Konzeption und Einführungsszenarien eines zentralen

Konzeption und Einführungsszenarien eines zentralen
Konzeption und Einführungsszenarien eines zentralen
Speichermanagement für das Unternehmen perdata GmbH
Dokumentation zur Projektarbeit
im Rahmen der Abschlussprüfung
Sommer 2009 zum Fachinformatiker
für Systemintegration
Verfasser
Michael Bogon
Prüfungsnummer: #####
Betreuer:
Martin Nagel
Praktikumsbetrieb
perdata GmbH
Martin- Luther-Ring 7-9
04109 Leipzig
Rechtliche Hinweise
Alle genannten Marken sind eingetragene Warenzeichen der jeweiligen Hersteller und sind
urheberrechtlich geschützt.
Alle Inhalte dieses Dokumentes dürfen nicht ohne meine ausdrückliche Genehmigung
kopiert, verfielfältigt oder nur Teile veröffentlicht werden.
Anfragen schicken Sie an: [email protected]
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
2
Inhaltsverzeichnis
1 Aufgabenstellung .................................................................................................................... 5
2 Ausgangssituation ................................................................................................................... 5
3 Orientierungsphase .................................................................................................................. 6
3.1
Mögliche Bedrohungsszenarien ................................................................................. 6
4 Betrachtung von Sicherheitslösungen am Markt .................................................................... 6
4.1
Planungsphase ............................................................................................................ 6
4.1.1
4.2
Informationsbeschaffung und Entscheidung ...................................................... 6
Umsetzungsphase ....................................................................................................... 7
4.2.1
Vorbereitung....................................................................................................... 7
4.2.2
Voraussetzungen im Überblick .......................................................................... 8
4.2.3
Konfiguration SafeGuard Management Center.................................................. 8
4.2.4
Installation und Konfiguration SafeGuard Enterprise auf dem Server .............. 8
5 Fazit der Tests mit SafeGuard Enterprise Clients ................................................................. 13
6 Ausblick ................................................................................................................................ 14
I Anhang ................................................................................................................................... 17
I.I
Folgende Schutzmaßnahmen werden von der BSI empfohlen .................................... 17
I.II
Kostenaufstellung dieser Lösung mit SafeGuard Enterprise ................................... 18
I.II.I
I.III
Kostenübersicht .................................................................................................... 19
Produktbeschreibung ................................................................................................ 20
I.III.I
SafeGuard Enterprise ....................................................................................... 20
I.III.II
Empirum Security Suite ................................................................................... 20
I.IV
Produktvergleich ...................................................................................................... 21
I.V
Bilderverzeichnis ...................................................................................................... 22
I.VI
Ergebnisbericht......................................................................................................... 27
I.VII
SafeGuard PortAuditor Ergebnisbericht .................................................................. 28
I.VIII
Installationsanleitung ........................................................................................... 29
I.VIII.I
SafeGuard Management Center einrichten ...................................................... 29
I.VIII.II
Voraussetzungen .......................................................................................... 29
I.VIII.III
SafeGuard Management Center installieren ................................................ 29
I.VIII.IV
SafeGuard Management Center konfigurieren ............................................ 30
I.VIII.V
SafeGuard Enterprise Server einrichten ....................................................... 35
I.VIII.VI
Microsoft Internet Information Services konfigurieren ............................... 35
I.VIII.VII
ASP.NET Registrierung prüfen.................................................................... 36
I.VIII.VIII
Speicherwiederverwendung für IIS Server einschalten ........................... 36
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
3
I.VIII.IX
SafeGuard Enterprise Server installieren ..................................................... 38
I.VIII.X
SafeGuard Enterprise Server registrieren und konfigurieren ....................... 38
I.VIII.XI
Kommunikation testen ................................................................................. 41
I.VIII.XII
Voraussetzungen .......................................................................................... 41
I.VIII.XIII
Verbindungstest durchführen ................................................................... 44
I.VIII.XIV
Organisationsstruktur einrichten .............................................................. 47
I.VIII.XV
Im Fall Organisationsstruktur importieren ............................................... 47
I.VIII.XVI
SafeGuard Policy Editor einrichten.......................................................... 51
I.VIII.XVII
SafeGuard Policy Editor installieren ........................................................ 52
I.VIII.XVIII
SafeGuard Policy Editor konfigurieren .................................................... 53
I.VIII.XIX
Konfigurationsassistent starten ................................................................ 53
I.VIII.XX
SafeGuard Enterprise Clients ................................................................... 56
I.VIII.XXI
Enterprise Client-Konfigurationspaket erstellen ...................................... 58
I.VIII.XXII
Standalone Client-Konfigurationspaket erstellen..................................... 60
I.IX
SafeGuard Enterprise Client oder Standalone Client installieren ............................ 63
I.X
SafeGuard Configuration Protection installieren ..................................................... 66
I.XI
SafeGuard PortAuditor ............................................................................................. 69
I.XI.I
SafeGuard PortAuditor installieren .................................................................. 69
I.XI.II
SafeGuard PortAuditor benutzen ..................................................................... 70
I.XII
Die Power-on Authentication (POA) ....................................................................... 74
I.XIII
Weitere Benutzer importieren .............................................................................. 74
I.XIV
Bekannte Probleme .............................................................................................. 76
I.XIV.I
ASP.NET .......................................................................................................... 76
I.XIV.II
SafeGuard Management Center konfigurieren ............................................ 77
I.XV
Quellenverzeichnis ............................................................................................... 78
I.XVI
Glossar .................................................................................................................. 79
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
4
1 Aufgabenstellung
Konzeption und Einführungsszenarien eines zentralen Speichermanagement für das
Unternehmen perdata GmbH
Die Firma perdata GmbH prüft die Einführung einer zentralen Verwaltungsmöglichkeit für
externe Speichermedien in einer Domain mit Windows Server 2003. Damit soll der unbefugte
Einsatz von Wechselspeichermedien an den Client-PC’s verhindert und kontrolliert werden.
Als erstes werde ich entsprechende Produkte recherchieren, die ich nach ausgewählten
Kriterien miteinander vergleiche. Aus den recherchierten Produkten wähle ich das geeignete
Produkt aus. In einer Testumgebung wird nun das ausgewählte Produkt installiert und
konfiguriert. Zum Abschluss werde ich verschiedene Testszenarien nachstellen und ich werde
prüfen, ob die Sicherheitsbestimmungen des Lastenheftes (Vorgabe durch das Unternehmen
perdata) eingehalten werden. Zum Abschluss werde ich die technischen und organisatorischen
Maßnahmen dokumentieren.
2 Ausgangssituation
Nach dem ich mit dem Projektleiter über die derzeitige Situation im Unternehmen gesprochen
habe, kam ich zu folgenden Ergebnissen.
Es erfolgt keine Regulierung bei der Nutzung und es ist keine Absicherung von externen
Speichermedien vorhanden, somit kann jeder Mitarbeiter externe Speichermedien nutzen,
ohne dass vertrauliche Daten von unbefugter Benutzung Dritter geschützt sind. Es ist auch
keine Kontrolle darüber vorhanden, welche Nutzer, welches externe Speichermedium nutzen
darf. Jeder User darf jedes in seinem Besitz befindliche externe Speichermedium nutzen. Des
weiteren wird auch nicht kontrolliert, welcher User sich an welchem Rechner anmeldet, dort
mit externen Speichermedien auf vertrauliche Daten zugreift, das heißt jeder Mitarbeiter des
Unternehmens kann sich an jedem Rechner im Unternehmen anmelden.
Bei Verlust von externen Speichermedien ist kein Schutz vor unberechtigten Zugriffen der
darauf befindlichen Daten vorhanden. Diese Daten sind für jeden lesbar.
Durch diese vorhandenen Sicherheitsrisiken ist es leicht, dass unternehmenswichtige Daten
unkontrolliert kopiert oder Schädlinge eingeschleust werden.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
5
3 Orientierungsphase
3.1 Mögliche Bedrohungsszenarien
Nach meiner Recherche im Unternehmen habe ich folgende Bedrohungsszenarien erarbeitet.
Außendienstmitarbeiter
Der Außendienstmitarbeiter greift mit seinem mobilen Endgerät auf Daten seines
Unternehmens zurück oder auf Daten des Kunden, um diese zum Beispiel zu sichern. Dabei
verwendet er die Computerarchitekturen des Kunden, bei denen er nicht weiß, wie sicher
diese Systeme sind. Er nutzt dazu sowohl Informations- als auch Kommunikationsdienste.
Hier sind zum einen alle Daten des mobilen Endgerätes schützenswert, zum anderen muss der
Außendienstmitarbeiter Sorge tragen, dass die Kommunikationsdaten geschützt werden.
Mitarbeiter
Ein von zu Hause arbeitender Mitarbeiter greift auf Daten seines Unternehmens zurück. Er
bearbeitet diese zu Hause an seinem Privatrechner, diese Daten werden am darauffolgenden
Tag in das Netzwerk des Unternehmers übertragen. Deshalb sind hier alle Daten des mobilen
Endgerätes schützenswert, zum anderen muss der Mitarbeiter Sorge tragen, dass diese Daten
auf seinem Rechner und zwischen seinem Wohnort und des Unternehmens geschützt werden.
Dabei ist noch die Trennung zwischen Privatdaten und Geschäftsdaten zu beachten.
4 Betrachtung von Sicherheitslösungen am Markt
4.1 Planungsphase
4.1.1 Informationsbeschaffung und Entscheidung
Als Informationsquellen dienten mir das Internet und auch die Prospekte der
Produkthersteller. Im Internet recherchierte ich zuerst die möglichen Risiken, die externe
Speichermedien für Unternehmen mit sich bringen. Dabei war vor allem die Internetseite der
BSI hilfreich, wo es auch PDF - Dokumente zum Download gab, wie zum Beispiel das
Dokument: „Mobile Endgeräte und mobile Applikationen: Sicherheitsgefährdungen und
Schutzmaßnahmen“.
Des Weiteren fand ich Informationen in den Prospekten der Produkthersteller Utimaco,
Matrix42 und Symantec. Auf den Internetseiten von Microsoft fand ich Informationen,
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
6
welche Leistungen in den Betriebssystemen Windows Vista und Windows Server 2008 für
den Schutz von vertraulichen Daten enthalten sind. Dazu mehr im Punkt Ausblick.
Am Markt gibt es sehr viele Lösungen, um externe Speichermedien zu verwalten. Aus diesen
Lösungen wählte ich 3 aus. Diese wählte ich aus, da Produkte dieser Hersteller schon im
Unternehmen im Einsatz sind und somit dieser Firma auch bekannt sind.
Um eine Entscheidung treffen zu können, welches Produkt in die engere Wahl kommt,
verglich ich diese 3 ausgewählten Produkte nach einigen Kriterien. Verglichen habe ich das
Produkt SafeGuard Enterprise von der Firma Utimaco, Empirum Security Suite von der Firma
Matrix42 und die freie Software TrueCrypt. Der Vergleich dieser 3 Produkte ist im Anhang
unter Produktvergleich zu finden. Die Software TrueCrypt ist verglichen zu den anderen
beiden Produkten, nur für den Einsatz im privaten Bereich geeignet, um Daten zu
verschlüsseln. Mit TrueCrypt ist es nur möglich Daten auf USB-Geräten und Festplatten zu
verschlüsseln. Somit ist es weiter möglich externe Speichermedien relativ ungeschützt nutzen
zu können.
Mit den beiden anderen Produkten ist es möglich, die Nutzung von externen Speichermedien
ganz zu verbieten und gesamte Speichermedien zu verschlüsseln. Dabei werden zentral
durchsetzbare Verschlüsselungsrichtlinien; diverse Verteilungsoptionen vom Netzwerk-,
System- oder Sicherheitsadministrator des Unternehmens administriert und die Benutzer
können die Vorgaben nicht verändern.
Die Entscheidung fiel auf das Produkt der Firma Utimaco, da das Produkt SafeGuard Easy,
welches zur Festplattenverschlüsselung genutzt wird, im Unternehmen vorhanden ist und
dieses in SafeGuard Enterprise migriert werden kann.
4.2 Umsetzungsphase
4.2.1 Vorbereitung
Bevor die Management Software SafeGuard Enterprise und die dazugehörigen Module von
mir installiert werden konnten, bestand meine Aufgabe darin, das Testsystem zu installieren
und zu konfigurieren. In diesem Testsystem habe ich das Betriebssystem Windows Server
2003 auf einem physikalischen Rechner installiert. Darauf habe ich weiter ein DHCP-Server,
DNS-Server, IIS, ASP.NET,.NET Framework 3.0 SP1 und ein SQL-Server installiert und
konfiguriert. Danach konnte das SafeGuard Management Center und der SafeGuard Server
installiert werden. Auf dem zweiten physikalischen Rechner habe ich Windows XP
Professional installiert und konfiguriert. Damit auf diesem Rechner die SafeGuard Enterprise
Client Software installiert werden konnte, musste ich auch hier das .NET Framework 3.0 SP1
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
7
installieren. Auf beiden Rechnern wurde von mir die Windows Firewall ausgeschaltet, damit
alle Ports offen waren und nicht geblockt wurden. Damit ich noch einige Konfigurationstests
des SafeGuard Management Centers durchführen konnte, habe ich ein weiteres Windows XP
Professional in einer virtuellen Umgebung (VMWare) installiert und konfiguriert.
4.2.2 Voraussetzungen im Überblick
Folgende Voraussetzungen mussten von mir erfüllt werden, damit ich das SafeGuard
Management Center installieren konnte:
Windows Administratorenrechte müssen vorhanden sein,
Microsoft Internet Information Services (IIS) installierte ich auf dem Server,
.NET Framework 3.0 Service Pack 1 habe ich auf dem Client installiert und ASP.NET 2.0,
Auf den Clients habe ich .NET Framework 2.0 installiert, damit ich SafeGuard Configuration
Protection nutzen konnte.
4.2.3 Konfiguration SafeGuard Management Center
Das Lastenheft, die Vorgaben der Firma perdata GmbH, sehen folgende Kriterien vor:
•
Kein zusätzliches Anmeldefenster
•
Konfigurationspakete sollen automatisch vom Client angefordert werden
•
Keine Informationsanzeigen beim User
•
Nur erlaubte Geräte sollen zugelassen werden, unbekannte geblockt werden
•
Anmeldung an Rechnern möglich, ohne Verbindung zum SafeGuard
Management Center
•
Freischaltung von externen Speichergeräten möglich, ohne Verbindung zum
SafeGuard Management Center
•
Verschlüsselung
4.2.4 Installation und Konfiguration SafeGuard Enterprise auf dem Server
Nach dem von mir alle Vorbereitungen getroffen wurden, konnte ich die Installation des
SafeGuard Management Center und SafeGuard Server durchführen. Die Installationsanleitung
ist im Anhang zu finden. Damit ich überprüfen konnte, ob SafeGuard Enterprise die gestellten
Kriterien des Lastenheftes einhalten kann, musste ich entsprechende Richtlinien erstellen und
an die Client-PC’s verteilen. Bei meiner Überprüfung der Kriterien sind die von SafeGuard
Enterprise verwalteten Client-PC dauerhaft mit dem SafeGuard Server verbunden. Im
SafeGuard Management Center habe ich die Richtlinien erstellt, wie zum Beispiel für
Allgemeine
Einstellungen,
den
Geräteschutz,
Erstellt von Michael Bogon
perdata GmbH
spezielle
Computereinstellungen,
Erstelldatum 09.06.2009 11:25:00
8
Protokollierung und für weitere Einstellungen. Diese Einstellungen habe ich dann in
sogenannte „Richtlinien-Gruppen“ zusammen gefasst. Eine „Richtlinien-Gruppe“ wird auf
einen Client-PC angewendet, nach dem ich die jeweilige „Richtlinien-Gruppe“ bei der
Erstellung des jeweiligen Konfigurationspaketes angegeben habe. Dieses Paket habe ich dann
über ein Netzlaufwerk an die Clients verteilt.
Alle Richtlinien habe ich auf die Domain „smallbusiness.local“ angewendet. Es wäre auch
möglich gewesen, dass ich diese Richtlinien nur auf die Rechner in der Domain oder nur auf
die Benutzer der Domain anwende.
Zur Überprüfung der gestellten Kriterien habe ich folgende Einstellungen in den Richtlinien
vorgenommen:
Richtlinie: Allgemeine Einstellungen (Abbildung1)
Transferrate – Server-Verbindungsintervall:
dabei wird festgelegt nach wie viel Minuten die Clients eine Anfrage an den Server
stellen, ob neue Pakete vorhanden sind, damit dies nicht durch den Benutzer selbst
durchgeführt werden muss
Anpassung – Sprache am Client:
Legt fest, in welcher Sprache die Einstellungen für SafeGuard Enterprise am
Client angezeigt werden
Recovery für die Anmeldung – Recovery für die Anmeldung aktivieren:
Legt fest, ob ein Benutzer in Power On Authentication (POA) eine Challenge
erzeugen darf, die Challenge Schaltfläche wird in der POA angezeigt
Bilder – Hintergrundbild in der POA
Voraussetzung: Neue Bilder müssen im Richtlinien-Navigationsbereich unter Bilder
registriert werden.
Tauscht das Hintergrundbild mit Utimaco-Design gegen ein selbst gewähltes aus.
Protokollierung – Rückmeldung nach Anzahl an Ereignissen
Nicht konfiguriert, eine eigene Richtlinie zur Protokollierung kann erstellt werden,
wozu ich mich entschieden habe.
Richtlinie: Spezielle Computereinstellungen (Abbildung 2)
Power On Authentication (POA) – Power On Authentication aktivieren
Definiert, ob die POA permanent ein- oder ausgeschaltet sein soll.
Laut Lastenheft, soll der Benutzer sich nur einmal am Client anmelden müssen, daher
ist diese Einstellung von mir auf NEIN gestellt.
Power On Authentication (POA) – Nur zugewiesener Benutzer darf sich anmelden
Definiert, ob ein Benutzer zur Windows-Anmeldung zugelassen wird.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
9
Damit sich jeder Benutzer, welcher in der Domain registriert ist, auch an diesem
Rechner anmelden kann, ist dies auf NEIN gestellt, ansonsten dürften sich nur
Benutzer anmelden, die direkt im SafeGuard Management dem Rechner zu gewiesen
sind.
Anzeigeoptionen – System Tray Icon aktivieren und anzeigen
Über das SafeGuard Enterprise System Tray Icon kann auf dem Client auf alle
Benutzerfunktionen zugegriffen werden.
Stumm: System Tray Icon wird im Infobereich der Taskleiste angezeigt, es werden
keine Statusinformationen für den Benutzer über Ballon Tool Tips ausgegeben. Damit
laufen sämtliche Ereignisse für den Benutzer im Hintergrund ab, wie laut Lastenheft
gefordert. Auch auf Ja und Nein einstellbar.
Installationsoptionen – Deinstallation erlaubt
Bestimmt, ob die Deinstallation von SafeGuard Enterprise auf dem Client möglich ist.
Wird diese Einstellung auf Nein gesetzt, kann SafeGuard Enterprise solange eine
Richtlinie mit dieser Einstellung aktiv ist, auch mit Administratorrechten nicht
deinstalliert werden.
Richtlinie: Protokollierung (Abbildung3)
Die in Abbildung 3 dargestellte Liste, ist nur ein Teilausschnitt, der Möglichkeiten,
was protokolliert werden soll. Aus dem SafeGuard Management Center exportierter
Ereignisbericht ist auch im Anhang zu finden auf Seite 26.
Es ist möglich die
Ereignisse in die Windows-Ereignisanzeige oder in SafeGuard Datenbank speichern
zu lassen.
Die Aufzeichnung sicherheitsrelevanter Vorfälle ist Voraussetzung für eine gründliche
Systemanalyse. Anhand der protokollierten Ereignisse können Vorgänge auf einer
Arbeitsstation bzw. innerhalb eines Netzwerks exakter nachvollzogen werden. Durch
die Protokollierung lassen sich zum Beispiel Schutzverletzungen unautorisierter
Dritter nachweisen. Sie bietet auch eine Hilfe, um irrtümlich verwehrte Benutzerrechte
ausfindig zu machen.
Es können Ereignisse aus den folgenden Kategorien protokolliert werden:
•
Anmeldung
•
Administration
•
System
•
Verschlüsselung
•
Client
•
Kommunikation
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
10
•
Zugriffskontrolle
Damit eine entsprechende Konfiguration der zugelassenen, gesperrten oder
eingeschränkten Ports, Geräte und Speicher vorgenommen werden kann, sollten White
Lists erstellt werden, entweder mit Hilfe des SafeGuard PortAuditor oder in dem eine
White List manuell erstellt wird. Eine von mir erstellte Liste der Hardware im
Testsystem finden Sie im Anhang. Diese Liste habe ich dann als White List
verwendet.
Richtlinie: Geräteschutz (Abbildung9)
Diese Richtlinie bezieht sich auf den Schutz der externen Speichermedien. In dieser
Richtlinie kann die Verschlüsselungsart und auch wie das SafeGuard Management
Center auf unverschlüsselte und unbekannte Speichermedien reagieren soll. Aus
zeitlichen Gründen konnte ich dieses Thema nicht näher betrachten.
Richtlinie: Konfigurationsschutz (Abbildung 4 und Abbildung 5)
Port-Kontrolle
Mit SafeGuard Configuration Protection kann die Benutzung bestimmter oder aller
Computerports innerhalb des Unternehmens nach dem jeweiligen Computer, dem
angemeldeten Benutzer oder dem Port-Typ zugelassen, gesperrt oder eingeschränkt
werden.
Physikalische Ports – USB
Habe ich auf Einschränken gestellt, um Kontrolle über zugelassene USBSpeichergeräte zu haben. Dabei ist es wichtig unter Gerätekontrolle, Gerätetypen
die Eingabegeräte auf Zulassen zustellen, wenn Tastatur und Maus am USB Port
angeschlossen sind.
Gerätekontrolle (Abbildung6)
SafeGuard Configuration Protection bietet dafür einstellbare Identifikationen und
Zulassungen von Geräten mit einer umfassenden Liste von Gerätetypen und durch
Erstellung von White Lists mit Gerätetypen oder einzelnen Geräten.
Alle Geräte – Alle Geräte
Habe ich auch auf Einschränken gestellt. Nur bei Gerätetypen habe ich
Eingabegeräte auf Zulassen gestellt, damit USB Maus und Tastatur nicht gesperrt sind.
Mit einer White List wurden die internen Geräte zugelassen.
Speicherkontrolle (Abbildung7)
Dazu wird auch SafeGuard Configuration Protection benutzt, welches ich auf den
Client-PC’s installiert habe, dieses bietet eine spezielle Kontrolle externer und interner
Speichermedien, zum Beispiel über Wechselmedien, externe Festplatten, CD/DVD,
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
11
Diskette und Band. Über eine Richtlinie lassen sich dabei Gerätetypen, Modelle und
einzelne Geräte sperren. Mit einer White List werden einzelne, bestimmte Geräte
zugelassen.
Alle Datenträger – Ich habe „alle Datenträger“ auf Einschränken gestellt, hierbei
habe ich auch eine White List benutzt, um nur einen bestimmten USB-Stick zu
zulassen. Bei meinen Tests hatte ich 2 verschieden USB-Sticks zu Verfügung. Diese
habe ich in der nachfolgenden Liste dargestellt.
Liste der beiden getesteten USB - Sticks
SMALLBUSINESS\Ad
USB-Massenministrator
USB speichergerät
SMALLBUSINESS\Ad
USB-Massenministrator
USB speichergerät
USB DISK
2.0
13FE 3100
USB DISK 090C 1000
07920540240E
AA040127000081
10
Zugelassener USB-Stick:
Laut White - List
USB-MassenUSB speicherger
USB DISK
2.0
13FE
3100
In dem folgenden Ergebnisbericht ist die erfolgreiche Sperrung des USB-Sticks 090C
protokolliert. Des Weiteren wird protokolliert an welchem Rechner und welcher Benutzer
diesen Stick benutzt hat.
Ereignisbericht zum geblockten USB-Stick
Freitag, 24. März 2009 11:13:20
mso auf PERDATA:SafeGuard
Ebene Er Ereignis
eig
nis
ID
Kategori
e
Audit
Speichergerät gesperrt.
44
fehler
Beschreibung: Laufwerk. ID:
14
haft
USB\VID_090C
Admi
Zugriffsk SGConfP CLIE
24.03.2
nistra
ontrolle rotect
NT
009
tor
Speichergerät gesperrt.
Audit 44
Beschreibung: USB DISK USB
fehler 14
Device. ID: USB\VID_090C
haft
Admi
Zugriffsk SGConfP CLIE
24.03.2
nistra
ontrolle rotect
NT
009
tor
Erstellt von Michael Bogon
perdata GmbH
Anwendu Com Benut Zeitpu
ng
puter zer
nkt der
Änderu
ng
Erstelldatum 09.06.2009 11:25:00
12
5 Fazit der Tests mit SafeGuard Enterprise Clients
Der USB - Stick 090C wurde erfolgreich geblockt. Der USB-Stick 13FE wurde als einziger
USB-Stick zugelassen. Beim Start der Client-PC’s wurde nur das Windowsanmeldefenster
angezeigt, dass Anmeldefenster von SafeGuard wurde nicht angezeigt. Die Clients
kontaktierten den SafeGuard Server selbstständig nach einer Minute, so wie ich es in der
Richtline eingestellt hatte. Wenn die Richtlinien sehr selten geändert werden, kann natürlich
das Serververbindungsintervall auf einen höheren Wert gestellt werden. Nach dem alle
Richtlinien an den Client-PC bei dauerhaftem Kontakt zum SafeGuard Management Center
getestet wurden, habe ich die Netzwerkverbindung getrennt. Dann habe ich mich an dem
Client-PC angemeldet, an diesem habe ich dann geprüft, ob die Richtlinien noch greifen und
nur den einen USB-Stick, Stick 13FE, auch zu lassen. Das Ergebnis dieses Tests war, dass nur
dieser USB-Stick, Stick 13FE, zugelassen wurde, alle anderen USB-Sticks wurden geblockt.
Damit ist ein weiteres Kriterium des Lastenheftes erfüllt. Bei dieser großen Anzahl an
Einstellungsmöglichkeiten, die das SafeGuard Enterprise bietet, ist eine Schulung eines
künftigen Administrators des SafeGuard Enterprise unumgänglich. Die Freischaltung von
externen Speichergeräten ohne Verbindung zum SafeGuard Enterprise Management Center,
war auch nicht durch erstellen einer Client Konfigurationsdatei möglich, diese Datei mit
einem erlaubtem externen Speichermedium auf den jeweiligen Client-PC zu kopieren und
dort auszuführen. Da es sich bei dieser Datei, um ein Enterprise-Client Paket handelt und
diese eine Verbindung zum Server benötigt, konnte der Client-PC auch keine neuen
Richtlinien, bezüglich des neuen Gerätes erhalten. Nach Herstellung der Verbindung zum
Server und nach Abgleich der Richtlinien wurde das jeweilige externe Speichermedium
zugelassen. Durch eine Verschlüsselung der Speichermedien werden unberechtigte Zugriffe
auf Unternehmensdaten verhindert. Welcher Algorithmus dabei verwendet wird, kann in einer
Richtlinie festgelegt werden. Das Thema Verschlüsselung konnte aus zeitlichen Gründen von
mir nicht näher betrachtet werden. Zum Abschluss gilt es noch die Kosten dieses Systems zu
betrachten. Bei meinen Recherchen kam ich auf einen Kostenbetrag von 13.489,17 € für
dieses System. Die gesamte Kostenübersicht ist im Anhang unter Kostenübersicht zu finden.
Mein Projektleiter sagte mir, dass ich Kosten in Höhe von 200 € für eine Virenbeseitigung
veranschlagen kann. Eine Virenbeseitigung wird im Monat durchschnittlich 15 Mal
durchgeführt. Unter Berücksichtigung dieser Werte würde sich diese Software nach ungefähr
5 Jahren amortisieren. Die Migration von SafeGuard Easy wurde bei der Betrachtung der
Gesamtkosten noch nicht berücksichtigt, was die Gesamtkosten erheblich reduzieren würde.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
13
6 Ausblick
[3] Mit dem erscheinen von Windows Vista und Windows Server 2008 gibt es Möglichkeiten,
die Nutzung von externen Speichermedien und anderen Geräten zu kontrollieren. Dies
geschieht dabei über Gruppenrichtlinien. Damit hat man die Option, USB-Mäuse zuzulassen,
aber die Verwendung von USB-Sticks zu unterbinden, CD-ROM-Lesegeräte zuzulassen, aber
DVD-Schreibgeräte zu unterbinden, oder Bluetooth zuzulassen, aber PCMCIA zu
unterbinden. Ein weiteres Sicherheitsfeature in Windows Vista (Enterprise und Ultimate) ist
die Laufwerksverschlüsselung BitLocker. Bitlocker stellt sicher, dass die auf einem Computer
gespeicherten Daten nicht manipuliert werden, während das Betriebssystem nicht ausgeführt
wird. BitLocker verwendet dabei TPM (Trusted Platform Module),
deshalb muss
gewährleistet sein, dass das Motherboard des Computers mit einem TPM-Chip ausgestattet
ist. Es sind allerdings sehr viele Computer im Umlauf, die nicht über einen solchen Chip
verfügen, obwohl sie über gute Leistungswerte verfügen und den Vista-Systemanforderungen
allemal genügen. Selbst aktuell verkaufte Mainboards und Notebooks verfügen oft nicht über
diesen Baustein. Es gibt jedoch eine Möglichkeit, BitLocker dennoch zu nutzen - die
Einstellung scheint bewusst versteckt und undokumentiert zu sein und wird auch in den FAQ
von Microsoft nicht erwähnt: Dabei kann ein USB-Stick verwendet werden, um den Schlüssel
darauf zu speichern, aber auch USB-Festplatten oder Speicherkarten können gewählt werden.
Diese Lösung birgt allerdings auch eine Problemlage, denn der USB-Stick wird damit
sozusagen zum "Generalschlüssel" für den Computer. Ist der Stick nicht eingesteckt, fährt der
Rechner nicht hoch. Ebenso fatal sind natürlich die Folgen, wenn der Stick versehentlich
gelöscht wird oder einen Defekt erleidet. Man sollte die Schlüsseldaten daher doppelt und
dreifach sichern, sonst kommt man im Fall des Falles nicht mehr an seine eigenen Daten.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
14
I Anhang ................................................................................................................................... 17
I.I
Folgende Schutzmaßnahmen werden von der BSI empfohlen .................................... 17
I.II
Kostenaufstellung dieser Lösung mit SafeGuard Enterprise ................................... 18
I.II.I
I.III
Kostenübersicht .................................................................................................... 19
Produktbeschreibung ................................................................................................ 20
I.III.I
SafeGuard Enterprise ....................................................................................... 20
I.III.II
Empirum Security Suite ................................................................................... 20
I.IV
Produktvergleich ...................................................................................................... 21
I.V
Bilderverzeichnis ...................................................................................................... 22
I.VI
Ergebnisbericht......................................................................................................... 27
I.VII
SafeGuard PortAuditor Ergebnisbericht .................................................................. 28
I.VIII
Installationsanleitung ........................................................................................... 29
I.VIII.I
SafeGuard Management Center einrichten ...................................................... 29
I.VIII.II
Voraussetzungen .......................................................................................... 29
I.VIII.III
SafeGuard Management Center installieren ................................................ 29
I.VIII.IV
SafeGuard Management Center konfigurieren ............................................ 30
I.VIII.V
SafeGuard Enterprise Server einrichten ....................................................... 35
I.VIII.VI
Microsoft Internet Information Services konfigurieren ............................... 35
I.VIII.VII
ASP.NET Registrierung prüfen.................................................................... 36
I.VIII.VIII
Speicherwiederverwendung für IIS Server einschalten ........................... 36
I.VIII.IX
SafeGuard Enterprise Server installieren ..................................................... 38
I.VIII.X
SafeGuard Enterprise Server registrieren und konfigurieren ....................... 38
I.VIII.XI
Kommunikation testen ................................................................................. 41
I.VIII.XII
Voraussetzungen .......................................................................................... 41
I.VIII.XIII
Verbindungstest durchführen ................................................................... 44
I.VIII.XIV
Organisationsstruktur einrichten .............................................................. 47
I.VIII.XV
Im Fall Organisationsstruktur importieren ............................................... 47
I.VIII.XVI
SafeGuard Policy Editor einrichten.......................................................... 51
I.VIII.XVII
SafeGuard Policy Editor installieren ........................................................ 52
I.VIII.XVIII
SafeGuard Policy Editor konfigurieren .................................................... 53
I.VIII.XIX
Konfigurationsassistent starten ................................................................ 53
I.VIII.XX
SafeGuard Enterprise Clients ................................................................... 56
I.VIII.XXI
Enterprise Client-Konfigurationspaket erstellen ...................................... 58
I.VIII.XXII
Standalone Client-Konfigurationspaket erstellen..................................... 60
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
15
I.IX
SafeGuard Enterprise Client oder Standalone Client installieren ............................ 63
I.X
SafeGuard Configuration Protection installieren ..................................................... 66
I.XI
SafeGuard PortAuditor ............................................................................................. 69
I.XI.I
SafeGuard PortAuditor installieren .................................................................. 69
I.XI.II
SafeGuard PortAuditor benutzen ..................................................................... 70
I.XII
Die Power-on Authentication (POA) ....................................................................... 74
I.XIII
Weitere Benutzer importieren .............................................................................. 74
I.XIV
Bekannte Probleme .............................................................................................. 76
I.XIV.I
ASP.NET .......................................................................................................... 76
I.XIV.II
SafeGuard Management Center konfigurieren ............................................ 77
I.XV
Quellenverzeichnis ............................................................................................... 78
I.XVI
Glossar .................................................................................................................. 79
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
16
I Anhang
I.I
Folgende Schutzmaßnahmen werden von der BSI empfohlen
(Auszug aus „Mobile Endgeräte und mobile Applikationen: Sicherheitsgefährdungen und
Schutzmaßnahmen 2006“)
Schutzmaßnahmen gegen Datendiebstahl
o Schutz durch Verschlüsselung, Maßnahmen zur Identifikation des persönlichen
Endgerätes
o Schutzmaßnahmen gegen Gerätemanipulationen
o Geräteverlust bedeutet Vertrauensverlust, Schutz durch technische Integration
o Schutzmaßnahmen gegen Angriffe auf die Kommunikation
o Kommunikationssicherheit, Kommunikationsprotokolle bei Nichtbenutzung
ausschalten, Passworte prüfen
Schutzmaßnahmen gegen Angriffe auf die Infrastruktur
o Analyse der Log Dateien, Notwendige Geräteinfrastruktur absichern
o Schutz durch Einsatz von Softwareprodukten
o Für Virenschutz, Zugangskontrolle für Benutzer, Kommunikationssicherheit,
Dateiverschlüsselung, Sicherheitsmanagement einführen und nutzen.
Bestimmung der passenden Regeln
Die beiden folgenden Listen beschreiben auf hoher Ebene, welche Bereiche von Regeln für
den Einsatz der mobilen Endgeräte nötig sein können. Bei der Erstellung der Policy werden
daraus sowohl die Punkte zur Regelung der Benutzung, als auch die Anforderungen an die
Umgebung und Infrastruktur entwickelt.
Benutzungsregelung
o Gerät vor Verlust schützen und Vorgehen bei Verlust des Gerätes
o Keine Weitergabe des Gerätes an Dritte bzw. Fremde
o Klare Regelung beim Einsatz des mobilen Endgerätes für private Zwecke
o Regelung des Software-Update Prozesses, Zeitfenster für Geräteverfügbarkeit im
Netzwerk festlegen
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
17
o Password policy, dazu zählt, dass Passworte nicht auf dem mobilen Endgerät
gespeichert werden, dass diese nicht aufgeschrieben werden und die Vergabe starker
Passwörter
o Regeln über die Art der Daten, die auf dem mobilen Endgerät mitgeführt werden
dürfen
o Festlegung der maximalen Speichergröße des mobilen Endgerätes, um massiven
Datenklau zu verhindern
o Regeln für Installation neuer/fremder Software auf den mobilen Endgeräten
o Umgang mit Geräteerweiterungen regeln oder verbieten
o Erweiterungsslots prüfen
o Über aktuelle Bedrohungen informieren
o Auf Falschmeldungen über Bedrohungen und Angriffe achten
Anforderungen an die Infrastruktur
o Automatische zentralisierte Passwortprüfung
o Zentrale Integrationsprüfungen der mobilen Endgeräte und der Infrastruktur
o Sicherheitsmaßnahmen der Infrastruktur berücksichtigen
o Benutzer und mobile Endgeräte dürfen nur die für ihre Aufgaben nötigen Rechte
innerhalb der Unternehmensinfrastruktur besitzen
I.II Kostenaufstellung dieser Lösung mit SafeGuard Enterprise
Die Kosten für die nötige Software aus der Produktliste der Firma Utimaco, diese ist in der
folgenden Aufstellung zu sehen. Zu Verfügung gestellt wurde diese Liste von der Firma
Computerlinks.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
18
I.II.I
Kostenübersicht
CL-Item No.
Vendor Item
No.
Description
RRP in EUR
Reseller
Discount
UTIMACO SGN
Management Pack
for Microsoft SCOM 5.3 Server
SGNMPLicense/per SGN
UM10001301 10FSCOM Database
2.500,00 € 12,00%
UTIMACO SGN
SGNMCManaged Client
USC24USC/SWS 2 Year
200+ Users
UM10000930 0200
7,22 € 12,00%
UTIMACO
SafeGuard®
Enterprise Device
Encryption 5.3
Licenses
W2K|WXP|Vista
SGNDEUM10001080 53F-0200 200+ Users
90,00 € 12,00%
UTIMACO
SafeGuard®
Enterprise Product
CD for SGN
Management
SGNMCCenter(DE,UK)
WXP|Vista
UM10000210 CD
15,00 € 12,00%
UTIMACO
SafeGuard® Port
Auditor 3.3 Licenses
SGPA-33F- WXP|Vista 50+
Users
UM10001255 CL
3,50 € 12,00%
Unit Price
2.200,00 €
Men Summe in
ge
EUR
1
2.200,00 €
6,35 € 130
825,97 €
79,20 € 130
10.296,00 €
13,20 €
1
Gesamtkosten:
13,20 €
13.335,17 €
3,08 € 50
Gesamtkosten:
154,00 €
13.489,17 €
Ausgehend von einer Benutzer-PC Anzahl von 130 PC. Des Weiteren ist noch der Aufwand
für die Einrichtung der Datenbank und des SafeGuard Management Centers zu
berücksichtigen. Weitere Kosten entstehen für die Hardware des SafeGuard Server Rechners.
Die Migration von SafeGuard Easy gilt es noch zu berücksichtigen, da dies die Gesamtkosten
erheblich reduzieren würde.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
19
I.III Produktbeschreibung
I.III.I
SafeGuard Enterprise
Auszug aus dem SafeGuard Enterprise Prospekt [1]:
„SafeGuard Enterprise ist eine umfassende, modular aufgebaute Datensicherheitslösung, die
Informationen und Informationsaustausch auf Servern, PCs und mobilen Endgeräten durch
ein richtlinienbasiertes Verschlüsselungskonzept zuverlässig schützt. Die zentrale Verwaltung
übernimmt dabei das Management Center von SafeGuard Enterprise. Sicherheitsrichtlinien,
Schlüssel- und Zertifikate, Smartcards und Token können über ein rollenbasiertes
Administrationskonzept übersichtlich verwaltet werden. Ausführliche Protokollierung und
Reportfunktionen gewährleisten stets den Überblick über alle Ereignisse. Auf Benutzerseite
sind Datenverschlüsselung und Schutz vor Angreifern die primären Sicherheitsfunktionen von
SafeGuard Enterprise. SafeGuard Enterprise fügt sich dabei nahtlos in die gewohnte
Benutzerumgebung ein und lässt sich leicht und intuitiv bedienen. Die SafeGuard eigene
Authentisierung, die Power-On Authentication (POA), sorgt für den nötigen Zugriffsschutz
und bietet komfortable Unterstützung bei der Wiederherstellung von Anmeldeinformationen.“
I.III.II Empirum Security Suite
Auszug aus dem Empirum Security Suite Prospekt [2]:
„Die Funktionen der Empirum Security Suite sind vollständig in einer Suite verfügbar. Das
komplette Management erfolgt zentral aus einer einzigen Konsole heraus. Auf den Computern
im Unternehmen wird nur ein Agent benötigt, der alle Sicherheitsfunktionen abdeckt.
Gleichzeitig können allerdings auch einzelne Bereiche der Suite modular als Einzellösung
eingesetzt werden, ohne dass alle andere Funktionen der Suite zwingend erforderlich sind.“
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
20
I.IV Produktvergleich
Produkte
Kriterien
Empirum Security Suite
Utimaco Safe Guard
TrueCrypt [4]
wird in der Regel vom Netzwerk, System- oder
Sicherheitsadministrator des
Benutzerspezifischer
Unternehmens administriert;
grafischer Bildschirm
Benutzerspezifischer grafischer
Bildschirm
Steuerung
Empirum Security Suite wird
vom Netzwerk-, System- oder
Sicherheitsadministrator des
Unternehmens administriert;
Migration
auf Grund des vorhandenen
SafeGuard Easy auf SafeGuard
SafeGuard Easy; Migration sehr Encryption Modul wechseln
möglich
aufwendig
möglich
Protollierung
alle Client-Aktivitäten- bzw.
dessen Status sowie
Sicherheitsereignisse werden
protokoliert und zentral
gespeichert; Speicherort wird
vom Administrator festgelegt
alle Client-Aktivitäten- bzw.
dessen Status sowie
Sicherheitsereignisse werden
protokoliert und zentral
gespeichert; Speicherort wird
vom Administrator festgelegt
Notfallprozedur
(Challenge/Response) zur
Authentifizierung eines
Teilnehmers; Wiederherstellung
Bedienfreundlichkeit
vergessener Passwörter per EMail, durch Zusendung einer
generierten Zugriffs-ID vom
Administrator
Notfallprozedur
(Challenge/Response) zur
Authentifizierung eines
Teilnehmers; Wiederherstellung
vergessener Passwörter per
Telefon oder Internet;
Hintergrundverschlüsselung
auch bei Erstinstallation,
dadurch keine
Arbeitsunterbrechung
Installationspakete zentral,
unbeaufsichtigt über MSI-Pakete
Installationsaufwand
verteilt und installiert werden,
Erstinstallation
Rollout über Netzwerk, ohne
Beteiligung Benutzer
Installationspakete zentral,
unbeaufsichtigt über MSI-Pakete
verteilt und installiert werden,
Rollout über Netzwerk, ohne
Beteiligung Benutzer
nicht möglich
auf jedem Gerät volle
Installation nötig, auf USB
Geräten Installation einer
portablen Version
Policy-Zuweisung/
Verwaltung
Dynamische Zuweisung von
Sicherheitsrichtlinien anhand
verschiedener Kriterien
Zentral durchsetzbare
Verschlüsselungsrichtlinien;
diverse Verteilungsoptionen;
nicht möglich
Clients, die sich nach einer
festgelegten Zeitspanne nicht
melden, können gesperrt werden
Lizens
Lizenserwerb
Lizenserwerb
Sicherheit
Kontrolle des Schreib- und
Lesezugriffs;
Nur
berechtigte Benutzer können auf
gespeicherte Daten zugreifen;
Ver-/Endschlüsselung; Nutzung
externer Speichergeräte
verbieten möglich
Sicherer und einfacher
Austausch von Daten;
Nur
berechtigte Benutzer können auf Nur berechtigte Benutzer
gespeicherte Daten zugreifen;
können auf gespeicherte
Ver-Endschlüsselung; Nutzung Daten zugreifen
externer Speichergeräte
verbieten möglich
Verteilung Software
über Rollout
über Rollout
Gerätetypen
USB-Sticks, Bluetooth, CD-/DVD-USB-Sticks, Bluetooth, CD-/DVDBrenner, Scanner, Externe
Brenner, Scanner, Externe
Festplatten, USB-Stick
Festplatten und andere
Festplatten und andere
Erstellt von Michael Bogon
perdata GmbH
OpenSource
per Hand auf jeden PC
Erstelldatum 09.06.2009 11:25:00
21
I.V Bilderverzeichnis
Abbildung1
Abbildung2
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
22
Abbildung3
Abbildung4
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
23
Abbildung5
Abbildung6
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
24
Abbildung 7
Abbildung8
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
25
Abbildung9
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
26
I.VI Ergebnisbericht
Freitag, 20. März 2009 11:13:20
mso auf PERDATA:SafeGuard
Ebene
Audit fehlerhaft
Audit fehlerhaft
Audit fehlerhaft
Audit fehlerhaft
Audit fehlerhaft
Audit fehlerhaft
Fehler
Fehler
Audit fehlerhaft
Audit fehlerhaft
Ereignis-ID
Ereignis
Anmeldung in POA ist fehlgeschlagen.
Anmeldemethode Passwort. Grund:
Anmeldung in POA ist fehlgeschlagen.
Anmeldemethode Passwort. Grund:
2010
Authentisierung fehlgeschlagen..
2010
Kategorie
Speichergerät gesperrt. Beschreibung:
Diskettenlaufwerk. ID:
FDC\GENERIC_FLOPPY_DRIVE.
20.03.2009 10:21:47
Anmeldung
SGBaseEnc
CLIENTVIRTUAL
tester
20.03.2009 10:21:00
SGConfProtect
CLIENTVIRTUAL
Administrator
20.03.2009 10:13:43
SGConfProtect
CLIENTVIRTUAL
Administrator
20.03.2009 10:13:43
SGConfProtect
CLIENTVIRTUAL
tester
20.03.2009 10:07:24
SGConfProtect
CLIENTVIRTUAL
tester
20.03.2009 10:07:15
SGBaseEnc
CLIENTVIRTUAL
SYSTEM
20.03.2009 09:58:10
SGBaseEnc
CLIENTVIRTUAL
SYSTEM
20.03.2009 08:38:19
SGConfProtect
CLIENT
Administrator
20.03.2009 08:32:53
SGConfProtect
CLIENT
Administrator
20.03.2009 08:30:49
SGConfProtect
CLIENT
Administrator
20.03.2009 08:18:54
Zugriffskontrolle
SGConfProtect
CLIENT
Administrator
20.03.2009 08:18:40
Zugriffskontrolle
SGConfProtect
CLIENT
Administrator
20.03.2009 08:18:40
Zugriffskontrolle
SGConfProtect
CLIENT
Administrator
20.03.2009 08:18:40
Zugriffskontrolle
SGConfProtect
CLIENT
Administrator
20.03.2009 08:18:40
Zugriffskontrolle
SGConfProtect
CLIENT
Administrator
20.03.2009 08:18:40
Zugriffskontrolle
SGConfProtect
CLIENT
Administrator
20.03.2009 08:18:40
Anmeldung
SGBaseEnc
CLIENT
administrator
18.03.2009 12:50:06
Anmeldung
SGBaseEnc
CLIENT
Administrator
18.03.2009 12:49:22
Anmeldung
SGBaseEnc
CLIENT
Administrator
18.03.2009 12:45:56
Zugriffskontrolle
Maschinenschlüssel konnten nicht erfolgreich zum
Server gesendet werden. Interne Kennung:
2074
Anmeldung
0x20000005.
Speichergerät gesperrt. Beschreibung: Laufwerk.
ID:
USB\VID_13FE&PID_3100\079206432630~~USB
Zugriffskontrolle
4414
STOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_P
MAP\079206432630&0.
Speichergerät gesperrt. Beschreibung: USB DISK
2.0 USB Device. ID:
USB\VID_13FE&PID_3100\079206432630~~USB
4414
Zugriffskontrolle
STOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_P
MAP\079206432630&0.
Audit fehlerhaft
Speichergerät gesperrt. Beschreibung: CD-ROMLaufwerk. ID: IDE\CDROMHL-DT-ST_DVDROM_DH10N__________________0F03____~~I
4414 DE\HL-DT-ST_DVDZugriffskontrolle
ROM_DH10N__________________0F03____~~I
DE\CDROMHL-DT-ST_DVDROM_DH10N__________________~~HL-DT-
Audit fehlerhaft
4412
Audit fehlerhaft
4412
Audit fehlerhaft
4412
Audit fehlerhaft
Audit fehlerhaft
Port gesperrt. Port: Universal Serial Bus.
Beschreibung: Intel(R) ICH10 Family USB
4412
Enhanced Host Controller - 3A6A.
4412
Audit fehlerhaft
2010
Audit fehlerhaft
Port gesperrt. Port: Universal Serial Bus.
Beschreibung: Intel(R) ICH10 Family USB
Universal Host Controller - 3A69.
Port gesperrt. Port: Universal Serial Bus.
Beschreibung: Intel(R) ICH10 Family USB
4412
Universal Host Controller - 3A68.
Audit fehlerhaft
Audit fehlerhaft
Port gesperrt. Port: Universal Serial Bus.
Beschreibung: Intel(R) ICH10 Family USB
Universal Host Controller - 3A66.
Port gesperrt. Port: Universal Serial Bus.
Beschreibung: Intel(R) ICH10 Family USB
Enhanced Host Controller - 3A6C.
Anmeldung in POA ist fehlgeschlagen.
Anmeldemethode Passwort. Grund:
Authentisierung fehlgeschlagen..
Anmeldung in POA ist fehlgeschlagen.
Anmeldemethode Passwort. Grund:
2010
Authentisierung fehlgeschlagen..
Anmeldung in POA ist fehlgeschlagen.
Anmeldemethode Passwort. Grund:
2010
Authentisierung fehlgeschlagen..
[Page # of Pages #]
23 von 23
Erstellt von Michael Bogon
perdata GmbH
Zeitpunkt der Änderung
tester
Maschinenschlüssel konnten nicht erfolgreich zum
Server gesendet werden. Interne Kennung:
Anmeldung
0x20000005.
Port gesperrt. Port: Universal Serial Bus.
Beschreibung: Intel(R) ICH10 Family USB
Universal Host Controller - 3A67.
Benutzer
CLIENTVIRTUAL
Speichergerät gesperrt. Beschreibung: CD-ROMLaufwerk. ID: IDE\CDROMMS_C/DVDROM____________________________3.0_____
~~IDE\MS_C/DVDROM____________________________3.0_____
Zugriffskontrolle
4414 ~~IDE\CDROMMS_C/DVDROM____________________________~~MS_C/
DVDROM____________________________3.0_____
~~GENCDROM.
2074
Computer
SGBaseEnc
Speichergerät gesperrt. Beschreibung: CD-ROMLaufwerk. ID: IDE\CDROMMS_C/DVDROM____________________________3.0_____
~~IDE\MS_C/DVDROM____________________________3.0_____
4414
Zugriffskontrolle
~~IDE\CDROMMS_C/DVDROM____________________________~~MS_C/
DVDROM____________________________3.0_____
~~GENCDROM.
Speichergerät gesperrt. Beschreibung:
Diskettenlaufwerk. ID:
Zugriffskontrolle
4414
FDC\GENERIC_FLOPPY_DRIVE.
4414
Anwendung
Anmeldung
Erstelldatum 09.06.2009 11:25:00
27
I.VII SafeGuard PortAuditor Ergebnisbericht
Com pute r
CLIENTVIRTUAL
CLIENTVIRTUAL
CLIENTVIRTUAL
CLIENTVIRTUAL
CLIENTVIRTUAL
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
PERDATA
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
CLIENT
Us e r
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SMALLBUSINESS\Administrator
SMALLBUSINESS\Administrator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SMALLBUSINESS\Administrator
SMALLBUSINESS\Administrator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
SM ALLBUSINESS\Adm inis trator
ConnePort
cte d
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
USB
V
USB
V
USB
V
USB
V
USB
X
USB
X
USB
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
USB
V
USB
V
USB
V
USB
X
USB
X
USB
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
V
PCI/PCMCIA
Erstellt von Michael Bogon
perdata GmbH
Type
Adapte r
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
Storage
Device
Storage
Adapter
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
Storage
Storage
Adapte r
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice
De vice Type
Ne tw ork
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Hum an Inte rface De vice
Unclas sifie d
Hum an Inte rface De vice
Hum an Inte rface De vice
Re m ovable M e dia
Unclassified
Removable Media
Ne tw ork
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Hum an Inte rface De vice
Unclas s ifie d
Hum an Inte rface De vice
Hum an Inte rface De vice
Removable Media
Removable Media
Ne tw ork
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
Unclas s ifie d
De s cription / Ne tw ork
De tails
De vice Info
Inte l 21140-bas ie rte r PCI-Fas t Ethe rne tadapte r (Standard)
PCI/PCMCIA32 PCI-Bus 0, Ge rät 10, Funk tion 0
VM Additions S3 Trio32/64
PCI/PCMCIA32 PCI-Bus 0, Ge rät 8, Funk tion 0
Inte l 82371AB/EB PCI-zu-ISA-Brück e (ISA-Modus ) PCI/PCMCIA32 PCI-Bus 0, Ge rät 7, Funk tion 0
Inte l(R) 82371AB/EB PCI-Bus -M as te r-IDE-ControllePCI/PCMCIA32
r
PCI-Bus 0, Ge rät 7, Funk tion 1
Inte l 82443BX Pe ntium (R) II Proze s s or-zu-PCI-Brück
PCI/PCMCIA32
e
PCI-Bus 0, Ge rät 0, Funk tion 0
USB-HID (Hum an Inte rface De vice )
USB Optical M ous e
USB-Ve rbundge rät
USB Ke yboard
USB-HID (Hum an Inte rface De vice )
USB Ke yboard
USB-HID (Hum an Inte rface De vice )
USB Ke yboard
USB-Mas s e ns pe iche rge rät
USB DISK
VMw are USB Device
USB DISK 2.0
USB-Massenspeichergerät
USB DISK 2.0
Inte l(R) 82567LF-3 Gigabit Ne tw ork Conne ction PCI/PCMCIA32 PCI-Bus 0, Ge rät 25, Funk tion 0
Inte l(R) 82801 PCI-Brück e - 244E
PCI/PCMCIA32 PCI-Bus 0, Ge rät 30, Funk tion 0
PCI Standard-Hos t-CPU-Brück e
PCI/PCMCIA32 PCI-Bus 0, Ge rät 0, Funk tion 0
Standard-VGA-Grafik k arte
PCI/PCMCIA32 PCI-Bus 0, Ge rät 2, Funk tion 0
PCI-Kom m unik ations controlle r (e infach)
PCI/PCMCIA32 PCI-Bus 0, Ge rät 3, Funk tion 0
Standard-Zw e ik anal-PCI-IDE-Controlle r
PCI/PCMCIA32 PCI-Bus 0, Ge rät 3, Funk tion 2
PCI-Se rie lle r Ans chlus s
PCI/PCMCIA32 PCI-Bus 0, Ge rät 3, Funk tion 3
Standard-Zw e ik anal-PCI-IDE-Controlle r
PCI/PCMCIA32 PCI-Bus 0, Ge rät 31, Funk tion 2
Standard-Zw e ik anal-PCI-IDE-Controlle r
PCI/PCMCIA32 PCI-Bus 0, Ge rät 31, Funk tion 5
PCI Standard-ISA-Brück e
PCI/PCMCIA32 PCI-Bus 0, Ge rät 31, Funk tion 0
SM -Bus -Controlle r
PCI/PCMCIA32 PCI-Bus 0, Ge rät 31, Funk tion 3
Standard PCI-zu-USB unive rs e lle r Hos tcontrolle rPCI/PCMCIA32 PCI-Bus 0, Ge rät 29, Funk tion 0
Standard PCI-zu-USB unive rs e lle r Hos tcontrolle rPCI/PCMCIA32 PCI-Bus 0, Ge rät 29, Funk tion 1
Standard PCI-zu-USB e rw e ite rte r Hos tcontrolle r PCI/PCMCIA32 PCI-Bus 0, Ge rät 26, Funk tion 7
M icros oft UAA Bus Drive r for High De finition Audio
PCI/PCMCIA32 PCI-Bus 0, Ge rät 27, Funk tion 0
PCI Standard-PCI-zu-PCI-Brück e
PCI/PCMCIA32 PCI-Bus 0, Ge rät 28, Funk tion 0
PCI Standard-PCI-zu-PCI-Brück e
PCI/PCMCIA32 PCI-Bus 0, Ge rät 28, Funk tion 4
USB-HID (Hum an Inte rface De vice )
USB Optical M ous e
USB-Ve rbundge rät
USB Ke yboard
USB-HID (Hum an Inte rface De vice )
USB Ke yboard
USB-HID (Hum an Inte rface De vice )
USB Ke yboard
USB-Massenspeichergerät
USB DISK 2.0
USB-Massenspeichergerät
USB DISK 2.0
Inte l(R) 82567LF-3 Gigabit Ne tw ork Conne ction PCI/PCMCIA32 PCI-Bus 0, Ge rät 25, Funk tion 0
Inte l(R) 82801 PCI Bridge - 244E
PCI/PCMCIA32 PCI-Bus 0, Ge rät 30, Funk tion 0
Inte l(R) 4 Se rie s Chips e t Proce s s or to I/O Controlle
PCI/PCMCIA32
r - 2E10
PCI-Bus 0, Ge rät 0, Funk tion 0
Inte l(R) Q45/Q43 Expre s s Chips e t
PCI/PCMCIA32 PCI-Bus 0, Ge rät 2, Funk tion 0
Inte l(R) M anage m e nt Engine Inte rface
PCI/PCMCIA32 PCI-Bus 0, Ge rät 3, Funk tion 0
Standard-Zw e ik anal-PCI-IDE-Controlle r
PCI/PCMCIA32 PCI-Bus 0, Ge rät 3, Funk tion 2
Inte l(R) Re m ote PC As s is t Te chnology - SOL
PCI/PCMCIA32 PCI-Bus 0, Ge rät 3, Funk tion 3
Inte l(R) ICH10 Fam ily 4 port Se rial ATA Storage Controlle
PCI/PCMCIA32
r 1 - 3A00
PCI-Bus 0, Ge rät 31, Funk tion 2
Inte l(R) ICH10 Fam ily 2 port Se rial ATA Storage Controlle
PCI/PCMCIA32
r 2 - 3A06
PCI-Bus 0, Ge rät 31, Funk tion 5
Inte l(R) ICH10D LPC Inte rface Controlle r - 3A1A PCI/PCMCIA32 PCI-Bus 0, Ge rät 31, Funk tion 0
Inte l(R) ICH10 Fam ily SM Bus Controlle r - 3A60
PCI/PCMCIA32 PCI-Bus 0, Ge rät 31, Funk tion 3
Inte l(R) ICH10 Fam ily USB Unive rs al Hos t Controlle
PCI/PCMCIA32
r - 3A64
PCI-Bus 0, Ge rät 29, Funk tion 0
Inte l(R) ICH10 Fam ily USB Unive rs al Hos t Controlle
PCI/PCMCIA32
r - 3A65
PCI-Bus 0, Ge rät 29, Funk tion 1
Inte l(R) ICH10 Fam ily USB Enhance d Hos t Controlle
PCI/PCMCIA32
r - 3A6C
PCI-Bus 0, Ge rät 26, Funk tion 7
M icros oft UAA-Bus tre ibe r für High De finition Audio
PCI/PCMCIA32 PCI-Bus 0, Ge rät 27, Funk tion 0
Inte l(R) ICH10 Fam ily PCI Expre s s Root Port 1 - 3A70
PCI/PCMCIA32 PCI-Bus 0, Ge rät 28, Funk tion 0
Inte l(R) ICH10 Fam ily PCI Expre s s Root Port 5 - 3A78
PCI/PCMCIA32 PCI-Bus 0, Ge rät 28, Funk tion 4
Erstelldatum 09.06.2009 11:25:00
28
Ve ndor
1011
5333
8086
8086
8086
046D
04D9
04D9
04D9
090C
0E0F
13FE
8086
8086
8086
8086
8086
8086
8086
8086
8086
8086
8086
8086
8086
8086
8086
8086
8086
046D
04D9
04D9
04D9
13FE
13FE
8086
8086
8086
8086
8086
8086
8086
8086
8086
8086
8086
8086
8086
8086
8086
8086
8086
Mode l
0009
8811
7110
7111
7192
C018
1603
1603
1603
1000
0001
3100
10DF
244E
2E10
2E12
2E14
2E16
2E17
3A00
3A06
3A1A
3A60
3A64
3A65
3A6C
3A6E
3A70
3A78
C018
1603
1603
1603
3100
3100
10DF
244E
2E10
2E12
2E14
2E16
2E17
3A00
3A06
3A1A
3A60
3A64
3A65
3A6C
3A6E
3A70
3A78
I.VIII Installationsanleitung
I.VIII.I SafeGuard Management Center einrichten
Dieses Kapitel beschreibt die Installation und Konfiguration des SafeGuard Management
Centers. Das SafeGuard Management Center ist das zentrale Verwaltungswerkzeug für
SafeGuard Enterprise von Utimaco. Installiert wird es auf den Administrator-PCs, die für die
Verwaltung von SafeGuard Enterprise eingesetzt werden.
I.VIII.II Voraussetzungen
Folgende Voraussetzungen müssen erfüllt sein:
o .NET Framework 3.0 Service Pack 1 und ASP.Net 2.0 muss auf dem AdministratorPC installiert sein.
o Sie benötigen Windows Administratorenrechte.
o Verbindung zum SQL-Server muss bestehen, um die SQL-Datenbank während der
Installation des SafeGuard Management Centers erstellen zu können.
o Wenn Sie eine neue SafeGuard Enterprise Datenbank erzeugen wollen, benötigen Sie
entsprechende SQL-Zugriffsberechtigungen.
I.VIII.III
SafeGuard Management Center installieren
Das benötigte Installationspaket SGNManagementCenter.msi finden Sie auf der Produkt-CD.
1. Starten Sie die SGNManagementCenter.msi von der Produkt-CD.
2. Klicken Sie im Willkommen-Fenster auf Weiter.
3. Akzeptieren Sie die Lizenzvereinbarung.
4. Wählen Sie einen Installationspfad.
5. Bestätigen Sie die erfolgreiche Installation.
Das SafeGuard Management Center ist nun installiert. Starten Sie den Computer ggf. neu.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
29
I.VIII.IV
SafeGuard Management Center konfigurieren
Nach der Installation muss das SafeGuard Management Center konfiguriert werden.
Danach den Datenbanktyp SQL Server auswählen.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
30
In Datenbankverbindung wird die Verbindung zum Datenbankserver konfiguriert.
Zugriff auf meinen SQL-Server per Windows- Authentisierung laut Utimaco auch möglich.
Legen Sie fest, ob eine existierende Datenbank oder eine neue Datenbank zum Speichern der
Administrationsdaten benutzt werden soll.
Wenn noch keine Datenbank existiert, wie in meinem Fall, wählen Sie Eine neue Datenbank
mit folgendem Namen erstellen. Vergeben Sie einen Namen für die neue Datenbank, hier
„SafeGuard“.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
31
Legen Sie einen Haupt-Sicherheitsbeauftragten (Master Security Officer, MSO) an.
Geben Sie dem MSO einen Namen. Wir empfehlen, Token-Anmeldung auf kein Token zu
stellen.
Eine Anmeldung mit Token bzw. Smartcard erfordert eine gesonderte Konfiguration, die
innerhalb des Management Centers zu erledigen ist. In dieser Installationsanleitung gehe ich
nicht auf eine Anmeldung mit Token oder Smartcard ein.
Sobald ein Name für den MSO eingegeben wurde, klicken Sie auf Erzeugen.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
32
Geben Sie nun zweimal das Kennwort für den Zertifikatsspeicher ein. Wenn beide
Kennwörter identisch sind, bestätigen Sie mit OK.
Erstellen Sie das Unternehmenszertifikat. Mit diesem Zertifikat lassen sich unterschiedliche
Installationen von SafeGuard Enterprise auseinander halten. Hier kann ein beliebiger Name
verwendet werden.
Klicken Sie auf Weiter, dann auf Fertigstellen.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
33
Die Konfiguration des SafeGuard Management Centers ist abgeschlossen. Das SafeGuard
Management Center wird anschließend automatisch gestartet.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
34
I.VIII.V
SafeGuard Enterprise Server einrichten
Der SafeGuard Enterprise Server stellt die Schnittstelle zu den SafeGuard Enterprise
Benutzer-PCs her. Er greift wie das SafeGuard Enterprise Management Center auf die
Datenbank zu. Er läuft als Applikation auf einem IIS -basierten Webserver.
Utimaco Safeware AG empfiehlt, für den SafeGuard Enterprise Server einen dedizierten IIS
Server einzusetzen. Dies wird empfohlen, weil die Performance dadurch höher ist, weil
andere Anwendungen nicht mit SafeGuard Enterprise in Konflikt geraten können, denn
SafeGuard Enterprise benötigt zum Beispiel eine bestimmte Version von ASP.NET.
Dieses Kapitel beschreibt, wie Sie SafeGuard Enteprise Server auf einem IIS Server
installieren. Dazu müssen Sie zuvor Microsoft Internet Information Services (IIS)
konfigurieren.
I.VIII.VI
Microsoft Internet Information Services konfigurieren
Prüfen Sie, ob mindestens .NET Framework Version 3.0 mit Service Pack 1 auf dem IIS
Server installiert ist.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
35
I.VIII.VII
ASP.NET Registrierung prüfen
Unter ASP.NET Version sollte die Version 2.0.50727 angezeigt sein. Dabei bekannte
Probleme am Ende dieser Dokumentation.
Dazu öffne Sie den Internet Information Services Manager. Über Start -> Programme ->
Internetinformationsdienste - Manager wählen. Klicken Sie im IIS Manager auf Server
(lokaler Computer) > Web Sites.
I.VIII.VIII
Speicherwiederverwendung für IIS Server einschalten
Utimaco Safeware AG empfiehlt, für den IIS Server „Arbeitsprozesse wieder verwenden“
einzustellen.
1. Öffnen Sie den Internet Information Services Manager.
2. Klicken Sie im IIS Manager auf Server (lokaler Computer).
3. Klicken Sie mit der rechten Maustaste auf Anwendungspools > Eigenschaften.
4. Setzen Sie unter Speicherwiederverwendung folgende Werte:
5.
Maximaler virtueller Speicher = 500 MB
Maximaler verwendeter Speicher = 192 MB
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
36
Der IIS Server ist nun eingerichtet für SafeGuard Enterprise.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
37
I.VIII.IX
SafeGuard Enterprise Server installieren
Nachdem der IIS konfiguriert ist, kann der SafeGuard Enterprise Server auf dem IIS Server
installiert werden. Das Installationspaket SGNServer.msi ist auf der Produkt-CD.
I. Starten der SGNServer.msi von der CD.
II. Im Willkommen-Fenster auf Weiter klicken.
III. Akzeptieren der Lizenzvereinbarung.
IV. Wählen des Installationspfades und die erfolgreiche Installation bestätigen.
Der SafeGuard Enterprise Server ist jetzt installiert.
I.VIII.X
SafeGuard Enterprise Server registrieren und konfigurieren
Der SafeGuard Enterprise Server muss im SafeGuard Management Center noch registriert
und konfiguriert werden.
1. Starten Sie das SafeGuard Management Center und wählen Sie Extras >
Konfigurationspakete.
2. Wählen Sie Server registrieren und dann eine der beiden Optionen.
I. Diesen Computer zum SGN Server machen: SafeGuard Management Center und
Guard Enterprise Server sind auf dem Computer installiert, mit dem Sie gerade
arbeiten.
II. Hinzufügen: Der SafeGuard Enterprise Server ist auf einem anderen Computer als
das SafeGuard Management Center installiert.
3. Sie haben diesen Computer zum SGN Server machen gewählt:
Das SafeGuard Enterprise Server Configuration Setup wird automatisch gestartet.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
38
Bestätigen Sie alle folgenden Dialoge. Der Computer wird als Safeguard Enterprise
Server registriert und mit seinen Eigenschaften in der Registerkarte Server
registrieren angezeigt.
4. Nehmen sie die folgenden Einstellungen für den ausgewählten Server vor:
I. Skripts ausführen: Aktivieren Sie diese Option, wenn der SafeGuard Enterprise
Management API verwendet werden soll.
II. Server-Rollen: Klicken Sie auf Server-Rollen, um die gewünschte
Sicherheitsbeauftragten-Rolle auszuwählen. Klicken Sie auf Server-Rolle hinzufügen
am unteren Fensterrand, um weitere Rollen für den Sicherheitsbeauftragten für diesen
Server aufzunehmen.
III. Datenbankverbindung: Klicken Sie auf [Datenbankverbindung], um die
Verbindung zur Datenbank für jeden registrierten Server zu konfigurieren. Hier
können Sie auch die Anmeldeinformationen für die Datenbank und die SSLErstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
39
Transportverschlüsselung zwischen Web Server und Datenbankserver festlegen. Das
Fenster Datenbankverbindung wird angezeigt.
Wenn das Register Datenbankverbindung nicht vorhanden ist, dann ist dieses unter Extras > Optionen -> Register: Datenbankverbindung vorhanden und kann dort geändert werden.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
40
I.VIII.XI
Kommunikation testen
Wenn SafeGuard Enterprise Server, die Datenbank und das SafeGuard Management Center
eingerichtet ist, sollte ein Verbindungstest durchgeführt werden. Die nötigen Schritte sind
nachfolgend aufgelistet.
I.VIII.XII
Voraussetzungen
Vor dem Verbindungstest müssen folgende Einstellungen gemacht und geprüft werden:
Ports/Verbindungen
Die Benutzer-PCs müssen folgende Verbindungen aufbauen:
Verbindung zu
SafeGuard Enterprise Server
Über Port
Port 80/TCP
Das SafeGuard Management Center und SAfeGuard Enterprice Server muss folgende
Verbindungen aufbauen:
Verbindung zu
SQL Datenbank
Active Directory
SLDAP
über Port
Port 1433/TCP und Port 1434/TCP für SQL 2000 & 2005
(Express) dynamic port
Port
1148/TCP für SQL 2005
Port 389/TCP
Port 636 für den Active Directory Import
Authentisierungsmethode
1. Öffnen Sie auf dem SafeGuard Enterprise Server den Internet Information Services
(IIS) Manager über Start > Programme > Verwaltung > Informationsdienste-Manager.
2. Wählen Sie in der Baumstruktur Internet Information Services > „Servername“ > Web
Sites > Standardwebsite > SGNSRV.
3. Klicken Sie mit der rechten Maustaste auf SGNSRV und wählen Sie Eigenschaften.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
41
4. Wählen Sie die Registerkarte Verzeichnissicherheit.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
42
5. Im Feld Authentifizierung und Zugriffssteuerung klicken Sie auf Bearbeiten.
Aktivieren Sie Anonymen Zugriff aktivieren und deaktivieren Sie Integrierte
Windows Authentifizierung.
Microsoft SQL Server 2005 Einstellungen
Wenn der Microsoft SQL Server 2005 verwendet wird, muss im Microsoft SQL Server
Management Studio folgender Benutzer (Rolle "sysadmin") hinzugefügt werden: NTAUTORITÄT/SYSTEM, wenn dieses Benutzerkonto nicht vorhanden ist. Wird bei der
Installation von SQL-Server mit eingerichtet.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
43
I.VIII.XIII
Verbindungstest durchführen
1. Öffnen Sie auf dem SafeGuard Enterprise Server den Internet Information Services
(IIS) Manager.
2. Klicken Sie im IIS Manager auf Server (lokaler Computer) > Web Sites >
Standardwebsite.
3. Klicken Sie mit der rechten Maustaste auf den gewünschten Server und dann auf
Durchsuchen.
4. Klicken Sie auf den Link Check Connection.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
44
5. Klicken Sie auf den Button Aufrufen.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
45
6. Als Ergebnis sollte dies erscheinen.
Sollte nicht diese Ausgabe erscheinen, unter Start > Verwaltung > Ergebnisanzeige,
> Anwendung, ob Fehler - Einträge vorhanden sind.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
46
I.VIII.XIV
Organisationsstruktur einrichten
Es gibt zwei Möglichkeiten, Ihre Organisation in SafeGuard Enterprise abzubilden:
I. durch den manuellen Aufbau der Unternehmensstruktur
II. durch den Import eines Verzeichnisdienstes, z.B. eines Active Directory.
Sie können entweder nur eine von beiden Möglichkeiten anwenden, oder die beiden
Möglichkeiten mischen. Zum Beispiel können Sie ein Active Directory (AD) ganz oder
teilweise importieren und weitere Organisationseinheiten (OU) manuell anlegen. Beachten
Sie dabei, dass die manuell angelegten Organisationseinheiten nicht im AD abgebildet
werden. Wenn Organisationseinheiten, die Sie in SafeGuard Enterprise angelegt haben, auch
im AD abgebildet werden sollen, müssen Sie diese im AD nachtragen.
I.VIII.XV
Im Fall Organisationsstruktur importieren
Sie haben optional die Möglichkeit, eine bestehende Organisationsstruktur z.B. über ein
Active Directory in die SafeGuard Enterprise Datenbank zu importieren.
1. Starten des SafeGuard Management Centers.
2. Extras > Optionen > Verzeichnisanmeldung und auf Hinzufügen klicken.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
47
Es erscheint LDAP Authentisierung.
Bei Servername oder IP geben Sie den NetBIOS-Namen des Domänen-Controllers
oder dessen IP-Adresse ein.
Bei Benutzername und Kennwort geben Sie Ihre Windows-Anmeldeinformationen
ein. In meinem Fall war dies der Administrator des Domaincontrollers.
3. Bestätigen Sie mit OK.
4. Klicken Sie auf Benutzer & Computer.
5. Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm [Filter
ist aktiv].
6. Wählen Sie die Registerkarte Synchronisation.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
48
7. Wählen Sie aus dem Verzeichnis DSN das gewünschte Verzeichnis aus. Klicken Sie
auf das Lupen- Symbol rechts oben. Es erscheint eine Abbildung der Active
Directory-Struktur der Organisationseinheiten (OU) in Ihrem Unternehmen.
8. Es muss nicht der gesamte Inhalt des Active Directory importiert werden. Markieren
Sie die Organisationseinheit (OU), die synchronisiert werden sollen.
9. Klicken Sie auf Synchronisieren.
10. Bestätigen Sie die Synchronisierung mit OK.
Die Synchronisierung von SafeGuard Management Center und Active Directory ist
abgeschlossen. Die importierten Objekte werden im Bereich Benutzer & Computer
angezeigt.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
49
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
50
I.VIII.XVI
SafeGuard Policy Editor einrichten
Der SafeGuard Policy Editor wird auf einem Referenz-Computer installiert. Als
Sicherheitsbeauftragter nutzen Sie den SafeGuard Policy Editor, um SafeGuard Enterprise
Richtlinien zu erstellen und zu verwalten, sowie Konfigurationspakete für die Standalone
Clients zu erzeugen. Es können mehrere dieser Konfigurationspakete (.msi-Dateien) erzeugt
und dann über Third-Party-Mechanismen an die Client-Computer verteilt werden. Dies kann
gleichzeitig mit der Installation der SafeGuard Client Software erfolgen oder auch zu einem
späteren Zeitpunkt.
Die Richtlinien werden in einer SQL-Datenbank abgelegt. Somit wird eine Verbindung zum
SQL-Server benötigt oder ein SQL-Server wird lokal auf dem Referenz-Computer installiert.
Das Fehlen des zentralen Management Servers reduziert die Verwaltungsmöglichkeiten im
SafeGuard Policy Editor. Im Vergleich zum SafeGuard Management Center gibt es für den
SafeGuard Policy Editor folgende Einschränkungen:
Kein Active Directory Import. Damit auch keine Benutzer- und Domänenverwaltung.
Die
Konfigurationspakete,
die
die
Richtlinien
enthalten,
müssen
über
eigene
Verteilungsmechanismen an die Client-Computer verteilt und dort installiert werden.
Kein zentrales Schlüssel-Management. Es wird ein automatisch erzeugter Computer-Schlüssel
für SafeGuard Device Encryption und vom Benutzer lokal erzeugte Schlüssel für die
dateibasierende
Verschlüsselung und für SafeGuard Data Exchange verwendet.
Beim ersten Neustart des Client-Computers nach der vollständigen Installation (Client
Software und Konfigurationspaket) wird eine Recovery-Datei erzeugt. Diese Datei wird vom
Helpdesk zum Ausführen eines Challenge/Response-Verfahrens für ein Recovery bei der
Anmeldung benötigt. Sie muss an einem Ort gespeichert werden, an dem das Helpdesk auf
die Datei zugreifen kann.
Keine zentrale Protokollierung
Keine definierbaren administrativen Rollen
SafeGuard Policy Editor kann zu SafeGuard Management Center migriert werden, um die
vollständige Management-Funktionalität von SafeGuard Enterprise zu nutzen.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
51
I.VIII.XVII
SafeGuard Policy Editor installieren
Um SafeGuard Policy Editor installieren zu können muss auf dem Client .net framework 3.0
SP1 und ASP.Net 2.0 installiert sein. Des Weiteren wird ein SQL-Server auf diesem Rechner
benötigt, weil SafeGuard Policy Editor dort die Daten ablegt.
Das benötigte Installationspaket SGNPolicyEditor.msi finden Sie auf der Produkt-CD.
1. Starten Sie SGNPolicyEditor.msi von der CD.
2. Klicken Sie im Willkommen-Fenster auf Weiter.
3. Akzeptieren Sie die Lizenzvereinbarung.
4. Wählen Sie einen Installationspfad.
5. Bestätigen Sie die erfolgreiche Installation.
Der SafeGuard Policy Editor ist jetzt installiert.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
52
I.VIII.XVIII
SafeGuard Policy Editor konfigurieren
I.VIII.XIX
Konfigurationsassistent starten
Starten Sie den SafeGuard Policy Editor. Der Konfigurationsassistent wird aufgerufen. Es
erscheint ein Dialogfenster, in dem die komplette Konfigurierung des SafgeGuard Policy
Editors durchgeführt werden kann. Dazu gehören:
SQL-Datenbank einrichten
Kennwort für den Sicherheitsbeauftragten festlegen
Zertifikatsspeicher anlegen
SQL-Datenbank einrichten
Wenn der SQL-Server vor dem SafeGuard Policy Editor installiert wird, wird die Datenbank
vom SafeGuard Policy Editor, bei Verbindung zum SQL-Server, selbständig angelegt.
Starten des SafeGuard Policy Editor über Start > Programme > Utimaco > SafeGuard
Enterprise > SafeGuard Policy Editor
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
53
Unter Extras > Optionen > Register: Datenbankverbindung kann die Verbindung zum
DB-Server geprüft werden. Die Authentisierung sollte auf SQL-Authentisierung geändert
werden, da anfangs Windows-Authentisierung ausgewählt ist.
Bei erfolgreicher Verbindung erscheint dieses Ausgabefenster.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
54
Datenbankintegrität prüfen
Menü Optionen > Datenbankintegrität über Button Alle prüfen möglich.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
55
I.VIII.XX
SafeGuard Enterprise Clients
SafeGuard Enterprise Clients werden zentral im SafeGuard management Center verwaltet.
Für SafeGuard Enterprise Clients besteht generell eine Verbindung zum SafeGuard Enterprise
Server. Die Verbindung kann temporär unterbrochen sein, z.B. während einer Geschäftsreise.
Trotzdem ist der Benutzercomputer auch in dieser Situation als SafeGuard Enterprise Client
definiert.
Das Enterprise Client-Konfigurationspaket wird im SafeGuard Management Center erzeugt.
Im Menü Extras > Konfigurationspakete > Register: „Enterprise Client-Paket erstellen“
können die msi -Pakete für die Clients erstellt werden.
Wenn SafeGuard Management Center bereits in Betrieb ist, um SafeGuard Enterprise Clients
zu verwalten, und neben den zentral verwalteten SafeGuard Enterprise Clients zusätzlich
Standalone Clients eingesetzt werden sollen, kann auch SafeGuard Management Center für
die lokale Verwaltung der Standalone Clients eingesetzt werden.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
56
Das entsprechende Standalone Client-Konfigurationspaket wird dann im SafeGuard
Management Center erzeugt. Richtlinien werden im SafeGuard Management Center erstellt,
gruppiert und in Konfigurationspaketen zusammengefasst.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
57
I.VIII.XXI
Enterprise Client-Konfigurationspaket erstellen
Für eine erfolgreiche Inbetriebnahme von SafeGuard Enterprise müssen Sie ein
Konfigurationspaket für die SafeGuard Enterprise Clients erstellen.
1. Starten Sie das Management Center und wählen Sie im Menü Extras >
Konfigurationspakete.
2. Wählen Sie Enterprise Client Paket erstellen.
Klicken Sie auf Client-Paket hinzufügen, um das Enterprise ClientKonfigurationspaket zu erzeugen.
Geben Sie einen beliebigen Namen für die ClientConfig.msi-Datei an.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
58
c. Ordnen Sie einen primären Server zu (der sekundäre Server ist nicht zwingend notwendig).
d. Sie können auch ggf eine zuvor im Management Center erstellte Richtlinie, die für die Be
nutzer-PCs gelten soll, angeben.
e. Legen Sie den Ausgabepfad fest und klicken Sie auf Client MSI erstellen. Die Datei
SGNClientConfig.msi wird im angegebenen Verzeichnis erzeugt.
Das Enterprise Client-Konfigurationspaket für den SafeGuard Enterprise Client ist nun
erstellt. Dieses Paket muss auf dem SafeGuard Enterprise Client ausgeführt werden.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
59
I.VIII.XXII
Standalone Client-Konfigurationspaket erstellen
Für eine erfolgreiche Inbetriebnahme müssen Sie ein Konfigurationspaket für die SafeGuard
Standalone Clients erstellen und an diese verteilen.
Wenn Sie die Standalone Clients im SafeGuard Policy Editor verwalten, erstellen Sie das
Standalone Client-Konfigurationspaket im SafeGuard Policy Editor. Melden Sie sich am
Policy Editor an. Gehen Sie dann wie in den unten beschriebenen Schritten vor.
Wenn Sie die Standalone Clients im SafeGuard Management Center verwalten, erstellen Sie
das Standalone Client-Konfigurationspaket im SafeGuard Management Center. Melden Sie
sich am Management Center an. Gehen Sie dann wie in den unten beschriebenen Schritten
vor. Um ein SafeGuard Standalone Client-Konfigurationspaket zu erzeugen, gehen Sie
folgendermaßen vor:
Wählen Sie im Menü Extras > Konfigurationspakete.
Wählen Sie Standalone Client Paket erstellen für eine SafeGuard Standalone ClientKonfiguration.
Klicken Sie auf Standalone Client-Paket hinzufügen, um das Standalone Client-Paket zu
erzeugen.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
60
Geben Sie einen beliebigen Namen für die SGNClientConfig.msi-Datei an.
Im Gegensatz zu den Enterprise Clients können den Standalone Clients keine einzelnen
Richtlinien, sondern nur Richtliniengruppen zugewiesen werden.
Geben Sie unter Pfad ein freigegebenes Netzwerkverzeichnis an, in dem die Schlüsseldatei
gespeichert werden soll, damit Sie dem Helpdesk im Notfall zur Verfügung steht. Ein
freigegebenes Netzwerkverzeichnis geben Sie in der folgenden Form an:
\\networkcomputer\, e.g. “\\utimaco.edu\“. Habe es nicht konfiguriert. Wenn Sie hier keinen
Pfad angeben, wird der Benutzer beim ersten Anmelden am Benutzer-PC gefragt, wo die
Schlüsseldatei gespeichert werden soll.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
61
Legen Sie den Ausgabepfad fest.
Klicken Sie auf Standalone Client MSI erstellen.
im angegebenen Verzeichnis erzeugt.
Die Datei SGNClientConfig.msi wird
Das Standalone Client-Konfigurationspaket für den SafeGuard Standalone Client ist nun im
angegebenen Verzeichnis erstellt. Es muss nun an die Standalone Clients verteilt und dort
ausgeführt werden.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
62
I.IX SafeGuard Enterprise Client oder Standalone Client installieren
Dieses Kapitel ist sowohl für SafeGuard Enterprise Clients als auch für SafeGuard Standalone
Clients gültig. Die Installationsschritte sind identisch, mit der Ausnahme, dass für jeden der
beiden ein unterschiedliches Konfigurationspaket erzeugt werden muss. Entscheiden Sie vor
der Installation, welche Features von SafeGuard Enterprise Sie nutzen möchten.
Voraussetzung um das Client-Paket mit Configuration Protection installieren zu können, wird
.net 2.0 benötigt.
Client-Paket installieren
1. Starten Sie das entsprechende .msi-Paket (SGNClient.msi oder
SGNClient_withoutDE.msi) von der Produkt-CD.
2. Klicken Sie im Willkommen-Fenster auf Weiter.
3. Akzeptieren Sie die Lizenzvereinbarung.
4. Wählen Sie ggf. die Features aus, die Sie installieren möchten, dafür wählen Sie
Anpassen aus, ansonsten Standard oder Vollständig.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
63
Client Features für Windows XP
Das Bild zeigt die Auswahl der Features beim Installationspaket SGNClient.msi.
Dateibasierende Verschlüsselung: Data Exchange aktiviert.
Volume-basierende Verschlüsselung: Device Encryption > Base Encryption
aktiviert.
Konfigurationsschutz: Configuration Protection aktiviert. Weitere Schritte sind
nötig, um dieses Modul zu installieren. Dieses Feature kann für Standalone Clients
nicht installiert werden.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
64
4. Wählen Sie einen Installationspfad. Der Standard-Installationspfad ist:
C:\Programme\Utimaco\SafeGuard Enterprise
5. Bestätigen Sie die erfolgreiche Installation.
Konfigurationspaket erzeugen
Der Sicherheitsbeauftragte muss den Benutzer-PC nun durch Erzeugen eines
Konfigurationspakets einrichten.
Um eine Enterprise Client-Konfiguration erzeugen.
Um eine Standalone Client-Konfiguration erzeugen.
1. Als Sicherheitsbeauftragter erstellen Sie das Konfigurationspaket.
2. Verteilen Sie das Konfigurationspaket an die Benutzer.
3. Die Benutzer müssen das Konfigurationspaket auf den Benutzer-PCs installieren.
Damit ist die Installation des SafeGuard Enterprise Benutzer-Computers abgeschlossen.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
65
I.X SafeGuard Configuration Protection installieren
SafeGuard Configuration Protection ermöglicht es, nur bestimmte Schnittstellen und
Peripheriegeräte auf den Benutzer-Computern zu erlauben. So kann verhindert werden, dass
Schaden verursachende Software eingeschleust wird und dass Daten über unerwünschte
Kanäle (z.B. WLAN) ein Unternehmen verlassen. Dieses Modul kann auch gefährliche
Hardware wie Key Logger erkennen und blockieren.
Um SafeGuard Configuration Protection auf dem Benutzer-Computer zu installieren, müssen
Sie ein separates Installationspaket ausführen, nachdem Sie das SafeGuard Enterprise Client
Installationspaket installiert haben. Sie finden die benötigten Installationspakete auf der
Produkt-CD. Configuration Protection steht nur für SafeGuard Enterprise Clients zur
Verfügung. Es wird für SafeGuard Standalone Clients nicht unterstützt.
Installieren Sie SafeGuard Enterprise Client. Beide Client-Installationspakete können
zusammen mit dem Modul SafeGuard Configuration Protection verwendet werden:
SGNClient.msi
SGNClient_withoutDE.msi
Installieren Sie SafeGuard Configuration Protection:
SGN_CP_PortProtectorClient.msi
Erzeugen und installieren Sie das SafeGuard Enterprise Client -Konfigurationspaket.
Lokale Installation
Um SafeGuard Configuration Protection erfolgreich zu installieren, halten Sie bitte die
angegebene Installationsreihenfolge ein:
1. Installieren Sie eins der beiden SafeGuard Enterprise Client-Installationspakete auf
dem BenutzerComputer:
SGNClient.msi
SGNClient_withoutDE.msi.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
66
2. Wenn Sie aufgefordert werden, die gewünschten Features auszuwählen, aktivieren Sie
das Feature Configuration Protection.
3. Installieren Sie anschließend SGN_CP_PortProtectorClient.msi.
4. Utimaco Safeware empfiehlt, den Benutzer-Computer neu zu starten. Wenn jedoch
das Client- Konfigurationspaket direkt im Anschluss installiert wird, kann der Neustart
auch verschoben werden.
5. Generieren und installieren Sie das SafeGuard Enterprise Client-Konfigurationspaket
SGNEnterpriseClientConfig.msi.
6. Starten Sie den Computer neu.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
67
SafeGuard Configuration Protection wird auf dem Benutzer Computer installiert.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
68
I.XI SafeGuard PortAuditor
I.XI.I SafeGuard PortAuditor installieren
1. Starten Sie die SafeGuardPortAuditor-MGMT.msi von der Produkt-CD.
2. Klicken Sie im Willkommen-Fenster auf Next.
3. Akzeptieren Sie die Lizenzvereinbarung.
4. Wählen Sie einen Installationspfad.
5. Bestätigen Sie die erfolgreiche Installation.
SafeGuard PortAuditor ist damit installiert.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
69
I.XI.II SafeGuard PortAuditor benutzen
1. Nach dem starten des SafeGuard PortAuditors erscheint folgendes Fenster.
2. Über die Schaltfläche „Change User“ gelangen Sie zu diesem Fenster. Dort geben Sie
den Administrator oder den Benutzer, der Rechte auf allen Rechnern hat, die gescannt
werden, dazu das Passwort des Benutzers und die Domain.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
70
3. Unter „Computers to Audit“ wählen Sie die oder den Computer aus, der ‚Audit’
(geprüft) werden soll.
Wenn nichts gewählt wurde, erscheint folgendes Fenster.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
71
4. ‚Audit Filters’, dort wählen Sie, nach welcher Hardware gescannt werden soll.
5. Nach dem Sie alle Einstellungen vorgenommen haben, starten Sie die
Prüfung/Scannung der Hardware in dem Sie auf die Schaltfläche Run klicken.
6. Über View Report, Create Excel und Export Results können Sie die Ergebnisse des
Scannens ansehen.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
72
7. Die Ergebnisse sollten sie exportieren, damit diese später im SafeGuard
Management Center genutzt werden können, um White Lists zu erstellen. Mit Export
Results können die Ergebnisse exportiert werden. Die Daten werden in einer XMLDatei gespeichert. Diese XML Datei kann als White-List benutz werden, um die
internen Geräte des benutzten Rechners zu erlauben.
Eine Ergebnisliste ist im Anhang auf Seite 28 zu sehen.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
73
I.XII Die Power-on Authentication (POA)
Bevor das Betriebssystem startet, wird bereits der Benutzer durch SafeGuard Enterprise
identifiziert. Dies bedeutet, dass zu Beginn ein eigener 32-Bit Systemkern des SafeGuard
Enterprise gestartet wird. Dieser ist vor Modifikationen geschützt und versteckt auf der
Festplatte gespeichert. Erst wenn sich der Benutzer in der POA korrekt authentisiert hat, wird
das eigentliche Betriebssystem gestartet. Benutzerspezifische Schlüssel und Zertifikate
werden erst nach der Windows-Anmeldung erzeugt. Somit können sich Benutzer später nur
an der Power-on Authentication authentisieren, die sich erfolgreich an Windows angemeldet
haben. Nach dem sich der Benutzer angemeldet hat, werden Benutzerrichtlinien, Zertifikate
und Schlüssel erzeugt und an den Benutzer PC geschickt. Danach sollte oder muss ein
Neustart erfolgen, damit die Authentisierung abgeschlossen werden kann. Nach dem Neustart
erscheint die POA, wenn diese durch Richtlinien nicht ausgeschaltet wurde. Wird die POA
nicht durch Richtlinien ausgeschaltet, kann sich niemand an der POA anmelden, der
nicht in die POA importiert wurde. Weitere Benutzer müssen sich mit Hilfe des ersten
Benutzers importiert werden. Der erste Benutzer, der sich an der POA anmeldet, wird der
Besitzer des PC. Pro PC gibt es einen Besitzer.
I.XIII Weitere Benutzer importieren
Wer einen neuen Benutzer importieren darf, legt eine Richtlinieneinstellung fest. Diese wird
im Management Center unter Spezifische Computereinstellungen festgelegt.
Der Besitzer des PC meldet sich an der POA an, allerdings muss dieser die Option
„Durchgehende Anmeldung an Windows“ deaktivieren, damit die Windowsanmeldung
erscheint. Der neue Benutzer meldet sich an der Windows-Anmeldung an. Seine
Benutzerrichtlinien, Zertifikate und Schlüssel werden erzeugt und an den Benutzer-PC
gesendet. Nach einem Neustart kann sich auch der neue Benutzer an der POA anmelden.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
74
Durch Richtlinien kann der POA-Dialog konfiguriert werden, wie dies auch in der
Testumgebung von mir durchgeführt wurde. Dabei kann das Hintergrundbild, das
Anmeldebild, Dialogtexte und die Sprache des Tastaturlayouts geändert werden.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
75
I.XIV Bekannte Probleme
I.XIV.I ASP.NET
Wenn kein ASP.net Version 2.0 installiert ist, ist es nicht möglich die Scripte im ISS
auszuführen. Wie in den folgenden Bildern zu sehen ist.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
76
I.XIV.II
SafeGuard Management Center konfigurieren
Verbindung mit dem SQL-Server
Eine Verbindung zum SQL-Server per Windows- Authentisierung ist laut Utimaco möglich.
Bei der ersten Installation und Konfiguration des SQL-Server, bei dem ich die WindowsAuthentisierung ausgewählt hatte, war es nicht möglich eine Verbindung vom IIS zum SQLServer aufzubauen. Nach meiner erneuten Installation und Konfiguration des SQL-Servers
mit SQL-Authentisierung mit der Anmeldung als Benutzer sa, war es dann möglich eine
Verbindung vom IIS zum SQL-Server aufzubauen.
Bild mit Windows- Authentisierung
Bild mit SQL-Authentisierung
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
77
I.XV Quellenverzeichnis
[1] Informationen von Utimaco zu SafeGuard Enterprice:
http://www.utimaco.de/C125748F0037440F/vwContentByKey/W26MULQQ971OBELDE
[2] Informationen von Matrix42 zu Empirum-Security-Suite:
http://www.matrix42.de/produkte/empirum-security-suite/
[3] Informationen über Sicherheitsfunktionen in Windows Vista und Windows Server 2008:
http://www.microsoft.com/germany/windows/products/windowsvista/features/details/bitlocke
r.mspx
http://technet.microsoft.com/de-de/library/cc725719.aspx
http://www.tecchannel.de/server/windows/481635/windows_vista_bitlocker_konfigurieren/in
dex3.html
[4] Homepage zu TrueCrypt:
http://www.truecrypt.org/docs/
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
78
I.XVI Glossar
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine in der Bundesstadt
Bonn ansässige zivile obere Bundesbehörde im Geschäftsbereich des Bundesministerium des
Innern (BMI), die für Fragen der IT-Sicherheit zuständig ist.
Smartphone ein Smartphone vereint den Leistungsumfang eines Mobiltelefones mit dem
eines Personal Digital Assistants (PDA). Die meisten Smartphone’s sind schlanker als PDAs
ausgeführt und verfügen über eine Tastatur.
Ein Security-Token bezeichnet eine Hardwarekomponente, die in der Regel eine Chipkarte
enthält, aus der keine Daten herauskopiert oder manipuliert werden können. Der Token kann
an einem USB-Port angeschlossen werden und integriert somit die Vorteile einer Smartcard,
ohne dabei ein Kartenlesegerät zu benötigen.
PDA tragbarer Computer, der neben vielen anderen Programmen hauptsächlich für die
persönliche Kalender-, Adress- und Aufgabenverwaltung benutzt wird. PDAs können
zusätzlich Office-Dateien verarbeiten.
Policy eine Policy ist eine Anzahl von Regeln.
Log file beinhaltet das automatisch erstellte Protokoll aller oder bestimmter Aktionen von
Prozessen auf einem Computersystem. Die korrekte Bezeichnung dafür ist deshalb ProtokollDatei.
IDS ein Intrusion Detection System (IDS) ist ein System zur Erkennung von Angriffen, die
an ein Computersystem oder Computernetz gerichtet sind. Das IDS kann eine Firewall
ergänzen oder auch direkt auf dem zu überwachenden Computersystem laufen und so die
Sicherheit von Netzwerken erhöhen.
SSL/TLS Transport Layer Security (TLS) oder Secure Sockets Layer (SSL) ist ein
hybrides Verschlüsselungsprotokoll zur Datenübertragung im Internet. TLS 1.0, 1.1 und 1.2
sind die standardisierten Weiterentwicklungen von SSL 3.0 (TLS 1.0 steht neu für SSL 3.1).
SSL wird also nun unter dem Namen TLS weiterentwickelt. Hier wird die Abkürzung SSL für
beide Bezeichnungen verwendet.
Hybride Verschlüsselung unter Hybrider Verschlüsselung versteht man eine Kombination
aus asymmetrischer Verschlüsselung und symmetrischer Verschlüsselung. Hybride
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
79
Verschlüsselungsverfahren
werden
z.B.
bei
der
Datenübertragung
zwischen
zwei
Gegenstellen in einem Netzwerk verwendet.
asymmetrischer Verschlüsselung ist eine Verschlüsselung, bei dem jeder der
kommunizierenden Parteien ein Schlüsselpaar besitzt, das aus einem geheimen Teil (privater
Schlüssel) und einem nicht geheimen Teil (öffentlicher Schlüssel) besteht. Der öffentliche
Schlüssel ermöglicht es jedermann, Daten für den Inhaber des privaten Schlüssels zu
verschlüsseln, dessen digitale Signaturen zu prüfen oder ihn zu authentifizieren. Der private
Schlüssel ermöglicht es seinem Inhaber, mit dem öffentlichen Schlüssel verschlüsselte Daten
zu entschlüsseln, digitale Signaturen zu erzeugen oder sich zu authentifizieren.
symmetrische Verschlüsselung Ein symmetrisches Kryptosystem ist ein Kryptosystem,
welches im Gegensatz zu einem asymmetrischen Kryptosystem den gleichen Schlüssel zur
Ver- und Entschlüsselung verwendet. Bei manchen symmetrischen Verfahren (z. B. IDEA) ist
es dafür zunächst notwendig, den Verschlüsselungs-Schlüssel in einen EntschlüsselungsSchlüssel zu transformieren.
ISO 27001 Die internationale Norm ISO/IEC 27001 Information technology – Security
techniques – Information security management systems – Requirements spezifiziert die
Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung, und
Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter
Berücksichtigung der Risiken innerhalb der gesamten Organisation.
Client Als Clients bezeichnet man die Computer in einem Rechnernetz, die auf einen
bestimmten Server zugreifen.
Das Challenge-Response-Verfahren (übersetzt etwa Herausforderung-Antwort-Verfahren)
ist ein sicheres Authentifizierungsverfahren eines Teilnehmers auf Basis von Wissen. Hierbei
stellt ein Teilnehmer eine Aufgabe (engl. challenge), die der andere lösen muss (engl.
response), um zu beweisen dass er eine bestimmte Information kennt.
Der Verzeichnisdienst von Microsoft Windows 2000/2003 Server heißt Active Directory
(AD). Das Active Directory ordnet verschiedenen Netzwerkobjekten wie Benutzern,
Computern und andere Eigenschaften zu und verwaltet diese.
Das Lightweight Directory Access Protocol (LDAP) ist in der Computertechnik ein
Netzwerkprotokoll, das die Abfrage und die Modifikation von Informationen eines
Verzeichnisdienstes (eine im Netzwerk verteilte hierarchische Datenbank) erlaubt.
Erstellt von Michael Bogon
perdata GmbH
Erstelldatum 09.06.2009 11:25:00
80
Die Authentifizierung (engl. authentication) bezeichnet den Vorgang der Überprüfung der
Identität.
Der Ausdruck Open Source (engl.) bzw. Quelloffenheit wird meist auf Computer-Software
angewendet und meint im Sinne der Open Source Definition, dass es jedem ermöglicht wird,
Einblick in den Quelltext eines Programms zu haben, sowie die Erlaubnis zu haben, diesen
Quellcode auch beliebig weiterzugeben oder zu verändern.
Help Desk wird vorrangig als Synonym für den Service zur Unterstützung von Anwendern
von Hard- und Software, aber auch in anderen Dienstleistungsbereichen benutzt.
Die Hilfe (Help) kann dabei sowohl über klassischen Telefonservice aber auch mit Hilfe
technischer Geräte sowie Software (Fernwartung, Live Support System) erfolgen.
Das Dynamic Host Configuration Protocol (DHCP) ermöglicht die Zuweisung der
Netzwerkkonfiguration an Geräte durch einen Server. Durch DHCP ist die automatische
Einbindung eines neuen Computers in ein bestehendes Netzwerk ohne dessen manuelle
Konfiguration möglich.
VMWare ist es möglich einen vorhandenen physischen PC in eine virtuelle VMwareMaschine zu konvertieren oder eine neue virtuelle Maschine zu erstellen. Jede virtuelle
Maschine stellt einen vollständigen PC
Netzwerkverbindungen und Peripherie-Ports.
Erstellt von Michael Bogon
perdata GmbH
dar,
mit
Prozessor,
Arbeitsspeicher,
Erstelldatum 09.06.2009 11:25:00
81
Was this manual useful for you? yes no
Thank you for your participation!

* Your assessment is very important for improving the work of artificial intelligence, which forms the content of this project

Download PDF

advertisement