safeguard enterprise administratorhilfe - docs.sophos.com · 1 Über safeguard enterprise safeguard...

SafeGuard EnterpriseAdministratorhilfe

8.0Produktversion:

Inhalt

1 Über SafeGuard Enterprise................................................................................................4

1.1 Neu in SafeGuard Enterprise...............................................................................7

2 Installation .......................................................................................................................11

2.1 SafeGuard Enterprise Komponenten.................................................................11

2.2 Erste Schritte......................................................................................................13

2.3 Einrichten des SafeGuard Enterprise Servers...................................................18

2.4 Einrichten einer SafeGuard Enterprise Datenbank............................................21

2.5 Einrichten des SafeGuard Management Centers...............................................35

2.6 Testen der Kommunikation.................................................................................47

2.7 Sichern von Transportverbindungen mit SSL.....................................................48

2.8 Registrieren und Konfigurieren des SafeGuard Enterprise Server.....................52

2.9 Erzeugen von Konfigurationspaketen.................................................................56

2.10 Einrichten von SafeGuard Enterprise auf Endpoints........................................58

2.11 Installieren der Verschlüsselungssoftware unter Windows...............................62

2.12 Installieren der Verschlüsselungssoftware auf Mac OS X................................74

2.13 Aktualisierung...................................................................................................77

2.14 Migration ..........................................................................................................80

2.15 Deinstallation - Überblick..................................................................................83

3 SafeGuard Management Center......................................................................................87

3.1 Anmeldung am SafeGuard Management Center...............................................87

3.2 SafeGuard Management Center Benutzeroberfläche.......................................88

3.3 Sprache der Benutzeroberfläche........................................................................90

3.4 Prüfen der Datenbankintegrität...........................................................................90

3.5 Mit Richtlinien arbeiten.......................................................................................91

3.6 Mit Konfigurationspaketen arbeiten....................................................................96

4 Mac Endpoints verwalten...............................................................................................100

4.1 Erzeugen eines Konfigurationspakets für Macs................................................100

4.2 Über SafeGuard Native Device Encryption für Mac.........................................100

4.3 Über SafeGuard File Encryption für Mac..........................................................106

4.4 Fehlerbehebung................................................................................................115

4.5 Bestands- und Statusinformationen für Macs...................................................117

5 Module............................................................................................................................118

5.1 Synchronized Encryption..................................................................................118

5.2 Festplattenverschlüsselung verwalten..............................................................144

5.3 Pfadbasierte Dateiverschlüsselung..................................................................157

2

5.4 Cloud Storage...................................................................................................168

5.5 SafeGuard Data Exchange...............................................................................174

5.6 SafeGuard Full Disk Encryption.......................................................................184

5.7 SafeGuard Configuration Protection.................................................................236

6 Recovery........................................................................................................................237

6.1 Schlüssel für die Festplattenverschlüsselung mit mobilen Geräten

synchronisieren .................................................................................................237

6.2 Recovery für BitLocker.....................................................................................237

6.3 Recovery-Schlüssel für Mac-Endpoints............................................................239

6.4 Virtuelle Clients.................................................................................................240

6.5 So reparieren Sie eine beschädigte Management Center Installation:............243

6.6 Reparieren einer beschädigten Datenbankkonfiguration.................................243

7 Erweiterte Verwaltung ....................................................................................................245

7.1 Empfohlene Sicherheitsmaßnahmen................................................................245

7.2 Mit mehreren Datenbankkonfigurationen arbeiten (Multi Tenancy)..................247

7.3 SafeGuard Management Center – erweitert.....................................................251

7.4 SafeGuard Enterprise Sicherheitsbeauftragte..................................................264

7.5 Verwalten der Organisationsstruktur.................................................................282

7.6 Schlüssel und Zertifikate..................................................................................290

7.7 Company Certificate Change Orders...............................................................300

7.8 Lizenzen...........................................................................................................303

7.9 Token und Smartcards......................................................................................308

7.10 Planen von Tasks............................................................................................322

7.11 Auditing...........................................................................................................331

7.12 Richtlinientypen und ihre Anwendungsfelder..................................................365

7.13 Fehlerbehebung..............................................................................................404

7.14 SafeGuard Enterprise und selbst-verschlüsselnde Opal-Festplatten.............422

8 Technischer Support.......................................................................................................425

9 Rechtliche Hinweise.......................................................................................................426

3

1 Über SafeGuard EnterpriseSafeGuard Enterprise ist eine umfassende Datensicherheitslösung, die Informationen aufServern, PCs und mobilen Geräten durch ein richtlinienbasiertes Verschlüsselungskonzeptzuverlässig schützt. Es ermöglicht Benutzern den sicheren Informationsaustausch und dasArbeiten mit Dateien auf Geräten mit unterschiedlichen Betriebssystemen (Windows, MacOS X, iOS, Android) mithilfe der Sophos Secure Workspace App.

Im SafeGuard Management Center verwalten Sie Sicherheitsrichtlinien, Schlüssel undZertifikate mit einer rollenbasierten Administrationsstrategie. Ausführliche Protokollierung undReportfunktionen gewährleisten stets den Überblick über alle Ereignisse.

Auf Benutzerseite sind Datenverschlüsselung und Schutz vor Angreifern die primärenSicherheitsfunktionen von SafeGuard Enterprise. SafeGuard Enterprise fügt sich dabei nahtlosin die gewohnte Benutzerumgebung ein.

Synchronized Encryption - anwendungsbasierte File Encryption

Synchronized Encryption baut auf zwei Annahmen auf - erstens, dass alle Daten wichtig sindund geschützt (verschlüsselt) sein müssen, und zweitens, dass diese Verschlüsselungpersistent sein soll, egal wo sich die Daten befinden. Zusätzlich sollen Daten automatischund transparent verschlüsselt werden, so dass sich Benutzer nicht darum kümmern müssen,ob eine Datei verschlüsselt werden muss oder nicht. Diese grundlegende Prämisse, dass alleDaten wichtig sind und verschlüsselt werden müssen, stellt sicher, dass Daten nahtlos undohne Zutun des Benutzers verschlüsselt werden. So können Benutzer wie gewohnt produktivarbeiten, während ihre Daten geschützt bleiben, siehe Synchronized Encryption (Seite 118).

Pfadbasierte File Encryption■ Cloud Storage

Cloudspeicher-Dienste werden gern genutzt, damit Benutzer von jedem Gerät und vonjedem Ort aus Zugriff auf ihre Daten haben. Ohne Frage ist diese Freiheit wichtig für dieProduktivität. Genauso wichtig ist es jedoch, dass sensible Daten auch beim Speichernin der Cloud sicher bleiben. SafeGuard Enterprise ver- und entschlüsselt Dateienautomatisch und unsichtbar, wenn diese über Cloudspeicher-Dienste hoch- oderheruntergeladen werden.

■ Verschlüsselt Dateien, die zu Cloudspeicher-Diensten hochgeladen werden.

■ Erlaubt überall sicheres Teilen von Daten.

■ Erkennt und unterstützt automatisch die häufigsten Cloudspeicher-Dienste wie zumBeispiel Box, Dropbox, OneDrive und Egnyte.

■ Ermöglicht das Lesen von verschlüsselten Dateien mit unserer kostenlosen SophosSecure Workspace App für iOS und Android.

■ Dateiverschlüsselung

Verschlüsselung dient nicht nur dazu, Daten vor neugierigen Blicken von außen zuschützen. Sie sorgt auch bei der Zusammenarbeit innerhalb des Unternehmens fürSicherheit und Kontrolle über Dateien. SafeGuard Enterprise geht über simple

4

SafeGuard Enterprise

Ordnerberechtigungen hinaus und sorgt dafür, dass Dateien nur von den Personen gelesenwerden können, für die sie bestimmt sind. Gleichzeitig kann die IT-Abteilung Dateien undBackups effizient verwalten.

■ Konfiguriert die Dateiverschlüsselung für freigegebene Ordner.

■ Stellt sicher, dass nur bestimmte Benutzer oder Gruppen auf Daten zugreifen können.

■ Erfordert keine Interaktion seitens Ihrer Benutzer.

■ Bietet eine zusätzliche Ebene an Schutz für den Fall, dass die Unternehmensserver indie Cloud ausgelagert werden.

■ Data Exchange

SafeGuard Enterprise verschlüsselt automatisch und transparent Dateien aufWechselmedien wie USB-Sticks, Speicherkarten und CDs/DVDs.

■ Sie können verschlüsselte Daten auf Wechselmedien einfach innerhalb IhresUnternehmens austauschen ohne Ihre Benutzer zu beeinträchtigen.

■ Mit einer portablen Anwendung und einem Kennwort können Sie verschlüsselteWechselmedien auch mit Benutzern ohne SafeGuard Enterprise sicher und einfachteilen.

■ Wechselmedien auf Whitelists sorgen für einfachere und flexiblere Verwaltung derVerschlüsselung.

Festplattenverschlüsselung■ Für UEFI Systeme verwenden Sie die von SafeGuard Enterprise verwaltete BitLocker

Verschlüsselung für die Festplattenverschlüsselung. Für diese Endpoints bietet SafeGuardEnterprise verbesserte Challenge/Response Funktionalitäten. Nähere Informationenbezüglich der unterstützten UEFI Versionen und Einschränkungen zur SafeGuard BitLockerChallenge/Response Unterstützung entnehmen Sie bitte den Versionsinfos unterhttp://downloads.sophos.com/readmes/readsgn_8_deu.html.

Hinweis: Wenn sich die Beschreibung nur auf UEFI bezieht, ist das explizit angegeben.

■ Für Systeme mit BIOS können Sie zwischen SafeGuard Full Disk Encryption und vonSafeGuard Enterprise verwalteter BitLocker Verschlüsselung wählen. Die BIOS Versionverwendet den BitLocker-eigenen Wiederherstellungsmechanismus.

Hinweis: Wenn in diesem Handbuch von SafeGuard Full Disk Encryption oder SafeGuardPower-on Authentication die Rede ist, dann bezieht sich das nur auf Windows 7 BIOSEndpoints.

Die Tabelle zeigt, welche Komponenten verfügbar sind.

5

Administratorhilfe

http://downloads.sophos.com/readmes/readsgn_8_deu.html

SafeGuard C/RWiederherstellung für

BitLocker Pre-BootAuthentication (PBA)

BitLocker mit Pre-BootAuthentication (PBA),

von SafeGuard verwaltet

SafeGuard Full DiskEncryption mit

SafeGuard Power-onAuthentication (POA)

JAJAWindows 7 BIOS

JAJAWindows 7 UEFI

JAWindows 8.1 BIOS

JAJAWindows 8.1 UEFI

JAJAWindows 10

JAJAWindows 10 Threshold2

Hinweis: SafeGuard C/R Wiederherstellung für BitLocker Pre-Boot Authentication(PBA) ist nur auf 64-Bit-Systemen verfügbar.

SafeGuard Full Disk Encryption mit SafeGuard Power-on Authentication (POA) ist dasSophos Modul zur Verschlüsselung von Laufwerken auf Endpoints. Es wird mit einer vonSophos entwickelten Pre-Boot Authentication namens SafeGuard Power On Authentication(POA) geliefert, die Anmeldeoptionen wie Smartcard und Fingerabdruck sowie einenChallenge/Response Mechanismus für die Wiederherstellung unterstützt.

BitLocker mit Pre-Boot Authentication (PBA), von SafeGuard verwaltet, ist dieKomponente, die das BitLocker Verschlüsselungsmodul und die BitLocker Pre-BootAuthentication aktiviert und verwaltet.

Sie ist für BIOS und UEFI Plattformen verfügbar:

■ Die UEFI Version bietet zusätzlich einen SafeGuard Challenge/Response Mechanismusfür die BitLocker Wiederherstellung für den Fall, dass Benutzer ihre Kennwörter vergessen.Die UEFI Version kann verwendet werden, wenn bestimmte Plattform-Anforderungenerfüllt sind. Beispielsweise muss die UEFI Version 2.3.1 sein. Nähere Informationenentnehmen Sie bitte den Versions-Infos.

■ Die BIOS Version bietet die Wiederherstellungs-Erweiterungen des SafeGuardChallenge/Response Mechanismus nicht. Sie dient auch als Fallback falls dieAnforderungen an die UEFI Version nicht erfüllt sind. Der Sophos Installer prüft, ob dieVoraussetzungen erfüllt sind. Falls nicht, installiert er automatisch die BitLocker Versionohne Challenge/Response.

Sicherheit für Macs

Daten auf Macs sind genauso gefährdet wie Daten auf Windows-PCs. Sie sollten Macs daherunbedingt in Ihre Strategie zur Verschlüsselung von Daten miteinbeziehen. SafeGuardEnterprise schützt Ihre Macs mittels Datei- und Festplattenverschlüsselung und stellt sicher,

6


dass alle Daten auf Ihren Macs stets sicher sind. Es enthält Funktionen zum Verschlüsselnvon Wechselmedien, Netzwerkfreigaben und Cloud-Verzeichnissen auf Mac.

■ Sie können die Datei- und Festplattenverschlüsselung für Mac im selben ManagementCenter verwalten wie für alle anderen Geräte.

■ Verwaltet Geräte, die mit FileVault2 verschlüsselt sind.

■ Arbeitet im Hintergrund ohne die Performance zu beeinträchtigen.

■ Berichte und komplette Sichtbarkeit des Verschlüsselungsstaus.

Für Mac Endpoints sind die folgenden Module verfügbar. Sie werden auch von SafeGuardEnterprise verwaltet oder berichten zumindest an das Management Center.

Sophos SafeGuard Native DeviceEncryption

FileVault 2 Verwaltung

Sophos SafeGuard FileEncryption

- pfadbasiert

Synchronized Encryption

- anwendungsbasiert

JAJAJAOS X 10.9

JAJAJAOS X 10.10

JAJAJAOS X 10.11

JAJAJAmacOS 10.12

Sophos Secure Workspace

Schlüssel im SafeGuard Enterprise Schlüsselring können in der Sophos Secure WorkspaceApp (SSW), die über Sophos Mobile Control verwaltet wird, bereitgestellt werden. Benutzerder App können dann die Schlüssel zum Entschlüsseln, Lesen und Verschlüsseln vonDokumenten verwenden. Diese Dateien können dann sicher zwischen allen Benutzern vonSafeGuard Enterprise und SSW ausgetauscht werden. Weitere Informationen finden Sie inder Sophos Secure Workspace Dokumentation.

1.1 Neu in SafeGuard Enterprise■ Synchronized Encryption (Seite 118)

■ Anwendungsbasierte Dateiverschlüsselung

■ Outlook Add-In

■ Integration in Sophos Central Endpoint Protection - Schlüssel auf gefährdetenComputern entziehen

■ Schlüsselring zwischen Sophos SafeGuard Enterprise und Sophos Mobile Controlaustauschen

■ Schlüssel für die Festplattenverschlüsselung mit mobilen Geräten synchronisieren (Seite237)

7

Administratorhilfe

https://www.sophos.com/de-de/support/documentation/sophos-secure-workspace.aspx

■ Erweiterte Authentisierung - Benutzergruppe .Unbestätigte Benutzer (Seite 8)

■ Verbesserte Synchronisierung mit Active Directory und Autoregistrierung (Seite 9)

■ Sophos SafeGuard mit anonymen Nutzungsdaten verbessern (Seite 9)

1.1.1 Erweiterte Authentisierung - Benutzergruppe .Unbestätigte Benutzer

Benutzer, die sich an SafeGuard Enterprise anmelden, müssen gegen Active Directoryauthentisiert werden bevor sie Zugriff auf ihren Schlüsselring haben.

Hinweis: Wenn Sie BitLocker über SafeGuard Enterprise verwalten, müssen Sie dieRegistrierung von neuen SGN-Benutzern für Jeden erlauben:

1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ SpezifischeComputereinstellungen an oder wählen Sie eine vorhandene aus.

2. Wählen Sie unter Benutzer-Computer Zuordnung (UMA) die Einstellung Registrierenvon neuen SGN-Benutzern erlauben und wählen Sie in der Dropdown-Liste Jeder.

3. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie IhrenBenutzergruppen zu.

Benutzer, die bei der Anmeldung nicht authentisiert werden können, werden in die Gruppe.Unbestätigte Benutzer verschoben. Diese Gruppe wird im Stammknoten und in jederDomäne oder Arbeitsgruppe angezeigt.

Mögliche Gründe dafür, warum Benutzer nicht authentisiert werden können, sind folgende:

■ Der Benutzer hat Anmeldeinformationen eingegeben, die nicht mit denen im Active Directoryübereinstimmen.

■ Der Benutzer ist ein lokaler Benutzer am Endpoint.

■ Der Active Directory Authentifizierungsserver ist nicht erreichbar.

■ Der Benutzer gehört zu einer Domäne, die nicht aus dem Active Directory importiert wurde.

Hinweis: Diese Benutzer werden zur globalen Gruppe .Unbestätigte Benutzerhinzugefügt, die direkt unter dem Stamm-Knoten in Benutzer und Computer angezeigtwird.

■ Die Authentisierung ist wegen eines unbekannten Fehlers fehlgeschlagen.

■ Siehe Sophos Knowledgebase-Artikel 124328.

Hinweis: Nur Active Directory Benutzer können authentisiert werden. Dies setzt voraus, dassActive Directory richtig konfiguriert wurde.

Solange sich Benutzer in der Gruppe .Unbestätigte Benutzer befinden, haben sie keinenZugriff auf ihren Schlüsselring.

Wenn Sie auf eine .Unbestätigte Benutzer Gruppe klicken, werden Details zu den Benutzernder Gruppe in der Registerkarte Unbestätigte Benutzer im rechten Fensterbereich angezeigt,zum Beispiel der Grund warum Benutzer in diese Gruppe verschoben wurden.

Im Client Status Dialog am Endpoint des Benutzers wird unter SGN-BenutzerstatusUnbestätigter Benutzer angezeigt.

8


https://community.sophos.com/kb/de-de/124328

1.1.1.1 Benutzer bestätigenAls Sicherheitsbeauftragter müssen Sie Benutzer in der Gruppe .Unbestätigte Benutzerüberprüfen. Handelt es sich um autorisierte Benutzer, müssen Sie diese explizit bestätigenum ihnen Zugriff auf ihren Schlüsselring zu gewähren. Ohne ihren Schlüsselring könnenBenutzer nicht auf verschlüsselte Daten zugreifen.

So bestätigen Sie Benutzer in der Gruppe .Unbestätigte Benutzer:

1. Wählen Sie im Management Center die Gruppe .Unbestätigte Benutzer.

Benutzer, die nicht gegen Active Directory authentisiert wurden, werden angezeigt. Siekönnen einzelne Benutzer anklicken, um detaillierte Informationen im rechten Fensterbereichanzuzeigen.

2. Überprüfen Sie, ob Benutzer auf den SafeGuard Enterprise Schlüsselring zugreifen dürfen.

3. Wenn ja, wählen Sie einen Benutzer mit der rechten Maustaste aus und klicken Sie imKontextmenü auf Benutzer bestätigen.

Sie können alle Benutzer in der Gruppe .Unbestätigte Benutzer bestätigen indem Siedie Gruppe selbst markieren und im Kontextmenü Alle Benutzer bestätigen klicken.

Bestätigte Benutzer werden automatisch in die richtige Active Directory Struktur verschobenund haben Zugriff auf ihren Schlüsselring.

Hinweis: Die Bestätigung von Benutzern kann auch über Scripting API Calls erfolgen.

1.1.1.2 Ereignisse (Log Events) für Unbestätigte BenutzerEreignisse werden protokolliert, wenn Benutzer zur Gruppe .Unbestätigte Benutzerhinzugefügt werden (Ereignis 2801) und wenn Benutzer erfolgreich bestätigt werden (Ereignis2800). Sie können eine Liste dieser Ereignisse im SafeGuard Management Center unterBerichte in der Ereignisanzeige auflisten lassen.

1.1.2 Verbesserte Synchronisierung mit Active Directory undAutoregistrierung■ Der SafeGuard Management Center Konfigurationsassistent hilft neuen Kunden dabei,

ein vollständig funktionierendes System einzurichten. Der initiale Import einer ActiveDirectory Struktur wird während der Erstkonfiguration durchgeführt, siehe Starten derErstkonfiguration des SafeGuard Management Center (Seite 37).

■ Hinzugefügte Benutzer werden automatisch der richtigen Organisationseinheit/Gruppezugeordnet und empfangen umgehend die benötigten Richtlinien und Schlüssel. Eineangestoßene AD-Synchronisierung wird in diesem Fall nicht mehr benötigt.

1.1.3 Sophos SafeGuard mit anonymen Nutzungsdaten verbessern

Sophos ist ständig bemüht, SafeGuard Enterprise zu verbessern. Aus diesem Grund sendenKunden regelmäßig anonymisierte Daten an Sophos. Diese Daten werden ausschließlich zurVerbesserung des Produkts verwendet. Die Daten können nicht zur Identifizierung von Kundenoder Geräten verwendet werden und enthalten keine vertraulichen Informationen. WeitereInformationen finden Sie im Sophos Knowledgebase-Artikel 123768.

Die Übermittlung von Daten an Sophos ist optional. Da die Daten anonymisiert übermitteltwerden, ist die Datensammelfunktion standardmäßig aktiviert. Sie können die Funktion imSafeGuard Management Center deaktivieren (Richtlinien > Allgemeine Einstellungen >

9

Administratorhilfe

https://www.sophos.com/de-de/support/knowledgebase/123768.aspx

Feedback > Sophos SafeGuard® durch das Senden von anonymen Nutzungsdatenverbessern).

1.1.3.1 Senden anonymer Nutzungsdaten per Richtlinie deaktivierenSo deaktivieren Sie das Senden anonymer Nutzungsdaten:

1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ AllgemeineEinstellungen an oder wählen Sie eine vorhandene aus.

Die Registerkarte Allgemeine Einstellungen wird angezeigt.

2. Wechseln Sie in den Bereich Feedback .

3. Wählen Sie in unter Sophos SafeGuard® durch das Senden von anonymenNutzungsdaten verbessern die Option Nein.


Die Funktion ist nun deaktiviert. Es werden keine Nutzungsdaten an Sophos übermittelt.

10


2 InstallationHinweis: Die Verfügbarkeit einzelner Funktionen hängt von Ihrer Lizenz ab. Für Informationendazu, was in Ihrer Lizenz enthalten ist, wenden Sie sich an Ihren Vertriebspartner.

2.1 SafeGuard Enterprise KomponentenDieser Abschnitt bietet einen Überblick über die SafeGuard Enterprise Komponenten undbeschreibt, wie sie zusammenspielen.

Eine funktionierende SafeGuard Enterprise Infrastruktur besteht mindestens aus folgendenModulen:

■ SafeGuard Enterprise Datenbank

■ SafeGuard Enterprise Server

■ SafeGuard Management Center

■ SafeGuard Enterprise Client

■ SafeGuard Enterprise Web Helpdesk

Eine Microsoft SQL Datenbank speichert Informationen über die Endpoints im Firmennetzwerk.Der Haupt-Sicherheitsbeauftragte oder Master Security Officer (MSO) nutzt das SafeGuardManagement Center, um die Datenbankinhalte zu steuern und neue Sicherheitsrichtlinien(Policies) zu erstellen.

Die Endpoints der Benutzer lesen die Richtlinien aus der Datenbank und berichten an dieDatenbank. Die Kommunikation zwischen Datenbank und Endpoints übernimmt dabei einInternet Information Services (IIS) basierter Webserver, auf dem der SafeGuard EnterpriseServer eingerichtet ist.

11

Administratorhilfe

Die folgende Tabelle beschreibt die einzelnen Komponenten:

BeschreibungKomponente

Die SafeGuard Enterprise Datenbank(en) enthält/enthalten allerelevanten Daten wie Schlüssel/Zertifikate, Informationen zu Benutzern

SafeGuard EnterpriseDatenbank(en) basierend auf

und Computern, Ereignisse und die Richtlinieneinstellungen. ZugriffMicrosoft SQL ServerDatenbank auf die Datenbank(en) benötigt der SafeGuard Enterprise Server und

ein einziger Sicherheitsbeauftragter des SafeGuard ManagementCenters, meist der Haupt-Sicherheitsbeauftragte (MSO). Die Erzeugungund Konfiguration der SafeGuard Enterprise Datenbank(en) kann übereinen Assistenten oder über Skripte erfolgen.

SafeGuard Enterprise Server läuft als Anwendung auf einem MicrosoftInternet Information Services (IIS) basierten Webserver und ermöglicht

SafeGuard Enterprise Serverauf IIS basiertem Webserver

die Kommunikation zwischen SafeGuard Enterprise Datenbank undSafeGuard Enterprise Endpoints. Der SafeGuard Enterprise Serversendet auf Anfrage SafeGuard Enterprise Richtlinieneinstellungen andie Endpoints. Dafür sind .NET Framework 4.5 und ASP.NET 4.5erforderlich.

12


BeschreibungKomponente

Wenn Sie SSL als Transportverschlüsselungsmethode für dieClient-Server Kommunikation wählen, müssen Sie die Rolle BasicAuthentication installieren.

Zentrales Management-Werkzeug für durch SafeGuard Enterprisegeschützte Endpoints zur Verwaltung von Schlüsseln und Zertifikaten,

SafeGuard ManagementCenter auf demAdministratorcomputer Benutzern und Computern, sowie zur Erstellung von SafeGuard

Enterprise Richtlinien. Das SafeGuard Management Centerkommuniziert mit der SafeGuard Enterprise Datenbank. .NETFramework 4,5 ist erforderlich.

Import eines Active Directory. Es enthält die Organisationsstruktur desUnternehmens mit Benutzern und Computern.

Verzeichnisdienste (optional)

Verschlüsselungssoftware für Datenverschlüsselung und sichereAuthentisierung. Durch SafeGuard Enterprise geschützte Endpoints

SafeGuard EnterpriseVerschlüsselungssoftware aufEndpoints können entweder mit einem SafeGuard Enterprise Server verbunden

sein (zentral verwaltet) oder keine Verbindung zu einem SafeGuardEnterprise Server haben (Standalone). Zentral verwaltete Endpointserhalten ihre Richtlinien direkt vom SafeGuard Enterprise Server.Standalone-Endpoints erhalten ihre Richtlinien inKonfigurationspaketen, die mit einen Dritt-Verteilungsmechanismusverteilt werden können.

2.2 Erste SchritteDieser Abschnitt begleitet Sie mit Best-Practice-Beispielen und Empfehlungen durch einetypische Installation von SafeGuard Enterprise. Die Anleitung richtet sich an System-, Netzwerk-und Datenbankadministratoren, die SafeGuard Enterprise (SGN) installieren, und beschreibtein Setup, das hinsichtlich Kommunikation zwischen den einzelnen Komponenten bestmöglicheSicherheit und Performance gewährleistet.

Das Dokument geht von einer Struktur aus, in der alle Geräte Mitglieder derselben Domänesind. Deshalb sind Abweichungen in der Beschreibung von betriebssystem-spezifischenAbläufen möglich, wenn Sie andere Software oder eine Arbeitsgruppenumgebung verwenden.

■ Erstinstallation: Der SGN Install Advisor vereinfacht die erstmalige Einrichtung derManagement-Komponenten einschließlich Standardrichtlinien. Um den SGN Install Advisorfür eine neue SafeGuard Enterprise Installation aufzurufen, starten SieSGNInstallAdvisor.bat aus Ihrer Produktlieferung. Ein Assistent führt Sie durch dieInstallation.

■ Aktualisierung: Führen Sie die nachfolgenden Schritte aus. Aktualisierung (Seite 77).

2.2.1 Installationsschritte

Bevor Sie SafeGuard Enterprise Client Software installieren können, muss ein funktionierendesBackend eingerichtet werden. Daher empfehlen wir, die Reihenfolge der beschriebenenInstallationsschritte einzuhalten.

13

Administratorhilfe

Hinweis: SafeGuard Enterprise for Windows unterstützt keine Apple Hardware und kannnicht in einer Boot Camp Umgebung installiert werden. Verwenden Sie stattdessen einenvirtuellen Windows-Client.

Alle SafeGuard Enterprise Komponenten (.msi-Pakete) finden Sie in der Produktlieferung.

Paket/ToolBeschreibungSchritt

Laden Sie die Installer über denSophos Knowledgebase-Artikel111195 herunter.

1

Installieren Sie .NET Frameworkund ASP.NET 4.6.1 sowie dieRolle Standardauthentifizierung.

2

Richten Sie Internet InformationServices (IIS) für die Anwendung

3

mit SafeGuard Enterprise ein,siehe Installation undKonfiguration von MicrosoftInternet Information Services (IIS)(Seite 18).

SGNServer.msiInstallieren Sie SafeGuardEnterprise Server

4

Konfigurieren Sie die MicrosoftSQL Server Authentisierung für

5

den SafeGuard EnterpriseHaupt-Sicherheitsbeauftragten,siehe Datenbank-Authentisierung(Seite 21).

SafeGuard Management CenterKonfigurationsassistent oderSkripts in der Produktlieferung.

SafeGuard EnterpriseDatenbank(en) über Skripteerzeugen.

6

SGNManagementCenter.msiInstallieren Sie das SafeGuardManagement Center für die

7

zentrale Verwaltung vonBenutzern, Computern,Richtlinien, Schlüsseln undBerichten.

SafeGuard Management CenterKonfigurationsassistent

Konfigurieren Sie das SafeGuardManagement Center: Datenbankund

8

Datenbankserver-Verbindungen,Zertifikate, Anmeldeinformationenfür denHaupt-Sicherheitsbeauftragten.

14


http://www.sophos.com/de-de/support/knowledgebase/111195.aspx


Paket/ToolBeschreibungSchritt

Konfigurationspakete-Funktionim SafeGuard ManagementCenter.

Registrieren und konfigurierenSie den SafeGuard EnterpriseServer: Erzeugen Sie dasServer-Konfigurationspaket und

9

installieren SIe es auf dem IISServer.

SafeGuard Management CenterErstellen Sie dieOrganisationsstruktur aus ActiveDirectory oder manuell.

10

SGxClientPreinstall.msiVorbereiten der Endpoints für dieVerschlüsselung

11

Konfigurationspakete-Funktionim SafeGuard ManagementCenter.

Erstellen Sie das ersteKonfigurationspaket für dieEndpoint-Konfiguration.

12

Für Informationen zu denverfügbaren Paketen, siehe

Installieren Sie dieVerschlüsselungssoftware und

13

Zentral verwaltete Endpoints undStandalone-Endpoints (Seite 58).

das Konfigurationspaket auf denEndpoints.

2.2.2 Überprüfen der Systemanforderungen

Bevor Sie SafeGuard Enterprise installieren, prüfen Sie die Systemanforderungen.

Informationen zu Hardware- und Software-Anforderungen, Service Packs sowieFestplattenspeicherbedarf für Installation und effektiven Betrieb finden Sie in den aktuellenVersionsinfos auf der SafeGuard Versionsinfos Landing-Page.

2.2.3 Installer Download

1. Laden Sie die Installer von der Sophos Website herunter. Sie erhalten hierzu von IhremSystemadministrator die entsprechende Web-Adresse und die erforderlichenDownload-Anmeldeinformationen. Weitere Informationen finden Sie im SophosKnowledgebase-Artikel 111195.

2. Legen Sie die Dateien an einem Speicherort ab, auf den Sie für die Installation Zugriffhaben.

2.2.4 Sprache der Benutzeroberfläche

Die Spracheinstellungen für die Installations- und Konfigurationsassistenten und dieverschiedenen SafeGuard Enterprise Komponenten sind wie folgt:

Assistenten

Die Sprache der Installations- und Konfigurationsassistenten der verschiedenenInstallationspakete wird automatisch an die Spracheinstellungen des Betriebssystems

15

Administratorhilfe




angepasst. Wenn die Betriebssystemsprache für diese Assistenten nicht verfügbar ist, wirdautomatisch Englisch benutzt.

SafeGuard Management Center

So stellen Sie die Sprache das SafeGuard Management Center ein:

■ Klicken Sie im SafeGuard Management Center auf Extras > Optionen > Allgemein.Klicken Sie auf Benutzerdefinierte Sprache verwenden und wählen Sie eine verfügbareSprache aus.

■ Starten Sie das SafeGuard Management Centers neu. Er wird in der ausgewählten Spracheangezeigt.

SafeGuard Enterprise auf Endpoints

Die Sprache von SafeGuard Enterprise auf Endpoints steuern Sie über den RichtlinientypAllgemeine Einstellungen im SafeGuard Management Center (Einstellung Anpassung >Sprache am Client):

■ Wenn die Sprache des Betriebssystems gewählt wird, richtet sich die Produktsprachenach der Spracheinstellung des Betriebssystems auf dem Endpoint. Steht dieentsprechende Betriebssystemsprache in SafeGuard Enterprise nicht zur Verfügung, wirdstandardmäßig die englische Version von SafeGuard Enterprise angezeigt.

■ Wenn eine der zur Verfügung stehenden Sprachen gewählt wird, werden die SafeGuardEnterprise Funktionen auf dem Endpoint in der ausgewählten Sprache angezeigt.

2.2.5 Kompatibilität mit weiteren Sophos-Produkten

Dieser Abschnitt beschreibt die Kompatibilität von SafeGuard Enterprise 8.0 mit anderenSophos-Produkten.

2.2.5.1 Kompatibilität mit SafeGuard LAN CryptSafeGuard Enterprise 8.0 und SafeGuard LAN Crypt 3.90.2 können zusammen auf einemEndpoint installiert werden. Stellen Sie sicher, dass Sie keine ältere Version von LAN Cryptverwenden.

Falls SafeGuard LAN Crypt 3.90.2 bereits installiert ist:

1. Installieren Sie das SafeGuard Prä-Installationspaket auf dem Endpoint (nur unter Windows7 relevant).

2. Installieren Sie SafeGuard Data Exchange auf dem Endpoint.3. Installieren Sie das SafeGuard-Client-Konfigurationspaket auf dem Endpoint.4. Starten Sie den Endpoint neu.

Hinweis: Während der Installation werden Sie darüber informiert, dass die KomponenteSGLC Profile Loader bereits verwendet wird. Sie können diese Meldung ignorieren. Sie wirddadurch verursacht, dass SafeGuard LAN Crypt und SafeGuard Enterprise gemeinsameKomponenten benutzen. Die betroffenen Komponenten werden beim Neustart aktualisiert.

SafeGuard Enterprise 8.0 ist bereits installiert:

1. Installieren Sie SafeGuard LAN Crypt 3.9 auf dem Endpoint.

16


2. Starten Sie den Endpoint neu.

2.2.5.2 Kompatibilität mit Sophos Enterprise ConsoleWenn Sie die Verschlüsselung mit Sophos Enterprise Console (SEC) verwalten, installierenSie den SafeGuard Enterprise Server oder ein SafeGuard Management Center nicht aufeinem Server, auf dem der SEC Management Server installiert ist.

2.2.5.3 Kompatibilität mit Sophos Mobile ControlSafeGuard Enterprise arbeitet mit Sophos Mobile Control zusammen indem ein gemeinsamerSchlüsselring verwendet wird. Das bedeutet, dass Benutzer auf ihren Mobilgeräten sicherauf Dateien zugreifen können, die mit einem SGN-Schlüssel verschlüsselt sind. Umgekehrtkönnen Benutzer auch Dateien in ihrer Secure Workspace App erstellen und später auf ihremmit SGN geschützten Computer öffnen.

Voraussetzungen:

■ Registrieren Sie den SMC-Server mit seinem Zertifikat am SGN Server im ManagementCenter (Extras> Konfigurationspakete > Server).

■ Stellen Sie eine sichere SSL/TLS-Verbindung zwischen den Servern her. Wir empfehlendie Verwendung des TLS 1.2 Verschlüsselungsprotokolls zur Vermeidung von bekanntenSSL-Angriffen.

■ Verwenden Sie Active Directory damit Benutzer in SGN über ihre AD-Informationenidentifiziert werden können.

2.2.6 Allgemeine Einschränkungen

Beachten Sie folgende allgemeine Einschränkungen für SafeGuard Enterprise auf Endpoints:

■ SafeGuard Enterprise for Windows unterstützt keine Apple Hardware und kann nicht ineiner Boot Camp Umgebung installiert werden.Verwenden Sie stattdessen einen virtuellenWindows-Client.

■ Systeme mit Festplatten, die über einen SCSI-Bus angeschlossen sind, werden von derSafeGuard Festplattenvollverschlüsselung (SafeGuard volume-basierende Verschlüsselungund BitLocker-Unterstützung) nicht unterstützt.

■ Der schnelle Benutzerwechsel wird nicht unterstützt.

■ Der Einsatz von SafeGuard Enterprise in einer Terminal Server Umgebung wird nichtunterstützt.

■ Wenn Intel Advanced Host Controller Interface (AHCI) auf Endpoints mit POA benutztwird, muss sich die Boot-Festplatte in Slot 0 befinden.

■ Auf Endpoints mit POA wird SafeGuard volume-basierende Verschlüsselung für Volumes,die sich auf dynamischen Datenträgern oder auf GUID Partitionstabellen (GPT)-Plattenbefinden, nicht unterstützt. Die Installation bricht in diesen Fällen ab. Wenn diese Plattenauf dem Endpoint gefunden werden, werden sie nicht unterstützt.

17

Administratorhilfe

2.3 Einrichten des SafeGuard Enterprise ServersDer SafeGuard Enterprise Server stellt die Schnittstelle zu den SafeGuard Enterprise Clientsher. Er greift wie das SafeGuard Management Center auf die Datenbank zu. Er läuft alsApplikation auf einem Web Server basierend auf Microsoft Internet Information Services (IIS).Stellen Sie sicher, dass Sie die aktuellste Version von IIS verwenden.

Für bestmögliche Sicherheit und Performance empfehlen wir, den SafeGuard EnterpriseServer auf einer dedizierten Maschine zu installieren. Dies gewährleistet außerdem, dasskeine anderen Anwendungen mit SafeGuard Enterprise in Konflikt geraten.

Der SafeGuard Enterprise Server bietet außerdem den Taskplaner, mit dem Sie periodischeTasks, die auf Skripten basieren, erstellen und geplant ausführen lassen können. Die Taskslaufen automatisch auf dem SafeGuard Enterprise Server. Sie finden die Skripte in derSafeGuard Enterprise Produktlieferung.

2.3.1 Voraussetzungen

Folgende Voraussetzungen müssen erfüllt sein:

■ Sie benötigen Windows Administratorrechte.

■ Microsoft Internet Information Services (IIS) muss verfügbar sein.

IIS steht auf der Microsoft-Website zum Download bereit.

■ Wenn Sie SSL als Transportverschlüsselung zwischen SafeGuard Enterprise Server undSafeGuard Enterprise Client verwenden, muss der IIS Server dafür eingerichtet werden,siehe Sichern von Transportverbindungen mit SSL (Seite 48).

■ Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden, dass er SSLverwendet und auf das Zertifikat zeigt.

■ Der Servername, den Sie bei der Konfiguration des SafeGuard Enterprise Serversangeben, muss identisch sein mit dem Servernamen, den Sie vorab im SSL-Zertifikatangegeben haben. Sonst können Client und Server nicht miteinander kommunizieren.

■ Für jeden SafeGuard Enterprise Server wird ein separates SSL-Zertifikat benötigt.

■ Wenn Sie Network Load Balancer einsetzen, vergewissern Sie sich, dass der Portbereichden SSL-Port mit einschließt.

■ .NET Framework 4.5 und ASP.NET 4.5 (in der SafeGuard Enterprise Produktlieferungenthalten) müssen installiert sein.

2.3.2 Installation und Konfiguration von Microsoft Internet InformationServices (IIS)

Dieser Abschnitt beschreibt, wie Sie Microsoft Internet Information Services (IIS) für denBetrieb mit SafeGuard Enterprise Server vorbereiten.

18


2.3.2.1 Installieren und Konfigurieren von IIS 7/7.5 auf Microsoft Windows Server2008/2008 R2IIS steht auf der Microsoft-Website zum Download bereit.

1. Klicken Sie im Start Menü auf Alle Programme > Administration > Server-Manager.

2. Klicken Sie im Server Manager auf Rollenübersicht > Rollen hinzufügen.

3. Verifizieren Sie auf der Vorbemerkungen Seite des Rollen hinzufügen AssistentenFolgendes:

■ Das Administratorenkonto hat ein sicheres Kennwort.

■ Die Netzwerkeinstellungen, zum Beispiel IP-Adressen, sind konfiguriert.

■ Die neuesten Windows-Sicherheits-Updates sind installiert.

4. Wählen Sie Rollen auswählen auf der rechten Seite und dann Webserver (IIS). KlickenSie auf der folgenden Seite auf Erforderliche Features hinzufügen. Webserver (IIS) istim Navigationsbereich des Rollen hinzufügen Assistenten aufgelistet.

5. Klicken Sie auf Webserver (IIS) und dann auf Rollendienste. Behalten Sie dieStandard-Rollendienste bei.

6. Wählen Sie auf der rechten Seite zusätzlich Folgendes: ASP.NET, dadurch werden allenotwendigen untergeordneten Rollendienste ebenfalls ausgewählt.

7. Wählen Sie IIS-Verwaltungsskripts und -tools. Dies ist für die richtige IIS Konfigurationerforderlich.

8. Klicken Sie auf Weiter > Installieren > Schließen.

IIS wird mit einer Standardkonfiguration zum Hosten von ASP.NET installiert.

9. Überprüfen Sie mit http://< server name>, ob die Web-Seite korrekt angezeigt wird.WeitereInformationen finden Sie unter: http://support.microsoft.com.

2.3.2.1.1 Prüfen der .NET Framework Registrierung bei IIS 7

.NET Framework Version 4,5 ist erforderlich. Sie finden das Programm in der SafeGuardEnterprise Produktlieferung.

So überprüfen Sie, ob das Programm korrekt auf IIS 7 installiert ist:

1. Wählen Sie im Start Menü den Befehl Ausführen....

2. Geben Sie folgendes Kommando ein: Appwiz.cpl. Alle auf dem Computer installiertenProgramme werden angezeigt.

3. Überprüfen Sie, ob .NET Framework Version 4,5 angezeigt wird. Wird die Version nichtangezeigt, installieren Sie sie. Folgen Sie den Schritten im Installationsassistenten undbestätigen Sie alle Standardeinstellungen.

4. Um zu prüfen, ob die Installation korrekt registriert ist, wechseln Sie inC:\Windows\Microsoft.NET\Framework. Jede installierte Version muss als separater Ordnermit der Version als Ordnername sichtbar sein, "v4.5".

2.3.2.1.2 Prüfen der ASP.NET Registrierung bei IIS 7

ASP.NET Version 4,5 ist erforderlich.

1. Um zu überprüfen, ob ASP.NET installiert und mit der korrekten Version registriert ist,geben Sie das Kommando aspnet_regiis.exe -lv auf der Kommandozeile ein.

Für ASP.NET Version sollte Version 4.5 angezeigt werden.

19

Administratorhilfe

http://support.microsoft.com

2.3.2.2 Installieren und Konfigurieren von IIS 8 auf Microsoft Windows Server 2012/2012R2IIS steht auf der Microsoft-Website zum Download bereit.

1. Klicken Sie am Server-Manager Dashboard auf Verwalten > Rollen und Featureshinzufügen.

2. Im Assistent zum Hinzufügen von Rollen und Features, auf der Seite Vorbemerkungen,überprüfen Sie Folgendes:

■ Das Administratorenkonto hat ein sicheres Kennwort.

■ Die Netzwerkeinstellungen, zum Beispiel IP-Adressen, sind konfiguriert.

■ Die neuesten Windows-Sicherheits-Updates sind installiert.

3. Wählen Sie Serverrollen im linken Fenster und wählen Sie dann Web Server (IIS). KlickenSie auf Features hinzufügen im angezeigten Fenster. Rolle "Webserver" (IIS) wird imlinken Bereich des Assistent zum Hinzufügen von Rollen und Features gelistet.

4. Wählen Sie Rollendienste unter Rolle "Webserver" (IIS). Behalten Sie dieStandard-Rollendienste bei.

5. Scrollen Sie nach unten zum Knoten Anwendungsentwicklung und wählen Sie:

■ ASP.NET 4.5■ ISAPI Extensions■ ISAPI Filters

Notwendige untergeordnete Rollendienste werden automatisch ausgewählt.

6. Unter dem Knoten Sicherheit aktivieren Sie:

■ Basic Authentication■ Windows Authentication

7. Klicken Sie auf Weiter > Installieren > Schließen.

IIS wird mit der Standardkonfiguration für das Hosten von ASP.NET am Windows Serverinstalliert.

Bestätigen Sie über http://<Computername>, dass der Web-Server funktioniert. Wenn dieWebseite nicht richtig angezeigt wird, wenden Sie sich bitte an die Microsoft KnowledgeBase (http://support.microsoft.com).

2.3.3 Installieren von SafeGuard Enterprise Server

Nachdem der IIS konfiguriert ist, können Sie SafeGuard Enterprise Server auf dem IIS Serverinstallieren. Das Installationspaket SGNServer.msi finden Sie in der Produktlieferung.

1. Doppelklicken Sie auf dem Server, auf dem Sie SafeGuard Enterprise Server installierenmöchten, auf SGNServer.msi. Ein Assistent führt Sie durch die notwendigen Schritte.

2. Übernehmen Sie in den folgenden Dialogen die Standardeinstellungen. Der Taskplanerwird automatisch mit dem Installationstyp Vollständig installiert.

SafeGuard Enterprise Server mit Taskplaner wird installiert.

Hinweis: Aus Performance-Gründen ist die Verkettung von protokollierten Ereignissen fürdie SafeGuard Enterprise Datenbank nach der Installation des SafeGuard Enterprise Serversstandardmäßig deaktiviert. Für den Integritätsschutz protokollierter Ereignisse ist jedoch dieVerkettung protokollierter Ereignisse erforderlich. Dabei werden alle Einträge in der

20


Ereignistabelle miteinander verkettet, so dass die Entfernung eines Eintrags sichtbar wirdund über eine Integritätsprüfung nachgewiesen werden kann. Um den Integritätsschutz zunutzen, müssen Sie die Verkettung von protokollierten Ereignissen manuell aktivieren. Fürweitere Informationen, siehe Berichte (Seite 333).

Um den Erfolg der Installation zu überprüfen, öffnen SieInternetinformationsdienste-Manager (Ausführen > inetmgr) und stellen Sie sicher, dasseine Webseite SGNSRV verfügbar ist.

2.4 Einrichten einer SafeGuard Enterprise DatenbankSafeGuard Enterprise speichert alle relevanten Daten wie Schlüssel, Zertifikate, Informationenzu Benutzern und Computern, Ereignisse und die Richtlinieneinstellungen in einer Datenbank.Die SafeGuard Enterprise Datenbank basiert auf Microsoft SQL Server.

Prüfen Sie die Liste der aktuell unterstützten SQL Server Typen im Abschnitt zu denSystemanforderungen in den aktuellen Versionsinfos im Sophos Knowledgebase-Artikel12776.

Hinweis: Bedenken Sie, wenn Sie die SQL Express Edition verwenden, die von Microsoftvorgegebene Größenbeschränkung für die Datenbank. Die SQL Express Edition ist für größereUmgebungen eher ungeeignet.

Sie können die Datenbank entweder automatisch während der Erstkonfiguration im SafeGuardManagement Center oder manuell mit den in Ihrer Produktlieferung verfügbaren SQL Skripteneinrichten. Wählen Sie die geeignete Methode nach den Gegebenheiten in IhrerFirmenumgebung. Für weitere Informationen, siehe Datenbankzugriffsrechte (Seite 22).

Zur Optimierung der Performance lässt sich die SafeGuard Enterprise Datenbank auf mehrereSQL Server replizieren. Für Informationen zum Einrichten der Datenbankreplikation, sieheReplikation der SafeGuard Enterprise Datenbank (Seite 30).

Sie können mehrere SafeGuard Enterprise Datenbanken für unterschiedliche Mandanten wieFirmenstandorte, Organisationseinheiten oder Domänen einrichten und verwalten (MultiTenancy). Informationen zur Konfiguration von Multi Tenancy finden Sie unter Multi TenancyKonfigurationen (Seite 36).

Hinweis: Wir empfehlen den Einsatz eines permanenten Online-Backups für die Datenbank.Führen Sie ein regelmäßiges Backup Ihrer Datenbank durch, um Schlüssel,Unternehmenszertifikate und Benutzer-Computer Zuordnungen zu sichern. Beispiele fürempfohlene Backup-Zyklen: nach dem Erstimport der Daten, nach größeren Änderungenoder in turnusmäßigen Abständen, z. B. wöchentlich oder täglich.

2.4.1 Datenbank-Authentisierung

Um auf die SafeGuard Enterprise Datenbank zuzugreifen, muss sich der ersteSicherheitsbeauftragte des SafeGuard Management Centers am SQL Server authentisieren.Es gibt folgende Möglichkeiten:

■ Windows-Authentisierung: Ernennen Sie einen vorhandenen Windows-Benutzer zumSQL-Benutzer

■ SQL-Authentisierung: Richten Sie ein SQL-Benutzerkonto ein.

Fragen Sie Ihren SQL-Administrator, welche Form der Authentisierung Sie alsSicherheitsbeauftragter verwenden sollen. Sie benötigen diese Information vor der Erzeugungder Datenbank und vor der Erstkonfiguration des SafeGuard Management Centers imSafeGuard Management Center Konfigurationsassistenten.

21

Administratorhilfe



Verwenden Sie SQL-Authentisierung für Computer, die sich nicht in einer Domäne befinden.Ansonsten verwenden Sie Windows-Authentisierung.Wenn Sie SQL-Authentisierung einsetzen,empfehlen wir, die Verbindung zu und vom Datenbankserver durch SSL zu sichern. Fürweitere Informationen, siehe Einrichten von SSL (Seite 50).

2.4.1.1 DatenbankzugriffsrechteSafeGuard Enterprise ist so eingerichtet, dass es für das Zusammenspiel mit derSQL-Datenbank nur ein einziges Benutzerkonto mit minimalen Zugriffsberechtigungen aufdie Datenbank benötigt. Dieses Benutzerkonto wird vom SafeGuard Management Centergenutzt und lediglich auf den ersten Sicherheitsbeauftragten des SafeGuard ManagementCenters ausgestellt. Damit ist die Verbindung zur SafeGuard Enterprise Datenbankgewährleistet. Während des Betriebs von SafeGuard Enterprise benötigt ein einzigerSicherheitsbeauftragter des SafeGuard Management Centers nur dieLese/Schreib-Berechtigung für die SafeGuard Enterprise Datenbank.

Die SafeGuard Enterprise Datenbank kann entweder manuell oder automatisch während derErstkonfiguration im SafeGuard Management Center erzeugt werden. Soll die Datenbankautomatisch erstellt werden, so sind für den ersten SafeGuard Management CenterSicherheitsbeauftragten erweiterte Zugriffsrechte für die SQL Datenbank (db_creator)erforderlich. Diese Berechtigungen können dem Sicherheitsbeauftragten danach vomSQL-Administrator aber wieder bis zur nächsten Installation/Aktualisierung entzogen werden.

Wenn die Erweiterung der Rechte während der Installation des SafeGuard ManagementCenters nicht gewünscht ist, kann der SQL-Administrator die SafeGuard Enterprise Datenbankper Skript erzeugen. Dazu können die beiden Skripte CreateDatabase.sql undCreateTables.sql aus der Produktlieferung ausgeführt werden.

Die folgende Tabelle zeigt die notwendigen SQL-Berechtigungen für die unterschiedlichenVersionen von Microsoft SQL Server.

ZugriffsberechtigungSQL Server 2012, SQL Server 2012 Express

Datenbank erstellen

db_creatorServer

keineMaster Datenbank

db_ownerpublic (Standard)SafeGuard Enterprise Datenbank

Datenbank benutzen

keineServer

keineMaster Datenbank

db_datareader

db_datawriter

SafeGuard Enterprise Datenbank

public (Standard)

22


2.4.1.2 Konfigurieren eines Windows-Benutzerkontos für die Anmeldung am SQL ServerDie folgende Beschreibung der einzelnen Konfigurationsschritte wendet sich anSQL-Administratoren und bezieht sich auf Microsoft Windows Server 2008 und Microsoft SQLServer 2014, Standard oder Express Edition.

Als SQL-Administrator benötigen Sie das Recht zum Anlegen von Benutzerkonten.

1. Öffnen Sie SQL Server Management Studio. Melden Sie sich am SQL Server mit IhrenAnmeldeinformationen an.

2. Öffnen Sie den Objekt-Explorer, klicken Sie mit der rechten Maustaste auf Sicherheit,wählen Sie Neu und klicken Sie dann auf Anmelden.

3. Wählen Sie unter Anmeldung - Neu auf der Allgemein Seite die OptionWindows-Authentifizierung.

4. Klicken Sie auf Suchen. Suchen Sie nach dem relevanten Windows-Benutzernamen undklicken Sie auf OK. Der Benutzername wird als Anmeldename angezeigt.

5. Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde,wählen Sie unter Standarddatenbank die Option Master.

6. Klicken Sie auf OK.

23

Administratorhilfe

7. Um die Datenbank automatisch während der Erstkonfiguration des SafeGuard ManagementCenters zu erzeugen, müssen Sie die Zugriffsrechte wie folgt ändern: Weisen Sie jetztunter Anmeldung - Neu die Zugangsberechtigungen/Rollen zu, indem Sie links aufServerrollen klicken: Wählen Sie dbcreator. Nach der Installation von SafeGuardEnterprise kann die Datenbankrolle auf dbowner zurückgesetzt werden.

2.4.1.3 Erstellen eines SQL-Kontos für die Anmeldung am SQL ServerJeder Benutzer, der das SafeGuard Management Center verwenden soll, benötigt ein gültigesSQL-Benutzerkonto wenn Windows-Authentifizierung für die Verbindung mit derSafeGuard-Datenbank verwendet wird.

Die nachfolgende Beschreibung der einzelnen Konfigurationsschritte richtet sich anSQL-Administratoren. Sie bezieht sich auf Microsoft Windows Server 2008 (alle Editionen)mit Microsoft SQL Server 2008 Standard Edition.

Als SQL-Administrator benötigen Sie das Recht, ein SQL-Benutzerkonto zu erstellen.


2. Öffnen Sie den Objekt-Explorer, klicken Sie mit der rechten Maustaste auf Sicherheitund wählen Sie Neu > Anmelden.

3. Wählen Sie unter Anmeldung - Neu auf der Allgemein Seite die Option SQL ServerAuthentifizierung.

24


4. Führen Sie auf der Allgemein Seite bei Anmeldename folgende Schritte durch:

a) Geben Sie den Namen des neuen Benutzers ein, z. B. SGN SQLSERVICE.

b) Geben Sie ein Kennwort für das Konto ein und bestätigen Sie es.

c) Deaktivieren Sie Kennwortrichtlinie erzwingen.

d) Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde,wählen Sie unter Standarddatenbank die Option Master. Klicken Sie auf OK.

Notieren Sie sich die Authentisierungsmethode und die Anmeldedaten. Sie müssen diesedem SafeGuard Management Center Sicherheitsbeauftragten mitteilen.

25

Administratorhilfe

5. Um die Datenbank automatisch während der Erstkonfiguration des SafeGuard ManagementCenters zu erzeugen, müssen Sie die Zugriffsrechte wie folgt ändern: Weisen Sie jetztunter Anmeldung - Neu unter Allgemein die Zugangsberechtigungen/Rollen zu, indemSie links auf Serverrollen klicken. Wählen Sie dbcreator. Nach der Installation vonSafeGuard Enterprise kann die Datenbankrolle auf dbowner zurückgesetzt werden.

Das SQL-Benutzerkonto und die Zugriffsberechtigungen sind damit für den SafeGuardEnterprise Sicherheitsbeauftragten eingerichtet.

2.4.2 Erzeugen der SafeGuard Enterprise Datenbank

Nachdem das Benutzerkonto für die SQL Server Anmeldung eingerichtet ist, können Sie dieSafeGuard Enterprise Datenbank erzeugen. Hier gibt es zwei Möglichkeiten:

■ Mit dem SafeGuard Management Center Konfigurationsassistenten

Als Sicherheitsbeauftragter können Sie die SafeGuard Enterprise Datenbank während derErstkonfiguration im SafeGuard Management Centers leicht und bequem erstellen. DerSafeGuard Management Center Konfigurationsassistent führt Sie durch dieBasiskonfiguration, zu der auch die Erstellung der Datenbank gehört. Fahren Sie hierzumit der Installation und Konfiguration des SafeGuard Management Center fort (sieheEinrichten des SafeGuard Management Centers (Seite 35)) und ändern Sie dann dierelevanten Zugriffsrechte (siehe Ändern der Zugriffsrechte für die SafeGuard EnterpriseDatenbank (Seite 28)).

26


■ Mit SQL Skripts, die in der Produktlieferung zur Verfügung stehen.

Dieser Weg ist dann angebracht, wenn die Erweiterung der Datenbankberechtigungwährend der Konfiguration des SafeGuard Management Centers nicht gewünscht ist.

Es hängt von Ihrer Unternehmensumgebung ab, welche Methode Sie anwenden. Ambesten sollte dies zwischen SQL-Administrator und SafeGuard EnterpriseSicherheitsbeauftragtem vorab geklärt werden.

2.4.2.1 VoraussetzungenFolgende Voraussetzungen müssen erfüllt sein:

■ Microsoft SQL Server muss bereits installiert und konfiguriert sein. Für kleinereUnternehmen eignet sich der Einsatz der Microsoft SQL Express Edition, da keineLizenzkosten anfallen.

■ Aus Performance-Gründen sollte Microsoft SQL Server nicht auf dem Rechner installiertwerden, auf dem der SafeGuard Enterprise Server installiert wird.

■ Die Authentisierungsverfahren sowie die Zugriffsrechte für die Datenbank sollten geklärtwerden.

2.4.2.2 Erzeugen der SafeGuard Enterprise Datenbank per SkriptWenn Sie die SafeGuard Datenbank automatisch während der Konfiguration des SafeGuardManagement Center erzeugen möchten, können Sie diesen Schritt überspringen. Wennerweiterte SQL-Berechtigungen während der SafeGuard Management Center Konfigurationnicht erwünscht sind, führen Sie diesen Schritt aus. Dazu stehen im Tools-Verzeichnis derProduktlieferung zwei Datenbank-Skripte zur Verfügung:

■ CreateDatabase.sql

■ CreateTables.sql

Die folgende Beschreibung der Arbeitsschritte wendet sich an SQL-Administratoren undbezieht sich auf Microsoft SQL Server 2008 Standard Edition.

Als SQL-Administrator benötigen Sie das Recht zum Erstellen einer Datenbank.

1. Kopieren Sie die Skripte CreateDatabase.sql und CreateTables.sql aus der SafeGuardEnterprise Produktlieferung auf den SQL Server.

2. Doppelklicken Sie auf dem Skript CreateDatabase.sql. Das Programm SQL ServerManagement Studio wird aufgerufen.

3. Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an.

4. Überprüfen Sie, ob die beiden Zielpfade, die zu Beginn des Skripts unter FILENAME(MDF, LDF) angegeben sind, auf der lokalen Festplatte vorhanden sind. Korrigieren Siesie, wenn nötig.

5. Klicken Sie auf die Schaltfläche Ausführen in der Symbolleiste, um die Datenbank zuerzeugen. Sie haben die Datenbank SafeGuard angelegt. Erzeugen Sie anschließenddie Tabellen mit Hilfe des Skripts CreateTables.sql aus der Produktlieferung.

6. Doppelklicken Sie auf CreateTables.sql. Ein weiterer Bereich wird in Microsoft SQL ServerManagement Studio geöffnet.

7. Geben Sie am Beginn des Skripts use SafeGuard ein, um die SafeGuard EnterpriseDatenbank auszuwählen, in der die Tabellen erstellt werden sollen.

27

Administratorhilfe

8. Klicken Sie auf die Schaltfläche Ausführen in der Symbolleiste, um die Tabellen zuerzeugen.

Die SafeGuard Enterprise Datenbank und die zugehörigen Tabellen sind erzeugt.

2.4.3 Ändern der Zugriffsrechte für die SafeGuard Enterprise Datenbank

Nach dem Erstellen der SafeGuard Enterprise Datenbank muss dem Benutzerkonto Zugriffauf die Datenbank gewährt werden. Diese Zugriffsrechte werden für alleSicherheitsbeauftragten benötigt, die mit dem SafeGuard Management Center arbeiten undwenn Windows NT Authentisierung verwendet wird. Da es möglich ist, einem Benutzer füreine Datenbank unterschiedliche Rollen und Berechtigungen zuzuweisen, sind nur dieMindestanforderungen beschrieben.


2. Öffnen Sie den Objekt-Explorer, doppelklicken Sie auf Sicherheit und dann aufAnmeldungen.

3. Klicken Sie mit der rechten Maustaste auf den erforderlichen Benutzer und klicken Siedann auf Eigenschaften.

4. Wählen Sie Benutzerzuordnung auf der linken Seite. Wählen Sie unter Users mappedto this login (Benutzer, die dieser Anmeldung zugeordnet sind) die DatenbankSafeGuard.

5. Definieren Sie die erforderlichen Zugriffsrechte für die Benutzung der SafeGuard EnterpriseDatenbank unter Mitgliedschaft in Datenbankrolle für: Wählen Sie db_datareader,db_datawriter und public.


2.4.4 Überprüfung von Einstellungen für SQL-Dienste, Named Pipes undTCP/IP

Bei der Installation des SafeGuard Management Center muss der SQL Browser Service laufenund Named Pipes und TCP/IP müssen aktiv sein. Diese Einstellungen sind erforderlich, umvon anderen Maschinen aus auf den SQL-Server zugreifen zu können. Dies kann im SQLServer-Konfigurations-Manager überprüft werden. Diese Beschreibung bezieht sich aufMicrosoft Windows Server 2008 (R2) und Microsoft SQL Server 2012 Standard oder ExpressEdition.

1. Öffnen Sie den SQL Server-Konfigurations-Manager.

2. Wählen Sie in der Navigationsstruktur auf der linken Seite SQL Server-Dienste.

3. Überprüfen Sie, ob der Status von SQL Server und SQL Server Browser Läuft und derStartmodus auf Automatisch eingestellt ist.

4. Wählen Sie in der Navigationsstruktur auf der linken Seite SQLServer-Netzwerkkonfiguration.

5. Klicken Sie mit der rechten Maustaste auf das Protokoll Named Pipes und klicken Sie aufAktiviert.

6. Klicken Sie mit der rechten Maustaste auf das Protokoll TCP/IP und klicken Sie aufAktiviert.

7. Klicken Sie außerdem mit der rechten Maustaste auf das Protokoll TCP/IP und klickenSie auf Eigenschaften. Belassen Sie in der Registerkarte IP-Adressen unter IPAlll dasFeld Dynamische TCP-Ports leer. Geben Sie im Feld TCP Port 1433 ein.

8. Starten Sie die SQL-Dienste neu.

28


2.4.5 Erstellen einer Windows Firewall Regel auf Windows Server

Dieser Abschnitt bezieht sich auf Microsoft Windows Server 2008 (R2) mit Microsoft SQLServer 2012 Standard oder Express Edition.Wenn Sie diese Konfiguration verwenden, führenSie die nachfolgend angegebenen Schritte aus um sicherzustellen, dass eine Verbindungzwischen der SafeGuard Enterprise Datenbank und dem SafeGuard Management Centerhergestellt werden kann.

1. Klicken Sie auf dem Computer, der als Host für die SQL Server Instanz dient, auf Start,wählen Sie Verwaltung und klicken Sie dann auf Windows-Firewall mit erweiterterSicherheit.

2. Wählen Sie in der Navigationsstruktur auf der linken Seite Eingehende Regeln.

3. Klicken Sie in der Menüleiste auf Aktion und dann auf Neue Regel. Der Assistent fürneue eingehende Regeln wird gestartet.

4. Wählen Sie auf der Regeltyp Seite Benutzerdefiniert und klicken Sie auf Weiter.

5. Wählen Sie auf der Programm Seite die Programme und Dienste, auf die diese Regelangewendet werden soll. Klicken Sie dann auf Weiter.

6. Wählen Sie auf der Protokolle und Ports Seite TCP als Protokolltyp. Wählen Sie fürLokaler Port die Option Bestimmte Ports und geben Sie 1433 ein. Wählen Sie fürRemoteport die Option Alle Ports. Klicken Sie auf Weiter.

7. Auf der Bereich Seite können Sie festlegen, dass die Regel nur für den Netzverkehr vonoder an die auf dieser Seite angegebenen IP-Adressen gilt. Nehmen Sie die entsprechendeKonfiguration vor und klicken Sie auf Weiter.

8. Wählen Sie auf der Seite Aktion die Option Verbindung zulassen und klicken Sie aufWeiter.

9. Geben Sie auf der Seite Profil an, wo die Regel angewendet werden soll. Klicken Siedann auf Weiter.

10. Geben Sie auf der Seite Name einen Namen und eine Beschreibung für Ihre Regel einund klicken Sie auf Beenden.

2.4.6 Konfigurieren der Windows-Authentisierung für die Anmeldung amSQL Server

Dieser Abschnitt bezieht sich auf Microsoft Windows Server 2008 mit Microsoft SQL Server2012 Standard Edition und IIS 7.

Um die Kommunikation zwischen dem SafeGuard Enterprise Server und der SafeGuardEnterprise Datenbank bei Anwendung der Windows-Authentisierung zu ermöglichen, mussder Benutzer zu einem Mitglied von Active Directory Gruppen gemacht werden. DieBerechtigungen für lokale Dateien müssen angepasst werden und das SQL Benutzerkontomuss in den Anwendungspool des IIS aufgenommen werden.

1. Wählen Sie Start und dann Ausführen. Geben Sie dsa.msc ein. Öffnen Sie das ActiveDirectory Users and Computers Snap-in.

2. Klappen Sie in der Navigationsstruktur auf der linken Seite die Domänenstruktur aus undwählen Sie Builtin.

3. Fügen Sie den relevanten Windows-Benutzer zu folgenden Gruppen hinzu: IIS_IUSRS,Performance Log Users, Performance Monitor Users.

4. Beenden Sie das Snap-in.

5. Klicken Sie im lokalen Dateisystem im Windows Explorer mit der rechten Taste auf denC:\Windows\Temp Ordner und wählen Sie Eigenschaften. Wählen unter Eigenschaftendie Registerkarte Sicherheit.

29

Administratorhilfe

6. Klicken Sie unter Sicherheit auf Hinzufügen und geben Sie den relevantenWindows-Benutzernamen im Feld Geben Sie die zu verwendenden Objektnamen einein. Klicken Sie auf OK.

7. Klicken Sie unter Sicherheit bei Berechtigungen auf Erweitert. Klicken Sie in derBerechtigungen Registerkarte des Dialogs Erweiterte Sicherheitseinstellungen fürTemp auf Bearbeiten. Setzen Sie dann im Objekt Dialog die folgenden Berechtigungenauf Zulassen: Ordner auflisten / Daten lesen, Dateien erstellen / Daten schreiben,Löschen.

8. Klicken Sie auf OK, schließen Sie den Dialog Eigenschaften für Temp und schließenSie dann den Windows Explorer.

9. Öffnen Sie den Internet Information Services Manager.

10. Wählen Sie im Bereich Verbindungen auf der linken Seite die Anwendungspools fürden relevanten Server-Knoten.

11. Wählen Sie aus der Anwendungspools Liste auf der rechten Seite SGNSRV-Pool.

12. Wählen Sie im Aktionen Bereich auf der linken Seite Erweiterte Einstellungen.

13. Klicken Sie in Erweiterte Einstellungen unter Prozessmodell für die Eigenschaft Identitätauf die ... Schaltfläche.

14. Wählen Sie in Identität des Anwendungspools die Option Benutzerdefiniertes Kontound klicken Sie auf Festlegen.

15. Geben Sie in Anmeldeinformationen festlegen den relevanten Windows-Benutzernamenin folgender Form ein: Domäne\<Windows-Benutzername>. Geben Sie dasentsprechende Windows-Kennwort ein, bestätigen Sie es und klicken Sie auf OK.

16. Wählen Sie im Bereich Verbindungen auf der linken Seite den relevanten Server-Knotenund klicken Sie im Aktionen Bereich auf Neu starten.

17. Wählen Sie im Bereich Verbindungen auf der linken Seite unter dem relevantenServer-Knoten unter Sites Standard-Websites die Option SGNSRV.

18. Doppelklicken Sie auf der SGNSRV Homepage auf Authentifizierung.

19. Klicken Sie mit der rechten Maustaste auf Anonyme Authentifizierung und wählen SieBearbeiten.

20. Wählen Sie bei Identität des anonymen Benutzers die Option Bestimmter Benutzerund überprüfen Sie, ob der Benutzername IUSR lautet. Korrigieren Sie ihn, wenn nötig.


Die zusätzliche Konfiguration für die Benutzung eines Windows-Kontos für die Anmeldungam SQL Server ist nun abgeschlossen.

2.4.7 Replikation der SafeGuard Enterprise Datenbank

Zur Optimierung der Performance der SafeGuard Enterprise Datenbank lässt sich diese aufmehrere SQL-Server replizieren.

Dieser Abschnitt beschreibt das Aufsetzen der Replikation für die SafeGuard EnterpriseDatenbank in einer verteilten Umgebung. In der Beschreibung wird davon ausgegangen, dassSie bereits Erfahrung mit dem Microsoft SQL Server Replikationsmechanismus haben.

Hinweis: Die Administration sollte nur bei der Master-Datenbank erfolgen, nicht bei repliziertenDatenbanken.

Wichtig:

Die vorgeschlagene Lösung beschreibt nicht die Datenbankreplikation für die Zwecke einesredundanten Failovers, sondern zur Verbesserung der Performance in Multi-Site-Szenarien.

30


2.4.7.1 MergereplikationDie Mergereplikation ist der Vorgang der Verteilung von Daten vom Verleger an dieAbonnenten. Dabei können Verleger und Abonnenten unabhängig voneinanderAktualisierungen vornehmen und danach einen Merge der Aktualisierungen zwischen denStandorten durchführen.

Die Mergereplikation erlaubt es verschiedenen Standorten, autonom zu arbeiten und späterdie Aktualisierungen zu einem einzigen, einheitlichen Ergebnis zusammenzuführen. Derinitiale Snapshot wird auf die Abonnenten angewendet. Microsoft SQL Server verfolgt danndie Änderungen an veröffentlichten Daten beim Verleger und bei den Abonnenten nach. DieDaten werden zwischen den Servern kontinuierlich, zu einem festgelegten Zeitpunkt oder aufAnforderung synchronisiert. Da Aktualisierungen auf mehr als einem Server ausgeführt werden,sind dieselben Daten möglicherweise vom Verleger und von mindestens einem Abonnentenaktualisiert worden. Daher kann es beim Zusammenführen von Aktualisierungen zu Konfliktenkommen.

Die Mergereplikation bietet Standardmöglichkeiten sowie individuelle Möglichkeiten für dieKonfliktlösung, die Sie bei der Konfiguration einer Mergeveröffentlichung definieren können.Tritt ein Konflikt auf, ruft der Merge-Agent einen Resolver auf. Dieser bestimmt, welche Datenakzeptiert und an andere Standorte verteilt werden.

2.4.7.2 Einrichten der DatenbankreplikationDer Vorgang des Einrichtens einer Replikation für die SafeGuard Enterprise Datenbank wirdam Beispiel von Microsoft SQL Server beschrieben.

Im Beispiel wird SafeGuard Enterprise ausschließlich von der Datenbank in Wien ausadministriert. Alle Änderungen werden vom SafeGuard Management Center über den MicrosoftSQL Server Replikationsmechanismus an die Datenbanken in Graz und Linz weitergegeben.Die von den Client-Computern über die Web Server gemeldeten Änderungen werden ebenfallsüber den Replikationsmechanismus an den Microsoft SQL Server weitergegeben.

31

Administratorhilfe

2.4.7.2.1 Erzeugen der Master-Datenbank

Legen Sie zunächst die SafeGuard Enterprise Master-Datenbank an. In unserem Beispiel istdies die Datenbank Wien.

Der Vorgang zum Erzeugen der Master-Datenbank ist mit dem entsprechenden Vorgang füreine SafeGuard Enterprise Installation ohne Replikation identisch.

■ Erzeugen der Master-Datenbank im SafeGuard Management CenterKonfigurationsassistenten.

Für diesen Vorgang muss das SafeGuard Management Center bereits installiert sein. Fürweitere Informationen, siehe Starten der Erstkonfiguration des SafeGuard ManagementCenter (Seite 37).

■ Erzeugen Sie die Master-Datenbank mit einem SQL-Skript. Sie finden die Skripts in IhrerProduktlieferung.

Dieser Vorgang wird häufig bevorzugt, wenn erweiterte SQL-Berechtigungen während derSafeGuard Management Konfiguration nicht erwünscht sind. Für weitere Informationen,siehe Erzeugen der SafeGuard Enterprise Datenbank per Skript (Seite 27).

2.4.7.2.2 Erzeugen der Replikationsdatenbanken Graz und Linz

Nach dem Einrichten der Master-Datenbank erzeugen Sie die Replikationsdatenbanken. ImBeispiel haben die Replikationsdatenbanken die Bezeichnungen Graz und Linz.

Hinweis: Datentabellen und EVENT-Tabellen werden in getrennten Datenbanken gehalten.Ereigniseinträge werden standardmäßig nicht verkettet, so dass die EVENT-Datenbank zur

32


Erhöhung der Performance auf mehrere SQL-Server repliziert werden kann. WennEVENT-Tabellen verkettet werden, können während der Replikation der Datensätze Problemeauftreten.

So erzeugen Sie die Replikationsdatenbanken neu:

1. Erzeugen Sie eine Veröffentlichung für die Master-Datenbank in der Management-Konsoledes SQL Servers.

Eine Veröffentlichung definiert das Daten-Set, das repliziert werden soll.

2. Wählen Sie alle Tabellen, Ansichten und gespeicherten Prozeduren für die Synchronisierungin dieser Veröffentlichung aus.

3. Erstellen Sie die Replikationsdatenbanken, indem Sie ein Abonnement für Graz und einAbonnement für Linz erzeugen. Die neuen Datenbanken Graz und Linz erscheinendaraufhin in den Abonnements im SQL Konfigurationsassistenten.

4. Schließen Sie den SQL Konfigurationsassistenten. Die Replikationsüberwachung zeigt,ob der Replikationsmechanismus korrekt läuft.

5. Stellen Sie sicher, dass Sie den korrekten Datenbanknamen in der ersten Zeile des SQLSkripts eingeben. Verwenden Sie zum Beispiel Graz oder Linz.

6. Erzeugen Sie nochmal die Snapshots mit dem Snapshot Agenten.

Die Replikationsdatenbanken Graz und Linz wurden angelegt.

2.4.7.3 Installieren und Registrieren von SafeGuard Enterprise ServernUm SafeGuard Enterprise Server auf den Web Servern zu installieren, gehen Sie wie folgtvor.

1. Installieren Sie SafeGuard Enterprise Server auf dem Server WS_1.

2. Installieren Sie SafeGuard Enterprise Server auf dem Server WS_2.

3. Registrieren Sie beide Server im SafeGuard Management Center. Im Menü Extras klickenSie auf Konfigurationspakete, und dann auf Server. Auf der Registerkarte Server klickenSie auf Hinzufügen.

4. Sie werden dazu aufgefordert, die Serverzertifikate ws_1.cer und ws_2.cerhinzuzufügen. Sie finden die Zertifikate im Ordner \Program Files\Sophos\SophosSafeGuard\MachCert\. Die Zertifikate werden benötigt, um die entsprechendenKonfigurationspakete zu erstellen.

Die SafeGuard Enterprise Server sind installiert und registriert.

2.4.7.4 Erzeugen der Konfigurationspakete für die Datenbank GrazErzeugen Sie die Konfigurationspakete für die Datenbank Graz: ein Paket für Server WS_1für die Kommunikation mit der Datenbank Graz sowie ein Paket für die Verbindung desSafeGuard Enterprise Clients Graz mit dem Web Service WS_1.

1. Klicken Sie im SafeGuard Management Center im Extras Menü auf Optionen und dannauf Datenbank.

2. Wählen Sie unter Verbindungseinstellungen WS_1 als Datenbankserver und Graz alsDatenbank auf Server. Klicken Sie auf OK.

3. Klicken Sie im Extras Menü auf Konfigurationspakete... und dann auf Server-Pakete.Wählen Sie den Server WS_1 , den Ausgabepfad und klicken Sie auf Konfigurationspaketerstellen.

33

Administratorhilfe

4. Wechseln Sie auf die Registerkarte Pakete für Managed Clients. Klicken Sie aufKonfigurationspaket hinzufügen und geben Sie einen Namen für das Paket ein.WählenSie unter Primärer Server den korrekten Server, mit dem die SafeGuard Enterprise ClientsGraz verbunden werden sollen (WS_1). Legen Sie den Ausgabepfad fest und klicken Sieauf Konfigurationspaket erstellen.

Die SafeGuard Enterprise Server und Client Konfigurationspakete für die Datenbank Grazwerden am definierten Ausgabeort erstellt.

2.4.7.5 Erzeugen der Konfigurationspakete für die Datenbank LinzSie müssen die Konfigurationspakete für die Datenbank Linz erzeugen: Ein Paket für ServerWS_2 für die Kommunikation mit der Datenbank Linz sowie ein Paket für die Verbindung desSafeGuard Enterprise Clients Linz mit dem Web Service WS_2.

1. Klicken Sie im SafeGuard Management Center im Extras Menü auf Optionen und dannauf Datenbank.

2. Wählen Sie unter Verbindungseinstellungen WS_2 als Datenbankserver und Linz alsDatenbank auf Server. Klicken Sie auf OK.

3. Klicken Sie im Menü Extras auf Konfigurationspakete... und dann auf Server-Pakete.Wählen Sie den Server WS_2 , den Ausgabepfad und klicken Sie auf Konfigurationspaketerstellen.

4. Wechseln Sie auf die Registerkarte Pakete für Managed Clients. Klicken Sie aufKonfigurationspaket hinzufügen und geben Sie einen Namen für das Paket ein.WählenSie unter Primärer Server den korrekten Server, mit dem die SafeGuard Enterprise ClientsLinz verbunden werden sollen: WS_2. Legen Sie den Ausgabepfad fest und klicken Sieauf Konfigurationspaket erstellen. Klicken Sie auf Schließen.

5. Verbinden Sie das SafeGuard Management Center wieder mit der Datenbank Wien: KlickenSie im Extras Menü auf Optionen und dann auf Datenbank.

Die SafeGuard Enterprise Server und Client Konfigurationspakete für die Datenbank Linzwerden am definierten Ausgabeort erstellt.

2.4.7.6 Installieren der SafeGuard Enterprise Server Konfigurationspakete1. Installieren Sie das Server-Konfigurationspaket (ws_1.msi) auf Web Service WS_1, der

mit der Datenbank Graz kommunizieren soll.

2. Installieren Sie das Server-Konfigurationspaket ws_2.msi auf Web Service WS_2, dermit der Datenbank Linz kommunizieren soll.

3. Testen Sie die Kommunikation zwischen den SafeGuard Enterprise Servern und diesenDatenbanken:

a) Öffnen Sie auf dem Computer, auf dem SafeGuard Enterprise Server installiert ist, denInternet Information Services (IIS) Manager.

b) Klicken Sie in der Baumstruktur auf Internet Information Services Manager. KlickenSie auf Servername, Websites, Standard-Website. Überprüfen Sie, ob die Web-SeiteSGNSRV im Ordner Standard-Web-Seite verfügbar ist.

c) Klicken Sie mit der rechten Maustaste auf SGNSRV und klicken Sie auf Durchsuchen.Auf der rechten Seite des Fensters wird eine Liste mit möglichen Aktionen angezeigt.

d) Wählen Sie aus dieser Liste die Aktion CheckConnection. Die mögliche Aktion wirdauf der rechten Seite des Fensters angezeigt.

e) Um die Verbindung zu prüfen, klicken Sie auf Aufrufen.

34


Der Verbindungstest war erfolgreich, wenn Sie diese Ausgabe erhalten:

<Dataroot><WebService>OK</WebService><DBAuth>OK</DBAuth>

2.4.7.7 Einrichten des EndpointFür Informationen zum Installieren der Verschlüsselungssoftware auf Endpoints, siehe ZentraleInstallation der Verschlüsselungssoftware (Seite 65).

Hinweis: Stellen Sie zum Einrichten der Endpoints sicher, dass Sie nach der Installation daskorrekte Konfigurationspaket installieren:

1. Installieren Sie das Client-Konfigurationspaket Graz auf den Endpoints, die mit dem GrazServer WS_1 verbunden werden sollen.

2. Installieren Sie das Client-Konfigurationspaket Linz auf den Endpoints, die mit dem LinzServer WS_2 verbunden werden sollen.

2.5 Einrichten des SafeGuard Management CentersDieser Abschnitt beschreibt die Installation und Konfiguration des SafeGuard ManagementCenter.

Das SafeGuard Management Center ist das zentrale Verwaltungswerkzeug für SafeGuardEnterprise. Installieren Sie es auf den Administrator-Computern, die Sie für die Verwaltungvon SafeGuard Enterprise einsetzen möchten. Das SafeGuard Management Center kann aufjedem Rechner im Netzwerk installiert sein, von wo aus auf die SafeGuard EnterpriseDatenbanken zugegriffen werden kann.

Mit datenbankspezifischen Konfigurationen (Multi Tenancy) ermöglicht das SafeGuardManagement Center den Einsatz von SafeGuard Enterprise mit mehreren Datenbanken. Siekönnen verschiedene SafeGuard Enterprise Datenbanken für unterschiedliche Bereiche (z.B. Unternehmensstandorte, Organisationseinheiten oder Domänen) einrichten und verwalten.Um den Verwaltungsaufwand zu reduzieren, können Sie Datenbankkonfigurationen auch inDateien exportieren und aus Dateien importieren.



■ Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.

■ .NET Framework 4,5 muss installiert sein. Das Programm steht in der SafeGuard EnterpriseProduktlieferung zur Verfügung.

■ Wenn Sie eine neue SafeGuard Enterprise Datenbank während der SafeGuardManagement Center Konfiguration erzeugen wollen, benötigen Sie entsprechendeSQL-Zugriffsberechtigungen, siehe Datenbankzugriffsrechte (Seite 22).

2.5.2 Installieren des SafeGuard Management Center

1. Starten Sie SGNManagementCenter.msi aus dem Installationsordner Ihrer Produktlieferung.Ein Assistent führt Sie durch die notwendigen Schritte.

35

Administratorhilfe

2. Übernehmen Sie die Standardeinstellungen in den nächsten Dialogen wie folgt. FührenSie auf der Installationsart auswählen Seite einen der folgenden Schritte aus:

■ Wenn das SafeGuard Management Center nur eine Datenbank unterstützen soll,wählen Sie eine Installation vom Typ Typisch aus.

■ Mit der Option Angepasst können Sie die Features auswählen, die Sie installierenmöchten.

■ Wenn das SafeGuard Management Center mehrere Datenbanken unterstützen soll(Multi Tenancy), wählen Sie eine Installation vom Typ Vollständig aus. Für weitereInformationen, siehe Multi Tenancy Konfigurationen (Seite 36).

Das SafeGuard Management Center ist installiert. Starten Sie Ihren ggf. Computer neu. Imnächsten Schritt führen Sie die Erstkonfiguration im SafeGuard Management Center durch.

2.5.3 Konfigurieren des SafeGuard Management Center

Der SafeGuard Management Center Konfigurationsassistent unterstützt Sie bei der Definitionder grundlegenden SafeGuard Management Center Einstellungen und bei denDatenbankverbindungen während der initialen Konfiguration. Der Assistent wird automatischaufgerufen, wenn Sie das SafeGuard Management Center zum ersten Mal nach der Installationstarten.

Sie können das SafeGuard Management Center für die Anwendung mit einer oder mehrerenDatenbank (Multi Tenancy) konfigurieren.

Die SafeGuard Management Center Hilfe bietet umfassende Features wie kontextsensitiveHilfe und Volltext-Suche. Um den vollen Funktionsumfang des Hilfesystems nutzen zu können,muss JavaScript in Ihrem Browser aktiviert sein. Auch wenn JavaScript deaktiviert ist, könnenSie das SafeGuard Management Center Hilfesystem aufrufen und im System navigieren.Bestimmte Funktionen wie die Volltext-Suche funktionieren dann allerdings nicht.

2.5.3.1 VoraussetzungenFolgende Voraussetzungen müssen erfüllt sein:


■ Halten Sie die folgenden Informationen bereit. Diese erhalten Sie ggf. von IhremSQL-Administrator.

■ SQL Anmeldeinformationen.

■ Name des SQL Servers, auf dem die SafeGuard Enterprise Datenbank laufen soll.

■ Name der SafeGuard Enterprise Datenbank, falls diese bereits erzeugt wurde.

2.5.3.2 Multi Tenancy KonfigurationenSie können mehrere verschiedene SafeGuard Enterprise Datenbankkonfigurationen für eineInstanz des SafeGuard Management Center konfigurieren und verwalten. Dies erweist sichvor allem dann als nützlich, wenn Sie verschiedene Konfigurationen für verschiedene Domänen,Organisationseinheiten oder Unternehmensstandorte einsetzen möchten.

Sie müssen pro Datenbank jeweils eine separate SafeGuard Enterprise Server Instanzeinrichten. Jede Datenbank muss dieselbe Version aufweisen. Es ist beispielsweise nichtmöglich, SGN 7 Datenbanken und SGN 8 Datenbanken mit einem SGN 8 Management Centerzu verwalten.

36


Zur Vereinfachung der Konfiguration können vorhandene Datenbankkonfigurationen aus einerDatei importiert werden; neu erstellte Konfigurationen können exportiert und später wiederverwendet werden.

Um das SafeGuard Management Center für Multi Tenancy zu konfigurieren, führen Siezunächst die initiale Konfiguration und danach weitere spezifische Schritte für die Multi TenancyKonfiguration durch.

Hinweis: Die Funktion Multi Tenancy muss über eine Installation vom Typ Vollständiginstalliert worden sein.

2.5.3.3 Starten der Erstkonfiguration des SafeGuard Management CenterNach der Installation des SafeGuard Management Center, müssen Sie die Erstkonfigurationdurchführen. Die Erstkonfiguration muss sowohl für den Single Tenancy als auch für den MultiTenancy Modus ausgeführt werden.

So starten Sie den SafeGuard Management Center Konfigurationsassistenten:

1. Starten Sie das SafeGuard Management Center über das Start Menü. DerKonfigurationsassistent wird gestartet und führt Sie durch die notwendigen Schritte.

2. Klicken Sie auf der Willkommen Seite auf Weiter.

2.5.3.4 Konfigurieren der Datenbankserver-VerbindungZum Speichern aller SafeGuard Enterprise spezifischen Verschlüsselungsrichtlinien undEinstellungen wird eine Datenbank verwendet. Damit das SafeGuard Management Centermit dem SafeGuard Enterprise Server kommunizieren kann, müssen Sie eineAuthentisierungsmethode für den Zugriff auf die Datenbank festlegen, entweder Windows NTAuthentisierung oder SQL-Authentisierung.Wenn Sie eine Verbindung zum Datenbankservermit SQL Authentisierung herstellen möchten, stellen Sie sicher, dass Sie die notwendigenSQL-Anmeldedaten zur Hand haben. Falls notwendig, erhalten Sie diese Informationen vonIhrem SQL Administrator.

Führen Sie auf der Seite Datenbankserver-Verbindung folgende Schritte aus:

1. Wählen Sie unter Verbindungseinstellungen den SQL-Datenbankserver aus derDatenbankserver Liste aus. Es werden alle Rechner eines Netzwerks aufgelistet, aufdenen ein Microsoft SQL Server installiert ist.Wenn der Server nicht auswählbar ist, tragenSie Servername bzw. IP-Adresse mit dem SQL-Instanznamen manuell ein.

2. Aktivieren Sie SSL verwenden, um die Verbindung zwischen SafeGuard ManagementCenter und SQL-Datenbankserver zu sichern.Wenn Sie Folgende Anmeldeinformationenfür SQL Server Authentisierung anwenden unter Authentisierung auswählen, empfehlenwir dringend, diese Einstellung zu aktivieren, da dadurch der Transport derSQL-Anmeldedaten verschlüsselt wird. SSL-Verschlüsselung erfordert eine funktionsfähigeSSL-Umgebung auf dem SQL Datenbankserver, die Sie vorab einrichten müssen, sieheSichern von Transportverbindungen mit SSL (Seite 48).

3. Wählen Sie unter Authentisierung die Art der Authentisierung, die für den Zugriff auf dieDatenbankserver-Instanz benutzt werden soll.

■ Aktivieren Sie Windows NT Authentisierung verwenden, um IhreWindows-Anmeldedaten zu verwenden.

Hinweis: Verwenden Sie diese Art der Authentisierung, wenn Ihr Computer Teil einerDomäne ist. In diesem Fall sind jedoch zusätzliche Konfigurationsschritte notwendig,da der Benutzer dazu berechtigt sein muss, eine Verbindung mit der Datenbankherzustellen, siehe Konfigurieren eines Windows-Benutzerkontos für die Anmeldungam SQL Server (Seite 23) und Konfigurieren der Windows-Authentisierung für dieAnmeldung am SQL Server (Seite 29).

37

Administratorhilfe

■ Aktivieren Sie Folgende Anmeldeinformationen für SQL Server Authentisierunganwenden, um mit den entsprechenden SQL-Anmeldeinformationen auf die Datenbankzuzugreifen. Geben Sie die Anmeldeinformationen des SQL-Benutzerkontos ein, dasIhr SQL-Administrator erstellt hat. Falls notwendig, erhalten Sie diese Informationenvon Ihrem SQL Administrator.

Hinweis: Verwenden Sie diese Art der Authentisierung, wenn Ihr Computer keinerDomäne angehört. Aktivieren Sie SSL verwenden, um die Verbindung zum und vomDatenbankserver zu sichern.

4. Klicken Sie auf Weiter.

Die Verbindung zum Datenbankserver ist hergestellt.

2.5.3.5 Erstellen oder Auswählen einer DatenbankAuf der Seite Datenbankeinstellungen können Sie entweder eine neue Datenbank erzeugenoder eine bestehende verwenden. Wenn die Datenbank bereits über SQL-Skripts erstelltwurde, wählt der Assistent automatisch die bestehende Datenbank aus. In diesem Fall istkeine weitere Konfiguration erforderlich.

Wenn die Datenbank noch nicht erstellt wurde, gehen Sie wie folgt vor:

1. Wählen Sie Eine neue Datenbank mit folgendem Namen erstellen und geben Sie einenNamen für die neue Datenbank ein. Sie benötigen dazu die entsprechendenSQL-Zugriffsberechtigungen, siehe Datenbankzugriffsrechte (Seite 22). Um Probleme zuvermeiden, sollten in SafeGuard Enterprise Datenbanknamen nur folgende Zeichenverwendet werden: Buchstaben (A - Z, a - z), Zahlen (0 - 9), Unterstriche (_).


2.5.3.6 Definieren der Active Directory-AuthentifizierungBevor Sie eine neue Datenbank erstellen können Sie alle für die Verbindung mit ActiveDirectory nötigen Einstellungen vornehmen. In diesem Schritt definieren Sie den Servernamenund die Anmeldeinformationen.

Wir empfehlen, die Anmeldeinformationen für Active Directory an dieser Stelle anzugebendamit die grundlegende Active Directory Struktur automatisch importiert werden kann. DieserImport beinhaltet alle Container wie Organisationseinheiten und Gruppen, die mit derSafeGuard Enterprise Datenbank synchronisiert werden. Bei diesem initialen Import werdenkeine Benutzer und Computer importiert, aber es werden alle Schlüssel erstellt und denentsprechenden Containern zugewiesen. Nach dem Import kann der Administrator Richtlinienunterschiedlichen Containern zuweisen ohne eine komplette AD-Synchronisierungdurchzuführen. Computer und Benutzer erhalten ihre Richtlinien sobald sie am SGN Serverregistriert sind.

Wenn Sie noch keine Anmeldeinformationen haben, können Sie diesen Schritt auchüberspringen und den Active Directory Import später manuell konfigurieren.

Hinweis: Für größere Unternehmen mit komplexen AD-Strukturen sowie für die Bearbeitungvon entfernten, geänderten oder verschobenen Objekten müssen Sie den Assistenten für dieLDAP-Authentisierung verwenden, siehe Importieren einer Active Directory Struktur (Seite44).

1. Geben Sie auf der Seite Active Directory Authentifizierung den Servernamen oder dieIP-Adresse ein.

2. Wir empfehlen die Verwendung von SSL für die Sicherung der Verbindung zwischenSafeGuard Enterprise Server und Endpoints.

38


3. Definieren Sie Ihre Anmeldeinformationen.


Nachdem die SafeGuard Enterprise Datenbank erstellt und der Konfigurationsassistentabgeschlossen ist, wird die grundlegende Struktur des angegebenen Verzeichnisses in dieDatenbank importiert. Alle benötigten Schlüssel werden erstellt und den entsprechendenContainern zugewiesen.

2.5.3.7 Erstellen eines Haupt-Sicherheitsbeauftragten (Master Security Officer, MSO)Als Sicherheitsbeauftragter melden Sie sich am SafeGuard Management Center an, umSafeGuard Enterprise Richtlinien zu erstellen und die Verschlüsselungssoftware für dieEndbenutzer zu konfigurieren.

Der Haupt-Sicherheitsbeauftragte (MSO) ist der Administrator höchster Ebene mit allenRechten und einem Zertifikat, das nicht abläuft.

1. Geben Sie auf der Seite Daten des Sicherheitsbeauftragten unterHaupt-Sicherheitsbeauftragten-ID einen Namen für den Haupt-Sicherheitsbeauftragtenein, zum Beispiel MSO.

2. Führen Sie auf der Seite Zertifikat für den Haupt-Sicherheitsbeauftragten einen derfolgenden Schritte aus:

■ Zertifikat des Haupt-Sicherheitsbeauftragten erzeugen (Seite 39)■ Import des Zertifikats des Haupt-Sicherheitsbeauftragten (Seite 39)■ Export des Zertifikats des Haupt-Sicherheitsbeauftragten (Seite 40)

2.5.3.7.1 Zertifikat des Haupt-Sicherheitsbeauftragten erzeugen

In Zertifikat des Haupt-Sicherheitsbeauftragten erzeugen erzeugen Sie ein Kennwort fürden persönlichen Zertifikatspeicher. Der SafeGuard Enterprise Zertifikatspeicher ist einvirtueller Speicher für SafeGuard Enterprise Zertifikate. Dieser Speicher hat keineAuswirkungen auf Microsoft-Funktionen. Das in diesem Schritt definierte Kennwort ist dasKennwort, das später für die Anmeldung am Management Center verwendet wird.

1. Bestätigen Sie unter Haupt-Sicherheitsbeauftragten-ID den Namen desHaupt-Sicherheitsbeauftragten.

2. Geben Sie nun zweimal ein Kennwort für den Zertifikatspeicher ein und klicken Sie aufOK.

Das Zertifikat des Haupt-Sicherheitsbeauftragten wird erzeugt und lokal gespeichert(<mso_name>.cer).

Hinweis: Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf.Sie benötigen es für die Anmeldung am SafeGuard Management Center.

2.5.3.7.2 Import des Zertifikats des Haupt-Sicherheitsbeauftragten

Wenn bereits ein Zertifikat eines Haupt-Sicherheitsbeauftragten zur Verfügung steht, müssenSie es in den Zertifikatsspeicher importieren.

Hinweis: Ein Zertifikat kann nicht aus einer Microsoft PKI importiert werden. Ein importiertesZertifikat muss minimal 1024 Bits haben und kann maximal 4096 Bits lang sein.Wir empfehlenein Zertifikat mit mindestens 2048 Bit.

1. Klicken Sie unter Authentisierungs-Schlüsseldatei importieren auf die [...] Schaltflächeund wählen Sie die Schlüsseldatei aus.

2. Geben Sie das Kennwort der Schlüsseldatei ein.

3. Geben Sie das Kennwort für den Zertifikatsspeicher ein.

4. Bestätigen Sie das Kennwort für den Zertifikatsspeicher.

39

Administratorhilfe


Zertifikat und privater Schlüssel befinden sich nun im Zertifikatsspeicher. Zur Anmeldung andas SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet.

2.5.3.7.3 Export des Zertifikats des Haupt-Sicherheitsbeauftragten

Das MSO-Zertifikat wird in eine private Schlüsseldatei (P12) exportiert. Definieren Sie unterZertifikat exportieren ein Kennwort zum Schutz der privaten Schlüsseldatei. Die privateSchlüsseldatei wird für die Wiederherstellung einer beschädigten SafeGuard ManagementCenter Installation benötigt.

So exportieren Sie das Zertifikat eines Haupt-Sicherheitsbeauftragten:

1. Geben Sie unter Zertifikat exportieren ein Kennwort für den privaten Schlüssel (P12-Datei)ein und bestätigen Sie es. Das Kennwort muss aus 8 alphanumerischen Zeichen bestehen.


3. Geben Sie einen Speicherort für die private Schlüsseldatei ein.

Die private Schlüsseldatei wird erzeugt und die Datei wird am angegebenen Speicherortgespeichert <mso_name.p12).

Wichtig: Erstellen Sie eine Sicherungskopie des privaten Schlüssels (P12-Datei) und legenSie diese direkt nach der Erstkonfiguration an einem sicheren Speicherort ab. Andernfallsführt ein eventueller PC-Absturz zum Verlust des Schlüssels und SafeGuard Enterprise mussneu installiert werden. Das gilt für alle von SafeGuard Enterprise generiertenSicherheitsbeauftragten-Zertifikate.

Sobald das Zertifikat für den Sicherheitsbeauftragten exportiert ist und der Zertifikatspeicherund der Sicherheitsbeauftragte angelegt sind, fährt der Assistent mit dem Erstellen desUnternehmenszertifikats fort.

2.5.3.8 Erzeugen des UnternehmenszertifikatsMit dem Unternehmenszertifikat lassen sich unterschiedliche SafeGuard Management CenterInstallationen auseinander halten. In Verbindung mit dem Zertifikat desHaupt-Sicherheitsbeauftragten lässt sich mit dem Unternehmenszertifikat eine beschädigteSafeGuard Enterprise Datenbankkonfiguration wiederherstellen.

1. Wählen Sie auf der Seite Unternehmenszertifikat die Option NeuesUnternehmenszertifikat erzeugen.

2. Geben Sie den Namen Ihres Unternehmens ein.

Hinweis: Von SafeGuard Enterprise erzeugte Zertifikate, zum Beispiel Unternehmens-,Maschinen-, Sicherheitsbeauftragten- und Benutzerzertifikate, sind bei einer Erstinstallationstandardmäßig zur Erweiterung der Sicherheit mit dem Hash-Algorithmus SHA-256 signiert.

Bei Endpoints mit älteren Version von SafeGuard Enterprise als 6.1 müssen Sie unterHash-Algorithmus für erzeugte Zertifikate den Algorithmus SHA-1 auswählen. Fürweitere Informationen, siehe Ändern des Algorithmus für selbst-signierte Zertifikate (Seite297).


Das neu angelegte Unternehmenszertifikat wird in der Datenbank gespeichert.

Erstellen Sie eine Sicherungskopie des Unternehmenszertifikats und legen Sie diese direktnach der Erstkonfiguration an einem sicheren Speicherort ab.

Für Informationen zum Wiederherstellen einer beschädigten Datenbankkonfiguration, sieheReparieren einer beschädigten Datenbankkonfiguration (Seite 46).

40


2.5.3.9 Abschließen der Erstkonfiguration des SafeGuard Management Centers1. Klicken Sie auf Beenden, um die Erstkonfiguration des SafeGuard Management Centers

abzuschließen.

Eine Konfigurationsdatei wird erstellt.

Ergebnis:

■ Eine Verbindung zum SafeGuard Enterprise Server.

■ Eine SafeGuard Enterprise Datenbank.

■ Ein Haupt-Sicherheitsbeauftragten-Konto für die Anmeldung an das SafeGuardManagement Center.

■ Alle notwendigen Zertifikate für die Wiederherstellung einer beschädigtenDatenbankkonfiguration oder SafeGuard Management Center Installation

Sobald der Konfigurationsassistent geschlossen ist, wird das SafeGuard Management Centergestartet.

2.5.4 Erstellen weiterer Datenbankkonfigurationen (Multi Tenancy)

Voraussetzung: Die Funktion Multi Tenancy muss über eine Installation vom Typ Vollständiginstalliert worden sein. Die initiale Konfiguration des SafeGuard Management Center mussdurchgeführt worden sein, siehe Starten der Erstkonfiguration des SafeGuard ManagementCenter (Seite 37).

Hinweis: Sie müssen pro Datenbank jeweils eine separate SafeGuard Enterprise ServerInstanz einrichten.

So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach derErstkonfiguration:

1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählenwird angezeigt.

2. Klicken Sie auf Neu. Der SafeGuard Management Center Konfigurationsassistent wirdautomatisch gestartet.

3. Der Assistent führt Sie durch die notwendigen Schritte für das Anlegen einer neuenDatenbankkonfiguration. Wählen Sie die gewünschten Optionen. Die neueDatenbankkonfiguration wird generiert.

4. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen fürdiese Konfiguration auszuwählen und das entsprechende Zertifikatsspeicherkennworteinzugeben. Klicken Sie auf OK.

Das SafeGuard Management Center wird geöffnet und mit der ausgewähltenDatenbankkonfiguration verbunden. Beim nächsten Start des SafeGuard Management Centerkann die neue Datenbankkonfiguration aus der Liste ausgewählt werden.

Hinweis: Weitere Informationen zu Multi Tenancy finden Sie unter Mit mehrerenDatenbankkonfigurationen arbeiten (Multi Tenancy) (Seite 247).

41

Administratorhilfe

2.5.5 Konfigurieren zusätzlicher Instanzen des SafeGuard ManagementCenter

Sie können zusätzliche Instanzen des SafeGuard Management Center konfigurieren, umSicherheitsbeauftragten den Zugriff für die Durchführung administrativer Aufgaben aufverschiedenen Computern zu ermöglichen. Das SafeGuard Management Center kann aufjedem Rechner im Netzwerk installiert sein, von wo aus auf die Datenbank zugegriffen werdenkann.

SafeGuard Enterprise verwaltet die Zugriffsrechte auf das SafeGuard Management Centerin einem eigenen Zertifikatsverzeichnis. In diesem Verzeichnis müssen die Zertifikate allerSicherheitsbeauftragten, die sich am SafeGuard Management Center anmelden dürfen,vorhanden sein. Für die Anmeldung an das SafeGuard Management Center ist dann nur dasKennwort für den Zertifikatsspeicher erforderlich.

1. Installieren Sie SGNManagementCenter.msi mit den gewünschten Features auf einemweiteren Computer.

2. Starten Sie das SafeGuard Management Center auf dem Administratorcomputer. DerKonfigurationsassistent wird gestartet und führt Sie durch die notwendigen Schritte.


4. Wählen Sie im Dialog Datenbankverbindung unter Datenbankserver die erforderlicheSQL-Datenbankinstanz aus der Liste aus. Alle auf Ihrem Computer oder Netzwerkverfügbaren Datenbankserver werden angezeigt. Wählen Sie unter Authentisierung dieArt der Authentisierung, die für den Zugriff auf diese Datenbankinstanz benutzt werdensoll. Wenn Sie Folgende Anmeldeinformationen für SQL Server Authentisierunganwenden wählen, geben Sie die SQL-Benutzerkontenanmeldedaten ein, die IhrSQL-Administrator erstellt hat. Klicken Sie auf Weiter.

5. Aktivieren Sie auf der Seite Datenbankeinstellungen die Option Folgende bestehendeDatenbank verwenden und wählen Sie die Datenbank aus der Liste aus. Klicken Sie aufWeiter.

6. Wählen Sie unter SafeGuard Management Center Authentisierung eine autorisiertePerson aus der Liste aus. Wenn Multi Tenancy aktiviert ist, zeigt der Dialog an, an welcherKonfiguration sich der Benutzer anmeldet. Geben Sie das Kennwort für denZertifikatsspeicher ein und bestätigen Sie es.

Der Zertifikatsspeicher für das aktuelle Benutzerkonto wird angelegt und ist durch diesesabgesichert. Für die nachfolgenden Anmeldungen benötigen Sie nur noch dieses Kennwort.


Eine Meldung, dass Zertifikat und privater Schlüssel nicht gefunden bzw. nicht daraufzugegriffen werden kann, wird angezeigt.

8. Klicken Sie zum Importieren der Daten auf Ja und dann auf OK. Dadurch wird derImportvorgang gestartet.

9. Klicken Sie unter Authentisierungs-Schlüsseldatei importieren auf die [...] Schaltflächeund wählen Sie die Schlüsseldatei aus. Geben Sie das Kennwort der Schlüsseldateiein. Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token-PINdefinierte Kennwort für den Zertifikatsspeicher ein.Wählen Sie In den Zertifikatsspeicherimportieren oder Auf den Token kopieren, um das Zertifikat auf einem Token zuspeichern.

10. Geben Sie zur Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein.


42


2.5.6 Anmelden am SafeGuard Management Center

Die Anmeldung richtet sich danach, ob Sie das SafeGuard Management Center im SingleTenancy Modus oder im Multi Tenancy Modus einsetzen.

2.5.6.1 Anmeldung im Single Tenancy Modus1. Starten Sie das SafeGuard Management Center über das Start-Menü. Ein

Anmeldebildschirm wird angezeigt.

2. Melden Sie sich als Haupt-Sicherheitsbeauftragter an und geben Sie dasZertifikatsspeicherkennwort ein, das während der Konfiguration festgelegt wurde. KlickenSie auf OK.

Das SafeGuard Management Center wird gestartet.

Hinweis: Wenn Sie ein falsches Kennwort eingeben, wird eine Fehlermeldung angezeigtund die nächste Anmeldung wird verzögert. Diese Verzögerung wird mit jedemfehlgeschlagenen Anmeldeversuch größer. Fehlgeschlagene Anmeldeversuche werdenprotokolliert.

2.5.6.2 Anmeldung im Multi Tenancy Modus1. Starten Sie das SafeGuard Management Center über das Start-Menü. Der Dialog

Konfiguration auswählen wird angezeigt.

2. Wählen Sie die Datenbankkonfiguration aus, die Sie verwenden möchten, und klicken Sieauf OK. Die ausgewählte Datenbankkonfiguration wird mit dem SafeGuard ManagementCenter verbunden und wird aktiv.

3. Sie werden dazu aufgefordert, den Sicherheitsbeauftragtennamen für diese Konfigurationauszuwählen und das entsprechende Zertifikatsspeicherkennwort einzugeben. KlickenSie auf OK.

Das SafeGuard Management Center wird geöffnet und mit der ausgewähltenDatenbankkonfiguration verbunden.


2.5.7 Einrichten der Organisationsstruktur im SafeGuard ManagementCenter

Es gibt zwei Möglichkeiten, Ihre Organisation in SafeGuard Enterprise abzubilden:

■ Directory Service importieren, z. B.: Active Directory

Während der Synchronisierung mit dem Active Directory werden Objekte (z. B. Computer,Benutzer und Gruppen) in das SafeGuard Management Center importiert und in derSafeGuard Enterprise Datenbank gespeichert.

■ Organisationsstruktur manuell aufbauen

Steht kein Directory Service zur Verfügung oder gibt es nur wenige Organisationseinheiten,so dass kein Directory Service benötigt wird, können Sie neue Domänen/Arbeitsgruppenanlegen, an denen sich der Benutzer/Computer anmelden kann.

43

Administratorhilfe

Sie können entweder nur eine von beiden Möglichkeiten anwenden, oder die beidenMöglichkeiten mischen. Zum Beispiel können Sie ein Active Directory (AD) ganz oder teilweiseimportieren und weitere Organisationseinheiten (OU) manuell anlegen.

Hinweis: Bei der Kombination beider Verfahren werden die manuell angelegtenOrganisationseinheiten nicht im AD abgebildet. Wenn in SafeGuard Enterprise angelegteOrganisationseinheiten im AD abgebildet werden sollen, so müssen Sie diese separat zumAD hinzufügen.

Weitere Informationen zum Importieren oder Anlegen einer Organisationsstruktur finden Sieunter Verwalten der Organisationsstruktur (Seite 282).

2.5.7.1 Importieren einer Active Directory StrukturHinweis: Ein initialer Import wird durch den SafeGuard Management CenterKonfigurationsassistenten gestartet, siehe Definieren der Active Directory-Authentifizierung(Seite 38).

Mit SafeGuard Enterprise können Sie eine Active Directory Struktur ins SafeGuardManagement Center importieren. Während der Synchronisierung mit dem Active Directorywerden Objekte wie Computer, Benutzer und Gruppen in das SafeGuard Management Centerimportiert. Alle Daten werden in der SafeGuard Enterprise Datenbank gespeichert.

So konfigurieren Sie Active Directory:

1. Öffnen Sie das SafeGuard Management Center.

2. Geben Sie zur Authentisierung das Kennwort ein, das für den Zertifikatspeicher definiertwurde.

3. Wählen Sie unten links Benutzer und Computer.

4. Wählen Sie oben links Stamm [Filter ist aktiv].

5. Wählen Sie im rechten Fensterbereich die Registerkarte Synchronisieren aus. DerAssistent für die LDAP-Authentisierung startet automatisch.

6. Geben Sie im Assistenten für die LDAP-Authentisierung Ihre Anmeldeinformationen ein,die Sie für die Synchronisierung verwenden wollen, und definieren Sie den Servernamenund die IP-Adresse des Domain Controllers. Der Benutzername muss das FormatBenutzer@Domain haben um Konflikte mit dem NetBIOS-Domänennamen zu vermeiden.

7. Sobald die Verbindung zum Verzeichnis erfolgreich hergestellt wurde, zeigt das FeldVerzeichnis DSN die Domänen-Information. Klicken Sie auf das Lupen-Symbol, um dasActive Directory zu auszulesen.

8. Wenn der Auslesevorgang abgeschlossen ist, wird die Domänen-Struktur im mittlerenFensterbereich angezeigt. Wählen Sie die Organisationseinheiten, die Sie in SafeGuardEnterprise importieren möchten. Es können keine einzelnen Computer, Gruppen oderBenutzer ausgewählt werden. Sie können jedoch Organisationseinheiten auswählen.

9. Wählen Sie, ob Active Directory Gruppenmitgliedschaften mit dem SafeGuard ManagementCenter synchronisiert werden sollen. Der Import von Gruppenmitgliedschaften kannübersprungen werden, indem Sie das Kontrollkästchen Synchronisiere Mitgliedschaftendeselektieren. Der Verzicht auf Import und Synchronisierung von Gruppenmitgliedschaftenwirkt sich positiv auf die Performance des Management Centers aus, besonders bei großenAD-Strukturen.

Standardmäßig erstellt SafeGuard Enterprise einen Schlüssel für alle Container,Organisationseinheiten (OU) und Domänenobjekte, die Sie importieren. Das Erstellen derSchlüssel kann einige Zeit in Anspruch nehmen. Deshalb empfehlen wir, besonders beimImport einer großen Umgebung, das Erstellen der Schlüssel für Gruppen nicht zu aktivieren,wenn nicht erforderlich.

44


10. Klicken Sie zum Starten der Synchronisierung auf Synchronisieren. Nun werden dieDetailinformationen aus dem Active Directory eingelesen. Am Ende der Synchronisierungwird eine Übersicht über alle Änderungen angezeigt.

11. Klicken Sie auf OK, um alle Änderungen in die SafeGuard Enterprise Datenbank zuschreiben.

Wenn der Vorgang abgeschlossen ist, wird die Domänen-Struktur im linken Fensterbereichangezeigt. Der Import des Active Directory ins SafeGuard Management Center ist nunabgeschlossen.

2.5.8 Importieren der Lizenzdatei

SafeGuard Enterprise hat einen integrierten Lizenzzähler.Wenn Sie das Produkt herunterladen,können Sie eine Testlizenzdatei herunterladen. Diese Testlizenz enthält fünf Lizenzen fürjedes Modul und muss ins SafeGuard Management Center importiert werden. Dadurch solleine problemlose Evaluierung von anderen SafeGuard Enterprise Komponenten ohneNebeneffekte gewährleistet werden. Beim Kauf von SafeGuard Enterprise enthält jeder Kundeeine individuelle Lizenzdatei für das jeweilige Unternehmen, die in das SafeGuard ManagementCenter importiert werden muss.

Für weitere Informationen, siehe Lizenzen (Seite 303).

2.5.9 So reparieren Sie eine beschädigte Management Center Installation:

Eine beschädigte Installation des SafeGuard Management Center kann repariert werdenwenn die Datenbank intakt ist. Installieren Sie in diesem Fall das SafeGuard ManagementCenter neu und verwenden Sie dabei die bestehende Datenbank sowie das gesicherteZertifikat für den Haupt-Sicherheitsbeauftragten.

■ Das Unternehmenszertifikat und das Haupt-Sicherheitsbeauftragten-Zertifikat derbetreffenden Datenbankkonfiguration müssen als .p12 Dateien exportiert worden sein.Die Dateien müssen verfügbar und gültig sein.

■ Die Kennwörter für die .p12 Dateien sowie für den Zertifikatsspeicher müssen Ihnenbekannt sein.

So reparieren Sie eine beschädigte SafeGuard Management Center Installation:

1. Installieren Sie das SafeGuard Management Center Installationspaket neu. Öffnen Siedas SafeGuard Management Center. Der Konfigurationsassistent wird automatisch geöffnet.

2. Wählen Sie unter Datenbankverbindung den relevanten Datenbankserver undkonfigurieren Sie, falls erforderlich, die Verbindung zur Datenbank. Klicken Sie auf Weiter.

3. Aktivieren Sie unter Datenbankeinstellungen die Option Folgende bestehendeDatenbank verwenden und wählen Sie die Datenbank aus der Liste aus.

4. Führen Sie unter Daten des Sicherheitsbeauftragten einen der folgenden Schritte aus:

■ Wenn die gesicherte Zertifikatsdatei auf dem Computer gefunden wird, wird sieangezeigt. Geben Sie das Kennwort ein, das Sie zur Anmeldung an das SafeGuardManagement Center benutzen.

■ Wird die gesicherte Zertifikatsdatei nicht auf dem Computer gefunden, wählen SieImportieren. Suchen Sie nach der gesicherten Zertifikatsdatei und klicken Sie aufÖffnen. Geben Sie das Kennwort für die Zertifikatsdatei ein. Klicken Sie auf Ja. GebenSie ein Kennwort für die Anmeldung am SafeGuard Management Center ein undbestätigen Sie es.

45

Administratorhilfe

5. Klicken Sie auf Weiter und dann auf Fertig stellen, um die Konfiguration des SafeGuardManagement Center abzuschließen.

Die SafeGuard Management Center Installation ist repariert.

2.5.10 Reparieren einer beschädigten Datenbankkonfiguration

Sie können eine beschädigte Datenbankkonfiguration reparieren, indem Sie das SafeGuardManagement Center neu installieren und basierend auf den gesicherten Zertifikatsdateieneine neue Instanz der Datenbank erstellen. Dadurch wird sichergestellt, dass alle vorhandenenSafeGuard Enterprise Endpoints Richtlinien von der neuen Installation annehmen.


■ Die Kennwörter für die beiden .p12 Dateien sowie für den Zertifikatsspeicher müssen Ihnenbekannt sein.

Hinweis: Dieses Verfahren ist nur dann zu empfehlen, wenn keine gültige Sicherungskopieder Datenbank verfügbar ist. Alle Computer, die mit einem reparierten Backend verbundenwerden, verlieren ihre Benutzer-Computer Zuordnung. Infolgedessen wird die Power-onAuthentication vorübergehend abgeschaltet. Challenge/Response-Mechanismen stehen erstdann wieder zur Verfügung, wenn der entsprechende Endpoint seine Schlüsselinformationenwieder erfolgreich übertragen hat.

So reparieren Sie eine beschädigte Datenbankkonfiguration:

1. Installieren Sie das SafeGuard Management Center Installationspaket neu. Öffnen Siedas SafeGuard Management Center. Der Konfigurationsassistent wird automatischgeöffnet.

2. Wählen Sie unter Datenbank-Verbindung die Option Neue Datenbank erstellen.Konfigurieren Sie unter Datenbankeinstellungen die Verbindung zur Datenbank. KlickenSie auf Weiter.

3. Wählen Sie unter Daten des Sicherheitsbeauftragten den relevantenHaupt-Sicherheitsbeauftragten und klicken Sie auf Importieren.

4. Suchen Sie unter Importieren des Zertifikats die gesicherte Zertifikatsdatei. Geben Sieunter Schlüsseldatei das für diese Datei festgelegte Kennwort ein und bestätigen Sie es.Klicken Sie auf OK.

5. Das Zertifikat des Haupt-Sicherheitsbeauftragten wird importiert. Klicken Sie auf Weiter.

6. Aktivieren Sie unter Unternehmenszertifikat die Option Über vorhandenesUnternehmenszertifikat wiederherstellen. Klicken Sie auf Importieren, um die gesicherteZertifikatsdatei auszuwählen, die das gültige Unternehmenszertifikat enthält. Sie werdenaufgefordert, das für den Zertifikatsspeicher definierte Kennwort einzugeben. Geben Siedas Kennwort ein und klicken Sie auf OK. Klicken Sie im Willkommen-Fenster auf Weiter.

Das Unternehmenszertifikat wird importiert.

7. Klicken Sie auf Weiter, dann auf Beenden.

Die Datenbankkonfiguration ist repariert.

46


2.6 Testen der KommunikationWenn SafeGuard Enterprise Server, die Datenbank und das Management Center eingerichtetsind, empfehlen wir, einen Verbindungstest durchführen. Dieser Abschnitt enthält dieVoraussetzungen und die benötigten Einstellungen für den Verbindungstest.

2.6.1 Ports/Verbindungen

Die Endpoints müssen folgende Verbindungen aufbauen:

PortSafeGuard EndpointVerbindung zu

Port 443 bei Benutzung der SSL TransportverbindungSafeGuard Enterprise Server

Port 80/TCP

Das SafeGuard Management Center muss folgende Verbindungen aufbauen:

PortSafeGuard ManagementCenter Verbindung zu

SQL Server 2012 dynamischer Port: Port 1433/TCP und Port 1434/TCPSQL Datenbank

Port 389/TCPActive Directory

Port 636 für den Active Directory ImportSLDAP

Der SafeGuard Enterprise Server muss folgende Verbindungen aufbauen:

PortSafeGuard Enterprise ServerVerbindung zu

Port 1433/TCP und Port 1434/TCP für SQL 2012 (Express) dynamischerPort

SQL Datenbank

Port 389/TCPActive Directory

2.6.2 Authentisierungsmethode

1. Öffnen Sie auf dem Computer, auf dem SafeGuard Enterprise Server installiert ist, denInternet Information Services (IIS) Manager.

47

Administratorhilfe

2. Wählen Sie in der Baumstruktur den relevanten Server und klicken Sie Sites >Standardwebsite> SGNSRV.

3. Doppelklicken Sie unter IIS auf das Symbol Authentifizierung und prüfen Sie folgendeEinstellungen:

■ Setzen Sie Anonyme Authentifizierung auf Aktiviert.■ Setzen Sie Windows-Authentifizierung auf Deaktiviert.

2.6.3 Proxyserver-Einstellungen

So definieren Sie Proxyserver-Einstellungen für Webserver und Endpoint:

1. Klicken Sie im Internet Explorer im Extras Menü auf Internetoptionen. Klicken Sie aufVerbindungen und dann auf LAN-Einstellungen.

2. Deaktivieren Sie in LAN-Einstellungen unter Proxyserver das KontrollkästchenProxyserver für LAN verwenden.

Wenn ein Proxyserver notwendig ist, wählen Sie Proxyserver für lokale Adressenumgehen.

2.6.4 Verbindung prüfen

1. Öffnen Sie auf dem Computer, auf dem SafeGuard Enterprise Server installiert ist, denInternet Information Services (IIS) Manager.

2. Wählen Sie in der Baumstruktur den relevanten Server und klicken Sie Sites >Standardwebsite> SGNSRV.

3. Klicken Sie mit der rechten Maustaste auf SGNSRV, wählen Sie Anwendung verwaltenund klicken Sie auf Browse, um die Seite Sophos SafeGuard Web Service zu öffnen.

4. Auf der Seite Sophos SafeGuard Web Service wird eine Liste mit möglichen Aktionenangezeigt. Klicken Sie in dieser Liste auf CheckConnection und dann auf Aufrufen.

Der Verbindungstest war erfolgreich, wenn Sie diese Ausgabe erhalten:

<Dataroot><WebService>OK</WebService><DBAuth>OK</DBAuth>

Wenn die Kommunikation zwischen dem SafeGuard Enterprise Client und dem Server nichtrichtig funktioniert, lesen Sie im Sophos Knowledgebase-Artikel 109662 nach.

2.7 Sichern von Transportverbindungen mit SSLSafeGuard Enterprise unterstützt die Verschlüsselung der Transportverbindungen zwischenden einzelnen Komponenten mit SSL. Sie können SSL für die Transportverschlüsselungzwischen folgenden Komponenten verwenden:

■ Datenbankserver <-> SafeGuard Enterprise Server mit IIS

■ Datenbankserver <-> SafeGuard Management Center

■ SafeGuard Enterprise Server mit IIS <-> verwaltete Endpoints

Hinweis: Alternativ dazu kann die Verbindung zwischen dem SafeGuard Enterprise Serverund den von SafeGuard Enterprise verwalteten Endpoints mit SafeGuard-spezifischerVerschlüsselung verschlüsselt werden. Dies empfiehlt sich jedoch nur für Demo- oderTest-Setups. Für optimale Sicherheit und Performance empfehlen wir ausdrücklich die

48



Verwendung von SSL für die Verschlüsselung der Kommunikation. Falls dies nicht möglichist und die SafeGuard-spezifische Verschlüsselung verwendet wird, so gilt die Obergrenzevon 1000 Clients, die eine Verbindung mit einer Serverinstanz herstellen können.

Hinweis: Mac OS X Clients unterstützen nur SSL.

Bevor SSL für SafeGuard Enterprise aktiviert werden kann, muss eine funktionsfähigeSSL-Umgebung eingerichtet werden.


Um die Kommunikation zwischen dem SafeGuard Enterprise Server und dem mit SafeGuardEnterprise gesicherten Endpoint mit SSL zu sichern, ist ein gültiges Zertifikat notwendig. Siekönnen die folgenden Typen von Zertifikaten verwenden:

■ Ein selbst-signiertes Zertifikat, siehe Verwenden eines selbst-signierten Zertifikats (Seite49).

■ Ein von einer PKI ausgestelltes Zertifikat mit einem privaten oder öffentlichenStammzertifikat, siehe Verwenden eines PKI-generierten Zertifikats (Seite 49).

Technisch macht es keinen Unterschied, ob Sie ein Zertifikat mit einem privaten oderöffentlichen Stammzertifikat verwenden.

Hinweis: Wenn ein von einer PKI erstelltes Zertifikat, aber keine PKI-Infrastruktur verfügbarist, können Sie das Zertifikat nicht verwenden, um die Kommunikation mit SSL abzusichern.In diesem Fall müssen Sie eine PKI aufsetzen oder ein selbst-signiertes Zertifikat erstellen.

2.7.1.1 Verwenden eines selbst-signierten ZertifikatsUm ein selbst-signiertes Zertifikat mit SafeGuard Enterprise zu erstellen:

1. Öffnen Sie den Internetinformationsdienste (IIS) Manager auf dem Computer auf dem derSafeGuard Enterprise Server gehostet wird und überprüfen Sie den Namen des Servers,der am obersten Knoten angezeigt wird.

2. Auf dem Computer, auf dem das SafeGuard Management Center installiert ist, wählenSie Programme, Sophos, SafeGuard und SafeGuard Enterprise Zertifikatsverwaltung.

3. Öffnen Sie den SafeGuard Zertifikatspeicher.

4. Verwenden Sie zur Authentisierung dasselbe Kennwort wie für die Anmeldung amSafeGuard Management Center.

5. Klicken Sie die Schaltfläche Neues Zertifikat erzeugen.

6. Der Zertifikatsname muss dem Computer entsprechen, der im Internetinformationsdienste(IIS) Manager im obersten Knoten angezeigt wird.

7. Behalten Sie den Standardwert für die Schlüssellänge bei.

8. Definieren Sie ein Kennwort und klicken Sie auf OK.

9. Speichern Sie die .cert und .p12 Dateien an einem Speicherort, der vom Computererreichbar ist, auf dem der IIS installiert ist.

2.7.1.2 Verwenden eines PKI-generierten ZertifikatsWollen Sie ein PKI-generiertes Zertifikat für die SSL-Kommunikation verwenden, erstellenSie ein Zertifikat für den Computer, auf dem der SafeGuard Enterprise Server läuft. Diefolgenden Anforderungen sind gegeben:

■ Der Zertifikatsname muss dem Computer entsprechen, der im Internetinformationsdienste(IIS) Manager im obersten Knoten angezeigt wird.

49

Administratorhilfe

■ Der FQDN Name des Computers muss bei der Ausstellung des Zertifikats verwendetwerden. Stellen Sie sicher, dass der Client den FQDN per DNS auflösen kann.

Hinweis: Wenn nur ein von einer PKI erstelltes Zertifikat, aber keine PKI Infrastruktur verfügbarist, können Sie das Zertifikat nicht verwenden, um die Kommunikation mit SSL zu sichern. Indiesem Fall müssen Sie eine PKI aufsetzen oder ein selbst-signiertes Zertifikat erstellen.

2.7.2 Einrichten von SSL

Die folgenden allgemeinen Aufgaben müssen für die SSL-Einrichtung auf dem Web Serverdurchgeführt werden:

■ Certificate Authority muss auf dem Server installiert sein, um die bei derSSL-Verschlüsselung verwendeten Zertifikate auszustellen.

■ Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden, dass er SSLverwendet und auf das Zertifikat zeigt.

■ Der Servername, den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben,muss identisch sein mit dem Servernamen, den Sie vorab im SSL-Zertifikat angegebenhaben. Sonst können Client und Server nicht miteinander kommunizieren. Für jedenSafeGuard Enterprise Server wird ein separates SSL-Zertifikat benötigt.

■ Wenn Sie Network Load Balancer einsetzen, vergewissern Sie sich, dass der Portbereichden SSL-Port mit einschließt.

Weitere Informationen erhalten Sie von unserem technischen Support oder hier:

■ support.microsoft.com/de-de/kb/324069

■ support.microsoft.com/de-de/kb/316898

2.7.3 Aktivieren der SSL-Verschlüsselung in SafeGuard Enterprise

So aktivieren Sie die SSL-Verschlüsselung in SafeGuard Enterprise:

■ Verbindung zwischen Web Server und Datenbankserver:

Aktivieren Sie SSL-Verschlüsselung während der Registrierung des SafeGuard EnterpriseServers im SafeGuard Management Center Konfigurationspakete-Werkzeug. WeitereInformationen finden Sie unter Konfigurieren der Datenbankserver-Verbindung (Seite 37)oder im Sophos Knowledgebase-Artikel 109012.

■ Für die Verbindung zwischen Datenbankserver und SafeGuard Management Center:

Aktivieren Sie die SSL-Verschlüsselung im SafeGuard Management CenterKonfigurationsassistenten, siehe Konfigurieren der Datenbankserver-Verbindung (Seite37).

■ Verbindung zwischen SafeGuard Enterprise Server und durch SafeGuard Enterprisegeschützte Endpoints:

Aktivieren Sie SSL-Verschlüsselung beim Erzeugen des Konfigurationspakets für dieverwalteten Endpoints im SafeGuard Management Center Konfigurationspakete-Werkzeug,siehe Erzeugen eines Konfigurationspakets für zentral verwaltete Computer (Seite 56).Nähere Informationen, wie SSL am SafeGuard Enterprise Server und dem durch SafeGuardEnterprise geschützten Endpoint zu konfigurieren ist, finden Sie unter Den SafeGuardEnterprise Server aufsetzen (Seite 51).

50


https://support.microsoft.com/de-de/kb/324069

https://support.microsoft.com/de-de/kb/316898


Sie können die SSL-Verschlüsselung für SafeGuard Enterprise während der Erstkonfigurationder SafeGuard Enterprise Komponenten oder zu einem späteren Zeitpunkt einrichten. ErstellenSie danach ein neues Konfigurationspaket und installieren Sie es auf dem entsprechendenServer oder zentral verwalteten Computer.

2.7.4 Den SafeGuard Enterprise Server aufsetzen

Um den SafeGuard Enterprise Server so zu konfigurieren, dass er SSL für die Kommunikationzwischen Server und mit SafeGuard Enterprise geschütztem Endpoint verwendet, führen Siedie folgenden allgemeinen Schritte aus:

1. Installieren Sie das SafeGuard Management Center, siehe auch Installieren des SafeGuardManagement Center (Seite 35).

2. Installieren Sie den SafeGuard Enterprise Server, siehe auch Installieren von SafeGuardEnterprise Server (Seite 20).

3. Testen Sie die Kommunikation zwischen SafeGuard Enterprise Server und derSQL-Datenbank mit dem Aufruf-Test.

Nachdem Sie diese Konfigurationsschritte erfolgreich abgeschlossen haben, importieren Siedas Zertifikat, das für die SSL Kommunikation verwendet werden soll. Sie können entwederein selbst-signiertes Zertifikat oder ein bestehendes verwenden. Wenn Sie über eine PKIInfrastruktur verfügen, können Sie ein PKI-generiertes Zertifikat verwenden.

2.7.5 Konfigurieren eines Endpoints für SSL

Um SSL auf einem mit SafeGuard Enterprise geschützten Endpoint zu verwenden, führenSie die folgenden Schritte aus:

1. Weisen Sie dem Client ein Zertifikat zu, siehe Zuweisen eines Zertifikats (Seite 52).

2. Erstellen Sie ein Client-Konfigurationspaket das SSL beinhaltet, siehe Erzeugen einesKonfigurationspakets für zentral verwaltete Computer (Seite 56).

2.7.6 Konfigurieren der SGNSRV Webseite für SSLTransportverschlüsselung

Sobald ein gültiges Zertifikat verfügbar ist, gehen Sie wie folgt vor, um die SGNSRV Webseitefür eine mit Zertifikat gesicherte Verbindung zu konfigurieren.

Hinweis: Die folgende Beschreibung bezieht sich auf Microsoft Windows Server 2012.

1. Öffnen Sie den Internetinformationsdienste (IIS) Manager.

2. Wählen Sie im Navigationsbereich den Server, der die SGNSRV Webseite hostet.

3. Wählen Sie im rechten Fensterbereich Serverzertifikate aus dem Abschnitt IIS.

4. Wählen Sie im Menü Aktionen auf der rechten Seite die Option Importieren. Der Assistentzum Zertifikate importieren wird geöffnet.

5. Ändern Sie im offenen Dialog die Dateierweiterung zu *.* und navigieren Sie zu dem Ort,wo die .p12 und die .cer Dateien gespeichert sind.

6. Wählen Sie die zuvor erzeugte .p12 Datei aus. Sind die Dateierweiterungen deaktiviert,wählen Sie bitte die Datei mit der Beschreibung "Privater Informationsaustausch".

7. Geben Sie das Kennwort ein und klicken Sie auf OK.

Das Zertifikat ist installiert.

51

Administratorhilfe

8. Wählen Sie unter Verbindungen im linken Fensterbereich des Internetinformationsdienste(IIS) Manager den Namen des Servers, auf dem das Zertifikat installiert wurde.

9. Wählen Sie unter Sites die Site, die Sie mit SLL sichern möchten.

10. Wählen Sie im Menü Aktionen auf der rechten Seite die Option Bindungen.

11. Klicken Sie im Dialog Sitebindungen auf Bindung hinzufügen.

12. Wählen Sie bei Typ:https und bei SSL-Zertifikat: das zuvor installierte Zertifikat.

13. Klicken Sie OK und schließen Sie den Dialog Sitebindungen.

14. Wählen Sie im Navigationsbereich den Server und klicken Sie auf Neu starten im BereichAktionen.

2.7.7 Zuweisen eines Zertifikats

Es gibt verschiedene Möglichkeiten, ein Zertifikat einem Endpoint zuzuweisen. Eine davonist, eine Microsoft Gruppenrichtlinie zu verwenden. Dies wird in diesem Abschnitt beschrieben.Falls Sie eine andere Methode verwenden wollen, stellen Sie sicher, dass das Zertifikat imZertifikatspeicher des lokalen Computers abgelegt ist.

Zuweisen eines Zertifikats mittels Gruppenrichtlinie:

1. Öffnen Sie die Gruppenrichtlinienverwaltung (gpeditmc.msc).2. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO), das die Zertifikatseinstellungen

beinhalten soll. Vergewissern Sie sich, dass das GPO mit der Domain, Site oderOrganisationseinheit verbunden ist, deren Benutzer mit der Richtlinie verwaltet werdensollen.

3. Klicken Sie auf das GPO und wählen Sie Bearbeiten.

Der Gruppenrichtlinienverwaltungs-Editor öffnet sich und zeigt den aktuellen Inhalt desRichtlinienobjekts an.

4. Öffnen Sie im Navigationsbereich Computerkonfiguration > Windows-Einstellungen> Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel > VertrauenswürdigeHerausgeber.

5. Klicken Sie das Aktionen Menü und klicken Sie dann auf Importieren....6. Folgen Sie den Anweisungen im Zertifikatimport-Assistent um das Zertifikat zu finden

und zu importieren.7. Wenn das Zertifikat selbst-signiert ist und nicht auf ein Zertifikat zurückverfolgt werden

kann, das im ZertifikatspeicherVertrauenswürdige Stammzertifizierungsstellen liegt,dann müssen die das Zertifikat auch in diesen Zertifikatspeicher kopieren. Klicken Sie aufVertrauenswürdige Stammzertifizierungsstellen und wiederholen Sie die Schritte 5und 6 um eine Kopie des Zertifikats in diesem Zertifikatsspeicher zu installieren.

2.8 Registrieren und Konfigurieren des SafeGuardEnterprise ServerZur Implementierung der Informationen für die Kommunikation zwischen IIS Server, Datenbankund dem SafeGuard-geschützten Endpoint muss der SafeGuard Enterprise Server registriertund konfiguriert werden. Die Informationen werden in einem Server-Konfigurationspaketgespeichert.

Diesen Schritt führen Sie im SafeGuard Management Center durch. Der Workflow ist davonabhängig, ob der SafeGuard Enterprise Server auf demselben Computer wie das SafeGuardManagement Center oder auf einem anderen Computer installiert ist.

52


Sie können auch weitere Eigenschaften festlegen. So lassen sich z. B. zusätzlicheSicherheitsbeauftragte für den ausgewählten Server hinzufügen. Sie können auch dieVerbindung zur Datenbank konfigurieren.

2.8.1 Registrieren und Konfigurieren des SafeGuard Enterprise Server fürden aktuellen Computer

Wenn Sie das SafeGuard Management Center und SafeGuard Enterprise Server auf demComputer, mit dem Sie derzeit arbeiten, installiert haben, registrieren und konfigurieren Sieden SafeGuard Enterprise Server.

Hinweis: Wenn Multi Tenancy installiert ist, steht diese Option nicht zur Verfügung.

1. Starten Sie das SafeGuard Management Center.

2. Klicken Sie im Extras Menü auf Konfigurationspakete.

3. Wählen Sie die Registerkarte Server und klicken Sie auf Diesen Computer zum SGNServer machen.

Der Setup-Assistent wird automatisch geöffnet.

4. Übernehmen Sie in allen folgenden Dialogen die Standardeinstellungen.

Der SafeGuard Enterprise Server ist installiert. Ein Server-Konfigurationspaket mit derBezeichnung <Server>.msi wird erstellt und direkt auf dem aktuellen Computer installiert.Die Serverinformationen werden auf der Registerkarte Server angezeigt. Sie könnenzusätzliche Konfigurationsschritte durchführen.

Hinweis: Wenn Sie ein neues Server-Konfigurationspaket (MSI) auf dem SafeGuardEnterprise Server installieren möchten, deinstallieren Sie zunächst das alteKonfigurationspaket. Löschen Sie darüber hinaus den Local Cache manuell, so dass er mitden neuen Konfigurationsdaten (z. B. SSL-Einstellungen) aktualisiert werden kann. InstallierenSie dieses Konfigurationspaket auf dem Server.

2.8.2 Registrieren und Konfigurieren des SafeGuard Enterprise Servers füreinen anderen Computer

Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuardManagement Center installiert wurde, registrieren und konfigurieren Sie den SafeGuardEnterprise Server:



3. Wählen Sie die Registerkarte Server und klicken Sie auf Hinzufügen.

53

Administratorhilfe

4. Klicken Sie unter Serverregistrierung auf [...] und wählen Sie das Maschinenzertifikatdes Servers aus, das sich unter C:\Programme (x86)\Sophos\SafeGuardEnterprise\MachCert am IIS Server, auf dem der SafeGuard Enterprise Server läuft,befindet. Es trägt den Dateinamen <Computername>.cer. Wenn der SafeGuardEnterprise Server auf einem anderen Computer als das SafeGuard Management Centerinstalliert ist, muss diese .cer-Datei als Kopie oder über eine Netzwerkfreigabe zugänglichsein.

Wählen Sie nicht das MSO-Zertifikat.

Der Fully Qualified Name (FQDN), z. B. server.mycompany.com, sowieZertifikatsinformationen werden angezeigt.

Hinweis: Wenn SSL als Transportverschlüsselung zwischen Endpoint und Serververwendet werden soll, muss der Servername, den Sie hier eingeben, mit dem Servernamenübereinstimmen, den Sie im SSL-Zertifikat vergeben haben. Andernfalls ist keineKommunikation möglich.


Die Serverinformationen werden in der Registerkarte Server angezeigt.

6. Klicken Sie auf die Registerkarte Server-Pakete. Hier werden alle verfügbaren Serverangezeigt. Wählen Sie dort den gewünschten Server aus. Geben Sie einen Ausgabepfadfür das Konfigurationspaket an. Klicken Sie auf Konfigurationspaket erstellen.

Ein Server-Konfigurationspaket (MSI) mit der Bezeichnung <Server>.msi wird imangegebenen Ausgabeort erstellt.

7. Klicken Sie auf OK, um die Erfolgsmeldung zu bestätigen.

8. Klicken Sie in der Registerkarte Server auf Schließen.

Die Registrierung und Konfiguration des SafeGuard Enterprise Servers ist beendet. InstallierenSie das Server-Konfigurationspaket (MSI) auf dem Computer, auf dem der SafeGuardEnterprise Server läuft. Sie können die Serverkonfiguration in der Registerkarte Serverjederzeit ändern.

Hinweis: Wenn Sie ein neues Server-Konfigurationspaket (MSI) auf dem SafeGuardEnterprise Server installieren möchten, deinstallieren Sie zunächst das alteKonfigurationspaket. Löschen Sie darüber hinaus den Local Cache manuell, so dass er mitden neuen Konfigurationsdaten (z. B. SSL-Einstellungen) aktualisiert werden kann. InstallierenSie dieses Konfigurationspaket auf dem Server.

2.8.3 Ändern der SafeGuard Enterprise Server Eigenschaften

Sie können die Eigenschaften und Einstellungen für jeden registrierten Server und seineDatenbankverbindung jederzeit ändern.


2. Gehen Sie zur Registerkarte Server und wählen Sie den erforderlichen Server aus.

54


3. Gehen Sie wie folgt vor:

BeschreibungElement

Klicken Sie hier, um SafeGuard Enterprise Management API zuverwenden. Dies ermöglicht die Ausführung von administrativenAufgaben über Skripts

Skript ausführen

Klicken Sie hier, um die Windows Authentifizierung für WebHelpdesk zu aktivieren. Die Option ist standardmäßig deaktiviert.

Win. Auth. WHD

Klicken Sie hier, um eine verfügbare Sicherheitsbeauftragtenrollefür den ausgewählten Server zu aktivieren/deaktivieren.

Server-Rollen

Klicken Sie hier, um weitere spezifischeSicherheitsbeauftragtenrollen für den ausgewählten Serverhinzuzufügen, falls erforderlich. Sie werden dazu aufgefordert, dasServerzertifikat auszuwählen. Die Sicherheitsbeauftragtenrolle wirdhinzugefügt und kann unter Server-Rollen angezeigt werden.

Server-Rolle hinzufügen...

Klicken Sie auf [...], um die Verbindung zur Datenbank für jedenregistrierten Server zu konfigurieren. Hier können Sie auch dieAnmeldeinformationen für die Datenbank und dieTransportverschlüsselung zwischen Web Server undDatenbankserver festlegen. Für weitere Informationen, sieheKonfigurieren der Datenbankserver-Verbindung (Seite 37). Selbstwenn die Prüfung der Datenbankverbindung nicht erfolgreich ist,kann ein neues Server-Konfigurationspaket erstellt werden.

Hinweis:

Sie müssen nicht den SafeGuard Management CenterKonfigurationsassistenten erneut ausführen, um dieDatenbankkonfiguration zu aktualisieren. Erstellen Sie einfach einneues Server-Konfigurationspaket und verteilen Sie es an denentsprechenden Server. Sobald dieses auf dem Server installiertist, kann auf die neue Datenbankverbindung zugegriffen werden.

Datenbankverbindung

4. Erstellen Sie ein neues Server-Konfigurationspaket auf der Registerkarte Server-Pakete.

5. Deinstallieren Sie das alte Server-Konfigurationspaket und installieren Sie danach dasneue auf dem entsprechenden Server.

Die neue Server-Konfiguration wird aktiv.

2.8.4 Registrieren des SafeGuard Enterprise Servers mit aktivierter SophosFirewall

Ein durch SafeGuard Enterprise geschützter Endpoint kann keine Verbindung mit demSafeGuard Enterprise Server herstellen, wenn eine Sophos Firewall mit Standardeinstellungenauf dem Endpoint installiert ist. Die Sophos Firewall sperrt standardmäßigNetBIOS-Verbindungen, die für die Auflösung des Netzwerknamens des SafeGuard EnterpriseServers benötigt werden.

1. Führen Sie als Workaround einen der folgenden Schritte aus:

■ Geben Sie die NetBIOS-Verbindungen in der Firewall frei.

55

Administratorhilfe

■ Fügen Sie den Fully Qualified Name des SafeGuard Enterprise Servers imKonfigurationspaket hinzu. Für weitere Informationen, siehe Registrieren undKonfigurieren des SafeGuard Enterprise Servers für einen anderen Computer (Seite53).

2.9 Erzeugen von KonfigurationspaketenErzeugen Sie je nach erforderlicher Konfiguration die passenden Konfigurationspakete fürdie Endpoints im SafeGuard Management Center:

■ Für zentral verwaltete Endpoints (Windows und Mac OS X) - Pakete für Managed Clients

■ Für nicht verwaltete Endpoints (nur Windows) - Pakete für Standalone Clients

Immer wenn Sie ein Paket für Managed Clients erzeugen, wird automatisch ein Paket fürWindows und ein Paket für Mac (als ZIP-Datei) erstellt. Das ZIP-Paket wird auch für denSophos Mobile Control Server verwendet, um sich mit dem SafeGuard Enterprise Backendzu verbinden.

Das erste Konfigurationspaket muss auf den Endpoints zusammen mit derVerschlüsselungssoftware installiert werden.

2.9.1 Erzeugen eines Konfigurationspakets für zentral verwaltete Computer

1. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.

2. Wählen Sie Pakete für Managed Clients.

3. Wechseln Sie in der Dropdown-Liste Primärer Server zum registrierten Server.

4. Falls erforderlich, geben Sie eine Richtliniengruppe an, die auf die Computer angewendetwerden soll. Diese müssen Sie zuvor im SafeGuard Management Center erstellt haben.Wenn Sie für Aufgaben nach der Installation auf dem Computer Service Accountsverwenden möchten, stellen Sie sicher, dass die entsprechende Richtlinieneinstellung indieser ersten Richtliniengruppe definiert ist, siehe Erstellen von Service Account-Listen(Seite 57).

5. Wählen Sie den Modus für die Transportverschlüsselung, der bestimmt, wie dieVerbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Serververschlüsselt wird. Für weitere Informationen, siehe Sichern von Transportverbindungenmit SSL (Seite 48).

6. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an.

7. Klicken Sie auf Konfigurationspaket erstellen.

WennSie als Modus für die Transportverschlüsselung die SSL-Verschlüsselungausgewählt haben, wird die Serververbindung validiert. Wenn die Verbindung fehlschlägt,wird eine Warnungsmeldung angezeigt. Sie können die Meldung ignorieren und dasKonfigurationspaket trotzdem erstellen. Sie müssen jedoch sicherstellen, dass dieKommunikation zwischen SafeGuard Client und SafeGuard Server über SSL möglich ist.

Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Sie müssen dasPaket auf den Endpoints verteilen und installieren.

2.9.2 Erzeugen eines Konfigurationspakets für Standalone-Computer


56


2. Wählen Sie Pakete für Standalone Clients.

3. Klicken Sie auf Konfigurationspaket hinzufügen.

4. Geben Sie einen beliebigen Namen für das Konfigurationspaket ein.

5. Geben Sie eine zuvor im SafeGuard Management Center erstellte Richtliniengruppe an,die für die Computer gelten soll.

6. Geben Sie unter Speicherort für Schlüssel-Sicherungskopie einen freigegebenenNetzwerkpfad für das Speichern der Schlüssel-Recovery-Datei an oder wählen Sie einenNetzwerkpfad aus. Geben Sie den freigegebenen Pfad in folgender Form ein:\\networkcomputer\, zum Beispiel \\mycompany.edu\. Wenn Sie hier keinen Pfad angeben,wird der Benutzer beim ersten Anmelden am Endpoint nach der Installation gefragt, wodie Schlüsseldatei gespeichert werden soll.

Die Schlüssel-Recovery-Datei (XML) wird für die Durchführung von Recovery-Vorgängenbei durch SafeGuard Enterprise geschützten Computern benötigt. Sie wird auf allen durchSafeGuard Enterprise geschützten Computern erzeugt.

Hinweis: Stellen Sie sicher, dass diese Schlüssel-Recovery-Datei an einem Speicherortabgelegt wird, auf den die Mitarbeiter des Helpdesk Zugriff haben. Die Dateien könnendem Helpdesk auch auf anderem Wege zugänglich gemacht werden. Die Datei ist mitdem Unternehmenszertifikat verschlüsselt. Sie kann also auch auf externen Medien oderauf dem Netzwerk gespeichert werden, um sie dem Helpdesk für Recovery-Vorgänge zurVerfügung zu stellen. Sie kann auch per E-Mail verschickt werden.

7. Unter POA Gruppe können Sie eine POA-Gruppe auswählen, die dem Endpoint zugeordnetwird. POA-Benutzer können für administrative Aufgaben auf den Endpoint zugreifen,nachdem die Power-on Authentication aktiviert wurde. Um POA-Benutzer zuzuweisen,müssen Sie die POA-Gruppe zunächst im Bereich Benutzer & Computer des SafeGuardManagement Center anlegen.



Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Sie müssen dasPaket auf den Endpoints verteilen und installieren.

2.9.3 Erstellen von Service Account-Listen

Hinweis: Dieser Abschnitt ist nur für Endpoints mit Power-on Authentication relevant.

Wenn Sie SafeGuard Enterprise über einen zentralen Rollout-Vorgang installieren möchten,empfehlen wir die Konfiguration einer Service Account-Liste. Ein IT-Administrator, der zueiner Service Account-Liste hinzugefügt wurde, kann sich nach der Installation von SafeGuardEnterprise an Endpoints anmelden, ohne die Power-on Authentication zu aktivieren. Einsolches Vorgehen ist empfehlenswert, da normalerweise der erste Benutzer, der sich nachder Installation an einem Endpoint anmeldet, als primäres Benutzerkonto zur POA hinzugefügtwird. Benutzer auf einer Service Account-Liste werden als SafeGuard Enterprise Gastbenutzerbehandelt.

Mit Service Accounts ergibt sich folgender Workflow:

■ SafeGuard Enterprise wird auf einem Endpoint installiert.

■ Der Endpoint wird neu gestartet und ein Rollout-Beauftragter, der in einer Service AccountListe aufgeführt ist, meldet sich über die Windows-Eingabe-Aufforderung an.

■ Gemäß der auf den Endpoint angewendeten Service Account-Liste wird der Benutzer alsService Account erkannt und als Gastbenutzer behandelt.

57

Administratorhilfe

■ Der Rollout-Beauftragte wird nicht zur POA hinzugefügt und die POA wird nicht aktiviert.Der Endbenutzer kann sich anmelden und die POA aktivieren.

Hinweis: Service Account-Listen müssen Sie in einer Richtlinie anlegen und diese der erstenRichtliniengruppe des ersten Konfigurationspakets zuweisen, das Sie nach der Installationder Verschlüsselungssoftware auf dem Endpoint installieren. Weitere Informationen findenSie unter Service Account Listen für die Windows-Anmeldung (Seite 197).

2.10 Einrichten von SafeGuard Enterprise auf EndpointsSobald das Backend funktioniert kann die Installation der SafeGuard Enterprise Clientsbeginnen. Für eine reibungslose Implementierung empfehlen wir, die in diesem Abschnittbeschriebenen vorbereitenden Schritte zu befolgen.

Der SafeGuard Enterprise Client kann auf unterschiedlicher Hardware und aufunterschiedlichen Betriebssystemen installiert werden. Sie finden eine Liste mit allenunterstützten Betriebssystemen sowie die Systemvoraussetzungen in den Versionsinfos imSophos Knowledgebase-Artikel 112776.

Allgemeine Empfehlungen für die Vorbereitung Ihres Systems für die Installation von SafeGuardEnterprise finden Sie im Sophos Knowledgebase-Artikel 108088.

2.10.1 Zentral verwaltete Endpoints und Standalone-Endpoints

Endpoints mit SafeGuard Enterprise können folgendermaßen konfiguriert werden:

■ Verwaltet

Zentrale, server-basierte Verwaltung im SafeGuard Management Center

Bei zentral verwalteten Endpoints besteht generell eine Verbindung zum SafeGuardEnterprise Server. Sie erhalten ihre Richtlinien über den SafeGuard Enterprise Server.

■ Nicht verwaltet (standalone)

Lokale Verwaltung durch im SafeGuard Management Center erstellte Konfigurationspakete.

Hinweis: Lokale Verwaltung wird nicht auf Mac OS X unterstützt.

Hinweis: Synchronized Encryption wird auf Standalone-Endpoints nicht unterstützt.

Nicht-verwaltete Endpoints sind nicht mit dem SafeGuard Enterprise Server verbundenund laufen daher im Standalone-Modus. Sie erhalten SafeGuard Enterprise Richtlinienüber Konfigurationspakete.

SafeGuard Enterprise Richtlinien werden im SafeGuard Management Center erstellt undin Konfigurationspakete exportiert. Die Verteilung der Konfigurationspakete kann überfirmeneigene Software-Verteilungsmechanismen erfolgen, oder das Konfigurationspaketwird manuell auf den Endpoints installiert.

Für die verschiedenen Endpoint-Typen stehen unterschiedliche Pakete und Module zurVerfügung.

2.10.2 Einschränkungen

Beachten Sie folgende Einschränkungen für zentral verwaltete Endpoints:

■ Einschränkungen für die Initialverschlüsselung

58




Im Rahmen der initialen Konfiguration von zentral verwalteten Endpoints könnenVerschlüsselungsrichtlinien erstellt werden, die in einem Konfigurationspaket an die durchSafeGuard Enterprise geschützten Endpoints verteilt werden können. Wenn der Endpointjedoch nicht direkt nach der Installation des Konfigurationspakets eine Verbindung mitdem SafeGuard Enterprise Server herstellt, sondern vorübergehend offline ist, werdennur Verschlüsselungsrichtlinien mit den folgenden spezifischen Einstellungen sofort wirksam:

Volume-basierte Festplattenverschlüsselung, die den Definierten Computerschlüsselzur Verschlüsselung verwendet.

Damit alle anderen Richtlinien, die Verschlüsselung mit benutzerdefinierten Schlüsselnumfassen, auf dem durch SafeGuard Enterprise geschützten Endpoint wirksam werden,muss das entsprechende Konfigurationspaket auch noch einmal der Organizational Unitdes Endpoint zugewiesen werden. Die benutzerdefinierten Schlüssel werden dann ersterstellt, wenn der Endpoint wieder eine Verbindung zum SafeGuard Enterprise Serverhergestellt hat.

Ursache hierfür ist, dass der Definierte Computerschlüssel direkt auf dem durchSafeGuard Enterprise geschützten Endpoint beim ersten Neustart nach der Installationerstellt wird. Benutzerdefinierte Schlüssel hingegen können nur auf dem Endpoint erstelltwerden, wenn er beim SafeGuard Enterprise Server registriert wurde.

■ Einschränkungen für die Unterstützung von BitLocker Drive Encryption

Es kann entweder die SafeGuard Enterprise volume-basierende Verschlüsselung oderdie BitLocker-Laufwerkverschlüsselung verwendet werden. Die gleichzeitige Verwendungbeider Verschlüsselungstypen ist nicht möglich.Wenn Sie den Verschlüsselungstyp ändernmöchten, müssen Sie zuerst alle verschlüsselten Laufwerke entschlüsseln, die SafeGuardEnterprise Verschlüsselungssoftware deinstallieren und dann mit den gewünschten Featuresneu installieren. Der Installer verhindert die gleichzeitige Installation beider Features. DieDeinstallation und Neuinstallation ist auch dann erforderlich, wenn kein Konfigurationspaket,das eine Verschlüsselung auslösen soll, installiert wurde.

2.10.3 Verfügbarkeit des SSL-Zertifikats auf dem Client prüfen

Das Zertifikat muss dem Computer zugewiesen sein, nicht dem Benutzer. Die Zertifikatsdateimuss im Microsoft Zertifikatspeicher unter Vertrauenswürdige Stammzertifizierungsstellenverfügbar sein.

1. Melden Sie sich an dem Endpoint als Administrator an.

2. Klicken Sie auf Ausführen > mmc.

3. Klicken Sie im Fenster Konsole1 auf Datei und wählen Sie Snap-In hinzufügen/entfernen.

4. Wählen Sie im Fenster Snap-In hinzufügen/entfernen auf der linken Seite Zertifikateund klicken Sie Hinzufügen.

5. Wählen Sie auf der Seite Zertifikat-Snap-In die Option Computerkonto.

6. Wählen Sie auf der Seite Computer auswählen Lokaler Computer: (Computer, aufdem diese Konsole ausgeführt wird) und klicken Sie auf Fertig stellen.

7. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.

8. Klicken Sie links auf Konsolenstamm > Zertifikate - Lokaler Computer >Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate.

9. Prüfen Sie im rechten Fensterbereich, ob das zuvor erzeugte Zertifikat im Speicherverfügbar ist. Wenn das Zertifikat in der Liste erscheint, ist dieser Schritt abgeschlossen.Wenn nicht, gehen Sie wie folgt vor:

59

Administratorhilfe

10. Klicken Sie auf Ausführen > gpupdate /force.

Ein Windows Befehlsfenster wird angezeigt.

11. Warten Sie bis das Fenster geschlossen ist und beginnen Sie erneut mit Schritt 1.

2.10.4 Vorbereitung für die Unterstützung von BitLocker Drive Encryption

Wenn Sie mit SafeGuard Enterprise BitLocker Endpoints verwalten möchten, treffen Siefolgende spezifische vorbereitende Maßnahmen auf dem Endpoint:

■ Auf dem Endpoint muss Windows 7 oder höher installiert sein.

■ BitLocker Drive Encryption muss installiert und aktiviert sein.

■ BitLocker-Laufwerkverschlüsselungsdienst muss aktiviert sein.

Hinweis: Führen Sie services.mcs aus und überprüfen Sie den Status vonBitLocker-Laufwerkverschlüsselungsdienst.

■ Wenn TPM für die Authentisierung verwendet werden soll, muss TPM initialisiert, im Besitzund aktiviert sein.

Hinweis: Entscheiden Sie vor der Installation, ob Sie BitLocker-Laufwerkverschlüsselung(Seite 145) oder SafeGuard Full Disk Encryption (Seite 184) verwenden wollen. Sie könnennicht beide gleichzeitig installieren.

2.10.5 Vorbereitung für Cloud Storage

Das SafeGuard Enterprise Modul Cloud Storage bietet dateibasierte Verschlüsselung von inder Cloud gespeicherten Daten.

Cloud Storage stellt sicher, dass die lokalen Kopien von Cloud-Daten transparent verschlüsseltwerden und auch verschlüsselt bleiben, wenn sie in der Cloud gespeichert werden.

Die Art und Weise, wie Benutzer mit in der Cloud gespeicherten Daten arbeiten, wird dadurchnicht beeinflusst. Auf die anbieterspezifische Cloud-Software hat die Anwendung des Modulskeine Auswirkungen. Sie kann wie zuvor zum Übertragen von Daten an die Cloud oder zumEmpfangen von Daten aus der Cloud benutzt werden.

So bereiten Sie Ihre Endpoints für Cloud Storage vor:

■ Die anbieterspezifische Cloud Storage Software muss auf den Endpoint-Computern, aufdenen Sie das Modul Cloud Storage installieren möchten, installiert sein.

■ Die anbieterspezifische Cloud Storage Software muss eine Anwendung oder einenSystemdienst im lokalen Dateisystem für die Synchronisierung zwischen der Cloud unddem lokalen System enthalten.

■ Die anbieterspezifische Cloud Storage Software muss die synchronisierten Daten imlokalen Dateisystem speichern.

Hinweis: Cloud Storage verschlüsselt nur neue in der Cloud gespeicherte Daten. WurdenDaten bereits vor der Installation von Cloud Storage in der Cloud gespeichert, so werdendiese Daten nicht automatisch verschlüsselt. Um diese Daten zu verschlüsseln, müssen dieBenutzer sie zunächst aus der Cloud entfernen und sie nach der Installation von Cloud Storagewieder an die Cloud übergeben.

60


2.10.6 Vorbereitung für SafeGuard Full Disk Encryption mit POA

Vor der Installation von SafeGuard Enterprise empfehlen wir folgende vorbereitendeMaßnahmen.

■ Auf dem Endpoint muss ein Benutzerkonto eingerichtet und aktiv sein.


■ Erstellen Sie einen kompletten Backup Ihrer Daten auf dem Endpoint.

■ Laufwerke, die verschlüsselt werden sollen, müssen komplett formatiert sein und einenLaufwerksbuchstaben zugewiesen haben.

■ Sophos stellt eine Datei für die Hardware-Konfiguration zur Verfügung, um Konfliktezwischen der POA und Ihrer Endpoitn-Hardware zu vermeiden. Die Datei ist imInstallationspaket der Verschlüsselungssoftware enthalten.Wir empfehlen, vor jeder größerangelegten SafeGuard Enterprise Installation die aktuelle Version dieser Datei zuinstallieren. Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 65700.

Sie können uns bei der Optimierung der Hardware-Kompatibilität unterstützen, indem Sieein von uns zur Verfügung gestelltes Tool ausführen. Dieses Tool liefert ausschließlichHardware-relevante Informationen. Das Tool ist einfach zu bedienen. Die gesammeltenInformationen werden zur Hardware-Konfigurationsdatei hinzugefügt.Weitere Informationenfinden Sie im Sophos Knowledgebase-Artikel 110285.

■ Untersuchen Sie die Festplatte(n) mit folgendem Kommando auf Fehler:chkdsk %drive%/F /V /X

Danach müssen Sie Ihr System neu starten.

Wichtig: Starten Sie die SafeGuard Enterprise Installation nicht vor diesem Neustart!

Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 107799.

■ Benutzen Sie das Windows-Tool "defrag", um fragmentierte Boot-Dateien, Datendateienund Ordner auf lokalen Volumes aufzufinden und zu konsolidieren. Weitere Informationenfinden Sie im Sophos Knowledgebase-Artikel 109226.

■ Deinstallieren Sie Third-Party Boot-Manager, z. B. PROnetworks Boot Pro und Boot-US.

■ Wenn Sie für die Installation des Betriebssystems ein Image-Programm verwendet haben,empfehlen wir, den Master Boot Record (MBR) neu zu schreiben.

■ Wenn die Bootpartition auf dem Endpoint von FAT nach NTFS konvertiert wurde, derEndpoint aber noch nicht neu gestartet wurde, sollten Sie den Endpoint einmal neu starten.Andernfalls kann die Installation unter Umständen nicht erfolgreich abgeschlossen werden.

■ Nur für SafeGuard Enterprise Clients (managed): Kontrollieren Sie, ob eine Verbindungzum SafeGuard Enterprise Server besteht. Rufen Sie auf den Endpoints im Internet Explorerfolgende Web-Adresse auf: http://<ServerIPAddress>/sgnsrv. Wenn die Trans-Seite mitdem Eintrag Check Connection erscheint, ist die Verbindung zum SafeGuard EnterpriseServer hergestellt.

61

Administratorhilfe





2.11 Installieren der Verschlüsselungssoftware unterWindowsFür das Einrichten der SafeGuard Enterprise Verschlüsselungssoftware auf Endpoints gibtes zwei Möglichkeiten:

■ Lokales Installieren der Verschlüsselungssoftware Dies ist zum Beispiel für eineTestinstallation empfehlenswert.

■ Zentrales Installieren der Verschlüsselungssoftware Dadurch wird eine standardisierteInstallation auf mehreren Endpoints erreicht.

Bevor Sie mit der Installation beginnen, prüfen Sie die verfügbaren Installationspakete undFeatures für zentral verwaltete Endpoints und Standalone-Endpoints. Die Installationsschrittefür beide Varianten sind identisch, mit der Ausnahme, dass für jeden der beiden einunterschiedliches Konfigurationspaket zugeordnet werden muss.

Das Verhalten des Endpoint bei der ersten Anmeldung nach der Installation von SafeGuardEnterprise und der Aktivierung der Power-on Authentication ist in der SafeGuard EnterpriseBenutzerhilfe beschrieben.

2.11.1 Installationspakete und Features

Die folgende Tabelle zeigt die Installationspakete und Features der SafeGuard EnterpriseVerschlüsselungssoftware auf Endpoints. Sie finden die Installationspakete im InstallersOrdner Ihrer Produktlieferung.

Die standardmäßige Installation (Vollständig oder Typisch) beinhaltet BitLocker undSynchronized Encryption. Wenn Sie kein Modul für Dateiverschlüsselung verwenden,empfehlen wir eine Installation vom Typ Angepasst, bei der Sie nur BitLockerFestplattenverschlüsselung auswählen.

Beachten Sie, dass Sie nur entweder Synchronized Encryption oder pfadbasierte FileEncryption installieren können, nicht beide.

Hinweis: Wenn das Betriebssystem des Endpoint 64-Bit ist, installieren Sie die 64-Bit-Varianteder Installationspakete (<Paketname>_x64.msi).

Verfügbar fürStandalone-Endpoints

Verfügbar fürzentralverwalteteEndpoints

InhaltPaket

ObligatorischObligatorisch

Prä-Installations-Paket

Dieses Paket muss vor der InstallationeinesVerschlüsselungsinstallationspaketsinstalliert werden. Es stattet Endpoints

SGxClientPreinstall.msi

(nur Windows 7)

mit notwendigen Voraussetzungen füreine erfolgreiche Installation deraktuellen Verschlüsselungssoftware aus.

62




InhaltPaket

SafeGuard Client-Installationspaket

Es stattet Endpoints mit notwendigenVoraussetzungen für eine erfolgreiche

SGNClient.msi

SGNClient_x64.msi

Installation der aktuellenVerschlüsselungssoftware aus. Für dieFestplattenverschlüsselung von internenund externen Laufwerken bietetSafeGuard Enterprise die AlternativenSafeGuard Full Disk Encryption oderBitLocker.

BitLocker oder BitLocker C/R

SafeGuard Enterprise verwaltet dasMicrosoft BitLockerVerschlüsselungsmodul. Auf Systemenmit UEFI gibt es für die BitLockerPre-Boot Authentication einenChallenge/Response Mechanismus,während auf Systemen mit BIOS derRecovery-Schlüssel vom SafeGuardManagement Center abgerufen wird.

Wählen Sie den InstallationstypAngepasst.

SafeGuard Full Disk Encryption (nurWindows 7 BIOS)

SafeGuard Full Disk Encryption enthältSafeGuard Power-on Authentication(POA).

Wählen Sie den InstallationstypVollständig, Typisch oder Angepasst.

Synchronized Encryption

Beinhaltet Funktionen füranwendungsbasierteDateiverschlüsselung undselbst-verschlüsselnde HTML zumautomatischen Verschlüsseln vonMailanhängen in Microsoft Outlook.

Cloud Storage

Dateibasierende Verschlüsselung für inder Cloud gespeicherte Daten LokaleKopien von in der Cloud gespeichertenDaten werden stets transparentverschlüsselt. Für das Übertragen vonDaten an die Cloud oder den Empfangvon Daten aus der Cloud muss

63

Administratorhilfe



InhaltPaket

anbieterspezifische Software benutztwerden.

Wählen Sie den InstallationstypVollständig oder Angepasst.

Dateiverschlüsselung

Dateibasierende Verschlüsselung vonDaten auf lokalen Festplatten undNetzwerkfreigaben, speziell fürArbeitsgruppen


Data Exchange

SafeGuard Data Exchange:Dateibasierende Verschlüsselung vonDaten auf Wechselmedien auf allenPlattformen ohne Neuverschlüsselung.


2.11.2 Lokales Installieren der Verschlüsselungssoftware

Voraussetzungen:

■ Die Endpoints müssen für die Verschlüsselung vorbereitet sein, siehe Einrichten vonSafeGuard Enterprise auf Endpoints (Seite 58).

■ Entscheiden Sie, welches Verschlüsselungspaket und welche Features installiert werdensollen. So wird beispielsweise das Paket SGxClientPreinstall.msi ab Windows 8nicht mehr benötigt. Die Anleitung bezüglich POACFG-Datei sind nur relevant für DeviceEncryption mit POA und BitLocker mit Challenge/Response.

So führen Sie eine lokale Installation der Verschlüsselungssoftware durch:


2. Kopieren Sie die Pakete SGNClient_x64.msi und SGxClientPreinstall.msi aufden Client.

3. Installieren Sie das Paket SGxClientPreinstall.msi um den Endpoint mit dennotwendigen Voraussetzungen für eine erfolgreiche Installation der aktuellenVerschlüsselungssoftware auszustatten.

Alternativ zu SGxClientPreinstall.msi können Sie auch das Windows-Paketvcredist_x86.exe, das in der Produktlieferung enthalten ist, installieren.

4. Installieren Sie vcredist14_x86.exe aus Ihrer Produktlieferung.

5. Laden Sie die aktuelle POACFG-Datei herunter wie im Sophos Knowledgebase-Artikel65700 beschrieben.

64




6. Speichern Sie die aktuellste Version der POACFG-Datei zentral, so dass sie von jedemEndpoint aus erreichbar ist.

7. Öffnen Sie am Client ein Eingabeaufforderungsfenster mit Administratorrechten.

8. Wechseln Sie zum Ordner, der die SafeGuard Installationsdateien enthält.

9. Starten Sie die Installation mit folgendem Befehl: MSIEXEC /i <Client.msi>POACFG=<Pfad der POA-Konfigurationsdatei>

Der SafeGuard Enterprise Client Installationsassistent startet.

10. Übernehmen Sie im Assistenten in allen folgenden Dialogen die Standardeinstellungen.

Bei einer Erstinstallation empfehlen wir, von Beginn an eine Vollständige Installationauszuwählen. Um nur einen Teil der Features zu installieren, wählen Sie eine AngepassteInstallation.

11. Wechseln Sie zum Speicherort des relevanten Konfigurationspakets (MSI), das Sie zuvorim SafeGuard Management Center erzeugt haben. Für zentral verwaltete Endpoints undStandalone-Endpoints müssen spezifische Konfigurationspakete installiert werden, sieheErzeugen von Konfigurationspaketen (Seite 56).

12. Installieren Sie das relevante Konfigurationspaket (MSI) auf dem Computer.

13. Starten Sie die Endpoints zweimal neu um die Power-on Authentication zu aktivieren.

14. Die Computer müssen ein drittes Mal neu gestartet werden, um eine Sicherung derKerneldaten bei jedem Windows-Start durchzuführen. Stellen Sie sicher, dass die Computervor dem dritten Neustart nicht in den Ruhezustand versetzt werden, damit die Sicherungder Kerneldaten erfolgreich abgeschlossen werden kann.

SafeGuard Enterprise wird auf dem Endpoint eingerichtet. Informationen zum Anmeldeverhaltendes Computers nach der Installation von SafeGuard Enterprise finden Sie in der SafeGuardEnterprise Benutzerhilfe.

2.11.3 Zentrale Installation der Verschlüsselungssoftware

Durch die zentrale Installation der Verschlüsselungssoftware wird eine standardisierteInstallation auf mehreren Endpoints erreicht.

Hinweis: Die Installations- und Konfigurationspakete können im Rahmen einer zentralenSoftwareverteilung nur einem Endpoint zugewiesen werden, nicht aber einem Benutzer.

So führen Sie eine zentrale Installation durch:

■ Prüfen Sie die verfügbaren Installationspakete und Features für zentral verwaltete Endpointsund Standalone-Endpoints, siehe Installationspakete und Features (Seite 62).

■ Prüfen Sie die Kommandozeilenoptionen.

■ Prüfen Sie die Liste mit Feature-Parametern für die ADDLOCAL Befehlszeilenoption.

■ Prüfen Sie die Beispielbefehle.

■ Bereiten Sie das Installationsskript vor.

2.11.3.1 Zentrale Installation der Verschlüsselungssoftware über Active DirectoryStellen Sie sicher, dass Sie die folgenden Schritte bei der zentralen Installation derVerschlüsselungssoftware über Gruppenrichtlinienobjekte (GPO) in einem Active Directorydurchführen:

65

Administratorhilfe

https://docs.sophos.com/esg/sgn/8-0/user/win/de-de/webhelp/index.htm

https://docs.sophos.com/esg/sgn/8-0/user/win/de-de/webhelp/index.htm

Hinweis: Die Installations- und Konfigurationspakete können im Rahmen einer zentralenSoftwareverteilung nur einem Endpoint zugewiesen werden, nicht aber einem Benutzer.

■ Verwenden Sie ein gesondertes Gruppenrichtlinienobjekt (GPO) für jedes Installationspaketund sortieren Sie sie in der folgenden Reihenfolge:

1. Prä-Installations-Paket2. Verschlüsselungssoftware-Paket3. Endpoint-Konfigurationspaket

Für weitere Informationen zur den Paketen, siehe Vorbereiten des Installationsskripts(Seite 66).

■ Wenn die Sprache des Endpoints nicht auf Deutsch gestellt ist, führen Sie zusätzlichfolgendes aus:Wählen Sie im Gruppenrichtlinien-Editor das entsprechende Gruppenobjektaus und wählen Sie dann Computerkonfiguration > Softwareeinstellungen > Erweitert.Wählen Sie im Dialog Erweiterte Bereitstellungsoptionen Sprache beim Bereitstellendieses Pakets ignorieren und klicken Sie OK.

2.11.3.2 Vorbereiten des InstallationsskriptsVoraussetzungen:

■ Die Endpoints müssen für die Verschlüsselung vorbereitet sein.

■ Entscheiden Sie, welches Verschlüsselungspaket und welche Features installiert werdensollen.

So führen Sie eine zentrale Installation der Verschlüsselungssoftware durch:

1. Erstellen Sie ein Verzeichnis mit der Bezeichnung Software als zentralen Speicherortfür alle Anwendungen.

2. Verwenden Sie Ihre eigenen Tools, um das Installationspaket zu erstellen, das auf denEndpoints installiert werden soll. Das Paket muss Folgendes in der angegebenenReihenfolge enthalten:

BeschreibungPaket

Das obligatorische Paket stattet die Endpoints mit dennötigen Voraussetzungen für eine erfolgreiche Installationder aktuellen Verschlüsselungssoftware aus, zum Beispielmit der benötigten DLL MSVCR110.dll.

Hinweis: Wenn dieses Paket nicht installiert ist, wird dieInstallation der Verschlüsselungssoftware abgebrochen.

Prä-InstallationspaketSGxClientPreinstall.msi

(nur Windows 7)

Für eine Liste der verfügbaren Pakete, sieheInstallationspakete und Features (Seite 62).

Verschlüsselungssoftware-Paket

Verwenden Sie die zuvor im SafeGuard ManagementCenter erzeugten Konfigurationspakete. Für zentralverwaltete Endpoints und Standalone-Endpoints müssenunterschiedliche Konfigurationspakete installiert werden,siehe Erzeugen von Konfigurationspaketen (Seite 56).Löschen Sie zunächst alle alten Konfigurationspakete.

Konfigurationspaket für Endpoints

66


3. Erstellen Sie ein Skript mit den Kommandos für die vorkonfigurierte Installation. Im Skriptmüssen die Features der Verschlüsselungssoftware aufgelistet sein, die Sie installierenmöchten, siehe Feature-Parameter für die ADDLOCAL Option (Seite 69). Öffnen Sie eineBefehlseingabeaufforderung und geben Sie die Scripting-Befehle ein. Für Informationenzur Kommandozeilen-Syntax, siehe Kommandozeilenoptionen für die zentrale Installation(Seite 67).

4. Verteilen Sie das Paket über unternehmensinterne Software-Verteilungsmechanismen andie Endpoints.

Das Installation wird auf den Endpoints ausgeführt. Danach sind die Endpoints für denEinsatz von SafeGuard Enterprise bereit.

5. Starten Sie die Endpoints zweimal neu um die Power-on Authentication zu aktivieren. DieComputer müssen ein drittes Mal neu gestartet werden, um eine Sicherung der Kerneldatenbei jedem Windows-Start durchzuführen. Stellen Sie sicher, dass die Computer vor demdritten Neustart nicht in den Ruhezustand versetzt werden, damit die Sicherung derKerneldaten erfolgreich abgeschlossen werden kann.

Zusätzliche Konfiguration kann erforderlich sein, damit sich die Power-on Authentication(POA) auf jeder Hardware-Plattform korrekt verhält. Die meisten Hardware-Konflikte lassensich mit Hilfe von Hotkeys-Funktionalitäten beheben, die in die POA integriert sind. Hotkeyskönnen nach der Installation konfiguriert werden, entweder in der POA selbst oder über einezusätzliche Konfigurationseinstellung, die dem Windows Installer Befehl msiexec mitgegebenwird. Weitere Informationen finden Sie in den Sophos Knowledgebase-Artikeln 107781 und107785.

2.11.3.3 Vorbereitung für Synchronized EncryptionFür die ordnungsgemäße Funktion von Synchronized Encryption muss die Windows-Runtimevstor-redist.exe installiert sein. Die Datei installiert Microsoft Visual Studio 2010 Toolsfür Office-Laufzeit und ist im Installationspaket enthalten.

Wir empfehlen, die Komponenten in folgender Reihenfolge zu installieren:

1. vstor-redist.exe

2. SGNClient.msi

3. Konfigurationspaket

Hinweis: Sie können das Installationspaket nicht installieren bevor die Installation vonvstor-redist.exe abgeschlossen ist.

2.11.3.4 Kommandozeilenoptionen für die zentrale InstallationWir empfehlen, für die zentrale Installation ein Skript mit der Windows Installer Komponentemsiexec zu erstellen, welches automatisch eine vordefinierte Installation von SafeGuardEnterprise ausführt. Msiexec ist in Windows enthalten. Weitere Informationen finden Sieunter https://msdn.microsoft.com/de-de/library/aa372024(v=vs.85).aspx.

Kommandozeilen-Syntax

msiexec /i <path+msi package name> / <SGN Features> <SGN parameter>

67

Administratorhilfe



https://msdn.microsoft.com/de-de/library/aa372024(v=vs.85).aspx

Die Kommandozeilensyntax setzt sich folgendermaßen zusammen:

■ Windows Installer Parameter, die z. B. Warnungen und Fehlermeldungen während derInstallation in eine Datei protokollieren.

■ SafeGuard Enterprise-Funktionen, die installiert werden sollen, z. B.Festplattenvollverschlüsselung.

■ SafeGuard Enterprise Parameter, die z. B. das Installationsverzeichnis angeben.

Kommandozeilen-Optionen

Alle verfügbaren Optionen können Sie über msiexec.exe in der Eingabeaufforderung abrufen.Im Folgenden sind wichtige Optionen beschrieben.

BeschreibungOption

Gibt an, dass es sich um eine Installation handelt./i

Installiert ohne Benutzerinteraktion und zeigt keine Benutzeroberflächean.

/qn

Listet die SafeGuard Enterprise Features auf, die installiert werden.Wirddie Option nicht angegeben, werden alle Features installiert, die für eineStandardinstallation vorgesehen sind.

Eine Liste der SafeGuard Enterprise Features in den einzelnenInstallationspaketen und Informationen zu deren Verfügbarkeit je nach

ADDLOCAL=

Endpoint-Konfiguration finden Sie unter Installationspakete und Features(Seite 62). Für eine Liste der Feature-Parameter für die ADDLOCALOption, siehe Feature-Parameter für die ADDLOCAL Option (Seite 69).

Unter Windows 7 (BIOS) installiert ADDLOCAL=ALL die SafeGuardvolume-basierende Verschlüsselung und alle anderen verfügbaren

ADDLOCAL=ALL

Module. Unter Windows 8 oder höher installiert ADDLOCAL=ALL BitLockerUnterstützung und Synchronized Encryption.

Erzwingt oder unterdrückt einen Neustart nach der Installation. OhneAngabe wird der Neustart erzwungen (Force).

REBOOT=Force |

ReallySuppress

Protokolliert alle Warnungen und Fehlermeldungen in die angegebeneProtokolldatei. Der Parameter /Le <Pfad + Dateiname> protokolliertausschließlich Fehlermeldungen.

/L* <path + filename>

Gibt das Verzeichnis an, in das die SafeGuard EnterpriseVerschlüsselungssoftware installiert werden soll. Ohne Angabe wird als

Installdir=

<Verzeichnis>Standardinstallationsverzeichnis <SYSTEM>:\PROGRAMME\SOPHOSverwendet.

68


2.11.3.5 Feature-Parameter für die ADDLOCAL OptionSie müssen Sie bereits im Vorfeld definieren, welche Features auf den Endpoints installiertwerden sollen. Die Feature-Namen werden als Parameter zur KommandozeilenoptionADDLOCAL hinzugefügt. Listen Sie die Features nach der Eingabe der Option ADDLOCAL inder Kommandozeile auf:

■ Verwenden Sie Kommas als Trennzeichen zwischen den Features.

■ Beachten Sie Groß- und Kleinschreibung.

■ Wenn Sie ein Feature auswählen, müssen Sie auch alle übergeordneten Features (FeatureParents) zur Kommandozeile hinzufügen.

■ Bitte beachten Sie, dass die Feature-Namen von den zugehörigen Modulnamen abweichenkönnen. Sie finden sie in unten stehender Tabelle in Klammern.

■ Die Features Client und CredentialProvider müssen Sie immer auflisten.

In den folgenden Tabellen sind alle Features aufgelistet, die auf den Endpoints installiertwerden können. Weitere Informationen finden Sie unter: Installationspakete und Features(Seite 62).

FeatureFeature Parents

CredentialProviderClient

Obligatorisch Das Feature dient zur Anmeldung überden Credential Provider.

SectorBasedEncryption (SafeGuard Volume BasedEncryption)

Client, BaseEncryption

BitLockerSupport

Nur Win 7: SectorBasedEncryption

BitLockerSupport (BitLocker)Client,BaseEncryption

BitLockerSupportCR (BitLocker C/R)Client,BaseEncryption,BitLockerSupport

NextGenDataProtection (Synchronized Encryption)Client, NextGenDataProtection

SecureDataExchange (Data Exchange)Client, LocationBasedEncryption

FileShare (File Encryption)Client, LocationBasedEncryption

CloudStorage (Cloud Storage)Client, LocationBasedEncryption

69

Administratorhilfe

2.11.3.6 Beispielbefehl: SafeGuard volume-basierende Verschlüsselung mit File EncryptionDie Kommandozeile hat folgende Funktion:

■ Die Endpoints werden mit den notwendigen Voraussetzungen für eine erfolgreicheInstallation der aktuellen Verschlüsselungssoftware ausgestattet.

■ Anmeldung an die Endpoints mit dem Windows 7 Credential Provider.

■ SafeGuard Enterprise Power-on Authentication (POA)

■ SafeGuard Enterprise volume-basierende Verschlüsselung.

■ SafeGuard File Encryption mit dateibasierender Verschlüsselung von Daten auf der lokalenFestplatte und auf Netzwerkfreigaben

■ Das Konfigurationspaket, das den Endpoint als zentral verwalteten Endpoint konfiguriertund eine Verbindung zum SafeGuard Enterprise Server ermöglicht.

■ Log-Dateien werden erzeugt.

Beispielbefehl:

msiexec /i F:\Software\SGxClientPreinstall.msi /qn /log I:\Temp\SGxClientPreinstall.log

msiexec /i F:\Software\SGNClient.msi /qn /log I:\Temp\SGNClient.logADDLOCAL=Client,CredentialProvider,LocationBasedEncryption,FileShare Installdir=C:\Program Files\Sophos\SafeGuard Enterprise

msiexec /i F:\Software\SGNConfig_managed.msi /qn /log I:\Temp\SGNConfig_managed.log

2.11.3.7 Beispielbefehl: SafeGuard BitLocker-Unterstützung mit Challenge/ResponseDie Kommandozeile hat folgende Funktion:



■ SafeGuard BitLocker Unterstützung.

■ SafeGuard Challenge/Response für BitLocker Recovery.



70


Beispielbefehl:


msiexec /i F:\Software\SGNClient_x64.msi /qn /log I:\Temp\SGNClient_x64.logADDLOCAL=Client,CredentialProvider,BitLockerSupport,BitLockerSupportCR Installdir=C:\Program Files\Sophos\SafeGuard Enterprise


2.11.3.8 Beispielbefehl: SafeGuard BitLocker-Unterstützung mit Challenge/Responseund File EncryptionDie Kommandozeile hat folgende Funktion:



■ SafeGuard BitLocker Unterstützung.

■ SafeGuard Challenge/Response für BitLocker Recovery.

■ SafeGuard File Encryption mit dateibasierender Verschlüsselung von Daten auf der lokalenFestplatte und auf Netzwerkfreigaben



Beispielbefehl:


msiexec /i F:\Software\SGNClient_x64.msi /qn /log I:\Temp\SGNClient_x64.logADDLOCAL=Client,CredentialProvider,BitLockerSupport,BitLockerSupportCR,FileShare Installdir=C:\Program Files\Sophos\SafeGuard Enterprise


71

Administratorhilfe

2.11.3.9 Beispielbefehl: Kernel-Lader umschaltenDer POA-Kernel, der für Neuinstallationen verwendet wird, ist für die Verwendung mitNVMe-Laufwerken optimiert. Wenn Sie einen neu eingerichteten POA-Endpoint starten, wirdneben der Versionsnummer "RM" angezeigt; das bedeutet, dass Sie den aktuellen RM-Kernelverwenden. Sie können jedoch auf den alten "v86"-Kernel wechseln indem Sie folgendenBefehl verwenden:

Beispielbefehl:

msiexec.exe /i SGNClient.msi KERNELLOADER=v86

Um zum "RM"-Kernel zurückzukehren brauchen Sie folgenden Befehl:

Beispielbefehl:

msiexec.exe /i SGNClient.msi KERNELLOADER=RM

2.11.4 Installation gemäß FIPS

Die FIPS-Zertifizierung beschreibt Sicherheitsanforderungen für Verschlüsselungsmodule.So stellen z. B. Behörden in den USA und in Kanada an Software für besonderssicherheitskritische Informationen die Anforderung der FIPS 140-2 Zertifizierung.

SafeGuard Enterprise verwendet FIPS-zertifizierte AES-Algorithmen, aber standardmäßigwird eine neue, schnellere Implementierung der AES-Algorithmen installiert, die noch nichtFIPS-zertifiziert ist.

Um die FIPS-zertifizierte Variante des AES-Algorithmus zu nutzen, setzen Sie beim Installierender SafeGuard Enterprise Verschlüsselungssoftware die Eigenschaft FIPS_AES auf 1 (eins).

Das machen Sie, indem Sie die Eigenschaft zum Kommandozeilen-Skript hinzufügen:

msiexec /i F:\Software\SGNClient.msi FIPS=1

Hinweis: Dies betrifft nur SafeGuard Enterprise Device Encryption und Windows 7.

Hinweis: Wenn Sie eine FIPS-konforme Installation aktualisieren, beachten Sie bitte, dassdie neuen Versionen ebenfalls gemäß FIPS installiert werden, unabhängig davon, welcheEinstellung Sie wählen.

2.11.5 Installation auf selbst-verschlüsselnden Opal-Festplatten

SafeGuard Enterprise unterstützt den anbieter-unabhängigen Opal-Standard fürselbst-verschlüsselnde Festplatten und bietet die Verwaltung von Endpoints mit dieser Artvon Festplatten.

Um sicherzustellen, dass die Unterstützung von selbst-verschlüsselnden Opal-Festplattendiesem Standard möglichst genau entspricht, werden bei der Installation von SafeGuardEnterprise auf dem Endpoint zwei Arten von Prüfungen durchgeführt:

■ Funktionale Prüfungen

72


Hier wird u. a. geprüft, ob sich die Festplatte als "OPAL"-Festplatte identifiziert, obKommunikationseinstellungen korrekt sind und ob alle für SafeGuard Enterpriseerforderlichen Opal Features von der Festplatte unterstützt werden.

■ Sicherheitsprüfungen

Mit Sicherheitsprüfungen wird sichergestellt, dass nur SafeGuard Enterprise Benutzer aufder Festplatte registriert sind und dass nur SafeGuard Enterprise Benutzer die Schlüsselfür die software-basierende Verschlüsselung von nicht selbst-verschlüsselnden Laufwerkenhaben.Wird bei der Installation festgestellt, dass andere Benutzer registriert sind, versuchtSafeGuard Enterprise automatisch, diese zu deaktivieren. Diese Funktionalität wird durchden Opal-Standard gefordert. Ausgenommen sind hier einige wenige Standard "Authorities",die für den Betrieb eines Opal-Systems erforderlich sind.

Hinweis: Diese Sicherheitsprüfungen werden wiederholt, wenn nach einer erfolgreichenInstallation im Opal-Modus eine Verschlüsselungsrichtlinie für die Festplatte angewendetwird. Schlagen diese fehl, so haben seit der ersten Prüfung bei der Installation außerhalbvon SafeGuard Enterprise Eingriffe in die Laufwerksverwaltung stattgefunden. In diesemFall sperrt SafeGuard Enterprise nicht die Opal-Festplatte. Es wird eine entsprechendeMeldung angezeigt.

Sollten einige dieser Prüfungen ohne Recovery-Möglichkeit fehlschlagen, so wird für dieInstallation nicht die software-basierende Verschlüsselung angewendet. Stattdessen bleibenalle Volumes auf der Opal-Festplatte unverschlüsselt.

Ab SafeGuard Enterprise Version 7 werden standardmäßig keine Opal-Prüfungen durchgeführt.Das bedeutet: Auch wenn ein Opal-Laufwerk vorhanden ist, verschlüsselt SafeGuard EnterpriseVolumes auf diesem Laufwerk mit softwarebasierter Verschlüsselung.

Wenn Sie erzwingen möchten, dass Opal-Prüfungen durchgeführt werden, verwenden Siefolgende Kommandozeilensyntax:

MSIEXEC /i <name_of_selected_client_msi>.msi OPALMODE=0

Hinweis: Mit einem Upgrade von SafeGuard Enterprise 6.x auf SafeGuard Enterprise 7.0auf einem System mit einer Opal HDD, die im Opal HW-Verschlüsselungsmodus betriebenwird, bleibt dieser Verschlüsselungsmodus erhalten.

Bei einigen Opal-Festplatten bestehen u. U. Sicherheitsprobleme. Es besteht keine Möglichkeit,automatisch festzustellen, welche Privilegien unbekannten Benutzern/Authorities zugeordnetsind, die bereits zum Zeitpunkt der SafeGuard Enterprise Installation/Verschlüsselung registriertwaren.Wenn die Festplatte den Befehl, diese Benutzer zu deaktivieren, nicht ausführt, wendetSafeGuard Enterprise die software-basierende Verschlüsselung an, um die größtmöglicheSicherheit für den SafeGuard Enterprise Benutzer zu gewährleisten. Da wir für die Festplattenselbst keine Sicherheitsgarantien geben können, haben wir einen speziellenInstallationsschalter implementiert. Diesen Schalter können Sie verwenden, um Festplattenmit potentiellen Sicherheitsrisiken auf eigene Verantwortung zu benutzen. Eine Liste derFestplatten, für die dieser Schalter erforderlich ist, sowie weitere Informationen zu unterstütztenFestplatten finden Sie in den SafeGuard Enterprise Release Notes.

Um den Installationsschalter anzuwenden, benutzen Sie folgende Kommandozeilensyntax:

MSIEXEC /i <name_of_selected_client_msi>.msi IGNORE_OPAL_AUTHORITYCHECK_RESULTS=1

Wenn Sie die Installation mit einem Transform durchführen möchten: Die interne Eigenschaftder .msi-Datei hat denselben Namen.

73

Administratorhilfe

2.12 Installieren der Verschlüsselungssoftware auf MacOS XDas folgende Kapitel beschreibt die Installation der Sophos Verschlüsselungs-Software aufMac OS X Client-Rechnern. Folgende Produkte stehen zur Verfügung:

■ Sophos SafeGuard Native Device Encryption

■ Sophos SafeGuard File Encryption

Für beide Produkte sind zwei Installationstypen möglich:

■ automatisierte (unbeaufsichtigte) Installation

■ manuelle (beaufsichtigte) Installation

Wenn Sie SafeGuard File Encryption und SafeGuard Native Device Encryption verwendenmöchten, muss es sich in beiden Fällen um Version 8 handeln.

2.12.1 Installationsvoraussetzungen

Stellen Sie vor dem Beginn der Installation sicher, dass das SafeGuardEnterprise-SSL-Serverzertifikat in den System-Schlüsselbund importiert wurde und für SSLauf Immer vertrauen gesetzt ist.

1. Bitten Sie Ihren SafeGuard Server-Administrator, Ihnen das SafeGuardEnterprise-Serverzertifikat (Datei <Zertifikatsname>.cer).zur Verfügung zu stellen.

2. Importieren Sie die Datei <Zertifikatname>.cer) in Ihren Schlüsselbund. Wählen Sie dazuProgramme - Dienstprogramme und doppelklicken Sie Schlüsselbundverwaltung.app.

3. Wählen Sie im linken Fensterbereich System.

4. Öffnen Sie ein Finder-Fenster und wählen Sie die Datei <Zertifikatname>.cer von oben.

5. Ziehen Sie die Zertifikatsdatei in die Schlüsselbundverwaltung.

6. Geben Sie Ihr Mac OS X Kennwort ein, wenn Sie dazu aufgefordert werden.

7. Klicken Sie auf Schlüsselbund ändern, um den Vorgang zu bestätigen.

8. Doppelklicken Sie in der Keychain Access.app auf <Zertifikatname>.cer .

9. Klicken Sie auf den Pfeil neben Vertrauen, um die Vertrauenseinstellungen anzuzeigen.

10. Wählen Sie für Secure Sockets Layer (SSL) die Option Immer vertrauen.

11. Schließen Sie den Dialog.

12. Geben Sie Ihr Mac OS X Kennwort ein und klicken Sie zum Bestätigen auf Einstellungenaktualisieren.

Ein blaues Plus-Zeichen in der unteren rechten Ecke des Zertifikats-Symbols zeigt Ihnen,dass dieses Zertifikat als vertrauenswürdig für alle Benutzer eingestuft ist.

13. Öffnen Sie einen Browser und geben Sie https://<Servername>/SGNSRV ein, umsicherzustellen, dass Ihr SafeGuard Enterprise Server verfügbar ist.

Nun können Sie mit der Installation beginnen.

Hinweis:

Das Zertifikat kann auch importiert werden, indem der folgende Befehl ausgeführt wird:sudo/usr/bin/security add-trusted-cert -d -k/Library/Keychains/System.keychain -r trustAsRoot -p ssl

74


"/<Ordner>/<Zertifikatsname>.cer". Dieser Befehl kann auch für eine automatisierteInstallation mittels Skript verwendet werden. Ändern Sie die Namen des Ordners und desZertifikats entsprechend Ihren Anforderungen.

2.12.2 Automatisierte Installation von SafeGuard Native Device Encryption

Eine automatisierte (unbeaufsichtigte) Installation erfordert keinen Benutzereingriff währenddes Installationsprozesses.

Der folgende Abschnitt beschreibt die grundsätzlichen Schritte einer automatisierten Installationvon SafeGuard Native Device Encryption für Mac. Verwenden Sie die Managementsoftware,die auf Ihrem System installiert ist. Je nach Managementsoftware-Lösung, die Sie verwenden,können die tatsächlichen Schritte von der Beschreibung abweichen.

Um SafeGuard Native Device Encryption für Mac auf Client-Rechnern zu installieren, gehenSie wie folgt vor:

1. Laden Sie die Installationsdatei Sophos SafeGuard DE.dmg herunter.

2. Kopieren Sie die Datei auf die Zielrechner.

3. Installieren Sie die Datei auf den Zielrechnern. Wenn Sie Apple Remote Desktopverwenden, sind die Schritte 2 und 3 zu einem einzelnen Schritt zusammengefasst.

4. Wählen Sie die Konfigurations-Zip-Datei aus und kopieren Sie sie auf die Zielrechner(siehe Erzeugen eines Konfigurationspakets für Macs (Seite 99)).

5. Führen Sie auf den Zielrechnern das folgende Kommando aus:

/usr/bin/sgdeadmin --import-config /Pfad/zur/Datei.zip

6. Passen Sie /Pfad/zur/Datei auf Ihre Einstellungen an. Dieses Kommando muss mitAdministratorrechten ausgeführt werden. Wenn Sie Apple Remote Desktop verwenden,geben Sie root in das Feld Benutzername ein um festzulegen, welcher Benutzer dasKommando oben ausführt.

Hinweis:


2.12.3 Manuelle Installation von SafeGuard Native Device Encryption

Eine manuelle (oder beaufsichtigte) Installation ermöglicht Ihnen, die InstallationSchritt-für-Schritt zu steuern und zu testen. Sie wird auf Mac-Einzelplatzrechnern durchgeführt.

1. Öffnen Sie Sophos SafeGuard DE.dmg.

2. Nachdem Sie die Readme-Datei gelesen haben, doppelklicken Sie auf Sophos SafeGuardDE.pkg und folgen Sie den Anweisungen des Installationsassistenten. Sie werden nachIhrem Kennwort gefragt, um die Installation neuer Software zu erlauben. Das Produkt wirdim Ordner /Library/Sophos SafeGuard DE/ installiert.

3. Klicken Sie auf Schließen, um die Installation abzuschließen.

4. Nach einem Neustart melden Sie sich mit Ihrem Mac Kennwort an.

5. Öffnen Sie die Systemeinstellungen und klicken Sie auf das Sophos Encryption-Symbol,um die Produkteinstellungen anzuzeigen.

6. Klicken Sie auf die Registerkarte Server.

75

Administratorhilfe


7. Werden Server und Zertifikatsdetails angezeigt, so überspringen Sie die nächsten Schritteund gehen Sie zu Schritt 11. Wird keine Information angezeigt, so fahren Sie mit demnächsten Schritt fort.

8. Wählen Sie die Konfigurations-Zip-Datei aus und kopieren Sie sie auf die Zielrechner(siehe Erzeugen eines Konfigurationspakets für Macs (Seite 99)).

9. Ziehen Sie die Zip-Datei in den Server-Dialog und lassen Sie sie in der Dropzone los.

10. Sie werden aufgefordert, Ihr Mac-Administratorkennwort einzugeben. Geben Sie dasKennwort ein und klicken Sie zur Bestätigung auf OK.

11. Überprüfen Sie die Verbindung zum SafeGuard Enterprise Server. Details zumUnternehmenszertifikat werden im unteren Teil des Serverdialogs angezeigt. Klicken Siedann auf Synchronisieren. Eine erfolgreichen Verbindung erkennen Sie an einemaktualisierten Zeitstempel (Registerkarte Server, Serverinfo-Bereich, LetzterServerkontakt:). Bei einer unterbrochenen Verbindung erscheint das folgende Symbol:

Weitere Informationen finden Sie in der System-Logdatei.

2.12.4 Automatisierte Installation von SafeGuard File Encryption

Eine automatisierte (unbeaufsichtigte) Installation erfordert keinen Benutzereingriff währenddes Installationsprozesses.

Der folgende Abschnitt beschreibt die grundsätzlichen Schritte einer automatisierten Installationvon SafeGuard File Encryption für Mac. Verwenden Sie die Managementsoftware, die aufIhrem System installiert ist. Je nach Managementsoftware-Lösung, die Sie verwenden, könnendie tatsächlichen Schritte von der Beschreibung abweichen.

Um SafeGuard File Encryption für Mac auf Client-Rechnern zu installieren, gehen Sie wiefolgt vor:

1. Laden Sie die Installationsdatei Sophos SafeGuard FE.pkg herunter.

2. Kopieren Sie die Datei auf die Zielrechner.

3. Installieren Sie die Datei auf den Zielrechnern. Wenn Sie Apple Remote Desktopverwenden, sind die Schritte 2 und 3 zu einem einzelnen Schritt zusammengefasst.

4. Wählen Sie die Konfigurations-Zip-Datei aus und kopieren Sie sie auf die Zielrechner(siehe Erzeugen von Konfigurationspaketen (Seite 56)).

5. Führen Sie auf den Zielrechnern das folgende Kommando aus:

/usr/bin/sgdeadmin --import-config /Pfad/zur/Datei.zip

6. Passen Sie /Pfad/zur/Datei auf Ihre Einstellungen an. Dieses Kommando muss mitAdministratorrechten ausgeführt werden. Wenn Sie Apple Remote Desktop verwenden,geben Sie root in das Feld Benutzername ein um festzulegen, welcher Benutzer dasKommando oben ausführt.

7. Sie können Ihrem Workflow weitere Schritte je nach Ihren spezifischen Einstellungenhinzufügen wie z.B. die Zielrechner herunterzufahren.

Hinweis: Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 120507.

2.12.5 Manuelle Installation von SafeGuard File Encryption

Eine manuelle (oder beaufsichtigte) Installation ermöglicht Ihnen, die InstallationSchritt-für-Schritt zu steuern und zu testen. Sie wird auf Mac-Einzelplatzrechnern durchgeführt.

1. Öffnen Sie Sophos SafeGuard FE.dmg.

76



2. Nachdem Sie die Readme-Datei gelesen haben, doppelklicken Sie auf Sophos SafeGuardFE.pkg und folgen Sie den Anweisungen des Installationsassistenten. Sie werden nachIhrem Kennwort gefragt, um die Installation neuer Software zu erlauben. Das Produkt wirdim Ordner /Library/Sophos SafeGuard FS/ installiert.

3. Klicken Sie auf Schließen, um die Installation abzuschließen.

4. Öffnen Sie die Systemeinstellungen und klicken Sie auf das Sophos Encryption-Symbol,um die Produkteinstellungen anzuzeigen.

5. Klicken Sie auf die Registerkarte Server.

6. Werden Server und Zertifikatsdetails angezeigt, so überspringen Sie die nächsten Schritteund gehen Sie zu Schritt 11. Wird keine Information angezeigt, so fahren Sie mit demnächsten Schritt fort.

7. Wählen Sie die Konfigurations-Zip-Datei aus und kopieren Sie sie auf die Zielrechner(siehe Erzeugen von Konfigurationspaketen (Seite 56)).

8. Ziehen Sie die Zip-Datei in den Server-Dialog und lassen Sie sie in der Dropzone los.

9. Sie werden aufgefordert, Ihr Mac-Administratorkennwort einzugeben. Geben Sie dasKennwort ein und klicken Sie zur Bestätigung auf OK.

10. Geben Sie Ihr Mac-Kennwort ein, um Ihr SafeGuard Benutzerzertifikat anzufordern.

11. Überprüfen Sie die Verbindung zum SafeGuard Enterprise Server. Details zumUnternehmenszertifikat werden im unteren Teil des Serverdialogs angezeigt. Klicken Siedann auf Synchronisieren. Eine erfolgreichen Verbindung erkennen Sie an einemaktualisierten Zeitstempel (Registerkarte Server, Serverinfo-Bereich, LetzterServerkontakt:). Bei einer unterbrochenen Verbindung erscheint das folgende Symbol:

Mehr Information finden Sie in der System-Logdatei.

2.13 AktualisierungSafeGuard Enterprise 6.10 oder höher kann direkt auf die aktuelle Version von SafeGuardEnterprise aktualisiert werden. Wenn Sie eine Aktualisierung von einer älteren Versiondurchführen möchten, müssen Sie zunächst eine Aktualisierung auf Version 6.10 durchführen.

Während einer Aktualisierung können Sie keine Änderungen der installierten Features oderModule vornehmen. Sollten Änderungen erforderlich sein, führen Sie den Installer der bereitsvorhandenen Version erneut aus und ändern Sie die Installation (siehe Migration (Seite 80)).

Die Versionsnummern der SafeGuard Enterprise Datenbank, des SafeGuard EnterpriseServers und des SafeGuard Management Center müssen übereinstimmen. Die folgendenKomponenten werden bei einer Aktualisierung auf die aktuelle Version von SafeGuardEnterprise aktualisiert. Führen Sie die Aktualisierung in der angegebenen Reihenfolge aus:

1. SafeGuard Enterprise Server2. SafeGuard Management Center3. SafeGuard Enterprise Web Helpdesk4. Durch SafeGuard Enterprise geschützte Endpoints5. SafeGuard Enterprise Konfigurationspakete

Standardmäßig werden alle Richtlinien vom Typ Dateiverschlüsselung wie Richtlinien mitVerschlüsselungstyp Pfadbasiert behandelt oder in solche konvertiert.

77

Administratorhilfe

Hinweis: Nach der Aktualisierung aller SafeGuard Enterprise Komponenten und Endpointsauf Version 8.0 empfehlen wir die Umstellung auf den sichereren Algorithmus SHA-256 fürdas Signieren von durch SafeGuard Enterprise erzeugten Zertifikaten.

2.13.1 Aktualisieren von SafeGuard Enterprise Server

Voraussetzungen

■ SafeGuard Enterprise Server 6.10 oder höher muss installiert sein. Versionen unter 6.10müssen erst auf SafeGuard Enterprise Server 6.10 aktualisiert werden.



So aktualisieren Sie den SafeGuard Enterprise Server:

1. Installieren Sie die neueste Version des SafeGuard Enterprise Server InstallationspaketsSGNServer.msi.

Wenn Sie alle SafeGuard Enterprise Komponenten (Server, Management Center, WebHelpdesk) aktualisiert haben, müssen Sie den SafeGuard Enterprise Server neu starten.

2.13.2 Aktualisieren des SafeGuard Management Center

Voraussetzungen:

■ SafeGuard Management Center 6.10 oder höher muss installiert sein. Versionen unter6.10 müssen erst auf SafeGuard Management Center 6.10 aktualisiert werden.

■ Die Versionsnummern der SafeGuard Enterprise Datenbank, des SafeGuard EnterpriseServers und des SafeGuard Management Center müssen übereinstimmen.

■ SafeGuard Management Center 8.0 kann Endpoints verwalten, die mit SafeGuardEnterprise 6.0 oder höher geschützt werden.

■ .NET Framework 4,5 ist erforderlich. Dies muss vor der Aktualisierung installiert werden.Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verfügung.


■ Wenn Sie eine Aktualisierung von SafeGuard Enterprise 5.x auf SafeGuard Enterprise 8,0durchführen, müssen Sie manuell eine Standard-Evaluierungslizenz für SafeGuard CloudStorage und SafeGuard File Encryption importieren Die Lizenzdatei steht in IhrerProduktlieferung zur Verfügung.

So aktualisieren Sie das SafeGuard Management Center:

1. Installieren Sie die aktuelle Version des SafeGuard Management Center Installationspaketsmit den erforderlichen Features, siehe Migration (Seite 80).


3. Das System überprüft die Version der SafeGuard Enterprise Datenbank und aktualisiertautomatisch auf die neue Version.

4. Vor dem Update werden Sie dazu aufgefordert, Ihre Datenbank zu sichern.

SafeGuard Management Center und Datenbank wurden auf die neueste Version aktualisiert.

78


Übertragen Sie nach der Aktualisierung keine bestehenden POA-Benutzer auf Endpoints, diedurch SafeGuard Enterprise geschützt sind. Diese würden in diesem Fall als normale Benutzerbehandelt und als Benutzer auf den entsprechenden Endpoints registriert.

Falls Sie für Sicherungszwecke Richtlinien exportiert haben, exportieren Sie sie nach derAktualisierung des SafeGuard Management Center erneut. Richtlinien, die mit älterenVersionen exportiert wurden, können nicht importiert werden.

2.13.3 Aktualisieren des Web Helpdesk

So aktualisieren Sie den Web Helpdesk:

1. Stellen Sie sicher, dass Sie den SafeGuard Enterprise Server aktualisiert haben(SGNServer.msi).

2. Installieren Sie die aktuelle Version von SGNWebHelpDesk.msi.

Wenn Sie alle SafeGuard Enterprise Komponenten (Server, Management Center, WebHelpdesk) aktualisiert haben, müssen Sie den SafeGuard Enterprise Server neu starten.

2.13.4 Aktualisierung von Endpoints

Dieses Kapitel gilt sowohl für zentral verwaltete Endpoints als auch für Standalone-Endpoints.

Voraussetzungen

■ Version 6.10 oder höher der SafeGuard Enterprise Verschlüsselungssoftware mussinstalliert sein. Ältere Versionen müssen zuerst auf Version 6.10 aktualisiert werden.

■ Die SafeGuard Enterprise Datenbank, der SafeGuard Enterprise Server und das SafeGuardManagement Center müssen auf die neueste Version aktualisiert sein. DieVersionsnummern der SafeGuard Enterprise Datenbank, des SafeGuard Enterprise Serversund des SafeGuard Management Center müssen für einen erfolgreichen Betriebübereinstimmen.

■ SafeGuard Management Center 8.0 und SafeGuard Enterprise Server 8.0 können durchSafeGuard Enterprise geschützte Endpoints mit Version 6.0 und höher verwalten. Jedochempfehlen wir die Verwendung derselben Version der Verschlüsselungssoftware auf allenEndpoints.


So aktualisieren Sie durch SafeGuard Enterprise geschützte Endpoints:

1. Melden Sie sich an dem Computer als Administrator an.

2. Installieren Sie das aktuelle Prä-Installationspaket SGxClientPreinstall.msi . DiesesPaket stattet den Endpoint mit den nötigen Voraussetzungen für eine erfolgreicheInstallation der neuen Verschlüsselungssoftware aus.

Deinstallieren Sie keine alten Prä-Installationspakete da diese automatisch aktualisiertwerden.

79

Administratorhilfe

3. Installieren Sie die aktuelle Version der SafeGuard Enterprise Verschlüsselungssoftware.Abhängig von der installierten Version wird eine direkte Aktualisierung unter Umständennicht unterstützt. Ältere Versionen müssen aktualisiert werden, bis Version 6.10 erreichtist.

Der Windows Installer erkennt, welche Features bereits installiert sind und aktualisiertauch nur diese Features. Wenn die Power-on Authentication installiert ist, steht nacherfolgreicher Migration (Richtlinien, Schlüssel usw.) auch ein aktualisierter POA-Kernelzur Verfügung. SafeGuard Enterprise wird auf dem Computer automatisch neu gestartet.

4. Um Configuration Protection vollständig zu entfernen, müssen Sie auch SGNCPClient.msi(oder SGNCPClient_x64.msi) deinstallieren.

5. Nach dem Abschluss der Installation starten Sie den Endpoint neu, wenn Sie danachgefragt werden.

Die aktuelle Version der SafeGuard Enterprise Verschlüsselungssoftware ist auf den Endpointsinstalliert. Als Nächstes aktualisieren Sie die Konfiguration der Endpoints.

Hinweis: Während einer Aktualisierung können Sie keine Änderungen der installierten Modulevornehmen. Falls Änderungen erforderlich sind, lesen Sie unter Migration (Seite 80) nach.

2.13.5 Aktualisieren der Konfigurationspakete der Endpoints

Nach der Aktualisierung der Back-End-Software empfehlen wir dringend, alle altenKonfigurationspakete aus Sicherheitsgründen zu löschen. Neuinstallationen des SafeGuardClient müssen mit einem Konfigurationspaket erfolgen, das mit SafeGuard ManagementCenter Version 8.0 erstellt wurde. Konfigurationspakete, die mit früheren Versionen desSafeGuard Management Center erstellt wurden, werden nicht unterstützt.

Konfigurationspakete auf bestehenden (bereits konfigurierten) Endpoints müssen in denfolgenden Fällen aktualisiert werden:

■ Mindestens einer der konfigurierten SafeGuard Server wurde geändert (trifft nur bei zentralverwalteten Endpoints zu).

■ Die Richtlinien müssen geändert werden (trifft nur bei Endpoints im Standalone-Moduszu).

■ Zum Anwenden von Certificate Change Orders (CCO).

■ Wen der Hash-Algorithmus zum Signieren der selbst-signierten Zertifikate von SHA-128auf SHA-256 geändert wird.

Hinweis: Weitere Informationen finden Sie im Abschnitt Ändern des Algorithmus fürselbst-signierte Zertifikate.

Hinweis: Ein Endpoint kann von einem zentral verwalteten zu einem Standalone-Clientherabgestuft werden, indem das verwaltete Konfigurationspaket deinstalliert und ein nichtverwaltetes Konfigurationspaket installiert wird.

2.14 MigrationMigration bedeutet eine Umstellung installierter Produkte, Module oder Features innerhalbderselben Version. Sie müssen Ihr Produkt daher innerhalb der alten Version migrieren oderzuerst die Installation aktualisieren und anschließend die Migration vornehmen.

Hinweis: Falls Sie Ihr aktuell installiertes Produkt oder die aktuell installierte Version in dieserAnleitung nicht finden, wird keine direkte Aktualisierung oder Migration unterstützt.

80


Informationen zu den Möglichkeiten einer Aktualisierung oder Migration finden Sie in derDokumentation Ihres Produkts oder Ihrer Version.

Hinweis: Wenn mit Ihrem Migrationsszenario eine Änderung Ihrer Lizenz für die SophosVerschüsselungssoftware verbunden ist, muss Ihre neue Lizenz für die Migration zur Verfügungstehen.

2.14.1 Migration von SafeGuard Easy

Sie können eine Migration der Standalone-Lösung SafeGuard Easy zur SafeGuard EnterpriseSuite mit zentraler Verwaltung durchführen. Somit können Sie umfassendeVerwaltungsfunktionen nutzen, zum Beispiel Benutzer- und Computerverwaltung oderumfangreiche Protokollierungfunktionen.

■ Setzen Sie die letzte Version des SafeGuard Enterprise Servers auf.

■ Migrieren Sie die Management-Konsole.

■ Migrieren Sie die Endpoints auf eine zentral verwaltete Konfiguration.

2.14.1.1 Migration der Management-KonsoleVoraussetzungen

■ Sie müssen den SafeGuard Policy Editor nicht deinstallieren.



So migrieren Sie die Management-Konsole:

1. Starten Sie auf dem Computer, auf dem der SafeGuard Policy Editor installiert ist,SGNManagementCenter.msi. Ein Assistent führt Sie durch die Installation. ÜbernehmenSie die Standardeinstellungen.

2. Starten Sie Ihren Computer neu, wenn Sie dazu aufgefordert werden.

3. Starten Sie das SafeGuard Management Center, um die Erstkonfiguration durchzuführen.

4. Konfigurieren Sie die SafeGuard Enterprise Richtlinien nach Ihren Wünschen.

Der SafeGuard Policy Editor wurde zum SafeGuard Management Center migriert.

2.14.1.2 Migrieren von Endpoints auf eine zentral verwaltete Konfiguration.Standalone-Endpoints lassen sich zu einer zentral verwalteten Konfiguration migrieren. DieseEndpoints können dadurch im SafeGuard Management Center verwaltet werden und habeneine Verbindung zum SafeGuard Enterprise Server.

Hinweis: Wenn Sie den Endpoint bereits auf die aktuelle Version aktualisiert haben und nurdie Konfiguration ändern möchten, beginnen Sie mit Schritt 6.

Voraussetzungen

■ Erstellen Sie ein Backup des Endpoints.


81

Administratorhilfe

■ Es ist keine Deinstallation der Sophos SafeGuard Verschlüsselungssoftware auf denEndpoints nötig. Sophos SafeGuard Version 6.10 oder höher muss auf den Endpointsinstalliert sein. Ältere Versionen müssen aktualisiert werden, bis Version 6.10 erreicht ist.

Um Endpoints lokal zu migrieren:


2. Installieren Sie das aktuelle Prä-Installationspaket SGxClientPreinstall.msi . DiesesPaket stattet den Endpoint mit den nötigen Voraussetzungen für eine erfolgreicheInstallation der neuen Verschlüsselungssoftware aus.

Verwenden Sie keine veralteten Prä-Installationspakete.

3. Installieren Sie die aktuelle Version der Sophos SafeGuard Verschlüsselungssoftware.

Der Windows Installer erkennt, welche Features bereits installiert sind und aktualisiertauch nur diese Features. Wenn die Power-on Authentication installiert ist, steht nacherfolgreicher Migration (Richtlinien, Schlüssel usw.) auch ein aktualisierter POA-Kernelzur Verfügung. Sophos SafeGuard wird auf dem Endpoint automatisch neu gestartet.

4. Nach dem Abschluss der Installation starten Sie den Endpoint neu, wenn Sie danachgefragt werden.

5. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.Klicken Sie auf Pakete für Managed Clients und erstellen Sie ein Konfigurationspaketfür zentral verwaltete Endpoints.

6. Weisen Sie dieses Paket dem Endpoint über eine Gruppenrichtlinie zu.

Wichtig: Die Power-on-Authentisierung ist deaktiviert, da die Benutzer-ComputerZuordnung nicht aktualisiert wird. Nach der Migration sind die Endpoints damit ungeschützt.

7. Der Benutzer muss den Endpoint neu starten. Die erste Anmeldung erfolgt noch überAutologon. Neue Schlüssel und Zertifikate werden dem Benutzer zugewiesen.

8. Der Benutzer muss den Endpoint noch einmal starten und sich an der Power-onAuthentication anmelden. Die Endpoints werden erst nach dem zweiten Neustart geschützt.

9. Löschen Sie alte und nicht mehr verwendete Konfigurationspakete.

Der Endpoint hat nun eine Verbindung zum SafeGuard Enterprise Server.

2.14.2 Migration von Sophos Disk Encryption

Sophos Disk Encryption wird nicht mehr unterstützt. Sie müssen auf SafeGuard Enterprisemigrieren. Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 121160.

2.14.3 Ändern der SafeGuard-Installation auf Endpoints

Sollten Änderungen der installierten Module erforderlich sein, führen Sie den Installer derbereits vorhandenen Version erneut aus und ändern Sie die Installation. Es gelten die folgendenEinschränkungen:

■ Synchronized Encryption kann nicht auf Endpoints installiert werden, auf denen bereitspfadbasierte Dateiverschlüsselung verwendet wird.

■ Bei einem Wechsel von SafeGuard volume-basierender Verschlüsselung auf BitLockerVerschlüsselung oder umgekehrt muss das Produkt deinstalliert und neu installiert werden(Daten müssen entschlüsselt sein).

82



■ Bei einem Wechsel von BitLocker-Unterstützung auf BitLocker mit Challenge/Responseoder umgekehrt muss das Produkt deinstalliert und neu installiert werden (Daten müssenentschlüsselt sein).

Die Systemanforderungen für jedes Modul finden Sie in den Versionsinfos.

Informationen zum Migrieren des Betriebssystems finden Sie unter Migration von Endpointsauf ein anderes Betriebssystem (Seite 83).

2.14.4 Migration von Endpoints auf ein anderes Betriebssystem

Endpoints mit SafeGuard Enterprise können von Windows 7/8 auf Windows 10 migriert werden.Nur bei Endpoints mit Windows 7 und SafeGuard Full Disk Encryption muss letzteres vor derMigration auf Windows 10 deinstalliert werden. SafeGuard Full Disk Encryption wird unterWindows 10 nicht unterstützt. Nähere Informationen zur Deinstallation finden Sie unterDeinstallation - Überblick (Seite 83). Information zur Verwendung von BitLocker finden Sieunter Vorbereitung für die Unterstützung von BitLocker Drive Encryption (Seite 60).

Sie können keine Endpoints auf denen SafeGuard Enterprise installiert ist von Windows 7auf Windows 8 migrieren. Wenn Sie ein älteres Betriebssystem als Windows 10 verwenden,ist es nur möglich, die Service Pack Version Ihres Betriebssystems zu aktualisieren.

2.15 Deinstallation - ÜberblickFühren Sie zum Deinstallieren der SafeGuard Enterprise Verschlüsselungssoftware folgendeSchritte durch:

■ Entschlüsseln Sie verschlüsselte Daten.

■ Deinstallieren Sie das Konfigurationspaket.

■ Deinstallieren Sie die Verschlüsselungssoftware.

Damit Entschlüsselung und Deinstallation möglich sind, müssen auf den Endpoints dieentsprechenden Richtlinien wirksam sein.

Wenn sich nach der Deinstallation ein Benutzer mit Administratorrechten am Endpointanmeldet, wird im Hintergrund ein Bereinigungstool gestartet. Der Benutzer wird darüberinformiert, dass die Bereinigung einen abschließenden Neustart benötigt.

Sie finden das Bereinigungstool hier: C:\Programme (x86)\Sophos\SafeGuardEnterprise\SGNCleanUp.exe

2.15.1 Entschlüsseln von verschlüsselten Daten

Folgende Voraussetzung muss erfüllt sein:

Für die Entschlüsselung von verschlüsselten Volumes müssen alle volume-basierendverschlüsselten Volumes einen Laufwerksbuchstaben haben.

1. Bearbeiten Sie im SafeGuard Management Center die aktuelle Richtlinie vom TypGeräteschutz, den den zu entschlüsselnden Computern zugewiesen ist. Wählen Sie dieZiele und stellen Sie die Option Benutzer darf Volume entschlüsseln auf Ja ein.WeisenSie die Richtlinie den relevanten Endpoints zu.

2. Erstellen Sie eine Richtlinie vom Typ Geräteschutz, wählen Sie die Ziele, die entschlüsseltwerden sollen und stellen Sie den Verschlüsselungsmodus für Medien auf KeineVerschlüsselung ein.

83

Administratorhilfe

3. Legen Sie unter Benutzer & Computer eine Gruppe für die Computer an, die Sieentschlüsseln möchten: Rechtsklicken Sie auf den Domänenkonten, an dem Sie die Gruppeerstellen möchten. Wählen Sie dann Neu > Neue Gruppe erzeugen.

4. Wählen Sie den Domänenknoten dieser Gruppe und weisen Sie dieEntschlüsselungsrichttlinie zu, indem Sie die Richtlinie aus der Verfügbare RichtlinienListe in die Registerkarte Richtlinien ziehen. Aktivieren Sie die Richtlinie, indem Sie jetztdie Gruppe aus der Liste der Verfügbaren Gruppen in den Bereich Aktivierung ziehen.Stellen Sie in der Registerkarte Richtlinien des Domänenknotens sicher, dass die Prioritätauf 1 gesetzt und die Einstellung Kein Überschreiben aktiviert ist. Stellen Sie im BereichAktivierung des Domänenknotens sicher, dass nur Mitglieder der Gruppe von dieserRichtlinie betroffen sind.

5. Wählen Sie im Benutzer & Computer Navigationsbereich die Gruppe, klicken Sie mit derrechten Maustaste auf die im Aktionsbereich angezeigte Mitglieder Registerkarte undklicken Sie auf Hinzufügen, um die Computer, die Sie entschlüsseln möchten, zur Gruppehinzuzufügen.

6. Führen Sie auf dem Endpoint, der entschlüsselt werden soll, eine Synchronisierung mitdem SafeGuard Enterprise Server durch. Damit stellen Sie sicher, dass dieRichtlinienaktualisierung auf dem Computer eingegangen und aktiv ist.

7. Öffnen Sie den Windows Explorer. Klicken Sie mit der rechten Maustaste auf das Volume,das entschlüsselt werden soll, und klicken Sie dann auf Verschlüsselung >Entschlüsselung.

Stellen Sie sicher, dass die Verschlüsselung erfolgreich abgeschlossen werden konnte.

Hinweis: Endpoints können während der Verschlüsselung/Entschlüsselungheruntergefahren und neu gestartet werden. Wenn auf die Entschlüsselung dieDeinstallation folgt, empfehlen wir, den Endpoint nicht in einen Energiesparmodus oderden Ruhezustand zu versetzen.

2.15.2 Starten der Deinstallation


■ Verschlüsselte Daten müssen korrekt entschlüsselt werden, damit nach der DeinstallationZugriff auf die Daten besteht. Der Entschlüsselungsvorgang muss abgeschlossen sein.Die korrekte Entschlüsselung ist besonders wichtig, wenn die Deinstallation von ActiveDirectory ausgelöst wird.

Darüber hinaus müssen vor der Deinstallation des letzten durch SafeGuard Enterprisegeschützten Endpoint alle verschlüsselten Wechselmedien entschlüsselt werden.Andernfalls besteht die Gefahr, dass Benutzer nicht mehr auf Ihre Daten zugreifenkönnen. Solange die SafeGuard Enterprise Datenbank zur Verfügung steht, könnendie Daten auf den Wechselmedien wiederhergestellt werden.

■ Für die Deinstallation der Sophos SafeGuard Festplattenverschlüsselung müssen allevolume-basierend verschlüsselten Volumes einen Laufwerksbuchstaben haben.

■ Deinstallieren Sie jeweils immer das komplette Paket mit allen installierten Features.

1. Bearbeiten Sie im SafeGuard Management Center die Richtlinie vom Typ SpezifischeComputereinstellungen. Stellen Sie die Option Deinstallation erlaubt auf Ja ein.

2. Legen Sie unter Benutzer & Computer eine Gruppe für die Computer an, die Sieentschlüsseln möchten: Rechtsklicken Sie auf den Domänenkonten, an dem Sie die Gruppeerstellen möchten. Wählen Sie dann Neu > Neue Gruppe erzeugen.

84


3. Wählen Sie den Domänenknoten dieser Gruppe und weisen Sie die Richtlinien zumDeinstallieren zu, indem Sie die Richtlinie aus der Verfügbare Richtlinien Liste in dieRegisterkarte Richtlinien ziehen. Aktivieren Sie die Richtlinie, indem Sie jetzt die Gruppeaus der Liste der Verfügbaren Gruppen in den Bereich Aktivierung ziehen. Stellen Siein der Registerkarte Richtlinien des Domänenknotens sicher, dass die Priorität auf 1gesetzt und die Einstellung Kein Überschreiben aktiviert ist. Stellen Sie im BereichAktivierung des Domänenknotens sicher, dass nur Mitglieder der Gruppe von dieserRichtlinie betroffen sind.

4. Fügen Sie die Endpoints, bei denen die Deinstallation ausgeführt werden soll, zur Gruppehinzu.

5. Wenden Sie zum Starten der Deinstallation eine der folgenden Methoden an:

■ Um eine lokale Deinstallation auf dem Endpoint durchzuführen, synchronisieren Siediesen mit dem SafeGuard Enterprise Server. Damit stellen Sie sicher, dass dieRichtlinienaktualisierung auf dem Computer eingegangen und aktiv ist. Wählen Siedann Start > Systemsteuerung > Software > Sophos SafeGuard Client > Entfernen.

■ Verwenden Sie für eine zentrale Deinstallation einen Software-VerteilungsmechanismusIhrer Wahl. Stellen Sie sicher, dass alle erforderlichen Daten vor dem Starten derDeinstallation korrekt entschlüsselt wurden.

2.15.3 Verhindern einer Deinstallation auf den Endpoints

Um den Schutz für Endpoints noch zu verstärken, empfehlen wir, dass Sie die lokaleDeinstallation von SafeGuard Enterprise auf Endpoints verhindern. Setzen Sie das FeldDeinstallation erlaubt in einer Spezifische Computereinstellungen Richtlinie auf Nein undübermitteln Sie die Richtlinie an die Endpoints. So werden unautorisierte Versuche, dieSoftware zu deinstallieren, abgebrochen und protokolliert.

2.15.4 Deinstallation von Native Device Encryption von Mac Endpoints

Wenn Sie die Software von einem Client deinstallieren müssen, gehen Sie wie folgt vor:

1. Wechseln Sie auf dem Mac Client zu /Library.

2. Wählen Sie den Ordner /Sophos SafeGuard DE.

3. Wählen und doppelklicken Sie die Datei Sophos SafeGuard DE Uninstaller.pkg

4. Ein Assistent führt Sie durch die Deinstallation.

Sobald das letzte Sophos SafeGuard Produkt entfernt ist, wird auch die Client-Konfigurationgelöscht.

Hinweis: Es ist nicht notwendig, die Festplatte zu entschlüsseln, bevor Sie die Softwaredeinstallieren.

Hinweis: Ein Benutzer mit Administrator-Rechten kann nicht daran gehindert werden, dieSoftware zu deinstallieren. (Eine Richtlinie, die das bei Windows Clients verhindert, hat keineAuswirkung bei Mac Clients)

Hinweis: Das Uninstaller Package ist signiert und OS X versucht, diese Signatur zu validieren.Dieser Vorgang kann einige Minuten dauern.

2.15.5 Deinstallation von File Encryption von Mac Endpoints

Wenn Sie die Software von einem Client deinstallieren müssen, gehen Sie wie folgt vor:

1. Wechseln Sie auf dem Mac Client zu /Library.

85

Administratorhilfe

2. Öffnen Sie den Ordner Sophos SafeGuard FS.

3. Wählen und doppelklicken Sie die Datei Sophos SafeGuard FS Uninstaller.pkg.

4. Ein Assistent führt Sie durch die Deinstallation.

5. Starten Sie das System neu, bevor Sie mit Ihrer Arbeit am Mac fortfahren.

Sobald das letzte Sophos SafeGuard Produkt entfernt ist, wird auch die Client-Konfigurationgelöscht.

Hinweis: Das Uninstaller Package ist signiert und OS X versucht, diese Signatur zu validieren.Dieser Vorgang kann einige Minuten dauern.

86


3 SafeGuard Management CenterDas SafeGuard Management Center ist das zentrale Instrument für die Verwaltung von mitSafeGuard Enterprise verschlüsselten Computern. Mit dem SafeGuard Management Centerkönnen Sie eine unternehmensweite Sicherheitsstrategie implementieren und auf Endpointsanwenden. Im SafeGuard Management Center können Sie:

■ Organisationsstruktur aufbauen oder importieren.

■ Sicherheitsbeauftragte anlegen.

■ Richtlinien definieren.

■ Konfigurationen exportieren und importieren.

■ Computer mit einer umfassenden Protokollierungsfunktionalität überwachen.

■ Kennwörter und den Zugriff auf verschlüsselte Endpoints wiederherstellen.

Mit dem SafeGuard Management Center wird Multi Tenancy für die Verwaltung von mehrerenDomänen und Datenbanken unterstützt. Sie können verschiedene SafeGuard EnterpriseDatenbanken verwalten und unterschiedliche Konfigurationen verwenden.

Der Zugriff auf das SafeGuard Management Center ist nur privilegierten Benutzern - denSicherheitsbeauftragten - erlaubt. Es können mehrere Sicherheitsbeauftragte gleichzeitig mitden Daten arbeiten. Die verschiedenen Sicherheitsbeauftragten können entsprechend denihnen zugewiesenen Rollen und Rechten Tätigkeiten ausführen.

Sie können die SafeGuard Enterprise Richtlinien und Einstellungen an Ihre Anforderungenanpassen. Nach dem Speichern der neuen Einstellungen in der Datenbank können diese andie Endpoints übertragen werden, wo sie dann wirksam werden.

Hinweis: Einige Features sind nicht in allen Lizenzen enthalten. Für Informationen dazu,was in Ihrer Lizenz enthalten ist, wenden Sie sich an Ihren Vertriebspartner.

3.1 Anmeldung am SafeGuard Management CenterWährend der Erstkonfiguration von SafeGuard Enterprise wird ein Konto für einenHaupt-Sicherheitsbeauftragten angelegt. Dieses Konto wird bei der ersten Anmeldung an dasSafeGuard Management Center benötigt. Um das SafeGuard Management Center zu starten,benötigt der Benutzer das Kennwort für den Zertifikatsspeicher sowie den privaten Schlüsseldes Zertifikats.

Weitere Informationen finden Sie unter Erstellen eines Haupt-Sicherheitsbeauftragten (MasterSecurity Officer, MSO) (Seite 39).

Die Anmeldung richtet sich danach, ob Sie das SafeGuard Management Center mit einerVerbindung zu einer Datenbank (Single Tenancy) oder zu mehreren Datenbanken (MultiTenancy) einsetzen.

Hinweis: Zwei Sicherheitsbeauftragte dürfen nicht das gleiche Windows-Konto auf einemComputer benutzen. Andernfalls lassen sich ihre Zugriffsrechte nicht sauber trennen.

87

Administratorhilfe

3.2 SafeGuard Management Center Benutzeroberfläche

1. Navigationsbereich:2. Navigationsfenster mit administrativen Objekten.3. Schaltflächen für alle administrativen Aufgaben4. Symbolleiste5. Registerkarten für die Auswahl unterschiedlicher Aufgaben und zur Anzeige von

Informationen.6. Die Anzeige im Aktionsbereich ist abhängig von der Auswahl im Navigationsbereich.7. Dazugehörige Ansichten enthalten zur Verwaltung benötigte Elemente oder Informationen

über die bearbeiteten Objekte.

Navigationsbereich:

Im Navigationsbereich befinden sich Schaltflächen für alle administrativen Tätigkeiten:

■ Benutzer und Computer

Zum Importieren von Gruppen und Benutzern aus einem Active Directory, aus der Domäneoder von einem einzelnen Computer.

■ Richtlinien

Zum Erzeugen der Richtlinien.

■ Schlüssel und Zertifikate

Zum Verwalten der Schlüssel und Zertifikate.

88


■ Token

Zur Verwaltung von Token und Smartcards.

■ Sicherheitsbeauftragte

Zum Anlegen neuer Sicherheitsbeauftragter und Definieren von Aktionen, für derenAusführung eine zusätzliche Autorisierung notwendig ist.

■ Berichte

Zum Anlegen und Verwalten von Berichten zu sicherheitsrelevanten Ereignissen.

Navigationsfenster

Im Navigationsfenster werden Objekte zur Bearbeitung angezeigt (Active Directory Objektewie OUs, Benutzer und Computer; Richtlinien usw.) bzw. können dort erstellt werden. WelcheObjekte angezeigt werden, hängt vom ausgewählten Vorgang ab.

Hinweis: Unter Benutzer & Computer werden die Objekte in der Baumstruktur desNavigationsfensters in Abhängigkeit von den Zugriffsrechten des Sicherheitsbeauftragten fürVerzeichnisobjekte angezeigt. Die Baumstruktur zeigt nur die Objekte, auf die der angemeldeteSicherheitsbeauftragte Zugriff hat. Objekte, für die der Zugriff verweigert wird, werden nichtangezeigt, es sei denn, es sind weiter unten in der Baumstruktur Knoten vorhanden, für dieder Sicherheitsbeauftragte Zugriffsrechte hat. In diesem Fall werden die Objekte, für die derZugriff verweigert wird, ausgegraut.Wenn der Sicherheitsbeauftragte das Zugriffsrecht VollerZugriff hat, wird das jeweilige Objekt schwarz dargestellt. Objekte mit ZugriffsrechtSchreibgeschützt, werden blau dargestellt.

Aktionsbereich

Im Aktionsbereich nehmen Sie die Einstellungen für das im Navigationsfenster ausgewählteObjekt vor. Im Aktionsbereich stehen verschiedene Registerkarten zur Verfügung mit derenHilfe die Objekte bearbeitet und die Einstellungen vorgenommen werden können.

Informationen zu den ausgewählten Objekten werden ebenfalls im Aktionsbereich angezeigt.

Dazugehörige Ansichten (Associated Views)

In diesen Ansichten werden zusätzliche Objekte und Informationen angezeigt. Diese gebeneinerseits nützliche Informationen bei der Verwaltung des Systems und unterstützen dieeinfache Bedienung. Sie können zum Beispiel Objekten Schlüssel per Drag and Drop zuweisen.

Symbolleiste

Hier befinden sich Symbole für die verschiedenen Aktionen im SafeGuard ManagementCenter. Die Symbole werden eingeblendet, wenn sie für das ausgewählte Objekt zur Verfügungstehen.

Nach der Anmeldung wird das SafeGuard Management Center immer mit der Ansicht gestartet,in der es geschlossen wurde.

89

Administratorhilfe

3.3 Sprache der BenutzeroberflächeSie können die Sprache der Benutzeroberfläche während der Installation des SafeGuardManagement Center sowie der SafeGuard Enterprise Verschlüsselungssoftware am Endpointsteuern.

Sprache des SafeGuard Management Center

So stellen Sie die Sprache das SafeGuard Management Center ein:

■ Klicken Sie in der SafeGuard Management Center Menüleiste auf Extras > Optionen >Allgemein. Klicken Sie auf Benutzerdefinierte Sprache verwenden und wählen Sie eineverfügbare Sprache aus. Die Sprachen Englisch, Deutsch, Französisch und Japanischwerden unterstützt.

■ Starten Sie das SafeGuard Management Center neu. Er wird in der ausgewählten Spracheangezeigt.

SafeGuard Enterprise Oberflächensprache auf Endpoints

Die Sprache von SafeGuard Enterprise auf dem Endpoint steuern Sie über den RichtlinientypAllgemeine Einstellungen im SafeGuard Management Center (Einstellung, Anpassung >Sprache am Client):

■ Wenn die Sprache des Betriebssystems gewählt wird, richtet sich die Produktsprachenach der Spracheinstellung des Betriebssystems. Steht die entsprechendeBetriebssystemsprache in SafeGuard Enterprise nicht zur Verfügung, wird standardmäßigdie englische Version von SafeGuard Enterprise angezeigt.

■ Wenn eine der zur Verfügung stehenden Sprachen gewählt wird, werden die SafeGuardEnterprise Funktionen auf dem Endpoint in der ausgewählten Sprache angezeigt.

3.4 Prüfen der DatenbankintegritätBei der Anmeldung an die Datenbank wird die Datenbankintegrität automatisch geprüft. Solltediese Überprüfung Fehler ergeben, wird der Dialog Datenbankintegrität prüfen angezeigt.

Sie können die Datenbankintegrität auch jederzeit nach der Anmeldung prüfen und hierzuden Dialog Datenbankintegrität prüfen aufrufen:

1. Wählen Sie in der Menüleiste des SafeGuard Management Center Extras >Datenbankintegrität.

2. Um die Tabellen zu prüfen, klicken Sie auf Alle prüfen oder Ausgewählte prüfen.

Danach werden fehlerhafte Tabellen im Dialog markiert. Um die Fehler zu beheben, klickenSie auf Reparieren.

Hinweis: Nach einer Aktualisierung des SafeGuard Enterprise Backend (SQL) wird diePrüfung der Datenbankintegrität immer gestartet. Die Prüfung muss einmal pro SafeGuardEnterprise Datenbank durchgeführt werden, um die Aktualisierung abzuschließen.

90


3.5 Mit Richtlinien arbeitenDie folgenden Abschnitte beschreiben richtlinienrelevanten Vorgänge, z. B. das Erstellen,Gruppieren und Sichern von Richtlinien.

Hinweis: Für das Zuweisen, Entfernen oder Bearbeiten von Richtlinien benötigen Sie dasZugriffsrecht Voller Zugriff für die relevanten Objekte sowie für jede Gruppe, die für diejeweiligen Richtlinien aktiviert ist.

Für eine Beschreibung aller mit SafeGuard Enterprise verfügbaren Richtlinieneinstellungen,siehe Richtlinientypen und ihre Anwendungsfelder (Seite 365).

3.5.1 Anlegen von Richtlinien

1. Melden Sie sich mit dem Kennwort, das Sie während der Erstkonfiguration festgelegthaben, am SafeGuard Management Center an.

2. Klicken Sie im Navigationsbereich auf Richtlinien.

3. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien und wählenSie im Kontextmenü den Befehl Neu.

4. Wählen Sie den Richtlinientyp aus.

Es wird ein Dialog für die Benennung der neuen Richtlinie angezeigt.

5. Geben Sie einen Namen und optional eine Beschreibung für die neue Richtlinie ein.

Richtlinien für den Geräteschutz:

Wenn Sie eine Richtlinie dieses Typs erstellen, müssen Sie auch ein Ziel für denGeräteschutz angeben. Mögliche Ziele sind:

■ Massenspeicher (Boot-Laufwerke/Andere Volumes)

■ Wechselmedien

■ Optische Laufwerke

■ Datenträgermodelle

■ Einzelne Datenträger

■ Cloud Storage

Für jedes Ziel muss eine eigene Richtlinie angelegt werden. Sie können die einzelnenRichtlinien später z. B. zu einer Richtliniengruppe mit der Bezeichnung Verschlüsselungzusammenfassen.


Die neu angelegte Richtlinie wird im Navigationsfenster unter Richtlinien angezeigt. ImAktionsbereich werden alle Einstellungen für den gewählten Richtlinientyp angezeigt. DieEinstellungen können dort geändert werden.

3.5.2 Bearbeiten von Richtlinieneinstellungen

Wenn Sie im Navigationsfenster eine Richtlinie auswählen, können Sie deren Einstellungenim Aktionsbereich bearbeiten.

Hinweis:

91

Administratorhilfe

Das rote Symbol vor dem Text nicht konfiguriert gibt an, dass für diese Einstellungein Wert festgelegt werden muss. Sie können die Richtlinie erst speichern, wennSie eine andere Einstellung als nicht konfiguriert ausgewählt haben.

Setzen von Einstellungen auf Standardwerte

In der Symbolleiste stehen folgende Symbole für Richtlinieneinstellungen zur Verfügung:

RichtlinieneinstellungSymbol

Zeigt Standardwerte für Richtlinieneinstellungen an, die nicht konfiguriert wurden(Einstellung nicht konfiguriert). Die Standardwerte für Richtlinieneinstellungenwerden standardmäßig angezeigt. Klicken Sie auf das Symbol, um dieStandardwerte auszublenden.

Setzt die markierte Richtlinieneinstellung auf nicht konfiguriert.

Setzt alle Richtlinieneinstellungen eines Bereichs auf nicht konfiguriert.

Setzt den Standardwert für die markierte Richtlinieneinstellung.

Setzt alle Richtlinieneinstellungen eines Bereichs auf den Standardwert.

Unterscheidung zwischen maschinen- und benutzerspezifischenRichtlinien

Richtlinie wird nur für Maschinen angewandt, nichtfür Benutzer.

Richtlinie wird blau dargestellt

Richtlinie wird für Maschinen und Benutzerangewandt.

Richtlinie wird schwarz dargestellt

92


3.5.3 Richtliniengruppen

SafeGuard Enterprise Richtlinien können in Richtliniengruppen zusammengefasst werden.Eine Richtliniengruppe kann verschiedene Richtlinientypen enthalten. Im SafeGuardManagement Center steht eine Default Richtliniengruppe zur Verfügung, die standardmäßigunter Benutzer und Computer zu Stamm zugewiesen wird.

Wenn Sie Richtlinien vom selben Typ in einer Gruppe zusammenfassen, werden dieEinstellungen automatisch vereinigt. Sie können dafür eine Auswertungsreihenfolge festlegen.Die Einstellungen einer höher gereihten Richtlinie überschreiben jene einer niedrigerpriorisierten.

Eine definierte Richtlinieneinstellung überschreibt Einstellungen aus anderen Richtlinien,wenn

■ die Richtlinie mit dieser Einstellung eine höhere Priorität hat.

■ die Richtlinieneinstellung noch nicht definiert ist (nicht konfiguriert).

Hinweis: Überlappende Richtlinien, die einer Gruppe zugeordnet sind, können zu einerfalschen Ermittlung der Prioritäten führen. Verwenden Sie separate Richtlinieneinstellungen.

Ausnahme Geräteschutz:

Richtlinien für den Geräteschutz werden nur vereinigt, wenn sie für dasselbe Ziel (z. B.Boot-Volume) angelegt werden. Weisen sie auf verschiedene Ziele, werden sie addiert.

3.5.3.1 Zusammenfassen von Richtlinien zu GruppenVoraussetzung: Die einzelnen Richtlinien der verschiedenen Typen müssen angelegt sein.

1. Klicken Sie im Navigationsbereich auf Richtlinien.

2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien-Gruppenund wählen Sie Neu.

3. Klicken Sie auf Neue Richtlinien-Gruppe. Es wird ein Dialog für die Benennung derRichtlinien-Gruppe angezeigt.

4. Geben Sie einen eindeutigen Namen und optional eine Beschreibung für dieRichtlinien-Gruppe ein. Klicken Sie auf OK.

5. Die neu angelegte Richtlinie-Gruppe wird im Navigationsfenster unter Richtlinien-Gruppenangezeigt.

6. Wählen Sie die Richtlinien-Gruppe aus. Im Aktionsbereich werden alle für das Gruppierender Richtlinien notwendigen Elemente angezeigt.

7. Zum Gruppieren der Richtlinien ziehen Sie sie aus der Liste der verfügbaren Richtlinienin den Richtlinienbereich.

8. Sie können für jede Richtlinie eine Priorität festlegen, indem Sie die Richtlinie über dasKontextmenü nach oben oder unten reihen.

Wenn Sie Richtlinien vom selben Typ in einer Gruppe zusammenfassen, werden dieEinstellungen automatisch vereinigt. Sie können dafür eine Auswertungsreihenfolgefestlegen. Die Einstellungen einer höher gereihten Richtlinie überschreiben jene einerniedriger priorisierten. Ist eine Einstellung auf nicht konfiguriert gesetzt, wird dieEinstellung in einer niedriger priorisierten Richtlinie nicht überschrieben.

Ausnahme Geräteschutz:

Richtlinien für den Geräteschutz werden nur vereinigt, wenn sie für dasselbe Ziel (z. B.Boot-Volume) angelegt werden. Weisen sie auf verschiedene Ziele, werden sie addiert.

93

Administratorhilfe

9. Speichern Sie die Richtliniengruppe über Datei > Speichern.

Die Richtliniengruppe enthält nun die Einstellungen aller einzelnen Richtlinien.

3.5.3.2 Ergebnis der GruppierungDas Ergebnis der Zusammenfassung wird in einer eigenen Ansicht dargestellt.

Klicken Sie zum Anzeigen der Zusammenfassung auf die Registerkarte Ergebnis.

■ Für jeden Richtlinien-Typ steht eine eigene Registerkarte zur Verfügung.

Die aus der Zusammenfassung der einzelnen Richtlinien resultierenden Einstellungenwerden angezeigt.

■ Für Richtlinien zum Geräteschutz werden Registerkarten für jedes Ziel der Richtlinieangezeigt (z. B. Boot-Volumes, Laufwerk X: usw.).

3.5.4 Erstellen von Sicherungskopien von Richtlinien und Richtliniengruppen

Sie können Sicherungskopien von Richtlinien und Richtliniengruppen in Form von XML-Dateienerstellen. Falls notwendig, lassen sich die betreffenden Richtlinien/Richtliniengruppen daraufhinaus diesen XML-Dateien wiederherstellen.

1. Wählen Sie die Richtlinie/Richtliniengruppe im Navigationsfenster unter Richtlinien bzw.Richtlinien-Gruppen aus.

2. Klicken Sie mit der rechten Maustaste und wählen Sie im angezeigten KontextmenüRichtlinie sichern.

Hinweis: Der Befehl Richtlinie sichern steht auch im Menü Aktionen zur Verfügung.

3. Geben Sie im Dialog Speichern unter einen Dateinamen für die XML-Datei an und wählenSie das Verzeichnis, in dem die Datei gespeichert werden soll. Klicken Sie auf Speichern.

Die Sicherungskopie der Richtlinie/Richtliniengruppe ist im angegebenen Verzeichnis alsXML-Datei abgelegt.

3.5.5 Wiederherstellen von Richtlinien und Richtliniengruppen

So stellen Sie eine Richtlinie/Richtliniengruppe aus einer XML-Datei wieder her:

1. Klicken Sie im Navigationsfenster auf Richtlinien/Richtliniengruppen.

2. Klicken Sie mit der rechten Maustaste und wählen Sie im angezeigten KontextmenüRichtlinie wiederherstellen.

Hinweis: Der Befehl Richtlinie wiederherstellen steht auch im Menü Aktionen zurVerfügung.

3. Wählen Sie die XML-Datei für die Wiederherstellung der Richtlinie/Richtliniengruppe ausund klicken Sie auf Öffnen.

Die Richtlinie/Richtliniengruppe ist wiederhergestellt.

94


3.5.6 Zuweisen von Richtlinien

Um Richtlinien zuzuweisen, benötigen Sie das Zugriffsrecht Voller Zugriff für alle beteiligtenObjekte.

1. Klicken Sie auf Benutzer & Computer.

2. Wählen Sie im Navigationsbereich das gewünschte Objekt aus (z. B. Benutzer, Gruppeoder Container).

3. Wechseln Sie in die Registerkarte Richtlinien.

Im Aktionsbereich werden alle für die Zuweisung der Richtlinie notwendigen Elementeangezeigt.

4. Zum Zuweisen einer Richtlinie ziehen Sie sie aus der Liste der verfügbaren Richtlinien indie Registerkarte Richtlinien.

5. Sie können für jede Richtlinie eine Priorität festlegen, indem Sie die Richtlinie über dasKontextmenü nach oben oder unten reihen. Die Einstellungen einer höher gereihtenRichtlinie überschreiben jene einer niedriger priorisierten. Wenn Sie für eine RichtlinieKein Überschreiben aktivieren, können die Einstellungen dieser Richtlinie nicht vonanderen überschrieben werden.

Hinweis: Wenn Sie bei einer Richtlinie mit niedrigerer Priorität die Option KeinÜberschreiben aktivieren, so zieht diese Richtlinie, trotz niedrigerer Priorität gegenübereiner Richtlinie mit einer höheren Priorität.

Um die Einstellungen Priorität oder Kein Überschreiben für Richtlinien im BereichBenutzer & Computer zu ändern, benötigen Sie das Zugriffsrecht Voller Zugriff für alleObjekte, denen die Richtlinien zugewiesen sind.Wenn Sie das Zugriffsrecht Voller Zugriffnicht für alle Objekte haben, können die Einstellungen nicht bearbeitet werden. Wenn Sieversuchen, die Felder zu bearbeiten, wird eine Info-Meldung angezeigt.

6. Im Aktivierungsbereich werden die Gruppen .Authentisierte Benutzer - bzw. Computerangezeigt.

Die Richtlinie gilt für alle Gruppen innerhalb der OU bzw. Domäne.

3.5.6.1 Aktivieren von Richtlinien für einzelne GruppenRichtlinien werden immer einer OU bzw. einer Domäne oder Arbeitsgruppe zugewiesen. Siegelten standardmäßig für alle Gruppen in diesen Container-Objekten (die Gruppen.Authentisierte Benutzer und .Authentisierte Computer werden im Aktivierungsbereichangezeigt).

Sie können aber auch Richtlinien festlegen und sie für eine einzelne oder mehrere Gruppenaktivieren. Diese Richtlinien gelten dann ausschließlich für diese Gruppen.

Hinweis: Um Richtlinien für einzelne Gruppen zu aktivieren, benötigen Sie das ZugriffsrechtVoller Zugriff für die relevante Gruppe.

1. Weisen Sie die Richtlinie der OU, in der sich die Gruppe befindet, zu.

2. Im Aktivierungsbereich werden die Gruppen .Authentisierte Benutzer und .AuthentisierteComputer angezeigt.

3. Ziehen Sie diese beiden Gruppen aus dem Aktivierungsbereich in die Liste der VerfügbarenGruppen. Die Richtlinie ist in dieser Konstellation für keinen Benutzer und keinen Computerwirksam.

4. Ziehen Sie jetzt die gewünschte Gruppe (oder auch mehrere Gruppen) aus der Liste derVerfügbaren Gruppen in den Aktivierungsbereich.

95

Administratorhilfe

Diese Richtlinie gilt jetzt ausschließlich für diese Gruppe.

Wurden der übergeordneten OU ebenfalls Richtlinien zugeordnet, gilt diese Richtlinie fürdiese Gruppe zusätzlich zu jenen, die für die gesamte OU festgelegt wurden.

3.5.7 Verwalten von Richtlinien unter Benutzer & Computer

Neben dem Bereich Richtlinien im SafeGuard Management Center können Sie den Inhalteiner Richtlinie auch dort einsehen und ändern, wo die Richtlinienzuweisung erfolgt: unterBenutzer & Computer.


2. Wählen Sie im Navigationsbereich das gewünschte Containerobjekt.

3. Sie können Richtlinien von zwei Orten aus öffnen, um sie einzusehen oder zu ändern.

■ Wechseln Sie in die Registerkarte Richtlinien, oder■ wechseln Sie in die Registerkarte RSOP.

4. Klicken Sie mit der rechten Maustaste auf die gewünschte zugewiesene oder verfügbareRichtlinie und wählen Sie Öffnen aus dem Kontextmenü.

Der Richtliniendialog wird angezeigt und Sie können die Richtlinieneinstellungen einsehenund bearbeiten.

5. Klicken Sie auf OK, um Ihre Änderungen zu speichern.

6. Um die Richtlinieneigenschaften aufzurufen, klicken Sie mit der rechten Maustaste auf diegewünschte Richtlinie und wählen Sie Eigenschaften aus dem Kontextmenü.

Der Eigenschaften Dialog für die Richtlinie wird angezeigt. Hier können Sie unterAllgemein und Zuweisung die entsprechenden Informationen einsehen.

3.6 Mit Konfigurationspaketen arbeitenIm SafeGuard Management Center lassen sich Konfigurationspakete der folgenden Typenerstellen:

■ Konfigurationspaket für zentral verwaltete Endpoints

Endpoints, die eine Verbindung zum SafeGuard Enterprise Server haben, erhalten IhreRichtlinien über den Server. Für den erfolgreichen Einsatz der SafeGuard Enterprise ClientSoftware nach der Installation müssen Sie zunächst ein Konfigurationspaket für zentralverwaltete Computer erzeugen und es auf den Computern installieren.

Nach der ersten Konfiguration der Endpoints über das Konfigurationspaket erhalten dieEndpoints Richtlinien über den SafeGuard Enterprise Server, wenn Sie diese im BereichBenutzer & Computer des SafeGuard Management Center zugewiesen haben.

■ Konfigurationspaket für Standalone-Endpoints

Standalone-Endpoints haben niemals eine Verbindung zum SafeGuard Enterprise Server,sie laufen im Standalone-Modus. Die Computer erhalten ihre Richtlinien überKonfigurationspakete. Für den erfolgreichen Einsatz der Software müssen Sie einKonfigurationspaket mit den relevanten Richtliniengruppen erstellen und es überunternehmenseigene Verteilungsmechanismen an die Endpoints verteilen. Wenn SieRichtlinieneinstellungen ändern, müssen Sie jeweils neue Konfigurationspakete erstellenund an die Endpoints verteilen.

96


Hinweis: Konfigurationspakete für Standalone-Endpoints können nur auf WindowsEndpoints verwendet werden.

■ Konfigurationspaket für den SafeGuard Enterprise Server

Für den erfolgreichen Einsatz der Software müssen Sie ein Konfigurationspaket für denSafeGuard Enterprise Server erstellen, das die Datenbank sowie die SSL-Verbindungdefiniert, Scripting API aktiviert, usw.

■ Konfigurationspaket für Macs

Über dieses Konfigurationspaket erhalten Macs die Server-Adresse und dasUnternehmenszertifikat. Die Macs übermitteln ihre Statusinformationen, die dann imSafeGuard Management Center angezeigt werden. Für Informationen zum Erstellen vonKonfgurationspaketen für Macs, siehe Erzeugen eines Konfigurationspakets für Macs(Seite 99).

Hinweis: Überprüfen Sie Ihr Netzwerk und Ihre Computer in regelmäßigen Abständen aufveraltete oder nicht benutzte Konfigurationspakete und löschen Sie diese ausSicherheitsgründen. Deinstallieren Sie vor der Installation eines neuen Konfigurationspaketsauf dem Computer/Server jeweils die veralteten Konfigurationspakete.

3.6.1 Erzeugen eines Konfigurationspakets für zentral verwaltete Endpoints

Voraussetzungen

■ Prüfen Sie im Benutzer & Computer Navigationsbereich in der Registerkarte Bestand,ob für die Endpoints, die das neue Konfigurationspaket erhalten sollen, ein Wechsel desUnternehmenszertifikats erforderlich ist.Wenn das Feld Aktuelles Unternehmenszertifikatnicht aktiviert ist, unterscheiden sich das derzeit aktive Unternehmenszertifikat in derSafeGuard Enterprise Datenbank und auf dem Computer voneinander. Daher ist einWechsel des Unternehmenszertifikats erforderlich.





5. Ordnen Sie einen primären SafeGuard Enterprise Server zu (der sekundäre Server istnicht notwendig).

6. Falls erforderlich, geben Sie eine Richtliniengruppe an, die auf die Endpoints angewendetwerden soll. Diese müssen Sie zuvor im SafeGuard Management Center erstellt haben.Wenn Sie für Aufgaben nach der Installation auf dem Endpoint Service Accounts verwendenmöchten, stellen Sie sicher, dass die entsprechende Richtlinieneinstellung in dieser erstenRichtliniengruppe definiert ist, siehe Service Account Listen für die Windows-Anmeldung(Seite 197).

97

Administratorhilfe

7. Wenn sich das derzeit aktive Unternehmenszertifikat in der SafeGuard EnterpriseDatenbank von dem auf den Endpoints, die das neue Konfigurationspaket erhalten sollen,unterscheidet, wählen Sie die relevante CCO (Company Certificate Change Order). Istdas Feld Aktuelles Unternehmenszertifikat in der Registerkarte Bestand der relevantenDomäne, der OU oder des Computers unter Benutzer & Computer nicht aktiviert, so istein Wechsel des Unternehmenszertifikats erforderlich. Informationen zur erforderlichenCCO (Company Certificate Change Order) finden Sie in der Registerkarte CCOs derFunktion Konfigurationspakete im Menü Extras.

Hinweis: Die Installation des neuen Konfigurationspakets schlägt fehl, wenn die derzeitaktiven Unternehmenszertifikate in der SafeGuard Enterprise Datenbank und auf demEndpoint nicht übereinstimmen und keine passende CCO im Paket enthalten ist.

8. Wählen Sie den Modus für die Transportverschlüsselung, der bestimmt, wie dieVerbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Serververschlüsselt wird: Sophos-Verschlüsselung oder SSL-Verschlüsselung.

Der Vorteil bei SSL ist, dass es ein Standardprotokoll ist und eine schnellere Verbindungaufgebaut werden kann als mit der SafeGuard Transportverschlüsselung.SSL-Verschlüsselung wird standardmäßig ausgewählt. Weitere Informationen zurAbsicherung von Transportverbindungen mit SSL finden Sie in der SafeGuard EnterpriseInstallationsanleitung.



WennSie als Modus für die Transportverschlüsselung die SSL-Verschlüsselungausgewählt haben, wird die Serververbindung validiert. Wenn die Verbindung fehlschlägt,wird eine Warnungsmeldung angezeigt.

Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Im nächstenSchritt verteilen Sie das Paket zur Installation an die Endpoints.

3.6.2 Erzeugen eines Konfigurationspakets für Standalone-Endpoints


2. Wählen Sie Pakete für Standalone Clients.



5. Geben Sie eine zuvor im SafeGuard Management Center erstellte Richtliniengruppe an,die für die Endpoints gelten soll.

6. Unter POA Gruppe können Sie eine POA-Gruppe auswählen, die dem Endpoint zugeordnetwird. POA-Benutzer können für administrative Aufgaben auf den Endpoint zugreifen,nachdem die SafeGuard Power-on Authentication aktiviert wurde. Um POA-Benutzerzuzuweisen, müssen Sie die POA-Gruppe zunächst im Bereich Benutzer & Computerdes SafeGuard Management Center anlegen.

7. Wenn sich das derzeit aktive Unternehmenszertifikat in der SafeGuard EnterpriseDatenbank von dem auf den Endpoints, die das neue Konfigurationspaket erhalten sollen,unterscheidet, wählen Sie die relevante CCO (Company Certificate Change Order).

Hinweis: Die Installation des neuen Konfigurationspakets schlägt fehl, wenn die derzeitaktiven Unternehmenszertifikate in der SafeGuard Enterprise Datenbank und auf demEndpoint nicht übereinstimmen und keine passende CCO im Paket enthalten ist.

98


8. Geben Sie unter Speicherort für Schlüssel-Sicherungskopie einen freigegebenenNetzwerkpfad für das Speichern der Schlüssel-Recovery-Datei an oder wählen Sie einenNetzwerkpfad aus. Geben Sie den freigegebenen Pfad in folgender Form ein:\\networkcomputer\, zum Beispiel \\mycompany.edu\. Wenn Sie hier keinen Pfad angeben,wird der Benutzer beim ersten Anmelden am Endpoint nach der Installation gefragt, wodie Schlüsseldatei gespeichert werden soll.

Die Schlüssel-Recovery-Datei (XML) wird für die Durchführung von Recovery-Vorgängenbei durch Sophos SafeGuard geschützten Endpoints benötigt. Sie wird auf allen durchSophos SafeGuard geschützten Endpoints erzeugt.

Hinweis: Stellen Sie sicher, dass diese Schlüssel-Recovery-Datei an einem Speicherortabgelegt wird, auf den die Mitarbeiter des Helpdesk Zugriff haben. Die Dateien könnendem Helpdesk auch durch andere Mechanismen zugänglich gemacht werden. Die Dateiist mit dem Unternehmenszertifikat verschlüsselt. Sie kann also auch auf externen Medienoder auf dem Netzwerk gespeichert werden, um sie dem Helpdesk für Recovery-Vorgängezur Verfügung zu stellen. Sie kann auch per E-Mail verschickt werden.



Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Im nächstenSchritt verteilen Sie das Paket zur Installation an die Endpoints.

3.6.3 Erzeugen eines Konfigurationspakets für Macs

Ein Konfigurationspaket für einen Mac enthält die relevanten Serverinformationen sowie dasUnternehmenszertifikat. Der Mac benutzt diese Informationen zum Zurückmelden vonStatusinformationen (SafeGuard POA an/aus, Verschlüsselungsstatus usw.). DieStatusinformationen werden im SafeGuard Management Center angezeigt.






6. Wählen Sie SSL als Transportverschlüsselung für die Verbindung zwischen dem Endpointund dem SafeGuard Enterprise Server. Für Macs wird Sophos alsTransportverschlüsselung nicht unterstützt.

7. Geben Sie einen Ausgabepfad für das Konfigurationspaket (ZIP) an.


Die Server-Verbindung für den SSL Transportverschlüsselung Modus wird validiert.Wenn die Verbindung fehlschlägt, wird eine Warnungsmeldung angezeigt.

Das Konfigurationspaket (ZIP) wird nun im angegebenen Verzeichnis angelegt. Im nächstenSchritt verteilen Sie das Paket zur Installation an Ihre Macs.

99

Administratorhilfe

4 Mac Endpoints verwaltenMacs, auf denen die folgenden Sophos Produkte installiert sind, können von SafeGuardEnterprise verwaltet werden und/oder Statusinformationen melden. Die Statusinformationenwerden im SafeGuard Management Center angezeigt:

■ Sophos SafeGuard File Encryption für Mac 6.1 und höher

■ Sophos SafeGuard Disk Encryption für Mac 6.1/Sophos SafeGuard Native DeviceEncryption 7.0

■ Sophos SafeGuard Disk Encryption for Mac 6 - nur Berichte

4.1 Erzeugen eines Konfigurationspakets für MacsEin Konfigurationspaket für einen Mac enthält die relevanten Serverinformationen sowie dasUnternehmenszertifikat. Der Mac benutzt diese Informationen zum Zurückmelden vonStatusinformationen (SafeGuard POA an/aus, Verschlüsselungsstatus usw.). DieStatusinformationen werden im SafeGuard Management Center angezeigt.






6. Wählen Sie SSL als Transportverschlüsselung für die Verbindung zwischen dem Endpointund dem SafeGuard Enterprise Server. Für Macs wird Sophos alsTransportverschlüsselung nicht unterstützt.

7. Geben Sie einen Ausgabepfad für das Konfigurationspaket (ZIP) an.


Die Server-Verbindung für den SSL Transportverschlüsselung Modus wird validiert.Wenn die Verbindung fehlschlägt, wird eine Warnungsmeldung angezeigt.

Das Konfigurationspaket (ZIP) wird nun im angegebenen Verzeichnis angelegt. Im nächstenSchritt verteilen Sie das Paket zur Installation an Ihre Macs.

4.2 Über SafeGuard Native Device Encryption für MacSophos SafeGuard Native Device Encryption für Mac bietet Mac Benutzern denselben Schutzihrer Daten wie das die Funktionalität zur Festplattenverschlüsselung in SafeGuard Enterprisefür Windows Benutzer tut.

SafeGuard Native Device Encryption für Mac baut auf der in Mac OS X eingebautenVerschlüsselungstechnologie FileVault 2 auf. Es verwendet FileVault 2 zur Verschlüsselungder gesamten Festplatte, so dass Ihre Daten sogar dann sicher sind, wenn der Computerverloren oder gestohlen wird. Darüber hinaus ermöglicht es Ihnen, Festplattenverschlüsselungin Ihrem gesamten Netzwerk zur Verfügung zu stellen und zu verwalten.

100


Die Verschlüsselung arbeitet transparent. Der Benutzer wird beim Öffnen, Bearbeiten undSpeichern von Dateien nicht zur Verschlüsselung oder Entschlüsselung aufgefordert.

Im Management Center von SafeGuard Enterprise können Sie angeben, welche Computer(Windows oder Mac) zu verschlüsseln sind, können deren Verschlüsselungsstatus überprüfenund Benutzern behilflich sein, die ihr Passwort vergessen haben.

4.2.1 Konfiguration

Sophos SafeGuard Native Device Encryption für Mac OS X wird über das SafeGuardManagement Center verwaltet. Das folgende Kapitel beschreibt ausschließlich dieMac-spezifischen Konfigurationseinstellungen.

SafeGuard Native Device Encryption für Mac wendet nur Richtlinien vom Typ Geräteschutzund Allgemeine Einstellungen an und ignoriert alle Richtlinieneinstellungen außer Ziel,Verschlüsselungsmodus für Medien und Server-Verbindungsintervall (Min).

4.2.1.1 Zentral verwaltete KonfigurationsoptionenRichtlinien werden im SafeGuard Management Center zentral verwaltet. Um dieFestplattenverschlüsselung zu starten, müssen folgende Einstellungen vorgenommen werden:

1. Erzeugen Sie eine neue Richtlinie vom Typ Geräteschutz. Als Ziel des Geräteschutzeswählen Sie Lokale Datenträger, Interner Speicher oder Boot-Laufwerke. Geben Sieeinen Namen für die Richtlinie ein und klicken Sie auf OK.

2. Wählen Sie für die Option Verschlüsselungsmodus für Medien die EinstellungVolume-basierend.

Eine neue Richtlinie für Geräteschutz wurde erstellt und für Festplattenverschlüsselung fürMacs konfiguriert.

Hinweis: Stellen Sie sicher, dass die Richtlinie den Endpoints zugewiesen ist, die Sieverschlüsseln möchten. Sie können die Richtlinie der obersten Ebene Ihrer Domäne oderArbeitsgruppe zuweisen.Wenn sich IT-Mitarbeiter um die Installation der Endpoints kümmern,weisen Sie die Richtlinie erst zu, nachdem die Endpoints den Endbenutzern übergebenwurden. Sonst besteht die Gefahr, dass die Endpoints zu bald verschlüsselt und IT-Mitarbeiteranstatt der eigentlichen Benutzer für FileVault 2 aktiviert werden.

4.2.2 Wie funktioniert Verschlüsselung?

FileVault 2 schützt alle Daten mit XTS-AES-128 Datenverschlüsselung auf Laufwerksebene.Der Algorithmus wurde für 512-Byte Blöcke optimiert. Die Konvertierung von Klartext zuChiffretext und umgekehrt hat kaum Auswirkungen auf das Benutzererlebnis, weil ihr vomSystem eine entsprechend niedrige Priorität zugewiesen wird.

Arbeitete man früher mit einer Festplattenverschlüsselung, war es notwendig, sich nach demStart des Computers zweimal zu identifizieren: Einmal, um das verschlüsselte Startvolumezu entsperren (POA), und ein zweites Mal, um sich am Schreibtisch anzumelden.

Das ist jedoch nicht mehr notwendig. Benutzer geben ihr Kennwort bei der Pre-Boot Anmeldungein und es wird automatisch auch an das Betriebssystem weitergegeben, sobald dieseshochgefahren ist und Anmeldeinformationen benötigt. Durch die Kennwort-Weiterleitung istes nicht notwendig, dass sich Benutzer nach einem Neustart zweimal anmelden müssen.

Benutzer können ihr Kennwort jederzeit zurücksetzen, ohne dass deshalb eine neuerlicheVerschlüsselung notwendig wäre. Der Grund ist ein mehrstufigesVerschlüsselungsschlüssel-System. Die Schlüssel, die dem Benutzer angezeigt werden (z.B. Kennwörter für die Anmeldung oder Recovery-Schlüssel) sind abgeleitete

101

Administratorhilfe

Verschlüsselungsschlüssel und können daher ersetzt werden. Der wirklicheLaufwerksverschlüsselungsschlüssel wird niemals einem Benutzer offengelegt.

Weiter Informationen zu FileVault 2 finden Sie in: Apple Technical White Paper - Best Practicesfor Deploying FileVault 2 (Aug. 2012). Es kann von der Apple Website heruntergeladen werden.

4.2.3 Initialverschlüsselung

Wenn Sie per Richtlinie eine volume-basierende Verschlüsselung des Systemlaufwerksdefinieren, startet die Festplattenverschlüsselung automatisch sobald der Benutzer denEndpoint neu startet. Der Benutzer muss wie folgt vorgehen:

1. Geben Sie das Mac OS X Anmeldekennwort ein.

2. Warten Sie bis Ihr Mac neu startet.

Hinweis: Wenn die Aktivierung der Verschlüsselung fehlschlägt, wird eine Fehlermeldungangezeigt. Nähere Informationen finden Sie in den Logdateien. Der Standardspeicherortist /var/log/system.log.

3. Die Festplattenverschlüsselung startet und wird im Hintergrund ausgeführt. Der Benutzerkann seine Arbeit fortsetzen.

Der Benutzer wird als der erste FileVault 2 Benutzer des Endpoints hinzugefügt.

4.2.4 Entschlüsselung

Normalerweise ist keine Entschlüsselung notwendig. Wenn der Sicherheitsbeauftragte eineRichtlinie setzt, die Keine Verschlüsselung für Ihren bereits verschlüsselten Mac vorsieht,bleibt der Mac verschlüsselt. In diesem Fall können Benutzer allerdings auch entschlüsseln.Die entsprechende Schaltfläche befindet sich auf der Registerkarte Disk Encryption imEinstellungsbereich.

Benutzer mit lokalen Administrator-Rechnten können nicht daran gehindert werden, mithilfeder eingebauten FileVault 2 Funktionalität manuell zu versuchen, ihre Festplatte zuentschlüsseln. Jedoch werden sie zu einem Neustart aufgefordert, um die Entschlüsselungfertigzustellen. Sobald der Mac den Neustart abgeschlossen hat, wird SafeGuard nativeDevice Encryption für Mac erneut die Verschlüsselung erzwingen, sofern eine entsprechendeRichtlinie gesetzt ist.

4.2.5 FileVault 2 Benutzer hinzufügen

Nur Benutzer, die auf einem Endpoint für FileVault 2 registriert sind, können sich nach einemNeustart am System anmelden. Um einen Benutzer zu FileVault 2 hinzuzufügen, gehen Siefolgendermaßen vor:

1. Melden Sie sich mit dem Benutzer an, den Sie für FileVault 2 aktivieren wollen, währendder Mac eingeschaltet bleibt.

2. Geben Sie im Dialog Aktivieren Sie Ihren Benutzeraccount den Benutzernamen unddas OS X Anmeldekennwort dieses Benutzers ein.

Benutzer können sich so einfach anmelden als würde keine Festplattenverschlüsselungverwendet.

Hinweis: Sie können Benutzer nicht im Management Center Endpoints zuweisen, um ihnendie Verwendung von FileVault 2 zu erlauben.

102


4.2.6 FileVault 2 Benutzer löschen

Ein Benutzer kann im SafeGuard Management Center von der Liste der Benutzer, die einemMac zugeordnet sind, gelöscht werden. Nach dem nächsten Synchronisieren wird der Benutzerauch am Endpoint von der Liste der FileVault 2 Benutzer gelöscht. Das bedeutet allerdingsnicht, dass sich dieser Benutzer an diesem Mac nicht mehr anmelden kann. Um wieder fürFileVault 2 aktiviert zu werden ist es ist lediglich notwendig, sich einmal anzumelden währendder Mac läuft.

Wenn Sie verhindern wollen, dass ein bestimmter Benutzer einen Mac startet, dann markierenSie ihn im Management Center als gesperrt. Dann wird er von der Liste der FileVault 2 Benutzeram Client gelöscht und es ist keine neuerliche Autorisierung möglich.

Alle FileVault 2 Benutzer können gelöscht werden bis auf den letzten. Wird der Besitzergelöscht, wird der nächste Benutzer in der Liste als Besitzer markiert. In SafeGuard NativeDevice Encryption für Mac macht es keinen Unterschied, ob ein Benutzer Besitzer ist odernicht.

4.2.7 Synchronisierung mit dem Backend

Während der Synchronisierung wird der Status der Clients an das SafeGuard EnterpriseBackend gemeldet, Richtlinien werden aktualisiert und die Benutzer-Computer Zuordnungwird geprüft.

Die folgenden Informationen werden von den Clients gesendet und im SafeGuard ManagementCenter angezeigt:

■ Sobald ein Endpoint verschlüsselt ist, ist "POA" angehakt. Weitere Informationen, dieangezeigt werden, umfassen Laufwerksname, Label, Typ, Status, Algorithmus undBetriebssystem.

■ Neue FileVault 2 Benutzer werden auch im Management Center angezeigt.

Hinweis: Falls die SafeGuard Enterprise Client Software von einem Endpoint entfernt wird,sind der Endpoint und seine Benutzer im SafeGuard Management Center immer noch sichtbar.Aber der Zeitstempel des letzten Serverkontakts ändert sich nicht mehr.

Auf Client-Seite wird Folgendes aktualisiert:

■ Richtlinien, die im Management Center geändert wurden, werden am Client nachgezogen.

■ Benutzer, die im Management Center gelöscht oder gesperrt wurden, werden auch vonder Liste der FileVault 2 Benutzer des Clients gelöscht.

4.2.8 Kommandozeilen-Optionen

Terminal erlaubt Ihnen, Kommandos und Kommandozeilen-Optionen einzugeben. FolgendeKommandozeilen-Optionen stehen zur Verfügung:

Zusätzliche Parameter (optional)DefinitionKommando-Name

--helpListet die verfügbarenKommandos zusammen mit einerKurzhilfe auf.

sgdeadmin

103

Administratorhilfe


Zeigt Version und Copyright desinstallierten Produkts an.

sgdeadmin --version

Zeigt Systemstatusinformationenwie Versions-, Server- undZertifikatsinformation an.

sgdeadmin --status

--all zeigt Information für alleBenutzer an (sudo erforderlich).

Zeigt Informationen zummomentan angemeldetenBenutzer an.

sgdeadmin--list-user-details

--xml zeigt Ausgabe imxml-Format an.


Zeigt Richtlinien-spezifischeInformationen an.Schlüssel-GUIDS werden wenn

sgdeadmin--list-policies


möglich in Schlüsselnamenaufgelöst. Fett ausgezeichneteElemente zeigen einenpersönlichen Schlüssel an.

Erzwingt den sofortigen Kontaktmit dem Server (erfordert eine

sgdeadmin --synchronize

funktionierendeSerververbindung).

--force Der bestehendeWiederherstellungsschlüssel wird

Importiert den FileVault 2Wiederherstellungsschlüssel,überschreibt den bestehendenWiederherstellungsschlüssel.

sgdeadmin--import-recoverykey["recoverykey"]

ohne nochmalige Bestätigungüberschrieben.

"recoverykey" Wenn derWiederherstellungsschlüssel nichtsofort eingegeben wird, wird derBenutzer danach gefragt.

Importiert die angegebeneKonfigurations-Zipdatei Das

sgdeadmin--import-config"/Pfad/zur/Zieldatei" Kommando braucht

Administrator-Rechte (sudo).

Hinweis:

Ziehen Sie komplette Pfade mitder Maus z.B. aus dem Finder indie Terminal-Anwendung.

Schaltet dieSSL-Serververifizierung für die

sgdeadmin--enable-server-verify

Kommunikation mit dem

104



SafeGuard Enterprise-Server ein.Nach der Installation ist dieSSL-Serververifizierungstandardmäßig aktiviert. DasKommando brauchtAdministrator-Rechte (sudo).


sgdeadmin--disable-server-verify

Kommunikation mit demSafeGuard Enterprise-Server aus.Das Kommando brauchtAdministrator-Rechte (sudo).

Hinweis:

Wir empfehlen nicht, diese Optionzu verwenden, da dadurch eineSicherheits-Schwachstelleentstehen kann.

--domain "domain"

Die Domain, die der Client für dieRegistrierung auf dem SafeGuard

Aktualisiert die aktuellgespeichertenComputerinformationen, dieverwendet werden, um diesen

sgdeadmin--update-machine-info[--domain "domain"]

Enterprise Server verwendenClient auf dem SafeGuard sollte. Dieser Parameter ist nurEnterprise Server zu registrieren. erforderlich, wenn der Rechner zuDas Kommando brauchtAdministrator-Rechte (sudo).

mehreren Domains gehört. DerComputer muss dieser Domainhinzugefügt werden, ansonstenschlägt der Befehl fehl.

Hinweis:

Verwenden Sie diesen Befehl erstnach dem Ändern der Domainoder Arbeitsgruppe, zu welcherder Computer gehört. Gehört derComputer zu mehreren Domainsoder Arbeitsgruppen und führenSie diesen Befehl aus, kann dieszu einer Änderung derDomain-Registrierung undEntfernung von persönlichenSchlüsseln und/oder FileVault 2Benutzern führen.

Aktiviert das System-Menü amEndpoint.

sgdeadmin--enable-systemmenu

Deaktiviert das System-Menü amEndpoint.

sgdeadmin--disable-systemmenu

Startet die Synchronisierung vonDatenbankinformation aus dem

sgdeadmin --synchronize

Management Center, wie z.B. vonRichtlinien und Schlüsseln.

105

Administratorhilfe

4.3 Über SafeGuard File Encryption für MacSophos SafeGuard File Encryption für Mac erweitert den Schutz der Daten, der von SophosSafeGuard Enterprise geboten wird, von Windows auch in die Mac-Welt. Ermöglicht wird einedateibasierte Verschlüsselung auf lokalen Laufwerken, auf Netzlaufwerken, aufWechsellaufwerken und in der Cloud.

Mit SafeGuard File Encryption für Mac können Sie Dateien sicher ver- und entschlüsseln unddiese Dateien mit anderen Benutzern zwischen Mac-Rechnern und PCs austauschen.

Um Dateien zu lesen, die mit SafeGuard Enterprise auf mobilen Geräten verschlüsselt wurden,verwenden Sie Sophos Secure Workspace für iOS oder Android.

Im SafeGuard Management Center definieren Sie die Regeln für die dateibasierteVerschlüsselung in File Encryption-Richtlinien. In den File Encryption-Richtlinien geben Siedie Zielordner für File Encryption, den Verschlüsselungsmodus und den Schlüssel für dieVerschlüsselung an. Diese Zentralverwaltung stellt sicher, dass identische Ordner undVerschlüsselungsschlüssel auf unterschiedlichen Plattformen verarbeitet werden.

4.3.1 Empfehlungen

Verringern Sie den Administrationsaufwand

■ Minimieren Sie die Anzahl der Mount Points (bzw. sicheren Ordner).

■ Deaktivieren Sie die Option Bestätigung vor Erstellen mobiler Accounts einholen.

Wenn Sie mobile Accounts auf Mac-Rechnern erstellen oder verwenden, stellen Sie sicher,dass die Option Bestätigung vor Erstellen mobiler Accounts einholen deaktiviert ist.Ist die Option aktiviert, könnte der Benutzer Nicht erstellen auswählen. Dies würde dazuführen, dass ein unvollständiger OS X Benutzer angelegt wird, z. B. ein Benutzer, der keinlokales Basisverzeichnis hat.

Zum Deaktivieren der Option sind folgende Schritte erforderlich:

1. Öffnen Sie die Systemeinstellungen und klicken Sie auf Benutzer & Gruppen.2. Klicken Sie auf das Schloss-Symbol und geben Sie dann Ihr Kennwort ein.3. Wählen Sie den Benutzer.4. Klicken Sie auf Anmeldeoptionen.5. Wählen Sie Netzwerkaccount-Server und klicken Sie auf Bearbeiten...6. Wählen Sie die Active Directory-Domäne.7. Klicken Sie auf Verzeichnisdienste öffnen...8. Klicken Sie auf das Schloss-Symbol, geben Sie dann Ihr Kennwort ein und klicken Sie

Konfiguration ändern.9. Wählen Sie Active Directory und klicken Sie auf das Bearbeiten-Symbol.10. Klicken Sie auf den Pfeil neben Erweiterte Optionen einblenden.11. Wählen Sie Mobilen Account bei Anmeldung erstellen und deaktivieren Sie die

Option Bestätigung vor Erstellen mobiler Accounts einholen.12. Bestätigen Sie Ihre Auswahl mit Ok.

4.3.2 Einschränkungen■ Maximale Anzahl an sicheren Ordnern (Aktivierungspunkte bzw. Mount Points) auf

einem Client

106


Auf jedem Mac OS X Client kann es maximal 24 sichere Ordner (Aktivierungspunkte bzw.Mount Points) geben. Sind mehrere Benutzer auf einem Rechner angemeldet, müssenSie die Mount Points aller angemeldeten Benutzer addieren.

■ Ausgeschlossene Ordner

Die folgenden Ordner werden von der Verschlüsselung ausgenommen:

■ Ordner werden ausgenommen, aber nicht ihre Unterordner:

■ <Root>/

■ <Root>/Volumes/

■ <User Profile>/

■ Ordner sowie ihre Unterordner werden ausgenommen:

■ <Root>/bin/

■ <Root>/sbin/

■ <Root>/usr/

■ <Root>/private/

■ <Root>/dev/

■ <Root>/Applications/

■ <Root>/System/

■ <Root>/Library/

■ <User Profile>/Library/

■ /<Removables>/SGPortable/

■ /<Removables>/System Volume Information/

Das bedeutet, dass z. B. eine Verschlüsselungsregel für das Root einer zusätzlichenPartition (<Root>/Volumes/) keine Wirkung hat, auch wenn sie als erhaltene Richtlinieangezeigt wird.

Eine Verschlüsselungsregel für <Root>/abc wirkt sich aus, aber nicht eineVerschlüsselungsregel für <Root>/private/abc.

■ Nach Dateien suchen

■ Spotlight-Suche

Die Spotlight-Suche funktioniert nicht bei verschlüsselten Dateien.

■ Dateien mit Etikett

Die Suche nach Dateien mit Etikett funktioniert nicht in sicheren Ordnern.

■ Verschlüsselte Dateien aus sicheren Ordnern verschieben

Wenn Sie eine verschlüsselte Datei von einem sicheren Ordner in einen nicht-sicherenOrdner verschieben bleibt die Datei verschlüsselt, aber Sie können nicht auf den Inhaltzugreifen. Sie müssen sie zuerst manuell entschlüsseln.

Wenn Sie eine verschlüsselte Datei in einem sicheren Ordner öffnen und in einennicht-sicheren Ordner speichern wird die Datei automatisch entschlüsselt.

107

Administratorhilfe

■ Permanente Versionsspeicherung in sicheren Ordnern nicht verfügbar

Die Funktion Alle Versionen durchsuchen... ist für Dateien in sicheren Ordnern nichtverfügbar.

■ Sichere Ordner freigeben

Ein sicherer Ordner kann nicht über das Netzwerk freigegeben werden.

■ CDs brennen

Es ist nicht möglich, eine verschlüsselte CD zu brennen.

■ Dateien löschen

Beim Löschen von Dateien aus einem sicheren Ordner (Aktivierungspunkt bzw. MountPoint) wird eine Meldung angezeigt, mit der Sie aufgefordert werden, den Löschvorgangzu bestätigen. Gelöschte Dateien werden nicht in den Papierkorb verschoben und könnensomit nicht wiederhergestellt werden.

■ SafeGuard Portable

SafeGuard Portable ist nicht für Mac OS X verfügbar.

■ AirDrop verwenden

Verschlüsselte Dateien können mit AirDrop übertragen werden. Stellen Sie sicher, dassdas Zielgerät verschlüsselte Dateien verarbeiten kann, da sich die Anwendungen sonstmöglicherweise anders verhalten als erwartet.

■ Handoff

Handoff für verschlüsselte Dateien wird nicht unterstützt.

■ Netzlaufwerke mit autofs aktivieren

Netzlaufwerke, für die eine Richtlinie gilt und die beim Start automatisch aktiviert werden,werden von Sophos SafeGuard File Encryption nicht erkannt. Solche Aktivierungspunktebzw. Mount Points können nicht verarbeitet werden, weil der ursprüngliche Mount Pointnicht ersetzt werden kann.

4.3.3 Konfiguration

Sophos SafeGuard File Encryption für Mac OS X wird über das SafeGuard ManagementCenter verwaltet. Das folgende Kapitel beschreibt ausschließlich die Mac-spezifischenKonfigurationseinstellungen.

SafeGuard File Encryption für Mac verwendet nur Richtlinien vom Typ Dateiverschlüsselungund Allgemeine Einstellungen. Das bedeutet, dass Sie nur eineDateiverschlüsselungsrichtlinie für die Verwaltung der Datenverschlüsselung auf dem lokalenDateisystem, Wechselmedien, Netzlaufwerken und Cloud-Speicher benötigen.Geräteschutz-Richtlinien (einschließlich der Richtlinien Cloud-Speicher und Verschlüsselungvon Wechselmedien) werden für SafeGuard File Encryption für Mac OS X ignoriert. WeisenSie den Benutzerobjekten immer Dateiverschlüsselung zu. Richtlinien vom TypDateiverschlüsselung, die Endpoints zugewiesen werden, haben keine Wirkung auf OS XEndpoints.

Hinweis:

108


Im SafeGuard Management Center müssen Pfade mit Backslashs eingegeben werden. Siewerden Mac Client-seitig automatisch in Schrägstriche umgewandelt.

4.3.3.1 Zentral verwaltete KonfigurationsoptionenDie folgenden Optionen werden zentral im Management Center konfiguriert:

■ Richtlinien

■ Schlüssel

■ Zertifikate

Das SafeGuard Enterprise Backend stellt ein X.509-Benutzerzertifikat zur Verfügung.Wenn Sie sich das erste Mal anmelden, wird ein Zertifikat generiert. Das Zertifikat schütztden Schlüsselring des Benutzers.

■ Server-Verbindungsintervall

4.3.4 Wie funktioniert Verschlüsselung?

Jede verschlüsselte Datei ist mit einem zufallsgenerierten Schlüssel namens Data EncryptionKey (DEK) unter Verwendung des AES-256-Algorithmus verschlüsselt. Dieser zufälliggenerierte und eindeutige DEK wird verschlüsselt und als Datei-Header zusammen mit derverschlüsselten Datei gespeichert. Dadurch erhöht sich die ursprüngliche Dateigröße um 4KB.

Der DEK wird mit einem Key Encryption Key (KEK) verschlüsselt. Der KEK wird in der zentralenSafeGuard Enterprise-Datenbank gespeichert. Der Sicherheitsbeauftragte ordnet diesen KEKeinem einzelnen Benutzer, einer Benutzergruppe oder einer Organisationseinheit zu.

Um eine verschlüsselte Datei zu entschlüsseln, muss der Benutzer den KEK speziell für dieseDatei in seinem Schlüsselring haben.

4.3.5 Initialverschlüsselung

Die Initialverschlüsselung kann im Einstellungsbereich oder auch über die Kommandozeilegestartet werden. Sowohl Administratoren als auch Benutzer können die initialeVerschlüsselung von Dateien auf lokalen Festplatten und Wechselmedien anstoßen.Netzwerkfreigaben können nur von Administratoren verschlüsselt werden.

Eine Richtlinie definiert, ob die Initialverschlüsselung automatisch gestartet wird und ob lokaleOrdner, Wechselmedien oder Cloud-Verzeichnisse verschlüsselt werden.

So starten Sie die Verschlüsselung am Endpoint manuell:

1. Öffnen Sie die Systemeinstellungen.

2. Klicken Sie auf das Sophos Encryption-Symbol.

3. Wählen Sie das Register Richtlinien.

4. Wechseln Sie in die Ansicht Lokal übersetzter Pfad sofern diese nicht bereits geöffnetist. Sie können entweder

a) alle Richtlinien über die Schaltfläche Erzwinge alle Richtlinien im unteren Fensterteilumsetzen

109

Administratorhilfe

oder

b) eine einzelne Richtlinie auswählen und auf Erzwinge Richtlinie klicken.

Hinweis: Trennen Sie keine Geräte, auf denen gerade die Initialverschlüsselung ausgeführtwird.

Hinweis: Wenn Sie Details und Inhalte des lokal übersetzten Pfads sehen wollen, wählenSie den Pfad aus der Liste und klicken Sie auf Im Finder anzeigen.

4.3.6 Umgang mit Passwörtern

Der Sophos SafeGuard Schlüsselring ist mit einem Benutzerzertifikat gesichert. Derentsprechende private Schlüssel ist mit dem OS X Kennwort geschützt.

Das Kennwort wird benötigt, damit das Zertifikat erzeugt werden kann, wenn der Benutzernicht in SafeGuard Enterprise angelegt wurde.

Lokales Ändern des Kennworts

Benutzer können ihre Kennwörter lokal unter Systemeinstellungen > Benutzer & Gruppenändern. Es sind keine weiteren Schritte erforderlich.

Kennwort wurde auf einem anderen Endpoint geändert

Hinweis: Kennwörter können auf Windows und Mac Endpoints geändert werden.

Da das Kennwort auf diesem Endpoint nicht mehr bekannt ist, müssen die folgenden Schritteausgeführt werden:

1. Melden Sie sich mit Ihrem neuen Kennwort bei OS X an.2. Das System konnte Ihren Schlüsselbund nicht entsperren wird angezeigt.3. Wählen Sie Schlüsselbundkennwort aktualisieren.4. Geben Sie das alte Kennwort ein.

Nähere Informationen darüber, wie Sie Ihr Kennwort zurücksetzen können, finden Sie unterVergessenes Kennwort zurücksetzen (Seite 115).

4.3.7 Management der Wiederherstellungsschlüssel

Wenn alle für FileVault 2 aktivierten Benutzer eines Systems ihre Kennwörter vergessen,keine Anmeldeinformationen verfügbar sind und kein Wiederherstellungsschlüssel verfügbarist, kann das verschlüsselte Laufwerk nicht entsperrt werden und es besteht kein Zugriff aufdie Daten. Daten könnten unwiederbringlich verloren werden, deshalb ist es wesentlich, dieWiederherstellung entsprechend zu planen.

Ein neuer Wiederherstellungsschlüssel wird jeweils bei der Aktivierung derFestplattenverschlüsselung generiert. Wenn Sophos SafeGuard Native Device Encryptionzum Zeitpunkt der Verschlüsselung noch nicht installiert ist, dann wird er dem Benutzerangezeigt, der in der Folge auch dafür verantwortlich ist, ihn gegen Verlust zu schützen. IstSophos SafeGuard Native Device Encryption installiert, dann wird er sicher an das SafeGuardEnterprise übermittelt und dort zentral gespeichert. Der Sicherheitsbeauftragte kann denWiederherstellungsschlüssel jederzeit abfragen, wenn er benötigt wird. Siehe VergessenesKennwort zurücksetzen (Seite 115).

110


Aber selbst wenn SafeGuard Native Device Encryption zum Zeitpunkt der Verschlüsselungnicht installiert war, kann der Wiederherstellungsschlüssel zentral verwaltet werden. Dafür istes notwendig, ihn zu importieren. Der entsprechende Kommandozeilenbefehl ist sgdeadmin--import-recoverykey, siehe auch Kommandozeilen-Optionen (Seite 103). DerWiederherstellungsschlüssel wird in Großbuchstaben gesendet.

Ein eventuell vorhandener institutioneller Wiederherstellungsschlüssel kann ebenfallsverwendet werden. Mehr Information dazu finden Sie auch in: OS X: How to create and deploya recovery key for FileVault 2 unter support.apple.com/kb/HT5077

4.3.8 Schneller Benutzerwechsel

SafeGuard File Encryption für Mac unterstützt auch den schnellen Benutzerwechsel. Siekönnen so zwischen Benutzerkonten auf einem Endpoint wechseln, ohne Anwendung beendenoder sich von dem Rechner abmelden zu müssen.

4.3.9 Lokale Schlüssel

Hinweis: Lokale Schlüssel können nicht mit SafeGuard Synchronized Encryption verwendetwerden.

Sie können lokale Schlüssel zum Verschlüsseln von Dateien in bestimmten Verzeichnissenauf Wechselmedien oder in der Cloud verwenden. Diese Verzeichnisse müssen bereits ineiner Verschlüsselungsrichtlinie enthalten sein.

So erzeugen Sie lokale Schlüssel:

1. Öffnen Sie das System-Menü und wählen Sie Schlüssel erzeugen.

2. Wählen Sie einen Namen und eine Passphrase für Ihren Schlüssel und klicken Sie aufOK.

Der Schlüsselname wird automatisch vorne mit "Local_" und hinten mit Datum und Zeitergänzt.

Der Schlüssel wird erzeugt und im Einstellungsbereich angezeigt. Der Benutzer kann nunden lokalen Schlüssel auf ein Wechselmedium oder einem Cloud-Verzeichnis anwenden.

4.3.10 Kommandozeilen-Optionen

Terminal erlaubt Ihnen, Kommandos und Kommandozeilen-Optionen einzugeben. FolgendeKommandozeilen-Optionen stehen zur Verfügung:


--helpListet die verfügbarenKommandos zusammen mit einerKurzhilfe auf.

sgfsadmin

Zeigt Version und Copyright desinstallierten Produkts an.

sgfsadmin --version

111

Administratorhilfe

http://support.apple.com/kb/HT5077


Zeigt Systemstatusinformationenwie Versions-, Server- undZertifikatsinformation an.

sgfsadmin --status


Zeigt Informationen zummomentan angemeldetenBenutzer an.

sgfsadmin--list-user-details



Listet existierende GUIDS undSchlüsselnamen aller Schlüsselim Schlüsselbund auf

sgfsadmin --list-keys



Zeigt Richtlinien-spezifischeInformationen an.Schlüssel-GUIDS werden wenn

sgfsadmin--list-policies


möglich in Schlüsselnamenaufgelöst. Fett ausgezeichneteElemente zeigen einenpersönlichen Schlüssel an.

--raw zeigt Richtlinien inOriginalansicht an, d.h. so wie sieauf SafeGuard ManagementCenter-Serverseite aufgesetztsind.

--all wendet die Richtlinie aufalle Verzeichnisse an, woRichtlinien gelten

Wendet dieVerschlüsselungs-Richtlinie an

sgfsadmin--enforce-policies

"directoryname" wendet dieRichtlinie auf das angegebeneVerzeichnis an.


ZeigtVerschlüsselungsinformation füreine Datei oder Dateilisten an. DieVerwendung von Platzhaltern isterlaubt.

sgfsadmin --file-status"filename1"["filename2"..."filenameN"]

Importiert die angegebeneKonfigurations-Zipdatei Das

sgfsadmin--import-config"/Pfad/zur/Datei" Kommando braucht

Administrator-Rechte (sudo).

Hinweis:

Ziehen Sie komplette Pfade mitder Maus z.B. aus dem Finder indie Terminal-Anwendung.

112




sgfsadmin--enable-server-verify

Kommunikation mit demSafeGuard Enterprise-Server ein.Nach der Installation ist dieSSL-Serververifizierungstandardmäßig aktiviert. DasKommando brauchtAdministrator-Rechte (sudo).


sgfsadmin--disable-server-verify

Kommunikation mit demSafeGuard Enterprise-Server aus.Das Kommando brauchtAdministrator-Rechte (sudo).

Hinweis:

Wir empfehlen nicht, diese Optionzu verwenden, da dadurch eineSicherheits-Schwachstelleentstehen kann.

--domain "domain"

Die Domain, die der Client für dieRegistrierung auf dem SafeGuard

Aktualisiert die aktuellgespeichertenComputerinformationen, dieverwendet werden, um diesen

sgfsadmin--update-machine-info[--domain "domain"]

Enterprise Server verwendenClient auf dem SafeGuard sollte. Dieser Parameter ist nurEnterprise Server zu registrieren. erforderlich, wenn der Rechner zuDas Kommando brauchtAdministrator-Rechte (sudo).

mehreren Domains gehört. DerComputer muss dieser Domainhinzugefügt werden, ansonstenschlägt der Befehl fehl.

Hinweis:

Verwenden Sie diesen Befehl erstnach dem Ändern der Domainoder Arbeitsgruppe, zu welcherder Computer gehört. Gehört derComputer zu mehreren Domainsoder Arbeitsgruppen und führenSie diesen Befehl aus, kann dieszu einer Änderung derDomain-Registrierung undEntfernung von persönlichenSchlüsseln und/oder FileVault 2Benutzern führen.

Sammelt Anwendungspfade, dienicht autorisiert sind, auf

sgfsadmin--dump-unprivileged-applications[path] verschlüsselte Dateien

zuzugreifen. Sie können dieInformation dazu verwenden, umAnwendungen zurApplikationenliste hinzuzufügen.Sie können die Resultate auf

113

Administratorhilfe


einen bestimmten Pfadbeschränken.

Hinweis: Diese Funktion ist nurfür Synchronized Encryptionrelevant.

Startet die Synchronisierung vonDatenbankinformation aus dem

sgfsadmin --synchronize

Management Center, wie z.B. vonRichtlinien, Zertifikaten undSchlüsseln.

4.3.11 Verwendung von Time Machine

Hinweis: Dieser Abschnitt ist nur relevant, wenn eine Verschlüsselungsregel fürWechselmedien definiert ist.

Wenn Sie eine neue Festplatte für das Time Machine Backup verwenden wollen und diePlatte nicht automatisch vom System dafür vorgeschlagen wird, verwenden Sie folgendenBefehl in der Terminal-Anwendung:

sudo tmutil setdestination -a "/Volumes/.sophos_safeguard_{DISKNAME}/"

Wenn Sie Time Machine für einen verschlüsselten Ordner verwenden, werden keine altenVersionen angezeigt. Die Backups sind jedoch in einem verborgenen Ordner gespeichert.Sie können die Inhalte der Dateien in dem versteckten Pfad nicht lesen. Die Sicherung enthältsomit nur verschlüsselte Daten und Ihre Inhalte bleiben geschützt. Um Dateienwiederherzustellen, gehen Sie wie folgt vor:

1. Öffnen Sie Time Machine (z. B. indem Sie "Time Machine" in die Spotlight-Suche eingeben).

Die Inhalte Ihres Stammverzeichnisses werden angezeigt.

2. Drücken Sie Shift + CMD + G (für "Gehe zu Ordner:") und geben Sie den verstecktenPfad des verschlüsselten Ordners ein, den Sie wiederherstellen möchten.

Wenn der verschlüsselte Ordner, mit dem Sie normalerweise arbeiten,/Benutzer/Admin/Dokumente heißt, geben Sie/Benutzer/Admin/.sophos_safeguard_Dokumente/ ein.

3. Suchen Sie die Datei, die Sie wiederherstellen möchten, klicken Sie auf das Rad-Symbolin der Time Machine Menüleiste und wählen Sie <file name> wiederherstellen nach....

Wenn Sie von Time Machine zu Ihrem Desktop zurückkehren, ist Ihre Datei wiederhergestelltund kann entschlüsselt werden.

Hinweis: Das erste Time Machine Backup nach einer Neuinstallation von SafeGuard FileEncryption dauert länger und benötigt mehr Speicherplatz als sonst. Der Grund dafür ist, dassOS X keine gestapelten Dateisysteme unterstützt und daher alle lokalen Verzeichnisse, fürdie sichere Mount Points erstellt wurden (Dokumente, Musik, Filme etc.), beim Backup dupliziertwerden. Nachdem das erste Backup am verborgenen Speicherort abgeschlossen ist, werdenjedoch ältere Backups gelöscht und Speicherplatz wird freigegeben.

114


4.3.12 Arbeiten mit Wechselmedien

Stellen Sie vor dem Arbeiten mit Wechselmedien sicher, dass Ihnen eine Richtlinie und einSchlüssel zugewiesen wurden, die es Ihnen erlauben, Dateien auf Wechselmedien zuverschlüsseln.

1. Schließen Sie das Wechselmedium an.

2. Es öffnet sich ein Dialog, in dem Sie gefragt werden, ob Sie Klartextdateien auf dem Gerätverschlüsseln möchten. Nach dem Klicken auf Ja startet die Verschlüsselung. Wenn Sieauf NEIN klicken, bleiben diese Dateien unverschlüsselt, aber Sie haben Zugriff auf Dateienauf dem Gerät, die bereits verschlüsselt sind. Unabhängig von Ihrer Auswahl werden neueDateien auf dem Gerät immer gemäß der Richtlinie verschlüsselt.

3. Die Dateien auf Ihrem Wechselmedium werden automatisch verschlüsselt. Dies wird durchdas System-Menü-Symbol des sich drehenden Rads angezeigt

4. Sind alle Dateien auf Ihrem Medium verschlüsselt, so hört das Rad auf, sich zu drehen.

5. Werfen Sie das Wechselmedium aus. Das zugehörige Symbol für den sicheren Ordnerwird automatisch ausgeblendet.

Hinweis:

Um Daten auf Wechselmedien zwischen zwei Stellen austauschen und bearbeiten zukönnen, müssen beiden Stellen die zugehörige Richtlinie und der entsprechende Schlüsselzugewiesen werden. Es können keine persönlichen Schlüssel verwendet werden. Für denAustausch zwischen Windows- und Mac OS X-Clients muss das Gerät mit FAT32 formatiertsein. Da das Dateiformat nicht im Finder angezeigt werden kann, müssen Sie DasFestplattendienstprogramm (Disk Utility) verwenden, um das Dateisystem, mit dem dasWechselmedium formatiert wurde, anzuzeigen. Für den Windows-Client ist eineDatenaustausch-Richtlinie erforderlich. Die Medien-Passphrase-Funktionalität steht nurfür Windows zur Verfügung. Der Zugriff auf die Daten von einem Mac OS X-Client aus istnur möglich, wenn entsprechende Richtlinien vom Typ Dateiverschlüsselung definiertwerden.

4.4 Fehlerbehebung

4.4.1 Vergessenes Kennwort zurücksetzen

Hinweis: Diese Anleitung geht von dem Fall aus, dass ein Benutzer sowohl SafeGuard DiskEncryption als auch SafeGuard File Encryption oder Synchronized Encryption auf seinemMac installiert hat. Ist nur eines der genannten Module installiert, können die erforderlichenSchritte abweichen.

Hat ein Benutzer sein Mac OS X Anmeldekennwort vergessen, so gehen Sie wie folgt vor:

1. Fordern Sie den Benutzer auf, den Anmeldedialog zu öffnen und auf ? zu klicken.

Die Merkhilfe für das Kennwort wird angezeigt und der Benutzer wird aufgefordert, dasKennwort mithilfe des Recovery-Schlüssels zurückzusetzen.

2. Lassen Sie den Benutzer auf das Dreieck neben dem Text klicken, um zum nächstenSchritt (Eingabe des Recovery-Schlüssels) zu gelangen:

115

Administratorhilfe

3. Öffnen Sie im SafeGuard Management Center den Recovery-Assistenten über Extras >Recovery und zeigen Sie den Recovery-Schlüssel für den betroffenen Endpoint an.

4. Teilen Sie dem Benutzer den Recovery-Schlüssel zur Eingabe im Anmeldedialog mit.

Der Recovery-Schlüssel wird erneuert, sobald er einmal zum Starten des Systemsverwendet wurde. Der neue Recovery-Schlüssel wird automatisch erzeugt und an dasSafeGuard Enterprise Backend gesendet, wo er gespeichert wird, um für das nächsteRecovery verfügbar zu sein.

5. Wählen Sie im SafeGuard Management Center Benutzer und Computer und entfernenSie das Benutzerzertifikat.

6. Bei lokalen Benutzern gehen Sie folgendermaßen vor:

a) Fordern Sie den Benutzer auf, ein neues Kennwort und eine Merkhilfe zu definieren.

b) Wählen Sie im SafeGuard Management Center Benutzer und Computer >.Unbestätigte Benutzer und bestätigen Sie den Benutzer.

c) Lassen Sie den Benutzer die Registerkarte Server im Einstellungsbereich öffnen undSynchronisieren klicken.

7. Bei Active Directory Benutzern gehen Sie folgendermaßen vor:

a) Setzen Sie das alte Kennwort in der Benutzerverwaltung zurück und generieren Sieein vorläufiges Kennwort. Wählen Sie die entsprechende Option um den Benutzer zuzwingen, sein Kennwort nach der ersten Anmeldung zu ändern.

b) Kontaktieren Sie den Benutzer und übergeben Sie das vorläufige Kennwort.

c) Lassen Sie den Benutzer im Dialog Kennwort zurücksetzen auf Abbrechen klickenund das vorläufige Kennwort eingeben.

d) Fordern Sie den Benutzer auf, ein neues Kennwort und eine Merkhilfe zu definierenund auf Passwort zurücksetzen zu klicken.

8. Im folgenden Dialog muss der Benutzer auf Neuen Schlüsselbund erstellen klicken.

9. Nun wird der Benutzer aufgefordert, sein neues Kennwort einzugeben, um einSafeGuard-Benutzerzertifikat zu erstellen.

Die Schlüssel des Benutzers werden automatisch in den neuen Schlüsselbund geladen, sodass alle Dokumente wie bisher zugänglich sind.

Hinweis: Seien Sie bei der Weitergabe von Recovery-Schlüsseln vorsichtig. EinRecovery-Schlüssel ist immer gerätespezifisch, nicht benutzerspezifisch. Stellen Sie sicher,dass der Recovery-Schlüssel nicht dazu missbraucht wird, um unautorisierten Zugriff aufsensible Benutzerdaten auf demselben Gerät zu erlangen.

4.4.2 Probleme beim Zugriff auf Daten

Wenn ein Benutzer Probleme beim Zugriff auf seine Daten hat, kann dies folgende Ursachenhaben:

■ Der Benutzer wurde noch nicht bestätigt.

Weitere Informationen zu unbestätigten Benutzern finden Sie unter ErweiterteAuthentisierung - Benutzergruppe .Unbestätigte Benutzer (Seite 8).

Hinweis: Lokale Benutzer sind immer unbestätigte Benutzer.

■ Der Benutzer hat nicht den erforderlichen Schlüssel in seinem Schlüsselring.

116


Weitere Informationen zum Zuweisen von Schlüsseln finden Sie unter Zuweisen vonSchlüsseln im Bereich Benutzer & Computer (Seite 292).

■ Die Schlüssel wurden aus Sicherheitsgründen vorübergehend entzogen. Der Endpoint giltals unsicher oder gefährdet.

4.4.3 Probleme bei der Verwendung von virtuellen Computern (VM)

Virtualisierungsanwendungen wie VMware Fusion oder Parallels können nicht mit einemSafeGuard Enterprise Mount Point verwendet werden.Wir empfehlen, den virtuellen Computeraus einem ausgeblendeten Ordner zu starten.

Beispiel:

Verwenden Sie zum Starten des virtuellen Computers nicht ~/Documents/VirtualMachines/, sondern ~/.sophos_safeguard_documents/Virtual Machines.

4.4.4 Ordner "SafeGuard Recovered Files"

Unter bestimmten Umständen kann es sein, dass sich ein Ordner namens Sophos SafeGuardRecovered Files in einem Ordner befindet. Dies ist dann der Fall, wenn SafeGuard FileEncryption versucht, einen neuen sicheren Ordner (Aktivierungspunkt bzw. Mount Point) zuerstellen, aber der versteckte Ordner, der zum Speichern der verschlüsselten Inhalte erstelltwerden muss (z. B. /Users/admin/.sophos_safeguard_Documents/) bereits existiert und nichtleer ist. Dann wird der Inhalt des ursprünglichen Ordners (z. B. /Users/admin/Documents) zuSophos SafeGuard Recovered Files verschoben und es wird wie sonst auch nur der Inhaltdes versteckten Ordners angezeigt.

4.5 Bestands- und Statusinformationen für MacsFür Macs liefert der Bestand u. a. folgende Informationen zu den einzelnen Maschinen: Dieangezeigten Daten können variieren, je nachdem, welches Sophos Produkt installiert ist:

■ Name des Mac

■ Betriebssystem

■ POA-Typ

■ POA-Status

■ Anzahl an verschlüsselten Laufwerken

■ Anzahl an unverschlüsselten Laufwerken

■ Letzter Server-Kontakt

■ Änderungsdatum

■ Informationen dazu, ob das aktuelle Unternehmenszertifikat verwendet wird.

117

Administratorhilfe

5 Module

5.1 Synchronized EncryptionSynchronized Encryption baut auf zwei Annahmen auf - erstens, dass alle Daten wichtig sindund geschützt (verschlüsselt) sein müssen, und zweitens, dass diese Verschlüsselungpersistent sein soll, egal wo sich die Daten befinden. Zusätzlich sollen Daten automatischund transparent verschlüsselt werden, so dass sich Benutzer nicht darum kümmern müssen,ob eine Datei verschlüsselt werden muss oder nicht. Diese grundlegende Prämisse, dass alleDaten wichtig sind und verschlüsselt werden müssen, stellt sicher, dass Daten nahtlos undohne Zutun des Benutzers verschlüsselt werden. Dies ermöglicht Benutzern produktiv zubleiben, ihre Daten zu sichern und dabei ihre gewohnten Arbeitsabläufe nicht verändern zumüssen.

Hinweis: Dieser Abschnitt gilt sowohl für Windows als auch für Mac OS X. Informationen,die nur für eines der Systeme relevant sind, werden explizit gekennzeichnet.

Module■ Anwendungsbasierte Dateiverschlüsselung

SafeGuard Enterprise Synchronized Encryption kann jede Datei, die mit einer per Richtliniedefinierten Anwendung erstellt wurde, verschlüsseln, egal wo die Datei gespeichert wird.Wenn Sie die Dateiverschlüsselung zum Beispiel für Microsoft Word aktivieren, wird jedeDatei, die Sie mit Word erstellen oder speichern automatisch mit dem SynchronizedEncryption-Schlüssel verschlüsselt. Jeder, der diesen Schlüssel in seinem Schlüsselringhat, kann auf diese Datei zugreifen. Eine Richtlinie definiert eine Liste von Anwendungen,für die die Dateiverschlüsselung automatisch durchgeführt wird.

■ Outlook Add-In

Synchronized Encryption beinhaltet ein Outlook-Add-In, das automatisch erkennt, wenneine E-Mail mit Anhängen an Empfänger außerhalb Ihres Unternehmens versendet wird.Benützer müssen entscheiden, ob sie den Anhang Kennwortgeschützt oder Ungeschütztsenden möchten. Gegebenenfalls können Benutzer im angezeigten Dialog ein Kennwortdefinieren. Alternativ dazu können Sie per Richtlinie ein Standardverhalten definieren, dasautomatisch und ohne Benutzerinteraktion ausgeführt wird.

Hinweis: Das Outlook Add-In ist nur für Windows Endpoints verfügbar.

■ Integration in Sophos Central Endpoint Protection - Schlüssel auf gefährdetenComputern entziehen

In Kombination mit Sophos Central Endpoint Protection können Schlüssel automatischentfernt werden, wenn bösartige Aktivitäten auf dem Endpoint festgestellt werden.

Hinweis: Dieses Feature ist nur verfügbar, wenn Sie web-basierte Sophos Central EndpointProtection gemeinsam mit SafeGuard Enterprise verwenden.

■ Schlüsselring zwischen SafeGuard Enterprise und Sophos Mobile Controlaustauschen

118


Schlüssel im SafeGuard Enterprise Schlüsselring können in der Sophos Secure WorkspaceApp (SSW), die über Sophos Mobile Control verwaltet wird, bereitgestellt werden. Benutzerder App können dann die Schlüssel zum Entschlüsseln, Lesen und Verschlüsseln vonDokumenten verwenden. Diese Dateien können dann sicher zwischen allen Benutzernvon SafeGuard Enterprise und SSW ausgetauscht werden.


Um Synchronized Encryption Funktionen verwenden zu können, müssen die folgendenVoraussetzungen erfüllt sein:

■ SafeGuard Enterprise Server, Datenbank und Management Center sind fertig eingerichtet.

■ Das Modul Synchronized Encryption muss auf den Endpoints installiert sein.

Hinweis:

■ Synchronized Encryption ersetzt alle anderen SafeGuard Enterprise File EncryptionModule. Es kann nicht zusätzlich zu Data Exchange, File Encryption oder Cloud Storageinstalliert werden. File Encryption Richtlinien, die von diesen pfadbasierten Modulenverwendet werden, sind nicht kompatibel mit den neuen anwendungsbasiertenSynchronized Encryption Richtlinien. Wenn Sie vom SafeGuard Enterprise FileEncryption Modul zum Synchronized Encryption Modul wechseln und die pfadbasiertenRichtlinien behalten, zeigt das RSOP im SafeGuard Management Center zwar beideRichtlinien an, aber nur die anwendungsbasierte ist gültig. Der Grund dafür ist, dassdas RSOP bei seiner Berechnung die installierten Module auf dem Endpoint nichtberücksichtigt.

■ Das Synchronized Encryption Modul ist nicht mit SafeGuard LAN Crypt kompatibel.

■ So aktivieren Sie die Features:

■ Erstellen Sie anwendungsbasierte Dateiverschlüsselungsrichtlinien (SynchronizedEncryption).

■ Erstellen Sie Richtlinien für die Aktivierung des Outlook-Add-Ins (verschlüsseltMailanhänge entsprechend der Richtlinieneinstellungen).

■ Erstellen Sie Richtlinien für die Aktivierung der Integration in Sophos Endpoint Protection(entfernt bei bösartigen Aktivitäten die Schlüssel von Endpoints).

■ Konfigurieren Sie die Synchronisierung des SafeGuard Enterprise Schlüsselrings fürmobile Geräte mit Sophos Mobile Control.

Hinweis: Auf Macs gelten nur benutzerbasierte Richtlinien. Maschinenrichtlinien werdenignoriert.

5.1.1.1 Installation auf EndpointsFühren Sie den Client-Installer für Ihre Plattform aus. Wählen Sie auf Windows-Endpoints imdarauf folgenden Dialog das Synchronized Encryption Modul aus. Befolgen Sie dieAnweisungen auf dem Bildschirm.

5.1.1.2 Aktualisierung von Endpoints■ Windows: Um Ihre Endpoints von SafeGuard Enterprise 6.1 (oder höher) zu aktualisieren

und das Synchronized Encryption Modul zu installieren, führen Sie den Client-Installer fürIhre Plattform aus und folgen Sie den Anweisungen auf dem Bildschirm. Dies aktualisiert

119

Administratorhilfe

die installierten Module auf Version 8. Um das Synchronized Encryption Modul zuinstallieren, starten Sie die Installation erneut, wählen Sie Ändern im Dialog Installationändern, reparieren oder entfernen und wählen Sie Synchronized Encryption. Fallsinstalliert, entfernen Sie pfadbasierte Dateiverschlüsselung.

■ Mac OS X Führen Sie den Client-Installer aus und folgen Sie den Anweisungen auf demBildschirm.

5.1.1.3 Migration von bestehenden Dateiverschlüsselungsmodulen auf WindowsBenutzer können vom SafeGuard Enterprise File Encryption Modul zum SynchronizedEncryption Modul migrieren. Dateien, die davor verschlüsselt waren, bleiben verschlüsseltund zugänglich. Dateien, die nach der Migration bearbeitet und gespeichert werden, werdenmit dem Synchronized Encryption-Schlüssel neu verschlüsselt. Dateien können mit demSynchronized Encryption-Schlüssel neu verschlüsselt werden indem Sie per Richtlinie eineInitialverschlüsselung definieren.

VoraussetzungenStellen Sie sicher, dass alle erforderlichen Schlüssel ("alte" Schlüssel, die zur Verschlüsselungmit dem File Encryption Modul verwendet wurden, und "neue" Synchronized EncryptionSchlüssel) im Schlüsselring der Benutzer vorhanden sind.

■ Falls nötig, können Sie Benutzern Schlüssel im Management Center zuweisen.

■ Benutzer müssen, wenn benötigt, benutzerdefinierte lokale Schlüssel in ihren Schlüsselringimportieren, siehe Kapitel Import von Schlüsseln aus einer Datei in der SafeGuardEnterprise Benutzerhilfe. Dann stehen die lokalen Schlüssel auch auch im SafeGuardManagement Center zur Verfügung. Sie können Benutzern nach Bedarf zugewiesenwerden.

Migration durchführen

Führen Sie folgende Schritte aus:

1. Installieren Sie das Synchronized Encryption Modul am Endpoint. Das Modul ersetzt dasbestehende File Encryption Modul.

2. Stellen Sie sicher, dass alle Schlüssel, die die Benutzer von File Encryption in ihremSchlüsselring hatten, im Schlüsselring erhalten bleiben. Dies ermöglicht den Benutzern,auch mit Synchronized Encryption auf alle verschlüsselten Dateien zuzugreifen.

3. Erzeugen Sie im Management Center neue Synchronized Encryption Richtlinien.

■ Alle Anwendungen, die auf verschlüsselte Dateien zugreifen können sollen, müssenin der Applikationenliste enthalten sein, die in den Synchronized Encryption Richtlinienverwendet wird.

■ Synchronized Encryption Richtlinien sollen den selben Umfang der Verschlüsselunghaben wie die früheren pfadbasierten File Encryption Richtlinien.

■ Definieren Sie Einstellungen für die Initialverschlüsselung. Die Initialverschlüsselungstartet unmittelbar nachdem die Richtlinie am Endpoint angewendet wurde und eswerden alle Dateien mit dem Synchronized Encryption Schlüssel verschlüsselt oderneu verschlüsselt. Folglich sind alle Dateien entsprechend der Richtlinie verschlüsselt.

Hinweis: Die Initialverschlüsselung kann auch über das Windows Explorer Kontextmenügestartet werden (SafeGuard File Encryption > Gemäß Richtlinie verschlüsseln).

4. Verteilen Sie die Richtlinien

120


Ergebnis■ Verschlüsselte Dateien, die in den Synchronized Encryption Richtlinien enthalten sind,

werden mit dem Synchronized Encryption Schlüssel neu verschlüsselt.

■ Dateien, die mit Anwendungen erzeugt oder geändert wurden, die in der SynchronizedEncryption Applikationenliste enthalten sind, werden mit dem Synchronized EncryptionSchlüssel verschlüsselt.

■ Verschlüsselte Dateien, die nicht in den Synchronized Encryption Richtlinien enthaltensind, bleiben mit dem ursprünglichen File Encryption Schlüssel verschlüsselt. Benutzer,die den erforderlichen Schlüssel in ihrem Schlüsselring haben, können Dateien immermanuell entschlüsseln, auch wenn die Dateien in keiner Verschlüsselungsrichtlinie enthaltensind.

5.1.1.4 Migration von bestehenden Dateiverschlüsselungsmodulen auf OS XSophos SafeGuard Enterprise OS X Endpoints können sowohl Synchronized EncryptionRichtlinien vom Typ Anwendungsbasiert als auch File Encryption Richtlinien vom TypPfadbasiert verarbeiten. Abhängig davon, welche Richtlinien sie erhalten, verhalten sie sichwie Synchronized Encryption Endpoints oder wie File Encryption Endpoints.

Wenn Sie von Version 6.1 aktualisieren, bleiben die Endpoints im pfadbasierten File EncryptionModus wie in der vorigen Version.

So wechseln Sie auf den anwendungsbasierten Synchronized Encryption Modus:

Migration durchführen

1. Erzeugen Sie im Management Center neue Synchronized Encryption Richtlinien.

■ Alle Anwendungen, die auf verschlüsselte Dateien zugreifen können sollen, müssenin der Applikationenliste enthalten sein, die in den Synchronized Encryption Richtlinienverwendet wird.

■ Synchronized Encryption Richtlinien sollen den selben Umfang der Verschlüsselunghaben wie die früheren pfadbasierten File Encryption Richtlinien.

■ Definieren Sie Einstellungen für die Initialverschlüsselung. Die Initialverschlüsselungstartet unmittelbar nachdem die Richtlinie am Endpoint angewendet wurde und eswerden alle Dateien mit dem Synchronized Encryption Schlüssel verschlüsselt oderneu verschlüsselt. Folglich sind alle Dateien entsprechend der Richtlinie verschlüsselt.

Hinweis: Benutzer können die Initialverschlüsselung auch über die RegisterkarteRichtlinien im Einstellungsbereich starten (Erzwinge alle Richtlinien).

2. Verteilen Sie die Richtlinien3. Benutzer werden nach dem Erhalt der Richtlinien aufgefordert, sich ab- und wieder

anzumelden.

Ergebnis■ Verschlüsselte Dateien, die in den Synchronized Encryption Richtlinien enthalten sind,

werden mit dem Synchronized Encryption Schlüssel neu verschlüsselt.

121

Administratorhilfe

■ Dateien, die mit Anwendungen erzeugt oder geändert wurden, die in der SynchronizedEncryption Applikationenliste enthalten sind, werden mit dem Synchronized EncryptionSchlüssel verschlüsselt.

■ Verschlüsselte Dateien, die nicht in den Synchronized Encryption Richtlinien enthaltensind, bleiben mit dem ursprünglichen File Encryption Schlüssel verschlüsselt. Benutzer,die den erforderlichen Schlüssel in ihrem Schlüsselring haben, können Dateien immermanuell entschlüsseln, auch wenn die Dateien in keiner Verschlüsselungsrichtlinie enthaltensind.

5.1.1.5 Partieller Rollout von Synchronized EncryptionStellen Sie im Fall eines partiellen Rollouts von SafeGuard Enterprise Synchronized Encryptionsicher, dass alle Benutzer auf gemeinsam verwendete verschlüsselte Dateien zugreifenkönnen.

Wenn Sie die Verschlüsselung in Ihrem Unternehmen Schritt für Schritt einführen möchten,können Sie damit beginnen, Synchronized Encryption Richtlinien mit aktivierter Verschlüsselungzum Beispiel nur an die Endpoints der Marketing -Abteilung zu verteilen. Diese Endpointswerden dann Dateien entsprechend der Synchronized Encryption Richtlinien verschlüsseln.Benutzer in anderen Abteilungen können dann nicht auf diese Dateien zugreifen, da dieSynchronized Encryption Richtlinien auf ihren Endpoints noch nicht ausgerollt wurden. Umdiese Situation zu vermeiden, können Sie Lesezugriff-Richtlinien verteilen, die das Lesen vonverschlüsselten Dateien ermöglichen. Damit können keine Daten verschlüsselt werden, jedochkönnen verschlüsselte Daten gelesen werden.

Voraussetzung:

■ SafeGuard Enterprise Server, Datenbank und Management Center sind fertig eingerichtet.

■ Das Synchronized Encryption Modul ist auf allen Endpoints installiert und kann sich mitdem Management Center verbinden (Konfigurationspaket ist installiert).

■ Sie haben eine Applikationenliste und eine Synchronized Encryption Richtlinie für dieEndpoints erstellt, die Daten verschlüsseln sollen.

Folgende Schritte sind für den Rollout von SafeGuard Enterprise Synchronized Encryptionerforderlich:

1. Erstellen Sie eine Synchronized Encryption Richtlinie (anwendungsbasiert) im SafeGuardManagement Center.

2. Verteilen Sie die Richtlinie an die Benutzer, deren Endpoints Daten verschlüsseln sollen.Im genannten Beispiel sind dies die Endpoints der Marketing-Abteilung.

3. Erstellen Sie Lesezugriff-Richtlinien.

Hinweis: Sie müssen gesonderte Richtlinien für Windows und Mac Endpoints erstellen.

4. Verteilen Sie die Lesezugriff-Richtlinien an alle übrigen Windows und Mac Endpoints. Imgenannten Beispiel sind dies alle Endpoints außerhalb der Marketing-Abteilung.

5.1.1.5.1 Erstellen von Lesezugriff-Richtlinien für Windows Endpoints

1. Klicken Sie im Management Center auf Richtlinien.

2. Klicken Sie mit der rechten Maustaste auf Richtlinien, wählen Sie Neu und dannDateiverschlüsselung.

3. Geben Sie einen Namen für die Richtlinie ein und klicken Sie auf OK.

122


4. Wählen Sie in der Registerkarte Dateiverschlüsselung die Option Anwendungsbasierend(Synchronized Encryption) aus der Auswahlliste Verschlüsselungstyp.

Applikationenliste und Umfang der Verschlüsselung Optionen werden angezeigt.

5. Wählen Sie die Applikationenliste, die Sie zuvor in der Auswahlliste erstellt haben.

6. Wählen Sie aus der Auswahlliste Umfang der Verschlüsselung die Option DefinierteSpeicherorte.

7. Wenn Sie die Registerkarte Dateiverschlüsselung verlassen, werden Sie aufgefordert,Ihre Änderungen zu speichern.

8. Klicken Sie auf Ja.

9. Wechseln Sie zu Benutzer und Computer und aktivieren Sie die neue Richtlinie für dieWindows-Benutzer, die verschlüsselte Daten lesen, aber nicht selbst verschlüsseln könnensollen.

Hinweis: Diese Richtlinie darf keinen Mac OS X Endpoints zugewiesen werden. Dieskann erreicht werden, indem Sie die Richtlinie nur für .Authentisierte Computer aktivieren,da Mac OS X Endpoints nur Benutzereinstellungen interpretieren. Ziehen Sie dazu dieGruppe .Authentisierte Benutzer vom Richtlinien-Aktivierungsbereich in die ListeVerfügbare Gruppen.

5.1.1.5.2 Erstellen von Lesezugriff-Richtlinien für Mac Endpoints


2. Klicken Sie mit der rechten Maustaste auf Richtlinien, wählen Sie Neu und dannDateiverschlüsselung.

3. Geben Sie einen Namen für die Richtlinie ein und klicken Sie auf OK.

4. Wählen Sie in der Registerkarte Dateiverschlüsselung die Option Pfadbasiert aus derAuswahlliste Verschlüsselungstyp.

Eine Liste zum Definieren der Pfade für die pfadbasierte Verschlüsselung wird angezeigt.

5. Geben Sie folgende Pfade an und schließen Sie sie von der Verschlüsselung aus.

a) Netzwerkfreigaben: Verwenden Sie den Platzhalter <Network Shares>, um auf dasRoot-Verzeichnis aller Mac OS X Netzwerkfreigaben zu verweisen.

b) Wechselmedien: Verwenden Sie den Platzhalter <Removables>, um auf dasRoot-Verzeichnis aller Mac OS X Wechselmedien zu verweisen.

c) Cloudspeicher-Dienste Geben Sie einen oder mehrere Ordner ein, die mit der Cloudsynchronisiert werden. Es werden nur lokale Pfade unterstützt.

d) Hinweis: Der folgende Pfad wird nur bei Microsoft Outlook für Mac 2011 benötigt.

<User Profile>\Library\Caches\TemporaryItems\Outlook Temp\

e) Hinweis: Der folgende Pfad wird nur bei Microsoft Outlook für Mac 2016 benötigt.

<%TMPDIR%>\com.microsoft.Outlook\Outlook Temp\

f) Hinweis: Die folgenden Pfade werden nur bei Apple Mail benötigt:

<UserProfile>\Library\Containers\com.apple.mail\Data\Library\MailDownloads\

<%TMPDIR%>\com.apple.mail\com.apple.mail\

6. Stellen Sie sicher, dass alle Pfade von der Verschlüsselung ausgenommen sind: In derSpalte Modus ist für alle Pfade Ausschließen ausgewählt.

123

Administratorhilfe

7. Wenn Sie die Registerkarte Dateiverschlüsselung verlassen, werden Sie aufgefordert,Ihre Änderungen zu speichern.


9. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie denMac-Benutzern zu, die verschlüsselte Daten lesen, aber nicht selbst verschlüsseln könnensollen.

5.1.2 Daten verschlüsseln

SafeGuard Enterprise Synchronized Encryption beinhaltet ein vielseitigesDateiverschlüsselungs-Modul. Synchronized Encryption ermöglicht Ihnen, sensible Dateienanhand der Anwendung, mit der sie erstellt wurden, zu verschlüsseln. Die Verschlüsselungist persistent, das bedeutet, Ihre Daten sind auch dann sicher, wenn sie an einen anderenOrt verschoben, in die Cloud hochgeladen oder per E-Mail versandt werden. Abhängig vonder Richtlinie werden bestimmte Dateitypen automatisch verschlüsselt. In manchen Fällenkann es jedoch erforderlich sein, einzelne Dateien manuell zu verschlüsseln oder entschlüsseln.Im Windows Explorer und im OS X Finder sind verschlüsselte Dateien mit einem grünenSchloss-Symbol gekennzeichnet.

Persistente Verschlüsselung

Windows

■ Wenn Sie eine verschlüsselte Datei von einem verschlüsselten Ordner in einenunverschlüsselten Ordner verschieben bleibt die Datei trotzdem verschlüsselt. Sie könnendie Datei öffnen und bearbeiten. Die Datei bleibt auch verschlüsselt, wenn Sie sie bearbeitenund speichern.

Mac OS X

■ Verschlüsselte Dateien aus sicheren Ordnern verschieben

Als Sicherheitsbeauftragter definieren Sie, welche Ordner auf Ihren Macs als sichereOrdner gelten. Wenn Sie Synchronized Encryption verwenden, werden alle Dateien insicheren Ordnern automatisch verschlüsselt.

Wenn Sie eine verschlüsselte Datei von einem sicheren Ordner in einen nicht-sicherenOrdner verschieben bleibt die Datei trotzdem verschlüsselt. Sie können die Datei öffnen,jedoch wird der Inhalt verschlüsselt angezeigt. Sie müssen sie zuerst manuell entschlüsseln.

Wenn Sie eine verschlüsselte Datei in einem sicheren Ordner öffnen und in einennicht-sicheren Ordner speichern wird die Datei automatisch entschlüsselt.

Richtlinien■ Synchronized Encryption-Richtlinien werden nicht vereinigt. Es wird immer jene Richtlinie

angewendet, die in der Hierarchie dem Zielobjekt (Benutzer/Computer) am nächsten ist.Die Richtlinie, die gerade für einen Benutzer oder Computer in Kraft ist, wird in derRegisterkarte RSOP unter Benutzer Computer angezeigt.

Backup (Sicherung)

Wenn Sie Backup-Software verwenden (Dateiversionsverlauf unter Windows 8.x und Windows10 oder Time Machine unter Mac OS X), haben Sie möglicherweise ältere Versionen von den

124


Dateien, die Sie verschlüsseln möchten. Synchronized Encryption kann diese Dateien nichtverschlüsseln. Wir empfehlen, bestehende Sicherungsdateien zu verschlüsseln oder zuentfernen und automatische Sicherungen zu deaktivieren.

5.1.2.1 Synchronized Encryption-SchlüsselSafeGuard Enterprise Synchronized Encryption verwendet nur einen Schlüssel für dieVerschlüsselung von Dateien: Root_Synchronized_Encryption@SGN

Der Schlüssel wird automatisch zugewiesen und steht allen Benutzern einer Domäne zurVerfügung, nicht jedoch lokalen Benutzern.

5.1.2.2 ApplikationenlistenFür die anwendungsbasierte Dateiverschlüsselung müssen Sie Applikationenlisten erstellen.Diese Listen enthalten Anwendungen (Applikationen) deren Dateien beim Erstellen oderSpeichern verschlüsselt werden. Nur Anwendungen auf Applikationenlisten können aufverschlüsselte Daten zugreifen. Alle anderen Anwendungen können in diesem Fall nurunleserliche, verschlüsselte Inhalte anzeigen. SafeGuard Enterprise stellt eine Vorlage einereiner Applikationenliste zur Verfügung, die Sie einfach an Ihre Anforderungen anpassenkönnen. Sie enthält allgemeine Anwendungen, für die anwendungsbasierteDateiverschlüsselung aktiviert werden kann. Sie können die Verschlüsselung für einzelneAnwendungen innerhalb von Gruppen oder für ganze Gruppen von Anwendungen aktivierenoder deaktivieren.

Hinweis: Bevor Sie Richtlinien vom Typ Anwendungsbasierend (Synchronized Encryption)erstellen können, müssen Sie Applikationenlisten anlegen.

Applikationenlisten für Mac

Für einige Anwendungen unter OS X müssen Sie bestimmte Pfade von der Verschlüsselungausnehmen. Damit beispielsweise Microsoft Office 2011 problemlos funktioniert, müssen Sie<Dokumente>\Microsoft-Benutzerdaten ausschließen. In der bereitgestellten Vorlageist der Pfad bereits angegeben.

5.1.2.2.1 Erstellen von Applikationenlisten


2. Wechseln Sie in der Listenansicht Richtlinien zum Eintrag Applikationenlisten.

3. Klicken Sie mit der rechten Maustaste auf Vorlage und klicken Sie auf Applikationenlistenduplizieren.

Template_1 wird angezeigt.

4. Klicken Sie mit der rechten Maustaste auf Template_1, wählen Sie Eigenschaften undgeben Sie einen neuen Namen ein.


6. Klicken Sie auf die neue Applikationenliste.

Im rechten Fensterbereich wird der Inhalt der Vorlage angezeigt.

7. Zum Erstellen von Applikationenlisten für Macs, wechseln Sie zur Registerkarte OS X.

8. Deaktivieren Sie in der Liste alle Applikationen, für die Sie keine Verschlüsselung wünschen.Deaktivieren Sie das Kontrollkästchen Aktiv rechts neben Name der Applikationsgruppeum alle Applikationen in der Gruppe von der Verschlüsselung auszuschließen. Über dasKontrollkästchen Aktiv rechts neben einer Applikation können Sie einzelne Applikationendeaktivieren.

125

Administratorhilfe

9. Fügen Sie bestehenden Gruppen weitere Applikationen hinzu.

a) Klicken Sie mit der rechten Maustaste auf die Gruppe, der Sie eine Anwendunghinzufügen möchten, klicken Sie Neu und Anwendung.

b) Geben Sie im Feld Name der Applikation einen Namen für die Anwendung ein.

c) Definieren Sie im Feld Speicherort des Prozesses den Pfad und den Namen derausführbaren Datei. Sie können den Pfad manuell eingeben oder die Platzhalter in derDropdownliste verwenden.

Sie können alle Versionen einer Anwendung unter einem Namen (Name derApplikation) angeben. Zum Beispiel: Acrobat Reader 11.0 und Acrobat Reader DCunter Name der Applikation: Reader

d) Dateierweiterung: Die Dateierweiterungen, die Sie hier definieren, haben keineAuswirkung auf die Dateiverschlüsselung vom Typ Anwendungsbasierend(Synchronized Encryption), sondern für die initiale Verschlüsselung bestehenderDateien. Bestehende Dateien, für die Verschlüsselungsregeln gelten, werden nichtautomatisch verschlüsselt. Um diese Dateien zu verschlüsseln, muss die initialeVerschlüsselung auf den betreffenden Endpoints durchgeführt werden. Dateien mitden hier definierten Dateierweiterungen werden bei der initialen Verschlüsselung mitdem Synchronized Encryption Schlüssel verschlüsselt. Sie können Dateierweiterungenmit oder ohne Punkt (zum Beispiel ".txt" oder "txt") angeben. Platzhalter werden nichtunterstützt.

Der Ort, an dem die Initialverschlüsselung angewendet werden soll, muss in einerRichtlinie für die Anwendungsbasierte Dateiverschlüsselung definiert werden.

Wenn Sie eine Anwendungsgruppe deaktivieren, werden die Dateierweiterungen, dieSie innerhalb der Gruppe für die Initialverschlüsselung definiert haben, ebenfallsdeaktiviert.

10. Nur für OS X : Fügen Sie nach Bedarf der Tabelle Ausgeschlossene Speicherorte Ortehinzu, die Sie von der Verschlüsselung ausnehmen möchten.

11. Fügen Sie weitere Applikationsgruppen hinzu:

Sie können Applikationsgruppen dazu nutzen, um verschiedene Teile einer Software-Suiteunter einem gemeinsamen Knoten zu bündeln. So können Sie alle Teile gleichzeitigdeaktivieren indem Sie nur die Gruppe aktivieren.

a) Klicken Sie mit der rechten Maustaste die Template-Baumstruktur, klicken Sie auf Neuund Applikationsgruppe.

b) Geben Sie im Feld Name der Applikationsgruppe einen Namen für die Gruppe ein.

c) Fügen Sie der Gruppe weitere Applikationen hinzu.

12. Wenn Sie die Template-Baumstruktur verlassen, werden Sie aufgefordert, Ihre Änderungenzu speichern.


Die neue Applikationenliste wird unter Applikationenlisten in der Listenansicht Richtlinienangezeigt. Sie können weitere Applikationslisten erstellen und sie in unterschiedlichenRichtlinien für die anwendungsbasierte Dateiverschlüsselung verwenden.

Wir empfehlen, alle Anwendungen, die einen bestimmten Dateityp (zum Beispiel .docx) öffnenkönnen, zu Applikationenliste hinzuzufügen. Anwendungen, die Daten über das Internetfreigeben (zum Beispiel E-Mail-Clients, Browser), sollten keiner Applikationenliste hinzugefügtwerden.

126


5.1.2.3 InitialverschlüsselungInitialverschlüsselung verschlüsselt alle Dateien entsprechend:

■ Dateiendungen, die in Applikationenlisten definiert sind, siehe Erstellen vonApplikationenlisten (Seite 125).

■ Einstellungen, die in Synchronized Encryption Richtlinien definiert sind, siehe Erstellenvon Richtlinien für anwendungsbasierte Dateiverschlüsselung (Seite 129).

Die Initialverschlüsselung kann automatisch über eine Richtlinieneinstellung oder manuellvon einem Benutzer angestoßen werden

Wird sie automatisch angestoßen, läuft sie im Hintergrund. Nach Abschluss wird ein Ereignisprotokolliert.

Die Initialverschlüsselung startet jedes Mal, wenn Endpoints eine neue SynchronizedEncryption Richtlinie empfangen und immer wenn Benutzer sich an ihrem Endpoint anmelden.Dies stellt sicher, dass Dateien immer entsprechend den Firmenrichtlinien verschlüsselt sindund keine Datei versehentlich unverschlüsselt bleibt.

Hinweis: Die Verarbeitung großer Datenmengen bei der Initialverschlüsselung kann zu einereingeschränkten Performance der Endpoints führen.

Unter Windows können Benutzer die Initialverschlüsselung manuell über das Kontextmenüim Explorer starten (SafeGuard Dateiverschlüsselung > Gemäß Richtlinie verschlüsseln).Der SafeGuard Dateiverschlüsselungs-Assistent zeigt Informationen zur Anzahl der zuverschlüsselnden Dateien sowie zum Fortschritt und Ergebnis der Verschlüsselung an.

Mac-Benutzer starten die Initialverschlüsselung in der Registerkarte Richtlinien imEinstellungsbereich mit Klick auf Erzwinge alle Richtlinien.

Wenn Dateien gefunden werden, die mit einem anderen Schlüssel als dem SynchronizedEncryption Schlüssel verschlüsselt sind und Benutzer haben den verwendeten Schlüssel inihrem Schlüsselring, dann werden diese Dateien mit dem Synchronized Encryption Schlüsselneu verschlüsselt. Dateien, die mit einem Schlüssel verschlüsselt sind, der im Schlüsselringdes Benutzers nicht verfügbar ist, werden nicht verändert.

Die Orte, an denen die Initialverschlüsselung zur Anwendung kommt, werden in Richtliniendefiniert.

5.1.2.3.1 Initialverschlüsselung auf NetzwerkfreigabenAuf Netzwerkfreigaben kann die Initialverschlüsselung nicht automatisch perRichtlinieneinstellung gestartet werden. Als Sicherheitsbeauftragter können Sie mit demBefehlszeilentool SGFileEncWizard.exe die Initialverschlüsselung für Netzwerkfreigaben voneinem Computer aus starten, auf dem SafeGuard Enterprise Software installiert ist und derZugang zu den Netzwerkfreigaben hat.

Auf einem Computer mit SafeGuard Enterprise finden Sie das Tool unter<SYSTEM>:\Programme (x86)\Sophos\SafeGuard Enterprise\Client\

Beachten Sie folgende Hinweise bevor Sie die Initialverschlüsselung starten:

■ Der Vorgang kann für Benutzer auf Endpoints ohne Synchronized Encryption (Modul nichtinstalliert oder Richtlinie nicht angewendet) zu Problemen führen. Diese Benutzer könnenkeine Dateien öffnen, die mit Synchronized Encryption verschlüsselt wurden. Stellen Siesicher, dass alle Benutzer, die Zugriff auf diese Dateien haben sollen, das SynchronizedEncryption Modul installiert und eine entsprechende Richtlinie angewendet haben.

■ Wenn Sie Dateien auf Netzwerkfreigaben, die bereits verschlüsselt sind, im Rahmen derInitialverschlüsselung neu verschlüsseln wollen, benötigen Sie dazu alle Schlüssel in IhremSchlüsselbund, die zur Verschlüsselung dieser Dateien verwendet wurden. Dateien, fürdie Sie keinen Schlüssel haben, bleiben mit dem ursprünglichen Schlüssel verschlüsselt.

127

Administratorhilfe

Voraussetzungen für die Initialverschlüsselung auf Netzwerkfreigaben■ Die Initialverschlüsselung muss auf einem Computer gestartet werden, auf dem die

SafeGuard Enterprise Endpoint Software installiert ist.

■ Der Endpoint muss Zugriff auf alle zu verschlüsselnden Netzwerkfreigaben haben.

■ Eine Synchronized Encryption Richtlinie, die alle zu verschlüsselnden Netzwerkfreigabenbeinhaltet, muss auf dem Endpoint angewendet werden.

■ Alle Schlüssel, die zum Verschlüsseln der auf den Netzwerkfreigaben vorhandenen Dateienverwendet wurden, müssen in Ihrem Schlüsselring enthalten sein.

Initialverschlüsselung mit SGFileEncWizard

Sie können SGFileEncWizard.exe mit folgenden Parametern aufrufen:

SGFileEncWizard.exe [<startpath>] [%POLICY] [/V0 | /V1 | /V2 | /V3][/X] [/L<logfile>]

■ <startpath>:Verarbeite den angegebenen Pfad und seine Unterordner. Mehrere Pfadenmüssen durch Leerzeichen getrennt sein.

Hinweis:

Bei der Initialverschlüsselung auf Netzwerkfreigaben müssen Sie jede zu verschlüsselndeNetzwerkfreigabe explizit angeben. Nur diese Pfade werden verschlüsselt. Geben Sie diePfade in UNC Notation an, um Probleme mit unterschiedlichen Laufwerksbuchstaben fürgemappte Netzwerkfreigaben zu vermeiden. Nur absolute Pfade sind zulässig.

■ %POLICY: Wende Synchronized Encryption Richtlinie an definierten Orten an undverschlüssle Dateien wenn nötig neu. Es wird die Richtlinie verwendet, die an dem Endpointangewendet wird, wo SGFileEncWizard.exe gestartet wird.

Hinweis: Dieser Parameter kann für die Initialverschlüsselung auf Netzwerkfreigabenweggelassen werden.

■ Parameter /V0: Keine Meldungen protokollieren.

■ Parameter /V1: Nur Fehlermeldungen protokollieren.

■ Parameter /V2: Geänderte Dateien protokollieren.

■ Parameter /V3: Alle verarbeiteten Dateien protokollieren.

■ Parameter /L<path+logfile name>: Output in die angegebene Log-Datei schreiben.

■ Parameter /X: Fenster des Assistenten verbergen.

Beispiel:

SGFileEncWizard.exe \\my-filer-1\data1\users \\my-filer-1\data2%POLICY /V3 /X /LC:\Logging\mylogfile.xml

Die Initialverschlüsselung wird für Dateien unter \\my-filer-1\data1\users and \\my-filer-1\data2durchgeführt. Der Assistent wird nicht angezeigt und Informationen über alle verarbeitetenDateien werden in mylogfile.xml geschrieben.

128


5.1.2.4 Erstellen von Richtlinien für anwendungsbasierte Dateiverschlüsselung1. Erstellen Sie im Richtlinien Navigationsbereich eine neue Richtlinie vom Typ

Dateiverschlüsselung.

Die Registerkarte Dateiverschlüsselung wird angezeigt.

2. Wählen Sie Anwendungsbasierend (Synchronized Encryption) aus derVerschlüsselungstyp Auswahlliste.

Applikationenliste und Umfang der Verschlüsselung Optionen werden angezeigt.

Hinweis: Informationen zum Verschlüsselungstyp Keine Verschlüsselung finden Sieunter Richtlinien vom Typ Keine Verschlüsselung (Seite 138).

3. Wählen Sie aus der Auswahlliste die Applikationenliste, die Sie vorher erstellt haben.

4. Wählen Sie aus der Auswahlliste Umfang der Verschlüsselung eine der folgendenOptionen:

■ Überall: Verschlüsselung auf lokale Laufwerke, Wechselmedien, Cloud-Verzeichnisseund Netzlaufwerke angewendet. Sie können Ausnahmen definieren, wo keineanwendungsbasierte Verschlüsselung zur Anwendung kommen soll.

Hinweis: Für OS X bedeutet Überall, dass alle Dateien in einigen vordefiniertenVerzeichnissen verschlüsselt werden und so nur von den Anwendungen auf IhrerApplikationenliste verwendet werden können. Diese Verzeichnisse sind:

■ Ordner <Desktop>

■ Ordner <Documents>

■ Ordner <Downloads>

■ Ordner <Music>

■ Ordner <Pictures>

■ Ordner <Videos>

■ alle Netzwerkfreigaben

■ alle Wechselmedien

■ alle unterstützten Cloud Storage Anbieter

■ temporäre Ordner, in denen Microsoft Outlook und Apple Mail Mailanhänge speichern

Wichtig: Die Anwendung von Synchronized Encryption auf Netzwerkfreigaben kannbei manchen Benutzern Probleme hervorrufen. Wenn Dateien auf Netzwerkfreigabenvon Benutzern verschlüsselt wurden, die den Synchronized Encryption Schlüssel inihrem Schlüsselbund haben, können andere Benutzer, die diesen Schlüssel nichtbesitzen, diese Dateien nicht öffnen. Um dies zu vermeiden, können Sie zuerst dieNetzwerkfreigaben von der Verschlüsselung ausnehmen und die Ausnahme erst dannaufheben, wenn alle Benutzer den Synchronized Encryption Schlüssel haben. Benutzererhalten ihren Schlüssel wenn eine Synchronized Encryption Richtlinie auf ihremEndpoint angewendet wird. Alternativ können Sie den Schlüssel manuell im ManagementCenter zuweisen.

■ Definierte Speicherorte: Hier definieren Sie Speicherorte, wo die Verschlüsselungangewendet wird. Platzhalter für Pfad-Definitionen werden bereitgestellt. Sie könnenPfade in die Verschlüsselung einschließen oder ausschließen.

129

Administratorhilfe

5. Abhängig von Ihrer Auswahl bei Umfang der Verschlüsselung können Sie Pfadedefinieren, wo anwendungsbasierte Verschlüsselung angewendet wird (DefinierteSpeicherorte) oder Ausnahmen von der anwendungsbasierten Verschlüsselung definieren(Überall).

Hinweis: Sie können Pfade für Windows und OS X in derselben Richtlinie definieren.Platzhalter für die verschiedenen Systeme sind in der Auswahlliste Pfad verfügbar. DieSpalte System zeigt, für welches Betriebssystem der Pfad gilt (Alle Systeme, Windows,Mac OS X). Bewegen Sie den Mauszeiger über die Cloud Storage Platzhalter, umInformationen anzuzeigen, für welches Betriebssystem Sie den Platzhalter verwendenkönnen.

6. Setzen Sie in der Spalte Pfad den Pfad für die Anwendungsbasierend (SynchronizedEncryption) Dateiverschlüsselung:

■ Klicken Sie auf die Dropdown-Schaltfläche und wählen Sie einen Platzhalter für einenOrdnernamen aus der Liste der verfügbaren Platzhalter aus.

Hinweis: Wenn Sie Ihren Cursor über die Listeneinträge führen, werden Tooltipsangezeigt, die zeigen, wie ein Platzhalter üblicherweise auf einem Endpoint umgesetztwird. Sie können nur gültige Platzhalter für jedes Betriebssystem eingeben. Für eineListe aller unterstützten Platzhalter, siehe Platzhalter für Pfade in anwendungsbasiertenFile Encryption Verschlüsselungsregeln (Seite 131).

Wichtig: Die Verschlüsselung des gesamten Benutzerprofils mit dem Platzhalter<User Profile> kann zu einem instabilen Windows Desktop auf dem Endpointführen.

■ Klicken Sie auf die Browse-Schaltfläche um den gewünschten Ordner im Dateisystemauszuwählen.

■ Sie können auch einfach einen Pfadnamen eingeben.

7. Wählen Sie den Modus für die Verschlüsselung:

■ Wählen Sie für Umfang der Verschlüsselung - Definierte Speicherorte entwederVerschlüsseln, um die Applikationen auf der Applikationenliste zur Verschlüsselungihrer Dateien unter diesem Pfad zu berechtigen, oder Ausschließen, wenn dieseApplikationen keine Dateien unter diesem Pfad verschlüsseln sollen. Sie können zumBeispiel die Verschlüsselung für D:\Dokumente aktivieren und dabei dasUnterverzeichnis D:\Dokumente\Unverschlüsselt ausschließen.

■ Bei Umfang der Verschlüsselung - Überall können Sie nur Pfade von derVerschlüsselung Ausschließen.

8. Fügen Sie nach Bedarf weitere Pfade hinzu.

9. Definieren Sie Einstellungen für die Initialverschlüsselung. Wählen Sie, wo bestehendeDateien anhand der definierten Pfade verschlüsselt werden (Auf lokalen Laufwerken,Auf Wechselmedien, Mit automatisch erkannten Cloud Storage Providerngespeichert). Die Initialverschlüsselung startet wenn die Richtlinie am Endpoint angewendetwird oder wenn ein Wechselmedium verbunden wird.

10. Speichern Sie Ihre Änderungen.

Hinweis: Wenn Sie die Registerkarte Dateiverschlüsselung verlassen, werden Sieaufgefordert, Ihre Änderungen zu speichern.


130


5.1.2.4.1 Platzhalter für Pfade in anwendungsbasierten File Encryption Verschlüsselungsregeln

Beim Angeben von Pfaden in Verschlüsselungsregeln in File Encryption Richtlinien könnendie folgenden Platzhalter verwendet werden. Um diese Platzhalter auszuwählen, klicken Sieauf die Dropdown-Schaltfläche des Felds Pfad.

Hinweis: Verwenden Sie immer umgekehrte Schrägstriche als Pfad-Trennzeichen, auchwenn Sie Richtlinien für File Encryption für Mac OS X erstellen. Auf diese Weise können SieRegeln auf beiden Betriebssystemen (Windows und Mac OS X) anwenden. Am Mac OS XClient werden die umgekehrten Schrägstriche automatisch in Schrägstriche umgewandelt,um die Anforderungen des Mac OS X Betriebssystems zu erfüllen. Fehler bei der Verwendungvon Platzhaltern werden protokolliert. Ungültige Verschlüsselungsregeln werden protokolliertund dann auf dem Endpoint verworfen.

Beispiel: Der Windows-Pfad <User Profile>\Dropbox\personal wird unter Mac OSX so konvertiert: /Users/<Username>/Dropbox/personal.

Wert auf dem EndpointBetriebssystem(Alle=Windowsund Mac OS X)

Pfad-Platzhalter

Wert der Umgebungsvariable. Beispiel:<%USERNAME%>.

Hinweis: Wenn Umgebungsvariablenmehrere Speicherorte enthalten (zum

Alle<%environment_variable_name%>

Beispiel die PATH Umgebungsvariable),werden die Pfade nicht in mehrere Regelnaufgeteilt. Dies verursacht einen Fehler unddie Verschlüsselungsregel ist ungültig.

Der virtuelle Ordner, der den Desktop desEndpoints darstellt.

Alle<Desktop>

Der virtuelle Ordner für den Desktop-BereichEigene Dateien (Äquivalent zu

Alle<Documents>

CSIDL_MYDOCUMENTS). Typischer Pfad:C:\Documente undEinstellungen\Benutzername\Eigene Dateien.

Der Ordner in dem standardmäßigDownloads gespeichert werden. Ein typischer

Alle<Downloads>

Pfad unter Windows istC:\Benutzer\Benutzername\Downloads.

Das Dateisystemverzeichnis, das alsallgemeines Repository für Musikdateien

Alle<Music>

dient. Typischer Pfad: C:\Documente undEinstellungen\Benutzername\EigeneDateien\Eigene Musik.

Alle<Network Shares>

Das Dateisystemverzeichnis, das alsallgemeines Repository für Bilddateien dient.

Alle<Pictures>

Typischer Pfad: C:\Documente und

131

Administratorhilfe


Pfad-Platzhalter

Einstellungen\Benutzername\EigeneDateien\Eigene Bilder.

Das Dateisystemverzeichnis, das alsallgemeines Repository für Dokumente für

Alle<Public>

alle Benutzer dient. Typischer Pfad:C:\Benutzer\<Benutzername>\Öffentlich.

Zeigt auf die Root-Verzeichnisse allerWechselmedien.

Alle<Removables>

Der Profilordner des Benutzers. TypischerPfad: C:\Benutzer\Benutzername.

Hinweis: Die Verschlüsselung desgesamten Benutzerprofils mit diesem

Alle<User Profile>

Platzhalter kann zu einem instabilenWindows Desktop auf dem Endpoint führen.

Das Dateisystemverzeichnis, das alsallgemeines Repository für Videodateien für

Alle<Videos>

Benutzer dient. Typischer Pfad:C:\Documente und Einstellungen\AlleBenutzer\Dateien\Eigene Videos.

Das Dateisystemverzeichnis, das alsallgemeines Repository für Internet Cookies

Windows<Cookies>

dient. Typischer Pfad: C:\Documente undEinstellungen\Benutzername\Cookies.

Das Dateisystemverzeichnis, das alsallgemeines Repository für die Favoriten des

Windows<Favorites>

Benutzers dient. Typischer Pfad:C:\Documente undEinstellungen\Benutzername\Favoriten.

Das Dateisystemverzeichnis, das alsallgemeines Daten-Repository für lokale

Windows<Local Application Data>

Applikationen (ohne Roaming) dient.Typischer Pfad: C:\Dokumente undEinstellungen\Benutzername\LokaleEinstellungen\Anwendungsdaten.

Das Dateisystemverzeichnis, dasAnwendungsdaten für alle Benutzer enthält.

Windows<Program Data>

Typischer Pfad: C:\Dokumente undEinstellungen\AlleBenutzer\Anwendungsdaten.

Der Programme-Ordner. Typischer Pfad:\Programme. Für 64-Bit Systeme wird dies

Windows<Program Files>

auf zwei Regeln erweitert: eine für 32-Bit

132



Pfad-Platzhalter

Anwendungen und eine für 64-BitAnwendungen.

Das Dateisystemverzeichnis, das alsallgemeines Repository für Musikdateien für

Windows<Public Music>

alle Benutzer dient. Typischer Pfad:C:\Documente und Einstellungen\AlleBenutzer\Eigene Musik.

Das Dateisystemverzeichnis, das alsallgemeines Repository für Bilddateien für

Windows<Public Pictures>

alle Benutzer dient. Typischer Pfad:C:\Documente und Einstellungen\AlleBenutzer\Dateien\Eigene Bilder.


Windows<Public Videos>

alle Benutzer dient. Typischer Pfad:C:\Documente und Einstellungen\AlleBenutzer\Dateien\Eigene Videos.

Das Dateisystemverzeichnis, das alsallgemeines Repository für

Windows<Roaming>

anwendungsspezifische Daten dient.Typischer Pfad: C:\Dokumente undEinstellungen\Benutzername\Anwendungsdaten.

Der Windows Systemordner.Typischer Pfad:C:\Windows\System32. Für 64-Bit Systeme

WindowsSystem

wird dies auf zwei Regeln erweitert: eine für32-Bit Anwendungen und eine für 64-BitAnwendungen.

Das Dateisystemverzeichnis, das alsStaging-Bereich für Dateien, die auf eine CD

Windows<Temporary Burn Folder>

geschrieben werden sollen, verwendet wird.Typischer Pfad: C:\Dokumente undEinstellungen\Benutzername\LokaleEinstellungen\Microsoft\CD Burning.

Das Dateisystemverzeichnis, das alsallgemeines Repository für temporäre

Windows<Temporary Internet Folder>

Internetdateien dient. Typischer Pfad:C:\Dokumente undEinstellungen\Benutzername\LokaleEinstellungen\Temporary Internet Files.

Das Windows-Verzeichnis oder SYSROOT.Dies entspricht den Umgebungsvariablen

Windows<Windows>

%windir% oder %SYSTEMROOT%.Typischer Pfad: C:\Windows.

133

Administratorhilfe


Pfad-Platzhalter

Mac OS X Stammverzeichnis.Wir empfehlen,keine Richtlinien für das Stammverzeichnis

Mac OS X<Root>

festzulegen, auch wenn dies technischmöglich ist.

Platzhalter für Cloud Storage

Wird aufgelöst inKann in CSD-Einstellung(Cloud Storage Definition)verwendet werden.

Platzhalter für Cloud StorageAnbieter

FürSynchronisierungsapplikationen:

Synchronisierungsapplikation,Synchronisierungsordner

<!Box!>Box

Der "Fullyqualified"-PfadderSynchronisierungsapplikation,die von derBox-Softwarebenutzt wird.

FürSynchronisierungsordner:Der "Fullyqualified"-PfaddesSynchronisierungsordners,der von derBox-Softwarebenutzt wird.



<!Dropbox!>Dropbox

Der "Fullyqualified"-PfadderSynchronisierungsapplikation,die von derDropbox-Softwarebenutzt wird.

FürSynchronisierungsordner:Der "Fullyqualified"-PfaddesSynchronisierungsordners,der von derDropbox-Softwarebenutzt wird.

134




Der "Fullyqualified"-Pfad

Synchronisierungsapplikation<!Egnyte!>Egnyte

Nur WindowsderSynchronisierungsapplikation,die von derEgnyte-Softwarebenutzt wird.

Alle privatenOrdner in der

Synchronisierungsordner<!EgnytePrivate!>

Egnyte CloudStorage. FürStandard-Egnyte-Benutzerist dies in derRegel eineinzelnerOrdner. FürEgnyte-Administratoren,wird dieserPlatzhalter inder Regel inmehrere Ordnerumgesetzt.

Allefreigegebenen

Synchronisierungsordner<!EgnyteShared!>

Ordner in derEgnyte CloudStorage.

Hinweis:

Änderungen an der Egnyte-Ordnerstruktur (auch dasHinzufügen oder Entfernen von privaten oder freigegebenenOrdnern) werden automatisch erkannt. Relevante Richtlinienwerden automatisch aktualisiert.

Hinweis: Da sich Egnyte-Synchronisierungsordner imNetzwerk befinden können, können Sie bei der EinstellungSynchronisierungsordner Netzwerkpfade eingeben. DasSafeGuard Enterprise Cloud Storage Modul wirdstandardmäßig auf Netzwerkdateisysteme angewendet.Wenndies nicht erforderlich ist, können Sie dieses Verhaltendeaktivieren, indem Sie eine Richtlinie vom Typ AllgemeineEinstellungen definieren und unter Ignorierte Geräte dieOption Netzwerk auswählen.



<!GoogleDrive!>Google Drive

Der "Fully

135

Administratorhilfe



qualified"-PfadderSynchronisierungsapplikation,die von derGoogle DriveSoftwarebenutzt wird.

FürSynchronisierungsordner:Der "Fullyqualified"-PfaddesSynchronisierungsordners,der von derGoogle DriveSoftwarebenutzt wird.



<!OneDrive!>OneDrive

Der "Fullyqualified"-PfadderSynchronisierungsapplikation,die von derOneDrive-Softwarebenutzt wird.

FürSynchronisierungsordner:Der "Fullyqualified"-PfaddesSynchronisierungsordners,der von derOneDrive-Softwarebenutzt wird.

Hinweis: SafeGuard Enterprise unterstützt keine MicrosoftKonten. Unter Windows 8.1 kann OneDrive nur verwendetwerden, wenn der Windows-Benutzer ein Domänenbenutzerist. Unter Windows 8.1 unterstützt SafeGuard EnterpriseOneDrive nicht für lokale Benutzer.



<!OneDriveForBusiness!>OneDrive forBusiness

Der "Fullyqualified"-PfadderSynchronisierungsapplikation,

136




die von derOneDrive-Softwarebenutzt wird.


Hinweis: OneDrive for Business unterstützt nur das Speichernvon verschlüsselten Dateien in lokalen Ordnern und derenSynchronisierung mit der Cloud. Das direkte Speichern vonverschlüsselten Dateien aus Microsoft Office 2013 in dieOneDrive for Business Cloud oder auf den SharePoint Serverwird nicht unterstützt. Diese Dateien werden unverschlüsseltin der Cloud gespeichert.

Dateien, die mit SafeGuard Enterprise in der OneDrive forBusiness Cloud verschlüsselt werden, können nicht mitMicrosoft Office 365 geöffnet werden.



<!SkyDrive!>SkyDrive

Nur WindowsDer "Fullyqualified"-PfadderSynchronisierungsapplikation,die von derOneDrive-Softwarebenutzt wird.


Microsoft hat SkyDrive in OneDrive umbenannt, aber derPlatzhalter <!SkyDrive!> kann noch verwendet werden.

Daher können auch ältere Richtlinien mit diesem Platzhalterund SafeGuard Enterprise Endpoints vor Version 7, die denPlatzhalter <!OneDrive!> nicht auflösen können, verwendet

137

Administratorhilfe



werden. SafeGuard Enterprise Endpoints ab Version 7 könnenbeide Platzhalter auflösen.

5.1.2.5 Richtlinien vom Typ Keine VerschlüsselungWerden Richtlinien entlang einer Hierarchiekette zugewiesen, so wirkt jene Richtlinie amstärksten, die näher beim Zielobjekt (Benutzer/Computer) ist. Das bedeutet: mit der Entfernungzum Zielobjekt verliert die Richtlinie immer mehr an Kraft - wenn nähere Richtlinien vorhandensind. Richtlinien vom Typ Keine Verschlüsselung können dazu verwendet werden, dieVererbung von Verschlüsselungsrichtlinien an bestimmten Stellen in der Hierarchie zuunterbrechen. Für untergeordnete Ebenen ist die Richtlinie vom Typ Keine Verschlüsselungebenfalls gültig.

Das Verhalten am Endpoint ist vom Modul und der Version abhängig.

Endpoints mit Synchronized Encryption

Richtlinien vom Typ Anwendungsbasierend (Synchronized Encryption) werden NICHTvereinigt. Es wird immer jene Richtlinie angewendet, die in der Hierarchie dem Zielobjekt(Benutzer/Computer) am nächsten ist. Ist sie die nächste, wird eine Richtlinie vom Typ KeineVerschlüsselung wirksam.

Endpoints mit File Encryption Version 8

Richtlinien vom Typ Pfadbasiert werden vereinigt. Werden mehrere Richtlinien zugewiesen,wird ihr Inhalt anhand bestimmter Regeln bewertet, siehe Regeln für die Zuweisung undAuswertung von Richtlinien (Seite 254). Für das RSOP (Resulting Set of Policies), siehePfadbasierte File Encryption-Richtlinien im RSOP (Seite 166). Innerhalb einer Zuweisung, hatdie Richtlinie mit der höchsten Priorität (1) Vorrang gegenüber einer Richtlinie mit einergeringeren Priorität. Hat sie die höchste Priorität, wird eine Richtlinie vom Typ KeineVerschlüsselung wirksam.

Endpoints mit File Encryption vor Version 8Eine Richtlinie vom Typ Keine Verschlüsselung hat auf diesen Endpoints keine Auswirkung.Endpoints mit File Encryption 7.0 und älter können die Einstellung Verschlüsselungstypnicht auflösen. Es gelten die Regeln von allen File Encryption Richtlinien vom TypPfadbasiert.

Hinweis: Dies ist besonders dann relevant, wenn Sie Endpoints mit Version 8 und Endpointsmit älteren Versionen gleichzeitig betreiben.

5.1.3 Outlook-Add-in

Hinweis: Das Outlook Add-In ist nur für Windows Endpoints verfügbar.

Wenn Sie E-Mails mit Anhängen an Empfänger senden, die Synchronized Encryptionverwenden, wird automatisch der Synchronized Encryption-Schlüssel verwendet. Sie brauchensich nicht um die Verschlüsselung und Entschlüsselung zu kümmern. Wenn Sie E-Mails anEmpfänger außerhalb Ihres Firmennetzwerks senden, ist es ratsam, Anhänge zu verschlüsseln

138


um sensible Daten zu schützen. SafeGuard Enterprise beinhaltet ein Add-In für MicrosoftOutlook, das Ihnen das Verschlüsseln von Mailanhängen erleichtert. Wenn Sie eine E-Mailmit einem oder mehreren Anhängen versenden, werden Sie gefragt, wie Sie mit Ihren Dateienverfahren möchten. Die verfügbaren Optionen hängen vom Verschlüsselungsstatus derDatei(en) ab, die Sie an die Mail anhängen.

5.1.3.1 Erstellen von Richtlinien zum Aktivieren des SafeGuard Outlook Add-InSo aktivieren Sie das SafeGuard Enterprise Synchronized Encryption Outlook Add-In:



2. Gehen Sie zum Abschnitt Einstellungen für das E-Mail Add-In.

3. Unter Email Add-In aktivieren wählen Sie Ja.

Das Add-In ist nun aktiv. Jedes Mal, wenn Benutzer ein E-Mail mit Anhang versenden,werden sie gefragt, wie die Anhänge behandelt werden sollen.

Zusätzlich können Sie Listen mit Domänen anlegen und definieren, wie Anhänge behandeltwerden, die an diese bestimmten Domänen versendet werden.

4. Wählen Sie eine Methode unter Verschlüsselungsmethode für Domains auf Whitelists:

■ Verschlüsselt: Alle Anhänge in E-Mails an die bestimmten Domänen werdenverschlüsselt. Benutzer werden nicht gefragt.

■ Keine Verschlüsselung: Anhänge in E-Mails an die bestimmten Domänen werdennicht verschlüsselt. Benutzer werden nicht gefragt.

■ Unverändert:Verschlüsselte Dateien werden verschlüsselt gesendet; unverschlüsselteDateien werden unverschlüsselt gesendet. Benutzer werden nicht gefragt.

■ Immer fragen: Benutzer werden jedes Mal gefragt, wie die Anhänge behandelt werdensollen.

5. Geben Sie eine oder mehrere Domänen ein, für die die Verschlüsselungsmethode geltensoll. Verwenden Sie bei mehreren Domänen ein Komma als Trennzeichen. Platzhalterund teilweise definierte Domänen werden nicht unterstützt.

6. Wenn Sie die Registerkarte Allgemeine Einstellungen verlassen, werden Sie aufgefordert,Ihre Änderungen zu speichern.



5.1.4 Integration in Sophos Endpoint Protection

SafeGuard Enterprise Synchronized Encryption schützt Ihre Daten auf Endpoints, auf denenbösartiges Verhalten festgestellt wird, dadurch, dass Schlüssel entzogen werden.

Wichtig: Dieses Feature ist nur verfügbar, wenn Sie web-basierte Sophos Central EndpointProtection gemeinsam mit SafeGuard Enterprise verwenden.

Integration in Sophos Endpoint Protection sorgt für die Kommunikation zwischen SophosSafeGuard und Sophos Central Endpoint Protection. Dabei wird der Sicherheitsstatus zwischenSafeGuard Enterprise und Sophos Central Endpoint Protection ausgetauscht. Wenn IhrSystem infiziert ist, schützt SafeGuard Enterprise Ihre sensiblen Daten.Wenn keine Schlüsselverfügbar sind, kann auf keine Daten zugegriffen werden.

139

Administratorhilfe

In diesem Fall werden Benutzer darüber informiert, dass der Systemzustand schlecht ist,dass aber SafeGuard Enterprise ihre verschlüsselten Dateien schützt und sie deshalb nichtauf die Daten zugreifen können. Endpoints verbleiben in diesem Zustand bis sich derSystemzustand verbessert. Erst dann stellt SafeGuard Enterprise die Schlüssel wieder zurVerfügung. Benutzer werden darüber informiert, dass ihr Endpoint wieder sicher ist und siewieder auf ihre verschlüsselten Daten zugreifen können.

In Situationen, wenn Sie den schlechten Systemzustand bestimmter Endpoints als nichtgerechtfertigt ansehen, können Sie Benutzern den Zugriff auf ihren Schlüsselring zurückgeben,indem Sie die Option Schlüssel auf gefährdeten Computern entziehen auf Nein setzenund die geänderte Richtlinie auf die betroffenen Benutzergruppen anwenden, siehe Erstellenvon Richtlinien zum Entziehen von Schlüsseln auf gefährdeten Computern (Seite 140).

Wichtig: Beachten Sie, dass die Deaktivierung der Funktion Schlüssel auf gefährdetenComputern entziehen ein Sicherheitsrisiko darstellt. Sie müssen die Situation davor sorgfältiganalysieren und beurteilen.

Der Sicherheitszustand des Computers wird im Dialog Sophos SafeGuard Client Statusam Endpoint angezeigt.

Voraussetzungen■ Sophos Central Endpoint Protection 1.0.3 oder höher muss auf den Endpoints installiert

sein.

Hinweis: Prüfen Sie unter Programme und Funktionen, ob Sophos System Protectionverfügbar ist.

■ Eine Richtlinie vom Typ Allgemeine Einstellungen mit aktivierter Option Schlüssel aufgefährdeten Computern entziehen muss zugewiesen sein.

5.1.4.1 Erstellen von Richtlinien zum Entziehen von Schlüsseln auf gefährdetenComputernSo schützen Sie Daten, wenn bösartige Aktivitäten auf Endpoints festgestellt werden:



2. Wechseln Sie in den Bereich Dateiverschlüsselung.

3. Wählen Sie Ja in der Dropdown-Liste Schlüssel auf gefährdeten Computern entziehen.

Nun werden Schlüssel auf Computern, wo bösartige Aktivitäten festgestellt werden,entzogen. Eine Meldung wird protokolliert.

Hinweis: Bösartiges Verhalten wird unabhängig von den Einstellungen unter Schlüsselauf gefährdeten Computern entziehen immer in der SafeGuard Enterprise Datenbankprotokolliert.

4. Wenn Sie die Registerkarte Allgemeine Einstellungen verlassen, werden Sie aufgefordert,Ihre Änderungen zu speichern.



140


5.1.5 SafeGuard Enterprise Schlüsselring für mobile Geräte mit SophosMobile Control freigeben

Schlüssel im SafeGuard Enterprise Schlüsselring können in der Sophos Secure WorkspaceApp bereitgestellt werden. Benutzer der App können dann die Schlüssel zum Entschlüsseln,Lesen und Verschlüsseln von Dokumenten verwenden.

Die Schlüsselringe werden zwischen SafeGuard Enterprise und Sophos Mobile Controlsynchronisiert. Es werden keine Schlüssel am Sophos Mobile Control Server gespeichert.Nur die Sophos Secure Workspace App kann die Schlüssel entschlüsseln.

Voraussetzungen

Folgende Voraussetzungen müssen für die Schlüsselring-Synchronisierung erfüllt sein:

■ Sie haben die Integration im SafeGuard Management Center eingerichtet.

■ Sie verwenden Sophos Mobile Control 6.1.

■ Sie haben ein externes Benutzermanagement für das Sophos Mobile Control 6.1 SelfService Portal wie in der Dokumentation zu Sophos Mobile Control beschrieben eingerichtetund verwenden dieselbe Active Directory Benutzerdatenbank, die in SafeGuard Enterprisekonfiguriert ist.

■ Sophos Secure Workspace wird von Sophos Mobile Control verwaltet.

■ Sie haben die Integration in Sophos Mobile Control eingerichtet.

■ Damit der Schlüsselring in Sophos Mobile Control verfügbar ist, müssen sich Benutzerzumindest einmal an SafeGuard Enterprise anmelden.

Features auf Mobilgeräten

Die Schlüsselring-Synchronisierung beinhaltet folgende Features:

■ Die Schlüssel aus dem SafeGuard Enterprise Schlüsselring eines Benutzers sind imSophos Secure Workspace Schlüsselring (SSW Schlüsselring) verfügbar.

■ Benutzer können weiterhin lokale Schlüssel verwenden, die in ihrem SSW Schlüsselringvor der Synchronisierung verfügbar waren.

■ Nachdem Sie die Schlüsselring-Synchronisierung eingerichtet haben, können Benutzerkeine neuen lokalen Schlüssel mehr erstellen.

■ Aus Sicherheitsgründen werden die Schlüssel des SafeGuard Enterprise Schlüsselringsvom Gerät entfernt, wenn der Sophos Container gesperrt wird.

5.1.5.1 Einrichten der Schlüsselring-SynchronisierungWenn Sie die Schlüsselring-Synchronisierung aktivieren, können Benutzer von SafeGuardEnterprise ihren Schlüsselring auch in der Sophos Secure Workspace App verwenden.

So richten Sie eine Verbindung zwischen Sophos Mobile Control und Sophos SafeGuardEnterprise ein:

Hinweis: Sie sind dabei, Benutzer-Schlüsselringe für Mobilgeräte verfügbar zu machen.Wenn diese Geräte den Regeln von Sophos Mobile Control (SMC) entsprechen, kann damitauf verschlüsselte Dateien zugegriffen werden. Wir empfehlen, mit dem SMC-Administrator

141

Administratorhilfe

zusammenzuarbeiten, um Compliance-Regeln zu erstellen und so unbefugtem Zugriff auf dieDaten vorzubeugen.

1. Laden Sie in der Sophos Mobile Control Konsole die Zertifikatsdatei für den Sophos MobileControl Server herunter.

Klicken Sie in der seitlichen Menüleiste in der Sophos Mobile Control Konsole unterEINSTELLUNGEN auf Einstellungen > Systemeinstellungen und klicken Sieanschließend auf die Registerkarte SGN.


3. Wählen Sie Server.

4. Klicken Sie auf Hinzufügen.

Der Dialog Serverregistrierung wird angezeigt.

5. Verwenden Sie die Schaltfläche zum Durchsuchen, um Ihr Sophos Mobile ControlServerzertifikat auszuwählen, das Sie heruntergeladen haben.

Wichtig: Lassen Sie den Namen im Feld Servername: unverändert.


Der Sophos Mobile Control Server wird in der Registerkarte Server unterKonfigurationspakete angezeigt.

7. Aktivieren Sie optional das Kontrollkästchen Recovery über Mobile Geräte.

Diese Option übermittelt die Recovery-Schlüssel für BitLocker und FileVault 2 an denSophos Mobile Control Server. Benutzer von Sophos Secure Workspace (von SophosMobile Control verwaltet) können diese Schlüssel dann auf ihren Mobilgeräten anzeigenund für die Wiederherstellung verwenden, siehe Schlüssel für dieFestplattenverschlüsselung mit mobilen Geräten synchronisieren (Seite 237).

Hinweis: Sophos Secure Workspace unterstützt Recovery per Mobilgerät ab Version 6.2.

Wir empfehlen, die Kompatibilität der Einstellungen mit Ihrem SMC-Administratorabzustimmen, da nur kompatible Mobilgeräte Recovery-Schlüssel empfangen können.




11. Wählen Sie in der Spalte Primärer Server den Sophos Mobile Control Server aus derAuswahlliste. Ein Sekundärer Server wird nicht benötigt.

12. Wählen Sie in der Spalte Transportverschlüsselung die Option SSL.




Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Nun müssen Siedas Konfigurationspaket auf Sophos Mobile Control hochladen.

142


5.1.6 Konfigurieren von Dateiverschlüsselungseinstellungen in Richtlinienvom Typ Allgemeine Einstellungen

Neben den in File Encryption Richtlinien vom VerschlüsselungstypAnwendungsbasierenddefinierten Verschlüsselungsregeln können Sie in Richtlinien vom Typ AllgemeineEinstellungen folgende Einstellungen für die Dateiverschlüsselung konfigurieren:

■ Vertrauenswürdige Anwendungen (meist Virenschutzsoftware)

■ Ignorierte Geräte

5.1.6.1 Konfigurieren von vertrauenswürdigen Anwendungen für anwendungsbasierteDateiverschlüsselungSie können Anwendungen als vertrauenswürdig definieren, um ihnen Zugriff auf verschlüsselteDateien zu geben. Dies ist zum Beispiel notwendig, damit Antivirus-Software verschlüsselteDateien überprüfen kann.

Hinweis: Untergeordnete Prozesse werden nicht als vertrauenswürdig eingestuft.


2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche des FeldsVertrauenswürdige Anwendungen.

3. Geben Sie im Editor-Listenfeld die Anwendungen ein, die Sie als vertrauenswürdigdefinieren möchten.

■ Sie können mehrere vertrauenswürdige Anwendungen in einer Richtlinie definieren.Jede Zeile im Editor-Listenfeld definiert jeweils eine Anwendung.

■ Anwendungsnamen müssen auf .exe enden.

■ Anwendungsnamen müssen als Fully Qualified Paths mit Laufwerk/Verzeichnis definiertwerden, zum Beispiel c:\dir\beispiel.exe. Es reicht nicht aus, nur den Dateinameneinzugeben (zum Beispiel beispiel.exe). Aus Gründen der Benutzerfreundlichkeitzeigt die Einzelzeilenansicht der Anwendungsliste nur die Dateinamen getrennt durchStrichpunkte.

■ OS X: Es reicht nicht aus, nur das Anwendungspaket (zum Beispiel/Applications/Scanner.app) einzugeben. Die Anwendung muss als/Applications/Scanner.app/Contents/MacOS/Scanner angegeben werden.

■ Die Anwendungsnamen können dieselben Platzhalter für Windows Shell Ordner undUmgebungsvariablen wie die Verschlüsselungsregeln in File Encryption Richtlinenenthalten. Für eine Liste aller unterstützten Platzhalter, siehe Platzhalter für Pfade inpfadbasierten Dateiverschlüsselungsregeln (Seite 161).


Hinweis: Die Richtlinieneinstellungen Vertrauenswürdige Anwendungen sindComputereinstellungen. Die Richtlinie muss daher Computern, nicht Benutzern, zugewiesenwerden. Andernfalls werden die Einstellungen nicht wirksam.

143

Administratorhilfe

5.1.6.2 Ignorierte Geräte konfigurierenSie können Geräte als ignoriert definieren, um sie von der Dateiverschlüsselungauszuschließen. Sie können nur vollständige Geräte ausschließen.


2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche des FeldsIgnorierte Geräte.

3. Führen Sie im Editor-Listenfeld folgende Schritte durch:

a) Wählen Sie Netzwerk wenn Sie keine Daten am Netzwerk verschlüsseln wollen.

b) Geben Sie die entsprechenden Gerätenamen an, um spezifische Geräte von derVerschlüsselung auszuschließen. Dies ist zum Beispiel nützlich, wenn Sie Systemevon Dritt-Anbietern ausschließen müssen.

Hinweis: Sie können die Namen der derzeit im System benutzten Geräte mit Toolsvon Dritt-Anbietern (z. B. OSR Device Tree) anzeigen lassen. SafeGuard Enterpriseprotokolliert alle Geräte, mit denen eine Verbindung hergestellt wird. Mit Hilfe vonRegistry Keys können Sie eine Liste von verbundenen und ignorierten Geräten aufrufen.Für weitere Informationen, siehe Anzeige von ignorierten und verbundenen Geräten(Windows) (Seite 144).

Sie können einzelne (Netzwerk)-Festplattenlaufwerke von der Verschlüsselungausschließen, in dem Sie eine File Encryption Verschlüsselungsregel in einer FileEncryption Richtlinie erstellen und den Modus für die Verschlüsselung auf Ignoriereneinstellen. Sie können diese Einstellung nur auf durch Windows verwaltete Laufwerke,nicht auf Mac OS X Volumes.

5.1.6.2.1 Anzeige von ignorierten und verbundenen Geräten (Windows)

Als Hilfestellung für die Definition von ignorierten Geräten können Sie mit Registry Keysermitteln, welche Geräte für die Verschlüsselung in Betracht gezogen werden (verbundeneGeräte) und welche Geräte derzeit ignoriert werden. Die Liste mit ignorierten Geräten enthältnur Geräte, die tatsächlich auf dem Computer verfügbar sind und ignoriert werden. Wird einGerät in einer Richtlinie als ignoriert definiert und das Gerät ist nicht verfügbar, so wird dasGerät auch nicht aufgelistet.

Benutzen Sie folgende Registry Keys, um verbundene und ignorierte Geräte zu ermitteln:

■ HKLM\System\CurrentControlSet\Control\Utimaco\SGLCENC\Log\AttachedDevices

■ HKLM\System\CurrentControlSet\Control\Utimaco\SGLCENC\Log\IgnoredDevices

5.1.7 Anwendungsbasierte File Encryption-Richtlinien im RSOP

Da Synchronized Encryption Richtlinien nicht vereinigt werden, wird immer der Inhalt derRichtlinie angezeigt, die gerade für einen Benutzer oder Computer in Kraft ist (Benutzer undComputer > RSOP > Dateiverschlüsselung).

5.2 Festplattenverschlüsselung verwaltenUm Festplatten besonders schnell, einfach und zuverlässig zu verschlüsseln, greift SafeGuardEnterprise auf die Verschlüsselungstechnologie des Betriebssystems zurück. Verwalten SieSchlüssel und Wiederherstellungsfunktionen für BitLocker- bzw. FileVault-verschlüsselteLaufwerke ganz praktisch über das SafeGuard Management Center.

144


5.2.1 BitLocker-Laufwerkverschlüsselung

BitLocker Drive Encryption ist ein in Microsoft Windows Betriebssysteme integriertes Featurefür die Festplattenverschlüsselung mit Pre-Boot Authentication. BitLocker bietet Datenschutzdurch die Verschlüsselung von Boot- sowie Daten-Laufwerken. Ab Windows 8 müssen SieBitLocker Drive Encryption statt SafeGuard Full Disk Encryption für dieFestplattenverschlüsselung verwenden.

SafeGuard Enterprise kann BitLocker Verschlüsselung auf einem Computer verwalten. DieBitLocker-Verschlüsselung kann aktiviert und die Verwaltung von bereits mit BitLockerverschlüsselten Laufwerken übernommen werden.

SafeGuard Enterprise überprüft während der Installation am Endpoint und während demersten Neustart, ob die Hardware die Anforderungen für BitLocker mit SafeGuardChallenge/Response erfüllt. Falls nicht, wird die SafeGuard Enterprise BitLocker Verwaltungohne Challenge/Response ausgeführt. In diesem Fall kann der BitLocker Recovery-Schlüsselmit dem SafeGuard Management Center abgerufen werden.

5.2.1.1 Authentisierung mit BitLocker-LaufwerkverschlüsselungDie BitLocker-Laufwerkverschlüsselung bietet verschiedene Authentisierungsoptionen fürBoot- und Datenlaufwerke.

Der Sicherheitsbeauftragte kann die verschiedenen Anmeldemodi in einer Richtlinie imSafeGuard Management Center einstellen und sie an die BitLocker Endpoints verteilen.

Für SafeGuard Enterprise BitLocker-Benutzer sind folgende Anmeldemodi verfügbar:

■ TPM: Der Schlüssel für die Anmeldung wird auf dem TPM-Chip (Trusted Platform Module)gespeichert.

■ TPM + PIN: Der Schlüssel für die Anmeldung wird auf dem TPM-Chip gespeichert undzusätzlich wird eine PIN zur Anmeldung benötigt.

■ Systemstartschlüssel: Der Schlüssel für die Anmeldung wird auf einem USB-Stickgespeichert.

■ TPM + Systemstartschlüssel: Der Schlüssel für die Anmeldung wird auf dem TPM-Chipund auf einem USB-Stick gespeichert. Beides wird für die Anmeldung benötigt.

■ Kennwort: Der Benutzer muss ein Kennwort eingeben.

■ Systemstartschlüssel: Der Schlüssel für die Anmeldung wird auf einem USB-Stickgespeichert.

■ Kennwort oder Systemstartschlüssel: USB-Sticks werden nur verwendet, wennKennwörter auf dem Client-Betriebssystem nicht unterstützt werden.

■ Auto-Unlock: Wenn das Boot-Laufwerk verschlüsselt ist, wird ein externer Schlüsselgeneriert und auf dem Boot-Laufwerk gespeichert. Die Datenlaufwerke werden dannautomatisch verschlüsselt. Sie werden automatisch mit der Auto-Unlock-Funktion vonBitlocker freigegeben.

Weitere Informationen zum Einrichten der Anmeldemodi finden Sie unter Authentisierung(Seite 372).

145

Administratorhilfe

5.2.1.1.1 Trusted Platform Module (TPM)

Das TPM ist ein Modul auf dem Motherboard, das einer Smartcard ähnelt undVerschlüsselungsfunktionen sowie Vorgänge für die digitale Signatur ausführt. Es ist in derLage, Benutzerschlüssel anzulegen, zu speichern und zu verwalten. Das TPM ist gegenAngriffe geschützt.

5.2.1.1.2 PIN und Kennwörter

Die Voraussetzungen für BitLocker PINs und Kennwörter werden in den WindowsGruppenrichtlinien festgelegt und nicht durch die SafeGuard Enterprise-Einstellungen.

Hinweis: Kennwörter werden erst ab Windows 8 oder höher unterstützt.

Die betreffenden Einstellungen für Kennwörter sind im lokalen Gruppenrichtlinien-Editor(gpedit.msc) zu finden:

Local Computer Policy > Computer Configuration > Administrative Templates > WindowsComponents > BitLocker Drive Encryption > Operating System Drives > Configure useof passwords for operating system drives und

Local Computer Policy > Computer Configuration > Administrative Templates > WindowsComponents > BitLocker Drive Encryption > Fixed Data Drives > Configure use ofpasswords for fixed data drives.

Die Einstellungen können auch über Active Directory angewendet werden.

PINs bestehen in der Regel nur aus Zahlen. Es kann jedoch die Verwendung allerTastaturzeichen (Zahlen, Buchstaben und Sonderzeichen/Symbole) zugelassen werden. DieEinstellung, mit der diese erweiterten PINs zugelassen werden, ist im lokalenGruppenrichtlinien-Editor (gpedit.msc) unter Local Computer Policy - ComputerConfiguration - Administrative Templates - Windows Components - BitLocker DriveEncryption - Operating System Drives zu finden:

Wenn "Erweiterte PINs für Systemstart zulassen" auf "Aktiviert" gesetzt ist, sind erweitertePINs zulässig.

Wenn "Erweiterte PINs für Systemstart zulassen" auf "Nicht konfiguriert" gesetzt ist, sind inSafeGuard Enterprise erweiterte PINs zulässig.

Wenn "Erweiterte PINs für Systemstart zulassen" auf "Deaktiviert" gesetzt ist, sind erweitertePINs nicht zulässig.

Hinweis: BitLocker unterstützt nur das EN-US Tastaturlayout. Benutzer könnten daherProbleme bei der Eingabe erweiterter PINs oder komplexer Kennwörter haben. Wird dasTastaturlayout vor dem Festlegen der neuen BitLocker-PIN oder des neuenBitLocker-Kennworts nicht in EN-US geändert, muss für die Eingabe des gewünschtenZeichens unter Umständen eine andere Taste gedrückt werden. Um sicherzustellen, dassder Benutzer beim Start die PIN oder das Kennwort richtig eingeben kann, wird vor derVerschlüsselung eines Startvolumes ein Neustart durchgeführt.

5.2.1.2 Praxistipps: Richtlinieneinstellungen und BedienungDer Sicherheitsbeauftragte konfiguriert die Verschlüsselungsrichtlinien für die zuverschlüsselnden Laufwerke sowie eine Authentisierungsrichtlinie. Nach Möglichkeit sollteimmer das TPM genutzt werden, aber auch ohne TPM sollte das Boot-Volume verschlüsseltwerden. Die Benutzerinteraktion sollte auf ein Minimum beschränkt werden.

Gemäß diesen Anforderungen wählt der Sicherheitsbeauftragte die folgendenAuthentisierungseinstellungen (diese sind auch die Standardeinstellungen):

■ BitLocker Anmeldemodus für Boot-Laufwerke: TPM + PIN

146


■ BitLocker Fallback-Anmeldemodus für Boot-Laufwerke: Kennwort oderSystemstartschlüssel

■ BitLocker Anmeldemodus für Datenlaufwerke: Auto-Unlock

■ BitLocker Fallback-Anmeldemodus für Datenlaufwerke: Kennwort oderSystemstartschlüssel

Der Sicherheitsbeauftragte erstellt eine Geräteschutzrichtlinie mit dem Ziel Interner Speicherund richtet für den Verschlüsselungsmodus Volume-basierend ein. Danach werden beideRichtlinien auf die zu verschlüsselnden Endpoints angewendet.

Für SafeGuard Enterprise BitLocker-Benutzer gibt es folgende Szenarien:

Fall 1: Ein Benutzer meldet sich mit einem TPM bei einem Endpoint an.

1. Der Benutzer wird aufgefordert, eine PIN für das Boot-Volume einzugeben (z. B. LaufwerkC: ).

2. Der Benutzer gibt die PIN ein und klickt auf Neu starten und verschlüsseln.3. Das System testet die Hardware und überprüft, ob der Benutzer die PIN korrekt eingeben

kann. Es startet neu und fordert den Benutzer zur Eingabe der PIN auf.

■ Wenn der Benutzer die PIN richtig eingibt, wird der Endpoint gestartet.

■ Gibt der Benutzer die PIN nicht richtig ein (z. B. aufgrund eines falschen Tastaturlayouts),kann er die Esc-Taste in der BitLocker Pre-Boot-Umgebung drücken, um den Testabzubrechen, und der Endpoint wird gestartet.

■ Falls es ein Problem mit der Hardware gibt (z. B. wenn das TPM nicht funktioniert),wird der Test abgebrochen und der Endpoint gestartet.

4. Der Benutzer meldet sich erneut an.5. Wenn der Hardware-Test erfolgreich war (der Benutzer konnte die PIN richtig eingeben

und es gab kein Problem mit dem TPM), beginnt die Verschlüsselung des Boot-Volume.Andernfalls (wenn der Test fehlschlägt), wird ein Fehler angezeigt und das Volume nichtverschlüsselt. Schlägt der Test fehl, weil der Benutzer Esc in der Pre-Boot-Umgebunggedrückt hat, wird der Benutzer aufgefordert, erneut eine PIN einzugeben und einenNeustart vorzunehmen (wie in Schritt 2; die Schritte 3, 4 und 5 werden wiederholt).

6. Die Verschlüsselung des Boot-Volume beginnt.7. Die Verschlüsselung der Daten-Volumes beginnt ebenfalls, ohne dass eine Interaktion

seitens des Benutzers erforderlich ist.

Fall 2: Ein Benutzer meldet sich bei einem Windows 8-Endpoint ohne TPM an.

1. Der Benutzer wird aufgefordert, ein Kennwort für das Boot-Volume einzugeben.2. Der Benutzer gibt das Kennwort ein und klickt auf Neu starten und verschlüsseln.3. Das System startet neu, führt einen Hardwaretest durch und der Benutzer meldet sich wie

im Fall oben erneut an (genau wie in Fall 1, Schritte 3 bis 6, aber die Verweise auf dasTPM sind nicht relevant und anstelle einer PIN ist ein Kennwort erforderlich.)



Fall 3: Ein Benutzer meldet sich bei einem Windows 7-Endpoint ohne TPM an.

1. Der Benutzer wird aufgefordert, den Verschlüsselungsschlüssel für das Boot-Volume aufeinem USB-Stick zu speichern.

2. Der Benutzer steckt einen USB-Stick ein und wählt Speichern und neu starten aus.3. Das System startet neu, führt den Hardwaretest durch und der Benutzer meldet sich erneut

an. (Gleicher Ablauf wie in den vorgenannten Fällen, aber der Benutzer muss beim Booten

147

Administratorhilfe

den USB-Stick einstecken. Es könnte ein Hardwarefehler auftreten, wenn der USB-Stickvon der BitLocker Pre-Boot-Umgebung nicht gelesen werden kann.)



Fall 4: Der Sicherheitsbeauftragte ändert die Richtlinie und setzt den BitLockerFallback-Anmeldemodus für Boot-Laufwerke auf Kennwort. Ein Benutzer meldet sich beieinem Windows 7-Endpoint ohne TPM an.

1. Da der Endpoint kein TPM hat und Windows 7 keine Kennwörter für Boot-Volumes zulässt,wird das Boot-Volume nicht verschlüsselt.

2. Für jedes Nicht-Boot-Volume wird der Benutzer aufgefordert, den externen Schlüssel aufeinem USB-Stick zu speichern. Die Verschlüsselung des betreffenden Volume beginnt,sobald der Benutzer auf Speichern klickt.

3. Wenn der Benutzer den Endpoint neu startet, muss der USB-Stick eingesteckt sein, damitdie Nicht-Boot-Volumes entsperrt werden.

5.2.1.3 Voraussetzungen für die Verwaltung von BitLocker auf Endpoints■ Um die Anmeldemethoden TPM + PIN, TPM + Systemstartschlüssel,

Systemstartschlüssel oder Kennwort verwenden zu können, muss die GruppenrichtlinieZusätzliche Authentifizierung beim Start anfordern entweder in Active Directory oderlokal auf Computern aktiviert werden. Im Editor für lokale Gruppenrichtlinien (gpedit.msc)finden Sie die Gruppenrichtlinie hier:

Richtlinien für Lokaler Computer\Computerkonfiguration\AdministrativeVorlagen\Windows-Komponenten\BitLockerLaufwerksverschlüsselung\Betriebssystemlaufwerke

Um Systemstartschlüssel zu verwenden, müssen Sie auch BitLocker ohne kompatiblesTPM zulassen in den Gruppenrichtlinien aktivieren.

■ Um TPM + PIN auf Tablets verwenden zu können, aktivieren Sie zusätzlich dieGruppenrichtlinie Verwendung der BitLocker-Authentifizierung mit erforderlicherTastatureingabe vor dem Starten auf Slates aktivieren.

Hinweis: Die Gruppenrichtlinien sind bei der Installation auf dem Endpoint automatischaktiviert. Stellen Sie sicher, dass die Einstellungen nicht von anderen Gruppenrichtlinienüberschrieben werden.

■ Eine BitLocker-Geräteschutzrichtlinie, die die Konfiguration eines TPM-basiertenAuthentifizierungsmechanismus (zum Beispiel TPM, TPM+PIN, TPM +Systemstartschlüssel) auslöst, leitet automatisch die TPM-Aktivierung ein. Der Benutzerwird informiert, dass das TPM aktiviert werden muss, und erhält eine Nachricht, wenn dasSystem neugestartet oder heruntergefahren werden muss (abhängig von dem verwendetenTPM).

Hinweis: Wenn SafeGuard BitLocker Verwaltung auf einem Endpoint installiert ist, wirdmöglicherweise als Verschlüsselungsstatus eines Laufwerks Nicht vorbereitet angezeigt,siehe Registerkarte Laufwerke (Seite 262). Das bedeutet, dass das Laufwerk momentannicht mit BitLocker verschlüsselt werden kann, weil notwendige Vorbereitungen noch nichtdurchgeführt wurden. Das trifft nur auf verwaltetete Endpoints zu, weil nicht verwalteteteEndpoints keine Bestandsinformationen melden können.

Mit dem Befehlszeilentool SGNState können Sie überprüfen, ob der Endpoint für BitLockervorbereitet ist (Administratorrechte erforderlich). In manchen Fällen muss das Windows-Toolzur Laufwerkvorbereitung auf BitLocker ausgeführt werden. Weitere Informationen findenSie im Sophos Knowledgebase-Artikel 120819.

148



5.2.1.3.1 SafeGuard Challenge/Response für BitLocker

Um SafeGuard Enterprise BitLocker Challenge/Response verwenden zu können, müssendie folgenden Voraussetzungen erfüllt sein:

■ 64-Bit-Windows

■ UEFI Version 2.3.1 oder höher

■ Microsoft UEFI Zertifikat ist verfügbar oder Secure Boot ist deaktiviert.

■ NVRAM Booteinträge sind von Windows aus zugänglich

■ Windows im GPT-Modus installiert

■ Die Hardware ist in der POACFG.xml Datei nicht aufgelistet.

Sophos liefert eine Standard POACFG.xml Datei, die im Setup eingebettet ist. Es wirdempfohlen, die neueste Datei herunterzuladen und dem Installationsprogrammbereitzustellen

SafeGuard Enterprise überprüft während der Installation am Endpoint und während demersten Neustart, ob die Hardware die Anforderungen für BitLocker mit SafeGuardChallenge/Response erfüllt. Falls nicht, wird die SafeGuard Enterprise BitLocker Verwaltungohne Challenge/Response ausgeführt. In diesem Fall kann der BitLocker Recovery-Schlüsselmit dem SafeGuard Management Center abgerufen werden.

5.2.1.4 BitLocker Drive Encryption mit SafeGuard Enterprise verwaltenDie zentrale und vollständig transparente Verwaltung von BitLocker durch SafeGuard Enterpriseermöglicht die Anwendung in heterogenen IT-Umgebungen. SafeGuard Enterprise erweitertdie Funktionalität von BitLocker signifikant. Über SafeGuard Enterprise lassen sich dieSicherheitsrichtlinien für BitLocker zentral ausrollen. Bei der Verwaltung von BitLocker überSafeGuard Enterprise stehen darüber hinaus äußerst wichtige Prozesse, wieSchlüsselverwaltung und Schlüssel-Recovery, zur Verfügung.

Mit SafeGuard Enterprise können Sie BitLocker Drive Encryption vom SafeGuard ManagementCenter aus verwalten. Als Sicherheitsbeauftragter können Sie Verschlüsselungs- undAuthentisierungsrichtlinien einrichten und an die BitLocker-Endpoints verteilen.

Sobald ein BitLocker Endpoint im SafeGuard Management Center registriert ist, werdenInformationen zu Benutzer, Computer, Anmeldemodus und Verschlüsselungsstatus angezeigt.Außerdem werden Ereignisse für BitLocker Endpoints protokolliert.

Endpoints, die mit BitLocker verschlüsselt sind, können auf die gleiche Weise verwaltet werdenwie Endpoints mit SafeGuard Full Disk Encryption. Der Computertyp lässt sich über dieRegisterkarte Bestand unter Benutzer und Computer ermitteln. Die SpalteVerschlüsselungstyp zeigt an, ob es sich bei dem betreffenden Computer um einenBitLocker-Endpoint handelt.

Hinweis: Während der Installation des SafeGuard Enterprise-Client auf Windows 7 mussdie BitLocker-Funktion explizit ausgewählt werden, um die BitLocker-Verwaltung zuermöglichen.

Weitere Informationen zu BitLocker To Go und SafeGuard Enterprise finden Sie unter BitLockerTo Go (Seite 153).

149

Administratorhilfe

5.2.1.5 Verschlüsselung mit dem von SafeGuard Enterprise verwalteten BitLockerMit der BitLocker Drive Encryption-Unterstützung in SafeGuard Enterprise können SieBoot-Volumes und Daten-Volumes mit BitLocker-Verschlüsselung und -Schlüsselnverschlüsseln. Darüber hinaus können Daten, z. B. von Wechselmedien, mit SafeGuardEnterprise dateibasierender Verschlüsselung und SafeGuard Enterprise-Schlüsselnverschlüsselt werden. Dies ist keine BitLocker-Funktion, wird aber von SafeGuard Enterprisebereitgestellt.

5.2.1.5.1 BitLocker-Verschlüsselungsschlüssel

Bei der Verschlüsselung des Boot-Volumes oder anderer Volumes mit BitLocker überSafeGuard Enterprise werden die Verschlüsselungsschlüssel immer durch BitLocker erzeugt.BitLocker erzeugt jeweils einen Schlüssel für jedes Volume. Dieser Schlüssel lässt sich fürkeinen anderen Zweck verwenden.

Wenn BitLocker mit SafeGuard Enterprise verwendet wird, wird einWiederherstellungsschlüssel in der SafeGuard Enterprise Datenbank gespeichert. Diesermöglicht die Einrichtung eines Helpdesk- und Recovery-Mechanismus (ähnlich der SafeGuardEnterprise Challenge/Response Funktionalität).

Es ist jedoch nicht möglich, Schlüssel global auszuwählen oder wiederzuverwenden, wie diesbei nativen SafeGuard Enterprise Clients der Fall ist. Die Schlüssel werden außerdem auchnicht im SafeGuard Management Center angezeigt.

Hinweis: BitLocker erlaubt Ihnen, Wiederherstellungsschlüssel in Active Directory zu sichern.Dies passiert automatisch beim Verschlüsseln eines Volumes mit BitLocker, wenn dieentsprechende Gruppenrichtlinie (GPO) aktiviert ist. Ist ein Volume bereits verschlüsselt, kannein Administrator die BitLocker Wiederherstellungsschlüssel manuell mit dem WindowsManage-BDE-Tool sichern (siehe "manage-bde -protectors -adbackup -?").

5.2.1.5.2 BitLocker-Algorithmen in SafeGuard Enterprise

BitLocker unterstützt die folgenden Advanced Encryption Standard (AES) Algorithmen:

■ AES-128

■ AES-256

AES-128 mit Diffuser und AES-256 mit Diffuser werden nicht mehr unterstützt. Laufwerke,die bereits mit einem Algorithmus mit Diffuser verschlüsselt wurden, können mit SafeGuardEnterprise verwaltet werden.

5.2.1.5.3 Verschlüsselungsrichtlinien für die BitLocker-Laufwerkverschlüsselung

Der Sicherheitsbeauftragte kann eine Richtlinie für die (Erst-)Verschlüsselung im SafeGuardManagement Center anlegen und diese an die BitLocker Endpoints verteilen. Die Richtliniewird daraufhin auf den Endpoints ausgeführt. Die in der Richtlinie angegebenen Laufwerkewerden daraufhin mit BitLocker verschlüsselt.

Da die BitLocker Clients im SafeGuard Management Center transparent verwaltet werden,muss der Sicherheitsbeauftragte keine speziellen BitLocker-Einstellungen für dieVerschlüsselung vornehmen. SafeGuard Enterprise kennt den Status der Clients und wähltdie BitLocker-Verschlüsselung entsprechend. Wird ein BitLocker Client mit SafeGuardEnterprise installiert und wird die Volume-Verschlüsselung aktiviert, so werden die Volumesdurch die BitLocker-Laufwerkverschlüsselung verschlüsselt.

Ein BitLocker Endpoint verarbeitet Richtlinien vom Typ Geräteschutz und Authentisierung.

150


Die folgenden Einstellungen werden am Endpoint ausgewertet:

■ Einstellungen in einer Richtlinie des Typs Geräteschutz:

■ Ziel:Lokale Datenträger | Interner Speicher | Boot-Laufwerke | Andere Laufwerke| Laufwerksbuchstaben A: -Z:

■ Verschlüsselungsmodus für Medien Volume-basierend | Keine Verschlüsselung

■ Algorithmus für die Verschlüsselung AES128 | AES256

■ Schnelle Initialverschlüsselung Ja | Nein

Nähere Informationen finden Sie unter Geräteschutz (Seite 389).

■ Einstellungen in einer Richtlinie des Typs Authentifizierung:

■ BitLocker Anmeldemodus für Boot-Laufwerke: TPM | TPM + PIN | TPM +Systemstartschlüssel | Systemstartschlüssel |

■ BitLocker Fallback-Anmeldemodus für Boot-Laufwerke: Systemstartschlüssel| Kennwort | Kennwort oder Systemstartschlüssel | Fehler

■ BitLocker Anmeldemodus für Datenlaufwerke: Auto-Unlock | Kennwort |Systemstartschlüssel

■ BitLocker Fallback-Anmeldemodus für Datenlaufwerke: Kennwort | Kennwortoder Systemstartschlüssel| Systemstartschlüssel

Nähere Informationen finden Sie unter Authentisierung (Seite 372).

Alle anderen Einstellungen werden vom BitLocker Endpoint ignoriert.

5.2.1.5.4 Verschlüsselung auf einem durch BitLocker geschützten Computer

Vor Beginn der Verschlüsselung werden von BitLocker die Verschlüsselungsschlüssel generiert.Abhängig vom System kann das Verhalten leicht abweichen.

Endpoints mit TPMWenn der Sicherheitsbeauftragte einen Anmeldemodus für BitLocker einrichtet, der TPM(TPM, TPM+PIN oder TPM + Systemstartschlüssel) beinhaltet, wird die TPM-Aktivierungautomatisch eingeleitet.

Das TPM (Trusted Platform Module) ist ein Hardware-Gerät, das BitLocker zum Speichernseiner Verschlüsselungsschlüssel verwendet. Die Schlüssel werden nicht auf der Festplattedes Computers gespeichert.Während des Startvorgangs muss das BIOS (Basic Input/OutputSystem) auf TPM zugreifen können. Wenn der Benutzer den Computer startet, beziehtBitLocker diese Schlüssel automatisch vom TPM.

Endpoints ohne TPM

Wenn ein Endpoint nicht mit TPM ausgestattet ist, kann ein BitLocker-Systemstartschlüsseloder – falls auf dem Endpoint Windows 8 oder höher ausgeführt wird – ein Kennwort alsAnmeldemodus verwendet werden.

Ein BitLocker-Systemstartschlüssel kann mit einem USB-Stick zum Speichern derVerschlüsselungsschlüssel generiert werden. Der Benutzer muss den Stick immer beimStarten des Computers einstecken.

Wenn SafeGuard Enterprise BitLocker aktiviert, werden die Benutzer aufgefordert, denBitLocker-Systemstartschlüssel zu speichern. Es öffnet sich ein Dialog, in dem die gültigenZiellaufwerke zum Speichern des Systemstartschlüssels angezeigt werden.

151

Administratorhilfe

Bei Startvolumes ist es wesentlich, dass der Systemstartschlüssel verfügbar ist, wenn derEndpoint gestartet wird. Der Systemstartschlüssel kann daher nur auf einem Wechselmediumgespeichert werden.

Bei Datenvolumes kann der BitLocker-Systemstartschlüssel auf einem verschlüsseltenStartvolume gespeichert werden. Dies erfolgt automatisch, wenn Auto-Unlock in der Richtliniefestgelegt ist.

BitLocker Recovery-Schlüssel

Für BitLocker Recovery bietet SafeGuard Enterprise einen Challenge/Response Mechanismus,der es erlaubt, Informationen auf vertraulichem Weg auszutauschen sowie den BitLockerRecovery-Schlüssel vom Helpdesk zu beziehen, siehe Response für mit BitLockerverschlüsselte SafeGuard Enterprise Clients - UEFI Endpoints (Seite 154) undRecovery-Schlüssel für mit BitLocker verschlüsselte SafeGuard Enterprise Clients - BIOSEndpoints (Seite 155).

Damit Recovery-Vorgänge über Challenge/Response durchgeführt werden können oder einAbruf des Recovery-Schlüssels möglich ist, müssen die notwendigen Daten dem Helpdeskzur Verfügung gestellt werden. Die für den Recovery-Vorgang erforderlichen Daten werdenin spezifischen Schlüssel-Recovery-Dateien gespeichert.

Hinweis: Wenn SafeGuard BitLocker Verwaltung ohne Challenge/Response auf einemStandalone-Endpoint verwendet wird, dann wird der Recovery-Schlüssel nach einemRecovery-Vorgang nicht geändert.

Hinweis: Wenn eine mit BitLocker verschlüsselte Festplatte in einem Computer durch eineneue Festplatte ersetzt wird, diese den Laufwerksbuchstaben der alten Festplatte erhält undebenfalls mit BitLocker verschlüsselt wird, speichert SafeGuard Enterprise nur den BitLockerRecovery-Schlüssel der neuen Festplatte.

Verwaltung von Laufwerken, die bereits mit BitLocker verschlüsseltsind

Sollte es bei der Installation von SafeGuard Enterprise auf Ihrem Computer Laufwerke geben,die bereits mit BitLocker verschlüsselt sind, übernimmt SafeGuard Enterprise die Verwaltungdieser Laufwerke.

Verschlüsselte Bootlaufwerke

■ Abhängig von der verwendeten SafeGuard Enterprise BitLocker Unterstützung werdenSie möglicherweise aufgefordert, Ihren Computer neu zu starten. Es ist wichtig, dass Sieden Neustart so bald als möglich durchführen.

■ Wenn für das verschlüsselte Laufwerk eine SafeGuard Enterprise-Verschlüsselungsrichtliniegilt:

■ SafeGuard Enterprise BitLocker Challenge/Response ist installiert: Die Verwaltungwird übernommen und SafeGuard Enterprise Challenge/Response ist möglich.

■ SafeGuard Enterprise BitLocker ist installiert: Die Verwaltung wird übernommen undRecovery ist möglich.

■ Wenn für das verschlüsselte Laufwerk keine SafeGuardEnterprise-Verschlüsselungsrichtlinie gilt:

■ SafeGuard Enterprise BitLocker Challenge/Response ist installiert: Es wird keineVerwaltung übernommen und SafeGuard Enterprise Challenge/Response ist nichtmöglich.

152


■ SafeGuard Enterprise BitLocker ist installiert: Recovery ist möglich.

Verschlüsselte Festplatten

■ Wenn für das verschlüsselte Laufwerk eine SafeGuard Enterprise-Verschlüsselungsrichtliniegilt:

Die Verwaltung wird übernommen und Recovery ist möglich.

■ Wenn für das verschlüsselte Laufwerk keine SafeGuardEnterprise-Verschlüsselungsrichtlinie gilt:

SafeGuard Enterprise Recovery ist möglich.

5.2.1.5.5 Entschlüsselung mit BitLocker

Computer, die mit BitLocker verschlüsselt wurden, lassen sich nicht automatisch entschlüsseln.Die Entschlüsselung kann entweder über den Menüpunkt BitLocker Drive Encryption inder Systemsteuerung oder mit dem Microsoft Befehlszeilentool "Manage-bde" ausgeführtwerden.

Um Benutzern zu erlauben, mit BitLocker verschlüsselte Laufwerke manuell zu entschlüsseln,muss dem Endpoint eine Richtlinie ohne Verschlüsselungsregel für ein mit BitLockerverschlüsseltes Laufwerk zugewiesen werden. Benutzer starten die Entschlüsselung durchDeaktivieren von BitLocker für das gewünschte Laufwerk BitLocker-Laufwerksverschlüsselung in der Systemsteuerung oder über "Manage-bde".

5.2.1.6 BitLocker To GoMit BitLocker To Go können Sie Volumes auf Wechselmedien verschlüsseln, wenn dieClient-Komponenten für SafeGuard BitLocker installiert sind. BitLocker To Go kann jedochnicht durch SafeGuard Enterprise verwaltet werden.

Informationen zum Deaktivieren von BitLocker To Go finden Sie unter Deaktivieren derBitLocker To Go Verschlüsselung (Seite 153).

BitLocker To Go ist nicht kompatibel mit SafeGuard Full Disk Encryption (volume-basierendeFestplattenverschlüsselung). Wenn Sie SafeGuard Full Disk Encryption installieren, wirdBitLocker To Go deaktiviert. Volumes und Wechselmedien, die bereits mit BitLocker To Goverschlüsselt sind, bleiben lesbar.

5.2.1.6.1 Deaktivieren der BitLocker To Go Verschlüsselung

1. Wählen Sie im Editor für lokale Gruppenrichtlinien Richtlinien für Lokaler Computer >Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten >BitLocker-Laufwerkverschlüsselung > Wechseldatenträger.

2. Klicken Sie mit der rechten Maustaste auf Verwendung von BitLocker aufWechseldatenträgern steuernund wählen Sie Ändern.

3. Wählen Sie Aktiviert.

4. Deaktivieren Sie unter Optionen die Option Benutzer können BitLocker-Schutz aufWechseldatenträger anwenden.

5. Wählen Sie unter Optionen die Option Benutzer können BitLocker-Schutz aufWechseldatenträgern anhalten und entschlüsseln.


BitLocker To Go Verschlüsselung wird auf den Endpoints deaktiviert. Der Benutzer kann neueLaufwerke nicht mehr mit BitLocker To Go verschlüsseln. Volumes und Wechselmedien, diebereits mit BitLocker To Go verschlüsselt sind, bleiben lesbar.

153

Administratorhilfe

5.2.1.7 Protokollierte Ereignisse für BitLockerVom BitLocker Client gemeldete Ereignisse werden wie für alle anderen SafeGuard EnterpriseClients protokolliert. Dabei wird nicht explizit erwähnt, dass sich das Ereignis auf einenBitLocker Client bezieht. Die Berichte entsprechen den für jeden anderen SafeGuard EnterpriseClient erzeugten Berichten.

5.2.1.8 Recovery für BitLockerAbhängig vom System bietet SafeGuard Enterprise ein Challenge/Response-Verfahren fürdie Recovery oder die Möglichkeit, beim Helpdesk den Recovery-Schlüssel zu beschaffen.Genauere Informationen zu den Anforderungen für SafeGuard Enterprise Challenge/Responsefinden Sie unter Voraussetzungen für die Verwaltung von BitLocker auf Endpoints (Seite 148).Weitere Informationen zur Wiederherstellung auf Client-Ebene finden Sie in der SafeGuardEnterprise Benutzerhilfe.

5.2.1.8.1 Response für mit BitLocker verschlüsselte SafeGuard Enterprise Clients - UEFI Endpoints

Für UEFI Endpoints, die bestimmte Voraussetzungen erfüllen, bietet SafeGuard Enterpriseein Challenge/Response-Verfahren für die Wiederherstellung. Auf UEFI Endpoints, die dieVoraussetzungen nicht erfüllen, wird automatisch SafeGuard BitLocker ohneChallenge/Response installiert. Informationen über den Recovery-Vorgang bei diesenEndpoints finden Sie unter Recovery-Schlüssel für mit BitLocker verschlüsselte SafeGuardEnterprise Clients - BIOS Endpoints (Seite 155).

1. Klicken Sie im SafeGuard Management Center auf Extras > Recovery um denRecovery-Assistenten zu öffnen.

2. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client(Managed).

3. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste.

4. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihnaus. Hierzu gibt es mehrere Möglichkeiten:

■ Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetztsuchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschtenComputer aus und klicken Sie auf OK. Der Computername wird auf der SeiteRecovery-Typ angezeigt.

■ Geben Sie den Kurznamen des Computers direkt in das Feld ein.Wenn Sie auf Weiterklicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wirdals Distinguished Name angezeigt.

■ Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel:

CN=Desktop1,OU=Development,OU=Headquarter,DC=Sophos,DC=edu


6. Wählen Sie das Volume, auf das zugegriffen werden soll, aus der Liste und klicken Sieauf Weiter.


Eine Seite für die Eingabe des Challenge-Codes wird angezeigt.

8. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter.

9. Es wird ein Response-Code erzeugt. Teilen Sie dem Benutzer den Response-Code mit.Hierzu steht eine Buchstabierhilfe zur Verfügung. Sie können den Response-Code auchin die Zwischenablage kopieren.

154


https://docs.sophos.com/esg/sgn/8-0/user/win/de-de/webhelp/index.htm#concepts/ChallengeResponseBitlockerWin8.htm


Der Benutzer kann den Response-Code eingeben und wieder auf den Endpoint zugreifen.

5.2.1.8.2 Recovery-Schlüssel für mit BitLocker verschlüsselte SafeGuard Enterprise Clients - BIOSEndpoints

Bei mit BitLocker verschlüsselten Computern lässt sich ein Volume, auf das nicht mehrzugegriffen werden kann, wiederherstellen.





■ Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetztsuchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschtenComputer aus und klicken Sie auf OK. Der Computername wird im FensterRecovery-Typ unter Domäne angezeigt.



CN=Desktop1,OU=Development,OU=Headquarter,DC=Utimaco,DC=edu



7. Der Recovery-Assistent zeigt den 48-stelligen Recovery-Schlüssel an.

8. Teilen Sie dem Benutzer diesen Schlüssel mit.

Der Benutzer kann den Schlüssel eingeben, um den Zugriff auf das mit BitLocker verschlüsselteVolume auf dem Endpoint wiederherzustellen.

5.2.2 FileVault 2 Verschlüsselung

FileVault 2 ist eine in OS X eingebaute Verschlüsselungstechnogie, die das ganze Laufwerkschützt und von SafeGuard Enterprise verwaltet werden kann.

5.2.2.1 FileVault 2 Festplattenverschlüsselung mit SafeGuard Enterprise verwaltenMit SafeGuard Enterprise können Sie FileVault 2 Festplattenverschlüsselung vom SafeGuardManagement Center aus verwalten, wie einen nativen SafeGuard Enterprise Client.

Die SafeGuard Enterprise Client Installation beinhaltet nicht auch die Komponente für dieVerwaltung von FileVault 2. Sie muss separat installiert werden. Nähere Informationen findenSie in Ihrer Dokumentation für Sophos SafeGuard Native Device Encryption für Mac.

Die zentrale und vollständig transparente Verwaltung von FileVault2 durch SafeGuardEnterprise ermöglicht die Anwendung in heterogenen IT-Umgebungen. Sicherheitsrichtlinienfür verschiedene Plattformen können zentral ausgerollt werden.

155

Administratorhilfe

5.2.2.2 Verwalten von FileVault 2 Endpoints im SafeGuard Management CenterIm SafeGuard Management Center lassen sich FileVault 2 Endpoints wie andere nativeSafeGuard Endpoints verwalten. Als Sicherheitsbeauftragter können SieVerschlüsselungsrichtlinien für die FileVault 2 Endpoints einrichten und verteilen.

Sobald ein FileVault 2 Endpoint bei SafeGuard Enterprise registriert ist, werden Informationenzu Benutzer, Computer, Anmeldemodus und Verschlüsselungsstatus angezeigt. Darüberhinaus werden Ereignisse für FileVault 2 Clients protokolliert.

Die Verwaltung von FileVault 2 Clients in SafeGuard Enterprise ist transparent. Das heißt,die Verwaltungsfunktionen haben im Allgemeinen dieselbe Funktionsweise für FileVault 2und native SafeGuard Enterprise Clients. Der Computertyp lässt sich in der RegisterkarteBestand eines Containers unter Benutzer & Computer ermitteln. Die Spalte POA-Typ zeigtan, ob es sich bei dem betreffenden Computer um einen FileVault 2 Client handelt.

5.2.2.3 Verschlüsselungsrichtlinien für FileVault 2 FestplattenverschlüsselungDer Sicherheitsbeauftragte kann eine Richtlinie für die Verschlüsselung im SafeGuardManagement Center anlegen und diese an die FileVault 2 Endpoints verteilen. Die Richtliniewird daraufhin auf den Endpoints ausgeführt.

Da die FileVault 2 Endpoints im SafeGuard Management Center transparent verwaltet werden,muss der Sicherheitsbeauftragte keine speziellen FileVault 2-Einstellungen für dieVerschlüsselung vornehmen. SafeGuard Enterprise kennt den Status der Clients und wähltdie FileVault 2-Verschlüsselung entsprechend.

Ein FileVault 2 Endpoint verarbeitet nur Richtlinien des Typs Geräteschutz mit dem ZielBoot-Laufwerke und einem Verschlüsselungsmodus für Medien, der aufVolume-basierend oder Keine Verschlüsselung gesetzt ist. Alle anderenRichtlinieneinstellungen werden ignoriert.

■ Volume-basierend aktiviert FileVault 2 auf dem Endpoint.

■ Keine Verschlüsselung erlaubt dem Benutzer den Mac zu entschlüsseln.

5.2.2.4 Recovery-Schlüssel für Mac-EndpointsDer Zugriff auf mit FileVault 2 verschlüsselte SafeGuard Enterprise Clients kann mit folgendenSchritten wiederhergestellt werden:








156





Der Benutzer kann den Recovery-Schlüssel eingeben, um sich am Mac-Endpoint anzumeldenund das Kennwort zurückzusetzen.

5.3 Pfadbasierte DateiverschlüsselungDas SafeGuard Enterprise Modul File Encryption bietet pfadbasierte Dateiverschlüsselungauf lokalen Festplatten und im Netzwerk, speziell für Arbeitsgruppen bei Netzwerkfreigaben.

Im SafeGuard Management Center definieren Sie die Regeln für die dateibasierendeVerschlüsselung in File Encryption Richtlinien. In diesen Richtlinien geben Sie die Zielordnerfür File Encryption, den Verschlüsselungsmodus und den Schlüssel für die Verschlüsselungan. In Richtlinien vom Typ Allgemeine Einstellungen können Sie festlegen, wie bestimmteAnwendungen und Dateisysteme auf Endpoints in Zusammenhang mit File Encryptionbehandelt werden sollen. Sie können ignorierte und vertrauenswürdige Anwendungen sowieignorierte Geräte angeben. Außerdem können Sie die persistente Verschlüsselung für FileEncryption aktivieren.

Für die Verschlüsselung können persönliche Schlüssel verwendet werden. Ein persönlicherSchlüssel, der für einen Benutzer aktiv ist, gilt nur für diesen bestimmten Benutzer und kannnicht anderen Benutzern zugewiesen oder mit diesen gemeinsam benutzt werden. Sie könnenpersönliche Schlüssel im SafeGuard Management Center unter Benutzer & Computererzeugen.

Wenn Endpoints eine File Encryption Richtlinie zugewiesen wurde, werden die Dateien inden von der Richtlinie abgedeckten Speicherorten ohne Benutzerinteraktion transparentverschlüsselt:

■ Neue Dateien in den relevanten Speicherorten werden automatisch verschlüsselt.

■ Wenn Benutzer den Schlüssel für eine verschlüsselte Datei haben, können sie den Inhaltlesen und ändern.

■ Wenn Benutzer den Schlüssel für eine verschlüsselte Datei nicht haben, wird der Zugriffverweigert.

■ Wenn ein Benutzer auf einem Endpoint, auf dem File Encryption nicht installiert ist, aufeine verschlüsselte Datei zugreift, wird der verschlüsselte Inhalt angezeigt.

Sind in den durch die Verschlüsselungsrichtlinie abgedeckten Speicherorten bereits Dateienvorhanden, so werden diese nicht automatisch verschlüsselt. Die Benutzer müssen auf demEndpoint eine Initialverschlüsselung im SafeGuard Assistent für Dateiverschlüsselungdurchführen. Weitere Informationen hierzu finden Sie in der SafeGuard EnterpriseBenutzerhilfe.

Hinweis:

SafeGuard File Encryption ist mit der in Windows integrierten EFS-Verschlüsselung undDateikomprimierung nicht kompatibel. Wenn die EFS-Verschlüsselung aktiviert ist, erhält siePriorität vor etwaig anwendbaren File Encryption Verschlüsselungsregeln. In den relevantenOrdnern angelegte Dateien können in diesem Fall nicht von File Encryption verschlüsseltwerden. Wenn die Komprimierung aktiviert ist, hat die Verschlüsselung durch File Encryptioneine höhere Priorität. Dateien werden verschlüsselt, jedoch nicht komprimiert. Um Dateienmit File Encryption zu verschlüsseln, muss die EFS-Verschlüsselung oder die Komprimierungzunächst deaktiviert werden. Dies kann manuell oder durch Ausführen des SafeGuardEnterprise Assistenten für die Initialverschlüsselung erfolgen.

157

Administratorhilfe

Hinweis:

Für weitere Informationen zu SafeGuard File Encryption für Mac, siehe Über SafeGuard FileEncryption für Mac (Seite 106) und die SafeGuard Enterprise für Mac Benutzerhilfe.

5.3.1 Konfigurieren von Verschlüsselungsregeln in pfadbasierten FileEncryption Richtlinien

Die Regeln für die dateibasierende Verschlüsselung im Netzwerk definieren Sie in einerRichtlinie des Typs File Encryption.

Hinweis: Wenn bestimmte Ordner verschlüsselt werden (zum Beispiel C:\Programme),bewirkt dies unter Umständen, dass das Betriebssystem oder bestimmte Anwendungen nichtmehr laufen. Stellen Sie bei der Definition von Verschlüsselungsregeln sicher, dass dieseOrdner nicht verschlüsselt werden.

1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ FileEncryption an oder wählen Sie eine vorhandene aus.

Die Registerkarte Dateiverschlüsselung wird angezeigt.

2. Wählen Sie Pfadbasiert aus der Verschlüsselungstyp Auswahlliste.

Die Tabelle für die Definition, wo anwendungsbasierte Dateiverschlüsselung am Endpointangewendet wird, wird angezeigt.

Hinweis: Ältere Versionen von SafeGuard Enterprise verfügen nicht über die EinstellungVerschlüsselungstyp.Wenn Sie Ihr Management Center aktualisieren, werden bestehendeFile Encryption Richtlinien zu Richtlinien vom Typ Pfadbasiert konvertiert. Informationenzum Verschlüsselungstyp Keine Verschlüsselung finden Sie unter Richtlinien vom TypKeine Verschlüsselung (Seite 138).

3. Geben Sie in der Spalte Pfad den Pfad (d. h. den Ordner) an, der durch File Encryptionverschlüsselt werden soll:

■ Klicken Sie auf die Dropdown-Schaltfläche und wählen Sie einen Platzhalter für einenOrdnernamen aus der Liste der verfügbaren Platzhalter aus.

Hinweis: Wenn Sie Ihren Cursor über die Listeneinträge führen, werden Tooltipsangezeigt, die zeigen, wie ein Platzhalter üblicherweise auf einem Endpoint umgesetztwird. Geben Sie nur gültige Platzhalter ein. Für eine Liste aller unterstützten Platzhalter,siehe Platzhalter für Pfade in pfadbasierten Dateiverschlüsselungsregeln (Seite 161).

Wichtig: Die Verschlüsselung des gesamten Benutzerprofils mit dem Platzhalter<User Profile> kann zu einem instabilen Windows Desktop auf dem Endpointführen.

■ Klicken Sie auf die Browse-Schaltfläche um den gewünschten Ordner im Dateisystemauszuwählen.

■ Sie können auch einfach einen Pfadnamen eingeben.

Hinweis: Für nützliche Informationen für die Konfiguration von Pfaden in File EncryptionVerschlüsselungsregeln, siehe Zusätzliche Informationen für die Konfiguration von Pfadenin pfadbasierten File Encryption-Regeln (Seite 160).

4. Wählen Sie in der Spalte Anwendungsbereich:

■ Nur dieser Ordner, um die Regeln nur auf den Ordner anzuwenden, der in der SpaltePfad angegeben ist, oder

■ Mit Unterordnern, um die Regel auch auf alle Unterordner des Ordners anzuwenden.

158


5. Legen Sie in der Spalte Modus fest, wie File Encryption den in der Spalte Pfadangegebenen Ordner behandeln soll:

■ Wählen Sie Verschlüsseln, um neue Dateien im Ordner zu verschlüsseln. Der Inhaltder vorhandenen verschlüsselten Dateien wird transparent entschlüsselt, wenn einBenutzer mit dem erforderlichen Schlüssel auf die Dateien zugreift. Hat der Benutzernicht den erforderlichen Schlüssel, wird der Zugriff verweigert.

■ Wenn Sie Ausschließen auswählen, werden neue Dateien im Ordner nichtverschlüsselt. Sie können diese Option verwenden, wenn Sie zum Beispiel einenUnterordner von der Verschlüsselung ausnehmen möchten, dessen übergeordneterOrdner bereits von einer Regel mit der Option Verschlüsseln abgedeckt ist.

■ Wenn Sie Ignorieren auswählen, werden die Dateien im Ordner von File Encryptionnicht beachtet. Neue Dateien werden im Klartext gespeichert. Wenn ein Benutzer aufbereits verschlüsselte Dateien in diesem Ordner zugreift, wird der verschlüsselte Inhaltangezeigt. Dabei spielt es keine Rolle, ob der Benutzer den erforderlichen Schlüsselhat oder nicht.

6. Wählen Sie in der Spalte Schlüssel den Schlüssel, der für den Verschlüsseln Modusverwendet werden soll. Sie können Schlüssel verwenden, die in Benutzer & Computererstellt und angewendet wurden.

■ Klicken Sie auf die Browse-Schaltfläche, um den Dialog Schlüssel suchen zu öffnen.Klicken Sie auf Jetzt suchen, um eine Liste mit allen verfügbaren Schlüsseln aufzurufen.Wählen Sie den gewünschten Schlüssel aus.

Hinweis: Computerschlüssel werden in dieser Liste nicht angezeigt. Sie können vonFile Encryption nicht benutzt werden, da sie nur auf einem einzelnen Computer verfügbarsind. Mit diesen Schlüssel können daher Benutzergruppen nicht auf dieselben Datenzugreifen.

■ Klicken Sie auf die Schaltfläche Persönlicher Schlüssel mit dem Schlüsselsymbol,um den Platzhalter Persönlicher Schlüssel in die Spalte Schlüssel einzufügen. Aufdem Endpoint wird dieser Platzhalter in den aktiven persönlichen Schlüssel desangemeldeten SafeGuard Enterprise Benutzers umgesetzt. Wenn die relevantenBenutzer noch keine aktiven persönlichen Schlüssel haben, werden diese automatischangelegt. Sie können persönliche Schlüssel für einzelne oder mehrere Benutzer unterBenutzer & Computer erzeugen. Für weitere Informationen, siehe PersönlicheSchlüssel für die dateibasierende Verschlüsselung mit File Encryption (Seite 293).

7. Der System Typ (Windows, Mac OS X oder Alle Plattformen für Windows und MacOSX systems) werden automatisch zugewiesen.

8. Fügen Sie je nach Anforderung weitere Verschlüsselungsregeln hinzu und speichern SieIhre Änderungen.

Hinweis: Alle File Encryption Verschlüsselungsregeln, die über Richtlinien zugewiesenund für Benutzer/Computer an unterschiedlichen Knoten unter Benutzer & Computeraktiviert werden, werden kumuliert. Die Reihenfolge der Verschlüsselungsregeln innerhalbeiner File Encryption Richtlinie ist für die Evaluierung auf dem Endpoint nicht vonBedeutung. Innerhalb einer File Encryption Richtlinie können Sie die Regeln durch Ziehenmit der Maus zur besseren Übersicht nach Wunsch anordnen.

159

Administratorhilfe

5.3.1.1 Zusätzliche Informationen für die Konfiguration von Pfaden in pfadbasierten FileEncryption-RegelnBeachten Sie beim Konfigurieren von Pfaden in File Encryption Verschlüsselungsregeln diefolgenden Informationen:

■ Ein Pfad darf nur Zeichen enthalten, die auch in Dateisystemen verwendet werden können.Zeichen wie <, >, * und $ sind nicht zulässig.

■ Geben Sie nur gültige Platzhalter ein. Für eine Liste aller unterstützten Platzhalter, siehePlatzhalter für Pfade in pfadbasierten Dateiverschlüsselungsregeln (Seite 161).

Hinweis: Die Namen von Umgebungsvariablen werden durch das SafeGuard ManagementCenter nicht überprüft. Sie müssen nur auf dem Endpoint vorhanden sein.

■ Das Feld Pfad gibt immer einen Ordner an. Sie können keine Regel für eine einzelne Dateifestlegen. Außerdem können Sie keine Platzhalter für Ordnernamen, Dateinamen oderDateierweiterungen verwenden.

■ Absolute und relative Regeln

Sie können absolute und relative Regeln definieren. Eine absolute Regel definiert einenbestimmten Ordner, zum Beispiel C:\encrypt. Eine relative Regel enthält keine UNCServer/Freigabe Informationen, Laufwerksbuchstaben oder Informationen zuübergeordneten Ordnern. In einer relativen Regel wird zum Beispiel ein Pfad wie derfolgende verwendet: encrypt_sub. In diesem Fall werden alle Dateien auf allenLaufwerken (einschließlich Speicherorte im Netzwerk), die sich in einem Ordner mit derBezeichnung encrypt_sub (oder in einem untergeordneten Ordner) befinden, von derRegel abgedeckt.

Hinweis: Relative Pfade werden nur auf Windows-Endpoints unterstützt.

■ Lange Ordnernamen und 8.3 Notation

Geben Sie für File Encryption Verschlüsselungsregeln immer die langen Ordnernamenan, da die 8.3 Bezeichnungen für lange Ordnernamen von Computer zu Computerunterschiedlich sein können. 8.3 Namensregeln werden vom durch SafeGuard Enterprisegeschützten Endpoint automatisch bei Anwendung der relevanten Richtlinien erkannt. Essollte keine Rolle spielen, ob Anwendungen lange Ordnernamen oder 8.3 Namen für denZugriff auf Dateien verwenden. Verwenden Sie für relative Regeln kurze Ordnernamenum sicherzustellen, dass die Regel umgesetzt werden kann, egal ob eine Anwendunglange Ordnernamen oder 8.3 Notation verwendet.

■ UNC und verbundene Laufwerke

Ob Sie Regeln in UNC Notation oder basierend auf verbundenen Laufwerksbuchstabenanwenden, hängt von Ihren spezifischen Anforderungen ab:

■ Verwenden Sie UNC Notation, wenn sich die Server- und Freigabenamen wahrscheinlichnicht ändern, die verbundenen Laufwerksbuchstaben jedoch von Benutzer zu Benutzerunterschiedlich sein können.

■ Verwenden Sie verbundene Laufwerksbuchstaben, wenn diese unverändert beibehaltenwerden, Servernamen aber geändert werden können.

Wenn Sie UNC verwenden, geben Sie einen Servernamen und einen Freigabenamen an,zum Beispiel \\server\share.

File Encryption gleicht die UNC Namen und die verbundenen Laufwerksbuchstaben internab. In einer Regeln muss ein Pfad somit entweder als UNC-Pfad oder mit verbundenenLaufwerksbuchstaben definiert sein.

160


Hinweis: Da Benutzer u. U. ihre verbundenen Laufwerksbuchstaben ändern können,empfehlen wir, aus Sicherheitsgründen UNC-Pfade in File EncryptionVerschlüsselungsregeln zu verwenden.

■ Offline-Ordner

Bei Anwendung der Windows Funktion Offline verfügbar machen müssen Sie keinespeziellen Regeln für lokale (Offline) Kopien von Ordnern erstellen. Neue Dateien in derlokalen Kopie eines Ordners, der offline verfügbar gemacht wurde, werden entsprechendden Regeln für den ursprünglichen (Netzwerk-)Speicherplatz verschlüsselt.

Hinweis: Für weitere Informationen zur Benennung von Dateien und Pfaden, siehehttp://msdn.microsoft.com/en-us/library/aa365247.aspx.

5.3.1.2 Platzhalter für Pfade in pfadbasierten DateiverschlüsselungsregelnBeim Angeben von Pfaden in Verschlüsselungsregeln in File Encryption Richtlinien könnendie folgenden Platzhalter verwendet werden. Um diese Platzhalter auszuwählen, klicken Sieauf die Dropdown-Schaltfläche des Felds Pfad.

Hinweis: Verwenden Sie immer Backslashes als Trennzeichen, auch wenn SieDateiverschlüsselungsregeln für Mac OS X festlegen. Auf diese Weise können Sie Regelnauf beiden Betriebssystemen (Windows und Mac OS X) anwenden. Am Mac OS X Clientwerden die umgekehrten Schrägstriche automatisch in Schrägstriche umgewandelt, um dieAnforderungen des Mac OS X Betriebssystems zu erfüllen. Fehler bei der Verwendung vonPlatzhaltern werden protokolliert. Ungültige Verschlüsselungsregeln werden protokolliert unddann auf dem Endpoint verworfen.

Beispiel: Der Windows-Pfad <User Profile>\Dropbox\personal wird unter Mac OSX so konvertiert: /Users/<Username>/Dropbox/personal.


Pfad-Platzhalter

Wert der Umgebungsvariable. Beispiel:<%USERNAME%>.

Hinweis: Wenn Umgebungsvariablenmehrere Speicherorte enthalten (zum

Alle<%environment_variable_name%>

Beispiel die PATH Umgebungsvariable),werden die Pfade nicht in mehrere Regelnaufgeteilt. Dies verursacht einen Fehler unddie Verschlüsselungsregel ist ungültig.

Der virtuelle Ordner, der den Desktop desEndpoints darstellt.

Alle<Desktop>

Das ist der virtuelle Ordner für denDesktop-Bereich Eigene Dateien (Äquivalent

Alle<Documents>

zu CSIDL_MYDOCUMENTS). TypischerPfad: C:\Documente undEinstellungen\Benutzername\Eigene Dateien.

Der Ordner in dem standardmäßigDownloads gespeichert werden. Ein typischer

Alle<Downloads>

161

Administratorhilfe

http://msdn.microsoft.com/en-us/library/aa365247.aspx


Pfad-Platzhalter

Pfad unter Windows istC:\Benutzer\Benutzername\Downloads.

Das Dateisystemverzeichnis, das alsallgemeines Repository für Musikdateien

Alle<Music>

dient. Typischer Pfad: C:\Documente undEinstellungen\Benutzername\EigeneDateien\Eigene Musik.

Alle<Network Shares>

Das Dateisystemverzeichnis, das alsallgemeines Repository für Bilddateien dient.

Alle<Pictures>

Typischer Pfad: C:\Documente undEinstellungen\Benutzername\EigeneDateien\Eigene Bilder.

Das Dateisystemverzeichnis, das alsallgemeines Repository für Dokumente für

Alle<Public>

alle Benutzer dient. Typischer Pfad:C:\Benutzer\<Benutzername>\Öffentlich.

Zeigt auf die Root-Verzeichnisse allerWechselmedien.

Alle<Removables>

Der Profilordner des Benutzers. TypischerPfad: C:\Benutzer\Benutzername.

Hinweis: Die Verschlüsselung desgesamten Benutzerprofils mit diesem

Alle<User Profile>

Platzhalter kann zu einem instabilenWindows Desktop auf dem Endpoint führen.


Alle<Videos>


Das Dateisystemverzeichnis, das alsallgemeines Repository für Internet Cookies

Windows<Cookies>

dient. Typischer Pfad: C:\Documente undEinstellungen\Benutzername\Cookies.

Das Dateisystemverzeichnis, das alsallgemeines Repository für die Favoriten des

Windows<Favorites>

Benutzers dient. Typischer Pfad:C:\Documente undEinstellungen\Benutzername\Favoriten.

Das Dateisystemverzeichnis, das alsallgemeines Daten-Repository für lokale

Windows<Local Application Data>

Applikationen (ohne Roaming) dient.

162



Pfad-Platzhalter

Typischer Pfad: C:\Dokumente undEinstellungen\Benutzername\LokaleEinstellungen\Anwendungsdaten.

Das Dateisystemverzeichnis, dasAnwendungsdaten für alle Benutzer enthält.

Windows<Program Data>

Typischer Pfad: C:\Dokumente undEinstellungen\AlleBenutzer\Anwendungsdaten.

Der Programme-Ordner. Typischer Pfad:\Programme. For 64-Bit Systeme wird dies

Windows<Program Files>

auf zwei Regeln erweitert: eine für 32-BitAnwendungen und eine für 64-BitAnwendungen.

Das Dateisystemverzeichnis, das alsallgemeines Repository für Musikdateien für

Windows<Public Music>

alle Benutzer dient. Typischer Pfad:C:\Documente und Einstellungen\AlleBenutzer\Eigene Musik.

Das Dateisystemverzeichnis, das alsallgemeines Repository für Bilddateien für

Windows<Public Pictures>

alle Benutzer dient. Typischer Pfad:C:\Documente und Einstellungen\AlleBenutzer\Dateien\Eigene Bilder.


Windows<Public Videos>


Das Dateisystemverzeichnis, das alsallgemeines Repository für

Windows<Roaming>

anwendungsspezifische Daten dient.Typischer Pfad: C:\Dokumente undEinstellungen\Benutzername\Anwendungsdaten.

Der Windows Systemordner.Typischer Pfad:C:\Windows\System32. For 64-Bit Systeme

WindowsSystem

wird dies auf zwei Regeln erweitert: eine für32-Bit und eine für 64-Bit.

Das Dateisystemverzeichnis, das alsStaging-Bereich für Dateien, die auf eine CD

Windows<Temporary Burn Folder>

geschrieben werden sollen, verwendet wird.Typischer Pfad: C:\Dokumente undEinstellungen\Benutzername\LokaleEinstellungen\Microsoft\CD Burning.

163

Administratorhilfe


Pfad-Platzhalter

Das Dateisystemverzeichnis, das alsallgemeines Repository für Temporäre

Windows<Temporary Internet Folder>

Internetdateien dient. Typischer Pfad:C:\Dokumente undEinstellungen\Benutzername\LokaleEinstellungen\Temporary Internet Files.

Das Windows-Verzeichnis oder SYSROOT.Dies entspricht den Umgebungsvariablen

Windows<Windows>

%windir% oder %SYSTEMROOT%.Typischer Pfad: C:\Windows.

Mac OS X Stammverzeichnis. Es wird nichtempfohlen, Richtlinien für das

Mac OS X<Root>

Stammverzeichnis festzulegen, auch wenndies technisch möglich ist.

5.3.2 Konfigurieren der pfadbasierten Dateiverschlüsselung in Richtlinienvom Typ Allgemeine Einstellungen

Neben den in File Encryption Richtlinien vom VerschlüsselungstypPfadbasiert definiertenVerschlüsselungsregeln können Sie in Richtlinien vom Typ Allgemeine Einstellungenfolgende Einstellungen für die Dateiverschlüsselung konfigurieren:

■ Vertrauenswürdige Anwendungen

■ Ignorierte Anwendungen

■ Ignorierte Geräte

■ Persistente Verschlüsselung aktivieren

5.3.2.1 Konfigurieren von vertrauenswürdigen und ignorierten Anwendungen für FileEncryptionSie können Anwendungen als vertrauenswürdig definieren, um ihnen Zugriff auf verschlüsselteDateien zu geben. Dies ist zum Beispiel notwendig, damit Antivirus-Software verschlüsselteDateien überprüfen kann.

Sie können Anwendungen als ignoriert definieren, um sie von der transparentenDateiverschlüsselung/Dateientschlüsselung auszuschließen. Wenn Sie zum Beispiel einBackup-Programm als ignorierte Anwendung definieren, bleiben die vom Programm gesichertenverschlüsselten Daten verschlüsselt.

Hinweis: Untergeordnete Prozesse werden nicht als vertrauenswürdig/ignoriert eingestuft.


2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche der FelderVertrauenswürdige Anwendungen oder Ignorierte Anwendungen.

164


3. Geben Sie im Editor-Listenfeld die Anwendungen ein, die Sie als vertrauenswürdig/ignoriertdefinieren möchten.

■ Sie können mehrere vertrauenswürdige/ignorierte Anwendungen in einer Richtliniedefinieren. Jede Zeile im Editor-Listenfeld definiert jeweils eine Anwendung.


■ Anwendungsnamen müssen als Fully Qualified Paths mit Laufwerk/Verzeichnis definiertwerden, zum Beispiel "c:\dir\beispiel.exe". Es reicht nicht aus, nur den Dateinameneinzugeben (zum Beispiel "beispiel.exe"). Aus Gründen der Benutzerfreundlichkeitzeigt die Einzelzeilenansicht der Anwendungsliste nur die Dateinamen getrennt durchStrichpunkte.

■ Die Anwendungsnamen können dieselben Platzhalter für Windows Shell Ordner undUmgebungsvariablen wie die Verschlüsselungsregeln in File Encryption Richtlinenenthalten. Für eine Liste aller unterstützten Platzhalter, siehe Platzhalter für Pfade inpfadbasierten Dateiverschlüsselungsregeln (Seite 161).


Hinweis: Die Richtlinieneinstellungen Vertrauenswürdige Anwendungen und IgnorierteAnwendungen sind Computereinstellungen. Die Richtlinie muss daher Computern, nichtBenutzern, zugewiesen werden. Andernfalls werden die Einstellungen nicht wirksam.

5.3.2.2 Ignorierte Geräte konfigurierenSie können Geräte als ignoriert definieren, um sie von der Dateiverschlüsselungauszuschließen. Sie können nur vollständige Geräte ausschließen.



3. Führen Sie im Editor-Listenfeld folgende Schritte durch:

a) Wählen Sie Netzwerk wenn Sie keine Daten am Netzwerk verschlüsseln wollen.

b) Geben Sie die entsprechenden Gerätenamen an, um spezifische Geräte von derVerschlüsselung auszuschließen. Dies ist zum Beispiel nützlich, wenn Sie Systemevon Dritt-Anbietern ausschließen müssen.

Hinweis: Sie können die Namen der derzeit im System benutzten Geräte mit Toolsvon Dritt-Anbietern (z. B. OSR Device Tree) anzeigen lassen. SafeGuard Enterpriseprotokolliert alle Geräte, mit denen eine Verbindung hergestellt wird. Mit Hilfe vonRegistry Keys können Sie eine Liste von verbundenen und ignorierten Geräten aufrufen.Für weitere Informationen, siehe Anzeige von ignorierten und verbundenen Geräten(Windows) (Seite 144).

Sie können einzelne (Netzwerk)-Festplattenlaufwerke von der Verschlüsselungausschließen, in dem Sie eine File Encryption Verschlüsselungsregel in einer FileEncryption Richtlinie erstellen und den Modus für die Verschlüsselung auf Ignoriereneinstellen. Sie können diese Einstellung nur auf durch Windows verwaltete Laufwerke,nicht auf Mac OS X Volumes.

5.3.2.2.1 Anzeige von ignorierten und verbundenen Geräten (Windows)

Als Hilfestellung für die Definition von ignorierten Geräten können Sie mit Registry Keysermitteln, welche Geräte für die Verschlüsselung in Betracht gezogen werden (verbundeneGeräte) und welche Geräte derzeit ignoriert werden. Die Liste mit ignorierten Geräten enthältnur Geräte, die tatsächlich auf dem Computer verfügbar sind und ignoriert werden. Wird ein

165

Administratorhilfe

Gerät in einer Richtlinie als ignoriert definiert und das Gerät ist nicht verfügbar, so wird dasGerät auch nicht aufgelistet.




5.3.2.3 Konfigurieren der persistenten Verschlüsselung für File EncryptionDer Inhalt von mit File Encryption verschlüsselten Dateien wird jeweils direkt entschlüsselt,wenn der Benutzer den erforderlichen Schlüssel hat. Wenn der Inhalt in einer neuen Dateian einem Ablageort gespeichert wird, für den keine Verschlüsselungsregel gilt, bleibt dieresultierende neue Datei unverschlüsselt.

Mit persistenter Verschlüsselung bleiben Kopien von verschlüsselten Dateien auch dannverschlüsselt, wenn sie an einem Speicherort abgelegt werden, für den keineVerschlüsselungsregel gilt.

Sie können die persistente Verschlüsselung in Richtlinien vom Typ Allgemeine Einstellungenkonfigurieren. Die Richtlinieneinstellung Persistente Verschlüsselung aktivieren iststandardmäßig aktiviert.

Hinweis: Wenn Dateien an ein ignoriertes Gerät oder in einen Ordner kopiert oder verschobenwerden, für den eine Richtlinie mit dem Modus für die Verschlüsselung Ignorieren gilt, hatdie Einstellung Persistente Verschlüsselung aktivieren keine Auswirkungen.

5.3.3 Mehrere pfadbasierte Dateiverschlüsselungsregeln

Alle File Encryption Verschlüsselungsregeln, die über Richtlinien zugewiesen und fürBenutzer/Computer an unterschiedlichen Knoten unter Benutzer & Computer im SafeGuardManagement Center aktiviert werden, werden kumuliert.

Sie können eine allgemeine File Encryption Richtlinie mit Regeln, die für alle Benutzerrelevant sind, am Stammverzeichnisknoten und Richtlinien für spezifischere Anforderungenan den einzelnen Unterknoten zuweisen. Alle Regeln aus allen Richtlinien, dieBenutzern/Computern zugewiesen sind, werden kumuliert und treten auf dem Endpoint inKraft.

5.3.3.1 Pfadbasierte File Encryption-Richtlinien im RSOPWenn für einen Benutzer/Computer mehrere File Encryption Richtlinien gelten, zeigt dieRegisterkarte RSOP (Resulting Set of Policies) unter Benutzer & Computer die Summe allerFile Encryption Verschlüsselungsregeln aus allen File Encryption Richtlinien an. Die Regelnwerden in der Reihenfolge ihrer Evaluierung auf dem Endpoint-Computer sortiert (sieheReihenfolge der Evaluierung von anwendungsbasierten Dateiverschlüsselungsregeln aufEndpoints (Seite 167)).

Die Spalte Name der Richtlinie gibt an, woher die einzelnen Regeln stammen.

Für doppelte Regeln wird die zweite (und dritte usw.) Regel mit einem Symbol markiert. DiesesSymbol bietet auch einen Tooltip, der Sie informiert, das die Regel auf dem Endpoint verworfenwird, da sie ein Duplikat einer Regel mit einer höheren Priorität ist.

166


5.3.4 Reihenfolge der Evaluierung von anwendungsbasiertenDateiverschlüsselungsregeln auf Endpoints

File Encryption Verschlüsselungsregeln werden auf Endpoints in einer Reihenfolge sortiert,die bewirkt, dass genauer definierte Speicherorte zuerst evaluiert werden.

■ Wenn zwei Regeln mit den gleichen Einstellungen für Pfad und Anwendungsbereichaus Richtlinien stammen, die unterschiedlichen Knoten zugewiesen sind, wird die Regelaus der Richtlinie angewendet, die sich näher am Benutzerobjekt in Benutzer & Computerbefindet.

■ Wenn zwei Regeln mit den gleichen Einstellungen für Pfad und Anwendungsbereichaus Richtlinien stammen, die demselben Knoten zugewiesen sind, wird die Regel aus derRichtlinie mit der höchsten Priorität angewendet.

■ Absolute Regeln werden vor relativen Regeln evaluiert, zum Beispiel c\encrypt vorencrypt. Für weitere Informationen, siehe Zusätzliche Informationen für die Konfigurationvon Pfaden in pfadbasierten File Encryption-Regeln (Seite 160).

■ Regeln mit einem Pfad mit mehr Unterverzeichnissen werden vor Regeln mit einem Pfadmit weniger Unterverzeichnissen evaluiert.

■ Mit UNC definierte Regeln werden vor Regeln mit Laufwerksbuchstabeninformationenevaluiert.

■ Regeln, bei denen die Option Nur dieser Ordner aktiviert ist, werden vor Regeln ohnediese Option evaluiert.

■ Regeln mit dem Modus Ignorieren werden vor Regeln mit dem Modus Verschlüsselnoder Ausschließen evaluiert.

■ Regeln mit dem Modus Ausschließen werden vor Regeln mit dem Modus Verschlüsselnevaluiert.

■ Wenn bei zwei Regeln die aufgelisteten Kriterien übereinstimmen, werden die Regeln inalphabetischer Reihenfolge evaluiert.

5.3.5 Konflikte bei pfadbasierten File Encryption-Regeln

Da einem Benutzer/Computer mehrere File Encryption Richtlinien zugewiesen werden können,treten u. U. Konflikte auf. Ein Regelkonflikt besteht, wenn die Regeln dieselben Werte fürPfad, Modus und Unterverzeichnis enthalten, jedoch unterschiedliche Schlüssel. In diesemFall gilt die Regel aus der File Encryption Richtlinie mit der höheren Priorität. Die andereRegel wird verworfen.

5.3.6 Pfadbasierte Dateiverschlüsselung und SafeGuard Data Exchange

Mit SafeGuard Data Exchange lassen sich Daten, die auf mit Endpoint-Computern verbundenenWechselmedien gespeichert werden, verschlüsseln und mit anderen Benutzern austauschen.Für SafeGuard Data Exchange wird dateibasierende Verschlüsselung benutzt.

Wenn sowohl SafeGuard Data Exchange als auch File Encryption (pfadbasierteDateiverschlüsselung) auf einem Endpoint installiert ist, kann es vorkommen, dass eineSafeGuard Data Exchange Verschlüsselungsrichtlinie für ein Laufwerk auf dem Computerdefiniert ist und gleichzeitig File Encryption Richtlinien für Ordner auf demselben Laufwerkgelten. Ist dies der Fall, so erhält die SafeGuard Data Exchange Richtlinie Vorrang vor denFile Encryption Richtlinien. Neue Dateien werden gemäß der SafeGuard Data ExchangeRichtlinie verschlüsselt.

167

Administratorhilfe

Für weitere Informationen zu SafeGuard Data Exchange, siehe SafeGuard Data Exchange(Seite 174).

5.4 Cloud StorageDas SafeGuard Enterprise Modul Cloud Storage bietet dateibasierende Verschlüsselung vonin der Cloud gespeicherten Daten.

Das Modul beeinflusst nicht die Art und Weise, wie Benutzer mit in der Cloud gespeichertenDaten arbeiten. Die Benutzer verwenden weiterhin die anbieterspezifischenSynchronisationsapplikationen zum Übertragen von Daten an die Cloud und Empfangen vonDaten aus der Cloud. Das Modul Cloud Storage stellt sicher, dass die lokalen Kopien der inder Cloud gespeicherten Daten transparent verschlüsselt werden. Sie werden somit immerin verschlüsselter Form in der Cloud gespeichert.

Für Cloud Storage legen Sie im SafeGuard Management Center Cloud Storage Definitionenan und verwenden diese als Ziel für Richtlinien vom Typ Geräteschutz. Es stehen für mehrereCloud Storage Anbieter, zum Beispiel Dropbox oder Egnyte, vordefinierte Cloud StorageDefinitionen zur Verfügung.

Wenn für Endpoints eine Cloud Storage Richtlinie gilt, werden die Dateien in den von derRichtlinie abgedeckten Speicherorten ohne Benutzerinteraktion transparent verschlüsselt:

■ Verschlüsselte Dateien werden an die Cloud synchronisiert.

■ Aus der Cloud erhaltene verschlüsselte Dateien können wie üblich mit Applikationenmodifiziert werden.

Mit SafeGuard Portable kann auf durch Cloud Storage verschlüsselte Dateien auf Endpointsohne SafeGuard Enterprise Cloud Storage zugegriffen werden.Verschlüsselte Dateien könnenso auch in diesem Fall gelesen werden.

Hinweis: Cloud Storage verschlüsselt nur neue in der Cloud gespeicherte Daten. WurdenDaten bereits vor der Installation des Moduls Cloud Storage in der Cloud gespeichert, sowerden diese Daten nicht automatisch verschlüsselt. Wenn Sie solche Daten verschlüsselnmöchten, müssen Sie sie zunächst aus der Cloud entfernen und dann wieder einfügen.

5.4.1 Anforderungen für Software von Cloud Storage Anbietern

Damit die Verschlüsselung für in der Cloud gespeicherte Daten möglich ist, muss die Softwaredes Cloud Storage Anbieters

■ auf dem Computer, auf dem das Modul Cloud Storage installiert ist, laufen.

■ eine Anwendung (oder einen Systemdienst) im lokalen Dateisystem für die Synchronisierungzwischen der Cloud und dem lokalen System enthalten.

■ die synchronisierten Daten im lokalen Dateisystem speichern.

5.4.2 Anlegen von Cloud Storage Definitionen

Im SafeGuard Management Center stehen für mehrere Cloud Storage Anbieter, zum BeispielDropbox oder Egnyte, vordefinierte Cloud Storage Definitionen zur Verfügung. Sie könnendie in den vordefinierten Cloud Storage Definitionen festgelegten Pfade nach IhrenAnforderungen ändern oder eine neue Cloud Storage Definition erstellen und Werte aus dervordefinierten als Grundlage kopieren. Dies ist vor allem dann hilfreich, wenn Sie nur einenTeil der Daten in der Cloud Storage verschlüsseln möchten. Sie können auch eigene CloudStorage Definitionen anlegen.

168


Hinweis: Wenn bestimmte Ordner verschlüsselt werden (zum Beispiel der DropboxInstallationsordner), bewirkt dies unter Umständen, dass das Betriebssystem oder bestimmteAnwendungen nicht mehr laufen. Stellen Sie beim Anlegen von Cloud Storage Definitionenfür Geräteschutz Richtlinien sicher, dass diese Ordner nicht verschlüsselt werden.

1. Wählen Sie im Richtlinien Navigationsbereich Cloud Storage Definitionen.

2. Klicken Sie im Kontextmenü von Cloud Storage Definitionen auf Neu > Cloud StorageDefinition.

3. Der Neue Cloud Storage Definition Dialog wird angezeigt. Geben Sie einen Namen fürdie Cloud Storage Definition ein.

4. Klicken Sie auf OK. Die Cloud Storage Definition wird mit dem eingegebenen Namen unterdem Stammknoten Cloud Storage Definitionen im Richtlinien Navigationsbereichangezeigt.

5. Wählen Sie die Cloud Storage Definition aus. Im Arbeitsbereich auf der rechten Seite wirdder Inhalt der Cloud Storage Definition angezeigt:

■ Name des Ziels:

Der zu Beginn eingegebene Name. Dieser wird zur Referenzierung der Cloud StorageDefinition als Ziel für eine Richtlinie des Typs Geräteschutz benutzt.

■ Synchronisierungsapplikation:

Geben Sie den Pfad und die Anwendung für die Synchronisierung der Daten mit derCloud ein (zum Beispiel: <Desktop>\dropbox\dropbox.exe). Die Applikation muss sichauf einem lokalen Laufwerk befinden.

■ Synchronisierungsordner:

Geben Sie den/die Ordner ein, der/die mit der Cloud synchronisiert wird/werden. Eswerden nur lokale Pfade unterstützt.

Hinweis: Für Pfade in den Einstellungen Synchronisierungsapplikation undSynchronisierungsordner werden die gleichen Platzhalter wie für File Encryptionunterstützt, siehe Platzhalter für Pfade in pfadbasierten Dateiverschlüsselungsregeln(Seite 161).

5.4.2.1 Platzhalter für Cloud Storage AnbieterAls Sicherheitsbeauftragter können Sie Platzhalter für Cloud Storage Anbieter verwenden,um Synchronisierungsapplikationen und Synchronisierungsordner zu definieren. DiesePlatzhalter stehen für unterstützte Cloud Storage Applikationen von Drittanbietern. Mit denPlatzhaltern können Sie eine bestimmte Applikation eines Drittanbieters angeben unddenselben Platzhalter zum Verweis auf die Synchronisierungsordner verwenden, die von derApplikation zur Synchronisierung verwendet werden.

Platzhalter für Cloud Storage Anbieter werden zwischen <! und !> gesetzt.

Wird aufgelöst inKann in CSD-Einstellungverwendet werden.

PlatzhalterAnbieter



<!Box!>Box

Der "Fully qualified"-PfadderSynchronisierungsapplikation,

169

Administratorhilfe


PlatzhalterAnbieter

die von der Box-Softwarebenutzt wird.

FürSynchronisierungsordner:Der "Fully qualified"-PfaddesSynchronisierungsordners,der von der Box-Softwarebenutzt wird.



<!Dropbox!>Dropbox

Der "Fully qualified"-PfadderSynchronisierungsapplikation,die von derDropbox-Software benutztwird.

FürSynchronisierungsordner:Der "Fully qualified"-PfaddesSynchronisierungsordners,der von derDropbox-Software benutztwird.

Der "Fully qualified"-Pfadder

Synchronisierungsapplikation<!Egnyte!>Egnyte

Nur WindowsSynchronisierungsapplikation,die von derEgnyte-Software benutztwird.

Alle privaten Ordner inder Egnyte Cloud

Synchronisierungsordner<!EgnytePrivate!>

Storage. FürStandard-Egnyte-Benutzerist dies in der Regel eineinzelner Ordner. FürEgnyte-Administratoren,wird dieser Platzhalter inder Regel in mehrereOrdner umgesetzt.

Alle freigegebenenOrdner in der EgnyteCloud Storage.

Synchronisierungsordner<!EgnyteShared!>

170



PlatzhalterAnbieter

Hinweis:

Änderungen an der Egnyte-Ordnerstruktur (auch das Hinzufügen oder Entfernenvon privaten oder freigegebenen Ordnern) werden automatisch erkannt. Dieentsprechenden Richtlinien werden automatisch angepasst.

Hinweis: Da sich Egnyte-Synchronisierungsordner im Netzwerk befinden können,können Sie bei der Einstellung Synchronisierungsordner Netzwerkpfade eingeben.Das SafeGuard Enterprise Cloud Storage Modile verbindet sich daher standardmäßigmit Netzwerkdateisystemen. Wenn dies nicht erforderlich ist, können Sie diesesVerhalten deaktivieren, indem Sie eine Richtlinie vom Typ Allgemeine Einstellungendefinieren und unter Ignorierte Geräte die Option Netzwerk auswählen.



<!GoogleDrive!>Google Drive

Der "Fully qualified"-PfadderSynchronisierungsapplikation,die von der Google DriveSoftware benutzt wird.

FürSynchronisierungsordner:Der "Fully qualified"-PfaddesSynchronisierungsordners,der von der Google DriveSoftware benutzt wird.



<!OneDrive!>OneDrive

Der "Fully qualified"-PfadderSynchronisierungsapplikation,die von derOneDrive-Softwarebenutzt wird.

FürSynchronisierungsordner:Der "Fully qualified"-PfadderSynchronisierungsordner,die von derOneDrive-Softwarebenutzt werden.

Hinweis: SafeGuard Enterprise unterstützt keine Microsoft Konten. Unter Windows8.1 kann OneDrive nur benutzt werden, wenn der Windows Benutzer einDomänenbenutzer ist. Unter Windows 8.1 unterstützt SafeGuard Enterprise OneDrivenicht für lokale Benutzer.

171

Administratorhilfe


PlatzhalterAnbieter



<!OneDriveForBusiness!>OneDrive forBusiness

Der "Fully qualified"-PfadderSynchronisierungsapplikation,die von derOneDrive-Softwarebenutzt wird.


Hinweis: OneDrive for Business unterstützt nur das Speichern von verschlüsseltenDateien in lokalen Ordnern und ihre Synchronisierung mit der Cloud. Die Speicherungvon verschlüsselten Dateien von Microsoft Office 2013 Applikationen direkt in derOneDrive for Business-Cloud oder direkt am SharePoint Server wird nicht unterstützt.Diese Dateien werden unverschlüsselt in der Cloud gespeichert.

Von SafeGuard Enterprise in der OneDrive for Business-Cloud verschlüsselte Dateienkönnen nicht von Microsoft Office 365 geöffnet werden.



<!SkyDrive!>SkyDrive

Nur WindowsDer "Fully qualified"-PfadderSynchronisierungsapplikation,die von derOneDrive-Softwarebenutzt wird.


Da Microsoft SkyDrive auf OneDrive umbenannt hat, ist der <!SkyDrive!>Platzhalter immer noch verfügbar.

Auf diese Weise können ältere Richtlinien und SafeGuard Enterprise Endpoints vorVersion 7, die den <!OneDrive!> Platzhalter nicht handhaben können, ohneÄnderungen verwendet werden. SafeGuard Enterprise Endpoints Version 7 könnenbeide Platzhalter handhaben.

172


Beispiel

Wenn Sie Dropbox als Cloud Storage Anbieter nutzen, können Sie für dieSynchronisierungsapplikation einfach <!Dropbox!> eingeben. Wenn Sie denSynchronisierungsordner nicht explizit angeben, wird <!Dropbox!> auch in die Liste mitOrdnern unter Synchronisierungsordner kopiert.

In diesem Beispiel wird davon ausgegangen, dass

■ Sie die <!Dropbox!> für die Synchronisierungsapplikation und <!Dropbox!>\encryptfür den Synchronisierungsordner in der Cloud Storage Definition verwendet haben,

■ Dropbox auf dem Endpoint installiert ist

■ Der Benutzer :\dropbox als Ordner, der mit Dropbox synchronisiert werden soll,konfiguriert hat.

Wenn der durch SafeGuard Enterprise geschützte Endpoint eine Richtlinie mit einer solchenCloud Storage Definition (CSD) erhält, werden die Platzhalter in der CSD automatischentsprechend dem Pfad der Dropbox.exe für die Synchronisierungsapplikation umgesetzt.Außerdem wird die Dropbox-Konfiguration gelesen und die Verschlüsselungsrichtlinie aufden Ordner d:\dropbox\encrypt eingestellt.

5.4.2.2 Exportieren und Importieren von Cloud Storage DefinitionenAls Sicherheitsbeauftragter können Sie Cloud Storage Definitionen exportieren und importieren.Eine Cloud Storage Definition wird als .xml-Datei exportiert.

■ Um eine Cloud Storage Definition zu exportieren, wählen Sie im Kontextmenü dergewünschten Cloud Storage Definition im Bereich Richtlinie den Befehl Cloud StorageDefinition exportieren.

■ Um eine Cloud Storage Definition zu importieren, wählen Sie im Kontextmenü des CloudStorage Definition Knotens im Bereich Richtlinie den Befehl Cloud Storage Definitionimportieren.

Beide Befehle sind auch im Menü Aktionen des SafeGuard Management Center verfügbar.

5.4.3 Erstellen einer Geräteschutz-Richtlinie mit dem Ziel Cloud Storage

Die Cloud Storage Definitionen müssen bereits angelegt worden sein. Es stehen für mehrereCloud Storage Anbieter, zum Beispiel Dropbox oder Egnyte, vordefinierte Cloud StorageDefinitionen zur Verfügung.

Die Einstellungen für die Verschlüsselung von Cloud Storage Daten legen Sie in einer Richtlinievom Typ Geräteschutz fest.

1. Erstellen Sie im Richtlinien Navigationsbereich eine neue Richtlinie vom TypGeräteschutz.

2. Wählen eine Cloud Storage Definition als Ziel aus.

3. Klicken Sie auf OK. Die neu angelegte Richtlinie wird im Navigationsfenster unterRichtlinien angezeigt. Im Aktionsbereich werden alle Einstellungen für die Richtlinie vomTyp Geräteschutzangezeigt. Die Einstellungen können dort geändert werden.

4. Wählen Sie für die Option Verschlüsselungsmodus für Medien die EinstellungDateibasierend. Volume-basierende Verschlüsselung wird nicht unterstützt.

173

Administratorhilfe

5. Wählen Sie unter Algorithmus für die Verschlüsselung den Algorithmus, der für dieVerschlüsselung der Daten in den Synchronisierungsordnern, die in der Cloud StorageDefinition definiert sind, verwendet werden soll.

6. Mit den Einstellungen Schlüssel für die Verschlüsselung und Für Verschlüsselungdefinierter Schlüssel definieren Sie den Schlüssel oder die Schlüssel, die für dieVerschlüsselung verwendet werden sollen. Für weitere Informationen, siehe Geräteschutz(Seite 389).

7. Wenn Sie die Einstellung SafeGuard Portable auf das Ziel kopieren aktivieren, wirdSafeGuard Portable in jeden Synchronisierungsordner kopiert, sobald Inhalte in den Ordnergeschrieben werden. SafeGuard Portable ist eine Anwendung, mit der verschlüsselteDateien auf Windows-Computern, auf denen SafeGuard Enterprise installiert ist.

Hinweis: Um verschlüsselte Daten, die in der Cloud gespeichert sind, mit Benutzern zuteilen, die SafeGuard Enterprise nicht installiert haben, sollten die Benutzer zum Erzeugenlokaler Schlüssel berechtigt sein, siehe Lokale Schlüssel (Seite 175).

8. Mit der Option Klartext-Ordner können Sie einen Ordner definieren, der von derVerschlüsselung ausgeschlossen wird. Daten in Unterordnern des definiertenKlartext-Ordners werden ebenfalls von der Verschlüsselung ausgeschlossen. SafeGuardCloud Storage erstellt automatisch leere Klartext-Ordner in allen in der Cloud StorageDefinition definierten Synchronisierungsordnern.

5.4.4 Protokollierung des Dateizugriffs im Cloud-Speicher

Mit der Funktion Berichte im SafeGuard Management Center lässt sich der Dateizugriff imCloud-Speicher protokollieren (Datei-Tracking). Für Datei-Tracking spielt es keine Rolle, obfür die Dateien eine Verschlüsselungsrichtlinie gilt.

In einer Richtlinie vom Typ Protokollierung können Sie Folgendes konfigurieren:

■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf demWechselmedium erstellt wird.

■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf demWechselmedium umbenannt wird.

■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf demWechselmedium gelöscht wird.

Für weitere Informationen, siehe Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher(Seite 338).

5.5 SafeGuard Data ExchangeMit SafeGuard Data Exchange lassen sich Daten, die auf mit Endpoint-Computern verbundenenWechselmedien gespeichert werden, verschlüsseln und mit anderen Benutzern austauschen.Alle Ver- und Entschlüsselungsprozesse laufen transparent und mit minimalerBenutzerinteraktion ab.

Nur Benutzer, die über die entsprechenden Schlüssel verfügen, können den Inhalt derverschlüsselten Daten lesen. Alle nachfolgenden Verschlüsselungsprozesse laufen transparent.

In der zentralen Administration definieren Sie, wie Daten auf Wechselmedien behandeltwerden sollen.

Als Sicherheitsbeauftragter legen Sie die spezifischen Einstellungen in einer Richtlinie vomTyp Geräteschutz mit Wechselmedien als Ziel des Geräteschutzes fest.

174


Wählen Sie für SafeGuard Data Exchange Dateibasierend als Verschlüsselungsmodusfür Medien.

5.5.1 Gruppenschlüssel

Für den Austausch von verschlüsselten Daten zwischen Benutzern müssen SafeGuardEnterprise Gruppenschlüssel verwendet werden. Wenn sich der Gruppenschlüssel in denSchlüsselringen der Benutzer befindet, erhalten diese vollen transparenten Zugriff auf die mitihren Computern verbundenen Wechselmedien.

Auf Computern ohne SafeGuard Enterprise ist der Zugriff auf verschlüsselte Daten aufWechselmedien nicht möglich. Eine Ausnahme ist hier der zentrale definierteDomänen-/Gruppenschlüssel, der in Verbindung mit der Medien-Passphrase benutzt werdenkann.

Hinweis: Um verschlüsselte Daten auf Wechselmedien auch auf/mit Computern ohneSafeGuard Enterprise zu benutzen/weiterzugeben, können Sie SafeGuard Portable benutzen.Für SafeGuard Portable ist die Verwendung von lokalen Schlüsseln oder einerMedien-Passphrase erforderlich.

5.5.2 Lokale Schlüssel

SafeGuard Data Exchange unterstützt die Verschlüsselung mit lokalen Schlüsseln. LokaleSchlüssel werden auf dem Benutzercomputer erzeugt und können zur Verschlüsselung vonWechselmedien benutzt werden. Die Schlüssel werden durch Eingabe einer Passphraseerstellt. In der SafeGuard Enterprise Datenbank wird jeweils eine Sicherungskopie des lokalenSchlüssels erstellt.

Hinweis: Ein Benutzer ist standardmäßig dazu berechtigt, lokale Schlüssel zu erzeugen.Sollen Benutzer nicht dazu berechtigt sein, so müssen Sie diese Option explizit deaktivieren.Dies muss in einer Richtlinie vom Typ Geräteschutz mit Lokale Datenträger als Ziel desGeräteschutzes festgelegt werden (Allgemeine Einstellungen > Benutzer darf einenlokalen Schlüssel erzeugen > Nein).

Werden lokale Schlüssel zum Verschlüsseln von Dateien auf Wechselmedien verwendet,lassen sich diese Dateien auf einem Computer ohne SafeGuard Data Exchange mit SafeGuardPortable entschlüsseln. Beim Öffnen der Dateien mit SafeGuard Portable wird der Benutzerdazu aufgefordert, die Passphrase einzugeben, die beim Erzeugen des Schlüssels angegebenwurde. Wenn dem Benutzer die Passphrase bekannt ist, kann er die Datei öffnen.

Mit SafeGuard Portable erhält jeder Benutzer, der die entsprechende Passphrase kennt,Zugang zu verschlüsselten Dateien auf Wechselmedien. Auf diese Weise ist ein Austauschvon verschlüsselten Daten mit Partnern, die SafeGuard Enterprise nicht installiert haben,möglich. Sie benötigen lediglich SafeGuard Portable sowie die Passphrase für die Dateien,auf die sie zugreifen sollen.

Durch Verwendung von verschiedenen lokalen Schlüsseln für die Verschlüsselung von Dateienauf Wechselmedien lässt sich der Zugang zu den Dateien sogar selektiv einschränken. ZumBeispiel: Sie verschlüsseln die Dateien auf einem USB-Stick mit einem Schlüssel mit derPassphrase mein_lokalerSchlüssel. Für eine einzelne Datei mit dem DateinamenFürPartner.doc verwenden Sie die Passphrase partner_lokalerSchlüssel. Wenn Sie denUSB-Stick nun an einen Partner weitergeben und ihm die Passphrase partner_lokalerSchlüsselmitteilen, hat dieser nur Zugriff auf die Datei FürPartner.doc.

Hinweis: Standardmäßig wird SafeGuard Portable automatisch auf die am Systemangeschlossenen Wechselmedien kopiert, sobald Inhalte auf die von einerVerschlüsselungsregel abgedeckten Medien geschrieben werden. Um SafeGuard Portable

175

Administratorhilfe

nicht auf die Wechselmedien zu kopieren, deaktivieren Sie die Option SafeGuard Portableauf das Ziel kopieren in einer Richtlinie vom Typ Geräteschutz.

5.5.3 Medien-Passphrase

SafeGuard Data Exchange ermöglicht es Ihnen festzulegen, dass eine einzigeMedien-Passphrase für alle Wechselmedien - mit Ausnahme von optischen Medien - auf denEndpoints erstellt werden muss. Die Medien-Passphrase ermöglicht sowohl den Zugriff aufalle zentral definierten Domänen-/Gruppenschlüssel als auch auf alle in SafeGuard Portableverwendeten lokalen Schlüssel. Der Benutzer muss nur eine einzige Passphrase eingebenund erhält Zugriff auf alle verschlüsselten Dateien in SafeGuard Portable. Dabei spielt eskeine Rolle, welcher lokale Schlüssel für die Verschlüsselung verwendet wurde.

Auf jedem Endpoint wird automatisch ein einzigartiger Medienverschlüsselungsschlüssel fürdie Datenverschlüsselung für jedes Medium erstellt. Dieser Schlüssel ist durch dieMedien-Passphrase und einen zentral definierten Domänen-/Gruppenschlüssel gesichert.Auf einem Computer mit SafeGuard Data Exchange ist es daher nicht notwendig, dieMedien-Passphrase einzugeben, um auf die verschlüsselten Dateien auf Wechselmedienzuzugreifen. Der Zugriff wird automatisch gewährt, wenn sich der entsprechende Schlüsselim Schlüsselring des Benutzers befindet.

Der zu verwendende Domänen-/Gruppenschlüssel muss unter Für Verschlüsselungdefinierter Schlüssel festgelegt werden.

Die Medien-Passphrase-Funktionalität steht zur Verfügung, wenn die Option Benutzer darfeine Medien-Passphrase für Wechselmedien erzeugen in einer Richtlinie vom TypGeräteschutz aktiviert ist.

Nach dem Wirksamwerden dieser Einstellung auf dem Endpoint wird der Benutzer automatischaufgefordert, eine Medien-Passphrase einzugeben, wenn er zum ersten Mal Wechselmedienmit dem Computer verbindet. Die Medien-Passphrase ist auf allen Computern, auf denensich der Benutzer anmelden darf, gültig. Der Benutzer kann die Medien-Passphrase auchändern. In diesem Fall findet automatisch eine Synchronisierung statt, wenn dieMedien-Passphrase auf dem Computer und die Medien-Passphrase der Wechselmediennicht mehr synchron sind.

Sollte der Benutzer die Medien-Passphrase vergessen, so kann er diese ohneHelpdesk-Unterstützung wiederherstellen.

Hinweis: Um die Medien-Passphrase zu aktivieren, aktivieren Sie die Option Benutzer darfeine Medien-Passphrase für Wechselmedien erzeugen in einer Richtlinie vom TypGeräteschutz. Diese Einstellung steht nur dann zur Verfügung, wenn Sie als Ziel desGeräteschutzes die Option Wechselmedien gewählt haben.

5.5.3.1 Medien-Passphrase und Standalone-EndpointsAuf einem Standalone-Endpoint (d. h. auf einem Endpoint, der nicht zentral verwaltet wird)stehen ohne aktivierte Medien-Passphrase-Funktion nach der Installation keine Schlüsselzur Verfügung, da Standalone-Endpoints nur lokale Schlüssel verwenden.Vor der Benutzungder Verschlüsselung muss der Benutzer einen Schlüssel erzeugen.

Ist die Medien-Passphrase-Funktionalität in einer Wechselmedienrichtlinie für diese Endpointsaktiviert, so wird der Medienverschlüsselungsschlüssel automatisch auf dem Endpoint erzeugtund kann direkt nach Abschluss der Installation für die Verschlüsselung verwendet werden.Der Schlüssel steht als „vordefinierter“ Schlüssel im Schlüsselring des Benutzers zur Verfügungund wird in Dialogen für die Schlüsselauswahl als <Benutzername> angezeigt.

Falls verfügbar, werden die Medienverschlüsselungsschlüssel auch für alle initialenVerschlüsselungsvorgänge verwendet.

176


5.5.4 Best Practice

Dieser Abschnitt beschreibt einige typische Anwendungsfälle für SafeGuard Data Exchangeund deren Umsetzung durch Erstellen der entsprechenden Richtlinien.

Bob und Alice sind zwei Mitarbeiter des gleichen Unternehmens und haben beide SafeGuardData Exchange installiert. Joe ist ein externer Partner. Auf seinem Computer ist SafeGuardEnterprise nicht installiert.

5.5.4.1 Unternehmensinterne AnwendungBob möchte verschlüsselte Daten auf Wechselmedien an Alice weitergeben. Beide gehörenderselben Gruppe an und haben daher den entsprechenden Gruppenschlüssel in ihremSafeGuard Enterprise Schlüsselring. Da sie den Gruppenschlüssel benutzen, können sietransparent auf die verschlüsselten Dateien zugreifen, ohne eine Passphrase eingeben zumüssen.

Die notwendigen Einstellungen legen Sie in einer Richtlinie vom TypGeräteschutz\Wechselmedien fest:

■ Verschlüsselungsmodus für Medien: Dateibasierend

■ Schlüssel für die Verschlüsselung: Definierter Schlüssel aus der Liste

■ Definierter Schlüssel aus der Liste: <Gruppen-/Domänenschlüssel> (z. B.group_users_Bob_Alice@DC=...), um sicherzustellen, dass beide denselben Schlüsselbenutzen

Wenn die Firmenrichtlinien zusätzlich festlegen, dass alle Dateien auf Wechselmedien immerverschlüsselt werden sollen, fügen Sie folgende Einstellungen hinzu:

■ Initialverschlüsselung aller Dateien: Ja

Stellt sicher, dass Dateien auf Wechselmedien verschlüsselt werden, sobald dieWechselmedien zum ersten Mal mit dem System verbunden werden.

■ Benutzer darf Initialverschlüsselung abbrechen: Nein

Der Benutzer kann die Initialverschlüsselung nicht abbrechen, um sie z. B. zu einemspäteren Zeitpunkt durchzuführen.

■ Benutzer darf auf unverschlüsselte Dateien zugreifen: Nein

Werden auf Wechselmedien unverschlüsselte Dateien entdeckt, so wird der Zugriff aufdiese Dateien verweigert.

■ Benutzer darf Dateien entschlüsseln: Nein

Der Benutzer darf Dateien auf Wechselmedien nicht entschlüsseln.

■ SafeGuard Portable auf das Ziel kopieren: Nein

Für die gemeinsame Benutzung von Wechselmedien innerhalb der Arbeitsgruppe istSafeGuard Portable nicht erforderlich. Außerdem würde SafeGuard Portable dasEntschlüsseln von Dateien auf Computern ohne SafeGuard Enterprise erlauben.

Die Benutzer können Daten einfach durch Austausch von Wechselmedien gemeinsam nutzen.Wenn sie die Wechselmedien mit ihren Computern verbinden, haben sie transparenten Zugriffauf verschlüsselte Dateien.

177

Administratorhilfe

Hinweis: Dieser Anwendungsfall kann durch Benutzung von SafeGuard Enterprise DeviceEncryption umgesetzt werden. Hier ist das gesamte Wechselmedium sektorbasierendverschlüsselt.

5.5.4.2 Anwendung bei Heimarbeit oder für persönlichen Gebrauch auf Dritt-Computern■ Heimarbeit:

Bob möchte seine verschlüsselten Wechselmedien auf seinem Computer zuhausebenutzen, auf dem SafeGuard Enterprise nicht installiert ist. Auf seinem Computer zuhauseentschlüsselt Bob Dateien mit SafeGuard Portable. Da für alle seine Wechselmedien eineeinzige Medien-Passphrase definiert ist, muss Bob nur SafeGuard Portable öffnen unddie Medien-Passphrase eingeben. Danach hat Bob transparenten Zugriff auf alleverschlüsselten Dateien, unabhängig davon, welcher lokale Schüssel für dieVerschlüsselung verwendet wurde.

■ Persönlicher Gebrauch auf Dritt-Computern:

Bob verbindet das Wechselmedium mit Joes (externer Partner) Computer und gibt dieMedien-Passphrase ein, um Zugriff auf die auf dem Medium gespeicherten verschlüsseltenDateien zu erhalten. Bob kann die Dateien nun - verschlüsselt oder unverschlüsselt - aufJoes Computer kopieren.

Verhalten auf dem Endpoint:

■ Bob verbindet das Wechselmedium zum ersten Mal mit dem Computer.

■ Der Medienverschlüsselungsschlüssel, der für jedes Medium einzigartig ist, wird automatischerzeugt.

■ Bob wird aufgefordert, die Medien-Passphrase für die Offline-Nutzung über SafeGuardPortable einzugeben.

■ Der Benutzer muss nichts über den zu verwendenden Schlüssel oder den Schlüsselringwissen. Der Medienverschlüsselungsschlüssel wird ohne Benutzerinteraktion immer fürdie Datenverschlüsselung verwendet. Der Medienverschlüsselungsschlüssel ist für denBenutzer auch nicht sichtbar. Nur der zentral definierte Gruppen-/Domänenschlüssel istsichtbar.

■ Bob und Alice haben innerhalb der gleichen Gruppe oder Domäne transparenten Zugriff,da sie beide den gleichen Gruppen-/Domänenschlüssel verwenden.

■ Wenn Bob auf verschlüsselte Dateien auf Wechselmedien auf einem Computer ohneSafeGuard Data Exchange zugreifen möchte, kann er die Medien-Passphrase in SafeGuardPortable benutzen.



■ Schlüssel für die Verschlüsselung: Definierter Schlüssel aus der Liste

Definierter Schlüssel aus der Liste: <Gruppen-/Domänenschlüssel> (z. B.group_users_Bob_Alice@DC=...), um sicherzustellen, dass beide denselben Schlüsselbenutzen.

■ Benutzer darf eine Medien-Passphrase für Wechselmedien erzeugen: Ja

178


Der Benutzer definiert eine Medien-Passphrase auf seinem Computer, die für alle seineWechselmedien gilt.

■ SafeGuard Portable auf das Ziel kopieren: Ja

SafeGuard Portable gibt dem Benutzer in einem System ohne SafeGuard Data ExchangeZugriff auf alle verschlüsselten Dateien auf den Wechselmedien durch die Eingabe einereinzigen Medien-Passphrase.










Im Büro haben sowohl Bob als auch Alice transparenten Zugriff auf verschlüsselte Dateienauf Wechselmedien. Zuhause oder auf Dritt-Computern können sie verschlüsselte Dateienmit SafeGuard Portable öffnen. Die Benutzer müssen nur die Medien-Passphrase eingebenund erhalten somit Zugriff auf alle verschlüsselten Dateien. Dies ist eine einfache und sichereMethode für die Verschlüsselung von Daten auf allen Wechselmedien. Ziel dieser Konfigurationist es, die Benutzerinteraktion auf ein Minimum zu reduzieren und trotzdem jede Datei aufWechselmedien zu verschlüsseln und den Benutzern Zugriff auf die verschlüsselten Dateienim Offline-Modus zu geben. Der Benutzer darf Dateien auf Wechselmedien nicht entschlüsseln.

Hinweis: In dieser Konfiguration sind Benutzer nicht dazu berechtigt, lokale Schlüssel zuerzeugen, da dies in diesem Anwendungsfall nicht notwendig ist. Dies muss in einer Richtlinievom Typ Geräteschutz mit Lokale Datenträger als Ziel des Geräteschutzes festgelegtwerden (Allgemeine Einstellungen > Benutzer darf einen lokalen Schlüssel erzeugen >Nein).

■ SafeGuard Portable auf Wechselmedien kopieren: Nr.

Für die gemeinsame Benutzung von Wechselmedien innerhalb der Arbeitsgruppe istSafeGuard Portable nicht erforderlich. Außerdem würde SafeGuard Portable dasEntschlüsseln von Dateien auf Computern ohne SafeGuard Enterprise erlauben.

Im Büro haben die Benutzer transparenten Zugriff auf verschlüsselte Dateien aufWechselmedien. Zuhause öffnen sie verschlüsselte Dateien mit SafeGuard Portable. DieBenutzer müssen nur die Medien-Passphrase eingeben und erhalten somit Zugriff auf alleverschlüsselten Dateien, unabhängig davon, welcher Schlüssel für die Verschlüsselungverwendet wurde.

179

Administratorhilfe

5.5.4.3 Weitergabe von Wechselmedien an externe PartnerHinweis: Dieses Beispiel gilt nur für Windows Endpoints.

Bob möchte ein verschlüsseltes Medium an Joe (externer Partner) weitergeben, der SafeGuardData Exchange nicht installiert hat und daher SafeGuard Portable verwenden muss. Bobmöchte Joe jedoch nicht auf alle verschlüsselten Dateien auf dem Wechselmedium Zugriffgeben. Er kann hierzu einen lokalen Schlüssel erzeugen und die Dateien mit dem lokalenSchlüssel verschlüsseln. Joe kann nun mit SafeGuard Portable die verschlüsselten Dateienmit der Passphrase des lokalen Schlüssels öffnen. Bob dagegen kann immer noch dieMedien-Passphrase für den Zugriff auf alle Dateien auf dem Wechselmedium benutzen.

Verhalten auf dem Computer:

■ Bob verbindet das Wechselmedium zum ersten Mal mit dem Computer. DerMedienverschlüsselungsschlüssel, der für jedes Medium einzigartig ist, wird automatischerzeugt.

■ Bob wird aufgefordert, die Medien-Passphrase für die Offline-Nutzung einzugeben.

■ Der Medienverschlüsselungsschlüssel wird ohne Benutzerinteraktion für dieDatenverschlüsselung verwendet, aber...

■ Bob kann nun einen lokalen Schlüssel (z. B. mit der Bezeichnung JoeSchlüssel) für dieVerschlüsselung der spezifischen Dateien, die mit Joe ausgetauscht werden sollen,erzeugen oder auswählen.

■ Bob und Alice haben innerhalb der gleichen Gruppe oder Domäne transparenten Zugriff,da sie beide den gleichen Gruppen-/Domänenschlüssel verwenden.

■ Wenn Bob auf verschlüsselte Dateien auf Wechselmedien auf einem Computer ohneSafeGuard Data Exchange zugreifen möchte, kann er die Medien-Passphrase in SafeGuardPortable benutzen.

■ Joe kann auf die spezifischen Dateien durch Eingabe der Passphrase des SchlüsselsJoeSchlüssel zugreifen, ohne auf die restlichen Dateien auf dem Wechselmedium zugreifenzu müssen.



■ Schlüssel für die Verschlüsselung: Beliebiger Schlüssel im Schlüsselring desBenutzers

Ermöglicht dem Benutzer die Auswahl unterschiedlicher Schlüssel für die Verschlüsselungvon Dateien auf Wechselmedien.

Für Verschlüsselung definierter Schlüssel: <Gruppen-/Domänenschlüssel> (z. B.group_users_Bob_Alice@DC=...), um sicherzustellen, dass beide denselben Schlüsselbenutzen und um beiden den transparenten Zugriff auf Wechselmedien zu ermöglichen,wenn sie sie mit ihren Computern im Büro verbinden.

■ Benutzer darf eine Medien-Passphrase für Wechselmedien erzeugen: Ja

Der Benutzer definiert eine Medien-Passphrase auf seinem Computer, die für alle seineWechselmedien gilt.

180


■ SafeGuard Portable auf das Ziel kopieren: Ja

SafeGuard Portable gibt dem Benutzer in einem System ohne SafeGuard Data ExchangeZugriff auf alle verschlüsselten Dateien auf den Wechselmedien durch die Eingabe einereinzigen Medien-Passphrase.










Im Büro haben sowohl Bob als auch Alice transparenten Zugriff auf verschlüsselte Dateienauf Wechselmedien. Zuhause können sie verschlüsselte Dateien mit SafeGuard Portabledurch Eingabe der Medien-Passphrase öffnen. Wenn Bob oder Alice die Wechselmedien aneinen Dritt-Computer weitergeben möchten, auf dem SafeGuard Data Exchange nicht installiertist, können sie mit lokalen Schlüsseln sicherstellen, dass externe Partner nur auf einigespezifische Dateien zugreifen können. Dies ist eine erweiterte Konfiguration, die durch dieMöglichkeit, lokale Schlüssel auf den Computern zu erzeugen, ein höheres Maß anBenutzerinteraktion umfasst.

Hinweis: Voraussetzung für diesen Beispielanwendungsfall ist es, dass der Benutzer dazuberechtigt ist, lokale Schlüssel zu erzeugen (Standardeinstellung in SafeGuard Enterprise).

5.5.5 Konfigurieren von vertrauenswürdigen und ignorierten Anwendungenfür SafeGuard Data Exchange

Sie können Anwendungen als vertrauenswürdig definieren, um ihnen Zugriff auf verschlüsselteDateien zu geben. Dies ist zum Beispiel notwendig, damit Antivirus-Software verschlüsselteDateien überprüfen kann.

Sie können Anwendungen als ignoriert definieren, um sie von der transparentenDateiverschlüsselung/Dateientschlüsselung auszuschließen. Wenn Sie zum Beispiel einBackup-Programm als ignorierte Anwendung definieren, bleiben die vom Programm gesichertenverschlüsselten Daten verschlüsselt.

Hinweis: Untergeordnete Prozesse werden nicht als vertrauenswürdig/ignoriert eingestuft.


2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche der FelderVertrauenswürdige Anwendungen oder Ignorierte Anwendungen.

181

Administratorhilfe

3. Geben Sie im Editor-Listenfeld die Anwendungen ein, die Sie als vertrauenswürdig/ignoriertdefinieren möchten.

■ Sie können mehrere vertrauenswürdige/ignorierte Anwendungen in einer Richtliniedefinieren. Jede Zeile im Editor-Listenfeld definiert jeweils eine Anwendung.


■ Anwendungsnamen müssen als Fully Qualified Paths mit Laufwerk/Verzeichnis definiertwerden. Es reicht nicht aus, nur den Dateinamen einzugeben (zum Beispiel"beispiel.exe"). Aus Gründen der Benutzerfreundlichkeit zeigt die Einzelzeilenansichtder Anwendungsliste nur die Dateinamen getrennt durch Strichpunkte.


Hinweis: Die Richtlinieneinstellungen Vertrauenswürdige Anwendungen und IgnorierteAnwendungen sind Computereinstellungen. Die Richtlinie muss daher Computern, nichtBenutzern, zugewiesen werden. Andernfalls werden die Einstellungen nicht wirksam.

5.5.6 Konfigurieren von ignorierten Geräten für SafeGuard Data Exchange

Sie können Geräte als ignoriert definieren, um sie von der Dateiverschlüsselungauszuschließen. Sie können nur vollständige Geräte ausschließen.



3. Geben Sie die entsprechenden Gerätenamen ein, um spezifische Geräte von derVerschlüsselung auszuschließen. Dies ist zum Beispiel nützlich, wenn Sie Systeme vonDritt-Anbietern ausschließen müssen.

Hinweis: Sie können die Namen der derzeit im System benutzten Geräte mit Tools vonDritt-Anbietern (z. B. OSR Device Tree) anzeigen lassen. SafeGuard Enterprise protokolliertalle Geräte, mit denen eine Verbindung hergestellt wird. Mit Hilfe von Registry Keys könnenSie eine Liste von verbundenen und ignorierten Geräten aufrufen.

5.5.6.1 Anzeigen von verbundenen und ignorierten Geräten für die SafeGuard DataExchange KonfigurationAls Hilfestellung für die Definition von ignorierten Geräten können Sie mit Registry Keysermitteln, welche Geräte für die Verschlüsselung in Betracht gezogen werden (verbundeneGeräte) und welche Geräte derzeit ignoriert werden. Die Liste mit ignorierten Geräten enthältnur Geräte, die tatsächlich auf dem Computer verfügbar sind und ignoriert werden. Wird einGerät in einer Richtlinie als ignoriert definiert und das Gerät ist nicht verfügbar, so wird dasGerät auch nicht aufgelistet.




182


5.5.7 Konfigurieren der persistenten Verschlüsselung für SafeGuard DataExchange

Der Inhalt von mit SafeGuard Data Exchange verschlüsselten Dateien wird jeweils direktentschlüsselt, wenn der Benutzer den erforderlichen Schlüssel hat. Wenn der Inhalt in einerneuen Datei an einem Ablageort gespeichert wird, für den keine Verschlüsselungsregel gilt,bleibt die resultierende neue Datei unverschlüsselt.

Mit persistenter Verschlüsselung bleiben Kopien von verschlüsselten Dateien auch dannverschlüsselt, wenn sie an einem Speicherort abgelegt werden, für den keineVerschlüsselungsregel gilt.

Sie können die persistente Verschlüsselung in Richtlinien vom Typ Allgemeine Einstellungenkonfigurieren. Die Richtlinieneinstellung Persistente Verschlüsselung aktivieren iststandardmäßig aktiviert.

Hinweis:

■ Wenn Dateien an ein ignoriertes Gerät oder in einen Ordner kopiert oder verschobenwerden, für den eine Richtlinie mit dem Modus für die Verschlüsselung Ignorieren gilt,hat die Einstellung Persistente Verschlüsselung aktivieren keine Auswirkungen.

■ Kopiervorgänge werden anhand des Dateinamens erkannt. Wenn ein Benutzer eineverschlüsselte Datei mit Speichern unter unter einem anderen Dateinamen an einemSpeicherort speichert, für den keine Verschlüsselungsregel gilt, ist die Datei unverschlüsselt.

5.5.8 Protokollierung des Dateizugriffs auf Wechselmedien

Mit der Funktion Berichte des SafeGuard Management Center lässt sich der Dateizugriff aufWechselmedien protokollieren (Datei-Tracking). Für Datei-Tracking spielt es keine Rolle, obfür Dateien auf Wechselmedien eine Verschlüsselungsrichtlinie gilt.


■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf demWechselmedium angelegt wird.


■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis vomWechselmedium gelöscht wird.


5.5.9 SafeGuard Data Exchange und File Encryption

Das SafeGuard Enterprise Modul File Encryption bietet dateibasierende Verschlüsselung imNetzwerk, speziell für Arbeitsgruppen bei Netzwerkfreigaben.

Wenn sowohl SafeGuard Data Exchange als auch File Encryption auf einem Endpoint installiertist, kann es vorkommen, dass eine SafeGuard Data Exchange Verschlüsselungsrichtlinie fürein Laufwerk auf dem Computer definiert ist und gleichzeitig File Encryption Richtlinien fürOrdner auf demselben Laufwerk gelten. Ist dies der Fall, so erhält die SafeGuard DataExchange Richtlinie Vorrang vor den File Encryption Richtlinien. Neue Dateien werden gemäßder SafeGuard Data Exchange Richtlinie verschlüsselt.

Weitere Informationen finden Sie unter Pfadbasierte Dateiverschlüsselung (Seite 157).

183

Administratorhilfe

5.6 SafeGuard Full Disk EncryptionSafeGuard Full Disk Encryption mit SafeGuard Power-on Authentication (POA) ist das SophosModul zur Verschlüsselung von Laufwerken auf Endpoints. Es wird mit einer von Sophosentwickelten Pre-Boot Authentication namens SafeGuard Power-on Authentication (POA)geliefert, die Anmeldeoptionen wie Smartcard und Fingerabdruck sowie einenChallenge/Response Mechanismus für die Wiederherstellung unterstützt.

Dateien werden transparent verschlüsselt. Wenn Benutzer Dateien öffnen, bearbeiten undspeichern, werden sie nicht zur Ver- oder Entschlüsselung aufgefordert. Full Disk Encryptionkann volume- oder dateibasierend durchgeführt werden, mit unterschiedlichen Schlüsselnund Algorithmen.

Als Sicherheitsbeauftragter legen Sie die Einstellungen für die Verschlüsselung in einerSicherheitsrichtlinie vom Typ Geräteschutz fest. Für weitere Informationen, siehe MitRichtlinien arbeiten (Seite 91) und Geräteschutz (Seite 389).

Hinweis: SafeGuard Full Disk Encryption ist nur für Endpoints mit Windows 7 (BIOS)verfügbar. Wenn Sie Windows 7 UEFI oder eine neuere Version von Windows verwenden,nutzen Sie die integrierte Windows BitLocker Drive Encryption-Funktionalität. NähereInformationen finden Sie unter BitLocker-Laufwerkverschlüsselung (Seite 145).

5.6.1 Volume-basierende Festplattenverschlüsselung

Mit der volume-basierenden Festplattenverschlüsselung werden alle Daten auf einem Volume(einschließlich Boot-Dateien, Pagefiles, Hibernation Files, temporäre Dateien,Verzeichnisinformationen usw.) verschlüsselt. Benutzer müssen sich in ihrer Arbeitsweisenicht anpassen oder auf Sicherheit achten.

Um volume-basierende Verschlüsselung auf Endpoints anzuwenden, erstellen Sie eineRichtlinie vom Typ Geräteschutz und wählen Sie bei Verschlüsselungsmodus für Mediendie Einstellung Volume-basierend. Für weitere Informationen, siehe Geräteschutz (Seite389).

Hinweis:

■ Die Volume-basierende Verschlüsselung/Entschlüsselung wird für Laufwerke ohneLaufwerksbuchstaben nicht unterstützt.

■ Wenn für ein Volume oder einen Volume-Typ eine Verschlüsselungsrichtlinie existiert unddie Verschlüsselung des Volumes schlägt fehl, darf der Benutzer nicht auf das Volumezugreifen.

■ Endpoints können während der Verschlüsselung/Entschlüsselung heruntergefahren undneu gestartet werden.

■ Wenn auf die Entschlüsselung die Deinstallation folgt, empfehlen wir, den Endpoint nichtin einen Energiesparmodus oder den Ruhezustand zu versetzen.

■ Wenn nach der volume-basierenden Verschlüsselung eine Richtlinie auf einenEndpoint-Computer angewendet wird, die die Entschlüsselung erlaubt, ist Folgendes zubeachten: Nach einer vollständigen volume-basierenden Verschlüsselung muss derEndpoint-Computer mindestens einmal neu gestartet werden, bevor die Entschlüsselunggestartet werden kann.

Hinweis: Im Gegensatz zur SafeGuard BitLocker Drive Encryption unterstützt dieVolume-basierende SafeGuard-Verschlüsselung keine GUID Partition Table (GPT) Disks.Die Installation wird abgebrochen, wenn eine solche Disk gefunden wird. Wenn dem Systemspäter eine GPT Disk hinzugefügt wird, werden Volumes auf der Disk verschlüsselt. Beachten

184


Sie, dass die SafeGuard Recovery-Tools – wie z. B. BE_Restore.exe und recoverkeys.exe– mit solchen Volumes nicht zurechtkommen. Sophos empfiehlt dringend, eine Verschlüsselungvon GPT Disks zu vermeiden. Zum Entschlüsseln von Volumes, die unbeabsichtigtverschlüsselt wurden, ändern Sie Ihre SafeGuard Enterprise Richtlinien entsprechend undermöglichen Sie dem Benutzer die Entschlüsselung.

5.6.1.1 Volume-basierende Verschlüsselung und die Windows 7 SystempartitionFür Windows 7 Professional, Enterprise und Ultimate wird auf den Endpoints eineSystempartition angelegt, der kein Laufwerksbuchstabe zugeordnet ist. Diese System-Partitionkann nicht von SafeGuard Enterprise verschlüsselt werden.

5.6.1.2 Schnelle InitialverschlüsselungSafeGuard Enterprise bietet die schnelle Initialverschlüsselung als Spezialmodus für dievolume-basierende Verschlüsselung. Dieser Modus reduziert den Zeitraum, der für die initialeVerschlüsselung (oder die endgültige Entschlüsselung) von Volumes auf Endpoints benötigtwird. Dies wird dadurch erreicht, dass nur auf den Festplattenspeicherplatz zugegriffen wird,der tatsächlich in Gebrauch ist.

Für die schnelle Initialverschlüsselung gelten folgende Voraussetzungen:

■ Die schnelle Initialverschlüsselung funktioniert nur auf NTFS-formatierten Volumes.

■ Bei NTFS-formatierten Volumes mit einer Cluster-Größe von 64 KB kann die schnelleInitialverschlüsselung nicht angewendet werden.

Hinweis: Dieser Modus kann zu einem unsichereren Zustand führen, wenn eine Platte vorder Verwendung mit SafeGuard Enterprise bereits in Gebrauch war. Nicht verwendete Sektorenkönnen noch Daten enthalten. Daher ist die schnelle Initialverschlüsselung standardmäßigdeaktiviert.

Um die schnelle Initialverschlüsselung zu aktivieren, wählen Sie die Einstellung SchnelleInitialverschlüsselung in einer Richtlinie vom Typ Geräteschutz.

Hinweis: Für die Entschlüsselung eines Volumes wird unabhängig von der gewähltenRichtlinieneinstellung immer die schnelle Initialverschlüsselung verwendet. Für dieEntschlüsselung gelten ebenfalls die angegebenen Einschränkungen.

5.6.1.3 Volume-basierende Verschlüsselung und Unidentified File System ObjectsUnidentified File System Objects sind Volumes, die von SafeGuard Enterprise nicht eindeutigals verschlüsselt oder unverschlüsselt identifiziert werden können. Existiert für ein UnidentifiedFile System Object eine Verschlüsselungsrichtlinie, so wird der Zugriff auf das Volumeverweigert. Existiert keine Verschlüsselungsrichtlinie, so kann der Benutzer auf das Volumezugreifen.

Hinweis: Existiert für ein Unidentified File System Object eine Verschlüsselungsrichtlinie,bei der die Richtlinieneinstellung Schlüssel für die Verschlüsselung auf eine Optioneingestellt ist, die die Schlüsselauswahl ermöglicht (z. B. Beliebiger Schlüssel imSchlüsselring des Benutzers), so entsteht zwischen der Anzeige desSchlüsselauswahldialogs und der Verweigerung des Zugriffs auf das Volume eine zeitlicheLücke. Während dieser Zeit kann auf das Volume zugegriffen werden. So lange derSchlüsselauswahldialog nicht vom Benutzer bestätigt wird, besteht Zugriff auf das Volume.Um dies zu vermeiden, geben Sie einen vorausgewählten Schlüssel für die Verschlüsselungan. Für weitere Informationen zu den relevanten Richtlinieneinstellungen, siehe Geräteschutz(Seite 389). Diese zeitliche Lücke entsteht auch dann für mit dem Endpoint verbundeneUnidentified File System Objects, wenn der Benutzer zu dem Zeitpunkt, an dem die

185

Administratorhilfe

Verschlüsselungsrichtlinie wirksam wird, bereits Dateien auf dem Volume geöffnet hat. Indiesem Fall, kann nicht gewährleistet werden, dass der Zugriff auf das Volume verweigertwird, da dies zu Datenverlust führen könnte.

5.6.1.4 Verschlüsselung von Volumes mit aktivierter Autorun-FunktionalitätWenn Sie auf Volumes, für die die Autorun-Funktionalität aktiviert ist, eineVerschlüsselungsrichtlinie anwenden, so können folgende Probleme auftreten:

■ Das Volume wird nicht verschlüsselt.

■ Wenn es sich um ein Unidentified File System Object handelt, wird der Zugriff nichtverweigert.

5.6.1.5 Dateibasierende FestplattenverschlüsselungDie dateibasierende Verschlüsselung stellt sicher, dass alle Daten verschlüsselt sind (außerBoot Medium und Verzeichnisinformationen). Mit dateibasierender Verschlüsselung lassensich auch optische Medien wie CD/DVD verschlüsseln. Außerdem können Daten mitFremdrechnern, auf denen SafeGuard Enterprise nicht installiert ist, ausgetauscht werden(soweit von der Richtlinie erlaubt), siehe SafeGuard Data Exchange (Seite 174).

Hinweis: Boot-Volumes werden niemals dateibasierend verschlüsselt. Sie sind automatischvon einer dateibasierenden Verschlüsselung ausgenommen, auch wenn eine entsprechendeRegel definiert ist.

Hinweis: Daten, die mit dateibasierender Verschlüsselung verschlüsselt sind, können nichtkomprimiert werden. Umgekehrt können auch komprimierte Dateien nicht dateibasierendverschlüsselt werden.

Um dateibasierende Verschlüsselung auf Endpoints anzuwenden, erstellen Sie eine Richtlinievom Typ Geräteschutz und wählen Sie bei Verschlüsselungsmodus für Medien dieEinstellung Dateibasierend.

5.6.1.5.1 Standardverhalten beim Speichern von Dateien

Da sich Anwendungen beim Speichern von Dateien unterschiedlich verhalten, bietet SafeGuardEnterprise zwei Verfahren für das Behandeln von verschlüsselten Dateien, die geändertwurden.

Wurde eine Datei mit einem anderen Schlüssel als dem Standardschlüssel des Volumesverschlüsselt und Sie bearbeiten und speichern die Datei, so würde man erwarten, dass derVerschlüsselungsschlüssel beibehalten wird. Es wurde ja eine Datei bearbeitet, keine neueerstellt. Viele Anwendungen speichern jedoch Dateien, indem sie eine Kombination ausSpeichern-, Löschen- und Umbenennen-Vorgängen ausführen (z. B. Microsoft Office). Istdies der Fall, so verwendet SafeGuard Enterprise in der Standardeinstellung denStandardschlüssel für diesen Verschlüsselungsvorgang und ändert somit den für dieVerschlüsselung verwendeten Schlüssel.

Wenn Sie dieses Verhalten ändern und den für die Verschlüsselung verwendeten Schlüsselin jedem Fall beibehalten möchten, können Sie einen Registry Key auf dem Endpoint ändern.

Um den zuvor verwendeten Schlüssel beim Speichern von geänderten Dateien beizubehalten:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UTIMACO\SGLCENC]"ActivateEncryptionTunneling"=dword:00000001

186


So kehren Sie zur Standardeinstellung zurück, die die Verwendung eines anderen Schlüssels(Standardschlüssel) beim Speichern von geänderten Dateien zulässt:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UTIMACO\SGLCENC]"ActivateEncryptionTunneling"=dword:00000000

Hinweis: Änderungen an dieser Einstellung werden erst nach einem Neustart des Endpointwirksam.

5.6.2 SafeGuard Enterprise Power-on Authentication (POA)

Hinweis: Diese Beschreibung gilt für Windows 7 Endpoints mit SafeGuardFestplattenverschlüsselung.

SafeGuard Enterprise identifiziert den Benutzer bereits, bevor das Betriebssystem startet.Hierbei startet vorher ein SafeGuard Enterprise eigener Systemkern. Dieser ist gegenModifikationen geschützt und versteckt auf der Festplatte gespeichert. Erst wenn sich derBenutzer in der SafeGuard POA korrekt authentisiert hat, wird das Betriebssystem (Windows)von der verschlüsselten Partition aus gestartet. Die Anmeldung an Windows erfolgt späterautomatisch. Analog wird verfahren, wenn sich ein Endpoint im Ruhezustand (Hibernation,Suspend to Disk) befindet und wieder eingeschaltet wird.

Die SafeGuard Power-on Authentication bietet unter anderem folgende Vorteile:

■ Grafische Benutzeroberfläche, mit Mausunterstützung und verschiebbaren Fenstern, unddamit einfache, übersichtliche Bedienung.

■ Vom Firmenkunden per Richtlinie anpassbares grafisches Layout (Hintergrundbild,Anmeldebild, Willkommensmeldung etc.).

■ Unterstützung für eine Reihe von Smartcard-Lesegeräten und Smartcards.

187

Administratorhilfe

■ Unterstützung von Windows-Benutzerkonten und Kennwörtern bereits zum Pre-BootZeitpunkt, keine separaten Zugangsdaten mehr, die sich der Benutzer merken muss.

■ Unterstützung von Unicode und damit auch fremdsprachigen Kennwörtern bzw.Benutzeroberflächen.

5.6.2.1 Ablauf der AnmeldungSafeGuard Enterprise arbeitet mit zertifikatsbasierter Anmeldung. Deswegen benötigt einBenutzer zur erfolgreichen Anmeldung in der SafeGuard Power-on Authentication Schlüsselund Zertifikate. Benutzerspezifische Schlüssel und Zertifikate werden jedoch erst nach einererfolgreichen Windows-Anmeldung erzeugt. Nur Benutzer, die sich erfolgreich an Windowsangemeldet haben, können sich später auch in der SafeGuard Power-on Authenticationauthentisieren.

Um den Ablauf der Anmeldung eines Benutzers in SafeGuard Enterprise zu verdeutlichen,im Folgenden eine kurze Einführung. Eine detaillierte Beschreibung der SafeGuardPOA-Anmeldevorgänge finden Sie in der SafeGuard Enterprise Benutzerhilfe.

SafeGuard Autologon

Nach dem Neustart erscheint bei der ersten Anmeldung am Endpoint der SafeGuard EnterpriseAutologon.

Was passiert?

1. Ein Autouser wird angemeldet.

2. Der Computer registriert sich automatisch am SafeGuard Enterprise Server.

3. Der Maschinenschlüssel wird an den SafeGuard Enterprise Server geschickt und in derSafeGuard Enterprise Datenbank abgelegt.

4. Die Maschinenrichtlinien werden an den Endpoint geschickt.

Anmeldung an Windows

Der Windows-Anmeldedialog wird angezeigt. Der Benutzer meldet sich an.

Was passiert?

1. Benutzername und ein Hash-Wert der Benutzerdaten werden an den Server geschickt.

2. Benutzerrichtlinien, Zertifikate und Schlüssel werden erzeugt und an den Endpointgeschickt.

3. Die SafeGuard POA wird aktiviert.

SafeGuard POA-Anmeldung

Nach dem Neustart des Endpoint erscheint die SafeGuard POA.

Was passiert?

1. Zertifikate und Schlüssel für den Benutzer sind vorhanden, und er kann sich in derSafeGuard POA anmelden.

188


2. Alle Daten sind sicher mit dem öffentlichen RSA Schlüssel des Benutzers verschlüsselt.

3. Alle weiteren Benutzer, die sich anmelden wollen, müssen erst in die SafeGuard POAimportiert werden.

5.6.2.1.1 Anmeldeverzögerung

Auf einem durch SafeGuard Enterprise geschützten Endpoint tritt eine Anmeldeverzögerungin Kraft, wenn ein Benutzer während der Anmeldung an Windows oder an die SafeGuardPower-on Authentication falsche Anmeldeinformationen eingibt. Mit jedem fehlgeschlagenenAnmeldeversuch verlängert sich jeweils die Anmeldeverzögerung. Nach einer fehlgeschlagenenAnmeldung erscheint ein Dialog, der die verbleibende Verzögerungszeit anzeigt.

Hinweis: Wenn ein Benutzer während der Anmeldung mit Token eine falsche PIN eingibt,tritt keine Anmeldeverzögerung ein.

Sie können die Anzahl an erlaubten Anmeldeversuchen in einer Richtlinie vom TypAuthentisierung über die Option Maximalanzahl von erfolglosen Anmeldeversuchenfestlegen. Wenn die Maximalanzahl an erfolglosen Anmeldeversuchen erreicht ist, wird derEndpoint gesperrt. Um eine Computersperre aufzuheben, kann der Benutzer einChallenge/Response-Verfahren starten.

5.6.2.2 Registrieren weiterer SafeGuard Enterprise-BenutzerDer erste Benutzer, der sich in Windows anmeldet, ist automatisch in der SafeGuard POAregistriert. Zunächst kann sich kein weiterer Windows-Benutzer in der SafeGuard POAanmelden.

Weitere Benutzer müssen mit Hilfe des ersten Benutzers importiert werden. Eine detaillierteBeschreibung zum Importieren weiterer Benutzer finden Sie in der SafeGuard EnterpriseBenutzerhilfe.

Eine Richtlinieneinstellung legt fest, wer einen neuen Benutzer importieren darf. Sie findendiese Richtlinie im SafeGuard Management Center unter

Richtlinien

■ Typ: Spezifische Computereinstellungen

■ Feld: Registrieren von neuen SGN-Benutzern erlauben

Standardeinstellung: Besitzer

Wer der Besitzer eines Endpoint ist, wird im SafeGuard Management Center festgelegt unter

Benutzer und Computer

■ <Endpoint-Name> markieren

■ Registerkarte Benutzer

5.6.2.3 BenutzertypenEs gibt verschiedene Benutzertypen in SafeGuard Enterprise.Weitere Informationen darüber,wie das Standardverhalten dieser Benutzertypen geändert werden kann, finden Sie unterRichtlinientypen und ihre Anwendungsfelder (Seite 365).

■ Besitzer: Der Benutzer, der sich als erster nach der Installation von SafeGuard Enterprisean einem Endpoint anmeldet, wird nicht nur als SGN-Benutzer eingetragen, sondern auchals Besitzer dieses Endpoints. Sofern die Standardeinstellungen nicht geändert wurden,

189

Administratorhilfe

kann der Besitzer es anderen Benutzern ermöglichen, sich an dem Endpoint anzumeldenund SGN-Benutzer zu werden.

■ SGN-Benutzer: Ein „vollwertiger“ SGN-Benutzer kann sich bei der SafeGuard Power-onAuthentication anmelden, wird der UMA (User Machine Assignment - Benutzer-ComputerZuordnung) hinzugefügt und erhält ein Benutzerzertifikat und einen Schlüsselring für denZugriff auf verschlüsselte Daten.

■ SGN Windows-Benutzer: Ein SGN Windows-Benutzer wird nicht zur SafeGuard POAhinzugefügt, verfügt jedoch über einen Schlüsselring, mit dem er wie ein SGN-Benutzerauf verschlüsselte Dateien zugreifen kann. Er wird auch zur UMA hinzugefügt, d. h. er darfsich auf diesem Endpoint bei Windows anmelden.

■ SGN-Gastbenutzer: SGN-Gastbenutzer werden nicht zur UMA hinzugefügt, erhaltenkeine Berechtigungen zum Anmelden an der SafeGuard POA, bekommen kein Zertifikatund keinen Schlüsselring zugewiesen und werden nicht in der Datenbank gespeichert.Unter Spezifische Computereinstellungen - Grundeinstellungen (Seite 395) finden SieInformationen darüber, wie verhindert wird, dass sich SGN-Gastbenutzer bei Windowsanmelden.

■ Service Account: Mit Service Accounts können sich Benutzer (z. B. Mitarbeiter desIT-Teams, Rollout-Beauftragte) nach der Installation von SafeGuard Enterprise an Endpointsanmelden, ohne die SafeGuard POA zu aktivieren und ohne dass sie als SGN-Benutzer(Besitzer) zu den Endpoints hinzugefügt werden. Benutzer, die in eine Service Account-Listeaufgenommen wurden, werden nach ihrer Windows-Anmeldung am Endpoint alsSGN-Gastbenutzer behandelt.

■ POA-Benutzer: Nach Aktivierung der POA ist es unter Umständen noch erforderlich,administrative Aufgaben auszuführen. POA-Benutzer sind vordefinierte lokale Konten, diedie POA absolvieren dürfen. Eine automatische Anmeldung an Windows erfolgt nicht. DieBenutzer müssen sich an Windows mit ihren vorhandenen Windows-Benutzerkontenanmelden. Diese Benutzerkonten werden im Bereich Benutzer & Computer des SafeGuardManagement Center definiert (Benutzername und Kennwort) und werden dem Endpointin POA-Gruppen zugewiesen. Für weitere Informationen, siehe POA-Benutzer für dieAnmeldung an der SafeGuard POA (Seite 201).

5.6.2.4 Konfigurieren der SafeGuard Power-on AuthenticationDer SafeGuard POA-Dialog besteht aus folgenden Komponenten:

■ Anmeldebild

■ Dialogtexte

■ Sprache des Tastaturlayouts

Das Erscheinungsbild des SafeGuard POA-Dialogs können Sie über Richtlinieneinstellungenim SafeGuard Management Center an Ihre jeweiligen Anforderungen anpassen.

5.6.2.4.1 Hintergrund- und Anmeldebild

In der Standardeinstellung werden Bilder im SafeGuard-Design als Hintergrund- undAnmeldebild angezeigt. Es ist jedoch möglich, andere Bilder anzuzeigen, z. B. ein Firmenlogo.

Hintergrund- und Anmeldebilder werden über eine Richtlinie vom Typ AllgemeineEinstellungen festgelegt.

190


Hintergrund- und Anmeldebilder müssen bestimmten Anforderungen entsprechen, damit siein SafeGuard Enterprise verwendet werden können:

Hintergrundbild in der POA

Maximale Dateigröße für alle Hintergrundbilder: 500 KB

SafeGuard Enterprise unterstützt für Hintergrundbilder zwei Varianten:

■ 1024x768 (VESA-Modus)

Farben: keine Einschränkung

Richtlinie vom Typ Allgemeine Einstellungen, Option Hintergrundbild in der POA.

■ 640 x 480 (VGA-Modus)

Farben: 16

Richtlinie vom Typ Allgemeine Einstellungen, Option Hintergrundbild in der POA(niedrige Auflösung)

Anmeldebild

Maximale Dateigröße für alle Anmeldebilder: 100 KB

SafeGuard Enterprise unterstützt für Anmeldebilder zwei Varianten:

■ 413x140

Farben: keine Einschränkung

Richtlinie vom Typ Allgemeine Einstellungen, Option Anmeldebild in der POA

■ 413x140

Farben: 16

Richtlinie vom Typ Allgemeine Einstellungen, Option Anmeldebild in der POA (niedrigeAuflösung)

Bilder müssen zunächst als Dateien (BMP, PNG, JPG) erstellt werden und können dann imNavigationsbereich registriert werden.

5.6.2.4.1.1 Registrieren von Bildern

1. Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Bilder undwählen Sie Neu > Bild.

2. Geben Sie unter Bildname einen Namen für das Bild ein.

3. Wählen Sie über die Schaltfläche [...] das zuvor erstellte Bild aus.


Das neue Bild wird als Unterknoten des Eintrags Bilder im Richtlinien-Navigationsbereichangezeigt. Ist ein Bild markiert, wird es im Aktionsbereich angezeigt. Das Bild kann jetzt beimErstellen von Richtlinien ausgewählt werden.

Sie können so weitere Bilder registrieren. Alle registrierten Bilder werden als Unterknotenangezeigt.

Hinweis: Mit der Schaltfläche Bild ändern können Sie das zugeordnete Bild austauschen.

191

Administratorhilfe

5.6.2.4.2 Benutzerdefinierter Informationstext in der SafeGuard POA

Sie können in der SafeGuard POA folgende benutzerdefinierte Informationstexte anzeigenlassen:

■ Infotext beim Starten eines Challenge/Response-Verfahrens zur Hilfe bei der Anmeldung(z. B.: “Bitte rufen Sie Ihren Support unter der Telefonnummer 01234-56789 an.”).

Mit der Option Texte in einer Richtlinie des Typs Allgemeine Einstellungen können Sieeinen Informationstext definieren.

■ Rechtliche Hinweise, die nach der Anmeldung an der SafeGuard POA angezeigt werden.

Mit der Option Text für rechtliche Hinweise in einer Richtlinie des Typs SpezifischeComputereinstellungen können Sie einen Text für rechtliche Hinweise definieren.

■ Text mit zusätzlichen Informationen, der nach der Anmeldung an der SafeGuard POAangezeigt werden soll.

Mit der Option Text für zusätzliche Informationen in einer Richtlinie des Typs SpezifischeComputereinstellungen können Sie einen Text für zusätzliche Informationen definieren.

5.6.2.4.2.1 Registrieren von Informationstexten

Die Textdateien mit den gewünschten Informationen müssen erstellt werden, bevor sie imSafeGuard Management Center registriert werden können. Die maximale Dateigröße fürInformationstexte beträgt 50 KB. SafeGuard Enterprise verwendet nur Unicode UTF-16kodierte Texte. Wenn Sie die Textdateien nicht in diesem Format erstellen, werden sie beider Registrierung automatisch in dieses Format konvertiert. Bei der Verwendung vonSonderzeichen in den Informationstexten für die SafeGuard POA sollte vorsichtig vorgegangenwerden. Einige dieser Zeichen werden u. U. nicht korrekt dargestellt.

So registrieren Sie Informationstexte:

1. Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Texte undwählen Sie Neu > Text.

2. Geben Sie unter Textelementname einen Namen für den anzeigenden Text ein.

3. Klicken Sie auf [...] um einen zuvor erstellten Text auszuwählen. Wenn eine Konvertierungnotwendig ist, wird eine entsprechende Meldung angezeigt.


Das neue Textelement wird als Unterknoten des Eintrags Texte imRichtlinien-Navigationsbereich angezeigt. Ist ein Textelement markiert, wird sein Inhalt imAktionsbereich auf der rechten Seite angezeigt. Das Textelement kann jetzt beim Erstellenvon Richtlinien ausgewählt werden.

Um weitere Textelemente zu registrieren, gehen Sie wie beschrieben vor. Alle registriertenTextelemente werden als Unterknoten angezeigt.

Hinweis: Mit der Schaltfläche Text ändern können Sie weiteren Text zum bestehenden Texthinzufügen. Wenn Sie auf diese Schaltfläche klicken, wird ein Dialog geöffnet, in dem eineweitere Textdatei ausgewählt werden kann. Der in dieser Datei enthaltene Text wird am Endedes bestehenden Textes eingefügt.

5.6.2.4.3 Sprache der SafeGuard POA-Dialogtexte

Alle Texte in der SafeGuard POA werden nach der Installation der SafeGuard EnterpriseVerschlüsselungssoftware mit den Standardeinstellungen in der Sprache angezeigt, die beider Installation von SafeGuard Enterprise in den Regions- und Sprachoptionen von Windowsals Standardsprache am Endpoint eingestellt ist.

192


Sie können die Sprache der SafeGuard POA-Dialogtexte nach der Installation von SafeGuardEnterprise mit einer der beide folgenden Methoden umstellen:

■ Ändern Sie die Standardsprache in den Windows Regions- und Sprachoptionen auf demEndpoint. Nachdem der Benutzer den Endpoint zweimal neu gestartet hat, ist die neueSpracheinstellung in der SafeGuard POA aktiv.

■ Erstellen Sie eine Richtlinie des Typs Allgemeine Einstellungen, legen Sie die Spracheim Feld Sprache am Client fest und übertragen Sie die Richtlinie auf den Endpoint.

Hinweis: Wenn Sie eine Richtlinie erstellen und sie an den Endpoint übertragen, gilt die inder Richtlinie festgelegte Sprache anstelle der in den Windows Regions- und Sprachoptionenangegebenen Sprache.

5.6.2.4.4 Tastaturlayout

Beinahe jedes Land hat ein eigenes Tastaturlayout. In der SafeGuard POA macht sich dasTastaturlayout bei der Eingabe von Benutzernamen, Kennwort und Response Code bemerkbar.

SafeGuard Enterprise übernimmt standardmäßig das Tastaturlayout in die SafeGuard POA,das zum Zeitpunkt der Installation in den Regions- und Sprachoptionen von Windows gesetztist. Ist unter Windows „Deutsch“ als Tastaturlayout gesetzt, wird in der SafeGuard POA dasdeutsche Tastaturlayout verwendet.

Die Sprache des verwendeten Tastaturlayouts wird in der SafeGuard POA angezeigt, z. B.„EN“ für Englisch. Neben dem Standard-Tastaturlayout kann das US-Tastaturlayout (Englisch)gewählt werden.

Es gibt bestimmte Ausnahmefälle:

■ Das Tastaturlayout wird zwar unterstützt, aufgrund fehlender Schriften (z. B. bei Bulgarisch)werden im Feld Benutzername aber nur Sonderzeichen angezeigt.

■ Es ist kein spezielles Tastaturlayout verfügbar (z. B. Dominikanische Republik). In solchenFällen greift die SafeGuard POA auf das Original-Tastaturlayout zurück. Für dieDominikanische Republik ist dies „Spanisch“.

■ Wenn Benutzername oder Kennwort aus Zeichen bestehen, die vom ausgewähltenTastaturlayout oder dem Original-Tastaturlayout nicht unterstützt werden, kann sich derBenutzer nicht an der SafeGuard POA anmelden.

Hinweis: Alle nicht unterstützten Tastaturlayouts verwenden standardmäßig dasUS-Tastaturlayout. Das bedeutet, dass auch nur Zeichen erkannt und eingegeben werdenkönnen, die im US-Tastaturlayout unterstützt werden. Benutzer können sich demnach nur ander SafeGuard POA anmelden, wenn ihre Benutzernamen und Kennwörter sich aus Zeichenzusammensetzen, die vom US-Tastaturlayout oder dem entsprechenden Original-Layoutunterstützt werden.

Virtuelle Tastatur

SafeGuard Enterprise bietet die Möglichkeit, in der SafeGuard POA eine virtuelle Tastaturanzeigen zu lassen. Der Benutzer kann dann z. B. Anmeldeinformationen durch Klick auf dieam Bildschirm angezeigten Tasten eingeben.

Als Sicherheitsbeauftragter können Sie die Anzeige der virtuellen Tastatur in einer Richtlinievom Typ Spezifische Computereinstellungen über die Option Virtuelle Tastatur in derPOA aktivieren/deaktivieren.

193

Administratorhilfe

Die Unterstützung der virtuellen Tastatur muss über eine Richtlinieneinstellungaktiviert/deaktiviert werden.

Für die virtuelle Tastatur werden verschiedene Layouts angeboten und das Layout kann mitden gleichen Einstellungen wie das normale Tastaturlayout geändert werden.

5.6.2.4.4.1 Ändern des Tastaturlayouts

Das normale einschließlich des virtuellen Tastaturlayouts der SafeGuard Power-onAuthentication kann nachträglich geändert werden.

1. Wählen Sie Start > Systemsteuerung > Regions- und Sprachoptionen > Erweitert.

2. Wählen Sie auf der Registerkarte Regionale Einstellungen die gewünschte Sprache aus.

3. Wählen Sie dann auf der Registerkarte Erweitert unter Standardeinstellungen fürBenutzerkonten die Option Alle Einstellungen auf das aktuelle Benutzerkonto undStandardbenutzerprofil anwenden.


Die SafeGuard POA merkt sich das bei der letzten erfolgreichen Anmeldung verwendeteTastaturlayout und aktiviert dieses beim nächsten Anmelden automatisch. Hierzu sind zweiNeustarts des Endpoint notwendig. Wenn dieses gemerkte Tastaturlayout über die Regions-und Sprachoptionen abgewählt wird, bleibt es dem Anwender noch so lange erhalten, biser eine andere Sprache ausgewählt hat.

Hinweis: Zusätzlich ist es notwendig, die Sprache des Tastatur-Layouts für andere,nicht-Unicode-Programme, zu ändern.

Falls die gewünschte Sprache nicht auf dem Endpoint vorhanden ist, werden Sie von Windowsevtl. aufgefordert, die Sprache zu installieren. Danach müssen Sie den Endpoint zweimal neustarten, damit das neue Tastaturlayout von der SafeGuard Power-on Authentication eingelesenund dann auch über diese eingestellt werden kann.

Sie können das gewünschte Tastaturlayout der SafeGuard Power-on Authentication mit derMaus oder mit der Tastatur (Alt+Shift) ändern.

Sie können über Start > Ausführen > regedit > HKEY_USERS\.DEFAULT\KeyboardLayout\Preload einsehen, welche Sprachen auf dem System installiert und damit verfügbarsind.

5.6.2.5 In der SafeGuard Power-on Authentication unterstützte HotkeysBestimmte Hardware-Einstellungen und -Funktionalitäten können Probleme beim Starten desEndpoint verursachen, die dazu führen, dass der Rechner im Startvorgang hängen bleibt.Die SafeGuard Power-on Authentication unterstützt eine Reihe von Hotkeys, mit denen sichHardware-Einstellungen und Funktionalitäten modifizieren lassen. Darüber hinaus sind in dieauf dem Endpoint zu installierende .MSI-Datei Grey Lists und Black Lists integriert, dieFunktionen abdecken, von denen ein solches Problemverhalten bekannt ist.

Wir empfehlen, vor jeder größer angelegten SafeGuard Enterprise Installation die aktuelleVersion der SafeGuard POA-Konfigurationsdatei zu installieren. Die Datei wird monatlichaktualisiert und steht im Sophos Knowledgebase-Artikel 65700 zum Download bereit.

Sie können diese Datei anpassen, um die Hardware einer spezifischen Umgebung abzudecken.

Hinweis: Wenn Sie eine angepasste Datei definieren, wird nur diese verwendet, nicht die inder .msi-Datei integrierte Datei. Die Standarddatei wird nur angewendet, wenn keine SafeGuardPOA-Konfigurationsdatei definiert ist oder keine gefunden wird.

Um die SafeGuard POA-Konfigurationsdatei zu installieren, geben Sie folgenden Befehl ein:

194



MSIEXEC /i <Client-MSI-Paket> POACFG=<Pfad der SafeGuardPOA-Konfigurationsdatei>

Sie können uns bei der Optimierung der Hardware-Kompatibilität unterstützen, indem Sie einvon uns zur Verfügung gestelltes Tool ausführen. Dieses Tool liefert ausschließlichHardware-relevante Informationen. Das Tool ist einfach zu bedienen. Die gesammeltenInformationen werden zur Hardware-Konfigurationsdatei hinzugefügt.


Die folgenden Hotkeys werden in der SafeGuard POA unterstützt:

■ Shift F3 = USB Legacy Unterstützung (An/Aus)

■ Shift F4 = VESA Grafikmodus (Aus/An)

■ Shift F5 = USB 1.x und 2.0 Unterstützung (Aus/An)

■ Shift F6 = ATA Controller (Aus/An)

■ Shift F7 = nur USB 2.0 Unterstützung (Aus/An)

USB 1.x Unterstützung bleibt wie über Shift F5 gesetzt.

■ Shift F9 = ACPI/APIC (Aus/An)

USB Hotkeys Abhängigkeitsmatrix

AnmerkungUSB 2.0USB 1.xLegacyShift F7Shift F5Shift F3

3.anananausausaus

Standardananausausausan

1., 2.ausausanausanaus

1., 2.ausausanausanan

3.ausanananausaus

ausanausanausan

ausausanananaus

2.ausausanananan

1. Shift F5 deaktiviert sowohl die Unterstützung von USB 1.x als auch von USB 2.0.

Hinweis: Wenn Sie Shift F5 drücken, reduziert sich die Wartezeit bis zum Starten derSafeGuard POA erheblich. Beachten Sie jedoch, dass bei Benutzung einer USB-Tastaturoder einer USB-Maus am betreffenden Computer diese Geräte durch Drücken von ShiftF5 möglicherweise deaktiviert werden.

2. Wenn die USB-Unterstützung nicht aktiviert ist, versucht die SafeGuard POA, BIOS SMMzu benutzen anstatt den USB-Controller zu sichern und wiederherzustellen. DerLegacy-Modus kann in diesem Szenario funktionieren.

195

Administratorhilfe


3. Die Legacy-Unterstützung ist aktiviert, die USB-Unterstützung ist aktiviert. Die SafeGuardPOA versucht, den USB-Controller zu sichern und wiederherzustellen. Der Computer kannsich je nach eingesetzter BIOS-Version aufhängen.

Es besteht die Möglichkeit, Änderungen, die über Hotkeys vorgenommen werden können,bei der Installation der SafeGuard Enterprise Verschlüsselungssoftware über eine mst Dateibereits vorzudefinieren. Verwenden Sie dazu den entsprechenden Aufruf in Verbindung mitmsiexec.

Bestimmt, ob VESA- oder VGA-Modus verwendet wird: 0 = VESA-Modus(Standard), 1 = VGA-Modus

NOVESA

Bestimmt, ob nach der SafeGuard POA-Anmeldung Legacy-Unterstützung aktiviertist: 0 = Legacy-Unterstützung aktiviert, 1 = Legacy-Unterstützung nicht aktiviert(Standard)

NOLEGACY

Bestimmt, ob USB-Geräte von der SafeGuard POA unterstützt werden: 0 =USB-Unterstützung ist aktiviert (Standard), 1 = keine USB-Unterstützung

ALTERNATE:

Bestimmt, ob der int13-Gerätetreiber verwendet wird: 0 =Standard-ATA-Gerätetreiber (Standard), 1 = Int13-Gerätetreiber

NOATA

Bestimmt, ob ACPI/APIC-Unterstützung verwendet wird: 0 = keineACPI/APIC-Unterstützung (Standard), 1 = ACPI/APIC-Unterstützung aktiv

ACPIAPIC

5.6.2.6 Deaktivierte SafeGuard POA und Lenovo Rescue and RecoverySollte auf dem Computer die SafeGuard Power-on Authentication deaktiviert sein, so solltezum Schutz vor dem Zugriff auf verschlüsselte Dateien aus der Rescue and RecoveryUmgebung heraus die Rescue and Recovery Authentisierung eingeschaltet sein.

Detaillierte Informationen zur Aktivierung der Rescue and Recovery Authentisierung findenSie in der Lenovo Rescue and Recovery Dokumentation.

5.6.3 Administrative Zugangsoptionen für Endpoints

Hinweis: Die folgenden Beschreibungen beziehen sich auf Windows Endpoints, die mitSafeGuard Enterprise mit SafeGuard Power-on Authentication geschützt sind.

Um es Benutzern zu ermöglichen, sich nach der Installation von SafeGuard Enterprise zurDurchführung von administrativen Aufgaben an Endpoints anzumelden, bietet SafeGuardEnterprise zwei verschiedene Benutzerkontotypen.

■ Service Accounts für die Windows-Anmeldung

Mit Service Accounts können sich Benutzer (z. B. Rollout-Beauftragte, Mitglieder desIT-Teams) nach der Installation von SafeGuard Enterprise an Endpoints anmelden(Windows-Anmeldung), ohne die SafeGuard Power-on Authentication zu aktivieren. DieBenutzer werden auch nicht als SafeGuard Enterprise Benutzer zum Endpoint hinzugefügt.Service Account Listen werden im Bereich Richtlinien des SafeGuard Management Centerangelegt und über Richtlinien den Endpoints zugewiesen. Benutzer, die in eine ServiceAccount Liste aufgenommen wurden, werden bei der Anmeldung am Endpoint alsGastbenutzer behandelt.

196


Hinweis: Service Account Listen werden den Endpoints über Richtlinien zugewiesen. Siesollten bereits im ersten SafeGuard Enterprise Konfigurationspaket, das Sie für dieKonfiguration der Endpoints erstellen, enthalten sein.

Für weitere Informationen, siehe Service Account Listen für die Windows-Anmeldung(Seite 197).

■ POA-Benutzer für die Anmeldung an der SafeGuard POA

POA-Benutzer sind vordefinierte lokale Benutzerkonten, die es Benutzern (z. B. Mitgliederndes IT-Teams) ermöglichen, sich nach der Aktivierung der SafeGuard POA an Endpointszur Ausführung administrativer Aufgaben anzumelden (SafeGuard POA-Anmeldung).Diese Benutzerkonten werden im Bereich Benutzer & Computer des SafeGuardManagement Center definiert (Benutzername und Kennwort) und werden den Endpointsüber POA-Gruppen in Konfigurationspaketen zugewiesen.

Für weitere Informationen, siehe POA-Benutzer für die Anmeldung an der SafeGuard POA(Seite 201).

5.6.4 Service Account Listen für die Windows-Anmeldung

Hinweis: Service Accounts werden nur von Windows Endpoints unterstützt, die von SafeGuardEnterprise mit SafeGuard Power-on Authentication geschützt werden.

Bei den meisten Implementationen von SafeGuard Enterprise installiert zunächst einRollout-Team neue Computer in einer Umgebung. Danach folgt die Installation von SafeGuardEnterprise. Zu Installations- und Prüfungszwecken meldet sich der Rollout-Beauftragte dannam jeweiligen Computer an, bevor der Endbenutzer diesen erhält und die Möglichkeit hat,die SafeGuard Power-on Authentication zu aktivieren.

So ergibt sich folgendes Szenario:

1. SafeGuard Enterprise wird auf einem Endpoint installiert.

2. Nach dem Neustart des Endpoint meldet sich der Rollout-Beauftragte an.

3. Der Rollout-Beauftragte wird zur SafeGuard POA hinzugefügt und die POA wird aktiv. DerRollout-Benutzer wird Besitzer des Endpoint.

Wenn der Endbenutzer den Endpoint erhält, kann er sich nicht an der SafeGuard POAanmelden. Er muss ein Challenge/Response-Verfahren durchführen.

Um zu verhindern, dass administrative Vorgänge auf einem durch SafeGuard Enterprisegeschützten Endpoint bewirken, dass die SafeGuard Power-on Authentication aktiviert wirdund Rollout-Beauftragte als Benutzer zum Endpoint hinzugefügt werden, ermöglicht SafeGuardEnterprise das Anlegen von Listen mit Service Accounts. Die in den Listen enthaltenenBenutzer werden dadurch als SafeGuard Enterprise Gastbenutzer behandelt

Mit Service Accounts ergibt sich folgendes Szenario:

1. SafeGuard Enterprise wird auf einem Endpoint installiert.

2. Der Endpoint wird neu gestartet und ein Rollout-Beauftragter, der in einer Service AccountListe aufgeführt ist, meldet sich an.

3. Gemäß der auf den Computer angewendeten Service Account Liste wird der Benutzer alsService Account erkannt und als Gastbenutzer behandelt.

Der Rollout-Beauftragte wird nicht zur SafeGuard POA hinzugefügt und die POA wird nichtaktiviert. Der Rollout-Beauftragte wird nicht Besitzer des Endpoint. Der Endbenutzer kannsich anmelden und die SafeGuard POA aktivieren.

197

Administratorhilfe

Hinweis: Service Account Listen werden den Endpoints über Richtlinien zugewiesen. Siesollten bereits im ersten SafeGuard Enterprise Konfigurationspaket, das Sie für dieKonfiguration der Endpoints erstellen, enthalten sein.

5.6.4.1 Anlegen von Service Account Listen und Hinzufügen von Benutzern1. Klicken Sie im Navigationsbereich auf Richtlinien.

2. Markieren Sie im Richtlinien-Navigationsbereich den Eintrag Service Account Listen.

3. Klicken Sie im Kontextmenü von Service Account Listen auf Neu > Service AccountListe.

4. Geben Sie einen Namen für die Service Account Liste ein und klicken Sie auf OK.

5. Markieren Sie die neue Liste unter Service Account Listen imRichtlinien-Navigationsfenster.

6. Klicken Sie im Arbeitsbereich mit der rechten Maustaste, um das Kontextmenü für dieService Account Liste zu öffnen. Wählen Sie Hinzufügen im Kontextmenü.

Eine neue Benutzerzeile wird hinzugefügt.

7. Geben Sie den Benutzernamen und den Domänennamen in den entsprechenden Spaltenein und drücken Sie Enter. Um weitere Benutzer hinzuzufügen, wiederholen Sie diesenSchritt.

8. Speichern Sie Ihre Änderungen, indem Sie auf das Speichern Symbol in der Symbolleisteklicken.

Die Service Account Liste ist registriert und kann beim Anlegen einer Richtlinie ausgewähltwerden.

5.6.4.2 Zusätzliche Informationen zur Eingabe von Benutzer- und DomänennamenFür die Definition von Benutzern in Service Account Listen in den beiden FeldernBenutzername und Domänenname gibt es unterschiedliche Vorgehensweisen. Darüberhinaus gelten für die Eingabewerte in diesen Feldern bestimmte Einschränkungen.

Verschiedene Anmeldekombinationen abdecken

Durch die beiden separaten Felder Benutzername und Domänenname pro Listeneintraglassen sich alle möglichen Anmeldekombinationen (z. B. „Benutzer@Domäne oder„Domäne\Benutzer“) abdecken.

Um mehrere Kombinationen aus Benutzername und Domänenname anzugeben, können SieAsterisken (*) als Platzhalter verwenden. Ein * ist als erstes Zeichen, als letztes Zeichen undals einziges Zeichen zulässig.

Zum Beispiel:

■ Benutzername: Administrator

■ Domänenname: *

Mit dieser Kombination geben Sie alle Benutzer mit dem Benutzernamen „Administrator“ an,die sich an einem Netzwerk oder an einer beliebigen lokalen Maschine anmelden.

Der vordefinierte Domänenname [LOCALHOST], der in der Dropdownliste des FeldsDomänenname zur Verfügung steht, steht für die Anmeldung an einem beliebigen lokalenComputer.

198


Zum Beispiel:

■ Benutzername: "Admin*"

■ Domänenname: [LOCALHOST]

Mit dieser Kombination geben Sie alle Benutzer an, deren Benutzernamen mit Admin beginnenund die sich an einer beliebigen lokalen Maschine anmelden.

Benutzer können sich auf verschiedene Art und Weise anmelden.

Zum Beispiel:

■ Benutzer: test, Domäne: mycompany

■ Benutzer: test, Domäne: mycompany.com.

Da Domänenangaben in Service Account Listen nicht automatisch aufgelöst werden, gibt esdrei mögliche Methoden für das korrekte Angeben der Domäne:

■ Sie wissen genau, wie sich der Benutzer anmelden wird, und geben die Domäneentsprechend exakt ein.

■ Sie erstellen mehrere Einträge in der Service Account Liste.

■ Sie verwenden Platzhalter, um alle unterschiedlichen Fälle abzudecken (Benutzer: test,Domäne: mycompany*).

Hinweis: Windows verwendet möglicherweise nicht dieselbe Zeichenfolge und kürzt Namenab. Um dadurch entstehende Probleme zu vermeiden, empfehlen wir, den FullQualifiedNameund den Netbios-Namen einzugeben oder Platzhalter zu verwenden.

Einschränkungen

Asterisken sind nur als erstes, letztes und einziges Zeichen zulässig. Beispiele für gültige undungültige Zeichenfolgen:

■ Gültige Zeichenfolgen sind z. B.: Admin*, *, *strator, *minis*.

■ Ungültige Zeichenfolgen sind z. B.: **, Admin*trator, Ad*minst*.

Darüber hinaus gelten folgende Einschränkungen:

■ Das Zeichen ? ist in Benutzernamen nicht zulässig.

■ Die Zeichen / \ [ ] : ; | = , + * ? < > " sind in Domänennamen nicht zulässig.

5.6.4.3 Bearbeiten und Löschen von Service Account ListenAls Sicherheitsbeauftragter mit der Berechtigung Service Account Listen ändern könnenSie Service Account Listen jederzeit bearbeiten oder löschen:

■ Um eine Service Account Liste zu bearbeiten, klicken Sie auf der Liste imRichtlinien-Navigationsfenster. Die Service Account Liste wird im Aktionsbereich geöffnetund Sie können Benutzernamen zufügen, löschen oder ändern.

■ Um eine Service Account Liste zu löschen, wählen Sie die Liste imRichtlinien-Navigationsfenster aus, öffnen Sie das Kontextmenü und wählen Sie Löschen.

199

Administratorhilfe

5.6.4.4 Zuweisen einer Service Account Liste in einer Richtlinie1. Legen Sie eine Richtlinie vom Typ Authentisierung an oder wählen Sie eine bereits

vorhandene aus.

2. Wählen Sie unter Anmeldeoptionen die gewünschte Service Account Liste aus derDropdownliste des Felds Service Account Liste aus.

Hinweis: Die Standardeinstellung dieses Felds ist [Keine Liste], d. h. es gilt keine ServiceAccount Liste. Rollout-Beauftragte, die sich nach der Installation von SafeGuard Enterprisean dem Endpoint anmelden, werden somit nicht als Gastbenutzer behandelt und könnendie SafeGuard Power-on Authentication aktivieren sowie zum Endpoint hinzugefügt werden.Um die Zuweisung einer Service Account Liste rückgängig zu machen, wählen Sie dieOption [Keine Liste].


Sie können die Richtlinie nun an die Endpoints übertragen, um die Service Accounts auf denEndpoints zur Verfügung zu stellen.

Hinweis: Wenn Sie unterschiedliche Service Account Listen in verschiedenen Richtlinienauswählen, die alle nach dem RSOP (Resulting Set of Policies, die für einen bestimmtenComputer/eine bestimmte Gruppe geltenden Einstellungen) relevant sind, setzt die ServiceAccount Liste in der zuletzt angewandten Richtlinie alle zuvor zugewiesenen Service AccountListen außer Kraft. Service Account Listen werden nicht zusammengeführt. Um das RSOPunter Benutzer & Computer einzusehen, brauchen Sie zumindest das ZugriffsrechtSchreibgeschützt für die relevanten Objekte.

5.6.4.5 Übertragen der Richtlinie an den EndpointService Account Listen sind während der Installation in der Rollout-Phase einer Implementationbesonders hilfreich und wichtig. Es wird daher empfohlen, die Service Account Einstellungenunmittelbar nach der Installation an den Endpoint zu übertragen. Um die Service AccountListe zu diesem Zeitpunkt auf dem Endpoint zur Verfügung zu stellen, nehmen Sie in daserste Konfigurationspaket, das Sie zur Konfiguration des Endpoint nach der Installationerstellen, eine Richtlinie vom Typ Authentisierung mit den entsprechenden Einstellungenauf.

Sie können die Einstellungen für die Service Account Liste jederzeit ändern, eine neueRichtlinie erstellen und diese an die Endpoints übertragen.

5.6.4.6 Anmeldung auf einem Endpoint mit einem Service AccountBei der ersten Windows-Anmeldung nach dem Neustart des Endpoint meldet sich ein Benutzer,der auf einer Service Account Liste aufgeführt ist, an dem Endpoint als SafeGuard EnterpriseGastbenutzer an. Diese erste Windows-Anmeldung an diesem Endpoint löst weder eineausstehende Aktivierung der SafeGuard Power-on Authentication aus, noch wird durch dieAnmeldung der Benutzer zum Endpoint hinzugefügt. Das SafeGuard Enterprise System TrayIcon zeigt in diesem Fall auch nicht den Balloon Tool Tip „Initialer Benutzerabgleichabgeschlossen“ an.

Anzeige des Service Account Status auf dem Endpoint

Der Gastbenutzer-Anmeldestatus wird auch über das System Tray Icon angezeigt. WeitereInformationen zum System Tray Icon finden Sie in der SafeGuard Enterprise Benutzerhilfe,

200


Kapitel System Tray Icon und Balloon-Ausgabe (Beschreibung des SGN-BenutzerstatusFelds).

5.6.4.7 Protokollierte Ereignisse für Service Account ListenDie in Zusammenhang mit Service Account Listen durchgeführten Aktionen werden über diefolgenden Ereignisse protokolliert:


■ Service Account Liste <Name> angelegt.

■ Service Account Liste <Name> geändert.

■ Service Account Liste <Name> gelöscht.

Durch SafeGuard Enterprise geschützte Endpoints

■ Windows-Benutzer <Domäne/Benutzer> hat sich um <Zeit> an Maschine<Domäne/Computer> als SGN Service Account angemeldet.

■ Neue Service Account Liste importiert.


5.6.5 POA-Benutzer für die Anmeldung an der SafeGuard POA

Hinweis: POA-Benutzer werden nur von Windows Endpoints unterstützt, die von SafeGuardEnterprise mit SafeGuard Power-on Authentication geschützt werden.

Nach der Installation von SafeGuard Enterprise und der Aktivierung der SafeGuard Power-onAuthentication (POA), kann der Zugang zu Endpoints für administrative Aufgaben notwendigsein. Mit POA-Benutzern können sich Benutzer (z. B. Mitglieder des IT-Teams) zurDurchführung von administrativen Aufgaben an der SafeGuard Power-on Authenticationanmelden, ohne ein Challenge/Response-Verfahren durchführen zu müssen. Eineautomatische Anmeldung an Windows erfolgt nicht. Die Benutzer müssen sich an Windowsmit ihren vorhandenen Windows-Benutzerkonten anmelden.

Sie können POA-Benutzer anlegen, diese in POA-Gruppen gruppieren und die Gruppen denEndpoints zuweisen. Die Benutzer, die in der POA-Gruppe enthalten sind, werden zurSafeGuard POA hinzugefügt und können sich mit Ihrem vordefinierten Benutzernamen undKennwort an der POA anmelden.

Hinweis: Für die Verwaltung von POA-Benutzern und POA-Gruppen benötigen Sie dasZugriffsrecht Voller Zugriff für den POA Knoten unter Benutzer & Computer.

5.6.5.1 Erstellen von POA-BenutzernFür das Erstellen von POA-Benutzern und POA-Gruppen benötigen Sie das ZugriffsrechtVoller Zugriff für den POA Knoten unter Benutzer & Computer.

1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer &Computer.

2. Wählen Sie im Benutzer & Computer Navigationsfenster unter POA den KnotenPOA-Benutzer.

3. Klicken Sie im POA-Benutzer Kontextmenü auf Neu > Neuen Benutzer erstellen.

Der Dialog Neuen Benutzer erstellen wird angezeigt.

4. Geben Sie im Feld Vollständiger Name einen Namen (den Anmeldenamen) für den neuenPOA-Benutzer ein.

201

Administratorhilfe

5. Optional können Sie eine Beschreibung für den neuen POA-Benutzer eingeben.

6. Geben Sie ein Kennwort für den neuen POA-Benutzer ein und bestätigen Sie es.

Hinweis: Aus Sicherheitsgründen sollte das Kennwort bestimmtenMindest-Komplexitätsanforderungen entsprechen. Zum Beispiel sollte es eine Mindestlängevon 8 Zeichen haben und sowohl aus numerischen als auch alphanumerischen Zeichenbestehen. Ist das hier eingegebene Kennwort zu kurz, so wird eine entsprechendeWarnungsmeldung angezeigt.


Der neue POA-Benutzer wird angelegt und unter POA-Benutzer im Benutzer & ComputerNavigationsbereich angezeigt.

5.6.5.2 Ändern des Kennworts für einen POA-BenutzerFür das Bearbeiten von POA-Benutzern und POA-Gruppen benötigen Sie das ZugriffsrechtVoller Zugriff für den POA Knoten unter Benutzer & Computer.


2. Wählen Sie im Benutzer & Computer Navigationsfenster unter POA, POA-Benutzer denrelevanten POA-Benutzer.

3. Wählen Sie im Kontextmenü des POA-Benutzers den Befehl Eigenschaften.

Der Eigenschaften-Dialog für den POA-Benutzer wird angezeigt.

4. Geben Sie in der Registerkarte Allgemein unter Benutzerkennwort das neue Kennwortein und bestätigen Sie es.


Für den relevanten POA-Benutzer gilt das neue Kennwort.

5.6.5.3 Löschen von POA-BenutzernFür das Löschen von POA-Benutzern und POA-Gruppen benötigen Sie das ZugriffsrechtVoller Zugriff für den POA Knoten unter Benutzer & Computer.


2. Wählen Sie im Benutzer & Computer Navigationsfenster unter POA, POA-Benutzer denrelevanten POA-Benutzer.

3. Klicken Sie mit der rechten Maustaste auf den POA-Benutzer und wählen Sie Löschenaus dem Kontextmenü.

Der POA-Benutzer wird gelöscht. Es wird nicht mehr im Benutzer & ComputerNavigationsfenster angezeigt.

Hinweis: Wenn der Benutzer einer oder mehreren POA-Gruppen angehört, wird er auchaus allen Gruppen entfernt. Der POA-Benutzer steht jedoch noch so lange auf dem Endpointzur Verfügung, bis die Zuweisung der POA-Gruppe aufgehoben wird.

5.6.5.4 Erstellen von POA-GruppenFür das Erstellen von POA-Gruppen benötigen Sie das Zugriffsrecht Voller Zugriff für denPOA Knoten unter Benutzer & Computer.

202


Damit die POA-Gruppen Endpoints zugewiesen werden können, müssen sie in Gruppenzusammengefasst werden.


2. Wählen Sie im Benutzer & Computer Navigationsbereich unter POA den KnotenPOA-Gruppen.

3. Klicken Sie im POA-Gruppen Kontextmenü auf Neu > Neue Gruppe erstellen.

Der Neue Gruppe erstellen Dialog wird angezeigt.

4. Geben Sie im Feld Vollständiger Name einen Namen für die neue POA-Gruppe ein.

5. Geben Sie optional eine Beschreibung ein.


Die neue POA-Gruppe ist angelegt. Sie wird unter POA-Gruppen im Benutzer & ComputerNavigationsfenster angezeigt. Sie können nun POA-Benutzer zur Gruppe hinzufügen.

5.6.5.5 Hinzufügen von Benutzern zu POA-GruppenFür das Bearbeiten von POA-Gruppen benötigen Sie das Zugriffsrecht Voller Zugriff für denPOA Knoten unter Benutzer & Computer.


2. Wählen Sie im Benutzer & Computer Navigationsfenster unter POA, POA-Gruppe dierelevante POA-Gruppe.

Im Aktionsbereich des SafeGuard Management Center auf der rechten Seite wird dieMitglieder Registerkarte angezeigt

3. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das HinzufügenSymbol (grünes Pluszeichen).

Der Mitgliedobjekt auswählen Dialog wird angezeigt

4. Wählen Sie den Benutzer, den Sie zur Gruppe hinzufügen möchten.


Der POA-Benutzer wird zur Gruppe hinzugefügt und in der Registerkarte Mitglieder angezeigt.

5.6.5.6 Entfernen von Benutzern aus POA-GruppenFür das Bearbeiten von POA-Gruppen benötigen Sie das Zugriffsrecht Voller Zugriff für denPOA Knoten unter Benutzer & Computer.


2. Wählen Sie im Benutzer & Computer Navigationsfenster unter POA, POA-Gruppe dierelevante POA-Gruppe.

Im Aktionsbereich des SafeGuard Management Center auf der rechten Seite wird dieMitglieder Registerkarte angezeigt

3. Wählen Sie den Benutzer, den Sie aus der Gruppe entfernen möchten.

4. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Löschen Symbol(rotes Kreuzzeichen).

Der Benutzer wird aus der Gruppe entfernt.

203

Administratorhilfe

5.6.5.7 Zuweisen von POA-Benutzern zu EndpointsHinweis: Damit die POA-Gruppen Endpoints zugewiesen werden können, müssen sie inGruppen zusammengefasst werden.

Wie Sie POA-Benutzer Endpoints zuweisen, hängt vom Endpoint-Typ ab:

■ Für zentral verwaltete Endpoints können POA-Gruppen im Bereich Benutzer & Computerin der Registerkarte POA-Gruppen-Zuweisung zugewiesen werden.

■ Für Standalone-Endpoints, die im Standalone-Modus laufen und keine Verbindung zumSafeGuard Enterprise Server haben, muss ein Konfigurationspaket mit einer POA-Gruppeerstellt und an die Computer verteilt werden.

5.6.5.7.1 Zuweisen von POA-Benutzern zu zentral verwalteten Endpoints

Um POA-Benutzer zu zentral verwalteten Endpoints zuzuweisen, benötigen Sie dieZugriffsrechte Voller Zugriff oder Schreibgeschützt für die relevante POA-Gruppe sowiedas Zugriffsrecht Voller Zugriff für die relevanten Container.


2. Wählen Sie im Benutzer & Computer Navigationsbereich den gewünschten Container.

3. Wählen Sie im Aktionsbereich des SafeGuard Management Center die Registerkarte POAGruppenzuweisung.

Unter POA-Gruppen auf der rechten Seite werden alle verfügbaren POA-Gruppenangezeigt.

4. Ziehen Sie die gewünschte POA-Gruppe aus POA-Gruppen in den POAGruppenzuweisung Aktionsbereich.

Gruppenname und Gruppen-DSN der POA-Gruppe werden im Aktionsbereich angezeigt.

5. Speichern Sie Ihre Änderungen in der Datenbank.

Alle Mitglieder der zugewiesenen POA-Gruppe werden an alle Endpoints im ausgewähltenContainer übertragen.

Sie können die Zuweisung aufheben oder die zugewiesene POA-Gruppe ändern, indem Siewie beschrieben vorgehen und Gruppen von und in die Registerkarte POA Gruppenzuweisungund den Bereich POA-Gruppen ziehen.

Wenn Sie Ihre Änderungen in der Datenbank gespeichert haben, gilt die neue Zuweisung.

5.6.5.7.2 Zuweisen von POA-Benutzern zu Standalone-Endpoints

Um POA-Benutzer zu Standalone-Endpoints zuzuweisen, benötigen Sie die ZugriffsrechteSchreibgeschützt oder Voller Zugriff für die relevante POA-Gruppe.

POA-Benutzer werden Standalone-Endpoints (im Standalone-Modus betrieben) inKonfigurationspaketen zugewiesen.

1. Wählen Sie im SafeGuard Management Center aus dem Menü Extras den BefehlKonfigurationspakete.

2. Wählen Sie ein vorhandenes Konfigurationspaket aus oder erstellen Sie ein neues.

3. Wählen Sie eine POA-Gruppe aus, die Sie zuvor im Bereich Benutzer & Computer desSafeGuard Management Center erstellt haben.

Darüber hinaus steht standardmäßig eine keine Liste Gruppe zur Auswahl zur Verfügung.Diese Gruppe kann dazu verwendet werden, die Zuweisung einer POA-Gruppe aufEndpoints zu löschen.

204


4. Geben Sie einen Ausgabepfad für das Konfigurationspaket an.


6. Installieren Sie das Konfigurationspaket auf den Endpoints.

Durch Installation des Konfigurationspakets werden die Benutzer aus der Gruppe zurSafeGuard POA auf den Endpoints hinzugefügt. Die POA-Benutzer stehen für die Anmeldungan die POA zur Verfügung.

Hinweis: Wenn Sie Standalone-Endpoints auf zentral verwaltete Endpoints migrieren, bleibendie POA-Benutzer aktiv, wenn Sie auch im SafeGuard Management Center zugewiesenwurden. Die in den POA-Gruppen, die mit Konfigurationspaketen installiert wurden, gesetztenKennwörter werden auf die im SafeGuard Management Center angegebenen Kennwörtergesetzt. Kennwörter, die mit F8 geändert wurden, werden überschrieben.

5.6.5.7.3 Aufheben der POA-Benutzer Zuweisung bei Standalone-Endpoints

POA-Benutzer lassen sich von Standalone-Endpoints entfernen, indem Sie eine leerePOA-Gruppe zuweisen:

1. Wählen Sie im Tools Menü des SafeGuard Management Center den BefehlKonfigurationspakete.

2. Wählen Sie ein vorhandenes Konfigurationspaket aus oder erstellen Sie ein neues.

3. Wählen Sie eine leere POA-Gruppe, die Sie zuvor im Bereich Benutzer & Computer desSafeGuard Management Center angelegt haben, oder die keine Liste POA-Gruppe, diestandardmäßig unter Konfigurationspakete zur Verfügung steht.

4. Geben Sie einen Ausgabepfad für das Konfigurationspaket an.



Durch Installation des Konfigurationspakets werden alle POA-Benutzer von den Endpointsentfernt. Somit werden alle relevanten Benutzer aus der SafeGuard POA entfernt.

5.6.5.7.4 Ändern der POA-Benutzer Zuweisungen auf Standalone-Endpoints

1. Legen Sie eine neue POA-Gruppe an oder ändern Sie eine bestehende Gruppe.

2. Erstellen Sie ein neues Konfigurationspaket und wählen Sie die neue oder modifiziertePOA-Gruppe aus.


Die neue POA-Gruppe steht auf dem Endpoint zur Verfügung. Alle enthaltenen Benutzerwerden zur POA hinzugefügt. Die neue Gruppe überschreibt die alte. POA-Gruppen werdennicht miteinander kombiniert.

5.6.5.8 Anmeldung an einem Endpoint mit einem POA-Benutzer1. Schalten Sie den Endpoint ein.

Der SafeGuard Power-on Authentication Anmeldedialog wird angezeigt.

2. Geben Sie den Benutzernamen und das Kennwort des vordefinierten POA-Benutzersein.

Sie werden nicht automatisch an Windows angemeldet. Der Windows-Anmeldedialog wirdangezeigt.

3. Wählen Sie im Domäne Feld die Domäne <POA>.

4. Melden Sie sich mit Ihrem vorhandenen Windows-Benutzerkonto an Windows an.

205

Administratorhilfe

5.6.5.8.1 Lokale Kennwortänderung

Wurde das Kennwort eines POA-Benutzers mit F8, geändert, so wird die Änderung nicht mitanderen Endpoints synchronisiert. Der Administrator muss das Kennwort für diesen Benutzerzentral ändern.

5.6.6 Benutzer-Computer Zuordnung (UMA)

SafeGuard Enterprise verwaltet die Informationen, welcher Benutzer sich an welchemComputer anmelden darf, in einer Liste, für die der Begriff UMA (User Machine Assignmentbzw. Benutzer-Computer Zuordnung) verwendet wird.

Voraussetzung für die Aufnahme in die UMA ist, dass sich der Benutzer einmal an einemComputer mit installiertem SafeGuard Enterprise angemeldet hat und als „kompletter“ Benutzer,im Sinne von SafeGuard Enterprise, im SafeGuard Management Center vorhanden ist. Als„komplett“ wird ein Benutzer dann bezeichnet, wenn für ihn nach der ersten Anmeldung einZertifikat erzeugt und danach sein Schlüsselring aufgebaut wurde. Erst dann ist die Möglichkeitgegeben, dass diese Benutzerdaten auch auf andere Computer repliziert werden können.Nach der Replikation kann sich der Benutzer auch auf diesen Computern in der SafeGuardPOA anmelden.

In der Standardeinstellung wird der erste Benutzer, der sich nach der Installation vonSafeGuard Enterprise an den Computer anmeldet, in der UMA als Besitzer dieses Computerseingetragen.

Dieses Attribut erlaubt es dem Benutzer, nachdem er sich im Rahmen der SafeGuard Power-onAuthentication authentisiert hat, weiteren Benutzern die Anmeldung an diesem Computer zuermöglichen, (siehe Registrieren weiterer SafeGuard Enterprise-Benutzer (Seite 189)). Dadurchwerden auch sie in die UMA für diesen Computer aufgenommen.

So wird automatisch eine Liste aufgebaut, die bestimmt, welcher Benutzer sich an welchemComputer anmelden darf. Diese Liste kann im SafeGuard Management Center bearbeitetwerden.

5.6.6.1 Benutzer-Computer Zuordnung (UMA) im SafeGuard Management CenterIm SafeGuard Management Center kann eine Zuordnung von Benutzern zu bestimmtenComputern vorgenommen werden. Wird ein Benutzer im SafeGuard Management Centereinem Computer zugeordnet (oder umgekehrt), wird diese Zuweisung in die UMAaufgenommen. Seine Benutzerdaten (Zertifikat, Schlüssel usw.) werden auf diesen Rechnerrepliziert, und er kann sich an diesen Computer anmelden. Wenn ein Benutzer aus der UMAentfernt wird, werden alle Benutzerdaten automatisch aus der SafeGuard POA gelöscht. DerBenutzer kann sich dann nicht mehr an der SafeGuard POA mit Benutzername und Kennwortanmelden.

Hinweis: Um die Benutzer und Computer Zuordnung unter Benutzer & Computereinzusehen, benötigen Sie mindestens das Zugriffsrecht Schreibgeschützt für eines derbeteiligten Objekte (Benutzer oder Computer). Um die Zuweisung zu definieren oder zuändern, benötigen Sie das Zugriffsrecht Voller Zugriff für beide beteiligten Objekte. DieUMA-Anzeige zeigt die verfügbaren Benutzer/Maschinen gefiltert nach Ihren Zugriffsrechten.In der UMA-Anzeige, die die Computern zugewiesenen Benutzer und umgekehrt zeigt, werdenObjekte, für die Sie nicht die erforderlichen Zugriffsrechte haben, zu Ihrer Information angezeigt.Sie können die Zuordnung jedoch nicht ändern.

Im Rahmen dieser Zuordnung kann auch festgelegt bzw. geändert werden, wem es erlaubtist, weiteren Benutzern die Anmeldung an diesen Computer zu ermöglichen.

206


Unter Typ wird im SafeGuard Management Center angezeigt, wie der Benutzer in dieSafeGuard Enterprise Datenbank aufgenommen wurde. Übernommen gibt an, dass derBenutzer auf einem Endpoint in die UMA für den Computer aufgenommen worden ist.

Hinweis: Wird im SafeGuard Management Center keine Zuweisung vorgenommen und keinBenutzer als Besitzer festgelegt, wird der Benutzer, der sich als erster nach der Installationvon SafeGuard Enterprise an den Computer anmeldet, als Besitzer eingetragen. DieserBenutzer kann weiteren Benutzern die Anmeldung an diesem Computer zu ermöglichen,siehe Registrieren weiterer SafeGuard Enterprise-Benutzer (Seite 189).Werden im SafeGuardManagement Center diesem Computer nachträglich Benutzer zugewiesen, so können sichdiese dann auch in der SafeGuard Power-On Authentication anmelden. Voraussetzung dafürist allerdings, dass es sich um komplette Benutzer (deren Zertifikat und Schlüssel bereitsexistieren) handelt. Die Erlaubnis durch den Besitzer des Computers ist dann nicht notwendig.

Über folgende Einstellungen kann festgelegt werden, wem es erlaubt ist, weitere Benutzer indie UMA aufzunehmen:

■ Kann Besitzer werden Die Auswahl dieser Einstellung ist Voraussetzung dafür, dass einBenutzer als Besitzer eines Computers eingetragen werden kann.

■ Benutzer ist Besitzer: Ist diese Einstellung ausgewählt, wird dieser Benutzer als Besitzerin die UMA eingetragen. Es kann jeweils nur ein Benutzer pro Computer als Besitzer inder UMA eingetragen werden.

Wer Benutzer in die UMA aufnehmen darf, wird zusätzlich über die RichtlinieneinstellungRegistrieren von neuen SGN-Benutzern erlauben in einer Richtlinie vom Typ SpezifischeComputereinstellungen gesteuert. Die Einstellung Registrierung von SGNWindows-Benutzern aktivieren in Richtlinien vom Typ SpezifischeComputereinstellungen legt fest, ob SGN Windows-Benutzer auf dem Endpoint registriertund zur UMA hinzugefügt werden können.

■ Registrieren von neuen SGN-Benutzern erlauben

Niemand

Auch der als Besitzer eingetragene Benutzer kann keinen weiteren Benutzern die Aufnahmein die UMA ermöglichen. Die Funktionalität, dass ein Besitzer weitere Aufnahmenermöglichen kann, wird damit deaktiviert.

Besitzer (Standardeinstellung)

Hinweis: Ein Sicherheitsbeauftragter kann im SafeGuard Management Center immerBenutzer hinzufügen.

Jeder

Hebt die Einschränkung auf, dass nur der Besitzer Benutzer hinzufügen darf.

Hinweis: Bei Endpoints, auf denen das Device Encryption-Modul nicht installiert ist, mussdie Einstellung Registrieren von neuen SGN-Benutzern erlauben auf Jeder gesetztsein, wenn es auf dem Endpoint möglich sein soll, der UMA mehrere Benutzerhinzuzufügen, die Zugriff auf ihre Schlüsselringe haben sollen. Sonst können Benutzernur im Management Center hinzugefügt werden. Diese Option ist wird nur auf zentralverwalteten Endpoints ausgewertet. Weitere Informationen finden Sie im SophosKnowledgebase-Artikel 110659.

■ Registrierung von SGN Windows-Benutzern aktivieren

Wenn Sie Ja auswählen, können SGN Windows-Benutzer auf dem Endpoint registriertwerden. Ein SGN Windows-Benutzer wird nicht zur SafeGuard POA hinzugefügt, verfügtjedoch über einen Schlüsselring, mit dem er auf verschlüsselte Dateien zugreifen kannwie ein SGN-Benutzer. Wenn Sie diese Einstellung wählen, werden alle Benutzer, die

207

Administratorhilfe



andernfalls SGN-Gast-Benutzer geworden wären, zu SGN Windows-Benutzern. DieBenutzer werden zur UMA hinzugefügt, sobald sie sich an Windows angemeldet haben.SGN Windows-Benutzer lassen sich auf zentral verwalteten Endpoints automatisch undauf Standalone-Endpoints manuell aus der UMA entfernen. Für weitere Informationen,siehe Spezifische Computereinstellungen - Grundeinstellungen (Seite 395).

Beispiel:

Das folgende Beispiel zeigt, wie Sie im SafeGuard Management Center festlegen können,dass sich ausschließlich drei bestimmte Benutzer (Benutzer_a, Benutzer_b, Benutzer_c) aufdem Computer Computer_ABC anmelden können.

Ausgangssituation: Sie legen im SafeGuard Management Center das gewünschte Verhaltenfest. SafeGuard Enterprise wird in der Nacht auf allen Endpoints installiert. Am Morgen sollensich die Benutzer an ihrem Computer anmelden können.

1. Weisen Sie im SafeGuard Management Center Benutzer_a, Benutzer_b, Benutzer_c demComputer Computer_ABC zu. (Benutzer & Computer -> Computer_ABC auswählen ->Benutzer via Drag&Drop zuweisen). Damit haben Sie eine UMA festgelegt.

2. Setzen Sie in einer Richtlinie vom Typ Spezifische Computereinstellungen die EinstellungRegistrieren von neuen SGN-Benutzern erlauben auf Niemand. Da es Benutzer_a,Benutzer_b, Benutzer_c nicht erlaubt werden soll, Benutzer hinzuzufügen, ist es nichtnotwendig, einen Benutzer als Besitzer festzulegen.

3. Weisen Sie die Richtlinie dem Computer zu bzw. an einer Stelle in der Verzeichnisstrukturzu, wo sie für den Computer wirksam wird.

Bei der Anmeldung des ersten Benutzers an Computer_ABC wird ein Autologon für dieSafeGuard POA ausgeführt. Die Computerrichtlinien werden an den Endpoint geschickt. DaBenutzer_a in der UMA eingetragen ist, wird er im Zuge der Windows-Anmeldung komplettiert.Seine Benutzerrichtlinien, Zertifikate und Schlüssel werden an den Endpoint geschickt. DieSafeGuard POA wird aktiviert.

Hinweis: Der Benutzer kann über die Statusausgabe im SafeGuard Tray Icon überprüfen,wann dieser Vorgang abgeschlossen ist.

Benutzer_a existiert nun als kompletter Benutzer in SafeGuard Enterprise und kann sich beider nächsten Anmeldung in der SafeGuard POA authentisieren und wird automatischangemeldet.

Benutzer_a fährt nun den Computer herunter und Benutzer_b will sich anmelden. Da dieSafeGuard POA aktiviert ist, findet kein Autologon mehr statt.

Für die Benutzer_b und Benutzer_c gibt es nun zwei Möglichkeiten, Zugang zu diesemComputer zu erlangen.

■ Benutzer_a deaktiviert im SafeGuard POA-Anmeldedialog die Option DurchgehendeAnmeldung an Windows und meldet sich an.

■ Benutzer_b authentisiert sich über Challenge/Response in der SafeGuard POA.

In beiden Fällen wird anschließend der Windows-Anmeldedialog angezeigt.

Benutzer_b kann dort seine Windows-Anmeldeinformationen eingeben. SeineBenutzerrichtlinien, Zertifikate und Schlüssel werden an den Endpoint geschickt. Er wird inder SafeGuard POA aktiviert. Benutzer_b existiert nun als kompletter Benutzer in SafeGuardEnterprise. Er kann sich bei der nächsten Anmeldung in der SafeGuard POA authentisierenund wird automatisch angemeldet.

Es wurde in der Computerrichtlinie zwar festgelegt, dass auf diesem Computer niemandBenutzer importieren darf, da sie sich aber bereits in der UMA befinden, können Benutzer_b

208


und Benutzer_c durch die Windows-Anmeldung dennoch komplettiert und in der SafeGuardPOA aktiviert werden.

Alle anderen Benutzer werden nicht in die UMA aufgenommen und können sich daher niemalsan der SafeGuard Power-on Authentication authentisieren. Alle Benutzer, die sich an Windowsanmelden und nicht Benutzer_a, Benutzer_b oder Benutzer_c sind, werden in diesem Szenarionicht in die UMA aufgenommen und daher auch nie in der SafeGuard POA aktiv.

Sie können im SafeGuard Management Center später weitere Benutzer hinzufügen. Allerdingssteht ihr Schlüsselring nach der ersten Anmeldung noch nicht zur Verfügung, da eineSynchronisierung erst durch diese Anmeldung angestoßen wird. Nach einer erneutenAnmeldung steht auch der Schlüsselring zur Verfügung und die Benutzer können entsprechendden geltenden Richtlinien auf den Computer zugreifen. Haben sie sich zuvor noch an keinemEndpoint erfolgreich angemeldet, können sie wie zuvor beschrieben aufgenommen werden.

Hinweis: Wenn das letzte gültige Benutzerzertifikat von einem SO oder MSO aus der UMAentfernt wurde, kann jeder Benutzer die SafeGuard POA des entsprechenden Computersabsolvieren. Dasselbe gilt, wenn sich die Domain des Endpoints ändert. Dann sind nurWindows-Anmeldeinformationen zum Anmelden am Computer, zum Reaktivieren derSafeGuard POA und das Hinzufügen als neuer Besitzer nötig.

5.6.6.1.1 Benutzer sperren

Durch Auswählen des Kontrollkästchens in der Spalte Benutzer sperren wird dem Benutzerdie Anmeldung an diesem Computer verboten. Wenn der betreffende Benutzer angemeldetist, wenn eine Richtlinie, die diese Einstellung enthält, wird der Benutzer abgemeldet.

5.6.6.1.2 Gruppen

Im SafeGuard Management Center können auch Computergruppen einem Benutzer (Konto)bzw. Benutzergruppen einem Computer zugewiesen werden.

So erstellen Sie eine Gruppe: Klicken Sie unter Benutzer & Computer mit der rechtenMaustaste auf den relevanten Objektknoten, bei dem Sie die Gruppe erstellen möchten.Wählen Sie dann Neu und Neue Gruppe erzeugen. Geben Sie in Neue Gruppe erzeugenunter Vollst. Name den Namen der Gruppe und nach Wunsch eine Beschreibung ein. KlickenSie auf OK.

Beispiel: Service-Konto

Auf diese Weise ist es z. B. einfach möglich, über ein Service-Konto eine große AnzahlComputer zu warten. Dazu müssen sich die Computer in einer Gruppe befinden. Diese Gruppewird dann einem Service-Konto (Benutzer) zugewiesen. Der Besitzer des Service-Kontoskann sich dann an alle Computer dieser Gruppe anmelden.

Ebenso kann durch das Zuweisen einer Gruppe, die verschiedene Benutzer enthält, diesenBenutzern in einem einfachen Schritt die Anmeldung an einem bestimmten Computerermöglicht werden.

5.6.6.2 Zuweisen von Benutzer- und ComputergruppenUm die Benutzer und Computer Zuordnung unter Benutzer & Computer einzusehen,benötigen Sie mindestens das Zugriffsrecht Schreibgeschützt für eines der beteiligten Objekte(Benutzer oder Computer). Um die Zuweisung zu definieren oder zu ändern, benötigen Siedas Zugriffsrecht Voller Zugriff für beide beteiligten Objekte. Die UMA-Anzeige zeigt dieverfügbaren Benutzer/Maschinen gefiltert nach Ihren Zugriffsrechten.

Hinweis: Das Zuweisen einzelner Benutzer an einen Computer oder umgekehrt, funktioniertanalog zur Beschreibung für Gruppen.


209

Administratorhilfe

2. Zum Zuweisen einer Gruppe von Computern zu einem Benutzer markieren Sie denBenutzer.

3. Klicken Sie im Aktionsbereich auf die Registerkarte Computer.

Unter Verfügbare Computer werden alle Computer und Computergruppen angezeigt.

4. Ziehen Sie die gewünschten Gruppen aus der Liste der Verfügbaren Gruppen in denAktionsbereich.

5. Ein Dialog, in dem Sie gefragt werden, ob der Benutzer Besitzer aller Computer werdenkönnen soll, wird angezeigt.

Ist für einen Computer im SafeGuard Management Center kein Besitzer festgelegt, wirdder erste Benutzer, der sich an diesen Computer anmeldet, automatisch als Besitzereingetragen. Damit hat er das Recht, anderen Benutzern Zugriff auf diesen Computer zuerlauben. Voraussetzung dafür ist, dass er das Recht Kann Besitzer werden besitzt.

■ Beantworten Sie diese Frage mit Ja, kann der Benutzer, wenn er sich als erster andiesen Computer anmeldet, Besitzer werden und damit weiteren Benutzern Zugriffgewähren.

■ Beantworten Sie diese Frage mit Nein, ist der Benutzer nicht Besitzer dieses Computers.

Für ein Service-Konto ist es in der Regel nicht notwendig, dass der Inhaber dieses KontosBesitzer der Computer werden kann. Diese Einstellung kann nach der initialen Zuweisunggeändert werden.

Nach der Beantwortung der Frage werden alle Computer aus der zugewiesenen Gruppe imAktionsbereich angezeigt.

Der Benutzer darf sich jetzt an allen Computern anmelden, die so zugewiesen wurden.

Die Zuweisung einer Benutzergruppe an einen einzelnen Computer funktioniert analog zudieser Beschreibung.

5.6.7 Sicheres Wake on LAN (WOL)

Im SafeGuard Management Center können Sie Richtlinieneinstellungen für Sicheres Wakeon LAN (WOL) definieren, um Endpoints für Software-Rollout-Vorgänge vorzubereiten. Nachdem Wirksamwerden einer solchen Richtlinie auf Endpoints werden die notwendigen Parameter(z. B. SafeGuard POA-Deaktivierung und ein Zeitabstand für Wake on LAN) direkt an dieEndpoints übertragen, wo sie analysiert werden.

Das Rollout-Team kann durch die zur Verfügung gestellten Kommandos ein Scheduling-Skriptso gestalten, dass die größtmögliche Sicherheit des Endpoint trotz deaktivierter SafeGuardPOA gewährleistet bleibt.

Hinweis: Wir weisen an dieser Stelle ausdrücklich darauf hin, dass auch das zeitlich begrenzte"Ausschalten" der SafeGuard POA für eine bestimmte Anzahl von Boot-Vorgängen einAbsenken des Sicherheitsniveaus bedeutet.

Die Einstellungen für Sicheres Wake On LAN (WOL) definieren Sie in einer Richtlinie desTyps Spezifische Computereinstellungen.

5.6.7.1 Sicheres Wake on LAN (WOL): BeispielDas SW-Rollout-Team informiert den SafeGuard Enterprise Sicherheitsbeauftragten (SO)über einen geplanten SW-Rollout für den 25. September 2014 zwischen 03.00 und 06.00Uhr. Es sind 2 Neustarts notwendig. Der lokale Software Rollout Agent muss sich an Windowsanmelden können.

210


Im SafeGuard Management Center, erstellt der Sicherheitsbeauftragter eine Richtlinie vomTyp Spezifische Computereinstellungen mit den folgenden Einstellung und ordnet Sie denrelevanten Endpoints zu.

WertRichtlinieneinstellung

5Anzahl der automatischen Anmeldungen (0 = keinWOL)

JaAnmeldung an Windows während WOL erlaubt

24.Sept. 2014, 12:00Beginn des Zeitfensters für externen WOL Start

25.Sept. 2014, 06:00Ende des Zeitfensters für externen WOL Start

Für weitere Informationen zu den einzelnen Einstellungen, siehe SpezifischeComputereinstellungen - Grundeinstellungen (Seite 395).

Da die Anzahl an automatischen Anmeldungen auf 5 eingestellt ist, startet der Endpointfünfmal ohne Authentisierung durch die SafeGuard POA.

Hinweis: Wir empfehlen, für Wake on LAN immer drei Neustarts mehr als notwendig zuerlauben, um unvorhergesehene Probleme zu umgehen.

Das Zeitintervall setzt der SO auf 12:00 Uhr mittags auf den Tag vor dem SW-Roll-Out. Somitkann das Scheduling-Skript SGMCMDIntn.exe rechtzeitig starten und WOL ist spätestensam 25.09 um 03:00 Uhr gestartet.

Das SW-Roll-Out-Team erstellt 2 Kommandos für das Scheduling-Skript:

■ Starte am 24. Sept. 2014, 12.15 Uhr SGMCMDIntn.exe -WOLstart

■ Starte am 26. Sept. 2014, 09.00 Uhr SGMCMDIntn.exe -WOLstop

Das SW-Rollout-Skript wird auf den 25.09.2014, 03.00 Uhr datiert. Am Ende des Skripts kannWOL explizit wieder deaktiviert werden mit SGMCMDIntn.exe -WOLstop.

Alle Endpoints, die sich bis zum 24.Sept. 2014 anmelden und mit den Roll-out Servern inVerbindung treten, erhalten die neue Richtlinie und die Scheduling-Kommandos.

Jeder Endpoint, auf dem der Scheduler zwischen dem 24. Sept. 2014,12:00 Uhr und dem26. Sept. 2014, 09:00 Uhr das Kommando SGMCMDIntn -WOLstart auslöst, fällt in das obigeWOL-Zeitintervall und aktiviert demzufolge Wake on LAN.

5.6.8 Recovery-Optionen

Für Recovery-Vorgänge bietet SafeGuard Enterprise verschiedene Optionen, die aufunterschiedliche Szenarien zugeschnitten sind:

■ Recovery für die Anmeldung mit Local Self Help

Local Self Help ermöglicht es Benutzern, die Ihr Kennwort vergessen haben, sichselbständig und ohne Unterstützung des Helpdesk an ihrem Computer anzumelden. Soerhalten Benutzer auch in Situationen, in denen sie keine Telefon- oder Netzwerkverbindungund somit auch kein Challenge/Response-Verfahren nutzen können (z. B. an Bord einesFlugzeugs), wieder Zugang zu ihrem Computer. Um sich anzumelden, müssen sie lediglich

211

Administratorhilfe

eine bestimmte Anzahl an vordefinierten Fragen in der SafeGuard Power-on Authenticationbeantworten.

Local Self Help reduziert die Anzahl an Helpdesk-Anforderungen für Recovery-Vorgänge,die die Anmeldung betreffen. Helpdesk-Mitarbeitern werden somit Routine-Aufgabenabgenommen und sie können sich auf komplexere Support-Anforderungen konzentrieren.

Für weitere Informationen, siehe Recovery mit Local Self Help (Seite 212).

■ Recovery mit Challenge/Response

Das Challenge/Response-Verfahren ist ein sicheres und effizientes Recovery-System,das Benutzer unterstützt, die sich nicht mehr an ihrem Computer anmelden oder nichtmehr auf verschlüsselte Daten zugreifen können. Während einesChallenge/Response-Verfahrens übermittelt der Benutzer einen auf dem Endpoint erzeugtenChallenge-Code an den Helpdesk-Beauftragten. Dieser erzeugt auf der Grundlage desChallenge-Codes einen Response-Code, der den Benutzer zum Ausführen einerbestimmten Aktion auf dem Computer berechtigt.

Mit Recovery über Challenge/Response bietet SafeGuard Enterprise verschiedeneWorkflows für typische Recovery-Szenarien, für die die Unterstützung durch einen Helpdeskerforderlich ist.

Für weitere Informationen, siehe Recovery mit Challenge/Response (Seite 216).

■ Systemwiederherstellung für SafeGuard Full Disk Encryption

SafeGuard Enterprise bietet verschiedene Methoden und Tools für Recovery-Vorgängein Bezug auf wichtige System- und SafeGuard Enterprise Komponenten, z. B.:

■ Beschädigter MBR

■ SafeGuard Enterprise Kernel-Probleme

■ Probleme in Bezug auf Volume-Zugriff

■ Windows Bootprobleme

Für weitere Informationen, siehe Systemwiederherstellung für SafeGuard Full Disk Encryption(Seite 233).

5.6.8.1 Recovery mit Local Self HelpHinweis: Local Self Help ist nur für Windows 7 Endpoints mit SafeGuard Power-onAuthentication (POA) verfügbar.

Über Local Self Help können sich Benutzer, die Ihr Kennwort vergessen haben, ohneUnterstützung des Helpdesks wieder an ihrem Computer anmelden. Local Self Help reduziertdie Anzahl an Helpdesk-Anforderungen für Recovery-Vorgänge, die die Anmeldung betreffen.Helpdesk-Mitarbeitern werden somit Routine-Aufgaben abgenommen und sie können sichauf komplexere Support-Anforderungen konzentrieren.

Mit Local Self Help erhalten Benutzer auch in Situationen, in denen sie keine Telefon- oderNetzwerkverbindung und somit auch kein Challenge/Response-Verfahren nutzen können (z.B. an Bord eines Flugzeugs), wieder Zugang zu ihrem Computer. Um sich anzumelden, mussder Benutzer lediglich eine bestimmte Anzahl an vordefinierten Fragen in der SafeGuardPower-on Authentication beantworten.

Die zu beantwortenden Fragen können Sie als zuständiger Sicherheitsbeauftragter zentralvordefinieren und per Richtlinie an die Endpoints verteilen. Als Vorlage bieten wir Ihnen ein

212


vordefiniertes Fragenthema an. Sie können dieses Fragenthema unverändert verwendenoder es bearbeiten. Sie können die Benutzer auch per Richtlinie berechtigen, selbst Fragenzu definieren.

Wenn Local Self Help per Richtlinie aktiviert ist, steht den Endbenutzern ein Local Self HelpAssistent zur Verfügung, der sie bei der ersten Beantwortung und bei der Bearbeitung vonFragen unterstützt.

Detaillierte Informationen zu Local Self Help auf dem Endpoint finden Sie in der SafeGuardEnterprise Benutzerhilfe im Kapitel Recovery mit Local Self Help.

5.6.8.1.1 Definieren der Parameter für Local Self Help in einer Richtlinie

Die Einstellungen für Local Self Help definieren Sie in einer Richtlinie vom Typ AllgemeineEinstellungen unter Recovery für die Anmeldung - Local Self Help. Hier aktivieren Siedie Funktion zur Benutzung auf den Endpoints und legen weitere Berechtigungen undParameter fest.

Local Self Help aktivieren

Um die Funktion Local Self Help für die Benutzung auf Endpoints zu aktivieren, wählen Sieim Feld Local Self Help aktivieren die Einstellung Ja.

Nach dem Wirksamwerden der Richtlinie auf den Endpoints sind die Benutzer aufgrund dieserEinstellung berechtigt, Local Self Help für Recovery-Vorgänge, die die Anmeldung betreffen,zu benutzen. Hierzu müssen die Benutzer die Funktion auf Ihrem Computer durchBeantwortung einer festgelegten Anzahl der erhaltenen Fragen oder durch Erstellung undBeantwortung eigener Fragen (je nach Berechtigung) aktivieren.

Nach dem Erhalt der Richtlinie und dem Neustart des Computers steht den Benutzern dafürder Local Self Help Assistent über das System Tray Icon in der Windows-Taskleiste zurVerfügung.

Konfigurieren der Funktion Local Self Help

Sie können folgende Optionen für Local Self Help in einer Richtlinie des Typs AllgemeineEinstellungen definieren.

■ Mindestlänge der Antwort

Legen Sie die Mindestlänge der Antworten in Zeichen fest. Die Standardeinstellung ist 1.

■ Willkommenstext unter Windows

Sie können einen individuellen Informationstext angeben, der beim Starten des Local SelfHelp Assistenten auf dem Endpoint im ersten Dialog angezeigt werden soll. Dieser Textmuss zuvor erstellt und registriert werden.

■ Benutzer dürfen eigene Fragen festlegen

Für die Hinterlegung der Fragen und Antworten für Local Self Help gibt es folgendeMöglichkeiten:

■ Sie definieren als Sicherheitsbeauftragter die Fragen und verteilen Sie an die Benutzer.Die Benutzer sind nicht dazu berechtigt, eigene Fragen zu definieren.

■ Sie definieren als Sicherheitsbeauftragter die Fragen und verteilen Sie an die Benutzer.Die Benutzer sind dazu berechtigt, zusätzlich eigene Fragen zu definieren. Bei derBeantwortung der für die Aktivierung von Local Self Help notwendigen Mindestanzahl

213

Administratorhilfe

an Fragen können die Benutzer zwischen vorgegebenen und eigenen Fragen wählenoder eine Kombination aus beiden verwenden.

■ Sie berechtigen die Benutzer dazu, eigene Fragen zu definieren und geben keinevordefinierten Fragen vor. Die Benutzer aktivieren Local Self Help durch Definition undBeantwortung eigener Fragen.

Um die Benutzer dazu zu berechtigen, eigene Fragen zu definieren, wählen Sie im FeldBenutzer dürfen eigene Fragen festlegen die Einstellung Ja.

5.6.8.1.2 Definieren von Fragen

Voraussetzung dafür, dass Local Self Help auf dem Endpoint verwendet werden kann, ist dieHinterlegung einer vordefinierten Anzahl an Fragen. Als Sicherheitsbeauftragter mit denerforderlichen Rechten können Sie festlegen, wie viele Fragen Benutzer beantworten müssen,um Local Self Help auf den Endpoints zu aktivieren. Sie können auch festlegen, wie vieleFragen in der SafeGuard POA per Zufallsprinzip ausgewählt werden. Um sich über Local SelfHelp an der SafeGuard Power-on Authentication anzumelden, muss der Benutzer alle in derPOA angezeigten Fragen korrekt beantworten.

Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie Local Self Help Fragenim SafeGuard Management Center registrieren und bearbeiten.

Hinweis:

Nicht alle Zeichen, die in Windows eingegeben werden können, können von der SafeGuardPOA verarbeitet werden. Hebräische oder arabische Zeichen können z. B. nicht verwendetwerden.

5.6.8.1.3 Festlegen der Anzahl an zu beantwortenden Fragen

Sie können die Anzahl an Fragen, die während der Konfiguration von Local Self Help und inder SafeGuard POA beantwortet werden müssen, festlegen.

1. Markieren Sie im Richtlinien Navigationsbereich den Eintrag Local Self Help Fragen.

2. Im Aktionsbereich können Sie unter Local Self Help Parameter zwei verschiedene Wertefür die Anzahl an Local Self Help Fragen festlegen:

a) Geben Sie im Feld Mindestanzahl der verfügbaren Fragen/Antworten an, wie vieleFragen die Benutzer im Local Self Help Assistenten beantworten müssen, um LocalSelf Help auf den Endpoints zu aktivieren.

Die hier angegebene Anzahl an Fragen muss auf dem Endpoint mit den entsprechendenAntworten verfügbar sein, damit Local Self Help aktiv ist.

b) Geben Sie im Feld Anzahl der in der POA gestellten Fragen an, wie viele Fragendie Benutzer in der SafeGuard POA beantworten müssen, wenn Sie sich mit Local SelfHelp anmelden.

Die in der SafeGuard POA angezeigten Fragen werden per Zufallsprinzip aus denFragen, die der Benutzer im Local Self Help Assistenten beantwortet hat, ausgewählt.

Der im Feld Mindestanzahl der verfügbaren Fragen/Antworten angegebene Wert musshöher sein als der Wert im Feld Anzahl der in der POA gestellten Fragen. Ist dies nichtder Fall, so wird beim Speichern Ihrer Änderungen eine Fehlermeldung angezeigt.

Die Felder haben folgende Standardwerte:

■ Mindestanzahl der verfügbaren Fragen/Antworten: 10

■ Anzahl der in der POA gestellten Fragen: 5

214



Die festgelegten Werte für die Fragenanzahl gelten für die Local Self Help Konfiguration, diean die Endpoints übertragen wird.

5.6.8.1.4 Verwenden der Vorlage

Für Local Self Help ist ein vordefiniertes Fragenthema verfügbar. Sie finden diesesFragenthema im SafeGuard Management Center unter Local Self Help Fragen.

Sie können das vordefinierte Fragenthema unverändert verwenden, bearbeiten oder löschen.

5.6.8.1.5 Import von Fragenthemen

Mit dem Importvorgang können Sie Ihre eigenen als .XML-Dateien angelegten Fragenlistenimportieren.

1. Erstellen Sie ein neues Fragenthema (siehe Erstellen eines neuen Fragenthemas undHinzufügen von Fragen (Seite 215)).

2. Markieren Sie im Richtlinien Navigationsbereich das neue Fragenthema unter Local SelfHelp Fragen.

3. Klicken Sie im Arbeitsbereich mit der rechten Maustaste. Das Kontextmenü für dasFragenthema wird geöffnet. Wählen Sie Importieren.

4. Wählen Sie das Verzeichnis, in dem das Fragenthema abgelegt ist, sowie das gewünschteFragenthema und klicken Sie auf Öffnen.

Die importierten Fragen werden im Arbeitsbereich angezeigt. Sie können das Fragenthemanun unverändert speichern oder bearbeiten.

5.6.8.1.6 Erstellen eines neuen Fragenthemas und Hinzufügen von Fragen

Sie können neue Fragenthemen zu unterschiedlichen Themenbereichen erstellen. Somitkönnen Sie Benutzern mehrere Fragenthemen zur Verfügung stellen, aus denen sie das fürsie am besten geeignete Thema auswählen können.

1. Markieren Sie im Richtlinien Navigationsbereich den Eintrag Local Self Help Fragen.

2. Klicken Sie mit der rechten Maustaste auf Local Self Help Fragen und wählen Sie Neu> Fragenthema.

3. Geben Sie einen Namen für das Fragenthema ein und klicken Sie auf OK.

4. Markieren Sie im Richtlinien Navigationsbereich das neue Fragenthema unter Local SelfHelp Fragen.

5. Klicken Sie im Arbeitsbereich mit der rechten Maustaste. Das Kontextmenü für dasFragenthema wird geöffnet. Wählen Sie Hinzufügen im Kontextmenü.

Eine neue Fragenzeile wird hinzugefügt.

6. Geben Sie Ihre Frage ein und drücken Sie Enter. Um weitere Fragen hinzuzufügen,wiederholen Sie diesen Vorgang.


Ihr Fragenthema ist registriert. Es wird der Richtlinie vom Typ Allgemeine Einstellungen,über die Local Self Help auf den Endpoints aktiviert wird, automatisch mitgegeben.

5.6.8.1.7 Bearbeiten von Fragenthemen

1. Markieren Sie das gewünschte Fragenthema unter Local Self Help Fragen im RichtlinienNavigationsbereich.

215

Administratorhilfe

2. Sie können nun Fragen hinzufügen, ändern oder löschen.

■ Um Fragen hinzuzufügen, klicken Sie im Arbeitsbereich mit der rechten Maustaste, umdas Kontextmenü anzuzeigen. Klicken Sie im Kontextmenü auf Hinzufügen. DerFragenliste wird eine neue Zeile hinzugefügt. Geben Sie Ihre Frage auf der Zeile ein.

■ Um Fragen zu ändern, klicken Sie auf den Fragentext im Arbeitsbereich. Bei dergewählten Frage wird ein Stiftsymbol angezeigt. Geben Sie auf der Fragenzeile IhreÄnderungen ein.

■ Um Fragen zu löschen, markieren Sie die gewünschte Frage durch Klicken auf dasgraue Kästchen zu Beginn der Fragenzeile im Arbeitsbereich und wählen Sie imKontextmenü des Frageneintrags Entfernen.


Ihr geändertes Fragenthema ist registriert. Es wird der Richtlinie vom Typ AllgemeineEinstellungen, über die Local Self Help auf den Endpoints aktiviert wird, mitgegeben.

5.6.8.1.8 Löschen von Fragenthemen

Um ein Fragenthema zu löschen, klicken Sie mit der rechten Maustaste auf das Fragenthemaunter Local Self Help Fragen im Richtlinien Navigationsbereich und wählen Sie Löschen.

Hinweis: Wenn Sie ein Fragenthema löschen, nachdem die Benutzer bereits Fragen ausdiesem Thema zur Aktivierung von Local Self Help auf ihren Computern beantwortet haben,werden die Antworten der Benutzer ungültig, da die Fragen nicht mehr vorhanden sind.

5.6.8.1.9 Registrieren von Willkommenstexten

Sie können einen Willkommenstext registrieren, der im ersten Dialog des Local Self HelpAssistenten angezeigt werden soll.

Die Textdateien mit den gewünschten Informationen müssen erstellt werden, bevor sie imSafeGuard Management Center registriert werden können. Die maximale Dateigröße fürInformationstexte beträgt 50 KB. SafeGuard Enterprise verwendet nur Unicode UTF-16kodierte Texte. Wenn Sie die Textdateien nicht in diesem Format erstellen, werden sie beider Registrierung automatisch in dieses Format konvertiert.

1. Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Texte undwählen Sie Neu > Text.




Das neue Textelement wird als Unterknoten des Eintrags Texte im RichtlinienNavigationsbereich angezeigt. Ist ein Textelement markiert, wird sein Inhalt im Aktionsbereichauf der rechten Seite angezeigt. Das Textelement kann jetzt beim Erstellen von Richtlinienausgewählt werden.


5.6.8.2 Recovery mit Challenge/ResponseZur Optimierung von Workflows im Unternehmen und zur Reduzierung von Helpdesk-Kostenbietet SafeGuard Enterprise eine Challenge/Response Recovery-Lösung. Mit einembenutzerfreundlichen Challenge/Response-Verfahren unterstützt SafeGuard Enterprise

216


Benutzer, die sich an ihrem Computer nicht mehr anmelden oder nicht auf verschlüsselteDaten zugreifen können.

Diese Funktionalität ist im SafeGuard Enterprise Management Center in Form einesRecovery-Assistenten integriert.

Nutzen und Vorteile des Challenge/Response-Verfahrens

Das Challenge/Response-Verfahren ist ein sicheres und effizientes Recovery-System.

■ Während des gesamten Vorgangs werden keine vertraulichen Daten in unverschlüsselterForm ausgetauscht.

■ Informationen, die unberechtigte Dritte durch Mitverfolgen dieses Vorgangs erhaltenkönnten, lassen sich weder zu einem späteren Zeitpunkt noch auf anderen Gerätenverwenden.

■ Für den Computer, auf den zugegriffen werden soll, muss während des Vorgangs keineOnline-Netzwerkverbindung bestehen. Der Response Code-Assistent für den Helpdeskläuft auch auf einem Standalone-Endpoint ohne Verbindung zum SafeGuard EnterpriseServer. Eine komplexe Infrastruktur ist nicht notwendig.

■ Der Benutzer kann schnell wieder mit dem Computer arbeiten. Es gehen keineverschlüsselten Daten verloren, nur weil der Benutzer das Kennwort vergessen hat.

Typische Notfälle, in denen Hilfe beim Helpdesk angefordert wird■ Ein Benutzer hat sein Kennwort für die Anmeldung vergessen. Der Computer ist gesperrt.

■ Ein Benutzer hat seinen Token/seine Smartcard vergessen oder verloren.

■ Der lokale Cache der SafeGuard Power-on Authentication ist teilweise beschädigt.

■ Ein Benutzer ist krank oder im Urlaub und ein Kollege muss auf die Daten auf demComputer zugreifen.

■ Ein Benutzer möchte auf ein Volume zugreifen, das mit einem Schlüssel verschlüsselt ist,der auf dem Computer nicht verfügbar ist.

SafeGuard Enterprise bietet für diese typischen Notfälle unterschiedliche Recovery-Workflows,die dem Benutzer wieder den Zugang zu seinem Computer ermöglichen.

5.6.8.2.1 Challenge/Response Workflow

Das Challenge/Response-Verfahren basiert auf zwei Komponenten:

■ Endpoint, auf dem der Challenge Code erzeugt wird.

■ SafeGuard Management Center, in dem Sie als Helpdesk-Beauftragter mit ausreichendenRechten einen Response-Code erstellen, der den Benutzer zur Ausführung derangeforderten Aktion auf dem Computer berechtigt.

217

Administratorhilfe

Hinweis: Für ein Challenge/Response-Verfahren benötigen Sie das Zugriffsrecht VollerZugriff für die beteiligten Computer/Benutzer.

1. Der Benutzer fordert auf dem Endpoint einen Challenge-Code an. Je nach Recovery-Typwird der Challenge-Code in der SafeGuard Power-on Authentication oder über dasKeyRecovery Tool angefordert.

Es wird ein Challenge-Code aus Ziffern und Buchstaben erzeugt und angezeigt.

2. Der Benutzer wendet sich an den Helpdesk und übermittelt die notwendigeIdentifizierungsinformationen sowie den Challenge-Code.

3. Der Helpdesk-Beauftragte startet den Recovery-Assistenten im SafeGuard ManagementCenter.

4. Der Helpdesk-Beauftragte wählt den entsprechenden Recovery-Typ, bestätigt dieIdentifikationsinformationen sowie den Challenge-Code und wählt die gewünschteRecovery-Aktion aus.

Ein Response-Code in Form einer ASCII-Zeichenfolge wird generiert und angezeigt.

5. Der Helpdesk übermittelt den Response-Code per Telefon oder Text-Mitteilung an denBenutzer.

6. Der Benutzer gibt den Response-Code ein. Je nach Recovery-Typ erfolgt dies in derSafeGuard POA oder über das KeyRecovery Tool.

Der Benutzer kann die autorisierte Aktion, z. B. Rücksetzen des Kennworts, ausführenund wieder mit dem Computer arbeiten.

5.6.8.2.2 Wann muss der Benutzer sein Kennwort ändern?

Im Rahmen eines SafeGuard Enterprise Recovery-Vorgangs muss der Benutzer u. U. seinWindows-Kennwort ändern. Die folgende Tabelle zeigt, wann es erforderlich ist, das Kennwortzu ändern. Die ersten vier Spalten zeigen spezifische Bedingungen, die während desChallenge/Response-Verfahrens auftreten können. Die letzte Spalte gibt basierend auf denBedingungen aus den ersten vier Spalten an, ob der Benutzer sein Kennwort ändern muss.

Ergebnis: Benutzermuss seinWindows-Kennwortändern

Bedingung: OptionzurKennwortanzeigevom Benutzerabgelehnt

Bedingung:Domänen-Controllerverfügbar

Bedingung: C/R mitBenutzeranmeldung

Bedingung: C/R mitBenutzeranmeldungund Anzeige desKennworts

NeinNeinJaJaJa

JaJaJaJaJa

NeinJaNeinJaJa

Ja-JaJaNein

Nein-NeinJaNein

Nein-NeinNeinNein

218


5.6.8.2.3 Starten des Recovery-Assistenten

Damit Sie in der Lage sind, ein Recovery-Verfahren auszuführen, stellen Sie sicher, dass Sieüber die erforderlichen Rechte und Berechtigungen verfügen.

1. Melden Sie sich am SafeGuard Management Center an.

2. Klicken Sie auf Extras > Recovery in der Menüleiste.

Der SafeGuard Recovery-Assistent wird gestartet. Sie können wählen, welchen Recovery-TypSie verwenden möchten.

5.6.8.2.4 Recovery-Typen

Wählen Sie den Recovery-Typ, den Sie verwenden möchten. Folgende Recovery-Typenstehen zur Verfügung:

■ SafeGuard Enterprise Clients (managed)

Challenge/Response für zentral durch das SafeGuard Management Center verwalteteEndpoints. Sie werden im Bereich Benutzer und Computer des SafeGuard ManagementCenters angezeigt.

■ Virtuelle Clients

In komplexen Recovery-Situationen, zum Beispiel wenn die SafeGuard POA beschädigtist, lässt sich der Zugriff auf verschlüsselte Daten auf einfache Art und Weise mitChallenge/Response wieder herstellen. In diesem Fall werden spezifische Dateien mit derBezeichnung virtuelle Clients verwendet. Diese Art von Dateien ist sowohl für zentralverwaltete Computer als auch für Standalone-Endpoints verfügbar.

■ Sophos SafeGuard Clients (Standalone)

Challenge/Response für Standalone-Endpoints Diese Endpoints haben nie eine Verbindungzum SafeGuard Enterprise Server. Die erforderlichen Recovery-Informationen basierenauf der Schlüssel-Recovery-Datei. Diese Datei wird auf jedem Endpoint während derInstallation der Sophos SafeGuard Verschlüsselungssoftware erzeugt. Um in diesem FallChallenge/Response zur Verfügung zu stellen, muss die Schlüssel-Recovery-Datei demSafeGuard Enterprise Helpdesk zur Verfügung stehen, zum Beispiel auf einerNetzwerkfreigabe.

Hinweis: Darüber hinaus steht das Recovery-Verfahren Local Self Help zur Verfügung, fürdas keine Unterstützung durch den Helpdesk benötigt wird.

5.6.8.2.5 Challenge/Response für SafeGuard Enterprise Clients (Managed)

SafeGuard Enterprise bietet ein Recovery-Verfahren für in der Datenbank registrierte Endpointsfür verschiedene Recovery-Szenarien, z. B. Kennwort-Recovery.

Das Challenge/Response-Verfahren wird sowohl für native SafeGuard Enterprise Computerals auch für mit BitLocker verschlüsselte Endpoints unterstützt. Das System ermittelt denComputertyp dynamisch. Der Recovery-Workflow wird dementsprechend angepasst.

5.6.8.2.5.1 Recovery-Aktionen für SafeGuard Enterprise Clients

Der Recovery Workflow richtet sich danach, für welchen Typ von Endpoint dasRecovery-Verfahren angefordert wird.

Hinweis: Für mit BitLocker verschlüsselte Computer steht als Recovery-Aktion nur dieWiederherstellung des Schlüssels, der für die Verschlüsselung eines spezifischen Volumesverwendet wurde, zur Verfügung. Eine Recovery-Aktion für Kennwörter ist nicht verfügbar.

5.6.8.2.5.1.1 Best Practice für das Wiederherstellen des Kennworts auf SafeGuard POA-Ebene

219

Administratorhilfe

Wir empfehlen, folgende Methoden anzuwenden, wenn der Benutzer sein Kennwort vergessenhat, um zu vermeiden, dass das Kennwort zentral zurückgesetzt werden muss:

■ Benutzen Sie Local Self Help.

Mit Recovery über Local Self Help kann sich der Benutzer das aktuelle Kennwort anzeigenlassen und dieses weiterhin benutzen, ohne es zurücksetzen zu müssen. Bei der Benutzungvon Local Self Help ist außerdem keine Unterstützung durch den Helpdesk erforderlich.

■ Bei Anwendung von Challenge/Response für SafeGuard Enterprise Clients(Managed):

Wir empfehlen, das Kennwort vor dem Challenge/Response-Verfahren nicht zentral imActive Directory zurückzusetzen. Dadurch wird gewährleistet, dass das Kennwort zwischenWindows und SafeGuard Enterprise synchron bleibt. Stellen Sie sicher, dass derWindows-Helpdesk entsprechend informiert ist.

Erzeugen Sie als SafeGuard Enterprise Helpdesk-Beauftragter eine Response für das Bootendes SGN Clients mit Benutzeranmeldung mit der Option Benutzerkennwort anzeigen.Dies bietet den Vorteil, dass das Kennwort nicht im Active Directory geändert werden muss.Der Benutzer kann mit dem alten Kennwort weiterarbeiten und dieses später nach Wunschlokal ändern.

5.6.8.2.5.1.2 Wiederherstellen des Kennworts auf SafeGuard POA-Ebene

Eines der am häufigsten auftretenden Recovery-Szenarien besteht darin, dass Benutzer ihrKennwort vergessen haben. SafeGuard Enterprise wird standardmäßig mit aktivierterSafeGuard Power-on Authentication (POA) installiert. Das SafeGuard POA-Kennwort, mitdem auf den Computer zugegriffen wird, ist identisch mit dem Windows-Kennwort.

Wenn der Benutzer das Kennwort auf der SafeGuard POA-Ebene vergessen hat, generiertder Helpdesk-Beauftragte eine Response mit der Option SGN Client mit Benutzeranmeldungbooten, ohne das Benutzerkennwort anzuzeigen. In diesem Fall startet der Computer jedochnach der Eingabe des Response-Codes bis zum Betriebssystem. Der Benutzer muss dasKennwort auf Windows-Ebene ändern, vorausgesetzt, die Domäne ist erreichbar. Danachkann der Benutzer sich sowohl an Windows als auch an der SafeGuard Power-onAuthentication mit dem neuen Kennwort anmelden.

5.6.8.2.5.1.3 Anzeigen des Benutzerkennworts

SafeGuard Enterprise bietet Benutzern die Möglichkeit, sich ihr Kennwort während desChallenge/Response-Verfahrens anzeigen zu lassen. Dies bietet den Vorteil, dass dasKennwort nicht im Active Directory geändert werden muss. Diese Option ist verfügbar, wenndie Anforderung SGN Client mit Benutzeranmeldung booten gestellt wird.

5.6.8.2.5.1.4 Ein anderer Benutzer muss den durch SafeGuard Enterprise geschützten Endpoint starten

In diesem Fall startet der Benutzer, der Zugriff benötigt, den Endpoint und gibt seinenBenutzernamen ein. Der Benutzer fordert dann eine Challenge an. Der SafeGuard Helpdeskgeneriert eine Response vom Typ SGN Client mit Benutzeranmeldung booten mit aktivierterdurchgehender Anmeldung an Windows. Der Benutzer wird angemeldet und kann denComputer benutzen.

5.6.8.2.5.1.5 Wiederherstellen des SafeGuard Enterprise Policy-Cache

Diese Aktion wird notwendig, wenn der SafeGuard Policy Cache beschädigt ist. Im LocalCache werden alle Schlüssel, Richtlinien, Benutzerzertifikate und Audit-Dateien gespeichert.Standardmäßig ist Recovery für die Anmeldung bei einem beschädigten Local Cachedeaktiviert. Er wird automatisch aus seiner Sicherungskopie wiederhergestellt. In diesem Fallist für das Reparieren des Local Cache kein Challenge/Response-Verfahren erforderlich.Wenn der Local Cache mit einem Challenge/Response-Verfahren repariert werden soll,

220


können Sie den Recovery-Vorgang per Richtlinie aktivieren. In diesem Fall wird der Benutzerbei einem beschädigten Local Cache automatisch dazu aufgefordert, einChallenge/Response-Verfahren zu starten.

5.6.8.2.5.1.6 SafeGuard Data Exchange: Recovery-Vorgänge bei vergessenem Kennwort

SafeGuard Data Exchange ohne Device Encryption bietet für den Fall, dass der Benutzersein Kennwort vergessen hat, keinen Recovery-Vorgang über Challenge/Response. In diesemFall müssen Sie das Kennwort im Active Directory ändern. Melden Sie sich ohne SophosCredential Provider am Endpoint an und stellen Sie die Benutzerkonfiguration auf dem Endpointwieder her.

5.6.8.2.5.2 Response für SafeGuard Enterprise Clients









5. Wählen Sie die Domäne des Benutzers.

6. Geben Sie den Benutzernamen ein. Hierfür gibt es mehrere Möglichkeiten:

■ Um den Benutzernamen auszuwählen, klicken Sie auf [...] im AbschnittBenutzer-Information des Dialogs Recovery für die Anmeldung. Klicken Sieanschließend auf Jetzt suchen. Eine Liste mit Benutzernamen wird angezeigt.WählenSie den gewünschten Namen und klicken Sie auf OK. Der Benutzername wird auf derSeite Recovery-Typ angezeigt.

■ Geben Sie den Benutzernamen direkt ein. Stellen Sie sicher, dass der Name korrektgeschrieben ist.



8. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter.Der Challenge-Code wird geprüft. Wenn der Code nicht korrekt eingegeben wurde, wirdunterhalb des Blocks, der den Fehler enthält, der Text Ungültige Challenge angezeigt.

221

Administratorhilfe

9. Wenn der Challenge-Code korrekt eingegeben wurde, werden die vom SafeGuardEnterprise Client angeforderte Aktion sowie die möglichen Recovery-Aktionen auf demClient angezeigt. Die möglichen Response-Aktionen richten sich nach den Aktionen, dieauf Client-Seite beim Aufrufen der Challenge angefordert wurden. Wenn auf Client-Seitezum Beispiel Crypto Token erforderlich angefordert wurde, stehen für die Response dieAktionen SGN Client mit Benutzeranmeldung booten und SGN Client ohneBenutzeranmeldung booten zur Verfügung.

10. Wählen Sie die Aktion, die der Benutzer ausführen soll.

11. Wenn Sie SGN Client mit Benutzeranmeldung booten ausgewählt haben, können Siezusätzlich auch die Option Benutzerkennwort anzeigen wählen, um das Kennwort aufdem Zielcomputer anzeigen zu lassen.



Der Benutzer kann nun den Response-Code auf dem Endpoint eingeben und die autorisierteAktion durchführen.

5.6.8.2.6 Challenge/Response mit virtuellen Clients

Mit Recovery über Challenge/Response mit virtuellen Clients bietet SafeGuard Enterprise einRecovery-Verfahren für verschlüsselte Volumes in komplexen Notfallsituationen, z. B., wenndie SafeGuard POA beschädigt ist. Dieses Verfahren lässt sich sowohl auf zentral verwalteteEndpoints als auch auf Standalone Endoints anwenden.

Hinweis: Recovery mit virtuellen Clients sollte nur in komplexen Notfallsituationen angewendetwerden. Wenn zum Beispiel nur ein Schlüssel für die Wiederherstellung eines Volumes fehlt,ist es am besten, den fehlenden Schlüssel dem Schlüsselbund des entsprechenden Benutzerszuzuweisen, um den Zugriff auf das Volume zu ermöglichen.

5.6.8.2.6.1 Recovery Workflow mit virtuellen Clients

Über folgenden allgemeinen Workflow lässt sich der Zugang zum verschlüsselten Endpointwiederherstellen:

1. Sie erhalten die SafeGuard Enterprise Recovery Disk vom technischen Support.

Für den Helpdesk steht die Windows PE Recovery Disk mit den aktuellen SafeGuardEnterprise Filter-Treibern auf der Sophos Support-Website zum Download zur Verfügung.Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 108805.

2. Erstellen Sie den virtuellen Client im SafeGuard Management Center, siehe Anlegen vonvirtuellen Clients (Seite 240).

3. Exportieren Sie den virtuellen Client in eine Datei, siehe Export von virtuellen Clients (Seite241).

4. Optional können Sie mehrere virtuelle Clients in eine Datei exportieren, siehe Anlegenund Exportieren von Schlüsseldateien für den Recovery-Vorgang (Seite 241).

5. Booten Sie den Endpoint von der Recovery Disk.6. Importieren Sie die Datei mit dem virtuellen Client in das KeyRecovery Tool.7. Starten Sie die Challenge im KeyRecovery Tool.8. Bestätigen Sie den virtuellen Client im SafeGuard Management Center.9. Wählen Sie die erforderliche Recovery-Aktion.10. Geben Sie den Challenge-Code im SafeGuard Management Center ein.11. Generieren Sie den Response-Code im SafeGuard Management Center.12. Geben Sie den Response-Code im KeyRecovery Tool ein.

Auf den Computer kann wieder zugegriffen werden.

222



5.6.8.2.6.2 Booten des Computers von der Recovery Disk.

Voraussetzung: Stellen Sie sicher, dass die Boot-Reihenfolge im BIOS das Booten von CDerlaubt.

1. Fordern Sie vom technischen Support von Sophos die SafeGuard Enterprise WindowsPE Disk an.


2. Legen Sie auf dem Endpoint die Recovery Disk ein und starten Sie den Computer. Derintegrierte Dateimanager wird geöffnet. Hier sehen Sie auf einen Blick die bereitgestelltenVolumes und Laufwerke.

Der Inhalt des verschlüsselten Laufwerks ist im Dateimanager nicht sichtbar. In denEigenschaften des verschlüsselten Laufwerks werden weder das Dateisystem, noch dieKapazität sowie der verwendete/freie Speicherplatz angegeben.

223

Administratorhilfe


3. Klicken Sie unten im Bereich Quick Launch des Dateimanagers auf dasKeyRecovery-Symbol, um das KeyRecovery Tool zu öffnen. Das Key Recovery Tool zeigtdie Schlüssel-ID verschlüsselter Laufwerke.

4. Suchen Sie nach der Schlüssel-ID des Laufwerks, auf das Sie zugreifen möchten. DieSchlüssel-ID wird später abgefragt.

Im nächsten Schritt importieren Sie den virtuellen Client in das Key Recovery Tool.

5.6.8.2.6.3 Import des virtuellen Client in das KeyRecovery Tool

Voraussetzung:

■ Der Computer wurde von der Recovery Disk gebootet.

■ Stellen Sie sicher, dass das USB-Laufwerk mit der Datei recoverytoken.tok erfolgreichbereitgestellt wurde.

1. Wählen Sie im Windows PE Dateimanager das Laufwerk aus, auf dem der virtuelle Clientgespeichert ist. Die Datei recoverytoken.tok wird auf der rechten Seite angezeigt.

224


2. Wählen Sie die Datei recoverytoken.tok aus und ziehen Sie sie auf das Laufwerk, auf demsich das KeyRecovery Tool befindet. Legen Sie die Datei hier im VerzeichnisToos\SGN-Tools ab.

225

Administratorhilfe

5.6.8.2.6.4 Starten einer Challenge im KeyRecovery Tool

1. Klicken Sie unten im Bereich Quick Launch des Windows PE Dateimanagers auf dasKeyRecovery-Symbol, um das KeyRecovery Tool zu öffnen. Das Key Recovery Tool zeigtdie Schlüssel-ID verschlüsselter Laufwerke.

Das Tool startet und zeigt eine Liste aller Volumes mit den jeweiligenVerschlüsselungsinformationen (Schlüssel-ID).

2. Wählen Sie das Volume, das Sie entschlüsseln möchten und klicken Sie auf Import mitC/R, um den Challenge-Code zu erzeugen.

Die Datei mit dem virtuellen Client wird als Referenz in der SafeGuard Enterprise Datenbankverwendet und in der Challenge angegeben. Der Challenge-Code wird erzeugt undangezeigt.

3. Übermitteln Sie den Namen des virtuellen Clients und den Challenge-Code an denHelpdesk, z. B. über Telefon oder eine Textmitteilung. Hierzu steht eine Buchstabierhilfezur Verfügung.

5.6.8.2.6.5 Bestätigen des virtuellen Client

Voraussetzung: Der virtuelle Client muss im SafeGuard Management Center unter VirtuelleClients angelegt worden sein und er muss in der Datenbank zur Verfügung stehen.

1. Klicken Sie im SafeGuard Management Center auf Extras > Recovery, um denRecovery-Assistenten zu öffnen.

2. Wählen Sie unter Recovery-Typ die Option Virtueller Client.

3. Geben Sie den Namen des virtuellen Client ein, den Sie vom Benutzer erhalten haben.Hierzu gibt es verschiedene Möglichkeiten:

■ Geben Sie den eindeutigen Namen direkt ein.

226


■ Wählen Sie einen Namen, indem Sie auf [...] im Abschnitt Virtueller Client des DialogsRecovery-Typ klicken. Klicken Sie anschließend auf Jetzt suchen. Eine Liste mitvirtuellen Clients wird angezeigt. Wählen Sie den gewünschten virtuellen Client ausund klicken Sie auf OK. Der Name des virtuellen Clients wird nun auf der Recovery-TypSeite unter Virtueller Client angezeigt.

4. Klicken Sie auf Weiter, um den Namen der Datei mit dem virtuellen Client zu bestätigen.

Im nächsten Schritt wählen Sie die erforderliche Recovery-Aktion aus.

5.6.8.2.6.6 Auswählen der erforderlichen Recovery-Aktion

1. Wählen Sie bei Virtueller Client auf der Angeforderte Aktion Seite eine der folgendenOptionen:

■ Wählen Sie Schlüssel angefordert, um einen einzelnen Schlüssel für den Zugriff aufein verschlüsseltes Volume auf dem Computer wiederherzustellen.

Diese Option ist sowohl für zentral verwaltete Endpoints als auch fürStandalone-Endpoints verfügbar.

■ Wählen Sie Kennwort für Schlüsseldatei angefordert, um mehrere Schlüssel für denZugriff auf verschlüsselte Volumes auf dem Computer wiederherzustellen. Die Schlüsselwerden in einer Datei gespeichert, die mit einem Zufallskennwort verschlüsselt wird,das in der Datenbank abgelegt ist. Das Kennwort ist für jede angelegte Schlüsseldateieinzigartig. Das Kennwort wird innerhalb des Response-Codes an den Zielcomputerübertragen.

Diese Option ist nur für zentral verwaltete Endpoints verfügbar.


5.6.8.2.6.7 Auswahl des angeforderten Schlüssel (einzelner Schlüssel)

Voraussetzung:

Sie müssen den erforderlichen virtuellen Client im Recovery-Assistenten des SafeGuardManagement Center sowie die Recovery-Aktion Schlüssel angefordert ausgewählt haben.

1. Wählen Sie im Recovery-Assistenten auf der Seite Virtueller Client aus, ob die Aktionvon einem zentral verwalteten-Endpoint oder einem Standalone-Endpoint angefordertwird.

■ Wählen Sie für zentral verwaltete Endpoints Recovery-Schlüssel für einen SafeGuardEnterprise Managed Client. Klicken Sie auf [...]. In Schlüssel suchen können Siesich die Schlüssel nach Schlüssel-ID oder symbolischem Namen anzeigen lassen.Klicken Sie auf Jetzt suchen, wählen Sie den Schlüssel und klicken Sie auf OK.

Hinweis: Eine Response kann nur für zugewiesene Schlüssel erzeugt werden. Ist einSchlüssel inaktiv, d. h. der Schlüssel ist nicht mindestens einem Benutzer zugewiesen,ist eine Response mit einem virtuellen Client nicht möglich. In diesem Fall kann derinaktive Schlüssel zunächst einem beliebigen Benutzer zugewiesen werden. Danachkann eine Response für den Schlüssel generiert werden.

227

Administratorhilfe

■ Wählen Sie für Standalone-Endpoints Recovery-Schlüssel für einen SophosSafeGuard Standalone Client. Klicken Sie neben dieser Option auf [...], um nach derentsprechenden Datei zu suchen. Zur Vereinfachung der Identifizierung tragen dieRecovery-Dateien den Namen des Computers: computername.GUID.xml. Wählen Siedie Datei aus und klicken Sie auf Öffnen.

Hinweis: Die Schlüssel-Recovery-Datei, die zur Wiederherstellung des Zugriffs aufden Computer erforderlich ist, muss dem Helpdesk zur Verfügung stehen, z. B. übereine Netzwerkfreigabe.

2. Klicken Sie auf Weiter. Die Seite für die Eingabe des Challenge-Codes wird angezeigt.

Der angeforderte Schlüssel wird mit dem Response-Code an die Benutzerumgebungübertragen.

5.6.8.2.6.8 Auswahl des angeforderten Schlüssel (mehrere Schlüssel)

Voraussetzung:

Diese Option ist nur für zentral verwaltete Endpoints verfügbar.

Sie müssen die Schlüsseldatei zuvor im SafeGuard Management Center unter Schlüsselimd Zertifikate angelegt haben und das Kennwort, mit dem die Datei verschlüsselt ist, mussin der Datenbank gespeichert sein.

Sie müssen den erforderlichen virtuellen Client im Recovery-Assistenten des SafeGuardManagement Center sowie die Recovery-Aktion Kennwort für Schlüsseldatei angefordertausgewählt haben.

1. Um eine Schlüsseldatei auszuwählen, klicken Sie auf die [...] Schaltfläche neben dieserOption. Klicken Sie in Schlüsseldatei auf Jetzt suchen. Wählen Sie die Schlüsseldateiaus und klicken Sie auf OK.

2. Klicken Sie zur Bestätigung auf Weiter.

Die Seite für die Eingabe des Challenge-Codes wird angezeigt.

5.6.8.2.6.9 Eingeben des Challenge-Codes und Erzeugen des Response-Codes

Voraussetzung:

Sie müssen den erforderlichen virtuellen Client im Recovery-Assistenten des SafeGuardManagement Center sowie die erforderliche Recovery-Aktion ausgewählt haben.

1. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter.Der Challenge-Code wird geprüft.

Wenn der Challenge-Code korrekt eingegeben wurde, wird der Response-Code erzeugt.Wenn der Code nicht korrekt eingegeben wurde, wird unterhalb des Blocks, der den Fehlerenthält, der Text Ungültige Challenge angezeigt.

2. Teilen Sie dem Benutzer den Response-Code mit. Hierzu steht eine Buchstabierhilfe zurVerfügung. Sie können den Response-Code auch in die Zwischenablage kopieren.

Wenn Sie Schlüssel angefordert als Recovery-Aktion ausgewählt haben, wird derangeforderte Schlüssel im Response-Code an die Benutzerumgebung übertragen.

Wenn Sie Kennwort für Schlüsseldatei angefordert als Recovery-Aktion ausgewähltehaben, wird das Kennwort für die verschlüsselte Schlüsseldatei im Response-Code übertragen.Die Schlüsseldatei wird daraufhin gelöscht.

228


5.6.8.2.6.10 Eingeben des Response-Codes im KeyRecovery Tool

1. Geben Sie im KeyRecovery Tool auf dem Endpoint den Response-Code ein, den Sie vomHelpdesk erhalten haben.

Mit dem Response-Code wird der erforderliche Recovery-Schlüssel übertragen.

2. Klicken Sie auf OK. Das für das Challenge/Response-Verfahren gewählte Laufwerk wirdentschlüsselt.

229

Administratorhilfe

3. Um sicherzustellen, dass die Entschlüsselung erfolgreich durchgeführt werden konnte,wählen Sie das entschlüsselte Laufwerk im Windows PE Dateimanager aus:

Der Inhalt des entschlüsselten Laufwerks wird nun im Dateimanager angezeigt. DasDateisystem und die Kapazität sowie der benutzte/freie Speicherplatz werden nun in denEigenschaften des entschlüsselten Laufwerks angegeben.

Der Zugriff auf die Daten, die auf dieser Partition gespeichert sind, ist wiederhergestellt. Nachder erfolgreichen Entschlüsselung haben Sie auf dem entsprechenden Laufwerk Lese- undSchreibzugriff für Daten. Sie können Daten vom und auf das Laufwerk kopieren.

5.6.8.2.7 Challenge/Response für Sophos SafeGuard Clients (Standalone)

SafeGuard Enterprise bietet Challenge/Response für Recovery-Vorgänge, z. B. wenn derBenutzer sein Kennwort vergessen oder es zu oft falsch eingegeben hat, auch fürStandalone-Endpoints (Sophos SafeGuard Clients Standalone). Standalone-Endpoints habennie eine Verbindung zum SafeGuard Enterprise Server, auch nicht vorübergehend. Sie werdenim Standalone-Modus betrieben.

Die für Challenge/Response-Vorgänge benötigten Recovery-Informationen basieren in diesemFall auf der Schlüssel-Recovery-Datei. Diese Schlüssel-Recovery-Datei wird auf jedemStandalone-Endpoint während der Installation der SafeGuard EnterpriseVerschlüsselungssoftware erzeugt. Die Schlüssel-Recovery-Datei muss dem SafeGuardEnterprise Helpdesk zur Verfügung stehen, zum Beispiel auf einer Netzwerkfreigabe.

Um die Suche nach und die Gruppierung von Recovery-Dateien zu vereinfachen, enthaltendie Dateinamen den Namen des Computers: computername.GUID.xml. Somit sindSuchvorgänge mit Asterisken (*) als Platzhalter möglich, z. B.: *.GUID.xml.

Hinweis: Wenn ein Computer umbenannt wird, wird er im Local Cache nicht automatischentsprechend umbenannt. Im Local Cache werden alle Schlüssel, Richtlinien,Benutzerzertifikate und Audit-Dateien gespeichert. Für die Datei-Generierung muss der neue

230


Computername daher aus dem Local Cache entfernt werden, so dass nur der vorige Nameverbleibt, auch wenn der Computer unter Windows umbenannt wird.

5.6.8.2.7.1 Recovery-Aktionen für Sophos SafeGuard Clients (standalone)

Für einen Standalone-Endpoint kann in den folgenden Situationen einChallenge/Response-Verfahren gestartet werden:

■ Der Benutzer hat das Kennwort zu oft falsch eingegeben.

■ Der Benutzer hat das Kennwort vergessen.

■ Ein beschädigter Local Cache muss repariert werden.

Für einen Standalone-Endpoint steht kein Benutzerschlüssel in der Datenbank zur Verfügung.Somit ist in einem Challenge/Response-Verfahren nur die Recovery-Aktion SGN Client ohneBenutzeranmeldung booten möglich.

Das Challenge/Response-Verfahren ermöglicht das Booten des Computers durch dieSafeGuard Power-on Authentication. Der Benutzer kann sich dann an Windows anmelden.

Mögliche Recovery-Anwendungsfälle:

Der Benutzer hat das Kennwort auf SafeGuard POA-Ebene zu oft falsch eingegebenund der Computer wurde gesperrt. Der Benutzer weiß jedoch das Kennwort.

Der Computer ist gesperrt und der Benutzer wird dazu aufgefordert, einChallenge/Response-Verfahren zu starten, um wieder Zugriff auf den Computer zu erhalten.Da der Benutzer das Kennwort noch weiß, muss es nicht zurückgesetzt werden. DasChallenge/Response-Verfahren ermöglicht das Booten des Computers durch die SafeGuardPower-on Authentication. Der Benutzer kann dann das korrekte Kennwort auf Windows-Ebeneeingeben und den Computer wieder benutzen.

Der Benutzer hat das Kennwort vergessen

Hinweis: Wir empfehlen, Local Self Help einzusetzen, um ein vergessenes Kennwortwiederherzustellen. Mit Local Self Help können Benutzer sich das aktuelle Benutzerkennwortanzeigen lassen und es weiterhin zur Anmeldung verwenden. Dadurch wird ein Rücksetzendes Kennworts vermieden. Außerdem muss der Helpdesk nicht um Hilfe gebeten werden.

Wenn das Kennwort über ein Challenge/Response-Verfahren wiederhergestellt wird, mussdas Kennwort zurückgesetzt werden.

1. Das Challenge/Response-Verfahren ermöglicht das Booten des Computers durch dieSafeGuard Power-on Authentication.

2. Da Ihnen das Kennwort nicht bekannt ist, können der Benutzer es im Windows-Dialognicht eingeben. Das Kennwort muss auf Windows-Ebene zurückgesetzt werden. Hierzusind weitere Recovery-Vorgänge außerhalb von SafeGuard Enterprise erforderlich, dieüber Windows-Standard-Verfahren durchgeführt werden müssen.

Hinweis: Wir empfehlen, das Kennwort vor dem Challenge/Response-Verfahren nichtzentral im Active Directory zurückzusetzen. Dadurch wird gewährleistet, dass das Kennwortzwischen Windows und SafeGuard Enterprise synchron bleibt. Stellen Sie sicher, dassder Windows-Helpdesk entsprechend informiert ist.

Wir empfehlen, die folgenden Methoden für das Zurücksetzen des Kennworts aufWindows-Ebene:■ Über ein Service-Benutzerkonto oder ein Administratorkonto mit den erforderlichen

Windows-Rechten auf dem Endpoint

■ Über eine Windows-Kennwortrücksetz-Diskette auf dem Endpoint

231

Administratorhilfe

Als Helpdesk-Beauftragter können Sie den Benutzer darüber informieren, welcheMethode benutzt werden soll, und ihm die zusätzlichen Windows-Anmeldeinformationenoder die erforderliche Diskette zur Verfügung stellen.

3. Der Benutzer gibt das neue Kennwort ein, dass der Helpdesk auf Windows-Ebenezurückgesetzt hat. Unmittelbar muss der Benutzer das Kennwort in ein nur ihm bekanntesKennwort ändern. Basierend auf dem neu gewählten Windows-Kennwort wird ein neuesBenutzerzertifikat erzeugt. Dies ermöglicht es dem Benutzer, sich mit dem neuen Kennwortwieder an seinem Computer und an der SafeGuard Power-on Authentication anzumelden.

Hinweis: Schlüssel für SafeGuard Data Exchange: Wenn ein Kennwort zurückgesetztund ein neues Zertifikat erstellt wird, können die zuvor für SafeGuard Data Exchangeerzeugten lokalen Schlüssel noch verwendet werden, wenn der Endpoint Mitglied einerDomäne ist. Wenn der Endpoint Mitglied einer Arbeitsgruppe ist, muss dem Benutzer dieSafeGuard Data Exchange Passphrase bekannt sein, damit diese lokalen Schlüsselreaktiviert werden können.

Der Local Cache muss repariert werden.

Im Local Cache werden alle Schlüssel, Richtlinien, Benutzerzertifikate und Audit-Dateiengespeichert. Standardmäßig ist Recovery für die Anmeldung bei einem beschädigten LocalCache deaktiviert, d. h. der Local Cache wird automatisch aus seiner Sicherungskopiewiederhergestellt. In diesem Fall ist für das Reparieren des Local Cache keinChallenge/Response-Verfahren erforderlich. Soll der Local Cache jedoch explizit mit einemChallenge/Response-Verfahren repariert werden, so lässt sich Recovery für die Anmeldungüber eine Richtlinie aktivieren. In diesem Fall wird der Benutzer bei einem beschädigten LocalCache automatisch dazu aufgefordert, ein Challenge/Response-Verfahren zu starten.

5.6.8.2.7.2 Erzeugen einer Response für Standalone-Endpoints mit der Schlüssel-Recovery-Datei

Hinweis: Die Schlüssel-Recovery-Datei, die während der Installation der SafeGuard EnterpriseVerschlüsselungssoftware generiert wurde, muss an einem Speicherort abgelegt sein, aufden der Helpdesk-Beauftragte Zugriff hat. Darüber hinaus muss der Name der Datei bekanntsein.

1. Wählen Sie in der Menüleiste des SafeGuard Management Center Extras > Recovery,um den Recovery-Assistenten zu öffnen.

2. Wählen Sie unter Recovery-Typ die Option Sophos SafeGuard Client (Standalone).

3. Suchen Sie nach der Schlüssel-Recovery-Datei, indem Sie auf die [...] Schaltfläche nebendem Feld Schlüssel-Recovery-Datei klicken. Zur Vereinfachung der Identifizierung tragendie Recovery-Dateien den Namen des Computers: computername.GUID.xml.

4. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter.Der Challenge-Code wird geprüft.

Wenn der Challenge-Code korrekt eingegeben wurde, werden die vom Endpoint-Computerangeforderte Recovery-Aktion sowie die möglichen Recovery-Aktionen angezeigt. Wennder Code nicht korrekt eingegeben wurde, wird unterhalb des Blocks, der den Fehlerenthält, der Text Ungültige Challenge angezeigt.

5. Wählen Sie die vom Benutzer durchzuführende Aktion aus und klicken Sie auf Weiter.

6. Es wird ein Response-Code erzeugt. Teilen Sie den Response-Code dem Benutzer mit.Hierzu steht eine Buchstabierhilfe zur Verfügung. Sie können den Response-Code auchin die Zwischenablage kopieren.

Der Benutzer kann den Response-Code eingeben, die angeforderte Aktion ausführen unddann wieder mit dem Computer arbeiten.

232


5.6.8.3 Systemwiederherstellung für SafeGuard Full Disk EncryptionSafeGuard Enterprise verschlüsselt Dateien und Laufwerke transparent. Darüber hinauskönnen auch Bootlaufwerke verschlüsselt werden, so dass Entschlüsselungsfunktionalitätenwie Code, Verschlüsselungsalgorithmen und Verschlüsselungsschlüssel sehr früh in derBootphase verfügbar sein müssen. Folglich kann auf verschlüsselte Informationen nichtzugegriffen werden, wenn entscheidende SafeGuard Enterprise Module nicht verfügbar sindoder nicht funktionieren.

Die folgenden Abschnitte beschreiben mögliche Probleme und Recovery-Verfahren.

5.6.8.3.1 Daten-Recovery durch Booten von einem externen Medium

Dieser Recovery-Typ kann angewendet werden, wenn sich der Benutzer nicht mehr auf dasverschlüsselte Volume zugreifen kann. In diesem Fall kann der Zugriff auf die verschlüsseltenDaten durch Booten des Computers über eine für SafeGuard Enterprise angepasste WindowsPE Recovery Disk wiederhergestellt werden.

Voraussetzungen:

■ Der Benutzer, der vom externen Medium bootet, muss dazu berechtigt sein. Das muss imBIOS des Computers so konfiguriert sein.

■ Der Computer muss das Booten von anderen Medien außer von der fest eingebautenFestplatte unterstützen.

So erhalten Sie wieder Zugriff auf die verschlüsselten Daten auf dem Computer:

1. Fordern Sie beim technischen Support von Sophos die SafeGuard Enterprise WindowsPE Disk an.


2. Legen Sie die Windows PE Recovery Disk ein.

3. Starten Sie den Computer von der Recovery Disk und führen Sie ein Challenge/Responsemit einem virtuellen Client durch. Für weitere Informationen, siehe Challenge/Responsemit virtuellen Clients (Seite 222).

Der Zugriff auf die Daten, die auf dieser Partition gespeichert sind, ist wiederhergestellt.

Hinweis: Je nach verwendetem BIOS funktioniert das Booten von der Disk u. U. nicht.

5.6.8.3.2 Beschädigter MBR

Zur Problembehebung im Fall eines beschädigten MBR bietet SafeGuard Enterprise das ToolBE_Restore.exe.

Eine detaillierte Beschreibung zur Wiederherstellung eines beschädigten MBR finden Sie inder SafeGuard Enterprise Tools-Anleitung.

5.6.8.3.3 Beschädigter Kernel-Bootcode

Es kann auf eine Festplatte mit einem beschädigten Kernel-Bootcode zugegriffen werden.Denn Schlüssel werden getrennt vom Kernel in der so genannten KSA (Key Storage Area)gespeichert. Durch die Trennung von Kernel und Schlüsseln können solche Laufwerkeangeschlossen an einen anderen Computer entschlüsselt werden.

Dazu benötigt der Benutzer, der sich an dem anderen Computer anmeldet, einen Schlüsselder KSA der nicht bootbaren Partition in seinem Schlüsselring.

233

Administratorhilfe


Im schlimmsten Fall ist die Partition nur mit dem Boot_Key des anderen Computersverschlüsselt. In diesem Fall muss der Haupt-Sicherheitsbeauftragte oder derRecovery-Beauftragte dem Benutzer diesen Boot_Key zuweisen.

Für weitere Informationen, siehe „Slaven“ einer Festplatte (Seite 235).

5.6.8.3.4 Volumes

SafeGuard Enterprise bietet die volume-basierende Verschlüsselung. Dies beinhaltet dieSpeicherung von Verschlüsselungsinformationen bestehend aus Bootsektor, primärer bzw.Backup-KSA und Originalbootsektor auf jedem Laufwerk selbst.

Wenn eine der folgenden Bedingungen zutrifft, besteht auf das jeweilige Volume kein Zugriffmehr:

■ Beide Key Storage Areas (KSA) sind zur gleichen Zeit beschädigt.

■ Der Original-MBR ist beschädigt.

5.6.8.3.4.1 Bootsektor

Der Bootsektor eines Volumes wird bei der Verschlüsselung gegen den SafeGuard EnterpriseBootsektor ausgetauscht.

Der SafeGuard Enterprise Bootsektor enthält Informationen über

■ den Ort der primären und Backup-KSA in Clustern und Sektoren bezogen auf den Startder Partition

■ die Größe der KSA

Auch wenn der SafeGuard Enterprise Bootsektor zerstört ist, ist kein Zugriff auf verschlüsselteVolumes möglich.

Das Tool BE_Restore kann den zerstörten Bootsektor wiederherstellen.Weitere Informationenhierzu finden Sie in der SafeGuard Enterprise Tools-Anleitung.

5.6.8.3.4.2 Originaler Bootsektor

Beide KSAs enthalten den originalen Bootsektor. Das ist jener, der ausgeführt wird, nachdemder DEK (Data Encryption Key) entschlüsselt wurde und der Algorithmus und der Schlüsselin den BE Filtertreiber geladen wurden.

Ist dieser Bootsektor defekt, kann Windows nicht auf das Volume zugreifen. Normalerweisewird die bekannte Fehlermeldung „Gerät ist nicht formatiert. Möchten Sie es jetzt formatieren?Ja/Nein“ angezeigt.

SafeGuard Enterprise wird den DEK für dieses Volume dennoch laden. Jedes Tool, das denBootsektor reparieren kann, soll dennoch laufen - vorausgesetzt, es passiert den SafeGuardEnterprise Upper Volume Filter.

5.6.8.3.5 Windows Bootprobleme

SafeGuard Enterprise ist mit seinem kryptographischen Konzept der volume-spezifischenSchlüssel (Bootsektor, Key Storage Area KSA) sehr flexibel.

Sie können ein beschädigtes System durch Booten eines Wiederherstellungsmediums vonder SafeGuard Power-on Authentication aus (Windows PE mit dem SafeGuard EnterpriseVerschlüsselungs-Subsystem installiert) retten. Diese Medien haben einen transparentenVer-/Entschlüsselungszugriff auf mit SafeGuard Enterprise verschlüsselte Volumes. Der Grundfür das nicht bootbare System kann von dort aus beseitigt werden.

234


5.6.8.3.5.1 Verschlüsselungs-Subsystem

Verschlüsselungs-Subsysteme sind z. B. BEFLT.sys Systeme. Führen Sie das unter WindowsBootprobleme beschriebene Verfahren aus und reparieren Sie das System.

5.6.8.3.6 Setup WinPE für SafeGuard Enterprise

Um Zugriff auf verschlüsselte Laufwerke mit dem BOOTKEY eines Computers innerhalb einerWinPE Umgebung zu erhalten, stellt SafeGuard Enterprise WinPE mit notwendigen SafeGuardEnterprise Funktionsmodulen wie Treibern zur Verfügung. Um SetupWinPE zu starten, gebenSie folgenden Befehl ein:

SetupWinPE -pe2 <WinPE Image-Datei>

WinPE Image-Datei ist dabei die vollständige Pfadangabe des I386 Verzeichnisses füreine WinPE-CD.

SetupWinPE führt alle erforderlichen Änderungen durch.

Hinweis: Über eine derartige WinPE-Umgebung kann nur auf verschlüsselte Laufwerkezugegriffen werden, die mit dem BOOTKEY verschlüsselt sind. Auf Laufwerke, die mit einemBenutzerschlüssel verschlüsselt sind, kann nicht zugegriffen werden, da die Schlüssel indieser Umgebung nicht verfügbar sind.

5.6.8.3.7 „Slaven“ einer Festplatte

SafeGuard Enterprise erlaubt das Slaven von verschlüsselten Volumes oder Festplatten. Esgestattet dem Endbenutzer, dem Windows-Administrator, dem SafeGuard EnterpriseSicherheitsbeauftragten trotz sektorbasierter Verschlüsselung neue Volumes oder Festplattenanzuschließen oder zu entfernen.

Die Key Storage Area (KSA) eines Volumes enthält selbst alle notwendigen Informationen:

■ Den zufallsgenerierten DEK (Data Encryption Key)

■ Eine Identifikation für den Verschlüsselungsalgorithmus, mit dem das Volume verschlüsseltist.

■ Die Liste von GUIDs der KEKs (Key Encryption Keys), die den DEK verschlüsseln undentschlüsseln können.

■ Das Volume selbst enthält seine Größe.

Auf ein mit SafeGuard Enterprise verschlüsseltes Volume kann von allen SafeGuard EnterpriseEndpoints zugegriffen werden, vorausgesetzt der Benutzer oder der Computer besitzt einenKEK des KSA des Volumes im Schlüsselring.

Benutzer oder Computer müssen den durch den KEK verschlüsselten DEK entschlüsselnkönnen.

Auf ein Volume, das mit einem verteilbaren KEK, wie einem OU-, Gruppen- oderDomänenschlüssel verschlüsselt ist, kann von vielen Benutzern und Computern zugegriffenwerden, da viele Benutzer/Computer einer Domäne diesen Schlüssel in ihrem Schlüsselringhaben.

Jedoch kann auf ein Volume, das nur mit dem individuellen Bootschlüssel(“Boot_machinename”) des durch SafeGuard Enterprise geschützten Endpoint verschlüsseltwird, nur von diesem Computer selbst zugegriffen werden.

Soll ein Volume nicht in seinem originalen Computer booten, kann es in einem anderen durchSafeGuard Enterprise geschützten Endpoint „geslaved“ werden. Dann kann aber auf denkorrekten Bootschlüssel nicht zugegriffen werden. Der Zugriff darauf muss möglich gemachtwerden.

235

Administratorhilfe

Immer wenn der Benutzer versucht, von einem anderen Computer auf das Volume zuzugreifen,ist dies möglich, weil jetzt erneut Übereinstimmung zwischen den KEKs im KSA und denSchlüsselringen der anderen Benutzer oder Computer besteht.

5.6.8.3.7.1 Beispiel

Alice besitzt ihren individuellen Benutzerschlüssel. Immer, wenn sie sich an ihrem anderenComputer anmeldet („Laptop_Alice”), hat sie keinen Zugriff auf das Volume, das mit demBootschlüssel des Computers „SGNCLT” verschlüsselt ist.

Der durch SafeGuard Enterprise geschützte Endpoint „SGNCLT” besitzt nur seinen eigenenBootschlüssel „BOOT_SGNCLT”.

Der Sicherheitsbeauftragte teilt Alice den Bootschlüssel „BOOT_SGNCLT” auf folgende Weisezu:

1. Auswahl des Benutzers Alice

2. Klick auf das „Fernglas“-Symbol in der SafeGuard Enterprise Symbolleiste. Das startetden Suchdialog, in dem auch Bootschlüssel angezeigt werden können.

3. Auswahl des Schlüssels „BOOT_SGNCLT”.

Jetzt verfügt Alice über zwei Schlüssel – „User_Alice“ und „BOOT_SGNCLT”. Das kann unterSchlüssel und Zertifikate überprüft werden.

Der Schlüssel „BOOT_SGNCLT” ist zweimal zugewiesen – zum Computer SGNCLT und zumBenutzer Alice.

Alice ist es nun möglich, auf das verschlüsselte Volume von jedem anderen SafeGuardEnterprise Client zuzugreifen, auf dem sie sich anmelden kann.

Dann kann sie auf einfache Weise Tools, wie den Windows Explorer oder regedit.exe,verwenden, um die Ursache des Bootproblems zu beseitigen.

Wenn im schlimmsten Fall das Problem nicht gelöst werden kann, kann sie Daten auf einanderes Laufwerk sichern, das Volume neu formatieren oder es ganz neu aufsetzen.

5.7 SafeGuard Configuration ProtectionDas Modul SafeGuard Configuration Protection ist ab SafeGuard Enterprise 6.1 nicht mehrverfügbar. Die entsprechende Richtlinie sowie der Suspension Wizard sind im SafeGuardManagement Center 8.0 weiterhin für SafeGuard Enterprise 6 oder auch 5.60 Clients mitinstalliertem Configuration Protection, die mit einem 8.0 Management Center verwaltet werden,verfügbar.

Weitere Informationen zu SafeGuard Configuration Protection finden Sie in der SafeGuardEnterprise 6 Administratorhilfe:http://www.sophos.com/de-de/medialibrary/PDFs/documentation/sgn_60_h_eng_admin_help.pdf.

236


http://www.sophos.com/de-de/medialibrary/PDFs/documentation/sgn_60_h_eng_admin_help.pdf

6 Recovery

6.1 Schlüssel für die Festplattenverschlüsselung mitmobilen Geräten synchronisierenRecovery-Schlüssel für BitLocker und FileVault 2 können an den Sophos Mobile ControlServer gesendet werden. Sie werden zum SafeGuard Enterprise Schlüsselring hinzugefügtund können von Benutzern von Sophos Secure Workspace (verwaltet über Sophos MobileControl) auf deren Mobilgerät dargestellt und für die Wiederherstellung verwendet werden.Sophos Secure Workspace unterstützt Recovery per Mobilgerät ab Version 6.2. NähereInformationen dazu finden Sie in der Sophos Secure Workspace 6.2 Benutzerhilfe.

Anforderungen:

■ Die Synchronisierung der Schlüsselringe werden zwischen SafeGuard Enterprise undSophos Mobile Control muss konfiguriert werden. Die Option Recovery über MobileGeräte muss aktiviert sein, siehe SafeGuard Enterprise Schlüsselring für mobile Gerätemit Sophos Mobile Control freigeben (Seite 141).

■ Sophos Secure Workspace 6.2 muss auf den Mobilgeräten verwendet werden.

■ Benutzer müssen SGN-Benutzer an den Endpoints sein. Sie müssen auf den betroffenenEndpoints in einer Benutzer-Computer Zuordnung (UMA) sein.

■ Benutzer müssen an einem bestimmten Computer angemeldet sein, von dem sie dieSchlüssel für die Festplattenverschlüsselung bekommen.

Hinweis: Um die Menge der übermittelten Daten zu beschränken, werden nur die Schlüsselvon zehn Endpoints zum Schlüsselring hinzugefügt. Es werden die zehn Computerherangezogen, die zuletzt Kontakt zum Server hatten.

6.1.1 Recovery-Schlüssel auf mobilen Geräten anzeigen

Hinweis: Sophos Secure Workspace muss im Sophos Mobile Control Container installiertsein.

So zeigen Sie den Recovery-Schlüssel für einen Computer an:

1. Tippen Sie im Menü auf Recovery-Schlüssel um eine Liste der Ihnen zugewiesenenComputer anzuzeigen.

2. Tippen Sie auf den Namen eines Computers um seinen Recovery-Schlüssel anzuzeigen.

3. Um Ihren Computer zu entsperren, folgen Sie den Anweisungen von BitLocker (Windows)beziehungsweise FileVault (Mac OS X) auf Ihrem Computerbildschirm.

6.2 Recovery für BitLockerAbhängig vom System bietet SafeGuard Enterprise ein Challenge/Response-Verfahren fürdie Recovery oder die Möglichkeit, beim Helpdesk den Recovery-Schlüssel zu beschaffen.Genauere Informationen zu den Anforderungen für SafeGuard Enterprise Challenge/Responsefinden Sie unter Voraussetzungen für die Verwaltung von BitLocker auf Endpoints (Seite 148).

237

Administratorhilfe

Weitere Informationen zur Wiederherstellung auf Client-Ebene finden Sie in der SafeGuardEnterprise Benutzerhilfe.

6.2.1 Response für mit BitLocker verschlüsselte SafeGuard EnterpriseClients - UEFI Endpoints

Für UEFI Endpoints, die bestimmte Voraussetzungen erfüllen, bietet SafeGuard Enterpriseein Challenge/Response-Verfahren für die Wiederherstellung. Auf UEFI Endpoints, die dieVoraussetzungen nicht erfüllen, wird automatisch SafeGuard BitLocker ohneChallenge/Response installiert. Informationen über den Recovery-Vorgang bei diesenEndpoints finden Sie unter Recovery-Schlüssel für mit BitLocker verschlüsselte SafeGuardEnterprise Clients - BIOS Endpoints (Seite 155).













8. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter.


Der Benutzer kann den Response-Code eingeben und wieder auf den Endpoint zugreifen.

6.2.2 Recovery-Schlüssel für mit BitLocker verschlüsselte SafeGuardEnterprise Clients - BIOS Endpoints

Bei mit BitLocker verschlüsselten Computern lässt sich ein Volume, auf das nicht mehrzugegriffen werden kann, wiederherstellen.


238















Der Benutzer kann den Schlüssel eingeben, um den Zugriff auf das mit BitLocker verschlüsselteVolume auf dem Endpoint wiederherzustellen.

6.3 Recovery-Schlüssel für Mac-EndpointsDer Zugriff auf mit FileVault 2 verschlüsselte SafeGuard Enterprise Clients kann mit folgendenSchritten wiederhergestellt werden:











239

Administratorhilfe

Der Benutzer kann den Recovery-Schlüssel eingeben, um sich am Mac-Endpoint anzumeldenund das Kennwort zurückzusetzen.

6.4 Virtuelle ClientsHinweis: Virtuelle Clients können nur für SafeGuard Full Disk Encryption mit SafeGuardPower-on Authentication (POA) verwendet werden.

Virtuelle Clients sind spezifische verschlüsselte Schlüsseldateien, die im Rahmen einesChallenge/Response-Verfahrens für Recovery-Zwecke verwendet werden können, wenn diebenötigten Benutzerinformationen nicht zur Verfügung stehen und einChallenge/Response-Verfahren normalerweise nicht möglich wäre (z. B. bei beschädigterSafeGuard POA).

Um in dieser komplexen Recovery-Situation ein Challenge/Response-Verfahren zuermöglichen, lassen sich spezifische Dateien, die als virtuelle Clients bezeichnet werden,erstellen. Diese Dateien müssen vor dem Challenge/Response-Verfahren an den Benutzerverteilt werden. Mit virtuellen Clients lasst sich ein Challenge/Response-Verfahren mit einemSchlüssel-Recovery Tool auf dem Endpoint-Computer starten. Der Benutzer muss dann nurden Helpdesk-Beauftragten über den/die benötigten Schlüssel informieren und denResponse-Code eingeben, um wieder Zugriff auf die verschlüsselten Volumes zu erhalten.

Der Zugriff kann entweder mit Hilfe eines einzelnen Schlüssels oder mit Hilfe einerverschlüsselten Schlüsseldatei, die mehrere Schlüssel enthält, wiederhergestellt werden.

Im Bereich Schlüssel und Zertifikate des SafeGuard Management Centers haben Siefolgende Möglichkeiten:

■ Virtuelle Clients anlegen und exportieren

■ Verschlüsselte Schlüsseldateien mit mehreren Schlüsseln anlegen und exportieren

■ Virtuelle Clients und exportierte Schlüsseldateien anzeigen lassen und filtern

■ Virtuelle Clients löschen

6.4.1 Anlegen von virtuellen Clients

Virtuelle Clients können für verschiedene Computer und in mehrerenChallenge/Response-Verfahren benutzt werden.

1. Klicken Sie im SafeGuard Management Center auf Schlüssel & Zertifikate.

2. Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients.

3. Klicken Sie in der Symbolleiste auf Virtuellen Client hinzufügen.

4. Geben Sie einen eindeutigen Namen für den virtuellen Client ein und klicken Sie auf OK.

Die virtuellen Clients werden anhand der hier eingegebenen Namen in der Datenbankidentifiziert.

5. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um den virtuellen Client in derDatenbank zu speichern.

Der neue virtuelle Client wird im Aktionsbereich angezeigt.

240


6.4.2 Export von virtuellen Clients

Nach dem Anlegen des virtuellen Client muss dieser in eine Datei exportiert werden. DieseDatei hat immer die Bezeichnung recoverytoken.tok und muss an den Helpdesk verteiltwerden. Beim Starten eines Challenge/Response-Verfahrens über ein Recovery Tool, z. B.bei einer beschädigten SafeGuard POA, muss diese Datei in der Endpoint-Umgebung zurVerfügung stehen. Der Benutzer muss die Datei recoverytoken.tok im selben Verzeichnisablegen, in dem sich auch das Recovery Tool befindet, damit einChallenge/Response-Verfahren unterstützt wird.



3. Klicken Sie im Aktionsbereich auf das Lupensymbol, um nach dem gewünschten virtuellenClient zu suchen. Die verfügbaren virtuellen Clients werden angezeigt.

4. Wählen Sie den gewünschten Eintrag im Aktionsbereich aus und klicken Sie in derSymbolleiste auf Virtuellen Client exportieren.

5. Wählen Sie einen Speicherort für die Datei recoverytoken.tok und klicken Sie aufOK. Eine entsprechende Meldung wird angezeigt.

6. Verteilen Sie die virtuelle Client-Datei recoverytoken.tok an die betreffenden SafeGuardEnterprise Benutzer.

Speichern Sie die Datei an einem sicheren Ort, zum Beispiel auf einem USB-Stick. BeimStarten eines Challenge/Response-Verfahrens muss diese Datei im selben Verzeichnis wiedas Recovery Tool abgelegt sein.

6.4.3 Anlegen und Exportieren von Schlüsseldateien für denRecovery-Vorgang

Sind mehrere Schlüssel erforderlich, um den Zugriff auf ein verschlüsseltes Volume im Rahmeneines Recovery-Verfahrens mit virtuellen Clients wiederherzustellen, so kann derSicherheitsbeauftragte diese Schlüssel in einer exportierten Schlüsseldatei zusammenfassen.Diese Schlüsseldatei wird mit einem Zufallskennwort verschlüsselt, das in der Datenbankgespeichert wird. Das Kennwort ist für jede angelegte Schlüsseldatei einzigartig.

Die verschlüsselte Schlüsseldatei muss an den Benutzer übertragen werden und ihm beimStarten eines Challenge/Response-Verfahrens über ein Recovery Tool zur Verfügung stehen.

Im Rahmen des Challenge/Response-Verfahrens wird das Kennwort für die Schlüsseldateimit dem Response-Code übertragen. Die Schlüsseldatei kann daraufhin mit dem Kennwortentschlüsselt werden und es besteht wieder Zugriff auf alle Volumes, die mit den verfügbarenSchlüsseln verschlüsselt sind.

Um Schlüsseldateien zu exportieren, benötigen Sie das Zugriffsrecht Voller Zugriff für dieObjekte, denen die relevanten Schlüssel zugewiesen sind.


2. Klicken Sie im Navigationsfenster auf der linken Seite zunächst auf Virtuelle Clients unddann auf Exportierte Schlüsseldateien.

3. Klicken Sie in der Symbolleiste auf Schlüssel in eine Schlüsseldatei exportieren.

241

Administratorhilfe

4. Geben Sie im Dialog Schlüssel in eine Schlüsseldatei exportieren folgende Informationenein:

a) Verzeichnis: Klicken Sie auf [...], um einen Speicherort für die Schlüsseldateiauszuwählen.

b) Dateiname: Die Schlüsseldatei ist mit einem Zufallskennwort verschlüsselt, das hierangezeigt wird. Sie können den hier angezeigten Namen nicht ändern.

c) Klicken Sie auf Schlüssel hinzufügen oder Schlüssel entfernen, um Schlüsselhinzuzufügen oder zu entfernen. Ein Popup-Fenster, in dem Sie nach den gewünschtenSchlüsseln suchen und diese auswählen können, wird angezeigt. Klicken Sie auf OK,um die Auswahl zu bestätigen.

d) Klicken Sie auf OK, um Ihre Angaben zu bestätigen.

5. Verteilen Sie diese Schlüsseldatei an die betreffende Endpoint-Umgebung. Sie muss vorder Eingabe des Response-Codes auf dem Endpoint zur Verfügung stehen.

6.4.4 Virtuelle Clients anzeigen und Ansicht filtern

Um Ihnen das Auffinden des erforderlichen virtuellen Clients oder Schlüssels während einesChallenge/Response-Verfahrens zu erleichtern, bietet der Bereich Schlüssel und Zertifikatedes SafeGuard Management Centers verschiedene Filter- und Suchfunktionalitäten.

6.4.5 Ansichten für virtuelle Clients


2. Klicken Sie auf das Lupensymbol, um eine vollständige Liste aller virtuellen Clients zuerstellen.

3. Filtern Sie die virtuellen Clients nach Symbolischer Name oder Schlüssel-GUID.

6.4.6 Ansichten für exportierte Schlüsseldateien

1. Klicken Sie im SafeGuard Management Center zunächst auf Virtuelle Clients und dannauf Exportierte Schlüsseldateien.

2. Klicken Sie auf das Lupensymbol, um eine vollständige Liste aller exportiertenSchlüsseldateien zu erstellen.

3. Klicken Sie auf das + Symbol neben der gewünschten Schlüsseldatei, um die in der Dateienthaltenen Schlüssel anzuzeigen.

6.4.7 Löschen von virtuellen Clients

1. Öffnen Sie das SafeGuard Management Center und klicken Sie auf Schlüssel undZertifikate.


3. Klicken Sie im Aktionsbereich auf das Lupensymbol, um nach dem gewünschten virtuellenClient zu suchen. Die verfügbaren virtuellen Clients werden angezeigt.

4. Wählen Sie den gewünschten Eintrag im Aktionsbereich aus und klicken Sie in derSymbolleiste auf Virtuellen Client löschen.

5. Speichern Sie ihre Änderungen in der Datenbank, indem Sie in der Symbolleiste auf dasSymbol Speichern klicken.

242


Der virtuelle Client wird aus der Datenbank gelöscht.

6.5 So reparieren Sie eine beschädigte ManagementCenter Installation:Eine beschädigte Installation des SafeGuard Management Center kann repariert werdenwenn die Datenbank intakt ist. Installieren Sie in diesem Fall das SafeGuard ManagementCenter neu und verwenden Sie dabei die bestehende Datenbank sowie das gesicherteZertifikat für den Haupt-Sicherheitsbeauftragten.


■ Die Kennwörter für die .p12 Dateien sowie für den Zertifikatsspeicher müssen Ihnenbekannt sein.

So reparieren Sie eine beschädigte SafeGuard Management Center Installation:

1. Installieren Sie das SafeGuard Management Center Installationspaket neu. Öffnen Siedas SafeGuard Management Center. Der Konfigurationsassistent wird automatisch geöffnet.

2. Wählen Sie unter Datenbankverbindung den relevanten Datenbankserver undkonfigurieren Sie, falls erforderlich, die Verbindung zur Datenbank. Klicken Sie auf Weiter.

3. Aktivieren Sie unter Datenbankeinstellungen die Option Folgende bestehendeDatenbank verwenden und wählen Sie die Datenbank aus der Liste aus.

4. Führen Sie unter Daten des Sicherheitsbeauftragten einen der folgenden Schritte aus:

■ Wenn die gesicherte Zertifikatsdatei auf dem Computer gefunden wird, wird sieangezeigt. Geben Sie das Kennwort ein, das Sie zur Anmeldung an das SafeGuardManagement Center benutzen.

■ Wird die gesicherte Zertifikatsdatei nicht auf dem Computer gefunden, wählen SieImportieren. Suchen Sie nach der gesicherten Zertifikatsdatei und klicken Sie aufÖffnen. Geben Sie das Kennwort für die Zertifikatsdatei ein. Klicken Sie auf Ja. GebenSie ein Kennwort für die Anmeldung am SafeGuard Management Center ein undbestätigen Sie es.

5. Klicken Sie auf Weiter und dann auf Fertig stellen, um die Konfiguration des SafeGuardManagement Center abzuschließen.

Die SafeGuard Management Center Installation ist repariert.

6.6 Reparieren einer beschädigtenDatenbankkonfigurationSie können eine beschädigte Datenbankkonfiguration reparieren, indem Sie das SafeGuardManagement Center neu installieren und basierend auf den gesicherten Zertifikatsdateieneine neue Instanz der Datenbank erstellen. Dadurch wird sichergestellt, dass alle vorhandenenSafeGuard Enterprise Endpoints Richtlinien von der neuen Installation annehmen.


243

Administratorhilfe

■ Die Kennwörter für die beiden .p12 Dateien sowie für den Zertifikatsspeicher müssen Ihnenbekannt sein.

Hinweis: Dieses Verfahren ist nur dann zu empfehlen, wenn keine gültige Sicherungskopieder Datenbank verfügbar ist. Alle Computer, die mit einem reparierten Backend verbundenwerden, verlieren ihre Benutzer-Computer Zuordnung. Infolgedessen wird die Power-onAuthentication vorübergehend abgeschaltet. Challenge/Response-Mechanismen stehen erstdann wieder zur Verfügung, wenn der entsprechende Endpoint seine Schlüsselinformationenwieder erfolgreich übertragen hat.

So reparieren Sie eine beschädigte Datenbankkonfiguration:

1. Installieren Sie das SafeGuard Management Center Installationspaket neu. Öffnen Siedas SafeGuard Management Center. Der Konfigurationsassistent wird automatischgeöffnet.

2. Wählen Sie unter Datenbank-Verbindung die Option Neue Datenbank erstellen.Konfigurieren Sie unter Datenbankeinstellungen die Verbindung zur Datenbank. KlickenSie auf Weiter.

3. Wählen Sie unter Daten des Sicherheitsbeauftragten den relevantenHaupt-Sicherheitsbeauftragten und klicken Sie auf Importieren.

4. Suchen Sie unter Importieren des Zertifikats die gesicherte Zertifikatsdatei. Geben Sieunter Schlüsseldatei das für diese Datei festgelegte Kennwort ein und bestätigen Sie es.Klicken Sie auf OK.

5. Das Zertifikat des Haupt-Sicherheitsbeauftragten wird importiert. Klicken Sie auf Weiter.

6. Aktivieren Sie unter Unternehmenszertifikat die Option Über vorhandenesUnternehmenszertifikat wiederherstellen. Klicken Sie auf Importieren, um die gesicherteZertifikatsdatei auszuwählen, die das gültige Unternehmenszertifikat enthält. Sie werdenaufgefordert, das für den Zertifikatsspeicher definierte Kennwort einzugeben. Geben Siedas Kennwort ein und klicken Sie auf OK. Klicken Sie im Willkommen-Fenster auf Weiter.

Das Unternehmenszertifikat wird importiert.

7. Klicken Sie auf Weiter, dann auf Beenden.

Die Datenbankkonfiguration ist repariert.

244


7 Erweiterte Verwaltung

7.1 Empfohlene SicherheitsmaßnahmenWenn Sie die hier beschriebenen, einfachen Schritte befolgen, reduzieren Sie Risiken unddie Daten auf Ihrem Computer sind jederzeit sicher und geschützt.

Für Informationen zur zertifizierungsgerechten Anwendung von SafeGuard Enterprise findenSie im SafeGuard Enterprise Manual for certification-compliant operation (Englisch).

Vermeiden Sie den Standbymodus.

Wenn sich SafeGuard Enterprise-geschützte Endpoints in bestimmten Energiesparmodibefinden, in denen das Betriebssystem nicht ordnungsgemäß heruntergefahren und bestimmteHintergrundprozesse nicht beendet werden, besteht die Gefahr, dass sich Angreifer Zugriffauf die Verschlüsselungsschlüssel verschaffen. Der Schutz kann erhöht werden, wenn dasBetriebssystem immer vollständig heruntergefahren oder in den Ruhezustand versetzt wird.

Informieren Sie die Benutzer entsprechend oder erwägen Sie, den Standbymodus auf nichtbenutzten Endpoints zentral zu deaktivieren:

■ Vermeiden Sie den Standbymodus ebenso wie den hybriden Standbymodus. Der hybrideStandbymodus ist eine Mischung aus Energiesparmodus und Standbymodus. DieEinstellung einer zusätzlichen Kennwort-Abfrage nach dem Aufwecken des Computersbietet keinen vollen Schutz.

■ Vermeiden Sie das Sperren von Desktops, das Ausschalten von Monitoren oder dasZuklappen von Laptops, wenn darauf kein vollständiges Herunterfahren oder derRuhezustand folgt. Die Einstellung einer zusätzlichen Kennwort-Abfrage nach demAufwecken des Computers bietet keinen ausreichenden Schutz.

■ Fahren Sie stattdessen die Endpoints herunter oder versetzen Sie sie in den Ruhezustand.Beim nächsten Benutzen des Computers wird stets die SafeGuard Power-on Authenticationaktiviert, die somit vollen Schutz bietet.

Hinweis: Es ist wichtig, dass sich die Ruhezustand-Datei auf einem verschlüsseltenVolume befindet. Normalerweise liegt sie auf Laufwerk C:\.

Die entsprechenden Einstellungen für die Energieverwaltung können Sie zentral mitGruppenrichtlinienobjekten oder lokal im Eigenschaften für Energieoptionen Dialog inder Systemsteuerung des Endpoints konfigurieren. Stellen Sie die Aktion für dieStandbymodus Schaltfläche auf Ruhezustand oder Herunterfahren.

Setzen Sie eine Richtlinie für sichere Kennwörter um.

Setzen Sie eine Richtlinie für sichere Kennwörter um und erzwingen Sie einenKennwortwechsel in regelmäßigen Abständen, besonders für die Anmeldung an Endpoints.

Kennwörter sollten nicht an andere Personen weitergegeben oder aufgeschrieben werden.

245

Administratorhilfe

Informieren Sie Benutzer, wie sie sichere Kennwörter wählen. Ein sicheres Kennwort folgtdiesen Regeln:

■ Es ist lange genug um sicher zu sein: Eine Mindestlänge von 10 Zeichen ist zu empfehlen.

■ Es enthält eine Mischung aus Buchstaben (Groß- und Kleinschreibung), Zahlen undSonderzeichen/Symbolen.

■ Es enthält keine allgemein gebräuchlichen Wörter oder Namen.

■ Es ist schwer zu erraten, aber es ist leicht, es sich zu merken und korrekt einzutippen.

Deaktivieren Sie die SafeGuard Power-on Authentication nicht.

Die SafeGuard Power-on Authentication bietet zusätzlichen Schutz für die Anmeldung amEndpoint. Sie wird mit SafeGuard Full Disk Encryption installiert und standardmäßig aktiviert.Um vollen Schutz zu gewährleisten, deaktivieren Sie die Power-on Authentication nicht.Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 110282.

Schutz vor dem Einschleusen von Code

Unter Umständen ist das Einschleusen von Code (zum Beispiel DLL Pre-Loading-Angriffe)möglich, wenn es einem Angreifer gelingt, schädlichen Code (zum Beispiel in ausführbarenDateien) in Verzeichnisse einzubringen, in denen die SafeGuard EnterpriseVerschlüsselungssoftware nach legitimem Code sucht. So wenden Sie diese Bedrohung ab:

■ Installieren Sie die von der Verschlüsselungssoftware geladene Middleware, zum BeispielToken Middleware, in Verzeichnissen, auf die externe Angreifer nicht zugreifen können.Dies sind üblicherweise die Unterverzeichnisse der Windows und ProgrammeVerzeichnisse.

■ Die PATH-Umgebungsvariable sollte keine Komponenten enthalten, die auf Ordnerverweisen, auf die externe Angreifer zugreifen können (siehe oben).

■ Reguläre Benutzer sollten keine Administratorenrechte haben.

Best Practices für die Verschlüsselung■ Stellen Sie sicher, dass allen Laufwerken ein Laufwerksbuchstabe zugewiesen ist.

Nur Laufwerke, die einen Laufwerksbuchstaben zugewiesen haben, könnenverschlüsselt/entschlüsselt werden. Folglich können Laufwerke ohne Laufwerksbuchstabenmissbraucht werden, um an vertrauliche Daten im Klartext zu gelangen.

So wenden Sie diese Bedrohung ab: Erlauben Sie den Benutzern nicht, dieLaufwerkbuchstabenzuweisungen zu ändern. Konfigurieren Sie die Benutzerrechteentsprechend. Reguläre Benutzer haben dieses Recht standardmäßig nicht.

■ Gehen Sie bei der Anwendung der schnellen Initialverschlüsselung vorsichtig vor.

SafeGuard Enterprise bietet die schnelle Initialverschlüsselung zur Beschleunigung derInitialverschlüsselung von Volumes. Dies wird dadurch erreicht, dass nur auf denSpeicherplatz zugegriffen wird, der tatsächlich in Gebrauch ist. Dieser Modus kann zueinem unsichereren Zustand führen, wenn ein Volume vor der Verschlüsselung mitSafeGuard Enterprise bereits in Gebrauch war. Aufgrund Ihres Aufbaus sind Solid StateDisks (SSD) hier stärker betroffen als reguläre Festplatten. Dieser Modus ist standardmäßigdeaktiviert. Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 113334.

246




■ Verwenden Sie nur den Algorithmus AES-256 für die Datenverschlüsselung.

■ Verwenden Sie SSL/TLS (SSL Version 3 oder höher) für den Schutz derKommunikation zwischen Client und Server.

Für weitere Informationen, siehe Sichern von Transportverbindungen mit SSL (Seite 48).

■ Verhindern Sie die Deinstallation.

Um Endpoints zusätzlich zu schützen, kann die lokale Deinstallation von SafeGuardEnterprise über eine Richtlinie mit spezifischen Computereinstellungen verhindertwerden. Setzen Sie das Feld Deinstallation erlaubt auf Nein und übermitteln Sie dieRichtlinie an die Endpoints.Versuche, die Software zu deinstallieren, werden abgebrochenund die nicht autorisierten Versuche werden protokolliert.

Wenn Sie eine Demoversion benutzen, setzen Sie vor Ablauf der Demoversion die OptionDeinstallation erlaubt auf Ja.

Wenden Sie den Sophos Manipulationsschutz auf Endpoints an, auf denen SophosEndpoint Security and Control installiert ist.

7.2 Mit mehreren Datenbankkonfigurationen arbeiten(Multi Tenancy)Das SafeGuard Management Center ermöglicht die Benutzung mehrererDatenbankkonfigurationen (Multi Tenants).Wenn Sie diese Funktion nutzen möchten, müssenSie sie während der Installation aktivieren. Für weitere Informationen, siehe Installation (Seite11).

Mit Multi Tenancy können Sie verschiedene SafeGuard Enterprise Datenbankkonfigurationenkonfigurieren und sie für eine Instanz des SafeGuard Management Centers verwalten. Dieserweist sich vor allem dann als nützlich, wenn Sie verschiedene Konfigurationen fürverschiedene Domänen, OUs oder Unternehmensstandorte einsetzen möchten.

Voraussetzung: Die Funktion Multi Tenancy muss über eine Installation vom Typ Vollständiginstalliert worden sein. Die initiale Konfiguration des SafeGuard Management Center mussdurchgeführt worden sein.

Um die Konfigurationsarbeiten zu erleichtern, haben Sie folgende Möglichkeiten:

■ Mehrere Datenbankkonfigurationen erstellen.

■ Zuvor erstellte Datenbankkonfiguration auswählen.

■ Datenbankkonfiguration löschen.

■ Zuvor erstellte Datenbankkonfiguration aus einer Datei importieren.

■ Datenbankkonfiguration zur späteren Wiederverwendung exportieren.

7.2.1 Erstellen von weiteren Datenbankkonfigurationen

Voraussetzung: Die Funktion Multi Tenancy muss über eine Installation vom Typ Vollständiginstalliert worden sein. Die initiale Konfiguration des SafeGuard Management Center mussdurchgeführt worden sein, siehe Starten der Erstkonfiguration des SafeGuard ManagementCenter (Seite 37).

247

Administratorhilfe

Hinweis: Sie müssen pro Datenbank jeweils eine separate SafeGuard Enterprise ServerInstanz einrichten.

So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach derErstkonfiguration:

1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählenwird angezeigt.

2. Klicken Sie auf Neu. Der SafeGuard Management Center Konfigurationsassistent wirdautomatisch gestartet.

3. Der Assistent führt Sie durch die notwendigen Schritte für das Anlegen einer neuenDatenbankkonfiguration. Wählen Sie die gewünschten Optionen. Die neueDatenbankkonfiguration wird generiert.


Das SafeGuard Management Center wird geöffnet und mit der ausgewähltenDatenbankkonfiguration verbunden. Beim nächsten Start des SafeGuard Management Centerkann die neue Datenbankkonfiguration aus der Liste ausgewählt werden.

7.2.2 Konfigurieren zusätzlicher Instanzen des SafeGuard ManagementCenter

Sie können zusätzliche Instanzen des SafeGuard Management Center konfigurieren, umSicherheitsbeauftragten den Zugriff für die Durchführung administrativer Aufgaben aufverschiedenen Computern zu ermöglichen. Das SafeGuard Management Center kann aufjedem Rechner im Netzwerk installiert sein, von wo aus auf die Datenbank zugegriffen werdenkann.

SafeGuard Enterprise verwaltet die Zugriffsrechte auf das SafeGuard Management Centerin einem eigenen Zertifikatsverzeichnis. In diesem Verzeichnis müssen die Zertifikate allerSicherheitsbeauftragten, die sich am SafeGuard Management Center anmelden dürfen,vorhanden sein. Für die Anmeldung an das SafeGuard Management Center ist dann nur dasKennwort für den Zertifikatsspeicher erforderlich.

1. Installieren Sie SGNManagementCenter.msi mit den gewünschten Features auf einemweiteren Computer.

2. Starten Sie das SafeGuard Management Center auf dem Administratorcomputer. DerKonfigurationsassistent wird gestartet und führt Sie durch die notwendigen Schritte.


4. Wählen Sie im Dialog Datenbankverbindung unter Datenbankserver die erforderlicheSQL-Datenbankinstanz aus der Liste aus. Alle auf Ihrem Computer oder Netzwerkverfügbaren Datenbankserver werden angezeigt. Wählen Sie unter Authentisierung dieArt der Authentisierung, die für den Zugriff auf diese Datenbankinstanz benutzt werdensoll. Wenn Sie Folgende Anmeldeinformationen für SQL Server Authentisierunganwenden wählen, geben Sie die SQL-Benutzerkontenanmeldedaten ein, die IhrSQL-Administrator erstellt hat. Klicken Sie auf Weiter.

5. Aktivieren Sie auf der Seite Datenbankeinstellungen die Option Folgende bestehendeDatenbank verwenden und wählen Sie die Datenbank aus der Liste aus. Klicken Sie aufWeiter.

248


6. Wählen Sie unter SafeGuard Management Center Authentisierung eine autorisiertePerson aus der Liste aus. Wenn Multi Tenancy aktiviert ist, zeigt der Dialog an, an welcherKonfiguration sich der Benutzer anmeldet. Geben Sie das Kennwort für denZertifikatsspeicher ein und bestätigen Sie es.

Der Zertifikatsspeicher für das aktuelle Benutzerkonto wird angelegt und ist durch diesesabgesichert. Für die nachfolgenden Anmeldungen benötigen Sie nur noch dieses Kennwort.


Eine Meldung, dass Zertifikat und privater Schlüssel nicht gefunden bzw. nicht daraufzugegriffen werden kann, wird angezeigt.

8. Klicken Sie zum Importieren der Daten auf Ja und dann auf OK. Dadurch wird derImportvorgang gestartet.

9. Klicken Sie unter Authentisierungs-Schlüsseldatei importieren auf die [...] Schaltflächeund wählen Sie die Schlüsseldatei aus. Geben Sie das Kennwort der Schlüsseldateiein. Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token-PINdefinierte Kennwort für den Zertifikatsspeicher ein.Wählen Sie In den Zertifikatsspeicherimportieren oder Auf den Token kopieren, um das Zertifikat auf einem Token zuspeichern.

10. Geben Sie zur Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein.


7.2.3 Herstellen einer Verbindung mit einer bereits vorhandenenDatenbankkonfiguration

So benutzen Sie eine bereits vorhandene SafeGuard Enterprise Datenbankkonfiguration:


Der Dialog Konfiguration auswählen wird angezeigt.

2. Wählen Sie die Datenbankkonfiguration, die Sie verwenden möchten, aus der Dropdownlisteund klicken Sie auf OK.

Die ausgewählte Datenbankkonfiguration wird mit dem SafeGuard Management Centerverbunden und wird aktiv.



7.2.4 Export einer Konfiguration in eine Datei

Um eine Konfiguration zu speichern, damit sie später wiederverwendet werden kann, könnenSie sie in eine Datei exportieren.



2. Wählen Sie die gewünschte Konfiguration aus der Liste und klicken Sie auf Exportieren...

249

Administratorhilfe

3. Zum Schutz der Konfigurationsdatei werden Sie dazu aufgefordert, ein Kennwort, das dieKonfigurationsdatei verschlüsselt, einzugeben und zu bestätigen. Klicken Sie auf OK.

4. Geben Sie einen Dateinamen und einen Speicherort für die exportierte Konfigurationsdatei*.SGNConfig an.

Sollte diese Konfiguration bereits vorhanden sein, so werden Sie gefragt, ob Sie dievorhandene Konfiguration überschreiben möchten.

Die Datenbankkonfiguration wird am angegebenen Speicherort gespeichert.

7.2.5 Import einer Konfiguration aus einer Datei

Um eine Datenbankkonfiguration zu verwenden oder zu ändern, können Sie eine zuvorerstellte Konfiguration in das SafeGuard Management Center importieren. Hier gibt es zweiMöglichkeiten:

■ über das SafeGuard Management Center (für Multi Tenancy)

■ durch Doppelklicken auf die Konfigurationsdatei (für Single und Multi Tenancy)

7.2.6 Import einer Konfiguration über das SafeGuard Management Center



2. Klicken Sie auf Import..., wählen Sie die gewünschte Konfigurationsdatei aus und klickenSie auf Öffnen.

3. Geben Sie das Kennwort ein, das während des Exports für die Konfigurationsdatei erstelltwurde, und klicken Sie auf OK.

Die ausgewählte Konfiguration wird angezeigt.

4. Um die Konfiguration zu aktivieren, klicken Sie auf OK.


Das SafeGuard Management Center wird geöffnet und mit der importiertenDatenbankkonfiguration verbunden.

7.2.7 Import einer Konfiguration durch Doppelklicken auf dieKonfigurationsdatei (Single und Multi Tenancy)

Hinweis: Dieser Vorgang ist sowohl im Single Tenancy als auch im Multi Tenancy Modusmöglich.

Es besteht auch die Möglichkeit, eine Konfiguration zu exportieren und diese an mehrereSicherheitsbeauftragte zu verteilen. Die Sicherheitsbeauftragten müssen lediglich auf dieKonfigurationsdatei doppelklicken, um ein vollständig konfiguriertes SafeGuard ManagementCenter zu öffnen.

Dies erweist sich vor allem dann als vorteilhaft, wenn Sie die SQL Authentisierung für dieDatenbank verwenden und vermeiden möchten, dass das SQL-Kennwort jedem Administratorbekannt ist. Sie müssen das Kennwort dann nur einmal eingeben, eine Konfigurationsdateierstellen und sie an die Computer der Sicherheitsbeauftragten verteilen.

250


Voraussetzung: Die Erstkonfiguration des SafeGuard Management Centers muss durchgeführtworden sein. Für weitere Informationen, siehe Einrichten des SafeGuard Management Centers(Seite 35).


2. Wählen Sie im Extras Menü Optionen und wechseln Sie in die Registerkarte Datenbank.

3. Geben Sie die Anmeldeinformationen für die SQL Datenbankserververbindung ein oderbestätigen Sie diese.

4. Klicken Sie auf Konfiguration exportieren, um die Konfiguration in eine Datei zuexportieren.

5. Geben Sie ein Kennwort für die Konfigurationsdatei ein und bestätigen Sie es.

6. Geben Sie einen Dateinamen ein und wählen Sie einen Speicherort aus.

7. Verteilen Sie die Konfigurationsdatei an die Computer der Sicherheitsbeauftragten. TeilenSie ihnen das Kennwort für diese Datei sowie das Zertifikatsspeicherkennwort mit, dasSie für Anmeldung an das SafeGuard Management Center benötigen.

8. Die Sicherheitsbeauftragten müssen nur auf die Konfigurationsdatei doppelklicken.

9. Sie werden aufgefordert, das Kennwort für die Konfigurationsdatei einzugeben.

10. Zur Anmeldung an das SafeGuard Management Center werden die Sicherheitsbeauftragtenaufgefordert, ihr Zertifikatsspeicherkennwort einzugeben.

Das SafeGuard Management Center startet mit der importierten Konfiguration. DieseKonfiguration ist die neue Standardkonfiguration.

7.2.8 Schneller Wechsel zwischen Datenbankkonfigurationen

Zur Vereinfachung von Verwaltungsaufgaben bei mehreren Datenbanken bietet das SafeGuardManagement Center den schnellen Wechsel zwischen Datenbankkonfigurationen.

Hinweis: Dieser Vorgang ist auch im Single Tenancy Modus möglich.

1. Wählen Sie Datei in der Menüleiste des SafeGuard Management Centers und klicken Sieauf Konfiguration wechseln...

2. Wählen Sie die Datenbank, zu der Sie wechseln möchten, aus der Dropdownliste aus undklicken Sie auf OK.

Das SafeGuard Management Center wird automatisch mit der ausgewählten Konfigurationneu gestartet.

7.3 SafeGuard Management Center – erweitert

7.3.1 Warnung bei Ablauf des Unternehmenszertifikats

Sechs Monate vor Ablauf des Unternehmenszertifikats zeigt das SafeGuard ManagementCenter bei der Anmeldung eine Warnung an und fordert Sie dazu auf, das Zertifikat zu erneuernund an die Endpoints zu übertragen. Ohne gültiges Unternehmenszertifikat können Endpointskeine Verbindung mit dem Server herstellen.

Sie können das Unternehmenszertifikat jederzeit erneuern. Dies ist auch dann möglich, wenndas Unternehmenszertifikat bereits abgelaufen ist.Wenn ein Unternehmenszertifikat abgelaufenist, wird dies auch durch eine Meldung angegeben. Für Informationen zum Erneuern desUnternehmenszertifikats, siehe Erneuern des Unternehmenszertifikats (Seite 300).

251

Administratorhilfe

7.3.2 Anmeldung im Single Tenancy Modus

1. Starten Sie das SafeGuard Management Center über den Produktordner im Start Menü.Ein Anmeldebildschirm wird angezeigt.

2. Melden Sie sich als Haupt-Sicherheitsbeauftragter an und geben Sie dasZertifikatsspeicherkennwort ein, das während der Konfiguration festgelegt wurde. KlickenSie auf OK.

Das SafeGuard Management Center wird geöffnet.


7.3.3 Anmeldung im Multi Tenancy Modus

Wenn Sie mehrere Datenbanken konfiguriert haben (Multi Tenancy), erweitert sich derAnmeldevorgang am SafeGuard Management Center, siehe Mit mehrerenDatenbankkonfigurationen arbeiten (Multi Tenancy) (Seite 247).

1. Starten Sie das SafeGuard Management Center über den Produktordner im Start Menü.Der Dialog Konfiguration auswählen wird angezeigt.

2. Wählen Sie die Datenbankkonfiguration, die Sie verwenden möchten, aus der Dropdownlisteund klicken Sie auf OK.

Die ausgewählte Datenbankkonfiguration wird mit dem SafeGuard Management Centerverbunden und wird aktiv.

3. Zur Anmeldung an das SafeGuard Management Center werden Sie dazu aufgefordert,den Namen des Sicherheitsbeauftragten für diese Konfiguration auszuwählen und IhrZertifikatsspeicherkennwort einzugeben. Klicken Sie auf OK.



7.3.4 Suche nach Benutzern, Computern und Gruppen in der SafeGuardEnterprise Datenbank

Um Objekte im Dialog Benutzer, Computer und Gruppen suchen anzeigen zu lassen,benötigen Sie die Zugriffsrechte Schreibgeschützt oder Voller Zugriff für die relevantenObjekte.

Hinweis: Wenn Sie nach Objekten suchen, dann bekommen Sie nur Suchergebnisse innerhalbder Bereiche (Domäne), für die Sie Zugriff als Sicherheitsbeauftragter haben. Nur einHaupt-Sicherheitsbeauftragten (Master Security Officer, MSO) kann einen erfolgreichen RootSearch-Prozess durchführen.

Im Bereich Benutzer & Computer können Sie mit verschiedenen Filtern nach Objektensuchen. So können Sie z. B. mit dem Filter Doppelte Benutzer und Computer nachDuplikaten suchen, die durch einen AD-Synchronisierungsvorgang entstehen können. Der

252


Filter zeigt alle Computer mit demselben Namen in einer Domäne sowie alle Benutzer mitdemselben Namen, Anmeldenamen oder Prä-2000 Anmeldenamen in einer Domäne.

So suchen Sie nach Objekten:


2. Wählen Sie im Benutzer & Computer Navigationsbereich den gewünschten Container.

3. Wählen Sie Bearbeiten > Suchen in der SafeGuard Management Center Menüleiste.

Der Benutzer, Computer und Gruppen suchen Dialog wird angezeigt.

4. Wählen Sie den gewünschten Filter aus der Suchen Dropdownliste aus.

5. Im Feld In wird der ausgewählte Container angezeigt.

Den hier angezeigten Container können Sie ändern, indem Sie eine andere Option ausder Dropdownliste auswählen.

6. Wenn Sie nach einem bestimmten Objekt suchen, geben Sie den erforderlichen Suchnamenim Feld Suchname ein.

7. Legen Sie mit dem Kontrollkästchen Ansicht nach jeder Suche löschen fest, ob dieSuchergebnisse nach jedem Suchvorgang aus der Ansicht gelöscht werden sollen.

8. Klicken Sie anschließend auf Jetzt suchen.

Die Ergebnisse werden im Benutzer, Computer und Gruppen suchen Dialog angezeigt.Wenn Sie auf eines der Ergebnisse in diesem Dialog klicken, wird der entsprechende Eintragin der Benutzer & Computer Baumstruktur markiert.Wenn Sie z. B. nach Duplikaten gesuchthaben, können Sie diese nun bequem löschen.

7.3.5 Anzeigen von Objekteigenschaften in Benutzer und Computer

Um Objekteigenschaften einzusehen, benötigten Sie die Zugriffsrechte Voller Zugriff oderSchreibgeschützt für die relevanten Objekte.


2. Klicken Sie im Navigationsbereich von Benutzer & Computer mit der rechten Maustasteauf das gewünschte Objekt und wählen Sie Eigenschaften.

Die Eigenschaften des ausgewählten Objekts werden angezeigt. Wenn Sie für das Objektdas Zugriffsrecht Schreibgeschützt haben, werden die Eigenschaften im Dialog ausgegrautund Sie können diese nicht bearbeiten.

7.3.6 Deaktivieren der Übertragung von Richtlinien

Als Sicherheitsbeauftragter können Sie die Übertragung von Richtlinien an Endpointsdeaktivieren. Klicken Sie hierzu in der SafeGuard Management Center Symbolleiste auf dieSchaltfläche Richtlinienverteilung aktivieren/deaktivieren oder wählen Sie im MenüBearbeiten den Befehl Richtlinienverteilung aktivieren/deaktivieren. Nach der Deaktivierungder Richtlinienübertragung werden keine Richtlinien mehr an die Endpoints geschickt. Umdie Deaktivierung der Richtlinienverteilung rückgängig zu machen, klicken Sie noch einmalauf die Schaltfläche oder wählen Sie noch einmal den Menübefehl.

Hinweis: Um die Übertragung von Richtlinien zu deaktivieren, benötigen Sie alsSicherheitsbeauftragter die Berechtigung „Richtlinienverteilung aktivieren/deaktivieren“. Denbeiden vordefinierten Rollen Haupt-Sicherheitsbeauftragter und Sicherheitsbeauftragter ist

253

Administratorhilfe

diese Berechtigung standardmäßig zugewiesen. Neu angelegten benutzerdefinierten Rollenkann diese Berechtigung jederzeit zugewiesen werden.

7.3.7 Regeln für die Zuweisung und Auswertung von Richtlinien

Die Verwaltung und Auswertung von Richtlinien folgt den in diesem Abschnitt dargestelltenRegeln.

7.3.7.1 Zuweisen und Aktivieren von RichtlinienDamit eine Richtlinie für einen Benutzer/Computer wirksam werden kann, muss sie einemContainer-Objekt (Root-Knoten, Domäne, OU, BuiltIn-Container oder Arbeitsgruppe)zugewiesen werden. Damit die zugewiesene Richtlinie für Benutzer/Computer wirksam wird,werden beim Zuweisen einer Richtlinie an einer beliebigen Stelle in der Hierarchie alleComputer (authentisierte Computer) und alle Benutzer (authentisierte Benutzer) automatischaktiviert (die alleinige Zuweisung ohne Aktivierung reicht nicht aus). In diesen Gruppen sindalle Benutzer bzw. Computer zusammengefasst.

7.3.7.2 Vererbung von RichtlinienVererbung von Richtlinien ist nur zwischen Container-Objekten möglich. Innerhalb einesContainers - vorausgesetzt er enthält keine weiteren Container-Objekte - können Richtliniennur aktiviert werden (auf Gruppenebene). Vererbung zwischen Gruppen ist nicht möglich.

7.3.7.3 Vererbungsreihenfolge von RichtlinienWerden Richtlinien entlang einer Hierarchiekette zugewiesen, so wirkt jene Richtlinie amstärksten, die näher beim Zielobjekt (Benutzer/Computer) ist. Das bedeutet: mit der Entfernungzum Zielobjekt verliert die Richtlinie immer mehr an Kraft - wenn nähere Richtlinien vorhandensind.

7.3.7.4 Direkte Zuweisung von RichtlinienDer Benutzer/Computer erhält eine Richtlinie, die direkt dem Container-Objekt, in dem er sichtatsächlich befindet (Mitgliedschaft als Benutzer einer Gruppe, die sich in einem anderenContainer-Objekt befindet, alleine reicht nicht aus), zugewiesen wurde. Das Container-Objekthat diese Richtlinie nicht geerbt!

7.3.7.5 Indirekte Zuweisung von RichtlinienDer Benutzer/Computer erhält eine Richtlinie, die das Container-Objekt, in dem er sichtatsächlich befindet (die Mitgliedschaft in einer Gruppe, die sich in einem anderenContainer-Objekt befindet, als der Benutzer, reicht nicht aus), von einem ihr übergeordnetenContainer-Objekt geerbt hat.

7.3.7.6 Aktivieren/Deaktivieren von RichtlinienDamit eine Richtlinie für einen Computer/Benutzer wirken kann, muss diese auf Gruppenebeneaktiviert werden (Richtlinien können ausschließlich auf Gruppenebene aktiviert werden). Esspielt keine Rolle, ob sich diese Gruppe im selben Container-Objekt befindet, oder nicht.Wichtig ist hier nur, dass der Benutzer oder Computer eine direkte bzw. indirekte (durchVererbung) Zuordnung der Richtlinie erhalten hat.

254


Befindet sich ein Computer oder Benutzer außerhalb einer OU oder Vererbungslinie und istMitglied einer Gruppe, die sich innerhalb dieser OU befindet, so gilt diese Aktivierung fürdiesen Benutzer oder Computer nicht. Denn für diesen Benutzer oder Computer ist keinegültige Zuweisung (direkt bzw. indirekt) vorhanden. Die Gruppe wurde zwar aktiviert, abereine Aktivierung kann nur für Benutzer und Computer gelten, für die auch eineRichtlinienzuweisung besteht. Das heißt, die Aktivierung von Richtlinien kann nicht überContainer- Grenzen hinausgehen, wenn keine direkte oder indirekte Richtlinienzuweisung fürdieses Objekt existiert.

Eine Richtlinie wird wirksam, wenn sie entweder bei Benutzergruppen oder Computergruppenaktiviert wurde. Es werden die Benutzergruppen und dann die Computergruppen ausgewertet(auch authentisierte Benutzer und authentisierte Computer sind Gruppen). Beide Ergebnissewerden ODER-verknüpft. Liefert diese ODER-Verknüpfung einen positiven Wert für dieComputer/Benutzer-Beziehung, gilt die Richtlinie.

Hinweis: Werden mehrere Richtlinien für ein Objekt aktiv, werden die einzelnen Richtlinienunter Einhaltung der beschriebenen Regeln, vereinigt. Das heißt, die tatsächlichenEinstellungen für ein Objekt können aus mehreren unterschiedlichen Richtlinienzusammengesetzt werden.

Für eine Gruppe gibt es folgende Aktivierungseinstellungen:

■ Aktiviert

Eine Richtlinie wurde zugewiesen. Die Gruppe wird im Aktivierungsbereich des SafeGuardManagement Centers angezeigt.

■ Nicht aktiviert

Eine Richtlinie wurde zugewiesen. Die Gruppe befindet sich nicht im Aktivierungsbereich.

Wird eine Richtlinie einem Container zugewiesen, dann bestimmt die Aktivierungseinstellungfür eine Gruppe (aktiviert), ob diese Richtlinie an diesem Container in die Berechnung derresultierenden Richtlinie einfließt.

Vererbte Richtlinien können durch diese Aktivierungen nicht kontrolliert werden. Hierfür müsstean der lokaleren OU Richtlinienvererbung blockieren gesetzt werden, damit die globalereRichtlinie hier nicht wirken kann.

7.3.7.7 Benutzer-/GruppeneinstellungenRichtlinieneinstellungen für Benutzer (im SafeGuard Management Center schwarz dargestellt),ziehen stärker, als Richtlinieneinstellungen für Computer (im SafeGuard Management Centerblau dargestellt). Werden bei einer Richtlinie für Computer Benutzereinstellungen festgelegt,werden diese Einstellungen durch die Richtlinie für den Benutzer überschrieben.

Hinweis: Nur die Benutzereinstellungen werden überschrieben. Sollte eine Richtlinie fürBenutzer auch Maschineneinstellungen beinhalten (blau dargestellte Einstellungen) werdendiese nicht von einer Benutzerrichtlinie überschrieben!

Beispiel 1:

Wird für eine Computergruppe die Kennwortlänge 4 definiert, die Benutzergruppe hat aberfür dieselbe Einstellung den Wert 3, gilt für diesen Benutzer auf einem Computer derComputergruppe, ein Kennwort mit der Länge 3.

Beispiel 2:

Wird für eine Benutzergruppe ein Serverintervall von 1 Minute definiert und für eineComputergruppe der Wert 3, so wird der Wert 3 verwendet, da es sich beim Wert 1 Minuteum eine Maschineneinstellung, die in einer Richtlinie für Benutzer definiert wurde, handelt.

255

Administratorhilfe

7.3.7.8 Sich widersprechende VerschlüsselungsrichtlinienEs werden zwei Richtlinien - P1 und P2 - angelegt. Für P1 wurde eine dateibasierendeVerschlüsselung für Laufwerk E:\ definiert und für P2 eine volume-basierende Verschlüsselungfür Laufwerk E:\. P1 wird der OU FBE-User und P2 der OU VBE-User zugewiesen.

Fall 1: Ein Benutzer aus OU FBE-User meldet sich zuerst am Client W7-100 (ContainerComputer) an. Das Laufwerk E:\ wird dateibasierend verschlüsselt. Meldet sich ein Benutzerdanach aus der OU VBE-User am Client W7-100 an, so wird das Laufwerk E:\volume-basierend verschlüsselt. Haben beide Benutzer dieselben Schlüssel, können beideauf die Laufwerke bzw. Dateien zugreifen.

Fall 2: Ein Benutzer aus der OU VBE-User meldet sich zuerst am Computer W7-100(Container Computer) an. Das Laufwerk wird volume-basierend verschlüsselt. Meldet sichnun ein Benutzer der OU FBE-User an und hat dieser einen gemeinsamen Schlüssel mit denBenutzern aus der OU VBE-User, so wird das Laufwerk E:\ innerhalb der volume-basierendenVerschlüsselung dateibasierend verschlüsselt (die volume-basierende Verschlüsselung bleibterhalten). Hat der Benutzer aus der OU FBE-User allerdings keinen gemeinsamen Schlüssel,kann er auf das Laufwerk E:\ nicht zugreifen.

7.3.7.9 Priorisierung innerhalb einer ZuweisungInnerhalb einer Zuweisung, hat die Richtlinie mit der höchsten Priorität (1) Vorrang gegenübereiner Richtlinie mit einer geringeren Priorität.

Hinweis: Wurde auf gleicher Ebene eine Richtlinie mit niedriger Priorität, aber mit der OptionKein Überschreiben, zugeordnet, so zieht die Richtlinie trotz niedrigerer Priorität gegenüberden Richtlinien mit der höheren Priorität.

7.3.7.10 Priorisierung innerhalb einer GruppeInnerhalb einer Gruppe, hat die Richtlinie mit der höchsten Priorität (1) Vorrang gegenübereiner Richtlinie mit einer geringeren Priorität.

7.3.7.11 StatusindikatorenDurch das Setzen von Statusindikatoren kann das Standardregelwerk der Richtlinien verändertwerden.

■ Richtlinienvererbung blockieren

Wird direkt bei dem Container gesetzt, der keine übergeordneten Richtlinien empfangenwill (Rechtsklick auf das Objekt im Navigationsfenster > Eigenschaften).

Soll ein Container-Objekt keine Richtlinie eines übergeordneten Objektes erben, könnenSie das durch das Setzen von Richtlinienvererbung blockieren verhindern. IstRichtlinienvererbung blockieren gesetzt, werden keine übergeordnetenRichtlinieneinstellungen für dieses Container-Objekt wirksam (Ausnahme: KeinÜberschreiben wurde bei der Richtlinienzuweisung aktiviert).

■ Kein Überschreiben

Wird bei der Zuweisung gesetzt und bedeutet, dass diese Richtlinie nicht von anderenüberschrieben werden kann.

Je weiter die Richtlinienzuweisung mit Kein Überschreiben vom Zielobjekt entfernt ist,umso stärker wird die Wirkung dieser Richtlinie für alle untergeordneten Container-Objekte.Das heißt: Kein Überschreiben eines übergeordneten Containers überschreibt dieRichtlinieneinstellungen eines untergeordneten Containers. So kann z. B. eine

256


Domänenrichtlinie definiert werden, deren Einstellungen nicht überschrieben werdenkönnen, auch nicht, wenn für eine OU Richtlinienvererbung blockieren gesetzt wurde!

Hinweis: Wurde auf gleicher Ebene eine Richtlinie mit niedriger Priorität, aber mit derOption Kein Überschreiben, zugeordnet, so zieht die Richtlinie trotz niedrigerer Prioritätgegenüber den Richtlinien mit der höheren Priorität.

7.3.7.12 Einstellungen in Richtlinien

7.3.7.12.1 Computereinstellungen wiederholen

Sie finden diese Einstellung unter:

Richtlinien > Richtlinie vom Typ Allgemeine Einstellungen > Laden der Einstellungen >Richtlinien-Loopback.

Wird bei einer Richtlinie vom Typ Allgemeine Einstellungen bei der OptionRichtlinien-Loopback die Einstellung Computereinstellungen wiederholen ausgewähltund die Richtlinie „kommt“ von einem Computer (Computereinstellungen wiederholen hatfür eine Benutzerrichtlinie keine Auswirkung), wird diese Richtlinie am Ende der Auswertungnoch einmal ausgeführt. Dadurch werden etwaige Benutzereinstellungen wieder überschriebenund es gelten die Computereinstellungen. Für das neuerliche Schreiben werden sämtlicheComputereinstellungen, die der Computer direkt oder indirekt bekommt (auch von Richtliniendie beim Richtlinien-Loopback Computereinstellungen wiederholen nicht gesetzt wurden),neu geschrieben.

7.3.7.12.2 Benutzer ignorieren



Wird bei einer Richtlinie vom Typ Allgemeine Einstellungen für einen Computer bei derOption Richtlinien-Loopback die Einstellung Benutzer ignorieren ausgewählt und dieRichtlinie „kommt“ von einer Maschine, werden nur die Maschineneinstellungen ausgewertet.Benutzereinstellungen werden nicht ausgewertet.

7.3.7.12.3 Kein Loopback



Kein Loopback beschreibt das Standardverhalten. Benutzerrichtlinien gelten vorComputerrichtlinien.

7.3.7.12.4 Auswerten der Einstellungen „Benutzer ignorieren“ und „Computereinstellungen wiederholen“

Existieren aktive Richtlinienzuweisungen, werden zuerst die Maschinenrichtlinien ausgewertetund vereinigt. Ergibt diese Vereinigung der einzelnen Richtlinien bei der OptionRichtlinien-Loopback den Wert Benutzer ignorieren, werden die Richtlinien, die für denBenutzer bestimmt gewesen wären, nicht mehr ausgewertet. Das bedeutet sowohl für denBenutzer, als auch für den Computer gelten die gleichen Richtlinien.

Gilt nach der Vereinigung der einzelnen Maschinenrichtlinien bei Richtlinien-Loopback derWert Computereinstellungen wiederholen, werden die Benutzerrichtlinien mit denMaschinenrichtlinien vereinigt. Nach der Vereinigung, werden die Maschinenrichtliniennochmals geschrieben und überschreiben gegebenenfalls Einstellungen aus denBenutzerrichtlinien. Ist eine Einstellung in beiden Richtlinien vorhanden, so ersetzt der Wertder Maschinenrichtlinie den Wert der Benutzerrichtlinie.

257

Administratorhilfe

Ergibt die Vereinigung der einzelnen Maschinenrichtlinien den Standardwert (KeinRichtlinien-Loopback), so gilt: Benutzereinstellungen vor Maschineneinstellungen.

7.3.7.12.5 Ausführungsreihenfolge der Richtlinien

Benutzer ignorieren Computer

Computereinstellungen wiederholen Computer -> Benutzer -> Computer. Die erste„Maschinen-Ausführung“ wird für die Richtlinien benötigt, die schon vor der Benutzeranmeldung(z. B. Hintergrundbild bei der Anmeldung) geschrieben werden.

Kein Richtlinien-Loopback (Standardeinstellung): Computer -> Benutzer

7.3.7.13 Sonstige DefinitionenDie Entscheidung, ob es sich um eine Benutzer- bzw. Maschinenrichtlinie handelt, hängt vonder Herkunft der Richtlinie ab. Ein Benutzerobjekt „bringt“ eine Benutzerrichtlinie mit, einComputer „bringt“ eine Computerrichtlinie mit. Dieselbe Richtlinie kann bei unterschiedlicherSicht, sowohl Computer- als auch Benutzerrichtlinie sein.

■ Benutzerrichtlinie

Jene Richtlinie, die der Benutzer zur Auswertung bereitstellt. Wenn eine Richtlinie nurüber einen Benutzer kommt, dann werden die maschinenbezogenen Einstellungen dieserRichtlinie nicht verwendet. Das heißt, es gelten keine computerbezogenen Einstellungen.Es gelten die Standardwerte.

■ Computerrichtlinie

Jene Richtlinie, die die Maschine zur Auswertung bereitstellt. Wenn eine Richtlinie nurüber einen Computer kommt, dann werden auch die benutzerspezifischen Einstellungendieser Richtlinie verwendet! Die Computerrichtlinie stellt dann eine „für alle Benutzer"Richtlinie dar.

7.3.8 Bestands- und Statusinformationen

SafeGuard Enterprise liest eine Fülle von Bestands- und Statusinformationen von denEndpoints aus. Diese Informationen zeigen den aktuellen globalen Zustand der einzelnenComputer. Im SafeGuard Management Center werden die Informationen im Bereich Benutzer& Computer in der Registerkarte Bestand dargestellt.

Als Sicherheitsbeauftragter können Sie Bestands- und Statusinformationen einsehen,exportieren und drucken. So können Sie z. B. Compliance-Berichte erstellen, die dieVerschlüsselung von Endpoints nachweisen. Umfassende Sortier- und Filterfunktionenunterstützen Sie bei der Auswahl der relevanten Informationen.

Der Bestand liefert u. a. folgende Informationen zu den einzelnen Maschinen:

■ Erhaltene Richtlinien

■ Letzter Server-Kontakt

■ Verschlüsselungsstatus aller Medien

■ POA-Status und Typ

■ Installierte SafeGuard Enterprise Module

■ WOL-Status

258


■ Benutzerinformationen

7.3.8.1 Mac-Endpoints im BestandDer Bestand liefert Statusdaten für im SafeGuard Management Center verwaltete Macs.Weitere Informationen finden Sie unter Bestands- und Statusinformationen für Macs (Seite117).

7.3.8.2 Einsehen von Bestandsinformationen1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer &

Computer.

2. Klicken Sie im Navigationsfenster auf der linken Seite auf den jeweiligen Container(Domäne, Arbeitsgruppe oder Computer).

3. Wechseln Sie im Aktionsbereich auf der rechten Seite in die Registerkarte Bestand.

4. Wählen Sie im Bereich Filter die gewünschten Filter für die Bestandsanzeige, siehe Filternvon Bestandsinformationen (Seite 260).

Hinweis: Wenn Sie einen einzelnen Computer wählen, stehen die Bestandsinformationendirekt nach dem Wechsel in die Registerkarte Bestand zur Verfügung. Der Bereich Filterist hier nicht verfügbar.

5. Klicken Sie im Bereich Filter auf das Lupensymbol.

Die Bestands- und Statusinformationen werden in einer Übersichtstabelle für alle Maschinendes ausgewählten Containers angezeigt. Darüber hinaus stehen für die einzelnen Maschinendie Registerkarten Laufwerke, Benutzer und Merkmale zur Verfügung.

Durch Klicken auf die einzelnen Spalten-Header lassen sich die Bestands- undStatusinformationen nach den jeweiligen Spalteninformationen sortieren. Darüber hinaussteht über das Kontextmenü der einzelnen Spalten eine Reihe von Funktionen für dieSortierung, Gruppierung und Anpassung der angezeigten Anzeige zur Verfügung. Je nachIhren Zugriffsrechten werden die Informationen im Bestand in unterschiedlichen Farbenangezeigt:

■ Informationen für Objekte, für die Sie das Recht Voller Zugriff haben, werden schwarzangezeigt.

■ Informationen für Objekte, für die Sie das Recht Schreibgeschützt haben, werden blauangezeigt.

■ Informationen für Objekte, für die Sie keine Zugriffsrechte haben, werden grau angezeigt.

7.3.8.3 Anzeigen ausgeblendeter SpaltenEinige Spalten sind in der Bestandsanzeige standardmäßig ausgeblendet.

1. Klicken Sie mit der rechten Maustaste in die Spaltenkopfzeilenleiste der Bestandsanzeige.

2. Wählen Sie aus dem Kontextmenü den Befehl Laufende Spaltenanpassung.

Das Fenster Anpassung mit den ausgeblendeten Spalten wird angezeigt.

3. Ziehen Sie die gewünschte Spalte aus dem Fenster Anpassung in dieSpaltenkopfzeilenleiste.

Die Spalte wird in der Bestandsanzeige angezeigt. Um die Spalte wieder auszublenden,ziehen Sie sie zurück in das Fenster Anpassung.

259

Administratorhilfe

7.3.8.4 Filtern von BestandsinformationenFür die Übersicht der Bestandsinformationen für OUs lassen sich Filter definieren, um dieDarstellung nach bestimmten Kriterien einzuschränken.

Im Filter-Bereich der Registerkarte Bestand stehen folgende Felder für die Definition vonFiltern zur Verfügung:

BeschreibungFeld

Um die Bestand- und Statusinformationen für bestimmte Computeranzeigen zu lassen, geben Sie in diesem Feld den Computernamenan.

Computername

Aktivieren Sie dieses Feld, um Sub-Container in die Anzeige miteinzubeziehen.

Einschließlich Sub-Container

Legen Sie in diesem Feld die Anzahl der anzuzeigenden letztenÄnderungen festlegen.

Letzte Änderung anzeigen

Darüber hinaus können Sie mit dem Filter-Editor benutzerdefinierte Filter erstellen. DerFilter-Editor lässt sich über das Kontextmenü der einzelnen Berichtsspalten aufrufen. ImFenster Filterdefinition können Sie eigene Filter definieren und auf die jeweilige Spalteanwenden.

7.3.8.5 Aktualisieren von BestandsinformationenDie Endpoints übertragen die jeweils aktuellen Bestandsinformationen, wenn sich dieInformationen geändert haben.

Über den Befehl Aktualisierung anfordern können Sie manuell eine Aktualisierung derBestandsinformationen anfordern. Dieser Befehl steht für einen einzelnen oder alle Computereines Knotens über das Kontextmenü sowie über das Menü Aktionen in der SafeGuardManagement Center Menüleiste zur Verfügung. Darüber hinaus lässt sich der Befehl überdas Kontextmenü der Listeneinträge auswählen.

Wenn Sie diesen Befehl auswählen oder auf das Symbol Aktualisierung anfordern in derSymbolleiste klicken, übertragen die jeweiligen Endpoint-Computer ihre aktuellenBestandsinformationen.

Wie auch in anderen Bereichen des SafeGuard Management Center, können Sie die Anzeigemit dem Befehl Aktualisieren aktualisieren. Sie können diesen Befehl aus dem Kontextmenüfür einzelne Computer oder alle Computer in einem Knoten auswählen. Der Befehl stehtaußerdem im Ansicht Menü in der Menüleiste zur Verfügung. Zur Aktualisierung der Ansichtkönnen Sie auch das Doppelpfeilsymbol Aktualisieren in der Symbolleiste wählen.

7.3.8.6 ÜberblickDie einzelnen Spalten der Übersicht zeigen folgende Informationen.

Hinweis: Einige Spalten sind standardmäßig ausgeblendet. Sie können diese in der Anzeigeeinblenden. Für weitere Informationen, siehe Anzeigen ausgeblendeter Spalten (Seite 259).

260


ErklärungSpalte

Zeigt den Namen des Computers.Computername

Zeigt den Domänennamen des Computers.Domäne

Zeigt den Domänennamen des Computers vor Windows 2000.Domäne Prä-2000

Zeigt den Benutzernamen des Besitzers des Computers, fallsverfügbar.

Benutzername (Besitzer)

Zeigt den Vornamen des Besitzers, falls verfügbar.Vorname

Zeigt den Nachnamen des Besitzers, falls verfügbar.Nachname

Zeigt die E-Mail-Adresse des Besitzers, falls verfügbar.E-Mail-Adresse

Zeigt die Namen von weiteren registrierten Benutzern des Computers,falls verfügbar.

Weitere registrierte Benutzer

Zeigt das Betriebssystem des Computers.Betriebssystem

Zeigt an, wann (Datum und Uhrzeit) der Computer zuletzt mit demServer kommuniziert hat.

Letzter Server-Kontakt

Zeigt an, wann (Datum und Uhrzeit) der Computer die letzte Richtlinieerhalten hat.

Letzter Richtlinienempfang

Zeigt die verschlüsselten Laufwerke des Computers.Verschlüsselte Laufwerke

Zeigt die unverschlüsselten Laufwerke des Computers.Unverschlüsselte Laufwerke

Gibt an, ob der Computer ein nativer SafeGuard Enterprise Endpoint,ein BitLocker Endpoint mit Challenge/Response, ein BitLocker Endpoint

POA Typ

mit eingebautem Recovery-Mechanismus, ein FileVault 2 Endpointoder ein Endpoint mit einer selbst-verschlüsselnden Opal-Festplatteist.

Gibt an, ob die SafeGuard Power-on Authentication für den Computeraktiviert ist.

POA

Gibt an, ob Wake on LAN für den Computer aktiviert ist.WOL

Zeigt das Datum, an dem sich die Bestandsinformationen durchAnforderung einer Bestandsaktualisierung oder Übermittlung neuerBestandsinformationen vom Client geändert haben.

Änderungsdatum

Zeigt das Datum der letzten Aktualisierungsanforderung an. Der indiesem Feld angezeigte Wert wird bei der Verarbeitung derAnforderung durch den Client wieder gelöscht.

Aktualisierung angefordert

261

Administratorhilfe

ErklärungSpalte

Zeigt den Distinguished Name des dem Computer übergeordnetenContainerobjekts an. Diese Spalte wird nur dann angezeigt, wenn imFilter-Bereich das Feld Einschließlich Sub-Container aktiviert wurde.

Stamm-DSN

Gibt an, ob der Computer das aktuelle Unternehmenszertifikatverwendet.

AktuellesUnternehmenszertifikat

7.3.8.7 Registerkarte LaufwerkeDie Registerkarte Laufwerke zeigt Bestands- und Statusinformationen zu den Laufwerkendes jeweiligen Computers.

ErklärungSpalte

Zeigt den Laufwerksnamen an.Laufwerksname

Zeigt das Label eines Mac-Laufwerks.Label

Zeigt den Laufwerkstyp an, z. B. Fest, Wechseldatenträger oderCD-ROM/DVD.

Typ

Zeigt den Verschlüsselungsstatus eines Laufwerks an.

Hinweis: Wenn SafeGuard BitLocker Verwaltung auf einemEndpoint installiert ist, kann Nicht vorbereitet als

Status

Verschlüsselungsstatus eines Laufwerks angezeigt werden. Dasbedeutet, dass das Laufwerk momentan nicht mit BitLockerverschlüsselt werden kann, weil notwendige Vorbereitungen nochnicht durchgeführt wurden. Das trifft nur auf verwalteteteEndpoints zu, weil nicht verwaltetete Endpoints keineBestandsinformationen melden können.

Nähere Informationen zu den Voraussetzungen, umBitLocker-Laufwerke zu verwalten und zu verschlüsseln, findenSie unter Voraussetzungen für die Verwaltung von BitLocker aufEndpoints (Seite 148).

Der Verschlüsselungsstatus eines nicht verwalteten Endpointskann mit dem Kommandozeilen-Tool SGNState überprüft werden.Nähere Informationen finden Sie im SafeGuard Enterprise ToolsGuide.

Zeigt für verschlüsselte Laufwerke den Algorithmus, der zurVerschlüsselung benutzt wurde, an.

Algorithmus

7.3.8.8 Registerkarte BenutzerDie Registerkarte Benutzer zeigt Bestands- und Statusinformationen zu den Benutzern desComputers.

262


ErklärungSpalte

Zeigt den Benutzernamen des Benutzers.Benutzername

Zeigt den DNS-Namen für den Benutzer, zum Beispiel:CN=Administrator,CN=Users,DC=domain,DC=mycompany,DC=net

Distinguished Name

Gibt an, ob der Benutzer als Besitzer des Computers definiert ist.Benutzer ist Besitzer

Gibt an, ob der Benutzer gesperrt ist.Benutzer ist gesperrt

Gibt an, ob es sich um einen SGN Windows-Benutzer handelt. EinSGN Windows-Benutzer wird nicht zur SafeGuard POA hinzugefügt,

SGN Windows-Benutzer

verfügt jedoch über einen Schlüsselring, mit dem er wie einSGN-Benutzer auf verschlüsselte Dateien zugreifen kann. Sie könnendie Registrierung von SGN Windows-Benutzern auf Endpoints überRichtlinien des Typs Spezifische Computereinstellungenaktivieren.

7.3.8.9 Registerkarte ModuleDie Registerkarte Module liefert eine Übersicht zu allen auf dem Computer installiertenSafeGuard Enterprise Modulen.

ErklärungSpalte

Zeigt den Namen des installierten SafeGuard Enterprise Moduls.Modulname

Zeigt die Software-Version des installierten SafeGuard EnterpriseModuls.

Version

7.3.8.10 Registerkarte UnternehmenszertifikatDie Registerkarte Unternehmenszertifikat zeigt die Eigenschaften des derzeit verwendetenUnternehmenszertifikats und gibt an, ob ein neueres Unternehmenszertifikat verfügbar ist.

ErklärungSpalte

Zeigt den Distinguished Name des Antragstellers desUnternehmenszertifikats.

Antragsteller

Zeigt die Seriennummer des Unternehmenszertifikats.Seriennummer

Zeigt den Distinguished Name des Ausstellers desUnternehmenszertifikats.

Aussteller

Zeigt das Datum und die Uhrzeit, ab das Unternehmenszertifikatgültig wird.

Gültig ab

263

Administratorhilfe

ErklärungSpalte

Zeigt das Datum und die Uhrzeit, ab das Unternehmenszertifikatungültig wird.

Gültig bis

Gibt an, ob ein neueres Unternehmenszertifikat als das aktuelle desEndpoints verfügbar ist.

Ein neueresUnternehmenszertifikat istverfügbar

7.3.8.11 Erstellen von BestandsberichtenAls Sicherheitsbeauftragter können Sie Bestandsberichte in unterschiedlichen Formatenerstellen. So können Sie z. B. Compliance-Berichte erstellen, die die Verschlüsselung vonEndpoints nachweisen. Sie können die Berichte drucken oder in eine Datei exportieren.

7.3.8.11.1 Drucken von Bestandsberichten

1. Klicken Sie in der SafeGuard Management Center Menüleiste auf Datei.

2. Sie können den Bericht sofort drucken oder zunächst eine Druckvorschau anzeigen lassen.

Die Druckvorschau bietet eine Reihe von Funktionen, z. B. für die Bearbeitung desSeitenlayouts (Kopf- und Fußzeile usw.).

■ Um eine Druckvorschau anzuzeigen, wählen Sie Datei > Druckvorschau.

■ Um das Dokument sofort zu drucken, wählen Sie Datei > Drucken.

7.3.8.11.2 Export von Bestandsberichte in Dateien

1. Klicken Sie in der SafeGuard Management Center Menüleiste auf Datei.

2. Wählen Sie Drucken > Druckvorschau.

Die Bestandsbericht Druckvorschau wird angezeigt.

Die Druckvorschau bietet eine Reihe von Funktionen, z. B. für die Bearbeitung desSeitenlayouts (Kopf- und Fußzeile usw.).

3. Klicken Sie in der Symbolleiste des Fensters Druckvorschau auf die Dropdownliste desSymbols Dokument exportieren....

4. Wählen Sie den gewünschten Dateityp aus der Liste.

5. Geben Sie die gewünschten Exportoptionen an und klicken Sie auf OK.

Der Bestandsbericht wird in eine Datei des angegebenen Dateityps exportiert.

7.4 SafeGuard Enterprise SicherheitsbeauftragteSafeGuard Enterprise kann von einem oder mehreren Sicherheitsbeauftragten administriertwerden. Mit der rollenbasierten Administration ist es möglich, die Verwaltung von SafeGuardEnterprise auf mehrere Benutzer zu verteilen. Dabei kann einem Benutzer eine oder mehrereRollen zugewiesen werden. Um die Sicherheit noch zu erhöhen, kann einerSicherheitsbeauftragtenrolle die zusätzliche Autorisierung eines Vorgangs zugewiesen werden.

Während der initialen Konfiguration des SafeGuard Management Center wird automatischein Administrator höchster Ebene angelegt: der Haupt-Sicherheitsbeauftragte (Master SecurityOfficer, MSO), siehe Erstellen eines Haupt-Sicherheitsbeauftragten (Master Security Officer,

264


MSO) (Seite 39). Das MSO Zertifikat wird standardmäßig nach 5 Jahren ungültig und kannim Management Center im Abschnitt Sicherheitsbeauftragte erneuert werden. Für anderespezifische Aufgaben, z. B. Helpdesk- oder Audit-Aufgaben, können dann weitereSicherheitsbeauftragte zugewiesen werden.

Sicherheitsbeauftragte lassen sich im Navigationsbereich des SafeGuard Management Centergemäß der Organisationsstruktur Ihres Unternehmens hierarchisch anordnen. Diesehierarchische Anordnung gibt jedoch keine Hierarchie in Bezug auf Rechte und Rollen wieder.

Hinweis: Zwei Sicherheitsbeauftragte dürfen nicht das gleiche Windows-Konto auf einemComputer benutzen. Andernfalls lassen sich ihre Zugriffsrechte nicht sauber trennen. UnterUmständen ist die zusätzliche Autorisierung nur dann sinnvoll, wenn sich dieSicherheitsbeauftragten mit kryptographischen Token/Smartcards anmelden müssen.

7.4.1 Rollen für Sicherheitsbeauftragte

SafeGuard Enterprise bietet für die komfortable Verwaltung bereits vordefinierte Rollen mitverschiedenen Funktionen für Sicherheitsbeauftragte an. Ein Sicherheitsbeauftragter mit denerforderlichen Rechten hat die Möglichkeit, aus einer Liste von Aktionen/Rechten selbst neueRollen zu definieren und bestimmten Sicherheitsbeauftragten zuzuweisen.

Folgende Rollentypen stehen zur Verfügung:

■ Rolle des Haupt-Sicherheitsbeauftragten (Master Security Officer, MSO)

■ Vordefinierte Rollen

■ Benutzerdefinierte Rollen

7.4.1.1 Haupt-SicherheitsbeauftragterNach der Installation von SafeGuard Enterprise wird bei der initialen Konfiguration desSafeGuard Management Center automatisch ein Haupt-Sicherheitsbeauftragter (MasterSecurity Officer, MSO) angelegt. Der Haupt-Sicherheitsbeauftragte ist derSicherheitsbeauftragte der höchsten Ebene und hat alle Rechte sowie Zugriff auf alle Objekte,vergleichbar mit dem Administrator bei Windows. Die Rechte desHaupt-Sicherheitsbeauftragten können nicht geändert werden.

Für eine Instanz des SafeGuard Management Centers können mehrereHaupt-Sicherheitsbeauftragte angelegt werden. Aus Sicherheitsgründen empfehlen wir,mindestens einen weiteren Haupt-Sicherheitsbeauftragten anzulegen. ZusätzlicheHaupt-Sicherheitsbeauftragte können jederzeit gelöscht werden, es muss jedoch immer einBenutzer mit der Rolle des Haupt-Sicherheitsbeauftragten vorhanden sein, der explizit alsHauptsicherheits-Beauftragter in der SafeGuard Enterprise Datenbank angelegt wurde.

Ein Haupt-Sicherheitsbeauftragter kann Aufgaben an andere Personen delegieren. Dazu gibtes zwei Möglichkeiten:

■ Ein neuer Benutzer/Sicherheitsbeauftragter kann unter Sicherheitsbeauftragte angelegtwerden.

■ Ein aus dem Active Directory importierter und im Stammverzeichnis des SafeGuardManagement Center sichtbarer Benutzer oder alle Mitglieder eines Containers könnenunter Benutzer & Computer zu Sicherheitsbeauftragten gemacht werden.

Den Sicherheitsbeauftragten können eine oder mehrere Rollen zugeordnet werden. EinemBenutzer kann z. B. die Rolle des Verwaltungsbeauftragten und die Rolle desHelpdesk-Beauftragten zugewiesen werden.

265

Administratorhilfe

Der Haupt-Sicherheitsbeauftragte kann aber auch selbst definierte Rollen anlegen undbestimmten Sicherheitsbeauftragten zuweisen.

7.4.1.1.1 Exportieren des Zertifikats des Haupt-Sicherheitsbeauftragten

So erstellen Sie ein Backup des Zertifikats des derzeit am SafeGuard Management Centerangemeldeten Haupt-Sicherheitsbeauftragten:

1. Wählen Sie Extras > Optionen in der SafeGuard Management Center Menüleiste.

2. Wählen Sie die Registerkarte Zertifikate und klicken Sie im Bereich <Administrator>Zertifikat auf Exportieren.

3. Sie werden aufgefordert, ein Kennwort für die Sicherung der exportierten Datei einzugeben.Geben Sie ein Kennwort ein, bestätigen Sie es und klicken Sie auf OK.

4. Geben Sie einen Dateinamen und einen Speicherort für die zu exportierende Datei einund klicken Sie auf OK.

Das Zertifikat des derzeit angemeldeten Haupt-Sicherheitsbeauftragten wird als P12-Dateian den definierten Speicherort exportiert und kann für Recovery-Vorgänge benutzt werden.

7.4.1.2 Vordefinierte RollenIm SafeGuard Management Center sind neben dem Haupt-Sicherheitsbeauftragten diefolgenden Rollen vordefiniert. Die diesen vordefinierten Rollen zugewiesenen Rechte könnennicht geändert werden. Verfügt eine vordefinierte Rolle z. B. über das Recht „Richtlinien undRichtliniengruppen anlegen“, so kann dieses Recht nicht aus der Rolle entfernt werden. Eskönnen auch keine neuen Rechte zu einer vordefinierten Rollen hinzugefügt werden. Diezusätzliche Autorisierung durch einen weiteren Sicherheitsbeauftragten hingegen lässt sichjederzeit den vordefinierten Rollen zuordnen.

■ Verwaltungsbeauftragter

Verwaltungsbeauftragte können Ihren eigenen Knoten im Bereich Sicherheitsbeauftragteeinsehen und sind dazu berechtigt, die ihrem Knoten zugehörigen Sicherheitsbeauftragtenzu verwalten.

■ Sicherheitsbeauftragter

Sicherheitsbeauftragte haben umfassende Rechte, etwa für die SafeGuard EnterpriseKonfiguration, Richtlinien- und Schlüsselverwaltung sowie für Überwachung undWiederherstellung.

■ Helpdesk-Beauftragter

Helpdesk-Beauftragte sind zur Durchführung von Recovery-Vorgängen berechtigt. Darüberhinaus können Sie die meisten Funktionsbereiche des SafeGuard Management Centersehen.

■ Audit-Beauftragter

Um SafeGuard Enterprise überwachen zu können, haben Audit-Beauftragte dieBerechtigung, sich die meisten Funktionsbereiche des SafeGuard Management Centeranzeigen zu lassen.

■ Recovery-Beauftragter

Recovery-Beauftragte sind dazu berechtigt, die SafeGuard Enterprise Datenbank zureparieren.

266


7.4.1.3 Benutzerdefinierte RollenAls Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie neue Rollen aus einerListe mit Aktionen/Rechten definieren und sie einem vorhandenen oder einem neuenSicherheitsbeauftragten zuweisen. Wie auch bei den vordefinierten Rollen lässt sich diezusätzliche Autorisierung durch einen weiteren Sicherheitsbeauftragten für eine Funktion derbetreffenden Rolle jederzeit aktivieren.

Bei der Zuweisung einer neuen Rolle ist für die zusätzliche Autorisierung Folgendes zubeachten:

Hinweis: Wenn ein Benutzer zwei Rollen mit der gleichen Funktion inne hat, und bei einerder Rollen die zusätzliche Autorisierung zugeordnet ist, dann gilt das automatisch auch beider anderen Rolle.

Ein Sicherheitsbeauftragter mit den erforderlichen Rechten kann Rechte zu einerbenutzerdefinierten Rolle hinzufügen oder Rechte aus der Rolle entfernen. Im Gegensatz zuvordefinierten Rollen können benutzerdefinierte je nach Anforderung auch gelöscht werden.Wird die Rolle gelöscht, so ist sie keinem Benutzer mehr zugewiesen. Ist einem Benutzer nureine Rolle zugewiesen und wird diese Rolle gelöscht, so kann sich der Benutzer nicht mehram SafeGuard Management Center anmelden.

Hinweis: Die Rolle und die darin definierten Aktionen bestimmen, was ein Benutzer darf undwas nicht. Auch dann, wenn dem Benutzer mehrere Rollen zugewiesen worden sind. Nachdemer sich am System angemeldet hat, werden nur die Bereiche des SafeGuard ManagementCenters aktiviert und angezeigt, die für seine Rolle nötig sind. Das betrifft auch die BereicheSkripte und API. Sie sollten deshalb immer die Anzeige des Bereichs aktivieren, in dem Siebestimmte Aktionen definieren. Aktionen werden nach Funktionsbereich sortiert und sindhierarchisch strukturiert. Diese Struktur zeigt, welche Aktionen vor der Durchführung bestimmteranderer Aktionen erforderlich sind.

7.4.1.4 Zusätzliche AutorisierungDie zusätzliche Autorisierung (auch Vier-Augen-Prinzip genannt) kann spezifischen Aktioneneiner Rolle zugeordnet werden. Das bedeutet, dass der Benutzer dieser Rolle eine bestimmteAktion nur ausführen darf, wenn ein Benutzer einer weiteren Rolle anwesend ist und dieAusführung der Aktion bestätigt. Jedes Mal, wenn ein Benutzer diese Aktion ausführt, mussein anderer Benutzer sie bestätigen.

Die zusätzliche Autorisierung lässt sich sowohl vordefinierten als auch benutzerdefiniertenRollen zuweisen. Sobald es zumindest noch einen Beauftragten mit der gleichen Rolle gibt,kann auch die eigene Rolle ausgewählt werden.

Die Rolle, die die zusätzliche Autorisierung durchführen soll, muss einem Benutzer zugewiesensein und es müssen mindestens zwei Benutzer in der SafeGuard Datenbank vorhanden sein.Wenn die zusätzliche Autorisierung für eine Aktion erforderlich ist, ist sie auch dann erforderlich,wenn der Benutzer eine weitere Rolle hat, die die zusätzliche Autorisierung für diese Aktionnicht erfordert.

Wenn ein Sicherheitsbeauftragter ohne Berechtigung zum Ändern der Einstellungen für diezusätzliche Autorisierung eine Rolle anlegt, werden die Einstellungen für die zusätzlicheAutorisierung der neuen Rolle gemäß den definierten Einstellungen für den anlegendenBenutzer voreingestellt.

267

Administratorhilfe

7.4.2 Anlegen einer neuen Rolle

Voraussetzung: Um eine neue Rolle anzulegen, benötigen Sie das Recht, benutzerdefinierteRollen einzusehen und zu verwalten. Um die zusätzliche Autorisierung zuzuweisen, benötigenSie das Recht „Einstellungen für zusätzliche Autorisierung ändern“.

1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.

2. Klicken Sie mit der rechten Maustaste auf Benutzerdefinierte Rollen und wählen SieNeu > Neue benutzerdefinierte Rolle.

3. Geben Sie im Dialog Neue benutzerdefinierte Rolle einen Namen und eine Beschreibungfür die Rolle ein.

4. Wählen Sie die Aktionen für diese Rolle: Wählen Sie die Kontrollkästchen neben dengewünschten Aktionen in der Spalte Aktiv.

Aktionen werden nach Funktionsbereich sortiert und sind hierarchisch strukturiert. DieseStruktur zeigt, welche Aktionen vor der Durchführung bestimmter anderer Aktionenerforderlich sind.

5. Falls erforderlich, weisen Sie die zusätzliche Autorisierung zu: Klicken Sie auf dieStandardeinstellung Kein und wählen Sie die gewünschte Rolle aus der angezeigtenDropdownliste.

Wenn ein Sicherheitsbeauftragter ohne die Berechtigung zum Ändern der zusätzlichenAutorisierung eine Rolle anlegt, wird die zusätzliche Autorisierung gemäß den Einstellungender Rolle des betreffenden Sicherheitsbeauftragten vordefiniert.


Die neue Rolle wird unter Benutzerdefinierte Rollen im Navigationsfenster angezeigt.WennSie die Rolle anklicken, werden im rechten Aktionsbereich die zulässigen Aktionen dargestellt.

7.4.3 Zuweisen einer Rolle zu einem Sicherheitsbeauftragten

Voraussetzung: Um eine Rolle zuzuweisen, benötigen Sie das Recht, Sicherheitsbeauftragteeinzusehen und zu ändern.

1. Wählen Sie den gewünschten Sicherheitsbeauftragten im Navigationsfenster aus.

Die Eigenschaften werden im rechten Aktionsbereich für ihn angezeigt.

2. Weisen Sie die gewünschten Rollen durch Auswählen der entsprechenden Kontrollkästchenzu.

Vordefinierte Rollen werden fett angezeigt.

3. Klicken Sie auf das Doppelpfeil-Symbol Aktualisieren in der Symbolleiste.

Die Rolle ist dem Sicherheitsbeauftragten zugewiesen.

Hinweis: Komplexe, individuell angepasste Rollen können leichte Performanceprobleme beider Benutzung des SafeGuard Management Centers verursachen.

7.4.4 Anzeigen von Sicherheitsbeauftragten- und Rolleneigenschaften

Voraussetzung: Um sich einen Überblick über die Sicherheitsbeauftragteneigenschaftenoder die Rollenzuordnungen anzeigen zu lassen, benötigen Sie das Recht zum Einsehenvon Sicherheitsbeauftragten und Sicherheitsbeauftragtenrollen.

268


So sehen Sie Sicherheitsbeauftragten- und Rolleneigenschaften ein:


2. Doppelklicken Sie im Navigationsbereich auf der linken Seite auf dem Objekt, zu dem Sieeinen Überblick erhalten möchten.

Die im Aktionsbereich angezeigten Informationen richten sich nach dem ausgewählten Objekt.

7.4.4.1 Anzeigen der Eigenschaften für den Haupt-SicherheitsbeauftragtenDie allgemeinen Informationen sowie die Änderungsinformationen für denHaupt-Sicherheitsbeauftragten werden angezeigt.

7.4.4.2 Anzeigen der Eigenschaften für SicherheitsbeauftragteDie allgemeinen Informationen sowie die Änderungsinformationen für denSicherheitsbeauftragten werden angezeigt.

1. Wählen Sie unter Eigenschaften die Registerkarte Aktionen. Diese Registerkarte bieteteine Zusammenfassung der zulässigen Aktionen sowie der Rollen, die demSicherheitsbeauftragten zugewiesen sind.

7.4.4.3 Anzeigen der Rechte und Rollen von SicherheitsbeauftragtenEine Zusammenfassung der Aktionen aller Rollen, die dem Sicherheitsbeauftragten zugewiesensind, wird angezeigt. Die Baumstrukturansicht zeigt, welche Aktionen erforderlich sind, damitbestimmte andere Aktionen durchgeführt werden können. Darüber hinaus können diezugewiesenen Rollen angezeigt werden.

1. Wählen Sie in den <Sicherheitsbeauftragtenname> Eigenschaften in der RegisterkarteAktionen eine Aktion, um alle zugewiesenen Rollen aufzurufen, die diese Aktion enthalten.

2. Doppelklicken Sie in der Liste Zugewiesene Rollen mit ausgewählter Aktion auf einerRolle. Der <Sicherheitsbeauftragtenname> Eigenschaften Dialog wird geschlossenund die Eigenschaften der Rolle werden angezeigt.

7.4.4.4 Anzeigen der RolleneigenschaftenDie allgemeinen Informationen sowie die Änderungsinformationen für die Rolle werdenangezeigt.

1. Wählen Sie unter Eigenschaften die Registerkarte Zuweisung, um dieSicherheitsbeauftragten anzeigen zu lassen, die dieser Rolle zugeordnet sind.

7.4.4.5 Anzeigen der Rollenzuordnung1. Doppelklicken Sie in den <Rollenname> Eigenschaften in der Registerkarte Zuweisung

auf einem Sicherheitsbeauftragten. Der Eigenschaften Dialog wird geschlossen und eswerden die allgemeinen Daten und die Rollen des Sicherheitsbeauftragten angezeigt.

7.4.5 Ändern einer Rolle

Für das Ändern von Rollen gibt es folgende Möglichkeiten:

■ Zusätzliche Autorisierung ändern

■ Sie können alle Eigenschaften der Rolle ändern.

269

Administratorhilfe

Das Symbol neben den Rollen zeigt, welche Aktion möglich ist:

BeschreibungSymbol

Die Rolle kann geändert werden (Aktionen hinzufügen/löschen).

Die zusätzliche Autorisierung kann geändert werden.

Beide Änderungsmöglichkeiten sind verfügbar.

Hinweis: Vordefinierte Rollen und die ihnen zugewiesenen Aktionen können nicht geändertwerden. Ist die zusätzliche Autorisierung aktiviert, so kann dies für jede Rolle, auch fürvordefinierte Rollen, geändert werden.

7.4.5.1 Ändern der zusätzlichen AutorisierungVoraussetzung: Um die zusätzliche Autorisierung zuzuweisen, benötigen Sie das Recht,Sicherheitsbeauftragtenrollen einzusehen sowie das Recht „Einstellungen für zusätzlicheAutorisierung ändern“.


2. Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen auf die Rolle, die Sieändern möchten. Klicken Sie im Aktionsbereich auf der rechten Seite bei der gewünschtenEinstellung in der Spalte Zusätzliche Autorisierung und wählen Sie eine andere Rolleaus der Liste aus.

Vordefinierte Rollen werden fett angezeigt.

3. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in derDatenbank zu speichern.

Die zusätzliche Autorisierung für diese Rolle wurde geändert.

7.4.5.2 Ändern aller Eigenschaften einer RolleVoraussetzung: Um eine benutzerdefinierte Rolle zu ändern, benötigen Sie das Recht zumEinsehen und Ändern von Sicherheitsbeauftragtenrollen. Zum Ändern der Einstellung für diezusätzliche Autorisierung benötigen Sie außerdem das Recht „Einstellungen für zusätzlicheAutorisierung ändern“.


2. Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen auf die Rolle, die Sieändern möchten, und wählen Sie Benutzerdefinierte Rolle ändern.

3. Ändern Sie die Eigenschaften nach Wunsch. Ändern Sie die Einstellungen für diezusätzliche Autorisierung, indem Sie auf den Wert in dieser Spalte klicken und diegewünschte Rolle auswählen.

270



Die Rolle wurde geändert.

7.4.6 Kopieren einer Rolle

Um eine Rolle anzulegen, die ähnliche Eigenschaften wie eine bereits vorhandene Rolle hat,können Sie die vorhandene Rolle als Vorlage benutzen. Sie können eine vordefinierte odereine benutzerdefinierte Rolle als Vorlage auswählen.

Voraussetzung: Die Verwendung von vorhandenen Rollen als Vorlage ist nur dann möglich,wenn der derzeit authentisierte Sicherheitsbeauftragte alle Rechte hat, die in dieserspezifischen Rollenvorlage enthalten sind. Diese Funktion ist also u. U. fürSicherheitsbeauftragte, deren zulässige Aktionen begrenzt sind, nicht verfügbar.


2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf die Rolle, die Sie kopierenmöchten, und wählen Sie Neu > Neue Kopie der Rolle. Unter Neue benutzerdefinierteRolle werden alle Eigenschaften der vorhandenen Rolle bereits vorausgewählt.

3. Geben Sie einen neuen Namen für diese Rolle ein und ändern Sie die Eigenschaften nachWunsch.


Die neue Rolle ist angelegt.

7.4.7 Löschen einer Rolle

Hinweis: Vordefinierte Rollen können nicht gelöscht werden.

Voraussetzung: Um eine Rolle zu löschen, benötigen Sie das Recht zum Einsehen undLöschen von Sicherheitsbeauftragtenrollen.


2. Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen mit der rechtenMaustaste auf die Rolle, die Sie löschen möchten, und wählen Sie Löschen. Je nach denEigenschaften der Rolle wird eine entsprechende Warnungsmeldung angezeigt.

Hinweis: Wenn Sie eine Rolle löschen, geht diese Rolle bei allen Sicherheitsbeauftragten,denen sie zugeordnet ist, verloren. Ist einem Sicherheitsbeauftragten nur diese eine Rollezugewiesen, so kann dieser sich erst wieder am SafeGuard Management Center anmelden,wenn ein übergeordneter Sicherheitsbeauftragter ihm eine neue Rolle zuweist. Wird dieRolle für die zusätzliche Autorisierung verwendet, so wird der Haupt-Sicherheitsbeauftragtedazu aufgefordert, die zusätzliche Autorisierung durchzuführen.

3. Um die Rolle zu löschen, klicken Sie in der Warnungsmeldung auf Ja.


Die Rolle wird aus dem Navigationsfenster entfernt und aus der Datenbank gelöscht.

7.4.8 Anlegen eines Haupt-Sicherheitsbeauftragten

Voraussetzung: Um einen neuen Haupt-Sicherheitsbeauftragten anzulegen, benötigen Siedas Recht, Sicherheitsbeauftragte einzusehen und anzulegen.

271

Administratorhilfe

Hinweis: Ein schneller Weg, einen neuen Haupt-Sicherheitsbeauftragten zu erstellen, ist,einen Sicherheitsbeauftragter höher zu stufen. Für weitere Informationen, siehe Höherstufenvon Sicherheitsbeauftragten (Seite 278).


2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den KnotenHaupt-Sicherheitsbeauftragte und wählen Sie Neu > NeuerHaupt-Sicherheitsbeauftragter.

272


3. Nehmen Sie die relevanten Einträge unter Neuer Haupt-Sicherheitsbeauftragter vor:

BeschreibungFeld/Kontrollkästchen

Hier kann der Sicherheitsbeauftragte bis auf Weiteres deaktiviert werden.Das bedeutet, dass er zwar im System existiert, sich aber noch nicht an das

Aktiviert

SafeGuard Management Center anmelden kann. Erst wenn er durch einenanderen Sicherheitsbeauftragten aktiviert wird, kann er sich anmelden undseine administrativen Tätigkeiten ausführen.

Hier wird der Name des Sicherheitsbeauftragten angegeben, wie er in denvon SafeGuard Enterprise erzeugten Zertifikaten unter cn= eingetragen wird.

Name

Unter diesem Namen wird er auch im Navigationsfenster des SafeGuardManagement Centers angezeigt. Dieser Name muss eindeutig sein.

Maximalwert: 256 Zeichen

Optional


Beschreibung

Optional


Mobiltelefon

Optional


E-Mail

Die Anmeldung kann auf folgende Art erfolgen:

Ohne Token Der Sicherheitsbeauftragte darf sich nicht mit einem Tokenanmelden. Er muss sich über die Anmeldeinformationen(Benutzername/Kennwort) anmelden.

Token-Anmeldung

Optional Die Anmeldung kann mit Token oder mit Anmeldeinformationenerfolgen. Der Sicherheitsbeauftragte kann wählen.

Zwingend erforderlich Die Verwendung eines Token zur Anmeldung istzwingend vorgeschrieben. Dazu muss sich der zum Zertifikat desSicherheitsbeauftragten gehörende private Schlüssel auf dem Token befinden.

273

Administratorhilfe


Zur Anmeldung an das SafeGuard Management Center benötigt einSicherheitsbeauftragter immer ein Zertifikat. Das Zertifikat kann entwedervon SafeGuard Enterprise selbst erstellt werden oder es wird ein bereitsexistierendes verwendet. Ist eine Anmeldung mit Token zwingend notwendig,so muss das Zertifikat auf den Token des Sicherheitsbeauftragten aufgebrachtwerden.

Erzeugen:

Zertifikat und Schlüsseldatei werden erstellt und an einem auswählbaren Ortgespeichert. Dabei muss ein Kennwort für die .p12-Schlüsseldatei angegebenund bestätigt werden. Die .p12-Datei muss dem Sicherheitsbeauftragten beider Anmeldung zur Verfügung stehen. Das erstellte Zertifikat wird demSicherheitsbeauftragten automatisch zugeteilt und unter Zertifikat angezeigt.Wenn SafeGuard Enterprise Kennwortregeln angewendet werden, solltendie Regeln im Active Directory deaktiviert werden.

Hinweis: Maximale Länge des Speicherpfads und des Dateinamens: 260Zeichen. Zum Anlegen eines Sicherheitsbeauftragten ist der öffentliche Teildes Zertifikats zwar ausreichend. Bei der Anmeldung an das SafeGuardManagement Center ist jedoch auch der private Teil des Zertifikats (dieSchlüsseldatei) erforderlich. Liegt diese nicht in der Datenbank vor, musssie dem Sicherheitsbeauftragten zur Verfügung stehen und kann bei derAnmeldung dann ggf. im Zertifikatsspeicher abgelegt werden.

Zertifikat

Importieren:

Ein existierendes Zertifikat wird importiert und anschließend demSicherheitsbeauftragten zugewiesen. Wird aus einer .p12 Schlüsseldateiimportiert, muss das Kennwort des Zertifikats bekannt sein.

Wird ein PKCS#12 Zertifikatscontainer ausgewählt, werden alle Zertifikatein die Liste der zuweisbaren Zertifikate geladen. Die Zuweisung des Zertifikatserfolgt nach dem Import, indem das Zertifikat im Dropdown-Listenfeldausgewählt wird.

Zertifikat

4. Klicken Sie zur Bestätigung Ihrer Einstellungen auf OK.

Der neu angelegte Haupt-Sicherheitsbeauftragte wird im Navigationsfenster unter dem KnotenHaupt-Sicherheitsbeauftragte angezeigt. Die jeweiligen Eigenschaften lassen sich durchAuswahl des gewünschten Sicherheitsbeauftragten im Navigationsfenster anzeigen. DerHaupt-Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuardManagement Center anmelden.

7.4.9 Anlegen eines Sicherheitsbeauftragten

Voraussetzung: Um einen neuen Sicherheitsbeauftragten anzulegen, benötigen Sie dasRecht, Sicherheitsbeauftragte einzusehen und anzulegen.


2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf denSicherheitsbeauftragten-Knoten, in dem Sie den neuen Sicherheitsbeauftragten anlegenmöchten, und wählen Sie Neu > Neuer Sicherheitsbeauftragter.

274


3. Nehmen Sie die relevanten Einträge unter Neuer Sicherheitsbeauftragter vor:


Hier kann der Sicherheitsbeauftragte bis auf Weiteres deaktiviertwerden. Das bedeutet, dass er zwar im System existiert, sich aber

Aktiviert

noch nicht an das SafeGuard Management Center anmelden kann.Erst wenn er durch einen anderen Sicherheitsbeauftragten aktiviertwird, kann er sich anmelden und seine administrativen Tätigkeitenausführen.

Hier wird der Name des Sicherheitsbeauftragten angegeben, wie erin den von SafeGuard Enterprise erzeugten Zertifikaten unter cn=

Name

eingetragen wird. Unter diesem Namen wird er auch imNavigationsfenster des SafeGuard Management Centers angezeigt.Dieser Name muss eindeutig sein.


Optional


Beschreibung

Optional


Mobiltelefon

Optional


E-Mail

Hier wird angegeben, ab und bis wann (Datum) sich derSicherheitsbeauftragte am SafeGuard Management Center anmeldendarf.

Gültig von/bis

Die Anmeldung kann auf folgende Art erfolgen:

Ohne Token Der Sicherheitsbeauftragte darf sich nicht mit einemToken anmelden. Er muss sich über die Anmeldeinformationen(Benutzername/Kennwort) anmelden.

Token-Anmeldung

Optional Die Anmeldung kann mit Token oder mitAnmeldeinformationen erfolgen. Der Sicherheitsbeauftragte kannwählen.

Zwingend erforderlich Die Verwendung eines Token zur Anmeldungist zwingend vorgeschrieben. Dazu muss sich der zum Zertifikat desSicherheitsbeauftragten gehörende private Schlüssel auf dem Tokenbefinden.

275

Administratorhilfe


Zur Anmeldung an das SafeGuard Management Center benötigt einSicherheitsbeauftragter immer ein Zertifikat. Das Zertifikat kannentweder von SafeGuard Enterprise selbst erstellt werden oder eswird ein bereits existierendes verwendet. Ist eine Anmeldung mitToken zwingend notwendig, so muss das Zertifikat auf den Tokendes Sicherheitsbeauftragten aufgebracht werden.

Erzeugen:

Zertifikat und Schlüsseldatei werden neu erstellt und an einemauswählbaren Ort gespeichert. Dabei muss ein Kennwort für die.p12-Schlüsseldatei angegeben und bestätigt werden. Die .p12-Dateimuss dem Sicherheitsbeauftragten bei der Anmeldung zur Verfügungstehen. Das erstellte Zertifikat wird dem Sicherheitsbeauftragtenautomatisch zugeteilt und unter Zertifikat angezeigt.Wenn SafeGuardEnterprise Kennwortregeln angewendet werden, sollten die Regelnim Active Directory deaktiviert werden.

Hinweis: Maximale Länge des Speicherpfads und des Dateinamens:260 Zeichen. Zum Anlegen eines Sicherheitsbeauftragten ist deröffentliche Teil des Zertifikats zwar ausreichend. Bei der Anmeldungan das SafeGuard Management Center ist jedoch auch der privateTeil des Zertifikats (die Schlüsseldatei) erforderlich. Liegt diese nichtin der Datenbank vor, muss sie dem Sicherheitsbeauftragten zurVerfügung stehen und kann bei der Anmeldung dann ggf. imZertifikatsspeicher abgelegt werden.

Zertifikat

Importieren:

Ein existierendes Zertifikat wird importiert und anschließend demSicherheitsbeauftragten zugewiesen. Wird aus einer .p12Schlüsseldatei importiert, muss das Kennwort des Zertifikats bekanntsein.

Wird ein PKCS#12 Zertifikatscontainer ausgewählt, werden alleZertifikate in die Liste der zuweisbaren Zertifikate geladen. DieZuweisung des Zertifikats erfolgt nach dem Import, indem das Zertifikatim Dropdown-Listenfeld ausgewählt wird.

Zertifikat

Rollen

Dem Sicherheitsbeauftragten können vordefinierte oderbenutzerdefinierte Rollen zugewiesen werden. Die mit jeder Rolleverbundenen Rechte werden unter Zugelassene Aktion imAktionsbereich angezeigt, wenn Sie auf die entsprechende Rolleklicken oder auf den Sicherheitsbeauftragten rechts-klicken undEigenschaften, Aktionen wählen. Einem Benutzer können mehrereRollen zugewiesen werden. Vordefinierte Rollen werden fettdargestellt.

Rollen desSicherheitsbeauftragten


Der neu angelegte Sicherheitsbeauftragte wird im Navigationsfenster unter dem jeweiligenSicherheitsbeauftragten Knoten angezeigt. Die jeweiligen Eigenschaften lassen sich durchAuswahl des gewünschten Sicherheitsbeauftragten im Navigationsfenster anzeigen. DerSicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard Management

276


Center anmelden. Im nächsten Schritt müssen Sie nun dem SicherheitsbeauftragtenVerzeichnisobjekte/Domänen zuweisen, damit dieser die erforderlichen Aufgaben ausführenkann.

7.4.10 Zuweisen von Verzeichnisobjekten zu einem Sicherheitsbeauftragten

Für die Ausführung ihrer Aufgaben benötigen Sicherheitsbeauftragte Zugriffsrechte fürVerzeichnisobjekte. Zugriffsrechte können für Domänen, Organisationseinheiten (OUs) undBenutzergruppen sowie für den Knoten .Automatisch registriert unter dem Stammverzeichniserteilt werden.

Unter Benutzer & Computer können Sie die Zugriffsrechte eines anderenSicherheitsbeauftragten ändern, wenn Sie vollen Zugriff auf den relevanten Container habenund für den Sicherheitsbeauftragten verantwortlich sind. Ihre eigenen Zugriffsrechte könnenSie nicht ändern. Wenn Sie einen Sicherheitsbeauftragten einem Verzeichnisobjekt zumersten Mal zuweisen, erbt der Sicherheitsbeauftragte Ihre Zugriffsrechte für diesen Container.

Hinweis: Sie können anderen Sicherheitsbeauftragten nicht höhere Zugriffsrechte als IhreZugriffsrechte erteilen.

Voraussetzung: Wenn Sie einem Sicherheitsbeauftragten das Recht, auf Verzeichnisobjektezuzugreifen und diese zu verwalten, gewähren/verweigern möchten, benötigen Sie die"Benutzer und Computer"-Rechte "Zugriffsrechte von Sicherheitsbeauftragten anzeigen" und"Zugriffsrechte für Verzeichnis erteilen/verweigern". Darüber hinaus benötigen Sie dasZugriffsrecht Voller Zugriff für das relevante Verzeichnisobjekt.

1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.

2. Wählen Sie im Navigationsfenster auf der linken Seite die gewünschten Verzeichnisobjekteaus.

Hinweis: Die Navigationsbaumstruktur zeigt nur die Verzeichnisobjekte, für die SieZugriffsrechte haben. Wenn Sie das Zugriffsrecht Voller Zugriff haben, wird das jeweiligeObjekt schwarz dargestellt. Objekte mit Zugriffsrecht Schreibgeschützt, werden blaudargestellt. Auf einen ausgegrauten Knoten können Sie nicht zugreifen. Dieser wird jedochangezeigt, wenn es untergeordnete Knoten gibt, auf die Sie Zugriff haben.

3. Klicken Sie im Aktionsbereich auf der rechten Seite auf die Registerkarte Zugriff.

4. Um die Rechte für die ausgewählten Objekte zuzuweisen, ziehen Sie den gewünschtenSicherheitsbeauftragten von der äußersten rechten Seite per Drag&Drop in die ZugriffTabelle.

5. Wählen Sie in der Spalte Zugriffsrechte die Rechte, die Sie dem Sicherheitsbeauftragtenfür die ausgewählten Objekte erteilen möchten.

■ Voller Zugriff■ Schreibgeschützt■ Verweigert

Um die Zuweisung der Rechte für die ausgewählten Objekte rückgängig zu machen, ziehenSie den Sicherheitsbeauftragten wieder zurück in die Tabelle Sicherheitsbeauftragte.


Die ausgewählten Objekte stehen dem relevanten Sicherheitsbeauftragten zur Verfügung.

Hinweis: Wenn zwei Sicherheitsbeauftragte gleichzeitig mit der gleichen SafeGuard EnterpriseDatenbank arbeiten und einer der beiden ändert Zugriffsrechte, wird eine Meldung angezeigt,die den anderen Sicherheitsbeauftragten darüber informiert. In diesem Fall gehen alle nichtgespeicherten Änderungen verloren. Verliert ein Sicherheitsbeauftragter alle Zugriffsrechte

277

Administratorhilfe

für einen Knoten, so wird der Zugriff nicht mehr gewährt und es wird eine entsprechendeMeldung angezeigt. Das Navigationsfenster wird entsprechend aktualisiert.

7.4.10.1 Einsehen der Sicherheitsbeauftragtenrechte für VerzeichnisobjekteDie Sicherheitsbeauftragten zugewiesenen Rechte für Verzeichnisobjekte werden in derRegisterkarte Zugriff der relevanten Objekte unter Benutzer & Computer angezeigt.

Hinweis: Die Registerkarte Zugriff zeigt nur die Zugriffsrechte für Container, für die SieZugriffsrechte haben. Es werden auch nur die Sicherheitsbeauftragten angezeigt, für die Sieverantwortlich sind.

Die Registerkarte Zugriff enthält folgende Informationen:

■ Die Spalte Sicherheitsbeauftragte zeigt die Typen und Namen der denVerzeichnisobjekten zugeordneten Sicherheitsbeauftragten.

■ Die Spalte Zugewiesen von zeigt den Sicherheitsbeauftragten, der die Zugriffsrechtezugewiesen hat.

■ Das Zuweisungsdatum

■ Die Spalte Zugriffsrechte zeigt die erteilten Rechte: Voller Zugriff, Verweigert oderSchreibgeschützt.

■ Die Spalte Ursprung zeigt den vollständigen Namen des Knotens, an dem das Zugriffsrechtdem entsprechenden Sicherheitsbeauftragten zugewiesen wurde. Zum Beispiel: Wurdedas Recht einem übergeordneten Knoten des ausgewählten Verzeichnisobjektszugewiesen, so wird hier der übergeordnete Knoten angezeigt. In diesem Fall hat derSicherheitsbeauftragte das Zugriffsrecht für das ausgewählte Verzeichnisobjekt durchZuweisung an den übergeordneten Knoten geerbt.

■ Die Spalte Status zeigt, wie der Sicherheitsbeauftragte das Zugriffsrechte erhalten hat:

■ Geerbt (blauer Text): Das Zugriffsrecht wurde von einem übergeordneten Knotengeerbt.

■ Überschrieben (brauner Text): Das Zugriffsrecht wurde von einem übergeordnetenKnoten geerbt, jedoch am ausgewählten Knoten durch direkte Zuweisung überschrieben.

■ Direkt zugewiesen (schwarzer Text): Das Zugriffsrecht wurde direkt am ausgewähltenKnoten zugewiesen.

Für geerbte Rechte können Sie in der Spalte Status einen Tooltip anzeigen, der denUrsprung des relevanten Rechts zeigt.

7.4.11 Höherstufen von Sicherheitsbeauftragten

Sie haben folgende Möglichkeiten:

■ Sie können einen Benutzer im Bereich Benutzer & Computer zum Sicherheitsbeauftragtenernennen.

■ Sie können einen Sicherheitsbeauftragten im Bereich Sicherheitsbeauftragte zu einemHaupt-Sicherheitsbeauftragten ernennen.

7.4.11.1 Voraussetzungen für die Ernennung eines Benutzers zum SicherheitsbeauftragtenEin Sicherheitsbeauftragter mit den erforderlichen Rechten kann Benutzer zuSicherheitsbeauftragten machen und ihnen Rollen zuweisen.

278


Auf diese Weise ernannte Sicherheitsbeauftragte können sich mit IhrenWindows-Anmeldeinformationen oder ihrer Token/Smartcard-PIN an das SafeGuardManagement Center anmelden. Sie können genauso wie andere Sicherheitsbeauftragteagieren und verwaltet werden.


■ Benutzer, die zu Sicherheitsbeauftragten ernannt werden sollen, müssen aus einem ActiveDirectory importiert und im SafeGuard Management Center unter Benutzer & Computersichtbar sein.

■ Ein zum Sicherheitsbeauftragter ernannter Benutzer benötigt für die Anmeldung an dasSafeGuard Management Center als Sicherheitsbeauftragter ein Benutzerzertifikat. Sieerzeugen diese Zertifikat, wenn Sie den Benutzer zum Sicherheitsbeauftragten ernennen,siehe Ernennen eines Benutzers zum Sicherheitsbeauftragten (Seite 279). Für dieAnmeldung mit den Windows-Anmeldeinformationen muss die .p12-Datei mit dem privatenSchlüssel in der SafeGuard Enterprise Datenbank vorhanden sein. Für die Anmeldungmit Token bzw. Smartcard-PIN muss sich die .p12-Datei mit dem privaten Schlüssel aufdem Token bzw. der Smartcard befinden.

Hinweis: Wenn Sie ein Zertifikat erstellen, wenn Sie einen Benutzer höher stufen, dannist das Kennwort des Zertifikats für die Anmeldung am SafeGuard Management Centernotwendig. Es ist das Kennwort des Zertifikats einzugeben, obwohl nach dem WindowsKennwort gefragt wird. Das ist auch der Fall bei der Anmeldung zum SafeGuard EnterpriseWeb Help Desk.

7.4.11.2 Ernennen eines Benutzers zum SicherheitsbeauftragtenVoraussetzung: Um einen Benutzer zum Sicherheitsbeauftragten zu ernennen, müssen Sieein Haupt-Sicherheitsbeauftragter oder ein Sicherheitsbeauftragter mit den erforderlichenRechten sein.


2. Klicken Sie mit der rechten Maustaste auf den Benutzer, den Sie zumSicherheitsbeauftragten machen möchten. Wählen Sie Diesen Benutzer zumSicherheitsbeauftragten machen.

3. Der nächste Schritt richtet sich danach, ob für den ausgewählten Benutzer einBenutzerzertifikat verfügbar ist.

■ Wurde dem Benutzer bereits ein Benutzerzertifikat zugewiesen, so wird derRollenauswahl Dialog angezeigt. Fahren Sie mit Schritt 4 fort.

■ Ist kein Benutzerzertifikat verfügbar, so werden Sie in einer Meldung gefragt, ob fürdiesen Benutzer ein selbst-signiertes Schlüsselpaar erzeugt werden soll. Klicken Sieauf Ja, geben Sie im Kennwort für neues Zertifikat Dialog ein Kennwort ein undbestätigen Sie es. Nun wird der Rollenauswahl Dialog angezeigt.

4. Wählen Sie im Rollenauswahl Dialog die erforderlichen Rollen aus und klicken Sie aufOK.

Der Benutzer ist nun Sicherheitsbeauftragter und wird im Bereich Sicherheitsbeauftragtemit seinem Benutzernamen angezeigt. Die jeweiligen Eigenschaften lassen sich durch Auswahldes gewünschten Sicherheitsbeauftragten im Navigationsfenster anzeigen. Ist der privateSchlüssel des Benutzers in der Datenbank gespeichert, so ist Kein Token aktiviert. Wennsich der private Schlüssel auf dem Token oder der Smartcard befindet, ist Optional aktiviert.

Nach Wunsch können Sie den Sicherheitsbeauftragten per Drag&Drop auf der gewünschtenPosition in der Baumstruktur des Bereichs Sicherheitsbeauftragte platzieren.

279

Administratorhilfe

Der Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuardManagement Center anmelden.

7.4.11.3 Ernennen eines Sicherheitsbeauftragten zum Haupt-SicherheitsbeauftragtenVoraussetzung: Um einen Sicherheitsbeauftragten zum Haupt-Sicherheitsbeauftragten zuernennen, benötigen Sie das Recht, Sicherheitsbeauftragte einzusehen und zu modifizieren.


2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf denSicherheitsbeauftragten, den Sie zum Haupt-Sicherheitsbeauftragten ernennen möchten.Wählen Sie Zum Haupt-Sicherheitsbeauftragten ernennen.

3. Weist der ausgewählte Sicherheitsbeauftragte untergeordnete Sicherheitsbeauftragte auf,so werden Sie dazu aufgefordert, einen neuen übergeordneten Knoten für dieseuntergeordneten Sicherheitsbeauftragten auszuwählen.

Der Sicherheitsbeauftragte wird zum Haupt-Sicherheitsbeauftragten ernannt und unter demKnoten Haupt-Sicherheitsbeauftragte angezeigt. Als Haupt-Sicherheitsbeauftragter erhältder ernannte Sicherheitsbeauftragte alle Rechte auf alle Objekte und verliert somit allezugewiesenen Rollen sowie einzeln gewährte Domänen-Zugriffsberechtigungen im BereichBenutzer & Computer.

7.4.12 Zurückstufen von ernannten Haupt-Sicherheitsbeauftragten

Voraussetzung: Nur Haupt-Sicherheitsbeauftragte können die Ernennung vonSicherheitsbeauftragten zu Haupt-Sicherheitsbeauftragten rückgängig machen.


2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf denHaupt-Sicherheitsbeauftragten, dessen Ernennung Sie rückgängig machen möchten.Wählen Sie Zum Sicherheitsbeauftragten zurückstufen.

3. Sie werden dazu aufgefordert, einen übergeordneten Knoten für denSicherheitsbeauftragten zu wählen und mindestens eine Rolle zuzuweisen.

Die Ernennung des Sicherheitsbeauftragten zum Haupt-Sicherheitsbeauftragten wirdrückgängig gemacht und der Sicherheitsbeauftragte wird unter dem ausgewähltenSicherheitsbeauftragten Knoten angezeigt. Der Sicherheitsbeauftragte verliert alle Rechtefür alle Objekte und erhält nur die Rechte, die den zugewiesenen Rollen zugeordnet sind. EinSicherheitsbeauftragter, dessen Ernennung zum Haupt-Sicherheitsbeauftragten rückgängiggemacht wurde, hat zunächst keine Domänen-Zugriffsrechte. Domänen-Zugriffsrechte müsseneinzeln im Bereich Benutzer & Computer in der Registerkarte Zugriff gewährt werden.

7.4.13 Ändern des Zertifikats eines Sicherheitsbeauftragten

Voraussetzung: Um das Zertifikat eines Sicherheitsbeauftragten oderHaupt-Sicherheitsbeauftragten zu ändern, benötigen Sie das Recht, Sicherheitsbeauftragteeinzusehen und zu modifizieren.


2. Klicken Sie im Navigationsfenster auf den Sicherheitsbeauftragten, dessen Zertifikat Sieändern möchten. Das aktuelle Zertifikat wird im Aktionsbereich auf der rechten Seite imFeld Zertifikate angezeigt.

3. Klicken Sie im Aktionsbereich auf die Dropdownliste Zertifikate und wählen Sie ein anderesZertifikat aus.

280



7.4.14 Anordnen von Sicherheitsbeauftragten in der Baumstruktur

Sicherheitsbeauftragte lassen sich im Sicherheitsbeauftragte Navigationsbereich desSafeGuard Management Center gemäß der Organisationsstruktur Ihres Unternehmenshierarchisch anordnen.

Die Baumstruktur lässt sich für alle Sicherheitsbeauftragten, außer fürHaupt-Sicherheitsbeauftragte, ordnen. Haupt-Sicherheitsbeauftragte werden in einernicht-hierarchischen Liste unter dem Haupt-Sicherheitsbeauftragten-Knoten angezeigt. DerSicherheitsbeauftragten-Knoten enthält eine Baumstruktur, in der jeder Knoten einenSicherheitsbeauftragten repräsentiert. Diese hierarchische Anordnung gibt jedoch keineHierarchie in Bezug auf Rechte und Rollen wieder.

Voraussetzung: Um einen Sicherheitsbeauftragten in der Baumstruktur zu verschieben,benötigen Sie das Recht, Sicherheitsbeauftragte einzusehen und zu modifizieren.


2. Ziehen Sie den gewünschten Sicherheitsbeauftragten im Navigationsfenster per Drag&Dropzum gewünschten Knoten.

Alle dem Sicherheitsbeauftragten untergeordneten Sicherheitsbeauftragte werden ebenfallsverschoben.

7.4.15 Schneller Wechsel zwischen Sicherheitsbeauftragten

Sie können das SafeGuard Management Center schnell und einfach neu starten, wenn Siesich mit einem anderen Sicherheitsbeauftragten anmelden möchten.

1. Wählen Sie im SafeGuard Management Center Datei > Sicherheitsbeauftragtenwechseln. Das SafeGuard Management Center wird neu gestartet und es wird einAnmeldedialog angezeigt.

2. Wählen Sie den Sicherheitsbeauftragten, mit dem Sie sich an das SafeGuard ManagementCenter anmelden möchten, und geben Sie das zugehörige Kennwort ein. Wenn Sie imMulti Tenancy Modus arbeiten, werden Sie wieder an dieselbe Datenbankkonfigurationangemeldet.

Das SafeGuard Management Center wird neu gestartet und zeigt die dem angemeldetenSicherheitsbeauftragten zugeordnete Ansicht.

7.4.16 Löschen eines Sicherheitsbeauftragten

Voraussetzung: Um einen Sicherheitsbeauftragten zu löschen, benötigen Sie das Recht,Sicherheitsbeauftragte einzusehen und zu löschen.


2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf denSicherheitsbeauftragten oder den Haupt-Sicherheitsbeauftragten, den Sie löschen möchten.Wählen Sie Löschen. Beachten Sie, dass Sie den Sicherheitsbeauftragten, mit dem Sieangemeldet sind, nicht löschen können.

3. Weist der ausgewählte Sicherheitsbeauftragte untergeordnete Sicherheitsbeauftragte auf,so werden Sie dazu aufgefordert, einen neuen übergeordneten Knoten für dieseuntergeordneten Sicherheitsbeauftragten auszuwählen.

281

Administratorhilfe

Der Sicherheitsbeauftragte wird aus der Datenbank gelöscht.

Hinweis: Mindestens ein Haupt-Sicherheitsbeauftragter, der explizit als Beauftragter angelegtwurde und nicht nur zum Sicherheitsbeauftragten ernannt wurde, muss immer in der Datenbankverbleiben. Wird ein Benutzer, der zum Sicherheitsbeauftragten ernannt wurde, aus derDatenbank gelöscht, so wird auch sein Benutzerkonto aus der Datenbank gelöscht.

Hinweis: Wenn der zu löschende Sicherheitsbeauftragte eine Rolle hat, die zusätzlicheAutorisierung umfasst und dem Sicherheitsbeauftragten als einziger diese Rolle zugewiesenist, wird der Sicherheitsbeauftragte trotzdem gelöscht. Es wird angenommen, dass derHaupt-Sicherheitsbeauftragte die zusätzliche Autorisierung übernimmt.

7.5 Verwalten der OrganisationsstrukturFür den Aufbau einer Organisationsstruktur im SafeGuard Management Center gibt es zweiMöglichkeiten:

■ Sie können eine bestehende Organisationsstruktur über ein Active Directory in dieSafeGuard Enterprise Datenbank importieren.

■ Sie können Ihre Organisationsstruktur manuell anlegen, indem Sie Arbeitsgruppen undDomänen sowie eine Struktur für die Verwaltung von Richtlinien erstellen.

7.5.1 Import aus Active Directory

Sie haben die Möglichkeit, eine bestehende Organisationsstruktur über ein Active Directoryin die SafeGuard Enterprise Datenbank zu importieren.

Hinweis: Durch den SafeGuard Management Center Konfigurationsassistenten wird eininitialer Import gestartet. Sie können diesen Schritt des Konfigurationsassistenten auchüberspringen und den Active Directory Import später manuell konfigurieren.

Wir empfehlen, ein spezielles Windows-Servicekonto anzulegen, das für alle Import- undSynchronisierungsaufgaben verwendet wird. Weitere Informationen finden Sie im SophosKnowledgebase-Artikel 107979.

Mit dem SafeGuard Management Center Taskplaner können Sie einen periodischen Taskfür die automatische Synchronisierung zwischen dem Active Directory und SafeGuardEnterprise erstellen. In Ihrer Produktlieferung steht hierzu eine vordefinierte Skript-Vorlagezur Verfügung. Für weitere Informationen, siehe Planen von Tasks (Seite 322) und VordefinierteSkripte für periodische Tasks (Seite 328).

Hinweis: Es wird empfohlen, Importvorgänge mit mehr als 400.000 Objekten aus dem ADin mehrere Vorgänge aufzuteilen. Unter Umständen ist dies nicht möglich, wenn sich mehrals 400.000 Objekte in einer Organisationseinheit befinden.

7.5.1.1 Zugriffsrechte für Sicherheitsbeauftragte und Import aus Active DirectoryFür das Importieren der Organisationsstruktur benötigen Sie Zugriffsrechte. Im Folgendenerfahren Sie, wann welche Zugriffsrechte erforderlich sind.

■ Wenn Sie eine Active Directory Verbindung zu einer bereits vorhandenen Domänehinzufügen, gilt Folgendes:

■ Wenn Sie das Zugriffsrecht Voller Zugriff für die Domäne (DNS) haben, werden dieAnmeldeinformationen für die Directory-Verbindung aktualisiert.

282




■ Wenn Sie das Zugriffsrecht Schreibgeschützt oder weniger Zugriffsrechte für dieDomäne (DNS) haben, werden die Anmeldeinformationen nicht aktualisiert. Sie könnenjedoch vorhandene Anmeldeinformationen für die Synchronisierung benutzen.

■ Für Active Directory Import und Synchronisierung werden die Zugriffsrechte für einenContainer oder eine Domäne auf die Domänenbaumstruktur, die sie importieren odersynchronisieren, übertragen. Wenn Sie für eine untergeordnete Baumstruktur nicht dasZugriffsrecht Voller Zugriff haben, kann diese nicht synchronisiert werden. Wenn eineuntergeordnete Baumstruktur nicht geändert werden kann, wird sie nicht in derSynchronisierungs-Baumstruktur angezeigt.

■ Unabhängig von Ihren Sicherheitsbeauftragten-Zugriffsrechten für Verzeichnisobjektekönnen Sie eine neue Domäne aus dem Active Directory importieren, wenn diese nochnicht in der SafeGuard Enterprise Datenbank existiert. Sie und Ihre übergeordnetenSicherheitsbeauftragten erhalten automatisch das Zugriffsrecht Voller Zugriff für die neueDomäne.

■ Wenn Sie einen untergeordneten Container (Sub-Container) für die Synchronisierungauswählen, muss die Synchronisierung bis zum Stammverzeichnis durchgeführt werden.In der Synchronisierungs-Baumstruktur werden alle relevanten Container automatischausgewählt. Dies ist auch dann der Fall, wenn sich über dem Sub-Container Containerbefinden, die gemäß ihren Zugriffsrechten Schreibgeschützt sind, oder für die der ZugriffVerweigert wird.Wenn Sie die Auswahl eines Sub-Containers aufheben, müssen Sie diesentsprechend Ihren Zugriffsrechten auch bei den Containern darüber bis zumStammverzeichnis tun.

Wenn eine Gruppe in den Synchronisierungsvorgang einbezogen wird, für die nur dieZugriffsrechte Schreibgeschützt oder Verweigert verfügbar sind, passiert Folgendes:

■ Die Gruppenmitgliedschaften werden nicht aktualisiert.

■ Wenn die Gruppe im Active Directory gelöscht wurde, wird sie nicht aus der SafeGuardEnterprise Datenbank gelöscht.

■ Wenn die Gruppe jedoch im Active Directory verschoben wurde, wird sie auch innerhalbder SafeGuard Enterprise Struktur verschoben. Dies trifft auch beim Verschieben ineinen Container zu, für den Sie nicht das Recht Voller Zugriff haben.

Wenn ein Container mit den Zugriffsrechten Schreibgeschützt oder Verweigert zurSynchronisierung hinzugefügt wird, da er sich auf dem Weg zum Stammverzeichnisbefindet, und dieser Container eine Gruppe mit dem Zugriff Voller Zugriff enthält, wirddiese Gruppe synchronisiert. Gruppen mit den Zugriffsrechten Schreibgeschützt oderVerweigert werden nicht synchronisiert.

7.5.1.2 Importieren oder Synchronisieren der OrganisationsstrukturHinweis: Zum Aktualisieren der Organisationsstruktur im Management Center, beginnenSie mit Schritt 4.

1. Wählen Sie im SafeGuard Management Center Extras > Optionen.

2. Wählen Sie die Registerkarte Verzeichnis und klicken Sie auf Hinzufügen.

3. Gehen Sie in LDAP Authentisierung folgendermaßen vor:

a) Bei Servername oder IP geben Sie den NetBIOS-Name des Domänencontrollers oderdessen IP ein.

b) Bei Anmeldeinformationen des Benutzers geben Sie IhreWindows-Anmeldeinformationen für die Umgebung ein.

c) Klicken Sie auf OK.

283

Administratorhilfe

Hinweis: Bei Windows Einzelplatzcomputern muss auf dem Computer ein Verzeichnisfreigegeben sein, damit eine Verbindung via LDAP möglich wird.


5. Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm [Filter istaktiv].

6. Klicken Sie im Aktionsbereich auf der rechten Seite auf die Registerkarte Synchronisieren.

7. Wählen Sie das gewünschte Verzeichnis aus der Verzeichnis DSN Liste und klicken Sieauf das Lupensymbol (oben rechts).

Es erscheint eine Abbildung der Active Directory-Struktur der Organisationseinheiten (OU)in Ihrem Unternehmen.

8. Markieren Sie die Organisationseinheiten (OU), die synchronisiert werden sollen. Es mussnicht der gesamte Inhalt des Active Directory importiert werden.

9. Um auch Mitgliedschaften zu synchronisieren, wählen Sie das KontrollkästchenSynchronisiere Mitgliedschaften.

10. Um auch den Benutzer Aktiv-Status zu synchronisieren, wählen Sie das KontrollkästchenSynchronisiere Benutzer Aktiv-Status.

11. Wenn Sie deaktivierte Benutzerkonten aus dem Active Directory synchronisieren, werdendiese auch in SafeGuard Enterprise deaktiviert. Aus Sicherheitsgründen bewirkt eineReaktivierung des Kontos in Active Directory und eine erneute Synchronisierung keineautomatische Aktivierung des Benutzerkontos in SafeGuard Enterprise. Um auch dieseKonten zu synchronisieren, müssen Sie die Option Synchronisiere Benutzer Aktiv-Statusaktivieren.

12. Klicken Sie unten im Aktionsbereich auf Synchronisieren.

Wenn Sie Benutzer und ihre Gruppenzugehörigkeit synchronisieren, wird die Zugehörigkeitzu einer “Primärgruppe“ nicht synchronisiert, da sie für die Gruppe nicht sichtbar ist.

Die Domänen werden synchronisiert. Details zur Synchronisierung werden angezeigt. KlickenSie auf die Meldung, die in der Statusleiste unterhalb der Schaltflächen auf der linken Seiteangezeigt wird, um ein Synchronisierungsprotokoll einzusehen. Klicken Sie auf das Protokoll,um es in die Zwischenablage zu kopieren und es in eine E-Mail oder eine Datei einzufügen.

Hinweis: Wenn Elemente von einer untergeordneten Baumstruktur in eine andere im ActiveDirectory verschoben wurden, müssen beide Baumstrukturen mit der SQL-Datenbanksynchronisiert werden. Wird nur eine untergeordnete Datenbank synchronisiert, so werdendie Elemente nicht verschoben, sondern gelöscht.

7.5.1.3 Eine neue Domäne aus einem Active Directory importieren1. Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm [Filter ist

aktiv].

2. Wählen Sie Datei > Neu > Domäne aus Active Directory importieren.

3. Klicken Sie im Aktionsbereich auf der rechten Seite auf Synchronisieren.

4. Wählen Sie das gewünschte Verzeichnis aus der Verzeichnis DSN Liste und klicken Sieauf das Lupensymbol (oben rechts).

Es erscheint eine Abbildung der Active Directory-Struktur der Organisationseinheiten (OU)in Ihrem Unternehmen.

5. Wählen Sie die Domäne, die synchronisiert werden soll, und klicken Sie aufSynchronisieren.

284


Hinweis: Wenn Elemente von einer untergeordneten Baumstruktur in eine andere im ActiveDirectory verschoben wurden, müssen beide Baumstrukturen mit der SQL-Datenbanksynchronisiert werden. Wird nur eine untergeordnete Datenbank synchronisiert, so werdendie Elemente nicht verschoben, sondern gelöscht.

Hinweis: Durch die AD-Synchronisierung wird der (NetBIOS)-Name der Domäne vor Windows2000 nicht synchronisiert, wenn der Domänen-Controller mit einer IP-Adresse konfiguriert ist.Konfigurieren Sie den Domänen-Controller so, dass stattdessen der Servername (NetBIOSoder DNS) verwendet wird. Der Client (auf dem die AD-Synchronisierung läuft) muss entwederTeil der Domäne sein oder es muss sichergestellt sein, dass der DNS-Name zumZiel-Domänen-Controller aufgelöst werden kann.

7.5.1.4 Importieren von Benutzern und Gruppen aus Active Directory auf Container-EbeneWenn Sie im SafeGuard Management Center bereits über eine bestehendeOrganisationsstruktur verfügen und wenn Sie die Berechtigung haben, Verzeichnisobjektezu importieren, können Sie Benutzer und Computer aus dem Active Directory aufContainer-Ebene importieren. Dabei werden nur neue oder verschobene Benutzer undComputer des ausgewählten Containers und seiner Sub-Container synchronisiert.


2. Klicken Sie im Navigationsfenster auf der linken Seite mit der rechten Maustaste auf denContainer, dessen Benutzer und Computer Sie synchronisieren möchten.

3. Klicken Sie im Kontextmenü auf Neu und dann auf Benutzer und Computer aus demActive Directory importieren.

Der Dialog Benutzer und Computer aus dem Active Directory importieren wirdangezeigt und der Import beginnt.

Das Resultat des Imports wird als Liste dargestellt. Name, Anmeldename und Status derimportierten Benutzer und Computer werden angezeigt. Mögliche Status: Importiert oderVerschoben.

4. Klicken Sie auf Schließen.

Die Benutzer und Computer werden im linken Navigationsfenster angezeigt.

7.5.1.5 Benutzer und Computer suchen und importierenHinweis: Sie benötigen dazu die Berechtigung, Verzeichnisobjekte zu importieren.

Wenn Sie im SafeGuard Management Center bereits über eine bestehendeOrganisationsstruktur verfügen, können Sie Benutzer und Computer im Active Directorysuchen und direkt in die Organisationsstruktur importieren.


2. Klicken Sie im Navigationsbereich Benutzer & Computer auf das StammverzeichnisStamm [Filter ist aktiv].

3. Wählen Sie in der SafeGuard Management Center Menüleiste Bearbeiten > Suchen.

Der Dialog Benutzer, Computer und Gruppen suchen wird angezeigt.

4. Wählen Sie die Registerkarte Active Directory.

5. Wählen Sie im Feld Suchen den gewünschten Filter aus der Dropdownliste aus.

6. Wählen Sie im Feld In die Domäne aus, die Sie durchsuchen möchten.

7. Wenn Sie nach einem bestimmten Benutzer oder Computer suchen, geben Sie dengewünschten Namen im Feld Suchname ein.

285

Administratorhilfe

8. Klicken Sie anschließend auf Jetzt suchen.

Das Suchergebnis wird in der Registerkarte Active Directory angezeigt. Alle neuenObjekte sind mit Kontrollkästchen auf der linken Seite versehen.

9. Wählen Sie die Objekte aus, die Sie importieren wollen.

10. Klicken Sie auf Auswahl importieren.

Die Objekte werden importiert und im linken Navigationsfenster angezeigt.

11. Klicken Sie auf Schließen.

7.5.2 Erstellen von Arbeitsgruppen und Domänen

Sicherheitsbeauftragte mit den erforderlichen Berechtigungen können manuell Arbeitsgruppenoder Domänen mit einer Struktur für die Verwaltung von Richtlinien anlegen. Auch dieZuweisung von Richtlinien und/oder Verschlüsselungsregeln an lokale Benutzer ist dadurchmöglich.

Sie müssen Domänen nur dann manuell anlegen, wenn Sie keine Domänen aus dem ActiveDirectory (AD) importieren wollen oder können, z. B. weil kein AD vorhanden ist.

7.5.2.1 Registrierung als neuer BenutzerFür Informationen zu Benutzern, die sich zum ersten Mal bei SafeGuard Enterprise anmelden,siehe SafeGuard Enterprise Power-on Authentication (POA) (Seite 187).

Wenn sich ein neuer Benutzer an SafeGuard Enterprise anmeldet, wird dieser sobald derEndpoint eine Verbindung mit dem SafeGuard Enterprise Server hergestellt hat, registriertund in im Bereich Benutzer und Computer des SafeGuard Management Center unter derentsprechenden Domäne oder Arbeitsgruppe angezeigt.

Das für diese Benutzer/Computer vorgesehene Verzeichnis .Automatisch registriert wirdautomatisch unterhalb des Stammverzeichnisses sowie unter jeder Domäne/Arbeitsgruppeerzeugt. Es kann nicht umbenannt oder verschoben werden. Objekte in diesem Verzeichniskönnen auch nicht manuell verschoben werden.Wenn die Organisationseinheit (OrganizationalUnit, OU) beim nächsten Kontakt mit der SafeGuard Enterprise Datenbank synchronisiertwird, wird das Objekt in die entsprechenden OU verschoben. Andernfalls verbleibt Sie imVerzeichnis .Automatisch registriert der jeweiligen Domäne/Arbeitsgruppe.

Als Sicherheitsbeauftragter können Sie dann die automatisch registrierten Objekte wie üblichverwalten.

Hinweis: Lokale Benutzer können sich nicht mit einem leeren Kennwort an SafeGuardEnterprise anmelden.Wenn sich lokale Benutzer mit leerem Kennwort an SafeGuard Enterpriseanmelden, bleiben sie Gastbenutzer und werden nicht in der Datenbank gespeichert. Wennfür diese Benutzer zudem noch Windows Autologon aktiviert ist, wird die Anmeldungabgebrochen. Für die erfolgreiche Anmeldung an SafeGuard Enterprise muss in diesem Fallein neues Kennwort vergeben werden und das Autologon für Windows in der Registry desEndpoint deaktiviert werden.

Hinweis: Microsoft Konten werden immer als SafeGuard Enterprise Gastbenutzer behandelt.

7.5.2.2 Beispiele für die automatische RegistrierungIm Folgenden finden Sie zwei Beispiele für das Verhalten von automatisch registriertenObjekten.

Benutzer/Computer außerhalb eines Active Directory

286


In einem Unternehmen müssen nicht zwangsläufig alle Benutzer/Computer Teil eines ActiveDirectory (AD) sein, z. B. lokale Benutzer. Ein Unternehmen hat möglicherweise nur eine oderwenige Arbeitsgruppen, so dass sich der Aufbau eines ADs nicht lohnt.

Dieses Unternehmen möchte SafeGuard Enterprise einsetzen, um dann seineBenutzer-/Computerobjekte mit Richtlinien zu versehen. Deshalb wird die Organisationsstrukturdes Unternehmens im SafeGuard Management Center folgendermaßen manuell aufgebaut:

Die Objekte bleiben im Verzeichnis .Automatisch registriert. Sie können mit dem SafeGuardManagement Center durch Anwendung von Richtlinien auf das Verzeichnis .Automatischregistriert verwaltet werden.

SafeGuard Enterprise Datenbank und Active Directory nicht synchronisiert

Ein Benutzer ist bereits Teil des Active Directory (AD) des Unternehmens. Die SafeGuardEnterprise Datenbank und das AD sind jedoch nicht synchron. Der Benutzer (Benutzer 1)meldet sich an SafeGuard Enterprise an und wird automatisch im Bereich Benutzer &Computer im SafeGuard Management Center unter der Domäne angezeigt, die durch dieAnmeldung vorgegeben ist (Domäne 1).

Der Benutzer ist nun Teil des Verzeichnisses .Automatisch registriert. Das Objekt kann mitdem SafeGuard Management Center durch Anwendung von Richtlinien auf das Verzeichnis.Automatisch registriert verwaltet werden.

Mit der nächsten Synchronisierung zwischen dem AD und der SafeGuard Enterprise Datenbankwird Benutzer 1 automatisch in seine Organisationseinheit (Users) verschoben.

Damit für Benutzer 1 Richtlinien aktiv werden können, müssen sie ab jetzt derOrganisationseinheit Users zugewiesen werden.

287

Administratorhilfe

7.5.2.3 Schlüssel und Zertifikate für autoregistrierte ObjekteFür jedes auto-registrierte Objekt erzeugt der Server nach Bedarf ein Zertifikat.

Ein lokaler Benutzer erhält zwei Schlüssel:

■ den Schlüssel des Containers .Automatisch registriert

■ den privaten Schlüssel, der vom Server bei Bedarf erzeugt wird.

Lokale Benutzer erhalten keine weiteren Schlüssel der ihnen übergeordneten Container, auchkeinen Root-Schlüssel.

Arbeitsgruppen erhalten gar keine Schlüssel.

7.5.2.4 Richtlinien für autoregistrierte ObjekteFür autoregistrierte Objekte können ohne Einschränkung Richtlinien erstellt werden.

Lokale Benutzer werden zur Gruppe „.authentisierte Benutzer“ hinzugefügt. Computer werdenzur Gruppe „.authentisierte Computer“ hinzugefügt. Dementsprechend gelten für sie dieRichtlinien, die für diese Gruppe aktiviert wurden.

7.5.2.5 Erzeugen von ArbeitsgruppenAls Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie unter demStammverzeichnis einen Container erzeugen, der eine Windows Arbeitsgruppe repräsentiert.Arbeitsgruppen erhalten keine Schlüssel. Sie können nicht umbenannt werden.


2. Rechts-klicken Sie im linken Navigationsfenster auf Stamm [Filter ist aktiv] und wählenSie im Kontextmenü Neu > Neue Arbeitsgruppe erzeugen (autom. Registrierung).

3. Gehen Sie in Allgemeine Informationen wie folgt vor:

a) Geben Sie einen vollständigen Namen für die Arbeitsgruppe ein.

b) Sie können optional eine Beschreibung hinzufügen.

c) Im Feld Verbindungsstatus wird der Typ des Objekts angezeigt, in diesem FallArbeitsgruppe.

d) Aktivieren Sie Richtlinienvererbung stoppen, wenn gewünscht.

e) Klicken Sie auf OK.

Die Arbeitsgruppe wird erzeugt. Unterhalb des Arbeitsgruppen-Containers wird automatischdas Standardverzeichnis .Automatisch registriert angelegt. Es kann weder umbenannt nochgelöscht werden.

7.5.2.6 Löschen von ArbeitsgruppenUm eine Arbeitsgruppe zu löschen, benötigen Sie das Zugriffsrecht Voller Zugriff für dierelevante Arbeitsgruppe. Falls die Arbeitsgruppe Mitglieder hatte, werden diese ebenfallsgelöscht. (Bei der nächsten Anmeldung werden sie wieder autoregistriert).

Um eine Arbeitsgruppe zu löschen, benötigen Sie das Zugriffsrecht Voller Zugriff für allebeteiligten Objekte.


288


2. Rechts-klicken Sie im rechten Navigationsbereich auf der Arbeitsgruppe, die gelöschtwerden soll, und wählen Sie Löschen.

3. Klicken Sie Ja, um dies zu bestätigen.

Die Arbeitsgruppe wird gelöscht. Eventuelle Mitglieder werden ebenfalls gelöscht.

Hinweis: Wenn Sie das Zugriffsrecht Voller Zugriff nicht für alle Mitglieder der Arbeitsgruppehaben, schlägt das Löschen der Arbeitsgruppe fehl und es wird eine Fehlermeldung angezeigt.

7.5.2.7 Erstellen einer neuen DomäneAls Sicherheitsbeauftragter mit den nötigen Berechtigungen können Sie unter demStammverzeichnis eine neue Domäne anlegen. Sie sollten nur neue Domänen anlegen, wennSie keine Domänen aus dem Active Directory (AD) importieren wollen oder können, z. B. weilkein AD vorhanden ist.


2. Rechts-klicken Sie im linken Navigationsfenster auf Stamm [Filter ist aktiv] und wählenSie im Kontextmenü Neu > Neue Domäne erzeugen (autom. Registrierung).

3. In Allgemeine Informationen machen Sie folgende Angaben zum Domänen-Controller.

Beide Namenseinträge müssen korrekt sein. Ansonsten wird die Domäne nichtsynchronisiert.

a) Vollst. Name: z. B. rechnername.domäne.com oder die IP-Adresse desDomänen-Controllers

b) Distinguished Name (schreibgeschützt): DNS-Name, z. B.DC=rechnername3,DC=domäne,DC=Land

c) Eine Domänenbeschreibung (optional)

d) Netbios Name: Name des Domänen-Controllers

e) Unter Verbindungsstatus wird der Typ des Objekts angezeigt, in diesem Fall Domäne.

f) Aktivieren Sie Richtlinienvererbung stoppen, wenn gewünscht.

g) Klicken Sie auf OK.

Die neue Domäne wird angelegt. Ein Benutzer und/oder ein Computer wird bei derAutoregistrierung automatisch dieser Domäne zugeordnet. Unterhalb des Domänen-Containerswird das Standardverzeichnis .Automatisch registriert angelegt. Es kann weder umbenanntnoch gelöscht werden.

7.5.2.8 Umbenennen einer DomäneAls Sicherheitsbeauftragter mit den nötigen Berechtigungen können Sie eine Domäneumbenennen und weitere Eigenschaften für sie festlegen. Sie benötigen das ZugriffsrechtVoller Zugriff für die relevante Domäne.


2. Rechts-klicken Sie im linken Navigationsfenster auf der Domäne, die umbenannt werdensoll, und wählen Sie Eigenschaften.

3. Ändern Sie in Allgemeine Informationen unter Vollst. Name den Namen der Domäneund die Beschreibung.

4. In Netbios Name können Sie den Namen des Domänen-Controllers ändern.

5. Außerdem können Sie in der Registerkarte Containereinstellungen denWake-on-LAN-Modus für den automatischen Neustart festlegen.

289

Administratorhilfe


Die Änderungen sind nun gespeichert.

7.5.2.9 Löschen einer DomäneAls Sicherheitsbeauftragter mit den nötigen Berechtigungen können Sie Domänen löschen.Um eine Domäne zu löschen, benötigen Sie das Zugriffsrecht Voller Zugriff für die relevanteDomäne.

Hinweis: Falls die Domäne Mitglieder hatte, werden diese ebenfalls gelöscht.


2. Rechts-klicken Sie im linken Navigationsfenster auf der Domäne, die gelöscht werden soll,und wählen Sie Löschen.


Die Domäne wird gelöscht. Eventuelle Mitglieder werden ebenfalls gelöscht.

Hinweis: Wenn Sie das Zugriffsrecht Voller Zugriff nicht für alle Mitglieder der Domänehaben, schlägt das Löschen der Domäne fehl und es wird eine Fehlermeldung angezeigt.

7.5.2.10 Löschen von automatisch registrierten ComputernWenn ein automatisch registrierter Computer gelöscht wird, werden alle lokalen Benutzerdieses Computers ebenfalls gelöscht. Bei der nächsten Anmeldung dieses Computers wirder erneut automatisch registriert.

7.5.2.11 Filter für lokale Objekte

7.5.2.11.1 Benutzer und Computer

Unter Benutzer & Computer können Sie die Ansicht im linken Navigationsfenster nachlokalen Benutzern filtern oder einen bestimmten lokalen Benutzer suchen.


2. Klicken Sie links unten im Navigationsbereich auf Filter.

3. Wählen Sie bei Typ die Option Lokaler Benutzer. Wenn Sie einen bestimmten Benutzersuchen, geben Sie noch dessen Namen ein.

4. Klicken Sie auf das Lupen-Symbol.

Die Ansicht auf Benutzer & Computer wird entsprechend den Kriterien gefiltert.

Hinweis: Microsoft Konten werden immer als SafeGuard Enterprise Gastbenutzer behandelt.

7.5.2.11.2 Protokollierte Ereignisse für Benutzer, Computer oder Arbeitsgruppen

Die erfolgreiche bzw. nicht erfolgreiche Registrierung eines Benutzers, Computers oder einerArbeitsgruppe wird protokolliert. Sie können eine Liste dieser Ereignisse im SafeGuardManagement Center unter Berichte in der Ereignisanzeige auflisten lassen.

7.6 Schlüssel und ZertifikateSafeGuard Enterprise erzeugt in der Standardeinstellung beim Import der Verzeichnisstrukturautomatisch Schlüssel für:

■ Domänen

■ Container/OUs

290


und weist diese den entsprechenden Objekten zu. Computer- und Benutzerschlüssel werdenbei Bedarf erzeugt.

Schlüssel für Gruppen

In der Standardeinstellung erzeugt SafeGuard Enterprise nicht automatisch Schlüssel fürGruppen. Dieses Verhalten ist standardmäßig deaktiviert. All Sicherheitsbeauftragter könnenSie dieses Verhalten in der Schlüssel Registerkarte ändern, indem Sie Extras > Optionenwählen. Ist in der Schüssel Registerkarte die Option Gruppen ausgewählt, so generiertSafeGuard Enterprise automatisch Gruppenschlüssel, wenn die Datenbank synchronisiertwird. In der Registerkarte Synchronisierungwird unten angegeben, für was Schlüssel beider Durchführung der Synchronisierung erzeugt werden.

Schlüssel können nicht gelöscht werden! Sie sind immer in der SafeGuard EnterpriseDatenbank enthalten.

Beim ersten Starten eines Endpoints erzeugt SafeGuard Enterprise einen Computerschlüsselfür diesen Endpoint (definierter Computerschlüssel).

Hinweis: Der definierte Computerschlüssel wird nur dann erzeugt, wenn volume-basierendeVerschlüsselung auf dem Endpoint installiert ist.

Bei der Anmeldung erhält jeder Benutzer alle Schlüssel aus seinem Schlüsselbund. DieserSchlüsselbund besteht aus:

■ aus den Schlüsseln der Gruppen, in denen der Benutzer Mitglied ist.

■ aus den Schlüsseln der den Gruppen, in denen er Mitglied ist, übergeordnetenContainer/OUs.

Durch die Schlüssel in seinem Schlüsselbund ist festgelegt, auf welche Daten der Benutzerzugreifen kann. Es ist dem Benutzer nur möglich, auf Daten zuzugreifen, für die er denpassenden Schlüssel besitzt.

Hinweis: Um zu vermeiden, dass zu viele nicht benutzte Schlüssel im Schlüsselring desBenutzers angezeigt werden, können Sie festlegen, dass Schlüssel ausgeblendet werdensollen. Weitere Informationen finden Sie unter Verbergen von Schlüsseln (Seite 293).

Alle vorhandenen Schlüssel werden angezeigt, wenn Sie im Navigationsbereich des SafeGuardManagement Center auf Benutzer & Computer klicken und die Registerkarte Schlüsselwählen.

Alle überhaupt vorhandenen Schlüssel können angezeigt werden, wenn Sie imNavigationsbereich des SafeGuard Management Centers auf Schlüssel und Zertifikateklicken und Schlüssel wählen. Sie können Listen für Zugewiesene Schlüssel und InaktiveSchlüssel generieren.

Hinweis: Die Liste Zugewiesene Schlüssel zeigt nur die Schlüssel, die Objekten zugewiesensind, für die Sie die Zugriffsrechte Schreibgeschützt oder Voller Zugriff haben. In der AnsichtSchlüssel wird die Anzahl an allen verfügbaren Schlüsseln ungeachtet Ihrer Zugriffsrechteangegeben. Die Liste Zugewiesene Schlüssel zeigt die Anzahl an Schlüsseln, die gemäßIhren Zugriffsrechten sichtbar sind.

1. Diese Ansicht wird durch Klicken auf Benutzer & Computer geöffnet.

2. Die Schlüssel eines hier markierten Objekts werden im Aktionsbereich und in dendazugehörigen Ansichten angezeigt

3. Die Anzeige im Aktionsbereich ist abhängig von der Auswahl im Navigationsbereich. Eswerden alle dem ausgewählten Objekt zugewiesenen Schlüssel angezeigt.

4. Unter Verfügbare Schlüssel werden alle verfügbaren Schlüssel angezeigt. Demausgewählten Objekt bereits zugewiesene Schlüssel sind ausgegraut. Über Filter kann

291

Administratorhilfe

zwischen bereits einem Objekt zugewiesenen (aktiven) und noch keinem Objektzugewiesenen (inaktiven) Schlüsseln umgeschaltet werden.

Nach dem Import verfügt jeder Benutzer über eine Anzahl von Schlüsseln, die zurDatenverschlüsselung verwendet werden können.

7.6.1 Schlüssel für die Datenverschlüsselung

Benutzern können bestimmte Schlüssel zur Verschlüsselung von Volumes zugewiesen werden,indem Richtlinien vom Typ Geräteschutz angelegt werden.

In einer Richtlinie vom Typ Geräteschutz können Sie die Einstellung Schlüssel für dieVerschlüsselung für jedes Medium festlegen.

Hier können Sie festlegen, welche Schlüssel der Benutzer bei der Verschlüsselung verwendendarf bzw. muss:

■ Beliebiger Schlüssel im Schlüsselring des Benutzers

Benutzer können nach der Anmeldung an Windows auswählen, welchen Schlüssel sie fürdie Verschlüsselung des Laufwerks verwenden möchten. Es wird ein Dialog angezeigt, indem die Benutzer den gewünschten Schlüssel auswählen können.

■ Alle, außer persönliche Schlüssel im Schlüsselring

Benutzer dürfen ihren persönlichen Schlüssel nicht verwenden, um Daten zu verschlüsseln.

■ Beliebiger Gruppenschlüssel im Schlüsselring des Benutzers

Benutzer dürfen nur aus den in ihrem Schlüsselbund vorhandenen Gruppenschlüsselnauswählen.

■ Definierter Computerschlüssel

Der definierte Computerschlüssel ist der einzigartige Schlüssel, der von SafeGuardEnterprise nur für den jeweiligen Computer während des ersten Startvorgangs erzeugtwird. Der Benutzer hat keine Auswahlmöglichkeit. Ein definierter Computerschlüssel wirdnur für die Boot- und Systempartition eingesetzt und für Laufwerke, auf denen sichDokumente und Einstellungen befinden.

■ Definierter Schlüssel aus der Liste

Diese Option erlaubt es Ihnen, einen bestimmten Schlüssel zu definieren, der vom Benutzerzur Verschlüsselung verwendet werden muss. Wenn Sie dem Benutzer einen Schlüsselauf diese Weise vorgeben wollen, müssen Sie unter Für Verschlüsselung definierterSchlüssel einen Schlüssel festlegen. Diese Option wird erst angezeigt, wenn SieDefinierter Schlüssel aus der Liste ausgewählt haben.

Wenn Sie auf die [...] Schaltfläche neben der Option Für Verschlüsselung definierterSchlüssel klicken, wird ein Dialog angezeigt, in dem Sie einen Schlüssel angeben können.Stellen Sie sicher, dass der Benutzer auch den entsprechenden Schlüssel hat.

Markieren Sie den gewünschten Schlüssel und klicken Sie auf OK. Der ausgewählteSchlüssel wird auf dem Endpoint-Computer zur Verschlüsselung verwendet.

7.6.1.1 Zuweisen von Schlüsseln im Bereich Benutzer & ComputerUm Schlüssel zuzuweisen, benötigen Sie das Zugriffsrecht Voller Zugriff für das relevanteObjekt.

292


So weisen Sie Benutzern neue Schlüssel zu:


2. Wählen Sie im Navigationsbereich das gewünschte Objekt aus (z. B. Benutzer, Gruppeoder Container).

3. Klicken Sie mit der rechten Maustaste auf die Registerkarte Schlüssel und wählen SieNeuen Schlüssel zuweisen aus dem Kontextmenü.

4. Führen Sie im Dialog Neuen Schlüssel zuweisen folgende Aufgaben aus:

a) Geben Sie einen Symbolischen Namen und eine Beschreibung für den Schlüsselein.

b) Um den Schlüssel im Schlüsselring des Benutzers zu verbergen, wählen Sie dasKontrollkästchen Schlüssel verbergen.


Der Schlüssel wird zugewiesen und in der Schlüssel Registerkarte angezeigt.

7.6.1.2 Verbergen von SchlüsselnUm zu vermeiden, dass zu viele nicht benutzte Schlüssel im Schlüsselring des Benutzers aufdem Endpoint angezeigt werden, können Sie festlegen, dass Schlüssel ausgeblendet werdensollen. Schlüssel, die nicht im Schlüsselring des Benutzers angezeigt werden, können trotzdemnoch für den Zugriff auf verschlüsselte Dateien benutzt werden. Sie können jedoch nicht fürdas Verschlüsseln neuer Dateien verwendet werden.

So verbergen Sie Schlüssel:


2. Klicken Sie im Navigationsbereich auf Schlüssel und wählen Sie Zugewiesene Schlüssel.

Das Fenster Zugewiesene Schlüssel mit der Spalte Schlüssel verbergen wird angezeigt.

3. Hier gibt es zwei Möglichkeiten:

■ Wählen Sie das Kontrollkästchen Schlüssel verbergen für den gewünschten Schlüssel.

■ Wählen Sie einen oder mehrere Schlüssel aus und öffnen Sie das Kontextmenü perRechtsklick.

Wählen Sie Schlüssel vor Benutzer verbergen.


Die angegebenen Schlüssel werden nicht im Schlüsselring des Benutzers angezeigt.

Weitere Informationen zum Anzeigen des Schlüsselrings des Benutzers auf dem Endpointfinden Sie in der SafeGuard Enterprise Benutzerhilfe im Kapitel System Tray Icon undBalloon-Ausgabe.

Hinweis: Wenn in einer Richtlinie ein verborgener Schlüssel für die Verschlüsselung festgelegtist, hat die Einstellung Schlüssel verbergen keine Auswirkungen auf die Verschlüsselungauf dem Endpoint.

7.6.2 Persönliche Schlüssel für die dateibasierende Verschlüsselung mitFile Encryption

Ein persönlicher Schlüssel ist eine besondere Art von Verschlüsselungschlüssel, der für einenbestimmten Benutzer erzeugt wird und nicht mit anderen Benutzern gemeinsam verwendet

293

Administratorhilfe

werden kann. Ein persönlicher Schlüssel, der für einen bestimmten Benutzer aktiv ist, wirdals aktiver persönlicher Schlüssel bezeichnet. Aktive persönliche Schlüssel können anderenBenutzern nicht zugewiesen werden.

In File Encryption Richtlinien können Sie Verschlüsselungsregeln mit dem PlatzhalterPersönlicher Schlüssel statt eines Schlüsselnamens definieren. Für solche Regeln wird alsVerschlüsselungsschlüssel der aktive persönliche Schlüssel des Benutzers verwendet.

Wenn Sie eine Verschlüsselungsregel für den Pfad C:\encrypt für die Verschlüsselung mitdem persönlichen Schlüssel definieren, werden für die einzelnen Benutzer unterschiedlicheSchlüssel verwendet. So können Sie sicherstellen, dass die Informationen in spezifischenOrdnern für die Benutzer privat sind. Weitere Informationen finden Sie unter PfadbasierteDateiverschlüsselung (Seite 157).

Wenn eine File Encryption Verschlüsselungsregel einen persönlichen Schlüssel für dieVerschlüsselung vorsieht, werden für die relevanten Benutzer automatisch persönlicheSchlüssel erzeugt, wenn sie noch keine aktiven persönlichen Schlüssel haben.

Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie persönliche Schlüsselfür ausgewählte Benutzer oder alle Benutzer in ausgewählten Gruppen im SafeGuardManagement Center erzeugen. Sie können aktive persönliche Schlüssel auch zurückstufen,wenn zum Beispiel ein Benutzer das Unternehmen verlässt.

7.6.2.1 Automatisches Erzeugen von persönlichen SchlüsselnWenn eine File Encryption Verschlüsselungsregel einen persönlichen Schlüssel für dieVerschlüsselung vorsieht und der Benutzer noch keinen aktiven persönlichen Schlüssel hat,erzeugt der SafeGuard Enterprise Server diesen automatisch. Nach Eingang der Richtlinieauf dem Endpoint kann der Benutzer so lange keine neuen Dateien in den von der FileEncryption Verschlüsselungsregel abgedeckten Ordner anlegen, bis der erforderliche aktivepersönliche Schlüssel verfügbar wird.

Wenn Sie zum ersten Mal File Encryption Richtlinien mit Verschlüsselungsregeln mitpersönlichen Schlüsseln auf eine größere Gruppe von Benutzern (mehrere hundert odermehr) anwenden, die noch keine aktiven persönlichen Schlüssel haben, empfehlen wir,persönliche Schlüssel im SafeGuard Management Center zu erzeugen (siehe Erzeugen vonpersönlichen Schlüsseln für mehrere Benutzer (Seite 295)). Dies reduziert die Auslastung desSafeGuard Enterprise Servers.

7.6.2.2 Erzeugen eines persönlichen Schlüssels für einzelne BenutzerUm einen persönlichen Schlüssel zu erzeugen, benötigen Sie die Rechte Schlüssel erzeugenund Schlüssel zuweisen. Darüber hinaus benötigen Sie das Zugriffsrecht Voller Zugriff fürdas relevante Objekt. Um einen aktiven persönlichen Schlüssel zu ersetzen, benötigen Siedas Recht Persönliche Schlüssel verwalten.


2. Wählen Sie im Navigationsbereich den gewünschten Benutzer.

3. Klicken Sie mit der rechten Maustaste auf die Registerkarte Schlüssel und wählen SieNeuen Schlüssel zuweisen aus dem Kontextmenü.

4. Führen Sie im Dialog Neuen Schlüssel zuweisen folgende Aufgaben aus:

a) Geben Sie eine Beschreibung für den persönlichen Schlüssel ein.

b) Um den persönlichen Schlüssel im Schlüsselring des Benutzers zu verbergen, wählenSie Schlüssel verbergen.

5. Abhängig davon, ob Sie einen persönlichen Schlüssel für einen Benutzer erzeugen, derbereits eine aktiven persönlichen Schlüssel hat, oder für einen Benutzer ohne einen solchen

294


Schlüssel, zeigt der Dialog Neuen Schlüssel zuweisen verschiedene Kontrollkästchen.Wählen Sie das jeweils angezeigte Kontrollkästchen, um den neuen Schlüssel alspersönlichen Schlüssel zu definieren:

■ Persönlicher Schlüssel: Dieses Kontrollkästchen wird für Benutzer angezeigt, dienoch keinen aktiven persönlichen Schlüssel haben.

■ Aktiven persönlichen Schlüssel ersetzen: Dieses Kontrollkästchen wird für Benutzerangezeigt, die bereits einen aktiven persönlichen Schlüssel haben.


Der persönliche Schlüssel wird für den ausgewählten Benutzer erzeugt. In der RegisterkarteSchlüssel wird der Schlüssel als Aktiver persönlicher Schlüssel für den Benutzer angezeigt.Bei Benutzern, die bereits einen aktiven persönlichen Schlüssel hatten, wird der vorhandeneSchlüssel zurückgestuft und der Benutzer erhält einen neuen. Der zurückgestufte persönlicheSchlüssel verbleibt im Schlüsselring des Benutzers. Der aktive persönlichen Schlüssel kannanderen Benutzern nicht zugewiesen werden.

7.6.2.3 Erzeugen von persönlichen Schlüsseln für mehrere BenutzerUm persönliche Schlüssel zu erzeugen, benötigen Sie die Rechte Schlüssel erzeugen undSchlüssel zuweisen. Darüber hinaus benötigen Sie das Zugriffsrecht Voller Zugriff für allebeteiligten Objekte. Um aktive persönliche Schlüssel zu ersetzen, benötigen Sie das RechtPersönliche Schlüssel verwalten.


2. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf den Knoten, für den Siepersönliche Schlüssel erzeugen möchten:

■ auf einen Domänenknoten,■ auf den Knoten .Automatisch registriert im Stammverzeichnis oder in Domänen oder■ auf einen Knoten einer Organisationseinheit.

3. Wählen Sie aus dem Kontextmenü den Befehl Persönliche Schlüssel für Benutzererzeugen.

4. Führen Sie im Dialog Persönliche Schlüssel für Benutzer erzeugen folgende Schrittedurch:

a) Geben Sie eine Beschreibung für die persönlichen Schlüssel ein.

b) Um die persönlichen Schlüssel im Schlüsselring der Benutzer zu verbergen, wählenSie Schlüssel verbergen.

c) Um vorhandene, aktive Schlüssel durch neue zu ersetzen, wählen Sie Vorhandene,aktive persönliche Schlüssel ersetzen.


Für alle Benutzer im ausgewählten Knoten werden persönliche Schlüssel erzeugt. In derRegisterkarte Schlüssel werden die Schlüssel als Aktive persönliche Schlüssel für dieBenutzer angezeigt.Wenn Benutzer bereits zuvor einen aktiven persönlichen Schlüssel hattenund Sie Vorhandene, aktive persönliche Schlüssel ersetzen gewählt haben, werden dievorhandenen Schlüssel zurückgestuft und die Benutzer erhalten neue. Die zurückgestuftenpersönlichen Schlüssel verbleiben in den Schlüsselringen der Benutzer. Die einzelnen aktivenpersönlichen Schlüssel können anderen Benutzern nicht zugewiesen werden.

295

Administratorhilfe

7.6.2.4 Zurückstufen von aktiven persönlichen SchlüsselnUm aktive persönliche Schlüssel zurückzustufen, benötigen Sie die Rechte Schlüssel ändernund Persönliche Schlüssel verwalten. Das Recht Persönliche Schlüssel verwalten iststandardmäßig der vordefinierten Rolle des Haupt-Sicherheitsbeauftragten (Master SecurityOfficer) zugewiesen. Es kann jedoch auch neuen, benutzerdefinierten Rollen zugewiesenwerden. Darüber hinaus benötigen Sie das Zugriffsrecht Voller Zugriff für das relevanteObjekt.

Sie können aktive persönliche Schlüssel manuell zurückstufen, wenn zum Beispiel ein Benutzerdas Unternehmen verlässt. Wenn Sie das Recht Persönliche Schlüssel verwalten haben,können Sie den zurückgestuften persönlichen Schlüssel dieses Benutzers anderen Benutzernzuweisen, um Ihnen Lesezugriff auf Dateien zu gewähren, die mit diesem Schlüsselverschlüsselt sind. Der Schlüssel kann jedoch nicht zum Verschlüsseln von Dateien verwendetwerden.

Hinweis: Dieser Vorgang kann nicht rückgängig gemacht werden. Ein zurückgestufterpersönlicher Schlüssel kann nicht mehr als aktiver persönlicher Schlüssel verwendet werden,egal für welchen Benutzer.


2. Wählen Sie im Navigationsbereich den gewünschten Benutzer.

3. Klicken Sie in der Registerkarte Schlüssel mit der rechten Maustaste auf den gewünschtenAktiven persönlichen Schlüssel und wählen Sie Persönlichen Schlüssel zurückstufenaus dem Kontextmenü.

Der Schlüssel wird zurückgestuft. Er ist immer noch ein persönlicher Schlüssel, kann jedochnicht mehr als aktiver persönlicher Schlüssel verwendet werden. Wenn eine File EncryptionVerschlüsselungsregel den persönlichen Schlüssel für die Verschlüsselung vorsieht und derBenutzer keinen aktiven persönlichen Schlüssel hat, erzeugt der SafeGuard Enterprise Serverdiesen automatisch.

7.6.3 Zertifikate■ Einem Benutzer kann jeweils nur ein Zertifikat zugewiesen sein. Wenn dieses

Benutzerzertifikat auf einem Token gespeichert ist, können die Benutzer sich nur mitdiesem Token (kryptographischer Token - Kerberos) an ihrem Endpoint anmelden.

■ Beachten Sie, dass beim Importieren eines Benutzerzertifikats sowohl der öffentliche alsauch der private Bereich des Zertifikats importiert werden.Wird nur der öffentliche Bereichimportiert, so wird nur die Anmeldung mit Token unterstützt.

■ Die Kombination aus CA Zertifikaten und CRL (Certificate Revocation List) Zertifikatenmuss übereinstimmen. Andernfalls können sich die Benutzer nicht an den entsprechendenEndpoints anmelden. Bitte überprüfen Sie, ob die Kombination korrekt ist. SafeGuardEnterprise übernimmt diese Überprüfung nicht!

■ Wenn Certification Authority (CA) Zertifikate in der Datenbank gelöscht werden und Siediese nicht mehr verwenden möchten, sollten Sie diese Zertifikate manuell aus dem lokalenSpeicher aller Administrator-Computer entfernen.

SafeGuard Enterprise kann dann nur mit ablaufenden Zertifikaten umgehen, wenn deralte und neue private Schlüssel auf demselben Token stehen.

■ CA-Zertifikate können nicht von einem Token entnommen und in der Datenbank oder imZertifikatsspeicher gespeichert werden. Wenn Sie CA-Zertifikate verwenden möchten,

296


müssen diese in Dateiform zur Verfügung stehen, nicht nur auf einem Token. Dies giltauch für CRLs.

■ Von SafeGuard Enterprise generierte Zertifikate sind mit SHA-1 oder SHA-256 zurVerifizierung signiert. SHA-256 bietet erweiterte Sicherheit und wird standardmäßig fürErstinstallationen benutzt. Wenn Sie noch Endpoints mit SafeGuard Enterprise 6 oderälter verwalten müssen oder wenn Sie eine ältere Version aktualisieren, wird standardmäßigSHA-1 benutzt.

■ Zertifikate, die vom Kunden zur Verfügung gestellt und in SafeGuard Enterprise importiertwerden, werden derzeit nicht gemäß RFC3280 verifiziert. So wird z. B. nicht verhindert,dass Signatur-Zertifikate für Verschlüsselungszwecke benutzt werden.

■ Die Anmeldezertifikate für Sicherheitsbeauftragte müssen sich im “MY” Zertifikatspeicherbefinden.

Hinweis: Die Liste Zugewiesene Zertifikate unter Schlüssel und Zertifikate zeigt nur dieZertifikate, die Objekten zugewiesen sind, für die Sie die Zugriffsrechte Schreibgeschütztoder Voller Zugriff haben. In der Ansicht Zertifikat wird die Anzahl an allen verfügbarenZertifikaten ungeachtet Ihrer Zugriffsrechte angegeben. Die Liste Zugewiesene Zertifikatezeigt die Anzahl an Zertifikaten, die gemäß Ihren Zugriffsrechten sichtbar sind.

Um Zertifikate zu ändern, benötigen Sie das Zugriffsrecht Voller Zugriff für den Container,in dem sich der Benutzer befindet.

7.6.3.1 Importieren von CA-Zertifikaten und Certificate Revocation ListsWenn CA-Zertifikate verwendet werden, importieren Sie die vollständige CA-Hierarchieeinschließlich aller CRLs in die SafeGuard-Datenbank. CA-Zertifikate können nicht von Tokenentnommen werden. Diese Zertifikate müssen als Dateien zur Verfügung stehen, damit Siesie in die SafeGuard Enterprise Datenbank importieren können. Dies gilt auch für CertificateRevocation Lists (CRL).


2. Wählen Sie Zertifikate und klicken Sie auf das CA-Zertifikate importieren Symbol in derSymbolleiste. Suchen Sie die CA-Zertifikatsdateien, die Sie importieren möchten.

Die importierten Zertifikate werden im rechten Aktionsbereich angezeigt.

3. Wählen Sie Zertifikate und klicken Sie auf das CRL importieren Symbol in derSymbolleiste. Suchen Sie die CRL-Dateien, die Sie importieren möchten.

Die importierten CRLs werden im rechten Aktionsbereich angezeigt.

4. Überprüfen Sie, ob CA und CRL korrekt sind und übereinstimmen. Die Kombination vonCA-Zertifikaten und CRL zusammenpassen, da ansonsten eine Anmeldung an allenbetroffenen Computern nicht mehr möglich ist. SafeGuard Enterprise übernimmt dieseÜberprüfung nicht.

7.6.3.2 Ändern des Algorithmus für selbst-signierte ZertifikateVoraussetzungen: Alle SafeGuard Enterprise Komponenten müssen die Version 6.1. oderspäter haben.

Von SafeGuard Enterprise erzeugte Zertifikate, zum Beispiel Unternehmens-, Maschinen-,Sicherheitsbeauftragten- und Benutzerzertifikate, sind bei einer Erstinstallation standardmäßigzur Erweiterung der Sicherheit mit dem Hash-Algorithmus SHA-256 signiert.

297

Administratorhilfe

Bei der Aktualisierung von SafeGuard Enterprise 6 oder einer früheren Version wird fürselbst-signierte Zertifikate automatisch der Hash-Algorithmus SHA-1 benutzt. Nach Abschlussder Aktualisierung können Sie den Hash-Algorithmus für erweiterte Sicherheit manuell zuSHA-256 ändern.

Hinweis: Ändern Sie den Algorithmus nur dann zu SHA-256, wenn bei allen SafeGuardEnterprise Komponenten und Endpoints eine Aktualisierung auf die aktuelle Versiondurchgeführt wurde. In gemischten Umgebungen, in denen zum Beispiel SafeGuard Enterprise6 Endpoints mit dem SafeGuard Management Center 7 verwaltet werden, wird SHA-256 nichtunterstützt. Wenn Sie eine gemischte Umgebung benutzen, dürfen Sie diesen Vorgang nichtausführen. In diesem Fall dürfen Sie den Algorithmus nicht zu SHA-256 ändern.

Zum Ändern des Algorithmus für selbst-signierte Zertifikate müssen Sie folgendeHandlungsschritte ausführen:

■ Ändern des Hash-Algorithmus

■ Erzeugen einer Certificate Change Order (CCO)

■ Erzeugen eines Konfigurationspakets mit der CCO

■ Neustart der SafeGuard Enterprise (Datenbank-) Server

■ Verteilen und Installieren der Konfigurationspakete auf den Endpoints

So ändern Sie den Algorithmus für selbst-signierte Zertifikate:


2. Wählen Sie in der Registerkarte Allgemein unter Zertifikate den erforderlichen Algorithmusin Hash-Algorithmus für erzeugte Zertifikate aus und klicken Sie auf OK.

3. Klicken Sie in der Registerkarte Zertifikate unter Anforderung auf Aktualisieren. GebenSie im Dialog Unternehmenszertifikat aktualisieren einen Namen für die CCO an undlegen Sie einen Backup-Pfad fest. Geben Sie ein Kennwort für die P12-Datei ein undbestätigen Sie Ihre Eingabe. Geben Sie nach Wunsch eine Anmerkung ein und klickenSie auf Erzeugen.

4. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass diese Änderung nicht rückgängiggemacht werden kann und dass alle nachfolgend erstellten Konfigurationspakete dieseCCO enthalten müssen, damit Sie auf bereits installierten Endpoints wirksam werdenkönnen.

5. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass die Aktualisierung erfolgreichwar und dass eine CCO erzeugt wurde, die in alle Konfigurationspakete aufgenommenwerden soll. Klicken Sie auf OK.


7. Wählen Sie den erforderlichen Konfigurationspakettyp: Pakete für Managed Clients oderPakete für Standalone Clients.

8. Klicken Sie auf Konfigurationspaket hinzufügen und geben Sie einen Namen Ihrer Wahlfür das Konfigurationspaket ein.

9. Wählen Sie die zuvor erstellte CCO.

10. Treffen Sie je nach Anforderung eine zusätzliche Auswahl.



Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt.

13. Starten Sie alle SafeGuard Enterprise (Datenbank-) Server neu.

14. Verteilen Sie das Paket an die durch SafeGuard Enterprise geschützten Endpoints zurInstallation.

298


Alle durch SafeGuard Enterprise generierten Zertifikate werden mit dem neuen Algorithmussigniert. Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 116791.

7.6.4 Exportieren des Unternehmenszertifikats und des Zertifikats desHaupt-Sicherheitsbeauftragten

In einer SafeGuard Enterprise Installation sind die beiden folgenden Elemente vonentscheidender Bedeutung und erfordern daher die Erstellung von Backups an einem sicherenSpeicherort:

■ das in der SafeGuard-Datenbank gespeicherte Unternehmenszertifikat

■ das Zertifikat des Haupt-Sicherheitsbeauftragten (MSO) im Zertifikatsspeicher desComputers, auf dem das SafeGuard Management Center installiert ist.

Beide Zertifikate lassen sich als .p12 Dateien zur Erstellung von Sicherungskopien exportieren.Um Installationen wiederherzustellen, können Sie die relevanten Unternehmens- undSicherheitsbeauftragtenzertifikate als .p12 Dateien importieren und Sie beim Einrichten einerneuen Datenbank benutzen. Dadurch vermeiden Sie das Wiederherstellen der gesamtenDatenbank.

Hinweis: Wir empfehlen, diesen Vorgang direkt nach der Erstkonfiguration des SafeGuardManagement Centers auszuführen.

7.6.4.1 Exportieren von UnternehmenszertifikatenHinweis: Nur Haupt-Sicherheitsbeauftragte sind dazu berechtigt, Unternehmenszertifikatezur Erstellung eines Backups zu exportieren.


2. Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im BereichUnternehmenszertifikat auf Exportieren.



Das Unternehmenszertifikat wird als P12-Datei an den definierten Speicherort exportiert undkann für Recovery-Vorgänge benutzt werden.

7.6.4.2 Exportieren des Zertifikats des Haupt-SicherheitsbeauftragtenSo erstellen Sie ein Backup des Zertifikats des derzeit am SafeGuard Management Centerangemeldeten Haupt-Sicherheitsbeauftragten:


2. Wählen Sie die Registerkarte Zertifikate und klicken Sie im Bereich <Administrator>Zertifikat auf Exportieren.



Das Zertifikat des derzeit angemeldeten Haupt-Sicherheitsbeauftragten wird als P12-Dateian den definierten Speicherort exportiert und kann für Recovery-Vorgänge benutzt werden.

299

Administratorhilfe


7.7 Company Certificate Change OrdersCompany Certificate Change Orders (CCOs) werden in folgenden Fällen verwendet:

■ Zum Erneuern des Unternehmenszertifikats, wenn dieses bald abläuft.

Die Erneuerung des Unternehmenszertifikats ist für zentral verwaltete Endpoints undStandalone-Endpoints möglich. Der Vorgang kann jedoch nur von der Management-Konsoleaus ausgelöst werden.

■ Zum Verschieben von Standalone-Endpoints in eine andere Umgebung, wenn Siezum Beispiel zwei verschiedene Sophos SafeGuard Umgebungen haben und Sie diesein eine Sophos SafeGuard Umgebung zusammenführen möchten. Eine der beidenUmgebungen muss hier jeweils die Ziel-Umgebung sein.

Hierzu wird das Unternehmenszertifikat der Endpoints einer Umgebung durch dasUnternehmenszertifikat der Zielumgebung ausgetauscht.

Hinweis: Nur Haupt-Sicherheitsbeauftragte sind zum Erzeugen von CCOs berechtigt.Um andere Sicherheitsbeauftragte dazu zu berechtigen, CCOs zu erzeugen, muss derHauptsicherheitsbeauftragte eine benutzerdefinierte Rolle erstellen und dieser das RechtCCOs verwalten zuweisen.

7.7.1 Erneuern des Unternehmenszertifikats

Ein Unternehmenszertifikat, das bald abläuft, kann im SafeGuard Management Center erneuertwerden. Sechs Monate vor Ablauf des Unternehmenszertifikat wird bei jeder Anmeldung andas SafeGuard Management Center eine Warnung angezeigt. Ohne gültigesUnternehmenszertifikat können Endpoints keine Verbindung mit dem Server herstellen. DieErneuerung des Unternehmenszertifikats erfolgt in drei Schritten:

■ Erzeugen einer Certificate Change Order (CCO)

■ Erzeugen eines Konfigurationspakets mit der CCO

■ Neustart der Server und Verteilen der Konfigurationspakete an die Endpoints

So erneuern Sie das Unternehmenszertifikat:


2. Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich Anforderungauf Aktualisieren.

3. Geben Sie im Dialog Unternehmenszertifikat aktualisieren einen Namen für die CCOan und legen Sie einen Backup-Pfad fest. Geben Sie ein Kennwort für die P12-Datei einund bestätigen Sie Ihre Eingabe. Geben Sie nach Wunsch eine Anmerkung ein und klickenSie auf Erzeugen.

4. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass diese Änderung nicht rückgängiggemacht werden kann und dass alle nachfolgend erstellten Konfigurationspakete dieseCCO enthalten müssen, damit Sie auf bereits installierten Endpoints wirksam werdenkönnen.

5. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass die Aktualisierung erfolgreichwar und dass eine CCO erzeugt wurde, die in alle Konfigurationspakete aufgenommenwerden soll. Klicken Sie auf OK.



300


8. Klicken Sie auf Konfigurationspaket hinzufügen und geben Sie einen Namen Ihrer Wahlfür das Konfigurationspaket ein.

9. Ordnen Sie einen Primären Server zu (der Sekundäre Server ist nicht notwendig).

10. Wählen Sie die zuvor zur Aktualisierung des Unternehmenszertifikats erstellte CCO.

11. Wählen Sie den Modus für die Transportverschlüsselung, der bestimmt, wie dieVerbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Serververschlüsselt wird: SafeGuard-Transportverschlüsselung oder SSL-Verschlüsselung.

Der Vorteil bei SSL ist, dass es ein Standardprotokoll ist und eine schnellere Verbindungaufgebaut werden kann als mit der SafeGuard Transportverschlüsselung.SSL-Verschlüsselung wird standardmäßig ausgewählt. Weitere Informationen zurAbsicherung von Transportverbindungen mit SSL finden Sie unter Sichern vonTransportverbindungen mit SSL (Seite 48).




Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Starten Sie alleSGN Server neu. Sie müssen das Paket auf den Endpoints verteilen und installieren.

7.7.2 Ersetzen des Unternehmenszertifikats

Das Ersetzen des Unternehmenszertifikats ist notwendig, wenn Sie einen Endpoint von einerStandalone-Umgebung in eine andere verschieben möchten. Der zu verschiebende Endpointbenötigt das Unternehmenszertifikat der Umgebung, in die er verschoben werden soll.Andernfalls akzeptiert der Endpoint keine Richtlinien in der neuen Umgebung.


Definieren Sie, welche Management Center Umgebung die Ausgangs- und welche dieZiel-Umgebung sein soll. Das Ausgangs-Management Center ist jenes, mit dem Sie dieKonfigurationspakete für die Endpoints erstellt haben, die verschoben werden sollen. DasZiel-Management Center ist jenes, in das die Endpoints verschoben werden sollen.

So ersetzen Sie das Unternehmenszertifikat:

1. Öffnen Sie das Ziel-Management Center und wählen Sie Extras > Optionen.

2. Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im BereichUnternehmenszertifikat auf Exportieren.

3. Wenn aufgefordert, geben Sie ein Kennwort für den Zertifikatsspeicher ein und bestätigenSie es und wählen Sie das Zielverzeichnis und den Dateinamen.

Das Unternehmenszertifikat wird exportiert (cer-Datei).

4. Öffnen Sie das Ausgangs-Management Center und wählen Sie Extras > Optionen.

5. Wählen Sie die Registerkarte Zertifikate und klicken Sie im Bereich Anforderung aufErzeugen.

6. Wählen Sie im Dialog CCO erzeugen das Ziel-Unternehmenszertifikat aus, das Sie imZiel-Management Center exportiert haben (Schritt 1). Stellen Sie sicher, dass es sich umdas gewünschte Zertifikat handelt.

301

Administratorhilfe

7. Klicken Sie auf Erzeugen und wählen Sie ein Zielverzeichnis und einen Dateinamen fürdie .cco-Datei aus. Bestätigen Sie, dass Sie eine Company Certificate Change Ordererstellen möchten. Bitte beachten Sie, dass eine Company Certificate Change Order nichtan spezifische Endpoints gebunden ist. Mit einer Company Certificate Change Order lässtsich jeder Client der Ausgangsumgebung verschieben.

8. Importieren Sie im Ziel-Management Center die im Ausgangs-Management Center erzeugteCompany Certificate Change Order.

9. Klicken Sie im Extras Menü auf Konfigurationspakete... und wählen Sie dann dieRegisterkarte CCOs.

10. Klicken Sie auf Importieren.

11. Wählen Sie im Dialog CCO importieren die im Ausgangs-Management Center erzeugteCompany Certificate Change Order und geben Sie einen Namen und nach Wunsch eineBeschreibung ein. Klicken Sie auf OK.

12. Erstellen Sie im Ziel-Management Center ein Konfigurationspaket.

13. Klicken Sie im Menü Extras auf Konfigurationspakete > Pakete für Standalone Clientsund fügen Sie ein neues Konfigurationspaket hinzu.

14. Wählen Sie die importierte Company Certificate Change Order aus dem Dropdown-Menüder Spalte CCO.

15. Geben Sie unter Konfigurationspaket-Ausgabepfad einen Speicherort an.


Das Konfigurationspaket wird am angegebenen Speicherort angelegt.

17. Installieren Sie dieses Konfigurationspaket auf allen Endpoints, die Sie von der Ausgangs-in die Zielumgebung verschieben möchten.

7.7.3 Verwalten von Company Certificate Change Orders

Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.Alle erzeugten CCOs werden in der Registerkarte CCOs angezeigt.

Im unteren Bereich des Dialogs werden detaillierte Informationen zur ausgewählten CCOangezeigt.

Wenn die CCO für die Erneuerung des Unternehmenszertifikats erstellt wurde, wird dasQuell-Unternehmenszertifikat aktualisiert. Wenn die CCO für eine Verschiebung vonEndpoints erstellt wurde, aktualisieren Sie das Unternehmenszertifikat der Umgebung, in diedie Endpoints verschoben werden sollen.

Das Ziel-Unternehmenszertifikat ist das neue Unternehmenszertifikat, wenn die CCO zurAktualisierung des Unternehmenszertifikats oder des Unternehmenszertifikats der Umgebung,in die die Endpoints verschoben werden sollen, erzeugt wurde.

Unter den Zertifikatsinformationen sehen Sie, für welche Vorgänge die ausgewählte CCOverwendet werden kann.

Hinweis: Für die Verwaltung von CCOs benötigen Sie das Recht CCOs verwalten.

7.7.3.1 ImportUm beim Erstellen von Konfigurationspaketen die von einem anderen Management-Werkzeugerstellte CCO auszuwählen um das Unternehmenszertifikat zu ändern, müssen Sie es erstimportieren.

302


Klicken Sie auf Importieren..., um einen Dialog zu öffnen, in dem Sie die CCO auswählenund benennen können. Der hier eingegebene Name wird in der Registerkarte CCOs unterKonfigurationspakete angezeigt.

7.7.3.2 ExportMit der Exportieren Funktion lassen sich in der Datenbank gespeicherte CCOs als.cco-Dateien exportieren.

7.8 LizenzenFür die Nutzung von SafeGuard Enterprise mit dem SafeGuard Management Center improduktiven Betrieb ist eine gültige Lizenz erforderlich. So ist eine gültige Lizenz in derSafeGuard Enterprise Datenbank zum Beispiel die Voraussetzung für die Übertragung vonRichtlinien an die Endpoints. Darüber hinaus sind für die Token-Verwaltung die entsprechendenToken-Lizenzen notwendig.

Sie erhalten Lizenzdateien von Ihrem Vertriebspartner. Diese Dateien müssen nach derInstallation in die SafeGuard Enterprise Datenbank importiert werden.

Die Lizenzdatei enthält u. a. folgende Informationen:

■ Anzahl an erworbenen Lizenzen pro Modul

■ Kundenname

■ Einen festgelegten Toleranzwert für die Überschreitung der Anzahl an erworbenen Lizenzen

Bei Überschreiten der verfügbaren Lizenzen bzw. des Toleranzlimits werden beim Startendes SafeGuard Management Centers entsprechende Warnungs- bzw. Fehlermeldungenausgegeben.

Für die Lizenzverwaltung bietet das SafeGuard Management Center im Bereich Benutzer &Computer einen Überblick zum Lizenzstatus des installierten SafeGuard Enterprise Systems.Der Lizenzstatusüberblick steht in der Registerkarte Lizenzen für den Stamm-Knoten, fürDomänen, OUs, Containerobjekte und Arbeitsgruppen zur Verfügung. Sicherheitsbeauftragteerhalten hier detaillierte Informationen zum Lizenzstatus. Mit der entsprechenden Berechtigungkönnen sie Lizenzen in die SafeGuard Enterprise Datenbank importieren.

7.8.1 Lizenzdatei

Die Lizenzdatei, die Sie zum Importieren in die SafeGuard Enterprise Datenbank erhalten,ist eine .XML-Datei mit Signatur. Sie enthält folgende Informationen:

■ Kundenname

■ Zusätzliche Informationen (zum Beispiel Abteilung, Niederlassung)

■ Datum, an dem die Lizenz ausgestellt wurde.

■ Anzahl an Lizenzen pro Modul

■ Token-Lizenzinformationen

■ Lizenzablaufdatum

303

Administratorhilfe

■ Lizenztyp (Demo- oder Voll-Lizenz)

■ Signatur mit Lizenzsignaturzertifikat

7.8.2 Token-Lizenzen

Für die Verwaltung von Token bzw. Smartcards sind die entsprechenden zusätzlichenToken-Lizenzen erforderlich. Wenn diese Lizenzen nicht zur Verfügung stehen, können Sieim SafeGuard Management Center keine Richtlinien für Token erstellen.

7.8.3 Evaluierungslizenzen

Die Evaluierungslizenzdatei kann für Evaluierungszwecke verwendet werden. Diese Lizenzensind nur für einen bestimmten Zeitraum gültig und haben ein Ablaufdatum, die Funktionalitätist jedoch in keinster Weise eingeschränkt.

Hinweis: Diese Lizenzen dürfen nicht für den regulären produktiven Betrieb genutzt werden.

Nachdem Sie das SafeGuard Management Center installiert und den Konfigurationsassistentenabgeschlossen haben, können Sie die heruntergeladene Testlizenz importieren, siehe Importvon Lizenzdateien (Seite 306).

So lange Sie keine Lizenzdatei importieren, wird Sie das SafeGuard Management Centerdaran erinnern.

7.8.3.1 TestlizenzdateienWenn Sie das Produkt herunterladen, können Sie auch eine Testlizenzdatei herunterladen.Diese Evaluierungslizenz mit der Bezeichnung SafeGuard Enterprise Evaluation Licenseenthält jeweils fünf Lizenzen pro Modul und hat eine zeitlich begrenzte Gültigkeitsdauer vonzwei Jahren ab dem Release-Datum der jeweiligen SafeGuard Enterprise Version.

7.8.3.2 Individuelle Demo-LizenzdateienWenn Sie mehr Lizenzen für Ihre Evaluierung benötigen als in der Standard-Lizenzdateienthalten sind, so besteht auch die Möglichkeit, eine an Ihre spezifischen Anforderungenangepasste Demo-Lizenz zu erhalten.Wenden Sie sich hierzu bitte an Ihren Vertriebspartner.Diese Art der Demo-Lizenz unterliegt ebenfalls einer zeitlichen Beschränkung. Darüber hinausist die Lizenz auf die jeweils mit dem Vertriebspartner vereinbarte Anzahl an Lizenzen proModul beschränkt.

Wenn Sie das SafeGuard Management Center starten, werden Sie durch eineWarnungsmeldung darauf aufmerksam gemacht, dass Sie Demo-Lizenzen nutzen. BeiÜberschreiten der in einer Demo-Lizenz festgelegten Anzahl an verfügbaren Lizenzen oderder zeitlich begrenzten Nutzungsdauer wird eine Fehlermeldung ausgegeben.

7.8.4 Lizenzstatusüberblick

So rufen Sie den Lizenzstatusüberblick auf:


2. Klicken Sie im Navigationsfenster auf der linken Seite auf den Stammknoten, die Domäne,die OU, das Containerobjekt oder die Arbeitsgruppe.

304


3. Wechseln Sie im Aktionsbereich in die Registerkarte Lizenzen.

Der Lizenzstatus wird angezeigt.

Die Anzeige ist in drei Bereiche unterteilt. Der obere Bereich zeigt den Namen des Kunden,für den die Lizenz ausgestellt wurde, sowie das Datum, an dem die Lizenz ausgestellt wurde.

Der mittlere Bereich liefert detaillierte Informationen zur Lizenz. Die einzelnen Spalten enthaltenfolgende Angaben:

ErklärungSpalte

Zeigt den Status der Lizenzen (gültig, Warnung, Fehler) für dasjeweilige Modul durch ein Symbol an.

Status (Symbol)

Zeigt das installierte Modul an.Feature

Zeigt die Anzahl an erworbenen Lizenzen für das installierte Modulan.

Erworbene Lizenzen

Zeigt die Anzahl an genutzten Lizenzen für das installierte Modulan.

Benutzte Lizenzen

Zeigt das Lizenzablaufdatum an.Läuft ab

Gibt die Lizenzart, Demo-Lizenz oder reguläre Lizenz, an.Typ

Zeigt den festgelegten Toleranzwert für die Überschreitung derAnzahl an erworbenen Lizenzen an.

Toleranzwert

Wenn Sie die Registerkarte Lizenzen in einer Domäne/OU aufrufen, zeigt die Übersicht denStatus basierend auf den Computern im jeweiligen Zweig.

Unterhalb dieser Übersicht finden Sie Informationen zu den lizenzierten Token-Modulen.

Im unteren Bereich wird der globale Lizenzstatus unabhängig davon, welche Domäne oderOU ausgewählt wurde, angezeigt. Dies erfolgt durch eine Meldung mit einer dem Ampelprinzipfolgenden Hintergrundfarbe (Grün = gültig, Gelb = Warnung, Rot = Fehler) und ein Symbol.Bei Warnungs- und Fehlermeldungen erhalten Sie außerdem im unteren Bereich Hinweisezur Aufhebung des ungültigen Lizenzstatus.

Die in der Registerkarte Lizenzen angezeigten Symbole haben folgende Bedeutung:

Gültige Lizenz

Warnung

Eine Lizenz für ein Modul befindet sich im Status Warnung, wenn

die Anzahl erworbener Lizenzen überschritten wurde.

die Lizenz abgelaufen ist.

305

Administratorhilfe

Fehler

Eine Lizenz für ein Modul befindet sich im Status Fehler, wenn

der Toleranzwert für die Überschreibung der Anzahl erworbener Lizenzenüberschritten wurde.

die Lizenz vor mehr als einem Monat abgelaufen ist.

Sie können die Ansicht des Lizenzstatusüberblicks aktualisieren, indem Sie auf die SchaltflächeLizenzstatus aktualisieren klicken.

7.8.5 Import von Lizenzdateien

Voraussetzung: Zum Import einer Lizenzdatei in die SafeGuard Enterprise Datenbank benötigtein Sicherheitsbeauftragter das Recht "Lizenzdatei importieren".


2. Klicken Sie im Navigationsfenster auf der linken Seite auf den Stamm-Knoten, die Domäneoder die OU.

3. Wechseln Sie im Aktionsbereich in die Registerkarte Lizenzen.

4. Klicken Sie auf die Schaltfläche Lizenzdatei importieren.

Es wird ein Fenster zur Auswahl der Lizenzdatei angezeigt.

5. Wählen Sie die zu importierende Lizenzdatei aus und klicken Sie auf Öffnen.

Der Lizenz anwenden? Dialog mit dem Inhalt der Lizenzdatei wird angezeigt.

6. Klicken Sie auf die Schaltfläche Lizenz anwenden.

Die Lizenzdatei wird in die SafeGuard Enterprise Datenbank importiert.

Nach dem Import der Lizenzdatei wird bei Modulen, für die Lizenzen erworben wurden, derLizenztyp regulär angegeben. Bei Modulen, für die keine Lizenzen erworben wurden und fürdie die Evaluierungslizenz (Standard-Lizenzdatei) oder individuelle Demo-Lizenzen genutztwerden, wird der Lizenztyp Demo angegeben.

Hinweis: Wenn Sie eine neue Lizenzdatei importieren, werden jeweils nur die Module, diein dieser Datei enthalten sind, aktualisiert. Alle übrigen Modul-Lizenzinformationen werdenentsprechend den in der Datenbank enthaltenen Informationen beibehalten. DieseImportfunktion erleichtert die Bewertung zusätzlicher Module nach dem Kauf.

7.8.6 Lizenzüberschreitung

In Ihrer Lizenzdatei ist ein Toleranzwert für die Überschreitung der erworbenen Lizenzensowie der Lizenzgültigkeitsdauer festgelegt. Bei Überschreiten der verfügbaren Lizenzen proModul oder der Gültigkeitsdauer wird somit zunächst eine Warnungsmeldung ausgegeben.Der laufende Betrieb des Systems wird dadurch nicht beeinträchtigt und es tritt in diesem Fallauch keine Einschränkung der Funktionalität in Kraft. So haben Sie die Gelegenheit, denLizenzstatus zu prüfen und Ihre Lizenz zu erweitern bzw. zu erneuern. Der Toleranzwert istauf 10 % der Anzahl an erworbenen Lizenzen (der Mindestwert: 5, der Höchstwert: 5.000)festgelegt.

Bei Überschreiten der Toleranzwerte wird eine Fehlermeldung ausgegeben. In diesem Falltritt eine Funktionalitätseinschränkung in Kraft. Die Übertragung von Richtlinien auf dieEndpoints wird deaktiviert. Diese Deaktivierung lässt sich nicht im SafeGuard Management

306


Center manuell wieder aufheben. Die Lizenz muss erweitert bzw. erneuert werden, um wiederalle Funktionen nutzen zu können. Außer der Deaktivierung der Richtlinienübertragung hatdie Funktionalitätseinschränkung keine Auswirkungen auf die Endpoints. Bereits zugeordneteRichtlinien bleiben aktiv. Die Deinstallation von Clients ist auch weiterhin möglich.

Die folgenden Abschnitte beschreiben das Systemverhalten bei Lizenzüberschreitungen sowiedie Maßnahmen zur Aufhebung der Funktionalitätseinschränkung.

7.8.6.1 Ungültige Lizenz: WarnungIst die Anzahl an verfügbaren Lizenzen überschritten, so wird beim Starten des SafeGuardManagement Center eine Warnungsmeldung angezeigt.

Das SafeGuard Management Center wird geöffnet und zeigt den Lizenzstatusüberblick in derRegisterkarte Lizenzen des Bereichs Benutzer & Computer.

Auch hier informiert Sie eine Warnungsmeldung darüber, dass die Lizenz ungültig ist. Überdie detaillierten Informationen zur Lizenzdatei lässt sich ermitteln, für welches Modul dieAnzahl an verfügbaren Lizenzen überschritten wurde. Durch Verlängerung, Erneuerung oderErweiterung der Lizenz lässt sich dieser Lizenzstatus ändern.

7.8.6.2 Ungültige Lizenz: FehlerWird der in der Lizenz festgelegte Toleranzwert für die Anzahl an Lizenzen oder dieGültigkeitsdauer überschritten, so zeigt das SafeGuard Management Center eineFehlermeldung an.

Im SafeGuard Management Center wird die Übertragung von Richtlinien auf dieEndpoint-Computer deaktiviert.

In der Registerkarte Lizenzen im Bereich Benutzer & Computer wird eine Fehlermeldungangezeigt.

Über die detaillierten Informationen zur Lizenzdatei lässt sich ermitteln, für welches Moduldie Anzahl an verfügbaren Lizenzen überschritten wurde.

Um die Einschränkung der Funktionalität aufzuheben, habe Sie folgende Möglichkeiten:

■ Lizenzen umverteilen

Um ausreichend verfügbare Lizenzen zu erhalten, können Sie die Software auf nichtgenutzten Endpoints deinstallieren und diese somit dauerhaft aus der SafeGuard EnterpriseDatenbank entfernen.

■ Lizenzen erweitern/erneuern

Wenden Sie sich an Ihren Vertriebspartner, um Ihre Lizenz zu erweitern bzw. zu erneuern.Sie erhalten eine neue Lizenzdatei zum Import in die SafeGuard Enterprise Datenbank.

■ Neue Lizenzdatei importieren

Wenn Sie Ihre Lizenz bereits erneuert bzw. erweitert haben, importieren Sie die erhalteneLizenzdatei in die SafeGuard Enterprise Datenbank. Diese neu importierte Datei ersetztdie ungültige Lizenzdatei.

Durch Umverteilen von Lizenzen oder Importieren einer gültigen Lizenzdatei wird dieFunktionalitätseinschränkung aufgehoben und der normale Betrieb des Systems kannfortgesetzt werden.

307

Administratorhilfe

7.9 Token und SmartcardsHinweis: Token und Smartcards können nicht für Mac OS X Endpoints konfiguriert werden.

SafeGuard Enterprise bietet erweiterte Sicherheit durch die Unterstützung von Token undSmartcards für die Authentisierung. Auf Token/Smartcards lassen sich Zertifikate, digitaleSignaturen und biometrische Informationen speichern.

Die Token-Authentisierung basiert auf dem Prinzip der Zwei-Faktor-Authentisierung: EinBenutzer verfügt über einen Token (Besitz), kann den Token aber nur nutzen, wenn er dasspezifische Token-Kennwort kennt (Wissen). Bei Verwendung eines Token oder einerSmartcard benötigen die Benutzer zur Authentisierung nur noch den Token und eine PIN.

Hinweis: Smartcards und Token werden aus Sicht von SafeGuard Enterprise gleich behandelt.Deshalb werden im Produkt und in der Hilfe die Begriffe "Token" und "Smartcard" gleichgesetzt.Die Verwendung von Token und Smartcards muss in der Lizenz aktiviert werden, sieheToken-Lizenzen (Seite 304).

Hinweis: Bei Windows 8 und höher gibt es eine Funktion namens virtuelle Smartcard. Einevirtuelle Smartcard simuliert mit Hilfe eines TPM-Chip als Basis die Funktionalität einerphysischen Smartcard, kann aber nicht mit SafeGuard Enterprise genutzt werden.

SafeGuard Enterprise unterstützt Token:

■ in der SafeGuard Power-on Authentication (gilt nicht für Windows 8 und Windows 8.1)

■ auf Betriebssystemebene

■ zur Anmeldung am SafeGuard Management Center

Wenn ein Token für einen Benutzer in SafeGuard Enterprise ausgestellt wird, werden Datenwie Hersteller, Typ, Seriennummer, Anmeldedaten und Zertifikate in der SafeGuardEnterprise-Datenbank hinterlegt. Token werden anhand der Seriennummer identifiziert undsind dann in SafeGuard Enterprise bekannt.

Es ergeben sich erhebliche Vorteile:

■ Sie wissen, welche Token im Umlauf sind und welchen Benutzern sie zugeordnet sind.

■ Sie wissen, wann sie ausgestellt wurden.

■ Wenn Token verlorengegangen sind, kann der Sicherheitsbeauftragte sie identifizierenund für die Authentisierung sperren. Damit kann Datenmissbrauch verhindert werden.

■ Trotzdem kann der Sicherheitsbeauftragte über Challenge/Response die Anmeldung ohneToken zeitweilig erlauben, z. B. wenn ein Benutzer seine PIN vergessen hat.

Hinweis: Mit SafeGuard volume-basierender Verschlüsselung wird diese Recovery-Optionfür die Anmeldung mit kryptographischen Token (Kerberos) nicht unterstützt.

7.9.1 Token-Typen

Der Begriff "Token" bezieht sich auf alle verwendeten Technologien und ist nicht an einebestimmte Form von Gerät gebunden. Dies umfasst alle Geräte, die Daten für die Identifizierungund Authentisierung speichern und übertragen können, zum Beispiel Smartcards undUSB-Token.

308


SafeGuard Enterprise unterstützt die folgenden Token/Smartcard-Typen für die Authentisierung:

■ Nicht-kryptographisch

Die Authentisierung in der SafeGuard POA und in Windows erfolgt auf der Grundlage derauf dem Token gespeicherten Anmeldedaten (Benutzername/Kennwort).

■ kryptographisch - Kerberos

Die Authentisierung in der SafeGuard POA und in Windows erfolgt auf der Grundlage derauf dem Token gespeicherten Zertifikate.

Hinweis: Kryptographische Token können nicht für Standalone-Endpoints verwendetwerden.

7.9.1.1 Kryptographische Token - KerberosBei der Verwendung von kryptographischen Token erfolgt die Authentisierung in der SafeGuardPOA über das Zertifikat auf dem Token. Zur Anmeldung müssen die Benutzer nur die PINdes Token eingeben.

Hinweis: Kryptographische Token können nicht für Standalone-Endpoints verwendet werden.

Den Benutzern müssen vollständig ausgestellte Token bereitgestellt werden. Für weitereInformationen, siehe Konfigurieren der Token-Benutzung (Seite 311).

Grundlegende Anforderungen für Zertifikate:

■ Algorithmus: RSA

■ Schlüssellänge: mindestens 1024.

■ Verwendung des Schlüssels: Datenverschlüsselung oder Schlüsselverschlüsselung.

Hinweis: Bei Problemen bei der Anmeldung mit einem Kerberos-Token kann wederChallenge/Response noch Local Self Help für Recovery-Vorgänge benutzt werden. Hier wirdnur Challenge/Response mit virtuellen Clients unterstützt. Mit diesem Verfahren könnenBenutzer wieder Zugriff auf verschlüsselte Volumes auf Ihren Endpoints erlangen.

7.9.2 Komponenten

Für die Benutzung von Token/Smartcards in Verbindung mit SafeGuard Enterprise sindfolgende Komponenten erforderlich:

■ Token/Smartcard

■ Token-/Smartcard-Lesegerät

■ Token-/Smartcard-Treiber

■ Token/Smartcard Middleware (PKCS#11-Modul)

USB-Token

USB-Token bestehen aus einer Smartcard und einem Smartcard-Leser, wobei sich die beidenEinheiten in einem Gehäuse befinden. Für die Benutzung von USB Token ist ein USB Porterforderlich.

7.9.2.1 Token/Smartcards-Lesegeräte und Treiber■ Windows

309

Administratorhilfe

Auf Windows-Betriebssystemebene werden PC/SC-kompatible Kartenleser unterstützt.Die PC/SC-Schnittstelle regelt die Kommunikation zwischen Computer und Smartcard.Viele dieser Kartenleser sind bereits Teil der Windows-Installation. Smartcards benötigenPKCS#11 kompatible Smartcard-Treiber, damit sie von SafeGuard Enterprise unterstütztwerden können.

■ Power-on Authentication aktivieren

An der SafeGuard Power-on Authentication wird die PC/SC-Schnittstelle unterstützt, diedie Kommunikation zwischen Computer und Smartcard regelt. Die unterstütztenSmartcard-Treiber sind fest implementiert und die Benutzer können keine zusätzlichenTreiber hinzufügen. Die passenden Smartcard-Treiber müssen über eine Richtlinie inSafeGuard Enterprise aktiviert werden.

Die Schnittstelle für Smartcard-Leser ist standardisiert und viele Kartenleser haben eineUSB-Schnittstelle oder eine ExpressCard/54-Schnittstelle und implementieren denCCID-Standard. In SafeGuard Enterprise ist dies eine Voraussetzung für die Unterstützungin der SafeGuard Power-on Authentication. Außerdem muss auf Treiber-Seite dasPKCS#11-Modul unterstützt werden.

7.9.2.2 Unterstützte Token/Smartcards an der SafeGuard Power-on AuthenticationSafeGuard Enterprise unterstützt eine breite Palette an Smartcards/Smartcard-Lesegeräten,USB-Token mit den entsprechenden Treibern und Middleware in der SafeGuard Power-onAuthentication. In SafeGuard Enterprise werden Token/Smartcards unterstützt, die 2.048 BitRSA-Operationen unterstützen.

Da die Unterstützung von Token/Smartcards von Release zu Release erweitert wird, werdendie in der jeweils aktuellen SafeGuard Enterprise Version unterstützten Token und Smartcardsin den Release Notes aufgeführt.

7.9.2.3 Unterstützte MiddlewareDie in der folgenden Liste aufgeführte Middleware wird über deren jeweiliges PKCS#11-Modulunterstützt. PKCS#11 ist eine standardisierte Schnittstelle zur Anbindung kryptographischerToken/Smartcards an verschiedenste Software. Hier dient PKCS#11 der Kommunikationzwischen kryptographischen Token/Smartcard, Smartcard-Leser und SafeGuard Enterprise.Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 112781.

MiddlewareHersteller

ActivClient, ActivClient (PIV)ActivIdentity

SafeSign Identity ClientAET

eToken PKI ClientAladdin

a.sign ClientA-Trust

Smart Security InterfaceCharismatics

Gemalto Access Client, Gemalto Classic Client, Gemalto.NET Card

Gemalto

310



MiddlewareHersteller

IT Solution trustWare CSP+IT Solution GmbH

Nexus PersonalNexus

RSA Authentication Client 2.x, RSA Smart Card Middleware3.x

RSA

Estonian ID CardSertifitseerimiskeskus AS

CardOS API TC-FNMTSiemens

CardOS API TC-FNMTATOS

Módulo PCKS#11 TC-FNMT TC-FNMTFNMT

NetKey 3.0T-Systems

proCertumUnizeto

Lizenzen

Beachten Sie, dass für die Benutzung der jeweiligen Middleware für dasStandard-Betriebssystem eine Lizenzvereinbarung mit dem jeweiligen Hersteller erforderlichist. Informationen zum Erhalt der Lizenzen finden Sie im Sophos Knowledgebase-Artikel116585.

Wenn Sie Siemens-Lizenzen erwerben möchten, wenden Sie sich an:

Atos IT Solutions and Services GmbH

Otto-Hahn-Ring 6

81739 München

Germany

Die Middleware wird in einer SafeGuard Enterprise-Richtlinie vom Typ SpezifischeComputereinstellungen unter Benutzerdefinierte PKCS#11 Einstellungen im FeldPKCS#11 Modul für Windows oder PKCS#11 Modul für die Power-on Authenticationangegeben. Das SafeGuard Enterprise Client-Konfigurationspaket muss zudem auf demComputer installiert sein, auf dem das SafeGuard Management Center läuft.

7.9.3 Konfigurieren der Token-Benutzung

Führen Sie die folgenden Handlungsschritte aus, wenn Sie den folgenden Benutzern Tokenfür die Authentisierung bereitstellen möchten:

■ Benutzer von zentral verwalteten Endpoints

■ Sicherheitsbeauftragte des SafeGuard Management Center

1. Initialisierung leerer Token

Für weitere Informationen, siehe Initalisieren eines Token (Seite 312).

311

Administratorhilfe



2. Installation der Middleware

Für weitere Informationen, siehe Installieren von Middleware (Seite 313).

3. Aktivierung der Middleware

Für weitere Informationen, siehe Aktivieren der Middleware (Seite 313).

4. Ausstellen von Token für Benutzer und Sicherheitsbeauftragte

Für weitere Informationen, siehe Ausstellen eines Token (Seite 313).

5. Konfigurieren des Anmeldemodus

Für weitere Informationen, siehe Konfigurieren des Anmeldemodus (Seite 315).

6. Konfigurieren weiterer Token-Einstellungen, zum Beispiel Syntaxregeln für PINs.

Für weitere Informationen, siehe Verwalten von PINs (Seite 319) und Verwalten von Tokenund Smartcards (Seite 321).

7. Zuweisen von Zertifikaten und Schlüsseln zu Token/Benutzern

Für weitere Informationen, siehe Zuweisung von Zertifikaten (Seite 316).

Sie können auch einen bereits mit Daten einer anderen Anwendung versehenen Token zurAuthentisierung verwenden, sofern genügend freier Speicherplatz für die Zertifikate undAnmeldeinformationen darauf vorhanden ist.

Für die einfache Token-Verwaltung bietet SafeGuard Enterprise folgende Funktionen:

■ Token-Informationen anzeigen und filtern

■ PINs initialisieren, ändern, zurücksetzen und sperren

■ Token-Daten lesen und löschen

■ Token sperren

Hinweis: Um Token auszustellen und zu verwalten oder Daten auf ausgestellten Token zuändern, benötigen Sie das Zugriffsrecht Voller Zugriff für die relevanten Benutzer. Die AnsichtAusgestellte Token zeigt die Token für alle Benutzer, für die Sie die ZugriffsrechteSchreibgeschützt oder Voller Zugriff haben.

7.9.4 Vorbereitung für die Benutzung von Token

Die folgenden vorbereitenden Maßnahmen sind für die Unterstützung von Token/Smartcardsin SafeGuard Enterprise notwendig:

■ Initialisierung leerer Token

■ Installation der Middleware

■ Aktivierung der Middleware

7.9.4.1 Initalisieren eines TokenBevor ein "leerer", unformatierter Token in SafeGuard Enterprise bentutzt werden kann, musser nach den Angaben des Token-Herstellers für die Verwendung vorbereitet, also initialisiertwerden. Bei der Initialisierung wird er mit Basisinformationen, z. B. den Standard-PINs,beschrieben. Dies erfolgt mit der Initialisierungssoftware des Herstellers.

Weitere Informationen finden Sie in der Dokumentation des relevanten Token-Herstellers.

312


7.9.4.2 Installieren von MiddlewareInstallieren Sie die korrekte Middleware sowohl auf dem Computer, auf dem das SafeGuardManagement Center installiert ist, als auch auf dem relevanten Endpoint, falls noch nichtgeschehen. Für Informationen zur unterstützten Middleware, siehe Unterstützte Middleware(Seite 310).

Starten Sie die Computer, auf denen Sie die neue Middleware installiert haben, neu.

Hinweis: Wenn Sie Gemalto .NET Card oder Nexus Personal Middleware installieren,müssen Sie den Installationspfad der Middleware auch zur PATH-Umgebungsvariable derSystemeigenschaften Ihres Computers hinzufügen.

■ Standard-Installationspfad für Gemalto .NET Card: C:\Programme\Gemalto\PKCS11for .NET V2 smart cards

■ Standard-Installationspfad für Nexus Personal: C:\Programme\Personal\bin

7.9.4.3 Aktivieren der MiddlewareSie müssen im SafeGuard Management Center über eine Richtlinie die passende Middlewarein Form des PKCS#11-Moduls zuweisen. Dies müssen Sie sowohl für den Computer, aufdem das SafeGuard Management Center läuft, als auch für den Endpoint erledigen. Dannerst kann SafeGuard Enterprise mit dem Token kommunizieren. Die Einstellung für dasPKCS#11-Modul können Sie folgendermaßen über eine Richtlinie festlegen.

Voraussetzung: Die Middleware wurde auf dem entsprechenden Computer installiert undder Token wurde initialisiert. Das SafeGuard Enterprise Client-Konfigurationspaket musszudem auf dem Computer installiert sein, auf dem das SafeGuard Management Center läuft.

1. Klicken Sie im SafeGuard Management Center auf Richtlinien.

2. Legen Sie eine neue Richtlinie des Typs Spezifische Computereinstellungen an oderwählen Sie eine bereits bestehende Richtlinie dieses Typs aus.

3. Wählen Sie im rechten Arbeitsbereich unter Tokenunterstützung > Modulname diepassende Middleware aus. Speichern Sie die Einstellungen.

4. Weisen Sie die Richtlinie zu.

SafeGuard Enterprise kann nun mit dem Token kommunizieren.

7.9.5 Ausstellen eines Token

Beim Ausstellen eines Token in SafeGuard Enterprise werden Daten auf den Tokengeschrieben, die dann für die Authentisierung verwendet werden. Bei den Daten handelt essich um die Anmeldeinformationen und Zertifikate.

In SafeGuard Enterprise können Token für folgende Benutzerrollen ausgestellt werden:

■ Token für Endbenutzer von zentral verwalteten Endpoints.

■ Token für Sicherheitsbeauftragte (SO)

Zugriff auf den Token haben sowohl der Benutzer als auch der Sicherheitsbeauftragte (SO).Der Benutzer ist der, der den Token benutzen soll. Nur er hat Zugriff auf private Objekte undSchlüssel. Der SO hat nur Zugriff auf öffentliche Objekte, kann allerdings die Benutzer-PINzurücksetzen.

313

Administratorhilfe

7.9.5.1 Ausstellen eines Token oder einer Smartcard für BenutzerVoraussetzungen:

■ Der Token muss initialisiert und das passende PKCS#11-Modul aktiviert worden sein.

■ Das SafeGuard Enterprise Client-Konfigurationspaket muss zudem auf dem Computerinstalliert sein, auf dem das SafeGuard Management Center läuft.

■ Sie benötigen das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.


2. Stecken Sie den Token an der USB-Schnittstelle ein. SafeGuard Enterprise liest den Tokenein.

3. Wählen Sie den Benutzer, für den ein Token ausgestellt werden soll, und öffnen Sie imrechten Arbeitsbereich die Registerkarte Token-Daten.

4. Gehen Sie in der Registerkarte Token-Daten wie folgt vor:

a) Wählen Sie die Benutzer-ID und Domäne des betreffenden Benutzers aus und gebenSie sein Windows-Kennwort ein.

b) Klicken Sie auf Token ausstellen.

Der Dialog Token ausstellen wird angezeigt.

5. Wählen Sie den relevanten Slot aus der Verfügbare Slots Dropdownliste aus.

6. Vergeben Sie eine neue Benutzer-PIN und wiederholen Sie die Eingabe.

7. Geben Sie unter SO-PIN die vom Hersteller erhaltene Standard-PUK bzw. die bei derToken-Initialisierung vergebene PIN ein.

Hinweis: Wenn Sie nur das Feld Benutzer-PIN (erforderlich) ausfüllen, muss dieBenutzer-PIN mit der PIN übereinstimmen, die bei der Token-Initialisierung vergebenwurde. Sie müssen die Benutzer-PIN dann nicht wiederholen und keine SO-PIN eingeben.

8. Klicken Sie auf Token jetzt ausstellen.

Der Token wird ausgestellt, die Anmeldeinformationen auf den Token geschrieben und dieToken-Informationen in der SafeGuard Enterprise-Datenbank hinterlegt. Im Bereich Tokenkönnen Sie sich in der Registerkarte Token-Information die Daten anzeigen lassen.

7.9.5.2 Ausstellen eines Token oder einer Smartcard für einen SicherheitsbeauftragtenBei der Erstinstallation von SafeGuard Enterprise besteht für den erstenSicherheitsbeauftragten bereits die Möglichkeit, sich einen Token ausstellen zu lassen undden Anmeldemodus festzulegen. Für alle weiteren Sicherheitsbeauftragten nehmen Sie dieAusstellung eines Token im SafeGuard Management Center vor.

Voraussetzung:

■ Der Token muss initialisiert und das passende PKCS#11-Modul aktiviert worden sein.

■ Sie benötigen die Rechte, die Angaben für den Sicherheitsbeauftragten festlegen zu dürfen.


2. Stecken Sie den Token an der USB-Schnittstelle ein. SafeGuard Enterprise liest den Tokenein.

3. Markieren Sie im linken Navigationsfenster Sicherheitsbeauftragte und wählen Sie imKontextmenü Neu > Neuer Sicherheitsbeauftragter.

Der Dialog Neuen Sicherheitsbeauftragten erstellen wird angezeigt.

314


4. Geben Sie im Feld Token-Anmeldung die Art der Anmeldung für denSicherheitsbeauftragten ein:

■ Wenn sich der Sicherheitsbeauftragte wahlweise mit oder ohne Token authentisierensoll, wählen Sie Optional.

■ Um festzulegen, dass sich der Sicherheitsbeauftragte mit Token anmelden muss,wählen Sie Zwingend erforderlich.

Bei dieser Einstellung verbleibt der private Schlüssel auf dem Token. Der Token mussimmer eingesteckt sein, ansonsten wird ein Neustart des Systems notwendig.

5. Geben Sie als nächstes das Zertifikat des Sicherheitsbeauftragten an.

■ Um ein neues Zertifikat zu erzeugen, klicken Sie auf die Schaltfläche Erzeugen nebender Zertifikat Dropdown-Liste.

Geben Sie das Kennwort für das Zertifikat zweimal ein und klicken Sie auf OK.

Legen Sie den Speicherort für das Zertifikat fest.

■ Um Zertifikate zu importieren, klicken Sie auf die Schaltfläche Importieren neben derZertifikat Dropdown-Liste, um die entsprechende Zertifikatsdatei zu öffnen.

Nach Zertifikaten wird zuerst in einer Zertifikatsdatei, dann auf dem Token gesucht.Die Zertifikate können an den jeweiligen Speicherorten verbleiben.

6. Aktivieren Sie die Rollen und Domänen, die dem Beauftragten zugewiesen werden sollen,unter Rollen.

7. Bestätigen Sie die Eingaben mit OK.

Der Sicherheitsbeauftragte wird angelegt, der Token wird ausgestellt, die Anmeldedatenwerden je nach Einstellung auf den Token geschrieben und die Token-Informationen werdenin der SafeGuard Enterprise-Datenbank hinterlegt. Im Bereich Token können Sie sich in derRegisterkarte Token-Information die Daten anzeigen lassen.

7.9.6 Konfigurieren des Anmeldemodus

Für die Anmeldung von Endbenutzern mit einem Token gibt es zwei Anmeldeformen. EineKombination der beiden Anmeldeformen ist möglich.

■ Anmeldung mit Benutzername/Kennwort

■ Anmeldung mit Token

Wenn Sie sich mit einem Token oder einer Smartcard anmelden, können Sie zwischeneinem Token-Anmeldemodus mit nicht-kryptographischem Token oder mitKerberos-Unterstützung (kryptographisch) wählen.

Als Sicherheitsbeauftragter legen Sie den zu verwendenden Anmeldemodus in einerSicherheitsrichtlinie vom Typ Authentisierung fest.

Auswahl der Token-Anmeldeoption Kerberos:

■ Sie müssen ein Zertifikat in einer PKI ausstellen und es auf dem Token ablegen. DiesesZertifikat wird als Benutzerzertifikat in die SafeGuard Enterprise Datenbank importiert.Falls dort bereits ein automatisch erzeugtes Zertifikat existiert, wird es durch das importierteZertifikat überschrieben.

315

Administratorhilfe

7.9.6.1 Aktivieren der automatischen Anmeldung an der SafeGuard POA mitDefault-Token-PINEine per Richtlinie verteilte Default-Token-PIN ermöglicht die automatische Benutzeranmeldungan der SafeGuard Power-on Authentication. Somit muss nicht jeder einzelne Token separatausgestellt werden und die Benutzer können sich ohne Benutzerinteraktion automatisch ander SafeGuard Power-on Authentication anmelden.

Wenn bei der Anmeldung ein Token benutzt wird und dem Computer eine Default-PINzugeordnet ist, wird eine durchgehende Anmeldung an der SafeGuard Power-on Authenticationdurchgeführt. Der Benutzer muss hier keine PIN eingeben.

Als Sicherheitsbeauftragter können Sie diese spezifische PIN in einer Richtlinie vom TypAuthentisierung festlegen und sie verschiedenen Computern oder Computergruppen, z. B.allen Computern eines Standorts, zuordnen.

So aktivieren Sie die automatische Anmeldung mit einer Default-Token-PIN:


2. Wählen Sie eine Richtlinie vom Typ Authentisierung aus.

3. Wählen Sie unter Anmeldeoptionen bei Anmeldemodus die Option Token.

4. Geben Sie bei PIN für automatische Anmeldung mit Token die Default-PIN an, die fürdie automatische Anmeldung verwendet werden soll. In diesem Fall müssen keinePIN-Regeln beachtet werden.

Hinweis: Diese Einstellung steht nur dann zur Verfügung, wenn Sie als möglichenAnmeldemodus die Option Token gewählt haben.

5. Wählen Sie bei Durchgehende Anmeldung an Windows die Option DurchgehendeAnmeldung deaktivieren. Wenn Sie diese Einstellung nicht auswählen und eineDefault-PIN angeben, können Sie die Richtlinie nicht speichern.

Wenn Sie die Durchgehende Anmeldung an Windows dennoch aktivieren möchten,können Sie eine weitere Richtlinie vom Typ Authentisierung mit der aktivierten Optionerstellen und sie derselben Computergruppe zuordnen. Im RSOP (Resulting Set of Policies)sind somit beide Richtlinien aktiv.

6. Definieren Sie nach Wunsch weitere Token-Einstellungen.

7. Speichern Sie Ihre Einstellungen und ordnen Sie die Richtlinie den relevanten Computernoder Computergruppen zu.

Wenn die automatische Anmeldung auf dem Endpoint erfolgreich durchgeführt werden konnte,wird Windows gestartet.

Schlägt die automatische Anmeldung auf dem Endpoint fehl, so wird der Benutzer an derSafeGuard Power-on Authentication aufgefordert, die Token-PIN einzugeben.

7.9.7 Zuweisung von Zertifikaten

Außer den Anmeldeinformationen können auf einen Token auch Zertifikate geschriebenwerden. Es ist möglich, den privaten Teil des Zertifikats (.p12-Datei) ausschließlich auf demToken zu speichern. Benutzer können sich dann jedoch nur mit dem Token anmelden. Wirempfehlen den Einsatz von PKI-Zertifikaten.

So können Sie Authentisierungsdaten Token zuweisen:

■ durch Generieren von Zertifikaten direkt auf dem Token

■ durch Zuweisen von Daten, die sich bereits auf dem Token befinden

316


■ durch Importieren von Zertifikaten aus einer Datei

Hinweis: CA-Zertifikate können nicht von einem Token entnommen und in der Datenbankoder im Zertifikatsspeicher gespeichert werden.Wenn Sie CA-Zertifikate verwenden, müssendiese in Dateiform zur Verfügung stehen, nicht nur auf einem Token. Dies gilt auch für CRLs(Certificate Revocation List). Außerdem muss die Kombination von CA-Zertifikaten und CRLzusammenpassen, da ansonsten eine Anmeldung an allen betroffenen Computern nicht mehrmöglich ist. Überprüfen Sie, ob CA und die entsprechende CRL korrekt sind. SafeGuardEnterprise übernimmt diese Überprüfung nicht! SafeGuard Enterprise kann dann nur mitablaufenden Zertifikaten umgehen, wenn der alte und neue private Schlüssel auf demselbenToken stehen.

7.9.7.1 Erzeugen von Zertifikaten durch TokenUm Zertifikate durch Token zu erzeugen, benötigen Sie das Zugriffsrecht Voller Zugriff fürden relevanten Benutzer.

Sie können neue Zertifikate direkt durch den Token generieren lassen, wenn zum Beispielkeine Zertifikatsinfrastruktur vorhanden ist.

Hinweis: Wird der private Teil des Zertifikats allein auf den Token geschrieben, hat derBenutzer nur mit dem Token Zugriff auf seinen privaten Schlüssel. Der private Schlüsselbefindet sich dann nur noch auf dem Token. Wenn der Token verloren geht, ist der Zugriffauf den privaten Schlüssel nicht mehr möglich.

Voraussetzung: Der Token ist ausgestellt.


2. Stecken Sie den Token an der USB-Schnittstelle ein.

SafeGuard Enterprise liest den Token ein.

3. Markieren Sie den Benutzer, für den Sie ein Zertifikat generieren wollen, und öffnen Sieim rechten Arbeitsbereich die Registerkarte Zertifikat.

4. Klicken Sie auf das Symbol Neues Zertifikat generieren und Token zuweisen in derSafeGuard Management Center Symbolleiste. Beachten Sie, dass die Schlüssellänge aufdie Tokengröße abgestimmt sein muss.

5. Wählen Sie den Slot aus und geben Sie die Token-PIN ein.

6. Klicken Sie auf Erzeugen.

Das Zertifikat wird durch den Token generiert und dem Benutzer zugewiesen.

7.9.7.2 Zuweisen von Token-Zertifikaten zu einem BenutzerVoraussetzungen:

■ Der Token ist ausgestellt.

■ Sie haben das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.

So weisen Sie ein auf einem Token verfügbares Zertifikat einem Benutzer zu:




3. Wählen Sie den Benutzer aus, dem Sie ein Zertifikat zuweisen wollen, und öffnen Sie imrechten Arbeitsbereich die Registerkarte Zertifikat.

317

Administratorhilfe

4. Klicken Sie auf das Symbol Zertifikat von Token zuweisen in der SafeGuard ManagementCenter Symbolleiste.

5. Wählen Sie das passende Zertifikat aus der Liste aus und geben Sie die Token-PIN ein.


Das Zertifikat wird dem Benutzer zugewiesen. Einem Benutzer kann jeweils nur ein Zertifikatzugewiesen sein.

7.9.7.3 Ändern des Zertifikats eines BenutzersSie können die für die Anmeldung erforderlichen Zertifikate ändern oder erneuern, indem Sieim SafeGuard Management Center ein neues Zertifikat zuweisen. Das Zertifikat wird alsStandby-Zertifikat neben dem bereits vorhandenen Zertifikat zugewiesen. Der Benutzer ändertdas Zertifikat auf dem Endpoint, indem er sich mit dem neuen Zertifikat anmeldet.

Hinweis: Sollten Benutzer ihre Token verlieren oder sollten Token manipuliert worden sein,so tauschen Sie die Token nicht aus, indem Sie neue Zertifikate wie hier beschrieben zuweisen.Andernfalls können Probleme auftreten. So ist das alte Token-Zertifikat unter Umständennoch für die Windows-Anmeldung gültig. Solange das alte Zertifikat noch gültig ist, ist dieAnmeldung an Windows noch möglich und der Computer kann entsperrt werden. Um eineAnmeldung zu verhindern, sperren Sie den Token.

Standby-Zertifikate können in folgenden Fällen verwendet werden:

■ Ändern von durch (kryptographische) Token erzeugten Zertifikaten

■ Wechsel von automatisch erzeugten zu durch Token erzeugten Zertifikaten

■ Wechsel von Authentisierung per Benutzername/Kennwort zur Authentisierung durchkryptographischen Token (Kerberos).

Voraussetzungen:

■ Der neue Token ist ausgestellt.

■ Dem Benutzer ist nur ein Zertifikat zugewiesen.

■ Sie haben das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.

So ändern Sie das Zertifikat für die Token-Anmeldung für einen Benutzer:




3. Wählen Sie den Benutzer aus, für den Sie das Zertifikat ändern wollen, und öffnen Sie imrechten Arbeitsbereich die Registerkarte Zertifikat.

4. Klicken Sie in der Symbolleiste auf das Symbol für die Aktion, die Sie durchführen möchten.

5. Wählen Sie das relevante Zertifikat aus und geben Sie die Token-PIN ein.


7. Übergeben Sie dem Benutzer den neuen Token.

Das Zertifikat wird dem Benutzer als Standby-Zertifikat zugewiesen. Dies wird durch eineHäkchen in der Spalte Standby in der Zertifikate Registerkarte des Benutzers angegeben.

Nach der Synchronisierung zwischen dem Endpoint und dem SafeGuard Enterprise Servergibt der Status-Dialog auf dem Endpoint an, dass dieser Bereit für Zertifikatwechsel ist.

Der Benutzer muss nun einen Zertifikatwechsel auf dem Endpoint-Computer initiieren.WeitereInformationen hierzu finden Sie in der SafeGuard Enterprise Benutzerhilfe.

318


Nach dem Zertifikatwechsel auf dem Endpoint wird das Zertifikat während der nächstenSynchronisierung auch auf dem SafeGuard Enterprise Server erneuert. Dadurch wird dasalte Zertifikat aus der Zertifikate Registerkarte des Benutzers im SafeGuard ManagementCenter entfernt. Der neue Token ist nun der Standard-Token für den Benutzer.

Hinweis: Im SafeGuard Management Center können beide Zertifikate separat gelöschtwerden. Ist nur ein Standby-Zertifikat verfügbar, so wird das nächste Zertifikat alsStandardzertifikat zugewiesen.

7.9.7.4 Importieren eines Zertifikats aus einer Datei auf einen TokenVoraussetzung: Der Token ist ausgestellt.

Für einen Token mit Kerberos-Unterstützung für zentral verwaltete Endpoints müssen Siediesen Vorgang auswählen. Das Zertifikat muss von SafeGuard Enterprise erkannt werdenund auf den Token aufgebracht werden. Falls bereits ein automatisch generiertes Zertifikatexistiert, wird es durch das importierte Zertifikat überschrieben.

So fügen Sie den privaten Teil des Zertifikats (.p12-Datei) aus einer Datei auf dem Tokenhinzu:

1. Klicken Sie im SafeGuard Management Center auf Token.



3. Markieren Sie den Token, auf den Sie den privaten Teil des Zertifikats aufbringen wollen,und öffnen Sie im rechten Arbeitsbereich die Registerkarte Anmeldeinformationen &Zertifikate.

4. Klicken Sie auf das Symbol P12 auf Token in der SafeGuard Management CenterSymbolleiste.

5. Wählen Sie die passende Zertifikatsdatei aus.

6. Geben Sie die Token-PIN und das Kennwort für die .p12-Datei ein und bestätigen Sie mitOK.

Der private Teil des Zertifikats wird auf den Token aufgebracht. Sie müssen das Zertifikat nuneinem Benutzer zuweisen, siehe Zuweisen von Token-Zertifikaten zu einem Benutzer (Seite317). Benutzer können sich dann nur mit diesem Token anmelden.

7.9.8 Verwalten von PINs

Als Sicherheitsbeauftragter können Sie sowohl die Benutzer-PIN als auch die SO-PIN ändernbzw. die Änderung der Benutzer-PIN erzwingen. Dies wird üblicherweise bei derErstausstellung eines Token notwendig. Außerdem können Sie PINs initialisieren, d. h. neuvergeben und sperren.

Hinweis: Um PINs zu initialisieren, zu ändern oder zu sperren, benötigen Sie das ZugriffsrechtVoller Zugriff für alle relevanten Benutzer.

Für Endpoints können Sie weitere PIN-Optionen über Richtlinien festlegen.

Hinweis: Beachten Sie bei PIN-Änderungen, dass manche Token-Hersteller selbst PIN-Regelnfestlegen, die den PIN-Regeln von SafeGuard Enterprise widersprechen können.Möglicherweise können PINs deshalb nicht wie gewünscht geändert werden, auch wenn sieden PIN-Regeln von SafeGuard Enterprise entsprechen. Berücksichtigen Sie daher auf jedenFall die PIN-Regeln des Token-Herstellers. Diese werden im SafeGuard Management Centerim Bereich Token unter Token-Information angezeigt.

319

Administratorhilfe

Die Verwaltung der PINs wird im SafeGuard Management Center unter Token durchgeführt.Der Token ist eingesteckt und links im Navigationsfenster markiert.

7.9.8.1 Initialisieren einer Benutzer-PINVoraussetzungen:

■ Die SO-PIN muss bekannt sein.


1. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Benutzer-PINinitialisieren Symbol.

2. Geben Sie die SO-PIN ein.

3. Geben Sie die neue Benutzer-PIN ein, wiederholen Sie die Eingabe und bestätigen Siemit OK.

Die Benutzer-PIN wurde initialisiert.

7.9.8.2 Ändern der SO-PINVoraussetzung: Die bisherige SO-PIN (PIN des Sicherheitsbeauftragten) muss bekannt sein.

1. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das PIN desSicherheitsbeauftragten ändern Symbol.

2. Geben Sie die alte SO-PIN ein.

3. Geben Sie die neue SO-PIN ein, wiederholen Sie die Eingabe und bestätigen Sie mit OK.

Die SO-PIN wurde geändert

7.9.8.3 Ändern einer Benutzer-PINVoraussetzung:

■ Die Benutzer-PIN muss bekannt sein.


1. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Benutzer-PINändern Symbol.

2. Geben Sie die alte und die neue Benutzer-PIN ein, wiederholen Sie die neue Benutzer-PINund klicken Sie auf OK.

Die Benutzer-PIN wurde geändert. Falls Sie die PIN für einen anderen Benutzer geänderthaben, teilen Sie ihm die Änderung mit.

7.9.8.4 Erzwingen einer PIN-ÄnderungUm eine PIN-Änderung zu erzwingen, benötigen Sie das Zugriffsrecht Voller Zugriff für denrelevanten Benutzer.

1. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das PIN-Änderungerzwingen Symbol.

Wenn sich der Benutzer beim nächsten Mal mit dem Token anmeldet, muss er seineBenutzer-PIN ändern.

320


7.9.8.5 PIN-HistorieDie PIN-Historie kann gelöscht werden. Klicken Sie dazu auf das Symbol PIN-Historielöschen.

7.9.9 Verwalten von Token und Smartcards

Im Bereich Token des SafeGuard Management Centers hat der Sicherheitsbeauftragtefolgende Möglichkeiten:

■ Einsehen einer Übersicht über die ausgestellten Token und Zertifikate

■ Filtern von Übersichten

■ Sperren von Token für die Anmeldung

■ Lesen oder Löschen der Daten auf einem Token

7.9.9.1 Anzeigen von Token/Smartcard-InformationenAls Sicherheitsbeauftragter können Sie sich Informationen über alle oder einzelne ausgestellteToken anzeigen lassen. Sie können auch Übersichten filtern.

Voraussetzung: Der Token muss eingesteckt sein.


2. Um Informationen zu einzelnen Token anzeigen zu lassen, wählen Sie den gewünschtenToken unter Token Slots.

Unter Token-Information werden Hersteller, Typ, Seriennummer, Angaben zu Hardwareund PIN-Regeln angezeigt. Außerdem sehen Sie, welchem Benutzer der Token zugeordnetist.

Hinweis: Unter Token Slots werden die ausgestellten Token ungeachtet IhrerZugriffsrechte für die relevanten Benutzer angezeigt, damit Sie sehen können, ob derToken in Gebrauch ist oder nicht. Wenn Sie keine Zugriffsrechte oder das ZugriffsrechtSchreibgeschützt für den relevanten Benutzer haben, werden alle Token-Daten in denRegisterkarten Token-Information und Anmeldeinformationen und Zertifikateausgegraut und Sie können den Token nicht verwalten.

3. Um eine Übersicht über Token anzeigen zu lassen, wählen Sie Ausgestellte Token. Siekönnen alle ausgestellten Token anzeigen lassen oder die Übersicht nach Benutzernfiltern.

Es werden die Seriennummer der Token, die Benutzerzuordnung und dasAusstellungsdatum angezeigt. Außerdem erkennen Sie, ob der Token gesperrt ist.

Hinweis: Die Ansicht Ausgestellte Token zeigt die Token für alle Benutzer, für die Siedie Zugriffsrechte Schreibgeschützt oder Voller Zugriff haben.

7.9.9.2 Sperren von Token oder SmartcardsAls Sicherheitsbeauftragter können Sie Token sperren. Dies ist z. B. sinnvoll, wenn ein Tokenverloren gegangen ist.

Um einen Token zu sperren, benötigen Sie das Zugriffsrecht Voller Zugriff für den relevantenBenutzer.


321

Administratorhilfe

2. Markieren Sie links im Navigationsbereich Ausgestellte Token.

3. Wählen Sie den Token, der gesperrt werden soll, und klicken Sie auf das Symbol Tokensperren in der SafeGuard Management Center Symbolleiste.

Der Token wird für die Authentisierung gesperrt, der zugeordnete Benutzer kann sich nichtmehr damit anmelden. Der Token kann nur mithilfe der SO-PIN entsperrt werden.

7.9.9.3 Löschen von Token/Smartcard-DatenAls Sicherheitsbeauftragter können Sie die Daten, die über SafeGuard Enterprise auf denToken geschrieben wurden, vom Token entfernen.

Voraussetzung:

■ Der Token muss eingesteckt sein.



2. Markieren Sie links im Navigationsbereich den relevanten Token unter Token Slots.

3. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Token löschenSymbol.

4. Geben Sie die dem Token zugeordnete SO-PIN ein und bestätigen Sie mit OK.

Es werden alle Daten entfernt, die von SafeGuard Enterprise verwaltet werden. Zertifikateverbleiben auf dem Token.

Die Benutzer-PIN wird auf 1234 zurückgesetzt.

Auf diese Weise gelöschte Token werden automatisch aus der Liste der ausgestellten Tokenentfernt.

7.9.9.4 Lesen von Token/Smartcard-DatenAll Sicherheitsbeauftragter können Sie die Daten auf dem Token mit der Benutzer-PIN lesen.

Voraussetzung:

■ Der Token muss eingesteckt sein. Die PIN muss dem Sicherheitsbeauftragten bekanntsein. Oder sie muss initialisiert worden sein, siehe Initialisieren einer Benutzer-PIN (Seite320).

■ Sie benötigen die Zugriffsrechte Schreibgeschützt oder Voller Zugriff für den jeweiligenBenutzer.


2. Wählen Sie links im Navigationsbereich unter Token Slots den gewünschten Token undwählen Sie die Registerkarte Anmeldeinformationen und Zertifikate aus.

3. Klicken Sie auf das Symbol Anmeldeinformationen des Benutzers abrufen und gebenSie die Benutzer-PIN für den Token ein.

Die Daten, die sich auf dem Token befinden, werden angezeigt.

7.10 Planen von TasksDas SafeGuard Management Center bietet den Taskplaner für das Erstellen und Planen vonauf Skripten basierenden Tasks, die in regelmäßigen Abständen ausgeführt werden. Auf demSafeGuard Enterprise Server startet ein Service die Tasks automatisch zur Ausführung derangegebenen Skripte.

322


Periodische Tasks sind z. B. nützlich für

■ die automatische Synchronisierung zwischen dem Active Directory und SafeGuardEnterprise.

■ das automatische Löschen von protokollierten Ereignissen.

Für diese beiden Vorgänge stehen in SafeGuard Enterprise vordefinierte Skripte zur Verfügung.Sie können diese Skripte unverändert verwenden oder Ihren Anforderungen anpassen.WeitereInformationen siehe Vordefinierte Skripte für periodische Tasks (Seite 328).

Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie Skripte, Regeln undzeitliche Intervalle für die Tasks im Taskplaner definieren.

Hinweis: Stellen Sie sicher, dass für das Konto, das für die Verwendung des SafeGuardEnterprise Taskplaners benutzt wird, die geeigneten SQL-Berechtigungen eingestellt sind.Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 113582.

Hinweis: Die API kann nicht mehrere Tasks gleichzeitig verarbeiten. Wenn Sie mehrereKonten pro Task verwenden, führt dies zu Datenbankzugriffsverletzungen.

7.10.1 Erstellen eines neuen Tasks

Um Tasks im Taskplaner zu erstellen, benötigen Sie die SicherheitsbeauftragtenrechteTaskplaner benutzen und Tasks verwalten.

1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner.

Der Dialog Taskplaner wird angezeigt.

2. Klicken Sie auf die Schaltfläche Erzeugen...

Der Dialog Neuer Task wird angezeigt.

3. Geben Sie im Feld Name einen eindeutigen Namen für den Task ein.

Ist der Task-Name nicht eindeutig, so wird eine Warnungsmeldung angezeigt, wenn Sieauf OK klicken, um den Task zu speichern.

4. Wählen Sie aus der Dropdownliste des Felds SGN Server den Server, auf dem der Tasklaufen soll.

Die Dropdownliste zeigt nur Server, für die die Skript-Ausführung erlaubt ist. Sie könnendie Skript-Ausführung für einen bestimmten Server als erlaubt definieren, wenn Sie diesenmit der Funktion Konfigurationspakete im SafeGuard Management Center registrieren.

Wenn Sie Keiner auswählen, wird der Task nicht ausgeführt.

5. Klicken Sie auf die Dropdown-Schaltfläche Importieren... neben dem Feld Skript.

Der Dialog Skript-Datei für den Import auswählen wird angezeigt.

Hinweis: Im Verzeichnis Script Templates Ihrer SafeGuard Management Center Installationstehen zwei vordefinierte Skripte zur Verfügung. Der Dialog Skript-Datei für den Importauswählen zeigt automatisch dieses Verzeichnis an. Für weitere Informationen, sieheVordefinierte Skripte für periodische Tasks (Seite 328).

Mit dem Taskplaner können Sie Skripte importieren, exportieren und bearbeiten. Fürweitere Informationen, siehe Mit Skripten im Taskplaner arbeiten (Seite 327).

323

Administratorhilfe


6. Wählen Sie das Skript aus, das mit dem Task ausgeführt werden soll, und klicken Sie aufOK.

Wenn das ausgewählte Skript leer ist, bleibt die Schaltfläche OK im Dialog deaktiviert.Außerdem wird ein Warnungssymbol angezeigt.

7. Geben Sie im Feld Startzeit an, wann der Task auf dem ausgewählten Server ausgeführtwerden soll.

Die Startzeit wird unter Anwendung der lokalen Zeit des Computers, auf dem das SafeGuardManagement Center läuft, angegeben. Intern wird die Startzeit als Coordinated UniversalTime (UTC) gespeichert. Dadurch können Tasks auch dann exakt zur gleichen Zeitausgeführt werden, wenn sich Server in unterschiedlichen Zeitzonen befinden. Alle Serververwenden die aktuelle Zeit des Datenbankservers für das Starten von Tasks. ZurOptimierung der Task-Überwachung wird die Datenbankreferenzzeit im Taskplaner Dialogangezeigt.

8. Geben Sie im Feld Wiederholung an, wie oft der Task auf dem ausgewählten Serverausgeführt werden soll.

■ Um den Task einmal auszuführen, wählen Sie Einmal und geben Sie das gewünschteDatum an.

■ Um den Task täglich auszuführen, wählen Sie Täglich und dann Jeden Tag (inklusiveSamstag und Sonntag) oder Jeden Wochentag (Montag - Freitag).

■ Um den Task wöchentlich auszuführen, wählen Sie Wöchentlich und geben Sie dengewünschten Tag in der Woche an.

■ Um den Task monatlich auszuführen, wählen Sie Monatlich und geben Sie dengewünschten Tag im Monat aus einem Bereich von 1 bis 31 an. Um den Task amletzten Tag des Monats auszuführen, wählen Sie Letzter aus der Dropdownliste.

Wenn Sie alle obligatorischen Felder ausgefüllt haben, wird die Schaltfläche OK aktiv.


Der Task wird in der Datenbank gespeichert und in der Taskplaner Übersicht angezeigt. Erwird gemäß dem angegebenen Plan auf dem ausgewählten Server ausgeführt.

7.10.2 Die Taskplaner-Übersichtanzeige

Nachdem Sie Tasks zur Ausführung auf einem SafeGuard Enterprise Server erstellt haben,werden diese im Dialog Taskplaner angezeigt, den Sie über Extras > Taskplaner öffnen.

Dieser Dialog zeigt die folgenden Spalten für die einzelnen Tasks:

BeschreibungSpalte

Zeigt den eindeutigen Task-Namen.Task-Name

Gibt an, auf welchem Server der Task ausgeführtwird.

SGN Server

Zeigt den für den Task definierten Zeitplan inklusiveWiederholung und Zeit.

Geplante Ausführung

324


BeschreibungSpalte

Zeigt an, wann der Task zum nächsten Malausgeführt wird (Datum und Uhrzeit). Wenn für

Nächste Ausführung

diesen Task keine weiteren Ausführungenvorgesehen sind, wird in dieser Spalte Keineangezeigt.

Zeigt an, wann der Task zum letzten mal ausgeführtwurde (Datum und Uhrzeit). Wurde der Task noch

Letzte Ausführung

nicht ausgeführt, so wird in dieser Spalte Keineangezeigt.

Zeigt das Ergebnis der letzten Task-Ausführung:Ergebnis der letzten Ausführung

Erfolgreich

Das dem Task zugeordnete Skript wurdeerfolgreich ausgeführt.

Fehlgeschlagen

Der Task konnte nicht ausgeführt werden. Fallsverfügbar, wird eine Fehlernummer angezeigt.

Läuft

Das Skript läuft derzeit.

Unzureichende Berechtigung

Der Task ist aufgrund von unzureichenderBerechtigung für die Skript-Ausführungfehlgeschlagen.

Abgebrochen

Die Task-Ausführung wurde abgebrochen, da dieZeitdauer 24 Stunden überschritten hat.

Steuerung nicht möglich

Die Steuerung der Ausführung des Skripts, dasdem Task zugeordnet ist, war nicht möglich. Einmöglicher Grund hierfür ist z. B., dass der SGNScheduler Service gestoppt wurde.

Beschädigtes Skript

Das auszuführende Skript ist beschädigt.

Skript inzwischen gelöscht

Während sich der Task in der Warteschlange fürdie Ausführung befand, wurde das Skript aus derSafeGuard Enterprise Datenbank entfernt.

Runtime-Fehler

Während der Verarbeitung des Scheduler Serviceist ein Runtime-Fehler aufgetreten.

325

Administratorhilfe

Unterhalb der Spalten befinden sich folgende Schaltflächen:

BeschreibungSchaltfläche

Klicken Sie auf diese Schaltfläche, um einen neuenTask zu erstellen.

Erzeugen...

Klicken Sie auf diese Schaltfläche, um einenausgewählten Task zu löschen.

Löschen

Klicken Sie auf diese Schaltfläche, um den<Task-Name> Eigenschaften Dialog für einen

Eigenschaften

ausgewählten Task anzuzeigen. In diesem Dialogkönnen Sie den Task bearbeiten oder Skripteimportieren, exportieren und bearbeiten.

Klicken Sie auf diese Schaltfläche, um dieTask-Liste im Taskplaner Dialog zu aktualisieren.

Aktualisieren

Wenn ein Benutzer in der Zwischenzeit Taskshinzugefügt oder gelöscht hat, wird die Task-Listeaktualisiert.

Alle Server verwenden die aktuelle Zeit des Datenbankservers für das Starten von Tasks.Um eine bessere Überwachung von Tasks zu gewährleisten wird hier die Zeit desDatenbankservers angezeigt. Diese wird unter Benutzung der lokalen Zeitzone des Computers,auf dem das SafeGuard Management Center läuft, angegeben.

7.10.3 Bearbeiten von Tasks

Um Tasks im Taskplaner zu bearbeiten, benötigen Sie die SicherheitsbeauftragtenrechteTaskplaner benutzen und Tasks verwalten.


Der Dialog Taskplaner mit einer Übersicht über die geplanten Tasks wird angezeigt.

2. Wählen Sie den gewünschten Task und klicken Sie auf die Schaltfläche Eigenschaften.

Der <Task-Name> Eigenschaften Dialog mit den Eigenschaften des ausgewählten Taskswird angezeigt.

3. Nehmen Sie die gewünschten Änderungen vor.

Hinweis: Der Task-Name muss eindeutig sein. Wenn Sie den Namen in einen bereitsvorhandenen Task-Namen ändern, wird eine Fehlermeldung angezeigt.


Die Änderungen werden wirksam.

326


7.10.4 Löschen von Tasks

Um Tasks aus dem Taskplaner zu entfernen, benötigen Sie die SicherheitsbeauftragtenrechteTaskplaner benutzen und Tasks verwalten.



2. Wählen Sie den gewünschten Task aus.

Die Schaltfläche Löschen wird aktiv.

3. Klicken Sie auf die Schaltfläche Löschen und bestätigen Sie, dass Sie den Task löschenmöchten.

Der Task wird aus der Übersicht des Taskplaner Dialogs entfernt und nicht mehr auf demSafeGuard Enterprise Server ausgeführt.

Hinweis: Wurde der Task in der Zwischenzeit gestartet, so wird er zwar aus dem TaskplanerÜbersichtsdialog entfernt, jedoch noch komplett ausgeführt.

7.10.5 Mit Skripten im Taskplaner arbeiten

Mit dem Taskplaner können Sie Skripte importieren, bearbeiten und exportieren. Um mitSkripten im Taskplanerzu arbeiten, benötigen Sie die SicherheitsbeauftragtenrechteTaskplaner benutzen und Tasks verwalten.

7.10.5.1 Import von SkriptsDamit Sie ein Skript für die Ausführung mit einem Task angeben können, müssen Sie esimportieren. Sie können das Skript beim Erstellen eines neuen Tasks importieren. Sie könnenauch Skripts für bereits vorhandene Tasks importieren.





3. Klicken Sie auf die Dropdown-Schaltfläche Importieren... neben dem Feld Skript.

Der Dialog Skript-Datei für den Import auswählen wird angezeigt.

Hinweis: Im Verzeichnis Script Templates Ihrer SafeGuard Management Center Installationstehen zwei vordefinierte Skripte zur Verfügung. Der Dialog Skript-Datei für den Importauswählen zeigt automatisch dieses Verzeichnis an. Für weitere Informationen, sieheVordefinierte Skripte für periodische Tasks (Seite 328).

4. Wählen Sie das zu importierende Skript aus und klicken Sie auf OK.

Der Skript-Name wird im Feld Skript angezeigt.

327

Administratorhilfe


Wenn das Skript bereits importiert wurde, werden Sie aufgefordert zu bestätigen, dassdas alte Skript überschrieben werden soll.

Wenn die Größe der zu importierenden Datei 10 MB überschreitet, wird eine Fehlermeldungangezeigt und der Importvorgang wird zurückgewiesen.

Das Skript wird in der Datenbank gespeichert.

7.10.5.2 Bearbeiten von Skripten1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner.




3. Klicken Sie auf die Dropdown-Schaltfläche Bearbeiten neben dem Feld Skript.

Die Dropdownliste zeigt alle Editor-Programme, die für die Bearbeitung des Skripts zurVerfügung stehen.

4. Wählen Sie den Editor, den Sie verwenden möchten.

Das Skript wird im ausgewählten Editor geöffnet.

5. Nehmen Sie Ihre Änderungen vor und speichern Sie sie.

Der Editor wird geschlossen und der Dialog <Task-Name> Eigenschaften wird wiederangezeigt.


Das geänderte Skript wird in der Datenbank gespeichert.

7.10.5.3 Export von Skripts1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner.




3. Klicken Sie auf die Schaltfläche Exportieren... neben dem Feld Skript.

Ein Speichern unter Dialog wird angezeigt.

4. Wählen Sie den Speicherort zum Speichern des Skripts ein und klicken Sie auf Speichern.

Das Skript wird am angegebenen Speicherort gespeichert.

7.10.5.4 Vordefinierte Skripte für periodische TasksIn SafeGuard Enterprise stehen folgende vordefinierte Skripte zur Verfügung:

■ ActiveDirectorySynchronization.vbs

328


Verwenden Sie dieses Skript für die automatische Synchronisierung zwischen dem ActiveDirectory und SafeGuard Enterprise.

■ EventLogDeletion.vbs

Verwenden Sie dieses Skript, um protokollierte Ereignisse automatisch zu löschen.

Die Skripte werden automatisch im Unterverzeichnis Script Templates der SafeGuardManagement Center Installation installiert.

Um diese Skripte für Tasks zu verwenden, importieren Sie sie in den Taskplaner und nehmenSie vor der Anwendung die notwendigen Parameteränderungen vor.

7.10.5.4.1 Vordefiniertes Skript für die Active Directory Synchronisierung

Sie haben die Möglichkeit, eine bestehende Organisationsstruktur über ein Active Directoryin die SafeGuard Enterprise Datenbank zu importieren. Für weitere Informationen, sieheImportieren oder Synchronisieren der Organisationsstruktur (Seite 283).

Nach dem Importieren der Struktur können Sie einen periodischen Task für die automatischeSynchronisierung zwischen dem Active Directory und SafeGuard Enterprise erstellen. Fürdiesen Task können Sie das vordefinierte Skript ActiveDirectorySynchronization.vbsverwenden.

Das Skript synchronisiert alle vorhandenen Container in der SafeGuard Enterprise Datenbankmit einem Active Directory.

Bevor Sie das Skript in einem periodischen Task verwenden, können Sie folgende Parameteranpassen:

BeschreibungParameter

Legen Sie den Ausgabepfad für die Skript-Protokolldateifest. Dieser Parameter ist obligatorisch. Ist der Parameter

logFileName

leer oder ungültig, so kann die Synchronisierung nichtdurchgeführt werden und es wird eine Fehlermeldungangezeigt. Standardmäßig ist dieser Parameter leer. Istbereits eine Protokolldatei vorhanden, so werden neueProtokolle am Ende der Datei angehängt.

Setzen Sie diesen Parameter auf 1, um auchMitgliedschaften zu synchronisieren. Wenn dieser

synchronizeMembership

Parameter auf 0 gesetzt ist, werden die Mitgliedschaftennicht synchronisiert. Die Standardeinstellung ist 1.

Setzen Sie diesen Parameter auf 1, um auch den BenutzerAktiv-Status zu synchronisieren. Wenn dieser Parameter

synchronizeAccountState

auf 0 gesetzt ist, wird der Benutzer Aktiv-Status nichtsynchronisiert. Die Standardeinstellung ist 0.

Hinweis: Stellen Sie sicher, dass sie über die erforderlichen Zugriffsrechte für die ActiveDirectory Synchronisierung verfügen und dass die notwendigen SQL Berechtigungen für dasKonto, das für die Ausführung des SafeGuard Enterprise Taskplaners benutzt wird, eingestelltsind. Weitere Informationen finden Sie unter Zugriffsrechte für Sicherheitsbeauftragte undImport aus Active Directory (Seite 282). Informationen zum Einstellen der Active DirectoryZugriffsrechte finden Sie im Sophos Knowledgebase-Artikel 107979. Informationen zumEinstellen der SQL-Berechtigungen finden Sie im Sophos Knowledgebase-Artikel 113582.

329

Administratorhilfe



Wenn die Rechte korrekt eingestellt sind, wenden Sie die Änderungen an und starten Sie denDienst neu. Wechseln Sie auf den Server, der die SafeGuard Web-Seite hostet. Klicken SieStart > Run > Services.msc, um die Services Oberfläche zu öffnen. Klicken Sie mit derrechten Maustaste auf SafeGuard® Scheduler Service und klicken Sie auf All Tasks >Restart.

Hinweis: Wir empfehlen, dass Sie das Active Directory in einem vergleichsweise moderatenAbstand (maximal zweimal am Tag) synchronisieren, damit sich die Serverleistung nichtbedeutend verringert. Neue Objekte werden in diesen Abständen im SafeGuard ManagementCenter unter .Automatisch registriert angezeigt. Hier können Sie wie üblich verwaltet werden.

7.10.5.4.2 Vordefiniertes Skript für das automatische Löschen von protokollierten Ereignissen

Die in der SafeGuard Enterprise Datenbank protokollierten Ereignisse werden in derEVENT-Tabelle gespeichert. Für weitere Informationen zur Protokollierung, siehe Berichte(Seite 333).

Mit dem Taskplaner können Sie einen periodischen Task für das automatische Löschen vonprotokollierten Ereignissen erstellen. Für diesen Task können Sie das vordefinierte SkriptEventLogDeletion.vbs verwenden.

Das Skript löscht Ereignisse aus der EVENT-Tabelle.Wenn Sie den entsprechenden Parametereinstellen, verschiebt das Skript auch die Ereignisse aus der EVENT-Tabelle in dieBackup-Log-Tabelle EVENT_BACKUP. Dabei wird eine definierte Anzahl an neuestenEreignissen in der EVENT-Tabelle belassen.

Bevor Sie das Skript in einem periodischen Task verwenden, können Sie folgende Parameteranpassen:

BeschreibungParameter

Mit diesem Parameter legen Sie fest, wie lange (in Tagen)die Ereignisse in der EVENT-Tabelle verbleiben. Die

maxDuration

Standardeinstellung ist 0. Wenn dieser Parameter auf 0gesetzt ist, gibt es keine zeitliche Begrenzung für dasVerbleiben der Ereignisse in der EVENT-Tabelle.

Mit diesem Parameter legen Sie fest, wie viele Ereignissein der EVENT-Tabelle verbleiben. Die Standardeinstellung

maxCount

ist 5000. Wenn dieser Parameter auf 0 gesetzt ist, gibt eskeine maximale Anzahl an Ereignissen in derEVENT-Tabelle.

Mit diesem Parameter legen Sie fest, ob Ereignisse in derEVENT_BACKUP-Tabelle gesichert werden sollen. Die

keepBackup

Standardeinstellung ist 0. Wenn dieser Parameter auf 0gesetzt ist, werden die Ereignisse nicht gesichert. SetzenSie diesen Parameter auf 1, um eine Sicherungskopie dergelöschten Ereignisse zu erstellen.

Hinweis: Wenn Sie die Ereignisse über das Skript aus der EVENT-Tabelle in dieBackup-Log-Tabelle verschieben, findet die Verkettung der Protokollierung keine Anwendungmehr. Es ist nicht sinnvoll, die Verkettung zu aktivieren und gleichzeitig die gespeicherteProzedur zur Säuberung der EVENT-Tabelle einzusetzen. Für weitere Informationen, sieheVerkettung von protokollierten Ereignissen (Seite 339).

330


7.10.6 Einschränkungen in Bezug auf registrierte Server

Wenn Sie im SafeGuard Management Center mit der Funktion Konfigurationspakete Serverregistrieren, können Sie mit einem Maschinenzertifikat mehrere Server Templates registrieren.Sie können jedoch jeweils nur ein Template auf der realen Maschine installieren.

Wenn Sie für beide Server das Kontrollkästchen Skripts ausführen erlaubt auswählen, zeigtder Taskplaner beide Server in der Dropdownliste SGN Server in den Dialogen Neuer Taskund <Task-Name> Eigenschaften zur Auswahl an. Der Taskplaner kann nicht ermitteln,welches der beiden Templates auf der Maschine installiert wurde.

Um dies zu vermeiden, wählen Sie das Kontrollkästchen Skript ausführen erlaubt fürTemplates, die nicht auf dem Server installiert sind, nicht aus. Vermeiden Sie außerdem eineDoppelung von Templates mit demselben Maschinenzertifikat.

Weitere Informationen zum Registrieren von Servern finden Sie in der SafeGuard EnterpriseInstallationsanleitung.

7.10.7 Protokollierte Ereignisse für den Taskplaner

Zur Ausführung von Tasks lassen sich Ereignisse protokollieren, die zum Beispiel bei derFehlerbehebung nützliche Informationen liefern. Sie können festlegen, dass folgende Ereignisseprotokolliert werden:

■ Task erfolgreich ausgeführt

■ Task fehlgeschlagen

■ Service Thread wegen Ausführung gestoppt

Die Ereignisse enthalten den Output der Skriptkonsole zur Unterstützung bei derFehlerbehebung.

Für weitere Informationen zur Protokollierung, siehe Berichte (Seite 333).

7.11 Auditing

7.11.1 Protokollierte Ereignisse für BitLocker

Vom BitLocker Client gemeldete Ereignisse werden wie für alle anderen SafeGuard EnterpriseClients protokolliert. Dabei wird nicht explizit erwähnt, dass sich das Ereignis auf einenBitLocker Client bezieht. Die Berichte entsprechen den für jeden anderen SafeGuard EnterpriseClient erzeugten Berichten.

7.11.2 Protokollierte Ereignisse für Benutzer, Computer oder Arbeitsgruppen

Die erfolgreiche bzw. nicht erfolgreiche Registrierung eines Benutzers, Computers oder einerArbeitsgruppe wird protokolliert. Sie können eine Liste dieser Ereignisse im SafeGuardManagement Center unter Berichte in der Ereignisanzeige auflisten lassen.

331

Administratorhilfe

7.11.3 Protokollierte Ereignisse für Service Account Listen

Die in Zusammenhang mit Service Account Listen durchgeführten Aktionen werden über diefolgenden Ereignisse protokolliert:


■ Service Account Liste <Name> angelegt.

■ Service Account Liste <Name> geändert.


Durch SafeGuard Enterprise geschützte Endpoints

■ Windows-Benutzer <Domäne/Benutzer> hat sich um <Zeit> an Maschine<Domäne/Computer> als SGN Service Account angemeldet.

■ Neue Service Account Liste importiert.


7.11.4 Protokollierung des Dateizugriffs im Cloud-Speicher

Mit der Funktion Berichte im SafeGuard Management Center lässt sich der Dateizugriff imCloud-Speicher protokollieren (Datei-Tracking). Für Datei-Tracking spielt es keine Rolle, obfür die Dateien eine Verschlüsselungsrichtlinie gilt.


■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf demWechselmedium erstellt wird.


■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf demWechselmedium gelöscht wird.


7.11.5 Protokollierung des Dateizugriffs auf Wechselmedien

Mit der Funktion Berichte des SafeGuard Management Center lässt sich der Dateizugriff aufWechselmedien protokollieren (Datei-Tracking). Für Datei-Tracking spielt es keine Rolle, obfür Dateien auf Wechselmedien eine Verschlüsselungsrichtlinie gilt.


■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf demWechselmedium angelegt wird.


■ Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis vomWechselmedium gelöscht wird.


332


7.11.6 Berichte

Die Aufzeichnung sicherheitsrelevanter Vorfälle ist Voraussetzung für eine gründlicheSystemanalyse. Anhand der protokollierten Ereignisse können Vorgänge auf einerArbeitsstation bzw. innerhalb eines Netzwerks exakter nachvollzogen werden. Durch dieProtokollierung lassen sich zum Beispiel Schutzverletzungen unautorisierter Dritter nachweisen.Dem Administrator bzw. Sicherheitsbeauftragten bietet die Protokollierung auch eine Hilfe,um irrtümlich verwehrte Benutzerrechte ausfindig zu machen und zu korrigieren.

SafeGuard Enterprise protokolliert alle Aktivitäten und Statusinformationen der Endpointssowie Administratoraktionen und sicherheitsrelevante Ereignisse und speichert diese zentral.Die Protokollierung zeichnet Ereignisse auf, die installierte SafeGuard Produkte auslösen.Die Art des Protokolls wird in Richtlinien vom Typ Protokollierung definiert. Hier legen Sieauch den fest, wo die protokollierten Ereignisse ausgegeben und gespeichert werden sollen:in der Windows-Ereignisanzeige des Endpoint oder in der SafeGuard Enterprise Datenbank.

Als Sicherheitsbeauftragter mit den entsprechenden Rechten können Sie die im SafeGuardManagement Center angezeigten Statusinformationen und Protokollberichte einsehen,ausdrucken und archivieren. Umfassende Sortier- und Filterfunktionen unterstützen Sie imSafeGuard Management Center bei der Auswahl relevanter Ereignisse aus den verfügbarenInformationen.

Auch eine automatisierte Auswertung der Log-Datenbank, zum Beispiel über Crystal Reportsoder Microsoft System Center Operations Manager, ist möglich. Die Protokolleinträge werdenvon SafeGuard Enterprise sowohl auf Client- als auch auf Server-Seite durch Signatur gegenunbefugte Manipulation geschützt.

Gemäß der Protokollierungsrichtlinie können Ereignisse aus den folgenden Kategorienprotokolliert werden:

■ Authentisierung

■ Administration

■ System

■ Verschlüsselung

■ Client

■ Zugriffskontrolle

■ Für SafeGuard Data Exchange lässt sich der Dateizugriff auf Wechselmedien durchProtokollierung der relevanten Ereignisse verfolgen. Für weitere Informationen zu dieserBerichtart, siehe Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher (Seite338).

■ Für SafeGuard Cloud Storage lässt sich der Zugriff auf Dateien in Ihrem Cloud-Speicherdurch Protokollierung der relevanten Ereignisse verfolgen. Für weitere Informationen zudieser Berichtart, siehe Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher(Seite 338).

7.11.6.1 AnwendungsgebieteDie SafeGuard Enterprise Protokollierung von Ereignissen ist eine benutzerfreundliche undumfassende Lösung zum Aufzeichnen und Auswerten von Ereignissen. Die folgenden Beispielezeigen einige typische Anwendungsszenarien für SafeGuard Enterprise Berichte.

333

Administratorhilfe

7.11.6.1.1 Zentrale Überwachung von Endpoints im Netzwerk

Der Sicherheitsbeauftragte will regelmäßig über kritische Ereignisse (zum Beispiel Zugriff aufDateien, für die ein Benutzer keine Berechtigung hat, oder eine Reihe von fehlgeschlagenenAnmeldeversuchen innerhalb eines bestimmten Zeitraums) informiert werden. Über eineProtokollierungsrichtlinie lässt sich die Protokollierung so konfigurieren, dass alle auf denrelevanten Endpoints auftretenden sicherheitskritischen Ereignisse in einer lokalenProtokolldatei protokolliert. Nach Erreichen einer festgelegten Anzahl an Ereignissen wird dieProtokolldatei über den SafeGuard Enterprise Server in die SafeGuard Enterprise Datenbankübertragen. In der Ereignisanzeige des SafeGuard Management Centers kann derSicherheitsbeauftragte die Ereignisse abrufen, einsehen und analysieren. Somit lassen sichdie Vorgänge auf den verschiedenen Endpoints kontrollieren, ohne dass Mitarbeiter Einflussauf die Aufzeichnungen nehmen können.

7.11.6.1.2 Überwachen mobiler Benutzer

Mobile Benutzer sind in der Regel nicht ständig mit dem Unternehmensnetzwerk verbunden.Ein Außendienstmitarbeiter nimmt zum Beispiel für einen Termin sein Notebook vom Netz.Sobald er sich wieder am Netzwerk anmeldet, werden die während der Offline-Zeitprotokollierten SafeGuard Enterprise Ereignisse übertragen. Die Protokollierung liefert somiteinen genauen Überblick über die Benutzeraktivitäten während der betreffende Computernicht an das Netzwerk angeschlossen war.

7.11.6.2 VoraussetzungEreignisse werden durch den SafeGuard Server verarbeitet. Wenn Sie auf Computern, aufdenen kein SafeGuard Enterprise-Client installiert ist (SafeGuard ManagementCenter-Computer oder der SafeGuard Enterprise Server selbst), Berichte aktivieren, müssenSie sicherstellen, dass Ereignisse an den SafeGuard Enterprise Server gesendet werden.Sie müssen daher ein Client-Konfigurationspaket auf dem Computer installieren. Dadurchwird der Computer beim SafeGuard Enterprise Server als Client aktiviert und die Windowsoder SafeGuard Enterprise Protokollierungsfunktionalität kann genutzt werden.

Für weitere Informationen zu Client-Konfigurationspaketen, siehe Mit Konfigurationspaketenarbeiten (Seite 96).

7.11.6.3 Ziel für protokollierte EreignisseZiel der protokollierten Ereignisse kann die Windows-Ereignisanzeige oder die SafeGuardEnterprise Datenbank sein. In das jeweilige Ziel schreibt die Protokollierung nur Ereignisse,die mit einem SafeGuard-Produkt verknüpft sind.

Die Ausgabeziele für zu protokollierende Ereignisse werden in der Protokollierungsrichtliniefestgelegt.

7.11.6.3.1 Windows-Ereignisanzeige

Ereignisse, für die Sie in der Protokollierungsrichtlinie die Windows-Ereignisanzeige als Zielfestlegen, werden in der Windows-Ereignisanzeige abgelegt. Über dieWindows-Ereignisanzeige lassen sich Protokolle für System-, Sicherheits- undAnwendungs-Ereignisse anzeigen und verwalten. Sie können diese Ereignisprotokolle auchspeichern. Für diese Vorgänge benötigen Sie einen Administrator-Account für den jeweiligenEndpoint. In der Ereignisanzeige wird jeweils ein Fehlercode, kein beschreibender Text desEreignisses, angezeigt.

Hinweis: Eine Voraussetzung, um SafeGuard Enterprise Events in der WindowsEreignisanzeige sehen zu können, ist, dass ein Client config.msi am Endpoint installiert ist.

334


Hinweis: Dieses Kapitel beschreibt das Einsehen sowie die Verwaltung und Analyse derEreignisprotokolle im SafeGuard Management Center. Weitere Informationen zurWindows-Ereignisanzeige finden Sie in Ihrer Microsoft-Dokumentation.

7.11.6.3.2 SafeGuard Enterprise Datenbank

Ereignisse, für die Sie in der Protokollierungsrichtlinie die SafeGuard Enterprise Datenbankals Ziel festlegen, werden in lokalen Protokolldateien im Local Cache des jeweiligen Endpointim Verzeichnis auditing\SGMTranslog gesammelt. Diese Dateien werden an denTransportmechanismus übergeben, der sie dann über den SafeGuard Enterprise Server indie Datenbank einträgt. Die Übergabe erfolgt standardmäßig immer dann, wenn derTransportmechanismus erfolgreich eine Verbindung zum Server aufbauen konnte. Um dieGröße einer Protokolldatei einzuschränken, können Sie in einer Richtlinie des Typs AllgemeineEinstellungen eine maximale Anzahl an Protokolleinträgen definieren. Die Protokolldateiwird dann vom Protokollsystem nach Erreichen der festgelegten Anzahl an Einträgen in dieTransportqueue des SafeGuard Enterprise Servers gestellt. Die in der zentralen Datenbankprotokollierten Ereignisse lassen sich in der SafeGuard Enterprise Ereignisanzeige oder inder Datei-Tracking-Anzeige abrufen. Für das Einsehen, Analysieren und Verwalten der inder Datenbank protokollierten Ereignisse benötigen Sie als Sicherheitsbeauftragter dierelevanten Berechtigungen.

7.11.6.4 Konfigurieren von Einstellungen für die ProtokollierungDie Definition von Berichten erfolgt über zwei Richtlinien:

■ Richtlinie des Typs Allgemeine Einstellungen

In einer Richtlinie des Typs Allgemeine Einstellungen können Sie die Anzahl anprotokollierten Ereignissen angeben, nach deren Erreichen die Protokolldatei mit den fürdie zentrale Datenbank bestimmten Ereignissen an die SafeGuard Enterprise Datenbankübermittelt werden soll. Dadurch wird die Größe der einzelnen zu übertragendenProtokolldateien begrenzt. Diese Einstellung ist optional.

■ Richtlinie des Typs Protokollierung

Die zu protokollierenden Ereignisse werden in der Protokollierungsrichtlinie definiert. Hierlegen Sie als Sicherheitsbeauftragter mit den relevanten Berechtigungen fest, welcheEreignisse an welchem Ausgabeort protokolliert werden.

7.11.6.4.1 Festlegen der Anzahl an Ereignissen für Rückmeldung


2. Legen Sie eine neue Richtlinie des Typs Allgemeine Einstellung an oder wählen Sieeine bereits bestehende Richtlinie aus.

3. Legen Sie im Feld Rückmeldung nach Anzahl von Ereignissen unter Protokollierungdie maximale Anzahl an Ereignissen pro Protokolldatei fest

4. Speichern Sie Ihre Einstellungen.

Nach dem Zuweisen der Richtlinie gilt die angegebene Anzahl an Ereignissen.

7.11.6.4.2 Auswahl von Ereignissen


335

Administratorhilfe

2. Legen Sie eine neue Richtlinie des Typs Protokollierung an oder wählen Sie eine bereitsbestehende Richtlinie aus.

Im rechten Aktionsbereich unter Protokollierung werden die vordefinierten Ereignisse,die protokolliert werden können, angezeigt. Standardmäßig werden Ereignisse nach Ebenegruppiert, zum Beispiel Warnung oder Fehler. Sie können die Gruppierung jedoch ändern.Ein Klick auf die Spaltenüberschrift sortiert die Ereignisse nach ID, Kategorie usw.

3. Um festzulegen, dass ein Ereignis in der SafeGuard Enterprise Datenbank protokolliertwerden soll, wählen Sie das Ereignis in der Spalte mit dem Datenbanksymbol Ereignissein der Datenbank protokollieren durch Klicken mit der Maus aus. Für Ereignisse, die inder Windows-Ereignisanzeige protokolliert werden sollen, klicken Sie in der Spalte mitdem Ereignisprotokollsymbol Im Ereignisprotokoll protokollieren.

Durch wiederholtes Klicken lässt sich die Markierung wieder aufheben oder auf null setzen.Für Ereignisse, für die Sie keine Einstellung festlegen, gelten die vordefiniertenStandardwerte.

4. Bei den für die Protokollierung ausgewählten Ereignissen wird in der betreffenden Spalteein grünes Häkchen angezeigt. Speichern Sie Ihre Einstellungen.

Nach der Zuweisung der Richtlinie werden die ausgewählten Ereignisse am festgelegtenAusgabeziel protokolliert.

Hinweis: Für eine Auflistung aller für die Protokollierung auswählbaren Ereignisse, sieheFür Berichte auswählbare Ereignisse (Seite 344).

7.11.6.5 Einsehen von protokollierten EreignissenWenn Sie als Sicherheitsbeauftragter über die entsprechenden Berechtigungen verfügen,können Sie die in der zentralen Datenbank protokollierten Ereignisse in der SafeGuardManagement Center Ereignisanzeige einsehen.

So rufen Sie in der zentralen Datenbank protokollierte Ereignisse ab:

1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die SchaltflächeBerichte.

2. Markieren Sie im Berichte Navigationsbereich den Eintrag Ereignisanzeige.

3. Klicken Sie im rechten Fensterbereich Ereignisanzeige auf das Lupensymbol.

Alle in der zentralen Datenbank protokollierten Ereignisse werden in der Ereignisanzeigeangezeigt.

Die einzelnen Spalten zeigen folgende Informationen zu den protokollierten Ereignissen:

BeschreibungSpalte

Zeigt eine Nummer zur Identifizierung des Ereignisses.ID

Zeigt den Ereignistext, d.h. eine Beschreibung des Ereignisses.Ereignis

Zeigt die Klassifizierung des Ereignisses durch die Quelle, z.B.:Verschlüsselung, Anmeldung, System.

Kategorie

Zeigt den Bereich der Software, der das Ereignis übermittelthat, z. B. SGMAuth, SGBaseENc, SGMAS.

Anwendung

336


BeschreibungSpalte

Zeigt den Namen des Computers, auf dem das protokollierteEreignis aufgetreten ist.

Computer

Zeigt die Domäne des Computers, auf dem das protokollierteEreignis aufgetreten ist.

Computerdomäne

Zeigt den Benutzer, der beim Auftreten des Ereignissesangemeldet war.

Benutzer

Zeigt die Domäne des Benutzers, der beim Auftreten desEreignisses angemeldet war.

Benutzerdomäne

Zeigt Systemdatum und Systemuhrzeit der Protokollierungdes Ereignisses auf dem Endpoint.

Zeitpunkt der Protokollierung

Durch Klicken auf den Spalten-Header lässt sich die Ereignisanzeige nach Ebene, Kategorieusw. sortieren.

Darüber hinaus steht über das Kontextmenü der einzelnen Spalten eine Reihe von Funktionenfür die Sortierung, Gruppierung und Anpassung der Ereignisanzeige zur Verfügung.

Wenn Sie auf einen Eintrag in der Ereignisanzeige doppelklicken, werden Details zumprotokollierten Ereignis angezeigt.

7.11.6.5.1 Filtern der SafeGuard Enterprise Ereignisanzeige

Das SafeGuard Management Center bietet umfassende Filterfunktionen. Mit diesen Funktionenkönnen Sie die jeweils relevanten Ereignisse schnell aus Fülle der in der Ereignisanzeigedargestellten Informationen ermitteln.

Im Filter-Bereich der Ereignisanzeige stehen folgende Felder für die Definition von Filternzur Verfügung:

BeschreibungFeld

Unter Anwendung dieses Felds lässt sich die Ereignisanzeigenach den in der Spalte Kategorie angegebenen Klassifizierungen

Kategorien

durch die Quelle (zum Beispiel Verschlüsselung, Anmeldung,System) filtern. Wählen Sie hierzu die gewünschten Kategorien inder Dropdownliste des Felds aus.

Unter Anwendung dieses Felds lässt sich die Ereignisanzeigenach den in der Spalte Ebene angegebenen

Fehlerstufe

Windows-Ereignisklassifizierungen (z. B. Warnung, Fehler) filtern.Wählen Sie hierzu die gewünschten Ebenen in der Dropdownlistedes Felds aus.

In diesem Feld können Sie die Anzahl der anzuzeigendenEreignisse festlegen. Es werden jeweils die zuletzt protokolliertenEreignisse (standardmäßig die 100 letzten Ereignisse) angezeigt.

Zeige letzte

337

Administratorhilfe

Darüber hinaus können Sie mit dem Filter-Editor benutzerdefinierte Filter erstellen. DerFilter-Editor lässt sich über das Kontextmenü der einzelnen Berichtsspalten aufrufen. ImFenster Filterdefinition können Sie eigene Filter definieren und auf die jeweilige Spalteanwenden.

7.11.6.6 Datei-Tracking-Bericht für Wechselmedien und Cloud-SpeicherBei SafeGuard Data Exchange und SafeGuard Cloud Storage lässt sich der Zugriff aufDateien auf Wechselmedien oder in Ihrem Cloud-Speicher protokollieren. Unabhängig davon,ob eine Verschlüsselungsrichtlinie für Dateien auf Wechselmedien oder Cloud-Speicher gilt,lassen sich Ereignisse für folgende Aktionen protokollieren:

■ Auf einem Wechselmedium oder im Cloud-Speicher wird eine Datei oder ein Verzeichnisangelegt.

■ Auf einem Wechselmedium oder im Cloud-Speicher wird eine Datei oder ein Verzeichnisumbenannt.

■ Auf einem Wechselmedium oder im Cloud-Speicher wird eine Datei oder ein Verzeichnisgelöscht.

Sie können die Events für den Dateizugriff in der Windows Ereignisanzeige oder in derSafeGuard Enterprise Datei-Tracking-Anzeige einsehen, je nachdem, welches Ziel Sie beider Definition der Protokollierungsrichtlinie angeben.

7.11.6.6.1 Konfigurieren von Datei-Tracking


2. Legen Sie eine neue Richtlinie des Typs Protokollierung an oder wählen Sie eine bereitsbestehende Richtlinie aus.

Im rechten Aktionsbereich unter Protokollierung werden die vordefinierten Ereignisse,die protokolliert werden können, angezeigt. Ein Klick auf die Spaltenüberschrift sortiert dieEreignisse nach ID, Kategorie usw.

3. Um die Protokollierung des Dateizugriffs zu aktivieren, wählen Sie je nach Anforderungdie folgenden Ereignisse:

■ Für Dateien, die auf Wechselmedien gespeichert sind:

■ ID 3020 Datei-Tracking für Wechselmedien: Eine Datei wurde erstellt.

■ ID 3021 Datei-Tracking für Wechselmedien: Eine Datei wurde umbenannt.

■ ID 3022 Datei-Tracking für Wechselmedien: Eine Datei wurde gelöscht.

■ Für Dateien, die im Cloud-Speicher gespeichert sind:

■ ID 3025 Datei-Tracking für Cloud-Speicher: Eine Datei wurde erstellt.

■ ID 3026 Datei-Tracking für Cloud-Speicher: Eine Datei wurde umbenannt.

■ ID 3027 Datei-Tracking für Cloud-Speicher: Eine Datei wurde gelöscht.

Um festzulegen, dass ein Ereignis in der SafeGuard Enterprise Datenbank protokolliertwerden soll, wählen Sie das Ereignis in der Spalte mit dem Datenbanksymbol Ereignissein der Datenbank protokollieren durch Klicken mit der Maus aus. Für Ereignisse, die inder Windows-Ereignisanzeige protokolliert werden sollen, klicken Sie in der Spalte mitdem Ereignisprotokollsymbol Im Ereignisprotokoll protokollieren.

338


Bei den für die Protokollierung ausgewählten Ereignissen wird in der betreffenden Spalteein grünes Häkchen angezeigt.

4. Speichern Sie Ihre Einstellungen.

Nach dem Zuweisen der Richtlinie ist Datei-Tracking aktiviert und die ausgewählten Ereignissewerden am ausgewählten Zielort protokolliert.

Hinweis: Beachten Sie, dass sich durch das Aktivieren von Datei-Tracking die Serverlasterheblich erhöht.

7.11.6.6.2 Einsehen von Datei-Tracking-Ereignissen

Um Datei-Tracking-Protokolle einzusehen, benötigen Sie das RechtDatei-Tracking-Ereignisse anzeigen.

1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die SchaltflächeBerichte.

2. Markieren Sie im Berichte Navigationsbereich den Eintrag Datei-Tracking-Anzeige.

3. Klicken Sie im Aktionsbereich der Datei-Tracking-Anzeige auf der rechten Seite auf dasLupensymbol.

Alle in der zentralen Datenbank protokollierten Ereignisse werden in derDatei-Tracking-Anzeige angezeigt. Die Ansicht ist mit der Ansicht der Ereignisanzeigeidentisch. Für weitere Informationen, siehe Einsehen von protokollierten Ereignissen (Seite336).

7.11.6.7 Drucken von BerichtenDie in der SafeGuard Management Center Ereignisanzeige oder in derDatei-Tracking-Anzeige angezeigten Ereignisberichte lassen sich über das Datei Menü inder Menüleiste des SafeGuard Management Center drucken.

■ Um vor dem Drucken eine Druckvorschau zu erstellen, wählen Sie Datei > Druckvorschau.In der Druckvorschau stehen verschiedene Funktionen, zum Beispiel für den Export desDokuments in eine Reihe von Ausgabeformaten (zum Beispiel .PDF) oder die Bearbeitungdes Seitenlayouts (zum Beispiel Kopf- und Fußzeile), zur Verfügung.

■ Um das Dokument sofort zu drucken, wählen Sie Datei > Drucken.

7.11.6.8 Verkettung von protokollierten EreignissenDie für die zentrale Datenbank bestimmten Ereignisse werden in der EVENT-Tabelle derSafeGuard Enterprise Datenbank protokolliert. Auf diese Tabelle kann ein speziellerIntegritätsschutz angewendet werden. Die Ereignisse lassen sich als verkettete Liste in derEVENT-Tabelle protokollieren. Durch die Verkettung ist ein Eintrag in der Liste jeweils vonseinem Vorgängereintrag abhängig.Wird ein Eintrag aus der Liste entfernt, so ist dies sichtbarund über eine Integritätsprüfung nachweisbar.

Zur Optimierung der Performance ist die Verkettung der Ereignisse in der EVENT-Tabellestandardmäßig deaktiviert. Zur Überprüfung der Integrität der protokollierten Ereignisse (siehePrüfen der Integrität protokollierter Ereignisse (Seite 340)) können Sie jedoch die Verkettungaktivieren.

Hinweis: Wenn die Verkettung von protokollierten Ereignissen deaktiviert ist, gilt kein speziellerIntegritätsschutz für die EVENT-Tabelle.

Hinweis: Zu viele Events können zu Performanceproblemen führen. Nähere Informationen,wie Sie Performanceprobleme vermeiden können, indem Sie Events aufräumen, finden Sieunter Regelmäßige Säuberung der EVENT-Tabelle über Skript (Seite 341).

339

Administratorhilfe

7.11.6.8.1 Aktivieren der Verkettung protokollierter Ereignisse

1. Stoppen Sie den Webservice SGNSRV auf dem Web Server.

2. Löschen Sie alle Ereignisse aus der Datenbank und erstellen Sie während desLöschvorgangs eine Sicherungskopie (siehe Löschen ausgewählter oder aller Ereignisse(Seite 340)).

Hinweis: Wenn Sie die alten Ereignisse nicht aus der Datenbank löschen, funktioniertdie Verkettung nicht, da für die verbleibenden alten Ereignisse die Verkettung nicht aktiviertwar.

3. Setzen Sie folgenden Registry Key auf 0 oder löschen Sie ihn:

HKEY_LOCAL_MACHINE\SOFTWARE\Utimaco\SafeGuard Enterprise DWORD:DisableLogEventChaining = 0

4. Starten Sie den Webservice neu.

Die Verkettung ist wieder aktiviert.

Hinweis: Um die Verkettung wieder zu deaktivieren, setzen Sie den Registry Key auf 1.

7.11.6.9 Prüfen der Integrität protokollierter EreignisseVoraussetzung: Für die Überprüfung der Integrität von protokollierten Ereignissen muss dieVerkettung der Ereignisse in der EVENT-Tabelle aktiviert sein.

1. Klicken Sie im SafeGuard Management Center auf Berichte.

2. Wählen Sie in der SafeGuard Management Center Menüleiste Aktionen > Integritätprüfen.

Eine Meldung liefert die Informationen zur Integrität der protokollierten Ereignisse.

Hinweis: Ist die Verkettung von Ereignissen deaktiviert, so wird ein Fehler ausgegeben.

7.11.6.10 Löschen ausgewählter oder aller Ereignisse1. Klicken Sie im SafeGuard Management Center auf Berichte.

2. Markieren Sie in der Ereignisanzeige die Ereignisse, die gelöscht werden sollen.

3. Um ausgewählte Ereignisse zu löschen, wählen Sie in der SafeGuard Management CenterMenüleiste Aktionen > Ereignisse löschen oder klicken Sie in der Symbolleiste auf dasSymbol Ausgewählte Ereignisse löschen. Um alle Ereignisse zu löschen, wählen Siein der SafeGuard Management Center Menüleiste Aktionen > Alle Ereignisse löschenoder klicken Sie in der Symbolleiste auf das Symbol Alle Ereignisse löschen.

4. Vor dem Löschen der ausgewählten Ereignisse wird das Fenster Ereignisse sichern alszur Erstellung einer Sicherungsdatei angezeigt (siehe Erstellen einer Sicherungsdatei(Seite 340)).

Die ausgewählten Ereignisse werden aus dem Ereignisprotokoll gelöscht.

7.11.6.11 Erstellen einer SicherungsdateiSicherungsdateien von den in der Ereignisanzeige angezeigten Berichten lassen sich imRahmen des Löschvorgangs erstellen.

1. Wenn Sie Aktionen > Ereignisse löschen oder Aktionen > Alle Ereignisse löschenwählen, wird vor dem Löschen der Ereignisse das Fenster Ereignisse sichern als zurErstellung einer Sicherungsdatei angezeigt.

340


2. Um eine Sicherung des Ereignisprotokolls in Form einer XML-Datei zu erstellen, gebenSie einen Dateinamen und einen Speicherort an und klicken Sie auf OK.

7.11.6.12 Öffnen einer Sicherungsdatei1. Klicken Sie im SafeGuard Management Center auf Berichte.

2. Wählen Sie in der SafeGuard Management Center Menüleiste Aktionen > Sicherungsdateiöffnen.

Das Fenster Sicherung öffnen wird angezeigt.

3. Wählen Sie die zu öffnende Sicherungsdatei aus und klicken Sie auf Öffnen.

Die Sicherungsdatei wird geöffnet und die Ereignisse werden in der Ereignisanzeigeangezeigt. Um wieder zur regulären Ansicht der Ereignisanzeige zurückzukehren, klickenSie erneut auf das Symbol Sicherungsdatei öffnen in der Symbolleiste.

7.11.6.13 Regelmäßige Säuberung der EVENT-Tabelle über SkriptHinweis: Das SafeGuard Management Center bietet den Taskplaner für das Erstellen undPlanen von auf Skripten basierenden Tasks, die in regelmäßigen Abständen ausgeführtwerden. Auf dem SafeGuard Enterprise Server startet ein Service die Tasks automatisch zurAusführung der angegebenen Skripte.

Für die automatische und effiziente Säuberung der EVENT-Tabelle stehen im \tools VerzeichnisIhrer SafeGuard Enterprise Software-Lieferung vier SQL Skripte zur Verfügung:

■ spShrinkEventTable_install.sql

■ ScheduledShrinkEventTable_install.sql

■ spShrinkEventTable_uninstall.sql

■ ScheduledShrinkEventTable_uninstall.sql

Die beiden Skripte spShrinkEventTable_install.sql undScheduledShrinkEventTable_install.sql installieren eine gespeicherte Prozedursowie den Scheduled Job auf dem Datenbank-Server. Der Scheduled Job führt diegespeicherte Prozedur in festgelegten, regelmäßigen Abständen aus. Die gespeicherteProzedur verschiebt Ereignisse aus der EVENT-Tabelle in die Backup-Log-TabelleEVENT_BACKUP. Dabei wird eine definierte Anzahl an neuesten Ereignissen in derEVENT-Tabelle belassen.

Die beiden Skripte spShrinkEventTable_uninstall.sql undScheduledShrinkEventTable_uninstall.sql deinstallieren die gespeicherte Prozedursowie den Scheduled Job. Diese beiden Skripte löschen auch die EVENT_BACKUP Tabelle.

Hinweis: Wenn Sie die Ereignisse über die gespeicherte Prozedur aus der EVENT-Tabellein die Backup-Log-Tabelle verschieben, findet die Verkettung der Protokollierung keineAnwendung mehr. Es ist nicht sinnvoll, die Verkettung zu aktivieren und gleichzeitig diegespeicherte Prozedur zur Säuberung der EVENT-Tabelle einzusetzen. Für weitereInformationen, siehe Verkettung von protokollierten Ereignissen (Seite 339).

7.11.6.13.1 Erstellen der gespeicherten Prozedur

Das Skript spShrinkEventTable_install.sql erstellt eine gespeicherte Prozedur, dieDaten aus der EVENT-Tabelle in eine Backup-Log-Tabelle mit dem Namen EVENT_BACKUPverschiebt.Wenn die Tabelle EVENT_BACKUP noch nicht vorhanden ist, wird sie automatischerstellt.

341

Administratorhilfe

Die erste Zeile lautet „USE SafeGuard“. Wenn Sie für Ihre SafeGuard Enterprise Datenbankeinen anderen Namen als „SafeGuard“ verwendet haben, ändern Sie den Namen hierentsprechend.

Die gespeicherte Prozedur belässt die <n> neuesten Ereignisse in der EVENT-Tabelle undverschiebt den Rest in die Tabelle EVENT_BACKUP. Die Anzahl an Ereignissen, die in derEVENT-Tabelle verbleiben sollen, wird über einen Parameter festgelegt.

Um die gespeicherte Prozedur auszuführen, verwenden Sie folgenden Befehl in SQL ServerManagement Studio (New Query):

exec spShrinkEventTable 1000

Bei Verwendung dieses Beispielbefehls werden alle Ereignisse außer den neuesten 1000verschoben.

7.11.6.13.2 Anlegen eines Scheduled Job für die Ausführung der gespeicherten Prozedur

Um die EVENT-Tabelle in regelmäßigen Abständen automatisch zu säubern, können Sieeinen Job am SQL Server anlegen. Dieser Job kann über das SkriptScheduledShrinkEventTable_install.sql oder über den SQL Enterprise Managererstellt werden.

Hinweis: Der Job funktioniert nicht bei SQL Express Datenbanken. Damit der Job ausgeführtwerden kann, muss der SQL Server Agent laufen. Da bei SQL Server Express Installationkein SQL Server Agent vorhanden ist, werden Jobs hier nicht unterstützt.

■ Der Skript-Teil muss in der msdb ausgeführt werden. Wenn Sie für Ihre SafeGuardEnterprise Datenbank einen anderen Namen als SafeGuard ausgewählt haben, ändernSie den Namen entsprechend.

/* Default: Database name 'SafeGuard' change if required*/

SELECT @SafeGuardDataBase='SafeGuard'

■ Sie können auch die Anzahl an Ereignissen festlegen, die in der EVENT-Tabelle verbleibensollen. Die Standardeinstellung ist 100.000.

/* Default: keep the latest 100000 events, change if required*/

SELECT @ShrinkCommand='exec spShrinkEventTable 100000'

■ Sie können festlegen, ob die Ausführung des Jobs im NT Event Log protokolliert werdensoll.

exec sp_add_job

@job_name='AutoShrinkEventTable',

@enabled=1,

@notify_level_eventlog=3

Für den Parameter notify_level_eventlog sind folgende Werte verfügbar:

ErgebnisWert

Jede Ausführung des Jobs protokollieren.3

Fehlschlagen des Jobs protokollieren.2

342


ErgebnisWert

Erfolgreiche Ausführung des Jobs protokollieren.1

Ausführung des Jobs nicht im NT Event Log protokollieren.0

■ Sie können festlegen, wie oft die Ausführung des Jobs im Fall eines Fehlschlags wiederholtwerden soll.

exec sp_add_jobstep

■ @retry_attempts=3

Dieses Beispiel legt 3 Versuche für die Ausführung des Jobs im Fall eines Fehlschlagsfest.

■ @retry_interval=60

Dieses Beispiel legt fest, dass die Ausführung des Jobs in einem Abstand von 60Minuten wiederholt werden soll.

■ Sie können einen Zeitplan für die Ausführung des Jobs festlegen.

exec sp_add_jobschedule

■ @freq_type=4

Dieses Beispiel legt fest, dass der Job täglich ausgeführt wird.

■ @freq_interval=1

Dieses Beispiel legt fest, dass der Job einmal pro Tag ausgeführt wird.

■ @active_start_time=010000

Dieses Beispiel legt fest, dass der Job um 01:00 Uhr ausgeführt wird.

Hinweis: Neben den oben angeführten Beispielwerten lässt sich noch eine Vielzahl vonverschiedenen Zeitplanoptionen mit sp_add-jobschedule definieren. So lässt sich der Jobzum Beispiel alle zwei Minuten oder nur einmal pro Woche ausführen. Weitere Informationenhierzu finden Sie in der Microsoft Transact SQL Dokumentation.

7.11.6.13.3 Löschen der gespeicherten Prozeduren, Jobs und Tabellen

Das Skript spShrinkEventTable_uninstall.sql löscht die gespeicherte Prozedur sowiedie EVENT-BACKUP Tabelle. Das Skript ScheduledShrinkEventTable_uninstall.sqldeaktiviert den Scheduled Job.

Hinweis: Wenn Sie spShrinkEventTable_uninstall.sql ausführen, wird die TabelleEVENT_BACKUP mit allen enthaltenen Daten vollständig gelöscht.

7.11.6.14 Texte für EreignisberichteEreignisse werden nicht mit ihren vollständigen Ereignistexten in der SafeGuard EnterpriseDatenbank protokolliert. Nur die ID und die relevanten Parameterwerte werden in dieDatenbanktabelle geschrieben. Beim Abrufen der Ereignisse in der SafeGuard ManagementCenter Ereignisanzeige werden die Parameterwerte zusammen mit den in der .dll enthaltenen

343

Administratorhilfe

Lückentexten in die kompletten Ereignistexte umgesetzt. Dies erfolgt in der jeweils benutztenSystemsprache des SafeGuard Management Center.

Die für die Ereignistexte verwendeten Lückentexte lassen sich, zum Beispiel durchSQL-Abfragen, bearbeiten und aufbereiten. Sie können hierzu eine Tabelle mit allenLückentexten für Ereignismeldungen erzeugen. Danach können Sie die Lückentexte nachIhren Anforderungen anpassen.

So erstellen Sie eine Tabelle mit den Texten für die einzelnen Ereignis-IDs:

1. Wählen Sie in der Menüleiste des SafeGuard Management Center Extras > Optionen.

2. Wählen Sie in der Menüleiste des SafeGuard Management Centers Extras > Optionen.

3. Klicken Sie im Bereich Texte für Ereignisberichte auf die Schaltfläche Erzeuge Tabelle.

Die Tabelle mit den Texten für die Bericht IDs wird in der jeweils aktuellen Sprache desSafeGuard Management Centers erstellt und kann angepasst werden.

Hinweis: Vor jedem neuen Erstellen der Lückentexte wird die Tabelle jeweils geleert. Wenndie Texte für eine Sprache wie beschrieben erstellt wurden und ein Benutzer erstellt die Textefür eine andere Sprache, so werden die Texte für die erste Sprache entfernt.

7.11.7 Für Berichte auswählbare Ereignisse

Die folgende Tabelle bietet einen Überblick zu allen für die Protokollierung auswählbarenEreignissen.

BeschreibungEreignis-IDKategorie

Prozess gestartet.1001System

Dienst gestartet.1005System

Dienst gestartet.1005System

Dienst starten fehlgeschlagen1006System

Dienst angehalten.1007System

Dienst angehalten.1007System

Integritätstest der Dateien fehlgeschlagen.1016System

Logging Ziel nicht verfügbar.1017System

Nicht genehmigter Versuch SafeGuard Enterprise zu deinstallieren.1018System

Schlüssel-Backup fehlgeschlagen1019System

Das senden der Meldung "key backup complete" an die Sophos EnterpriseConsole ist fehlgeschlagen.

1020System

Schlüssel-Backup nicht bestätigt1021System

344


E-Mail wurde mit Anlagen gesendet (Von, Betreff,Verschlüsselungsmethode)

1500Kommunikation

E-Mail wurde mit Anlagen gesendet (Von, Betreff, Anlagen,Verschlüsselungsmethode)

1507Kommunikation

E-Mail wurde mit Anlagen gesendet (Von, Empfänger, Betreff, Anlagen,Verschlüsselungsmethode)

1508Kommunikation

Externe GINA erkannt und erfolgreich eingebunden.2001Authentisierung

Externe GINA erkannt, Einbindung fehlgeschlagen.2002Authentisierung

Power-on Authentication ist aktiviert.2003Authentisierung

Power-on Authentication ist aktiviert.2003Authentisierung

Power-on Authentication ist deaktiviert.2004Authentisierung

Power-on Authentication ist deaktiviert.2004Authentisierung

Wake on LAN ist aktiviert.2005Authentisierung

Wake on LAN ist aktiviert.2005Authentisierung

Wake on LAN ist deaktiviert.2006Authentisierung

Wake on LAN ist deaktiviert.2006Authentisierung

Challenge erzeugt.2007Authentisierung

Challenge erzeugt.2007Authentisierung

Response erzeugt.2008Authentisierung

Response erzeugt.2008Authentisierung

Anmeldung erfolgreich durchgeführt.2009Authentisierung



Anmeldung fehlgeschlagen.2010Authentisierung



Benutzer wurde während der Anmeldung importiert und als Besitzermarkiert.

2011Authentisierung

345

Administratorhilfe

Benutzer vom Besitzer importiert und als Nicht- Besitzer markiert2012Authentisierung

Benutzer von Nicht-Besitzer importiert und als Nicht-Besitzer markiert.2013Authentisierung

Benutzer als Besitzer entfernt.2014Authentisierung

Import des Benutzers während der Anmeldung fehlgeschlagen.2015Authentisierung

Benutzer hat sich abgemeldet.2016Authentisierung

Benutzer wurde zwangsweise abgemeldet.2017Authentisierung

Aktion wurde auf dem Gerät ausgeführt.2018Authentisierung

Aktion wurde auf dem Gerät ausgeführt.2018Authentisierung

Benutzer hat einen Kennwort/PIN-Wechsel eingeleitet.2019Authentisierung

Benutzer hat einen Kennwort/PIN-Wechsel eingeleitet.2019Authentisierung

Benutzer hat nach der Anmeldung sein Kennwort/PIN geändert.2020Authentisierung

Benutzer hat nach der Anmeldung sein Kennwort/PIN geändert.2020Authentisierung

Kennwort/PIN-Qualität.2021Authentisierung

Verstoß gegen Kennwort-/PIN-Richtlinie.2022Authentisierung

Der LocalCache war korrupt und wurde restauriert.2023Authentisierung

Ungültige Kennwort-Blacklist-Konfiguration.2024Authentisierung

Der empfangene Response Code erlaubt es dem Benutzer, sich seinKennwort anzeigen zu lassen.

2025Authentisierung

Der empfangene Response Code erlaubt es dem Benutzer, sich seinKennwort anzeigen zu lassen.

2025Authentisierung

Sicherung des Local Cache war erfolgreich.2026Authentisierung

Sicherung des Local Cache ist fehlschlagen.2027Authentisierung

Angemeldeter Benutzer ist ein Gast-Benutzer.2028Authentisierung

Erfolgreiche Anmeldung an Web Helpdesk mit vorkonfiguriertenBenutzerdaten.

2029Authentisierung

Angemeldeter Benutzer ist ein Service Account.2030Authentisierung

Die Anmeldung mit vorkonfigurierten Benutzerdaten an Web Helpdesk istfehlgeschlagen.

2031Authentisierung

346


Die Authentisierung für Web Helpdesk ist fehlgeschlagen.2032Authentisierung

Web Helpdesk wurde gestartet.2033Authentisierung

Anmeldung2035Authentisierung

Service Account Liste gelöscht.2036Authentisierung

SGN Windows - Benutzer hinzugefügt.2056Authentisierung

Alle SGN Windows-Benutzer wurden von einem Endpoint Computerentfernt.

2057Authentisierung

Alle SGN Windows-Benutzer wurden von einem Endpoint Computerentfernt.

2057Authentisierung

Benutzer wurde(n) manuell aus der UMA entfernt.2058Authentisierung

Rückgabewert der Computrace-Überprüfung.2061Authentisierung

Computrace-Überprüfung konnte nicht ausgeführt werden.2062Authentisierung

Kernelinitialisierung erfolgreich abgeschlossen.2071Authentisierung

Kernel-Initialisierung ist fehlgeschlagen.2072Authentisierung

Maschinenschlüssel wurden auf dem Client erfolgreich erzeugt.2073Authentisierung

Maschinenschlüssel konnten auf dem Client nicht erzeugt werden.2074Authentisierung

Abfrage der Platteneigenschaften oder Opal-Initialisierung istfehlgeschlagen.

2075Authentisierung

Importieren eines Benutzers in den Kernel wurde erfolgreich beendet.2079Authentisierung

Löschen eines Benutzers aus dem Kernel wurde erfolgreich beendet.2080Authentisierung

Import eines Benutzers in den Kernel ist fehlgeschlagen.2081Authentisierung

Löschen eines Benutzers aus dem Kernel ist fehlgeschlagen.2082Authentisierung

Response mit Aktion "Benutzer wird sein Kennwort angezeigt" erzeugt.2083Authentisierung

Response mit Aktion "Benutzer wird sein Kennwort angezeigt" erzeugt.2083Authentisierung

Response für virtuellen Client erzeugt.2084Authentisierung

Response für virtuellen Client erzeugt.2084Authentisierung

Response für Standalone Client erzeugt.2085Authentisierung

Response für Standalone Client erzeugt.2085Authentisierung

347

Administratorhilfe

Für einen Standalone Client Benutzer wurde ein neues Zertifikat erzeugt.2086Authentisierung

Ein Zertifkat wurde einem Standalone-Client-Benutzer zugewiesen. DiesesEreignis findet nur auf Standalone Clients statt und wird daher nicht in derDatenbank protokolliert.

2087Authentisierung

Wake on LAN konnte nicht aktiviert werden.2095Authentisierung

Wake on LAN konnte nicht deaktiviert werden.2096Authentisierung

Der Benutzer hat sich zum ersten Mal mit dem Standby-Token am Clientangemeldet. Der Standby-Token wurde als Standard-Token eingestellt.

2097Authentisierung

Die erfolgreiche Aktivierung eines Standby-Certificate wurde dem Servergemeldet.

2098Authentisierung

Der Benutzer hat sich zum ersten Mal mit dem Standby-Token am Clientangemeldet. Das Standby-Zertifikate konnte aufgrund eines Fehlers nichtaktiviert werden.

2099Authentisierung

Das Standby-Zertifikat konnte auf dem Server nicht aktiviert werden.2100Authentisierung

Die PIN auf dem Token wurde geändert.2101Authentisierung

Die PIN-Änderung auf dem Token ist fehlgeschlagen.2102Authentisierung

Die Richtlinie "Zertifikatsbasierte Anmeldung erzwingen" konnte nichtangewendet werden

2103Authentisierung

Die Richtlinie "Zertifikatsbasierte Anmeldung erzwingen" wurdeangewendet

2104Authentisierung

SafeGuard Enterprise Administration gestartet.2500Administration

SafeGuard Enterprise Administration gestartet.2500Administration

Anmeldung an der SafeGuard Enterprise Administration fehlgeschlagen.2501Administration

Autorisierung an der SafeGuard Enterprise Administration fehlgeschlagen.2502Administration

Autorisierung an der SafeGuard Enterprise Administration fehlgeschlagen.2502Administration

Zusätzliche Autorisierung erforderlich.2503Administration

Benutzer genehmigt zusätzliche Autorisierung2504Administration

Zusätzliche Autorisierung von Benutzer fehlgeschlagen.2505Administration

Datenimport vom Verzeichnis erfolgreich.2506Administration

Datenimport vom Verzeichnis erfolgreich.2506Administration

348


Datenimport vom Verzeichnis abgebrochen.2507Administration

Datenimport vom Verzeichnis fehlgeschlagen.2508Administration

Datenimport vom Verzeichnis fehlgeschlagen.2508Administration

Benutzer angelegt.2511Administration

Benutzer wurde geändert.2513Administration

Benutzer wurde geändert.2513Administration

Benutzer gelöscht.2515Administration

Benutzer gelöscht.2515Administration

Anlegen des Benutzers fehlgeschlagen.2518Administration

Löschen des Benutzers fehlgeschlagen.2522Administration

Löschen des Benutzers fehlgeschlagen.2522Administration

Computer angelegt2525Administration

Computer gelöscht.2529Administration

Computer gelöscht.2529Administration

Anlegen des Computers fehlgeschlagen.2532Administration

Löschen des Computers fehlgeschlagen.2536Administration

Löschen des Computers fehlgeschlagen.2536Administration

OU angelegt.2539Administration

OU angelegt.2539Administration

OU gelöscht.2543Administration

OU gelöscht.2543Administration

Anlegen der OU fehlgeschlagen2546Administration

Importieren der OU fehlgeschlagen.2547Administration

Löschen der OU fehlgeschlagen.2550Administration

Löschen der OU fehlgeschlagen.2550Administration

Gruppe angelegt.2553Administration

349

Administratorhilfe

Gruppe angelegt.2553Administration

Gruppe geändert.2555Administration

Gruppe umbenannt.2556Administration

Gruppe gelöscht.2557Administration

Gruppe gelöscht.2557Administration

Anlegen der Gruppe fehlgeschlagen.2560Administration

Anlegen der Gruppe fehlgeschlagen.2560Administration

Ändern der Gruppe fehlgeschlagen.2562Administration

Umbenennen der Gruppe fehlgeschlagen.2563Administration

Löschen der Gruppe fehlgeschlagen.2564Administration

Löschen der Gruppe fehlgeschlagen.2564Administration

Mitglieder der Gruppe hinzugefügt.2573Administration

Mitglieder aus Gruppe entfernt.2575Administration

Hinzufügen der Mitglieder zur Gruppe fehlgeschlagen.2576Administration

Entfernen der Mitglieder aus Gruppe fehlgeschlagen.2578Administration

Gruppe von OU nach OU verschoben.2580Administration

Verschieben der Gruppe von OU nach OU fehlgeschlagen.2583Administration

Objekte der Gruppe hinzugefügt.2591Administration

Objekte der Gruppe hinzugefügt.2591Administration

Objekte aus Gruppe entfernt.2593Administration

Objekte aus Gruppe entfernt.2593Administration

Hinzufügen der Objekte zur Gruppe fehlgeschlagen2594Administration

Hinzufügen der Objekte zur Gruppe fehlgeschlagen2594Administration

Hinzufügen der Objekte aus Gruppe fehlgeschlagen2596Administration

Hinzufügen der Objekte aus Gruppe fehlgeschlagen2596Administration

Schlüssel erzeugt.2603Administration

350




Schlüssel geändert.2604Administration

Schlüssel geändert.2604Administration

Schlüssel zugeordnet.2607Administration



Schlüsselzuordnung aufgehoben.2608Administration

Erzeugen des Schlüssels fehlgeschlagen.2609Administration



Ändern des Schlüssels fehlgeschlagen.2610Administration

Ändern des Schlüssels fehlgeschlagen.2610Administration

Zuordnung des Schlüssels fehlgeschlagen.2613Administration



Entfernen der Zuordnung des Schlüssels fehlgeschlagen.2614Administration

Zertifikat erzeugt.2615Administration



Zertifikat importiert.2616Administration

Zertifikat importiert.2616Administration

Zertifikat gelöscht.2619Administration

Zertifikat gelöscht.2619Administration

Zertifikat Benutzer zugeordnet.2621Administration

Zertifikatszuordnung zu Benutzer aufgehoben.2622Administration

351

Administratorhilfe

Erzeugen des Zertifikats fehlgeschlagen.2623Administration

Importieren des Zertifikats fehlgeschlagen.2624Administration

Importieren des Zertifikats fehlgeschlagen.2624Administration

Löschen des Zertifikats fehlgeschlagen.2627Administration

Löschen des Zertifikats fehlgeschlagen.2627Administration

Verlängern des Zertifikats fehlgeschlagen.2628Administration

Zuordnen des Zertifikats zu Benutzer fehlgeschlagen.2629Administration

Entfernen der Zuordnung des Zertifikats vom Benutzer fehlgeschlagen.2630Administration

Entfernen der Zuordnung des Zertifikats vom Benutzer fehlgeschlagen.2630Administration

Token eingesteckt.2631Administration

Token eingesteckt.2631Administration

Token entfernt.2632Administration

Token wurde für Benutzer ausgestellt.2633Administration

Token wurde für Benutzer ausgestellt.2633Administration

PIN des Benutzers auf Token ändern.2634Administration

PIN des Benutzers auf Token ändern.2634Administration

PIN des Sicherheitsbeauftragten auf Token ändern.2635Administration

PIN des Sicherheitsbeauftragten auf Token ändern.2635Administration

Token wurde gesperrt.2636Administration

Token entsperrt.2637Administration

Token gelöscht.2638Administration

Token gelöscht.2638Administration

Tokenzuordnung für Benutzer aufgehoben.2639Administration

Ausstellen des Tokens für Benutzer fehlgeschlagen.2640Administration

Ausstellen des Tokens für Benutzer fehlgeschlagen.2640Administration

Ändern der Benutzer-PIN auf Token fehlgeschlagen.2641Administration

352


Ändern der Benutzer-PIN auf Token fehlgeschlagen.2641Administration

Ändern der Sicherheitsbeauftragten-PIN auf Token fehlgeschlagen.2642Administration

Ändern der Sicherheitsbeauftragten-PIN auf Token fehlgeschlagen.2642Administration

Sperren des Tokens fehlgeschlagen.2643Administration

Entsperren des Tokens fehlgeschlagen.2644Administration

Löschen des Tokens fehlgeschlagen.2645Administration

Löschen des Tokens fehlgeschlagen.2645Administration

Richtlinie erstellt.2647Administration

Richtlinie geändert.2648Administration

Richtlinie gelöscht.2650Administration

Richtlinie der OU zugewiesen und aktiviert.2651Administration

Zugewiesene Richtlinie wurde von OU entfernt.2652Administration

Erstellen der Richtlinie fehlgeschlagen.2653Administration

Ändern der Richtlinie fehlgeschlagen.2654Administration

Zuweisung und Aktivierung der Richtlinie zu OU fehlgeschlagen.2657Administration

Entfernen der zugewiesenen Richtlinie von OU ist fehlgeschlagen.2658Administration

Richtlinien-Gruppe angelegt.2659Administration

Richtlinien-Gruppe geändert.2660Administration

Richtlinien-Gruppe gelöscht.2661Administration

Anlegen der Richtlinien-Gruppe fehlgeschlagen.2662Administration

Ändern der Richtlinien-Gruppe fehlgeschlagen.2663Administration

Folgende Richtlinie wurde der Richtlinien-Gruppe hinzugefügt.2665Administration

Folgende Richtlinie wurde aus der Richtlinien-Gruppe entfernt.2667Administration

Hinzufügen der Richtlinie zur Richtlinien-Gruppe fehlgeschlagen.2668Administration

Entfernen der Richtlinie aus Richtlinien-Gruppe fehlgeschlagen.2670Administration

Protokollierte Ereignisse exportiert.2678Administration

353

Administratorhilfe

Protokollierte Ereignisse exportiert.2678Administration

Exportieren der protokollierten Ereignisse fehlgeschlagen.2679Administration

Protokollierte Ereignisse gelöscht.2680Administration

Protokollierte Ereignisse gelöscht.2680Administration

Löschen der protokollierten Ereignisse fehlgeschlagen.2681Administration

Löschen der protokollierten Ereignisse fehlgeschlagen.2681Administration

Sicherheitsbeauftragter erlaubt die Erneuerung eines Zertifikats.2684Administration

Sicherheitsbeauftragter erlaubt die Erneuerung eines Zertifikats.2684Administration

Beauftragter verbietet die Erneuerung eines Zertifikats.2685Administration

Beauftragter verbietet die Erneuerung eines Zertifikats.2685Administration

Änderungen an den Einstellungen für die Zertifikatserneuerungfehlgeschlagen.

2686Administration

Zertifikat für Beauftragten gewechselt.2687Administration

Zertifikatswechsel für Beauftragten fehlgeschlagen.2688Administration

Erzeugen von Arbeitsgruppen.2692Administration

Erzeugen von Arbeitsgruppen.2692Administration

Fehlgeschlagenes Erzeugen von Arbeitsgruppen.2693Administration

Fehlgeschlagenes Erzeugen von Arbeitsgruppen.2693Administration

Löschen von Arbeitsgruppen.2694Administration

Löschen von Arbeitsgruppen.2694Administration

Fehlgeschlagenes Löschen von Arbeitsgruppen.2695Administration

Fehlgeschlagenes Löschen von Arbeitsgruppen.2695Administration

Erzeugen von Benutzern.2696Administration

Fehlgeschlagenes Erzeugen von Benutzern.2697Administration

Erzeugen von Maschinen.2698Administration

Fehlgeschlagenes Erzeugen von Maschinen.2699Administration

354


Die Lizenz wurde verletzt.2700Administration

Schlüsseldatei wurde erzeugt.2701Administration

Schlüssel für Schlüsseldatei wurde gelöscht.2702Administration

Schlüssel für Schlüsseldatei wurde gelöscht.2702Administration

Ein Sicherheitsbeauftragter hat die Power-on Authentication in einerRichtlinie deaktiviert.

2703Administration

LSH Fragenthema erstellt.2704Administration

LSH Fragenthema geändert.2705Administration

LSH Fragenthema gelöscht.2706Administration

Frage geändert.2707Administration

Konfigurationspaket für Standalone Client erstellt.2708Administration

Konfigurationspaket für Enterprise Client erstellt.2709Administration

CCO wurde importiert.2710Administration

CCO wurde exportiert.2711Administration

CCO wurde gelöscht.2712Administration

Aktualisierung des Unternehmenszertifikats.2713Administration

Service Account Liste erstellt2715Administration

Service Account Liste geändert.2716Administration

Service Account Liste gelöscht.2717Administration

Cloud Storage Definition wurde erzeugt.2718Administration

Cloud Storage Definition wurde gändert.2719Administration

Cloud Storage Definition wurde gelöscht.2720Administration

Applikationenliste erzeugt.2721Administration

Applikationenliste geändert.2722Administration

Applikationenliste gelöscht.2723Administration

Rolle erstellt.2724Administration

355

Administratorhilfe

Rolle geändert.2725Administration

Rolle gelöscht.2726Administration

Rolle wurde dem Sicherheitsbeauftragten zugewiesen.2727Administration

Rolle wurde aus den Rollen des Sicherheitsbeauftragten entfernt.2728Administration

Haupt -Sicherheitsbeauftragter erstellt.2729Administration

Haupt-Sicherheitsbeauftragter geändert.2730Administration

Haupt-Sicherheitsbeauftragter gelöscht.2731Administration

Zertifikat des Haupt-Sicherheitsbeauftragten geändert.2732Administration

Änderung des Zertifikats des Haupt-Sicherheitsbeauftragtenfehlgeschlagen.

2733Administration

Haupt-Sicherheitsbeauftragter aktiviert.2734Administration

Haupt-Sicherheitsbeauftragter deaktiviert.2735Administration

Sicherheitsbeauftragter erstellt.2736Administration

Sicherheitsbeauftragter geändert.2737Administration

Sicherheitsbeauftragter gelöscht.2738Administration

Sicherheitsbeauftragter gelöscht. Zusätzliche Informationen zuuntergeordneten Objekten.

2739Administration

Sicherheitsbeauftragter aktiviert.2740Administration

Sicherheitsbeauftragter deaktiviert.2741Administration

Sicherheitsbeauftragter verschoben.2742Administration

Sicherheitsbeauftragter wurde befördert.2743Administration

Sicherheitsbeauftragter wurde befördert. Zusätzliche Informationen zuuntergeordneten Objekten.

2744Administration

Haupt-Sicherheitsbeauftragter zurückgestuft.2745Administration

Sicherheitsbeauftragtengruppe erstellt.2746Administration

Sicherheitsbeauftragtengruppe geändert.2747Administration

Sicherheitsbeauftragtengruppe gelöscht.2748Administration

Sicherheitsbeauftragter zur Sicherheitsbeauftragtengrupppe hinzugefügt.2749Administration

356


Sicherheitsbeauftragter aus Sicherheitsbeauftragtengruppe entfernt.2750Administration

Lesezugriff auf den Container wurde dem Sicherheitsbeauftragtenzugeordnet.

2753Administration

Lesezugriff auf den Container wurde der Sicherheitsbeauftragtengruppezugeordnet.

2754Administration

Voller Zugriff auf den Container wurde dem Sicherheitsbeauftragtenzugeordnet.

2755Administration

Voller Zugriff auf den Container wurde der Sicherheitsbeauftragtengruppezugeordnet.

2756Administration

Zugriffsberechtigung für den Container wurde für denSicherheitsbeauftragten widerrufen.

2757Administration

Zugriffsberechtigung für den Container wurde für dieSicherheitsbeauftragtengruppe widerrufen.

2758Administration

Lesezugriff auf die Richtlinie wurde dem Sicherheitsbeauftragtenzugeordnet.

2759Administration

Lesezugriff auf die Richtlinie wurde der Sicherheitsbeauftragtengruppezugeordnet.

2760Administration

Voller Zugriff auf die Richtlinie wurde dem Sicherheitsbeauftragtenzugeordnet.

2761Administration

Voller Zugriff auf die Richtlinie wurde der Sicherheitsbeauftragtengruppezugeordnet.

2762Administration

Zugriffsberechtigung für die Richtlinie wurde für denSicherheitsbeauftragten widerrufen.

2763Administration

Zugriffsberechtigung für die Richtlinie wurde für dieSicherheitsbeauftragtengruppe widerrufen.

2764Administration

Die Parameter für die Anzahl der LSH-Fragen haben sich geändert2765Administration

Die Parameter für die Anzahl der LSH-Fragen haben sich geändert2765Administration

Zugriff auf den Container wurde dem Sicherheitsbeauftragten ausdrücklichverwehrt.

2766Administration

Zugriff auf für Sicherheitsbeauftragten revokierten Container ausdrücklichverwehrt.

2767Administration

Lesender Zugriff auf für Sicherheitsbeauftragten revokierten Container.2768Administration

File Tracking Viewer wurde geöffnet.2769Administration

Richtlinienverteilung wurde vom Sicherheitsbeauftragten aktiviert.2770Administration

357

Administratorhilfe

Richtlinienverteilung wurde vom Sicherheitsbeauftragten deaktiviert.2771Administration

Richtlinienverteilung wurde durch das Lizenz-Management aktiviert.2772Administration

Richtlinienverteilung wurde durch das Lizenz-Management deaktiviert.2773Administration

Der Unbestätigte Benutzers wurde erfolgreich bestätigt.2800Administration

Ein Benutzer wurde nicht automatisch bestätigt.2801Administration

POA-Benutzer angelegt.2810Administration

POA-Benutzer geändert.2811Administration

POA-Benutzer gelöscht.2812Administration

Anlegen des POA-Benutzers fehlgeschlagen.2815Administration

Ändern des POA fehlgeschlagen.2816Administration

Löschen des POA-Benutzer fehlgeschlagen.2817Administration

POA-Benutzergruppe angelegt.2820Administration

POA-Benutzergruppe geändert.2821Administration

POA-Benutzergruppe gelöscht.2822Administration

Anlegen der POA-Benutzergruppe fehlgeschlagen.2825Administration

Ändern der POA-Benutzergruppe fehlgeschlagen.2826Administration

Löschen der POA-Benutzergruppe fehlgeschlagen.2827Administration

POA Gruppe ist einem Container zugewiesen.2830Administration

Zugewiesene POA Gruppe von Container entfernt.2831Administration

Gruppen sind für die Zuweisung der POA Gruppe an Container aktiviert.2832Administration

Die Zuweisung der POA-Gruppe an Container ist fehlgeschlagen.2833Administration

Das Entfernen der zugewiesenen POA-Gruppe von Container istfehlgeschlagen.

2834Administration

Die Aktivierung von Gruppen für die Zuweisung der POA-Gruppe anContainer ist fehlgeschlagen.

2835Administration

Taskplaner-Dienst wurde wegen eines Ausnahmefehlers angehalten.2850Administration

Task-Planer Task erfolgreich ausgeführt2851Administration

358


Task-Planer Task fehlgeschlagen2852Administration

Task-Planer Task erzeugt oder geändert2853Administration

Task-Planer Task gelöscht2854Administration

Der Algorithmus zum Signieren neuer Zertifikate wurde geändert.2855Administration

Die Schlüssellänge für neue Zertifikate wurde geändert.2856Administration

Die Gültigkeitsdauer für neue Zertifikate wurde geändert.2857Administration

Die Datenbank wurde erfolgreich aktualisiert.2858Administration

Das Datenbank-Upgrade ist fehlgeschlagen.2859Administration

Response für Aussetzen der Configuration Protection erzeugt.2900Administration

Response für Aussetzen der Configuration Protection erzeugt.2900Administration

BitLocker Recovery-Schlüssel wurde exportiert für Computer2905Administration

Kernelsicherung erfolgreich.3003Client

Kernelrücksicherung beim ersten Versuch erfolgreich.3005Client

Kernelrücksicherung beim zweiten Versuch erfolgreich.3006Client

Kernelsicherung fehlgeschlagen.3007Client

Kernelrücksicherung fehlgeschlagen.3008Client

Kernelsicherung fehlgeschlagen.3009Client

Backup-Token aus POA entfernt3010Client

Backup-Token der POA hinzugefügt3011Client

Die zeitverzögerte Verschlüsselung hat eine Datei verschlüsselt.3018Client

Die zeitverzögerte Verschlüsselung hat eine Datei entschlüsselt.3019Client

Datei-Tracking für Wechselmedien: Eine Datei wurde erstellt.3020Client

Datei-Tracking für Wechselmedien: Eine Datei wurde umbenannt.3021Client

Datei-Tracking für Wechselmedien: Eine Datei wurde gelöscht.3022Client

Datei-Tracking für Cloud-Speicher: Eine Datei wurde erstellt.3025Client

Datei-Tracking für Cloud-Speicher: Eine Datei wurde umbenannt.3026Client

359

Administratorhilfe

Datei-Tracking für Cloud-Speicher: Eine Datei wurde gelöscht.3027Client

Datei-Tracking: Eine Datei wurde manuell verschlüsselt.3028Client

Datei-Tracking: Eine Datei wurde manuell entschlüsselt.3029Client

Benutzer hat LSH-Informationen nach Anmeldung geändert.3030Client

LSH wurde aktiviert3035Client

LSH deaktiviert.3040Client

LSH verfügbar - Enterprise Client3045Client

LSH verfügbar - Standalone Client3046Client

LSH deaktiviert - Enterprise Client3050Client

LSH ist nicht verfügbar - Standalone Client3051Client

Die QST Liste (LSH Fragen) wurde geändert3055Client

Der Benutzer hat seine Antworten in LSH geändert3060Client

Schlüssel-Backup auf angegebener Netzwerkfreigabe gespeichert.3070Client

Schlüssel-Backup konnte nicht auf der angegebenen Netzwerkfreigabegespeichert werden.

3071Client

Benutzer hat die Verschlüsselung ausgeschaltet.3072Client

Sophos UEFI Booteintrag wurde erfolgreich repariert.3080Client

Das Reparieren des Sophos UEFI Booteintrags ist fehlgeschlagen.3081Client

Das Outlook Add-In wurde deaktiviert obwohl es über eine SGN Richtlinieaktiviert wurde.

3082Client

POA-Benutzer in POA importiert.3110Client

POA-Benutzer aus POA entfernt.3111Client

Importieren des POA-Benutzers in die POA fehlgeschlagen.3116Client

Entfernen des POA-Benutzers aus der POA fehlgeschlagen.3117Client

Configuration Protection ausgesetzt.3200Client

Configuration Protection wurde nicht ausgesetzt (falsche Response).3201Client

Aussetzen der Configuration Protection wurde vom Benutzer beendet.3202Client

360


Aussetzen der Configuration Protection beendet (festgelegte Zeit warabgelaufen).

3203Client

Master Applikation neu gestartet3300Client

Die Master Applikation wurde unerwartet beendet3301Client

Neustart der Master Application fehlgeschlagen.3302Client

Eine unbehandelte Ausnahme verursachte einen Absturz in der MasterApplikation.

3303Client

Beenden einer unbekannten MasterApp ist fehlgeschlagen.3304Client

Deinstallation des Configuration Protection Clients fehlgeschlagen.3405Client

Interner Fehler im Configuration Protection Client.3406Client

Möglicher Manipulationsvorgang vom Configuration Protection Clientfestgestellt.

3407Client

Mögliche Ereignis-Protokoll-Manipulation im Configuration ProtectionClient

3408Client

Falsche Passphrase eingegeben.3409Client

Festplatte wurde erfolgreich für die BitLocker Verschlüsselung vorbereitet.3500Verschlüsselung

Zugriff auf Medium auf Laufwerk verweigert.3501Verschlüsselung

Zugriff auf Datendatei verweigert.3502Verschlüsselung

Sektorbasierte Erst-Verschlüsselung des Laufwerks gestartet.3503Verschlüsselung

Sektorbasierte Erst-Verschlüsselung des Laufwerks wurde gestartet.(Schnellmodus)

3504Verschlüsselung

Sektorbasierte Erst-Verschlüsselung des Laufwerks fehlerfrei beendet.3505Verschlüsselung

Sektorbasierte Erst-Verschlüsselung des Laufwerks gescheitert undbeendet.


Sektorbasierte Erst-Verschlüsselung des Laufwerks abgebrochen.3507Verschlüsselung

Sektorbasierte Erst-Verschlüsselung des Laufwerks fehlgeschlagen.3508Verschlüsselung

Sektorbasierte Entschlüsselung des Laufwerks gestartet.3509Verschlüsselung

Sektorbasierte Entschlüsselung des Laufwerks fehlerfrei beendet.3510Verschlüsselung

Sektorbasierte Entschlüsselung des Laufwerks gescheitert und beendet.3511Verschlüsselung

361

Administratorhilfe

Sektorbasierte Entschlüsselung des Laufwerks abgebrochen.3512Verschlüsselung

Sektorbasierte Entschlüsselung des Laufwerks fehlgeschlagen.3513Verschlüsselung

Dateibasierende Initialverschlüsselung auf einem Laufwerk gestartet.3514Verschlüsselung

Dateibasierende Initialverschlüsselung auf einem Laufwerk fehlerfreibeendet.


Dateibasierende Initialverschlüsselung auf einem Laufwerk fehlgeschlagenund beendet.


Dateibasierende Initialverschlüsselung auf einem Laufwerk abgebrochen.3517Verschlüsselung

Dateibasierende Entschlüsselung auf einem Laufwerk gestartet.3519Verschlüsselung

Dateibasierende Entschlüsselung auf einem Laufwerk fehlerfrei beendet.3520Verschlüsselung

Dateibasierende Entschlüsselung auf einem Laufwerk fehlgeschlagenund beendet.


Dateibasierende Entschlüsselung auf einem Laufwerk abgebrochen.3522Verschlüsselung

Verschlüsselung einer Datei gestartet.3524Verschlüsselung

Verschlüsselung einer Datei erfolgreich abgeschlossen.3525Verschlüsselung

Verschlüsselung einer Datei fehlgeschlagen.3526Verschlüsselung

Entschlüsselung einer Datei gestartet.3540Verschlüsselung

Entschlüsselung einer Datei erfolgreich abgeschlossen.3541Verschlüsselung

Entschlüsselung einer Datei fehlgeschlagen.3542Verschlüsselung

Backup von Bootkey durchgeführt.3543Verschlüsselung

Überschreitung der Anzahl von Verschlüsselungsalgorithmen fürStart-Laufwerke


Lesefehler von Schlüsseldatenbereiche.3545Verschlüsselung

Abweisen von Laufwerken gemäß den Richtlinien.3546Verschlüsselung

Warnung NTFS Boot Sector Backup fehlt auf dem Volume.3547Verschlüsselung

Der Benutzer hat neue BitLocker-Anmeldeinformationen zum Starten desComputers zur Verfügung gestellt.


Der Benutzer hat versucht, neue BitLocker-Anmeldeinformationen zumStarten des Computers zur Verfügung zu stellen, aber der Vorgang istfehlgeschlagen.


362


Es fehlen Elemente aus der asynchronen Verschlüsselungswarteschlange.3559Verschlüsselung

Zugriffsschutz3560Verschlüsselung

Computerstatus wurde auf sicher geändert.3561Verschlüsselung

Computer ist sicher, aber die Richtlinieneinstellung "Schlüssel aufgefährdeten Computern entziehen" ist nicht aktiviert. Es wurde keineAktion ausgeführt.


Computer ist nicht sicher, aber die Richtlinieneinstellung "Schlüssel aufgefährdeten Computern entziehen" ist nicht aktiviert. Es wurde keineAktion ausgeführt.


Medien-Verschlüsselungsschlüssel zugewiesen.3570Verschlüsselung

Medien-Passphrase-Schlüssel zugewiesen.3571Verschlüsselung

Medien-Passphrase-Schlüssel erstellt.3572Verschlüsselung

Media-Passphrase-Schlüssel importiert.3573Verschlüsselung

Korrupte Schlüsseltabelle gefunden.3574Verschlüsselung

Allgemeiner Verschlüsselungsfehler.3600Verschlüsselung

Verschlüsselungsfehler - Laufwerk nicht gefunden3601Verschlüsselung

Verschlüsselungsfehler - Laufwerk nicht verfügbar3602Verschlüsselung

Verschlüsselungsfehler - Laufwerk entfernt3603Verschlüsselung

Verschlüsselungsfehler - Laufwerksfehler3604Verschlüsselung

Computer ist nicht sicher. Weiter Schritte sind notwendig.3605Verschlüsselung

Verschlüsselungsfehler - Der Schlüssel fehlt3607Verschlüsselung

Verschlüsselungsfehler - Der Original-KSA Bereich ist beschädigt.3610Verschlüsselung

Verschlüsselungsfehler - Der Sicherungs-KSA Bereich ist beschädigt.3611Verschlüsselung

Verschlüsselungsfehler - Der ESA-Bereich ist beschädigt.3612Verschlüsselung

File Share hat einen ungültigen Pfad in der Richtlinie verworfen.3700Verschlüsselung

Eine vertrauenswürdige Anwendung konnte nicht gefunden werden.3701Verschlüsselung

File Share Verschlüsselung wurde gestartet.3710Verschlüsselung

File Share Verschlüsselung erfolgreich beendet.3711Verschlüsselung

363

Administratorhilfe

File Share Verschlüsselung mit Fehlern fertiggestellt.3712Verschlüsselung

File Share Verschlüsselung wurde abgebrochen.3713Verschlüsselung

Initialverschlüsselung wurde beendet.3714Verschlüsselung

Initialverschlüsselung für einen Pfad wurde beendet.3715Verschlüsselung

Cloud Storage hat einen ungültigen Pfad in der Richtlinie verworfen.3800Verschlüsselung

Verschlüsselung einer Self-Decrypting HTML5-Datei wurde erfolgreichbeendet.


Vorbereiten der Festplatte für die BitLocker Verschlüsselung istfehlgeschlagen


Port erfolgreich freigegeben.4400Zugriffskontrolle

Gerät erfolgreich freigegeben.4401Zugriffskontrolle

Speichergerät erfolgreich freigegeben.4402Zugriffskontrolle

WLAN erfolgreich freigegeben.4403Zugriffskontrolle

Port erfolgreich entfernt.4404Zugriffskontrolle

Gerät erfolgreich entfernt.4405Zugriffskontrolle

Speichergerät erfolgreich entfernt.4406Zugriffskontrolle

WLAN-Verbindung erfolgreich getrennt.4407Zugriffskontrolle

Port eingeschränkt.4408Zugriffskontrolle

Gerät eingeschränkt.4409Zugriffskontrolle

Speichergerät eingeschränkt.4410Zugriffskontrolle

WLAN eingeschränkt.4411Zugriffskontrolle

Port gesperrt.4412Zugriffskontrolle

Gerät gesperrt.4413Zugriffskontrolle

Speichergerät gesperrt.4414Zugriffskontrolle

WLAN gesperrt.4415Zugriffskontrolle

364


7.12 Richtlinientypen und ihre AnwendungsfelderSafeGuard Enterprise Richtlinien enthalten alle Einstellungen, die zur Abbildung einerunternehmensweiten Sicherheitsrichtlinie auf den Endpoints wirksam werden sollen.

In SafeGuard Enterprise Richtlinien können Sie Einstellungen für die folgenden Bereiche(Richtlinientypen) festlegen:

■ Allgemeine Einstellungen

Einstellungen für z. B. Transferrate, Anpassung, Recovery für die Anmeldung,Hintergrundbilder usw.

■ Authentisierung

Einstellungen zum Anmeldemodus, zur Gerätesperre usw.

■ PIN

Legt Anforderungen an die verwendeten PINs fest.

■ Kennwort

Legt Anforderungen an die verwendeten Kennwörter fest.

■ Passphrasen

Legt Anforderungen für in SafeGuard Data Exchange verwendete Passphrasen fest.

■ Geräteschutz

Einstellungen für volume- oder dateibasierende Verschlüsselung (auch Einstellungen fürSafeGuard Data Exchange, SafeGuard Cloud Storage und SafeGuard Portable):Algorithmen, Schlüssel, Laufwerke, auf denen Daten verschlüsselt werden sollen, usw.

■ Spezifische Computereinstellungen

Einstellungen zur SafeGuard Power-on Authentication (aktivieren/deaktivieren), zumsicheren Wake on LAN, Anzeigeoptionen usw.

■ Protokollierung

Legt fest, welche Ereignisse wo protokolliert werden.

■ Configuration Protection

Hinweis: Configuration Protection wird nur für SafeGuard Enterprise Clients bis zurVersion 6,0 unterstützt. Dieser Richtlinientyp ist im 7.0 SafeGuard Management Centerweiterhin für ältere Clients mit Configuration Protection enthalten.

Einstellungen (erlauben/sperren) für die Verwendung von Ports, Peripheriegeräten(Wechselmedien, Druckern usw.)

■ Dateiverschlüsselung

Einstellungen für dateibasierende Verschlüsselung auf lokalen Festplatten und im Netzwerk,speziell für Arbeitsgruppen bei Netzwerkfreigaben.

Im SafeGuard Management Center stehen für alle Richtlinientypen Standardrichtlinien zurVerfügung. Für Geräteschutz Richtlinien stehen Richtlinien für die Festplattenverschlüsselung(Ziel: Massenspeicher), Cloud Storage (Ziel: DropBox) und Data Exchange (Ziel:

365

Administratorhilfe

Wechselmedien) zur Verfügung. Die Optionen in diesen Standardrichtlinien sind auf dierelevanten Standardwerte gesetzt. Sie können die Standardeinstellungen Ihren Anforderungenanpassen. Die Standardrichtlinien haben den Namen <Richtlinientyp> (Default).

Hinweis: Die Namen der Standardrichtlinien richten sich nach der Spracheinstellung währendder Installation. Wenn Sie die Sprache des SafeGuard Management Center nachträglichändern, verbleiben die Namen der Standardrichtlinien in der während der Installationeingestellten Sprache.

7.12.1 Allgemeine Einstellungen

ErklärungRichtlinieneinstellung

Laden der Einstellungen

Computereinstellungen wiederholen

Wird unter Richtlinien-Loopback die OptionComputereinstellungen wiederholen ausgewählt und die

Richtlinien-Loopback

Richtlinie kommt von einem Computer (Computereinstellungenwiederholen einer Benutzer-Richtlinie hat keine Auswirkung), wirddiese Richtlinie zum Schluss nochmals ausgeführt. Dadurch werdenetwaige Benutzereinstellungen wieder überschrieben und es geltendie Computereinstellungen.

Benutzer ignorieren

Wird bei einer Richtlinie (Maschinen-Richtlinie) unterRichtlinien-Loopback die Einstellung Benutzer ignorierenausgewählt und die Richtlinie "kommt" von einer Maschine, werdennur die Computereinstellungen ausgewertet. Benutzereinstellungenwerden nicht ausgewertet.

Kein Loopback

Kein Loopback ist das Standardverhalten. Benutzerrichtliniengelten vor Maschinenrichtlinien.

Wie werden die Einstellungen "Benutzer ignorieren" und"Computereinstellungen wiederholen" ausgewertet?

Existieren aktive Richtlinienzuweisungen, werden zuerst dieMaschinenrichtlinien ausgewertet und vereinigt. Ergibt dieseVereinigung der einzelnen Richtlinien beim Richtlinien-Loopbackden Wert Benutzer ignorieren, so werden Richtlinien, welche fürden Benutzer bestimmt gewesen wären, nicht mehr ausgewertet.Das heißt sowohl für den Benutzer wie auch für die Maschinegelten die gleichen Richtlinien.

Gilt nach der Vereinigung der einzelnen Maschinen-Richtlinien beiRichtlinien-Loopback der Wert Computereinstellungenwiederholen, werden die Benutzer-Richtlinien mit denMaschinen-Richtlinien vereinigt. Nach der Vereinigung werden dieMaschinen-Richtlinien nochmals geschrieben und überschreibengegebenenfalls Einstellungen aus Benutzer-Richtlinien. Das heißt:Ist eine Einstellung in beiden Richtlinien vorhanden, so ersetzt derWert der Maschinen-Richtlinie den Wert der Benutzer-Richtlinie.Ergibt die Vereinigung der einzelnen Maschinen-Richtlinien "nichtkonfiguriert", so gilt: Benutzereinstellungen vorMaschineneinstellungen.

366



Transferrate

Legt den Zeitraum in Minuten fest, nach dem ein SafeGuardEnterprise Client beim SafeGuard Enterprise Server eine Anfragenach Richtlinien (-änderungen) stellt.

Hinweis: Um zu vermeiden, dass eine große Anzahl an Clientsgleichzeitig den Server kontaktiert, findet die Kommunikation in

Server-Verbindungsintervall (inMinuten)

einem Zeitraum +/- 50 % des eingestellten Intervalls statt. Beispiel:Wenn Sie "90 Minuten" einstellen, erfolgt die Kommunikation nacheinem Intervall, das 45 bis 135 Minuten betragen kann.

Feedback

Sophos ist ständig bemüht, SafeGuard Enterprise zu verbessern.Aus diesem Grund senden Kunden regelmäßig anonymisierte

Sophos SafeGuard® durch dasSenden von anonymenNutzungsdaten verbessern Daten an Sophos. Diese Daten werden ausschließlich zur

Verbesserung des Produkts verwendet. Die Daten können nichtzur Identifizierung von Kunden oder Geräten verwendet werdenund enthalten keine vertraulichen Informationen.

Da die Daten anonymisiert übermittelt werden, ist dieDatensammelfunktion standardmäßig aktiviert.

Wenn Sie diese Option auf Nein setzen, werden keineNutzungsdaten an Sophos übermittelt.

Protokollierung

Das Protokollsystem, implementiert als Win32 Service "SGMLogPlayer", sammelt von SafeGuard Enterprise generierte, für die

Rückmeldung nach Anzahl vonEreignissen

zentrale Datenbank bestimmte Protokolleinträge in lokalenProtokolldateien. Diese befinden sich im LocalCache im Verzeichnis"auditing\SGMTransLog ". Diese Dateien werden an denTransportmechanismus übergeben, der sie dann über den SGNServer in die Datenbank einträgt. Die Übertragung erfolgt sobaldder Transportmechanismus eine Verbindung zum Server hergestellthat. Die Protokolldatei wird daher größer, bis eine Verbindunghergestellt werden konnte. Um die Größe einer einzelnenProtokolldatei einschränken zu können, kann man über dieRichtlinie eine maximale Anzahl von Protokolleinträgen eintragen.Dann wird die Protokolldatei vom Protokollsystem nach Erreichender eingestellten Anzahl von Einträgen in die Transportqueue desSGN Servers gestellt und eine neue Protokolldatei begonnen

Anpassung

Legt fest, in welcher Sprache die Einstellungen für SafeGuardEnterprise auf dem Endpoint angezeigt werden.

Sie können neben den unterstützten Sprachen kann auch dieBetriebssystem-Spracheinstellung des Endpoint auswählen.

Sprache am Client

367

Administratorhilfe


Recovery für die Anmeldung

Der Windows Local Cache ist Start- und Endpunkt für denDatenaustausch zwischen Endpoint und Server. Im Windows Local

Recovery für die Anmeldungnach Beschädigung desWindows Local Cache aktivieren Cache werden alle Schlüssel, Richtlinien, Benutzerzertifikate und

Audit-Dateien abgelegt. Alle im Local Cache gespeicherten Datenhaben eine Signatur und können nicht manuell geändert werden.

Standardmäßig ist der Recovery-Vorgang für die Anmeldung beibeschädigtem Local Cache deaktiviert. Er wird automatisch ausseiner Sicherungskopie wiederhergestellt. Für die Reparatur desWindows Local Cache ist also in diesem Fall keinChallenge/Response-Verfahren notwendig. Wenn der WindowsLocal Cache explizit über ein Challenge/Response-Verfahrenrepariert werden soll, wählen Sie in diesem Feld die EinstellungJa.

Local Self Help

Legt fest, ob sich Benutzer mit Local Self Help an ihrem Endpointanmelden dürfen, wenn sie ihr Kennwort vergessen haben. Local

Local Self Help aktivieren

Self Help ermöglicht Benutzern die Anmeldung durch dieBeantwortung einer definierten Anzahl an zuvor festgelegtenFragen in der SafeGuard Power-on Authentication. Sie erhaltensomit auch dann Zugriff zu ihrem Computer, wenn weder eineInternet- noch eine Telefonverbindung zur Verfügung stehen.

Hinweis: Für die Benutzung von Local Self Help ist es notwendig,dass die automatische Anmeldung an Windows aktiviert ist.Andernfalls funktioniert die Anmeldung über Local Self Help nicht.

Definiert die Mindestlänge in Zeichen für die Local Self HelpAntworten.

Minimale Länge der Antwort

Hier können Sie einen individuellen Informationstext angeben, derbeim Starten des Local Self Help Assistenten auf dem Endpoint

Willkommenstext unterWindows

im ersten Dialog angezeigt werden soll. Damit Sie den Text hierangeben können, muss dieser zunächst imRichtlinien-Navigationsbereich unter Texte angelegt werden.

Die für Local Self Help zu beantwortenden Fragen können Sie alszuständiger Sicherheitsbeauftragter zentral vordefinieren und per

Benutzer dürfen eigene Fragenfestlegen

Richtlinie an den Endpoint übertragen. Sie können die Benutzerjedoch auch per Richtlinie berechtigen, selbst Fragen zu definieren.Um die Benutzer zur Definition eigener Fragen zu berechtigen,wählen Sie in diesem Feld die Einstellung Ja.

Challenge / Response (C/R)

Legt fest, ob ein Benutzer in der SafeGuard Power-onAuthentication (POA) eine Challenge erzeugen darf, um über ein

Recovery für die Anmeldungüber C/R aktivieren

368



Challenge/Response-Verfahren wieder Zugang zu seinemComputer zu erhalten.

Ja: Benutzer darf Challenge erzeugen. In diesem Fall kann derBenutzer über ein Challenge/Response-Verfahren in Notfällenwieder Zugang zu seinem Computer erlangen.

Nein: Benutzer darf keine Challenge erzeugen. In diesem Fall kannder Benutzer im Notfall kein Challenge/Response-Verfahren starten,um wieder Zugang zu seinem Computer zu erlangen.

Erlaubt dem Benutzer nach einer Authentisierung perChallenge/Response die automatische Anmeldung an Windows.

Ja: Benutzer wird automatisch an Windows angemeldet.

Automatische Anmeldung anWindows erlauben

Nein: Windows-Anmeldebildschirm erscheint.

Beispiel: Ein Benutzer hat sein Kennwort vergessen. SafeGuardEnterprise meldet ihn nach Austausch von Challenge undResponse ohne SafeGuard Enterprise Kennwort am Endpoint an.In diesem Fall wird die automatische Anmeldung an Windowsausgeschaltet und der Windows-Anmeldebildschirm erscheint. Dader Benutzer sein SafeGuard Enterprise (= Windows-Kennwort)nicht weiß, kann er sich nicht anmelden. Mit Ja wird eineautomatische Anmeldung erlaubt und der Benutzer bleibt nicht imWindows-Anmeldebildschirm stecken.

Zeigt nach dem Starten eines Challenge/Response-Vorgangs inder SafeGuard POA einen Informationstext. Zum Beispiel: “Bitte

Informationstext

rufen Sie Ihren Support unter der Telefonnummer 01234-56789an.”).

Bevor Sie einen Text angeben können, muss dieser als Textdateiim Richtlinien Navigationsbereich unter Texte erstellt werden.

Bilder

Voraussetzung:

Neue Bilder müssen im SafeGuard Management Center imRichtlinien-Navigationsbereich unter Bilder registriert werden.Erst nach der Registrierung ist die Liste verfügbar. UnterstütztesFormat: .BMP, PNG, JPEG.

Ersetzt das blaue SafeGuard Enterprise Hintergrundbild durch einindividuelles Hintergrundbild. Kunden können hier z. B. das

Hintergrundbild in der POA

Hintergrundbild in der POA(niedrige Auflösung) Firmenlogo in der SafeGuard POA verwenden. Maximale

Dateigröße für alle Hintergrundbilder: 500 KB

Normal:

Auflösung: 1024x768 (VESA-Modus)

Farben: unbegrenzt

Niedrig:

369

Administratorhilfe


Auflösung: 640 x 480 (VGA-Modus)

Farben: 16 Farben

Ersetzt das während der SafeGuard POA-Anmeldung angezeigteSafeGuard Enterprise Bild durch ein individuelles Bild, z. B. dasFirmenlogo.

Anmeldebild in der POA

Anmeldebild in der POA(niedrige Auflösung)

Normal:

Auflösung: 413 x 140 Pixel

Farben: unbegrenzt

Niedrig:

Auflösung: 413 x 140 Pixel

Farben: 16 Farben

Dateiverschlüsselung

Für die dateibasierende Verschlüsselung durch File Encryptionund SafeGuard Data Exchange können Sie vertrauenswürdige

VertrauenswürdigeAnwendungen

Anwendungen angeben, die auf verschlüsselte Dateien zugreifenkönnen. Dies ist zum Beispiel notwendig, damit Antivirus-Softwareverschlüsselte Dateien überprüfen kann.

Geben Sie die Anwendungen, die Sie als vertrauenswürdigdefinieren möchten, in das Editor-Listenfeld des Felds ein.Anwendungen müssen als Fully Qualified Paths eingegebenwerden.

Für die dateibasierende Verschlüsselung durch File Encryptionund SafeGuard Data Exchange können Sie ignorierte

Ignorierte Anwendungen

Anwendungen angeben, um Sie von der transparentenDateiverschlüsselung/Dateientschlüsselung auszuschließen.WennSie zum Beispiel ein Backup-Programm als ignorierte Anwendungdefinieren, bleiben die vom Programm gesicherten verschlüsseltenDaten verschlüsselt.

Geben Sie die Anwendungen, die Sie als ignoriert definierenmöchten, in das Editor-Listenfeld des Felds ein. Anwendungenmüssen als Fully Qualified Paths eingegeben werden.

Für die dateibasierende Verschlüsselung durch File Encryptionund SafeGuard Data Exchange können Sie ganze Geräte (zum

Ignorierte Geräte

Beispiel Festplatten) von der dateibasierende Verschlüsselungausnehmen.

Wählen Sie im Editor-Listenfeld Netzwerk aus, um einvordefiniertes Gerät auszuwählen, oder geben Sie die

370



erforderlichen Gerätenamen ein, um bestimmte Geräte von derVerschlüsselung auszuschließen.

Für die dateibasierende Verschlüsselung durch File Encryptionund SafeGuard Data Exchange können Sie die persistente

Persistente Verschlüsselungaktivieren

Verschlüsselung konfigurieren. Mit persistenter Verschlüsselungbleiben Kopien von verschlüsselten Dateien auch dannverschlüsselt, wenn sie an einem Speicherort abgelegt werden,für den keine Verschlüsselungsregel gilt.

Diese Einstellung ist standardmäßig aktiviert.

Für die dateibasierende Verschlüsselung durch Cloud Storagekönnen Sie festlegen, ob der Benutzer eine Standardschlüssel

Benutzer darfStandardschlüssel festlegen

festlegen darf oder nicht. Wenn der Benutzer dies darf, steht derBefehl Standardschlüssel festlegen im Windows ExplorerKontextmenü der Cloud Storage Synchronisierungsordner zurVerfügung. Mit diesem Befehl können Benutzer separateStandardschlüssel angeben, die für die Verschlüsselung vonunterschiedlichen Synchronisierungsordnern verwendet werdensoll.

Einstellungen für das Email Add-In

SafeGuard Enterprise beinhaltet ein Add-In für Microsoft Outlook,das Ihnen das Verschlüsseln von Mailanhängen erleichtert.

Email Add-In aktivieren

Wenn Sie diese Option auf Ja setzen, werden Benutzer jedes Mal,wenn sie ein E-Mail mit Anhang versenden, gefragt, wie dieAnhänge behandelt werden sollen.

Zusätzlich können Sie Listen mit Domänen anlegen und definieren,wie Anhänge behandelt werden, die an diese bestimmten Domänenversendet werden.

Verhalten bei Domänen auf Whitelists

Wählen Sie aus, wie mit Anhängen verfahren werden soll:Verschlüsselungsmethode fürDomains auf Whitelists

Verschlüsselt: Alle Anhänge in E-Mails an die bestimmtenDomänen werden verschlüsselt. Benutzer werden nicht gefragt.

Keine Verschlüsselung: Anhänge in E-Mails an die bestimmtenDomänen werden nicht verschlüsselt. Benutzer werden nichtgefragt.

Unverändert: Verschlüsselte Dateien werden verschlüsseltgesendet; unverschlüsselte Dateien werden unverschlüsseltgesendet. Benutzer werden nicht gefragt.

Immer fragen: Benutzer werden jedes Mal gefragt, wie dieAnhänge behandelt werden sollen.

371

Administratorhilfe


Geben Sie eine oder mehrere Domänen ein, für die dieVerschlüsselungsmethode gelten soll.Verwenden Sie bei mehreren

Domänen-Whitelist

Domänen ein Komma als Trennzeichen. Platzhalter und teilweisedefinierte Domänen werden nicht unterstützt.

7.12.2 Authentisierung


Zugriff

Hinweis: Diese Einstellung wird nur von Endpoints unterstützt,auf denen eine ältere SafeGuard Enterprise Version als 6.1

Benutzer kann nur von internerFestplatte booten:

installiert ist. Mit dieser Option konnte es dem Benutzerermöglicht werden, den Endpoint von externen Medien zustarten. Ab Version 6.1 hat diese Einstellung keine Wirkungmehr auf Endpoints. Für diese Recovery-Szenario können Sienun den Recover-Vorgang mit virutellen Clients anwenden, sieheChallenge/Response mit virtuellen Clients (Seite 222).

Legt fest, ob Benutzer den Computer von Festplatte und/oderanderem Medium starten dürfen.

JA: Benutzer darf ausschließlich von der Festplatte booten. DieMöglichkeit, den Computer mit Diskette oder einem weiterenexternen Medium zu starten, wird nicht in der SafeGuard POAangeboten.

NEIN: Benutzer darf den Computer von Festplatte, Diskette odereinem externen Medium (USB, CD etc.) starten.

Anmeldeoptionen

Legt fest, wie sich Benutzer in der SafeGuard POA authentisierenmüssen.

Anmeldemodus

Benutzername/Kennwort

Benutzer müssen sich mit ihrem Benutzernamen undKennwort anmelden.

Token

Der Benutzer darf sich nur mit einem Token oder einerSmartcard in der SafeGuard POA anmelden. DiesesVerfahren bietet eine höhere Sicherheit. Bei der Anmeldungwird der Benutzer aufgefordert, seinen Token einzustecken.Durch den Besitz des Token und der Eingabe der PIN wirddie Identität des Benutzers verifiziert. Nach korrekter Eingabeder PIN liest SafeGuard Enterprise automatisch die Datenfür die Anmeldung des Benutzers aus.

372



Hinweis: Beachten Sie, dass Sie sich bei Wahl diesesAnmeldeverfahrens nur mit einem vorher ausgestellten Tokenanmelden können.

Sie können die Einstellungen Benutzername/Kennwort undToken kombinieren. Um zu prüfen, ob die Anmeldung mit Tokenreibungslos funktioniert, wählen Sie zunächst beide Einstellungenaus. Erst nach erfolgreicher Token-Anmeldung sollten Sie denAnmeldemodus Benutzername/Kennwort deaktivieren. Damitein Umschalten zwischen den Anmeldemodi möglich ist, erlaubenSie den Benutzern, sich einmal mit beiden Einstellungenkombiniert anzumelden, da es sonst zu einer Blockierung beider Anmeldung kommen kann.Wenn Sie Local Self Help für dieToken-Anmeldung zulassen möchten, müssen Sie die beidenEinstellungen ebenfalls kombinieren.

Fingerabdruck

Wählen Sie diese Option, um die Anmeldung mitLenovo-Fingerabdruck-Leser zu aktivieren. Benutzer, für diediese Richtlinie wirksam ist, können sich mit Fingerabdruckoder Benutzername/Kennwort anmelden. Dieser Vorgangbietet das höchste Maß an Sicherheit. Bei der Anmeldungführt die Benutzer den Finger über den Fingerabdruck-Leser.Wenn der Fingerabdruck erfolgreich erkannt wurde, liest dieSafeGuard Power-on Authentication dieAnmeldeinformationen des Benutzers und meldet denBenutzer an der Power-on Authentication an. DieAnmeldeinformationen werden dann an Windows übertragenund der Benutzer wird an seinem Computer angemeldet.

Hinweis: Nach Auswahl dieses Anmeldevorgangs kannsich der Benutzer nur mit einem vorher registriertenFingerabdruck oder mit Benutzername und Kennwortanmelden. Die Anmeldeverfahren Token und Fingerabdrucklassen sich auf einem Computer nicht miteinanderkombinieren.

Wenn hier Ja eingestellt ist: Nach der Anmeldung bei SafeGuardPOA und Windows wird ein Dialog mit Informationen über die

Erfolglose Anmeldeversuchedieses Benutzers anzeigen

letzte fehlgeschlagene Anmeldung (Benutzername/Datum/Zeit)angezeigt.

Wenn hier Ja eingestellt ist: Nach der Anmeldung bei SafeGuardPOA und Windows wird ein Dialog mit folgenden Informationenangezeigt:

Letzte Benutzeranmeldunganzeigen

Letzte erfolgreiche Anmeldung (Benutzername/Datum/Zeit)

Letzte Anmeldeinformationen des angemeldeten Benutzers

Hinweis: Diese Einstellung wird nur unter Windows XP wirksam.Windows XP wird mit SafeGuard Enterprise 6.1 nicht länger

'Erzwungene Abmeldung' beiSperre der Arbeitsstationdeaktivieren:

unterstützt. Die entsprechende Richtlinie ist im SafeGuardManagement Center 7.0 noch verfügbar, um SafeGuard

373

Administratorhilfe


Enterprise 6 Clients zu unterstützen, die über ein 6.1Management Center verwaltet werden.

Wenn Benutzer den Endpoint nur für kurze Zeit verlassen wollen,können Sie den Rechner per Klick auf die SchaltflächeArbeitsstation sperren für andere Benutzer sperren und danachmit ihrem Kennwort wieder entsperren. Nein: Sowohl derBenutzer, der die Arbeitsstation gesperrt hat, als auch einAdministrator kann die Sperre aufheben. Hebt ein Administratordie Sperre auf, so wird der aktuell angemeldete Benutzerzwangsweise abgemeldet. Ja: Diese Einstellung ändert diesesVerhalten. In diesem Fall kann nur der Benutzer die Sperre desComputers aufheben. Ein Aufheben der Sperre durch denAdministrator und das damit verbundene erzwungene Abmeldendes Benutzers ist nicht mehr möglich.

Ja: Die SafeGuard POA speichert den Benutzernamen und dieDomäne des letzten angemeldeten Benutzers. Benutzer müssen

LetzteBenutzer/Domänen-Auswahlaktivieren den Benutzernamen also nicht jedes Mal eingeben, wenn sie

sich anmelden.

Nein: Die SafeGuard POA speichert den Benutzernamen unddie Domäne des letzten angemeldeten Benutzers nicht.

Um zu verhindern, dass durch administrative Vorgänge aufeinem durch SafeGuard Enterprise geschützten Endpoint die

Service Account Liste

Power-on Authentication aktiviert wird und Rollout-Beauftragteals Benutzer zum Endpoint hinzugefügt werden, bietet SafeGuardEnterprise Service Account Listen für die Windows-Anmeldungan SafeGuard Enterprise Endpoints. Die in den Listenenthaltenen Benutzer werden als SafeGuard EnterpriseGastbenutzer behandelt

Damit Sie hier eine Liste auswählen können, müssen Sie diesezunächst im Richtlinien-Navigationsbereich unter ServiceAccount Listen anlegen.

Hinweis: Soll der Benutzer in der Lage sein, anderen BenutzernZugriff auf “seinen“ Computer zu gewähren, muss er in der Lagesein, die durchgehende Anmeldung an Windows zu deaktivieren.

Durchgehende Anmeldung anWindows

Benutzer wählen lassen

Im SafeGuard POA Anmeldedialog kann der Benutzer durchAktivieren/Deaktivieren dieser Option entscheiden, ob erautomatisch an Windows angemeldet werden will oder nicht.

Durchgehende Anmeldung deaktivieren

Nach der Anmeldung an der SafeGuard POA wirdanschließend der Windows-Anmeldedialog angezeigt. DerBenutzer muss sich manuell an Windows anmelden.

Durchgehende Anmeldung erzwingen

374



Der Benutzer wird immer automatisch an Windowsangemeldet.

BitLocker-Optionen

Folgende Optionen stehen zur Verfügung:BitLocker Anmeldemodus fürBoot-Laufwerke TPM: Der Schlüssel für die Anmeldung wird auf dem

TPM-Chip (Trusted Platform Module) gespeichert.

TPM + PIN: Der Schlüssel für die Anmeldung wird auf demTPM-Chip gespeichert und zusätzlich wird eine PIN zurAnmeldung benötigt.

Systemstartschlüssel: Der Schlüssel für die Anmeldungwird auf einem USB-Stick gespeichert.

TPM + Systemstartschlüssel: Der Schlüssel für dieAnmeldung wird auf dem TPM-Chip und auf einem USB-Stickgespeichert. Beides wird für die Anmeldung benötigt.

Hinweis: Um die Anmeldemethoden TPM + PIN, TPM +Systemstartschlüssel oder Systemstartschlüsselverwenden zu können, muss die GruppenrichtlinieZusätzliche Authentifizierung beim Start anfordernentweder in Active Directory oder lokal auf Computernaktiviert werden. Im lokalen Gruppenrichtlinien-Editor(gpedit.msc) sind die Gruppenrichtlinien hier zu finden:Local Computer Policy\ComputerConfiguration\Administrative Templates\WindowsComponents\BitLocker Drive Encryption\OperatingSystem Drive

Um Systemstartschlüssel zu verwenden, müssen Sie auchBitLocker ohne kompatibles TPM zulassen in denGruppenrichtlinien aktivieren.

Hinweis: Wenn der momentan am System aktiveAnmeldemodus ein erlaubter Fallback-Anmeldemodus ist,dann kommt der hier definierte Anmeldemodus nicht zurAnwendung.

Wenn die als BitLocker Anmeldemodus für Boot-Laufwerkefestgelegte Einstellung nicht angewendet werden kann, bietetSafeGuard Enterprise folgende Alternativen für die Anmeldung:

BitLocker Anmeldemodus fürBoot-Laufwerke - Fallback

Kennwort: Der Benutzer muss ein Kennwort eingeben.

Systemstartschlüssel: Der Schlüssel für die Anmeldungwird auf einem USB-Stick gespeichert.

Kennwort oder Systemstartschlüssel: USB-Sticks werdennur verwendet, wenn Kennwörter auf demClient-Betriebssystem nicht unterstützt werden.

375

Administratorhilfe


Fehler: Es wird eine Fehlermeldung angezeigt und dasVolume wird nicht verschlüsselt.

Hinweis: Bei Clients mit Version 6.1 oder niedriger werdendie Werte Kennwort oder Systemstartschlüssel undKennwort Systemstartschlüssel und Fehler zugeordnet.

Hinweis: Kennwörter werden erst ab Windows 8 oder höherunterstützt.

Bei Datenlaufwerken sind die folgenden Optionen verfügbar:BitLocker Anmeldemodus fürDatenlaufwerke

Auto-Unlock: Wenn das Boot-Laufwerk verschlüsselt ist,wird ein externer Schlüssel generiert und auf demBoot-Laufwerk gespeichert. Die Datenlaufwerke werden dannautomatisch verschlüsselt. Sie werden automatisch mit derAuto-Unlock-Funktion von Bitlocker freigegeben. BeachtenSie, dass Auto-Unlock nur funktioniert, wenn dasBoot-Laufwerk verschlüsselt ist. Andernfalls wird derFallback-Modus verwendet.

Kennwort: Der Benutzer wird aufgefordert, ein Kennwort fürjedes Datenlaufwerk einzugeben.

Systemstartschlüssel: Die Schlüssel für die Freigabe derDatenlaufwerke werden auf einem USB-Stick gespeichert.

Hinweis: Clients mit Version 6.1 oder niedriger ignorierendiese Richtlinieneinstellung und verwenden stattdessen dieWerte, die für den Anmeldemodus für Boot-Laufwerkeeingestellt wurden. Da das TPM nicht für Datenlaufwerkegenutzt werden kann, wird in diesen Fällen ein USB-Stickoder eine Fehlermeldung verwendet.


Hinweis: Wenn der momentan am System aktiveAnmeldemodus ein erlaubter Fallback-Anmeldemodus ist,dann kommt der hier definierte Anmeldemodus nicht zurAnwendung.

Wenn die als BitLocker Anmeldemodus für Datenlaufwerkefestgelegte Einstellung nicht angewendet werden kann, bietetSafeGuard Enterprise folgende Alternativen:

BitLocker Anmeldemodus fürDatenlaufwerke - Fallback

Kennwort: Der Benutzer wird aufgefordert, ein Kennwort fürjedes Datenlaufwerk einzugeben.

Systemstartschlüssel: Die Schlüssel werden auf einemUSB-Stick gespeichert.

Kennwort oder Systemstartschlüssel: USB-Sticks werdennur verwendet, wenn Kennwörter auf demClient-Betriebssystem nicht unterstützt werden.

Hinweis: Clients mit Version 6.1 oder niedriger ignorierendiese Richtlinieneinstellung. Sie verwenden stattdessen die

376



Werte, die für den Fallback-Anmeldemodus fürBoot-Laufwerke eingestellt wurden. Da keine Kennwörterverarbeitet werden können, wird stattdessen "USB-Stick"oder "Fehlermeldung" verwendet.


Erfolglose Anmeldungen

Bestimmt, wie oft ein Benutzer ohne Folgen bei der Anmeldungeinen ungültigen Benutzernamen bzw. ein ungültiges Kennwort

Maximalanzahl von erfolglosenAnmeldeversuchen

eingeben darf. Wenn der Benutzer zum Beispiel drei malnacheinander seinen Benutzernamen oder sein Kennwort falscheingegeben hat, führt der vierte Versuch dazu, dass derComputer gesperrt wird.

Definiert die Detailebene für Meldungen zu fehlgeschlagenenAnmeldungen:

Meldungen zur fehlgeschlagenenAnmeldung in der POA anzeigen

Standard: Zeigt eine kurze Beschreibung an.

Verbose (ausführlich): Zeigt detaillierte Informationen an.

Token-Optionen

Definiert das Verhalten nach dem Trennen des Token vomComputer.

Mögliche Aktionen sind:

Aktion bei Verlust desAnmeldestatus des Token

Computer sperren

PIN-Dialog anzeigen

Keine Aktion

Bestimmt, ob der Token bei der Anmeldung entsperrt werdendarf.

Freigabe des Token erlauben

Optionen für Sperre des Geräts

Bestimmt die Zeit, nach deren Überschreitung ein nicht mehrbenutzter Desktop automatisch gesperrt wird.

Der Standardwert ist 0 Minuten, und der Bildschirm wird nichtgesperrt, wenn dieser Wert nicht geändert wird.

Bildschirm nach X MinutenLeerlauf sperren

Bestimmt, ob der Bildschirm gesperrt wird, wenn während einerArbeitssitzung der Token entfernt wird.

Bei Entfernung des TokenBildschirm sperren

377

Administratorhilfe


Bestimmt, ob der Bildschirm bei Reaktivierung aus demStandby-Modus gesperrt wird.

Bildschirm nach dem Fortsetzensperren

7.12.3 Syntaxregeln für PINs

In Richtlinien vom Typ PIN definieren Sie Einstellungen für Token-PINs. Diese Einstellungengelten nicht für PINs, die zum Anmelden bei mit BitLocker verschlüsselten Endpoints verwendetwerden.Weitere Informationen zu BitLocker PINs finden Sie unter PIN und Kennwörter (Seite146).

PINs können sowohl Ziffern, Buchstaben als auch Sonderzeichen (wie + - ; etc.) enthalten.Verwenden Sie bei der Vergabe einer neuen PIN jedoch keine Zeichen mit der KombinationALT + <Zeichen>, da dieser Eingabemodus an der SafeGuard Power-on Authentication nichtzur Verfügung steht.

Hinweis: Definieren Sie PIN-Regeln entweder im SafeGuard Management Center oder imActive Directory, nicht an beiden Stellen.


PIN

Gibt an, aus wie vielen Zeichen eine PIN bei der Änderung durchden Benutzer bestehen muss. Der gewünschte Wert kann entweder

Mindestlänge der PIN

direkt eingegeben oder durch Betätigen der Richtungsschaltflächenvergrößert bzw. verkleinert werden.

Gibt an, aus wie vielen Zeichen eine PIN bei der Änderung durchden Benutzer maximal bestehen darf. Der gewünschte Wert kann

Maximallänge der PIN

entweder direkt eingegeben oder durch Betätigen derRichtungsschaltflächen vergrößert bzw. verkleinert werden.

Mit diesen Einstellungen wird erreicht, dass PINs nichtausschließlich Zeichen, Ziffern oder Sonderzeichen enthalten,

Mindestanzahl an Buchstaben

Mindestanzahl an Ziffernsondern aus einer Kombination bestehen müssen (z. B. „15blume“).Diese Einstellungen sind nur dann sinnvoll, wenn eine Mindestlängeder PIN definiert ist, die größer 2 ist.

Mindestanzahl an Symbolen

Als Tastaturzeilen werden eingetippte Zeichenreihen wie „123“oder „qwe“ bezeichnet. Maximal zwei auf der Tastatur

Tastaturzeile verboten

nebeneinander liegende Zeichen sind erlaubt. Tastaturspaltenbeziehen sich nur auf den alphanumerischen Tastaturteil.

Als Tastaturspalten werden eingetippte Zeichenreihen wie „xsw2“oder „3edc“ (nicht aber „xdr5“ oder „cft6“!) bezeichnet. Erlaubt sind

Tastaturspalte verboten

maximal zwei in einer Tastaturspalte befindliche Zeichen.VerbietenSie Tastaturspalten, werden derartige Zeichenkombinationen alsKennwörter abgelehnt. Tastaturspalten beziehen sich nur auf denalphanumerischen Tastaturteil.

378



Verboten werden mit der Aktivierung dieser Option Zeichenketten,Drei oder mehraufeinanderfolgende Zeichenverboten die im ASCII-Code aufeinander folgen, sowohl in auf- als auch

in absteigender Reihenfolge („abc“ oder „cba“).

die aus drei oder mehr identischen Zeichen („aaa“ oder „111“)bestehen.

Bestimmt, ob Benutzername und PIN identisch sein dürfen.

Ja:Windows-Benutzername und PIN müssen unterschiedlich sein.

Benutzername als PIN verboten

Nein: Benutzer darf seinen Windows-Benutzernamen gleichzeitigals PIN verwenden.

Bestimmt, ob bestimmte Zeichenfolgen für PINs nicht verwendetwerden dürfen. Abgelegt sind die Zeichenfolgen in der Liste nichterlaubter PINs (z. B. Datei im Format .txt).

Liste nicht erlaubter PINsbenutzen

Definiert Zeichenfolgen, die in einer PIN nicht verwendet werdendürfen. Wenn ein Benutzer eine verbotene PIN verwendet, wirdeine Fehlermeldung ausgegeben.

Voraussetzung:

Liste nicht erlaubter PINs

Eine Liste (eine Datei) mit verbotenen PINs muss im ManagementCenter unter Texte im Richtlinien-Navigationsbereich registriertwerden, siehe Anlegen von Listen verbotener PINs für dieVerwendung mit Richtlinien (Seite 381). Erst nach der Registrierungist die Liste verfügbar.

Maximale Dateigröße: 50 KB

Unterstütztes Format: Unicode

Nicht erlaubte PINs definieren

In der Liste werden die verbotenen PINs durch einenZeilenumbruch voneinander getrennt.

Platzhalter: An der Position, an der Sie den Zeichentyp „*“eingeben, können mehrere beliebige Zeichen in der PIN enthaltensein. Beispielsweise wird durch *123* jede Zeichenfolge, die 123enthält, als PIN verboten.

Hinweis:

Wenn Sie nur den Platzhalter in die Liste einfügen, könnensich Benutzer nach einer erzwungenen Kennwortänderungnicht mehr im System anmelden.

Benutzer dürfen auf die Datei keinen Zugriff haben.

Die Option Liste nicht erlaubter PINs verwenden mussaktiviert sein.

379

Administratorhilfe


Diese Einstellung wird nur bei den Punkten Liste nicht erlaubterPINs benutzen und Benutzername als PIN verboten wirksam.

Beispiel 1: Sie haben in der Liste der verbotenen PINs „Tafel“eingetragen. Steht die Option Groß-/Kleinschreibung beachten

Groß-/Kleinschreibungbeachten

auf Ja, werden zusätzliche Kennwortvarianten wie z. B. „TAFEL“oder „TaFeL“ nicht akzeptiert und die Anmeldung wird verweigert.

Beispiel 2: Der Benutzername für einen Anwender lautet „EMaier“.Steht Groß-/Kleinschreibung beachten auf Ja undBenutzername als PIN verboten auf Nein, darf Benutzer EMaierkeine Variante seines Benutzernamens (z. B. emaier oder eMaiEr)als PIN verwenden.

Änderungen

Legt den Zeitraum fest, in dem eine PIN nicht erneut geändertwerden darf. Diese Einstellung verhindert, dass ein Benutzer seine

PIN-Änderung erlaubt nachmindestens (Tage)

PIN innerhalb eines bestimmten Zeitraums beliebig oft ändernkann.

Beispiel:

Die Benutzerin Schmidt definiert eine neue PIN (z. B. „13jk56“).Für sie (oder für die Gruppe, der sie zugeordnet ist) ist ein Wechselnach mind. fünf Tagen festgelegt. Bereits nach zwei Tagen will siedie PIN „13jk56“ ändern. Dies wird abgelehnt, da Frau Schmidterst nach fünf Tagen eine neue PIN definieren darf.

Der Benutzer muss nach Ablauf des eingestellten Zeitraums seinePIN ändern. Beträgt der Zeitraum 999 Tage, ist keine PIN-Änderungerforderlich.

PIN läuft ab nach (Tage)

Ab “n” Tagen vor Ablauf der PIN wird eine Warnmeldungausgegeben und der Benutzer darauf hingewiesen, dass er in

Warnung vor Ablauf (Tage)

“n“-Tagen seine PIN ändern muss. Er erhält daraufhin dieMöglichkeit, die PIN sofort zu ändern.

Allgemein

Gibt an, ob die Ziffern bei der Eingabe der PIN verborgen werden.Ist die Option aktiviert, wird während der Eingabe der PIN bei der

PIN in POA verbergen

POA nichts angezeigt. Ansonsten wird für jedes eingegebeneZeichen ein Stern angezeigt.

Legt fest, wann bereits verwendete PINs wieder benutzt werdendürfen. Sinnvoll ist die Definition von PIN-Generationen

PIN-Generationen

insbesondere in Verbindung mit der Einstellung PIN läuft ab nach(Tage).

Beispiel:

Die Anzahl der PIN-Generationen für den Benutzer Müller wurdeauf 4 festgelegt, die der Tage, nach denen der Benutzer die PINwechseln muss, auf 30. Herr Müller meldete sich bislang mit derPIN „Informatik“ an. Nach Ablauf der Frist von 30Tagen wird eraufgefordert, seine PIN zu ändern. Herr Müller tippt als neue PIN

380



wieder „Informatik“ ein und erhält die Fehlermeldung, dass er diesePIN bereits verwendet hat und eine andere PIN wählen muss.„Informatik“ darf Herr Müller erst nach der vierten (daPIN-Generationen = 4) Aufforderung zur Eingabe einer neuen PINverwenden.

7.12.3.1 Anlegen von Listen verbotener PINs für die Verwendung mit RichtlinienFür Richtlinien des Typs PIN kann eine Liste mit verbotenen PINs angelegt werden. DieseListe definiert die Zeichenfolgen, die in nicht in PINs verwendet werden dürfen. PINs werdenfür die Anmeldung mit Token verwendet. Für weitere Informationen, siehe Token undSmartcards (Seite 308).

Die Textdateien mit den gewünschten Informationen müssen erstellt werden, bevor sie imSafeGuard Management Center registriert werden können. Die maximale Dateigröße fürTextdateien beträgt 50 KB. SafeGuard Enterprise verwendet nur Unicode UTF-16 kodierteTexte. Wenn Sie die Textdateien in einem anderen Format erstellen, werden sie bei derRegistrierung automatisch in dieses Format konvertiert.

Hinweis: In den Listen werden die verbotenen PINs durch einen Zeilenumbruch voneinandergetrennt.

So registrieren Sie die Textdateien:

1. Klicken Sie im Richtlinien-Navigationsbereich mit der rechten Maustaste auf Texte undwählen Sie Neu > Text.






Hinweis: Mit der Schaltfläche Text ändern können Sie weiteren Text zum bestehenden Texthinzufügen. Es wird ein Dialog geöffnet, in dem eine weitere Textdatei ausgewählt werdenkann. Der in dieser Datei enthaltene Text wird am Ende des bestehenden Texts eingefügt.

7.12.4 Syntaxregeln für Kennwörter

In Richtlinien vom Typ Kennwort definieren Sie Einstellungen für Kennwörter für dieAnmeldung an das System. Diese Einstellungen gelten nicht für Kennwörter, die zum Anmeldenbei mit BitLocker verschlüsselten Endpoints verwendet werden. Weitere Informationen zuBitLocker BitLocker Kennwörtern finden Sie unter PIN und Kennwörter (Seite 146).

Kennwörter können sowohl Ziffern, Buchstaben als auch Sonderzeichen (wie + - ; etc.)enthalten. Verwenden Sie bei der Vergabe eines neuen Kennworts jedoch keine Zeichen mitder Kombination ALT + <Zeichen>, da dieser Eingabemodus an der SafeGuard Power-on

381

Administratorhilfe

Authentication nicht zur Verfügung steht.Wie Kennwörter, mit denen sich Benutzer am Systemanmelden, beschaffen sein müssen, wird in Richtlinien vom Typ Kennwort eingestellt.

Hinweis: Für Informationen zur Umsetzung einer Richtlinie für sichere Kennwörter sieheEmpfohlene Sicherheitsmaßnahmen (Seite 245) und das SafeGuard Enterprise Manual forcertification-compliant operation (Englisch).

Die Umsetzung von Kennwortregeln und Kennworthistorien kann nur dann gewährleistetwerden, wenn der SGN Credential Provider durchgehend verwendet wird. Definieren SieKennwortregeln entweder im SafeGuard Management Center oder im Active Directory, nichtan beiden Stellen.


Kennwort

Gibt an, aus wie vielen Zeichen ein Kennwort bei der Änderungdurch den Benutzer bestehen muss. Der gewünschte Wert kann

Mindestlänge des Kennworts

entweder direkt eingegeben oder durch Betätigen derRichtungsschaltflächen vergrößert bzw. verkleinert werden.

Gibt an, aus wie vielen Zeichen ein Kennwort bei der Änderungdurch den Benutzer maximal bestehen darf. Der gewünschte

Maximallänge des Kennwortes

Wert kann entweder direkt eingegeben oder durch Betätigen derRichtungsschaltflächen vergrößert bzw. verkleinert werden.

Mit diesen Einstellungen wird erreicht, dass Kennwörter nichtausschließlich Zeichen, Ziffern oder Sonderzeichen enthalten,


Mindestanzahl an Ziffernsondern aus einer Kombination bestehen müssen (z. B.„15blume“). Diese Einstellungen sind nur dann sinnvoll, wenneine Kennwortmindestlänge definiert ist, die größer 2 ist.





Als Tastaturspalten werden eingetippte Zeichenreihen wie „xsw2“oder „3edc“ (nicht aber „xdr5“ oder „cft6“!) bezeichnet. Erlaubt


sind maximal zwei in einer Tastaturspalte befindliche Zeichen.Verbieten Sie Tastaturspalten, werden derartigeZeichenkombinationen als Kennwörter abgelehnt.Tastaturspaltenbeziehen sich nur auf den alphanumerischen Tastaturteil.

Verboten werden mit Aktivierung dieser Option Zeichenketten,Drei oder mehraufeinanderfolgende Zeichenverboten die im ASCII-Code aufeinander folgen, sowohl in auf- als

auch in absteigender Reihenfolge („abc“ oder „cba“).


Bestimmt, ob der Benutzername als Kennwort unzulässig ist.

Ja: Windows-Benutzername und Kennwort müssenunterschiedlich sein.

Benutzername als Kennwortverboten

382



Nein: Windows-Benutzername und Kennwort müssen nichtunterschiedlich sein.

Bestimmt, ob bestimmte Zeichenfolgen für Kennwörter nichtverwendet werden dürfen. Abgelegt sind die Zeichenfolgen in

Liste nicht erlaubter Kennwörterverwenden

der Liste nicht erlaubter Kennwörter (z. B. Datei im Format.txt).

Definiert Zeichenfolgen, die in einem Kennwort ausgeschlossensind. Wenn ein Benutzer ein verbotenes Kennwort verwendet,wird eine Fehlermeldung ausgegeben.

Eine Liste (eine Datei) mit verbotenen Kennwörtern muss imSafeGuard Management Center unter Texte im

Liste nicht erlaubter Kennwörter

Richtlinien-Navigationsbereich registriert werden, siehe Anlegeneiner Liste verbotener Kennwörter für die Verwendung mitRichtlinien (Seite 385). Erst nach der Registrierung ist die Listeverfügbar.

Maximale Dateigröße: 50 KB

Unterstütztes Format: Unicode

Nicht erlaubte Kennwörter definieren

In der Liste werden die verbotenen Kennwörter durch einenneuen Zeilenanfang getrennt. Platzhalter: An der Position, ander Sie den Zeichentyp "*" eingeben, können mehrere beliebigeZeichen im Kennwort enthalten sein. Beispielsweise wird durch*123* jede Zeichenfolge, die 123 enthält, als Kennwort verboten.

Hinweis:

Wenn Sie nur den Platzhalter in die Liste einfügen, könnensich Benutzer nach einer erzwungenen Kennwortänderungnicht mehr im System anmelden.

Benutzer dürfen auf die Datei keinen Zugriff haben.

Die Option Liste nicht erlaubter Kennwörter verwendenmuss aktiviert sein.

Diese Einstellung wird nur bei den Punkten Liste nicht erlaubterKennwörter verwenden und Benutzername als Kennwortverboten wirksam.

Beispiel 1: Sie haben in der Liste der verbotenen Kennwörter„Tafel“ eingetragen. Steht die Option Groß-/Kleinschreibung

Groß-/Kleinschreibung beachten

beachten auf Ja, werden zusätzliche Kennwortvarianten wie z.B. „TAFEL“ oder „TaFeL“ nicht akzeptiert und die Anmeldungwird verweigert.

Beispiel 2: Der Benutzername für einen Anwender lautet„EMaier“. Steht Groß-/Kleinschreibung beachten auf Ja undBenutzername als Kennwort verboten auf Nein, darf BenutzerEMaier keine Variante seines Benutzernamens (z. B. émaieróder éMaiEr´ usw.) als Kennwort verwenden.

Änderungen

383

Administratorhilfe


Legt den Zeitraum fest, in dem ein Kennwort nicht erneutgeändert werden darf. Diese Einstellung verhindert, dass ein

Kennwortänderung erlaubt nachmindestens (Tage)

Benutzer sein Kennwort innerhalb eines bestimmten Zeitraumsbeliebig oft ändern kann. Bei einem durch Windows erzwungenenKennwortwechsel oder bei einem Wechsel des Kennworts nachder Anzeige der Warnung, dass das Kennwort in x Tagen abläuft,wird diese Einstellung nicht ausgewertet!

Beispiel:

Die Benutzerin Schmidt definiert ein neues Kennwort (z. B.„13jk56“). Für sie (oder für die Gruppe, der sie zugeordnet ist)ist ein Wechsel nach mind. fünf Tagen festgelegt. Bereits nachzwei Tagen will sie das Kennwort "13jk56" ändern. Dies wirdabgelehnt, da Frau Schmidt erst nach fünf Tagen ein neuesKennwort definieren darf.

Ist diese Option aktiviert, muss der Benutzer nach Ablauf deseingestellten Zeitraums ein neues Kennwort definieren.

Kennwort läuft ab nach (Tage)

Ab “n” Tagen vor Ablauf des Kennworts wird eine Warnmeldungausgegeben und der Benutzer darauf hingewiesen, dass er in

Warnung vor Ablauf (Tage)

“n“ Tagen sein Kennwort ändern muss. Er erhält daraufhin dieMöglichkeit, das Kennwort sofort zu ändern.

Allgemeine Informationen

Gibt an, ob die Zeichen bei der Eingabe des Kennwortsverborgen werden. Ist die Option aktiviert, wird während der

Kennwort in POA verbergen

Eingabe des Kennworts bei der POA nichts angezeigt. Ansonstenwird für jedes eingegebene Zeichen ein Stern angezeigt.

Legt fest, wann bereits verwendete Kennwörter wieder benutztwerden dürfen. Sinnvoll ist die Definition von

Kennwortgenerationen

Kennwortgenerationen insbesondere in Verbindung mit derEinstellung Kennwort läuft ab nach (Tage).

Beispiel:

Die Anzahl der Kennwortgenerationen für den Benutzer Müllerwurde auf 4 festgelegt, die der Tage, nach denen der Benutzerdas Kennwort wechseln muss, auf 30. Herr Müller meldete sichbislang mit dem Kennwort „Informatik“ an. Nach Ablauf der Fristvon 30 Tagen wird er aufgefordert, sein Kennwort zu ändern.Herr Müller tippt als neues Kennwort wieder „Informatik“ ein underhält die Fehlermeldung, dass er dieses Kennwort bereitsverwendet hat und ein anderes Kennwort wählen muss.„Informatik“ darf Herr Müller erst nach der vierten (daKennwortgenerationen = 4) Aufforderung zur Eingabe einesneuen Kennworts verwenden.

Hinweis: Wenn für die Kennwortgeneration 0 eingestellt ist,kann der Benutzer das alte Kennwort als neues Kennwortfestlegen. Dies entspricht jedoch nicht der gängigen Praxis undist daher nicht zu empfehlen.

384



Dieses Feld steuert die Synchronisierung bei Änderung desKennworts durch Benutzer, die auf mehreren SafeGuard

Benutzerkennwortsynchronisationmit anderen SGN Clients

Enterprise Endpoints arbeiten und als Benutzer eingetragensind. Folgende Optionen stehen zur Verfügung:

Langsam (sobald Benutzer sich anmeldet)

Ändert ein Benutzer sein Kennwort auf einem SafeGuardEnterprise Endpoint, so muss dieser Benutzer sich aufanderen Endpoints, auf denen er als Benutzer eingetragenist, zunächst noch einmal mit seinem alten Kennwort an derSafeGuard Power-on Authentication anmelden. Erst dannwird die Kennwortsynchronisation durchgeführt

Schnell (sobald der Computer eine Verbindung hergestellthat)

Ändert der Benutzer sein Kennwort auf einem SafeGuardEnterprise Endpoint, so wird die Kennwortsynchronisierungmit einem anderen Endpoint, auf dem er als Benutzereingetragen ist, durchgeführt, sobald der andere Endpointeine Verbindung mit dem Server hergestellt hat. Dies erfolgtzum Beispiel dann, wenn sich ein anderer Benutzer, derebenfalls auf dem Endpoint als Benutzer eingetragen ist, inder Zwischenzeit an diesem Endpoint anmeldet.

7.12.4.1 Anlegen einer Liste verbotener Kennwörter für die Verwendung mit RichtlinienFür Richtlinien des Typs Kennwort kann eine Liste mit verbotenen Kennwörtern angelegtwerden. Diese Liste definiert die Zeichenfolgen, die in nicht in Kennwörtern verwendet werdendürfen.

Hinweis: In den Listen werden die nicht erlaubten Kennwörter durch einen Zeilenumbruchvoneinander getrennt.

Die Textdateien mit den gewünschten Informationen müssen erstellt werden, bevor sie imSafeGuard Management Center registriert werden können. Die maximale Dateigröße fürTextdateien beträgt 50 KB. SafeGuard Enterprise verwendet nur Unicode UTF-16 kodierteTexte. Wenn Sie die Textdateien in einem anderen Format erstellen, werden sie bei derRegistrierung automatisch in dieses Format konvertiert.

Wenn eine Datei konvertiert wird, wird eine entsprechende Meldung angezeigt.

So registrieren Sie die Textdateien:

1. Klicken Sie im Richtlinien-Navigationsbereich mit der rechten Maustaste auf Texte undwählen Sie Neu > Text.





385

Administratorhilfe


Hinweis: Mit der Schaltfläche Text ändern können Sie weiteren Text zum bestehenden Texthinzufügen. Wenn Sie auf diese Schaltfläche klicken, wird ein Dialog geöffnet, in dem eineweitere Textdatei ausgewählt werden kann. Der in dieser Datei enthaltene Text wird am Endedes bestehenden Textes eingefügt.

7.12.5 Passphrase für SafeGuard Data Exchange

Der Benutzer muss eine Passphrase eingeben, die zum Erzeugen von lokalen Schlüsselnfür den sicheren Datenaustausch mit SafeGuard Data Exchange verwendet wird. Die auf denEndpoints erzeugten Schlüssel werden auch in der SafeGuard Enterprise Datenbankgespeichert. Die erforderlichen Einstellungen definieren Sie in einer Richtlinie vom TypPassphrase.

Für weitere Informationen zu SafeGuard Data Exchange, siehe SafeGuard Data Exchange(Seite 174).

Weitere Informationen zu SafeGuard Data Exchange und SafeGuard Portable auf demEndpoint finden Sie in der SafeGuard Enterprise Benutzerhilfe im Kapitel SafeGuard DataExchange.


Passphrase

Legt fest, aus wie vielen Zeichen die Passphrase, aus der derSchlüssel erzeugt wird, mindestens bestehen muss. Der

Mindestlänge der Passphrase

gewünschte Wert kann entweder direkt eingegeben oder durchBetätigen der Richtungstasten vergrößert bzw. verkleinert werden.

Legt fest, aus wie vielen Zeichen die Passphrase maximalbestehen darf. Der gewünschte Wert kann entweder direkt

Maximallänge der Passphrase

eingegeben oder durch Betätigen der Richtungstasten vergrößertbzw. verkleinert werden.

Mit diesen Einstellungen wird erreicht, dass eine Passphrase nichtausschließlich Zeichen, Ziffern oder Sonderzeichen enthält,


Mindestanzahl an Ziffernsondern aus einer Kombination bestehen muss (z. B. „15blume“).Diese Einstellungen sind nur dann sinnvoll, wenn eineMindestlänge der Passphrase definiert ist, die größer 2 ist.





Als Tastaturspalten werden eingetippte Zeichenreihen wie „xsw2“oder „3edc“ (nicht aber „xdr5“ oder „cft6“!) bezeichnet. Erlaubt sind


maximal zwei in einer Tastaturspalte befindliche Zeichen.VerbietenSie Tastaturspalten, werden derartige Zeichenkombinationen alsPassphrase abgelehnt.Tastaturspalten beziehen sich nur auf denalphanumerischen Tastaturteil.

386



Verboten werden mit der Aktivierung dieser Option Zeichenketten,Drei oder mehraufeinanderfolgende Zeichenverboten die im ASCII-Code aufeinander folgen, sowohl in auf- als auch

in absteigender Reihenfolge („abc“ oder „cba“).


Bestimmt, ob Benutzername und Passphrase identisch sein dürfen.

Ja: Windows-Benutzername und Passphrase müssenunterschiedlich sein.

Benutzername als Passphraseverboten

Nein: Benutzer darf seinen Windows-Benutzernamen gleichzeitigals Passphrase verwenden.

Diese Einstellung wird beim Setzen der Option Benutzernameals Passphrase verboten wirksam.

Beispiel: Der Benutzername für einen Anwender lautet „EMaier“.Steht Groß-/Kleinschreibung beachten auf Ja und

Groß-/Kleinschreibung beachten

Benutzername als Passphrase verboten auf Nein, darf BenutzerEMaier keine Variante seines Benutzernamens (z. B. emaier odereMaiEr) als Passphrase verwenden.

7.12.6 White Lists für Geräteschutz-Richtlinien für dateibasierendeVerschlüsselung

Im SafeGuard Management Center können Sie White Lists als Ziele für Richtlinien des TypsGeräteschutz für dateibasierende Verschlüsselung auswählen. Somit können SieVerschlüsselungsrichtlinien für spezifische Gerätemodelle und sogar für spezifische Geräteerstellen.

Damit Sie eine White List als Ziel für eine Geräteschutz Richtlinie auswählen können, müssenSie die Liste im SafeGuard Management Center anlegen. Sie können White Lists für spezifischeGerätemodelle (z. B. iPod, USB-Geräte eines bestimmten Herstellers usw.) oder für einzelneGeräte nach Seriennummer definieren. Sie können die Geräte manuell zu den White Listshinzufügen oder die Ergebnisse eines SafeGuard Port Auditor Scan-Vorgangs verwenden.Weitere Informationen finden Sie im SafeGuard PortAuditor User Guide.

Sie können dann die White List als Ziel beim Anlegen einer Richtlinie vom Typ Geräteschutzauswählen.

Hinweis: Wenn Sie eine White List für eine Richtlinie vom Typ Geräteschutz als Zielauswählen, können Sie als Verschlüsselungsmodus für Medien nur Keine Verschlüsselungoder Dateibasierend auswählen. Wenn Sie Keine Verschlüsselung für eine GeräteschutzRichtlinie mit einer White List auswählen, wird durch diese Richtlinie ein Gerät dann nicht vonder Verschlüsselung ausgenommen, wenn eine andere geltende Richtlinie dievolume-basierende Verschlüsselung fordert.

Hinweis: Für Block Master SafeStick gelten spezielle Anforderungen. Diese Geräte habenfür Administratoren und Benutzer ohne Administratorrechte unterschiedliche IDs. Für diekorrekte Verarbeitung in SafeGuard Enterprise müssen Sie beide IDs zur White List hinzufügen.

387

Administratorhilfe

Der SafeGuard Port Auditor ermittelt beide IDs, wenn ein SafeStick-Gerät mindestens einmalauf dem von SafeGuard Port Auditor gescannten Computer geöffnet wurde.

7.12.6.1 Anlegen einer White List für Geräteschutz-Richtlinien für die dateibasierendeVerschlüsselung1. Markieren Sie im Richtlinien Navigationsbereich den Eintrag White List.

2. Klicken Sie im Kontextmenü von White List auf Neu > White List.

3. Wählen Sie den Typ der White List aus:

■ Um eine White List für spezifische Datenträgermodelle zu erstellen, wählen SieDatenträgermodelle.

■ Um eine White List für bestimmte Datenträger nach Seriennummer zu erstellen, wählenSie Einzelne Datenträger.

4. Geben Sie unter White List-Quelle an, wie Sie die White List erstellen möchten:

■ Um Datenträger manuell einzugeben, wählen Sie White List manuell erstellen.

Wenn Sie auf OK klicken, wird eine leere White List im SafeGuard Management Centergeöffnet. In dieser leeren White List können Sie die Einträge manuell erstellen. KlickenSie dazu auf das grüne Symbol Hinzufügen (Einfügen) in der SafeGuard ManagementCenter Symbolleiste.

Hinweis: Um die relevanten Strings für ein Gerät mit dem Windows-Geräte-Managerabzurufen, öffnen Sie das Eigenschaften Fenster für das Gerät und entnehmen Siedie Werte für die Eigenschaften Hardware-Kennungen und Geräteinstanzkennung.Es werden nur folgende Schnittstellen unterstützt: USB, 1394, PCMCIA und PCI.

■ Wenn Sie das Ergebnis eines Endpoint Scans durch den SafeGuard Port Auditor alsQuelle verwenden möchten, wählen Sie SafeGuard Port Auditor Ergebnisimportieren.

Die Ergebnisse des Scans durch den SafeGuard Port Auditor müssen vorliegen(XML-Datei), wenn Sie die White List auf diese Weise erzeugen wollen. Um die Dateiauszuwählen, klicken Sie auf die [...] Schaltfläche.

Weitere Informationen hierzu finden Sie in der SafeGuard PortAuditor Benutzerhilfe.

Nach dem Klicken auf OK wird der Inhalt der importierten Datei im SafeGuardManagement Center angezeigt.

Die White List wird unter White Lists im Richtlinien Navigationsbereich angezeigt. Sie könnenSie beim Erstellen von Richtlinien des Typs Geräteschutz für dateibasierende Verschlüsselungauswählen.

7.12.6.2 Auswahl einer White List als Ziel für Geräteschutz-Richtlinien für diedateibasierende VerschlüsselungVoraussetzung: Die gewünschte White List muss im SafeGuard Management Center angelegtsein.

1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die SchaltflächeRichtlinien.

2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien und wählenSie im Kontextmenü den Befehl Neu.

388


3. Wählen Sie Geräteschutz.

Es wird ein Dialog für die Benennung der neuen Richtlinie angezeigt.

4. Geben Sie einen Namen und optional eine Beschreibung für die neue Richtlinie ein.

5. Wählen Sie unter Ziel des Geräteschutzes die relevante White List:

■ Wenn Sie eine White List für Datenträgermodelle erstellt haben, wird sie unterDatenträgermodelle angezeigt.

■ Wenn Sie eine White List für bestimmte Datenträger erstellt haben, wird sie unterEinzelne Datenträger angezeigt.


Die White List ist als Ziel der Richtlinie vom Typ Geräteschutz ausgewählt. Nach derÜbertragung der Richtlinie an die Endpoints gilt der in der Richtlinie festgelegteVerschlüsselungsmodus.

7.12.7 Geräteschutz

Richtlinien des Typs Geräteschutz enthalten Einstellungen für die Datenverschlüsselungenauf unterschiedlichen Datenträgern. Die Verschlüsselung kann volume- oder dateibasierenddurchgeführt werden, mit unterschiedlichen Schlüsseln und Algorithmen. Richtlinien des TypsGeräteschutz enthalten auch Einstellungen für SafeGuard Data Exchange, SafeGuard CloudStorage und SafeGuard Portable. Für weitere Informationen, siehe SafeGuard Data Exchange(Seite 174) und Cloud Storage (Seite 168).Weitere Informationen zu SafeGuard Data Exchange,SafeGuard Cloud Storage und SafeGuard Portable auf dem Endpoint finden Sie in derSafeGuard Enterprise Benutzerhilfe.

Wenn Sie eine Richtlinie dieses Typs erstellen, müssen Sie zunächst ein Ziel für denGeräteschutz angeben. Mögliche Ziele sind:

■ Interner Speicher (Boot-Laufwerke / Andere Laufwerke)

■ Wechselmedien

■ Optische Laufwerke

■ Laufwerksbuchstaben

■ Datenträgermodelle

■ Einzelne Datenträger

■ Cloud Storage Definitionen

Für jedes Ziel muss eine eigene Richtlinie angelegt werden.

Hinweis: Wechselmedien: Eine Richtlinie für die volume-basierende Verschlüsselung vonWechsellaufwerken, die es dem Benutzer erlaubt, einen Schlüssel aus einer Liste auszuwählen(z. B.Beliebiger Schlüssel im Schlüsselring des Benutzers), kann vom Benutzer umgangenwerden, indem er keinen Schlüssel auswählt. Um sicherzustellen, dass Wechsellaufwerkeimmer verschlüsselt werden, verwenden Sie eine dateibasierende Verschlüsselungsrichtlinielegen Sie in der volume-basierenden Verschlüsselungsrichtlinie explizit einen Schlüssel fest.

389

Administratorhilfe


Dient dem Schutz von Endgeräten (PCs, Notebooks usw.) undallen Arten von Wechseldatenträgern.

Hinweis: Diese Einstellung ist obligatorisch.

Verschlüsselungsmodus fürMedien

Hauptaufgabe ist die Verschlüsselung aller auf lokalen oderexternen Datenträgern gespeicherten Daten. Durch die transparenteArbeitsweise können Benutzer einfach ihre gewohntenAnwendungen, z. B. Microsoft Office, weiter benutzen.

Transparente Verschlüsselung bedeutet für den Benutzer, dassalle verschlüsselt gespeicherten Daten (sei es in verschlüsseltenVerzeichnissen oder Laufwerken) automatisch im Hauptspeicherentschlüsselt werden, sobald sie in einem Programm geöffnetwerden. Beim Abspeichern der Datei wird diese automatisch wiederverschlüsselt.

Folgende Optionen stehen zur Verfügung:

Keine Verschlüsselung

Volume-basierend(= transparente, sektorbasierendeVerschlüsselung)

Stellt sicher, dass alle Daten verschlüsselt sind (inkl.Boot-Dateien, Swapfile, Datei für den Ruhezustand/HibernationFile, temporäre Dateien, Verzeichnisinformationen usw.) ohnedass sich der Benutzer in seiner Arbeitsweise anpassen oderauf Sicherheit achten muss.

Dateibasierend (= transparente, dateibasierte Verschlüsselung,Smart MediaEncryption)

Stellt sicher, dass alle Daten verschlüsselt sind (außer BootMedium und Verzeichnisinformationen), mit dem Vorteil, dassauch optische Medien wie CD/DVD verschlüsselt werden könnenoder Daten mit Fremdrechnern, auf denen kein SafeGuardEnterprise installiert ist, ausgetauscht werden können (soweitvon der Richtlinie erlaubt).

Hinweis: Für Richtlinien mit White Lists können nur die OptionenKeine Verschlüsselung oder Dateibasierend ausgewählt werden.

Allgemeine Einstellungen

Setzt den Verschlüsselungsalgorithmus.

Liste aller einsetzbaren Algorithmen mit ihren jeweiligen Standards:

Algorithmus für dieVerschlüsselung

AES256: 32 Bytes (256 Bits)

AES128: 16 Bytes (128 Bits)

Legt fest, welcher Schlüssel zur Verschlüsselung verwendet wird.Es können bestimmte Schlüssel festgelegt werden (z. B.

Schlüssel für dieVerschlüsselung

Computer-Schlüssel, oder ein definierter Schlüssel) oder demBenutzer kann die Auswahl eines Schlüssels erlaubt werden. DieSchlüssel, die ein Benutzer verwenden darf, können eingeschränktwerden.


390



Beliebiger Schlüssel im Schlüsselring des Benutzers

Alle Schlüssel aus dem Schlüsselbund des Benutzers werdenangezeigt und der Benutzer darf einen daraus auswählen.

Hinweis: Diese Option muss gewählt werden, wenn eineRichtlinie für dateibasierende Verschlüsselung für einen durchSafeGuard Enterprise geschützten Standalone-Endpointangelegt wird.

Alle, außer persönliche Schlüssel im Schlüsselring

Alle Schlüssel aus dem Schlüsselbund mit Ausnahme despersönlichen Schlüssels werden angezeigt und der Benutzerdarf einen daraus auswählen.

Beliebiger Gruppenschlüssel im Schlüsselring desBenutzers

Alle Gruppenschlüssel aus dem Schlüsselbund des Benutzerswerden angezeigt und der Benutzer darf einen darausauswählen.

Definierter Computerschlüssel

Es wird der Maschinen-Schlüssel verwendet - der Benutzerselbst kann KEINEN Schlüssel auswählen.

Hinweis: Diese Option muss gewählt werden, wenn eineRichtlinie für volume-basierende Verschlüsselung für einendurch SafeGuard Enterprise geschützten Standalone-Endpointangelegt wird. Wenn Sie dennoch die Option BeliebigerSchlüssel im Schlüsselring des Benutzers auswählen undder Benutzer wählt einen lokal erzeugten Schlüssel für dievolume-basierende Verschlüsselung, wird der Zugriff auf diesesVolume verweigert.

Beliebiger Schlüssel im Schlüsselring des Benutzers außerlokal erzeugte Schlüssel

Alle Schlüssel aus dem Schlüsselring mit Ausnahme der lokalerzeugten Schlüsse werden angezeigt und der Benutzer darfeinen daraus auswählen

Definierter Schlüssel aus der Liste

Der Administrator kann in der Administration bei derRichtlinien-Einstellung einen beliebigen, existierenden Schlüsselauswählen.

Der Schlüssel muss unter Für Verschlüsselung definierterSchlüssel ausgewählt werden.

Bei Verwendung von „Definierter Computer-Schlüssel“

Ist SafeGuard Enterprise Device Encryption nicht auf einemEndpoint installiert (keine SafeGuard POA, keine volume-basierendeVerschlüsselung), wird eine Richtlinie, die den DefiniertenComputerschlüssel als Schlüssel für die dateibasierendeVerschlüsselung festlegt, nicht auf dem Endpoint wirksam. Derdefinierte Computerschlüssel ist auf einem Endpoint dieses Typsnicht verfügbar. Die Daten können nicht verschlüsselt werden.

391

Administratorhilfe


Richtlinien für durch SafeGuard Enterprise geschützteStandalone-Endpoints:

Hinweis: Bitte beachten Sie beim Erstellen von Richtlinien fürStandalone-Computer, dass für die dateibasierendeVerschlüsselung ausschließlich die Option Beliebiger Schlüsselim Schlüsselring des Benutzers möglich ist. Zusätzlich darf dasErzeugen von lokalen Schlüsseln nicht verboten werden.

Falls die Medien-Passphrase-Funktion für Unmanaged Endpointsaktiviert ist, wird der Medienverschlüsselungsschlüssel automatischals Für Verschlüsselung definierter Schlüssel verwendet, daauf Unmanaged Endpoints keine Gruppenschlüssel zur Verfügungstehen. Wenn Sie beim Erstellen einer Wechselmedien-Richtliniefür Standalone-Endpoints einen anderen Schlüssel unter FürVerschlüsselung definierter Schlüssel auswählen, so hat dieskeine Auswirkung.

Dieses Feld wird nur dann aktiv, wenn Sie im Feld Schlüssel fürdie Verschlüsselung die Option Definierter Schlüssel aus der

Für Verschlüsselung definierterSchlüssel

Liste ausgewählt haben. Klicken Sie auf die Schaltfläche [...], umden Dialog Schlüssel suchen aufzurufen. Klicken Sie auf Jetztsuchen, um nach Schlüsseln zu suchen und wählen Sie einenSchlüssel aus der angezeigten Liste aus.

Bei einer Richtlinie vom Typ Geräteschutz mit dem ZielWechselmedien wird dieser Schlüssel zur Verschlüsselung desMedienverschlüsselungsschlüssel verwendet, wenn dieMedien-Passphrase-Funktionalität aktiviert ist (Benutzer darf eineMedien-Passphrase für Wechselmedien erzeugen auf Jaeingestellt).

Für Richtlinien vom Typ Geräteschutz für Wechselmedien müssendaher die Einstellungen

Schlüssel für die Verschlüsselung

Für Verschlüsselung definierter Schlüssel

unabhängig voneinander spezifiziert werden.

Richtlinien für durch SafeGuard Enterprise geschützteStandalone-Endpoints:

Falls die Medien-Passphrase-Funktion für Unmanaged Endpointsaktiviert ist, wird der Medienverschlüsselungsschlüssel automatischals Für Verschlüsselung definierter Schlüssel verwendet, daauf Unmanaged Endpoints keine Gruppenschlüssel zur Verfügungstehen.

Diese Einstellung bestimmt, ob Benutzer auf ihren Computern lokaleSchlüssel erzeugen dürfen oder nicht. Die Standardeinstellung istJa, Benutzer sind berechtigt, lokale Schlüssel zu erzeugen.

Hinweis: Eine Richtlinie, die Benutzern verbietet, lokale Schlüsselzu erzeugen (Benutzer darf einen lokalen Schlüssel erzeugenauf Nein) wird nur auf Windows Endpoints angewendet.

Benutzer darf einen lokalenSchlüssel erzeugen

Lokale Schlüssel werden auf dem Endpoint basierend auf einervom Benutzer eingegebenen Passphrase erzeugt. Die

392



Anforderungen, denen eine Passphrase entsprechen muss, könnenin Richtlinien vom Typ Passphrase festgelegt werden.

Diese Schlüssel werden ebenfalls in der Datenbank gespeichert.Der Benutzer kann sie auf jedem Endpoint, auf dem er sichanmelden darf, verwenden.

Lokale Schlüssel können zum sicheren Datenaustausch überSafeGuard Data Exchange (SG DX) verwendet werden. Für weitereInformationen, siehe Lokale Schlüssel (Seite 175).

Volume-basierende Einstellungen

Ja: Endpoint-Benutzer dürfen einen zusätzlichen Schlüssel auseinem Schlüsselbund einfügen/entfernen. Der Dialog wird angezeigt

Benutzer darf demverschlüsseltem Volume

über den Kontextmenüeintrag Eigenschaften/Verschlüsselung /Registerkarte.

Nein: Endpoint-Benutzer dürfen keine zusätzlichen Schlüsselhinzufügen.

Schlüssel hinzufügen oderdiese entfernen

Definiert, wie SafeGuard Enterprise mit unverschlüsselten Medienumgeht:


Reaktion auf unverschlüsselteVolumes

Abweisen (= Klartext-Medium wird nicht verschlüsselt)

Nur unverschlüsselte Medien akzeptieren und verschlüsseln

Alle Medien akzeptieren und verschlüsseln

Bewirkt, dass der Benutzer über einen Kontextmenü-Eintrag imWindows Explorer das Laufwerk entschlüsseln darf.

Benutzer darf Volumeentschlüsseln

Wählen Sie diese Einstellung aus, um den Modus der schnellenInitialverschlüsselung für die volume-basierende Verschlüsselung

Schnelle Initialverschlüsselung

zu aktivieren. Dieser Modus reduziert den Zeitraum, der für dieInitialverschlüsselung auf Endpoints benötigt wird.

Hinweis: Dieser Modus kann zu einem unsicheren Zustand führen.Für weitere Informationen, siehe Schnelle Initialverschlüsselung(Seite 185).

Legt fest, ob die Verschlüsselung fortgesetzt oder gestoppt werdensoll, wenn defekte Sektoren entdeckt werden. DieStandardeinstellung ist Ja.

Bei defekten Sektorenfortfahren

Dateibasierende Einstellungen

Bewirkt, dass die Initialverschlüsselung für ein Laufwerk automatischnach der Benutzeranmeldung gestartet wird. Der Benutzer muss

Initialverschlüsselung allerDateien

eventuell vorher einen Schlüssel aus dem Schlüsselbundauswählen.

393

Administratorhilfe


Erlaubt dem Benutzer die Initialverschlüsselung abzubrechen.Benutzer darfInitialverschlüsselungabbrechen

Definiert, ob ein Benutzer auf unverschlüsselte Dateien auf einemLaufwerk zugreifen darf.

Benutzer darf aufunverschlüsselte Dateienzugreifen

Bewirkt, dass der Benutzer einzelne Dateien oder ganzeVerzeichnisse entschlüsseln kann (über die WindowsExplorer-Erweiterung <rechte Maustaste>).

Benutzer darf Dateienentschlüsseln

Bewirkt, dass der Benutzer eine Medien-Passphrase auf seinemComputer festlegen kann. Die Medien-Passphrase ermöglicht den

Benutzer darf eineMedien-Passphrase fürWechselmedien erzeugen einfachen Zugriff auf alle lokalen Schlüssel auf Computern ohne

SafeGuard Data Exchange über SafeGuard Portable.

Wenn diese Option ausgewählt ist, wird SafeGuard Portable aufalle Wechselmedien, die mit dem Endpoint verbunden werden,

SafeGuard Portable auf das Zielkopieren

sowie in alle Synchronisierungsordner, die in einer Cloud StorageDefinition für SafeGuard Cloud Storage definiert sind, kopiert.

SafeGuard Portable ermöglicht den verschlüsselten Datenaustauschmit Wechselmedien oder Cloud Storage, ohne dass der Empfängerder Daten SafeGuard Enterprise installiert haben muss.

Der Empfänger kann mit Hilfe von SafeGuard Portable und derentsprechenden Passphrase die verschlüsselten Datenentschlüsseln und auch wieder verschlüsseln. Der Empfänger kannmit SafeGuard Portable die Daten neu verschlüsseln oder denursprünglich verwendeten Schlüssel für die Verschlüsselungverwenden.

SafeGuard Portable muss nicht auf den Computer des Empfängersinstalliert oder kopiert werden, sondern kann direkt von denWechselmedien oder von Cloud Storage aus verwendet werden.

Über einen Dialog kann ein Schlüssel ausgewählt werden, der fürdie dateibasierte Initialverschlüsselung verwendet wird. Der

Standardschlüssel für dieInitialverschlüsselung

Benutzer kann dann beim Start der Initialverschlüsselung keinenSchlüssel wählen. Die Initialverschlüsselung startet ohneBenutzerinteraktion.

Für die Initialverschlüsselung wird immer der hier festgelegteSchlüssel verwendet.

Beispiel:

Voraussetzung: Ein Standardschlüssel für dieInitialverschlüsselung ist gesetzt.

Verbindet der Benutzer ein USB-Gerät mit dem Computer, startetdie Initialverschlüsselung automatisch. Der definierte Schlüsselwird benutzt. Es ist kein Benutzereingriff notwendig. Will derBenutzer anschließend Dateien umschlüsseln oder neue Dateienauf dem USB-Medium speichern, kann er einen beliebigenSchlüssel auswählen (falls erlaubt und verfügbar). Schließt er dannein anderes USB-Gerät an, wird wiederum der Schlüssel, der fürdie Initialverschlüsselung festgelegt wurde, zur

394



Initialverschlüsselung verwendet. Dieser Schlüssel wird auch fürfolgende Verschlüsselungsoperationen verwendet, bis der Benutzerexplizit einen anderen Schlüssel auswählt.

Hinweis: Wenn die Medien-Passphrase-Funktion aktiviert ist, wirddiese Option deaktiviert. Der Für Verschlüsselung definierteSchlüssel wird verwendet.

Der hier angegebene Ordner wird auf allen Wechselmedien,Massenspeichern und in allen Cloud Storage

Klartext-Ordner

Synchronisierungsordnern erstellt. Dateien, die in diesen Ordnerkopiert werden, bleiben immer unverschlüsselt.

Sie können den Benutzer dazu berechtigen zu entscheiden, obDateien auf Wechselmedien und Massenspeichern verschlüsseltwerden sollen:

Benutzer darf überVerschlüsselung entscheiden

Wenn Sie hier Ja auswählen, werden Benutzer dazuaufgefordert zu entscheiden, ob Daten verschlüsselt werdensollen. Für Massenspeicher wird diese Aufforderung nach jederAnmeldung angezeigt. Für Wechselmedien wird sie angezeigt,wenn die Wechselmedien mit dem Computer verbunden werden.

Wenn Sie für diese Option Ja, Benutzereinstellungen merkenauswählen, können die Benutzer die Option Einstellungenspeichern und Dialog nicht mehr anzeigen wählen, um ihreAuswahl für das relevante Gerät zu speichern. In diesem Fallwird der Dialog für das Gerät nicht mehr angezeigt.

Wenn der Benutzer im auf dem Endpoint angezeigten Dialog Neinwählt, wird weder eine initiale noch eine transparenteVerschlüsselung durchgeführt.

7.12.8 Spezifische Computereinstellungen - Grundeinstellungen

ErklärungRichtlinieneinstellungen

Power-On Authentication (POA)

Definiert, ob die SafeGuard POA ein- oderausgeschaltet sein soll.

Wichtig: Aus Sicherheitsgründen empfehlen wirdringend, die SafeGuard POA eingeschaltet zu

Power-on Authentication aktivieren

lassen. Durch Deaktivierung der SafeGuard POAreduziert sich die Systemsicherheit auf den Schutzdurch die Windows-Anmeldung. Dadurch erhöhtsich das Risiko des unberechtigten Zugriffs aufverschlüsselte Daten.

395

Administratorhilfe


Verweigert eine Anmeldung in der SafeGuardPOA, wenn zwischen Endpoint und Server längerals festgelegt keine Verbindung bestand.

Zugriff verweigern, falls keine Verbindung zumServer in Tagen (0= keine Überprüfung)

Mit den Sicheres Wake On LAN Einstellungenkönnen Sie Endpoints für Software Rollouts

Sicheres Wake on LAN (WOL)

vorbereiten. Nach dem Wirksamwerden einersolchen Richtlinie auf Endpoints werden dienotwendigen Parameter (z. B. SafeGuardPOA-Deaktivierung und ein Zeitabstand für Wakeon LAN) direkt an die Endpoints übertragen, wosie analysiert werden.

Wichtig: Wir weisen an dieser Stelle ausdrücklichdarauf hin, dass auch das zeitlich begrenzte"Ausschalten" der SafeGuard POA für einebestimmte Anzahl von Boot-Vorgängen einAbsenken des Sicherheitsniveaus bedeutet.

Für weitere Informationen zu Wake on LAN, sieheSicheres Wake on LAN (WOL) (Seite 210).

Definiert die Anzahl der Neustarts mitausgeschalteter SafeGuard Power-onAuthentication für Wake on LAN.

Diese Einstellung überschreibt temporär dieEinstellung von Power-on Authentication

Anzahl der automatischen Anmeldungen

aktivieren, bis die Anzahl der eingestelltenautomatischen Anmeldungen erreicht ist. Danachwird die SafeGuard Power-on Authenticationwieder aktiviert.

Wenn Sie die Anzahl an automatischenAnmeldungen auf zwei einstellen und Power-onAuthentication aktivieren aktiv ist, startet derEndpoint zweimal ohne Authentisierung durch dieSafeGuard POA.

Wir empfehlen, für Wake on LAN immer dreiNeustarts mehr als notwendig fürWartungsarbeiten zu erlauben, umunvorhergesehene Probleme zu umgehen.

Bestimmt, ob lokale Anmeldungen an Windowswährend Wake-On-LAN erlaubt sind.

Lokale Windows-Anmeldung während WOLerlauben

Datum und Uhrzeit für den Beginn und das Endedes Wake on LAN (WOL) können ausgewählt odereingegeben werden.

Datumsformat: MM/DD/YYYY

Beginn des Zeitfensters für externen WOL Start

Ende des Zeitfensters für externen WOL Start

Uhrzeitformat: HH:MM

Folgende Eingabekombinationen sind möglich:

396



Beginn und Ende des WOL werden festgelegt.

Nur das Ende des WOL wird festgelegt, derBeginn bleibt offen.

Keine Einträge: Es wird kein Zeitintervall fürden Client festgelegt

Bei einem geplanten Software Rollout sollte derSicherheitsbeauftragte den Zeitrahmen für WOLso bemessen, dass das Scheduling-Skript frühgenug startet und allen Endpoints genügend Zeitzum Booten bleibt.

WOLstart: Der Startpunkt für den WOL imScheduling-Skript muss innerhalb des hier in derRichtlinie festgelegten Zeitintervalls liegen. Wennkein Intervall definiert ist, wird WOL lokal am durchSafeGuard Enterprise geschützten Endpoint nichtaktiviert. WOLstop: Dieses Kommando wirdunabhängig vom hier festgelegten Endpunkt desWOL ausgeführt.

Benutzer-Computer Zuordnung (UMA)

Hinweis: Diese Einstellung gilt nur für zentralverwaltete Endpoints.

SGN Gastbenutzer nicht zulassen

Legt fest, ob sich Gastbenutzer am Endpointanmelden können.

Hinweis: Microsoft Konten werden immer alsSafeGuard Enterprise Gastbenutzer behandelt.

Gibt an, wer einen anderen SGN-Benutzer in dieSafeGuard POA und/oder UMA importieren kann

Registrieren von neuen SGN-Benutzernerlauben

(indem die durchgehende Anmeldung an dasBetriebssystem deaktiviert wird).

Hinweis: Bei Endpoints, auf denen das DeviceEncryption-Modul nicht installiert ist, muss dieEinstellung Registrieren von neuenSGN-Benutzern erlauben auf Jeder gesetzt sein,wenn es auf dem Endpoint möglich sein soll, derUMA mehrere Benutzer hinzuzufügen, die Zugriffauf ihre Schlüsselringe haben sollen. Sonstkönnen Benutzer nur im Management Centerhinzugefügt werden. Diese Option ist wird nur aufzentral verwalteten Endpoints ausgewertet.Weitere Informationen finden Sie im SophosKnowledgebase-Artikel 110659.

Ist die Einstellung auf Niemand gesetzt, wird diePOA nicht aktiviert. Benutzer müssen imManagement Center manuell hinzugefügt werden.

397

Administratorhilfe




Legt fest, ob SGN Windows-Benutzer auf demEndpoint registriert werden können. Ein SGN

Registrierung von SGN Windows-Benutzernaktivieren

Windows-Benutzer wird nicht zur SafeGuard POAhinzugefügt, verfügt jedoch über einenSchlüsselring, mit dem er auf verschlüsselteDateien zugreifen kann wie ein SGN-Benutzer.Wenn Sie diese Einstellung wählen, werden alleBenutzer, die andernfalls SGN-Gast-Benutzergeworden wären, zu SGN Windows-Benutzern.Die Benutzer werden zur UMA hinzugefügt, sobaldsie sich an Windows angemeldet haben.

Hinweis: Diese Einstellung gilt nur fürStandalone-Endpoints.

Manuelle UMA Bereinigung für StandaloneClients aktivieren

Legt fest, ob Benutzer SGN-Benutzer und SGNWindows-Benutzer aus der Benutzer-ComputerZuordnung entfernen dürfen. Wenn Sie hier Jaauswählen, steht der Befehl Benutzer-ComputerZuordnung im System Tray Icon Menü auf demEndpoint zur Verfügung. Mit diesem Befehl wirdeine Liste von Benutzern angezeigt, die sich beider SafeGuard Power-on Authentication alsSGN-Benutzer und bei Windows als SGNWindows-Benutzer anmelden können. Imangezeigten Dialog können Benutzer aus der Listeentfernt werden. Nach dem Entfernen vonSGN-Benutzern oder SGN Windows-Benutzern,können sich diese nicht mehr an der SafeGuardPower-on Authentication oder an Windowsanmelden.

Hinweis: Diese Einstellung gilt nur für zentralverwaltete Endpoints.

Maximale Anzahl von SGN Windows - Benutzernbevor Benutzer automatisch gelöscht werden

Mit dieser Einstellung können Sie eine automatischBereinigung der SafeGuard EnterpriseWindows-Benutzer auf zentral verwaltetenEndpoints aktiviert. Sobald der hier gesetzteSchwellwert von einem SafeGuard EnterpriseWindows-Benutzer überschritten wird, werden allevorhandenen SafeGuard EnterpriseWindows-Benutzer außer dem neuen aus derBenutzer-Computer Zuordnung entfernt. DieStandardeinstellung ist 10.

Anzeigeoptionen

398



Zeigt in der Titelleiste der SafeGuard POAentweder den Computernamen oder einen freidefinierbaren Text an.

Existiert ein Computername in denWindows-Netzwerkeinstellungen, wird dieser inder Grundeinstellung automatisch übernommen.

Computer-Identifikation anzeigen

Der Text, der in der Titelleiste der SafeGuard POAangezeigt werden soll.

Ist unter Computer-Identifikation anzeigen dieOption Definierter Name ausgewählt, können Siein diesem Eingabefeld den Text eingeben.

Text für Computer-Identifikation

Zeigt eine Textbox mit frei konfigurierbarem Inhaltan, die vor der Anmeldung in der SafeGuard POA

Rechtliche Hinweise anzeigen

erscheint. In manchen Ländern ist das Erscheineneines Textfelds mit bestimmtem Inhalt gesetzlichvorgeschrieben.

Die Box muss vom Benutzer bestätigt werden,bevor das System fortfährt.

Bevor Sie einen Text angeben können, mussdieser als Textelement im RichtlinienNavigationsbereich unter Texte registriert werden.

Text, der als rechtlicher Hinweis angezeigt werdensoll.

Sie können hier ein Textelement auswählen, dasim Richtlinien Navigationsbereich unter Texteregistriert wurde.

Text für rechtliche Hinweise

Zeigt eine Textbox mit frei konfigurierbarem Inhaltan, die nach den rechtlichen Hinweisen (wenndiese aktiviert sind) erscheint.

Sie können festlegen, ob die zusätzlichenInformationen angezeigt werden:

Zusätzliche Informationen anzeigen

Nie

Bei jedem Systemstart

Bei jeder Anmeldung

Bevor Sie einen Text angeben können, mussdieser als Textelement im RichtlinienNavigationsbereich unter Texte registriert werden.

399

Administratorhilfe


Text, der als zusätzliche Information angezeigtwerden soll.

Sie können hier ein Textelement auswählen, dasim Richtlinien Navigationsbereich unter Texteregistriert wurde.

Text für zusätzliche Informationen

Zeitraum (in Sekunden) für die Anzeigezusätzlicher Informationen.

Sie können hier die Anzahl der Sekundeneingeben, nach denen die Textbox für zusätzliche

Anzeigedauer für zusätzliche Informationen

Informationen automatisch geschlossen wird. DerBenutzer kann die Textbox jederzeit durch Klickenauf OK schließen.

Über das SafeGuard Enterprise System Tray Iconkann auf dem Endpoint einfach und schnell auf

System Tray Icon aktivieren und anzeigen

alle Benutzerfunktionen zugegriffen werden.Zusätzlich können für den Benutzer Informationenüber den Status des Endpoint (neue Richtlinienerhalten usw.) über Balloon Tool Tips ausgegebenwerden.

Ja:

System Tray Icon wird im Infobereich derTaskleiste angezeigt, der Benutzer wird überBalloon Tool Tips laufend über den Status desdurch SafeGuard Enterprise geschützten Endpoint.

Nein:

System Tray Icon wird nicht angezeigt. KeineStatusinformationen für den Benutzer über BallonTool Tips.

Stumm:

System Tray Icon wird im Infobereich derTaskleiste angezeigt, es werden aber keineStatusinformationen für den Benutzer über BallonTool Tips ausgegeben.

Bestimmt, ob im Windows ExplorerSchlüsselsymbole zur Anzeige des

Overlay-Symbole im Explorer anzeigen

Verschlüsselungsstatus von Volumes, Geräten,Ordnern und Dateien angezeigt werden.

Bestimmt, ob im SafeGuard POA-Anmeldedialogbei Bedarf eine virtuelle Tastatur zur Eingabe desKennworts angezeigt werden kann.

Virtuelle Tastatur in der POA

Installationsoptionen

400



Bestimmt, ob die Deinstallation von SafeGuardEnterprise auf den Endpoints möglich ist. Wird

Deinstallation erlaubt

Deinstallation erlaubt auf Nein gesetzt, kannSafeGuard Enterprise solange eine Richtlinie mitdieser Einstellung wirksam ist, auch mitAdministratorrechten nicht deinstalliert werden.

Aktiviert/deaktiviert die Funktion SophosManipulationsschutz. Wenn Sie die Deinstallation

Sophos Manipulationsschutz aktivieren

von SafeGuard Enterprise über dieRichtlinieneinstellung Deinstallation erlaubt alszulässig definiert haben, können Sie dieseRichtlinieneinstellung auf Ja setzen, umDeinstallationsvorgänge durch die FunktionSophos Manipulationsschutz überprüfen zu lassenund somit ein leichtfertiges Entfernen der Softwarezu verhindern.

Erlaubt die Funktion Sophos Manipulationsschutzdie Deinstallation nicht, wird derDeinstallationsvorgang abgebrochen.

Ist Sophos Manipulationsschutz aktivieren aufNein eingestellt, werden SafeGuard EnterpriseDeinstallationsvorgänge durch die FunktionSophos Manipulationsschutz weder geprüft nochverhindert.

Hinweis: Diese Einstellung gilt nur für Endpoints,auf denen Sophos Endpoint Security and Controlin der Version 9.5 oder einer neueren Versioninstalliert ist.

Einstellungen für Credential Providers

In SafeGuard Enterprise können Sie konfigurieren,dass ein anderer Credential Provider als der

Credential Provider Wrapping

Windows Credential Provider verwendet wird.Vorlagen für die unterstützten Credential Providerstehen auf Sophos.com zum Download zurVerfügung. Eine Liste mit Vorlage für getesteteCredential Provider sowie die Information zumDownload erhalten Sie vom Sophos Support.

Mit Hilfe der Richtlinieneinstellung CredentialProvider können Sie eine Vorlage importierenund auf Endpoints anwenden. Klicken Sie aufVorlage importieren und suchen Sie nach derVorlagendatei. Die importierte Vorlage und derenInhalt werden im mehrzeiligen Feld CredentialProviderangezeigt und als Richtlinie eingestellt.

Um eine Vorlage zu löschen, klicken Sie aufVorlage löschen.

401

Administratorhilfe


Hinweis: Bearbeiten Sie die bereitgestelltenVorlagendateien nicht. Wenn die XML-Strukturdieser Dateien geändert wird, werden dieEinstellungen unter Umständen auf dem Endpointnicht erkannt. Dann wird unter Umständen derStandard Windows Credential Provider verwendet.

Einstellungen für die Tokenunterstützung

Registriert das PKCS#11 Modul eines Token.


Token Middleware Modulname

ActiveIdentity ActivClient

ActiveIdentity ActivClient (PIV)

AET SafeSign Identity Client

Aladdin eToken PKI Client

a.sign Client

ATOS CardOS API

Charismathics Smart Security Interface

Estonian ID-Card

Gemalto Access Client

Gemalto Classic Client

Gemalto .NET Card

IT Solution trustware CSP+

Módulo PKCS#11 TC-FNMT

Nexus Personal

RSA Authentication Client 2.x

RSA Smart Card Middleware 3.x

Siemens CardOS API

T-Systems NetKey 3.0

Unizeto proCertum

Benutzerdefinierte PKCS#11 Einstellungen...

Wenn Sie Benutzerdefinierte PKCS#11Einstellungen... auswählen, werden dieBenutzerdefinierten PKCS#11 Einstellungenaktiviert.

402



Sie können dann die zu verwendendenModulnamen eingeben:

PKCS#11 Modul für Windows

PKCS#11 Modul für die SafeGuardPower-on Authentication (POA)

Hinweis: Wenn Sie Nexus Personal oderGemalto .NET Card Middleware installieren,müssen Sie den Installationspfad der Middlewareauch zur PATH-Umgebungsvariable derSystemeigenschaften Ihres Computershinzufügen.

Standard-Installationspfad für Gemalto .NETCard: C:\Programme\ Gemalto\PKCS11for .NET V2 smart cards

Standard-Installationspfad für NexusPersonal: C:\Programme\Personal\bin

Lizenzen:

Beachten Sie, dass für die Benutzung derjeweiligen Middleware für dasStandard-Betriebssystem eine Lizenzvereinbarungmit dem jeweiligen Hersteller erforderlich ist.Weitere Informationen finden Sie im SophosKnowledgebase-Artikel 116585.

Wenn Sie Siemens-Lizenzen erwerben möchten,wenden Sie sich an:

Atos IT Solutions and Services GmbH

Otto-Hahn-Ring 6

D-81739 München

Germany

Diese Einstellung dient zur Problembehebung mitbestimmten Token. Entsprechende Einstellungen

Dienste, auf die gewartet wird

werden gegebenenfalls von unserem Supportbekannt gegeben.

7.12.9 Protokollierung bei Windows Endpoints

Ereignisse für SafeGuard Enterprise können in der Windows-Ereignisanzeige oder in derSafeGuard Enterprise Datenbank protokolliert werden. Um festzulegen, welche Ereignissean welchem Ziel protokolliert werden sollen, erstellen Sie eine Richtlinie vom TypProtokollierung und wählen Sie die gewünschten Ereignisse per Mausklick aus.

Es steht eine Vielzahl von Ereignissen aus unterschiedlichen Kategorien (z. B. Anmeldung,Verschlüsselung usw.) zur Auswahl zur Verfügung. Es ist daher empfehlenswert, eineVorgehensweise für die Protokollierung zu definieren und die notwendigen Ereignisse unterBerücksichtigung der Anforderungen für Berichte und Audits festzulegen.

403

Administratorhilfe



Für weitere Informationen, siehe Berichte (Seite 333).

7.13 Fehlerbehebung

7.13.1 Fehlercodes

7.13.1.1 SGMERR-Codes in der Windows-EreignisanzeigeIn der Windows-Ereignisanzeige könnten Sie folgende Meldung finden:

"Authorization for SafeGuard Enterprise Administration failed for user... Grund:SGMERR[536870951]"

Welche Bedeutung die Nummer “536870951” hat, finden Sie in dieser Tabelle. Nummer“536870951” bedeutet zum Beispiel “Die angegebene PIN ist falsch, der Benutzer konntenicht authentisiert werden".

AnzeigeFehler-ID

OK0

Interner Fehler entdeckt21

Modul nicht initialisiert22

Datei I/O Fehler entdeckt23

Speicher kann nicht zugewiesen werden24

Datei I/O Lesefehler25

Datei I/O Schreibfehler26

Keine Operation durchgeführt50

Allgemeiner Fehler101

Zugriff verweigert102

Datei existiert bereits103

Registry Eintrag konnte nicht geöffnet werden.1201

Registry Eintrag konnte nicht gelesen werden.1202

Registry Eintrag konnte nicht geschrieben werden.1203

Registry Eintrag konnte nicht entfernt werden.1204

404


AnzeigeFehler-ID

Registry Eintrag konnte nicht erzeugt werden.1205

Kein Zugriff auf einen Systemdienst oder Treiber möglich.1206

Ein Systemdienst oder Treiber konnte nicht in der Registry eingetragen werden.1207

Ein Systemdienst oder Treiber konnte nicht aus der Registry entfernt werden.1208

Ein Systemdienst oder Treiber ist bereits in der Registry eingetragen.1209

Kein Zugriff auf den Service Control Manager möglich.1210

Ein Eintrag für eine Session konnte in der Registry nicht gefunden werden.1211

Ein Registry Eintrag ist ungültig oder falsch.1212

Der Zugriff auf ein Laufwerk ist fehlgeschlagen.1301

Keine Informationen über ein Laufwerk vorhanden.1302

Kein Zugriff auf ein Volume möglich.1303

Ungültige Option definiert.1304

Unzulässiges Dateisystem.1305

Das existierende Dateisystem auf einem Volume und das definierte sindunterschiedlich.

1306

Die vorhandene Größe eines Dateisystem-Clusters und die definierte Größesind unterschiedlich.

1307

Unzulässige Sektorgröße eines Dateisystems definiert.1308

Unzulässiger Startsektor definiert.1309

Unzulässiger Partitionstyp definiert.1310

Es konnte kein unfragmentierter, unbenutzter Bereich der erforderlichen Größeauf einem Volume gefunden werden.

1311

Dateisystem Cluster konnten nicht als benutzt markiert werden.1312

Dateisystem Cluster konnten nicht als benutzt markiert werden.1313

Dateisystem Cluster konnten nicht als unbenutzt markiert werden.1314

Dateisystem Cluster konnten nicht als BAD markiert werden.1315

405

Administratorhilfe

AnzeigeFehler-ID

Es existieren keine Informationen über die Cluster eines Dateisystems.1316

Der als BAD markierte Bereich auf einem Volume konnte nicht gefunden werden.1317

Unzulässige Größe eines Bereichs auf einem Volume definiert.1318

Der MBR Sektor einer Festplatte konnte nicht ersetzt werden.1319

Ein falsches Kommando für eine Allokierung oder Deallokierung definiert.1330

Unzulässiger Algorithmus definiert.1351

Der Zugriff auf den Systemkern ist fehlgeschlagen.1352

Es ist kein Systemkern installiert.1353

Beim Zugriff auf den Systemkern ist ein Fehler aufgetreten.1354

Unzulässige Änderung der Systemeinstellungen.1355

Auf ein Laufwerk konnten keine Daten geschrieben werden.1401

Von einem Laufwerk konnten keine Daten gelesen werden.1402

Der Zugriff auf ein Laufwerk ist fehlgeschlagen.1403

Unzulässiges Laufwerk.1404

Änderung der Zugriffsposition auf einem Laufwerk ist fehlgeschlagen.1405

Laufwerk ist nicht bereit.1406

Unmount eines Laufwerks ist fehlgeschlagen.1407

Datei konnte nicht geöffnet werden.1451

Datei konnte nicht gefunden werden.1452

Unzulässiger Dateipfad definiert.1453

Datei konnte nicht erzeugt werden.1454

Datei konnte nicht kopiert werden.1455

Keine Informationen über ein Laufwerk vorhanden.1456

Die Position in einer Datei konnte nicht geändert werden.1457

Das Lesen von einer Datei ist fehlgeschlagen.1458

406


AnzeigeFehler-ID

Es konnten keine Daten in eine Datei geschrieben werden.1459

Eine Datei konnte nicht entfernt werden.1460

Unzulässiges Dateisystem.1461

Datei konnte nicht geschlossen werden.1462

Kein Zugriff auf eine Datei möglich.1463

Nicht genug Speicher vorhanden.1501

Unzulässiger oder falscher Parameter definiert.1502

Ein Puffer für Daten ist zu klein.1503

Ein DLL-Modul konnte nicht geladen werden.1504

Eine Funktion oder ein Prozess wurde abgebrochen.1505

Kein Zugriff erlaubt.1506

Es ist kein Systemkern installiert.1510

Ein Programm konnte nicht gestartet werden.1511

Eine Funktion, ein Objekt oder Daten sind nicht vorhanden.1512

Unzulässiger Eintrag.1513

Ein Objekt existiert bereits.1514

Unzulässiger Funktionsaufruf.1515

Es ist ein interner Fehler aufgetreten.1516

Es ist eine Zugriffsverletzung aufgetreten.1517

Funktion oder Modus wird nicht unterstützt.1518

Deinstallation ist fehlgeschlagen.1519

Es ist ein Ausnahmefehler aufgetreten.1520

Der MBR Sektor der Festplatte konnte nicht ersetzt werden.1550

Taskplaner-Dienst wurde wegen eines Ausnahmefehlers angehalten.2850

Task-Planer Task erfolgreich ausgeführt2851

407

Administratorhilfe

AnzeigeFehler-ID

Task-Planer Task fehlgeschlagen2852

Task-Planer Task erzeugt oder geändert2853

Task-Planer Task gelöscht2854

Unbekannt20001

Prozess beendet20002

Datei nicht verifiziert20003

Ungültige Richtlinie20004

Die Anweisung Öffnen war nicht erfolgreich30050

Nicht genug Speicherplatz30051

Allgemeiner Fehler in der Prozess-Kommunikation30052

Auf eine Ressource kann nicht zugegriffen werden. Das ist ein temporärerZustand und ein späterer Versuch könnte erfolgreich beendet werden.

30053

Allgemeiner Kommunikationsfehler30054

Unerwarteter Rückgabewert30055

Kein Kartenlesegerät angeschlossen30056

Zwischenspeicher überfüllt30057

Karte ist nicht in Betrieb30058

Eine Zeitüberschreitung ist eingetreten30059

Unerlaubter Kartentyp30060

Die gewünschte Funktionsart wird nicht unterstützt /zu dieser Zeit / In dieser OS/ in dieser Situation.

30061

Ungültiger Treiber30062

Die Firmware der angeschlossenen Hardware ist von dieser Software nichtnutzbar

30063

Öffnen der Datei ist fehlgeschlagen30064

Datei nicht gefunden30065

408


AnzeigeFehler-ID

Karte nicht eingeführt30066

Unzulässiges Argument30067

Die Semaphore wird derzeit verwendet.30068

Die Semaphore ist momentan in Benutzung30069

Allgemeiner Fehler.30070

Sie haben momentan nicht die Rechte, die angefragte Aktion durchzuführen.Normalerweise ist es notwendig zuvor ein Kennwort einzugeben.

30071

Der Service ist momentan nicht verfügbar.30072

Ein Element ( z. B. ein Schlüssel mit einem bestimmten Namen ) konnte nichtgefunden werden.

30073

Das angegebene Kennwort ist falsch.30074

Das Kennwort wurde mehrere Male falsch eingegeben und ist daher geblockt.Benutzen Sie ein Verwaltungstool, um dieses zu entsperren.

30075

Die Identität stimmt nicht mit der definierten Identitäts-Gegenprobe überein.30076

Mehrere Fehler sind aufgetreten. Benutzen Sie diesen Fehlercode, wenn diesdie einzige Möglichkeit ist, einen Fehlercode zu erhalten, aber vorherverschiedene Fehler aufgetreten sind.

30077

Einige Elemente sind noch vorhanden, daher kann z. B. die Verzeichnisstrukturetc. nicht gelöscht werden.

30078

Fehler während des Konsistenztestes30079

Die ID ist auf der Schwarzen Liste. Die angefragte Aktion ist daher nicht erlaubt.30080

Ungültiges Handle30081

Ungültige Konfigurationsdatei30082

Abschnitt nicht gefunden.30083

Eintrag nicht gefunden.30084

Keine weiteren Abschnitte vorhanden.30085

Ende der Datei erreicht.30086

Der angegebene Element existiert bereits.30087

409

Administratorhilfe

AnzeigeFehler-ID

Das Kennwort ist zu kurz.30088

Das Kennwort ist zu lang.30089

Ein Element ( z. B. ein Zertifikat ) ist abgelaufen.30090

Das Kennwort ist nicht gesperrt.30091

Der Pfad konnte nicht gefunden werden.30092

Das Datenverzeichnis ist nicht leer.30093

Keine weiteren Daten verfügbar30094

Auf dem Medium ist kein Speicherplatz mehr verfügbar.30095

Eine Operation wurde abgebrochen.30096

Read Only Daten; eine Schreiboperation ist fehlgeschlagen.30097

Der Schlüssel ist nicht verfügbar.12451840

Der Schlüssel ist nicht definiert.12451842

Zugriff auf unverschlüsseltes Medium verweigert.12451842

Zugriff auf unverschlüsseltes Medium verweigert, wenn nicht es nicht leer ist.12451843

Die Datei ist nicht verschlüsselt.352321637

Der Schlüssel ist nicht verfügbar.352321638

Der richtige Schlüssel ist nicht verfügbar.352321639

Checksummenfehler im Datei-Header.352321640

Fehler in CBI-Funktion.352321641

Ungültiger Dateiname.352321642

Fehler beim Lesen/Schreiben der temporären Datei.352321643

Zugriff auf unverschlüsselte Dateien ist nicht erlaubt.352321644

Key Storage Area (KSA) voll.352321645

Die Datei ist bereits mit einem anderen Algorithmus verschlüsselt.352321646

Datei ist mit NTFS komprimiert und kann daher nicht verschlüsselt werden!352321647

410


AnzeigeFehler-ID

Datei ist mit EFS verschlüsselt!352321648

Ungültiger Datei-Besitzer!352321649

Ungültiger Dateiverschlüsselungsmodus!352321650

Fehler im CBC-Handling!352321651

Integrität verletzt.385875969

Das Token enthält keine Berechtigungen.402653185

Berechtigungen können nicht auf das Token geschrieben werden.402653186

TDF-Tag konnte nicht angelegt werden.402653187

TDF-Tag enthält die angeforderten Daten nicht.402653188

Das Objekt existiert bereits auf dem Token.402653189

Kein gültiger Slot gefunden.402653190

Seriennummer konnte nicht gelesen werden402653191

Verschlüsselung des Tokens ist gescheitert.402653192

Entschlüsselung des Tokens ist gescheitert.402653193

Die Schlüsseldatei enthält eine ungültige Daten.536870913

Teile des RSA-Schlüsselpaares sind ungültig.536870914

Das Schlüsselpaar konnte nicht importiert werden.536870915

Das Format der Schlüsseldatei ist ungültig.536870916

Keine Daten verfügbar.536870917

Der Import des Zertifikates ist fehlgeschlagen, da das Zertifikat bereits existiert.536870918

Das Modul ist bereits initialisiert worden.536870919

Das Modul ist nicht initialisiert worden.536870920

Die ASN.1-Verschlüsselung ist fehlerhaft.536870921

Fehlerhafte Datenlänge.536870922

Fehlerhafte Signatur.536870923

411

Administratorhilfe

AnzeigeFehler-ID

Fehlerhafter Verschlüsselungsmechanismus angewandt.536870924

Diese Version wird nicht unterstützt.536870925

Padding Fehler.536870926

Ungültige Flags.536870927

Das Zertifikat ist abgelaufen und nicht länger gültig.536870928

Unkorrekte Zeitangabe. Zertifikat noch nicht gültig.536870929

Das Zertifikat ist entzogen worden.536870930

Die Zertifikats-Kette ist ungültig.536870931

Die Zertifikats-Kette konnte nicht erstellt werden.536870932

CDP konnte nicht kontaktiert werden.536870933

Ein Zertifikat, welches nur als End-Dateneinheit genutzt werden kann, ist als CAoder umgekehrt genutzt worden.

536870934

Probleme mit der Gültigkeitslänge der Zertifikate in der Kette.536870935

Fehler bei der Öffnung der Datei.536870936

Fehler beim Lesen einer Datei.536870937

Ein oder mehrere Parameter, die an die Funktion übergeben worden sind, sindnicht korrekt.

536870938

Die Ausgabe der Funktion passt nicht in den zur Verfügung gestellten Puffer.536870939

Ein Problem mit dem Token und/oder Slot ist aufgetaucht.536870940

Der Token hat nicht genug Speicherkapazität, um die gewünschte Funktionauszuführen.

536870941

Der Token ist aus dem Slot entfernt worden, während die Funktion ausgeführtwurde.

536870942

Die gewünschte Funktion konnte nicht ausgeführt werden, es liegen aber keinedetaillierten Informationen über den Grund der Fehlermeldung vor.

536870943

Der Computer auf dem die CBI Sammlung läuft, besitzt ungenügenden Speicher,um die gewünschte Funktion auszuführen. Im schlechtesten Fall könnte es sein,dass die Funktion nur teilweise erfolgreich durchgeführt wird.

536870945

Eine gewünschte Funktion wird nicht vom CBI-Archiv unterstützt.536870946

412


AnzeigeFehler-ID

Es wurde versucht, einen Wert für ein Objekt einzustellen, welches nichteingestellt oder abgeändert werden kann.

536870947

Ein ungültiger Wert wurde für ein Objekt angegeben.536870948

Es wurde versucht, den Wert eines Objektes zu erlangen, was jedoch fehlschlug,da es sich um ein sensibles Objekt handelt bzw. es nicht extrahierbar ist.

536870949

Die angegebene OIN Lust abgelaufen. (Ob eine PIN eines normalen Benutzersauf einem ausgegebenen Token jemals abläuft, variiert von Token zu Token.)

536870950

Die angegebene PIN abgelaufen. Der Benutzer konnte nicht authentisiert werden.536870951

Die angegebene PIN enthält ungültige Zeichen. Dieser Antwort-Code wird nurfür Funktionen angewandt, die versuchen, eine PIN einzurichten.

536870952

Die angegebene PIN ist zu lang oder zu kurz. Dieser Antwort-Code wird nur fürFunktionen angewandt, die versuchen, eine PIN einzurichten.

536870953

Die angegebene PIN ist geblockt und kann nicht genutzt werden. Dies tritt auf,weil eine gewisse Anzahl an fehlgeschlagenen Versuchen zur Authentisierungaufgetreten ist und der Token weitere Versuche zur Authentisierung ablehnt.

536870954

Die angegebene Slot ID ist ungültig.536870955

Der Token war zu dem Zeitpunkt, als die Funktion angefragt wurde nicht inseinem Slot.

536870956

Das CBI Archiv und/oder der Slot konnte keinen Token im Slot erkennen.536870957

Die angefragte Aktion kann nicht durchgeführt werden, da der Tokenschreibgeschützt ist.

536870958

Der angegebene Benutzer kann nicht angemeldet werden, da dieserBenutzername bereits zur Sitzung angemeldet ist.

536870959

Der angegebene Benutzer kann nicht angemeldet werden, da ein andererBenutzer bereits zur Sitzung angemeldet ist.

536870960

Die gewünschte Aktion kann nicht ausgeführt werden, da der geeignete Benutzer(oder ein geeigneter Benutzer) nicht angemeldet ist. Zum Beispiel kann dieAbmeldung von der Sitzung nicht vor der Anmeldung liegen.

536870961

Die normale Benutzer PIN ist nicht mit CBIInitPin initialisiert.536870962

Es wurde versucht, gleichzeitig mehrere verschiedene Benutzer auf dem Tokenanzumelden, was der Token und/oder das Archiv zugelassen haben.

536870963

Ein ungültiger Wert wurde als CBIUser angegeben. Gültige Typen sind in ASCI11User Types definiert.

536870964

413

Administratorhilfe

AnzeigeFehler-ID

Ein Objekt mit der angegebenen Kennzeichnung konnte auf dem Token nichtgefunden werden.

536870965

Eine Zeitüberschreitung ist aufgetreten.536870966

Diese Version der IE ist nicht unterstützt.536870967

Authentisierung fehlgeschlagen.536870968

Das Root-Zertifikat ist gesichert.536870969

Keine CRL gefunden.536870970

Keine aktive Internetverbindung vorhanden.536870971

Es befindet sich ein Fehler im Zeitwert eines Zertifikates.536870972

Das Zertifikat konnte nicht verifiziert werden.536870973

Der Aufhebungsstatus dieses Zertifikates ist unbekannt.536870974

Das Modul wird beendet. Keine weiteren Anfragen gestattet.536870975

Es ist ein Fehler während einer Netzwerkfunktion aufgetreten.536870976

Ein ungültiger Aufruf einer Funktion ist empfangen worden.536870977

Ein Objekt konnte nicht gefunden werden.536870978

Eine Terminal Server Sitzung wurde unterbrochen.536870979

Ungültige Handlung.536870980

Das Objekt ist in Benutzung.536870981

Der Zufallszahlengenerator wurde nicht initialisiert. (CBIRNDInit ( ) wurde nichtangefragt.)

536870982

Unbekannter Befehl (siehe CBIControl ( )).536870983

UNICODE wird nicht unterstützt.536870984

Der Zufallszahlengenerator benötigt einen größeren Startwert (seed).536870985

Das Objekt existiert bereits.536870986

Falsche Algorithmus Kombination. (Siehe CBIRecrypt ( )).536870987

Das Cryptoki-Modul (PKCS#11) ist nicht initialisiert.536870988

414


AnzeigeFehler-ID

Das Cryptoki-Modul (PKCS#11) ist bereits initialisiert.536870989

Das Cryptoki-Modul (PKCS#11) konnte nicht geladen werden.536870990

Zertifikat nicht gefunden.536870991

Nicht vertrauenswürdig.536870992

Ungültiger Schlüssel.536870993

Der Schlüssel ist nicht exportierbar.536870994

Der angegebene Algorithmus wird momentan nicht unterstützt.536870995

Der angegebene Entschlüsselungsmodus wird nicht unterstützt.536870996

Ein Fehler in der GSENC Sammlung ist aufgetreten.536870997

Format der Datenabfrage ist nicht bekannt.536870998

Das Zertifikat hat keinen privaten Schlüssel.536870999

Ungültige Konfiguration536871000

Eine Operation ist aktiv.536871001

Ein Zertifikat in der Kette ist zeitlich nicht verschachtelt.536871002

Die CRL konnte nicht ersetzt werden.536871003

Die BENUTZER-PIN wurde bereits initialisiert.536871004

Sie haben keine ausreichenden Rechte, um diese Aktion auszuführen. Zugriffverweigert

805306369

Ungültige Handlung.805306370

Ungültiger Parameter in Benutzung805306371

Das Objekt existiert bereits.805306372

Das Objekt konnte nicht gefunden werden.805306373

Datenbank-Ausnahme aufgetreten.805306374

Die Aktion wurde vom Benutzer abgebrochen.805306375

Das Token ist keinem bestimmten Benutzer zugewiesen.805306376

415

Administratorhilfe

AnzeigeFehler-ID

Das Token ist mehr als einem Benutzer zugewiesen.805306377

Das Token konnte nicht in der Datenbank gefunden werden.805306378

Das Token wurde erfolgreich gelöscht und aus der Datenbank entfernt.805306379

Das Token konnte in der Datenbank nicht eindeutig identifiziert werden.805306380

Die Richtlinie ist einer Richtlinien-Gruppe zugewiesen. Um die Richtlinie zulöschen, muss diese Zuweisung aufgehoben werden.

805306381

Die Richtlinie ist einer OU zugewiesen. Bitte entfernen Sie zuerst die Zuweisung.805306382

Das Zertifikat dieses Beauftragten ist ungültig.805306383

Das Zertifikat dieses Beauftragten ist abgelaufen.805306384

Der Beauftragte konnte nicht in der Datenbank gefunden werden.805306385

Der gewählte Beauftragte ist nicht eindeutig.805306386

Der Beauftragte ist gesperrt und kann nicht authentisiert werden.805306387

Der Beauftragte ist nicht mehr oder noch nicht gültig.805306388

Der Beauftragte konnte nicht authentisiert werden - Anfrage außerhalb dergestatteten Arbeitszeiten.

805306389

Ein Beauftragter kann sich nicht selbst löschen.805306390

Der Haupt-Sicherheitsbeauftragte kann nicht gelöscht werden, da ein zweiterHaupt-Sicherheitsbeauftragte zur zusätzlichen Authentisierung erforderlich ist.

805306391

Der Sicherheitsbeauftragte kann nicht gelöscht werden, da ein zweiterSicherheitsbeauftragte zur zusätzlichen Authentisierung erforderlich ist.

805306392

Der Prüfungsbeauftragte kann nicht gelöscht werden, da ein weitererPrüfungsbeauftragter zur zusätzlichen Authentisierung erforderlich ist.

805306393

Der Recovery-Beauftragte kann nicht gelöscht werden, da einRecovery-Beauftragter zur zusätzlichen Authentisierung erforderlich ist.

805306394

Der Beratungsbeauftragte kann nicht gelöscht werden, da einBeratungsbeauftragter zur zusätzlichen Authentisierung erforderlich ist.

805306395

Die Funktion des Haupt- Sicherheitsbeauftragten kann nicht entfernt werden, daein zweiter Haupt-Sicherheitsbeauftragter zur zusätzlichen Authentisierungerforderlich ist.

805306396

416


AnzeigeFehler-ID

Die Funktion des Sicherheitsbeauftragten kann nicht entfernt werden, da einSicherheitsbeauftragter zur zusätzlichen Authentisierung erforderlich ist.

805306397

Die Funktion des Prüfungsbeauftragten kann nicht entfernt werden, da einPrüfungsbeauftragter zur zusätzlichen Authentisierung erforderlich ist.

805306398

Die Funktion des Wiederherstellungsbeauftragten kann nicht entfernt werden,da ein Recovery-Beauftragter zur zusätzlichen Authentisierung erforderlich ist.

805306399

Die Funktion des Beratungsbeauftragten kann nicht entfernt werden, da einBeratungsbeauftragter zur zusätzlichen Authentisierung erforderlich ist.

805306400

Ein zusätzlicher Beauftragter mit der gewünschten Funktion ist zur zusätzlichenAuthentisierung nicht verfügbar.

805306401

Ereignisanzeige805306402

Integrität des zentralen Ereignisprotokolls erfolgreich verifiziert.805306403

Integrität verletzt! Ein oder mehrere Ereignisse wurden vom Beginn der Ketteentfernt.

805306404

Integrität verletzt! Ein oder mehrere Ereignisse sind in der Kette entfernt worden.Die Mitteilung bei der der Bruch der Kette entdeckt worden ist, ist hervorgehoben.

805306405

Integrität verletzt! Ein oder mehrere Ereignisse wurden vom Ende der Ketteentfernt.

805306406

Exportieren der Ereignisse in Datei fehlgeschlagen. Grund:805306407

Die momentane Ansicht enthält ungesicherte Daten. Möchten Sie die Änderungenspeichern, bevor Sie die Ansicht verlassen?

805306408

Die Datei konnte nicht geladen werden, oder die Datei ist beschädigt. Grund:805306409

Die Integrität des Protokolls ist verletzt worden! Ein oder mehrere Ereignissesind entfernt worden.

805306410

Sollen die Ereignisse in einer Datei gesichert werden, bevor sie gelöscht werden?805306411

Anzeige der Aufträge805306412

CRL mehrfach in der Datenbank gefunden. CRL konnte nicht gelöscht werden.805306413

CRL nicht in der Datenbank gefunden.805306414

Der Benutzer, dem das Zertifikat zugewiesen werden sollte, konnte nicht in derDatenbank gefunden werden.

805306415

Ein P7 Blob ist für eine Zertifikats-Zuweisung zwingend erforderlich.805306416

417

Administratorhilfe

AnzeigeFehler-ID

Der Benutzer, dem das Zertifikat zugewiesen werden sollte, ist nicht eindeutigbenannt.

805306417

Die Zertifikats-Zuweisung kann nicht gefunden werden.805306418

Die Zuweisung des Zertifikats ist nicht eindeutig. Es ist nicht klar, welcheZuweisung entfernt werden soll.

805306419

Der Benutzer für den das Zertifikat erstellt werden soll, konnte nicht in derDatenbank gefunden werden.

805306420

Der Benutzer für den das Zertifikat erstellt werden soll, kann nicht eindeutigbenannt werden.

805306421

Das Zertifikat wurde bereits einem anderen Benutzer zugeordnet. Ein Zertifikatkann nur einem Benutzer zugeordnet werden.

805306422

Der Computer, dem das Zertifikat zugewiesen werden soll, konnte nicht in derDatenbank gefunden werden.

805306423

Der Computer, dem das Zertifikat zugewiesen werden soll, konnte nicht eindeutigidentifiziert werden.

805306424

Importierte Zertifikate können nicht durch SGN erneuert werden.805306425

Inkonsistente Zertifikatsdaten während der Erneuerung805306426

Die Erneuerung des Zertifikats wurde nicht von einem Sicherheitsbeauftragtengenehmigt.

805306427

Fehler beim Löschen des Token805306428

Das Zertifikat kann nicht vom Token gelöscht werden, denn es wurde für dieAuthentisierung des aktuellen Benutzers verwendet.

805306429

Ein Systemzugang mit diesem Namen existiert bereits. Bitte wählen Sie einenanderen Namen.

805306430

Dem Sicherheitsbeauftragen sind keine Rollen zugewiesen. Anmeldung nichtmöglich.

805306431

Die Lizenz wurde verletzt.805306432

Es wurde keine Lizenz gefunden.805306433

Fehlender oder ungültiger Protokolldateipfad805306435

Es wurde keine Richtlinie gefunden.2415919104

Keine Konfigurationsdatei verfügbar!2415919105

418


AnzeigeFehler-ID

Keine Verbindung zum Server.2415919106

Keine weiteren Datenpakete vorhanden.2415919107

Ungültige Priorität beim Senden zum Server!2415919108

Es stehen noch Daten zur Verarbeitung an.2415919109

Die Autoregistrierung ist noch nicht beendet.2415919110

Datenbank Anmeldung fehlgeschlagen.2415919111

Falsche Session ID!2415919112

Datenpaket ignoriert!2415919113

Domäne nicht gefunden.3674210305

Maschine nicht gefunden.3674210306

Benutzer nicht gefunden.3674210307

Das Kennwort enthält nicht genügend Buchstaben3758096385

Das Kennwort enthält nicht genügend Zahlen3758096386

Das Kennwort enthält nicht genügend Sonderzeichen3758096387

Das Kennwort entspricht dem Benutzernamen3758096388

Das Kennwort enthält aufeinanderfolgende Zeichen3758096389

Das Kennwort ähnelt dem Benutzernamen zu stark3758096390

Das Kennwort wurde in der Liste der verbotenen Kennwörter gefunden3758096391

Das Kennwort ähnelt dem alten Kennwort zu stark3758096392

Das Kennwort enthält eine Tastaturreihe mit mehr als zwei Zeichen3758096393

Das Kennwort enthält eine Tastaturspalte mit mehr als zwei Zeichen3758096394

Das Kennwort hat seinen Gültigkeitszeitraum noch nicht erreicht3758096395

Das Kennwort hat seine Gültigkeitsdauer überschritten3758096396

Das Kennwort hat seine minimale Gültigkeitsdauer noch nicht erreicht3758096397

Das Kennwort hat die maximale Gültigkeitsdauer überschritten3758096398

419

Administratorhilfe

AnzeigeFehler-ID

Information über einen bevorstehenden Wechsel des Kennwortes muss angezeigtwerden

3758096399

Änderung bei Erstanmeldung erforderlich3758096400

Das Kennwort wurde in der History gefunden3758096401

Fehler beim Verifizieren gegen die spezifizierte Blacklist.3758096402

Keine "platform" vorhanden.4026531840

Kein Dokument.4026531841

XML Parse Fehler.4026531842

Fehler im Document Object Model (XML).4026531843

Kein <DATAROOT>-Abschnitt gefunden (XML).4026531844

XML-Tag nicht gefunden.4026531845

"nostream" Fehler.4026531846

"printtree" Fehler.4026531847

7.13.1.2 BitLocker FehlercodesBitLocker Fehler werden durch die folgenden SafeGuard Events gemeldet:

■ Kernel-Initialisierung ist fehlgeschlagen. Interner Code: <Fehlercode>.

■ Sektorbasierte Erst-Verschlüsselung des Laufwerks <Laufwerksbuchstabe> gescheitertund beendet. Grund: <Fehlercode>

Die folgende Tabelle enthält eine Liste von Fehlercodes für BitLocker:

BeschreibungFehlercode(Dec)

Fehlercode(Hex)

Siehe Microsoft Systemfehlercodes0 – 159990x00000000 –0x000032C8

Verschlüsselung ist aufgrund eines Fehlers während derKernel-Initialisierung nicht möglich.

124968970x00BEB001

Der Boot Manager darf sich nicht auf dem zu verschlüsselndenSystemlaufwerk befinden.

124968980x00BEB002

420


http://msdn.microsoft.com/de-de/library/windows/desktop/ms681384(v=vs.85).aspx

Es wurde eine nicht unterstützte Windows Version gefunden.Minimum ist Windows Vista.

124968990x00BEB003

Die konfigurierte Authentisierungsmethode wird nicht unterstützt.124969000x00BEB004

Der PIN Dialog wurde nicht erfolgreich abgeschlossen.124969010x00BEB005

Der Pfad Dialog wurde nicht erfolgreich abgeschlossen.124969020x00BEB006

Fehler in Kommunikation zwischen Prozessen des PIN oder PfadDialogs.

124969030x00BEB007

Unbehandelte Ausnahme im PIN oder Pfad Dialog. Der Dialogwurde angezeigt, aber der Benutzer meldete sich ab oder stoppteihn im Task-Manager.

124969040x00BEB008

Der in der Richtlinie definierte Verschlüsselungsalgorithmusstimmt nicht mit dem des verschlüsselten Laufwerks überein.

124969050x00BEB009

Standardmäßig (falls nicht geändert) verwendet die systemeigeneBitLocker-Verschlüsselung AES-128, während die SGN RichtlinienAES-256 definieren.

Das Volume ist ein schreibgeschütztes Volume. DynamischeVolumes werden nicht unterstützt.

124969060x00BEB00A

Der Hardware-Test ist aufgrund eines Hardwareproblemsfehlgeschlagen.

124969070x00BEB00B

Bei der TPM-Initialisierung und -Aktivierung ist ein Fehleraufgetreten.

124969080x00BEB00C

Der Verschlüsselungsalgorithmus in der SGN-Richtlinie steht zuden Verschlüsselungsalgorithmus-Einstellungen im GPO inKonflikt.

124969090x00BEB00D

Sektorbasierte Initialverschlüsselung des Laufwerks<Laufwerksbuchstabe> fehlgeschlagen.

124969100x00BEB00E

Active Directory Backup der Wiederherstellungsschlüssel isterforderlich, aber kein Domain-Controller ist verfügbar.

124969110x00BEB00F

Active Directory Backup der Wiederherstellungsschlüssel ist nichtkompatibel mit BitLocker Challenge/Response.

124969120x00BEB010

Die UEFI Version konnte nicht überprüft werden, deshalb wirdBitLocker im Legacy-Modus ausgeführt.

124971540x00BEB102

Das Client-Konfigurationspaket wurde noch nicht installiert.124974100x00BEB202

Die UEFI Version wird nicht unterstützt und deshalb wird BitLockerim Legacy-Modus ausgeführt. Die Minimalanforderung ist 2.3.1.

124974110x00BEB203

Das TPM ist inaktiv.-21448622020x80280006

421

Administratorhilfe

Das TPM ist deaktiviert.-21448622010x80280007

Das TPM hat bereits einen Besitzer.-21448621880x80280014

Die Gruppenrichtlinieneinstellung, die FIPS-Konformität erfordert,verhindert, dass ein lokales Recovery-Kennwort erzeugt und in

-21442723290x80310037

die Schlüssel-Backup-Datei geschrieben wird. DieVerschlüsselung wird dennoch fortgesetzt.

Die Gruppenrichtlinie für die angegebeneAuthentisierungsmethode ist nicht gesetzt. Bitte aktivieren Sie

-21442722930x8031005B

die Gruppenrichtlinie "Zusätzliche Authentifizierung beim Startanfordern".

Die Gruppenrichtlinie für Verschlüsselung ohne TPM ist nichtgesetzt. Bitte aktivieren Sie die Gruppenrichtlinie "Zusätzliche

-21442722900x8031005E

Authentifizierung beim Start anfordern" und aktivieren Sie darindas Kontrollkästchen "BitLocker ohne kompatibles TPM zulassen".

Siehe Microsoft COM Error Codes (TPM, PLA, FVE).-2144862208 –-2144272177

0x80280000 –0x803100CF

7.14 SafeGuard Enterprise und selbst-verschlüsselndeOpal-FestplattenSelbst-verschlüsselnde Festplatten bieten hardware-basierende Verschlüsselung der Daten,die auf die Festplatte geschrieben werden. Die Trusted Computing Group (TCG) hat denanbieter-unabhängigen Opal-Standard für selbst-verschlüsselnde Festplatten veröffentlicht.Festplatten, die dem Opal-Standard entsprechen, werden von unterschiedlichen Herstellernangeboten. SafeGuard Enterprise unterstützt den Opal-Standard und erlaubt die Verwaltungvon Endpoints mit selbst-verschlüsselnden Opal-Festplatten. Weitere Informationen findenSie im Sophos Knowledgebase-Artikel 113366.

7.14.1 Integration von Opal-Festplatten in SafeGuard Enterprise

In SafeGuard Enterprise lassen sich Endpoints mit selbst-verschlüsselnden Opal-Festplattenwie alle anderen durch SafeGuard Enterprise geschützten Endpoints über das SafeGuardManagement Center verwalten.

Die zentrale und vollständig transparente Verwaltung von Opal-Festplatten durch SafeGuardEnterprise ermöglicht somit die Anwendung in heterogenen IT-Umgebungen. Durch dieUnterstützung des Opal-Standards bieten wir den vollen Funktionsumfang von SafeGuardEnterprise für Benutzer von selbst-verschlüsselnden Opal-Festplatten. In Verbindung mitSafeGuard Enterprise bieten Opal-Festplatten erweiterte Sicherheits-Featrures.

7.14.2 Aufwertung von Opal-Festplatten mit SafeGuard Enterprise

Die Verwaltung von selbst-verschlüsselnden Opal-Festplatten mit SafeGuard Enterprise bietetIhnen folgende Vorteile:

■ Zentrale Verwaltung der Endpoints

422


http://msdn.microsoft.com/de-de/library/windows/desktop/dd542648%28v=vs.85%29.aspx


■ SafeGuard Power-on Authentication mit grafischer Benutzeroberfläche

■ Unterstützung mehrerer Benutzer

■ Unterstützung der Anmeldung mit Token/Smartcard

■ Unterstützung der Anmeldung mit Fingerabdruck

■ Recovery (Local Self Help, Challenge/Response)

■ Zentral verwaltete Protokollierung

■ Verschlüsselung von Wechselmedien (z. B. USB-Sticks) mit SafeGuard Data Exchange

7.14.3 Verwaltung von Endpoints mit Opal-Festplatten durch SafeGuardEnterprise

Sie können Endpoints mit selbst-verschlüsselnden Opal-Festplatten im SafeGuard ManagementCenter wie alle anderen durch SafeGuard Enterprise geschützten Endpoints verwalten. AlsSicherheitsbeauftragter können Sie Sicherheitsrichtlinien (z. B. für die Authentisierung) erstellenund sie an die Endpoints verteilen.

Sobald ein Endpoint mit einer Opal-Festplatte bei SafeGuard Enterprise registriert ist, werdenInformationen zu Benutzer, Computer, Anmeldemodus und Verschlüsselungsstatus angezeigt.Außerdem werden Ereignisse protokolliert.

Die Verwaltung von Endpoints mit Opal-Festplatten in SafeGuard Enterprise ist transparent.Das heißt, die Verwaltungsfunktionen haben im Allgemeinen dieselbe Funktionsweise wiefür andere durch SafeGuard Enterprise geschützte Endpoints. Der Computertyp lässt sich inder Registerkarte Bestand eines Containers unter Benutzer & Computer ermitteln. DieSpalte POA-Typ zeigt an, ob der betreffende Computer durch SafeGuard Enterpriseverschlüsselt ist oder eine selbst-verschlüsselnde Opal-Festplatte verwendet.

7.14.4 Verschlüsselung von Opal-Festplatten

Festplatten, die dem Opal-Standard entsprechen, sind selbst-verschlüsselnd. Daten werdenautomatisch verschlüsselt, wenn sie auf die Festplatte geschrieben werden.

Die Festplatten werden mit einem AES 128/256 Schlüssel als Opal-Kennwort gesperrt. DiesesKennwort wird von SafeGuard Enterprise über eine Verschlüsselungsrichtlinie verwaltet, sieheSperren von Opal-Festplatten (Seite 423).

7.14.5 Sperren von Opal-Festplatten

Um Opal-Festplatten zu sperren, muss für mindestens ein Volume auf der Festplatte derComputerschlüssel in einer Verschlüsselungsrichtlinie definiert werden. Wenn dieVerschlüsselungsrichtlinie ein Boot-Volume umfasst, wird der Computerschlüssel automatischdefiniert.

1. Erstellen Sie im SafeGuard Management Center eine Richtlinie vom Typ Geräteschutz.

2. Wählen Sie im Verschlüsselungsmodus für Medien Feld die EinstellungVolume-basierend.

3. Wählen Sie im Feld Schlüssel für die Verschlüsselung die Einstellung DefinierterComputerschlüssel.

423

Administratorhilfe


5. Übertragen Sie die Richtlinie an den relevanten Endpoint.

Die Opal-Festplatte ist gesperrt. Der Zugriff ist nur über die Anmeldung an der SafeGuardPower-on Authentication möglich.

7.14.6 Berechtigung von Benutzern zum Entsperren von Opal-Festplatten

Als Sicherheitsbeauftragter können Sie Benutzer dazu berechtigen, Opal-Festplatten auf ihrenEndpoints mit dem Entschlüsseln Befehl aus dem Windows Explorer Kontextmenü zuentsperren.

Voraussetzung: In der Geräteschutz-Richtlinie, die für die Opal-Festplatte gilt, muss dieOption Benutzer darf Volume entschlüsseln auf Ja eingestellt sein.

1. Erstellen Sie im SafeGuard Management Center eine Richtlinie vom Typ Geräteschutzund beziehen Sie alle Volumes auf der Opal-Festplatte in die Richtlinie ein.

2. Wählen Sie im Verschlüsselungsmodus für Medien Feld die Einstellung KeineVerschlüsselung.


4. Übertragen Sie die Richtlinie an den relevanten Endpoint.

Der Benutzer kann die Opal-Festplatte auf dem Endpoint entsperren. In der Zwischenzeitbleibt die Festplatte gesperrt.

7.14.7 Protokollierung von Ereignissen für Endpoints mit Opal-Festplatten

Von Endpoints mit selbst-verschlüsselnden Opal-Festplatten gemeldete Ereignisse werdenwie für alle anderen durch SafeGuard Enterprise geschützten Endpoints protokolliert. Dabeiwird der Computertyp nicht explizit erwähnt. Die gemeldeten Ereignisse entsprechen den vonalle anderen durch SafeGuard Enterprise geschützten Endpoints gemeldeten Ereignisse.

Für weitere Informationen, siehe Berichte (Seite 333).

424


8 Technischer SupportTechnischen Support zu Sophos Produkten finden Sie hier:

■ Besuchen Sie die Sophos Community unter community.sophos.com/ und suchen Sie nachBenutzern mit dem gleichen Problem.

■ Besuchen Sie die Sophos Support-Knowledgebase unterwww.sophos.com/de-de/support.aspx.

■ Laden Sie die Produktdokumentation herunter unterwww.sophos.com/de-de/support/documentation.aspx.

■ Öffnen Sie ein Ticket bei unserem Support-Team unterhttps://secure2.sophos.com/de-de/support/contact-support/support-query.aspx.

425

Administratorhilfe

http://community.sophos.com

http://www.sophos.com/de-de/support.aspx

http://www.sophos.com/de-de/support/documentation.aspx

https://secure2.sophos.com/de-de/support/contact-support/support-query.aspx

9 Rechtliche HinweiseCopyright © 1996 - 2017 Sophos Limited. Alle Rechte vorbehalten. Diese Publikation darfweder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen,noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über einegültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertragreproduziert werden darf, oder Sie haben eine schriftliche Genehmigung desCopyright-Inhabers.

Sophos, Sophos Anti-Virus und SafeGuard sind eingetragene Marken von Sophos Limited,Sophos Group und Utimaco Safeware AG. Alle anderen Produkt- undUnternehmensbezeichnungen sind Marken oder eingetragene Marken der jeweiligen Inhaber.

Copyright-Informationen von Drittanbietern finden Sie in im Dokument „Disclaimer andCopyright for 3rd Party Software“ in Ihrem Produktverzeichnis.

426
