebt Ereignisse aus der EVENT-Tabelle in die Backup-Log-Tabelle EVENT_BACKUP. Dabei wird eine definierte Anzahl an neuesten Ereignissen in der EVENT-Tabelle belassen. Die beiden Skripte spShrinkEventTable_uninstall.sql und ScheduledShrinkEventTable_uninstall.sql deinstallieren die gespeicherte Prozedur sowie den Scheduled Job. Diese beiden Skripte löschen auch die EVENT_BACKUP Tabelle. Hinweis: Wenn Sie die Ereignisse über die gespeicherte Prozedur aus der EVENT-Tabelle in die Backup-Log-Tabelle verschieben, findet die Verkettung der Protokollierung keine Anwendung mehr. Es ist nicht sinnvoll, die Verkettung zu aktivieren und gleichzeitig die gespeicherte Prozedur zur Säuberung der EVENT-Tabelle einzusetzen. Weitere Informationen finden Sie unter Verkettung protokollierter Ereignisse (Seite 335). 7.11.6.13.1 Erstellen der gespeicherten Prozedur Das Skript spShrinkEventTable_install.sql erstellt eine gespeicherte Prozedur, die Daten aus der EVENT-Tabelle in eine Backup-Log-Tabelle mit dem Namen EVENT_BACKUP verschiebt. Wenn die Tabelle EVENT_BACKUP noch nicht vorhanden ist, wird sie automatisch erstellt. Die erste Zeile lautet „USE SafeGuard“. Wenn Sie für Ihre SafeGuard Enterprise Datenbank einen anderen Namen als „SafeGuard“ verwendet haben, ändern Sie den Namen hier entsprechend. Die gespeicherte Prozedur belässt die <n> neuesten Ereignisse in der EVENT-Tabelle und verschiebt den Rest in die Tabelle EVENT_BACKUP. Die Anzahl an Ereignissen, die in der EVENT-Tabelle verbleiben sollen, wird über einen Parameter festgelegt. Um die gespeicherte Prozedur auszuführen, verwenden Sie folgenden Befehl in SQL Server Management Studio (New Query): exec spShrinkEventTable 1000 Bei Verwendung dieses Beispielbefehls werden alle Ereignisse außer den neuesten 1000 verschoben. 7.11.6.13.2 Anlegen eines Scheduled Job für die Ausführung der gespeicherten Prozedur Um die EVENT-Tabelle in regelmäßigen Abständen automatisch zu säubern, können Sie einen Job am SQL Server anlegen. Dieser Job kann über das Skript ScheduledShrinkEventTable_install.sql oder über den SQL Enterprise Manager erstellt werden. Hinweis: Der Job funktioniert nicht bei SQL Express Datenbanken. Damit der Job ausgeführt werden kann, muss der SQL Server Agent laufen. Da bei SQL Server Express Installation kein SQL Server Agent vorhanden ist, werden Jobs hier nicht unterstützt. ■ Der Skript-Teil muss in der msdb ausgeführt werden. Wenn Sie für Ihre SafeGuard Enterprise Datenbank einen anderen Namen als SafeGuard ausgewählt haben, ändern Sie den Namen entsprechend. /* Default: Database name 'SafeGuard' change if required*/ SELECT @SafeGuardDataBase='SafeGuard' ■ Sie können auch die Anzahl an Ereignissen festlegen, die in der EVENT-Tabelle verbleiben sollen. Die Standardeinstellung ist 100.000. 337 SafeGuard Enterprise /* Default: keep the latest 100000 events, change if required*/ SELECT @ShrinkCommand='exec spShrinkEventTable 100000' ■ Sie können festlegen, ob die Ausführung des Jobs im NT Event Log protokolliert werden soll. exec sp_add_job @job_name='AutoShrinkEventTable', @enabled=1, @notify_level_eventlog=3 Für den Parameter notify_level_eventlog sind folgende Werte verfügbar: ■ Wert Ergebnis 3 Jede Ausführung des Jobs protokollieren. 2 Fehlschlagen des Jobs protokollieren. 1 Erfolgreiche Ausführung des Jobs protokollieren. 0 Ausführung des Jobs nicht im NT Event Log protokollieren. Sie können festlegen, wie oft die Ausführung des Jobs im Fall eines Fehlschlags wiederholt werden soll. exec sp_add_jobstep ■ @retry_attempts=3 Dieses Beispiel legt 3 Versuche für die Ausführung des Jobs im Fall eines Fehlschlags fest. ■ @retry_interval=60 Dieses Beispiel legt fest, dass die Ausführung des Jobs in einem Abstand von 60 Minuten wiederholt werden soll. ■ Sie können einen Zeitplan für die Ausführung des Jobs festlegen. exec sp_add_jobschedule ■ @freq_type=4 Dieses Beispiel legt fest, dass der Job täglich ausgeführt wird. ■ @freq_interval=1 Dieses Beispiel legt fest, dass der Job einmal pro Tag ausgeführt wird. ■ @active_start_time=010000 Dieses Beispiel legt fest, dass der Job um 01:00 Uhr ausgeführt wird. 338 Administratorhilfe Hinweis: Neben den oben angeführten Beispielwerten lässt sich noch eine Vielzahl von verschiedenen Zeitplanoptionen mit sp_add-jobschedule definieren. So lässt sich der Job zum Beispiel alle zwei Minuten oder nur einmal pro Woche ausführen. Weitere Informationen hierzu finden Sie in der Microsoft Transact SQL Dokumentation. 7.11.6.13.3 Löschen der gespeicherten Prozeduren, Jobs und Tabellen Das Skript spShrinkEventTable_uninstall.sql löscht die gespeicherte Prozedur sowie die EVENT-BACKUP Tabelle. Das Skript ScheduledShrinkEventTable_uninstall.sql deaktiviert den Scheduled Job. Hinweis: Wenn Sie spShrinkEventTable_uninstall.sql ausführen, wird die Tabelle EVENT_BACKUP mit allen enthaltenen Daten vollständig gelöscht. 7.11.6.14 Texte für Ereignisberichte Ereignisse werden nicht mit ihren vollständigen Ereignistexten in der SafeGuard Enterprise Datenbank protokolliert. Nur die ID und die relevanten Parameterwerte werden in die Datenbanktabelle geschrieben. Beim Abrufen der Ereignisse in der SafeGuard Management Center Ereignisanzeige werden die Parameterwerte zusammen mit den in der .dll enthaltenen Lückentexten in die kompletten Ereignistexte umgesetzt. Dies erfolgt in der jeweils benutzten Systemsprache des SafeGuard Management Center. Die für die Ereignistexte verwendeten Lückentexte lassen sich, zum Beispiel durch SQL-Abfragen, bearbeiten und aufbereiten. Sie können hierzu eine Tabelle mit allen Lückentexten für Ereignismeldungen erzeugen. Danach können Sie die Lückentexte nach Ihren Anforderungen anpassen. So erstellen Sie eine Tabelle mit den Texten für die einzelnen Ereignis-IDs: 1. Wählen Sie in der Menüleiste des SafeGuard Management Center Extras > Optionen. 2. Wählen Sie in der Menüleiste des SafeGuard Management Centers Extras > Optionen. 3. Klicken Sie im Bereich Texte für Ereignisberichte auf die Schaltfläche Erzeuge Tabelle. Die Tabelle mit den Texten für die Bericht IDs wird in der jeweils aktuellen Sprache des SafeGuard Management Centers erstellt und kann angepasst werden. Hinweis: Vor jedem neuen Erstellen der Lückentexte wird die Tabelle jeweils geleert. Wenn die Texte für eine Sprache wie beschrieben erstellt wurden und ein Benutzer erstellt die Texte für eine andere Sprache, so werden die Texte für die erste Sprache entfernt. 7.11.7 Für Berichte auswählbare Ereignisse Die folgende Tabelle bietet einen Überblick zu allen für die Protokollierung auswählbaren Ereignissen. Kategorie Ereignis-ID Beschreibung System 1005 Dienst gestartet. System 1006 Dienst starten fehlgeschlagen System 1007 Dienst angehalten. System 1016 Integritätstest der Dateien fehlgeschlagen. 339 SafeGuard Enterprise 340 Kategorie Ereignis-ID Beschreibung System 1017 Logging Ziel nicht verfügbar. System 1018 Nicht genehmigter Versuch SafeGuard Enterprise zu deinstallieren Authentisierung 2001 Externe GINA erkannt und erfolgreich eingebunden. Authentisierung 2002 Externe GINA erkannt, Einbindung fehlgeschlagen. Authentisierung 2003 Power-on Authentication ist aktiviert. Authentisierung 2004 Power-on Authentication ist deaktiviert. Authentisierung 2005 Wake on LAN ist aktiviert. Authentisierung 2006 Wake on LAN ist deaktiviert. Authentisierung 2007 Challenge erzeugt. Authentisierung 2008 Response erzeugt. Authentisierung 2009 Anmeldung erfolgreich durchgeführt. Authentisierung 2010 Anmeldung fehlgeschlagen. Authentisierung 2011 Benutzer während Anmeldung importiert und als Besitzer markiert. Authentisierung 2012 Benutzer vom Besitzer importiert und als Nicht- Besitzer markiert Authentisierung 2013 Benutzer von Nicht-Besitzer importiert und als Nicht-Besitzer markiert. Authentisierung 2014 Benutzer als Besitzer entfernt. Authentisierung 2015 Import des Benutzers während der Anmeldung fehlgeschlagen. Authentisierung 2016 Benutzer hat sich abgemeldet. Authentisierung 2017 Benutzer wurde zwangsweise abgemeldet. Authentisierung 2018 Aktion wurde auf dem Gerät ausgeführt. Authentisierung 2019 Benutzer hat einen Kennwort/PIN-Wechsel eingeleitet. Authentisierung 2020 Der Benutzer hat nach der Anmeldung sein Kennwort/PIN geändert. Authentisierung 2021 Kennwort/PIN-Qualität. Authentisierung 2022 Verstoß gegen Kennwort-/PIN-Richtlinie. Administratorhilfe Kategorie Ereignis-ID Beschreibung Authentisierung 2023 Der LocalCache war beschädigte und wurde restauriert Authentisierung 2024 Ungültige Passwort Blacklist Konfiguration Authentisierung 2025 Der empfangene Response Code erlaubt es dem Benutzer, sich sein Passwort anzeigen zu lassen. Authentisierung 2030 Angemeldeter Benutzer ist Service Account. Authentisierung 2035 Anmeldung Authentisierung 2036 Service Account Liste gelöscht. Authentisierung 2056 SGN Windows-Benutzer hinzufügen Authentisierung 2057 SGN Windows-Benutzer von der Maschine entfernen. Authentisierung 2058 Entfernen des UMA-Benutzers Authentisierung 2061 Rückgabewert der Computrace-Überprüfung. Authentisierung 2062 Computrace-Überprüfung konnte nicht ausgeführt werden. Authentisierung 2071 Kernelinitialisierung erfolgreich abgeschlossen. Authentisierung 2071 Kernel-Initialisierung ist fehlgeschlagen. Authentisierung 2073 Maschinenschlüssel wurden auf dem Client erfolgreich erzeugt. Authentisierung 2074 Maschinenschlüssel konnten auf dem Client nicht erzeugt werden. Interner Code: 0x%1. Authentisierung 2075 Abfrage der Platteneigenschaften oder Opal-Initialisierung ist fehlgeschlagen. Interner Code: 0x%1. Authentisierung 2079 Importieren eines Benutzers in den Kernel wurde erfolgreich beendet. Authentisierung 2080 Löschen eines Benutzers aus dem Kernel wurde erfolgreich beendet. Authentisierung 2081 Import eines Benutzers in den Kernel ist fehlgeschlagen. Authentisierung 2082 Löschen eines Benutzers aus dem Kernel ist fehlgeschlagen. Authentisierung 2083 Response mit Aktion "Benutzer wird sein Kennwort angezeigt" erzeugt. Authentisierung 2084 Response für virtuellen Client erzeugt. 341 SafeGuard Enterprise Kategorie Ereignis-ID Beschreibung Authentisierung 2085 Response für Standalone Client erzeugt. Authentisierung 2095 Wake on LAN konnte nicht aktiviert werden. Authentisierung 342 Ein Zertifkat wurde einem Standalone-Client-Benutzer zugewiesen. Authentisierung 2096 Wake on LAN konnte nicht deaktiviert werden. Authentisierung 2097 Der Benutzer hat sich zum ersten Mal mit dem Standby-Token am Client angemeldet. Der Standby-Token wurde als Standard-Token eingestellt. Authentisierung 2098 Die erfolgreiche Aktivierung eines Standby-Certificate wurde dem Server gemeldet. Authentisierung 2099 Der Benutzer hat sich zum ersten Mal mit dem Standby-Token am Client angemeldet. Das Standby-Zertifikate konnte aufgrund eines Fehlers nicht aktiviert werden. Authentisierung 2100 Die Aktivierung eines Standby-Certificate ist auf dem Server fehlgeschlagen. Administration 2500 SafeGuard Enterprise Administration gestartet. Administration 2501 Anmeldung an der SafeGuard Enterprise Administration fehlgeschlagen Administration 2502 Autorisierung an der SafeGuard Enterprise Administration fehlgeschlagen. Administration 2504 Benutzer genehmigt zusätzliche Autorisierung Administration 2505 Zusätzliche Autorisierung von Benutzer fehlgeschlagen. Administration 2506 Datenimport vom Verzeichnis erfolgreich. Administration 2507 Datenimport vom Verzeichnis abgebrochen. Administration 2508 Datenimport vom Verzeichnis fehlgeschlagen. Administration 2511 Benutzer angelegt. Administration 2513 Benutzer wurde geändert. Administration 2515 Benutzer gelöscht. Administration 2518 Anlegen des Benutzers fehlgeschlagen. Administration 2522 Löschen des Benutzers fehlgeschlagen. Administratorhilfe Kategorie Ereignis-ID Beschreibung Administration 2525 Computer angelegt Administration 2529 Computer gelöscht. Administration 2532 Anlegen des Computers fehlgeschlagen. Administration 2536 Löschen des Computers fehlgeschlagen. Administration 2539 OU angelegt. Administration 2543 OU gelöscht. Administration 2546 Anlegen der OU fehlgeschlagen Administration 2547 Importieren der OU fehlgeschlagen. Administration 2550 Löschen der OU fehlgeschlagen. Administration 2553 Gruppe angelegt. Administration 2555 Gruppe geändert. Administration 2556 Gruppe umbenannt. Administration 2557 Gruppe gelöscht. Administration 2560 Anlegen der Gruppe fehlgeschlagen. Administration 2562 Ändern der Gruppe fehlgeschlagen. Administration 2563 Umbenennen der Gruppe fehlgeschlagen. Administration 2564 Löschen der Gruppe fehlgeschlagen. Administration 2573 Mitglieder der Gruppe hinzugefügt. Administration 2575 Mitglieder aus Gruppe entfernt. Administration 2576 Hinzufügen der Mitglieder zur Gruppe fehlgeschlagen. Administration 2578 Entfernen der Mitglieder aus Gruppe fehlgeschlagen. Administration 2580 Gruppe von OU nach OU verschoben. Administration 2583 Verschieben der Gruppe von OU nach OU fehlgeschlagen. Administration 2591 Objekte der Gruppe hinzugefügt. Administration 2593 Objekte aus Gruppe entfernt. 343 SafeGuard Enterprise 344 Kategorie Ereignis-ID Beschreibung Administration 2594 Hinzufügen der Objekte zur Gruppe fehlgeschlagen Administration 2596 Hinzufügen der Objekte aus Gruppe fehlgeschlagen Administration 2603 Schlüssel erzeugt. Algorithmus. Administration 2607 Schlüssel zugeordnet. Administration 2608 Schlüsselzuordnung aufgehoben. Administration 2609 Erzeugen des Schlüssels fehlgeschlagen. Administration 2613 Zuordnung des Schlüssels fehlgeschlagen. Administration 2614 Entfernen der Zuordnung des Schlüssels fehlgeschlagen. Administration 2615 Zertifikat erzeugt. Administration 2616 Zertifikat importiert. Administration 2619 Zertifikat gelöscht. Administration 2621 Zertifikat Benutzer zugeordnet. Administration 2622 Zertifikatszuordnung zu Benutzer aufgehoben. Administration 2623 Erzeugen des Zertifikats fehlgeschlagen. Administration 2624 Importieren des Zertifikats fehlgeschlagen. Administration 2627 Löschen des Zertifikats fehlgeschlagen. Administration 2628 Verlängern des Zertifikats fehlgeschlagen. Administration 2629 Zuordnen des Zertifikats zu Benutzer fehlgeschlagen. Administration 2630 Entfernen der Zuordnung des Zertifikats vom Benutzer fehlgeschlagen. Administration 2631 Token eingesteckt. Administration 2632 Token entfernt. Administration 2633 Token wurde für Benutzer ausgestellt. Administration 2634 PIN des Benutzers auf Token ändern. Administration 2635 PIN des Sicherheitsbeauftragten auf Token ändern. Administratorhilfe Kategorie Ereignis-ID Beschreibung Administration 2636 Token wurde gesperrt. Administration 2637 Token entsperrt. Administration 2638 Token gelöscht. Administration 2639 Tokenzuordnung für Benutzer aufgehoben. Administration 2640 Ausstellen des Tokens für Benutzer fehlgeschlagen. Administration 2641 Ändern der Benutzer-PIN auf Token fehlgeschlagen. Administration 2642 Ändern der Sicherheitsbeauftragten-PIN auf Token fehlgeschlagen. Administration 2643 Sperren des Tokens fehlgeschlagen. Administration 2644 Entsperren des Tokens fehlgeschlagen. Administration 2645 Löschen des Tokens fehlgeschlagen. Administration 2647 Richtlinie erstellt. Administration 2648 Richtlinie geändert. Administration 2650 Richtlinie gelöscht. Administration 2651 Richtlinie der OU zugewiesen und aktiviert. Administration 2652 Zugewiesene Richtlinie wurde von OU entfernt. Administration 2653 Erstellen der Richtlinie fehlgeschlagen. Administration 2654 Ändern der Richtlinie fehlgeschlagen. Administration 2657 Zuweisung und Aktivierung der Richtlinie zu OU fehlgeschlagen. Administration 2658 Entfernen der zugewiesenen Richtlinie von OU ist fehlgeschlagen. Administration 2659 Richtlinien-Gruppe angelegt. Administration 2660 Richtlinien-Gruppe geändert. Administration 2661 Richtlinien-Gruppe gelöscht. Administration 2662 Anlegen der Richtlinien-Gruppe fehlgeschlagen. Administration 2663 Ändern der Richtlinien-Gruppe fehlgeschlagen. 345 SafeGuard Enterprise 346 Kategorie Ereignis-ID Beschreibung Administration 2665 Folgende Richtlinie wurde der Richtlinien-Gruppe hinzugefügt. Administration 2667 Folgende Richtlinie wurde aus der Richtlinien-Gruppe entfernt. Administration 2668 Hinzufügen der Richtlinie zur Richtlinien-Gruppe fehlgeschlagen. Administration 2670 Entfernen der Richtlinie aus Richtlinien-Gruppe fehlgeschlagen. Administration 2678 Protokollierte Ereignisse exportiert. Administration 2679 Exportieren der protokollierten Ereignisse fehlgeschlagen. Administration 2680 Protokollierte Ereignisse gelöscht. Administration 2681 Löschen der protokollierten Ereignisse fehlgeschlagen. Administration 2684 Sicherheitsbeauftragter erlaubt die Erneuerung eines Zertifikats Administration 2685 Beauftragter verbietet die Erneuerung eines Zertifikats Administration 2686 Änderungen an den Einstellungen für die Zertifikatserneuerung fehlgeschlagen Administration 2687 Zertifikat für Beauftragten gewechselt Administration 2688 Zertifikatswechsel für Beauftragten fehlgeschlagen Administration 2692 Erzeugen von Arbeitsgruppen. Administration 2693 Fehlgeschlagenes Erzeugen von Arbeitsgruppen Administration 2694 Löschen von Arbeitsgruppen. Administration 2695 Fehlgeschlagenes Löschen von Arbeitsgruppen Administration 2696 Erzeugen von Benutzern. Administration 2697 Fehlgeschlagenes Erzeugen von Benutzern. Administration 2698 Erzeugen von Maschinen. Administration 2699 Fehlgeschlagenes Erzeugen von Maschinen. Administration 2700 Die Lizenz wurde verletzt. Administration 2701 Schlüsseldatei wurde erzeugt. Administration 2702 Schlüssel für Schlüsseldatei wurde gelöscht. Administratorhilfe Kategorie Ereignis-ID Beschreibung Administration 2703 Sicherheitsbeauftragter hat die Power-on Authentication in einer Richtlinie deaktiviert. Administration 2704 LSH Fragenthema erstellt. Administration 2705 LSH Fragenthema geändert. Administration 2706 LSH Fragenthema gelöscht. Administration 2707 Frage geändert. Administration 2753 Schreibgeschützt-Zugriff auf den Container '%1' wurde dem Sicherheitsbeauftragten '%2' zugeordnet. Administration 2755 Voller Zugriff auf Container '%1' wurde dem Sicherheitsbeauftragten '%2' zugeordnet. Administration 2757 Zugriff auf Container '%1' wurde dem Sicherheitsbeauftragten '%2' entzogen. Administration 2766 Zugriff auf Container '%1' wurde für den Sicherheitsbeauftragten '%2' explizit verweigert. Administration 2767 Verweigerter Zugriff auf Container '%1' wurde für Sicherheitsbeauftragten '%2' widerrufen. Administration 2768 Lesezugriff auf Container '%1' wurde dem Sicherheitsbeauftragten '%2' zugeordnet. Administration 2810 POA-Benutzer %1 angelegt. Administration 2811 POA-Benutzer %1 geändert. Administration 2812 POA-Benutzer %1 gelöscht. Administration 2815 Erstellen von POA-Benutzer "%1" fehlgeschlagen. Administration 2816 Ändern von POA-Benutzer "%1" fehlgeschlagen. Administration 2817 Löschen von POA-Benutzer "%1" fehlgeschlagen. Administration 2820 POA-Gruppe %1 angelegt. Administration 2821 POA-Gruppe %1 geändert. Administration 2822 POA-Gruppe %1 gelöscht. Administration 2825 Erstellen von POA-Gruppe "%1" fehlgeschlagen. Administration 2826 Ändern von POA-Gruppe "%1" fehlgeschlagen. 347 SafeGuard Enterprise 348 Kategorie Ereignis-ID Beschreibung Administration 2827 Löschen von POA-Gruppe "%1" fehlgeschlagen. Administration 2850 Taskplaner-Dienst wurde wegen eines Ausnahmefehlers angehalten. Administration 2851 Task-Planer Task erfolgreich ausgeführt Administration 2852 Task-Planer Task fehlgeschlagen Administration 2853 Task-Planer Task erzeugt oder geändert Administration 2854 Task-Planer Task gelöscht Client 3003 Kernelsicherung erfolgreich Client 3005 Kernelrücksicherung beim ersten Versuch erfolgreich Client 3006 Kernelrücksicherung beim zweiten Versuch erfolgreich Client 3007 Kernelsicherung fehlgeschlagen Client 3008 Kernelrücksicherung fehlgeschlagen Client 3020 Datei-Tracking für Wechselmedien: Eine Datei wurde erstellt. Client 3021 Datei-Tracking für Wechselmedien: Eine Datei wurde umbenannt. Client 3022 Datei-Tracking für Wechselmedien: Eine Datei wurde gelöscht. Client 3025 Datei-Tracking für Cloud-Speicher: Eine Datei wurde erstellt. Client 3026 Datei-Tracking für Cloud-Speicher: Eine Datei wurde umbenannt. Client 3027 Datei-Tracking für Cloud-Speicher: Eine Datei wurde gelöscht. Client 3030 Benutzer hat LSH-Informationen nach Anmeldung geändert. Client 3035 LSH aktiviert. Client 3040 LSH deaktiviert. Client 3045 LSH verfügbar - Enterprise Client Client 3046 LSH verfügbar - Standalone Client Client 3050 LSH deaktiviert - Enterprise Client Client 3051 LSH nicht verfügbar - Standalone Client Administratorhilfe Kategorie Ereignis-ID Beschreibung Client 3055 QST Liste (LSH Fragen) geändert. Client 3405 Deinstallation des Configuration Protection Clients fehlgeschlagen. Client 3070 Schlüssel-Backup auf Netzwerkfreigabe gespeichert. Client 3071 Schlüssel-Backup konnte nicht auf der angegebenen Netzwerkfreigabe gespeichert werden. Client 3110 POA-Benutzer "%1" in POA importiert. Client 3111 POA-Benutzer "%1" aus POA gelöscht. Client 3115 POA -Benutzer "%1": Kennwort mit F8 geändert. Client 3116 Import von POA-Benutzer "%1" in POA fehlgeschlagen. Client 3117 Löschen von POA-Benutzer "%1" aus POA fehlgeschlagen. Client 3118 POA-Benutzer "%1": Kennwortänderung mit F8 fehlgeschlagen. Client 3406 Interner Fehler im Configuration Protection Client Client 3407 Mögliche Ereignis-Manipulation im Configuration Protection Client Client 3408 Mögliche Ereignisprotokoll-Manipulation im Configuration Protection Client Verschlüsselung 3501 Zugriff auf Medium auf Laufwerk verweigert. Verschlüsselung 3502 Zugriff auf Datendatei verweigert. Verschlüsselung 3503 Sektorbasierte Erst-Verschlüsselung des Laufwerks gestartet. Verschlüsselung 3504 Sektorbasierte Erst-Verschlüsselung des Laufwerks gestartet. (Schnellmodus) Verschlüsselung 3505 Sektorbasierte Erst-Verschlüsselung des Laufwerks fehlerfrei beendet. Verschlüsselung 3506 Sektorbasierte Erst-Verschlüsselung des Laufwerks gescheitert und beendet. Verschlüsselung 3507 Sektorbasierte Erst-Verschlüsselung des Laufwerks abgebrochen. Verschlüsselung 3508 Sektorbasierte Erst-Verschlüsselung des Laufwerks fehlgeschlagen. Verschlüsselung 3509 Sektorbasierte Entschlüsselung des Laufwerks gestartet. 349 SafeGuard Enterprise 350 Kategorie Ereignis-ID Beschreibung Verschlüsselung 3510 Sektorbasierte Entschlüsselung des Laufwerks fehlerfrei beendet. Verschlüsselung 3511 Sektorbasierte Entschlüsselung des Laufwerks gescheitert und beendet. Verschlüsselung 3512 Sektorbasierte Entschlüsselung des Laufwerks abgebrochen. Verschlüsselung 3513 Sektorbasierte Entschlüsselung des Laufwerks fehlgeschlagen. Verschlüsselung 3514 Dateibasierende Initialverschlüsselung auf einem Laufwerk gestartet. Verschlüsselung 3515 Dateibasierende Initialverschlüsselung auf einem Laufwerk erfolgreich abgeschlossen. Verschlüsselung 3516 Dateibasierende Initialverschlüsselung auf einem Laufwerk fehlgeschlagen und beendet. Verschlüsselung 3517 Dateibasierende Entschlüsselung auf einem Laufwerk abgebrochen. Verschlüsselung 3519 Dateibasierende Verschlüsselung einer Datei gestartet. Verschlüsselung 3520 Dateibasierende Verschlüsselung einer Datei erfolgreich abgeschlossen. Verschlüsselung 3521 Dateibasierende Entschlüsselung auf einem Laufwerk fehlgeschlagen und beendet. Verschlüsselung 3522 Dateibasierende Entschlüsselung auf einem Laufwerk abgebrochen. Verschlüsselung 3524 Verschlüsselung einer Datei gestartet. Verschlüsselung 3525 Verschlüsselung einer Datei erfolgreich abgeschlossen. Verschlüsselung 3526 Verschlüsselung einer Datei fehlgeschlagen. Verschlüsselung 3540 Entschlüsselung einer Datei gestartet. Verschlüsselung 3541 Entschlüsselung einer Datei erfolgreich abgeschlossen. Verschlüsselung 3542 Entschlüsselung einer Datei fehlgeschlagen. Verschlüsselung 3543 Backup von Bootkey durchgeführt Verschlüsselung 3544 Überschreitung der Anzahl von Verschlüsselungsalgorithmen für Start-Laufwerke Verschlüsselung 3545 Lesefehler von Schlüsseldatenbereiche Administratorhilfe Kategorie Ereignis-ID Beschreibung Verschlüsselung 3546 Abweisen von Laufwerken gemäß den Richtlinien. Verschlüsselung 3547 Warnung NTFS Boot Sector Backup fehlt auf Volume %1. Verschlüsselung 3548 Der Benutzer hat neue BitLocker-Anmeldeinformationen zum Starten des Computers zur Verfügung gestellt. Verschlüsselung 3549 Der Benutzer hat versucht, neue BitLocker-Anmeldeinformationen zum Starten des Computers zur Verfügung zu stellen, aber der Vorgang ist fehlgeschlagen. Verschlüsselung 3560 Zugriffsschutz Verschlüsselung 3600 Allgemeiner Verschlüsselungsfehler Verschlüsselung 3601 Verschlüsselungsfehler - Laufwerk nicht gefunden Verschlüsselung 3602 Verschlüsselungsfehler - Laufwerk nicht verfügbar Verschlüsselung 3603 Verschlüsselungsfehler - Laufwerk entfernt Verschlüsselung 3604 Verschlüsselungsfehler - Laufwerksfehler Verschlüsselung 3607 Verschlüsselungsfehler - Der Schlüssel fehlt Verschlüsselung 3610 Verschlüsselungsfehler - Der Original-KSA Bereich ist beschädigt. Verschlüsselung 3611 Verschlüsselungsfehler - Der Sicherungs-KSA Bereich ist beschädigt. Verschlüsselung 3612 Verschlüsselungsfehler - Der ESA-Bereich ist beschädigt. Zugriffskontrolle 4400 Port erfolgreich freigegeben Zugriffskontrolle 4401 Gerät erfolgreich freigegeben Zugriffskontrolle 4402 Speichergerät erfolgreich freigegeben Zugriffskontrolle 4403 WLAN erfolgreich freigegeben Zugriffskontrolle 4404 Port erfolgreich entfernt Zugriffskontrolle 4405 Gerät erfolgreich entfernt Zugriffskontrolle 4406 Speichergerät erfolgreich entfernt Zugriffskontrolle 4407 WLAN-Verbindung erfolgreich getrennt Zugriffskontrolle 4408 Port eingeschränkt 351 SafeGuard Enterprise Kategorie Ereignis-ID Beschreibung Zugriffskontrolle 4409 Gerät eingeschränkt Zugriffskontrolle 4410 Speichergerät eingeschränkt Zugriffskontrolle 4411 WLAN eingeschränkt Zugriffskontrolle 4412 Port gesperrt Zugriffskontrolle 4413 Gerät gesperrt Zugriffskontrolle 4414 Speichergerät gesperrt Zugriffskontrolle 4415 WLAN gesperrt 7.12 Richtlinientypen und ihre Anwendungsfelder SafeGuard Enterprise Richtlinien enthalten alle Einstellungen, die zur Abbildung einer unternehmensweiten Sicherheitsrichtlinie auf den Endpoints wirksam werden sollen. In SafeGuard Enterprise Richtlinien können Sie Einstellungen für die folgenden Bereiche (Richtlinientypen) festlegen: ■ Allgemeine Einstellungen Einstellungen für z. B. Transferrate, Anpassung, Recovery für die Anmeldung, Hintergrundbilder usw. ■ Authentisierung Einstellungen zum Anmeldemodus, zur Gerätesperre usw. ■ PIN Legt Anforderungen an die verwendeten PINs fest. ■ Kennwörter Legt Anforderungen an die verwendeten Kennwörter fest. ■ Passphrasen Legt Anforderungen für in SafeGuard Data Exchange verwendete Passphrasen fest. ■ Geräteschutz Einstellungen für volume- oder dateibasierende Verschlüsselung (auch Einstellungen für SafeGuard Data Exchange, SafeGuard Cloud Storage und SafeGuard Portable): Algorithmen, Schlüssel, Laufwerke, auf denen Daten verschlüsselt werden sollen, usw. ■ Spezifische Computereinstellungen Einstellungen zur SafeGuard Power-on Authentication (aktivieren/deaktivieren), zum sicheren Wake on LAN, Anzeigeoptionen usw. 352 Administratorhilfe ■ Protokollierung Legt fest, welche Ereignisse wo protokolliert werden. ■ Configuration Protection Hinweis: Configuration Protection wird nur für SafeGuard Enterprise Clients bis zur Version 6,0 unterstützt. Dieser Richtlinientyp ist im 7.0 SafeGuard Management Center weiterhin für ältere Clients mit Configuration Protection enthalten. Einstellungen (erlauben/sperren) für die Verwendung von Ports, Peripheriegeräten (Wechselmedien, Druckern usw.) ■ Dateiverschlüsselung Einstellungen für dateibasierende Verschlüsselung auf lokalen Festplatten und im Netzwerk, speziell für Arbeitsgruppen bei Netzwerkfreigaben. Im SafeGuard Management Center stehen für alle Richtlinientypen Standardrichtlinien zur Verfügung. Für Geräteschutz Richtlinien stehen Richtlinien für die Festplattenverschlüsselung (Ziel: Massenspeicher), Cloud Storage (Ziel: DropBox) und Data Exchange (Ziel: Wechselmedien) zur Verfügung. Die Optionen in diesen Standardrichtlinien sind auf die relevanten Standardwerte gesetzt. Sie können die Standardeinstellungen Ihren Anforderungen anpassen. Die Standardrichtlinien haben den Namen <Richtlinientyp> (Default). Hinweis: Die Namen der Standardrichtlinien richten sich nach der Spracheinstellung während der Installation. Wenn Sie die Sprache des SafeGuard Management Center nachträglich ändern, verbleiben die Namen der Standardrichtlinien in der während der Installation eingestellten Sprache. 7.12.1 Allgemeine Einstellungen Richtlinieneinstellung Erklärung LADEN DER EINSTELLUNGEN Richtlinien-Loopback Computereinstellungen wiederholen Wird unter Richtlinien-Loopback die Option Computereinstellungen wiederholen ausgewählt und die Richtlinie kommt von einem Computer (Computereinstellungen wiederholen einer Benutzer-Richtlinie hat keine Auswirkung), wird diese Richtlinie zum Schluss nochmals ausgeführt. Dadurch werden etwaige Benutzereinstellungen wieder überschrieben und es gelten die Computereinstellungen. Benutzer ignorieren Wird bei einer Richtlinie (Maschinen-Richtlinie) unter Richtlinien-Loopback die Einstellung Benutzer ignorieren ausgewählt und die Richtlinie "kommt" von einer Maschine, werden nur die Computereinstellungen ausgewertet. Benutzereinstellungen werden nicht ausgewertet. Kein Loopback Kein Loopback ist das Standardverhalten. Benutzerrichtlinien gelten vor Maschinenrichtlinien. 353 SafeGuard Enterprise Richtlinieneinstellung Erklärung Wie werden die Einstellungen "Benutzer ignorieren" und "Computereinstellungen wiederholen" ausgewertet? Existieren aktive Richtlinienzuweisungen, werden zuerst die Maschinenrichtlinien ausgewertet und vereinigt. Ergibt diese Vereinigung der einzelnen Richtlinien beim Richtlinien-Loopback den Wert Benutzer ignorieren, so werden Richtlinien, welche für den Benutzer bestimmt gewesen wären, nicht mehr ausgewertet. Das heißt sowohl für den Benutzer wie auch für die Maschine gelten die gleichen Richtlinien. Gilt nach der Vereinigung der einzelnen Maschinen-Richtlinien bei Richtlinien-Loopback der Wert Computereinstellungen wiederholen, werden die Benutzer-Richtlinien mit den Maschinen-Richtlinien vereinigt. Nach der Vereinigung werden die Maschinen-Richtlinien nochmals geschrieben und überschreiben gegebenenfalls Einstellungen aus Benutzer-Richtlinien. Das heißt: Ist eine Einstellung in beiden Richtlinien vorhanden, so ersetzt der Wert der Maschinen-Richtlinie den Wert der Benutzer-Richtlinie. Ergibt die Vereinigung der einzelnen Maschinen-Richtlinien "nicht konfiguriert", so gilt: Benutzereinstellungen vor Maschineneinstellungen. TRANSFERRATE Server-Verbindungsintervall (in Legt den Zeitraum in Minuten fest, nach dem ein SafeGuard Minuten) Enterprise Client beim SafeGuard Enterprise Server eine Anfrage nach Richtlinien (-änderungen) stellt. Hinweis: Um zu vermeiden, dass eine große Anzahl an Clients gleichzeitig den Server kontaktiert, findet die Kommunikation in einem Zeitraum +/- 50 % des eingestellten Intervalls statt. Beispiel: Wenn Sie "90 Minuten" einstellen, erfolgt die Kommunikation nach einem Intervall, das 45 bis 135 Minuten betragen kann. PROTOKOLLIERUNG Rückmeldung nach Anzahl von Das Protokollsystem, implementiert als Win32 Service "SGM Ereignissen LogPlayer", sammelt von SafeGuard Enterprise generierte, für die zentrale Datenbank bestimmte Protokolleinträge in lokalen Protokolldateien. Diese befinden sich im LocalCache im Verzeichnis "auditing\SGMTransLog ". Diese Dateien werden an den Transportmechanismus übergeben, der sie dann über den SGN Server in die Datenbank einträgt. Die Übertragung erfolgt sobald der Transportmechanismus eine Verbindung zum Server hergestellt hat. Die Protokolldatei wird daher größer, bis eine Verbindung hergestellt werden konnte. Um die Größe einer einzelnen Protokolldatei einschränken zu können, kann man über die Richtlinie eine maximale Anzahl von Protokolleinträgen eintragen. Dann wird die Protokolldatei vom Protokollsystem nach Erreichen der eingestellten Anzahl von Einträgen in die Transportqueue des SGN Servers gestellt und eine neue Protokolldatei begonnen 354 Administratorhilfe Richtlinieneinstellung Erklärung ANPASSUNG Sprache am Client Legt fest, in welcher Sprache die Einstellungen für SafeGuard Enterprise auf dem Endpoint angezeigt werden. Sie können neben den unterstützten Sprachen kann auch die Betriebssystem-Spracheinstellung des Endpoint auswählen. RECOVERY FÜR DIE ANMELDUNG Recovery für die Anmeldung Der Windows Local Cache ist Start- und Endpunkt für den nach Beschädigung des Datenaustausch zwischen Endpoint und Server. Im Windows Local Windows Local Cache aktivieren Cache werden alle Schlüssel, Richtlinien, Benutzerzertifikate und Audit-Dateien abgelegt. Alle im Local Cache gespeicherten Daten haben eine Signatur und können nicht manuell geändert werden. Standardmäßig ist der Recovery-Vorgang für die Anmeldung bei beschädigtem Local Cache deaktiviert. Er wird automatisch aus seiner Sicherungskopie wiederhergestellt. Für die Reparatur des Windows Local Cache ist also in diesem Fall kein Challenge/Response-Verfahren notwendig. Wenn der Windows Local Cache explizit über ein Challenge/Response-Verfahren repariert werden soll, wählen Sie in diesem Feld die Einstellung Ja. Local Self Help Local Self Help aktivieren Legt fest, ob sich Benutzer mit Local Self Help an ihrem Endpoint anmelden dürfen, wenn sie ihr Kennwort vergessen haben. Local Self Help ermöglicht Benutzern die Anmeldung durch die Beantwortung einer definierten Anzahl an zuvor festgelegten Fragen in der SafeGuard Power-on Authentication. Sie erhalten somit auch dann Zugriff zu ihrem Computer, wenn weder eine Internet- noch eine Telefonverbindung zur Verfügung stehen. Hinweis: Für die Benutzung von Local Self Help ist es notwendig, dass die automatische Anmeldung an Windows aktiviert ist. Andernfalls funktioniert die Anmeldung über Local Self Help nicht. Minimale Länge der Antwort Definiert die Mindestlänge in Zeichen für die Local Self Help Antworten. Willkommenstext unter Windows Hier können Sie einen individuellen Informationstext angeben, der beim Starten des Local Self Help Assistenten auf dem Endpoint im ersten Dialog angezeigt werden soll. Damit Sie den Text hier angeben können, muss dieser zunächst im Richtliniennavigationsbereich unter Texte angelegt werden. Benutzer dürfen eigene Fragen Die für Local Self Help zu beantwortenden Fragen können Sie als festlegen zuständiger Sicherheitsbeauftragter zentral vordefinieren und per Richtlinie an den Endpoint übertragen. Sie können die Benutzer 355 SafeGuard Enterprise Richtlinieneinstellung Erklärung jedoch auch per Richtlinie berechtigen, selbst Fragen zu definieren. Um die Benutzer zur Definition eigener Fragen zu berechtigen, wählen Sie in diesem Feld die Einstellung Ja. Challenge / Response (C/R) Recovery für die Anmeldung über C/R aktivieren Legt fest, ob ein Benutzer in der SafeGuard Power-on Authentication (POA) eine Challenge erzeugen darf, um über ein Challenge/Response-Verfahren wieder Zugang zu seinem Computer zu erhalten. Ja: Benutzer darf Challenge erzeugen. In diesem Fall kann der Benutzer über ein Challenge/Response-Verfahren in Notfällen wieder Zugang zu seinem Computer erlangen. Nein: Benutzer darf keine Challenge erzeugen. In diesem Fall kann der Benutzer im Notfall kein Challenge/Response-Verfahren starten, um wieder Zugang zu seinem Computer zu erlangen. Automatische Anmeldung an Windows erlauben Erlaubt dem Benutzer nach einer Authentisierung per Challenge/Response die automatische Anmeldung an Windows. Ja: Benutzer wird automatisch an Windows angemeldet. Nein: Windows-Anmeldebildschirm erscheint. Beispiel: Ein Benutzer hat sein Kennwort vergessen. SafeGuard Enterprise meldet ihn nach Austausch von Challenge und Response ohne SafeGuard Enterprise Kennwort am Endpoint an. In diesem Fall wird die automatische Anmeldung an Windows ausgeschaltet und der Windows-Anmeldebildschirm erscheint. Da der Benutzer sein SafeGuard Enterprise (= Windows-Kennwort) nicht weiß, kann er sich nicht anmelden. Mit Ja wird eine automatische Anmeldung erlaubt und der Benutzer bleibt nicht im Windows-Anmeldebildschirm stecken. Texte Zeigt nach dem Starten eines Challenge/Response-Vorgangs in der SafeGuard POA einen Informationstext. Zum Beispiel: “Bitte rufen Sie Ihren Support unter der Telefonnummer 01234-56789 an.”). Bevor Sie einen Text angeben können, muss dieser als Textdatei im Richtlinien-Navigationsbereich unter Texte erstellt werden. BILDER Voraussetzung: Neue Bilder müssen im SafeGuard Management Center im Richtlinien-Navigationsbereich unter Bilder registriert werden. Erst nach der Registrierung ist die Liste verfügbar. Unterstütztes Format: .BMP, PNG, JPEG. Hintergrundbild in der POA 356 Ersetzt das blaue SafeGuard Enterprise Hintergrundbild durch ein individuelles Hintergrundbild. Kunden können hier z. B. das Administratorhilfe Richtlinieneinstellung Erklärung Hintergrundbild in der POA (niedrige Auflösung) Firmenlogo in der SafeGuard POA verwenden. Maximale Dateigröße für alle Hintergrundbilder: 500 KB Normal: Auflösung: 1024x768 (VESA-Modus) Farben: unbegrenzt Niedrig: Auflösung: 640 x 480 (VGA-Modus) Farben: 16 Farben Anmeldebild in der POA Anmeldebild in der POA (niedrige Auflösung) Ersetzt das während der SafeGuard POA-Anmeldung angezeigte SafeGuard Enterprise Bild durch ein individuelles Bild, z. B. das Firmenlogo. Normal: Auflösung: 413 x 140 Pixel Farben: unbegrenzt Niedrig: Auflösung: 413 x 140 Pixel Farben: 16 Farben Dateiverschlüsselung Vertrauenswürdige Anwendungen Für die dateibasierende Verschlüsselung durch File Encryption und SafeGuard Data Exchange können Sie vertrauenswürdige Anwendungen angeben, die auf verschlüsselte Dateien zugreifen können. Dies ist zum Beispiel notwendig, damit Antivirus-Software verschlüsselte Dateien überprüfen kann. Geben Sie die Anwendungen, die Sie als vertrauenswürdig definieren möchten, in das Editor-Listenfeld des Felds ein. Anwendungen müssen als Fully Qualified Paths eingegeben werden. Ignorierte Anwendungen Für die dateibasierende Verschlüsselung durch File Encryption und SafeGuard Data Exchange können Sie ignorierte Anwendungen angeben, um Sie von der transparenten Dateiverschlüsselung/Dateientschlüsselung auszuschließen.Wenn Sie zum Beispiel ein Backup-Programm als ignorierte Anwendung definieren, bleiben die vom Programm gesicherten verschlüsselten Daten verschlüsselt. Geben Sie die Anwendungen, die Sie als ignoriert definieren möchten, in das Editor-Listenfeld des Felds ein. Anwendungen müssen als Fully Qualified Paths eingegeben werden. 357 SafeGuard Enterprise Richtlinieneinstellung Erklärung Ignorierte Geräte Für die dateibasierende Verschlüsselung durch File Encryption und SafeGuard Data Exchange können Sie ganze Geräte (zum Beispiel Festplatten) von der dateibasierende Verschlüsselung ausnehmen. Wählen Sie im Editor-Listenfeld Netzwerk aus, um ein vordefiniertes Gerät auszuwählen, oder geben Sie die erforderlichen Gerätenamen ein, um bestimmte Geräte von der Verschlüsselung auszuschließen. Persistente Verschlüsselung aktivieren Für die dateibasierende Verschlüsselung durch File Encryption und SafeGuard Data Exchange können Sie die persistente Verschlüsselung konfigurieren. Mit persistenter Verschlüsselung bleiben Kopien von verschlüsselten Dateien auch dann verschlüsselt, wenn sie an einem Speicherort abgelegt werden, für den keine Verschlüsselungsregel gilt. Diese Einstellung ist standardmäßig aktiviert. Benutzer darf Standardschlüssel festlegen Für die dateibasierende Verschlüsselung durch Cloud Storage können Sie festlegen, ob der Benutzer eine Standardschlüssel festlegen darf oder nicht. Wenn der Benutzer dies darf, steht der Befehl Standardschlüssel festlegen im Windows Explorer Kontextmenü der Cloud Storage Synchronisierungsordner zur Verfügung. Mit diesem Befehl können Benutzer separate Standardschlüssel angeben, die für die Verschlüsselung von unterschiedlichen Synchronisierungsordnern verwendet werden soll. 7.12.2 Authentisierung Richtlinieneinstellung Erklärung ZUGRIFF Benutzer kann nur von interner Festplatte booten: Hinweis: Diese Einstellung wird nur von Endpoints unterstützt, auf denen eine ältere SafeGuard Enterprise Version als 6.1 installiert ist. Mit dieser Option konnte es dem Benutzer ermöglicht werden, den Endpoint von externen Medien zu starten. Ab Version 6.1 hat diese Einstellung keine Wirkung mehr auf Endpoints. Für das betreffende Recovery-Szenario können Sie die Recovery mit virtuellen Clients verwenden (siehe Challenge/Response mit virtuellen Clients (Seite 220)). Legt fest, ob Benutzer den Computer von Festplatte und/oder anderem Medium starten dürfen. 358 Administratorhilfe Richtlinieneinstellung Erklärung JA: Benutzer darf ausschließlich von der Festplatte booten. Die Möglichkeit, den Computer mit Diskette oder einem weiteren externen Medium zu starten, wird nicht in der SafeGuard POA angeboten. NEIN: Benutzer darf den Computer von Festplatte, Diskette oder einem externen Medium (USB, CD etc.) starten. ANMELDEOPTIONEN Anmeldemodus Legt fest, wie sich Benutzer in der SafeGuard POA authentisieren müssen. Benutzername/Kennwort Benutzer müssen sich mit ihrem Benutzernamen und Kennwort anmelden. Token Der Benutzer darf sich nur mit einem Token oder einer Smartcard in der SafeGuard POA anmelden. Dieses Verfahren bietet eine höhere Sicherheit. Bei der Anmeldung wird der Benutzer aufgefordert, seinen Token einzustecken. Durch den Besitz des Token und der Eingabe der PIN wird die Identität des Benutzers verifiziert. Nach korrekter Eingabe der PIN liest SafeGuard Enterprise automatisch die Daten für die Anmeldung des Benutzers aus. Hinweis: Beachten Sie, dass Sie sich bei Wahl dieses Anmeldeverfahrens nur mit einem vorher ausgestellten Token anmelden können. Die Einstellungen Benutzername/Kennwort und Token lassen sich kombinieren. Um zu prüfen, ob die Anmeldung mit Token reibungslos funktioniert, wählen Sie zunächst beide Einstellungen aus. Erst nach erfolgreicher Token-Anmeldung sollten Sie den Anmeldemodus Benutzername/Kennwort deaktivieren. Damit ein Umschalten zwischen den Anmeldemodi möglich ist, erlauben Sie den Benutzern, sich einmal mit beiden Einstellungen kombiniert anzumelden, da es sonst zu einer Blockierung bei der Anmeldung kommen kann. Wenn Sie Local Self Help für die Token-Anmeldung zulassen möchten, müssen Sie die beiden Einstellungen ebenfalls kombinieren. Fingerabdruck Wählen Sie diese Option, um die Anmeldung mit Lenovo-Fingerabdruck-Leser zu aktivieren. Benutzer, für die diese Richtlinie wirksam ist, können sich mit Fingerabdruck oder Benutzername/Kennwort anmelden. Dieser Vorgang bietet das höchste Maß an Sicherheit. Bei der Anmeldung führt die Benutzer den Finger über den Fingerabdruck-Leser. Wenn der Fingerabdruck erfolgreich erkannt wurde, liest die SafeGuard Power-on Authentication die Anmeldeinformationen des Benutzers und meldet den Benutzer an der Power-on Authentication an. Die Anmeldeinformationen werden dann an Windows übertragen und der Benutzer wird an seinem Computer angemeldet. 359 SafeGuard Enterprise Richtlinieneinstellung Erklärung Hinweis: Nach Auswahl dieses Anmeldevorgangs kann sich der Benutzer nur mit einem vorher registrierten Fingerabdruck oder mit Benutzername und Kennwort anmelden. Die Anmeldeverfahren Token und Fingerabdruck lassen sich auf einem Computer nicht miteinander kombinieren. Anmeldeoptionen mit Token Legt den Typ des Token bzw. der Smartcard fest, der am Endpoint verwendet werden soll. Nicht kryptographisch: Authentisierung bei der SafeGuard POA und bei Windows mittels Anmeldeinformationen. Kerberos: Zertifikatsbasierte Authentisierung an der SafeGuard POA und an Windows. Für zentral verwaltete Endpoints stellt der Sicherheitsbeauftragte ein Zertifikat in einer PKI aus und legt es auf dem Token ab. Dieses Zertifikat wird als Benutzerzertifikat in die SafeGuard Enterprise Datenbank importiert. Falls dort bereits ein automatisch erzeugtes Zertifikat existiert, wird es durch das importierte Zertifikat überschrieben. Kryptographische Token können nicht für Standalone-Endpoints verwendet werden. Hinweis: Bei Problemen bei der Anmeldung mit einem Kerberos-Token kann weder Challenge/Response noch Local Self Help für Recovery-Vorgänge benutzt werden. Hier wird nur Challenge/Response mit virtuellen Clients unterstützt. Mit diesem Verfahren können Benutzer wieder Zugriff auf verschlüsselte Volumes auf Ihren Endpoints erlangen. PIN für automatische Anmeldung Geben Sie hier eine Default-PIN an, die dem Benutzer die mit Token automatische Anmeldung an der SafeGuard Power-on Authentication mit Token oder Smartcard ermöglicht. Der Benutzer muss den Token bei der Anmeldung einstecken. Daraufhin wird eine automatische Anmeldung an der SafeGuard Power-on Authentication durchgeführt. Windows wird gestartet. PIN-Regeln müssen hier nicht beachtet werden. Hinweis: Diese Option steht nur dann zur Verfügung, wenn die Option Token als Anmeldemodus gewählt wurde. Wenn diese Option ausgewählt wird, muss bei Durchgehende Anmeldung an Windows die Einstellung Durchgehende Anmeldung deaktivieren gewählt werden. Erfolglose Anmeldeversuche dieses Benutzers anzeigen 360 Wenn hier Ja eingestellt ist: Nach der Anmeldung bei SafeGuard POA und Windows wird ein Dialog mit Informationen über die Administratorhilfe Richtlinieneinstellung Erklärung letzte fehlgeschlagene Anmeldung (Benutzername/Datum/Zeit) angezeigt. Letzte Benutzeranmeldung anzeigen Wenn hier Ja eingestellt ist: Nach der Anmeldung bei SafeGuard POA und Windows wird ein Dialog mit folgenden Informationen angezeigt: Letzte erfolgreiche Anmeldung (Benutzername/Datum/Zeit) Letzte Anmeldeinformationen des angemeldeten Benutzers 'Erzwungene Abmeldung' bei Sperre der Arbeitsstation deaktivieren: Hinweis: Diese Einstellung wird nur unter Windows XP wirksam. Windows XP wird mit SafeGuard Enterprise 6.1 nicht länger unterstützt. Die entsprechende Richtlinie ist im SafeGuard Management Center 7.0 noch verfügbar, um SafeGuard Enterprise 6 Clients zu unterstützen, die über ein 6.1 Management Center verwaltet werden. Wenn Benutzer den Endpoint nur für kurze Zeit verlassen wollen, können Sie den Rechner per Klick auf die Schaltfläche Arbeitsstation sperren für andere Benutzer sperren und danach mit ihrem Kennwort wieder entsperren. Nein: Sowohl der Benutzer, der die Arbeitsstation gesperrt hat, als auch ein Administrator kann die Sperre aufheben. Hebt ein Administrator die Sperre auf, so wird der aktuell angemeldete Benutzer zwangsweise abgemeldet. Ja: Diese Einstellung ändert dieses Verhalten. In diesem Fall kann nur der Benutzer die Sperre des Computers aufheben. Ein Aufheben der Sperre durch den Administrator und das damit verbundene erzwungene Abmelden des Benutzers ist nicht mehr möglich. Letzte Benutzer/Domänen-Auswahl aktivieren Ja: Die SafeGuard POA speichert den Benutzernamen und die Domäne des letzten angemeldeten Benutzers. Benutzer müssen den Benutzernamen also nicht jedes Mal eingeben, wenn sie sich anmelden. Nein: Die SafeGuard POA speichert den Benutzernamen und die Domäne des letzten angemeldeten Benutzers nicht. Service Account Liste Um zu verhindern, dass durch administrative Vorgänge auf einem durch SafeGuard Enterprise geschützten Endpoint die Power-on Authentication aktiviert wird und Rollout-Beauftragte als Benutzer zum Endpoint hinzugefügt werden, bietet SafeGuard Enterprise Service Account Listen für die Windows-Anmeldung an SafeGuard Enterprise Endpoints. Die in den Listen enthaltenen Benutzer werden als SafeGuard Enterprise Gastbenutzer behandelt Damit Sie hier eine Liste auswählen können, müssen Sie diese zunächst im Richtlinien-Navigationsbereich unter Service Account Listen anlegen. 361 SafeGuard Enterprise Richtlinieneinstellung Durchgehende Anmeldung an Windows Erklärung Hinweis: Soll der Benutzer in der Lage sein, anderen Benutzern Zugriff auf “seinen“ Computer zu gewähren, muss er in der Lage sein, die durchgehende Anmeldung an Windows zu deaktivieren. Benutzer wählen lassen Im SafeGuard POA Anmeldedialog kann der Benutzer durch Aktivieren/Deaktivieren dieser Option entscheiden, ob er automatisch an Windows angemeldet werden will oder nicht. Durchgehende Anmeldung deaktivieren Nach der Anmeldung an der SafeGuard POA wird anschließend der Windows-Anmeldedialog angezeigt. Der Benutzer muss sich manuell an Windows anmelden. Durchgehende Anmeldung erzwingen Der Benutzer wird immer automatisch an Windows angemeldet. BITLOCKER-OPTIONEN BitLocker Anmeldemodus für Boot-Laufwerke Folgende Optionen stehen zur Verfügung: TPM: Der Schlüssel für die Anmeldung wird auf dem TPM-Chip (Trusted Platform Module) gespeichert. TPM + PIN: Der Schlüssel für die Anmeldung wird auf dem TPM-Chip gespeichert und zusätzlich wird eine PIN zur Anmeldung benötigt. Systemstartschlüssel: Der Schlüssel für die Anmeldung wird auf einem USB-Stick gespeichert. TPM + Systemstartschlüssel: Der Schlüssel für die Anmeldung wird auf dem TPM-Chip und auf einem USB-Stick gespeichert. Beides wird für die Anmeldung benötigt. Hinweis: Um die Anmeldemodi TPM + PIN, TPM + Systemstartschlüssel oder Systemstartschlüssel verwenden zu können, aktivieren Sie die Gruppenrichtlinie Zusätzliche Authentifizierung beim Start anfordern entweder im Active Directory oder auf den Computern lokal. Im lokalen Gruppenrichtlinien-Editor (gpedit.msc) sind die Gruppenrichtlinien hier zu finden: Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drive Um Systemstartschlüssel zu verwenden, müssen Sie auch BitLocker ohne kompatibles TPM zulassen in den Gruppenrichtlinien aktivieren. Hinweis: Wenn der momentan am System aktive Anmeldemodus ein erlaubter Fallback-Anmeldemodus ist, dann kommt der hier definierte Anmeldemodus nicht zur Anwendung. 362 Administratorhilfe Richtlinieneinstellung Erklärung BitLocker Anmeldemodus für Boot-Laufwerke - Fallback Wenn die als BitLocker Anmeldemodus für Boot-Laufwerke festgelegte Einstellung nicht angewendet werden kann, bietet SafeGuard Enterprise folgende Alternativen für die Anmeldung: Kennwort: Der Benutzer muss ein Kennwort eingeben. Systemstartschlüssel: Der Schlüssel für die Anmeldung wird auf einem USB-Stick gespeichert. Kennwort oder Systemstartschlüssel: USB-Sticks werden nur verwendet, wenn Kennwörter auf dem Client-Betriebssystem nicht unterstützt werden. Fehler: Es wird eine Fehlermeldung angezeigt und das Volume wird nicht verschlüsselt. Hinweis: Bei Clients mit Version 6.1 oder niedriger werden die Werte Kennwort oder Systemstartschlüssel und Kennwort den alten Einstellungen Systemstartschlüssel und Fehler zugeordnet. Hinweis: Kennwörter werden erst ab Windows 8 oder höher unterstützt. BitLocker Anmeldemodus für Datenlaufwerke Bei Datenlaufwerken sind die folgenden Optionen verfügbar: Auto-Unlock: Wenn das Boot-Laufwerk verschlüsselt ist, wird ein externer Schlüssel generiert und auf dem Boot-Laufwerk gespeichert. Die Datenlaufwerke werden dann automatisch verschlüsselt. Sie werden automatisch mit der Auto-Unlock-Funktion von Bitlocker freigegeben. Beachten Sie, dass Auto-Unlock nur funktioniert, wenn das Boot-Laufwerk verschlüsselt ist. Andernfalls wird der Fallback-Modus verwendet. Kennwort: Der Benutzer wird aufgefordert, ein Kennwort für jedes Datenlaufwerk einzugeben. Systemstartschlüssel: Die Schlüssel für die Freigabe der Datenlaufwerke werden auf einem USB-Stick gespeichert. Hinweis: Clients mit Version 6.1 oder niedriger ignorieren diese Richtlinieneinstellung und verwenden stattdessen die Werte, die für den Anmeldemodus für Boot-Laufwerke eingestellt wurden. Da das TPM nicht für Datenlaufwerke genutzt werden kann, wird in diesen Fällen ein USB-Stick oder eine Fehlermeldung verwendet. Hinweis: Kennwörter werden erst ab Windows 8 oder höher unterstützt. Hinweis: Wenn der momentan am System aktive Anmeldemodus ein erlaubter Fallback-Anmeldemodus ist, dann kommt der hier definierte Anmeldemodus nicht zur Anwendung. 363 SafeGuard Enterprise Richtlinieneinstellung Erklärung BitLocker Anmeldemodus für Datenlaufwerke - Fallback Wenn die als BitLocker Anmeldemodus für Datenlaufwerke festgelegte Einstellung nicht angewendet werden kann, bietet SafeGuard Enterprise folgende Alternativen: Kennwort: Der Benutzer wird aufgefordert, ein Kennwort für jedes Datenlaufwerk einzugeben. Systemstartschlüssel: Die Schlüssel werden auf einem USB-Stick gespeichert. Kennwort oder Systemstartschlüssel: USB-Sticks werden nur verwendet, wenn Kennwörter auf dem Client-Betriebssystem nicht unterstützt werden. Hinweis: Clients mit Version 6.1 oder niedriger ignorieren diese Richtlinieneinstellung. Sie verwenden stattdessen die Werte, die für den Fallback-Anmeldemodus für Boot-Laufwerke eingestellt wurden. Da keine Kennwörter verarbeitet werden können, wird stattdessen "USB-Stick" oder "Fehlermeldung" verwendet. Hinweis: Kennwörter werden erst ab Windows 8 oder höher unterstützt. ERFOLGLOSE ANMELDUNGEN Maximalanzahl von erfolglosen Anmeldeversuchen Bestimmt, wie oft ein Benutzer ohne Folgen bei der Anmeldung einen ungültigen Benutzernamen bzw. ein ungültiges Kennwort eingeben darf. Wenn der Benutzer zum Beispiel drei mal nacheinander seinen Benutzernamen oder sein Kennwort falsch eingegeben hat, führt der vierte Versuch dazu, dass der Computer gesperrt wird. Meldungen zur fehlgeschlagenen Definiert die Detailebene für Meldungen zu fehlgeschlagenen Anmeldung in der POA anzeigen Anmeldungen: Standard: Zeigt eine kurze Beschreibung an. Verbose (ausführlich): Zeigt detaillierte Informationen an. TOKEN-OPTIONEN Aktion bei Verlust des Anmeldestatus des Token Definiert das Verhalten nach dem Trennen des Token vom Computer. Mögliche Aktionen sind: Computer sperren PIN-Dialog anzeigen Keine Aktion 364 Administratorhilfe Richtlinieneinstellung Erklärung Freigabe des Token erlauben Bestimmt, ob der Token bei der Anmeldung entsperrt werden darf. OPTIONEN FÜR SPERRE DES GERÄTS Bildschirm nach X Minuten Leerlauf sperren Bestimmt die Zeit, nach deren Überschreitung ein nicht mehr benutzter Desktop automatisch gesperrt wird. Der Standardwert ist 0 Minuten, und der Bildschirm wird nicht gesperrt, wenn dieser Wert nicht geändert wird. Bei Entfernung des Token Bildschirm sperren Bestimmt, ob der Bildschirm gesperrt wird, wenn während einer Arbeitssitzung der Token entfernt wird. Bildschirm nach dem Fortsetzen sperren Bestimmt, ob der Bildschirm bei Reaktivierung aus dem Standby-Modus gesperrt wird. 7.12.3 Anlegen von Listen verbotener PINs für die Verwendung mit Richtlinien Für Richtlinien des Typs PIN kann eine Liste mit verbotenen PINs angelegt werden. Diese Liste definiert die Zeichenfolgen, die in nicht in PINs verwendet werden dürfen. PINs werden für die Anmeldung mit Token verwendet. Weitere Informationen finden Sie unter Token und Smartcards (Seite 303). Die Textdateien mit den gewünschten Informationen müssen erstellt werden, bevor sie im SafeGuard Management Center registriert werden können. Die maximale Dateigröße für Textdateien beträgt 50 KB. SafeGuard Enterprise verwendet nur Unicode UTF-16 kodierte Texte. Wenn Sie die Textdateien in einem anderen Format erstellen, werden sie bei der Registrierung automatisch in dieses Format konvertiert. Hinweis: In den Listen werden die verbotenen PINs durch einen Zeilenumbruch voneinander getrennt. So registrieren Sie die Textdateien: 1. Klicken Sie im Richtlinien-Navigationsbereich mit der rechten Maustaste auf Texte und wählen Sie Neu > Text. 2. Geben Sie unter Textelementname einen Namen für den anzeigenden Text ein. 3. Klicken Sie auf [...] um die zuvor erstellte Textdatei auszuwählen. Wenn eine Konvertierung notwendig ist, wird eine entsprechende Meldung angezeigt. 4. Klicken Sie auf OK. Das neue Textelement wird als Unterknoten des Eintrags Texte im Richtlinien-Navigationsbereich angezeigt. Ist ein Textelement markiert, wird sein Inhalt im Aktionsbereich auf der rechten Seite angezeigt. Das Textelement kann jetzt beim Erstellen von Richtlinien ausgewählt werden. Um weitere Textelemente zu registrieren, gehen Sie wie beschrieben vor. Alle registrierten Textelemente werden als Unterknoten angezeigt. 365 SafeGuard Enterprise Hinweis: Mit der Schaltfläche Text ändern können Sie weiteren Text zum bestehenden Text hinzufügen. Es wird ein Dialog geöffnet, in dem eine weitere Textdatei ausgewählt werden kann. Der in dieser Datei enthaltene Text wird am Ende des bestehenden Texts eingefügt. 7.12.4 Syntaxregeln für PINs In Richtlinien vom Typ PIN definieren Sie Einstellungen für Token-PINs. Diese Einstellungen gelten nicht für PINs, die zum Anmelden bei mit BitLocker verschlüsselten Endpoints verwendet werden. Weitere Informationen zu BitLocker PINs finden Sie unter PIN und Kennwörter (Seite 142). PINs können sowohl Ziffern, Buchstaben als auch Sonderzeichen (wie + - ; etc.) enthalten. Verwenden Sie bei der Vergabe einer neuen PIN jedoch keine Zeichen mit der Kombination ALT + <Zeichen>, da dieser Eingabemodus an der SafeGuard Power-on Authentication nicht zur Verfügung steht. Hinweis: Definieren Sie PIN-Regeln entweder im SafeGuard Management Center oder im Active Directory, nicht an beiden Stellen. Richtlinieneinstellung Erklärung PIN Mindestlänge der PIN Gibt an, aus wie vielen Zeichen eine PIN bei der Änderung durch den Benutzer bestehen muss. Der gewünschte Wert kann entweder direkt eingegeben oder durch Betätigen der Richtungsschaltflächen vergrößert bzw. verkleinert werden. Maximallänge der PIN Gibt an, aus wie vielen Zeichen eine PIN bei der Änderung durch den Benutzer maximal bestehen darf. Der gewünschte Wert kann entweder direkt eingegeben oder durch Betätigen der Richtungsschaltflächen vergrößert bzw. verkleinert werden. Mindestanzahl an Buchstaben Mit diesen Einstellungen wird erreicht, dass PINs nicht ausschließlich Zeichen, Ziffern oder Sonderzeichen enthalten, Mindestanzahl an Ziffern sondern aus einer Kombination bestehen müssen (z. B. „15blume“). Diese Einstellungen sind nur dann sinnvoll, wenn eine Mindestlänge Mindestanzahl an Symbolen der PIN definiert ist, die größer 2 ist. Groß-/Kleinschreibung beachten Diese Einstellung wird nur bei den Punkten Liste nicht erlaubter PINs benutzen und Benutzername als PIN verboten wirksam. Beispiel 1: Sie haben in der Liste der verbotenen PINs „Tafel“ eingetragen. Steht die Option Groß-/Kleinschreibung beachten auf Ja, werden zusätzliche Kennwortvarianten wie z. B. „TAFEL“ oder „TaFeL“ nicht akzeptiert und die Anmeldung wird verweigert. Beispiel 2: Der Benutzername für einen Anwender lautet „EMaier“. Steht Groß-/Kleinschreibung beachten auf Ja und Benutzername als PIN verboten auf Nein, darf Benutzer EMaier keine Variante seines Benutzernamens (z. B. ´emaier´ oder ´eMaiEr´ usw.) als Kennwort verwenden. Tastaturzeile verboten 366 Als Tastaturzeilen werden eingetippte Zeichenreihen wie „123“ oder „qwe“ bezeichnet. Maximal zwei auf der Tastatur nebeneinander Administratorhilfe Richtlinieneinstellung Erklärung liegende Zeichen sind erlaubt. Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil. Tastaturspalte verboten Als Tastaturspalten werden eingetippte Zeichenreihen wie „xsw2“ oder „3edc“ (nicht aber „xdr5“ oder „cft6“!) bezeichnet. Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen. Verbieten Sie Tastaturspalten, werden derartige Zeichenkombinationen als Kennwörter abgelehnt. Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil. Drei oder mehr aufeinanderfolgende Zeichen verboten Verboten werden mit Aktivierung dieser Option Zeichenketten, die im ASCII-Code aufeinander folgen, sowohl in auf- als auch in absteigender Reihenfolge („abc“ oder „cba“). die aus drei oder mehr identischen Zeichen („aaa“ oder „111“) bestehen. Benutzername als PIN verboten Bestimmt, ob Benutzername und PIN identisch sein dürfen. Ja: Windows-Benutzername und PIN müssen unterschiedlich sein. Nein: Benutzer darf seinen Windows-Benutzernamen gleichzeitig als PIN verwenden. Liste nicht erlaubter PINs benutzen Bestimmt, ob bestimmte Zeichenfolgen für PINs nicht verwendet werden dürfen. Abgelegt sind die Zeichenfolgen in der Liste nicht erlaubter PINs (z. B. Datei im Format .txt). Liste nicht erlaubter PINs Definiert Zeichenfolgen, die in einer PIN nicht verwendet werden dürfen. Wenn ein Benutzer eine verbotene PIN verwendet, wird eine Fehlermeldung ausgegeben. Voraussetzung: Eine Liste (eine Datei) mit verbotenen PINs muss im Management Center unter Texte im Richtlinien-Navigationsbereich registriert werden. Erst nach der Registrierung ist die Liste verfügbar. Maximale Dateigröße: 50 KB Unterstütztes Format: Unicode Nicht erlaubte PINs definieren In der Liste werden die verbotenen PINs durch einen Zeilenumbruch voneinander getrennt. Platzhalter: An der Position, an der Sie den Zeichentyp „*“ eingeben, können mehrere beliebige Zeichen in der PIN enthalten sein. Beispielsweise wird durch *123* jede Zeichenfolge, die 123 enthält, als PIN verboten. Hinweis: Wenn Sie nur den Platzhalter in die Liste einfügen, können sich Benutzer nach einer erzwungenen Kennwortänderung nicht mehr im System anmelden. Benutzer dürfen auf die Datei keinen Zugriff haben. 367 SafeGuard Enterprise Richtlinieneinstellung Erklärung Die Option Liste nicht erlaubter PINs verwenden muss aktiviert sein. ÄNDERUNGEN PIN-Änderung erlaubt nach mindestens (Tage) Legt den Zeitraum fest, in dem eine PIN nicht erneut geändert werden darf. Diese Einstellung verhindert, dass ein Benutzer seine PIN innerhalb eines bestimmten Zeitraums beliebig oft ändern kann. Beispiel: Die Benutzerin Schmidt definiert eine neue PIN (z. B. „13jk56“). Für sie (oder für die Gruppe, der sie zugeordnet ist) ist ein Wechsel nach mind. fünf Tagen festgelegt. Bereits nach zwei Tagen will sie die PIN „13jk56“ ändern. Dies wird abgelehnt, da Frau Schmidt erst nach fünf Tagen eine neue PIN definieren darf. PIN läuft ab nach (Tage) Der Benutzer muss nach Ablauf des eingestellten Zeitraums seine PIN ändern. Beträgt der Zeitraum 999 Tage, ist keine PIN-Änderung erforderlich. Warnung vor Ablauf (Tage) Ab “n” Tagen vor Ablauf der PIN wird eine Warnmeldung ausgegeben und der Benutzer darauf hingewiesen, dass er in “n“-Tagen seine PIN ändern muss. Er erhält daraufhin die Möglichkeit, die PIN sofort zu ändern. ALLGEMEIN PIN in POA verbergen Gibt an, ob die Ziffern bei der Eingabe der PIN verborgen werden. Ist die Option aktiviert, wird während der Eingabe der PIN bei der POA nichts angezeigt. Ansonsten wird für jedes eingegebene Zeichen ein Stern angezeigt. PIN-Generationen Legt fest, wann bereits verwendete PINs wieder benutzt werden dürfen. Sinnvoll ist die Definition von PIN-Generationen insbesondere in Verbindung mit der Einstellung PIN läuft ab nach (Tage). Beispiel: Die Anzahl der PIN-Generationen für den Benutzer Müller wurde auf 4 festgelegt, die der Tage, nach denen der Benutzer die PIN wechseln muss, auf 30. Herr Müller meldete sich bislang mit der PIN „Informatik“ an. Nach Ablauf der Frist von 30Tagen wird er aufgefordert, seine PIN zu ändern. Herr Müller tippt als neue PIN wieder „Informatik“ ein und erhält die Fehlermeldung, dass er diese PIN bereits verwendet hat und eine andere PIN wählen muss. „Informatik“ darf Herr Müller erst nach der vierten (da PIN-Generationen = 4) Aufforderung zur Eingabe einer neuen PIN verwenden. 368 Administratorhilfe 7.12.5 Anlegen einer Liste verbotener Kennwörter für die Verwendung mit Richtlinien Für Richtlinien des Typs Kennwort kann eine Liste mit verbotenen Kennwörtern angelegt werden. Diese Liste definiert die Zeichenfolgen, die in nicht in Kennwörtern verwendet werden dürfen. Hinweis: In den Listen werden die nicht erlaubten Kennwörter durch einen Zeilenumbruch voneinander getrennt. Die Textdateien mit den gewünschten Informationen müssen erstellt werden, bevor sie im SafeGuard Management Center registriert werden können. Die maximale Dateigröße für Textdateien beträgt 50 KB. SafeGuard Enterprise verwendet nur Unicode UTF-16 kodierte Texte. Wenn Sie die Textdateien in einem anderen Format erstellen, werden sie bei der Registrierung automatisch in dieses Format konvertiert. Wenn eine Datei konvertiert wird, wird eine entsprechende Meldung angezeigt. So registrieren Sie die Textdateien: 1. Klicken Sie im Richtlinien-Navigationsbereich mit der rechten Maustaste auf Texte und wählen Sie Neu > Text. 2. Geben Sie unter Textelementname einen Namen für den anzeigenden Text ein. 3. Klicken Sie auf [...] um die zuvor erstellte Textdatei auszuwählen. Wenn eine Konvertierung notwendig ist, wird eine entsprechende Meldung angezeigt. 4. Klicken Sie auf OK. Das neue Textelement wird als Unterknoten des Eintrags Texte im Richtlinien-Navigationsbereich angezeigt. Ist ein Textelement markiert, wird sein Inhalt im Aktionsbereich auf der rechten Seite angezeigt. Das Textelement kann jetzt beim Erstellen von Richtlinien ausgewählt werden. Um weitere Textelemente zu registrieren, gehen Sie wie beschrieben vor. Alle registrierten Textelemente werden als Unterknoten angezeigt. Hinweis: Mit der Schaltfläche Text ändern können Sie weiteren Text zum bestehenden Text hinzufügen. Es wird ein Dialog geöffnet, in dem eine weitere Textdatei ausgewählt werden kann. Der in dieser Datei enthaltene Text wird am Ende des bestehenden Texts eingefügt. 7.12.6 Syntaxregeln für Kennwörter In Richtlinien vom Typ Kennwort definieren Sie Einstellungen für Kennwörter für die Anmeldung an das System. Diese Einstellungen gelten nicht für Kennwörter, die zum Anmelden bei mit BitLocker verschlüsselten Endpoints verwendet werden. Weitere Informationen zu BitLocker-Kennwörtern finden Sie unter PIN und Kennwörter (Seite 142). Kennwörter können sowohl Ziffern, Buchstaben als auch Sonderzeichen (wie + - ; etc.) enthalten. Verwenden Sie bei der Vergabe eines neuen Kennworts jedoch keine Zeichen mit der Kombination ALT + <Zeichen>, da dieser Eingabemodus an der SafeGuard Power-on Authentication nicht zur Verfügung steht. Wie Kennwörter, mit denen sich Benutzer am System anmelden, beschaffen sein müssen, wird in Richtlinien vom Typ Kennwort eingestellt. Hinweis: Informationen zur Umsetzung einer Richtlinie für sichere Kennwörter finden Sie unter Empfohlene Sicherheitsmaßnahmen (Seite 241) sowie im SafeGuard Enterprise Manual for certification-compliant operation (Englisch). Die Umsetzung von Kennwortregeln und Kennworthistorien kann nur dann gewährleistet werden, wenn der SGN Credential Provider durchgehend verwendet wird. Definieren Sie 369 SafeGuard Enterprise Kennwortregeln entweder im SafeGuard Management Center oder im Active Directory, nicht an beiden Stellen. Richtlinieneinstellung Erklärung KENNWORT Mindestlänge des Kennworts Gibt an, aus wie vielen Zeichen ein Kennwort bei der Änderung durch den Benutzer bestehen muss. Der gewünschte Wert kann entweder direkt eingegeben oder durch Betätigen der Richtungsschaltflächen vergrößert bzw. verkleinert werden. Maximallänge des Kennwortes Gibt an, aus wie vielen Zeichen ein Kennwort bei der Änderung durch den Benutzer maximal bestehen darf. Der gewünschte Wert kann entweder direkt eingegeben oder durch Betätigen der Richtungsschaltflächen vergrößert bzw. verkleinert werden. Mindestanzahl an Buchstaben Mit diesen Einstellungen wird erreicht, dass Kennwörter nicht ausschließlich Zeichen, Ziffern oder Sonderzeichen enthalten, sondern aus einer Kombination bestehen müssen (z. B. „15blume“). Diese Einstellungen sind nur dann sinnvoll, wenn eine Kennwortmindestlänge definiert ist, die größer 2 ist. Mindestanzahl an Ziffern Mindestanzahl an Symbolen Groß-/Kleinschreibung beachten Diese Einstellung wird nur bei den Punkten Liste nicht erlaubter Kennwörter verwenden und Benutzername als Kennwort verboten wirksam. Beispiel 1: Sie haben in der Liste der verbotenen Kennwörter „Tafel“ eingetragen. Steht die Option Groß-/Kleinschreibung beachten auf Ja, werden zusätzliche Kennwortvarianten wie z. B. „TAFEL“ oder „TaFeL“ nicht akzeptiert und die Anmeldung wird verweigert. Beispiel 2: Der Benutzername für einen Anwender lautet „EMaier“. Steht Groß-/Kleinschreibung beachten auf Ja und Benutzername als Kennwort verboten auf Nein, darf Benutzer EMaier keine Variante seines Benutzernamens (z. B. ´emaier´ oder ´eMaiEr´ usw.) als Kennwort verwenden. 370 Tastaturzeile verboten Als Tastaturzeilen werden eingetippte Zeichenreihen wie „123“ oder „qwe“ bezeichnet. Maximal zwei auf der Tastatur nebeneinander liegende Zeichen sind erlaubt. Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil. Tastaturspalte verboten Als Tastaturspalten werden eingetippte Zeichenreihen wie „xsw2“ oder „3edc“ (nicht aber „xdr5“ oder „cft6“!) bezeichnet. Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen. Verbieten Sie Tastaturspalten, werden derartige Zeichenkombinationen als Kennwörter abgelehnt.Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil. Drei oder mehr aufeinanderfolgende Zeichen verboten Verboten werden mit Aktivierung dieser Option Zeichenketten, die im ASCII-Code aufeinander folgen, sowohl in auf- als auch in absteigender Reihenfolge („abc“ oder „cba“). Administratorhilfe Richtlinieneinstellung Erklärung die aus drei oder mehr identischen Zeichen („aaa“ oder „111“) bestehen. Benutzername als Kennwort verboten Bestimmt, ob der Benutzername als Kennwort unzulässig ist. Ja: Windows-Benutzername und Kennwort müssen unterschiedlich sein. Nein: Windows-Benutzername und Kennwort müssen nicht unterschiedlich sein. Liste nicht erlaubter Kennwörter verwenden Bestimmt, ob bestimmte Zeichenfolgen für Kennwörter nicht verwendet werden dürfen. Abgelegt sind die Zeichenfolgen in der Liste nicht erlaubter Kennwörter (z. B. Datei im Format .txt). Liste nicht erlaubter Kennwörter Definiert Zeichenfolgen, die in einem Kennwort ausgeschlossen sind. Wenn ein Benutzer ein verbotenes Kennwort verwendet, wird eine Fehlermeldung ausgegeben. Eine Liste (eine Datei) mit verbotenen Kennwörtern muss im SafeGuard Management Center unter Texte im Richtlinien-Navigationsbereich registriert werden. Erst nach der Registrierung ist die Liste verfügbar. Maximale Dateigröße: 50 KB Unterstütztes Format: Unicode Nicht erlaubte Kennwörter definieren In der Liste werden die verbotenen Kennwörter durch einen neuen Zeilenanfang getrennt. Platzhalter: An der Position, an der Sie den Zeichentyp "*" eingeben, können mehrere beliebige Zeichen im Kennwort enthalten sein. Beispielsweise wird durch *123* jede Zeichenfolge, die 123 enthält, als Kennwort verboten. Hinweis: Wenn Sie nur den Platzhalter in die Liste einfügen, können sich Benutzer nach einer erzwungenen Kennwortänderung nicht mehr im System anmelden. Benutzer dürfen auf die Datei keinen Zugriff haben. Die Option Liste nicht erlaubter Kennwörter verwenden muss aktiviert sein. Benutzerkennwortsynchronisation Dieses Feld steuert die Synchronisierung bei Änderung des mit anderen SGN Clients Kennworts durch Benutzer, die auf mehreren SafeGuard Enterprise Endpoints arbeiten und als Benutzer eingetragen sind. Folgende Optionen stehen zur Verfügung: Langsam (sobald Benutzer sich anmeldet) Ändert ein Benutzer sein Kennwort auf einem SafeGuard Enterprise Endpoint, so muss dieser Benutzer sich auf anderen Endpoints, auf denen er als Benutzer eingetragen ist, zunächst noch einmal mit seinem alten Kennwort an der 371 SafeGuard Enterprise Richtlinieneinstellung Erklärung SafeGuard Power-on Authentication anmelden. Erst dann wird die Kennwortsynchronisation durchgeführt Schnell (sobald der Computer eine Verbindung hergestellt hat) Ändert der Benutzer sein Kennwort auf einem SafeGuard Enterprise Endpoint, so wird die Kennwortsynchronisierung mit einem anderen Endpoint, auf dem er als Benutzer eingetragen ist, durchgeführt, sobald der andere Endpoint eine Verbindung mit dem Server hergestellt hat. Dies erfolgt zum Beispiel dann, wenn sich ein anderer Benutzer, der ebenfalls auf dem Endpoint als Benutzer eingetragen ist, in der Zwischenzeit an diesem Endpoint anmeldet. ÄNDERUNGEN Kennwortänderung erlaubt nach mindestens (Tage) Legt den Zeitraum fest, in dem ein Kennwort nicht erneut geändert werden darf. Diese Einstellung verhindert, dass ein Benutzer sein Kennwort innerhalb eines bestimmten Zeitraums beliebig oft ändern kann. Bei einem durch Windows erzwungenen Kennwortwechsel oder bei einem Wechsel des Kennworts nach der Anzeige der Warnung, dass das Kennwort in x Tagen abläuft, wird diese Einstellung nicht ausgewertet! Beispiel: Die Benutzerin Schmidt definiert ein neues Kennwort (z. B. „13jk56“). Für sie (oder für die Gruppe, der sie zugeordnet ist) ist ein Wechsel nach mind. fünf Tagen festgelegt. Bereits nach zwei Tagen will sie das Kennwort "13jk56" ändern. Dies wird abgelehnt, da Frau Schmidt erst nach fünf Tagen ein neues Kennwort definieren darf. Kennwort läuft ab nach (Tage) Ist diese Option aktiviert, muss der Benutzer nach Ablauf des eingestellten Zeitraums ein neues Kennwort definieren. Warnung vor Ablauf (Tage) Ab “n” Tagen vor Ablauf des Kennworts wird eine Warnmeldung ausgegeben und der Benutzer darauf hingewiesen, dass er in “n“ Tagen sein Kennwort ändern muss. Er erhält daraufhin die Möglichkeit, das Kennwort sofort zu ändern. ALLGEMEIN Kennwort in POA verbergen Gibt an, ob die Zeichen bei der Eingabe des Kennworts verborgen werden. Ist die Option aktiviert, wird während der Eingabe des Kennworts bei der POA nichts angezeigt. Ansonsten wird für jedes eingegebene Zeichen ein Stern angezeigt. Kennwortgenerationen Legt fest, wann bereits verwendete Kennwörter wieder benutzt werden dürfen. Sinnvoll ist die Definition von Kennwortgenerationen insbesondere in Verbindung mit der Einstellung Kennwort läuft ab nach (Tage). Beispiel: 372 Administratorhilfe Richtlinieneinstellung Erklärung Die Anzahl der Kennwortgenerationen für den Benutzer Müller wurde auf 4 festgelegt, die der Tage, nach denen der Benutzer das Kennwort wechseln muss, auf 30. Herr Müller meldete sich bislang mit dem Kennwort „Informatik“ an. Nach Ablauf der Frist von 30 Tagen wird er aufgefordert, sein Kennwort zu ändern. Herr Müller tippt als neues Kennwort wieder „Informatik“ ein und erhält die Fehlermeldung, dass er dieses Kennwort bereits verwendet hat und ein anderes Kennwort wählen muss. „Informatik“ darf Herr Müller erst nach der vierten (da Kennwortgenerationen = 4) Aufforderung zur Eingabe eines neuen Kennworts verwenden. Hinweis: Wenn für die Kennwortgeneration 0 eingestellt ist, kann der Benutzer das alte Kennwort als neues Kennwort festlegen. Dies entspricht jedoch nicht der gängigen Praxis und ist daher nicht zu empfehlen. 7.12.7 Passphrase für SafeGuard Data Exchange Der Benutzer muss eine Passphrase eingeben, die zum Erzeugen von lokalen Schlüsseln für den sicheren Datenaustausch mit SafeGuard Data Exchange verwendet wird. Die auf den Endpoints erzeugten Schlüssel werden auch in der SafeGuard Enterprise Datenbank gespeichert. Die erforderlichen Einstellungen definieren Sie in einer Richtlinie vom Typ Passphrase. Weitere Informationen zu SafeGuard Data Exchange finden Sie unter SafeGuard Data Exchange (Seite 171). Weitere Informationen zu SafeGuard Data Exchange und SafeGuard Portable auf dem Endpoint finden Sie in der SafeGuard Enterprise Benutzerhilfe im Kapitel SafeGuard Data Exchange. Richtlinieneinstellung Erklärung PASSPHRASE Mindestlänge der Passphrase Legt fest, aus wie vielen Zeichen die Passphrase, aus der der Schlüssel erzeugt wird, mindestens bestehen muss. Der gewünschte Wert kann entweder direkt eingegeben oder durch Betätigen der Richtungstasten vergrößert bzw. verkleinert werden. Maximallänge der Passphrase Legt fest, aus wie vielen Zeichen die Passphrase maximal bestehen darf. Der gewünschte Wert kann entweder direkt eingegeben oder durch Betätigen der Richtungstasten vergrößert bzw. verkleinert werden. Mindestanzahl an Buchstaben Mit diesen Einstellungen wird erreicht, dass eine Passphrase nicht ausschließlich Zeichen, Ziffern oder Sonderzeichen enthält, sondern aus einer Kombination bestehen muss (z. B. „15blume“). Diese Einstellungen sind nur dann sinnvoll, wenn eine Mindestlänge der PIN definiert ist, die größer 2 ist. Mindestanzahl an Ziffern Mindestanzahl an Symbolen 373 SafeGuard Enterprise Richtlinieneinstellung Erklärung Groß-/Kleinschreibung beachten Diese Einstellung wird beim Setzen der Option Benutzername als Passphrase verboten wirksam. Beispiel: Der Benutzername für einen Anwender lautet „EMaier“. Steht Groß-/Kleinschreibung beachten auf Ja und Benutzername als Passphrase verboten auf Nein, darf Benutzer EMaier keine Variante seines Benutzernamens (z. B. ´emaier´ oder ´eMaiEr´ etc.) als Passphrase verwenden. Tastaturzeile verboten Als Tastaturzeilen werden eingetippte Zeichenreihen wie „123“ oder „qwe“ bezeichnet. Maximal zwei auf der Tastatur nebeneinander liegende Zeichen sind erlaubt. Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil. Tastaturspalte verboten Als Tastaturspalten werden eingetippte Zeichenreihen wie „xsw2“ oder „3edc“ (nicht aber „xdr5“ oder „cft6“!) bezeichnet. Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen.Verbieten Sie Tastaturspalten, werden derartige Zeichenkombinationen als Passphrase abgelehnt. Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil. Drei oder mehr aufeinanderfolgende Zeichen verboten Verboten werden mit Aktivierung dieser Option Zeichenketten, die im ASCII-Code aufeinander folgen, sowohl in auf- als auch in absteigender Reihenfolge („abc“ oder „cba“). die aus drei oder mehr identischen Zeichen („aaa“ oder „111“) bestehen. Benutzername als Passphrase verboten Bestimmt, ob Benutzername und Passphrase identisch sein dürfen. Ja: Windows-Benutzername und Passphrase müssen unterschiedlich sein. Nein: Benutzer darf seinen Windows-Benutzernamen gleichzeitig als Passphrase verwenden. 7.12.8 White Lists für Geräteschutz-Richtlinien für dateibasierende Verschlüsselung Im SafeGuard Management Center können Sie White Lists als Ziele für Richtlinien des Typs Geräteschutz für dateibasierende Verschlüsselung auswählen. Somit können Sie Verschlüsselungsrichtlinien für spezifische Gerätemodelle und sogar für spezifische Geräte erstellen. Damit Sie eine White List als Ziel für eine Geräteschutz Richtlinie auswählen können, müssen Sie die Liste im SafeGuard Management Center anlegen. Sie können White Lists für spezifische Gerätemodelle (z. B. iPod, USB-Geräte eines bestimmten Herstellers usw.) oder für einzelne Geräte nach Seriennummer definieren. Sie können die Geräte manuell zu den White Lists hinzufügen oder die Ergebnisse eines SafeGuard Port Auditor Scan-Vorgangs verwenden. Weitere Informationen finden Sie im SafeGuard PortAuditor User Guide. 374 Administratorhilfe Sie können dann die White List als Ziel beim Anlegen einer Richtlinie vom Typ Geräteschutz auswählen. Hinweis: Wenn Sie eine White List für eine Richtlinie vom Typ Geräteschutz als Ziel auswählen, können Sie als Verschlüsselungsmodus für Medien nur Keine Verschlüsselung oder Dateibasierend auswählen. Wenn Sie Keine Verschlüsselung für eine Geräteschutz Richtlinie mit einer White List auswählen, wird durch diese Richtlinie ein Gerät dann nicht von der Verschlüsselung ausgenommen, wenn eine andere geltende Richtlinie die volume-basierende Verschlüsselung fordert. Hinweis: Für Block Master SafeStick gelten spezielle Anforderungen. Diese Geräte haben für Administratoren und Benutzer ohne Administratorrechte unterschiedliche IDs. Für die korrekte Verarbeitung in SafeGuard Enterprise müssen Sie beide IDs zur White List hinzufügen. Der SafeGuard Port Auditor ermittelt beide IDs, wenn ein SafeStick-Gerät mindestens einmal auf dem von SafeGuard Port Auditor gescannten Computer geöffnet wurde. 7.12.8.1 Anlegen einer White List für Geräteschutz-Richtlinien für die dateibasierende Verschlüsselung 1. Markieren Sie im Richtlinien Navigationsbereich den Eintrag White List. 2. Klicken Sie im Kontextmenü von White List auf Neu > White List. 3. Wählen Sie den Typ der White List aus: ■ Um eine White List für spezifische Datenträgermodelle zu erstellen, wählen Sie Datenträgermodelle. ■ Um eine White List für bestimmte Datenträger nach Seriennummer zu erstellen, wählen Sie Einzelne Datenträger. 4. Geben Sie unter White List-Quelle an, wie Sie die White List erstellen möchten: ■ Um Datenträger manuell einzugeben, wählen Sie White List manuell erstellen. Wenn Sie auf OK klicken, wird eine leere White List im SafeGuard Management Center geöffnet. In dieser leeren White List können Sie die Einträge manuell erstellen. Klicken Sie dazu auf das grüne Symbol Hinzufügen (Einfügen) in der SafeGuard Management Center Symbolleiste. Hinweis: Um die relevanten Strings für ein Gerät mit dem Windows-Geräte-Manager abzurufen, öffnen Sie das Eigenschaften Fenster für das Gerät und entnehmen Sie die Werte für die Eigenschaften Hardware-Kennungen und Geräteinstanzkennung. Es werden nur folgende Schnittstellen unterstützt: USB, 1394, PCMCIA und PCI. ■ Wenn Sie das Ergebnis eines Endpoint Scans durch den SafeGuard Port Auditor als Quelle verwenden möchten, wählen Sie SafeGuard Port Auditor Ergebnis importieren. Die Ergebnisse des Scans durch den SafeGuard Port Auditor müssen vorliegen (XML-Datei), wenn Sie die White List auf diese Weise erzeugen wollen. Um die Datei auszuwählen, klicken Sie auf die [...] Schaltfläche. Weitere Informationen hierzu finden Sie in der SafeGuard PortAuditor Benutzerhilfe. Nach dem Klicken auf OK wird der Inhalt der importierten Datei im SafeGuard Management Center angezeigt. Die White List wird unter White Lists im Richtlinien Navigationsbereich angezeigt. Sie können Sie beim Erstellen von Richtlinien des Typs Geräteschutz für dateibasierende Verschlüsselung auswählen. 375 SafeGuard Enterprise 7.12.8.2 Auswahl einer White List als Ziel für Geräteschutz-Richtlinien für die dateibasierende Verschlüsselung Voraussetzung: Die gewünschte White List muss im SafeGuard Management Center angelegt sein. 1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die Schaltfläche Richtlinien. 2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien und wählen Sie im Kontextmenü den Befehl Neu. 3. Wählen Sie Geräteschutz. Es wird ein Dialog für die Benennung der neuen Richtlinie angezeigt. 4. Geben Sie einen Namen und optional eine Beschreibung für die neue Richtlinie ein. 5. Wählen Sie unter Ziel des Geräteschutzes die relevante White List: ■ Wenn Sie eine White List für Datenträgermodelle erstellt haben, wird sie unter Datenträgermodelle angezeigt. ■ Wenn Sie eine White List für bestimmte Datenträger erstellt haben, wird sie unter Einzelne Datenträger angezeigt. 6. Klicken Sie auf OK. Die White List ist als Ziel der Richtlinie vom Typ Geräteschutz ausgewählt. Nach der Übertragung der Richtlinie an die Endpoints gilt der in der Richtlinie festgelegte Verschlüsselungsmodus. 7.12.9 Geräteschutz Richtlinien des Typs Geräteschutz enthalten Einstellungen für die Datenverschlüsselungen auf unterschiedlichen Datenträgern. Die Verschlüsselung kann volume- oder dateibasierend durchgeführt werden, mit unterschiedlichen Schlüsseln und Algorithmen. Richtlinien des Typs Geräteschutz enthalten auch Einstellungen für SafeGuard Data Exchange, SafeGuard Cloud Storage und SafeGuard Portable. Weitere Informationen zu SafeGuard Data Exchange finden Sie unter SafeGuard Data Exchange (Seite 171). Weitere Informationen zu SafeGuard Cloud Storage finden Sie unter Cloud Storage (Seite 165). Weitere Informationen zu SafeGuard Data Exchange, SafeGuard Cloud Storage und SafeGuard Portable auf dem Endpoint finden Sie in der SafeGuard Enterprise Benutzerhilfe. Wenn Sie eine Richtlinie dieses Typs erstellen, müssen Sie zunächst ein Ziel für den Geräteschutz angeben. Mögliche Ziele sind: ■ Massenspeicher (Boot-Laufwerke/Andere Volumes) ■ Wechselmedien ■ Optische Laufwerke ■ Datenträgermodelle ■ Einzelne Datenträger ■ Cloud Storage Definitionen Für jedes Ziel muss eine eigene Richtlinie angelegt werden. Hinweis: Ziel Wechselmedien: Eine Richtlinie für die volume-basierende Verschlüsselung von Wechsellaufwerken, die es dem Benutzer erlaubt, einen Schlüssel aus einer Liste auszuwählen (z. B. Beliebiger Schlüssel im Schlüsselring des Benutzers), kann vom 376 Administratorhilfe Benutzer umgangen werden, indem er keinen Schlüssel auswählt. Um sicherzustellen, dass Wechsellaufwerke immer verschlüsselt werden, verwenden Sie eine dateibasierende Verschlüsselungsrichtlinie legen Sie in der volume-basierenden Verschlüsselungsrichtlinie explizit einen Schlüssel fest. Richtlinieneinstellung Erklärung Verschlüsselungsmodus für Medien Dient dem Schutz von Endgeräten (PCs, Notebooks usw.) und allen Arten von Wechseldatenträgern. Hinweis: Diese Einstellung ist obligatorisch. Hauptaufgabe ist die Verschlüsselung aller auf lokalen oder externen Datenträgern gespeicherten Daten. Durch die transparente Arbeitsweise können Benutzer einfach ihre gewohnten Anwendungen, z. B. Microsoft Office, weiter benutzen. Transparente Verschlüsselung bedeutet für den Benutzer, dass alle verschlüsselt gespeicherten Daten (sei es in verschlüsselten Verzeichnissen oder Laufwerken) automatisch im Hauptspeicher entschlüsselt werden, sobald sie in einem Programm geöffnet werden. Beim Abspeichern der Datei wird diese automatisch wieder verschlüsselt. Folgende Optionen stehen zur Verfügung: Keine Verschlüsselung Volume-basierend(= transparente, sektorbasierende Verschlüsselung) Stellt sicher, dass alle Daten verschlüsselt sind (inkl. Boot-Dateien, Swapfile, Datei für den Ruhezustand/Hibernation File, temporäre Dateien, Verzeichnisinformationen usw.) ohne dass sich der Benutzer in seiner Arbeitsweise anpassen oder auf Sicherheit achten muss. Dateibasierend (= transparente, dateibasierte Verschlüsselung, Smart MediaEncryption) Stellt sicher, dass alle Daten verschlüsselt sind (außer Boot Medium und Verzeichnisinformationen), mit dem Vorteil, dass auch optische Medien wie CD/DVD verschlüsselt werden können oder Daten mit Fremdrechnern, auf denen kein SafeGuard Enterprise installiert ist, ausgetauscht werden können (soweit von der Richtlinie erlaubt). Hinweis: Für Richtlinien mit White Lists können nur die Optionen Keine Verschlüsselung oder Dateibasierend ausgewählt werden. ALLGEMEINE EINSTELLUNGEN Algorithmus für die Verschlüsselung Setzt den Verschlüsselungsalgorithmus. Liste aller einsetzbaren Algorithmen mit ihren jeweiligen Standards: AES256: 32 Bytes (256 Bits) AES128: 16 Bytes (128 Bits) Schlüssel für die Verschlüsselung Legt fest, welcher Schlüssel zur Verschlüsselung verwendet wird. Es können bestimmte Schlüssel festgelegt werden (z. B. 377 SafeGuard Enterprise Richtlinieneinstellung Erklärung Computer-Schlüssel, oder ein definierter Schlüssel) oder dem Benutzer kann die Auswahl eines Schlüssels erlaubt werden. Die Schlüssel, die ein Benutzer verwenden darf, können eingeschränkt werden. Folgende Optionen stehen zur Verfügung: Beliebiger Schlüssel im Schlüsselring des Benutzers Alle Schlüssel aus dem Schlüsselbund des Benutzers werden angezeigt und der Benutzer darf einen daraus auswählen. Hinweis: Diese Option muss gewählt werden, wenn eine Richtlinie für dateibasierende Verschlüsselung für einen durch SafeGuard Enterprise geschützten Standalone-Endpoint angelegt wird. Alle, außer persönliche Schlüssel im Schlüsselring Alle Schlüssel aus dem Schlüsselbund mit Ausnahme des persönlichen Schlüssels werden angezeigt und der Benutzer darf einen daraus auswählen. Beliebiger Gruppenschlüssel im Schlüsselring des Benutzers Alle Gruppenschlüssel aus dem Schlüsselbund des Benutzers werden angezeigt und der Benutzer darf einen daraus auswählen. Definierter Computerschlüssel Es wird der Maschinen-Schlüssel verwendet - der Benutzer selbst kann KEINEN Schlüssel auswählen. Hinweis: Diese Option muss gewählt werden, wenn eine Richtlinie für volume-basierende Verschlüsselung für einen durch SafeGuard Enterprise geschützten Standalone-Endpoint angelegt wird. Wenn Sie dennoch die Option Beliebiger Schlüssel im Schlüsselring des Benutzers auswählen und der Benutzer wählt einen lokal erzeugten Schlüssel für die volume-basierende Verschlüsselung, wird der Zugriff auf dieses Volume verweigert. Beliebiger Schlüssel im Schlüsselring des Benutzers außer lokal erzeugte Schlüssel Alle Schlüssel aus dem Schlüsselring mit Ausnahme der lokal erzeugten Schlüsse werden angezeigt und der Benutzer darf einen daraus auswählen Definierter Schlüssel aus der Liste Der Administrator kann in der Administration bei der Richtlinien-Einstellung einen beliebigen, existierenden Schlüssel auswählen. Der Schlüssel muss unter Für Verschlüsselung definierter Schlüssel ausgewählt werden. Bei Verwendung von „Definierter Computer-Schlüssel“ 378 Administratorhilfe Richtlinieneinstellung Erklärung Ist SafeGuard Enterprise Device Encryption nicht auf einem Endpoint installiert (keine SafeGuard POA, keine volume-basierende Verschlüsselung), wird eine Richtlinie, die den Definierten Computerschlüssel als Schlüssel für die dateibasierende Verschlüsselung festlegt, nicht auf dem Endpoint wirksam. Der definierte Computerschlüssel ist auf einem Endpoint dieses Typs nicht verfügbar. Die Daten können nicht verschlüsselt werden. Richtlinien für durch SafeGuard Enterprise geschützte Standalone-Endpoints: Hinweis: Bitte beachten Sie beim Erstellen von Richtlinien für Standalone-Computer, dass für die dateibasierende Verschlüsselung ausschließlich die Option Beliebiger Schlüssel im Schlüsselring des Benutzers möglich ist. Zusätzlich darf das Erzeugen von lokalen Schlüsseln nicht verboten werden. Falls die Medien-Passphrase-Funktion für Unmanaged Endpoints aktiviert ist, wird der Medienverschlüsselungsschlüssel automatisch als Für Verschlüsselung definierter Schlüssel verwendet, da auf Unmanaged Endpoints keine Gruppenschlüssel zur Verfügung stehen. Wenn Sie beim Erstellen einer Wechselmedien-Richtlinie für Standalone-Endpoints einen anderen Schlüssel unter Für Verschlüsselung definierter Schlüssel auswählen, so hat dies keine Auswirkung. Für Verschlüsselung definierter Dieses Feld wird nur dann aktiv, wenn Sie im Feld Schlüssel für Schlüssel die Verschlüsselung die Option Definierter Schlüssel aus der Liste ausgewählt haben. Klicken Sie auf die Schaltfläche [...], um den Dialog Schlüssel suchen aufzurufen. Klicken Sie auf Jetzt suchen, um nach Schlüsseln zu suchen und wählen Sie einen Schlüssel aus der angezeigten Liste aus. Bei einer Richtlinie vom Typ Geräteschutz mit dem Ziel Wechselmedien wird dieser Schlüssel zur Verschlüsselung des Medienverschlüsselungsschlüssel verwendet, wenn die Medien-Passphrase-Funktionalität aktiviert ist (Benutzer darf eine Medien-Passphrase für Wechselmedien erzeugen auf Ja eingestellt). Für Richtlinien vom Typ Geräteschutz für Wechselmedien müssen daher die Einstellungen Schlüssel für die Verschlüsselung Für Verschlüsselung definierter Schlüssel unabhängig voneinander spezifiziert werden. Richtlinien für durch SafeGuard Enterprise geschützte Standalone-Endpoints: Falls die Medien-Passphrase-Funktion für Unmanaged Endpoints aktiviert ist, wird der Medienverschlüsselungsschlüssel automatisch als Für Verschlüsselung definierter Schlüssel verwendet, da auf Unmanaged Endpoints keine Gruppenschlüssel zur Verfügung stehen. 379 SafeGuard Enterprise Richtlinieneinstellung Erklärung Benutzer darf einen lokalen Schlüssel erzeugen Diese Einstellung bestimmt, ob Benutzer auf ihren Computern lokale Schlüssel erzeugen dürfen oder nicht. Lokale Schlüssel werden auf dem Endpoint basierend auf einer vom Benutzer eingegebenen Passphrase erzeugt. Die Anforderungen, denen eine Passphrase entsprechen muss, können in Richtlinien vom Typ Passphrase festgelegt werden. Diese Schlüssel werden ebenfalls in der Datenbank gespeichert. Der Benutzer kann sie auf jedem Endpoint, auf dem er sich anmelden darf, verwenden. Lokale Schlüssel können zum sicheren Datenaustausch über SafeGuard Data Exchange (SG DX) verwendet werden. VOLUME-BASIERENDE EINSTELLUNGEN Benutzer darf dem verschlüsseltem Volume Schlüssel hinzufügen oder diese entfernen Ja: Endpoint-Benutzer dürfen einen zusätzlichen Schlüssel aus einem Schlüsselbund einfügen/entfernen. Der Dialog wird angezeigt über den Kontextmenüeintrag Eigenschaften/Verschlüsselung / Registerkarte. Nein: Endpoint-Benutzer dürfen keine zusätzlichen Schlüssel hinzufügen. Reaktion auf unverschlüsselte Definiert, wie SafeGuard Enterprise mit unverschlüsselten Medien Volumes umgeht: Folgende Optionen stehen zur Verfügung: Abweisen (= Klartext-Medium wird nicht verschlüsselt) Nur unverschlüsselte Medien akzeptieren und verschlüsseln Alle Medien akzeptieren und verschlüsseln Benutzer darf Volume entschlüsseln Bewirkt, dass der Benutzer über einen Kontextmenü-Eintrag im Windows Explorer das Laufwerk entschlüsseln darf. Schnelle Initialverschlüsselung Wählen Sie diese Einstellung aus, um den Modus der schnellen Initialverschlüsselung für die volume-basierende Verschlüsselung zu aktivieren. Dieser Modus reduziert den Zeitraum, der für die Initialverschlüsselung auf Endpoints benötigt wird. Hinweis: Dieser Modus kann zu einem unsicheren Zustand führen. For further information, see Schnelle Initialverschlüsselung (Seite 201). Bei defekten Sektoren fortfahren Legt fest, ob die Verschlüsselung fortgesetzt oder gestoppt werden soll, wenn defekte Sektoren entdeckt werden. Die Standardeinstellung ist Ja. DATEIBASIERENDE EINSTELLUNGEN Initialverschlüsselung aller Dateien 380 Bewirkt, dass die Initialverschlüsselung für ein Laufwerk automatisch nach der Benutzeranmeldung gestartet wird. Der Benutzer muss Administratorhilfe Richtlinieneinstellung Erklärung eventuell vorher einen Schlüssel aus dem Schlüsselbund auswählen. Benutzer darf Initialverschlüsselung abbrechen Bewirkt, dass der Benutzer die Initialverschlüsselung abbrechen kann. Benutzer darf auf unverschlüsselte Dateien zugreifen Definiert, ob ein Benutzer auf unverschlüsselte Dateien auf einem Laufwerk zugreifen darf. Benutzer darf Dateien entschlüsseln Bewirkt, dass der Benutzer einzelne Dateien oder ganze Verzeichnisse entschlüsseln kann (über die Windows Explorer-Erweiterung <rechte Maustaste>). Benutzer darf eine Medien-Passphrase für Wechselmedien erzeugen Bewirkt, dass der Benutzer eine Medien-Passphrase auf seinem Endpoint festlegen kann. Die Medien-Passphrase ermöglicht den einfachen Zugriff auf alle lokalen Schlüssel auf Computern ohne SafeGuard Data Exchange über SafeGuard Portable. Nur für Wechselmedien und Cloud Storage: Wenn diese Option ausgewählt ist, wird SafeGuard Portable auf alle Wechselmedien, die mit dem Endpoint verbunden werden, sowie in alle Synchronisierungsordner, die in einer Cloud Storage SafeGuard Portable auf das Ziel Definition für SafeGuard Cloud Storage definiert sind, kopiert. kopieren SafeGuard Portable ermöglicht den verschlüsselten Datenaustausch mit Wechselmedien oder Cloud Storage, ohne dass der Empfänger der Daten SafeGuard Enterprise installiert haben muss. Der Empfänger kann mit Hilfe von SafeGuard Portable und der entsprechenden Passphrase die verschlüsselten Daten entschlüsseln und auch wieder verschlüsseln. Der Empfänger kann mit SafeGuard Portable die Daten neu verschlüsseln oder den ursprünglich verwendeten Schlüssel für die Verschlüsselung verwenden. SafeGuard Portable muss nicht auf den Computer des Empfängers installiert oder kopiert werden, sondern kann direkt von den Wechselmedien oder von Cloud Storage aus verwendet werden. Standardschlüssel für die Initialverschlüsselung Über einen Dialog kann ein Schlüssel ausgewählt werden, der für die dateibasierte Initialverschlüsselung verwendet wird. Der Benutzer kann dann beim Start der Initialverschlüsselung keinen Schlüssel wählen. Die Initialverschlüsselung startet ohne Benutzerinteraktion. Für die Initialverschlüsselung wird immer der hier festgelegte Schlüssel verwendet. Beispiel: Voraussetzung: Ein Standardschlüssel für die Initialverschlüsselung ist gesetzt. Verbindet der Benutzer ein USB-Gerät mit dem Computer, startet die Initialverschlüsselung automatisch. Der definierte Schlüssel wird benutzt. Es ist kein Benutzereingriff notwendig. Will der Benutzer anschließend Dateien umschlüsseln oder neue Dateien auf dem USB-Medium speichern, kann er einen beliebigen 381 SafeGuard Enterprise Richtlinieneinstellung Erklärung Schlüssel auswählen (falls erlaubt und verfügbar). Schließt er dann ein anderes USB-Gerät an, wird wiederum der Schlüssel, der für die Initialverschlüsselung festgelegt wurde, zur Initialverschlüsselung verwendet. Dieser Schlüssel wird auch für folgende Verschlüsselungsoperationen verwendet, bis der Benutzer explizit einen anderen Schlüssel auswählt. Hinweis: Wenn die Medien-Passphrase-Funktion aktiviert ist, wird diese Option deaktiviert. Der Für Verschlüsselung definierte Schlüssel wird verwendet. Klartext-Ordner Der hier angegebene Ordner wird auf allen Wechselmedien, Massenspeichern und in allen Cloud Storage Synchronisierungsordnern erstellt. Dateien, die in diesen Ordner kopiert werden, bleiben immer unverschlüsselt. Benutzer darf über Verschlüsselung entscheiden Sie können den Benutzer dazu berechtigen zu entscheiden, ob Dateien auf Wechselmedien und Massenspeichern verschlüsselt werden sollen: Wenn Sie hier Ja auswählen, werden Benutzer dazu aufgefordert zu entscheiden, ob Daten verschlüsselt werden sollen. Für Massenspeicher wird diese Aufforderung nach jeder Anmeldung angezeigt. Für Wechselmedien wird sie angezeigt, wenn die Wechselmedien mit dem Computer verbunden werden. Wenn Sie für diese Option Ja, Benutzereinstellungen merken auswählen, können die Benutzer die Option Einstellungen speichern und Dialog nicht mehr anzeigen wählen, um ihre Auswahl für das relevante Gerät zu speichern. In diesem Fall wird der Dialog für das Gerät nicht mehr angezeigt. Wenn der Benutzer im auf dem Endpoint angezeigten Dialog Nein wählt, wird weder eine initiale noch eine transparente Verschlüsselung durchgeführt. 7.12.10 Spezifische Computereinstellungen - Grundeinstellungen Richtlinieneinstellungen Erklärung POWER-ON AUTHENTICATION (POA) Power-on Authentication aktivieren Definiert, ob die SafeGuard POA ein- oder ausgeschaltet sein soll. Wichtig: Aus Sicherheitsgründen empfehlen wir dringend, die SafeGuard POA eingeschaltet zu lassen. Durch Deaktivierung der SafeGuard POA reduziert sich die Systemsicherheit auf den Schutz durch die Windows-Anmeldung. Dadurch erhöht sich das Risiko des unberechtigten Zugriffs auf verschlüsselte Daten. 382 Administratorhilfe Richtlinieneinstellungen Erklärung Zugriff verweigern, falls keine Verbindung zum Verweigert eine Anmeldung in der SafeGuard Server in Tagen (0= keine Überprüfung) POA, wenn zwischen Endpoint und Server länger als festgelegt keine Verbindung bestand. SICHERES WAKE ON LAN (WOL) Mit den Sicheres Wake On LAN Einstellungen können Sie Endpoints für Software Rollouts vorbereiten. Nach dem Wirksamwerden einer solchen Richtlinie auf Endpoints werden die notwendigen Parameter (z. B. SafeGuard POA-Deaktivierung und ein Zeitabstand für Wake on LAN) direkt an die Endpoints übertragen, wo sie analysiert werden. Wichtig: Wir weisen an dieser Stelle ausdrücklich darauf hin, dass auch das zeitlich begrenzte "Ausschalten" der SafeGuard POA für eine bestimmte Anzahl von Boot-Vorgängen ein Absenken des Sicherheitsniveaus bedeutet. Weitere Informationen zu sicherem Wake on LAN finden Sie unter Sicheres Wake on LAN (WOL) (Seite 208). Anzahl der automatischen Anmeldungen Definiert die Anzahl der Neustarts mit ausgeschalteter SafeGuard Power-on Authentication für Wake on LAN. Diese Einstellung überschreibt temporär die Einstellung von Power-on Authentication aktivieren, bis die Anzahl der eingestellten automatischen Anmeldungen erreicht ist. Danach wird die SafeGuard Power-on Authentication wieder aktiviert. Wenn Sie die Anzahl an automatischen Anmeldungen auf zwei einstellen und Power-on Authentication aktivieren aktiv ist, startet der Endpoint zweimal ohne Authentisierung durch die SafeGuard POA. Wir empfehlen, für Wake on LAN immer drei Neustarts mehr als notwendig für Wartungsarbeiten zu erlauben, um unvorhergesehene Probleme zu umgehen. Lokale Windows-Anmeldung während WOL erlauben Bestimmt, ob lokale Anmeldungen an Windows während Wake-On-LAN erlaubt sind. Beginn des Zeitfensters für externen WOL Start Datum und Uhrzeit für den Beginn und das Ende des Wake on LAN (WOL) können ausgewählt oder Ende des Zeitfensters für externen WOL Start eingegeben werden. Datumsformat: MM/DD/YYYY Uhrzeitformat: HH:MM Folgende Eingabekombinationen sind möglich: 383 SafeGuard Enterprise Richtlinieneinstellungen Erklärung Beginn und Ende des WOL werden festgelegt. Nur das Ende des WOL wird festgelegt, der Beginn bleibt offen. Keine Einträge: Es wird kein Zeitintervall für den Client festgelegt Bei einem geplanten Software Rollout sollte der Sicherheitsbeauftragte den Zeitrahmen für WOL so bemessen, dass das Scheduling-Skript früh genug startet und allen Endpoints genügend Zeit zum Booten bleibt. WOLstart: Der Startpunkt für den WOL im Scheduling-Skript muss innerhalb des hier in der Richtlinie festgelegten Zeitintervalls liegen. Wenn kein Intervall definiert ist, wird WOL lokal am durch SafeGuard Enterprise geschützten Endpoint nicht aktiviert. WOLstop: Dieses Kommando wird unabhängig vom hier festgelegten Endpunkt des WOL ausgeführt. BENUTZER-COMPUTER ZUORDNUNG (UMA) SGN Gastbenutzer nicht zulassen Hinweis: Diese Einstellung gilt nur für zentral verwaltete Endpoints. Legt fest, ob sich Gastbenutzer am Endpoint anmelden können. Hinweis: Microsoft Konten werden immer als SafeGuard Enterprise Gastbenutzer behandelt. Registrieren von neuen SGN-Benutzern erlauben Gibt an, wer einen anderen SGN-Benutzer in die SafeGuard POA und/oder UMA importieren kann (indem die durchgehende Anmeldung an das Betriebssystem deaktiviert wird). Hinweis: Bei Endpoints, auf denen das Device Encryption-Modul nicht installiert ist, muss die Einstellung Registrieren von neuen SGN-Benutzern erlauben auf Jeder gesetzt sein, wenn es auf dem Endpoint möglich sein soll, der UMA mehrere Benutzer hinzuzufügen, die Zugriff auf ihre Schlüsselringe haben sollen. Sonst können Benutzer nur im Management Center hinzugefügt werden. Diese Option ist wird nur auf zentral verwalteten Endpoints ausgewertet. Siehe auch Neue SafeGuard Enterprise Data Exchange-Benutzer erhalten nach dem Anmelden bei SafeGuard Enterprise Data Exchange Only Clients kein Zertifikat. 384 Administratorhilfe Richtlinieneinstellungen Erklärung Ist die Einstellung auf Niemand gesetzt, wird die POA nicht aktiviert. Benutzer müssen im Management Center manuell hinzugefügt werden. Registrierung von SGN Windows-Benutzern aktivieren Manuelle UMA Bereinigung für Standalone Clients aktivieren Legt fest, ob SGN Windows-Benutzer auf dem Endpoint registriert werden können. Ein SGN Windows-Benutzer wird nicht zur SafeGuard POA hinzugefügt, verfügt jedoch über einen Schlüsselring, mit dem er auf verschlüsselte Dateien zugreifen kann wie ein SGN-Benutzer. Wenn Sie diese Einstellung wählen, werden alle Benutzer, die andernfalls SGN-Gast-Benutzer geworden wären, zu SGN Windows-Benutzern. Die Benutzer werden zur UMA hinzugefügt, sobald sie sich an Windows angemeldet haben. Hinweis: Diese Einstellung gilt nur für Standalone-Endpoints. Legt fest, ob Benutzer SGN-Benutzer und SGN Windows-Benutzer aus der Benutzer-Computer Zuordnung entfernen dürfen. Wenn Sie hier Ja auswählen, steht der Befehl Benutzer-Computer Zuordnung im System Tray Icon Menü auf dem Endpoint zur Verfügung. Mit diesem Befehl wird eine Liste von Benutzern angezeigt, die sich bei der SafeGuard Power-on Authentication als SGN-Benutzer und bei Windows als SGN Windows-Benutzer anmelden können. Im angezeigten Dialog können Benutzer aus der Liste entfernt werden. Nach dem Entfernen von SGN-Benutzern oder SGN Windows-Benutzern, können sich diese nicht mehr an der SafeGuard Power-on Authentication oder an Windows anmelden. Maximale Anzahl von SGN Windows - Benutzern Hinweis: Diese Einstellung gilt nur für zentral bevor Benutzer automatisch gelöscht werden verwaltete Endpoints. Mit dieser Einstellung können Sie eine automatisch Bereinigung der SafeGuard Enterprise Windows-Benutzer auf zentral verwalteten Endpoints aktiviert. Sobald der hier gesetzte Schwellwert von einem SafeGuard Enterprise Windows-Benutzer überschritten wird, werden alle vorhandenen SafeGuard Enterprise Windows-Benutzer außer dem neuen aus der Benutzer-Computer Zuordnung entfernt. Die Standardeinstellung ist 10. ANZEIGEOPTIONEN 385 SafeGuard Enterprise Richtlinieneinstellungen Erklärung Computer-Identifikation anzeigen Zeigt in der Titelleiste der SafeGuard POA entweder den Computernamen oder einen frei definierbaren Text an. Existiert ein Computername in den Windows-Netzwerkeinstellungen, wird dieser in der Grundeinstellung automatisch übernommen. Text für Computer-Identifikation Der Text, der in der Titelleiste der SafeGuard POA angezeigt werden soll. Ist unter Computer-Identifikation anzeigen die Option Definierter Name ausgewählt, können Sie in diesem Eingabefeld den Text eingeben. Rechtliche Hinweise anzeigen Zeigt eine Textbox mit frei konfigurierbarem Inhalt an, die vor der Anmeldung in der SafeGuard POA erscheint. In manchen Ländern ist das Erscheinen eines Textfelds mit bestimmtem Inhalt gesetzlich vorgeschrieben. Die Box muss vom Benutzer bestätigt werden, bevor das System fortfährt. Bevor Sie einen Text angeben können, muss dieser als Textelement im Richtlinien Navigationsbereich unter Texte registriert werden. Text für rechtliche Hinweise Text, der als rechtlicher Hinweis angezeigt werden soll. Sie können hier ein Textelement auswählen, das im Richtlinien Navigationsbereich unter Texte registriert wurde. Zusätzliche Informationen anzeigen Zeigt eine Textbox mit frei konfigurierbarem Inhalt an, die nach den rechtlichen Hinweisen (wenn diese aktiviert sind) erscheint. Sie können festlegen, ob die zusätzlichen Informationen angezeigt werden: Nie Bei jedem Systemstart Bei jeder Anmeldung Bevor Sie einen Text angeben können, muss dieser als Textelement im Richtlinien Navigationsbereich unter Texte registriert werden. 386 Administratorhilfe Richtlinieneinstellungen Erklärung Text für zusätzliche Informationen Text, der als zusätzliche Information angezeigt werden soll. Sie können hier ein Textelement auswählen, das im Richtlinien Navigationsbereich unter Texte registriert wurde. Anzeigedauer für zusätzliche Informationen Zeitraum (in Sekunden) für die Anzeige zusätzlicher Informationen. Sie können hier die Anzahl der Sekunden eingeben, nach denen die Textbox für zusätzliche Informationen automatisch geschlossen wird. Der Benutzer kann die Textbox jederzeit durch Klicken auf OK schließen. System Tray Icon aktivieren und anzeigen Über das SafeGuard Enterprise System Tray Icon kann auf dem Endpoint einfach und schnell auf alle Benutzerfunktionen zugegriffen werden. Zusätzlich können für den Benutzer Informationen über den Status des Endpoint (neue Richtlinien erhalten usw.) über Balloon Tool Tips ausgegeben werden. Ja: System Tray Icon wird im Infobereich der Taskleiste angezeigt, der Benutzer wird über Balloon Tool Tips laufend über den Status des durch SafeGuard Enterprise geschützten Endpoint. Nein: System Tray Icon wird nicht angezeigt. Keine Statusinformationen für den Benutzer über Ballon Tool Tips. Stumm: System Tray Icon wird im Infobereich der Taskleiste angezeigt, es werden aber keine Statusinformationen für den Benutzer über Ballon Tool Tips ausgegeben. Overlay-Symbole im Explorer anzeigen Bestimmt, ob im Windows Explorer Schlüsselsymbole zur Anzeige des Verschlüsselungsstatus von Volumes, Geräten, Ordnern und Dateien angezeigt werden. Virtuelle Tastatur in der POA Bestimmt, ob im SafeGuard POA-Anmeldedialog bei Bedarf eine virtuelle Tastatur zur Eingabe des Kennworts angezeigt werden kann. INSTALLATIONSOPTIONEN 387 SafeGuard Enterprise Richtlinieneinstellungen Erklärung Deinstallation erlaubt Bestimmt, ob die Deinstallation von SafeGuard Enterprise auf den Endpoints möglich ist. Wird Deinstallation erlaubt auf Nein gesetzt, kann SafeGuard Enterprise solange eine Richtlinie mit dieser Einstellung wirksam ist, auch mit Administratorrechten nicht deinstalliert werden. Sophos Manipulationsschutz aktivieren Aktiviert/deaktiviert die Funktion Sophos Manipulationsschutz. Wenn Sie die Deinstallation von SafeGuard Enterprise über die Richtlinieneinstellung Deinstallation erlaubt als zulässig definiert haben, können Sie diese Richtlinieneinstellung auf Ja setzen, um Deinstallationsvorgänge durch die Funktion Sophos Manipulationsschutz überprüfen zu lassen und somit ein leichtfertiges Entfernen der Software zu verhindern. Erlaubt die Funktion Sophos Manipulationsschutz die Deinstallation nicht, wird der Deinstallationsvorgang abgebrochen. Ist Sophos Manipulationsschutz aktivieren auf Nein eingestellt, werden SafeGuard Enterprise Deinstallationsvorgänge durch die Funktion Sophos Manipulationsschutz weder geprüft noch verhindert. Hinweis: Diese Einstellung gilt nur für Endpoints, auf denen Sophos Endpoint Security and Control in der Version 9.5 oder einer neueren Version installiert ist. EINSTELLUNGEN FÜR CREDENTIAL PROVIDERS Credential Provider Wrapping In SafeGuard Enterprise können Sie konfigurieren, dass ein anderer Credential Provider als der Windows Credential Provider verwendet wird. Vorlagen für die unterstützten Credential Provider stehen auf Sophos.com zum Download zur Verfügung. Eine Liste mit Vorlage für getestete Credential Provider sowie die Information zum Download erhalten Sie vom Sophos Support. Mit Hilfe der Richtlinieneinstellung Credential Provider können Sie eine Vorlage importieren und auf Endpoints anwenden. Klicken Sie auf Vorlage importieren und suchen Sie nach der Vorlagendatei. Die importierte Vorlage und deren Inhalt werden im mehrzeiligen Feld Credential Providerangezeigt und als Richtlinie eingestellt. Um eine Vorlage zu löschen, klicken Sie auf Vorlage löschen. 388 Administratorhilfe Richtlinieneinstellungen Erklärung Hinweis: Bearbeiten Sie die bereitgestellten Vorlagendateien nicht. Wenn die XML-Struktur dieser Dateien geändert wird, werden die Einstellungen unter Umständen auf dem Endpoint nicht erkannt. Dann wird unter Umständen der Standard Windows Credential Provider verwendet. EINSTELLUNGEN FÜR DIE TOKENUNTERSTÜTZUNG Token Middleware Modulname Registriert das PKCS#11 Modul eines Token. Folgende Optionen stehen zur Verfügung: ActiveIdentity ActivClient ActiveIdentity ActivClient (PIV) AET SafeSign Identity Client Aladdin eToken PKI Client a.sign Client ATOS CardOS API Charismathics Smart Security Interface Estonian ID-Card Gemalto Access Client Gemalto Classic Client Gemalto .NET Card IT Solution trustware CSP+ Módulo PKCS#11 TC-FNMT Nexus Personal RSA Authentication Client 2.x RSA Smart Card Middleware 3.x Siemens CardOS API T-Systems NetKey 3.0 Unizeto proCertum Benutzerdefinierte PKCS#11 Einstellungen... Wenn Sie Benutzerdefinierte PKCS#11 Einstellungen... auswählen, werden die Benutzerdefinierten PKCS#11 Einstellungen aktiviert. 389 SafeGuard Enterprise Richtlinieneinstellungen Erklärung Sie können dann die zu verwendenden Modulnamen eingeben: PKCS#11 Modul für Windows PKCS#11 Modul für die SafeGuard Power-on Authentication (POA) Hinweis: Wenn Sie Nexus Personal oder Gemalto .NET Card Middleware installieren, müssen Sie den Installationspfad der Middleware auch zur PATH-Umgebungsvariable der Systemeigenschaften Ihres Computers hinzufügen. Standard-Installationspfad für Gemalto .NET Card: C:\Programme\ Gemalto\PKCS11 for .NET V2 smart cards Standard-Installationspfad für Nexus Personal: C:\Programme\Personal\bin Lizenzen: Beachten Sie, dass für die Benutzung der jeweiligen Middleware für das Standard-Betriebssystem eine Lizenzvereinbarung mit dem jeweiligen Hersteller erforderlich ist. Informationen darüber, wo Sie die Lizenzen erhalten, finden Sie unter Beschaffung der erforderlichen Middleware-Lizenzen für das Betriebssystem gemäß den Voraussetzungen von SafeGuard Device Encryption. Wenn Sie Siemens-Lizenzen erwerben möchten, wenden Sie sich an: Atos IT Solutions and Services GmbH Otto-Hahn-Ring 6 D-81739 München Germany Dienste, auf die gewartet wird Diese Einstellung dient zur Problembehebung mit bestimmten Token. Entsprechende Einstellungen werden gegebenenfalls von unserem Support bekannt gegeben. 7.12.11 Protokollierung bei Windows Endpoints Ereignisse für SafeGuard Enterprise können in der Windows-Ereignisanzeige oder in der SafeGuard Enterprise Datenbank protokolliert werden. Um festzulegen, welche Ereignisse an welchem Ziel protokolliert werden sollen, erstellen Sie eine Richtlinie vom Typ Protokollierung und wählen Sie die gewünschten Ereignisse per Mausklick aus. Es steht eine Vielzahl von Ereignissen aus unterschiedlichen Kategorien (z. B. Anmeldung, Verschlüsselung usw.) zur Auswahl zur Verfügung. Es ist daher empfehlenswert, eine 390 Administratorhilfe Vorgehensweise für die Protokollierung zu definieren und die notwendigen Ereignisse unter Berücksichtigung der Anforderungen für Berichte und Audits festzulegen. Weitere Informationen finden Sie unter Berichte (Seite 328). 7.13 Fehlerbehebung 7.13.1 Fehlercodes 7.13.1.1 SGMERR-Codes in der Windows-Ereignisanzeige In der Windows-Ereignisanzeige könnten Sie folgende Meldung finden: "Authorization for SafeGuard Enterprise Administration failed for user... Grund: SGMERR[536870951]" Welche Bedeutung die Nummer “536870951” hat, finden Sie in dieser Tabelle. Nummer “536870951” bedeutet zum Beispiel “Die angegebene PIN ist falsch, der Benutzer konnte nicht authentisiert werden". Fehler-ID Anzeige 0 OK 21 Interner Fehler entdeckt 22 Modul nicht initialisiert 23 Datei I/O Fehler entdeckt 24 Speicher kann nicht zugewiesen werden 25 Datei I/O Lesefehler 26 Datei I/O Schreibfehler 50 Keine Operation durchgeführt 101 Allgemeiner Fehler 102 Zugriff verweigert 103 Datei existiert bereits 1201 Registry Eintrag konnte nicht geöffnet werden. 1202 Registry Eintrag konnte nicht gelesen werden. 1203 Registry Eintrag konnte nicht geschrieben werden. 391 SafeGuard Enterprise 392 Fehler-ID Anzeige 1204 Registry Eintrag konnte nicht entfernt werden. 1205 Registry Eintrag konnte nicht erzeugt werden. 1206 Kein Zugriff auf einen Systemdienst oder Treiber möglich. 1207 Ein Systemdienst oder Treiber konnte nicht in der Registry eingetragen werden. 1208 Ein Systemdienst oder Treiber konnte nicht aus der Registry entfernt werden. 1209 Ein Systemdienst oder Treiber ist bereits in der Registry eingetragen. 1210 Kein Zugriff auf den Service Control Manager möglich. 1211 Ein Eintrag für eine Session konnte in der Registry nicht gefunden werden. 1212 Ein Registry Eintrag ist ungültig oder falsch. 1301 Der Zugriff auf ein Laufwerk ist fehlgeschlagen. 1302 Keine Informationen über ein Laufwerk vorhanden. 1303 Kein Zugriff auf ein Volume möglich. 1304 Ungültige Option definiert. 1305 Unzulässiges Dateisystem. 1306 Das existierende Dateisystem auf einem Volume und das definierte sind unterschiedlich. 1307 Die vorhandene Größe eines Dateisystem-Clusters und die definierte Größe sind unterschiedlich. 1308 Unzulässige Sektorgröße eines Dateisystems definiert. 1309 Unzulässiger Startsektor definiert. 1310 Unzulässiger Partitionstyp definiert. 1311 Es konnte kein unfragmentierter, unbenutzter Bereich der erforderlichen Größe auf einem Volume gefunden werden. 1312 Dateisystem Cluster konnten nicht als benutzt markiert werden. 1313 Dateisystem Cluster konnten nicht als benutzt markiert werden. 1314 Dateisystem Cluster konnten nicht als unbenutzt markiert werden. Administratorhilfe Fehler-ID Anzeige 1315 Dateisystem Cluster konnten nicht als BAD markiert werden. 1316 Es existieren keine Informationen über die Cluster eines Dateisystems. 1317 Der als BAD markierte Bereich auf einem Volume konnte nicht gefunden werden. 1318 Unzulässige Größe eines Bereichs auf einem Volume definiert. 1319 Der MBR Sektor einer Festplatte konnte nicht ersetzt werden. 1330 Ein falsches Kommando für eine Allokierung oder Deallokierung definiert. 1351 Unzulässiger Algorithmus definiert. 1352 Der Zugriff auf den Systemkern ist fehlgeschlagen. 1353 Es ist kein Systemkern installiert. 1354 Beim Zugriff auf den Systemkern ist ein Fehler aufgetreten. 1355 Unzulässige Änderung der Systemeinstellungen. 1401 Auf ein Laufwerk konnten keine Daten geschrieben werden. 1402 Von einem Laufwerk konnten keine Daten gelesen werden. 1403 Der Zugriff auf ein Laufwerk ist fehlgeschlagen. 1404 Unzulässiges Laufwerk. 1405 Änderung der Zugriffsposition auf einem Laufwerk ist fehlgeschlagen. 1406 Laufwerk ist nicht bereit. 1407 Unmount eines Laufwerks ist fehlgeschlagen. 1451 Datei konnte nicht geöffnet werden. 1452 Datei konnte nicht gefunden werden. 1453 Unzulässiger Dateipfad definiert. 1454 Datei konnte nicht erzeugt werden. 1455 Datei konnte nicht kopiert werden. 1456 Keine Informationen über ein Laufwerk vorhanden. 1457 Die Position in einer Datei konnte nicht geändert werden. 393 SafeGuard Enterprise 394 Fehler-ID Anzeige 1458 Das Lesen von einer Datei ist fehlgeschlagen. 1459 Es konnten keine Daten in eine Datei geschrieben werden. 1460 Eine Datei konnte nicht entfernt werden. 1461 Unzulässiges Dateisystem. 1462 Datei konnte nicht geschlossen werden. 1463 Kein Zugriff auf eine Datei möglich. 1501 Nicht genug Speicher vorhanden. 1502 Unzulässiger oder falscher Parameter definiert. 1503 Ein Puffer für Daten ist zu klein. 1504 Ein DLL-Modul konnte nicht geladen werden. 1505 Eine Funktion oder ein Prozess wurde abgebrochen. 1506 Kein Zugriff erlaubt. 1510 Es ist kein Systemkern installiert. 1511 Ein Programm konnte nicht gestartet werden. 1512 Eine Funktion, ein Objekt oder Daten sind nicht vorhanden. 1513 Unzulässiger Eintrag. 1514 Ein Objekt existiert bereits. 1515 Unzulässiger Funktionsaufruf. 1516 Es ist ein interner Fehler aufgetreten. 1517 Es ist eine Zugriffsverletzung aufgetreten. 1518 Funktion oder Modus wird nicht unterstützt. 1519 Deinstallation ist fehlgeschlagen. 1520 Es ist ein Ausnahmefehler aufgetreten. 1550 Der MBR Sektor der Festplatte konnte nicht ersetzt werden. 2850 Taskplaner-Dienst wurde wegen eines Ausnahmefehlers angehalten. Administratorhilfe Fehler-ID Anzeige 2851 Task-Planer Task erfolgreich ausgeführt 2852 Task-Planer Task fehlgeschlagen 2853 Task-Planer Task erzeugt oder geändert 2854 Task-Planer Task gelöscht 20001 Unbekannt 20002 Prozess beendet 20003 Datei nicht verifiziert 20004 Ungültige Richtlinie 30050 Die Anweisung Öffnen war nicht erfolgreich 30051 Nicht genug Speicherplatz 30052 Allgemeiner Fehler in der Prozess-Kommunikation 30053 Auf eine Ressource kann nicht zugegriffen werden. Das ist ein temporärer Zustand und ein späterer Versuch könnte erfolgreich beendet werden. 30054 Allgemeiner Kommunikationsfehler 30055 Unerwarteter Rückgabewert 30056 Kein Kartenlesegerät angeschlossen 30057 Zwischenspeicher überfüllt 30058 Karte ist nicht in Betrieb 30059 Eine Zeitüberschreitung ist eingetreten 30060 Unerlaubter Kartentyp 30061 Die gewünschte Funktionsart wird nicht unterstützt /zu dieser Zeit / In dieser OS / in dieser Situation. 30062 Ungültiger Treiber 30063 Die Firmware der angeschlossenen Hardware ist von dieser Software nicht nutzbar 30064 Öffnen der Datei ist fehlgeschlagen 395 SafeGuard Enterprise 396 Fehler-ID Anzeige 30065 Datei nicht gefunden 30066 Karte nicht eingeführt 30067 Unzulässiges Argument 30068 Die Semaphore wird derzeit verwendet. 30069 Die Semaphore ist momentan in Benutzung 30070 Allgemeiner Fehler. 30071 Sie haben momentan nicht die Rechte, die angefragte Aktion durchzuführen. Normalerweise ist es notwendig zuvor ein Kennwort einzugeben. 30072 Der Service ist momentan nicht verfügbar. 30073 Ein Element ( z. B. ein Schlüssel mit einem bestimmten Namen ) konnte nicht gefunden werden. 30074 Das angegebene Kennwort ist falsch. 30075 Das Kennwort wurde mehrere Male falsch eingegeben und ist daher geblockt. Benutzen Sie ein Verwaltungstool, um dieses zu entsperren. 30076 Die Identität stimmt nicht mit der definierten Identitäts-Gegenprobe überein. 30077 Mehrere Fehler sind aufgetreten. Benutzen Sie diesen Fehlercode, wenn dies die einzige Möglichkeit ist, einen Fehlercode zu erhalten, aber vorher verschiedene Fehler aufgetreten sind. 30078 Einige Elemente sind noch vorhanden, daher kann z. B. die Verzeichnisstruktur etc. nicht gelöscht werden. 30079 Fehler während des Konsistenztestes 30080 Die ID ist auf der Schwarzen Liste. Die angefragte Aktion ist daher nicht erlaubt. 30081 Ungültiges Handle 30082 Ungültige Konfigurationsdatei 30083 Abschnitt nicht gefunden. 30084 Eintrag nicht gefunden. 30085 Keine weiteren Abschnitte vorhanden. 30086 Ende der Datei erreicht. Administratorhilfe Fehler-ID Anzeige 30087 Der angegebene Element existiert bereits. 30088 Das Kennwort ist zu kurz. 30089 Das Kennwort ist zu lang. 30090 Ein Element ( z. B. ein Zertifikat ) ist abgelaufen. 30091 Das Kennwort ist nicht gesperrt. 30092 Der Pfad konnte nicht gefunden werden. 30093 Das Datenverzeichnis ist nicht leer. 30094 Keine weiteren Daten verfügbar 30095 Auf dem Medium ist kein Speicherplatz mehr verfügbar. 30096 Eine Operation wurde abgebrochen. 30097 Read Only Daten; eine Schreiboperation ist fehlgeschlagen. 12451840 Der Schlüssel ist nicht verfügbar. 12451842 Der Schlüssel ist nicht definiert. 12451842 Zugriff auf unverschlüsseltes Medium verweigert. 12451843 Zugriff auf unverschlüsseltes Medium verweigert, wenn nicht es nicht leer ist. 352321637 Die Datei ist nicht verschlüsselt. 352321638 Der Schlüssel ist nicht verfügbar. 352321639 Der richtige Schlüssel ist nicht verfügbar. 352321640 Checksummenfehler im Datei-Header. 352321641 Fehler in CBI-Funktion. 352321642 Ungültiger Dateiname. 352321643 Fehler beim Lesen/Schreiben der temporären Datei. 352321644 Zugriff auf unverschlüsselte Dateien ist nicht erlaubt. 352321645 Key Storage Area (KSA) voll. 352321646 Die Datei ist bereits mit einem anderen Algorithmus verschlüsselt. 397 SafeGuard Enterprise 398 Fehler-ID Anzeige 352321647 Datei ist mit NTFS komprimiert und kann daher nicht verschlüsselt werden! 352321648 Datei ist mit EFS verschlüsselt! 352321649 Ungültiger Datei-Besitzer! 352321650 Ungültiger Dateiverschlüsselungsmodus! 352321651 Fehler im CBC-Handling! 385875969 Integrität verletzt. 402653185 Das Token enthält keine Berechtigungen. 402653186 Berechtigungen können nicht auf das Token geschrieben werden. 402653187 TDF-Tag konnte nicht angelegt werden. 402653188 TDF-Tag enthält die angeforderten Daten nicht. 402653189 Das Objekt existiert bereits auf dem Token. 402653190 Kein gültiger Slot gefunden. 402653191 Seriennummer konnte nicht gelesen werden 402653192 Verschlüsselung des Tokens ist gescheitert. 402653193 Entschlüsselung des Tokens ist gescheitert. 536870913 Die Schlüsseldatei enthält eine ungültige Daten. 536870914 Teile des RSA-Schlüsselpaares sind ungültig. 536870915 Das Schlüsselpaar konnte nicht importiert werden. 536870916 Das Format der Schlüsseldatei ist ungültig. 536870917 Keine Daten verfügbar. 536870918 Der Import des Zertifikates ist fehlgeschlagen, da das Zertifikat bereits existiert. 536870919 Das Modul ist bereits initialisiert worden. 536870920 Das Modul ist nicht initialisiert worden. 536870921 Die ASN.1-Verschlüsselung ist fehlerhaft. 536870922 Fehlerhafte Datenlänge. Administratorhilfe Fehler-ID Anzeige 536870923 Fehlerhafte Signatur. 536870924 Fehlerhafter Verschlüsselungsmechanismus angewandt. 536870925 Diese Version wird nicht unterstützt. 536870926 Padding Fehler. 536870927 Ungültige Flags. 536870928 Das Zertifikat ist abgelaufen und nicht länger gültig. 536870929 Unkorrekte Zeitangabe. Zertifikat noch nicht gültig. 536870930 Das Zertifikat ist entzogen worden. 536870931 Die Zertifikats-Kette ist ungültig. 536870932 Die Zertifikats-Kette konnte nicht erstellt werden. 536870933 CDP konnte nicht kontaktiert werden. 536870934 Ein Zertifikat, welches nur als End-Dateneinheit genutzt werden kann, ist als CA oder umgekehrt genutzt worden. 536870935 Probleme mit der Gültigkeitslänge der Zertifikate in der Kette. 536870936 Fehler bei der Öffnung der Datei. 536870937 Fehler beim Lesen einer Datei. 536870938 Ein oder mehrere Parameter, die an die Funktion übergeben worden sind, sind nicht korrekt. 536870939 Die Ausgabe der Funktion passt nicht in den zur Verfügung gestellten Puffer. 536870940 Ein Problem mit dem Token und/oder Slot ist aufgetaucht. 536870941 Der Token hat nicht genug Speicherkapazität, um die gewünschte Funktion auszuführen. 536870942 Der Token ist aus dem Slot entfernt worden, während die Funktion ausgeführt wurde. 536870943 Die gewünschte Funktion konnte nicht ausgeführt werden, es liegen aber keine detaillierten Informationen über den Grund der Fehlermeldung vor. 536870945 Der Computer auf dem die CBI Sammlung läuft, besitzt ungenügenden Speicher, um die gewünschte Funktion auszuführen. Im schlechtesten Fall könnte es sein, dass die Funktion nur teilweise erfolgreich durchgeführt wird. 399 SafeGuard Enterprise 400 Fehler-ID Anzeige 536870946 Eine gewünschte Funktion wird nicht vom CBI-Archiv unterstütz. 536870947 Es wurde versucht, einen Wert für ein Objekt einzustellen, welches nicht eingestellt oder abgeändert werden kann. 536870948 Ein ungültiger Wert wurde für ein Objekt angegeben. 536870949 Es wurde versucht, den Wert eines Objektes zu erlangen, was jedoch fehlschlug, da es sich um ein sensibles Objekt handelt bzw. es nicht extrahierbar ist. 536870950 Die angegebene OIN Lust abgelaufen. (Ob eine PIN eines normalen Benutzers auf einem ausgegebenen Token jemals abläuft, variiert von Token zu Token.) 536870951 Die angegebene PIN abgelaufen. Der Benutzer konnte nicht authentisiert werden. 536870952 Die angegebene PIN enthält ungültige Zeichen. Dieser Antwort-Code wird nur für Funktionen angewandt, die versuchen, eine PIN einzurichten. 536870953 Die angegebene PIN ist zu lang oder zu kurz. Dieser Antwort-Code wird nur für Funktionen angewandt, die versuchen, eine PIN einzurichten. 536870954 Die angegebene PIN ist geblockt und kann nicht genutzt werden. Dies tritt auf, weil eine gewisse Anzahl an fehlgeschlagenen Versuchen zur Authentisierung aufgetreten ist und der Token weitere Versuche zur Authentisierung ablehnt. 536870955 Die angegebene Slot ID ist ungültig. 536870956 Der Token war zu dem Zeitpunkt, als die Funktion angefragt wurde nicht in seinem Slot. 536870957 Das CBI Archiv und/oder der Slot konnte keinen Token im Slot erkennen. 536870958 Die angefragte Aktion kann nicht durchgeführt werden, da der Token schreibgeschützt ist. 536870959 Der angegebene Benutzer kann nicht angemeldet werden, da dieser Benutzername bereits zur Sitzung angemeldet ist. 536870960 Der angegebene Benutzer kann nicht angemeldet werden, da ein anderer Benutzer bereits zur Sitzung angemeldet ist. 536870961 Die gewünschte Aktion kann nicht ausgeführt werden, da der geeignete Benutzer (oder ein geeigneter Benutzer) nicht angemeldet ist. Zum Beispiel kann die Abmeldung von der Sitzung nicht vor der Anmeldung liegen. 536870962 Die normale Benutzer PIN ist nicht mit CBIInitPin initialisiert. 536870963 Es wurde versucht, gleichzeitig mehrere verschiedene Benutzer auf dem Token anzumelden, was der Token und/oder das Archiv zugelassen haben. Administratorhilfe Fehler-ID Anzeige 536870964 Ein ungültiger Wert wurde als CBIUser angegeben. Gültige Typen sind in ASCI11 User Types definiert. 536870965 Ein Objekt mit der angegebenen Kennzeichnung konnte auf dem Token nicht gefunden werden. 536870966 Eine Zeitüberschreitung ist aufgetreten. 536870967 Diese Version der IE ist nicht unterstützt. 536870968 Authentisierung fehlgeschlagen. 536870969 Das Root-Zertifikat ist gesichert. 536870970 Keine CRL gefunden. 536870971 Keine aktive Internetverbindung vorhanden. 536870972 Es befindet sich ein Fehler im Zeitwert eines Zertifikates. 536870973 Das Zertifikat konnte nicht verifiziert werden. 536870974 Der Aufhebungsstatus dieses Zertifikates ist unbekannt. 536870975 Das Modul wird beendet. Keine weiteren Anfragen gestattet. 536870976 Es ist ein Fehler während einer Netzwerkfunktion aufgetreten. 536870977 Ein ungültiger Aufruf einer Funktion ist empfangen worden. 536870978 Ein Objekt konnte nicht gefunden werden. 536870979 Eine Terminal Server Sitzung wurde unterbrochen. 536870980 Ungültige Handlung. 536870981 Das Objekt ist in Benutzung. 536870982 Der Zufallszahlengenerator wurde nicht initialisiert. (CBIRNDInit ( ) wurde nicht angefragt.) 536870983 Unbekannter Befehl (siehe CBIControl ( )). 536870984 UNICODE wird nicht unterstützt. 536870985 Der Zufallszahlengenerator benötigt einen größeren Startwert (seed). 536870986 Das Objekt existiert bereits. 401 SafeGuard Enterprise 402 Fehler-ID Anzeige 536870987 Falsche Algorithmus Kombination. (Siehe CBIRecrypt ( )). 536870988 Das Cryptoki-Modul (PKCS#11) ist nicht initialisiert. 536870989 Das Cryptoki-Modul (PKCS#11) ist bereits initialisiert. 536870990 Das Cryptoki-Modul (PKCS#11) konnte nicht geladen werden. 536870991 Zertifikat nicht gefunden. 536870992 Nicht vertrauenswürdig. 536870993 Ungültiger Schlüssel. 536870994 Der Schlüssel ist nicht exportierbar. 536870995 Der angegebene Algorithmus wird momentan nicht unterstützt. 536870996 Der angegebene Entschlüsselungsmodus wird nicht unterstützt. 536870997 Ein Fehler in der GSENC Sammlung ist aufgetreten. 536870998 Format der Datenabfrage ist nicht bekannt. 536870999 Das Zertifikat hat keinen privaten Schlüssel. 536871000 Ungültige Konfiguration 536871001 Eine Operation ist aktiv. 536871002 Ein Zertifikat in der Kette ist zeitlich nicht verschachtelt. 536871003 Die CRL konnte nicht ersetzt werden. 536871004 Die BENUTZER-PIN wurde bereits initialisiert. 805306369 Sie haben keine ausreichenden Rechte, um diese Aktion auszuführen. Zugriff verweigert 805306370 Ungültige Handlung. 805306371 Ungültiger Parameter in Benutzung 805306372 Das Objekt existiert bereits. 805306373 Das Objekt konnte nicht gefunden werden. 805306374 Datenbank-Ausnahme aufgetreten. Administratorhilfe Fehler-ID Anzeige 805306375 Die Aktion wurde vom Benutzer abgebrochen. 805306376 Das Token ist keinem bestimmten Benutzer zugewiesen. 805306377 Das Token ist mehr als einem Benutzer zugewiesen. 805306378 Das Token konnte nicht in der Datenbank gefunden werden. 805306379 Das Token wurde erfolgreich gelöscht und aus der Datenbank entfernt. 805306380 Das Token konnte in der Datenbank nicht eindeutig identifiziert werden. 805306381 Die Richtlinie ist einer Richtlinien-Gruppe zugewiesen. Um die Richtlinie zu löschen, muss diese Zuweisung aufgehoben werden. 805306382 Die Richtlinie ist einer OU zugewiesen. Bitte entfernen Sie zuerst die Zuweisung. 805306383 Das Zertifikat dieses Beauftragten ist ungültig. 805306384 Das Zertifikat dieses Beauftragten ist abgelaufen. 805306385 Der Beauftragte konnte nicht in der Datenbank gefunden werden. 805306386 Der gewählte Beauftragte ist nicht eindeutig. 805306387 Der Beauftragte ist gesperrt und kann nicht authentisiert werden. 805306388 Der Beauftragte ist nicht mehr oder noch nicht gültig. 805306389 Der Beauftragte konnte nicht authentisiert werden - Anfrage außerhalb der gestatteten Arbeitszeiten. 805306390 Ein Beauftragter kann sich nicht selbst löschen. 805306391 Der Haupt-Sicherheitsbeauftragte kann nicht gelöscht werden, da ein zweiter Haupt-Sicherheitsbeauftragte zur zusätzlichen Authentisierung erforderlich ist. 805306392 Der Sicherheitsbeauftragte kann nicht gelöscht werden, da ein zweiter Sicherheitsbeauftragte zur zusätzlichen Authentisierung erforderlich ist. 805306393 Der Prüfungsbeauftragte kann nicht gelöscht werden, da ein weiterer Prüfungsbeauftragter zur zusätzlichen Authentisierung erforderlich ist. 805306394 Der Recovery-Beauftragte kann nicht gelöscht werden, da ein Recovery-Beauftragter zur zusätzlichen Authentisierung erforderlich ist. 805306395 Der Beratungsbeauftragte kann nicht gelöscht werden, da ein Beratungsbeauftragter zur zusätzlichen Authentisierung erforderlich ist. 403 SafeGuard Enterprise 404 Fehler-ID Anzeige 805306396 Die Funktion des Haupt- Sicherheitsbeauftragten kann nicht entfernt werden, da ein zweiter Haupt-Sicherheitsbeauftragter zur zusätzlichen Authentisierung erforderlich ist. 805306397 Die Funktion des Sicherheitsbeauftragten kann nicht entfernt werden, da ein Sicherheitsbeauftragter zur zusätzlichen Authentisierung erforderlich ist. 805306398 Die Funktion des Prüfungsbeauftragten kann nicht entfernt werden, da ein Prüfungsbeauftragter zur zusätzlichen Authentisierung erforderlich ist. 805306399 Die Funktion des Wiederherstellungsbeauftragten kann nicht entfernt werden, da ein Recovery-Beauftragter zur zusätzlichen Authentisierung erforderlich ist. 805306400 Die Funktion des Beratungsbeauftragten kann nicht entfernt werden, da ein Beratungsbeauftragter zur zusätzlichen Authentisierung erforderlich ist. 805306401 Ein zusätzlicher Beauftragter mit der gewünschten Funktion ist zur zusätzlichen Authentisierung nicht verfügbar. 805306402 Ereignisanzeige 805306403 Integrität des zentralen Ereignisprotokolls erfolgreich verifiziert. 805306404 Integrität verletzt! Ein oder mehrere Ereignisse wurden vom Beginn der Kette entfernt. 805306405 Integrität verletzt! Ein oder mehrere Ereignisse sind in der Kette entfernt worden. Die Mitteilung bei der der Bruch der Kette entdeckt worden ist, ist hervorgehoben. 805306406 Integrität verletzt! Ein oder mehrere Ereignisse wurden vom Ende der Kette entfernt. 805306407 Exportieren der Ereignisse in Datei fehlgeschlagen. Grund: 805306408 Die momentane Ansicht enthält ungesicherte Daten. Möchten Sie die Änderungen speichern, bevor Sie die Ansicht verlassen? 805306409 Die Datei konnte nicht geladen werden, oder die Datei ist beschädigt. Grund: 805306410 Die Integrität des Protokolls ist verletzt worden! Ein oder mehrere Ereignisse sind entfernt worden. 805306411 Sollen die Ereignisse in einer Datei gesichert werden, bevor sie gelöscht werden? 805306412 Anzeige der Aufträge 805306413 CRL mehrfach in der Datenbank gefunden. CRL konnte nicht gelöscht werden. 805306414 CRL nicht in der Datenbank gefunden. Administratorhilfe Fehler-ID Anzeige 805306415 Der Benutzer, dem das Zertifikat zugewiesen werden sollte, konnte nicht in der Datenbank gefunden werden. 805306416 Ein P7 Blob ist für eine Zertifikats-Zuweisung zwingend erforderlich. 805306417 Der Benutzer, dem das Zertifikat zugewiesen werden sollte, ist nicht eindeutig benannt. 805306418 Die Zertifikats-Zuweisung kann nicht gefunden werden. 805306419 Die Zuweisung des Zertifikats ist nicht eindeutig. Es ist nicht klar, welche Zuweisung entfernt werden soll. 805306420 Der Benutzer für den das Zertifikat erstellt werden soll, konnte nicht in der Datenbank gefunden werden. 805306421 Der Benutzer für den das Zertifikat erstellt werden soll, kann nicht eindeutig benannt werden. 805306422 Das Zertifikat wurde bereits einem anderen Benutzer zugeordnet. Ein Zertifikat kann nur einem Benutzer zugeordnet werden. 805306423 Der Computer, dem das Zertifikat zugewiesen werden soll, konnte nicht in der Datenbank gefunden werden. 805306424 Der Computer, dem das Zertifikat zugewiesen werden soll, konnte nicht eindeutig identifiziert werden. 805306425 Importierte Zertifikate können nicht durch SGN erneuert werden. 805306426 Inkonsistente Zertifikatsdaten während der Erneuerung 805306427 Die Erneuerung des Zertifikats wurde nicht von einem Sicherheitsbeauftragten genehmigt. 805306428 Fehler beim Löschen des Token 805306429 Das Zertifikat kann nicht vom Token gelöscht werden, denn es wurde für die Authentisierung des aktuellen Benutzers verwendet. 805306430 Ein Systemzugang mit diesem Namen existiert bereits. Bitte wählen Sie einen anderen Namen. 805306431 Dem Sicherheitsbeauftragen sind keine Rollen zugewiesen. Anmeldung nicht möglich. 805306432 Die Lizenz wurde verletzt. 805306433 Es wurde keine Lizenz gefunden. 805306435 Fehlender oder ungültiger Protokolldateipfad 405 SafeGuard Enterprise 406 Fehler-ID Anzeige 2415919104 Es wurde keine Richtlinie gefunden. 2415919105 Keine Konfigurationsdatei verfügbar! 2415919106 Keine Verbindung zum Server. 2415919107 Keine weiteren Datenpakete vorhanden. 2415919108 Ungültige Priorität beim Senden zum Server! 2415919109 Es stehen noch Daten zur Verarbeitung an. 2415919110 Die Autoregistrierung ist noch nicht beendet. 2415919111 Datenbank Anmeldung fehlgeschlagen. 2415919112 Falsche Session ID! 2415919113 Datenpaket ignoriert! 3674210305 Domäne nicht gefunden. 3674210306 Maschine nicht gefunden. 3674210307 Benutzer nicht gefunden. 3758096385 Das Kennwort enthält nicht genügend Buchstaben 3758096386 Das Kennwort enthält nicht genügend Zahlen 3758096387 Das Kennwort enthält nicht genügend Sonderzeichen 3758096388 Das Kennwort entspricht dem Benutzernamen 3758096389 Das Kennwort enthält aufeinanderfolgende Zeichen 3758096390 Das Kennwort ähnelt dem Benutzernamen zu stark 3758096391 Das Kennwort wurde in der Liste der verbotenen Kennwörter gefunden 3758096392 Das Kennwort ähnelt dem alten Kennwort zu stark 3758096393 Das Kennwort enthält eine Tastaturreihe mit mehr als zwei Zeichen 3758096394 Das Kennwort enthält eine Tastaturspalte mit mehr als zwei Zeichen 3758096395 Das Kennwort hat seinen Gültigkeitszeitraum noch nicht erreicht 3758096396 Das Kennwort hat seine Gültigkeitsdauer überschritten Administratorhilfe Fehler-ID Anzeige 3758096397 Das Kennwort hat seine minimale Gültigkeitsdauer noch nicht erreicht 3758096398 Das Kennwort hat die maximale Gültigkeitsdauer überschritten 3758096399 Information über einen bevorstehenden Wechsel des Kennwortes muß angezeigt werden 3758096400 Änderung bei Erstanmeldung erforderlich 3758096401 Das Kennwort wurde in der History gefunden 3758096402 Fehler beim Verifizieren gegen die spezifizierte Blacklist. 4026531840 Keine "platform" vorhanden. 4026531841 Kein Dokument. 4026531842 XML Parse Fehler. 4026531843 Fehler im Document Object Model (XML). 4026531844 Kein <DATAROOT>-Abschnitt gefunden (XML). 4026531845 XML-Tag nicht gefunden. 4026531846 "nostream" Fehler. 4026531847 "printtree" Fehler. 7.13.1.2 BitLocker Fehlercodes BitLocker Fehler werden durch die folgenden SafeGuard Events gemeldet: ■ 2072: Kernel-Initialisierung ist fehlgeschlagen. Interner Code: <Fehlercode>. ■ 3506: Sektorbasierte Erst-Verschlüsselung des Laufwerks <Laufwerksbuchstabe> gescheitert und beendet. Grund: <Fehlercode> Die folgende Tabelle enthält eine Liste von Fehlercodes für BitLocker: Fehlercode (Hex) Fehlercode (Dec) Beschreibung 0x00000000 – 0x000032C8 0 – 15999 Siehe Microsoft Systemfehlercodes 0x00BEB001 12496897 Verschlüsselung ist aufgrund eines Fehlers während der Kernel-Initialisierung nicht möglich. 407 SafeGuard Enterprise 408 0x00BEB002 12496898 Der Boot Manager darf sich nicht auf dem zu verschlüsselnden Systemlaufwerk befinden. 0x00BEB003 12496899 Es wurde eine nicht unterstützte Windows Version gefunden. Minimum ist Windows Vista. 0x00BEB004 12496900 Die konfigurierte Authentisierungsmethode wird nicht unterstützt. 0x00BEB005 12496901 Der PIN Dialog wurde nicht erfolgreich abgeschlossen. 0x00BEB006 12496902 Der Pfad Dialog wurde nicht erfolgreich abgeschlossen. 0x00BEB007 12496903 Fehler in Kommunikation zwischen Prozessen des PIN oder Pfad Dialogs. 0x00BEB008 12496904 Unbehandelte Ausnahme im PIN oder Pfad Dialog. Der Dialog wurde angezeigt, aber der Benutzer meldete sich ab oder stoppte ihn im Task-Manager. 0x00BEB009 12496905 Der in der Richtlinie definierte Verschlüsselungsalgorithmus stimmt nicht mit dem des verschlüsselten Laufwerks überein. Standardmäßig (falls nicht geändert) verwendet die systemeigene BitLocker-Verschlüsselung AES-128, während die SGN Richtlinien AES-256 definieren. 0x00BEB00A 12496906 Das Volume ist ein schreibgeschütztes Volume. Dynamische Volumes werden nicht unterstützt. 0x00BEB00B 12496907 Der Hardware-Test ist aufgrund eines Hardwareproblems fehlgeschlagen. 0x00BEB00C 12496908 Bei der TPM-Initialisierung und -Aktivierung ist ein Fehler aufgetreten. 0x00BEB00D 12496909 Der Verschlüsselungsalgorithmus in der SGN-Richtlinie steht zu den Verschlüsselungsalgorithmus-Einstellungen im GPO in Konflikt. 0x00BEB102 12497154 Die UEFI Version konnte nicht überprüft werden, deshalb wird BitLocker im Legacy-Modus ausgeführt. 0x00BEB202 12497410 Das Client-Konfigurationspaket wurde noch nicht installiert. 0x00BEB203 12497411 Die UEFI Version wird nicht unterstützt und deshalb wird BitLocker im Legacy-Modus ausgeführt. Die Minimalanforderung ist 2.3.1. 0x80280006 -2144862202 Das TPM ist inaktiv. 0x80280007 -2144862201 Das TPM ist deaktiviert. 0x80280014 -2144862188 Das TPM hat bereits einen Besitzer. 0x80310037 -2144272329 Die Gruppenrichtlinieneinstellung, die FIPS-Konformität erfordert, verhindert, dass ein lokales Recovery-Kennwort erzeugt und in Administratorhilfe die Schlüssel-Backup-Datei geschrieben wird. Die Verschlüsselung wird dennoch fortgesetzt. 0x8031005B -2144272293 Die Gruppenrichtlinie für die angegebene Authentisierungsmethode ist nicht gesetzt. Bitte aktivieren Sie die Gruppenrichtlinie "Zusätzliche Authentifizierung beim Start anfordern". 0x8031005E -2144272290 Die Gruppenrichtlinie für Verschlüsselung ohne TPM ist nicht gesetzt. Bitte aktivieren Sie die Gruppenrichtlinie "Zusätzliche Authentifizierung beim Start anfordern" und aktivieren Sie darin das Kontrollkästchen "BitLocker ohne kompatibles TPM zulassen". 0x80280000 – 0x803100CF -2144862208 – -2144272177 Siehe Microsoft COM Error Codes (TPM, PLA, FVE). 7.14 SafeGuard Enterprise und selbst-verschlüsselnde Opal-Festplatten Selbst-verschlüsselnde Festplatten bieten hardware-basierende Verschlüsselung der Daten, die auf die Festplatte geschrieben werden. Die Trusted Computing Group (TCG) hat den anbieter-unabhängigen Opal-Standard für selbst-verschlüsselnde Festplatten veröffentlicht. Festplatten, die dem Opal-Standard entsprechen, werden von unterschiedlichen Herstellern angeboten. SafeGuard Enterprise unterstützt den Opal-Standard und bietet die Verwaltung von Endpoints mit selbst-verschlüsselnden Festplatten, die dem Opal-Standard entsprechen. Siehe auch http://www.sophos.com/de-de/support/knowledgebase/113366.aspx. 7.14.1 Integration von Opal-Festplatten in SafeGuard Enterprise In SafeGuard Enterprise lassen sich Endpoints mit selbst-verschlüsselnden Opal-Festplatten wie alle anderen durch SafeGuard Enterprise geschützten Endpoints über das SafeGuard Management Center verwalten. Die zentrale und vollständig transparente Verwaltung von Opal-Festplatten durch SafeGuard Enterprise ermöglicht somit die Anwendung in heterogenen IT-Umgebungen. Durch die Unterstützung des Opal-Standards bieten wir den vollen Funktionsumfang von SafeGuard Enterprise für Benutzer von selbst-verschlüsselnden Opal-Festplatten. In Verbindung mit SafeGuard Enterprise bieten Opal-Festplatten erweiterte Sicherheits-Featrures. 7.14.2 Aufwertung von Opal-Festplatten mit SafeGuard Enterprise Die Verwaltung von selbst-verschlüsselnden Opal-Festplatten mit SafeGuard Enterprise bietet Ihnen folgende Vorteile: ■ Zentrale Verwaltung der Endpoints ■ SafeGuard Power-on Authentication mit grafischer Benutzeroberfläche ■ Unterstützung mehrerer Benutzer ■ Unterstützung der Anmeldung mit Token/Smartcard 409 SafeGuard Enterprise ■ Unterstützung der Anmeldung mit Fingerabdruck ■ Recovery (Local Self Help, Challenge/Response) ■ Zentral verwaltete Protokollierung ■ Verschlüsselung von Wechselmedien (z. B. USB-Sticks) mit SafeGuard Data Exchange 7.14.3 Verwaltung von Endpoints mit Opal-Festplatten durch SafeGuard Enterprise Sie können Endpoints mit selbst-verschlüsselnden Opal-Festplatten im SafeGuard Management Center wie alle anderen durch SafeGuard Enterprise geschützten Endpoints verwalten. Als Sicherheitsbeauftragter können Sie Sicherheitsrichtlinien (z. B. für die Authentisierung) erstellen und sie an die Endpoints verteilen. Sobald ein Endpoint mit einer Opal-Festplatte bei SafeGuard Enterprise registriert ist, werden Informationen zu Benutzer, Computer, Anmeldemodus und Verschlüsselungsstatus angezeigt. Außerdem werden Ereignisse protokolliert. Die Verwaltung von Endpoints mit Opal-Festplatten in SafeGuard Enterprise ist transparent. Das heißt, die Verwaltungsfunktionen haben im Allgemeinen dieselbe Funktionsweise wie für andere durch SafeGuard Enterprise geschützte Endpoints. Der Computertyp lässt sich in der Registerkarte Bestand eines Containers unter Benutzer & Computer ermitteln. Die Spalte POA-Typ zeigt an, ob der betreffende Computer durch SafeGuard Enterprise verschlüsselt ist oder eine selbst-verschlüsselnde Opal-Festplatte verwendet. 7.14.4 Verschlüsselung von Opal-Festplatten Festplatten, die dem Opal-Standard entsprechen, sind selbst-verschlüsselnd. Daten werden automatisch verschlüsselt, wenn sie auf die Festplatte geschrieben werden. Die Festplatten werden mit einem AES 128/256 Schlüssel als Opal-Kennwort gesperrt. Dieses Kennwort wird von SafeGuard Enterprise über eine Verschlüsselungsrichtlinie verwaltet (siehe Sperren von Opal-Festplatten (Seite 410)). 7.14.5 Sperren von Opal-Festplatten Um Opal-Festplatten zu sperren, muss für mindestens ein Volume auf der Festplatte der Computerschlüssel in einer Verschlüsselungsrichtlinie definiert werden. Wenn die Verschlüsselungsrichtlinie ein Boot-Volume umfasst, wird der Computerschlüssel automatisch definiert. 1. Erstellen Sie im SafeGuard Management Center eine Richtlinie vom Typ Geräteschutz. 2. Wählen Sie im Verschlüsselungsmodus für Medien Feld die Einstellung Volume-basierend. 3. Wählen Sie im Feld Schlüssel für die Verschlüsselung die Einstellung Definierter Computerschlüssel. 4. Speichern Sie Ihre Änderungen in der Datenbank. 5. Übertragen Sie die Richtlinie an den relevanten Endpoint. Die Opal-Festplatte ist gesperrt. Der Zugriff ist nur über die Anmeldung an der SafeGuard Power-on Authentication möglich. 410 Administratorhilfe 7.14.6 Berechtigung von Benutzern zum Entsperren von Opal-Festplatten Als Sicherheitsbeauftragter können Sie Benutzer dazu berechtigen, Opal-Festplatten auf ihren Endpoints mit dem Entschlüsseln Befehl aus dem Windows Explorer Kontextmenü zu entsperren. Voraussetzung: In der Geräteschutz-Richtlinie, die für die Opal-Festplatte gilt, muss die Option Benutzer darf Volume entschlüsseln auf Ja eingestellt sein. 1. Erstellen Sie im SafeGuard Management Center eine Richtlinie vom Typ Geräteschutz und beziehen Sie alle Volumes auf der Opal-Festplatte in die Richtlinie ein. 2. Wählen Sie im Verschlüsselungsmodus für Medien Feld die Einstellung Keine Verschlüsselung. 3. Speichern Sie Ihre Änderungen in der Datenbank. 4. Übertragen Sie die Richtlinie an den relevanten Endpoint. Der Benutzer kann die Opal-Festplatte auf dem Endpoint entsperren. In der Zwischenzeit bleibt die Festplatte gesperrt. 7.14.7 Protokollierung von Ereignissen für Endpoints mit Opal-Festplatten Von Endpoints mit selbst-verschlüsselnden Opal-Festplatten gemeldete Ereignisse werden wie für alle anderen durch SafeGuard Enterprise geschützten Endpoints protokolliert. Dabei wird der Computertyp nicht explizit erwähnt. Die gemeldeten Ereignisse entsprechen den von alle anderen durch SafeGuard Enterprise geschützten Endpoints gemeldeten Ereignisse. Weitere Informationen finden Sie unter Berichte (Seite 328). 411 SafeGuard Enterprise 8 Technischer Support Technischen Support zu Sophos Produkten können Sie wie folgt abrufen: 412 ■ Besuchen Sie die Sophos Community unter community.sophos.com/ und suchen Sie nach Benutzern mit dem gleichen Problem. ■ Durchsuchen Sie die Sophos Support-Knowledgebase unter www.sophos.com/de-de/support.aspx. ■ Laden Sie die Produktdokumentation unter www.sophos.com/de-de/support/documentation/ herunter. ■ Öffnen Sie ein Ticket bei unserem Support-Team unter https://secure2.sophos.com/support/contact-support/support-query.aspx. Administratorhilfe 9 Rechtliche Hinweise Copyright © 1996 - 2016 Sophos Limited. Alle Rechte vorbehalten. SafeGuard ist ein eingetragenes Warenzeichen von Sophos Limited und Sophos Group. Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche Genehmigung des Urheberrechtsinhabers. Sophos, Sophos Anti-Virus und SafeGuard sind eingetragene Warenzeichen der Sophos Limited, Sophos Group und Utimaco Safeware AG. Alle anderen erwähnten Produkt- und Unternehmensnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Inhaber. Copyright-Informationen von Drittanbietern finden Sie im Dokument Disclaimer and Copyright for 3rd Party Software in Ihrem Produktverzeichnis. 413