advertisement
SafeGuard Enterprise
Administratorhilfe
Produktversion: 8.2
Inhalt
SafeGuard Enterprise Schlüsselring für mobile Geräte mit Sophos Mobile freigeben.............. 343
(2021/02/09)
(2021/02/09)
SafeGuard Enterprise Administratorhilfe
1 Über SafeGuard Enterprise
SafeGuard Enterprise ist eine umfassende Datensicherheitslösung, die Informationen auf Servern,
PCs und mobilen Geräten durch ein richtlinienbasiertes Verschlüsselungskonzept zuverlässig schützt. Es ermöglicht Benutzern den sicheren Informationsaustausch und das Arbeiten mit Dateien auf Geräten mit unterschiedlichen Betriebssystemen (Windows, macOS, iOS, Android) mithilfe der
Sophos Secure Workspace App, siehe SafeGuard Enterprise Komponenten
(Seite 4).
Im SafeGuard Management Center verwalten Sie Sicherheitsrichtlinien, Schlüssel und Zertifikate mit einer rollenbasierten Administrationsstrategie. Ausführliche Protokollierung und Reportfunktionen gewährleisten stets den Überblick über alle Ereignisse.
Auf Benutzerseite sind Datenverschlüsselung und Schutz vor Angreifern die primären
Sicherheitsfunktionen von SafeGuard Enterprise. SafeGuard Enterprise fügt sich dabei nahtlos in die gewohnte Benutzerumgebung ein.
Synchronized Encryption - anwendungsbasierte File Encryption
Synchronized Encryption baut auf zwei Annahmen auf - erstens, dass alle Daten wichtig sind und geschützt (verschlüsselt) sein müssen, und zweitens, dass diese Verschlüsselung persistent sein soll, egal wo sich die Daten befinden. Zusätzlich sollen Daten automatisch und transparent verschlüsselt werden, so dass sich Benutzer nicht darum kümmern müssen, ob eine Datei verschlüsselt werden muss oder nicht. Diese grundlegende Prämisse, dass alle Daten wichtig sind und verschlüsselt werden müssen, stellt sicher, dass Daten nahtlos und ohne Zutun des Benutzers verschlüsselt werden. So können Benutzer wie gewohnt produktiv arbeiten, während ihre Daten geschützt bleiben, siehe
Synchronized Encryption (Seite 317).
Pfadbasierte File Encryption
• Cloud Storage
Cloudspeicher-Dienste werden gern genutzt, damit Benutzer von jedem Gerät und von jedem
Ort aus Zugriff auf ihre Daten haben. Ohne Frage ist diese Freiheit wichtig für die Produktivität.
Genauso wichtig ist es jedoch, dass sensible Daten auch beim Speichern in der Cloud sicher bleiben. SafeGuard Enterprise ver- und entschlüsselt Dateien automatisch und unsichtbar, wenn diese über Cloudspeicher-Dienste hoch- oder heruntergeladen werden.
— Verschlüsselt Dateien, die zu Cloudspeicher-Diensten hochgeladen werden.
— Erlaubt überall sicheres Teilen von Daten.
— Erkennt und unterstützt automatisch die häufigsten Cloudspeicher-Dienste wie zum Beispiel
Box, Dropbox, OneDrive und Egnyte.
— Ermöglicht das Lesen von verschlüsselten Dateien mit unserer kostenlosen Sophos Secure
Workspace App für iOS und Android.
• Dateiverschlüsselung
Verschlüsselung dient nicht nur dazu, Daten vor neugierigen Blicken von außen zu schützen. Sie sorgt auch bei der Zusammenarbeit innerhalb des Unternehmens für Sicherheit und Kontrolle
über Dateien. SafeGuard Enterprise geht über simple Ordnerberechtigungen hinaus und sorgt dafür, dass Dateien nur von den Personen gelesen werden können, für die sie bestimmt sind.
Gleichzeitig kann die IT-Abteilung Dateien und Backups effizient verwalten.
Copyright © Sophos Limited 1
SafeGuard Enterprise Administratorhilfe
— Konfiguriert die Dateiverschlüsselung für freigegebene Ordner.
— Stellt sicher, dass nur bestimmte Benutzer oder Gruppen auf Daten zugreifen können.
— Erfordert keine Interaktion seitens Ihrer Benutzer.
— Bietet eine zusätzliche Ebene an Schutz für den Fall, dass die Unternehmensserver in die
Cloud ausgelagert werden.
• Data Exchange
• SafeGuard Enterprise verschlüsselt automatisch und transparent Dateien auf Wechselmedien wie USB-Sticks, Speicherkarten und CDs/DVDs.
— Sie können verschlüsselte Daten auf Wechselmedien einfach innerhalb Ihres Unternehmens austauschen ohne Ihre Benutzer zu beeinträchtigen.
— Mit einer portablen Anwendung und einem Kennwort können Sie verschlüsselte
Wechselmedien auch mit Benutzern ohne SafeGuard Enterprise sicher und einfach teilen.
— Wechselmedien auf Whitelists sorgen für einfachere und flexiblere Verwaltung der
Verschlüsselung.
Festplattenverschlüsselung mit BitLocker
Ermöglicht die Verwaltung von BitLocker auf Endpoints mit Windows 8.1 und Windows 10.
Sicherheit für Macs
Daten auf Macs sind genauso gefährdet wie Daten auf Windows-PCs. Sie sollten Macs daher unbedingt in Ihre Strategie zur Verschlüsselung von Daten miteinbeziehen. SafeGuard Enterprise schützt Ihre Macs mittels Datei- und Festplattenverschlüsselung und stellt sicher, dass alle Daten auf Ihren Macs stets sicher sind. Es enthält Funktionen zum Verschlüsseln von Wechselmedien,
Netzwerkfreigaben und Cloud-Verzeichnissen auf Mac.
• Sie können die Datei- und Festplattenverschlüsselung für Mac im selben Management Center verwalten wie für alle anderen Geräte.
• Verwaltet Geräte, die mit FileVault2 verschlüsselt sind.
• Arbeitet im Hintergrund ohne die Performance zu beeinträchtigen.
• Berichte und komplette Sichtbarkeit des Verschlüsselungsstaus.
Für Mac Endpoints sind die folgenden Module verfügbar. Sie werden auch von SafeGuard
Enterprise verwaltet oder berichten zumindest an das Management Center.
OS X 10.11
macOS
10.12
macOS
10.13
Synchronized
Encryption
- anwendungsbasiert
JA
JA
JA
Sophos SafeGuard
File Encryption
- pfadbasiert
JA
JA
JA
Sophos SafeGuard
Native Device Encryption
FileVault 2 Verwaltung
JA
JA
JA
2 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Sophos Secure Workspace
Schlüssel im SafeGuard Enterprise Schlüsselring können in der Sophos Secure Workspace App
(SSW), die über Sophos Mobile verwaltet wird, bereitgestellt werden. Benutzer der App können dann die Schlüssel zum Entschlüsseln, Lesen und Verschlüsseln von Dokumenten verwenden.
Diese Dateien können dann sicher zwischen allen Benutzern von SafeGuard Enterprise und
SSW ausgetauscht werden. Weitere Informationen finden Sie in der Sophos Secure Workspace
Dokumentation .
Copyright © Sophos Limited 3
SafeGuard Enterprise Administratorhilfe
4
2 Installation
Die Verfügbarkeit einzelner Funktionen hängt von Ihrer Lizenz ab. Für Informationen dazu, was in
Ihrer Lizenz enthalten ist, wenden Sie sich an Ihren Vertriebspartner.
2.1 SafeGuard Enterprise Komponenten
Eine Microsoft SQL Datenbank speichert Informationen über die Endpoints im Firmennetzwerk. Der
Haupt-Sicherheitsbeauftragte oder Master Security Officer (MSO) nutzt das SafeGuard Management
Center, um die Datenbankinhalte zu steuern und neue Sicherheitsrichtlinien (Policies) zu erstellen.
Die Endpoints der Benutzer lesen die Richtlinien aus der Datenbank und berichten an die
Datenbank. Die Kommunikation zwischen Datenbank und Endpoints übernimmt dabei ein Internet
Information Services (IIS) basierter Webserver, auf dem der SafeGuard Enterprise Server eingerichtet ist.
SafeGuard Enterprise Web Helpdesk ist eine optionale Komponente, die eine web-basierte
Recovery-Lösung für verwaltete Clients.
SafeGuard Enterprise besteht aus drei Hauptmodulen:
• Backend
• Software für Windows Endpoints
• Software für macOS Endpoints
Jedes Modul enthält mehrere Komponenten.
SafeGuard Enterprise Backend BKD
Das Backend enthält die Richtlinien für die Verwaltung der SafeGuard Enterprise Endpoints. Es besteht aus:
Srv SafeGuard Enterprise Server:
Er wird von einem Internet Information Services (IIS) basierten Webserver betrieben und verwaltet die Kommunikation zwischen Datenbank und Endpoints. Installationspaket:
SGNServer.msi
. SafeGuard Enterprise Server läuft als Anwendung auf einem Microsoft
Internet Information Services (IIS) basierten Webserver und ermöglicht die Kommunikation zwischen SafeGuard Enterprise Datenbank und SafeGuard Enterprise Endpoints. Der SafeGuard
Enterprise Server sendet auf Anfrage SafeGuard Enterprise Richtlinieneinstellungen an die
Endpoints. Dafür sind .NET Framework 4.5 und ASP.NET 4.5 erforderlich.
Bei SSL als Transportverschlüsselungsmethode für die Client-Server-Kommunikation muss die Rolle Basic Authentication installiert werden.
Er enthält zwei Unterkomponenten:
Web Helpdesk (optional)
WHD
Web Heldesk ist eine web-basierte Recovery-Lösung für verwaltete Clients. Web
Helpdesk unterstützt Benutzer, die sich an ihrem Computer nicht mehr anmelden oder
nicht auf mit SafeGuard Enterprise verschlüsselte Daten zugreifen können, siehe Web
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
MC
DB
Server Taskplaner
STS
Das SafeGuard Management Center bietet den Taskplaner für das Erstellen und Planen von auf Skripten basierenden Tasks, die in regelmäßigen Abständen ausgeführt werden, z. B. zum Synchronisieren von Active Directory und SafeGuard
Enterprise Management Center.
Auf dem SafeGuard Enterprise Server startet ein Service die Tasks automatisch zur
Ausführung der angegebenen Skripte.
SafeGuard Management Center
Der Haupt-Sicherheitsbeauftragte oder Master Security Officer (MSO) nutzt das
SafeGuard Management Center, um die Datenbankinhalte zu steuern und neue
Sicherheitsrichtlinien (Policies) zu erstellen.
Zentrales Management-Werkzeug für durch SafeGuard Enterprise geschützte
Endpoints zur Verwaltung von Schlüsseln und Zertifikaten, Benutzern und Computern, sowie zur Erstellung von SafeGuard Enterprise Richtlinien. Das SafeGuard
Management Center kommuniziert mit der SafeGuard Enterprise Datenbank. .NET
Framework 4,5 ist erforderlich.
Installationspaket: SGNManagementCenter.msi
Multi Tenancy Modus
MTM
Das SafeGuard Management Center Installationspaket kann auch im Multi Tenancy
Modus installiert werden.
Im Falle einer datenbankspezifischen Konfigurationen (Multi Tenancy) ermöglicht das
SafeGuard Management Center den Einsatz von SafeGuard Enterprise mit mehreren
Datenbanken. Sie können verschiedene SafeGuard Enterprise Datenbanken für unterschiedliche Bereiche (z. B. Unternehmensstandorte, Organisationseinheiten oder
Domänen) einrichten und verwalten.
Sie müssen pro Datenbank jeweils eine separate SafeGuard Enterprise Server
Instanz einrichten. Jede Datenbank muss dieselbe Version aufweisen. Es ist beispielsweise nicht möglich, SGN 7 Datenbanken und SGN 8.2 Datenbanken mit einem SGN 8.2 Management Center zu verwalten.
SafeGuard Enterprise Datenbank
Die SafeGuard Enterprise Datenbank(en) enthält/enthalten alle relevanten Daten wie
Schlüssel/Zertifikate, Informationen zu Benutzern und Computern, Ereignisse und die
Richtlinieneinstellungen. Zugriff auf die Datenbank benötigt der SafeGuard Enterprise
Server und ein einziger Sicherheitsbeauftragter des SafeGuard Management Centers, meist der Haupt-Sicherheitsbeauftragte (MSO). Die Erzeugung und Konfiguration der
SafeGuard Enterprise Datenbank(en) kann über einen Assistenten oder über Skripte erfolgen.
Sie können die Datenbank während der initialen Konfiguration des SafeGuard
Management Center mit einem Assistenten oder über ein Skript erzeugen und die
Verbindung zwischen SafeGuard Management Center, Datenbank und SafeGuard
Enterprise Server manuell herstellen.
• Microsoft Active Directory Services (optional):
Copyright © Sophos Limited 5
SafeGuard Enterprise Administratorhilfe
Sie können die Organisationsstruktur Ihres Unternehmens mit Benutzern und Computern aus
Active Directory importieren.
Windows Endpoints WinClient
SafeGuard Enterprise beinhaltet Installationspakete für Festplattenverschlüsselung und für
Dateiverschlüsselung.
Abhängig von Ihren Anforderungen können Sie aus unterschiedlichen Dateiverschlüsselungs-
Paketen wählen. Sie müssen sich entscheiden, ob Sie alle Dateien auf dem Computer, die mit bestimmten Anwendungen gespeichert werden (anwendungsbasiert), oder nur Dateien an bestimmten Speicherorten (pfadbasiert) verschlüsseln wollen.
Sie können nicht Synchronized Encryption (anwendungsbasiert) zusammen mit einem der pfadbasierten Dateiverschlüsselungs-Pakete (CS, FE, DX) auf einem Computer installieren.
Durch SafeGuard Enterprise geschützte Endpoints können entweder mit einem SafeGuard
Enterprise Server verbunden sein (zentral verwaltet) oder ohne Verbindung zu einem SafeGuard
Enterprise Server betrieben werden (Standalone). Zentral verwaltete Endpoints erhalten ihre
Richtlinien direkt vom SafeGuard Enterprise Server. Standalone-Endpoints erhalten ihre Richtlinien und Richtlinien-Updates in Konfigurationspaketen, die auf den Computern installiert werden müssen.
CBM
BL
Client Base Module
Das Client Base Module enthält die erforderlichen Kerndienste und
Authentisierungsmodule.
BitLocker (Windows Native Device Encryption)
Ermöglicht die Verwaltung von BitLocker auf Endpoints mit Windows 8.1 und
Windows 10.
SyncEnc Synchronized Encryption
Verschlüsselt Dateien unabhängig von ihrem Speicherort. (anwendungsbasiert)
Sie können eine Liste von Anwendungen definieren, deren Dateien beim Speichern automatisch verschlüsselt werden.
CS Cloud Storage
Pfadbasierte Dateiverschlüsselung für in der Cloud gespeicherte Daten
FE
DX
File Encryption
Pfadbasierte Dateiverschlüsselung auf lokalen Festplatten und im Netzwerk, speziell für Arbeitsgruppen auf Netzwerkfreigaben
Data Exchange
Ermöglicht pfadbasierte Dateiverschlüsselung von Daten auf Wechselmedien und den sicheren Austausch dieser Daten mit anderen Windows Benutzern.
macOS Endpoints macClient
SafeGuard Enterprise beinhaltet Installationspakete für die Verwaltung der FileVault 2
Festplattenverschlüsselung und für Dateiverschlüsselung. Wenn Sie Dateien verschlüsseln und mit Windows Endpoints austauschen möchten, müssen Sie SafeGuard File Encryption für macOS verwenden.
6 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
FV2 FileVault 2 (SafeGuard Native Device Encryption für Mac)
Ermöglicht die Verwaltung von FileVault 2 auf Macs.
macOSFE SafeGuard File Encryption
Ermöglicht eine dateibasierte Verschlüsselung auf lokalen Laufwerken, auf
Netzlaufwerken, auf Wechsellaufwerken und in der Cloud.
Mit SafeGuard File Encryption für Mac können Sie Dateien sicher ver- und entschlüsseln und diese Dateien mit anderen Benutzern zwischen Mac-Rechnern und
PCs austauschen.
Um Dateien zu lesen, die mit SafeGuard Enterprise auf mobilen Geräten verschlüsselt wurden, verwenden Sie Sophos Secure Workspace für iOS oder Android.
Empfehlungen für den Praxisbetrieb
Um einen hochperformanten Betrieb zu gewährleisten, sollten Sie beim Positionieren der
Komponenten im Netzwerk Folgendes beachten:
• Das SafeGuard Enterprise Management Center sollte so nah wie möglich an der SQL-Datenbank positioniert sein.
• Gleiches gilt für den SafeGuard Enterprise Server.
• Beide Komponenten sollten auf einen Domänencontroller am selben Netzwerkstandort zugreifen können, um eine schnelle Synchronisation zwischen Active Directory und SafeGuard Enterprise zu gewährleisten.
2.2 Erste Schritte
Dieser Abschnitt begleitet Sie mit Best-Practice-Beispielen und Empfehlungen durch eine typische
Installation von SafeGuard Enterprise. Die Anleitung richtet sich an System-, Netzwerk- und
Datenbankadministratoren, die SafeGuard Enterprise (SGN) installieren, und beschreibt ein Setup, das hinsichtlich Kommunikation zwischen den einzelnen Komponenten bestmögliche Sicherheit und
Performance gewährleistet.
Das Dokument geht von einer Struktur aus, in der alle Geräte Mitglieder derselben Domäne sind.
Deshalb sind Abweichungen in der Beschreibung möglich, wenn Sie eine Arbeitsgruppenumgebung verwenden.
• Erstinstallation: Der SGN Install Advisor vereinfacht die erstmalige Einrichtung der Management-
Komponenten einschließlich Standardrichtlinien. Um den SGN Install Advisor für eine neue
SafeGuard Enterprise Installation aufzurufen, starten Sie SGNInstallAdvisor.bat
aus Ihrer
Produktlieferung. Ein Assistent führt Sie durch die Installation.
• Aktualisierung: Führen Sie die nachfolgenden Schritte aus.
(Seite 58).
2.2.1 Installationsschritte
Bevor Sie SafeGuard Enterprise Client Software installieren können, muss ein funktionierendes
Backend eingerichtet werden. Daher empfehlen wir, die Reihenfolge der beschriebenen
Installationsschritte einzuhalten.
Alle SafeGuard Enterprise Komponenten (.msi-Pakete) finden Sie in der Produktlieferung.
Copyright © Sophos Limited 7
SafeGuard Enterprise Administratorhilfe
Schritt
Beschreibung Zu installierendes Paket / zu verwendendes Tool n.v.
1 Systemanforderungen
In den aktuellen Versionsinfos auf der SafeGuard
Versionsinfos Landing-Page finden Sie Informationen zu Hardware- und Software-Anforderungen, Service
Packs sowie Festplattenspeicherbedarf für Installation und effektiven Betrieb.
2 Installer Download
Laden Sie die Installer von der Sophos Website herunter. Sie erhalten hierzu von Ihrem
Systemadministrator die entsprechende Web-
Adresse und die erforderlichen Download-
Anmeldeinformationen. Legen Sie die Dateien an einem
Speicherort ab, auf den Sie für die Installation Zugriff haben.
Weitere Informationen finden Sie im Sophos
Knowledegebase-Artikel 111195 .
k.A.
3 Stellen Sie sicher, dass der Windows Server mit den aktuellsten Windows Updates ausgestattet ist.
Installieren Sie .NET Framework und ASP.NET 4.6.1.
4 Richten Sie Internet Information Services (IIS) für die Anwendung mit SafeGuard Enterprise ein, siehe
Installation und Konfiguration von Microsoft Internet
Information Services (IIS) (Seite 11), und installieren
Sie die Rolle Basic Authentication.
k.A.
k.A.
Informationen zur Rolle Basic Authentication finden Sie im Microsoft-Dokument Basic
Authentication .
Stellen Sie sicher, das .NET Framework 4.5 auf allen Computern installiert ist, auf denen Sie
SafeGuard Enterprise Komponenten installieren möchten.
5 Installieren Sie SafeGuard Enterprise Server
6 Konfigurieren Sie die Microsoft SQL Server
Authentisierung für den SafeGuard Enterprise
Haupt-Sicherheitsbeauftragten, siehe Datenbank-
7 Optional: SafeGuard Enterprise Datenbank(en) über
Skripte erzeugen.
Der SafeGuard Management Center
Konfigurationsassistent kann die Datenbank automatisch nach der Installation des SafeGuard
Management Centers erstellen (Schritt 9).
SGNServer.msi
n.v.
Skripte in der Produktlieferung
8 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Schritt
Beschreibung Zu installierendes Paket / zu verwendendes Tool
SGNManagementCenter.msi
8 Installieren Sie das SafeGuard Management Center für die zentrale Verwaltung von Benutzern, Computern,
Richtlinien, Schlüsseln und Berichten.
9 Konfigurieren Sie das SafeGuard Management Center:
Datenbank und Datenbankserver-Verbindungen,
Zertifikate, Anmeldeinformationen für den Haupt-
Sicherheitsbeauftragten.
10 Registrieren und konfigurieren Sie den SafeGuard
Enterprise Server: Erzeugen Sie das Server-
Konfigurationspaket und installieren SIe es auf dem IIS
Server.
11 Erstellen Sie die Organisationsstruktur aus Active
Directory oder manuell.
12 Vorbereiten der Endpoints für die Verschlüsselung
13 Erstellen Sie das erste Konfigurationspaket für die
Endpoint-Konfiguration.
14 Installieren Sie die Verschlüsselungssoftware und das
Konfigurationspaket auf den Endpoints.
SafeGuard Management Center
Konfigurationsassistent
Konfigurationspakete-Funktion im
SafeGuard Management Center.
SafeGuard Management Center
SGxClientPreinstall.msi
Konfigurationspakete-Funktion im
SafeGuard Management Center.
Für Informationen zu den verfügbaren Paketen, siehe
40).
2.2.2 Kompatibilität mit weiteren Sophos-Produkten
Dieser Abschnitt beschreibt die Kompatibilität von SafeGuard Enterprise mit anderen Sophos-
Produkten.
Kompatibilität mit Sophos Central
• SafeGuard Enterprise Device Encryption kann nicht gleichzeitig mit Sophos Central Device
Encryption auf Windows Endpoints und Macs verwendet werden.
• SafeGuard Enterprise 8.2 File Encryption kann gleichzeitig mit Sophos Central Device Encryption auf Windows Endpoints und Macs verwendet werden.
Kompatibilität mit SafeGuard LAN Crypt
SafeGuard Enterprise 8.2 und SafeGuard LAN Crypt können nicht zusammen auf einem Endpoint installiert werden.
Copyright © Sophos Limited 9
SafeGuard Enterprise Administratorhilfe
Kompatibilität mit Sophos Enterprise Console
Wenn Sie die Verschlüsselung mit Sophos Enterprise Console (SEC) verwalten, installieren Sie den
SafeGuard Enterprise Server und seine Komponenten Web Helpdesk und Server Task Scheduler oder ein SafeGuard Management Center nicht auf einem Server, auf dem der SEC Management Server installiert ist.
Kompatibilität mit Sophos Mobile
SafeGuard Enterprise arbeitet mit Sophos Mobile zusammen indem ein gemeinsamer Schlüsselring verwendet wird. Das bedeutet, dass Benutzer auf ihren Mobilgeräten sicher auf Dateien zugreifen können, die mit einem SGN-Schlüssel verschlüsselt sind. Umgekehrt können Benutzer auch Dateien in ihrer Secure Workspace App erstellen und später auf ihrem mit SGN geschützten Computer
öffnen.
Voraussetzungen:
• Registrieren Sie den Sophos Mobile Server mit seinem Zertifikat am SGN Server im
Management Center (Extras > Konfigurationspakete > Server).
• Stellen Sie eine sichere SSL/TLS-Verbindung zwischen den Servern her. Wir empfehlen die
Verwendung des TLS 1.2 Verschlüsselungsprotokolls zur Vermeidung von bekannten SSL-
Angriffen.
• Verwenden Sie Active Directory damit Benutzer in SGN über ihre AD-Informationen identifiziert werden können.
10
2.3 Einrichten des SafeGuard Enterprise Servers
Der SafeGuard Enterprise Server stellt die Schnittstelle zu den SafeGuard Enterprise Clients her.
Er greift wie das SafeGuard Management Center auf die Datenbank zu. Er läuft als Applikation auf einem Web Server basierend auf Microsoft Internet Information Services (IIS). Stellen Sie sicher, dass Sie die aktuellste Version von IIS mit den neuesten Updates verwenden.
Für bestmögliche Sicherheit und Performance empfehlen wir, den SafeGuard Enterprise Server auf einer dedizierten Maschine zu installieren. Dies gewährleistet außerdem, dass keine anderen
Anwendungen mit SafeGuard Enterprise in Konflikt geraten.
Der SafeGuard Enterprise Server bietet außerdem den Taskplaner, mit dem Sie periodische
Tasks, die auf Skripten basieren, erstellen und geplant ausführen lassen können. Die Tasks laufen automatisch auf dem SafeGuard Enterprise Server. Sie finden zahlreiche Skripte für unterschiedliche
Anwendungsfälle in der SafeGuard Enterprise Produktlieferung. Diese können Sie als Vorlagen für
Ihre Umgebung verwenden.
Ab Version 8.1 ist der SafeGuard Enterprise Web Helpdesk im Installationspaket SGNServer.msi
enthalten, siehe
(Seite 361).
2.3.1 Voraussetzungen
Folgende Voraussetzungen müssen erfüllt sein:
• Sie benötigen Windows Administratorrechte.
• Microsoft Internet Information Services (IIS) muss verfügbar sein.
IIS steht auf der Microsoft-Website zum Download bereit.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• Wenn Sie SSL als Transportverschlüsselung zwischen SafeGuard Enterprise Server und
SafeGuard Enterprise Client verwenden, muss der IIS Server dafür eingerichtet werden, siehe
Sichern von Transportverbindungen mit SSL
(Seite 31).
— Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden, dass er SSL verwendet und auf das Zertifikat zeigt.
— Der Servername, den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben, muss identisch sein mit dem Servernamen, den Sie vorab im SSL-Zertifikat angegeben haben. Sonst können Client und Server nicht miteinander kommunizieren. Alias-DNS-Namen werden nicht unterstützt, da sie mit der SSL-Implementierung in Konflikt geraten könnten.
— Für jeden SafeGuard Enterprise Server wird ein separates SSL-Zertifikat benötigt.
Wenn Sie Windows- und macOS-Endpoints verwalten, sollten SSL-Zertifikate von einer
Zertifizierungsstelle (CA) ausgestellt werden, da Apple ab macOS 10.12 keine selbst signierten Zertifikate für SSL-Verbindungen mehr zulässt.
— Wenn Sie Network Load Balancer einsetzen, vergewissern Sie sich, dass der Portbereich den SSL-Port mit einschließt.
• .NET Framework 4.5 und ASP.NET 4.5 (in der SafeGuard Enterprise Produktlieferung enthalten) müssen installiert sein.
2.3.2 Installation und Konfiguration von Microsoft Internet
Information Services (IIS)
Dieser Abschnitt beschreibt, wie Sie Microsoft Internet Information Services (IIS) für den Betrieb mit
SafeGuard Enterprise Server vorbereiten.
Installieren und Konfigurieren von IIS 7/7.5 auf Microsoft Windows Server
2008 R2
IIS steht auf der Microsoft-Website zum Download bereit.
1. Klicken Sie im Start Menü auf Alle ProgrammeAdministrationServer-Manager.
2. Klicken Sie im Server Manager auf RollenübersichtRollen hinzufügen.
3. Verifizieren Sie auf der Vorbemerkungen Seite des Rollen hinzufügen Assistenten Folgendes:
• Das Administratorenkonto hat ein sicheres Kennwort.
• Die Netzwerkeinstellungen, zum Beispiel IP-Adressen, sind konfiguriert.
• Die neuesten Windows-Sicherheits-Updates sind installiert.
4. Wählen Sie Rollen auswählen auf der rechten Seite und dann Webserver (IIS). Klicken
Sie auf der folgenden Seite auf Erforderliche Features hinzufügen. Webserver (IIS) ist im
Navigationsbereich des Rollen hinzufügen Assistenten aufgelistet.
5. Klicken Sie auf Webserver (IIS) und dann auf Rollendienste. Behalten Sie die Standard-
Rollendienste bei.
6. Wählen Sie auf der rechten Seite zusätzlich Folgendes: ASP.NET, dadurch werden alle notwendigen untergeordneten Rollendienste ebenfalls ausgewählt.
7. Wählen Sie IIS-Verwaltungsskripts und -tools. Dies ist für die richtige IIS Konfiguration erforderlich.
8. Klicken Sie auf WeiterInstallierenSchließen.
IIS wird mit einer Standardkonfiguration zum Hosten von ASP.NET installiert.
Copyright © Sophos Limited 11
SafeGuard Enterprise Administratorhilfe
9. Überprüfen Sie mit http://< server name>, ob die Web-Seite korrekt angezeigt wird. Weitere
Informationen finden Sie unter: http://support.microsoft.com
.
Prüfen der .NET Framework Registrierung bei IIS 7
.NET Framework Version 4,5 ist erforderlich. Sie finden das Programm in der SafeGuard Enterprise
Produktlieferung.
So überprüfen Sie, ob das Programm korrekt auf IIS 7 installiert ist:
1. Wählen Sie im Start Menü den Befehl Ausführen....
2. Geben Sie folgendes Kommando ein: Appwiz.cpl
. Alle auf dem Computer installierten
Programme werden angezeigt.
3. Überprüfen Sie, ob .NET Framework Version 4,5 angezeigt wird. Wird die Version nicht angezeigt, installieren Sie sie. Folgen Sie den Schritten im Installationsassistenten und bestätigen Sie alle
Standardeinstellungen.
4. Um zu prüfen, ob die Installation korrekt registriert ist, wechseln Sie in C:\Windows\Microsoft.NET
\Framework. Jede installierte Version muss als separater Ordner mit der Version als Ordnername sichtbar sein, "v4.5".
Prüfen der ASP.NET Registrierung bei IIS 7
ASP.NET Version 4,5 ist erforderlich.
Um zu überprüfen, ob ASP.NET installiert und mit der korrekten Version registriert ist, geben Sie das
Kommando aspnet_regiis.exe -lv auf der Kommandozeile ein.
Für ASP.NET Version sollte Version 4.5 angezeigt werden.
Installieren und Konfigurieren von IIS 8 auf Microsoft Windows Server
2012/2012 R2 und Windows Server 2016
IIS steht auf der Microsoft-Website zum Download bereit.
1. Klicken Sie am Server-Manager Dashboard auf VerwaltenRollen und Features hinzufügen.
2. Im Assistent zum Hinzufügen von Rollen und Features, auf der Seite Vorbemerkungen,
überprüfen Sie Folgendes:
• Das Administratorenkonto hat ein sicheres Kennwort.
• Die Netzwerkeinstellungen, zum Beispiel IP-Adressen, sind konfiguriert.
• Die neuesten Windows-Sicherheits-Updates sind installiert.
3. Wählen Sie Serverrollen im linken Fenster und wählen Sie dann Web Server (IIS). Klicken Sie auf
Features hinzufügen im angezeigten Fenster. Rolle "Webserver" (IIS) wird im linken Bereich des
Assistent zum Hinzufügen von Rollen und Features gelistet.
4. Wählen Sie Rollendienste unter Rolle "Webserver" (IIS). Behalten Sie die Standard-
Rollendienste bei.
5. Scrollen Sie nach unten zum Knoten Anwendungsentwicklung und wählen Sie:
• ASP.NET 4.5
• ISAPI Extensions
• ISAPI Filters
Notwendige untergeordnete Rollendienste werden automatisch ausgewählt.
6. Unter dem Knoten Sicherheit aktivieren Sie:
• Basic Authentication
• Windows Authentication
7. Klicken Sie auf WeiterInstallierenSchließen.
12 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
IIS wird mit der Standardkonfiguration für das Hosten von ASP.NET am Windows Server installiert.
Bestätigen Sie über http://<Computername>, dass der Web-Server funktioniert. Wenn die
Webseite nicht richtig angezeigt wird, wenden Sie sich bitte an die Microsoft Knowledge Base
(http://support.microsoft.com).
2.3.3 Installieren von SafeGuard Enterprise Server
Nachdem der IIS konfiguriert ist, können Sie SafeGuard Enterprise Server auf dem IIS Server installieren. Das Installationspaket SGNServer.msi
finden Sie in der Produktlieferung. Damit können Sie folgende Module installieren:
• Server
• Scheduler Service (optional)
• Web Helpdesk (optional)
1. Doppelklicken Sie auf dem Server, auf dem Sie SafeGuard Enterprise Server installieren möchten, auf SGNServer.msi
. Ein Assistent führt Sie durch die notwendigen Schritte.
2. Wählen Sie die zusätzlichen Komponenten, die Sie installieren wollen:
• Taskplaner
Der Taskplaner wird automatisch mit dem Installationstyp Typisch installiert.
• Web Helpdesk
Ab Version 8.1 ist der SafeGuard Enterprise Web Helpdesk im Installationspaket
SGNServer.msi
enthalten, siehe
(Seite 361).
3. Klicken Sie auf Installieren.
SafeGuard Enterprise Server und ausgewählte zusätzliche Komponenten werden installiert.
Um den Erfolg der Installation zu überprüfen, öffnen Sie Internetinformationsdienste-Manager
(Ausführen > inetmgr ) und stellen Sie sicher, dass eine Webseite SGNSRV verfügbar ist.
Protokollierte Ereignisse am Server
Aus Performance-Gründen ist die Verkettung von protokollierten Ereignissen für die SafeGuard
Enterprise Datenbank nach der Installation des SafeGuard Enterprise Servers standardmäßig deaktiviert. Für den Integritätsschutz protokollierter Ereignisse ist jedoch die Verkettung protokollierter Ereignisse erforderlich. Dabei werden alle Einträge in der Ereignistabelle miteinander verkettet, so dass die Entfernung eines Eintrags sichtbar wird und über eine Integritätsprüfung nachgewiesen werden kann. Um den Integritätsschutz zu nutzen, müssen Sie die Verkettung von protokollierten Ereignissen manuell aktivieren. Für weitere Informationen, siehe
168).
Sie müssen ein SafeGuard Client-Installationspaket installieren, um dem Server zu ermöglichen,
Ereignisse an die SafeGuard Enterprise Datenbank weiterzuleiten.
Copyright © Sophos Limited 13
SafeGuard Enterprise Administratorhilfe
14
2.4 Einrichten einer SafeGuard Enterprise
Datenbank
SafeGuard Enterprise speichert alle relevanten Daten wie Schlüssel, Zertifikate, Informationen zu
Benutzern und Computern, Ereignisse und die Richtlinieneinstellungen in einer Datenbank. Die
SafeGuard Enterprise Datenbank basiert auf Microsoft SQL Server.
Prüfen Sie die Liste der aktuell unterstützten SQL Server Typen im Abschnitt zu den
Systemanforderungen in der aktuellen Versionsinfo .
Bedenken Sie, wenn Sie die SQL Express Edition verwenden, die von Microsoft vorgegebene
Größenbeschränkung für die Datenbank. Die SQL Express Edition ist für größere Umgebungen eher ungeeignet.
Sie können die Datenbank entweder automatisch während der Erstkonfiguration im SafeGuard
Management Center oder manuell mit den in Ihrer Produktlieferung verfügbaren SQL Skripten einrichten. Wählen Sie die geeignete Methode nach den Gegebenheiten in Ihrer Firmenumgebung.
In beiden Fällen müssen Sie erst sicherstellen, dass Sie die nötigen Datenbankzugriffsrechte besitzen, siehe
(Seite 14).
Sie können mehrere SafeGuard Enterprise Datenbanken für unterschiedliche Mandanten wie
Firmenstandorte, Organisationseinheiten oder Domänen einrichten und verwalten (Multi Tenancy).
Im Multi Tenancy Modus müssen alle Mandaten dieselbe Version von SafeGuard Enterprise
installiert haben. Informationen zur Konfiguration von Multi Tenancy finden Sie unter Mit mehreren
Datenbankkonfigurationen arbeiten (Multi Tenancy) (Seite 85).
Für die Kommunikation mit SQL über eine Firewall sind die TCP/IP Ports 1433 und 1434 erforderlich.
2.4.1 Datenbank-Authentisierung
Um auf die SafeGuard Enterprise Datenbank zuzugreifen, muss sich der erste
Sicherheitsbeauftragte des SafeGuard Management Centers am SQL Server authentisieren. Es gibt folgende Möglichkeiten:
• Windows-Authentisierung: Ernennen Sie einen vorhandenen Windows-Benutzer zum SQL-
Benutzer
• SQL-Authentisierung: Richten Sie ein SQL-Benutzerkonto ein.
Fragen Sie Ihren SQL-Administrator, welche Form der Authentisierung Sie als
Sicherheitsbeauftragter verwenden sollen. Sie benötigen diese Information vor der Erzeugung der Datenbank und vor der Erstkonfiguration des SafeGuard Management Centers im SafeGuard
Management Center Konfigurationsassistenten.
Verwenden Sie SQL-Authentisierung für Computer, die sich nicht in einer Domäne befinden.
Ansonsten verwenden Sie Windows-Authentisierung. Wenn Sie SQL-Authentisierung einsetzen, empfehlen wir, die Verbindung zu und vom Datenbankserver durch SSL zu sichern. Für weitere
Informationen, siehe
Sichern von Transportverbindungen mit SSL (Seite 31).
Datenbankzugriffsrechte
SafeGuard Enterprise ist so eingerichtet, dass es für das Zusammenspiel mit der SQL-Datenbank nur ein einziges Benutzerkonto mit minimalen Zugriffsberechtigungen auf die Datenbank benötigt.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Die SafeGuard Enterprise Datenbank kann entweder manuell oder automatisch während der
Erstkonfiguration im SafeGuard Management Center erzeugt werden. Soll die Datenbank automatisch erstellt werden, so sind für den ersten SafeGuard Management Center
Sicherheitsbeauftragten erweiterte Zugriffsrechte für die SQL Datenbank (db_creator) erforderlich.
Diese Berechtigungen können dem Sicherheitsbeauftragten danach vom SQL-Administrator aber wieder bis zur nächsten Installation/Aktualisierung entzogen werden.
Während des Betriebs von SafeGuard Enterprise benötigt ein einziger Sicherheitsbeauftragter des
SafeGuard Management Centers nur die Lese/Schreib-Berechtigung für die SafeGuard Enterprise
Datenbank.
Wenn die Erweiterung der Rechte während der Installation des SafeGuard Management Centers nicht gewünscht ist, kann der SQL-Administrator die SafeGuard Enterprise Datenbank per Skript erzeugen. Dazu können die beiden Skripte CreateDatabase.sql und CreateTables.sql aus der
Produktlieferung ausgeführt werden.
Die folgende Tabelle zeigt die notwendigen SQL-Berechtigungen für die unterschiedlichen
Versionen von Microsoft SQL Server.
Zugriffsberechtigung SQL Server
Datenbank erstellen
Server
Master Datenbank
SafeGuard Enterprise Datenbank
Datenbank benutzen
Server
Master Datenbank
SafeGuard Enterprise Datenbank db_creator keine db_ownerpublic (Standard) keine keine db_datareader db_datawriter public (Standard)
Konfigurieren eines Windows-Benutzerkontos für die Anmeldung am SQL
Server
Die folgende Beschreibung der einzelnen Konfigurationsschritte wendet sich an SQL-
Administratoren und bezieht sich auf Microsoft Windows Server 2008 R2 und Microsoft SQL Server,
Standard oder Express Edition.
Als SQL-Administrator benötigen Sie das Recht zum Anlegen von Benutzerkonten.
1. Öffnen Sie SQL Server Management Studio. Melden Sie sich am SQL Server mit Ihren
Anmeldeinformationen an.
2. Öffnen Sie den Objekt-Explorer, klicken Sie mit der rechten Maustaste auf Sicherheit, wählen Sie
Neu und klicken Sie dann auf Anmelden.
3. Wählen Sie unter Anmeldung - Neu auf der Allgemein Seite die Option Windows-
Authentifizierung.
Copyright © Sophos Limited 15
SafeGuard Enterprise Administratorhilfe
4. Klicken Sie auf Suchen. Suchen Sie nach dem relevanten Windows-Benutzernamen und klicken
Sie auf OK. Der Benutzername wird als Anmeldename angezeigt.
5. Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde, wählen Sie unter Standarddatenbank die Option Master.
6. Klicken Sie auf OK.
7. Um die Datenbank automatisch während der Erstkonfiguration des SafeGuard Management
Centers zu erzeugen, müssen Sie die Zugriffsrechte wie folgt ändern: Weisen Sie jetzt unter
Anmeldung - Neu die Zugangsberechtigungen/Rollen zu, indem Sie links auf Serverrollen klicken. Wählen Sie dbcreator. Nach der Installation von SafeGuard Enterprise kann die
Datenbankrolle auf dbowner zurückgesetzt werden.
16
Erstellen eines SQL-Kontos für die Anmeldung am SQL Server
Jeder Benutzer, der das SafeGuard Management Center verwenden soll, benötigt ein gültiges SQL-
Benutzerkonto wenn Windows-Authentifizierung für die Verbindung mit der SafeGuard-Datenbank verwendet wird.
Die nachfolgende Beschreibung der einzelnen Konfigurationsschritte richtet sich an SQL-
Administratoren. Sie bezieht sich auf Microsoft Windows Server 2008 R2 mit Microsoft SQL Server
Standard Edition.
Als SQL-Administrator benötigen Sie das Recht, ein SQL-Benutzerkonto zu erstellen.
1. Öffnen Sie SQL Server Management Studio. Melden Sie sich am SQL Server mit Ihren
Anmeldeinformationen an.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
2. Öffnen Sie den Objekt-Explorer, klicken Sie mit der rechten Maustaste auf Sicherheit und wählen
Sie NeuAnmelden.
3. Wählen Sie unter Anmeldung - Neu auf der Seite Allgemein die Option SQL Server
Authentifizierung.
4. Führen Sie auf der Seite Allgemein bei Anmeldename folgende Schritte durch: a) Geben Sie den Namen des neuen Benutzers ein, z. B. SGN SQLSERVICE.
b) Geben Sie ein Kennwort für das Konto ein und bestätigen Sie es.
c) Deaktivieren Sie Kennwortrichtlinie erzwingen.
d) Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde, wählen
Sie unter Standarddatenbank die Option Master. Klicken Sie auf OK.
Notieren Sie sich die Authentisierungsmethode und die Anmeldedaten. Sie müssen diese dem
SafeGuard Management Center Sicherheitsbeauftragten mitteilen.
5. Um die Datenbank automatisch während der Erstkonfiguration des SafeGuard Management
Centers zu erzeugen, müssen Sie die Zugriffsrechte wie folgt ändern: Weisen Sie jetzt unter
Anmeldung - Neu unter Allgemein die Zugangsberechtigungen/Rollen zu, indem Sie links auf
Serverrollen klicken. Wählen Sie dbcreator. Nach der Installation von SafeGuard Enterprise kann die Datenbankrolle auf dbowner zurückgesetzt werden.
Copyright © Sophos Limited 17
SafeGuard Enterprise Administratorhilfe
18
Das SQL-Benutzerkonto und die Zugriffsberechtigungen sind damit für den SafeGuard Enterprise
Sicherheitsbeauftragten eingerichtet.
2.4.2 Erzeugen der SafeGuard Enterprise Datenbank
Nachdem das Benutzerkonto für die SQL Server Anmeldung eingerichtet ist, können Sie die
SafeGuard Enterprise Datenbank erzeugen. Hier gibt es zwei Möglichkeiten:
• Mit dem SafeGuard Management Center Konfigurationsassistenten
Als Sicherheitsbeauftragter können Sie die SafeGuard Enterprise Datenbank während der
Erstkonfiguration im SafeGuard Management Centers leicht und bequem erstellen. Der
SafeGuard Management Center Konfigurationsassistent führt Sie durch die Basiskonfiguration, zu der auch die Erstellung der Datenbank gehört. Fahren Sie hierzu mit der Installation und
Konfiguration des SafeGuard Management Center fort (siehe Einrichten des SafeGuard
(Seite 22)) und ändern Sie dann die relevanten Zugriffsrechte (siehe
Ändern der Zugriffsrechte für die SafeGuard Enterprise Datenbank (Seite 19)).
• Mit SQL Skripts, die in der Produktlieferung zur Verfügung stehen.
Dieser Weg ist dann angebracht, wenn die Erweiterung der Datenbankberechtigung während der Konfiguration des SafeGuard Management Centers nicht gewünscht ist.
Es hängt von Ihrer Unternehmensumgebung ab, welche Methode Sie anwenden. Am besten sollte dies zwischen SQL-Administrator und SafeGuard Enterprise Sicherheitsbeauftragtem vorab geklärt werden.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Voraussetzungen
Folgende Voraussetzungen müssen erfüllt sein:
• Microsoft SQL Server muss bereits installiert und konfiguriert sein. Für kleinere Unternehmen eignet sich der Einsatz der Microsoft SQL Express Edition, da keine Lizenzkosten anfallen.
• Aus Performance-Gründen sollte Microsoft SQL Server nicht auf dem Rechner installiert werden, auf dem der SafeGuard Enterprise Server installiert wird.
• Die Authentisierungsverfahren sowie die Zugriffsrechte für die Datenbank sollten geklärt werden.
Erzeugen der SafeGuard Enterprise Datenbank per Skript
Wenn Sie die SafeGuard Datenbank automatisch während der Konfiguration des SafeGuard
Management Center erzeugen möchten, können Sie diesen Schritt überspringen. Wenn erweiterte
SQL-Berechtigungen während der SafeGuard Management Center Konfiguration nicht erwünscht sind, führen Sie diesen Schritt aus. Dazu stehen im Tools-Verzeichnis der Produktlieferung zwei
Datenbank-Skripte zur Verfügung:
• CreateDatabase.sql
• CreateTables.sql
Die folgende Beschreibung der Arbeitsschritte wendet sich an SQL-Administratoren und bezieht sich auf Microsoft SQL Server Standard Edition.
Als SQL-Administrator benötigen Sie das Recht zum Erstellen einer Datenbank.
1. Kopieren Sie die Skripte CreateDatabase.sql und CreateTables.sql aus der SafeGuard Enterprise
Produktlieferung auf den SQL Server.
2. Doppelklicken Sie auf dem Skript CreateDatabase.sql. Das Programm SQL Server Management
Studio wird aufgerufen.
3. Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an.
4. Überprüfen Sie, ob die beiden Zielpfade, die zu Beginn des Skripts unter FILENAME (MDF, LDF) angegeben sind, auf der lokalen Festplatte vorhanden sind. Korrigieren Sie sie, wenn nötig.
5. Klicken Sie auf die Schaltfläche Ausführen in der Symbolleiste, um die Datenbank zu erzeugen.
Sie haben die Datenbank SafeGuard angelegt. Erzeugen Sie anschließend die Tabellen mit Hilfe des Skripts CreateTables.sql aus der Produktlieferung.
6. Doppelklicken Sie auf CreateTables.sql. Ein weiterer Bereich wird in Microsoft SQL Server
Management Studio geöffnet.
7. Geben Sie am Beginn des Skripts use SafeGuard ein, um die SafeGuard Enterprise Datenbank auszuwählen, in der die Tabellen erstellt werden sollen.
8. Klicken Sie auf die Schaltfläche Ausführen in der Symbolleiste, um die Tabellen zu erzeugen.
Die SafeGuard Enterprise Datenbank und die zugehörigen Tabellen sind erzeugt.
2.4.3 Ändern der Zugriffsrechte für die SafeGuard Enterprise
Datenbank
Nach dem Erstellen der SafeGuard Enterprise Datenbank muss dem Benutzerkonto Zugriff auf die
Datenbank gewährt werden. Diese Zugriffsrechte werden für alle Sicherheitsbeauftragten benötigt, die mit dem SafeGuard Management Center arbeiten und wenn Windows NT Authentisierung verwendet wird. Da es möglich ist, einem Benutzer für eine Datenbank unterschiedliche Rollen und
Berechtigungen zuzuweisen, sind nur die Mindestanforderungen beschrieben.
Copyright © Sophos Limited 19
SafeGuard Enterprise Administratorhilfe
1. Öffnen Sie SQL Server Management Studio. Melden Sie sich am SQL Server mit Ihren
Anmeldeinformationen an.
2. Öffnen Sie den Objekt-Explorer, doppelklicken Sie auf Sicherheit und dann auf Anmeldungen.
3. Klicken Sie mit der rechten Maustaste auf den erforderlichen Benutzer und klicken Sie dann auf
Eigenschaften.
4. Wählen Sie Benutzerzuordnung auf der linken Seite. Wählen Sie unter Users mapped to this
login (Benutzer, die dieser Anmeldung zugeordnet sind) die Datenbank SafeGuard.
5. Definieren Sie die erforderlichen Zugriffsrechte für die Benutzung der SafeGuard Enterprise
Datenbank unter Mitgliedschaft in Datenbankrolle für: Wählen Sie db_datareader,
db_datawriter und public.
6. Klicken Sie auf OK.
2.4.4 Überprüfung von Einstellungen für SQL-Dienste, Named
Pipes und TCP/IP
Bei der Installation des SafeGuard Management Center muss der SQL Browser Service laufen und Named Pipes und TCP/IP müssen aktiv sein. Diese Einstellungen sind erforderlich, um von anderen Maschinen aus auf den SQL-Server zugreifen zu können. Dies kann im SQL Server-
Konfigurations-Manager überprüft werden. Diese Beschreibung bezieht sich auf Microsoft
Windows Server 2008 (R2) und Microsoft SQL Server 2012 Standard oder Express Edition.
1. Öffnen Sie den SQL Server-Konfigurations-Manager.
2. Wählen Sie in der Navigationsstruktur auf der linken Seite SQL Server-Dienste.
3. Überprüfen Sie, ob der Status von SQL Server und SQL Server Browser Läuft und der
Startmodus auf Automatisch eingestellt ist.
4. Wählen Sie in der Navigationsstruktur auf der linken Seite SQL Server-Netzwerkkonfiguration.
5. Klicken Sie mit der rechten Maustaste auf das Protokoll Named Pipes und klicken Sie auf
Aktiviert.
6. Klicken Sie mit der rechten Maustaste auf das Protokoll TCP/IP und klicken Sie auf Aktiviert.
7. Klicken Sie außerdem mit der rechten Maustaste auf das Protokoll TCP/IP und klicken Sie auf
Eigenschaften. Belassen Sie in der Registerkarte IP-Adressen unter IPAlll das Feld Dynamische
TCP-Ports leer. Geben Sie im Feld TCP Port den Wert 1433 ein.
8. Starten Sie die SQL-Dienste neu.
2.4.5 Erstellen einer Windows Firewall Regel auf Windows
Server
Dieser Abschnitt bezieht sich auf Microsoft Windows Server mit Microsoft SQL Server 2012
Standard oder Express Edition. Wenn Sie diese Konfiguration verwenden, führen Sie die nachfolgend angegebenen Schritte aus um sicherzustellen, dass eine Verbindung zwischen der
SafeGuard Enterprise Datenbank und dem SafeGuard Management Center hergestellt werden kann.
1. Klicken Sie auf dem Computer, der als Host für die SQL Server Instanz dient, auf Start, wählen Sie
Verwaltung und klicken Sie dann auf Windows-Firewall mit erweiterter Sicherheit.
2. Wählen Sie in der Navigationsstruktur auf der linken Seite Eingehende Regeln.
3. Klicken Sie in der Menüleiste auf Aktion und dann auf Neue Regel. Der Assistent für neue
eingehende Regeln wird gestartet.
4. Wählen Sie auf der Regeltyp Seite Benutzerdefiniert und klicken Sie auf Weiter.
20 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
5. Wählen Sie auf der Programm Seite die Programme und Dienste, auf die diese Regel angewendet werden soll. Klicken Sie dann auf Weiter.
6. Wählen Sie auf der Protokolle und Ports Seite TCP als Protokolltyp. Wählen Sie für Lokaler
Port die Option Bestimmte Ports und geben Sie 1433, 1434 ein. Wählen Sie für Remoteport die Option Alle Ports. Klicken Sie auf Weiter.
7. Auf der Bereich Seite können Sie festlegen, dass die Regel nur für den Netzverkehr von oder an die auf dieser Seite angegebenen IP-Adressen gilt. Nehmen Sie die entsprechende Konfiguration vor und klicken Sie auf Weiter.
8. Wählen Sie auf der Seite Aktion die Option Verbindung zulassen und klicken Sie auf Weiter.
9. Geben Sie auf der Seite Profil an, wo die Regel angewendet werden soll. Klicken Sie dann auf
Weiter.
10. Geben Sie auf der Seite Name einen Namen und eine Beschreibung für Ihre Regel ein und klicken
Sie auf Beenden.
2.4.6 Konfigurieren der Windows-Authentisierung für die
Anmeldung am SQL Server
Dieser Abschnitt bezieht sich auf Microsoft Windows Server mit Microsoft SQL Server 2012
Standard Edition und IIS 7.
Um die Kommunikation zwischen dem SafeGuard Enterprise Server und der SafeGuard Enterprise
Datenbank bei Anwendung der Windows-Authentisierung zu ermöglichen, muss der Benutzer zu einem Mitglied von Active Directory Gruppen gemacht werden. Die Berechtigungen für lokale
Dateien müssen angepasst werden und das SQL Benutzerkonto muss in den Anwendungspool des
IIS aufgenommen werden.
1. Wählen Sie Start und dann Ausführen. Geben Sie dsa.msc ein. Öffnen Sie das Active Directory
Users and Computers Snap-in.
2. Klappen Sie in der Navigationsstruktur auf der linken Seite die Domänenstruktur aus und wählen
Sie Builtin.
3. Fügen Sie den relevanten Windows-Benutzer zu folgenden Gruppen hinzu: IIS_IUSRS,
Performance Log Users, Performance Monitor Users.
4. Beenden Sie das Snap-in.
5. Klicken Sie im lokalen Dateisystem im Windows Explorer mit der rechten Taste auf den C:
\Windows\Temp Ordner und wählen Sie Eigenschaften. Wählen unter Eigenschaften die
Registerkarte Sicherheit.
6. Klicken Sie unter Sicherheit auf Hinzufügen und geben Sie den relevanten Windows-
Benutzernamen im Feld Geben Sie die zu verwendenden Objektnamen ein ein. Klicken Sie auf
OK.
7. Klicken Sie unter Sicherheit bei Berechtigungen auf Erweitert. Klicken Sie in der
Berechtigungen Registerkarte des Dialogs Erweiterte Sicherheitseinstellungen für Temp auf Bearbeiten. Setzen Sie dann im Objekt Dialog die folgenden Berechtigungen auf Zulassen:
Ordner auflisten / Daten lesen, Dateien erstellen / Daten schreiben, Löschen.
8. Klicken Sie auf OK, schließen Sie den Dialog Eigenschaften für Temp und schließen Sie dann den Windows Explorer.
9. Öffnen Sie den Internet Information Services Manager.
10. Wählen Sie im Bereich Verbindungen auf der linken Seite die Anwendungspools für den relevanten Server-Knoten.
11. Wählen Sie aus der Anwendungspools Liste auf der rechten Seite SGNSRV-Pool.
12. Wählen Sie im Aktionen Bereich auf der linken Seite Erweiterte Einstellungen.
Copyright © Sophos Limited 21
SafeGuard Enterprise Administratorhilfe
13. Klicken Sie in Erweiterte Einstellungen unter Prozessmodell für die Eigenschaft Identität auf die
... Schaltfläche.
14. Wählen Sie in Identität des Anwendungspools die Option Benutzerdefiniertes Konto und klicken Sie auf Festlegen.
15. Geben Sie in Anmeldeinformationen festlegen den relevanten Windows-Benutzernamen in folgender Form ein: Domäne\<Windows-Benutzername> . Geben Sie das entsprechende
Windows-Kennwort ein, bestätigen Sie es und klicken Sie auf OK.
16. Wählen Sie im Bereich Verbindungen auf der linken Seite den relevanten Server-Knoten und klicken Sie im Aktionen Bereich auf Neu starten.
17. Wählen Sie im Bereich Verbindungen auf der linken Seite unter dem relevanten Server-Knoten unter Sites Standard-Websites die Option SGNSRV.
18. Doppelklicken Sie auf der SGNSRV Homepage auf Authentifizierung.
19. Klicken Sie mit der rechten Maustaste auf Anonyme Authentifizierung und wählen Sie
Bearbeiten.
20. Wählen Sie bei Identität des anonymen Benutzers die Option Bestimmter Benutzer und
überprüfen Sie, ob der Benutzername IUSR lautet. Korrigieren Sie ihn, wenn nötig.
21. Klicken Sie auf OK.
Die zusätzliche Konfiguration für die Benutzung eines Windows-Kontos für die Anmeldung am SQL
Server ist nun abgeschlossen.
2.5 Einrichten des SafeGuard Management
Centers
Dieser Abschnitt beschreibt die Installation und Konfiguration des SafeGuard Management Center.
Das SafeGuard Management Center ist das zentrale Verwaltungswerkzeug für SafeGuard
Enterprise. Installieren Sie es auf den Administrator-Computern, die Sie für die Verwaltung von
SafeGuard Enterprise einsetzen möchten. Das SafeGuard Management Center kann auf jedem
Rechner im Netzwerk installiert sein, von wo aus auf die SafeGuard Enterprise Datenbanken zugegriffen werden kann.
Mit datenbankspezifischen Konfigurationen (Multi Tenancy) ermöglicht das SafeGuard Management
Center den Einsatz von SafeGuard Enterprise mit mehreren Datenbanken. Sie können verschiedene
SafeGuard Enterprise Datenbanken für unterschiedliche Bereiche (z. B. Unternehmensstandorte,
Organisationseinheiten oder Domänen) einrichten und verwalten. Um den Verwaltungsaufwand zu reduzieren, können Sie Datenbankkonfigurationen auch in Dateien exportieren und aus Dateien importieren.
2.5.1 Voraussetzungen
Folgende Voraussetzungen müssen erfüllt sein:
• Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
• .NET Framework 4.5 oder höher muss installiert sein. Das Programm steht in der SafeGuard
Enterprise Produktlieferung zur Verfügung.
• Wenn Sie eine neue SafeGuard Enterprise Datenbank während der SafeGuard
Management Center Konfiguration erzeugen wollen, benötigen Sie entsprechende SQL-
Zugriffsberechtigungen, siehe
(Seite 14).
22 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
2.5.2 Installieren des SafeGuard Management Center
1. Starten Sie SGNManagementCenter.msi aus dem Installationsordner Ihrer Produktlieferung. Ein
Assistent führt Sie durch die notwendigen Schritte.
2. Übernehmen Sie die Standardeinstellungen in den nächsten Dialogen wie folgt. Führen Sie auf der
Installationsart auswählen Seite einen der folgenden Schritte aus:
• Wenn das SafeGuard Management Center nur eine Datenbank unterstützen soll, wählen Sie eine Installation vom Typ Typisch aus.
• Mit der Option Angepasst können Sie die Features auswählen, die Sie installieren möchten.
• Wenn das SafeGuard Management Center mehrere Datenbanken unterstützen soll (Multi
Tenancy), wählen Sie eine Installation vom Typ Vollständig aus. Für weitere Informationen, siehe
Mit mehreren Datenbankkonfigurationen arbeiten (Multi Tenancy)
(Seite 85).
Das SafeGuard Management Center ist installiert. Starten Sie Ihren ggf. Computer neu. Im nächsten
Schritt führen Sie die Erstkonfiguration im SafeGuard Management Center durch.
2.5.3 Konfigurieren des SafeGuard Management Center
Der SafeGuard Management Center Konfigurationsassistent unterstützt Sie bei der Definition der grundlegenden SafeGuard Management Center Einstellungen und bei den Datenbankverbindungen während der initialen Konfiguration. Der Assistent wird automatisch aufgerufen, wenn Sie das
SafeGuard Management Center zum ersten Mal nach der Installation starten.
Die SafeGuard Management Center Hilfe bietet umfassende Features wie kontextsensitive Hilfe und Volltext-Suche. Um den vollen Funktionsumfang des Hilfesystems nutzen zu können, muss
JavaScript in Ihrem Browser aktiviert sein. Auch wenn JavaScript deaktiviert ist, können Sie das
SafeGuard Management Center Hilfesystem aufrufen und im System navigieren. Bestimmte
Funktionen wie die Volltext-Suche funktionieren dann allerdings nicht.
Voraussetzungen
Folgende Voraussetzungen müssen erfüllt sein:
• Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
• Die Firewall muss ordnungsgemäß konfiguriert sein.
• Halten Sie die folgenden Informationen bereit. Diese erhalten Sie ggf. von Ihrem SQL-
Administrator.
— SQL Anmeldeinformationen.
— Name des SQL Servers, auf dem die SafeGuard Enterprise Datenbank laufen soll.
— Name der SafeGuard Enterprise Datenbank, falls diese bereits erzeugt wurde.
Starten der Erstkonfiguration des SafeGuard Management Center
Nach der Installation des SafeGuard Management Center, müssen Sie die Erstkonfiguration durchführen. Die Erstkonfiguration muss sowohl für den Single Tenancy als auch für den Multi
Tenancy Modus ausgeführt werden.
So starten Sie den SafeGuard Management Center Konfigurationsassistenten:
Copyright © Sophos Limited 23
SafeGuard Enterprise Administratorhilfe
1. Starten Sie das SafeGuard Management Center über das Start Menü. Der
Konfigurationsassistent wird gestartet und führt Sie durch die notwendigen Schritte.
2. Klicken Sie auf der Willkommen Seite auf Weiter.
Konfigurieren der Datenbankserver-Verbindung
Zum Speichern aller SafeGuard Enterprise spezifischen Verschlüsselungsrichtlinien und
Einstellungen wird eine Datenbank verwendet. Damit das SafeGuard Management Center mit dem
SafeGuard Enterprise Server kommunizieren kann, müssen Sie eine Authentisierungsmethode für den Zugriff auf die Datenbank festlegen, entweder Windows NT Authentisierung oder SQL-
Authentisierung. Wenn Sie eine Verbindung zum Datenbankserver mit SQL Authentisierung herstellen möchten, stellen Sie sicher, dass Sie die notwendigen SQL-Anmeldedaten zur Hand haben. Falls notwendig, erhalten Sie diese Informationen von Ihrem SQL Administrator.
Führen Sie auf der Seite Datenbankserver-Verbindung folgende Schritte aus:
1. Wählen Sie unter Verbindungseinstellungen den SQL-Datenbankserver aus der
Datenbankserver Liste aus. Es werden alle Rechner eines Netzwerks aufgelistet, auf denen ein
Microsoft SQL Server installiert ist. Wenn der Server nicht auswählbar ist, tragen Sie Servername bzw. IP-Adresse mit dem SQL-Instanznamen manuell ein.
2. Aktivieren Sie SSL verwenden, um die Verbindung zwischen SafeGuard Management Center und SQL-Datenbankserver zu sichern. Wenn Sie Folgende Anmeldeinformationen für
SQL Server Authentisierung anwenden unter Authentisierung auswählen, empfehlen wir dringend, diese Einstellung zu aktivieren, da dadurch der Transport der SQL-Anmeldedaten verschlüsselt wird. SSL-Verschlüsselung erfordert eine funktionsfähige SSL-Umgebung auf dem
SQL Datenbankserver, die Sie vorab einrichten müssen, siehe
Sichern von Transportverbindungen mit SSL (Seite 31).
3. Wählen Sie unter Authentisierung die Art der Authentisierung, die für den Zugriff auf die
Datenbankserver-Instanz benutzt werden soll.
• Aktivieren Sie Windows NT Authentisierung verwenden, um Ihre Windows-Anmeldedaten zu verwenden.
Verwenden Sie diese Art der Authentisierung, wenn Ihr Computer Teil einer Domäne ist. In diesem Fall sind jedoch zusätzliche Konfigurationsschritte notwendig, da der Benutzer dazu berechtigt sein muss, eine Verbindung mit der Datenbank herzustellen, siehe
Konfigurieren eines Windows-Benutzerkontos für die Anmeldung am SQL Server
(Seite 15) und
Konfigurieren der Windows-Authentisierung für die Anmeldung am SQL Server
(Seite 21).
• Aktivieren Sie Folgende Anmeldeinformationen für SQL Server Authentisierung
anwenden, um mit den entsprechenden SQL-Anmeldeinformationen auf die Datenbank zuzugreifen. Geben Sie die Anmeldeinformationen des SQL-Benutzerkontos ein, das Ihr
SQL-Administrator erstellt hat. Falls notwendig, erhalten Sie diese Informationen von Ihrem
SQL Administrator.
Hinweis
Verwenden Sie diese Art der Authentisierung, wenn Ihr Computer keiner Domäne angehört. Aktivieren Sie SSL verwenden, um die Verbindung zum und vom
Datenbankserver zu sichern.
4. Klicken Sie auf Weiter.
Die Verbindung zum Datenbankserver ist hergestellt.
24 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Erstellen oder Auswählen einer Datenbank
Auf der Seite Datenbankeinstellungen können Sie entweder eine neue Datenbank erzeugen oder eine bestehende verwenden. Wenn die Datenbank bereits über SQL-Skripts erstellt wurde, wählt der
Assistent automatisch die bestehende Datenbank aus. In diesem Fall ist keine weitere Konfiguration erforderlich.
Wenn die Datenbank noch nicht erstellt wurde, gehen Sie wie folgt vor:
1. Wählen Sie Eine neue Datenbank mit folgendem Namen erstellen und geben Sie einen Namen für die neue Datenbank ein. Sie benötigen dazu die entsprechenden SQL-Zugriffsberechtigungen,
siehe Datenbankzugriffsrechte (Seite 14). Um Probleme zu vermeiden, sollten in SafeGuard
Enterprise Datenbanknamen nur folgende Zeichen verwendet werden: Buchstaben (A - Z, a - z),
Zahlen (0 - 9), Unterstriche (_).
2. Klicken Sie auf Weiter.
Definieren der Active Directory-Authentifizierung
Bevor Sie eine neue Datenbank erstellen können Sie alle für die Verbindung mit Active Directory nötigen Einstellungen vornehmen. In diesem Schritt definieren Sie den Servernamen und die
Anmeldeinformationen.
Wir empfehlen, die Anmeldeinformationen für Active Directory an dieser Stelle anzugeben damit die grundlegende Active Directory Struktur automatisch importiert werden kann. Dieser Import beinhaltet alle Container wie Organisationseinheiten und Gruppen, die mit der SafeGuard Enterprise
Datenbank synchronisiert werden. Bei diesem initialen Import werden keine Benutzer und Computer importiert, aber es werden alle Schlüssel erstellt und den entsprechenden Containern zugewiesen.
Nach dem Import können Sicherheitsbeauftragte Richtlinien unterschiedlichen Containern zuweisen ohne eine komplette AD-Synchronisierung durchzuführen. Computer und Benutzer erhalten ihre
Richtlinien sobald sie am SGN Server registriert sind.
Wenn Sie noch keine Anmeldeinformationen haben, können Sie diesen Schritt auch überspringen und den Active Directory Import später manuell konfigurieren.
Für größere Unternehmen mit komplexen AD-Strukturen sowie für die Bearbeitung von entfernten, geänderten oder verschobenen Objekten müssen Sie den Assistenten für die LDAP-
Authentisierung verwenden, siehe Importieren einer Active Directory Struktur (Seite 120).
1. Geben Sie auf der Seite Active Directory Authentifizierung den Servernamen oder die IP-
Adresse ein.
2. Wir empfehlen die Verwendung von SSL für die Sicherung der Verbindung zwischen SafeGuard
Enterprise Server und Endpoints.
3. Definieren Sie Ihre Anmeldeinformationen.
4. Klicken Sie auf Weiter.
Nachdem die SafeGuard Enterprise Datenbank erstellt und der Konfigurationsassistent abgeschlossen ist, wird die grundlegende Struktur des angegebenen Verzeichnisses in die Datenbank importiert. Alle benötigten Schlüssel werden erstellt und den entsprechenden Containern zugewiesen.
Erstellen eines Haupt-Sicherheitsbeauftragten (Master Security Officer,
MSO)
Als Sicherheitsbeauftragter melden Sie sich am SafeGuard Management Center an, um SafeGuard
Enterprise Richtlinien zu erstellen und die Verschlüsselungssoftware für die Endbenutzer zu konfigurieren.
Copyright © Sophos Limited 25
SafeGuard Enterprise Administratorhilfe
Der Haupt-Sicherheitsbeauftragte (MSO) ist der Administrator höchster Ebene mit allen Rechten und einem Zertifikat, das nicht abläuft.
1. Geben Sie auf der Seite Daten des Sicherheitsbeauftragten unter Haupt-
Sicherheitsbeauftragten-ID einen Namen für den Haupt-Sicherheitsbeauftragten ein, zum
Beispiel MSO .
2. Führen Sie auf der Seite Zertifikat für den Haupt-Sicherheitsbeauftragten einen der folgenden
Schritte aus:
•
Zertifikat des Haupt-Sicherheitsbeauftragten erzeugen (Seite 26)
•
Import des Zertifikats des Haupt-Sicherheitsbeauftragten (Seite 26)
•
Export des Zertifikats des Haupt-Sicherheitsbeauftragten
(Seite 26)
Zertifikat des Haupt-Sicherheitsbeauftragten erzeugen
In Zertifikat des Haupt-Sicherheitsbeauftragten erzeugen erzeugen Sie ein Kennwort für den persönlichen Zertifikatspeicher. Der SafeGuard Enterprise Zertifikatspeicher ist ein virtueller
Speicher für SafeGuard Enterprise Zertifikate. Dieser Speicher hat keine Auswirkungen auf
Microsoft-Funktionen. Das in diesem Schritt definierte Kennwort ist das Kennwort, das später für die
Anmeldung am Management Center verwendet wird.
1. Bestätigen Sie unter Haupt-Sicherheitsbeauftragten-ID den Namen des Haupt-
Sicherheitsbeauftragten.
2. Geben Sie nun zweimal ein Kennwort für den Zertifikatspeicher ein und klicken Sie auf OK.
Das Zertifikat des Haupt-Sicherheitsbeauftragten wird erzeugt und lokal gespeichert
(<mso_name>.cer).
Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf. Sie benötigen es für die Anmeldung am SafeGuard Management Center.
Import des Zertifikats des Haupt-Sicherheitsbeauftragten
Wenn bereits ein Zertifikat eines Haupt-Sicherheitsbeauftragten zur Verfügung steht, müssen Sie es in den SafeGuard Zertifikatsspeicher importieren.
Das Zertifikat kann nicht aus einer Microsoft PKI importiert werden. Ein importiertes Zertifikat muss minimal 1024 Bits haben und kann maximal 4096 Bits lang sein. Wir empfehlen ein Zertifikat mit mindestens 2048 Bit.
1. Klicken Sie unter Authentisierungs-Schlüsseldatei importieren auf die [...] Schaltfläche und wählen Sie die Schlüsseldatei aus.
2. Geben Sie das Kennwort der Schlüsseldatei ein.
3. Geben Sie das Kennwort für den Zertifikatsspeicher ein.
4. Bestätigen Sie das Kennwort für den Zertifikatsspeicher.
5. Klicken Sie auf OK.
Zertifikat und privater Schlüssel befinden sich nun im Zertifikatsspeicher. Zur Anmeldung an das
SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet.
Export des Zertifikats des Haupt-Sicherheitsbeauftragten
Das MSO-Zertifikat wird in eine private Schlüsseldatei (P12) exportiert. Definieren Sie unter
Zertifikat exportieren ein Kennwort zum Schutz der privaten Schlüsseldatei. Die private
Schlüsseldatei wird für die Wiederherstellung einer beschädigten SafeGuard Management Center
Installation benötigt.
So exportieren Sie das Zertifikat eines Haupt-Sicherheitsbeauftragten:
1. Geben Sie unter Zertifikat exportieren ein Kennwort für den privaten Schlüssel (P12-Datei) ein und bestätigen Sie es. Das Kennwort muss aus 8 alphanumerischen Zeichen bestehen.
2. Klicken Sie auf OK.
3. Geben Sie einen Speicherort für die private Schlüsseldatei ein.
26 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Die private Schlüsseldatei wird erzeugt und die Datei wird am angegebenen Speicherort gespeichert
<mso_name.p12).
Wichtig
Erstellen Sie eine Sicherungskopie des privaten Schlüssels (P12-Datei) und legen Sie diese direkt nach der Erstkonfiguration an einem sicheren Speicherort ab. Andernfalls führt ein eventueller PC-
Absturz zum Verlust des Schlüssels und SafeGuard Enterprise muss neu installiert werden. Das gilt für alle von SafeGuard Enterprise generierten Sicherheitsbeauftragten-Zertifikate.
Sobald das Zertifikat für den Sicherheitsbeauftragten exportiert ist und der Zertifikatspeicher und der Sicherheitsbeauftragte angelegt sind, fährt der Assistent mit dem Erstellen des
Unternehmenszertifikats fort.
Erzeugen des Unternehmenszertifikats
Mit dem Unternehmenszertifikat lassen sich unterschiedliche SafeGuard Management
Center Installationen auseinander halten. In Verbindung mit dem Zertifikat des Haupt-
Sicherheitsbeauftragten lässt sich mit dem Unternehmenszertifikat eine beschädigte SafeGuard
Enterprise Datenbankkonfiguration wiederherstellen.
1. Wählen Sie auf der Seite Unternehmenszertifikat die Option Neues Unternehmenszertifikat
erzeugen.
2. Geben Sie den Namen Ihres Unternehmens ein.
Hinweis
Von SafeGuard Enterprise erzeugte Zertifikate, zum Beispiel Unternehmens-, Maschinen-,
Sicherheitsbeauftragten- und Benutzerzertifikate, sind bei einer Erstinstallation standardmäßig zur Erweiterung der Sicherheit mit dem Hash-Algorithmus SHA-256 signiert.
Bei Endpoints mit älteren Version von SafeGuard Enterprise als 6.1 müssen Sie unter Hash-
Algorithmus für erzeugte Zertifikate den Algorithmus SHA-1 auswählen. Für weitere
Informationen, siehe
Ändern des Algorithmus für selbst-signierte Zertifikate
(Seite 134).
3. Klicken Sie auf Weiter.
Das neu angelegte Unternehmenszertifikat wird in der Datenbank gespeichert.
Erstellen Sie eine Sicherungskopie des Unternehmenszertifikats und legen Sie diese direkt nach der
Erstkonfiguration an einem sicheren Speicherort ab.
Für Informationen zum Wiederherstellen einer beschädigten Datenbankkonfiguration, siehe
Reparieren einer beschädigten Datenbankkonfiguration
(Seite 84).
Abschließen der Erstkonfiguration des SafeGuard Management Centers
Klicken Sie auf Beenden, um die Erstkonfiguration des SafeGuard Management Centers abzuschließen.
Eine Konfigurationsdatei wird erstellt.
Ergebnis:
• Eine Verbindung zum SafeGuard Enterprise Server.
• Eine SafeGuard Enterprise Datenbank.
• Ein Haupt-Sicherheitsbeauftragten-Konto für die Anmeldung an das SafeGuard Management
Center.
Copyright © Sophos Limited 27
SafeGuard Enterprise Administratorhilfe
• Alle notwendigen Zertifikate für die Wiederherstellung einer beschädigten
Datenbankkonfiguration oder SafeGuard Management Center Installation
Sobald der Konfigurationsassistent geschlossen ist, wird das SafeGuard Management Center
gestartet, siehe Anmeldung am SafeGuard Management Center (Seite 63).
28
2.5.4 Einrichten der Organisationsstruktur im SafeGuard
Management Center
Hinweis
Sie müssen die Organisationsstruktur nur dann importieren oder manuell erstellen, wenn Sie den initialen Import im Rahmen des SafeGuard Management Center Konfigurationsassistenten
übersprungen haben.
Es gibt zwei Möglichkeiten, Ihre Organisation in SafeGuard Enterprise abzubilden:
• Importieren einer Active Directory Struktur
Während der Synchronisierung mit dem Active Directory werden Objekte (z. B. Computer,
Benutzer und Gruppen) in das SafeGuard Management Center importiert und in der SafeGuard
Enterprise Datenbank gespeichert.
• Organisationsstruktur manuell aufbauen
Steht kein Directory Service zur Verfügung oder gibt es nur wenige Organisationseinheiten, so dass kein Directory Service benötigt wird, können Sie neue Domänen/Arbeitsgruppen anlegen, an denen sich der Benutzer oder Computer anmelden kann.
Sie können entweder nur eine von beiden Möglichkeiten anwenden, oder die beiden Möglichkeiten mischen. Zum Beispiel können Sie ein Active Directory (AD) ganz oder teilweise importieren und weitere Organisationseinheiten (OU) manuell anlegen.
Bei der Kombination beider Verfahren werden die manuell angelegten Organisationseinheiten nicht im AD abgebildet. Wenn in SafeGuard Enterprise angelegte Organisationseinheiten im AD abgebildet werden sollen, so müssen Sie diese separat zum AD hinzufügen.
Weitere Informationen zum Importieren oder Anlegen einer Organisationsstruktur finden Sie unter
Verwalten der Organisationsstruktur (Seite 119).
Löschen von Domänen, OU-Knoten und Arbeitsgruppen verhindern
Sie können SafeGuard Enterprise so konfigurieren, dass das Löschen von importierten OU-Knoten verhindert wird. Mit dieser Konfiguration kann nur ein Haupt-Sicherheitsbeauftragter OU-Knoten im
SafeGuard Management Center löschen. Die Option ist standardmäßig aktiviert.
So verhindern Sie das Löschen von importierten OU-Knoten:
1. Wählen Sie im Management Center im Menü Extras den Befehl Optionen.
2. Öffnen Sie die Registerkarte Verzeichnis.
3. Aktivieren Sie die Option Löschen von Domänen, OU-Knoten und Arbeitsgruppen verhindern.
4. Klicken Sie auf OK.
Ein Sicherheitsbeauftragter, der mit unzureichenden Rechten versucht, Domänen, OU-Knoten oder
Arbeitsgruppen zu löschen, wird mit einer Benachrichtigung darüber informiert, dass das Löschen von
Domänen, OU-Knoten und Arbeitsgruppen deaktiviert ist und von einem Haupt-Sicherheitsbeauftragten oder einem Sicherheitsbeauftragten mit den erforderlichen Rechten aktiviert werden muss.
Protokollierte Ereignisse finden Sie unter Auditing
(Seite 165).
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
2.5.5 Importieren der Lizenzdatei
SafeGuard Enterprise hat einen integrierten Lizenzzähler. Wenn Sie das Produkt herunterladen, können Sie eine Testlizenzdatei herunterladen. Diese Testlizenz enthält fünf Lizenzen für jedes
Modul und muss ins SafeGuard Management Center importiert werden. Dadurch soll eine problemlose Evaluierung von anderen SafeGuard Enterprise Komponenten ohne Nebeneffekte gewährleistet werden. Beim Kauf von SafeGuard Enterprise enthält jeder Kunde eine individuelle
Lizenzdatei für das jeweilige Unternehmen, die in das SafeGuard Management Center importiert werden muss.
Für weitere Informationen, siehe Lizenzen
(Seite 139).
2.6 Testen der Kommunikation
Wenn SafeGuard Enterprise Server, die Datenbank und das Management Center eingerichtet sind, empfehlen wir, einen Verbindungstest durchführen. Dieser Abschnitt enthält die Voraussetzungen und die benötigten Einstellungen für den Verbindungstest.
2.6.1 Ports/Verbindungen
Die Endpoints müssen folgende Verbindungen aufbauen:
SafeGuard Endpoint
Verbindung zu
SafeGuard Enterprise
Server
Port
Port 443 bei Benutzung der SSL Transportverbindung
Port 80/TCP
Hinweis
Die Ports müssen für bidirektionale Kommunikation geöffnet sein.
Das SafeGuard Management Center muss folgende Verbindungen aufbauen:
Port SafeGuard Management
Center Verbindung zu
SQL Datenbank
Active Directory
SLDAP
SQL Server dynamischer Port: Port 1433/TCP und Port 1434/TCP
Port 389/TCP
Port 636 für den Active Directory Import
Der SafeGuard Enterprise Server muss folgende Verbindungen aufbauen:
Copyright © Sophos Limited 29
SafeGuard Enterprise Administratorhilfe
SafeGuard Enterprise
Server Verbindung zu
SQL Datenbank
Active Directory
Port
Port 1433/TCP und Port 1434/TCP für SQL (Express) dynamischer
Port
Port 389/TCP
2.6.2 Authentisierungsmethode
1. Öffnen Sie auf dem Computer, auf dem SafeGuard Enterprise Server installiert ist, den Internet
Information Services (IIS) Manager.
2. Wählen Sie in der Baumstruktur den relevanten Server und klicken Sie Sites > Standardwebsite >
SGNSRV.
3. Doppelklicken Sie unter IIS auf das Symbol Authentifizierung und prüfen Sie folgende
Einstellungen:
• Setzen Sie Anonyme Authentifizierung auf Aktiviert.
• Setzen Sie Windows-Authentifizierung auf Deaktiviert.
2.6.3 Proxyserver-Einstellungen
So definieren Sie Proxyserver-Einstellungen für Webserver und Endpoint:
1. Klicken Sie im Internet Explorer im Extras Menü auf Internetoptionen. Klicken Sie auf
Verbindungen und dann auf LAN-Einstellungen.
2. Deaktivieren Sie in LAN-Einstellungen unter Proxyserver das Kontrollkästchen Proxyserver für
LAN verwenden.
Wenn ein Proxyserver notwendig ist, wählen Sie Proxyserver für lokale Adressen umgehen.
2.6.4 Verbindung prüfen
1. Öffnen Sie auf dem Computer, auf dem SafeGuard Enterprise Server installiert ist, den Internet
Information Services (IIS) Manager.
2. Wählen Sie in der Baumstruktur den relevanten Server und klicken Sie Sites > Standardwebsite >
SGNSRV.
3. Klicken Sie mit der rechten Maustaste auf SGNSRV, wählen Sie Anwendung verwalten und klicken Sie auf Browse, um die Seite Sophos SafeGuard Web Service zu öffnen.
4. Auf der Seite Sophos SafeGuard Web Service wird eine Liste mit möglichen Aktionen angezeigt.
Klicken Sie auf CheckConnection > Aufrufen.
Der Verbindungstest war erfolgreich, wenn Sie diese Ausgabe erhalten:
<Dataroot><WebService>OK</WebService><DBAuth>OK</DBAuth>
Wenn die Kommunikation zwischen dem SafeGuard Enterprise Client und dem Server nicht richtig funktioniert, lesen Sie im Sophos Knowledgebase-Artikel 109662 nach.
30 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
2.7 Sichern von Transportverbindungen mit SSL
SafeGuard Enterprise unterstützt die Verschlüsselung der Transportverbindungen zwischen den einzelnen Komponenten mit SSL. Sie können SSL für die Transportverschlüsselung zwischen folgenden Komponenten verwenden:
• Datenbankserver <-> SafeGuard Enterprise Server mit IIS
• Datenbankserver <-> SafeGuard Management Center
• SafeGuard Enterprise Server mit IIS <-> verwaltete Endpoints
Bevor Sie SSL in SafeGuard Enterprise aktivieren, müssen Sie eine funktionierende SSL-Umgebung einrichten.
Die folgenden allgemeinen Aufgaben müssen für die SSL-Einrichtung durchgeführt werden:
• Optional: Installieren Sie eine Zertifizierungsstelle zum Ausstellen von Zertifikaten, die von der
SSL-Verschlüsselung verwendet werden.
• Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden, dass er SSL verwendet und auf das Zertifikat zeigt.
• Der Servername, den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben, muss identisch sein mit dem Servernamen, den Sie vorab im SSL-Zertifikat angegeben haben. Sonst können Client und Server nicht miteinander kommunizieren. Für jeden SafeGuard Enterprise
Server wird ein separates SSL-Zertifikat benötigt.
• Wenn Sie Network Load Balancer einsetzen, vergewissern Sie sich, dass der Portbereich den
SSL-Port mit einschließt.
Weitere Informationen erhalten Sie von unserem technischen Support oder hier:
• Das Microsoft-Dokument How To Set Up an HTTPS Service in IIS
• Das Microsoft-Dokument Aktivieren der SSL-Verschlüsselung für eine Instanz von SQL Server mit der Microsoft Management Console
SafeGuard-spezifische Transportverschlüsselung für Test-Setups
Für Demo-oder Test-Setups können Sie alternativ die Verbindung zwischen dem SafeGuard
Enterprise Server und den von SafeGuard Enterprise verwalteten Endpoints durch eine SafeGuardspezifische Verschlüsselung sichern. Für optimale Sicherheit und Performance empfehlen wir ausdrücklich die Verwendung von SSL für die Verschlüsselung der Kommunikation. Falls dies nicht möglich ist und die SafeGuard-spezifische Verschlüsselung verwendet wird, so gilt die Obergrenze von 1000 Clients, die eine Verbindung mit einer Serverinstanz herstellen können.
Hinweis
Wenn Sie Macs verwalten, müssen Sie die SSL-Verschlüsselung verwenden.
2.7.1 Zertifikate
Um die Kommunikation zwischen dem SafeGuard Enterprise Server und dem mit SafeGuard
Enterprise gesicherten Endpoint mit SSL zu sichern, ist ein gültiges Zertifikat notwendig. Sie können die folgenden Typen von Zertifikaten verwenden:
Copyright © Sophos Limited 31
SafeGuard Enterprise Administratorhilfe
32
Ein selbstsigniertes Zertifikat
Wenn Sie Mac und Windows Endpoints verwalten, müssen Sie ein Zertifikat mit den richtigen
Key Usage Extensions verwenden. Ab Mac OS 10.12 erlaubt Apple nur Zertifikate, die diese
Voraussetzungen erfüllen, für den Aufbau einer SSL-Verbindung.
Sie können ein Zertifikat mit den korrekten Erweiterungen im IIS erstellen, wenn Sie die SGNSRV
Webseite für SSL konfigurieren, siehe Die SGNSRV-Webseite für SSL konfigurieren
(Seite 33).
Ein von einer PKI ausgestelltes Zertifikat mit einem privaten oder
öffentlichen Stammzertifikat
Technisch macht es keinen Unterschied, ob Sie ein Zertifikat mit einem privaten oder öffentlichen
Stammzertifikat verwenden.
Wenn ein von einer PKI erstelltes Zertifikat, aber keine PKI-Infrastruktur verfügbar ist, können Sie das
Zertifikat nicht verwenden, um die Kommunikation mit SSL abzusichern. In diesem Fall müssen Sie eine PKI aufsetzen oder ein selbst-signiertes Zertifikat erstellen.
Wollen Sie ein PKI-generiertes Zertifikat für die SSL-Kommunikation verwenden, erstellen Sie ein Zertifikat für den Computer, auf dem der SafeGuard Enterprise Server läuft. Die folgenden
Anforderungen sind gegeben:
• Der Zertifikatsname muss dem Computer entsprechen, der im Internetinformationsdienste (IIS)
Manager im obersten Knoten angezeigt wird.
• Der FQDN Name des Computers muss bei der Ausstellung des Zertifikats verwendet werden.
Stellen Sie sicher, dass der Client den FQDN per DNS auflösen kann.
2.7.2 Aktivieren der SSL-Verschlüsselung in SafeGuard
Enterprise
• Verbindung zwischen Web Server und Datenbankserver:
Aktivieren Sie SSL-Verschlüsselung während der Registrierung des SafeGuard Enterprise
Servers im SafeGuard Management Center Konfigurationspakete-Werkzeug. Weitere
Informationen finden Sie unter Konfigurieren der Datenbankserver-Verbindung
(Seite 24) oder im Sophos Knowledegebase-Artikel 109012 .
• Für die Verbindung zwischen Datenbankserver und SafeGuard Management Center:
Aktivieren Sie die SSL-Verschlüsselung im SafeGuard Management Center
Konfigurationsassistenten, siehe Konfigurieren der Datenbankserver-Verbindung
(Seite 24).
• Verbindung zwischen SafeGuard Enterprise Server und durch SafeGuard Enterprise geschützte
Endpoints:
Aktivieren Sie SSL-Verschlüsselung beim Erzeugen des Konfigurationspakets für die verwalteten Endpoints im SafeGuard Management Center Konfigurationspakete-Werkzeug,
siehe Erzeugen eines Konfigurationspakets für zentral verwaltete Computer (Seite 39).
Nähere Informationen, wie SSL am SafeGuard Enterprise Server zur Absicherung der
Zertifikate auf den Endpoints bereitstellen:
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
— Für Windows Endpoints, siehe
SSL-Zertifikat einem Windows Endpoint zuweisen (Seite
34).
— Für macOS Endpoints, siehe
SSLZertifikat auf Macs importieren
(Seite 35).
Wir empfehlen, die SSL-Verschlüsselung für SafeGuard Enterprise bei der Erstkonfiguration der
SafeGuard Enterprise-Komponenten festzulegen. Wenn Sie dies später tun, müssen Sie ein neues
Konfigurationspaket erstellen und es auf dem Server oder den Endpoints installieren.
2.7.3 Die SGNSRV-Webseite für SSL konfigurieren
Die folgende Beschreibung bezieht sich auf Microsoft Windows Server 2012.
1. Öffnen Sie den Internetinformationsdienste (IIS) Manager.
2. Wählen Sie im Verbindungen Bereich den Server, der die SGNSRV Webseite hostet.
3. Doppelklicken Sie im rechten Fensterbereich auf Serverzertifikate im Abschnitt IIS.
• Sie können ein selbstsigniertes Zertifikat erstellen, das für die SSL-Transportverschlüsselung verwendet wird.
• Sie können ein vorhandenes Zertifikat importieren. Fahren Sie mit Schritt 5 fort.
4. Um ein Zertifikat zu erstellen, klicken Sie im Bereich Aktionen auf der rechten Seite auf
Selbstsigniertes Zertifikat erstellen.
a) Geben Sie den Namen des Servers, der die SGNSRV-Webseite hostet, als Anzeigenamen ein und klicken Sie auf OK.
Das Zertifikat wird im Bereich Serverzertifikate angezeigt.
b) Doppelklicken Sie auf das Zertifikat, um den öffentlichen Teil zu exportieren.
Sie müssen den öffentlichen Teil des Zertifikats auf alle Ihre Endpoints verteilen, siehe
SSL-Zertifikat einem Windows Endpoint zuweisen
(Seite 34) und SSLZertifikat auf Macs importieren (Seite 35).
c) Wählen Sie im Dialog Zertifikat die Registerkarte Details.
d) Klicken Sie auf In Datei kopieren.
e) Klicken Sie im Zertifikatexport-Assistent auf Weiter.
f) Wählen Sie Nein, privaten Schlüssel nicht exportieren und klicken Sie auf Weiter.
g) Behalten Sie die Standardauswahl für das Exportdateiformat bei und klicken Sie auf Weiter.
h) Klicken Sie auf Durchsuchen, wählen Sie einen Speicherort aus, geben Sie einen Dateinamen für die Zertifikatdatei ein und klicken Sie auf Speichern.
i) Klicken Sie auf Weiter, dann auf Beenden.
j) Fahren Sie mit Schritt 6 fort.
5. Um ein Zertifikat zu importieren, klicken Sie im Bereich Aktionen auf der rechten Seite auf
Importieren.
a) Navigieren Sie zur Zertifikatdatei.
b) Wählen Sie die Datei vom Typ Privater Informationsaustausch und klicken Sie auf Öffnen.
c) Geben Sie das Kennwort ein und klicken Sie auf OK.
Das Zertifikat wird im Bereich Serverzertifikate angezeigt.
6. Wählen Sie unter Verbindungen im linken Fensterbereich den Namen des Servers, auf dem das
Zertifikat installiert wurde.
7. Wählen Sie unter Sites die Site, die Sie mit SLL sichern möchten.
Copyright © Sophos Limited 33
SafeGuard Enterprise Administratorhilfe
8. Wählen Sie im Bereich Aktionen auf der rechten Seite Bindungen.
9. Klicken Sie im Dialog Sitebindungen auf Hinzufügen.
10. Wählen Sie bei Typ:https und bei SSL-Zertifikat: das zuvor installierte Zertifikat.
11. Klicken Sie OK und schließen Sie den Dialog Sitebindungen.
12. Wählen Sie im Navigationsbereich den Server und klicken Sie auf Neu starten im Bereich
Aktionen.
2.7.4 Endpoints für SSL konfigurieren
So verwenden Sie SSL auf den von SafeGuard Enterprise geschützten Endpoints:
1. Weisen Sie das SSL-Zertifikat Windows Endpoints zu und importieren Sie das SSL-Zertifikat auf
Macs, siehe SSL-Zertifikat einem Windows Endpoint zuweisen
(Seite 34) und
(Seite 35).
2. Erstellen Sie ein Client-Konfigurationspaket das SSL beinhaltet, siehe
Konfigurationspakets für zentral verwaltete Computer (Seite 39).
2.7.5 SSL-Zertifikat einem Windows Endpoint zuweisen
WinClient
Es gibt verschiedene Möglichkeiten, ein Zertifikat einem Endpoint zuzuweisen. Eine davon ist, eine
Microsoft Gruppenrichtlinie zu verwenden. Dies wird in diesem Abschnitt beschrieben. Falls Sie eine andere Methode verwenden wollen, stellen Sie sicher, dass das Zertifikat im Zertifikatspeicher des lokalen Computers abgelegt ist.
Zuweisen eines Zertifikats mittels Gruppenrichtlinie:
1. Öffnen Sie die Gruppenrichtlinienverwaltung ( gpedit.msc
).
2. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO), das die Zertifikatseinstellungen beinhalten soll. Vergewissern Sie sich, dass das GPO mit der Domain, Site oder Organisationseinheit verbunden ist, deren Benutzer mit der Richtlinie verwaltet werden sollen.
3. Klicken Sie auf das GPO und wählen Sie Bearbeiten.
Der Gruppenrichtlinienverwaltungs-Editor öffnet sich und zeigt den aktuellen Inhalt des
Richtlinienobjekts an.
4. Öffnen Sie im Navigationsbereich Computerkonfiguration > Windows-Einstellungen >
Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel > Vertrauenswürdige
Herausgeber.
5. Klicken Sie das Aktionen Menü und klicken Sie dann auf Importieren....
6. Folgen Sie den Anweisungen im Zertifikatimport-Assistent um das Zertifikat zu finden und zu importieren.
7. Wenn das Zertifikat selbst-signiert ist und nicht auf ein Zertifikat zurückverfolgt werden kann, das im ZertifikatspeicherVertrauenswürdige Stammzertifizierungsstellen liegt, dann müssen die das Zertifikat auch in diesen Zertifikatspeicher kopieren. Klicken Sie auf Vertrauenswürdige
Stammzertifizierungsstellen und wiederholen Sie die Schritte 5 und 6 um eine Kopie des
Zertifikats in diesem Zertifikatsspeicher zu installieren.
34 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
2.7.6 SSLZertifikat auf Macs importieren
Stellen Sie vor dem Beginn der Installation sicher, dass das SafeGuard Enterprise-SSL-
Serverzertifikat in den System-Schlüsselbund importiert wurde und für SSL auf Immer vertrauen gesetzt ist.
1. Bitten Sie Ihren SafeGuard Server-Administrator, Ihnen das SafeGuard Enterprise-Serverzertifikat
(Datei <Zertifikatname>.cer).zur Verfügung zu stellen.
2. Importieren Sie die Datei <Zertifikatname>.cer) in Ihren Schlüsselbund. Wählen Sie dazu
Programme > Dienstprogramme und doppelklicken Sie Schlüsselbundverwaltung.app.
3. Wählen Sie im linken Fensterbereich System.
4. Öffnen Sie ein Finder-Fenster und wählen Sie die Datei <Zertifikatname>.cer von oben.
5. Ziehen Sie die Zertifikatsdatei in die Schlüsselbundverwaltung.
6. Geben Sie Ihr macOS Passwort ein, wenn Sie dazu aufgefordert werden.
7. Klicken Sie auf Schlüsselbund ändern, um den Vorgang zu bestätigen.
8. Doppelklicken Sie in der Keychain Access.app auf <Zertifikatname>.cer .
9. Klicken Sie auf den Pfeil neben Vertrauen, um die Vertrauenseinstellungen anzuzeigen.
10. Wählen Sie für Secure Sockets Layer (SSL) die Option Immer vertrauen.
11. Schließen Sie den Dialog.
12. Geben Sie Ihr macOS Passwort ein und klicken Sie zum Bestätigen auf Einstellungen
aktualisieren.
Ein blaues Plus-Zeichen in der unteren rechten Ecke des Zertifikats-Symbols zeigt Ihnen, dass dieses Zertifikat als vertrauenswürdig für alle Benutzer eingestuft ist.
13. Öffnen Sie einen Browser und geben Sie https://<Servername>/SGNSRV ein, um sicherzustellen, dass Ihr SafeGuard Enterprise Server verfügbar ist.
Nun können Sie mit der Installation beginnen.
Automatisierte Bereitstellung
Sie können den folgenden Befehl verwenden, um Zertifikate zu importieren: sudo /usr/bin/security add-trusted-cert -d -k /Library/Keychains/
System.keychain -r trustAsRoot -p ssl "/<Ordner>/<Zertifikatsname>.cer" .
Dieser Befehl kann für eine automatisierte Installation mittels Skript verwendet werden. Ändern Sie
Ordner- und Zertifikatsnamen gemäß Ihren Einstellungen.
2.8 Registrieren und Konfigurieren des SafeGuard
Enterprise Server
Zur Implementierung der Informationen für die Kommunikation zwischen IIS Server, Datenbank und dem SafeGuard-geschützten Endpoint muss der SafeGuard Enterprise Server registriert und konfiguriert werden. Die Informationen werden in einem Server-Konfigurationspaket gespeichert.
Diesen Schritt führen Sie im SafeGuard Management Center durch. Der Workflow ist davon abhängig, ob der SafeGuard Enterprise Server auf demselben Computer wie das SafeGuard
Management Center oder auf einem anderen Computer installiert ist.
Copyright © Sophos Limited 35
SafeGuard Enterprise Administratorhilfe
Sie können auch weitere Eigenschaften festlegen. So lassen sich z. B. zusätzliche
Sicherheitsbeauftragte für den ausgewählten Server hinzufügen. Sie können auch die Verbindung zur Datenbank konfigurieren.
2.8.1 Registrieren und Konfigurieren des SafeGuard Enterprise
Server für den aktuellen Computer
Wenn Sie das SafeGuard Management Center und SafeGuard Enterprise Server auf dem
Computer, mit dem Sie derzeit arbeiten, installiert haben, registrieren und konfigurieren Sie den
SafeGuard Enterprise Server:
1. Starten Sie das SafeGuard Management Center.
2. Klicken Sie im Extras Menü auf Konfigurationspakete.
3. Wählen Sie die Registerkarte Server und klicken Sie auf Diesen Computer zum SGN Server
machen. Wenn Multi Tenancy installiert ist, steht diese Option nicht zur Verfügung.
Der Setup-Assistent wird automatisch geöffnet.
4. Übernehmen Sie in allen folgenden Dialogen die Standardeinstellungen.
Der SafeGuard Enterprise Server ist installiert. Ein Server-Konfigurationspaket mit der
Bezeichnung <Server>.msi
wird erstellt und direkt auf dem aktuellen Computer installiert. Die
Serverinformationen werden auf der Registerkarte Server angezeigt. Sie können zusätzliche
Konfigurationsschritte durchführen.
Hinweis
Wenn Sie ein neues Server-Konfigurationspaket (MSI) auf dem SafeGuard Enterprise Server installieren möchten, deinstallieren Sie zunächst das alte Konfigurationspaket. Löschen Sie darüber hinaus den Local Cache manuell, so dass er mit den neuen Konfigurationsdaten (z. B.
SSL-Einstellungen) aktualisiert werden kann. Installieren Sie dieses Konfigurationspaket auf dem
Server.
36
2.8.2 Registrieren und Konfigurieren des SafeGuard Enterprise
Servers für einen anderen Computer
Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard
Management Center installiert wurde, registrieren und konfigurieren Sie den SafeGuard Enterprise
Server:
1. Starten Sie das SafeGuard Management Center.
2. Klicken Sie im Menü Extras auf Konfigurationspakete.
3. Wählen Sie die Registerkarte Server und klicken Sie auf Hinzufügen.
4. Klicken Sie unter Serverregistrierung auf [...] und wählen Sie das Maschinenzertifikat des Servers aus, das sich unter C:\Programme (x86)\Sophos\SafeGuard Enterprise\MachCert am IIS Server, auf dem der SafeGuard Enterprise Server läuft, befindet. Es trägt den Dateinamen
<Computername>.cer
. Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard Management Center installiert ist, muss diese .cer-Datei als Kopie oder über eine
Netzwerkfreigabe zugänglich sein.
Wählen Sie nicht das MSO-Zertifikat.
Der Fully Qualified Name (FQDN), z. B. server.mycompany.com
, sowie
Zertifikatsinformationen werden angezeigt. Wenn SSL als Transportverschlüsselung zwischen
Endpoint und Server verwendet werden soll, muss der Servername, den Sie hier eingeben, mit
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe dem Servernamen übereinstimmen, den Sie im SSL-Zertifikat vergeben haben. Andernfalls ist keine Kommunikation möglich.
5. Klicken Sie auf OK.
Die Serverinformationen werden in der Registerkarte Server angezeigt.
6. Klicken Sie auf die Registerkarte Server-Pakete. Hier werden alle verfügbaren Server angezeigt. Wählen Sie dort den gewünschten Server aus. Geben Sie einen Ausgabepfad für das
Konfigurationspaket an. Klicken Sie auf Konfigurationspaket erstellen.
Ein Server-Konfigurationspaket (MSI) mit der Bezeichnung <Server>.msi
wird im angegebenen Ausgabeort erstellt.
7. Klicken Sie auf OK, um die Erfolgsmeldung zu bestätigen.
8. Klicken Sie in der Registerkarte Server auf Schließen.
Die Registrierung und Konfiguration des SafeGuard Enterprise Servers ist beendet.
Nächste Schritte:
• Installieren Sie das Server-Konfigurationspaket (MSI) auf dem Computer, auf dem der
SafeGuard Enterprise Server läuft.
• Starten Sie IIS neu, um die neue Konfiguration zu laden.
Sie können die Serverkonfiguration in der Registerkarte Server jederzeit ändern.
2.8.3 Ändern der SafeGuard Enterprise Server Eigenschaften
Sie können die Eigenschaften und Einstellungen für jeden registrierten Server und seine
Datenbankverbindung jederzeit ändern.
1. Klicken Sie im Menü Extras auf Konfigurationspakete.
2. Gehen Sie zur Registerkarte Server und wählen Sie den erforderlichen Server aus.
3. Gehen Sie wie folgt vor:
Element
Skript ausführen erlaubt
Win. Auth. WHD
Beschreibung
Klicken Sie hier, um SafeGuard Enterprise Management API zu verwenden. Dies ermöglicht die Ausführung von administrativen
Aufgaben über Skripts
Klicken Sie hier, um die Windows Authentifizierung für Web
Helpdesk zu aktivieren. Die Option ist standardmäßig deaktiviert.
Recovery über Mobile
Geräte
Server-Rollen
Klicken Sie hier, um das Senden von
Wiederherstellungsschlüsseln für Full Disk Encryption an Ihren
Sophos Mobile Server zu ermöglichen.
Klicken Sie hier, um eine verfügbare Sicherheitsbeauftragtenrolle für den ausgewählten Server zu aktivieren/deaktivieren.
Server-Rolle hinzufügen...
Klicken Sie hier, um weitere spezifische
Sicherheitsbeauftragtenrollen für den ausgewählten Server hinzuzufügen, falls erforderlich. Sie werden dazu aufgefordert, das
Serverzertifikat auszuwählen. Die Sicherheitsbeauftragtenrolle wird hinzugefügt und kann unter Server-Rollen angezeigt werden.
Datenbankverbindung Klicken Sie auf [...], um die Verbindung zur Datenbank für jeden registrierten Server zu konfigurieren. Hier können
Sie auch die Anmeldeinformationen für die Datenbank und die Transportverschlüsselung zwischen Web Server und
Copyright © Sophos Limited 37
SafeGuard Enterprise Administratorhilfe
Element Beschreibung
Datenbankserver festlegen. Weitere Informationen finden Sie unter
Konfigurieren der Datenbankserver-Verbindung (Seite
24). Selbst wenn die Prüfung der Datenbankverbindung nicht erfolgreich ist, kann ein neues Server-Konfigurationspaket erstellt werden.
Hinweis
Sie müssen nicht den SafeGuard Management Center
Konfigurationsassistenten erneut ausführen, um die
Datenbankkonfiguration zu aktualisieren. Erstellen Sie einfach ein neues Server-Konfigurationspaket und verteilen Sie es an den entsprechenden Server. Sobald dieses auf dem
Server installiert ist, kann auf die neue Datenbankverbindung zugegriffen werden.
4. Erstellen Sie ein neues Server-Konfigurationspaket auf der Registerkarte Server-Pakete.
5. Deinstallieren Sie das alte Server-Konfigurationspaket und installieren Sie danach das neue auf dem entsprechenden Server.
Die neue Server-Konfiguration wird aktiv.
2.8.4 Registrieren des SafeGuard Enterprise Servers mit aktivierter Sophos Firewall
Ein durch SafeGuard Enterprise geschützter Endpoint kann keine Verbindung mit dem SafeGuard
Enterprise Server herstellen, wenn eine Sophos Firewall mit Standardeinstellungen auf dem
Endpoint installiert ist. Die Sophos Firewall sperrt standardmäßig NetBIOS-Verbindungen, die für die
Auflösung des Netzwerknamens des SafeGuard Enterprise Servers benötigt werden.
Führen Sie als Workaround einen der folgenden Schritte aus:
• Geben Sie die NetBIOS-Verbindungen in der Firewall frei.
• Fügen Sie den Fully Qualified Name des SafeGuard Enterprise Servers im Konfigurationspaket
hinzu. Für weitere Informationen, siehe Registrieren und Konfigurieren des SafeGuard Enterprise
Servers für einen anderen Computer
(Seite 36).
2.9 Erzeugen von Konfigurationspaketen
Erzeugen Sie je nach erforderlicher Konfiguration die passenden Konfigurationspakete für die
Endpoints im SafeGuard Management Center:
• Für zentral verwaltete Endpoints (Windows und macOS) - Pakete für Managed Clients
• Für nicht verwaltete Endpoints (nur Windows) - Pakete für Standalone Clients
Immer wenn Sie ein Paket für Managed Clients erzeugen, wird automatisch ein Paket für Windows und ein Paket für Mac (als ZIP-Datei) erstellt. Das ZIP-Paket wird auch für den Sophos Mobile
Server verwendet, um sich mit dem SafeGuard Enterprise Backend zu verbinden.
Das erste Konfigurationspaket muss auf den Endpoints zusammen mit der
Verschlüsselungssoftware installiert werden.
38 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
2.9.1 Erzeugen eines Konfigurationspakets für zentral verwaltete Computer
1. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
2. Wählen Sie Pakete für Managed Clients.
3. Wechseln Sie in der Dropdown-Liste Primärer Server zum registrierten Server.
4. Falls erforderlich, geben Sie eine Richtliniengruppe an, die auf die Computer angewendet werden soll. Diese müssen Sie zuvor im SafeGuard Management Center erstellt haben. Wenn Sie für
Aufgaben nach der Installation auf dem Computer Service Accounts verwenden möchten, stellen
Sie sicher, dass die entsprechende Richtlinieneinstellung in dieser ersten Richtliniengruppe definiert ist. Siehe dazu die SafeGuard Enterprise 8 Administratorhilfe .
5. Wählen Sie den Modus für die Transportverschlüsselung, der bestimmt, wie die Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server verschlüsselt wird. Für weitere Informationen, siehe
Sichern von Transportverbindungen mit SSL (Seite 31).
6. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an.
7. Klicken Sie auf Konfigurationspaket erstellen.
WennSie als Modus für die Transportverschlüsselung die SSL-Verschlüsselung ausgewählt haben, wird die Serververbindung validiert. Wenn die Verbindung fehlschlägt, wird eine
Warnungsmeldung angezeigt. Sie können die Meldung ignorieren und das Konfigurationspaket trotzdem erstellen. Sie müssen jedoch sicherstellen, dass die Kommunikation zwischen SafeGuard
Client und SafeGuard Server über SSL möglich ist.
Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Sie müssen das Paket auf den Endpoints verteilen und installieren.
2.9.2 Erzeugen eines Konfigurationspakets für Standalone-
Computer (nur Windows)
1. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
2. Wählen Sie Pakete für Standalone Clients.
3. Klicken Sie auf Konfigurationspaket hinzufügen.
4. Geben Sie einen beliebigen Namen für das Konfigurationspaket ein.
5. Geben Sie eine zuvor im SafeGuard Management Center erstellte Richtliniengruppe an, die für die Computer gelten soll.
6. Geben Sie unter Speicherort für Schlüssel-Sicherungskopie einen freigegebenen Netzwerkpfad für das Speichern der Schlüssel-Recovery-Datei an oder wählen Sie einen Netzwerkpfad aus.
Geben Sie den freigegebenen Pfad in folgender Form ein: \\network computer\ , zum Beispiel
\\mycompany.edu\ . Wenn Sie hier keinen Pfad angeben, wird der Benutzer beim ersten
Anmelden am Endpoint nach der Installation gefragt, wo die Schlüsseldatei gespeichert werden soll.
Die Schlüssel-Recovery-Datei (XML) wird für die Durchführung von Recovery-Vorgängen bei durch SafeGuard Enterprise geschützten Computern benötigt. Sie wird auf allen durch
SafeGuard Enterprise geschützten Computern erzeugt.
Stellen Sie sicher, dass diese Schlüssel-Recovery-Datei an einem Speicherort abgelegt wird, auf den die Mitarbeiter des Helpdesk Zugriff haben. Die Dateien können dem Helpdesk auch auf anderem Wege zugänglich gemacht werden. Die Datei ist mit dem Unternehmenszertifikat verschlüsselt. Sie kann also auch auf externen Medien oder auf dem Netzwerk gespeichert
Copyright © Sophos Limited 39
SafeGuard Enterprise Administratorhilfe werden, um sie dem Helpdesk für Recovery-Vorgänge zur Verfügung zu stellen. Sie kann auch per
E-Mail verschickt werden.
7. Unter POA Gruppe können Sie eine POA-Gruppe auswählen, die dem Endpoint zugeordnet wird.
POA-Benutzer können für administrative Aufgaben auf den Endpoint zugreifen, nachdem die
Power-on Authentication aktiviert wurde. Um POA-Benutzer zuzuweisen, müssen Sie die POA-
Gruppe zunächst im Bereich Benutzer & Computer des SafeGuard Management Center anlegen.
8. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an.
9. Klicken Sie auf Konfigurationspaket erstellen.
Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Sie müssen das Paket auf den Endpoints verteilen und installieren.
2.10 Einrichten von SafeGuard Enterprise auf
Endpoints
Sobald das Backend funktioniert kann die Installation der SafeGuard Enterprise Clients beginnen.
Für eine reibungslose Implementierung empfehlen wir, die in diesem Abschnitt beschriebenen vorbereitenden Schritte zu befolgen.
Der SafeGuard Enterprise Client kann auf unterschiedlicher Hardware und auf unterschiedlichen
Betriebssystemen installiert werden. Eine Liste mit allen unterstützten Betriebssystemen sowie die
Systemvoraussetzungen finden Sie in der Versionsinfo .
Allgemeine Empfehlungen für die Vorbereitung Ihres Systems für die Installation von SafeGuard
Enterprise finden Sie im Sophos Knowledgebase-Artikel 108088 .
2.10.1 Managed Endpoints und Standalone Endpoints
Endpoints mit SafeGuard Enterprise können folgendermaßen konfiguriert werden:
• Managed
Zentrale, server-basierte Verwaltung im SafeGuard Management Center
Bei zentral verwalteten Endpoints besteht generell eine Verbindung zum SafeGuard Enterprise
Server. Sie erhalten ihre Richtlinien über den SafeGuard Enterprise Server.
• Standalone
Lokale Verwaltung durch im SafeGuard Management Center erstellte Konfigurationspakete.
Einschränkungen:
— Lokale Verwaltung wird nicht auf macOS unterstützt.
— Synchronized Encryption wird auf Standalone-Endpoints nicht unterstützt.
Nicht-verwaltete Endpoints sind nicht mit dem SafeGuard Enterprise Server verbunden und laufen daher im Standalone-Modus. Sie erhalten SafeGuard Enterprise Richtlinien über
Konfigurationspakete.
SafeGuard Enterprise Richtlinien werden im SafeGuard Management Center erstellt und in
Konfigurationspakete exportiert. Die Verteilung der Konfigurationspakete kann über firmeneigene
Software-Verteilungsmechanismen erfolgen, oder das Konfigurationspaket wird manuell auf den
Endpoints installiert.
Für die verschiedenen Endpoint-Typen stehen unterschiedliche Pakete und Module zur Verfügung.
40 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
2.10.2 Einschränkungen
Beachten Sie folgende Einschränkungen für zentral verwaltete Endpoints:
• Einschränkungen für die Initialverschlüsselung
Im Rahmen der initialen Konfiguration von zentral verwalteten Endpoints können
Verschlüsselungsrichtlinien erstellt werden, die in einem Konfigurationspaket an die durch
SafeGuard Enterprise geschützten Endpoints verteilt werden können. Wenn der Endpoint jedoch nicht direkt nach der Installation des Konfigurationspakets eine Verbindung mit dem SafeGuard Enterprise Server herstellt, sondern vorübergehend offline ist, werden nur
Verschlüsselungsrichtlinien mit den folgenden spezifischen Einstellungen sofort wirksam:
Volume-basierte Festplattenverschlüsselung, die den Definierten Computerschlüssel zur
Verschlüsselung verwendet.
Damit alle anderen Richtlinien, die Verschlüsselung mit benutzerdefinierten Schlüsseln umfassen, auf dem durch SafeGuard Enterprise geschützten Endpoint wirksam werden, muss das entsprechende Konfigurationspaket auch noch einmal der Organizational Unit des Endpoint zugewiesen werden. Die benutzerdefinierten Schlüssel werden dann erst erstellt, wenn der
Endpoint wieder eine Verbindung zum SafeGuard Enterprise Server hergestellt hat.
Ursache hierfür ist, dass der Definierte Computerschlüssel direkt auf dem durch SafeGuard
Enterprise geschützten Endpoint beim ersten Neustart nach der Installation erstellt wird.
Benutzerdefinierte Schlüssel hingegen können nur auf dem Endpoint erstellt werden, wenn er beim SafeGuard Enterprise Server registriert wurde.
• Einschränkungen für die Unterstützung von BitLocker Drive Encryption
Es kann entweder die SafeGuard Enterprise volume-basierende Verschlüsselung oder die BitLocker-Laufwerkverschlüsselung verwendet werden. Die gleichzeitige Verwendung beider Verschlüsselungstypen ist nicht möglich. Wenn Sie den Verschlüsselungstyp ändern möchten, müssen Sie zuerst alle verschlüsselten Laufwerke entschlüsseln, die SafeGuard
Enterprise Verschlüsselungssoftware deinstallieren und dann mit den gewünschten Features neu installieren. Der Installer verhindert die gleichzeitige Installation beider Features. Die
Deinstallation und Neuinstallation ist auch dann erforderlich, wenn kein Konfigurationspaket, das eine Verschlüsselung auslösen soll, installiert wurde.
2.10.3 Verfügbarkeit des SSL-Zertifikats auf Windows Endpoints prüfen
Das Zertifikat muss dem Computer zugewiesen sein, nicht dem Benutzer. Die Zertifikatsdatei muss im Microsoft Zertifikatspeicher unter Vertrauenswürdige Stammzertifizierungsstellen verfügbar sein.
1. Melden Sie sich an dem Endpoint als Administrator an.
2. Klicken Sie auf Ausführen > mmc .
3. Klicken Sie im Fenster Konsole1 auf Datei und wählen Sie Snap-In hinzufügen/entfernen.
4. Wählen Sie im Fenster Snap-In hinzufügen/entfernen auf der linken Seite Zertifikate und klicken
Sie Hinzufügen.
5. Wählen Sie auf der Seite Zertifikat-Snap-In die Option Computerkonto.
6. Wählen Sie auf der Seite Computer auswählen Lokaler Computer: (Computer, auf dem diese
Konsole ausgeführt wird) und klicken Sie auf Fertig stellen.
7. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.
Copyright © Sophos Limited 41
SafeGuard Enterprise Administratorhilfe
8. Klicken Sie links auf Konsolenstamm > Zertifikate - Lokaler Computer > Vertrauenswürdige
Stammzertifizierungsstellen > Zertifikate.
9. Prüfen Sie im rechten Fensterbereich, ob das zuvor erzeugte Zertifikat im Speicher verfügbar ist.
Wenn das Zertifikat in der Liste erscheint, ist dieser Schritt abgeschlossen. Wenn nicht, gehen Sie wie folgt vor:
10. Klicken Sie auf Ausführen > gpupdate /force .
Ein Windows Befehlsfenster wird angezeigt.
11. Warten Sie bis das Fenster geschlossen ist und beginnen Sie erneut mit Schritt 1.
2.10.4 Vorbereitung für die Unterstützung von BitLocker Drive
Encryption
Wenn Sie mit SafeGuard Enterprise BitLocker Endpoints verwalten möchten, treffen Sie folgende spezifische vorbereitende Maßnahmen auf dem Endpoint:
• Auf dem Endpoint muss Windows 7 oder höher installiert sein.
• BitLocker Drive Encryption muss installiert und aktiviert sein.
• BitLocker-Laufwerkverschlüsselungsdienst muss aktiviert sein.
Hinweis
Führen Sie services.mcs
aus, und überprüfen Sie, ob der BitLocker Drive Encryption
Service läuft.
• Wenn TPM für die Authentisierung verwendet werden soll, muss TPM initialisiert, im Besitz und aktiviert sein.
Entscheiden Sie vor der Installation, ob Sie Verwalten der BitLocker-Festplattenverschlüsselung
(Seite 249) oder verwenden wollen. Sie können nicht beide gleichzeitig installieren.
2.10.5 Vorbereitung für SafeGuard Full Disk Encryption mit POA
Vor der Installation von SafeGuard Enterprise empfehlen wir folgende vorbereitende Maßnahmen.
• Auf dem Endpoint muss ein Benutzerkonto eingerichtet und aktiv sein.
• Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
• Erstellen Sie einen kompletten Backup Ihrer Daten auf dem Endpoint.
• Laufwerke, die verschlüsselt werden sollen, müssen komplett formatiert sein und einen
Laufwerksbuchstaben zugewiesen haben.
• Sophos stellt eine Datei für die Hardware-Konfiguration zur Verfügung, um Konflikte zwischen der POA und Ihrer Endpoitn-Hardware zu vermeiden. Die Datei ist im Installationspaket der
Verschlüsselungssoftware enthalten. Wir empfehlen, vor jeder größer angelegten SafeGuard
Enterprise Installation die aktuelle Version dieser Datei zu installieren. Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 65700 .
Sie können uns bei der Optimierung der Hardware-Kompatibilität unterstützen, indem Sie ein von uns zur Verfügung gestelltes Tool ausführen. Dieses Tool liefert ausschließlich Hardwarerelevante Informationen. Das Tool ist einfach zu bedienen. Die gesammelten Informationen werden zur Hardware-Konfigurationsdatei hinzugefügt. Weitere Informationen finden Sie im
Sophos Knowledgebase-Artikel 110285 .
42 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• Überprüfen Sie die Festplatte(n) mit diesem Befehl auf Fehler: chkdsk %drive% /F /V /X
Danach müssen Sie Ihr System neu starten.
Wichtig
Starten Sie die SafeGuard Enterprise Installation nicht vor diesem Neustart!
• Benutzen Sie das Windows-Tool "defrag", um fragmentierte Boot-Dateien, Datendateien und
Ordner auf lokalen Volumes aufzufinden und zu konsolidieren.
• Deinstallieren Sie Third-Party Boot-Manager, z. B. PROnetworks Boot Pro und Boot-US.
• Wenn Sie für die Installation des Betriebssystems ein Image-Programm verwendet haben, empfehlen wir, den Master Boot Record (MBR) neu zu schreiben.
• Wenn die Bootpartition auf dem Endpoint von FAT nach NTFS konvertiert wurde, der Endpoint aber noch nicht neu gestartet wurde, sollten Sie den Endpoint einmal neu starten. Andernfalls kann die Installation unter Umständen nicht erfolgreich abgeschlossen werden.
• Nur für SafeGuard Enterprise Clients (managed): Kontrollieren Sie, ob eine Verbindung zum
SafeGuard Enterprise Server besteht. Rufen Sie auf den Endpoints im Internet Explorer folgende
Web-Adresse auf: http://<ServerIPAddress>/sgnsrv. Wenn die Trans-Seite mit dem Eintrag Check
Connection erscheint, ist die Verbindung zum SafeGuard Enterprise Server hergestellt.
Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 108088 .
2.10.6 Vorbereitung für Cloud Storage
Das SafeGuard Enterprise Modul Cloud Storage bietet dateibasierte Verschlüsselung von in der
Cloud gespeicherten Daten. Es werden nur neu in der Cloud gespeicherte Daten verschlüsselt.
Wurden Daten bereits vor der Installation von Cloud Storage in der Cloud gespeichert, so werden diese Daten nicht automatisch verschlüsselt. Um diese Daten zu verschlüsseln, müssen die
Benutzer sie zunächst aus der Cloud entfernen und sie nach der Installation von Cloud Storage wieder an die Cloud übergeben.
Cloud Storage stellt sicher, dass die lokalen Kopien von Cloud-Daten transparent verschlüsselt werden und auch verschlüsselt bleiben, wenn sie in der Cloud gespeichert werden.
Die Art und Weise, wie Benutzer mit in der Cloud gespeicherten Daten arbeiten, wird dadurch nicht beeinflusst. Auf die anbieterspezifische Cloud-Software hat die Anwendung des Moduls keine
Auswirkungen. Sie kann wie zuvor zum Übertragen von Daten an die Cloud oder zum Empfangen von Daten aus der Cloud benutzt werden.
So bereiten Sie Ihre Endpoints für Cloud Storage vor:
• Die anbieterspezifische Cloud Storage Software muss auf den Endpoint-Computern, auf denen
Sie das Modul Cloud Storage installieren möchten, installiert sein.
• Die anbieterspezifische Cloud Storage Software muss eine Anwendung oder einen
Systemdienst im lokalen Dateisystem für die Synchronisierung zwischen der Cloud und dem lokalen System enthalten.
• Die anbieterspezifische Cloud Storage Software muss die synchronisierten Daten im lokalen
Dateisystem speichern.
Copyright © Sophos Limited 43
SafeGuard Enterprise Administratorhilfe
44
2.11 Installieren der Verschlüsselungssoftware unter Windows
Für das Einrichten der SafeGuard Enterprise Verschlüsselungssoftware auf Endpoints gibt es zwei
Möglichkeiten:
• Lokales Installieren der Verschlüsselungssoftware Dies ist zum Beispiel für eine Testinstallation empfehlenswert.
• Zentrales Installieren der Verschlüsselungssoftware Dadurch wird eine standardisierte
Installation auf mehreren Endpoints erreicht.
Bevor Sie mit der Installation beginnen, prüfen Sie die verfügbaren Installationspakete und Features für zentral verwaltete Endpoints und Standalone-Endpoints. Die Installationsschritte für beide
Varianten sind identisch, mit der Ausnahme, dass für jeden der beiden ein unterschiedliches
Konfigurationspaket zugeordnet werden muss.
Das Verhalten des Endpoint bei der ersten Anmeldung nach der Installation von SafeGuard
Enterprise und der Aktivierung der Power-on Authentication ist in der SafeGuard Enterprise
Benutzerhilfe beschrieben.
2.11.1 Installationspakete und Features
Die folgende Tabelle zeigt die Installationspakete und Features der SafeGuard Enterprise
Verschlüsselungssoftware auf Endpoints. Sie finden die Installationspakete im Installers Ordner Ihrer
Produktlieferung.
Standardmäßig wird nur Festplattenverschlüsselung installiert. Auf Endpoints mit Windows 7 wird
SafeGuard Full Disk Encryption installiert. Auf Endpoints mit Windows 8 oder höher wird BitLocker installiert. Wenn Sie ein Modul zur Dateiverschlüsselung installieren möchten, wählen Sie den
Installationstyp Angepasst und dann die gewünschten Komponenten. Beachten Sie, dass Sie nur entweder Synchronized Encryption oder pfadbasierte File Encryption installieren können, nicht beide.
Wenn das Betriebssystem des Endpoint 64-Bit ist, installieren Sie die 64-Bit-Variante der
Installationspakete (<Paketname>_x64.msi).
Paket Inhalt Verfügbar für zentral verwaltete
Endpoints
Verfügbar für
Standalone-
Endpoints
SGxClientPreinstall.msi
(nur Windows 7)
Prä-Installations-Paket
Dieses Paket muss vor der Installation eines
Verschlüsselungsinstallationspakets installiert werden. Es stattet Endpoints mit notwendigen Voraussetzungen für eine erfolgreiche Installation der aktuellen Verschlüsselungssoftware aus.
Obligatorisch Obligatorisch vstor-redist.exe
Optional: nur nötig, wenn nicht alle aktuellen Windows-Updates installiert sind.
Copyright © Sophos Limited
Paket
SGNClient.msi
SGNClient_x64.msi
SafeGuard Enterprise Administratorhilfe
Inhalt Verfügbar für zentral verwaltete
Endpoints
Verfügbar für
Standalone-
Endpoints
SafeGuard Client-Installationspaket
Es stattet Endpoints mit notwendigen Voraussetzungen für eine erfolgreiche Installation der aktuellen Verschlüsselungssoftware aus. Für die Festplattenverschlüsselung von internen und externen Laufwerken bietet SafeGuard Enterprise die Alternativen SafeGuard Full Disk
Encryption oder BitLocker.
BitLocker oder BitLocker C/R
SafeGuard Enterprise verwaltet das Microsoft BitLocker
Verschlüsselungsmodul. Auf Systemen mit UEFI gibt es für die BitLocker
Pre-Boot Authentication einen
Challenge/Response Mechanismus, während auf Systemen mit BIOS der
Recovery-Schlüssel vom SafeGuard
Management Center abgerufen wird.
SafeGuard Full Disk Encryption (nur
Windows 7 BIOS)
SafeGuard Full Disk Encryption enthält
SafeGuard Power-on Authentication
(POA).
Synchronized Encryption
Beinhaltet Funktionen für anwendungsbasierte
Dateiverschlüsselung und selbstverschlüsselnde HTML zum automatischen Verschlüsseln von
Mailanhängen in Microsoft Outlook.
Cloud Storage
Dateibasierende Verschlüsselung für in der Cloud gespeicherte Daten
Lokale Kopien von in der Cloud gespeicherten Daten werden stets transparent verschlüsselt. Für das
Übertragen von Daten an die Cloud oder den Empfang von Daten aus der Cloud muss anbieterspezifische
Software benutzt werden.
File Encryption
Dateibasierende Verschlüsselung von Daten auf lokalen Festplatten und Netzwerkfreigaben, speziell für
Arbeitsgruppen
Copyright © Sophos Limited 45
SafeGuard Enterprise Administratorhilfe
Paket Inhalt Verfügbar für zentral verwaltete
Endpoints
Verfügbar für
Standalone-
Endpoints
Data Exchange
SafeGuard Data Exchange:
Dateibasierende Verschlüsselung von
Daten auf Wechselmedien auf allen
Plattformen ohne Neuverschlüsselung.
2.11.2 Lokales Installieren der Verschlüsselungssoftware
Voraussetzungen:
• Die Endpoints müssen für die Verschlüsselung vorbereitet sein, siehe
(Seite 40).
• Entscheiden Sie, welches Verschlüsselungspaket und welche Features installiert werden sollen. So wird beispielsweise das Paket SGxClientPreinstall.msi
ab Windows 8 nicht mehr benötigt.
Die Anleitung bezüglich POACFG-Datei sind nur relevant für Device Encryption mit POA und
BitLocker mit Challenge/Response.
So führen Sie eine lokale Installation der Verschlüsselungssoftware durch:
1. Melden Sie sich an dem Endpoint als Administrator an.
2. Kopieren Sie die Pakete SGNClient_x64.msi
und SGxClientPreinstall.msi
auf den Client.
3. Installieren Sie das Paket SGxClientPreinstall.msi
um den Endpoint mit den notwendigen
Voraussetzungen für eine erfolgreiche Installation der aktuellen Verschlüsselungssoftware auszustatten.
Alternativ zu SGxClientPreinstall.msi
können Sie auch das Windows-Paket vcredist_x86.exe
, das in der Produktlieferung enthalten ist, installieren.
4. Installieren Sie vcredist14_x86.exe
aus Ihrer Produktlieferung.
5. Laden Sie die aktuelle POACFG-Datei herunter wie im Sophos Knowledgebase-Artikel 65700 beschrieben.
6. Speichern Sie die aktuellste Version der POACFG-Datei zentral, so dass sie von jedem Endpoint aus erreichbar ist.
7. Öffnen Sie am Client ein Eingabeaufforderungsfenster mit Administratorrechten.
8. Wechseln Sie zum Ordner, der die SafeGuard Installationsdateien enthält.
9. Starten Sie die Installation mit folgendem Befehl: MSIEXEC /i <Client.msi> POACFG=<Pfad der POA-Konfigurationsdatei>
Der SafeGuard Enterprise Client Installationsassistent startet.
10. Übernehmen Sie im Assistenten in allen folgenden Dialogen die Standardeinstellungen.
Bei einer Erstinstallation empfehlen wir, von Beginn an eine Vollständige Installation auszuwählen. Um nur einen Teil der Features zu installieren, wählen Sie eine Angepasste
Installation.
11. Wechseln Sie zum Speicherort des relevanten Konfigurationspakets (MSI), das Sie zuvor im
SafeGuard Management Center erzeugt haben. Für zentral verwaltete Endpoints und Standalone-
Endpoints müssen spezifische Konfigurationspakete installiert werden, siehe
(Seite 38).
12. Installieren Sie das relevante Konfigurationspaket (MSI) auf dem Computer.
13. Starten Sie die Endpoints zweimal neu um die Power-on Authentication zu aktivieren.
46 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
14. Die Computer müssen ein drittes Mal neu gestartet werden, um eine Sicherung der Kerneldaten bei jedem Windows-Start durchzuführen. Stellen Sie sicher, dass die Computer vor dem dritten
Neustart nicht in den Ruhezustand versetzt werden, damit die Sicherung der Kerneldaten erfolgreich abgeschlossen werden kann.
SafeGuard Enterprise wird auf dem Endpoint eingerichtet. Informationen zum Anmeldeverhalten des
Computers nach der Installation von SafeGuard Enterprise finden Sie in der SafeGuard Enterprise
Benutzerhilfe .
2.11.3 Zentrale Installation der Verschlüsselungssoftware
Durch die zentrale Installation der Verschlüsselungssoftware wird eine standardisierte Installation auf mehreren Endpoints erreicht.
Hinweis
Die Installations- und Konfigurationspakete können im Rahmen einer zentralen Softwareverteilung nur einem Endpoint zugewiesen werden, nicht aber einem Benutzer.
So führen Sie eine zentrale Installation durch:
• Prüfen Sie die verfügbaren Installationspakete und Features für zentral verwaltete Endpoints und
Standalone-Endpoints, siehe
Installationspakete und Features (Seite 44).
• Prüfen Sie die Kommandozeilenoptionen.
• Prüfen Sie die Liste mit Feature-Parametern für die ADDLOCAL Befehlszeilenoption.
• Prüfen Sie die Beispielbefehle.
• Bereiten Sie das Installationsskript vor.
Zentrale Installation der Verschlüsselungssoftware über Active Directory
Stellen Sie sicher, dass Sie die folgenden Schritte bei der zentralen Installation der
Verschlüsselungssoftware über Gruppenrichtlinienobjekte (GPO) in einem Active Directory durchführen:
Hinweis
Die Installations- und Konfigurationspakete können im Rahmen einer zentralen Softwareverteilung nur einem Endpoint zugewiesen werden, nicht aber einem Benutzer.
• Verwenden Sie ein gesondertes Gruppenrichtlinienobjekt (GPO) für jedes Installationspaket und sortieren Sie sie in der folgenden Reihenfolge:
1. Prä-Installations-Paket
2. Verschlüsselungssoftware-Paket
3. Endpoint-Konfigurationspaket
Für weitere Informationen zur den Paketen, siehe Vorbereiten des Installationsskripts (Seite
48).
• Wenn die Sprache des Endpoints nicht auf Deutsch gestellt ist, führen Sie zusätzlich Folgendes aus: Wählen Sie im Gruppenrichtlinien-Editor das entsprechende Gruppenobjekt aus und wählen
Sie dann Computerkonfiguration > Softwareeinstellungen > Erweitert. Wählen Sie im Dialog
Erweiterte Bereitstellungsoptionen Sprache beim Bereitstellen dieses Pakets ignorieren und klicken Sie OK.
Copyright © Sophos Limited 47
SafeGuard Enterprise Administratorhilfe
48
Vorbereiten des Installationsskripts
Voraussetzungen:
• Die Endpoints müssen für die Verschlüsselung vorbereitet sein.
• Entscheiden Sie, welches Verschlüsselungspaket und welche Features installiert werden sollen.
So führen Sie eine zentrale Installation der Verschlüsselungssoftware durch:
1. Erstellen Sie ein Verzeichnis mit der Bezeichnung Software als zentralen Speicherort für alle
Anwendungen.
2. Verwenden Sie Ihre eigenen Tools, um das Installationspaket zu erstellen, das auf den Endpoints installiert werden soll. Das Paket muss Folgendes in der angegebenen Reihenfolge enthalten:
Paket
Prä-Installationspaket
SGxClientPreinstall.msi
(nur Windows 7)
Beschreibung
Das obligatorische Paket stattet die Endpoints mit den nötigen Voraussetzungen für eine erfolgreiche
Installation der aktuellen Verschlüsselungssoftware aus, zum Beispiel mit der benötigten DLL MSVCR110.dll
.
Hinweis
Wenn dieses Paket nicht installiert ist, wird die Installation der Verschlüsselungssoftware abgebrochen.
Verschlüsselungssoftware-Paket Für eine Liste der verfügbaren Pakete, siehe
Installationspakete und Features (Seite 44).
Konfigurationspaket für Endpoints Verwenden Sie die zuvor im SafeGuard Management
Center erzeugten Konfigurationspakete. Für zentral verwaltete Endpoints und Standalone-Endpoints müssen unterschiedliche Konfigurationspakete installiert werden, siehe
Erzeugen von Konfigurationspaketen (Seite 38).
Löschen Sie zunächst alle alten Konfigurationspakete.
3. Erstellen Sie ein Skript mit den Kommandos für die vorkonfigurierte Installation. Im Skript müssen die Features der Verschlüsselungssoftware aufgelistet sein, die Sie installieren möchten, siehe
Feature-Parameter für die ADDLOCAL Option (Seite 50). Öffnen Sie eine
Befehlseingabeaufforderung und geben Sie die Scripting-Befehle ein. Für Informationen zur
Kommandozeilen-Syntax, siehe Kommandozeilenoptionen für die zentrale Installation (Seite
49).
4. Verteilen Sie das Paket über unternehmensinterne Software-Verteilungsmechanismen an die
Endpoints.
Das Installation wird auf den Endpoints ausgeführt. Danach sind die Endpoints für den Einsatz von SafeGuard Enterprise bereit.
5. Starten Sie die Endpoints zweimal neu um die Power-on Authentication zu aktivieren. Die
Computer müssen ein drittes Mal neu gestartet werden, um eine Sicherung der Kerneldaten bei jedem Windows-Start durchzuführen. Stellen Sie sicher, dass die Computer vor dem dritten
Neustart nicht in den Ruhezustand versetzt werden, damit die Sicherung der Kerneldaten erfolgreich abgeschlossen werden kann.
Zusätzliche Konfiguration kann erforderlich sein, damit sich die Power-on Authentication (POA) auf jeder Hardware-Plattform korrekt verhält. Die meisten Hardware-Konflikte lassen sich mit Hilfe von
Hotkeys-Funktionalitäten beheben, die in die POA integriert sind. Hotkeys können nach der Installation
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe konfiguriert werden, entweder in der POA selbst oder über eine zusätzliche Konfigurationseinstellung, die dem Windows Installer Befehl msiexec mitgegeben wird. Weitere Informationen finden Sie in
Sophos Knowledgebase-Artikel 107781 und 107785 .
Vorbereitung für Synchronized Encryption
Für die ordnungsgemäße Funktion von Synchronized Encryption muss die Windows-Runtime vstor-redist.exe
installiert sein. Die Datei installiert Microsoft Visual Studio 2010 Tools für
Office-Laufzeit und ist im Installationspaket enthalten.
Wir empfehlen, die Komponenten in folgender Reihenfolge zu installieren:
1.
vstor-redist.exe
2.
SGNClient.msi
3. Konfigurationspaket
Hinweis
Sie können das Installationspaket nicht installieren bevor die Installation von vstor-redist.exe
abgeschlossen ist.
Kommandozeilenoptionen für die zentrale Installation
Wir empfehlen, für die zentrale Installation ein Skript mit der Windows Installer Komponente msiexec zu erstellen, welches automatisch eine vordefinierte Installation von SafeGuard Enterprise ausführt. msiexec ist in Windows enthalten. Weitere Informationen finden Sie unter https:// msdn.microsoft.com/de-de/library/aa372024(v=vs.85).aspx
.
Kommandozeilen-Syntax
msiexec /i <path+msi package name> / ADDLOCAL=<SGN Features>
Die Kommandozeilensyntax setzt sich folgendermaßen zusammen:
• Windows Installer Parameter, die z. B. Warnungen und Fehlermeldungen während der
Installation in eine Datei protokollieren.
• SafeGuard Enterprise-Funktionen, die installiert werden sollen, z. B.
Festplattenvollverschlüsselung.
Kommandozeilen-Optionen
Alle verfügbaren Optionen können Sie über msiexec.exe
in der Eingabeaufforderung abrufen. Im
Folgenden sind wichtige Optionen beschrieben.
Option
/i
/qn
Beschreibung
Gibt an, dass es sich um eine Installation handelt.
Installiert ohne Benutzerinteraktion und zeigt keine Benutzeroberfläche an.
Copyright © Sophos Limited 49
SafeGuard Enterprise Administratorhilfe
Option
ADDLOCAL=
ADDLOCAL=ALL
REBOOT=NORESTART |
ReallySuppress
/L*VX <path + filename>
Beschreibung
Listet die SafeGuard Enterprise Features auf, die installiert werden. Wird die Option nicht angegeben, werden alle Features installiert, die für eine
Standardinstallation vorgesehen sind.
Eine Liste der SafeGuard Enterprise Features in den einzelnen
Installationspaketen und Informationen zu deren Verfügbarkeit je nach Endpoint-Konfiguration finden Sie unter
(Seite 44). Für eine Liste der Feature-Parameter für die
ADDLOCAL Option, siehe
Feature-Parameter für die ADDLOCAL
(Seite 50).
Unter Windows 7 (BIOS) installiert ADDLOCAL=ALL die SafeGuard volumebasierende Verschlüsselung und alle anderen verfügbaren Module. Unter
Windows 8 oder höher installiert ADDLOCAL=ALL BitLocker-Unterstützung und Synchronized Encryption.
Erzwingt oder unterdrückt einen Neustart nach der Installation. Ohne Angabe wird der Neustart erzwungen (Force).
Protokolliert alle Warnungen und Fehlermeldungen in die angegebene
Protokolldatei. Der Parameter /Le <path + filename> protokolliert ausschließlich Fehlermeldungen.
Feature-Parameter für die ADDLOCAL Option
Sie müssen Sie bereits im Vorfeld definieren, welche Features auf den Endpoints installiert werden sollen. Die Feature-Namen werden als Parameter zur Kommandozeilenoption ADDLOCAL hinzugefügt. Listen Sie die Features nach der Eingabe der Option ADDLOCAL in der Kommandozeile auf:
• Verwenden Sie Kommas als Trennzeichen zwischen den Features.
• Beachten Sie Groß- und Kleinschreibung.
• Wenn Sie ein Feature auswählen, müssen Sie auch alle übergeordneten Features (Feature
Parents) zur Kommandozeile hinzufügen.
• Bitte beachten Sie, dass die Feature-Namen von den zugehörigen Modulnamen abweichen können. Sie finden sie in unten stehender Tabelle in Klammern.
• Die Features Client und CredentialProvider müssen Sie immer auflisten.
In den folgenden Tabellen sind alle Features aufgelistet, die auf den Endpoints installiert werden
können. Weitere Informationen finden Sie unter: Installationspakete und Features (Seite 44).
Feature Parents
Client
Client, BaseEncryption
Client,BaseEncryption
Client,BaseEncryption,BitLockerSupport
Feature
CredentialProvider
Obligatorisch Das Feature dient zur Anmeldung über den Credential Provider.
SectorBasedEncryption (SafeGuard Volume Based
Encryption)
BitLockerSupport
Nur Win 7: SectorBasedEncryption
BitLockerSupport (BitLocker)
BitLockerSupportCR (BitLocker C/R)
50 Copyright © Sophos Limited
Feature Parents
Client, NextGenDataProtection
Client, LocationBasedEncryption
Client, LocationBasedEncryption
Client, LocationBasedEncryption
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Feature
NextGenDataProtection (Synchronized Encryption)
SecureDataExchange (Data Exchange)
FileShare (File Encryption)
CloudStorage (Cloud Storage)
Beispielbefehle: Nur SafeGuard File Encryption installieren
msiexec /i C:\Software\SGxClientPreinstall.msi /qn /L*VX C:\Temp
\SGxClientPreinstall.log
Die Endpoints werden mit den notwendigen Voraussetzungen für eine erfolgreiche Installation der aktuellen Verschlüsselungssoftware ausgestattet. Die Protokolldatei SGxClientPreinstall.log
wird unter C:\Temp\ angelegt.
Verwenden Sie die Option / L * VX, wenn Sie ein Problem mit einem Installationspaket haben.
Diese Option ist nicht zwingend erforderlich.
msiexec /i C:\Software\SGNClient.msi
ADDLOCAL=Client,CredentialProvider,LocationBasedEncryption,FileShare
Folgende Komponenten werden installiert:
• Unterstützung der Anmeldung an Endpoints mit Windows Credential Provider.
• SafeGuard File Encryption mit dateibasierender Verschlüsselung von Daten auf der lokalen
Festplatte und auf Netzwerkfreigaben
Das Installationsverzeichnis ist C:\Program Files\Sophos\SafeGuard Enterprise .
msiexec /i C:\Software\SGNConfig_managed.msi
Installiert das Konfigurationspaket, das den Endpoint als zentral verwalteten Endpoint konfiguriert und eine Verbindung zum SafeGuard Enterprise Server ermöglicht.
Beispielbefehle: Installieren der SafeGuard BitLocker-Unterstützung
msiexec /i C:\Software\SGxClientPreinstall.msi
Die Endpoints werden mit den notwendigen Voraussetzungen für eine erfolgreiche Installation der aktuellen Verschlüsselungssoftware ausgestattet.
msiexec /i C:\Software\SGNClient_x64.msi
ADDLOCAL=Client,CredentialProvider,BaseEncryption,BitLockerSupport
Folgende Komponenten werden installiert:
• Unterstützung der Anmeldung an Endpoints mit Windows Credential Provider.
• SafeGuard BitLocker-Unterstützung.
Das Installationsverzeichnis ist C:\Program Files\Sophos\SafeGuard Enterprise .
msiexec /i C:\Software\SGNConfig_managed.msi
51
SafeGuard Enterprise Administratorhilfe
Installiert das Konfigurationspaket, das den Endpoint als zentral verwalteten Endpoint konfiguriert und eine Verbindung zum SafeGuard Enterprise Server ermöglicht.
Beispielbefehle: Installieren von SafeGuard BitLocker-Unterstützung und
File Encryption
msiexec /i C:\Software\SGxClientPreinstall.msi
Die Endpoints werden mit den notwendigen Voraussetzungen für eine erfolgreiche Installation der aktuellen Verschlüsselungssoftware ausgestattet.
msiexec /i C:\Software\SGNClient_x64.msi
ADDLOCAL=Client,CredentialProvider,BaseEncryption,BitLockerSupport,FileShare
Folgende Komponenten werden installiert:
• Unterstützung der Anmeldung an Endpoints mit Windows Credential Provider.
• SafeGuard BitLocker-Unterstützung.
• SafeGuard File Encryption mit dateibasierender Verschlüsselung von Daten auf der lokalen
Festplatte und auf Netzwerkfreigaben
Das Installationsverzeichnis ist C:\Program Files\Sophos\SafeGuard Enterprise .
msiexec /i C:\Software\SGNConfig_managed.msi
Installiert das Konfigurationspaket, das den Endpoint als zentral verwalteten Endpoint konfiguriert und eine Verbindung zum SafeGuard Enterprise Server ermöglicht.
2.11.4 Installation auf selbst-verschlüsselnden Opal-Festplatten
SafeGuard Enterprise unterstützt den anbieter-unabhängigen Opal-Standard für selbstverschlüsselnde Festplatten und bietet die Verwaltung von Endpoints mit dieser Art von Festplatten.
Um sicherzustellen, dass die Unterstützung von selbst-verschlüsselnden Opal-Festplatten diesem
Standard möglichst genau entspricht, werden bei der Installation von SafeGuard Enterprise auf dem
Endpoint zwei Arten von Prüfungen durchgeführt:
• Funktionale Prüfungen
Hier wird u. a. geprüft, ob sich die Festplatte als "OPAL"-Festplatte identifiziert, ob
Kommunikationseinstellungen korrekt sind und ob alle für SafeGuard Enterprise erforderlichen
Opal Features von der Festplatte unterstützt werden.
• Sicherheitsprüfungen
Mit Sicherheitsprüfungen wird sichergestellt, dass nur SafeGuard Enterprise Benutzer auf der
Festplatte registriert sind und dass nur SafeGuard Enterprise Benutzer die Schlüssel für die software-basierende Verschlüsselung von nicht selbst-verschlüsselnden Laufwerken haben.
Wird bei der Installation festgestellt, dass andere Benutzer registriert sind, versucht SafeGuard
Enterprise automatisch, diese zu deaktivieren. Diese Funktionalität wird durch den Opal-
Standard gefordert. Ausgenommen sind hier einige wenige Standard "Authorities", die für den
Betrieb eines Opal-Systems erforderlich sind.
52 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Hinweis
Diese Sicherheitsprüfungen werden wiederholt, wenn nach einer erfolgreichen Installation im Opal-Modus eine Verschlüsselungsrichtlinie für die Festplatte angewendet wird. Schlagen diese fehl, so haben seit der ersten Prüfung bei der Installation außerhalb von SafeGuard
Enterprise Eingriffe in die Laufwerksverwaltung stattgefunden. In diesem Fall sperrt SafeGuard
Enterprise nicht die Opal-Festplatte. Es wird eine entsprechende Meldung angezeigt.
Sollten einige dieser Prüfungen ohne Recovery-Möglichkeit fehlschlagen, so wird für die Installation nicht die software-basierende Verschlüsselung angewendet. Stattdessen bleiben alle Volumes auf der Opal-Festplatte unverschlüsselt.
Ab SafeGuard Enterprise Version 7 werden standardmäßig keine Opal-Prüfungen durchgeführt. Das bedeutet: Auch wenn ein Opal-Laufwerk vorhanden ist, verschlüsselt SafeGuard Enterprise Volumes auf diesem Laufwerk mit softwarebasierter Verschlüsselung.
Wenn Sie erzwingen möchten, dass Opal-Prüfungen durchgeführt werden, verwenden Sie folgende
Kommandozeilensyntax:
MSIEXEC /i SGNClient.msi OPALMODE=0
Hinweis
Mit einem Upgrade von SafeGuard Enterprise 7.0 oder 8.0 auf SafeGuard Enterprise 8.2 auf einem System mit einer Opal HDD, die im Opal HW-Verschlüsselungsmodus betrieben wird, bleibt dieser Verschlüsselungsmodus erhalten.
Bei einigen Opal-Festplatten bestehen u. U. Sicherheitsprobleme. Es besteht keine Möglichkeit, automatisch festzustellen, welche Privilegien unbekannten Benutzern/Authorities zugeordnet sind, die bereits zum Zeitpunkt der SafeGuard Enterprise Installation/Verschlüsselung registriert waren. Wenn die Festplatte den Befehl, diese Benutzer zu deaktivieren, nicht ausführt, wendet
SafeGuard Enterprise die software-basierende Verschlüsselung an, um die größtmögliche Sicherheit für den SafeGuard Enterprise Benutzer zu gewährleisten. Da wir für die Festplatten selbst keine
Sicherheitsgarantien geben können, haben wir einen speziellen Installationsschalter implementiert.
Diesen Schalter können Sie verwenden, um Festplatten mit potentiellen Sicherheitsrisiken auf eigene Verantwortung zu benutzen. Eine Liste der Festplatten, für die dieser Schalter erforderlich ist, sowie weitere Informationen zu unterstützten Festplatten finden Sie in den Versionsinfos .
Um den Installationsschalter anzuwenden, benutzen Sie folgende Kommandozeilensyntax:
MSIEXEC /i SGNClient.msi IGNORE_OPAL_AUTHORITYCHECK_RESULTS=1
Wenn Sie die Installation mit einem Transform durchführen möchten: Die interne Eigenschaft der .msi-Datei hat denselben Namen.
2.12 Installieren der Verschlüsselungssoftware unter macOS
Das folgende Kapitel beschreibt die Installation der Sophos Verschlüsselungssoftware auf macOS
Endpoints. Folgende Produkte stehen zur Verfügung:
• Sophos SafeGuard Native Device Encryption
• Sophos SafeGuard File Encryption
Copyright © Sophos Limited 53
SafeGuard Enterprise Administratorhilfe
Für beide Produkte sind zwei Installationstypen möglich:
• automatisierte (unbeaufsichtigte) Installation
• manuelle (beaufsichtigte) Installation
Wenn Sie SafeGuard File Encryption und SafeGuard Native Device Encryption verwenden möchten, muss es sich in beiden Fällen um Version 8 handeln.
2.12.1 Automatisierte Installation von SafeGuard Native Device
Encryption
Eine automatisierte (unbeaufsichtigte) Installation erfordert keinen Benutzereingriff während des
Installationsprozesses.
Der folgende Abschnitt beschreibt die grundsätzlichen Schritte einer automatisierten Installation von SafeGuard Native Device Encryption für Mac. Verwenden Sie die Managementsoftware, die auf
Ihrem System installiert ist. Je nach Managementsoftware-Lösung, die Sie verwenden, können die tatsächlichen Schritte von der Beschreibung abweichen.
Um SafeGuard Native Device Encryption für Mac auf Client-Rechnern zu installieren, gehen Sie wie folgt vor:
1. Laden Sie die Installationsdatei Sophos SafeGuard DE.dmg herunter.
2. Kopieren Sie die Datei auf die Zielrechner.
3. Installieren Sie die Datei auf den Zielrechnern. Wenn Sie Apple Remote Desktop verwenden, sind die Schritte 2 und 3 zu einem einzelnen Schritt zusammengefasst.
4. Wählen Sie die Konfigurations-Zip-Datei aus und kopieren Sie sie auf die Zielrechner, siehe
Erzeugen eines Konfigurationspakets für Macs
(Seite 76).
5. Führen Sie auf den Zielrechnern das folgende Kommando aus:
/usr/bin/sgdeadmin --import-config /Pfad/zu/SGNConfig_managed.zip
6. Passen Sie /Pfad/zur/Datei auf Ihre Einstellungen an. Dieses Kommando muss mit
Administratorrechten ausgeführt werden. Wenn Sie Apple Remote Desktop verwenden, geben
Sie root in das Feld Benutzername ein um festzulegen, welcher Benutzer das Kommando oben ausführt.
Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 120507 .
2.12.2 Manuelle Installation von SafeGuard Native Device
Encryption
Eine manuelle (oder beaufsichtigte) Installation ermöglicht Ihnen, die Installation Schritt-für-Schritt zu steuern und zu testen. Sie wird auf Mac-Einzelplatzrechnern durchgeführt.
1. Öffnen Sie Sophos SafeGuard DE.dmg.
2. Nachdem Sie die Readme-Datei gelesen haben, doppelklicken Sie auf Sophos SafeGuard DE.pkg und folgen Sie den Anweisungen des Installationsassistenten. Sie werden nach Ihrem Kennwort gefragt, um die Installation neuer Software zu erlauben. Das Produkt wird im Ordner /Library/
Sophos SafeGuard DE/ installiert.
3. Klicken Sie auf Schließen, um die Installation abzuschließen.
4. Nach einem Neustart melden Sie sich mit Ihrem Mac Kennwort an.
5. Öffnen Sie die Systemeinstellungen und klicken Sie auf das Sophos Encryption-Symbol, um die
Produkteinstellungen anzuzeigen.
54 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
6. Klicken Sie auf die Registerkarte Server.
7. Werden Server und Zertifikatsdetails angezeigt, so überspringen Sie die nächsten Schritte und gehen Sie zu Schritt 11. Wird keine Information angezeigt, so fahren Sie mit dem nächsten Schritt fort.
8. Wählen Sie die Konfigurations-Zip-Datei aus und kopieren Sie sie auf die Zielrechner, siehe
Erzeugen eines Konfigurationspakets für Macs
(Seite 76).
9. Ziehen Sie die Zip-Datei in den Server-Dialog und lassen Sie sie in der Dropzone los.
10. Sie werden aufgefordert, Ihr Mac-Administratorkennwort einzugeben. Geben Sie das Kennwort ein und klicken Sie zur Bestätigung auf OK.
11. Überprüfen Sie die Verbindung zum SafeGuard Enterprise Server. Details zum
Unternehmenszertifikat werden im unteren Teil des Serverdialogs angezeigt. Klicken Sie dann auf Synchronisieren. Eine erfolgreichen Verbindung erkennen Sie an einem aktualisierten
Zeitstempel (Registerkarte Server, Serverinfo-Bereich, Letzter Serverkontakt:). Bei einer unterbrochenen Verbindung erscheint das folgende Symbol:
Weitere Informationen finden Sie in der System-Logdatei.
2.12.3 Automatisierte Installation von SafeGuard File Encryption
Eine automatisierte (unbeaufsichtigte) Installation erfordert keinen Benutzereingriff während des
Installationsprozesses.
Der folgende Abschnitt beschreibt die grundsätzlichen Schritte einer automatisierten Installation von
SafeGuard File Encryption für Mac. Verwenden Sie die Managementsoftware, die auf Ihrem System installiert ist. Je nach Managementsoftware-Lösung, die Sie verwenden, können die tatsächlichen
Schritte von der Beschreibung abweichen.
Um SafeGuard File Encryption für Mac auf Client-Rechnern zu installieren, gehen Sie wie folgt vor:
1. Laden Sie die Installationsdatei Sophos SafeGuard FE.pkg herunter.
2. Kopieren Sie die Datei auf die Zielrechner.
3. Installieren Sie die Datei auf den Zielrechnern. Wenn Sie Apple Remote Desktop verwenden, sind die Schritte 2 und 3 zu einem einzelnen Schritt zusammengefasst.
4. Wählen Sie die Konfigurations-Zip-Datei aus und kopieren Sie sie auf die Zielrechner, siehe
Erzeugen von Konfigurationspaketen
(Seite 38).
5. Führen Sie auf den Zielrechnern das folgende Kommando aus:
/usr/bin/sgdeadmin --import-config /Pfad/zur/Datei.zip
6. Passen Sie /Pfad/zur/Datei auf Ihre Einstellungen an. Dieses Kommando muss mit
Administratorrechten ausgeführt werden. Wenn Sie Apple Remote Desktop verwenden, geben
Sie root in das Feld Benutzername ein um festzulegen, welcher Benutzer das Kommando oben ausführt.
7. Sie können Ihrem Workflow weitere Schritte je nach Ihren spezifischen Einstellungen hinzufügen wie z.B. die Zielrechner herunterzufahren.
Weitere Informationen finden Sie im Sophos Support-Artikel 120507 .
Copyright © Sophos Limited 55
SafeGuard Enterprise Administratorhilfe
2.12.4 Manuelle Installation von SafeGuard File Encryption
Eine manuelle (oder beaufsichtigte) Installation ermöglicht Ihnen, die Installation Schritt-für-Schritt zu steuern und zu testen. Sie wird auf Mac-Einzelplatzrechnern durchgeführt.
1. Öffnen Sie Sophos SafeGuard FE.dmg.
2. Nachdem Sie die Readme-Datei gelesen haben, doppelklicken Sie auf Sophos SafeGuard FE.pkg und folgen Sie den Anweisungen des Installationsassistenten. Sie werden nach Ihrem Kennwort gefragt, um die Installation neuer Software zu erlauben. Das Produkt wird im Ordner /Library/
Sophos SafeGuard FS/ installiert.
3. Klicken Sie auf Schließen, um die Installation abzuschließen.
4. Öffnen Sie die Systemeinstellungen und klicken Sie auf das Sophos Encryption-Symbol, um die
Produkteinstellungen anzuzeigen.
5. Klicken Sie auf die Registerkarte Server.
6. Werden Server und Zertifikatsdetails angezeigt, so überspringen Sie die nächsten Schritte und gehen Sie zu Schritt 11. Wird keine Information angezeigt, so fahren Sie mit dem nächsten Schritt fort.
7. Wählen Sie die Konfigurations-Zip-Datei aus und kopieren Sie sie auf die Zielrechner, siehe
Erzeugen von Konfigurationspaketen
(Seite 38).
8. Ziehen Sie die Zip-Datei in den Server-Dialog und lassen Sie sie in der Dropzone los.
9. Sie werden aufgefordert, Ihr Mac-Administratorkennwort einzugeben. Geben Sie das Kennwort ein und klicken Sie zur Bestätigung auf OK.
10. Geben Sie Ihr Mac-Kennwort ein, um Ihr SafeGuard Benutzerzertifikat anzufordern.
11. Überprüfen Sie die Verbindung zum SafeGuard Enterprise Server. Details zum
Unternehmenszertifikat werden im unteren Teil des Serverdialogs angezeigt. Klicken Sie dann auf Synchronisieren. Eine erfolgreichen Verbindung erkennen Sie an einem aktualisierten
Zeitstempel (Registerkarte Server, Serverinfo-Bereich, Letzter Serverkontakt:). Bei einer unterbrochenen Verbindung erscheint das folgende Symbol:
Weitere Informationen finden Sie in der System-Logdatei.
2.13 Web Helpdesk einrichten
Web Helpdesk ist Teil der Installation von SafeGuard Enterprise Server, siehe Installieren von
SafeGuard Enterprise Server (Seite 13).
Nach der Installation von Web Helpdesk müssen Sie den Web Server konfigurieren.
Auf dem Computer des Web Helpdesk-Beauftragten muss nur ein Browser installiert sein.
56
2.13.1 Voraussetzungen für den Server
Eine detaillierte Beschreibung der Systemvoraussetzungen für den Server finden Sie in den Release
Notes.
• Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• Microsoft Internet Information Services (IIS) muss installiert sein.
• .NET Framework 4.5 mit ASP.NET 4.5 muss installiert sein.
• Für Windows Server 2012: Die Rolle ASP.NET muss installiert sein (Serverrollen > Webserver (IIS)
> Web Server > Anwendungsentwicklung > ASP.NET 4.5).
Hinweis
Auf Windows Server 2012 trifft Folgendes zu: ASP.NET Applikationen sind vorkonfiguriert mit einem Handler-Abschnitt im web.config. Innerhalb der Delegierung von Features im IIS ist das auf schreibgeschützt gesetzt. Im IIS-Manager überprüfen Sie das unter Servername > Delegierung von Features. Wenn die Handler-Mappings auf schreibgeschützt gesetzt sind und Ihre web.configs
einen Handler-Abschnitt haben, ändern Sie den Wert auf lesen/schreiben.
2.13.2 Konfigurieren des Web Servers mit SSL/TLS
1. Zugang zu Web Helpdesk ausschließlich über das Intranet.
Stellen Sie aus Sicherheitsgründen Web Helpdesk nicht über das Internet zur Verfügung.
2. Herstellung einer SSL/TLS-Verbindung
Die Verfügbarkeit von Web Helpdesk lässt sich über die mit IIS gelieferte IIS-Standardkonfiguration auf spezifische Benutzer eingrenzen. Stellen Sie sicher, dass SSL/TLS Security Certificate auf dem
IIS Server installiert ist. Die gesamte Kommunikation mit Web Helpdesk erfolgt dann über SSL/
TLS.
Folgende allgemeine Schritte sind auszuführen, um den Web-Server mit SSL/TLS einzurichten: a) Certificate Authority muss auf dem Server installiert sein, um die bei der SSL/TLS-
Verschlüsselung verwendeten Zertifikate auszustellen.
b) Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden, dass er SSL/TLS verwendet und auf das Zertifikat zeigt.
c) Der Servername, den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben, muss identisch mit dem Servernamen sein, den Sie vorab im SSL/TLS-Zertifikat angegeben haben. Sonst können Client und Server nicht miteinander kommunizieren. Für jeden
SafeGuard Enterprise Server wird ein separates SSL-Zertifikat benötigt.
d) Die Arbeitsprozesse für den Anwendungspool SGNWHD-Pool dürfen nicht auf mehr als 1
(Standardeinstellung) erhöht werden. Andernfalls schlägt die Authorisierung bei Web Helpdesk fehl.
Weitere Informationen erhalten Sie von unserem technischen Support oder hier:
• http://msdn2.microsoft.com/en-us/library/ms998300.aspx
• http://support.microsoft.com/default.aspx?scid=kb;de-de;316898
• https://blogs.msdn.com/sql_protocols/archive/2005/11/10/491563.aspx
2.13.3 Unterstützte Sprachen
Web Helpdesk unterstützt mehrere Sprachen. Sie können die Sprache, in der die Anwendung angezeigt wird, dynamisch in der Anmeldemaske von Web Helpdesk ändern. Klicken Sie hierzu auf die gewünschte Sprache. Die Anwendung wird daraufhin sofort in der gewünschten Sprache angezeigt.
Copyright © Sophos Limited 57
SafeGuard Enterprise Administratorhilfe
2.14 Aktualisierung
SafeGuard Enterprise 8.0 oder höher kann direkt auf die aktuelle Version von SafeGuard Enterprise aktualisiert werden. Wenn Sie eine Aktualisierung von einer älteren Version durchführen möchten, müssen Sie zunächst eine Aktualisierung auf Version 8.0 durchführen.
Während einer Aktualisierung können Sie keine Änderungen der installierten Features oder Module vornehmen. Sollten Änderungen erforderlich sein, führen Sie den Installer der bereits vorhandenen
Version erneut aus und ändern Sie die Installation, siehe
(Seite 61).
Die Versionsnummern der SafeGuard Enterprise Datenbank, des SafeGuard Enterprise Servers und des SafeGuard Management Center müssen übereinstimmen. Sie müssen dieselbe oder eine höhere Versionsnummer als die Clients haben. Die Verwaltung von neueren Clients (zum Beispiel
8.10) mit älteren Backend-Komponenten (zum Beispiel 8.0) wird nicht unterstützt.
Die folgenden Komponenten werden bei einer Aktualisierung auf die aktuelle Version von SafeGuard
Enterprise aktualisiert. Führen Sie die Aktualisierung in der angegebenen Reihenfolge aus:
1. SafeGuard Management Center (beinhaltet die erfolgreiche Aktualisierung der Datenbank)
2. SafeGuard Enterprise Server und Web Helpdesk
3. Durch SafeGuard Enterprise geschützte Endpoints
4. SafeGuard Enterprise Konfigurationspakete
Standardmäßig werden alle Richtlinien vom Typ Dateiverschlüsselung wie Richtlinien mit
Verschlüsselungstyp Pfadbasiert behandelt oder in solche konvertiert.
Hinweis
Nach der Aktualisierung aller SafeGuard Enterprise Komponenten und Endpoints empfehlen wir die Umstellung auf den sichereren Algorithmus SHA-256 für das Signieren von durch SafeGuard
Enterprise erzeugten Zertifikaten, siehe
Ändern des Algorithmus für selbst-signierte Zertifikate
(Seite 134).
58
2.14.1 Aktualisieren des SafeGuard Management Center
Voraussetzungen:
• SafeGuard Management Center 8.0 oder höher muss installiert sein. Versionen unter 8.0 müssen erst auf SafeGuard Management Center 8.0 aktualisiert werden.
• Die Versionsnummern der SafeGuard Enterprise Datenbank, des SafeGuard Enterprise Servers und des SafeGuard Management Center müssen übereinstimmen.
• SafeGuard Management Center 8.20 kann Endpoints verwalten, die mit SafeGuard Enterprise 6.0
oder höher geschützt werden.
• .NET Framework 4,5 ist erforderlich. Dies muss vor der Aktualisierung installiert werden. Das
Programm steht in der SafeGuard Enterprise Produktlieferung zur Verfügung.
• Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
So aktualisieren Sie das SafeGuard Management Center:
1. Installieren Sie die aktuelle Version des SafeGuard Management Center Installationspakets mit den erforderlichen Features, siehe
(Seite 61).
2. Starten Sie das SafeGuard Management Center.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
3. Das System überprüft die Version der SafeGuard Enterprise Datenbank und aktualisiert automatisch auf die neue Version.
4. Vor dem Update werden Sie dazu aufgefordert, Ihre Datenbank zu sichern.
SafeGuard Management Center und Datenbank wurden auf die neueste Version aktualisiert.
Übertragen Sie nach der Aktualisierung keine bestehenden POA-Benutzer auf Endpoints, die durch
SafeGuard Enterprise geschützt sind. Diese würden in diesem Fall als normale Benutzer behandelt und als Benutzer auf den entsprechenden Endpoints registriert.
Falls Sie für Sicherungszwecke Richtlinien exportiert haben, exportieren Sie sie nach der
Aktualisierung des SafeGuard Management Center erneut. Richtlinien, die mit älteren Versionen exportiert wurden, können nicht importiert werden.
2.14.2 Aktualisieren von SafeGuard Enterprise Server und Web
Helpdesk
Ab Version 8.10 ist der Web Helpdesk Teil des SafeGuard Enterprise Server Installationspakets.
Wenn Sie den SafeGuard Enterprise Server aktualisieren wird der Web Helpdesk automatisch aktualisiert.
Voraussetzungen
• SafeGuard Enterprise Server 8.0 oder höher muss installiert sein. Ältere Versionen müssen erst auf SafeGuard Enterprise Server 8.0 aktualisiert werden.
• .NET Framework 4.5 und ASP.NET 4.5 (in der SafeGuard Enterprise Produktlieferung enthalten) müssen installiert sein.
• Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
So aktualisieren Sie den SafeGuard Enterprise Server:
Installieren Sie die neueste Version des SafeGuard Enterprise Server Installationspakets
SGNServer.msi
.
Wenn Sie alle SafeGuard Enterprise Komponenten (Management Center, Server, Web Helpdesk) aktualisiert haben, müssen Sie den SafeGuard Enterprise Server neu starten.
2.14.3 Aktualisierung von Endpoints
Dieses Kapitel gilt sowohl für zentral verwaltete Endpoints als auch für Standalone-Endpoints.
Voraussetzungen
• Version 8.0 oder höher der SafeGuard Enterprise Verschlüsselungssoftware muss installiert sein. Ältere Versionen müssen zuerst auf Version 8.0 aktualisiert werden.
• Die SafeGuard Enterprise Datenbank, der SafeGuard Enterprise Server und das SafeGuard
Management Center müssen auf die neueste Version aktualisiert sein. Die Versionsnummern der SafeGuard Enterprise Datenbank, des SafeGuard Enterprise Servers und des SafeGuard
Management Center müssen für einen erfolgreichen Betrieb übereinstimmen.
• SafeGuard Management Center 8.20 und SafeGuard Enterprise Server 8.20 können durch
SafeGuard Enterprise geschützte Endpoints mit Version 6.0 und höher verwalten. Jedoch empfehlen wir die Verwendung derselben Version der Verschlüsselungssoftware auf allen
Endpoints.
• Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
Copyright © Sophos Limited 59
SafeGuard Enterprise Administratorhilfe
So aktualisieren Sie durch SafeGuard Enterprise geschützte Endpoints:
1. Melden Sie sich an dem Computer als Administrator an.
2. Installieren Sie das aktuelle Prä-Installationspaket SGxClientPreinstall.msi . Dieses Paket stattet den Endpoint mit den nötigen Voraussetzungen für eine erfolgreiche Installation der neuen
Verschlüsselungssoftware aus.
Deinstallieren Sie keine alten Prä-Installationspakete da diese automatisch aktualisiert werden.
3. Installieren Sie die aktuelle Version der SafeGuard Enterprise Verschlüsselungssoftware. Abhängig von der installierten Version wird eine direkte Aktualisierung unter Umständen nicht unterstützt.
Ältere Versionen müssen aktualisiert werden, bis Version 8.0 erreicht ist.
Der Windows Installer erkennt, welche Features bereits installiert sind und aktualisiert auch nur diese Features. Wenn die Power-on Authentication installiert ist, steht nach erfolgreicher
Migration (Richtlinien, Schlüssel usw.) auch ein aktualisierter POA-Kernel zur Verfügung.
SafeGuard Enterprise wird auf dem Computer automatisch neu gestartet.
4. Nach dem Abschluss der Installation starten Sie den Endpoint neu, wenn Sie danach gefragt werden.
Wichtig
Starten Sie das System nach Aufforderung neu. Ohne Neustart ist der SafeGuard Credential
Provider nicht verfügbar. Unter Windows 10 ersetzt ein Herunterfahren und erneutes
Hochfahren nicht den erforderlichen Neustart. Sie müssen explizit das System neu starten.
Die aktuelle Version der SafeGuard Enterprise Verschlüsselungssoftware ist auf den Endpoints installiert. Als Nächstes aktualisieren Sie die Konfiguration der Endpoints.
Hinweis
Während einer Aktualisierung können Sie keine Änderungen der installierten Module vornehmen.
Falls Änderungen erforderlich sind, lesen Sie unter Migration (Seite 61) nach.
2.14.4 Aktualisieren der Konfigurationspakete der Endpoints
Nach der Aktualisierung der Back-End-Software empfehlen wir dringend, alle alten
Konfigurationspakete aus Sicherheitsgründen zu löschen. Neuinstallationen des SafeGuard Client müssen mit einem Konfigurationspaket erfolgen, das mit SafeGuard Management Center Version
8.20 erstellt wurde. Konfigurationspakete, die mit früheren Versionen des SafeGuard Management
Center erstellt wurden, werden nicht unterstützt.
Konfigurationspakete auf bestehenden (bereits konfigurierten) Endpoints müssen in den folgenden
Fällen aktualisiert werden:
• Mindestens einer der konfigurierten SafeGuard Server wurde geändert (trifft nur bei zentral verwalteten Endpoints zu).
• Die Richtlinien müssen geändert werden (trifft nur bei Endpoints im Standalone-Modus zu).
• Zum Anwenden von Certificate Change Orders (CCO).
• Wen der Hash-Algorithmus zum Signieren der selbst-signierten Zertifikate von SHA-128 auf
SHA-256 geändert wird.
Weitere Informationen hierzu finden Sie unter
Ändern des Algorithmus für selbst-signierte Zertifikate
(Seite 134)
60 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Ein Endpoint kann von einem zentral verwalteten zu einem Standalone-Client herabgestuft werden, indem das verwaltete Konfigurationspaket deinstalliert und ein nicht verwaltetes Konfigurationspaket installiert wird.
2.15 Migration
Migration bedeutet eine Umstellung installierter Produkte, Module oder Features innerhalb derselben
Version. Sie müssen Ihr Produkt daher innerhalb der alten Version migrieren oder zuerst die
Installation aktualisieren und anschließend die Migration vornehmen.
Falls Sie Ihr aktuell installiertes Produkt oder die aktuell installierte Version in dieser Anleitung nicht finden, wird keine direkte Aktualisierung oder Migration unterstützt. Informationen zu den
Möglichkeiten einer Aktualisierung oder Migration finden Sie in der Dokumentation Ihres Produkts oder Ihrer Version.
Wenn mit Ihrem Migrationsszenario eine Änderung Ihrer Lizenz für die Sophos
Verschüsselungssoftware verbunden ist, muss Ihre neue Lizenz für die Migration zur Verfügung stehen.
2.15.1 Ändern der SafeGuard-Installation auf Endpoints
Sollten Änderungen der installierten Module erforderlich sein, führen Sie den Installer der bereits vorhandenen Version erneut aus und ändern Sie die Installation.
Beachten Sie Folgendes:
• Synchronized Encryption kann nicht auf Endpoints installiert werden, auf denen bereits File
Encryption (pfadbasierte Dateiverschlüsselung) verwendet wird.
• Bei einem Wechsel von SafeGuard SafeGuard Full Disk Encryption (volume-basierender
Verschlüsselung) auf BitLocker-Unterstützung oder umgekehrt muss das Produkt deinstalliert und neu installiert werden. Verschlüsselte Dateien müssen entschlüsselt werden.
• Bei einem Wechsel von BitLocker-Unterstützung auf BitLocker mit Challenge/Response oder umgekehrt muss das Produkt deinstalliert und neu installiert werden. Verschlüsselte Dateien müssen entschlüsselt werden.
• Eine Änderung von Data Exchange zu File Encryption erfordert zwei Neustarts und eine
Anmeldung zum Aktivieren der transparenten Verschlüsselung für Netzwerkfreigaben.
Die Systemanforderungen für jedes Modul finden Sie in den Versionsinfos.
Informationen zum Migrieren auf ein anderes Betriebssystem finden Sie unter
Endpoints auf ein anderes Betriebssystem (Seite 61).
2.15.2 Migration von Endpoints auf ein anderes Betriebssystem
Endpoints mit SafeGuard Enterprise können von Windows 7/8 auf Windows 10 migriert werden. Nur bei Endpoints mit Windows 7 und SafeGuard Full Disk Encryption muss letzteres vor der Migration auf Windows 10 deinstalliert werden. SafeGuard Full Disk Encryption wird unter Windows 10 nicht unterstützt. Nähere Informationen zur Deinstallation finden Sie unter
(Seite 290). Information zur Verwendung von BitLocker finden Sie unter Vorbereitung für die
Unterstützung von BitLocker Drive Encryption
(Seite 42).
Copyright © Sophos Limited 61
SafeGuard Enterprise Administratorhilfe
Sie können keine Endpoints auf denen SafeGuard Enterprise installiert ist von Windows 7 auf
Windows 8 migrieren. Wenn Sie ein älteres Betriebssystem als Windows 10 verwenden, ist es nur möglich, die Service Pack Version Ihres Betriebssystems zu aktualisieren.
62 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
3 SafeGuard Management Center
Das SafeGuard Management Center ist das zentrale Instrument für die Verwaltung von mit
SafeGuard Enterprise verschlüsselten Computern. Mit dem SafeGuard Management Center können
Sie eine unternehmensweite Sicherheitsstrategie implementieren und auf Endpoints anwenden. Im
SafeGuard Management Center können Sie:
• Organisationsstruktur aufbauen oder importieren.
• Sicherheitsbeauftragte anlegen.
• Richtlinien definieren.
• Konfigurationen exportieren und importieren.
• Computer mit einer umfassenden Protokollierungsfunktionalität überwachen.
• Kennwörter und den Zugriff auf verschlüsselte Endpoints wiederherstellen.
Mit dem SafeGuard Management Center wird Multi Tenancy für die Verwaltung von mehreren
Domänen und Datenbanken unterstützt. Sie können verschiedene SafeGuard Enterprise
Datenbanken verwalten und unterschiedliche Konfigurationen verwenden.
Hinweis
Einige Features sind nicht in allen Lizenzen enthalten. Für Informationen dazu, was in Ihrer
Lizenz enthalten ist, wenden Sie sich an Ihren Vertriebspartner.
Der Zugriff auf das SafeGuard Management Center ist nur privilegierten Benutzern - den
Sicherheitsbeauftragten - erlaubt. Es können mehrere Sicherheitsbeauftragte gleichzeitig mit den Daten arbeiten. Die verschiedenen Sicherheitsbeauftragten können entsprechend den ihnen zugewiesenen Rollen und Rechten Tätigkeiten ausführen.
Sie können die SafeGuard Enterprise Richtlinien und Einstellungen an Ihre Anforderungen anpassen. Nach dem Speichern der neuen Einstellungen in der Datenbank können diese an die
Endpoints übertragen werden, wo sie dann wirksam werden.
Tipp
In diesem Abschnitt erhalten Sie Informationen zu den wichtigsten Schritten bei der Verwaltung
3.1 Anmeldung am SafeGuard Management
Center
Während der Erstkonfiguration von SafeGuard Enterprise wird ein Konto für einen Haupt-
Sicherheitsbeauftragten angelegt. Dieses Konto wird bei der ersten Anmeldung an das SafeGuard
Management Center benötigt. Um das SafeGuard Management Center zu starten, benötigt der
Benutzer das Kennwort für den Zertifikatsspeicher sowie den privaten Schlüssel des Zertifikats.
Weitere Informationen finden Sie unter
Erstellen eines Haupt-Sicherheitsbeauftragten (Master
Security Officer, MSO) (Seite 25).
Copyright © Sophos Limited 63
SafeGuard Enterprise Administratorhilfe
Die Anmeldung richtet sich danach, ob Sie das SafeGuard Management Center mit einer
Verbindung zu einer Datenbank (Single Tenancy) oder zu mehreren Datenbanken (Multi Tenancy) einsetzen.
Hinweis
Zwei Sicherheitsbeauftragte dürfen nicht das gleiche Windows-Konto auf einem Computer benutzen. Andernfalls lassen sich ihre Zugriffsrechte nicht sauber trennen.
3.1.1 Anmeldung im Single Tenancy Modus
1. Starten Sie das SafeGuard Management Center. Ein Anmeldebildschirm wird angezeigt.
2. Melden Sie sich als Haupt-Sicherheitsbeauftragter an und geben Sie das
Zertifikatsspeicherkennwort ein, das während der Konfiguration festgelegt wurde. Klicken Sie auf
OK.
Das SafeGuard Management Center wird gestartet.
Hinweis
Wenn Sie ein falsches Kennwort eingeben, wird eine Fehlermeldung angezeigt und die nächste
Anmeldung wird verzögert. Diese Verzögerung wird mit jedem fehlgeschlagenen Anmeldeversuch größer. Fehlgeschlagene Anmeldeversuche werden protokolliert.
3.2 SafeGuard Management Center
Benutzeroberfläche
64 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
1. Navigationsbereich:
2. Navigationsfenster mit administrativen Objekten.
3. Schaltflächen für alle administrativen Aufgaben
4. Symbolleiste
5. Registerkarten für die Auswahl unterschiedlicher Aufgaben und zur Anzeige von Informationen.
6. Die Anzeige im Aktionsbereich ist abhängig von der Auswahl im Navigationsbereich.
7. Dazugehörige Ansichten enthalten zur Verwaltung benötigte Elemente oder Informationen
über die bearbeiteten Objekte.
Navigationsbereich:
Im Navigationsbereich befinden sich Schaltflächen für alle administrativen Tätigkeiten:
• Benutzer und Computer
Zum Importieren von Gruppen und Benutzern aus einem Active Directory, aus der Domäne oder von einem einzelnen Computer.
• Richtlinien
Zum Erzeugen der Richtlinien.
• Schlüssel und Zertifikate
Zum Verwalten der Schlüssel und Zertifikate.
• Token
Zur Verwaltung von Token und Smartcards.
• Sicherheitsbeauftragte
Zum Anlegen neuer Sicherheitsbeauftragter und Definieren von Aktionen, für deren Ausführung eine zusätzliche Autorisierung notwendig ist.
• Berichte
Zum Anlegen und Verwalten von Berichten zu sicherheitsrelevanten Ereignissen.
Navigationsfenster
Im Navigationsfenster werden Objekte zur Bearbeitung angezeigt (Active Directory Objekte wie
OUs, Benutzer und Computer; Richtlinien usw.) bzw. können dort erstellt werden. Welche Objekte angezeigt werden, hängt vom ausgewählten Vorgang ab.
Hinweis
Unter Benutzer & Computer werden die Objekte in der Baumstruktur des Navigationsfensters in Abhängigkeit von den Zugriffsrechten des Sicherheitsbeauftragten für Verzeichnisobjekte angezeigt. Die Baumstruktur zeigt nur die Objekte, auf die der angemeldete
Sicherheitsbeauftragte Zugriff hat. Objekte, für die der Zugriff verweigert wird, werden nicht angezeigt, es sei denn, es sind weiter unten in der Baumstruktur Knoten vorhanden, für die der
Sicherheitsbeauftragte Zugriffsrechte hat. In diesem Fall werden die Objekte, für die der Zugriff verweigert wird, ausgegraut. Wenn der Sicherheitsbeauftragte das Zugriffsrecht Voller Zugriff hat, wird das jeweilige Objekt schwarz dargestellt. Objekte mit Zugriffsrecht Schreibgeschützt, werden blau dargestellt.
Copyright © Sophos Limited 65
SafeGuard Enterprise Administratorhilfe
66
Aktionsbereich
Im Aktionsbereich nehmen Sie die Einstellungen für das im Navigationsfenster ausgewählte Objekt vor. Im Aktionsbereich stehen verschiedene Registerkarten zur Verfügung mit deren Hilfe die
Objekte bearbeitet und die Einstellungen vorgenommen werden können.
Informationen zu den ausgewählten Objekten werden ebenfalls im Aktionsbereich angezeigt.
Dazugehörige Ansichten (Associated Views)
In diesen Ansichten werden zusätzliche Objekte und Informationen angezeigt. Diese geben einerseits nützliche Informationen bei der Verwaltung des Systems und unterstützen die einfache
Bedienung. Sie können zum Beispiel Objekten Schlüssel per Drag and Drop zuweisen.
Symbolleiste
Hier befinden sich Symbole für die verschiedenen Aktionen im SafeGuard Management Center. Die
Symbole werden eingeblendet, wenn sie für das ausgewählte Objekt zur Verfügung stehen.
Nach der Anmeldung wird das SafeGuard Management Center immer mit der Ansicht gestartet, in der es geschlossen wurde.
3.2.1 Sprache der Benutzeroberfläche
Die Spracheinstellungen für die Installations- und Konfigurationsassistenten und die verschiedenen
SafeGuard Enterprise Komponenten sind wie folgt:
Assistenten
Die Sprache der Installations- und Konfigurationsassistenten der verschiedenen Installationspakete wird automatisch an die Spracheinstellungen des Betriebssystems angepasst. Wenn die
Betriebssystemsprache für diese Assistenten nicht verfügbar ist, wird automatisch Englisch benutzt.
SafeGuard Management Center
So stellen Sie die Sprache das SafeGuard Management Center ein:
• Klicken Sie im SafeGuard Management Center auf Extras > Optionen > Allgemein. Klicken Sie auf Benutzerdefinierte Sprache verwenden und wählen Sie eine verfügbare Sprache aus.
• Starten Sie das SafeGuard Management Centers neu. Er wird in der ausgewählten Sprache angezeigt.
SafeGuard Enterprise auf Endpoints
Die Sprache von SafeGuard Enterprise auf Endpoints steuern Sie über den Richtlinientyp
Allgemeine Einstellungen im SafeGuard Management Center (Einstellung Anpassung > Sprache
am Client):
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• Wenn die Sprache des Betriebssystems gewählt wird, richtet sich die Produktsprache nach der Spracheinstellung des Betriebssystems auf dem Endpoint. Steht die entsprechende
Betriebssystemsprache in SafeGuard Enterprise nicht zur Verfügung, wird standardmäßig die englische Version von SafeGuard Enterprise angezeigt.
• Wenn eine der zur Verfügung stehenden Sprachen gewählt wird, werden die SafeGuard Enterprise
Funktionen auf dem Endpoint in der ausgewählten Sprache angezeigt.
3.2.2 Prüfen der Datenbankintegrität
Bei der Anmeldung an die Datenbank wird die Datenbankintegrität automatisch geprüft. Sollte diese
Überprüfung Fehler ergeben, wird der Dialog Datenbankintegrität prüfen angezeigt.
Sie können die Datenbankintegrität auch jederzeit nach der Anmeldung prüfen und hierzu den
Dialog Datenbankintegrität prüfen aufrufen:
1. Wählen Sie im SafeGuard Management Center ExtrasDatenbankintegrität.
2. Um die Tabellen zu prüfen, klicken Sie auf Alle prüfen oder Ausgewählte prüfen.
Danach werden fehlerhafte Tabellen im Dialog markiert. Um die Fehler zu beheben, klicken Sie auf
Reparieren.
Um fehlerhafte Tabellen zu reparieren müssen Sie ein Haupt-Sicherheitsbeauftragter oder ein
Datenbank-Recovery-Beauftragter sein, siehe
Vordefinierte Rollen (Seite 104).
Hinweis
Nach einer Aktualisierung des SafeGuard Enterprise Backend (SQL) wird die Prüfung der
Datenbankintegrität immer gestartet. Die Prüfung muss einmal pro SafeGuard Enterprise
Datenbank durchgeführt werden, um die Aktualisierung abzuschließen.
3.3 Mit Richtlinien arbeiten
Die folgenden Abschnitte beschreiben richtlinienrelevanten Vorgänge, z. B. das Erstellen,
Gruppieren und Sichern von Richtlinien.
Für das Zuweisen, Entfernen oder Bearbeiten von Richtlinien benötigen Sie das Zugriffsrecht Voller
Zugriff für die relevanten Objekte sowie für jede Gruppe, die für die jeweiligen Richtlinien aktiviert ist.
Für eine Beschreibung aller mit SafeGuard Enterprise verfügbaren Richtlinieneinstellungen, siehe
Richtlinientypen und ihre Anwendungsfelder
(Seite 191).
3.3.1 Anlegen von Richtlinien
1. Melden Sie sich mit dem Kennwort, das Sie während der Erstkonfiguration festgelegt haben, am
SafeGuard Management Center an.
2. Klicken Sie im Navigationsbereich auf Richtlinien.
3. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien und wählen Sie im
Kontextmenü den Befehl Neu.
4. Wählen Sie den Richtlinientyp aus.
Es wird ein Dialog für die Benennung der neuen Richtlinie angezeigt.
5. Geben Sie einen Namen und optional eine Beschreibung für die neue Richtlinie ein.
Copyright © Sophos Limited 67
SafeGuard Enterprise Administratorhilfe
Richtlinien für den Geräteschutz:
Wenn Sie eine Richtlinie dieses Typs erstellen, müssen Sie auch ein Ziel für den Geräteschutz angeben. Mögliche Ziele sind:
• Massenspeicher (Boot-Laufwerke/Andere Volumes)
• Wechselmedien
• Optische Laufwerke
• Datenträgermodelle
• Einzelne Datenträger
• Cloud Storage
Für jedes Ziel muss eine eigene Richtlinie angelegt werden. Sie können die einzelnen Richtlinien später z. B. zu einer Richtliniengruppe mit der Bezeichnung Verschlüsselung zusammenfassen.
6. Klicken Sie auf OK.
Die neu angelegte Richtlinie wird im Navigationsfenster unter Richtlinien angezeigt. Im
Aktionsbereich werden alle Einstellungen für den gewählten Richtlinientyp angezeigt. Die
Einstellungen können dort geändert werden.
3.3.2 Bearbeiten von Richtlinieneinstellungen
Wenn Sie im Navigationsfenster eine Richtlinie auswählen, können Sie deren Einstellungen im
Aktionsbereich bearbeiten.
Hinweis
Das rote Symbol vor dem Text nicht konfiguriert gibt an, dass für diese Einstellung ein Wert festgelegt werden muss. Sie können die Richtlinie erst speichern, wenn Sie eine andere Einstellung als nicht konfiguriert ausgewählt haben.
Setzen von Einstellungen auf Standardwerte
In der Symbolleiste stehen folgende Symbole für Richtlinieneinstellungen zur Verfügung:
Symbol Richtlinieneinstellung
Zeigt Standardwerte für Richtlinieneinstellungen an, die nicht konfiguriert wurden
(Einstellung nicht konfiguriert). Die Standardwerte für Richtlinieneinstellungen werden standardmäßig angezeigt. Klicken Sie auf das Symbol, um die Standardwerte auszublenden.
Setzt die markierte Richtlinieneinstellung auf nicht konfiguriert.
Setzt alle Richtlinieneinstellungen eines Bereichs auf nicht konfiguriert.
Setzt den Standardwert für die markierte Richtlinieneinstellung.
Setzt alle Richtlinieneinstellungen eines Bereichs auf den Standardwert.
68 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Unterscheidung zwischen maschinen- und benutzerspezifischen
Richtlinien
Richtlinie wird blau dargestellt
Richtlinie wird schwarz dargestellt
Richtlinie wird nur für Maschinen angewandt, nicht für Benutzer.
Richtlinie wird für Maschinen und Benutzer angewandt.
3.3.3 Richtliniengruppen
SafeGuard Enterprise Richtlinien können in Richtliniengruppen zusammengefasst werden. Eine
Richtliniengruppe kann verschiedene Richtlinientypen enthalten. Im SafeGuard Management
Center steht eine Default Richtliniengruppe zur Verfügung, die standardmäßig unter Benutzer und
Computer zu Stamm zugewiesen wird.
Wenn Sie Richtlinien vom selben Typ in einer Gruppe zusammenfassen, werden die Einstellungen automatisch vereinigt. Sie können dafür eine Auswertungsreihenfolge festlegen. Die Einstellungen einer höher gereihten Richtlinie überschreiben jene einer niedriger priorisierten.
Eine definierte Richtlinieneinstellung überschreibt Einstellungen aus anderen Richtlinien, wenn
• die Richtlinie mit dieser Einstellung eine höhere Priorität hat.
• die Richtlinieneinstellung noch nicht definiert ist (nicht konfiguriert).
Hinweis
Überlappende Richtlinien, die einer Gruppe zugeordnet sind, können zu einer falschen Ermittlung der Prioritäten führen. Verwenden Sie separate Richtlinieneinstellungen.
Richtliniengruppen müssen immer mindestens eine Richtlinie enthalten. Richtliniengruppen ohne
Inhalt stören die Anwendung anderer Richtlinien Stellen Sie sicher, dass Sie Richtliniengruppen nur verwenden, wenn sie auch eine Richtlinie enthalten.
Ausnahme Geräteschutz:
Richtlinien für den Geräteschutz werden nur vereinigt, wenn sie für dasselbe Ziel (z. B. Boot-
Volume) angelegt werden. Weisen sie auf verschiedene Ziele, werden sie addiert.
Standalone Endpoints
Der häufigste Anwendungsfall für Richtliniengruppen ist die initiale Konfiguration von Windows
SafeGuard Enterprise Standalone-Endpoints.
Zusammenfassen von Richtlinien zu Gruppen
Voraussetzung: Die einzelnen Richtlinien der verschiedenen Typen müssen angelegt sein.
1. Klicken Sie im Navigationsbereich auf Richtlinien.
2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien-Gruppen und wählen
Sie Neu.
3. Klicken Sie auf Neue Richtlinien-Gruppe. Es wird ein Dialog für die Benennung der Richtlinien-
Gruppe angezeigt.
Copyright © Sophos Limited 69
SafeGuard Enterprise Administratorhilfe
4. Geben Sie einen eindeutigen Namen und optional eine Beschreibung für die Richtlinien-Gruppe ein. Klicken Sie auf OK.
5. Die neu angelegte Richtlinie-Gruppe wird im Navigationsfenster unter Richtlinien-Gruppen angezeigt.
6. Wählen Sie die Richtlinien-Gruppe aus. Im Aktionsbereich werden alle für das Gruppieren der
Richtlinien notwendigen Elemente angezeigt.
7. Zum Gruppieren der Richtlinien ziehen Sie sie aus der Liste der verfügbaren Richtlinien in den
Richtlinienbereich.
8. Sie können für jede Richtlinie eine Priorität festlegen, indem Sie die Richtlinie über das
Kontextmenü nach oben oder unten reihen.
Wenn Sie Richtlinien vom selben Typ in einer Gruppe zusammenfassen, werden die
Einstellungen automatisch vereinigt. Sie können dafür eine Auswertungsreihenfolge festlegen.
Die Einstellungen einer höher gereihten Richtlinie überschreiben jene einer niedriger priorisierten. Ist eine Einstellung auf nicht konfiguriert gesetzt, wird die Einstellung in einer niedriger priorisierten Richtlinie nicht überschrieben.
Ausnahme Geräteschutz:
Richtlinien für den Geräteschutz werden nur vereinigt, wenn sie für dasselbe Ziel (z. B. Boot-
Volume) angelegt werden. Weisen sie auf verschiedene Ziele, werden sie addiert.
9. Speichern Sie die Richtlinie mit Datei > Speichern.
Die Richtliniengruppe enthält nun die Einstellungen aller einzelnen Richtlinien.
Ergebnis der Gruppierung
Das Ergebnis der Zusammenfassung wird in einer eigenen Ansicht dargestellt.
Klicken Sie zum Anzeigen der Zusammenfassung auf die Registerkarte Ergebnis.
• Für jeden Richtlinien-Typ steht eine eigene Registerkarte zur Verfügung.
Die aus der Zusammenfassung der einzelnen Richtlinien resultierenden Einstellungen werden angezeigt.
• Für Richtlinien zum Geräteschutz werden Registerkarten für jedes Ziel der Richtlinie angezeigt
(z. B. Boot-Volumes, Laufwerk X: usw.).
3.3.4 Erstellen von Sicherungskopien von Richtlinien und
Richtliniengruppen
Sie können Sicherungskopien von Richtlinien und Richtliniengruppen in Form von XML-Dateien erstellen. Falls notwendig, lassen sich die betreffenden Richtlinien/Richtliniengruppen daraufhin aus diesen XML-Dateien wiederherstellen.
1. Wählen Sie die Richtlinie/Richtliniengruppe im Navigationsfenster unter Richtlinien bzw.
Richtlinien-Gruppen aus.
2. Klicken Sie mit der rechten Maustaste und wählen Sie im angezeigten Kontextmenü Richtlinie
sichern.
Hinweis
Der Befehl Richtlinie sichern steht auch im Menü Aktionen zur Verfügung.
70 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
3. Geben Sie im Dialog Speichern unter einen Dateinamen für die XML-Datei an und wählen Sie das
Verzeichnis, in dem die Datei gespeichert werden soll. Klicken Sie auf Speichern.
Die Sicherungskopie der Richtlinie/Richtliniengruppe ist im angegebenen Verzeichnis als XML-Datei abgelegt.
Wenn Sie Richtlinien zu einer Richtliniengruppe hinzufügen, von der sie eine Sicherungskopie erstellt haben, werden sie automatisch auch zur Sicherungskopie hinzugefügt.
3.3.5 Wiederherstellen von Richtlinien und Richtliniengruppen
Das Backup der Richtlinie/Richtliniengruppe muss mit derselben Version von SafeGuard Enterprise erstellt worden sein wie die, die Sie für die Wiederherstellung verwenden. Beispiel: Sie können mit
SafeGuard Enterprise 8.1 kein Richtliniengruppen-Backup wiederherstellen, das mit SafeGuard
Enterprise 7.0 erstellt wurde.
So stellen Sie eine Richtlinie/Richtliniengruppe aus einer XML-Datei wieder her:
1. Klicken Sie im Navigationsfenster auf Richtlinien/Richtliniengruppen.
2. Klicken Sie mit der rechten Maustaste und wählen Sie im angezeigten Kontextmenü Richtlinie
wiederherstellen.
Hinweis
Der Befehl Richtlinie wiederherstellen steht auch im Menü Aktionen zur Verfügung.
3. Wählen Sie die XML-Datei für die Wiederherstellung der Richtlinie/Richtliniengruppe aus und klicken Sie auf Öffnen.
Die Richtlinie/Richtliniengruppe ist wiederhergestellt.
3.3.6 Zuweisen von Richtlinien
Um Richtlinien zuzuweisen, benötigen Sie das Zugriffsrecht Voller Zugriff für alle beteiligten Objekte.
1. Klicken Sie auf Benutzer & Computer.
2. Wählen Sie im Navigationsbereich das gewünschte Objekt aus (z. B. Benutzer, Gruppe oder
Container).
3. Wechseln Sie in die Registerkarte Richtlinien.
Im Aktionsbereich werden alle für die Zuweisung der Richtlinie notwendigen Elemente angezeigt.
4. Zum Zuweisen einer Richtlinie ziehen Sie sie aus der Liste der verfügbaren Richtlinien in die
Registerkarte Richtlinien.
5. Sie können für jede Richtlinie eine Priorität festlegen, indem Sie die Richtlinie über das
Kontextmenü nach oben oder unten reihen. Die Einstellungen einer höher gereihten Richtlinie
überschreiben jene einer niedriger priorisierten. Wenn Sie für eine Richtlinie Kein Überschreiben aktivieren, können die Einstellungen dieser Richtlinie nicht von anderen überschrieben werden.
Copyright © Sophos Limited 71
SafeGuard Enterprise Administratorhilfe
72
Hinweis
Wenn Sie bei einer Richtlinie mit niedrigerer Priorität die Option Kein Überschreiben aktivieren, so zieht diese Richtlinie, trotz niedrigerer Priorität gegenüber einer Richtlinie mit einer höheren Priorität.
Um die Einstellungen Priorität oder Kein Überschreiben für Richtlinien im Bereich Benutzer
& Computer zu ändern, benötigen Sie das Zugriffsrecht Voller Zugriff für alle Objekte, denen die Richtlinien zugewiesen sind. Wenn Sie das Zugriffsrecht Voller Zugriff nicht für alle Objekte haben, können die Einstellungen nicht bearbeitet werden. Wenn Sie versuchen, die Felder zu bearbeiten, wird eine Info-Meldung angezeigt.
6. Im Aktivierungsbereich werden die Gruppen .Authentisierte Benutzer - bzw. Computer angezeigt.
Die Richtlinie gilt für alle Gruppen innerhalb der OU bzw. Domäne.
Aktivieren von Richtlinien für einzelne Gruppen
Richtlinien werden immer einer OU bzw. einer Domäne oder Arbeitsgruppe zugewiesen. Sie gelten standardmäßig für alle Gruppen in diesen Container-Objekten (die Gruppen .Authentisierte Benutzer und .Authentisierte Computer werden im Aktivierungsbereich angezeigt).
Sie können aber auch Richtlinien festlegen und sie für eine einzelne oder mehrere Gruppen aktivieren. Diese Richtlinien gelten dann ausschließlich für diese Gruppen.
Hinweis
Um Richtlinien für einzelne Gruppen zu aktivieren, benötigen Sie das Zugriffsrecht Voller Zugriff für die relevante Gruppe.
1. Weisen Sie die Richtlinie der OU, in der sich die Gruppe befindet, zu.
2. Im Aktivierungsbereich werden die Gruppen .Authentisierte Benutzer und .Authentisierte Computer angezeigt.
3. Ziehen Sie diese beiden Gruppen aus dem Aktivierungsbereich in die Liste der Verfügbaren
Gruppen. Die Richtlinie ist in dieser Konstellation für keinen Benutzer und keinen Computer wirksam.
4. Ziehen Sie jetzt die gewünschte Gruppe (oder auch mehrere Gruppen) aus der Liste der
Verfügbaren Gruppen in den Aktivierungsbereich.
Diese Richtlinie gilt jetzt ausschließlich für diese Gruppe.
Wurden der übergeordneten OU ebenfalls Richtlinien zugeordnet, gilt diese Richtlinie für diese
Gruppe zusätzlich zu jenen, die für die gesamte OU festgelegt wurden.
3.3.7 Verwalten von Richtlinien unter Benutzer & Computer
Neben dem Bereich Richtlinien im SafeGuard Management Center können Sie den Inhalt einer
Richtlinie auch dort einsehen und ändern, wo die Richtlinienzuweisung erfolgt: unter Benutzer &
Computer.
1. Klicken Sie auf Benutzer & Computer.
2. Wählen Sie im Navigationsbereich das gewünschte Containerobjekt.
3. Sie können Richtlinien von zwei Orten aus öffnen, um sie einzusehen oder zu ändern.
• Wechseln Sie in die Registerkarte Richtlinien, oder
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• wechseln Sie in die Registerkarte RSOP.
4. Klicken Sie mit der rechten Maustaste auf die gewünschte zugewiesene oder verfügbare Richtlinie und wählen Sie Öffnen aus dem Kontextmenü.
Der Richtliniendialog wird angezeigt und Sie können die Richtlinieneinstellungen einsehen und bearbeiten.
5. Klicken Sie auf OK, um Ihre Änderungen zu speichern.
6. Um die Richtlinieneigenschaften aufzurufen, klicken Sie mit der rechten Maustaste auf die gewünschte Richtlinie und wählen Sie Eigenschaften aus dem Kontextmenü.
Der Eigenschaften Dialog für die Richtlinie wird angezeigt. Hier können Sie unter Allgemein und
Zuweisung die entsprechenden Informationen einsehen.
3.4 Mit Konfigurationspaketen arbeiten
Im SafeGuard Management Center lassen sich Konfigurationspakete der folgenden Typen erstellen:
• Konfigurationspaket für den SafeGuard Enterprise Server
Für den SafeGuard Enterprise Server müssen Sie ein Konfigurationspaket erstellen, das die
Datenbank- und SSL-Verbindung definiert, Scripting API aktiviert oder die Nutzung mit Sophos
Mobile erlaubt.
• Konfigurationspaket für zentral verwaltete Endpoints
Endpoints, die eine Verbindung zum SafeGuard Enterprise Server haben, erhalten Ihre
Richtlinien über den Server. Für den erfolgreichen Einsatz der SafeGuard Enterprise Client
Software nach der Installation müssen Sie zunächst ein Konfigurationspaket für zentral verwaltete Computer erzeugen und es auf den Computern installieren.
Nach der ersten Konfiguration der Endpoints über das Konfigurationspaket erhalten die
Endpoints Richtlinien über den SafeGuard Enterprise Server, wenn Sie diese im Bereich
Benutzer & Computer des SafeGuard Management Center zugewiesen haben.
• Konfigurationspaket für Macs
Über dieses Konfigurationspaket erhalten Macs die Server-Adresse und das
Unternehmenszertifikat. Die Macs übermitteln ihre Statusinformationen, die dann im
SafeGuard Management Center angezeigt werden. Für Informationen zum Erstellen von
Konfgurationspaketen für Macs, siehe Erzeugen eines Konfigurationspakets für Macs
(Seite
76).
• Konfigurationspaket für Standalone-Endpoints
Standalone-Endpoints haben niemals eine Verbindung zum SafeGuard Enterprise Server, sie laufen im Standalone-Modus. Die Computer erhalten ihre Richtlinien über Konfigurationspakete.
Für den erfolgreichen Einsatz der Software müssen Sie ein Konfigurationspaket mit den relevanten Richtliniengruppen erstellen und es über unternehmenseigene
Verteilungsmechanismen an die Endpoints verteilen. Wenn Sie Richtlinieneinstellungen ändern, müssen Sie jeweils neue Konfigurationspakete erstellen und an die Endpoints verteilen.
Hinweis
Konfigurationspakete für Standalone-Endpoints können nur auf Windows Endpoints verwendet werden.
Überprüfen Sie Ihr Netzwerk und Ihre Computer in regelmäßigen Abständen auf veraltete oder nicht benutzte Konfigurationspakete und löschen Sie diese aus Sicherheitsgründen. Deinstallieren Sie vor
Copyright © Sophos Limited 73
SafeGuard Enterprise Administratorhilfe der Installation eines neuen Konfigurationspakets auf dem Computer/Server jeweils die veralteten
Konfigurationspakete.
3.4.1 Erzeugen eines Konfigurationspakets für zentral verwaltete Endpoints
Voraussetzungen
• Prüfen Sie im Benutzer & Computer Navigationsbereich in der Registerkarte Bestand, ob für die Endpoints, die das neue Konfigurationspaket erhalten sollen, ein Wechsel des
Unternehmenszertifikats erforderlich ist. Wenn das Feld Aktuelles Unternehmenszertifikat nicht aktiviert ist, unterscheiden sich das derzeit aktive Unternehmenszertifikat in der SafeGuard
Enterprise Datenbank und auf dem Computer voneinander. Daher ist ein Wechsel des
Unternehmenszertifikats erforderlich.
1. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
2. Wählen Sie Pakete für Managed Clients.
3. Klicken Sie auf Konfigurationspaket hinzufügen.
4. Geben Sie einen beliebigen Namen für das Konfigurationspaket ein.
5. Ordnen Sie einen primären SafeGuard Enterprise Server zu (der sekundäre Server ist nicht notwendig).
6. Falls erforderlich, geben Sie eine Richtliniengruppe an, die auf die Endpoints angewendet werden soll. Diese müssen Sie zuvor im SafeGuard Management Center erstellt haben. Wenn Sie für
Aufgaben nach der Installation auf dem Endpoint Service Accounts verwenden möchten, stellen
Sie sicher, dass die entsprechende Richtlinieneinstellung in dieser ersten Richtliniengruppe definiert ist. Siehe dazu die SafeGuard Enterprise 8 Administratorhilfe .
7. Wenn sich das derzeit aktive Unternehmenszertifikat in der SafeGuard Enterprise Datenbank von dem auf den Endpoints, die das neue Konfigurationspaket erhalten sollen, unterscheidet, wählen Sie die relevante CCO (Company Certificate Change Order). Ist das Feld Aktuelles
Unternehmenszertifikat in der Registerkarte Bestand der relevanten Domäne, der OU oder des Computers unter Benutzer & Computer nicht aktiviert, so ist ein Wechsel des
Unternehmenszertifikats erforderlich. Informationen zur erforderlichen CCO (Company Certificate
Change Order) finden Sie in der Registerkarte CCOs der Funktion Konfigurationspakete im Menü
Extras.
Hinweis
Die Installation des neuen Konfigurationspakets schlägt fehl, wenn die derzeit aktiven
Unternehmenszertifikate in der SafeGuard Enterprise Datenbank und auf dem Endpoint nicht
übereinstimmen und keine passende CCO im Paket enthalten ist.
8. Wählen Sie den Modus für die Transportverschlüsselung, der bestimmt, wie die Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server verschlüsselt wird:
Sophos-Verschlüsselung oder SSL-Verschlüsselung.
Der Vorteil bei SSL ist, dass es ein Standardprotokoll ist und eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschlüsselung. SSL-Verschlüsselung wird standardmäßig ausgewählt.
9. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an.
10. Klicken Sie auf Konfigurationspaket erstellen.
WennSie als Modus für die Transportverschlüsselung die SSL-Verschlüsselung ausgewählt haben, wird die Serververbindung validiert. Wenn die Verbindung fehlschlägt, wird eine
Warnungsmeldung angezeigt.
74 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Im nächsten Schritt verteilen Sie das Paket zur Installation an die Endpoints.
3.4.2 Erzeugen eines Konfigurationspakets für Standalone-
Endpoints
1. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
2. Wählen Sie Pakete für Standalone Clients.
3. Klicken Sie auf Konfigurationspaket hinzufügen.
4. Geben Sie einen beliebigen Namen für das Konfigurationspaket ein.
5. Geben Sie eine zuvor im SafeGuard Management Center erstellte Richtliniengruppe an, die für die Endpoints gelten soll.
6. Unter POA Gruppe können Sie eine POA-Gruppe auswählen, die dem Endpoint zugeordnet wird.
POA-Benutzer können für administrative Aufgaben auf den Endpoint zugreifen, nachdem die
SafeGuard Power-on Authentication aktiviert wurde. Um POA-Benutzer zuzuweisen, müssen Sie die POA-Gruppe zunächst im Bereich Benutzer & Computer des SafeGuard Management Center anlegen.
7. Wenn sich das derzeit aktive Unternehmenszertifikat in der SafeGuard Enterprise Datenbank von dem auf den Endpoints, die das neue Konfigurationspaket erhalten sollen, unterscheidet, wählen
Sie die relevante CCO (Company Certificate Change Order).
Hinweis
Die Installation des neuen Konfigurationspakets schlägt fehl, wenn die derzeit aktiven
Unternehmenszertifikate in der SafeGuard Enterprise Datenbank und auf dem Endpoint nicht
übereinstimmen und keine passende CCO im Paket enthalten ist.
8. Geben Sie unter Speicherort für Schlüssel-Sicherungskopie einen freigegebenen Netzwerkpfad für das Speichern der Schlüssel-Recovery-Datei an oder wählen Sie einen Netzwerkpfad aus.
Geben Sie den freigegebenen Pfad in folgender Form ein: \\network computer\ , zum Beispiel
\\mycompany.edu\ . Wenn Sie hier keinen Pfad angeben, wird der Benutzer beim ersten
Anmelden am Endpoint nach der Installation gefragt, wo die Schlüsseldatei gespeichert werden soll.
Die Schlüssel-Recovery-Datei (XML) wird für die Durchführung von Recovery-Vorgängen bei durch Sophos SafeGuard geschützten Endpoints benötigt. Sie wird auf allen durch Sophos
SafeGuard geschützten Endpoints erzeugt.
Hinweis
Stellen Sie sicher, dass diese Schlüssel-Recovery-Datei an einem Speicherort abgelegt wird, auf den die Mitarbeiter des Helpdesk Zugriff haben. Die Dateien können dem Helpdesk auch durch andere Mechanismen zugänglich gemacht werden. Die Datei ist mit dem
Unternehmenszertifikat verschlüsselt. Sie kann also auch auf externen Medien oder auf dem
Netzwerk gespeichert werden, um sie dem Helpdesk für Recovery-Vorgänge zur Verfügung zu stellen. Sie kann auch per E-Mail verschickt werden.
9. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an.
10. Klicken Sie auf Konfigurationspaket erstellen.
Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Im nächsten Schritt verteilen Sie das Paket zur Installation an die Endpoints.
Copyright © Sophos Limited 75
SafeGuard Enterprise Administratorhilfe
76
3.4.3 Erzeugen eines Konfigurationspakets für Macs
Ein Konfigurationspaket für einen Mac enthält die relevanten Serverinformationen sowie das Unternehmenszertifikat. Der Mac benutzt diese Informationen zum Zurückmelden von
Statusinformationen (SafeGuard POA an/aus, Verschlüsselungsstatus usw.). Die Statusinformationen werden im SafeGuard Management Center angezeigt.
1. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
2. Wählen Sie Pakete für Managed Clients.
3. Klicken Sie auf Konfigurationspaket hinzufügen.
4. Geben Sie einen beliebigen Namen für das Konfigurationspaket ein.
5. Ordnen Sie einen primären SafeGuard Enterprise Server zu (der sekundäre Server ist nicht notwendig).
6. Wählen Sie SSL als Transportverschlüsselung für die Verbindung zwischen dem Endpoint und dem SafeGuard Enterprise Server. Für Macs wird Sophos als Transportverschlüsselung nicht unterstützt.
7. Geben Sie einen Ausgabepfad für das Konfigurationspaket (ZIP) an.
8. Klicken Sie auf Konfigurationspaket erstellen.
Die Server-Verbindung für den SSL Transportverschlüsselung Modus wird validiert. Wenn die
Verbindung fehlschlägt, wird eine Warnungsmeldung angezeigt.
Das Konfigurationspaket (ZIP) wird nun im angegebenen Verzeichnis angelegt. Im nächsten Schritt verteilen Sie das Paket zur Installation an Ihre Macs.
3.5 Erweiterte Authentisierung -
Benutzergruppe .Unbestätigte Benutzer
Benutzer, die sich an SafeGuard Enterprise anmelden, müssen gegen Active Directory authentisiert werden bevor sie Zugriff auf ihren Schlüsselring haben.
Benutzer, die bei der Anmeldung nicht authentisiert werden können, werden in die Gruppe
.Unbestätigte Benutzer verschoben. Diese Gruppe wird im Stammknoten und in jeder Domäne oder Arbeitsgruppe angezeigt. Erweiterte Authentisierung betrifft Windows- und macOS-Benutzer.
Mögliche Gründe dafür, warum Benutzer nicht authentisiert werden können, sind folgende:
• Der Benutzer hat Anmeldeinformationen eingegeben, die nicht mit denen im Active Directory
übereinstimmen.
• Der Benutzer ist ein lokaler Benutzer am Endpoint.
Da nur Active Directory Benutzer mit einem Domänen-Controller authentisiert werden können, wird ein lokaler Benutzer bei der ersten Anmeldung immer in die Gruppe .Unbestätigte
Benutzer verschoben.
• Der Active Directory Authentifizierungsserver ist nicht erreichbar.
• Der Benutzer gehört zu einer Domäne, die nicht aus dem Active Directory importiert wurde.
In diesem Fall werden Benutzer zur globalen Gruppe .Unbestätigte Benutzer hinzugefügt, die direkt unter dem Stamm-Knoten in Benutzer und Computer angezeigt wird.
• Die Authentisierung ist wegen eines unbekannten Fehlers fehlgeschlagen.
Siehe auch Sophos Knowledgebase-Artikel 124328 .
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Solange sich Benutzer in der Gruppe .Unbestätigte Benutzer befinden, haben sie keinen Zugriff auf ihren Schlüsselring.
Wenn Sie auf eine .Unbestätigte Benutzer Gruppe klicken, werden Details zu den Benutzern der Gruppe (zum Beispiel der Grund, warum ein Benutzer in der Gruppe ist) in der Registerkarte
Unbestätigte Benutzer im rechten Fensterbereich angezeigt.
Auf Windows-Endpoints wird im Dialog Client Status unter SGN-Benutzerstatus der Status
Unbestätigter Benutzer angezeigt.
Auf macOS Endpoints wird auf der Registerkarte Benutzer im Sophos SafeGuard
Einstellungsbereich unter SafeGuard-Benutzerstatus der Status Unbestätigter Benutzer angezeigt.
Protokollierte Ereignisse finden Sie unter Auditing
(Seite 165).
Erweiterte Authentisierung und BitLocker
Wenn Sie BitLocker über SafeGuard Enterprise verwalten, müssen Sie die Registrierung von neuen
SGN-Benutzern für Jeden erlauben:
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Spezifische
Computereinstellungen an oder wählen Sie eine vorhandene aus.
2. Wählen Sie unter Benutzer-Computer Zuordnung (UMA) die Einstellung Registrieren von
neuen SGN-Benutzern erlauben und wählen Sie in der Dropdown-Liste Jeder.
3. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren
Benutzergruppen zu.
3.5.1 Benutzer bestätigen
Als Sicherheitsbeauftragter müssen Sie Benutzer in der Gruppe .Unbestätigte Benutzer
überprüfen. Handelt es sich um autorisierte Benutzer, müssen Sie diese explizit bestätigen um ihnen
Zugriff auf ihren Schlüsselring zu gewähren. Ohne ihren Schlüsselring können Benutzer nicht auf verschlüsselte Daten zugreifen.
So bestätigen Sie Benutzer in der Gruppe .Unbestätigte Benutzer:
1. Wählen Sie im Management Center die Gruppe .Unbestätigte Benutzer.
Benutzer, die nicht gegen Active Directory authentisiert wurden, werden angezeigt. Sie können einzelne Benutzer anklicken, um detaillierte Informationen im rechten Fensterbereich anzuzeigen.
2. Überprüfen Sie, ob Benutzer auf den SafeGuard Enterprise Schlüsselring zugreifen dürfen.
3. Ist dies der Fall, klicken Sie mit der rechten Maustaste auf den Benutzer im linken Fensterbereich unter .Unbestätigte Benutzer und klicken Sie auf Benutzer bestätigen.
Sie können alle Benutzer in der Gruppe .Unbestätigte Benutzer bestätigen indem Sie die Gruppe selbst markieren und im Kontextmenü Alle Benutzer bestätigen klicken.
Bestätigte Benutzer werden automatisch in die richtige Active Directory Struktur verschoben und haben Zugriff auf ihren Schlüsselring.
Die Bestätigung von Benutzern kann auch über Scripting API Calls erfolgen.
3.5.2 Benutzer automatisch bestätigen
Sie können SafeGuard Enterprise so konfigurieren, dass Benutzer, die nicht gegen Active Directory authentisiert werden können, automatisch bestätigt werden.
Copyright © Sophos Limited 77
SafeGuard Enterprise Administratorhilfe
So bestätigen Sie Benutzer in der Gruppe .Unbestätigte Benutzer automatisch:
1. Wählen Sie im Management Center im Menü Extras den Befehl Optionen.
2. Öffnen Sie die Registerkarte Verzeichnis.
3. Aktivieren Sie die Option Benutzer automatisch bestätigen, die nicht über Active Directory
authentisiert werden können.
4. Klicken Sie auf OK.
Alle Benutzer, die bei der Anmeldung in die Gruppe .Unbestätigte Benutzer verschoben werden, werden automatisch bestätigt und bekommen Zugriff auf ihre Schlüsselringe.
3.6 Benutzer-Computer Zuordnung (UMA)
SafeGuard Enterprise verwaltet die Informationen, welcher Benutzer sich an welchem Computer anmelden darf, in einer Liste, für die der Begriff UMA (User Machine Assignment bzw. Benutzer-
Computer Zuordnung) verwendet wird.
Voraussetzung für die Aufnahme in die UMA ist, dass sich der Benutzer einmal an einem Computer mit installiertem SafeGuard Enterprise angemeldet hat und als „kompletter“ Benutzer, im Sinne von SafeGuard Enterprise, im SafeGuard Management Center vorhanden ist. Als „komplett“ wird ein Benutzer dann bezeichnet, wenn für ihn nach der ersten Anmeldung ein Zertifikat erzeugt und danach sein Schlüsselring aufgebaut wurde. Erst dann ist die Möglichkeit gegeben, dass diese
Benutzerdaten auch auf andere Computer repliziert werden können. Nach der Replikation kann sich der Benutzer auch auf diesen Computern in der SafeGuard POA anmelden.
In der Standardeinstellung wird der erste Benutzer, der sich nach der Installation von SafeGuard
Enterprise an den Computer anmeldet, in der UMA als Besitzer dieses Computers eingetragen.
Dieses Attribut erlaubt es dem Benutzer, nachdem er sich im Rahmen der SafeGuard Poweron Authentication authentisiert hat, weiteren Benutzern die Anmeldung an diesem Computer zu ermöglichen. Siehe dazu die SafeGuard Enterprise 8 Administratorhilfe . Dadurch werden auch sie in die UMA für diesen Computer aufgenommen.
So wird automatisch eine Liste aufgebaut, die bestimmt, welcher Benutzer sich an welchem
Computer anmelden darf. Diese Liste kann im SafeGuard Management Center bearbeitet werden.
78
3.6.1 Benutzertypen
Es gibt verschiedene Benutzertypen in SafeGuard Enterprise. Weitere Informationen darüber, wie das Standardverhalten dieser Benutzertypen geändert werden kann, finden Sie unter
Richtlinientypen und ihre Anwendungsfelder
(Seite 191).
• Besitzer: Der Benutzer, der sich als erster nach der Installation von SafeGuard Enterprise an einem Endpoint anmeldet, wird nicht nur als SGN-Benutzer eingetragen, sondern auch als
Besitzer dieses Endpoints. Sofern die Standardeinstellungen nicht geändert wurden, kann der
Besitzer es anderen Benutzern ermöglichen, sich an dem Endpoint anzumelden und SGN-
Benutzer zu werden.
• SGN-Benutzer: Ein „vollwertiger“ SGN-Benutzer kann sich bei der SafeGuard Power-on
Authentication anmelden, wird der UMA (User Machine Assignment - Benutzer-Computer
Zuordnung) hinzugefügt und erhält ein Benutzerzertifikat und einen Schlüsselring für den Zugriff auf verschlüsselte Daten.
• SGN Windows-Benutzer: Ein SGN Windows-Benutzer wird nicht zur SafeGuard POA hinzugefügt, verfügt jedoch über einen Schlüsselring, mit dem er wie ein SGN-Benutzer auf verschlüsselte Dateien zugreifen kann. Er wird auch zur UMA hinzugefügt, d. h. er darf sich auf diesem Endpoint bei Windows anmelden.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• SGN-Gastbenutzer: SGN-Gastbenutzer werden nicht zur UMA hinzugefügt, erhalten keine
Berechtigungen zum Anmelden an der SafeGuard POA, bekommen kein Zertifikat und keinen
Schlüsselring zugewiesen und werden nicht in der Datenbank gespeichert. Unter Spezifische
Computereinstellungen - Grundeinstellungen (Seite 225) finden Sie Informationen darüber, wie
verhindert wird, dass sich SGN-Gastbenutzer bei Windows anmelden.
• Service Account: Mit Service Accounts können sich Benutzer (z. B. Mitarbeiter des IT-Teams,
Rollout-Beauftragte) nach der Installation von SafeGuard Enterprise an Endpoints anmelden, ohne die SafeGuard POA zu aktivieren und ohne dass sie als SGN-Benutzer (Besitzer) zu den Endpoints hinzugefügt werden. Benutzer, die in eine Service Account-Liste aufgenommen wurden, werden nach ihrer Windows-Anmeldung am Endpoint als SGN-Gastbenutzer behandelt.
• POA-Benutzer: Nach Aktivierung der POA ist es unter Umständen noch erforderlich, administrative Aufgaben auszuführen. POA-Benutzer sind vordefinierte lokale Konten, die die
POA absolvieren dürfen. Eine automatische Anmeldung an Windows erfolgt nicht. Die Benutzer müssen sich an Windows mit ihren vorhandenen Windows-Benutzerkonten anmelden. Diese
Benutzerkonten werden im Bereich Benutzer & Computer des SafeGuard Management Center definiert (Benutzername und Kennwort) und werden dem Endpoint in POA-Gruppen zugewiesen.
Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise 8 Administratorhilfe .
3.6.2 Benutzer-Computer Zuordnung (UMA) im SafeGuard
Management Center
Im SafeGuard Management Center kann eine Zuordnung von Benutzern zu bestimmten
Computern vorgenommen werden. Wird ein Benutzer im SafeGuard Management Center einem
Computer zugeordnet (oder umgekehrt), wird diese Zuweisung in die UMA aufgenommen. Seine
Benutzerdaten (Zertifikat, Schlüssel usw.) werden auf diesen Rechner repliziert, und er kann sich an diesen Computer anmelden. Wenn ein Benutzer aus der UMA entfernt wird, werden alle
Benutzerdaten automatisch aus der SafeGuard POA gelöscht. Der Benutzer kann sich dann nicht mehr an der SafeGuard POA mit Benutzername und Kennwort anmelden.
Hinweis
Um die Benutzer und Computer Zuordnung unter Benutzer & Computer einzusehen, benötigen
Sie mindestens das Zugriffsrecht Schreibgeschützt für eines der beteiligten Objekte (Benutzer oder Computer). Um die Zuweisung zu definieren oder zu ändern, benötigen Sie das Zugriffsrecht
Voller Zugriff für beide beteiligten Objekte. Die UMA-Anzeige zeigt die verfügbaren Benutzer/
Maschinen gefiltert nach Ihren Zugriffsrechten. In der UMA-Anzeige, die die Computern zugewiesenen Benutzer und umgekehrt zeigt, werden Objekte, für die Sie nicht die erforderlichen
Zugriffsrechte haben, zu Ihrer Information angezeigt. Sie können die Zuordnung jedoch nicht
ändern.
Im Rahmen dieser Zuordnung kann auch festgelegt bzw. geändert werden, wem es erlaubt ist, weiteren Benutzern die Anmeldung an diesen Computer zu ermöglichen.
Unter Typ wird im SafeGuard Management Center angezeigt, wie der Benutzer in die SafeGuard
Enterprise Datenbank aufgenommen wurde. Übernommen gibt an, dass der Benutzer auf einem
Endpoint in die UMA für den Computer aufgenommen worden ist.
Wird im SafeGuard Management Center keine Zuweisung vorgenommen und kein Benutzer als
Besitzer festgelegt, wird der Benutzer, der sich als erster nach der Installation von SafeGuard
Enterprise an den Computer anmeldet, als Besitzer eingetragen. Dieser Benutzer kann weiteren
Benutzern die Anmeldung an diesem Computer ermöglichen. Werden im SafeGuard Management
Center diesem Computer nachträglich Benutzer zugewiesen, so können sich diese dann auch in der
SafeGuard Power-On Authentication anmelden. Voraussetzung dafür ist allerdings, dass es sich um
Copyright © Sophos Limited 79
SafeGuard Enterprise Administratorhilfe komplette Benutzer (deren Zertifikat und Schlüssel bereits existieren) handelt. Die Erlaubnis durch den Besitzer des Computers ist dann nicht notwendig.
Über folgende Einstellungen kann festgelegt werden, wem es erlaubt ist, weitere Benutzer in die
UMA aufzunehmen:
• Kann Besitzer werden Die Auswahl dieser Einstellung ist Voraussetzung dafür, dass ein
Benutzer als Besitzer eines Computers eingetragen werden kann.
• Benutzer ist Besitzer: Ist diese Einstellung ausgewählt, wird dieser Benutzer als Besitzer in die UMA eingetragen. Es kann jeweils nur ein Benutzer pro Computer als Besitzer in der UMA eingetragen werden.
Wer Benutzer in die UMA aufnehmen darf, wird zusätzlich über die Richtlinieneinstellung
Registrieren von neuen SGN-Benutzern erlauben in einer Richtlinie vom Typ Spezifische
Computereinstellungen gesteuert. Die Einstellung Registrierung von SGN Windows-
Benutzern aktivieren in Richtlinien vom Typ Spezifische Computereinstellungen legt fest, ob
SGN Windows-Benutzer auf dem Endpoint registriert und zur UMA hinzugefügt werden können.
• Registrieren von neuen SGN-Benutzern erlauben
Niemand
Auch der als Besitzer eingetragene Benutzer kann keinen weiteren Benutzern die Aufnahme in die UMA ermöglichen. Die Funktionalität, dass ein Besitzer weitere Aufnahmen ermöglichen kann, wird damit deaktiviert.
Besitzer (Standardeinstellung)
Hinweis
Ein Sicherheitsbeauftragter kann im SafeGuard Management Center immer Benutzer hinzufügen.
Jeder
Hebt die Einschränkung auf, dass nur der Besitzer Benutzer hinzufügen darf.
Hinweis
Bei Endpoints, auf denen das Device Encryption-Modul nicht installiert ist, muss die
Einstellung Registrieren von neuen SGN-Benutzern erlauben auf Jeder gesetzt sein, wenn es auf dem Endpoint möglich sein soll, der UMA mehrere Benutzer hinzuzufügen, die
Zugriff auf ihre Schlüsselringe haben sollen. Sonst können Benutzer nur im Management
Center hinzugefügt werden. Diese Option ist wird nur auf zentral verwalteten Endpoints ausgewertet. Weitere Informationen finden Sie im Sophos Knowledegebase-Artikel 110659 .
• Registrierung von SGN Windows-Benutzern aktivieren
Wenn Sie Ja auswählen, können SGN Windows-Benutzer auf dem Endpoint registriert werden.
Ein SGN Windows-Benutzer wird nicht zur SafeGuard POA hinzugefügt, verfügt jedoch über einen Schlüsselring, mit dem er auf verschlüsselte Dateien zugreifen kann wie ein SGN-
Benutzer. Wenn Sie diese Einstellung wählen, werden alle Benutzer, die andernfalls SGN-
Gast-Benutzer geworden wären, zu SGN Windows-Benutzern. Die Benutzer werden zur UMA hinzugefügt, sobald sie sich an Windows angemeldet haben. SGN Windows-Benutzer lassen sich auf zentral verwalteten Endpoints automatisch und auf Standalone-Endpoints manuell aus der UMA entfernen. Für weitere Informationen, siehe
Spezifische Computereinstellungen -
(Seite 225).
Beispiel:
80 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Das folgende Beispiel zeigt, wie Sie im SafeGuard Management Center festlegen können, dass sich ausschließlich drei bestimmte Benutzer (Benutzer_a, Benutzer_b, Benutzer_c) auf dem Computer
Computer_ABC anmelden können.
Ausgangssituation: Sie legen im SafeGuard Management Center das gewünschte Verhalten fest.
SafeGuard Enterprise wird in der Nacht auf allen Endpoints installiert. Am Morgen sollen sich die
Benutzer an ihrem Computer anmelden können.
1.
Weisen Sie im SafeGuard Management Center Benutzer_a, Benutzer_b, Benutzer_c dem
Computer Computer_ABC zu. (Benutzer & Computer -> Computer_ABC auswählen ->
Benutzer via Drag&Drop zuweisen). Damit haben Sie eine UMA festgelegt.
2.
Setzen Sie in einer Richtlinie vom Typ Spezifische Computereinstellungen die Einstellung
Registrieren von neuen SGN-Benutzern erlauben auf Niemand. Da es Benutzer_a,
Benutzer_b, Benutzer_c nicht erlaubt werden soll, Benutzer hinzuzufügen, ist es nicht notwendig, einen Benutzer als Besitzer festzulegen.
3.
Weisen Sie die Richtlinie dem Computer zu bzw. an einer Stelle in der Verzeichnisstruktur zu, wo sie für den Computer wirksam wird.
Bei der Anmeldung des ersten Benutzers an Computer_ABC wird ein Autologon für die SafeGuard
POA ausgeführt. Die Computerrichtlinien werden an den Endpoint geschickt. Da Benutzer_a in der UMA eingetragen ist, wird er im Zuge der Windows-Anmeldung komplettiert. Seine
Benutzerrichtlinien, Zertifikate und Schlüssel werden an den Endpoint geschickt. Die SafeGuard
POA wird aktiviert.
Hinweis
Der Benutzer kann über die Statusausgabe im SafeGuard Tray Icon überprüfen, wann dieser
Vorgang abgeschlossen ist.
Benutzer_a existiert nun als kompletter Benutzer in SafeGuard Enterprise und kann sich bei der nächsten Anmeldung in der SafeGuard POA authentisieren und wird automatisch angemeldet.
Benutzer_a fährt nun den Computer herunter und Benutzer_b will sich anmelden. Da die SafeGuard
POA aktiviert ist, findet kein Autologon mehr statt.
Für die Benutzer_b und Benutzer_c gibt es nun zwei Möglichkeiten, Zugang zu diesem Computer zu erlangen.
• Benutzer_a deaktiviert im SafeGuard POA-Anmeldedialog die Option Durchgehende
Anmeldung an Windows und meldet sich an.
• Benutzer_b authentisiert sich über Challenge/Response in der SafeGuard POA.
In beiden Fällen wird anschließend der Windows-Anmeldedialog angezeigt.
Benutzer_b kann dort seine Windows-Anmeldeinformationen eingeben. Seine Benutzerrichtlinien,
Zertifikate und Schlüssel werden an den Endpoint geschickt. Er wird in der SafeGuard POA aktiviert.
Benutzer_b existiert nun als kompletter Benutzer in SafeGuard Enterprise. Er kann sich bei der nächsten Anmeldung in der SafeGuard POA authentisieren und wird automatisch angemeldet.
Es wurde in der Computerrichtlinie zwar festgelegt, dass auf diesem Computer niemand Benutzer importieren darf, da sie sich aber bereits in der UMA befinden, können Benutzer_b und Benutzer_c durch die Windows-Anmeldung dennoch komplettiert und in der SafeGuard POA aktiviert werden.
Alle anderen Benutzer werden nicht in die UMA aufgenommen und können sich daher niemals an der SafeGuard Power-on Authentication authentisieren. Alle Benutzer, die sich an Windows anmelden und nicht Benutzer_a, Benutzer_b oder Benutzer_c sind, werden in diesem Szenario nicht in die UMA aufgenommen und daher auch nie in der SafeGuard POA aktiv.
Sie können im SafeGuard Management Center später weitere Benutzer hinzufügen. Allerdings steht ihr Schlüsselring nach der ersten Anmeldung noch nicht zur Verfügung, da eine Synchronisierung
Copyright © Sophos Limited 81
SafeGuard Enterprise Administratorhilfe erst durch diese Anmeldung angestoßen wird. Nach einer erneuten Anmeldung steht auch der
Schlüsselring zur Verfügung und die Benutzer können entsprechend den geltenden Richtlinien auf den Computer zugreifen. Haben sie sich zuvor noch an keinem Endpoint erfolgreich angemeldet, können sie wie zuvor beschrieben aufgenommen werden.
Hinweis
Wenn das letzte gültige Benutzerzertifikat von einem SO oder MSO aus der UMA entfernt wurde, kann jeder Benutzer die SafeGuard POA des entsprechenden Computers absolvieren.
Dasselbe gilt, wenn sich die Domain des Endpoints ändert. Dann sind nur Windows-
Anmeldeinformationen zum Anmelden am Computer, zum Reaktivieren der SafeGuard POA und das Hinzufügen als neuer Besitzer nötig.
Diese Beschreibung gilt nur für Windows Endpoints, nicht für Macs. Wenn Sie einem Mac mehrere Benutzer hinzufügen, kann dies in größeren Umgebungen zu erheblichen Performance-
Einbrüchen beim Abgleich der Richtlinien zwischen Endpoint und Server und bei der Active Directory
Synchronisierung im Management Center oder über den Task Scheduler führen. Wir empfehlen ausdrücklich, im Management Center Macs keine Benutzer zuzuweisen.
Benutzer sperren
Durch Auswählen des Kontrollkästchens in der Spalte Benutzer sperren wird dem Benutzer die
Anmeldung an diesem Computer verboten. Wenn der betreffende Benutzer angemeldet ist, wenn eine Richtlinie, die diese Einstellung enthält, wird der Benutzer abgemeldet.
Gruppen
Im SafeGuard Management Center können auch Computergruppen einem Benutzer (Konto) bzw.
Benutzergruppen einem Computer zugewiesen werden.
So erstellen Sie eine Gruppe: Klicken Sie unter Benutzer & Computer mit der rechten Maustaste auf den relevanten Objektknoten, bei dem Sie die Gruppe erstellen möchten, und wählen Sie dann
Neu > Neue Gruppe erzeugen > Vollst. Name. Geben Sie einen Gruppennamen und optional eine
Beschreibung ein. Klicken Sie auf OK.
Beispiel: Service-Konto
Auf diese Weise ist es z. B. einfach möglich, über ein Service-Konto eine große Anzahl Computer zu warten. Dazu müssen sich die Computer in einer Gruppe befinden. Diese Gruppe wird dann einem
Service-Konto (Benutzer) zugewiesen. Der Besitzer des Service-Kontos kann sich dann an alle
Computer dieser Gruppe anmelden.
Ebenso kann durch das Zuweisen einer Gruppe, die verschiedene Benutzer enthält, diesen
Benutzern in einem einfachen Schritt die Anmeldung an einem bestimmten Computer ermöglicht werden.
3.6.3 Zuweisen von Benutzer- und Computergruppen
Um die Benutzer und Computer Zuordnung unter Benutzer & Computer einzusehen, benötigen Sie mindestens das Zugriffsrecht Schreibgeschützt für eines der beteiligten Objekte (Benutzer oder
Computer). Um die Zuweisung zu definieren oder zu ändern, benötigen Sie das Zugriffsrecht Voller
Zugriff für beide beteiligten Objekte. Die UMA-Anzeige zeigt die verfügbaren Benutzer/Maschinen gefiltert nach Ihren Zugriffsrechten.
82 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Hinweis
Das Zuweisen einzelner Benutzer an einen Computer oder umgekehrt, funktioniert analog zur
Beschreibung für Gruppen.
1. Klicken Sie auf Benutzer & Computer.
2. Zum Zuweisen einer Gruppe von Computern zu einem Benutzer markieren Sie den Benutzer.
3. Klicken Sie im Aktionsbereich auf die Registerkarte Computer.
Unter Verfügbare Computer werden alle Computer und Computergruppen angezeigt.
4. Ziehen Sie die gewünschten Gruppen aus der Liste der Verfügbaren Gruppen in den
Aktionsbereich.
5. Ein Dialog, in dem Sie gefragt werden, ob der Benutzer Besitzer aller Computer werden können soll, wird angezeigt.
Ist für einen Computer im SafeGuard Management Center kein Besitzer festgelegt, wird der erste Benutzer, der sich an diesen Computer anmeldet, automatisch als Besitzer eingetragen.
Damit hat er das Recht, anderen Benutzern Zugriff auf diesen Computer zu erlauben.
Voraussetzung dafür ist, dass er das Recht Kann Besitzer werden besitzt.
• Beantworten Sie diese Frage mit Ja, kann der Benutzer, wenn er sich als erster an diesen
Computer anmeldet, Besitzer werden und damit weiteren Benutzern Zugriff gewähren.
• Beantworten Sie diese Frage mit Nein, ist der Benutzer nicht Besitzer dieses Computers.
Für ein Service-Konto ist es in der Regel nicht notwendig, dass der Inhaber dieses Kontos
Besitzer der Computer werden kann. Diese Einstellung kann nach der initialen Zuweisung geändert werden.
Nach der Beantwortung der Frage werden alle Computer aus der zugewiesenen Gruppe im
Aktionsbereich angezeigt.
Der Benutzer darf sich jetzt an allen Computern anmelden, die so zugewiesen wurden.
Die Zuweisung einer Benutzergruppe an einen einzelnen Computer funktioniert analog zu dieser
Beschreibung.
3.7 Sophos SafeGuard mit anonymen
Nutzungsdaten verbessern
Sophos ist ständig bemüht, SafeGuard Enterprise zu verbessern. Aus diesem Grund senden
Kunden regelmäßig anonymisierte Daten an Sophos. Diese Daten werden ausschließlich zur
Verbesserung des Produkts verwendet. Die Daten können nicht zur Identifizierung von Kunden oder
Geräten verwendet werden und enthalten keine vertraulichen Informationen. Weitere Informationen finden Sie im Sophos Knowledegebase-Artikel 123768 .
Die Übermittlung von Daten an Sophos ist optional. Da die Daten anonymisiert übermittelt werden, ist die Datensammelfunktion standardmäßig aktiviert. Sie können die Funktion im SafeGuard
Management Center deaktivieren (Richtlinien > Allgemeine Einstellungen > Feedback > Sophos
SafeGuard® durch das Senden von anonymen Nutzungsdaten verbessern).
Copyright © Sophos Limited 83
SafeGuard Enterprise Administratorhilfe
3.7.1 Senden anonymer Nutzungsdaten per Richtlinie deaktivieren
So deaktivieren Sie das Senden anonymer Nutzungsdaten:
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
Die Registerkarte Allgemeine Einstellungen wird angezeigt.
2. Wechseln Sie in den Bereich Feedback .
3. Wählen Sie in unter Sophos SafeGuard® durch das Senden von anonymen Nutzungsdaten
verbessern die Option Nein.
4. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren Benutzern und
Computern zu.
Die Funktion ist nun deaktiviert. Es werden keine Nutzungsdaten an Sophos übermittelt.
3.8 SafeGuard Management Center erweitert
Dieser Abschnitt enthält Informationen zu erweiterten Verwaltungsfunktionen.
3.8.1 Datenbankpflege
Wir empfehlen den Einsatz eines permanenten Online-Backups für die Datenbank. Führen Sie ein regelmäßiges Backup Ihrer Datenbank durch, um Schlüssel, Unternehmenszertifikate und Benutzer-
Computer Zuordnungen zu sichern. Beispiele für empfohlene Backup-Zyklen: nach dem Erstimport der Daten, nach größeren Änderungen oder in turnusmäßigen Abständen, z. B. wöchentlich oder täglich.
Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 113001 .
Reparieren einer beschädigten Datenbankkonfiguration
Sie können eine beschädigte Datenbankkonfiguration reparieren, indem Sie das SafeGuard
Management Center neu installieren und basierend auf den gesicherten Zertifikatsdateien eine neue
Instanz der Datenbank erstellen. Dadurch wird sichergestellt, dass alle vorhandenen SafeGuard
Enterprise Endpoints Richtlinien von der neuen Installation annehmen.
• Das Unternehmenszertifikat und das Haupt-Sicherheitsbeauftragten-Zertifikat der betreffenden
Datenbankkonfiguration müssen als .p12 Dateien exportiert worden sein. Die Dateien müssen verfügbar und gültig sein.
• Die Kennwörter für die beiden .p12 Dateien sowie für den Zertifikatsspeicher müssen Ihnen bekannt sein.
Dieses Verfahren ist nur dann zu empfehlen, wenn keine gültige Sicherungskopie der Datenbank verfügbar ist. Alle Computer, die mit einem reparierten Backend verbunden werden, verlieren ihre
Benutzer-Computer Zuordnung. Infolgedessen wird die Power-on Authentication vorübergehend abgeschaltet. Challenge/Response-Mechanismen stehen erst dann wieder zur Verfügung, wenn der entsprechende Endpoint seine Schlüsselinformationen wieder erfolgreich übertragen hat.
So reparieren Sie eine beschädigte Datenbankkonfiguration:
84 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
1. Installieren Sie das SafeGuard Management Center Installationspaket neu. Öffnen Sie das
SafeGuard Management Center. Der Konfigurationsassistent wird automatisch geöffnet.
2. Wählen Sie unter Datenbank-Verbindung die Option Neue Datenbank erstellen. Konfigurieren
Sie unter Datenbankeinstellungen die Verbindung zur Datenbank. Klicken Sie auf Weiter.
3. Wählen Sie unter Daten des Sicherheitsbeauftragten den relevanten Haupt-
Sicherheitsbeauftragten und klicken Sie auf Importieren.
4. Suchen Sie unter Importieren des Zertifikats die gesicherte Zertifikatsdatei. Geben Sie unter
Schlüsseldatei das für diese Datei festgelegte Kennwort ein und bestätigen Sie es. Klicken Sie auf
OK.
5. Das Zertifikat des Haupt-Sicherheitsbeauftragten wird importiert. Klicken Sie auf Weiter.
6. Aktivieren Sie unter Unternehmenszertifikat die Option Über vorhandenes
Unternehmenszertifikat wiederherstellen. Klicken Sie auf Importieren, um die gesicherte
Zertifikatsdatei auszuwählen, die das gültige Unternehmenszertifikat enthält. Sie werden aufgefordert, das für den Zertifikatsspeicher definierte Kennwort einzugeben. Geben Sie das
Kennwort ein und klicken Sie auf OK. Klicken Sie im Willkommen-Fenster auf Weiter.
Das Unternehmenszertifikat wird importiert.
7. Klicken Sie auf Weiter, dann auf Beenden.
Die Datenbankkonfiguration ist repariert.
3.8.2 Mit mehreren Datenbankkonfigurationen arbeiten (Multi
Tenancy)
Voraussetzung:
• Die Funktion Multi Tenancy muss über eine Installation vom Typ Vollständig installiert worden sein, siehe
• Die initiale Konfiguration des SafeGuard Management Center muss durchgeführt worden sein,
siehe Starten der Erstkonfiguration des SafeGuard Management Center (Seite 23).
Mit Multi Tenancy können Sie verschiedene SafeGuard Enterprise Datenbankinstanzen konfigurieren und sie für eine Instanz des SafeGuard Management Centers verwalten. Dies erweist sich vor allem dann als nützlich, wenn Sie verschiedene Konfigurationen für verschiedene Domänen,
Organisationseinheiten oder Unternehmensstandorte einsetzen möchten.
Sie müssen pro Datenbank jeweils eine separate SafeGuard Enterprise Server Instanz einrichten.
Jede Datenbank muss dieselbe Version aufweisen. Es ist beispielsweise nicht möglich, SGN 7
Datenbanken und SGN 8.2 Datenbanken mit einem SGN 8.2 Management Center zu verwalten.
Um die Konfigurationsarbeiten zu erleichtern, haben Sie folgende Möglichkeiten:
• Mehrere Datenbankkonfigurationen erstellen.
• Zuvor erstellte Datenbankkonfiguration auswählen.
• Datenbankkonfiguration löschen.
• Zuvor erstellte Datenbankkonfiguration aus einer Datei importieren.
• Datenbankkonfiguration zur späteren Wiederverwendung exportieren.
Copyright © Sophos Limited 85
SafeGuard Enterprise Administratorhilfe
Erstellen von weiteren Datenbankkonfigurationen
Hinweis
Sie müssen pro Datenbank jeweils eine separate SafeGuard Enterprise Server Instanz einrichten.
So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach der
Erstkonfiguration:
1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählen wird angezeigt.
2. Klicken Sie auf Neu. Der SafeGuard Management Center Konfigurationsassistent wird automatisch gestartet.
3. Der Assistent führt Sie durch die notwendigen Schritte für das Anlegen einer neuen
Datenbankkonfiguration. Wählen Sie die gewünschten Optionen. Die neue Datenbankkonfiguration wird generiert.
4. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für diese
Konfiguration auszuwählen und das entsprechende Zertifikatsspeicherkennwort einzugeben.
Klicken Sie auf OK.
Das SafeGuard Management Center wird geöffnet und mit der ausgewählten
Datenbankkonfiguration verbunden. Beim nächsten Start des SafeGuard Management Center kann die neue Datenbankkonfiguration aus der Liste ausgewählt werden.
Konfigurieren zusätzlicher Instanzen des SafeGuard Management Center
Sie können zusätzliche Instanzen des SafeGuard Management Center konfigurieren, um
Sicherheitsbeauftragten den Zugriff für die Durchführung administrativer Aufgaben auf verschiedenen Computern zu ermöglichen. Das SafeGuard Management Center kann auf jedem
Rechner im Netzwerk installiert sein, von wo aus auf die Datenbank zugegriffen werden kann.
SafeGuard Enterprise verwaltet die Zugriffsrechte auf das SafeGuard Management Center in einem eigenen Zertifikatsverzeichnis. In diesem Verzeichnis müssen die Zertifikate aller
Sicherheitsbeauftragten, die sich am SafeGuard Management Center anmelden dürfen, vorhanden sein. Für die Anmeldung an das SafeGuard Management Center ist dann nur das Kennwort für den
Zertifikatsspeicher erforderlich.
1. Installieren Sie SGNManagementCenter.msi mit den gewünschten Features auf einem weiteren
Computer.
2. Starten Sie das SafeGuard Management Center auf dem Administratorcomputer. Der
Konfigurationsassistent wird gestartet und führt Sie durch die notwendigen Schritte.
3. Klicken Sie auf der Willkommen Seite auf Weiter.
4. Wählen Sie im Dialog Datenbankverbindung unter Datenbankserver die erforderliche SQL-
Datenbankinstanz aus der Liste aus. Alle auf Ihrem Computer oder Netzwerk verfügbaren
Datenbankserver werden angezeigt. Wählen Sie unter Authentisierung die Art der
Authentisierung, die für den Zugriff auf diese Datenbankinstanz benutzt werden soll. Wenn Sie
Folgende Anmeldeinformationen für SQL Server Authentisierung anwenden wählen, geben
Sie die SQL-Benutzerkontenanmeldedaten ein, die Ihr SQL-Administrator erstellt hat. Klicken Sie auf Weiter.
5. Aktivieren Sie auf der Seite Datenbankeinstellungen die Option Folgende bestehende
Datenbank verwenden und wählen Sie die Datenbank aus der Liste aus. Klicken Sie auf Weiter.
6. Wählen Sie unter SafeGuard Management Center Authentisierung eine autorisierte Person aus der Liste aus. Wenn Multi Tenancy aktiviert ist, zeigt der Dialog an, an welcher Konfiguration sich
86 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe der Benutzer anmeldet. Geben Sie das Kennwort für den Zertifikatsspeicher ein und bestätigen Sie es.
Der Zertifikatsspeicher für das aktuelle Benutzerkonto wird angelegt und ist durch dieses abgesichert. Für die nachfolgenden Anmeldungen benötigen Sie nur noch dieses Kennwort.
7. Klicken Sie auf OK.
Eine Meldung, dass Zertifikat und privater Schlüssel nicht gefunden bzw. nicht darauf zugegriffen werden kann, wird angezeigt.
8. Klicken Sie zum Importieren der Daten auf Ja und dann auf OK. Dadurch wird der Importvorgang gestartet.
9. Klicken Sie unter Authentisierungs-Schlüsseldatei importieren auf die [...] Schaltfläche und wählen Sie die Schlüsseldatei aus. Geben Sie das Kennwort der Schlüsseldatei ein. Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token-PIN definierte Kennwort für den
Zertifikatsspeicher ein. Wählen Sie In den Zertifikatsspeicher importieren oder Auf den Token
kopieren, um das Zertifikat auf einem Token zu speichern.
10. Geben Sie zur Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein.
Zertifikat und privater Schlüssel befinden sich nun im Zertifikatsspeicher. Zur Anmeldung an das
SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet.
Herstellen einer Verbindung mit einer bereits vorhandenen
Datenbankkonfiguration
So benutzen Sie eine bereits vorhandene SafeGuard Enterprise Datenbankkonfiguration:
1. Starten Sie das SafeGuard Management Center.
Der Dialog Konfiguration auswählen wird angezeigt.
2. Wählen Sie die Datenbankkonfiguration, die Sie verwenden möchten, aus der Dropdownliste und klicken Sie auf OK.
Die ausgewählte Datenbankkonfiguration wird mit dem SafeGuard Management Center verbunden und wird aktiv.
3. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für diese
Konfiguration auszuwählen und das entsprechende Zertifikatsspeicherkennwort einzugeben.
Klicken Sie auf OK.
Das SafeGuard Management Center wird geöffnet und mit der ausgewählten
Datenbankkonfiguration verbunden.
Export einer Konfiguration in eine Datei
Um eine Konfiguration zu speichern, damit sie später wiederverwendet werden kann, können Sie sie in eine Datei exportieren.
1. Starten Sie das SafeGuard Management Center.
Der Dialog Konfiguration auswählen wird angezeigt.
2. Wählen Sie die gewünschte Konfiguration aus der Liste und klicken Sie auf Exportieren...
3. Zum Schutz der Konfigurationsdatei werden Sie dazu aufgefordert, ein Kennwort, das die
Konfigurationsdatei verschlüsselt, einzugeben und zu bestätigen.
4. Klicken Sie auf OK.
5. Geben Sie einen Dateinamen und einen Speicherort für die exportierte Konfigurationsdatei
*.SGNConfig an.
Sollte diese Konfiguration bereits vorhanden sein, so werden Sie gefragt, ob Sie die vorhandene
Konfiguration überschreiben möchten.
Copyright © Sophos Limited 87
SafeGuard Enterprise Administratorhilfe
Die Datenbankkonfiguration wird am angegebenen Speicherort gespeichert.
Import einer Konfiguration aus einer Datei
Um eine Datenbankkonfiguration zu verwenden oder zu ändern, können Sie eine zuvor erstellte
Konfiguration in das SafeGuard Management Center importieren. Hier gibt es zwei Möglichkeiten:
• über das SafeGuard Management Center (für Multi Tenancy)
• durch Doppelklicken auf die Konfigurationsdatei (für Single und Multi Tenancy)
Import einer Konfiguration über das SafeGuard Management Center
1. Starten Sie das SafeGuard Management Center.
Der Dialog Konfiguration auswählen wird angezeigt.
2. Klicken Sie auf Import..., wählen Sie die gewünschte Konfigurationsdatei aus und klicken Sie auf
Öffnen.
3. Geben Sie das Kennwort ein, das während des Exports für die Konfigurationsdatei erstellt wurde, und klicken Sie auf OK.
Die ausgewählte Konfiguration wird angezeigt.
4. Um die Konfiguration zu aktivieren, klicken Sie auf OK.
5. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für diese
Konfiguration auszuwählen und das entsprechende Zertifikatsspeicherkennwort einzugeben.
Klicken Sie auf OK.
Das SafeGuard Management Center wird geöffnet und mit der importierten Datenbankkonfiguration verbunden.
Import einer Konfiguration durch Doppelklicken auf die
Konfigurationsdatei (Single und Multi Tenancy)
88
Hinweis
Dieser Vorgang ist sowohl im Single Tenancy als auch im Multi Tenancy Modus möglich.
Es besteht auch die Möglichkeit, eine Konfiguration zu exportieren und diese an mehrere
Sicherheitsbeauftragte zu verteilen. Die Sicherheitsbeauftragten müssen lediglich auf die
Konfigurationsdatei doppelklicken, um ein vollständig konfiguriertes SafeGuard Management Center zu öffnen.
Anwendungsfälle
• Sie verwenden die SQL Authentisierung für die Datenbank und möchten vermeiden, dass das
SQL-Kennwort jedem Administrator bekannt ist:
Sie müssen das Kennwort dann nur einmal eingeben, eine Konfigurationsdatei erstellen und sie an die Computer der Sicherheitsbeauftragten verteilen.
• Sie möchten den Web Helpdesk auf mehreren Computern ausführen:
Alle diese Computer benötigen eine Verbindung zur Datenbank. Um die Installation auf diesen
Computern zu vereinfachen, können Sie eine Konfigurationsdatei erstellen und an die Helpdesk-
Mitarbeiter verteilen.
Voraussetzung: Die Erstkonfiguration des SafeGuard Management Centers muss durchgeführt worden sein. Für weitere Informationen, siehe
Einrichten des SafeGuard Management Centers
(Seite 22).
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
1. Starten Sie das SafeGuard Management Center.
2. Wählen Sie im Extras Menü Optionen und wechseln Sie in die Registerkarte Datenbank.
3. Geben Sie die Anmeldeinformationen für die SQL Datenbankserververbindung ein oder bestätigen
Sie diese.
4. Klicken Sie auf Konfiguration exportieren, um die Konfiguration in eine Datei zu exportieren.
5. Geben Sie ein Kennwort für die Konfigurationsdatei ein und bestätigen Sie es.
6. Geben Sie einen Dateinamen ein und wählen Sie einen Speicherort aus.
7. Verteilen Sie die Konfigurationsdatei an die Computer der Sicherheitsbeauftragten. Teilen Sie ihnen das Kennwort für diese Datei sowie das Zertifikatsspeicherkennwort mit, das Sie für
Anmeldung an das SafeGuard Management Center benötigen.
8. Die Sicherheitsbeauftragten müssen nur auf die Konfigurationsdatei doppelklicken.
9. Sie werden aufgefordert, das Kennwort für die Konfigurationsdatei einzugeben.
10. Zur Anmeldung an das SafeGuard Management Center werden die Sicherheitsbeauftragten aufgefordert, ihr Zertifikatsspeicherkennwort einzugeben.
Das SafeGuard Management Center startet mit der importierten Konfiguration. Diese Konfiguration ist die neue Standardkonfiguration.
Schneller Wechsel zwischen Datenbankkonfigurationen
Zur Vereinfachung von Verwaltungsaufgaben bei mehreren Datenbanken bietet das SafeGuard
Management Center den schnellen Wechsel zwischen Datenbankkonfigurationen.
Hinweis
Dieser Vorgang ist auch im Single Tenancy Modus möglich.
1. Wählen Sie Datei in der Menüleiste des SafeGuard Management Centers und klicken Sie auf
Konfiguration wechseln...
2. Wählen Sie die Datenbank, zu der Sie wechseln möchten, aus der Dropdownliste aus und klicken
Sie auf OK.
Das SafeGuard Management Center wird automatisch mit der ausgewählten Konfiguration neu gestartet.
Anmeldung im Multi Tenancy Modus
Wenn Sie mehrere Datenbanken konfiguriert haben (Multi Tenancy), erweitert sich der Anmeldevorgang am SafeGuard Management Center, siehe
Datenbankkonfigurationen arbeiten (Multi Tenancy) (Seite 85).
1. Starten Sie das SafeGuard Management Center über den Produktordner im Start Menü. Der
Dialog Konfiguration auswählen wird angezeigt.
2. Wählen Sie die Datenbankkonfiguration, die Sie verwenden möchten, aus der Dropdownliste und klicken Sie auf OK.
Die ausgewählte Datenbankkonfiguration wird mit dem SafeGuard Management Center verbunden und wird aktiv.
3. Zur Anmeldung an das SafeGuard Management Center werden Sie dazu aufgefordert, den Namen des Sicherheitsbeauftragten für diese Konfiguration auszuwählen und Ihr
Zertifikatsspeicherkennwort einzugeben. Klicken Sie auf OK.
Das SafeGuard Management Center wird geöffnet und mit der ausgewählten
Datenbankkonfiguration verbunden.
Copyright © Sophos Limited 89
SafeGuard Enterprise Administratorhilfe
Hinweis
Wenn Sie ein falsches Kennwort eingeben, wird eine Fehlermeldung angezeigt und die nächste
Anmeldung wird verzögert. Diese Verzögerung wird mit jedem fehlgeschlagenen Anmeldeversuch größer. Fehlgeschlagene Anmeldeversuche werden protokolliert.
3.8.3 Warnung bei Ablauf des Unternehmenszertifikats
Sechs Monate vor Ablauf des Unternehmenszertifikats zeigt das SafeGuard Management Center bei der Anmeldung eine Warnung an und fordert Sie dazu auf, das Zertifikat zu erneuern und an die
Endpoints zu übertragen. Ohne gültiges Unternehmenszertifikat können Endpoints keine Verbindung mit dem Server herstellen.
Sie können das Unternehmenszertifikat jederzeit erneuern. Dies ist auch dann möglich, wenn das Unternehmenszertifikat bereits abgelaufen ist. Wenn ein Unternehmenszertifikat abgelaufen ist, wird dies auch durch eine Meldung angegeben. Für Informationen zum Erneuern des
Unternehmenszertifikats, siehe
Erneuern des Unternehmenszertifikats (Seite 137).
90
3.8.4 Suche nach Benutzern, Computern und Gruppen in der
SafeGuard Enterprise Datenbank
Um Objekte im Dialog Benutzer, Computer und Gruppen suchen anzeigen zu lassen, benötigen Sie die Zugriffsrechte Schreibgeschützt oder Voller Zugriff für die relevanten Objekte.
Hinweis
Wenn Sie nach Objekten suchen, dann bekommen Sie nur Suchergebnisse innerhalb der
Bereiche (Domäne), für die Sie Zugriff als Sicherheitsbeauftragter haben. Nur ein Haupt-
Sicherheitsbeauftragten (Master Security Officer, MSO) kann einen erfolgreichen Root Search-
Prozess durchführen.
Im Bereich Benutzer & Computer können Sie mit verschiedenen Filtern nach Objekten suchen.
So können Sie z. B. mit dem Filter Doppelte Benutzer und Computer nach Duplikaten suchen, die durch einen AD-Synchronisierungsvorgang entstehen können. Der Filter zeigt alle Computer mit demselben Namen in einer Domäne sowie alle Benutzer mit demselben Namen, Anmeldenamen oder Prä-2000 Anmeldenamen in einer Domäne.
So suchen Sie nach Objekten:
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer.
2. Wählen Sie im Benutzer & Computer Navigationsbereich den gewünschten Container.
3. Wählen Sie Bearbeiten > Suchen in der SafeGuard Management Center Menüleiste.
Der Benutzer, Computer und Gruppen suchen Dialog wird angezeigt.
4. Wählen Sie im Feld Suchen den gewünschten Filter aus der Dropdownliste aus.
5. Im Feld In wird der ausgewählte Container angezeigt.
Den hier angezeigten Container können Sie ändern, indem Sie eine andere Option aus der
Dropdownliste auswählen.
6. Wenn Sie nach einem bestimmten Objekt suchen, geben Sie den erforderlichen Suchnamen im
Feld Suchname ein.
7. Legen Sie mit dem Kontrollkästchen Ansicht nach jeder Suche löschen fest, ob die
Suchergebnisse nach jedem Suchvorgang aus der Ansicht gelöscht werden sollen.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
8. Klicken Sie anschließend auf Jetzt suchen.
Die Ergebnisse werden im Benutzer, Computer und Gruppen suchen Dialog angezeigt. Wenn Sie auf eines der Ergebnisse in diesem Dialog klicken, wird der entsprechende Eintrag in der Benutzer
& Computer Baumstruktur markiert. Wenn Sie z. B. nach Duplikaten gesucht haben, können Sie diese nun bequem löschen.
3.8.5 Anzeigen von Objekteigenschaften in Benutzer und
Computer
Um Objekteigenschaften einzusehen, benötigten Sie die Zugriffsrechte Voller Zugriff oder
Schreibgeschützt für die relevanten Objekte.
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer.
2. Klicken Sie im Navigationsbereich von Benutzer & Computer mit der rechten Maustaste auf das gewünschte Objekt und wählen Sie Eigenschaften.
Die Eigenschaften des ausgewählten Objekts werden angezeigt. Wenn Sie für das Objekt das
Zugriffsrecht Schreibgeschützt haben, werden die Eigenschaften im Dialog ausgegraut und Sie können diese nicht bearbeiten.
3.8.6 Deaktivieren der Übertragung von Richtlinien
Als Sicherheitsbeauftragter können Sie die Übertragung von Richtlinien an Endpoints deaktivieren.
Klicken Sie hierzu in der SafeGuard Management Center Symbolleiste auf die Schaltfläche
Richtlinienverteilung aktivieren/deaktivieren oder wählen Sie im Menü Bearbeiten den Befehl
Richtlinienverteilung aktivieren/deaktivieren. Nach der Deaktivierung der Richtlinienübertragung werden keine Richtlinien mehr an die Endpoints geschickt. Um die Deaktivierung der
Richtlinienverteilung rückgängig zu machen, klicken Sie noch einmal auf die Schaltfläche oder wählen Sie noch einmal den Menübefehl.
Hinweis
Um die Übertragung von Richtlinien zu deaktivieren, benötigen Sie als Sicherheitsbeauftragter die Berechtigung „Richtlinienverteilung aktivieren/deaktivieren“. Den beiden vordefinierten Rollen
Haupt-Sicherheitsbeauftragter und Sicherheitsbeauftragter ist diese Berechtigung standardmäßig zugewiesen. Neu angelegten benutzerdefinierten Rollen kann diese Berechtigung jederzeit zugewiesen werden.
Mehr zu protokollierten Ereignissen finden Sie unter
3.8.7 Regeln für die Zuweisung und Auswertung von Richtlinien
Die Verwaltung und Auswertung von Richtlinien folgt den in diesem Abschnitt dargestellten Regeln.
Definition
Die Herkunft der Richtlinie entscheidet darüber, ob es sich um eine Benutzer- oder
Computerrichtlinie handelt. Ein Benutzerobjekt „bringt“ eine Benutzerrichtlinie mit, ein Computer
„bringt“ eine Computerrichtlinie mit. Dieselbe Richtlinie kann bei unterschiedlicher Sicht, sowohl
Computer- als auch Benutzerrichtlinie sein.
Copyright © Sophos Limited 91
SafeGuard Enterprise Administratorhilfe
• Benutzerrichtlinie
Jene Richtlinie, die der Benutzer zur Auswertung bereitstellt. Wenn eine Richtlinie nur über einen Benutzer kommt, dann werden die computerbezogenen Einstellungen dieser Richtlinie nicht verwendet. Das heißt, es gelten keine computerbezogenen Einstellungen. Es gelten die
Standardwerte.
• Computerrichtlinie
Jene Richtlinie, die der Computer zur Auswertung bereitstellt. Wenn eine Richtlinie nur über einen Computer kommt, dann werden auch die benutzerspezifischen Einstellungen dieser
Richtlinie verwendet! Die Computerrichtlinie stellt dann eine „für alle Benutzer" Richtlinie dar.
Zuweisen und Aktivieren von Richtlinien
Damit eine Richtlinie für einen Benutzer oder Computer wirksam werden kann, muss sie einem
Container-Objekt (Root-Knoten, Domäne, OU, BuiltIn-Container oder Arbeitsgruppe) zugewiesen werden. Damit die zugewiesene Richtlinie für Benutzer oder Computer wirksam wird, werden beim
Zuweisen einer Richtlinie an einer beliebigen Stelle in der Hierarchie alle Computer (authentisierte
Computer) und alle Benutzer (authentisierte Benutzer) automatisch aktiviert (die alleinige
Zuweisung ohne Aktivierung reicht nicht aus). In diesen Gruppen sind alle Benutzer bzw. Computer zusammengefasst.
Vererbung von Richtlinien
Vererbung von Richtlinien ist nur zwischen Container-Objekten möglich. Innerhalb eines Containers
- vorausgesetzt er enthält keine weiteren Container-Objekte - können Richtlinien nur aktiviert werden
(auf Gruppenebene). Vererbung zwischen Gruppen ist nicht möglich.
Vererbungsreihenfolge von Richtlinien
Werden Richtlinien entlang einer Hierarchiekette zugewiesen, so wirkt jene Richtlinie am stärksten, die näher beim Zielobjekt (Benutzer oder Computer) ist. Das bedeutet: mit der Entfernung zum
Zielobjekt verliert die Richtlinie immer mehr an Kraft - wenn nähere Richtlinien vorhanden sind.
Direkte Zuweisung von Richtlinien
Der Benutzer oder Computer erhält eine Richtlinie, die direkt dem Container-Objekt, in dem er sich tatsächlich befindet (Mitgliedschaft als Benutzer einer Gruppe, die sich in einem anderen
Container-Objekt befindet, alleine reicht nicht aus), zugewiesen wurde. Das Container-Objekt hat diese Richtlinie nicht geerbt.
Indirekte Zuweisung von Richtlinien
Der Benutzer oder Computer erhält eine Richtlinie, die das Container-Objekt, in dem er sich tatsächlich befindet (die Mitgliedschaft in einer Gruppe, die sich in einem anderen Container-Objekt befindet, als der Benutzer, reicht nicht aus), von einem ihr übergeordneten Container-Objekt geerbt hat.
92 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Aktivieren/Deaktivieren von Richtlinien
Damit eine Richtlinie für einen Computer/Benutzer wirken kann, muss diese auf Gruppenebene aktiviert werden (Richtlinien können ausschließlich auf Gruppenebene aktiviert werden). Es spielt keine Rolle, ob sich diese Gruppe im selben Container-Objekt befindet, oder nicht. Wichtig ist hier nur, dass der Benutzer oder Computer eine direkte bzw. indirekte (durch Vererbung) Zuordnung der
Richtlinie erhalten hat.
Befindet sich ein Computer oder Benutzer außerhalb einer OU oder Vererbungslinie und ist Mitglied einer Gruppe, die sich innerhalb dieser OU befindet, so gilt diese Aktivierung für diesen Benutzer oder Computer nicht. Denn für diesen Benutzer oder Computer ist keine gültige Zuweisung (direkt bzw. indirekt) vorhanden. Die Gruppe wurde zwar aktiviert, aber eine Aktivierung kann nur für
Benutzer und Computer gelten, für die auch eine Richtlinienzuweisung besteht. Das heißt, die
Aktivierung von Richtlinien kann nicht über Container- Grenzen hinausgehen, wenn keine direkte oder indirekte Richtlinienzuweisung für dieses Objekt existiert.
Eine Richtlinie wird wirksam, wenn sie entweder bei Benutzergruppen oder Computergruppen aktiviert wurde. Es werden die Benutzergruppen und dann die Computergruppen ausgewertet (auch authentisierte Benutzer und authentisierte Computer sind Gruppen). Beide Ergebnisse werden
ODER-verknüpft. Liefert diese ODER-Verknüpfung einen positiven Wert für die Computer/Benutzer-
Beziehung, gilt die Richtlinie.
Hinweis
Werden mehrere Richtlinien für ein Objekt aktiv, werden die einzelnen Richtlinien unter Einhaltung der beschriebenen Regeln, vereinigt. Das heißt, die tatsächlichen Einstellungen für ein Objekt können aus mehreren unterschiedlichen Richtlinien zusammengesetzt werden.
Für eine Gruppe gibt es folgende Aktivierungseinstellungen:
• Aktiviert
Eine Richtlinie wurde zugewiesen. Die Gruppe wird im Aktivierungsbereich des SafeGuard
Management Centers angezeigt.
• Nicht aktiviert
Eine Richtlinie wurde zugewiesen. Die Gruppe befindet sich nicht im Aktivierungsbereich.
Wird eine Richtlinie einem Container zugewiesen, dann bestimmt die Aktivierungseinstellung für eine
Gruppe (aktiviert), ob diese Richtlinie an diesem Container in die Berechnung der resultierenden
Richtlinie einfließt.
Vererbte Richtlinien können durch diese Aktivierungen nicht kontrolliert werden. Hierfür müsste an der lokaleren OU Richtlinienvererbung blockieren gesetzt werden, damit die globalere Richtlinie hier nicht wirken kann.
Benutzer-/Gruppeneinstellungen
Richtlinieneinstellungen für Benutzer (im SafeGuard Management Center schwarz dargestellt), ziehen stärker, als Richtlinieneinstellungen für Computer (im SafeGuard Management Center blau dargestellt). Werden bei einer Richtlinie für Computer Benutzereinstellungen festgelegt, werden diese Einstellungen durch die Richtlinie für den Benutzer überschrieben.
Copyright © Sophos Limited 93
SafeGuard Enterprise Administratorhilfe
Hinweis
Nur die Benutzereinstellungen werden überschrieben. Sollte eine Richtlinie für Benutzer auch
Computereinstellungen beinhalten (blau dargestellte Einstellungen) werden diese nicht von einer
Benutzerrichtlinie überschrieben!
Beispiel 1:
Wird für eine Computergruppe die Kennwortlänge 4 definiert, die Benutzergruppe hat aber für dieselbe Einstellung den Wert 3, gilt für diesen Benutzer auf einem Computer der Computergruppe, ein Kennwort mit der Länge 3.
Beispiel 2:
Wird für eine Benutzergruppe ein Serverintervall von 1 Minute definiert und für eine
Computergruppe der Wert 3, so wird der Wert 3 verwendet, da es sich beim Wert 1 Minute um eine
Computereinstellung, die in einer Richtlinie für Benutzer definiert wurde, handelt.
Sich widersprechende Verschlüsselungsrichtlinien
Es werden zwei Richtlinien - P1 und P2 - angelegt. Für P1 wurde eine dateibasierende
Verschlüsselung für Laufwerk E:\ definiert und für P2 eine volume-basierende Verschlüsselung für
Laufwerk E:\. P1 wird der OU FBE-User und P2 der OU VBE-User zugewiesen.
Fall 1: Ein Benutzer aus OU FBE-User meldet sich zuerst am Client W7-100 (Container Computer) an. Das Laufwerk E:\ wird dateibasierend verschlüsselt. Meldet sich ein Benutzer danach aus der
OU VBE-User am Client W7-100 an, so wird das Laufwerk E:\ volume-basierend verschlüsselt.
Haben beide Benutzer dieselben Schlüssel, können beide auf die Laufwerke bzw. Dateien zugreifen.
Fall 2: Ein Benutzer aus der OU VBE-User meldet sich zuerst am Computer W7-100 (Container
Computer) an. Das Laufwerk wird volume-basierend verschlüsselt. Meldet sich nun ein Benutzer der
OU FBE-User an und hat dieser einen gemeinsamen Schlüssel mit den Benutzern aus der OU VBE-
User, so wird das Laufwerk E:\ innerhalb der volume-basierenden Verschlüsselung dateibasierend verschlüsselt (die volume-basierende Verschlüsselung bleibt erhalten). Hat der Benutzer aus der OU
FBE-User allerdings keinen gemeinsamen Schlüssel, kann er auf das Laufwerk E:\ nicht zugreifen.
Priorisierung innerhalb einer Zuweisung
Innerhalb einer Zuweisung, hat die Richtlinie mit der höchsten Priorität (1) Vorrang gegenüber einer
Richtlinie mit einer geringeren Priorität.
Hinweis
Wurde auf gleicher Ebene eine Richtlinie mit niedriger Priorität, aber mit der Option Kein
Überschreiben, zugeordnet, so zieht die Richtlinie trotz niedrigerer Priorität gegenüber den
Richtlinien mit der höheren Priorität.
Priorisierung innerhalb einer Gruppe
Innerhalb einer Gruppe, hat die Richtlinie mit der höchsten Priorität (1) Vorrang gegenüber einer
Richtlinie mit einer geringeren Priorität.
94 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Statusindikatoren
Durch das Setzen von Statusindikatoren kann das Standardregelwerk der Richtlinien verändert werden.
• Richtlinienvererbung stoppen
Wird direkt bei dem Container gesetzt, der keine übergeordneten Richtlinien empfangen will
(Rechtsklick auf das Objekt im Navigationsfenster > Eigenschaften).
Soll ein Container-Objekt keine Richtlinie eines übergeordneten Objektes erben, können Sie das durch das Setzen von Richtlinienvererbung blockieren verhindern. Ist Richtlinienvererbung
blockieren gesetzt, werden keine übergeordneten Richtlinieneinstellungen für dieses Container-
Objekt wirksam (Ausnahme: Kein Überschreiben wurde bei der Richtlinienzuweisung aktiviert).
• Kein Überschreiben
Wird bei der Zuweisung gesetzt und bedeutet, dass diese Richtlinie nicht von anderen
überschrieben werden kann.
Je weiter die Richtlinienzuweisung mit Kein Überschreiben vom Zielobjekt entfernt ist, umso stärker wird die Wirkung dieser Richtlinie für alle untergeordneten Container-Objekte. Das heißt:
Kein Überschreiben eines übergeordneten Containers überschreibt die Richtlinieneinstellungen eines untergeordneten Containers. So kann z. B. eine Domänenrichtlinie definiert werden, deren Einstellungen nicht überschrieben werden können, auch nicht, wenn für eine OU
Richtlinienvererbung blockieren gesetzt wurde!
Hinweis
Wurde auf gleicher Ebene eine Richtlinie mit niedriger Priorität, aber mit der Option Kein
Überschreiben, zugeordnet, so zieht die Richtlinie trotz niedrigerer Priorität gegenüber den
Richtlinien mit der höheren Priorität.
Einstellungen in Richtlinien
Computereinstellungen wiederholen
Sie finden diese Einstellung unter Richtlinien > Allgemeine Einstellungen > Laden der
Einstellungen > Richtlinien-Loopback.
Wird bei einer Richtlinie vom Typ Allgemeine Einstellungen bei der Option Richtlinien-Loopback die Einstellung Computereinstellungen wiederholen ausgewählt und die Richtlinie „kommt“ von einem Computer (Computereinstellungen wiederholen hat für eine Benutzerrichtlinie keine Auswirkung), wird diese Richtlinie am Ende der Auswertung noch einmal ausgeführt.
Dadurch werden etwaige Benutzereinstellungen wieder überschrieben und es gelten die
Computereinstellungen. Für das neuerliche Schreiben werden sämtliche Computereinstellungen, die der Computer direkt oder indirekt bekommt (auch von Richtlinien die beim Richtlinien-Loopback
Computereinstellungen wiederholen nicht gesetzt wurden), neu geschrieben.
Benutzer ignorieren
Sie finden diese Einstellung unter Richtlinien > Allgemeine Einstellungen > Laden der
Einstellungen > Richtlinien-Loopback.
Copyright © Sophos Limited 95
SafeGuard Enterprise Administratorhilfe
Wird bei einer Richtlinie vom Typ Allgemeine Einstellungen für einen Computer bei der Option
Richtlinien-Loopback die Einstellung Benutzer ignorieren ausgewählt und die Richtlinie „kommt“ von einer Maschine, werden nur die Maschineneinstellungen ausgewertet. Benutzereinstellungen werden nicht ausgewertet.
Kein Loopback
Sie finden diese Einstellung unter Richtlinien > Allgemeine Einstellungen > Laden der
Einstellungen > Richtlinien-Loopback.
Kein Loopback beschreibt das Standardverhalten. Benutzerrichtlinien gelten vor
Computerrichtlinien.
Auswerten der Einstellungen „Benutzer ignorieren“ und
„Computereinstellungen wiederholen“
Existieren aktive Richtlinienzuweisungen, werden zuerst die Maschinenrichtlinien ausgewertet und vereinigt. Ergibt diese Vereinigung der einzelnen Richtlinien bei der Option Richtlinien-Loopback den Wert Benutzer ignorieren, werden die Richtlinien, die für den Benutzer bestimmt gewesen wären, nicht mehr ausgewertet. Das bedeutet sowohl für den Benutzer, als auch für den Computer gelten die gleichen Richtlinien.
Gilt nach der Vereinigung der einzelnen Maschinenrichtlinien bei Richtlinien-Loopback der Wert
Computereinstellungen wiederholen, werden die Benutzerrichtlinien mit den Maschinenrichtlinien vereinigt. Nach der Vereinigung, werden die Maschinenrichtlinien nochmals geschrieben und
überschreiben gegebenenfalls Einstellungen aus den Benutzerrichtlinien. Ist eine Einstellung in beiden Richtlinien vorhanden, so ersetzt der Wert der Maschinenrichtlinie den Wert der
Benutzerrichtlinie.
Ergibt die Vereinigung der einzelnen Maschinenrichtlinien den Standardwert (Kein Richtlinien-
Loopback), so gilt: Benutzereinstellungen vor Maschineneinstellungen.
Ausführungsreihenfolge der Richtlinien
Benutzer ignorieren Computer
Computereinstellungen wiederholen Computer -> Benutzer -> Computer. Die erste „Maschinen-
Ausführung“ wird für die Richtlinien benötigt, die schon vor der Benutzeranmeldung (z. B.
Hintergrundbild bei der Anmeldung) geschrieben werden.
Kein Richtlinien-Loopback (Standardeinstellung): Computer -> Benutzer
Richtlinien vom Typ Keine Verschlüsselung
Werden Richtlinien entlang einer Hierarchiekette zugewiesen, so wirkt jene Richtlinie am stärksten, die näher beim Zielobjekt (Benutzer oder Computer) ist. Das bedeutet: mit der Entfernung zum
Zielobjekt verliert die Richtlinie immer mehr an Kraft - wenn nähere Richtlinien vorhanden sind.
Richtlinien vom Typ Keine Verschlüsselung können dazu verwendet werden, die Vererbung von Verschlüsselungsrichtlinien an bestimmten Stellen in der Hierarchie zu unterbrechen. Für untergeordnete Ebenen ist die Richtlinie vom Typ Keine Verschlüsselung ebenfalls gültig.
Das Verhalten am Endpoint ist vom Modul und der Version abhängig.
96 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Endpoints mit Synchronized Encryption
Richtlinien vom Typ Anwendungsbasierend (Synchronized Encryption) werden NICHT vereinigt. Es wird immer jene Richtlinie angewendet, die in der Hierarchie dem Zielobjekt
(Benutzer oder Computer) am nächsten ist. Ist sie die nächste, wird eine Richtlinie vom Typ Keine
Verschlüsselung wirksam.
Endpoints mit File Encryption Version 8
Richtlinien vom Typ Pfadbasiert werden vereinigt. Werden mehrere Richtlinien zugewiesen, wird
(Seite 91). Für das RSOP (Resulting Set of Policies), siehe Pfadbasierte File
Encryption-Richtlinien im RSOP
(Seite 271). Innerhalb einer Zuweisung, hat die Richtlinie mit der höchsten Priorität (1) Vorrang gegenüber einer Richtlinie mit einer geringeren Priorität. Hat sie die höchste Priorität, wird eine Richtlinie vom Typ Keine Verschlüsselung wirksam.
Endpoints mit File Encryption vor Version 8
Eine Richtlinie vom Typ Keine Verschlüsselung hat auf diesen Endpoints keine Auswirkung.
Endpoints mit File Encryption 7.0 und älter können die Einstellung Verschlüsselungstyp nicht auflösen. Es gelten die Regeln von allen File Encryption Richtlinien vom Typ Pfadbasiert.
Dies ist besonders dann relevant, wenn Sie Endpoints mit Version 8 und Endpoints mit älteren
Versionen gleichzeitig betreiben.
3.8.8 Bestands- und Statusinformationen
SafeGuard Enterprise liest eine Fülle von Bestands- und Statusinformationen von den Endpoints aus. Diese Informationen zeigen den aktuellen globalen Zustand der einzelnen Computer. Im
SafeGuard Management Center werden die Informationen im Bereich Benutzer & Computer in der
Registerkarte Bestand dargestellt.
Als Sicherheitsbeauftragter können Sie Bestands- und Statusinformationen einsehen, exportieren und drucken. So können Sie z. B. Compliance-Berichte erstellen, die die Verschlüsselung von
Endpoints nachweisen. Umfassende Sortier- und Filterfunktionen unterstützen Sie bei der Auswahl der relevanten Informationen.
Der Bestand liefert u. a. folgende Informationen zu den einzelnen Maschinen:
• Erhaltene Richtlinien
• Letzter Server-Kontakt
• Verschlüsselungsstatus aller Medien
• POA-Status und Typ
• Installierte SafeGuard Enterprise Module
• WOL-Status
• Benutzerinformationen
Mac-Endpoints im Bestand
Der Bestand liefert Statusdaten für im SafeGuard Management Center verwaltete Macs. Weitere
Informationen finden Sie unter
Bestands- und Statusinformationen für Macs (Seite 315).
Copyright © Sophos Limited 97
SafeGuard Enterprise Administratorhilfe
Einsehen von Bestandsinformationen
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer.
2. Klicken Sie im Navigationsfenster auf der linken Seite auf den jeweiligen Container (Domäne,
Arbeitsgruppe oder Computer).
3. Wechseln Sie im Aktionsbereich auf der rechten Seite in die Registerkarte Bestand.
4. Wählen Sie im Bereich Filter die gewünschten Filter für die Bestandsanzeige, siehe Filtern von
(Seite 98).
Hinweis
Wenn Sie einen einzelnen Computer wählen, stehen die Bestandsinformationen direkt nach dem Wechsel in die Registerkarte Bestand zur Verfügung. Der Bereich Filter ist hier nicht verfügbar.
5. Klicken Sie im Bereich Filter auf das Lupensymbol.
Die Bestands- und Statusinformationen werden in einer Übersichtstabelle für alle Maschinen des ausgewählten Containers angezeigt. Darüber hinaus stehen für die einzelnen Maschinen die
Registerkarten Laufwerke, Benutzer und Merkmale zur Verfügung.
Durch Klicken auf die einzelnen Spalten-Header lassen sich die Bestands- und Statusinformationen nach den jeweiligen Spalteninformationen sortieren. Darüber hinaus steht über das Kontextmenü der einzelnen Spalten eine Reihe von Funktionen für die Sortierung, Gruppierung und Anpassung der angezeigten Anzeige zur Verfügung. Je nach Ihren Zugriffsrechten werden die Informationen im
Bestand in unterschiedlichen Farben angezeigt:
• Informationen für Objekte, für die Sie das Recht Voller Zugriff haben, werden schwarz angezeigt.
• Informationen für Objekte, für die Sie das Recht Schreibgeschützt haben, werden blau angezeigt.
• Informationen für Objekte, für die Sie keine Zugriffsrechte haben, werden grau angezeigt.
Anzeigen ausgeblendeter Spalten
Einige Spalten sind in der Bestandsanzeige standardmäßig ausgeblendet.
1. Klicken Sie mit der rechten Maustaste in die Spaltenkopfzeilenleiste der Bestandsanzeige.
2. Wählen Sie aus dem Kontextmenü den Befehl Laufende Spaltenanpassung.
Das Fenster Anpassung mit den ausgeblendeten Spalten wird angezeigt.
3. Ziehen Sie die gewünschte Spalte aus dem Fenster Anpassung in die Spaltenkopfzeilenleiste.
Die Spalte wird in der Bestandsanzeige angezeigt. Um die Spalte wieder auszublenden, ziehen Sie sie zurück in das Fenster Anpassung.
Filtern von Bestandsinformationen
Für die Übersicht der Bestandsinformationen für OUs lassen sich Filter definieren, um die
Darstellung nach bestimmten Kriterien einzuschränken.
Im Filter-Bereich der Registerkarte Bestand stehen folgende Felder für die Definition von Filtern zur
Verfügung:
98 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Feld
Computername
Einschließlich Sub-Container
Letzte Änderung anzeigen
Beschreibung
Um die Bestand- und Statusinformationen für bestimmte Computer anzeigen zu lassen, geben Sie in diesem Feld den Computernamen an.
Aktivieren Sie dieses Feld, um Sub-Container in die Anzeige mit einzubeziehen.
Legen Sie in diesem Feld die Anzahl der anzuzeigenden letzten
Änderungen festlegen.
Darüber hinaus können Sie mit dem Filter-Editor benutzerdefinierte Filter erstellen. Der Filter-Editor lässt sich über das Kontextmenü der einzelnen Berichtsspalten aufrufen. Im Fenster Filterdefinition können Sie eigene Filter definieren und auf die jeweilige Spalte anwenden.
Aktualisieren von Bestandsinformationen
Die Endpoints übertragen die jeweils aktuellen Bestandsinformationen, wenn sich die Informationen geändert haben.
Über den Befehl Aktualisierung anfordern können Sie manuell eine Aktualisierung der
Bestandsinformationen anfordern. Dieser Befehl steht für einen einzelnen oder alle Computer eines
Knotens über das Kontextmenü sowie über das Menü Aktionen in der SafeGuard Management
Center Menüleiste zur Verfügung. Darüber hinaus lässt sich der Befehl über das Kontextmenü der
Listeneinträge auswählen.
Wenn Sie diesen Befehl auswählen oder auf das Symbol Aktualisierung anfordern in der Symbolleiste klicken, übertragen die jeweiligen Endpoint-Computer ihre aktuellen
Bestandsinformationen.
Wie auch in anderen Bereichen des SafeGuard Management Center, können Sie die Anzeige mit dem Befehl Aktualisieren aktualisieren. Sie können diesen Befehl aus dem Kontextmenü für einzelne Computer oder alle Computer in einem Knoten auswählen. Der Befehl steht außerdem im
Ansicht Menü in der Menüleiste zur Verfügung. Zur Aktualisierung der Ansicht können Sie auch das
Doppelpfeilsymbol Aktualisieren in der Symbolleiste wählen.
Überblick
Die einzelnen Spalten der Übersicht zeigen folgende Informationen.
Hinweis
Einige Spalten sind standardmäßig ausgeblendet. Sie können diese in der Anzeige einblenden.
Für weitere Informationen, siehe Anzeigen ausgeblendeter Spalten
(Seite 98).
Spalte
Maschinenname
Domäne
Domäne vor 2000
Benutzername (Besitzer)
Vorname
Nachname
E-Mail-Adresse
Erklärung
Zeigt den Namen des Computers.
Zeigt den Domänennamen des Computers.
Zeigt den Domänennamen des Computers vor Windows 2000.
Zeigt den Benutzernamen des Besitzers des Computers, falls verfügbar.
Zeigt den Vornamen des Besitzers, falls verfügbar.
Zeigt den Nachnamen des Besitzers, falls verfügbar.
Zeigt die E-Mail-Adresse des Besitzers, falls verfügbar.
Copyright © Sophos Limited 99
SafeGuard Enterprise Administratorhilfe
Spalte
Andere registrierte Benutzer
Betriebssystem
Letzter Server-Kontakt
Letzte erhaltene Richtlinie
Verschlüsselte Laufwerke
Unverschlüsselte Laufwerke
POA Typ
POA
WOL
Änderungsdatum
Aktualisierung angefordert
Stamm-DSN
Aktuelles
Unternehmenszertifikat
Erklärung
Zeigt die Namen von weiteren registrierten Benutzern des Computers, falls verfügbar.
Zeigt das Betriebssystem des Computers.
Zeigt an, wann (Datum und Uhrzeit) der Computer zuletzt mit dem Server kommuniziert hat.
Zeigt an, wann (Datum und Uhrzeit) der Computer die letzte Richtlinie erhalten hat.
Zeigt die verschlüsselten Laufwerke des Computers.
Zeigt die unverschlüsselten Laufwerke des Computers.
Gibt an, ob der Computer ein nativer SafeGuard Enterprise Endpoint, ein
BitLocker Endpoint mit Challenge/Response, ein BitLocker Endpoint mit eingebautem Recovery-Mechanismus, ein FileVault 2 Endpoint oder ein
Endpoint mit einer selbst-verschlüsselnden Opal-Festplatte ist.
Gibt an, ob die SafeGuard Power-on Authentication für den Computer aktiviert ist.
Gibt an, ob Wake on LAN für den Computer aktiviert ist.
Zeigt das Datum, an dem sich die Bestandsinformationen durch
Anforderung einer Bestandsaktualisierung oder Übermittlung neuer
Bestandsinformationen vom Client geändert haben.
Zeigt das Datum der letzten Aktualisierungsanforderung an. Der in diesem
Feld angezeigte Wert wird bei der Verarbeitung der Anforderung durch den
Client wieder gelöscht.
Zeigt den Distinguished Name des dem Computer übergeordneten
Containerobjekts an. Diese Spalte wird nur dann angezeigt, wenn im Filter-
Bereich das Feld Einschließlich Sub-Container aktiviert wurde.
Gibt an, ob der Computer das aktuelle Unternehmenszertifikat verwendet.
Registerkarte Laufwerke
Die Registerkarte Laufwerke zeigt Bestands- und Statusinformationen zu den Laufwerken des jeweiligen Computers.
Spalte
Laufwerksname
Erklärung
Zeigt den Laufwerksnamen an.
Label
Typ
Zeigt das Label eines Mac-Laufwerks.
Zeigt den Laufwerkstyp an, z. B. Fest, Wechseldatenträger oder CD-ROM/DVD.
100 Copyright © Sophos Limited
Spalte
Status
Verschlüsselungsmethode
SafeGuard Enterprise Administratorhilfe
Erklärung
Zeigt den Verschlüsselungsstatus eines Laufwerks an.
Wenn SafeGuard BitLocker Verwaltung auf einem
Endpoint installiert ist, kann Nicht vorbereitet als
Verschlüsselungsstatus eines Laufwerks angezeigt werden.
Das bedeutet, dass das Laufwerk momentan nicht mit
BitLocker verschlüsselt werden kann, weil notwendige
Vorbereitungen noch nicht durchgeführt wurden. Das trifft nur auf verwaltetete Endpoints zu, weil nicht verwaltetete
Endpoints keine Bestandsinformationen melden können.
Nähere Informationen zu den Voraussetzungen, um BitLocker-
Laufwerke zu verwalten und zu verschlüsseln, finden Sie
unter Voraussetzungen für die Verwaltung von BitLocker auf
In der Spalte wird auch angezeigt, ob BitLocker von Benutzern angehalten oder fortgesetzt wurde.
Der Verschlüsselungsstatus eines nicht verwalteten Endpoints kann mit dem Kommandozeilen-Tool SGNState überprüft werden, siehe
Anzeigen des Systemstatus mit SGNState
(Seite 379).
Zeigt für verschlüsselte Laufwerke den Algorithmus, der zur
Verschlüsselung benutzt wurde, an.
Registerkarte Benutzer
Die Registerkarte Benutzer zeigt Bestands- und Statusinformationen zu den Benutzern des
Computers.
Spalte
Benutzername
Distinguished Name
Benutzer ist Besitzer
Benutzer ist gesperrt
SGN Windows-Benutzer
Erklärung
Zeigt den Benutzernamen des Benutzers.
Zeigt den DNS-Namen für den Benutzer, zum Beispiel:
CN=Administrator,CN=Users,DC=domain,DC=mycompany,DC=net
Gibt an, ob der Benutzer als Besitzer des Computers definiert ist.
Gibt an, ob der Benutzer gesperrt ist.
Gibt an, ob es sich um einen SGN Windows-Benutzer handelt. Ein SGN
Windows-Benutzer wird nicht zur SafeGuard POA hinzugefügt, verfügt jedoch über einen Schlüsselring, mit dem er wie ein SGN-Benutzer auf verschlüsselte Dateien zugreifen kann. Sie können die Registrierung von SGN Windows-Benutzern auf Endpoints über Richtlinien des Typs
Spezifische Computereinstellungen aktivieren.
Registerkarte Module
Die Registerkarte Module liefert eine Übersicht zu allen auf dem Computer installierten SafeGuard
Enterprise Modulen.
Spalte
Modulname
Erklärung
Zeigt den Namen des installierten SafeGuard Enterprise Moduls.
Copyright © Sophos Limited 101
SafeGuard Enterprise Administratorhilfe
Spalte
Version
Erklärung
Zeigt die Softwareversion des SafeGuard Enterprise-Moduls an und, falls ein Dateiverschlüsselungsmodul installiert ist, die Version des File
Encryption Driver.
Registerkarte Unternehmenszertifikat
Die Registerkarte Unternehmenszertifikat zeigt die Eigenschaften des derzeit verwendeten
Unternehmenszertifikats und gibt an, ob ein neueres Unternehmenszertifikat verfügbar ist.
Spalte
Betreff
Seriennummer
Aussteller
Gültig ab
Gültig bis
Ein neueres
Unternehmenszertifikat ist verfügbar
Erklärung
Zeigt den Distinguished Name des Antragstellers des
Unternehmenszertifikats.
Zeigt die Seriennummer des Unternehmenszertifikats.
Zeigt den Distinguished Name des Ausstellers des
Unternehmenszertifikats.
Zeigt das Datum und die Uhrzeit, ab das Unternehmenszertifikat gültig wird.
Zeigt das Datum und die Uhrzeit, ab das Unternehmenszertifikat ungültig wird.
Gibt an, ob ein neueres Unternehmenszertifikat als das aktuelle des
Endpoints verfügbar ist.
102
Erstellen von Bestandsberichten
Als Sicherheitsbeauftragter können Sie Bestandsberichte in unterschiedlichen Formaten erstellen.
So können Sie z. B. Compliance-Berichte erstellen, die die Verschlüsselung von Endpoints nachweisen. Sie können die Berichte drucken oder in eine Datei exportieren.
Drucken von Bestandsberichten
1. Klicken Sie in der SafeGuard Management Center Menüleiste auf Datei.
2. Sie können den Bericht sofort drucken oder zunächst eine Druckvorschau anzeigen lassen.
Die Druckvorschau bietet eine Reihe von Funktionen, z. B. für die Bearbeitung des Seitenlayouts
(Kopf- und Fußzeile usw.).
• Um eine Druckvorschau anzuzeigen, wählen Sie Druckvorschau.
• Um das Dokument sofort zu drucken, wählen Sie Drucken.
Bestandsberichte als Datei exportieren
1. Klicken Sie in der SafeGuard Management Center Menüleiste auf Datei.
2. Wählen Sie Druckvorschau.
Die Bestandsbericht Druckvorschau wird angezeigt.
Die Druckvorschau bietet eine Reihe von Funktionen, z. B. für die Bearbeitung des Seitenlayouts
(Kopf- und Fußzeile usw.).
3. Klicken Sie in der Symbolleiste des Fensters Druckvorschau auf die Dropdownliste des Symbols
Dokument exportieren....
4. Wählen Sie den gewünschten Dateityp aus der Liste.
5. Geben Sie die gewünschten Exportoptionen an und klicken Sie auf OK.
Der Bestandsbericht wird in eine Datei des angegebenen Dateityps exportiert.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
3.8.9 SafeGuard Enterprise Sicherheitsbeauftragte
SafeGuard Enterprise kann von einem oder mehreren Sicherheitsbeauftragten administriert werden.
Mit der rollenbasierten Administration ist es möglich, die Verwaltung von SafeGuard Enterprise auf mehrere Benutzer zu verteilen. Dabei kann einem Benutzer eine oder mehrere Rollen zugewiesen werden. Um die Sicherheit noch zu erhöhen, kann einer Sicherheitsbeauftragtenrolle die zusätzliche
Autorisierung eines Vorgangs zugewiesen werden.
Während der initialen Konfiguration des SafeGuard Management Center wird automatisch ein
Administrator höchster Ebene angelegt: der Haupt-Sicherheitsbeauftragte (Master Security Officer,
MSO), siehe Erstellen eines Haupt-Sicherheitsbeauftragten (Master Security Officer, MSO)
(Seite
25). Das MSO Zertifikat wird standardmäßig nach 5 Jahren ungültig und kann im Management
Center im Abschnitt Sicherheitsbeauftragte erneuert werden. Für andere spezifische Aufgaben, z.
B. Helpdesk- oder Audit-Aufgaben, können dann weitere Sicherheitsbeauftragte zugewiesen werden.
Sicherheitsbeauftragte lassen sich im Navigationsbereich des SafeGuard Management Center gemäß der Organisationsstruktur Ihres Unternehmens hierarchisch anordnen. Diese hierarchische
Anordnung gibt jedoch keine Hierarchie in Bezug auf Rechte und Rollen wieder.
Hinweis
Zwei Sicherheitsbeauftragte dürfen nicht das gleiche Windows-Konto auf einem Computer benutzen. Andernfalls lassen sich ihre Zugriffsrechte nicht sauber trennen. Unter Umständen ist die zusätzliche Autorisierung nur dann sinnvoll, wenn sich die Sicherheitsbeauftragten mit kryptographischen Token/Smartcards anmelden müssen.
Rollen für Sicherheitsbeauftragte
SafeGuard Enterprise bietet für die komfortable Verwaltung bereits vordefinierte Rollen mit verschiedenen Funktionen für Sicherheitsbeauftragte an. Ein Sicherheitsbeauftragter mit den erforderlichen Rechten hat die Möglichkeit, aus einer Liste von Aktionen/Rechten selbst neue Rollen zu definieren und bestimmten Sicherheitsbeauftragten zuzuweisen.
Folgende Rollentypen stehen zur Verfügung:
• Rolle des Haupt-Sicherheitsbeauftragten (Master Security Officer, MSO)
• Vordefinierte Rollen
• Benutzerdefinierte Rollen
Haupt-Sicherheitsbeauftragter
Nach der Installation von SafeGuard Enterprise wird bei der initialen Konfiguration des SafeGuard
Management Center automatisch ein Haupt-Sicherheitsbeauftragter (Master Security Officer, MSO) angelegt. Der Haupt-Sicherheitsbeauftragte ist der Sicherheitsbeauftragte der höchsten Ebene und hat alle Rechte sowie Zugriff auf alle Objekte, vergleichbar mit dem Administrator bei Windows. Die
Rechte des Haupt-Sicherheitsbeauftragten können nicht geändert werden.
Für eine Instanz des SafeGuard Management Centers können mehrere Haupt-
Sicherheitsbeauftragte angelegt werden. Aus Sicherheitsgründen empfehlen wir, mindestens einen weiteren Haupt-Sicherheitsbeauftragten anzulegen. Zusätzliche Haupt-Sicherheitsbeauftragte können jederzeit gelöscht werden, es muss jedoch immer ein Benutzer mit der Rolle des Haupt-
Sicherheitsbeauftragten vorhanden sein, der explizit als Hauptsicherheits-Beauftragter in der
SafeGuard Enterprise Datenbank angelegt wurde.
Ein Haupt-Sicherheitsbeauftragter kann Aufgaben an andere Personen delegieren. Dazu gibt es zwei Möglichkeiten:
Copyright © Sophos Limited 103
SafeGuard Enterprise Administratorhilfe
• Ein neuer Benutzer/Sicherheitsbeauftragter kann unter Sicherheitsbeauftragte angelegt werden.
• Ein aus dem Active Directory importierter und im Stammverzeichnis des SafeGuard
Management Center sichtbarer Benutzer oder alle Mitglieder eines Containers können unter
Benutzer & Computer zu Sicherheitsbeauftragten gemacht werden.
Den Sicherheitsbeauftragten können eine oder mehrere Rollen zugeordnet werden. Einem Benutzer kann z. B. die Rolle des Verwaltungsbeauftragten und die Rolle des Helpdesk-Beauftragten zugewiesen werden.
Der Haupt-Sicherheitsbeauftragte kann aber auch selbst definierte Rollen anlegen und bestimmten
Sicherheitsbeauftragten zuweisen.
Exportieren des Zertifikats des Haupt-Sicherheitsbeauftragten
In einer SafeGuard Enterprise Installation ist das Zertifikat des Haupt-Sicherheitsbeauftragten von entscheidender Bedeutung und erfordert daher die Erstellung eines Backups an einem sicheren
Speicherort. Wir empfehlen, diesen Vorgang direkt nach der Erstkonfiguration des SafeGuard
Management Centers auszuführen.
So erstellen Sie ein Backup des Zertifikats des derzeit am SafeGuard Management Center angemeldeten Haupt-Sicherheitsbeauftragten:
1. Wählen Sie in der SafeGuard Management Center Menüleiste ExtrasOptionen.
2. Wählen Sie die Registerkarte Zertifikate und klicken Sie im Bereich <Administrator> Zertifikat auf Exportieren.
3. Sie werden aufgefordert, ein Kennwort für die Sicherung der exportierten Datei einzugeben. Geben
Sie ein Kennwort ein, bestätigen Sie es und klicken Sie auf OK.
4. Geben Sie einen Dateinamen und einen Speicherort für die zu exportierende Datei ein und klicken
Sie auf OK.
Das Zertifikat des derzeit angemeldeten Haupt-Sicherheitsbeauftragten wird als P12-Datei an den definierten Speicherort exportiert und kann für Recovery-Vorgänge benutzt werden.
Vordefinierte Rollen
Im SafeGuard Management Center sind neben dem Haupt-Sicherheitsbeauftragten die folgenden
Rollen vordefiniert. Die diesen vordefinierten Rollen zugewiesenen Rechte können nicht geändert werden. Verfügt eine vordefinierte Rolle z. B. über das Recht „Richtlinien und Richtliniengruppen anlegen“, so kann dieses Recht nicht aus der Rolle entfernt werden. Es können auch keine neuen
Rechte zu einer vordefinierten Rollen hinzugefügt werden. Die zusätzliche Autorisierung durch einen weiteren Sicherheitsbeauftragten hingegen lässt sich jederzeit den vordefinierten Rollen zuordnen.
• Verwaltungsbeauftragter
Verwaltungsbeauftragte können Ihren eigenen Knoten im Bereich Sicherheitsbeauftragte einsehen und sind dazu berechtigt, die ihrem Knoten zugehörigen Sicherheitsbeauftragten zu verwalten.
• Sicherheitsbeauftragter
Sicherheitsbeauftragte haben umfassende Rechte, etwa für die SafeGuard Enterprise
Konfiguration, Richtlinien- und Schlüsselverwaltung sowie für Überwachung und
Wiederherstellung.
• Helpdesk-Beauftragter
Helpdesk-Beauftragte sind zur Durchführung von Recovery-Vorgängen berechtigt. Darüber hinaus können Sie die meisten Funktionsbereiche des SafeGuard Management Center sehen.
• Audit-Beauftragter
Um SafeGuard Enterprise überwachen zu können, haben Audit-Beauftragte die Berechtigung, sich die meisten Funktionsbereiche des SafeGuard Management Center anzeigen zu lassen.
104 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• Recovery-Beauftragter
Recovery-Beauftragte sind dazu berechtigt, die SafeGuard Enterprise Datenbank zu reparieren.
Benutzerdefinierte Rollen
Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie neue Rollen aus einer Liste mit Aktionen/Rechten definieren und sie einem vorhandenen oder einem neuen
Sicherheitsbeauftragten zuweisen. Wie auch bei den vordefinierten Rollen lässt sich die zusätzliche
Autorisierung durch einen weiteren Sicherheitsbeauftragten für eine Funktion der betreffenden Rolle jederzeit aktivieren.
Bei der Zuweisung einer neuen Rolle ist für die zusätzliche Autorisierung Folgendes zu beachten:
Hinweis
Wenn ein Benutzer zwei Rollen mit der gleichen Funktion inne hat, und bei einer der Rollen die zusätzliche Autorisierung zugeordnet ist, dann gilt das automatisch auch bei der anderen Rolle.
Ein Sicherheitsbeauftragter mit den erforderlichen Rechten kann Rechte zu einer benutzerdefinierten
Rolle hinzufügen oder Rechte aus der Rolle entfernen. Im Gegensatz zu vordefinierten Rollen können benutzerdefinierte je nach Anforderung auch gelöscht werden. Wird die Rolle gelöscht, so ist sie keinem Benutzer mehr zugewiesen. Ist einem Benutzer nur eine Rolle zugewiesen und wird diese Rolle gelöscht, so kann sich der Benutzer nicht mehr am SafeGuard Management Center anmelden.
Hinweis
Die Rolle und die darin definierten Aktionen bestimmen, was ein Benutzer darf und was nicht.
Auch dann, wenn dem Benutzer mehrere Rollen zugewiesen worden sind. Nachdem er sich am
System angemeldet hat, werden nur die Bereiche des SafeGuard Management Centers aktiviert und angezeigt, die für seine Rolle nötig sind. Das betrifft auch die Bereiche Skripte und API.
Sie sollten deshalb immer die Anzeige des Bereichs aktivieren, in dem Sie bestimmte Aktionen definieren. Aktionen werden nach Funktionsbereich sortiert und sind hierarchisch strukturiert.
Diese Struktur zeigt, welche Aktionen vor der Durchführung bestimmter anderer Aktionen erforderlich sind.
Zusätzliche Autorisierung
Die zusätzliche Autorisierung (auch Vier-Augen-Prinzip genannt) kann spezifischen Aktionen einer
Rolle zugeordnet werden. Das bedeutet, dass der Benutzer dieser Rolle eine bestimmte Aktion nur ausführen darf, wenn ein Benutzer einer weiteren Rolle anwesend ist und die Ausführung der
Aktion bestätigt. Jedes Mal, wenn ein Benutzer diese Aktion ausführt, muss ein anderer Benutzer sie bestätigen.
Die zusätzliche Autorisierung lässt sich sowohl vordefinierten als auch benutzerdefinierten Rollen zuweisen. Sobald es zumindest noch einen Beauftragten mit der gleichen Rolle gibt, kann auch die eigene Rolle ausgewählt werden.
Die Rolle, die die zusätzliche Autorisierung durchführen soll, muss einem Benutzer zugewiesen sein und es müssen mindestens zwei Benutzer in der SafeGuard Datenbank vorhanden sein. Wenn die zusätzliche Autorisierung für eine Aktion erforderlich ist, ist sie auch dann erforderlich, wenn der
Benutzer eine weitere Rolle hat, die die zusätzliche Autorisierung für diese Aktion nicht erfordert.
Wenn ein Sicherheitsbeauftragter ohne Berechtigung zum Ändern der Einstellungen für die zusätzliche Autorisierung eine Rolle anlegt, werden die Einstellungen für die zusätzliche
Autorisierung der neuen Rolle gemäß den definierten Einstellungen für den anlegenden Benutzer voreingestellt.
Copyright © Sophos Limited 105
SafeGuard Enterprise Administratorhilfe
Anlegen einer neuen Rolle
Voraussetzung: Um eine neue Rolle anzulegen, benötigen Sie das Recht, benutzerdefinierte Rollen einzusehen und zu verwalten. Um die zusätzliche Autorisierung zuzuweisen, benötigen Sie das
Recht „Einstellungen für zusätzliche Autorisierung ändern“.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie mit der rechten Maustaste auf Benutzerdefinierte Rollen und wählen Sie Neu > Neue
benutzerdefinierte Rolle.
3. Geben Sie im Dialog Neue benutzerdefinierte Rolle einen Namen und eine Beschreibung für die
Rolle ein.
4. Wählen Sie die Aktionen für diese Rolle: Wählen Sie die Kontrollkästchen neben den gewünschten
Aktionen in der Spalte Aktiv.
Aktionen werden nach Funktionsbereich sortiert und sind hierarchisch strukturiert. Diese Struktur zeigt, welche Aktionen vor der Durchführung bestimmter anderer Aktionen erforderlich sind.
5. Falls erforderlich, weisen Sie die zusätzliche Autorisierung zu: Klicken Sie auf die
Standardeinstellung Kein und wählen Sie die gewünschte Rolle aus der angezeigten
Dropdownliste.
Wenn ein Sicherheitsbeauftragter ohne die Berechtigung zum Ändern der zusätzlichen
Autorisierung eine Rolle anlegt, wird die zusätzliche Autorisierung gemäß den Einstellungen der
Rolle des betreffenden Sicherheitsbeauftragten vordefiniert.
6. Klicken Sie auf OK.
Die neue Rolle wird unter Benutzerdefinierte Rollen im Navigationsfenster angezeigt. Wenn Sie die Rolle anklicken, werden im rechten Aktionsbereich die zulässigen Aktionen dargestellt.
Zuweisen einer Rolle zu einem Sicherheitsbeauftragten
Voraussetzung: Um eine Rolle zuzuweisen, benötigen Sie das Recht, Sicherheitsbeauftragte einzusehen und zu ändern.
1. Wählen Sie den gewünschten Sicherheitsbeauftragten im Navigationsfenster aus.
Die Eigenschaften werden im rechten Aktionsbereich für ihn angezeigt.
2. Weisen Sie die gewünschten Rollen durch Auswählen der entsprechenden Kontrollkästchen zu.
Vordefinierte Rollen werden fett angezeigt.
3. Klicken Sie auf das Doppelpfeil-Symbol Aktualisieren in der Symbolleiste.
Die Rolle ist dem Sicherheitsbeauftragten zugewiesen.
Hinweis
Komplexe, individuell angepasste Rollen können leichte Performanceprobleme bei der Benutzung des SafeGuard Management Centers verursachen.
106
Anzeigen von Sicherheitsbeauftragten- und Rolleneigenschaften
Voraussetzung: Um sich einen Überblick über die Sicherheitsbeauftragteneigenschaften oder die Rollenzuordnungen anzeigen zu lassen, benötigen Sie das Recht zum Einsehen von
Sicherheitsbeauftragten und Sicherheitsbeauftragtenrollen.
So sehen Sie Sicherheitsbeauftragten- und Rolleneigenschaften ein:
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
2. Doppelklicken Sie im Navigationsbereich auf der linken Seite auf dem Objekt, zu dem Sie einen
Überblick erhalten möchten.
Die im Aktionsbereich angezeigten Informationen richten sich nach dem ausgewählten Objekt.
Anzeigen der Eigenschaften für den Haupt-Sicherheitsbeauftragten
Die allgemeinen Informationen sowie die Änderungsinformationen für den Haupt-
Sicherheitsbeauftragten werden angezeigt.
Anzeigen der Eigenschaften für Sicherheitsbeauftragte
Die allgemeinen Informationen sowie die Änderungsinformationen für den Sicherheitsbeauftragten werden angezeigt.
Wählen Sie unter Eigenschaften die Registerkarte Aktionen. Diese Registerkarte bietet eine
Zusammenfassung der zulässigen Aktionen sowie der Rollen, die dem Sicherheitsbeauftragten zugewiesen sind.
Anzeigen der Rechte und Rollen von Sicherheitsbeauftragten
Eine Zusammenfassung der Aktionen aller Rollen, die dem Sicherheitsbeauftragten zugewiesen sind, wird angezeigt. Die Baumstrukturansicht zeigt, welche Aktionen erforderlich sind, damit bestimmte andere Aktionen durchgeführt werden können. Darüber hinaus können die zugewiesenen
Rollen angezeigt werden.
1. Wählen Sie in den <Sicherheitsbeauftragtenname> Eigenschaften in der Registerkarte
Aktionen eine Aktion, um alle zugewiesenen Rollen aufzurufen, die diese Aktion enthalten.
2. Doppelklicken Sie in der Liste Zugewiesene Rollen mit ausgewählter Aktion auf einer Rolle. Der
<Sicherheitsbeauftragtenname> Eigenschaften Dialog wird geschlossen und die Eigenschaften der Rolle werden angezeigt.
Anzeigen der Rolleneigenschaften
Die allgemeinen Informationen sowie die Änderungsinformationen für die Rolle werden angezeigt.
Wählen Sie unter Eigenschaften die Registerkarte Zuweisung, um die Sicherheitsbeauftragten anzeigen zu lassen, die dieser Rolle zugeordnet sind.
Anzeigen der Rollenzuordnung
Doppelklicken Sie in den <Rollenname> Eigenschaften in der Registerkarte Zuweisung auf einem
Sicherheitsbeauftragten. Der Eigenschaften Dialog wird geschlossen und es werden die allgemeinen
Daten und die Rollen des Sicherheitsbeauftragten angezeigt.
Ändern einer Rolle
Für das Ändern von Rollen gibt es folgende Möglichkeiten:
• Zusätzliche Autorisierung ändern
• Sie können alle Eigenschaften der Rolle ändern.
Das Symbol neben den Rollen zeigt, welche Aktion möglich ist:
Symbol Beschreibung
Die Rolle kann geändert werden (Aktionen hinzufügen/löschen).
Die zusätzliche Autorisierung kann geändert werden.
Beide Änderungsmöglichkeiten sind verfügbar.
Copyright © Sophos Limited 107
SafeGuard Enterprise Administratorhilfe
108
Hinweis
Vordefinierte Rollen und die ihnen zugewiesenen Aktionen können nicht geändert werden. Ist die zusätzliche Autorisierung aktiviert, so kann dies für jede Rolle, auch für vordefinierte Rollen, geändert werden.
Ändern der zusätzlichen Autorisierung
Voraussetzung: Um die zusätzliche Autorisierung zuzuweisen, benötigen Sie das Recht,
Sicherheitsbeauftragtenrollen einzusehen sowie das Recht „Einstellungen für zusätzliche
Autorisierung ändern“.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen auf die Rolle, die Sie ändern möchten. Klicken Sie im Aktionsbereich auf der rechten Seite bei der gewünschten Einstellung in der Spalte Zusätzliche Autorisierung und wählen Sie eine andere Rolle aus der Liste aus.
Vordefinierte Rollen werden fett angezeigt.
3. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der Datenbank zu speichern.
Die zusätzliche Autorisierung für diese Rolle wurde geändert.
Ändern aller Eigenschaften einer Rolle
Voraussetzung: Um eine benutzerdefinierte Rolle zu ändern, benötigen Sie das Recht zum
Einsehen und Ändern von Sicherheitsbeauftragtenrollen. Zum Ändern der Einstellung für die zusätzliche Autorisierung benötigen Sie außerdem das Recht „Einstellungen für zusätzliche
Autorisierung ändern“.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen auf die Rolle, die Sie ändern möchten, und wählen Sie Benutzerdefinierte Rolle ändern.
3. Ändern Sie die Eigenschaften nach Wunsch. Ändern Sie die Einstellungen für die zusätzliche
Autorisierung, indem Sie auf den Wert in dieser Spalte klicken und die gewünschte Rolle auswählen.
4. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der Datenbank zu speichern.
Die Rolle wurde geändert.
Kopieren einer Rolle
Um eine Rolle anzulegen, die ähnliche Eigenschaften wie eine bereits vorhandene Rolle hat, können Sie die vorhandene Rolle als Vorlage benutzen. Sie können eine vordefinierte oder eine benutzerdefinierte Rolle als Vorlage auswählen.
Voraussetzung: Die Verwendung von vorhandenen Rollen als Vorlage ist nur dann möglich, wenn der derzeit authentisierte Sicherheitsbeauftragte alle Rechte hat, die in dieser spezifischen
Rollenvorlage enthalten sind. Diese Funktion ist also u. U. für Sicherheitsbeauftragte, deren zulässige Aktionen begrenzt sind, nicht verfügbar.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf die Rolle, die Sie kopieren möchten, und wählen Sie Neu > Neue Kopie der Rolle.
Unter Neue benutzerdefinierte Rolle werden alle Eigenschaften der vorhandenen Rolle bereits vorausgewählt.
3. Geben Sie einen neuen Namen für diese Rolle ein und ändern Sie die Eigenschaften nach
Wunsch.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
4. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der Datenbank zu speichern.
Die neue Rolle ist angelegt.
Löschen einer Rolle
Hinweis
Vordefinierte Rollen können nicht gelöscht werden.
Voraussetzung: Um eine Rolle zu löschen, benötigen Sie das Recht zum Einsehen und Löschen von Sicherheitsbeauftragtenrollen.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen mit der rechten Maustaste auf die Rolle, die Sie löschen möchten, und wählen Sie Löschen. Je nach den Eigenschaften der
Rolle wird eine entsprechende Warnungsmeldung angezeigt.
Hinweis
Wenn Sie eine Rolle löschen, geht diese Rolle bei allen Sicherheitsbeauftragten, denen sie zugeordnet ist, verloren. Ist einem Sicherheitsbeauftragten nur diese eine Rolle zugewiesen, so kann dieser sich erst wieder am SafeGuard Management Center anmelden, wenn ein
übergeordneter Sicherheitsbeauftragter ihm eine neue Rolle zuweist. Wird die Rolle für die zusätzliche Autorisierung verwendet, so wird der Haupt-Sicherheitsbeauftragte dazu aufgefordert, die zusätzliche Autorisierung durchzuführen.
3. Um die Rolle zu löschen, klicken Sie in der Warnungsmeldung auf Ja.
4. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der Datenbank zu speichern.
Die Rolle wird aus dem Navigationsfenster entfernt und aus der Datenbank gelöscht.
Anlegen eines Haupt-Sicherheitsbeauftragten
Voraussetzung: Um einen neuen Haupt-Sicherheitsbeauftragten anzulegen, benötigen Sie das
Recht, Sicherheitsbeauftragte einzusehen und anzulegen.
Hinweis
Ein schneller Weg, einen neuen Haupt-Sicherheitsbeauftragten zu erstellen, ist, einen
Sicherheitsbeauftragter höher zu stufen. Für weitere Informationen, siehe Höherstufen von
(Seite 115).
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Knoten Haupt-
Sicherheitsbeauftragte und wählen Sie Neu > Neuer Haupt-Sicherheitsbeauftragter.
3. Nehmen Sie die relevanten Einträge unter Neuer Haupt-Sicherheitsbeauftragter vor:
Copyright © Sophos Limited 109
SafeGuard Enterprise Administratorhilfe
Feld/
Kontrollkästchen
Aktiviert
Beschreibung
Name
Beschreibung
Mobiltelefon
Hier kann der Sicherheitsbeauftragte bis auf Weiteres deaktiviert werden.
Das bedeutet, dass er zwar im System existiert, sich aber noch nicht an das
SafeGuard Management Center anmelden kann. Erst wenn er durch einen anderen Sicherheitsbeauftragten aktiviert wird, kann er sich anmelden und seine administrativen Tätigkeiten ausführen.
Hier wird der Name des Sicherheitsbeauftragten angegeben, wie er in den von
SafeGuard Enterprise erzeugten Zertifikaten unter cn= eingetragen wird. Unter diesem Namen wird er auch im Navigationsfenster des SafeGuard Management
Centers angezeigt. Dieser Name muss eindeutig sein.
Maximalwert: 256 Zeichen
Optional
Maximalwert: 256 Zeichen
Optional
Maximalwert: 128 Zeichen
E-Mail Optional
Maximalwert: 256 Zeichen
Token-Anmeldung Die Anmeldung kann auf folgende Art erfolgen:
Ohne Token Der Sicherheitsbeauftragte darf sich nicht mit einem
Token anmelden. Er muss sich über die Anmeldeinformationen
(Benutzername/Kennwort) anmelden.
Optional Die Anmeldung kann mit Token oder mit
Anmeldeinformationen erfolgen. Der Sicherheitsbeauftragte kann wählen.
Zwingend erforderlich Die Verwendung eines Token zur Anmeldung ist zwingend vorgeschrieben. Dazu muss sich der zum Zertifikat des
Sicherheitsbeauftragten gehörende private Schlüssel auf dem Token befinden.
110 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Feld/
Kontrollkästchen
Zertifikat
Beschreibung
Zur Anmeldung an das SafeGuard Management Center benötigt ein
Sicherheitsbeauftragter immer ein Zertifikat. Das Zertifikat kann entweder von SafeGuard Enterprise selbst erstellt werden oder es wird ein bereits existierendes verwendet. Ist eine Anmeldung mit Token zwingend notwendig, so muss das Zertifikat auf den Token des Sicherheitsbeauftragten aufgebracht werden.
Erzeugen:
Zertifikat und Schlüsseldatei werden erstellt und an einem auswählbaren Ort gespeichert. Dabei muss ein Kennwort für die .p12-
Schlüsseldatei angegeben und bestätigt werden. Die .p12-Datei muss dem Sicherheitsbeauftragten bei der Anmeldung zur Verfügung stehen. Das erstellte Zertifikat wird dem Sicherheitsbeauftragten automatisch zugeteilt und unter Zertifikat angezeigt. Wenn SafeGuard
Enterprise Kennwortregeln angewendet werden, sollten die Regeln im
Active Directory deaktiviert werden.
Hinweis
Maximale Länge des Speicherpfads und des Dateinamens: 260 Zeichen.
Zum Anlegen eines Sicherheitsbeauftragten ist der öffentliche Teil des
Zertifikats zwar ausreichend. Bei der Anmeldung an das SafeGuard
Management Center ist jedoch auch der private Teil des Zertifikats (die
Schlüsseldatei) erforderlich. Liegt diese nicht in der Datenbank vor, muss sie dem Sicherheitsbeauftragten zur Verfügung stehen und kann bei der
Anmeldung dann ggf. im Zertifikatsspeicher abgelegt werden.
Zertifikat Importieren:
Ein existierendes Zertifikat wird importiert und anschließend dem Sicherheitsbeauftragten zugewiesen. Wird aus einer .p12
Schlüsseldatei importiert, muss das Kennwort des Zertifikats bekannt sein.
Wird ein PKCS#12 Zertifikatscontainer ausgewählt, werden alle
Zertifikate in die Liste der zuweisbaren Zertifikate geladen. Die
Zuweisung des Zertifikats erfolgt nach dem Import, indem das
Zertifikat im Dropdown-Listenfeld ausgewählt wird.
4. Klicken Sie zur Bestätigung Ihrer Einstellungen auf OK.
Der neu angelegte Haupt-Sicherheitsbeauftragte wird im Navigationsfenster unter dem Knoten
Haupt-Sicherheitsbeauftragte angezeigt. Die jeweiligen Eigenschaften lassen sich durch
Auswahl des gewünschten Sicherheitsbeauftragten im Navigationsfenster anzeigen. Der Haupt-
Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard Management
Center anmelden.
Anlegen eines Sicherheitsbeauftragten
Voraussetzung: Um einen neuen Sicherheitsbeauftragten anzulegen, benötigen Sie das Recht,
Sicherheitsbeauftragte einzusehen und anzulegen.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
Copyright © Sophos Limited 111
SafeGuard Enterprise Administratorhilfe
2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Sicherheitsbeauftragten-
Knoten, in dem Sie den neuen Sicherheitsbeauftragten anlegen möchten, und wählen Sie
NeuNeuer Sicherheitsbeauftragter.
3. Nehmen Sie die relevanten Einträge unter Neuer Sicherheitsbeauftragter vor:
Feld/Kontrollkästchen
Aktiviert
Name
Beschreibung
Mobiltelefon
Gültig von/bis
Token-Anmeldung
Beschreibung
Hier kann der Sicherheitsbeauftragte bis auf Weiteres deaktiviert werden. Das bedeutet, dass er zwar im System existiert, sich aber noch nicht an das SafeGuard Management Center anmelden kann. Erst wenn er durch einen anderen Sicherheitsbeauftragten aktiviert wird, kann er sich anmelden und seine administrativen Tätigkeiten ausführen.
Hier wird der Name des Sicherheitsbeauftragten angegeben, wie er in den von SafeGuard Enterprise erzeugten Zertifikaten unter cn= eingetragen wird. Unter diesem Namen wird er auch im
Navigationsfenster des SafeGuard Management Centers angezeigt.
Dieser Name muss eindeutig sein.
Maximalwert: 256 Zeichen
Optional
Maximalwert: 256 Zeichen
Optional
Maximalwert: 128 Zeichen
Optional
Maximalwert: 256 Zeichen
Hier wird angegeben, ab und bis wann (Datum) sich der
Sicherheitsbeauftragte am SafeGuard Management Center anmelden darf.
Die Anmeldung kann auf folgende Art erfolgen:
Ohne Token Der Sicherheitsbeauftragte darf sich nicht mit einem Token anmelden. Er muss sich über die
Anmeldeinformationen (Benutzername/Kennwort) anmelden.
Optional Die Anmeldung kann mit Token oder mit
Anmeldeinformationen erfolgen. Der Sicherheitsbeauftragte kann wählen.
Zwingend erforderlich Die Verwendung eines Token zur
Anmeldung ist zwingend vorgeschrieben. Dazu muss sich der zum Zertifikat des Sicherheitsbeauftragten gehörende private
Schlüssel auf dem Token befinden.
112 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Feld/Kontrollkästchen
Zertifikat
Beschreibung
Zur Anmeldung an das SafeGuard Management Center benötigt ein Sicherheitsbeauftragter immer ein Zertifikat. Das Zertifikat kann entweder von SafeGuard Enterprise selbst erstellt werden oder es wird ein bereits existierendes verwendet. Ist eine Anmeldung mit
Token zwingend notwendig, so muss das Zertifikat auf den Token des
Sicherheitsbeauftragten aufgebracht werden.
Erzeugen:
Zertifikat und Schlüsseldatei werden neu erstellt und an einem auswählbaren Ort gespeichert. Dabei muss ein Kennwort für die .p12-Schlüsseldatei angegeben und bestätigt werden.
Die .p12-Datei muss dem Sicherheitsbeauftragten bei der
Anmeldung zur Verfügung stehen. Das erstellte Zertifikat wird dem Sicherheitsbeauftragten automatisch zugeteilt und unter Zertifikat angezeigt. Wenn SafeGuard Enterprise
Kennwortregeln angewendet werden, sollten die Regeln im
Active Directory deaktiviert werden.
Hinweis
Maximale Länge des Speicherpfads und des Dateinamens: 260
Zeichen. Zum Anlegen eines Sicherheitsbeauftragten ist der
öffentliche Teil des Zertifikats zwar ausreichend. Bei der Anmeldung an das SafeGuard Management Center ist jedoch auch der private
Teil des Zertifikats (die Schlüsseldatei) erforderlich. Liegt diese nicht in der Datenbank vor, muss sie dem Sicherheitsbeauftragten zur Verfügung stehen und kann bei der Anmeldung dann ggf. im
Zertifikatsspeicher abgelegt werden.
Zertifikat Importieren:
Ein existierendes Zertifikat wird importiert und anschließend dem Sicherheitsbeauftragten zugewiesen. Wird aus einer .p12
Schlüsseldatei importiert, muss das Kennwort des Zertifikats bekannt sein.
Wird ein PKCS#12 Zertifikatscontainer ausgewählt, werden alle
Zertifikate in die Liste der zuweisbaren Zertifikate geladen. Die
Zuweisung des Zertifikats erfolgt nach dem Import, indem das
Zertifikat im Dropdown-Listenfeld ausgewählt wird.
Rollen des
Sicherheitsbeauftragten
Rollen
Dem Sicherheitsbeauftragten können vordefinierte oder benutzerdefinierte Rollen zugewiesen werden. Die mit jeder
Rolle verbundenen Rechte werden unter Zugelassene Aktion im Aktionsbereich angezeigt, wenn Sie auf die entsprechende
Rolle klicken oder auf den Sicherheitsbeauftragten rechtsklicken und Eigenschaften, Aktionen wählen. Einem Benutzer können mehrere Rollen zugewiesen werden. Vordefinierte
Rollen werden fett dargestellt.
4. Klicken Sie zur Bestätigung Ihrer Einstellungen auf OK.
Der neu angelegte Sicherheitsbeauftragte wird im Navigationsfenster unter dem jeweiligen
Sicherheitsbeauftragten Knoten angezeigt. Die jeweiligen Eigenschaften lassen sich durch Auswahl des gewünschten Sicherheitsbeauftragten im Navigationsfenster anzeigen.
Copyright © Sophos Limited 113
SafeGuard Enterprise Administratorhilfe
Der Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard
Management Center anmelden. Im nächsten Schritt müssen Sie nun dem Sicherheitsbeauftragten
Verzeichnisobjekte/Domänen zuweisen, damit dieser die erforderlichen Aufgaben ausführen kann.
Zuweisen von Verzeichnisobjekten zu einem Sicherheitsbeauftragten
Für die Ausführung ihrer Aufgaben benötigen Sicherheitsbeauftragte Zugriffsrechte für
Verzeichnisobjekte. Zugriffsrechte können für Domänen, Organisationseinheiten (OUs) und
Benutzergruppen sowie für den Knoten .Automatisch registriert unter dem Stammverzeichnis erteilt werden.
Unter Benutzer & Computer können Sie die Zugriffsrechte eines anderen Sicherheitsbeauftragten
ändern, wenn Sie vollen Zugriff auf den relevanten Container haben und für den
Sicherheitsbeauftragten verantwortlich sind. Ihre eigenen Zugriffsrechte können Sie nicht ändern.
Wenn Sie einen Sicherheitsbeauftragten einem Verzeichnisobjekt zum ersten Mal zuweisen, erbt der
Sicherheitsbeauftragte Ihre Zugriffsrechte für diesen Container.
Hinweis
Sie können anderen Sicherheitsbeauftragten nicht höhere Zugriffsrechte als Ihre Zugriffsrechte erteilen.
Voraussetzung: Wenn Sie einem Sicherheitsbeauftragten das Recht, auf Verzeichnisobjekte zuzugreifen und diese zu verwalten, gewähren/verweigern möchten, benötigen Sie die "Benutzer und Computer"-Rechte "Zugriffsrechte von Sicherheitsbeauftragten anzeigen" und "Zugriffsrechte für
Verzeichnis erteilen/verweigern". Darüber hinaus benötigen Sie das Zugriffsrecht Voller Zugriff für das relevante Verzeichnisobjekt.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Wählen Sie im Navigationsfenster auf der linken Seite die gewünschten Verzeichnisobjekte aus.
Die Navigationsbaumstruktur zeigt nur die Verzeichnisobjekte, für die Sie Zugriffsrechte haben.
Wenn Sie das Zugriffsrecht Voller Zugriff haben, wird das jeweilige Objekt schwarz dargestellt.
Objekte mit Zugriffsrecht Schreibgeschützt, werden blau dargestellt. Auf einen ausgegrauten
Knoten können Sie nicht zugreifen. Dieser wird jedoch angezeigt, wenn es untergeordnete Knoten gibt, auf die Sie Zugriff haben.
3. Klicken Sie im Aktionsbereich auf der rechten Seite auf die Registerkarte Zugriff.
4. Um die Rechte für die ausgewählten Objekte zuzuweisen, ziehen Sie den gewünschten
Sicherheitsbeauftragten von der äußersten rechten Seite per Drag&Drop in die Zugriff Tabelle.
5. Wählen Sie in der Spalte Zugriffsrechte die Rechte, die Sie dem Sicherheitsbeauftragten für die ausgewählten Objekte erteilen möchten.
• Voller Zugriff
• Schreibgeschützt
• Verweigert
Um die Zuweisung der Rechte für die ausgewählten Objekte rückgängig zu machen, ziehen Sie den Sicherheitsbeauftragten wieder zurück in die Tabelle Sicherheitsbeauftragte.
6. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der Datenbank zu speichern.
Die ausgewählten Objekte stehen dem relevanten Sicherheitsbeauftragten zur Verfügung.
Wenn zwei Sicherheitsbeauftragte gleichzeitig mit der gleichen SafeGuard Enterprise Datenbank arbeiten und einer der beiden ändert Zugriffsrechte, wird eine Meldung angezeigt, die den anderen Sicherheitsbeauftragten darüber informiert. In diesem Fall gehen alle nicht gespeicherten
Änderungen verloren. Verliert ein Sicherheitsbeauftragter alle Zugriffsrechte für einen Knoten,
114 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe so wird der Zugriff nicht mehr gewährt und es wird eine entsprechende Meldung angezeigt. Das
Navigationsfenster wird entsprechend aktualisiert.
Einsehen der Sicherheitsbeauftragtenrechte für Verzeichnisobjekte
Die Sicherheitsbeauftragten zugewiesenen Rechte für Verzeichnisobjekte werden in der
Registerkarte Zugriff der relevanten Objekte unter Benutzer & Computer angezeigt.
Die Registerkarte Zugriff zeigt nur die Zugriffsrechte für Container, für die Sie Zugriffsrechte haben.
Es werden auch nur die Sicherheitsbeauftragten angezeigt, für die Sie verantwortlich sind.
Die Registerkarte Zugriff enthält folgende Informationen:
• Die Spalte Sicherheitsbeauftragte zeigt die Typen und Namen der den Verzeichnisobjekten zugeordneten Sicherheitsbeauftragten.
• Die Spalte Zugewiesen von zeigt den Sicherheitsbeauftragten, der die Zugriffsrechte zugewiesen hat.
• Das Zuweisungsdatum
• Die Spalte Zugriffsrechte zeigt die erteilten Rechte: Voller Zugriff, Verweigert oder
Schreibgeschützt.
• Die Spalte Ursprung zeigt den vollständigen Namen des Knotens, an dem das Zugriffsrecht dem entsprechenden Sicherheitsbeauftragten zugewiesen wurde. Zum Beispiel: Wurde das
Recht einem übergeordneten Knoten des ausgewählten Verzeichnisobjekts zugewiesen, so wird hier der übergeordnete Knoten angezeigt. In diesem Fall hat der Sicherheitsbeauftragte das
Zugriffsrecht für das ausgewählte Verzeichnisobjekt durch Zuweisung an den übergeordneten
Knoten geerbt.
• Die Spalte Status zeigt, wie der Sicherheitsbeauftragte das Zugriffsrechte erhalten hat:
— Geerbt (blauer Text): Das Zugriffsrecht wurde von einem übergeordneten Knoten geerbt.
— Überschrieben (brauner Text): Das Zugriffsrecht wurde von einem übergeordneten Knoten geerbt, jedoch am ausgewählten Knoten durch direkte Zuweisung überschrieben.
— Direkt zugewiesen (schwarzer Text): Das Zugriffsrecht wurde direkt am ausgewählten
Knoten zugewiesen.
Für geerbte Rechte können Sie in der Spalte Status einen Tooltip anzeigen, der den Ursprung des relevanten Rechts zeigt.
Höherstufen von Sicherheitsbeauftragten
Sie haben folgende Möglichkeiten:
• Sie können einen Benutzer im Bereich Benutzer & Computer zum Sicherheitsbeauftragten ernennen.
• Sie können einen Sicherheitsbeauftragten im Bereich Sicherheitsbeauftragte zu einem Haupt-
Sicherheitsbeauftragten ernennen.
Voraussetzungen
Ein Sicherheitsbeauftragter mit den erforderlichen Rechten kann Benutzer zu
Sicherheitsbeauftragten machen und ihnen Rollen zuweisen.
Auf diese Weise ernannte Sicherheitsbeauftragte können sich mit Ihren Windows-
Anmeldeinformationen oder ihrer Token/Smartcard-PIN an das SafeGuard Management Center anmelden. Sie können genauso wie andere Sicherheitsbeauftragte agieren und verwaltet werden.
Folgende Voraussetzungen müssen erfüllt sein:
Copyright © Sophos Limited 115
SafeGuard Enterprise Administratorhilfe
• Benutzer, die zu Sicherheitsbeauftragten ernannt werden sollen, müssen aus einem Active
Directory importiert und im SafeGuard Management Center unter Benutzer & Computer sichtbar sein.
• Ein zum Sicherheitsbeauftragter ernannter Benutzer benötigt für die Anmeldung an das
SafeGuard Management Center als Sicherheitsbeauftragter ein Benutzerzertifikat. Sie erzeugen diese Zertifikat, wenn Sie den Benutzer zum Sicherheitsbeauftragten ernennen, siehe
Ernennen eines Benutzers zum Sicherheitsbeauftragten (Seite 116). Für die Anmeldung
mit den Windows-Anmeldeinformationen muss die .p12-Datei mit dem privaten Schlüssel in der SafeGuard Enterprise Datenbank vorhanden sein. Für die Anmeldung mit Token bzw.
Smartcard-PIN muss sich die .p12-Datei mit dem privaten Schlüssel auf dem Token bzw. der
Smartcard befinden.
Hinweis
Wenn Sie ein Zertifikat erstellen, wenn Sie einen Benutzer höher stufen, dann ist das Kennwort des Zertifikats für die Anmeldung am SafeGuard Management Center notwendig. Es ist das
Kennwort des Zertifikats einzugeben, obwohl nach dem Windows Kennwort gefragt wird. Das ist auch der Fall bei der Anmeldung zum SafeGuard Enterprise Web Help Desk.
116
Ernennen eines Benutzers zum Sicherheitsbeauftragten
Voraussetzung: Um einen Benutzer zum Sicherheitsbeauftragten zu ernennen, müssen Sie ein
Haupt-Sicherheitsbeauftragter oder ein Sicherheitsbeauftragter mit den erforderlichen Rechten sein.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Klicken Sie mit der rechten Maustaste auf den Benutzer, den Sie zum Sicherheitsbeauftragten machen möchten. Wählen Sie Diesen Benutzer zum Sicherheitsbeauftragten machen.
3. Der nächste Schritt richtet sich danach, ob für den ausgewählten Benutzer ein Benutzerzertifikat verfügbar ist.
• Wurde dem Benutzer bereits ein Benutzerzertifikat zugewiesen, so wird der Rollenauswahl
Dialog angezeigt. Fahren Sie mit Schritt 4 fort.
• Ist kein Benutzerzertifikat verfügbar, so werden Sie in einer Meldung gefragt, ob für diesen
Benutzer ein selbst-signiertes Schlüsselpaar erzeugt werden soll. Klicken Sie auf Ja, geben
Sie im Kennwort für neues Zertifikat Dialog ein Kennwort ein und bestätigen Sie es. Nun wird der Rollenauswahl Dialog angezeigt.
4. Wählen Sie im Rollenauswahl Dialog die erforderlichen Rollen aus und klicken Sie auf OK.
Der Benutzer ist nun Sicherheitsbeauftragter und wird im Bereich Sicherheitsbeauftragte mit seinem Benutzernamen angezeigt. Die jeweiligen Eigenschaften lassen sich durch Auswahl des gewünschten Sicherheitsbeauftragten im Navigationsfenster anzeigen. Ist der private Schlüssel des Benutzers in der Datenbank gespeichert, so ist Kein Token aktiviert. Wenn sich der private
Schlüssel auf dem Token oder der Smartcard befindet, ist Optional aktiviert.
Nach Wunsch können Sie den Sicherheitsbeauftragten per Drag&Drop auf der gewünschten
Position in der Baumstruktur des Bereichs Sicherheitsbeauftragte platzieren.
Der Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard Management
Center anmelden.
Ernennen eines Sicherheitsbeauftragten zum Haupt-Sicherheitsbeauftragten
Voraussetzung: Um einen Sicherheitsbeauftragten zum Haupt-Sicherheitsbeauftragten zu ernennen, benötigen Sie das Recht, Sicherheitsbeauftragte einzusehen und zu modifizieren.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Sicherheitsbeauftragten, den Sie zum Haupt-Sicherheitsbeauftragten ernennen möchten. Wählen Sie Zum Haupt-
Sicherheitsbeauftragten ernennen.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
3. Weist der ausgewählte Sicherheitsbeauftragte untergeordnete Sicherheitsbeauftragte auf, so werden Sie dazu aufgefordert, einen neuen übergeordneten Knoten für diese untergeordneten
Sicherheitsbeauftragten auszuwählen.
Der Sicherheitsbeauftragte wird zum Haupt-Sicherheitsbeauftragten ernannt und unter dem Knoten
Haupt-Sicherheitsbeauftragte angezeigt. Als Haupt-Sicherheitsbeauftragter erhält der ernannte
Sicherheitsbeauftragte alle Rechte auf alle Objekte und verliert somit alle zugewiesenen Rollen sowie einzeln gewährte Domänen-Zugriffsberechtigungen im Bereich Benutzer & Computer.
Zurückstufen von ernannten Haupt-Sicherheitsbeauftragten
Voraussetzung: Nur Haupt-Sicherheitsbeauftragte können die Ernennung von
Sicherheitsbeauftragten zu Haupt-Sicherheitsbeauftragten rückgängig machen.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Haupt-
Sicherheitsbeauftragten, dessen Ernennung Sie rückgängig machen möchten. Wählen Sie Zum
Sicherheitsbeauftragten zurückstufen.
3. Sie werden dazu aufgefordert, einen übergeordneten Knoten für den Sicherheitsbeauftragten zu wählen und mindestens eine Rolle zuzuweisen.
Die Ernennung des Sicherheitsbeauftragten zum Haupt-Sicherheitsbeauftragten wird rückgängig gemacht und der Sicherheitsbeauftragte wird unter dem ausgewählten Sicherheitsbeauftragten
Knoten angezeigt. Der Sicherheitsbeauftragte verliert alle Rechte für alle Objekte und erhält nur die Rechte, die den zugewiesenen Rollen zugeordnet sind. Ein Sicherheitsbeauftragter, dessen Ernennung zum Haupt-Sicherheitsbeauftragten rückgängig gemacht wurde, hat zunächst keine Domänen-Zugriffsrechte. Domänen-Zugriffsrechte müssen einzeln im Bereich Benutzer &
Computer in der Registerkarte Zugriff gewährt werden.
Ändern des Zertifikats eines Sicherheitsbeauftragten
Voraussetzung: Um das Zertifikat eines Sicherheitsbeauftragten oder Haupt-
Sicherheitsbeauftragten zu ändern, benötigen Sie das Recht, Sicherheitsbeauftragte einzusehen und zu modifizieren.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster auf den Sicherheitsbeauftragten, dessen Zertifikat Sie ändern möchten. Das aktuelle Zertifikat wird im Aktionsbereich auf der rechten Seite im Feld Zertifikate angezeigt.
3. Klicken Sie im Aktionsbereich auf die Dropdownliste Zertifikate und wählen Sie ein anderes
Zertifikat aus.
4. Klicken Sie auf das Speichern Symbol in der Symbolleiste, um Ihre Änderungen in der Datenbank zu speichern.
Anordnen von Sicherheitsbeauftragten in der Baumstruktur
Sicherheitsbeauftragte lassen sich im Sicherheitsbeauftragte Navigationsbereich des SafeGuard
Management Center gemäß der Organisationsstruktur Ihres Unternehmens hierarchisch anordnen.
Die Baumstruktur lässt sich für alle Sicherheitsbeauftragten, außer für Haupt-Sicherheitsbeauftragte, ordnen. Haupt-Sicherheitsbeauftragte werden in einer nicht-hierarchischen Liste unter dem Haupt-
Sicherheitsbeauftragten-Knoten angezeigt. Der Sicherheitsbeauftragten-Knoten enthält eine
Baumstruktur, in der jeder Knoten einen Sicherheitsbeauftragten repräsentiert. Diese hierarchische
Anordnung gibt jedoch keine Hierarchie in Bezug auf Rechte und Rollen wieder.
Copyright © Sophos Limited 117
SafeGuard Enterprise Administratorhilfe
Voraussetzung: Um einen Sicherheitsbeauftragten in der Baumstruktur zu verschieben, benötigen
Sie das Recht, Sicherheitsbeauftragte einzusehen und zu modifizieren.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Ziehen Sie den gewünschten Sicherheitsbeauftragten im Navigationsfenster per Drag&Drop zum gewünschten Knoten.
Alle dem Sicherheitsbeauftragten untergeordneten Sicherheitsbeauftragte werden ebenfalls verschoben.
Schneller Wechsel zwischen Sicherheitsbeauftragten
Sie können das SafeGuard Management Center schnell und einfach neu starten, wenn Sie sich mit einem anderen Sicherheitsbeauftragten anmelden möchten.
1. Wählen Sie im SafeGuard Management Center DateiSicherheitsbeauftragten wechseln. Das
SafeGuard Management Center wird neu gestartet und es wird ein Anmeldedialog angezeigt.
2. Wählen Sie den Sicherheitsbeauftragten, mit dem Sie sich an das SafeGuard Management Center anmelden möchten, und geben Sie das zugehörige Kennwort ein. Wenn Sie im Multi Tenancy
Modus arbeiten, werden Sie wieder an dieselbe Datenbankkonfiguration angemeldet.
Das SafeGuard Management Center wird neu gestartet und zeigt die dem angemeldeten
Sicherheitsbeauftragten zugeordnete Ansicht.
Löschen eines Sicherheitsbeauftragten
Voraussetzung: Um einen Sicherheitsbeauftragten zu löschen, benötigen Sie das Recht,
Sicherheitsbeauftragte einzusehen und zu löschen.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Sicherheitsbeauftragten oder den Haupt-Sicherheitsbeauftragten, den Sie löschen möchten. Wählen Sie Löschen. Beachten
Sie, dass Sie den Sicherheitsbeauftragten, mit dem Sie angemeldet sind, nicht löschen können.
3. Weist der ausgewählte Sicherheitsbeauftragte untergeordnete Sicherheitsbeauftragte auf, so werden Sie dazu aufgefordert, einen neuen übergeordneten Knoten für diese untergeordneten
Sicherheitsbeauftragten auszuwählen.
Der Sicherheitsbeauftragte wird aus der Datenbank gelöscht.
Hinweis
Mindestens ein Haupt-Sicherheitsbeauftragter, der explizit als Beauftragter angelegt wurde und nicht nur zum Sicherheitsbeauftragten ernannt wurde, muss immer in der Datenbank verbleiben.
Wird ein Benutzer, der zum Sicherheitsbeauftragten ernannt wurde, aus der Datenbank gelöscht, so wird auch sein Benutzerkonto aus der Datenbank gelöscht.
Hinweis
Wenn der zu löschende Sicherheitsbeauftragte eine Rolle hat, die zusätzliche Autorisierung umfasst und dem Sicherheitsbeauftragten als einziger diese Rolle zugewiesen ist, wird der Sicherheitsbeauftragte trotzdem gelöscht. Es wird angenommen, dass der Haupt-
Sicherheitsbeauftragte die zusätzliche Autorisierung übernimmt.
118 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
3.8.10 Verwalten der Organisationsstruktur
Für den Aufbau einer Organisationsstruktur im SafeGuard Management Center gibt es zwei
Möglichkeiten:
• Sie können eine bestehende Organisationsstruktur über ein Active Directory in die SafeGuard
Enterprise Datenbank importieren.
• Sie können Ihre Organisationsstruktur manuell anlegen, indem Sie Arbeitsgruppen und
Domänen sowie eine Struktur für die Verwaltung von Richtlinien erstellen.
Import aus Active Directory
Sie haben die Möglichkeit, eine bestehende Organisationsstruktur über ein Active Directory in die
SafeGuard Enterprise Datenbank zu importieren.
Hinweis
Durch den SafeGuard Management Center Konfigurationsassistenten wird ein initialer Import gestartet. Sie können diesen Schritt des Konfigurationsassistenten auch überspringen und den
Active Directory Import später manuell konfigurieren.
Wir empfehlen, ein spezielles Windows-Servicekonto anzulegen, das für alle Import- und
Synchronisierungsaufgaben verwendet wird. Weitere Informationen finden Sie im Sophos
Knowledegebase-Artikel 107979 .
Mit dem SafeGuard Management Center Taskplaner können Sie einen periodischen Task für die automatische Synchronisierung zwischen dem Active Directory und SafeGuard Enterprise erstellen.
In Ihrer Produktlieferung steht hierzu eine vordefinierte Skript-Vorlage zur Verfügung. Für weitere
Informationen, siehe
Planen von Tasks (Seite 157) und
Vordefinierte Skripte für periodische Tasks
(Seite 163).
Hinweis
Es wird empfohlen, Importvorgänge mit mehr als 400.000 Objekten aus dem AD in mehrere
Vorgänge aufzuteilen. Unter Umständen ist dies nicht möglich, wenn sich mehr als 400.000
Objekte in einer Organisationseinheit befinden.
Zugriffsrechte für Sicherheitsbeauftragte und Import aus Active Directory
Für das Importieren der Organisationsstruktur benötigen Sie Zugriffsrechte. Im Folgenden erfahren
Sie, wann welche Zugriffsrechte erforderlich sind.
• Wenn Sie eine Active Directory Verbindung zu einer bereits vorhandenen Domäne hinzufügen, gilt
Folgendes:
— Wenn Sie das Zugriffsrecht Voller Zugriff für die Domäne (DNS) haben, werden die
Anmeldeinformationen für die Directory-Verbindung aktualisiert.
— Wenn Sie das Zugriffsrecht Schreibgeschützt oder weniger Zugriffsrechte für die Domäne
(DNS) haben, werden die Anmeldeinformationen nicht aktualisiert. Sie können jedoch vorhandene Anmeldeinformationen für die Synchronisierung benutzen.
• Für Active Directory Import und Synchronisierung werden die Zugriffsrechte für einen Container oder eine Domäne auf die Domänenbaumstruktur, die sie importieren oder synchronisieren,
übertragen. Wenn Sie für eine untergeordnete Baumstruktur nicht das Zugriffsrecht Voller Zugriff
Copyright © Sophos Limited 119
SafeGuard Enterprise Administratorhilfe haben, kann diese nicht synchronisiert werden. Wenn eine untergeordnete Baumstruktur nicht geändert werden kann, wird sie nicht in der Synchronisierungs-Baumstruktur angezeigt.
• Unabhängig von Ihren Sicherheitsbeauftragten-Zugriffsrechten für Verzeichnisobjekte können Sie eine neue Domäne aus dem Active Directory importieren, wenn diese noch nicht in der SafeGuard
Enterprise Datenbank existiert. Sie und Ihre übergeordneten Sicherheitsbeauftragten erhalten automatisch das Zugriffsrecht Voller Zugriff für die neue Domäne.
• Wenn Sie einen untergeordneten Container (Sub-Container) für die Synchronisierung auswählen, muss die Synchronisierung bis zum Stammverzeichnis durchgeführt werden. In der
Synchronisierungs-Baumstruktur werden alle relevanten Container automatisch ausgewählt. Dies ist auch dann der Fall, wenn sich über dem Sub-Container Container befinden, die gemäß ihren
Zugriffsrechten Schreibgeschützt sind, oder für die der Zugriff Verweigert wird. Wenn Sie die
Auswahl eines Sub-Containers aufheben, müssen Sie dies entsprechend Ihren Zugriffsrechten auch bei den Containern darüber bis zum Stammverzeichnis tun.
Wenn eine Gruppe in den Synchronisierungsvorgang einbezogen wird, für die nur die
Zugriffsrechte Schreibgeschützt oder Verweigert verfügbar sind, passiert Folgendes:
— Die Gruppenmitgliedschaften werden nicht aktualisiert.
— Wenn die Gruppe im Active Directory gelöscht wurde, wird sie nicht aus der SafeGuard
Enterprise Datenbank gelöscht.
— Wenn die Gruppe jedoch im Active Directory verschoben wurde, wird sie auch innerhalb der SafeGuard Enterprise Struktur verschoben. Dies trifft auch beim Verschieben in einen
Container zu, für den Sie nicht das Recht Voller Zugriff haben.
Wenn ein Container mit den Zugriffsrechten Schreibgeschützt oder Verweigert zur
Synchronisierung hinzugefügt wird, da er sich auf dem Weg zum Stammverzeichnis befindet, und dieser Container eine Gruppe mit dem Zugriff Voller Zugriff enthält, wird diese Gruppe synchronisiert. Gruppen mit den Zugriffsrechten Schreibgeschützt oder Verweigert werden nicht synchronisiert.
Importieren einer Active Directory Struktur
Mit SafeGuard Enterprise können Sie eine Active Directory Struktur ins SafeGuard Management
Center importieren. Ein initialer Import wird durch den SafeGuard Management Center
Konfigurationsassistenten gestartet, siehe Definieren der Active Directory-Authentifizierung
(Seite
25). Während der Synchronisierung mit dem Active Directory werden Objekte wie Computer,
Benutzer und Gruppen in das SafeGuard Management Center importiert. Alle Daten werden in der
SafeGuard Enterprise Datenbank gespeichert.
So konfigurieren Sie Active Directory:
1. Öffnen Sie das SafeGuard Management Center.
2. Geben Sie zur Authentisierung das Kennwort ein, das für den Zertifikatspeicher definiert wurde.
3. Wählen Sie unten links Benutzer und Computer.
4. Wählen Sie oben links Stamm [Filter ist aktiv].
5. Wählen Sie im rechten Fensterbereich die Registerkarte Synchronisieren aus. Der Assistent für die LDAP-Authentisierung startet automatisch.
6. Geben Sie im Assistenten für die LDAP-Authentisierung Ihre Anmeldeinformationen ein, die
Sie für die Synchronisierung verwenden wollen, und definieren Sie den Servernamen und die IP-
Adresse des Domain Controllers. Der Benutzername muss das Format Benutzer@Domain haben um Konflikte mit dem NetBIOS-Domänennamen zu vermeiden.
7. Sobald die Verbindung zum Verzeichnis erfolgreich hergestellt wurde, zeigt das Feld Verzeichnis
DSN die Domänen-Information. Klicken Sie auf das Lupen-Symbol, um das Active Directory zu auszulesen.
8. Wenn der Auslesevorgang abgeschlossen ist, wird die Domänen-Struktur im mittleren
Fensterbereich angezeigt. Wählen Sie die Organisationseinheiten, die Sie in SafeGuard Enterprise
120 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe importieren möchten. Es können keine einzelnen Computer, Gruppen oder Benutzer ausgewählt werden. Sie können jedoch Organisationseinheiten auswählen.
9. Wählen Sie, ob Active Directory Gruppenmitgliedschaften mit dem SafeGuard Management Center synchronisiert werden sollen. Der Import von Gruppenmitgliedschaften kann übersprungen werden, indem Sie das Kontrollkästchen Synchronisiere Mitgliedschaften deselektieren. Der Verzicht auf
Import und Synchronisierung von Gruppenmitgliedschaften wirkt sich positiv auf die Performance des Management Centers aus, besonders bei großen AD-Strukturen.
Standardmäßig erstellt SafeGuard Enterprise einen Schlüssel für alle Container,
Organisationseinheiten (OU) und Domänenobjekte, die Sie importieren. Das Erstellen der
Schlüssel kann einige Zeit in Anspruch nehmen. Deshalb empfehlen wir, besonders beim Import einer großen Umgebung, das Erstellen der Schlüssel für Gruppen nicht zu aktivieren, wenn nicht erforderlich.
10. Klicken Sie zum Starten der Synchronisierung auf Synchronisieren. Nun werden die
Detailinformationen aus dem Active Directory eingelesen. Am Ende der Synchronisierung wird eine
Übersicht über alle Änderungen angezeigt.
11. Klicken Sie auf OK, um alle Änderungen in die SafeGuard Enterprise Datenbank zu schreiben.
Wenn der Vorgang abgeschlossen ist, wird die Domänen-Struktur im linken Fensterbereich angezeigt. Der Import des Active Directory ins SafeGuard Management Center ist nun abgeschlossen.
Synchronisieren der Organisationsstruktur
Wenn Elemente von einer untergeordneten Baumstruktur in eine andere im Active Directory verschoben wurden, müssen beide Baumstrukturen mit der SQL-Datenbank synchronisiert werden.
Wird nur eine untergeordnete Datenbank synchronisiert, so werden die Elemente nicht verschoben, sondern gelöscht.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm [Filter ist aktiv].
3. Klicken Sie im Aktionsbereich auf der rechten Seite auf die Registerkarte Synchronisieren.
4. Wählen Sie das gewünschte Verzeichnis aus der Verzeichnis DSN Liste und klicken Sie auf das
Lupensymbol (oben rechts).
Es erscheint eine Abbildung der Active Directory-Struktur der Organisationseinheiten (OU) in
Ihrem Unternehmen.
5. Markieren Sie die Organisationseinheiten (OU), die synchronisiert werden sollen. Es muss nicht der gesamte Inhalt des Active Directory importiert werden.
6. Um auch Mitgliedschaften zu synchronisieren, wählen Sie das Kontrollkästchen Synchronisiere
Mitgliedschaften.
7. Um auch den Benutzer Aktiv-Status zu synchronisieren, wählen Sie das Kontrollkästchen
Synchronisiere Benutzer Aktiv-Status.
8. Wenn Sie deaktivierte Benutzerkonten aus dem Active Directory synchronisieren, werden diese auch in SafeGuard Enterprise deaktiviert. Aus Sicherheitsgründen bewirkt eine Reaktivierung des
Kontos in Active Directory und eine erneute Synchronisierung keine automatische Aktivierung des
Benutzerkontos in SafeGuard Enterprise. Um auch diese Konten zu synchronisieren, müssen Sie die Option Synchronisiere Benutzer Aktiv-Status aktivieren.
9. Klicken Sie unten im Aktionsbereich auf Synchronisieren.
Wenn Sie Benutzer und ihre Gruppenzugehörigkeit synchronisieren, wird die Zugehörigkeit zu einer “Primärgruppe“ nicht synchronisiert, da sie für die Gruppe nicht sichtbar ist.
Die Domänen werden synchronisiert. Details zur Synchronisierung werden angezeigt. Klicken Sie auf die Meldung, die in der Statusleiste unterhalb der Schaltflächen auf der linken Seite angezeigt wird, um ein Synchronisierungsprotokoll einzusehen. Klicken Sie auf das Protokoll, um es in die
Zwischenablage zu kopieren und es in eine E-Mail oder eine Datei einzufügen.
Copyright © Sophos Limited 121
SafeGuard Enterprise Administratorhilfe
122
Hinweis
Während der Active Directory-Synchronisierung werden Benutzer nicht automatisch in SafeGuard
Enterprise registriert. Benutzer, die sich während der Synchronisierung registrieren, müssen ihren
Computer nach der Synchronisierung neu starten, um sich bei SafeGuard Enterprise anzumelden.
Siehe
Automatische Registrierung eines neuen Benutzers
(Seite 123).
Eine neue Domäne aus einem Active Directory importieren
1. Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm [Filter ist aktiv].
2. Wählen Sie Datei > Neu > Domäne aus Active Directory importieren.
3. Klicken Sie im Aktionsbereich auf der rechten Seite auf Synchronisieren.
4. Wählen Sie das gewünschte Verzeichnis aus der Verzeichnis DSN Liste und klicken Sie auf das
Lupensymbol (oben rechts).
Es erscheint eine Abbildung der Active Directory-Struktur der Organisationseinheiten (OU) in
Ihrem Unternehmen.
5. Wählen Sie die Domäne, die synchronisiert werden soll, und klicken Sie auf Synchronisieren.
Hinweis
Wenn Elemente von einer untergeordneten Baumstruktur in eine andere im Active Directory verschoben wurden, müssen beide Baumstrukturen mit der SQL-Datenbank synchronisiert werden. Wird nur eine untergeordnete Datenbank synchronisiert, so werden die Elemente nicht verschoben, sondern gelöscht.
Hinweis
Durch die AD-Synchronisierung wird der (NetBIOS)-Name der Domäne vor Windows 2000 nicht synchronisiert, wenn der Domänen-Controller mit einer IP-Adresse konfiguriert ist. Konfigurieren
Sie den Domänen-Controller so, dass stattdessen der Servername (NetBIOS oder DNS) verwendet wird. Der Client (auf dem die AD-Synchronisierung läuft) muss entweder Teil der
Domäne sein oder es muss sichergestellt sein, dass der DNS-Name zum Ziel-Domänen-Controller aufgelöst werden kann.
Importieren von Benutzern und Gruppen aus Active Directory auf Container-Ebene
Wenn Sie im SafeGuard Management Center bereits über eine bestehende Organisationsstruktur verfügen und wenn Sie die Berechtigung haben, Verzeichnisobjekte zu importieren, können Sie
Benutzer und Computer aus dem Active Directory auf Container-Ebene importieren. Dabei werden nur neue oder verschobene Benutzer und Computer des ausgewählten Containers und seiner Sub-
Container synchronisiert.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Klicken Sie im Navigationsfenster auf der linken Seite mit der rechten Maustaste auf den
Container, dessen Benutzer und Computer Sie synchronisieren möchten.
3. Klicken Sie im Kontextmenü auf Neu und dann auf Benutzer und Computer aus dem Active
Directory importieren.
Der Dialog Benutzer und Computer aus dem Active Directory importieren wird angezeigt und der Import beginnt.
Das Resultat des Imports wird als Liste dargestellt. Name, Anmeldename und Status der importierten Benutzer und Computer werden angezeigt. Mögliche Status: Importiert oder
Verschoben.
4. Klicken Sie auf Schließen.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Die Benutzer und Computer werden im linken Navigationsfenster angezeigt.
Benutzer und Computer suchen und importieren
Sie benötigen dazu die Berechtigung, Verzeichnisobjekte zu erzeugen.
Wenn Sie im SafeGuard Management Center bereits über eine bestehende Organisationsstruktur verfügen, können Sie Benutzer und Computer im Active Directory suchen und direkt in die
Organisationsstruktur importieren.
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer.
2. Klicken Sie im Navigationsbereich Benutzer & Computer auf das Stammverzeichnis Stamm
[Filter ist aktiv].
3. Wählen Sie in der SafeGuard Management Center Menüleiste Bearbeiten > Suchen.
Der Benutzer, Computer und Gruppen suchen Dialog wird angezeigt.
4. Wählen Sie die Registerkarte Active Directory.
5. Wählen Sie im Feld Suchen den gewünschten Filter aus der Dropdownliste aus.
6. Wählen Sie im Feld In die Domäne aus, die Sie durchsuchen möchten.
7. Wenn Sie nach einem bestimmten Benutzer oder Computer suchen, geben Sie den gewünschten
Namen im Feld Suchname ein.
8. Klicken Sie anschließend auf Jetzt suchen.
Das Suchergebnis wird in der Registerkarte Active Directory angezeigt. Alle neuen Objekte sind mit Kontrollkästchen auf der linken Seite versehen.
9. Wählen Sie die Objekte aus, die Sie importieren wollen.
10. Klicken Sie auf Auswahl importieren.
Die Objekte werden importiert und im linken Navigationsfenster angezeigt.
11. Klicken Sie auf Schließen.
Erstellen von Arbeitsgruppen und Domänen
Sicherheitsbeauftragte mit den erforderlichen Berechtigungen können manuell Arbeitsgruppen oder
Domänen mit einer Struktur für die Verwaltung von Richtlinien anlegen. Auch die Zuweisung von
Richtlinien und/oder Verschlüsselungsregeln an lokale Benutzer ist dadurch möglich.
Sie müssen Domänen nur dann manuell anlegen, wenn Sie keine Domänen aus dem Active
Directory (AD) importieren wollen oder können, z. B. weil kein AD vorhanden ist.
Mehr zu protokollierten Ereignissen finden Sie unter
Automatische Registrierung eines neuen Benutzers
Wenn sich ein neuer Benutzer an SafeGuard Enterprise anmeldet, wird dieser sobald der Endpoint eine Verbindung mit dem SafeGuard Enterprise Server hergestellt hat, registriert und in im Bereich
Benutzer und Computer des SafeGuard Management Center unter der entsprechenden Domäne oder Arbeitsgruppe angezeigt.
Das für diese Benutzer/Computer vorgesehene Verzeichnis .Automatisch registriert wird automatisch unterhalb des Stammverzeichnisses sowie unter jeder Domäne/Arbeitsgruppe erzeugt.
Es kann nicht umbenannt oder verschoben werden. Objekte in diesem Verzeichnis können auch nicht manuell verschoben werden.
Solange es keine Domäne oder Arbeitsgruppe gibt, bleiben die Objekte im Verzeichnis
.Automatisch registriert . Wenn die Domäne oder Arbeitsgruppe beim nächsten Kontakt mit der SafeGuard Enterprise Datenbank synchronisiert wird, wird das Objekt in die entsprechenden
Domäne oder Arbeitsgruppe verschoben. Andernfalls verbleibt es im Verzeichnis .Automatisch
registriert .
Normalerweise kann nur ein Sicherheitsbeauftragter die automatisch registrierten Objekte verwalten.
Copyright © Sophos Limited 123
SafeGuard Enterprise Administratorhilfe
Um Sicherheitsbeauftragten das Recht zu geben, Objekte im Verzeichnis .Automatisch
registriert zu verwalten, beispielsweise zum Wiederherstellen des Kennworts eines Computers in dieser Gruppe, müssen Sie die Domäne oder Arbeitsgruppe, zu der das Objekt gehört, manuell erstellen. Dann können Sie wie üblich Sicherheitsbeauftragten Rechte, diese Domänen oder
Arbeitsgruppen zu verwalten, zuweisen. Die Objekte werden dann automatisch in ihre Domäne verschoben.
Lokale Benutzer können sich nicht mit einem leeren Kennwort an SafeGuard Enterprise anmelden.
Wenn sich lokale Benutzer mit leerem Kennwort an SafeGuard Enterprise anmelden, bleiben sie
Gastbenutzer und werden nicht in der Datenbank gespeichert. Wenn für diese Benutzer zudem noch
Windows Autologon aktiviert ist, wird die Anmeldung abgebrochen. Für die erfolgreiche Anmeldung an SafeGuard Enterprise muss in diesem Fall ein neues Kennwort vergeben werden und das
Autologon für Windows in der Registry des Endpoint deaktiviert werden.
Microsoft Konten werden immer als SafeGuard Enterprise Gastbenutzer behandelt.
Hinweis
Während der Active Directory-Synchronisierung werden Benutzer nicht automatisch in SafeGuard
Enterprise registriert. Benutzer, die sich während der Synchronisierung registrieren, müssen ihren
Computer nach der Synchronisierung neu starten, um sich bei SafeGuard Enterprise anzumelden.
Beispiele für die automatische Registrierung
Im Folgenden finden Sie zwei Beispiele für das Verhalten von automatisch registrierten Objekten.
Benutzer oder Computer außerhalb eines Active Directory
In einem Unternehmen müssen nicht zwangsläufig alle Benutzer/Computer Teil eines Active
Directory (AD) sein, z. B. lokale Benutzer. Ein Unternehmen hat möglicherweise nur eine oder wenige Arbeitsgruppen, so dass sich der Aufbau eines ADs nicht lohnt.
Dieses Unternehmen möchte SafeGuard Enterprise einsetzen, um dann seine Benutzer oder
Computerobjekte mit Richtlinien zu versehen. Deshalb wird die Organisationsstruktur des
Unternehmens im SafeGuard Management Center folgendermaßen manuell aufgebaut:
124
Die Objekte bleiben im Verzeichnis .Automatisch registriert. Sie können mit dem SafeGuard
Management Center durch Anwendung von Richtlinien auf das Verzeichnis .Automatisch registriert verwaltet werden.
SafeGuard Enterprise Datenbank und Active Directory nicht synchronisiert
Ein Benutzer ist bereits Teil des Active Directory (AD) des Unternehmens. Die SafeGuard Enterprise
Datenbank und das AD sind jedoch nicht synchron. Der Benutzer (Benutzer 1) meldet sich an
SafeGuard Enterprise an und wird automatisch im Bereich Benutzer & Computer im SafeGuard
Management Center unter der Domäne angezeigt, die durch die Anmeldung vorgegeben ist
(Domäne 1).
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Der Benutzer ist nun Teil des Verzeichnisses .Automatisch registriert. Das Objekt kann mit dem
SafeGuard Management Center durch Anwendung von Richtlinien auf das Verzeichnis .Automatisch
registriert verwaltet werden.
Mit der nächsten Synchronisierung zwischen dem AD und der SafeGuard Enterprise Datenbank wird
Benutzer 1 automatisch in seine Organisationseinheit (Users) verschoben.
Damit für Benutzer 1 Richtlinien aktiv werden können, müssen sie ab jetzt der Organisationseinheit
Users zugewiesen werden.
Schlüssel und Zertifikate für autoregistrierte Objekte
Für jedes auto-registrierte Objekt erzeugt der Server nach Bedarf ein Zertifikat.
Ein lokaler Benutzer erhält zwei Schlüssel:
• den Schlüssel des Containers .Automatisch registriert
• den privaten Schlüssel, der vom Server bei Bedarf erzeugt wird.
Lokale Benutzer erhalten keine weiteren Schlüssel der ihnen übergeordneten Container, auch keinen Root-Schlüssel.
Arbeitsgruppen erhalten gar keine Schlüssel.
Richtlinien für autoregistrierte Objekte
Für autoregistrierte Objekte können ohne Einschränkung Richtlinien erstellt werden.
Lokale Benutzer werden zur Gruppe „.authentisierte Benutzer“ hinzugefügt. Computer werden zur
Gruppe „.authentisierte Computer“ hinzugefügt. Dementsprechend gelten für sie die Richtlinien, die für diese Gruppe aktiviert wurden.
Erzeugen von Arbeitsgruppen
Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie unter dem Stammverzeichnis einen Container erzeugen, der eine Windows Arbeitsgruppe repräsentiert. Arbeitsgruppen erhalten keine Schlüssel. Sie können nicht umbenannt werden.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Rechts-klicken Sie im linken Navigationsfenster auf Stamm [Filter ist aktiv] und wählen Sie im
Kontextmenü Neu > Neue Arbeitsgruppe erzeugen (autom. Registrierung).
3. Gehen Sie in Allgemeine Informationen wie folgt vor: a) Geben Sie einen vollständigen Namen für die Arbeitsgruppe ein.
b) Sie können optional eine Beschreibung hinzufügen.
c) Im Feld Verbindungsstatus wird der Typ des Objekts angezeigt, in diesem Fall
Arbeitsgruppe.
d) Aktivieren Sie Richtlinienvererbung stoppen, wenn gewünscht.
Copyright © Sophos Limited 125
SafeGuard Enterprise Administratorhilfe e) Klicken Sie auf OK.
Die Arbeitsgruppe wird erzeugt. Unterhalb des Arbeitsgruppen-Containers wird automatisch das
Standardverzeichnis .Automatisch registriert angelegt. Es kann weder umbenannt noch gelöscht werden.
Löschen von Arbeitsgruppen
Um eine Arbeitsgruppe zu löschen, benötigen Sie das Zugriffsrecht Voller Zugriff für die relevante
Arbeitsgruppe. Falls die Arbeitsgruppe Mitglieder hatte, werden diese ebenfalls gelöscht. (Bei der nächsten Anmeldung werden sie wieder autoregistriert).
Um eine Arbeitsgruppe zu löschen, benötigen Sie das Zugriffsrecht Voller Zugriff für alle beteiligten
Objekte.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Rechts-klicken Sie im rechten Navigationsbereich auf der Arbeitsgruppe, die gelöscht werden soll, und wählen Sie Löschen.
3. Klicken Sie Ja, um dies zu bestätigen.
Die Arbeitsgruppe wird gelöscht. Eventuelle Mitglieder werden ebenfalls gelöscht.
Hinweis
Wenn Sie das Zugriffsrecht Voller Zugriff nicht für alle Mitglieder der Arbeitsgruppe haben, schlägt das Löschen der Arbeitsgruppe fehl und es wird eine Fehlermeldung angezeigt.
Erstellen einer neuen Domäne
Als Sicherheitsbeauftragter mit den nötigen Berechtigungen können Sie unter dem
Stammverzeichnis eine neue Domäne anlegen. Sie sollten nur neue Domänen anlegen, wenn Sie keine Domänen aus dem Active Directory (AD) importieren wollen oder können, z. B. weil kein AD vorhanden ist.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Rechts-klicken Sie im linken Navigationsfenster auf Stamm [Filter ist aktiv] und wählen Sie im
Kontextmenü Neu > Neue Domäne erzeugen (autom. Registrierung).
3. In Allgemeine Informationen machen Sie folgende Angaben zum Domänen-Controller.
Beide Namenseinträge müssen korrekt sein. Ansonsten wird die Domäne nicht synchronisiert.
a) Vollst. Name: z. B. rechnername.domäne.com oder die IP-Adresse des Domänen-Controllers b) Distinguished Name (schreibgeschützt): DNS-Name, z. B.
DC=rechnername3,DC=domäne,DC=Land c) Eine Domänenbeschreibung (optional) d) Netbios Name: Name des Domänen-Controllers e) Unter Verbindungsstatus wird der Typ des Objekts angezeigt, in diesem Fall Domäne.
f) Aktivieren Sie Richtlinienvererbung stoppen, wenn gewünscht.
g) Klicken Sie auf OK.
Die neue Domäne wird angelegt. Ein Benutzer und/oder ein Computer wird bei der Autoregistrierung automatisch dieser Domäne zugeordnet. Unterhalb des Domänen-Containers wird das
Standardverzeichnis .Automatisch registriert angelegt. Es kann weder umbenannt noch gelöscht werden.
126 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Umbenennen einer Domäne
Als Sicherheitsbeauftragter mit den nötigen Berechtigungen können Sie eine Domäne umbenennen und weitere Eigenschaften für sie festlegen. Sie benötigen das Zugriffsrecht Voller Zugriff für die relevante Domäne.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Rechts-klicken Sie im linken Navigationsfenster auf der Domäne, die umbenannt werden soll, und wählen Sie Eigenschaften.
3. Ändern Sie in Allgemeine Informationen unter Vollst. Name den Namen der Domäne und die
Beschreibung.
4. In Netbios Name können Sie den Namen des Domänen-Controllers ändern.
5. Außerdem können Sie in der Registerkarte Containereinstellungen den Wake-on-LAN-Modus für den automatischen Neustart festlegen.
6. Klicken Sie zur Bestätigung Ihrer Einstellungen auf OK.
Die Änderungen sind nun gespeichert.
Löschen einer Domäne
Als Sicherheitsbeauftragter mit den nötigen Berechtigungen können Sie Domänen löschen. Um eine
Domäne zu löschen, benötigen Sie das Zugriffsrecht Voller Zugriff für die relevante Domäne. Falls die Domäne Mitglieder hatte, werden diese ebenfalls gelöscht.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Rechts-klicken Sie im linken Navigationsfenster auf der Domäne, die gelöscht werden soll, und wählen Sie Löschen.
3. Klicken Sie auf Ja.
Die Domäne wird gelöscht. Eventuelle Mitglieder werden ebenfalls gelöscht.
Wenn Sie das Zugriffsrecht Voller Zugriff nicht für alle Mitglieder der Domäne haben, schlägt das
Löschen der Domäne fehl und es wird eine Fehlermeldung angezeigt.
Löschen von automatisch registrierten Computern
Wenn ein automatisch registrierter Computer gelöscht wird, werden alle lokalen Benutzer dieses
Computers ebenfalls gelöscht. Bei der nächsten Anmeldung dieses Computers wird er erneut automatisch registriert.
Lokale Benutzer suchen und anzeigen
Unter Benutzer & Computer können Sie die Ansicht im linken Navigationsfenster nach lokalen
Benutzern filtern oder einen bestimmten lokalen Benutzer suchen.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Klicken Sie links unten im Navigationsbereich auf Filter.
3. Wählen Sie bei Typ die Option Lokaler Benutzer. Wenn Sie einen bestimmten Benutzer suchen, geben Sie noch dessen Namen ein.
4. Klicken Sie auf das Lupen-Symbol.
Die Ansicht auf Benutzer & Computer wird entsprechend den Kriterien gefiltert.
Microsoft Konten werden immer als SafeGuard Enterprise Gastbenutzer behandelt.
3.8.11 Schlüssel und Zertifikate
SafeGuard Enterprise erzeugt in der Standardeinstellung beim Import der Verzeichnisstruktur automatisch Schlüssel für:
• Domänen
Copyright © Sophos Limited 127
SafeGuard Enterprise Administratorhilfe
• Container/OUs und weist diese den entsprechenden Objekten zu. Computer- und Benutzerschlüssel werden bei
Bedarf erzeugt.
Schlüssel für Gruppen
In der Standardeinstellung erzeugt SafeGuard Enterprise nicht automatisch Schlüssel für
Gruppen. Dieses Verhalten ist standardmäßig deaktiviert. Als Sicherheitsbeauftragter können
Sie dieses Verhalten auf der Registerkarte Schlüssel unter Extras > Optionen ändern. Ist in der Schüssel Registerkarte die Option Gruppen ausgewählt, so generiert SafeGuard
Enterprise automatisch Gruppenschlüssel, wenn die Datenbank synchronisiert wird. In der
Registerkarte Synchronisierungwird unten angegeben, für was Schlüssel bei der Durchführung der
Synchronisierung erzeugt werden.
Schlüssel können nicht gelöscht werden! Sie sind immer in der SafeGuard Enterprise Datenbank enthalten.
Beim ersten Starten eines Endpoints erzeugt SafeGuard Enterprise einen Computerschlüssel für diesen Endpoint (definierter Computerschlüssel).
Der definierte Computerschlüssel wird nur dann erzeugt, wenn volume-basierende Verschlüsselung auf dem Endpoint installiert ist.
Bei der Anmeldung erhält jeder Benutzer alle Schlüssel aus seinem Schlüsselbund. Dieser
Schlüsselbund besteht aus:
• aus den Schlüsseln der Gruppen, in denen der Benutzer Mitglied ist.
• aus den Schlüsseln der den Gruppen, in denen er Mitglied ist, übergeordneten Container/OUs.
Durch die Schlüssel in seinem Schlüsselbund ist festgelegt, auf welche Daten der Benutzer zugreifen kann. Es ist dem Benutzer nur möglich, auf Daten zuzugreifen, für die er den passenden
Schlüssel besitzt.
Um zu vermeiden, dass zu viele nicht benutzte Schlüssel im Schlüsselring des Benutzers angezeigt werden, können Sie festlegen, dass Schlüssel ausgeblendet werden sollen. Weitere Informationen finden Sie unter
Verbergen von Schlüsseln (Seite 130).
Alle vorhandenen Schlüssel werden angezeigt, wenn Sie im Navigationsbereich des SafeGuard
Management Center auf Benutzer & Computer klicken und die Registerkarte Schlüssel wählen.
Alle überhaupt vorhandenen Schlüssel können angezeigt werden, wenn Sie im Navigationsbereich des SafeGuard Management Centers auf Schlüssel und Zertifikate klicken und Schlüssel wählen.
Sie können Listen für Zugewiesene Schlüssel und Inaktive Schlüssel generieren.
Die Liste Zugewiesene Schlüssel zeigt nur die Schlüssel, die Objekten zugewiesen sind, für die
Sie die Zugriffsrechte Schreibgeschützt oder Voller Zugriff haben. In der Ansicht Schlüssel wird die Anzahl an allen verfügbaren Schlüsseln ungeachtet Ihrer Zugriffsrechte angegeben. Die Liste
Zugewiesene Schlüssel zeigt die Anzahl an Schlüsseln, die gemäß Ihren Zugriffsrechten sichtbar sind.
1.
Diese Ansicht wird durch Klicken auf Benutzer & Computer geöffnet.
2.
Die Schlüssel eines hier markierten Objekts werden im Aktionsbereich und in den dazugehörigen Ansichten angezeigt
3.
Die Anzeige im Aktionsbereich ist abhängig von der Auswahl im Navigationsbereich. Es werden alle dem ausgewählten Objekt zugewiesenen Schlüssel angezeigt.
4.
Unter Verfügbare Schlüssel werden alle verfügbaren Schlüssel angezeigt. Dem ausgewählten
Objekt bereits zugewiesene Schlüssel sind ausgegraut. Über Filter kann zwischen bereits einem
Objekt zugewiesenen (aktiven) und noch keinem Objekt zugewiesenen (inaktiven) Schlüsseln umgeschaltet werden.
128 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Nach dem Import verfügt jeder Benutzer über eine Anzahl von Schlüsseln, die zur
Datenverschlüsselung verwendet werden können.
Schlüssel für die Datenverschlüsselung
Benutzern können bestimmte Schlüssel zur Verschlüsselung von Volumes zugewiesen werden, indem Richtlinien vom Typ Geräteschutz angelegt werden.
In einer Richtlinie vom Typ Geräteschutz können Sie die Einstellung Schlüssel für die
Verschlüsselung für jedes Medium festlegen.
Hier können Sie festlegen, welche Schlüssel der Benutzer bei der Verschlüsselung verwenden darf bzw. muss:
• Beliebiger Schlüssel im Schlüsselring des Benutzers
Benutzer können nach der Anmeldung an Windows auswählen, welchen Schlüssel sie für die
Verschlüsselung des Laufwerks verwenden möchten. Es wird ein Dialog angezeigt, in dem die
Benutzer den gewünschten Schlüssel auswählen können.
• Alle, außer persönliche Schlüssel im Schlüsselring
Benutzer dürfen ihren persönlichen Schlüssel nicht verwenden, um Daten zu verschlüsseln.
• Beliebiger Gruppenschlüssel im Schlüsselring des Benutzers
Benutzer dürfen nur aus den in ihrem Schlüsselbund vorhandenen Gruppenschlüsseln auswählen.
• Definierter Computerschlüssel
Der definierte Computerschlüssel ist der einzigartige Schlüssel, der von SafeGuard Enterprise nur für den jeweiligen Computer während des ersten Startvorgangs erzeugt wird. Der Benutzer hat keine Auswahlmöglichkeit. Ein definierter Computerschlüssel wird nur für die Boot- und
Systempartition eingesetzt und für Laufwerke, auf denen sich Dokumente und Einstellungen befinden.
• Definierter Schlüssel aus der Liste
Diese Option erlaubt es Ihnen, einen bestimmten Schlüssel zu definieren, der vom Benutzer zur
Verschlüsselung verwendet werden muss. Wenn Sie dem Benutzer einen Schlüssel auf diese
Weise vorgeben wollen, müssen Sie unter Für Verschlüsselung definierter Schlüssel einen
Schlüssel festlegen. Diese Option wird erst angezeigt, wenn Sie Definierter Schlüssel aus der
Liste ausgewählt haben.
Wenn Sie auf die [...] Schaltfläche neben der Option Für Verschlüsselung definierter
Schlüssel klicken, wird ein Dialog angezeigt, in dem Sie einen Schlüssel angeben können.
Stellen Sie sicher, dass der Benutzer auch den entsprechenden Schlüssel hat.
Markieren Sie den gewünschten Schlüssel und klicken Sie auf OK. Der ausgewählte Schlüssel wird auf dem Endpoint-Computer zur Verschlüsselung verwendet.
Zuweisen von Schlüsseln im Bereich Benutzer & Computer
Um Schlüssel zuzuweisen, benötigen Sie das Zugriffsrecht Voller Zugriff für das relevante Objekt.
So weisen Sie Benutzern neue Schlüssel zu:
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Wählen Sie im Navigationsbereich das gewünschte Objekt aus (z. B. Benutzer, Gruppe oder
Container).
3. Klicken Sie mit der rechten Maustaste auf die Registerkarte Schlüssel und wählen Sie Neuen
Schlüssel zuweisen aus dem Kontextmenü.
4. Führen Sie im Dialog Neuen Schlüssel zuweisen folgende Aufgaben aus:
Copyright © Sophos Limited 129
SafeGuard Enterprise Administratorhilfe a) Geben Sie einen Symbolischen Namen und eine Beschreibung für den Schlüssel ein.
b) Um den Schlüssel im Schlüsselring des Benutzers zu verbergen, wählen Sie das
Kontrollkästchen Schlüssel verbergen.
5. Klicken Sie auf OK.
Der Schlüssel wird zugewiesen und in der Schlüssel Registerkarte angezeigt.
Entziehen von Schlüsseln im Bereich Benutzer & Computer
Stellen Sie Sicher, dass Sie das Recht Schlüssel entziehen haben. Es ist Teil der vordefinierten
Rolle Sicherheitsbeauftragter.
Um einem Benutzer den persönlichen Schlüssels zu entziehen, benötigen Sie zusätzlich das
Recht Persönliche Schlüssel verwalten. Standardmäßig hat dieses Recht nur ein Haupt-
Sicherheitsbeauftragter.
Um einen Schlüssel zu entziehen gehen Sie folgendermaßen vor:
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Wählen Sie im Navigationsbereich das gewünschte Objekt aus (z. B. Benutzer, Gruppe oder
Container).
3. Wählen Sie den Schlüssel auf der Registerkarte Schlüssel aus.
4. Klicken Sie mit der rechten Maustaste auf den Schlüssel und wählen Sie Entfernen aus dem
Kontextmenü.
5. Bestätigen Sie das Entfernen mit Ja.
6. Klicken Sie auf OK.
Der Schlüssel wird dem Benutzer entzogen, wird nicht mehr auf der Registerkarte Schlüssel angezeigt und wieder in der Liste Verfügbare Schlüssel angezeigt.
Verbergen von Schlüsseln
Um zu vermeiden, dass zu viele nicht benutzte Schlüssel im Schlüsselring des Benutzers auf dem Endpoint angezeigt werden, können Sie festlegen, dass Schlüssel ausgeblendet werden sollen. Schlüssel, die nicht im Schlüsselring des Benutzers angezeigt werden, können trotzdem noch für den Zugriff auf verschlüsselte Dateien benutzt werden. Sie können jedoch nicht für das
Verschlüsseln neuer Dateien verwendet werden.
So verbergen Sie Schlüssel:
1. Klicken Sie im SafeGuard Management Center auf Schlüssel & Zertifikate.
2. Klicken Sie im Navigationsbereich auf Schlüssel > Zugewiesene Schlüssel.
Das Fenster Zugewiesene Schlüssel mit der Spalte Schlüssel verbergen wird angezeigt.
3. Hier gibt es zwei Möglichkeiten:
• Wählen Sie das Kontrollkästchen Schlüssel verbergen für den gewünschten Schlüssel.
• Wählen Sie einen oder mehrere Schlüssel aus und öffnen Sie das Kontextmenü per
Rechtsklick.
Wählen Sie Schlüssel vor Benutzer verbergen.
4. Speichern Sie Ihre Änderungen in der Datenbank.
Die angegebenen Schlüssel werden nicht im Schlüsselring des Benutzers angezeigt.
Weitere Informationen zum Anzeigen des Schlüsselrings des Benutzers auf dem Endpoint finden Sie in der SafeGuard Enterprise Benutzerhilfe im Kapitel SafeGuard Enterprise verwalten.
Wenn in einer Richtlinie ein verborgener Schlüssel für die Verschlüsselung festgelegt ist, hat die
Einstellung Schlüssel verbergen keine Auswirkungen auf die Verschlüsselung auf dem Endpoint.
130 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Persönliche Schlüssel für die dateibasierende Verschlüsselung mit File
Encryption
Ein persönlicher Schlüssel ist eine besondere Art von Verschlüsselungschlüssel, der für einen bestimmten Benutzer erzeugt wird und nicht mit anderen Benutzern gemeinsam verwendet werden kann. Ein persönlicher Schlüssel, der für einen bestimmten Benutzer aktiv ist, wird als aktiver persönlicher Schlüssel bezeichnet. Aktive persönliche Schlüssel können anderen Benutzern nicht zugewiesen werden.
In File Encryption Richtlinien können Sie Verschlüsselungsregeln mit dem Platzhalter
Persönlicher Schlüssel statt eines Schlüsselnamens definieren. Für solche Regeln wird als
Verschlüsselungsschlüssel der aktive persönliche Schlüssel des Benutzers verwendet.
Wenn Sie eine Verschlüsselungsregel für den Pfad C:\encrypt für die Verschlüsselung mit dem persönlichen Schlüssel definieren, werden für die einzelnen Benutzer unterschiedliche Schlüssel verwendet. So können Sie sicherstellen, dass die Informationen in spezifischen Ordnern für die
Benutzer privat sind. Weitere Informationen finden Sie unter Pfadbasierte Dateiverschlüsselung
(Seite 261).
Wenn eine File Encryption Verschlüsselungsregel einen persönlichen Schlüssel für die
Verschlüsselung vorsieht, werden für die relevanten Benutzer automatisch persönliche Schlüssel erzeugt, wenn sie noch keine aktiven persönlichen Schlüssel haben.
Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie persönliche Schlüssel für ausgewählte Benutzer oder alle Benutzer in ausgewählten Gruppen im SafeGuard Management
Center erzeugen. Sie können aktive persönliche Schlüssel auch zurückstufen, wenn zum Beispiel ein Benutzer das Unternehmen verlässt.
Automatisches Erzeugen von persönlichen Schlüsseln
Wenn eine File Encryption Verschlüsselungsregel einen persönlichen Schlüssel für die
Verschlüsselung vorsieht und der Benutzer noch keinen aktiven persönlichen Schlüssel hat, erzeugt der SafeGuard Enterprise Server diesen automatisch. Nach Eingang der Richtlinie auf dem Endpoint kann der Benutzer so lange keine neuen Dateien in den von der File Encryption
Verschlüsselungsregel abgedeckten Ordner anlegen, bis der erforderliche aktive persönliche
Schlüssel verfügbar wird.
Wenn Sie zum ersten Mal File Encryption Richtlinien mit Verschlüsselungsregeln mit persönlichen
Schlüsseln auf eine größere Gruppe von Benutzern (mehrere hundert oder mehr) anwenden, die noch keine aktiven persönlichen Schlüssel haben, empfehlen wir, persönliche Schlüssel im
Erzeugen eines persönlichen Schlüssels für einzelne Benutzer
Um einen persönlichen Schlüssel zu erzeugen, benötigen Sie die Rechte Schlüssel erzeugen und
Schlüssel zuweisen. Darüber hinaus benötigen Sie das Zugriffsrecht Voller Zugriff für das relevante
Objekt. Um einen aktiven persönlichen Schlüssel zu ersetzen, benötigen Sie das Recht Persönliche
Schlüssel verwalten.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Wählen Sie im Navigationsbereich den gewünschten Benutzer.
3. Klicken Sie mit der rechten Maustaste auf die Registerkarte Schlüssel und wählen Sie Neuen
Schlüssel zuweisen aus dem Kontextmenü.
4. Führen Sie im Dialog Neuen Schlüssel zuweisen folgende Aufgaben aus: a) Geben Sie eine Beschreibung für den persönlichen Schlüssel ein.
b) Um den persönlichen Schlüssel im Schlüsselring des Benutzers zu verbergen, wählen Sie
Schlüssel verbergen.
Copyright © Sophos Limited 131
SafeGuard Enterprise Administratorhilfe
5. Abhängig davon, ob Sie einen persönlichen Schlüssel für einen Benutzer erzeugen, der bereits eine aktiven persönlichen Schlüssel hat, oder für einen Benutzer ohne einen solchen Schlüssel, zeigt der Dialog Neuen Schlüssel zuweisen verschiedene Kontrollkästchen. Wählen Sie das jeweils angezeigte Kontrollkästchen, um den neuen Schlüssel als persönlichen Schlüssel zu definieren:
• Persönlicher Schlüssel: Dieses Kontrollkästchen wird für Benutzer angezeigt, die noch keinen aktiven persönlichen Schlüssel haben.
• Aktiven persönlichen Schlüssel ersetzen: Dieses Kontrollkästchen wird für Benutzer angezeigt, die bereits einen aktiven persönlichen Schlüssel haben.
6. Klicken Sie auf OK.
Der persönliche Schlüssel wird für den ausgewählten Benutzer erzeugt. In der Registerkarte Schlüssel wird der Schlüssel als Aktiver persönlicher Schlüssel für den Benutzer angezeigt. Bei Benutzern, die bereits einen aktiven persönlichen Schlüssel hatten, wird der vorhandene Schlüssel zurückgestuft und der Benutzer erhält einen neuen. Der zurückgestufte persönliche Schlüssel verbleibt im Schlüsselring des Benutzers. Der aktive persönlichen Schlüssel kann anderen Benutzern nicht zugewiesen werden.
Erzeugen von persönlichen Schlüsseln für mehrere Benutzer
Um persönliche Schlüssel zu erzeugen, benötigen Sie die Rechte Schlüssel erzeugen und Schlüssel
zuweisen. Darüber hinaus benötigen Sie das Zugriffsrecht Voller Zugriff für alle beteiligten Objekte.
Um aktive persönliche Schlüssel zu ersetzen, benötigen Sie das Recht Persönliche Schlüssel
verwalten.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf den Knoten, für den Sie persönliche Schlüssel erzeugen möchten:
• auf einen Domänenknoten,
• auf den Knoten .Automatisch registriert im Stammverzeichnis oder in Domänen oder
• auf einen Knoten einer Organisationseinheit.
3. Wählen Sie aus dem Kontextmenü den Befehl Persönliche Schlüssel für Benutzer erzeugen.
4. Führen Sie im Dialog Persönliche Schlüssel für Benutzer erzeugen folgende Schritte durch: a) Geben Sie eine Beschreibung für die persönlichen Schlüssel ein.
b) Um die persönlichen Schlüssel im Schlüsselring der Benutzer zu verbergen, wählen Sie
Schlüssel verbergen.
c) Um vorhandene, aktive Schlüssel durch neue zu ersetzen, wählen Sie Vorhandene, aktive
persönliche Schlüssel ersetzen.
5. Klicken Sie auf OK.
Für alle Benutzer im ausgewählten Knoten werden persönliche Schlüssel erzeugt. In der Registerkarte
Schlüssel werden die Schlüssel als Aktive persönliche Schlüssel für die Benutzer angezeigt. Wenn
Benutzer bereits zuvor einen aktiven persönlichen Schlüssel hatten und Sie Vorhandene, aktive
persönliche Schlüssel ersetzen gewählt haben, werden die vorhandenen Schlüssel zurückgestuft und die Benutzer erhalten neue. Die zurückgestuften persönlichen Schlüssel verbleiben in den
Schlüsselringen der Benutzer. Die einzelnen aktiven persönlichen Schlüssel können anderen
Benutzern nicht zugewiesen werden.
Zurückstufen von aktiven persönlichen Schlüsseln
Um aktive persönliche Schlüssel zurückzustufen, benötigen Sie die Rechte Schlüssel ändern und
Persönliche Schlüssel verwalten. Das Recht Persönliche Schlüssel verwalten ist standardmäßig der vordefinierten Rolle des Haupt-Sicherheitsbeauftragten (Master Security Officer) zugewiesen. Es kann jedoch auch neuen, benutzerdefinierten Rollen zugewiesen werden. Darüber hinaus benötigen
Sie das Zugriffsrecht Voller Zugriff für das relevante Objekt.
132 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Sie können aktive persönliche Schlüssel manuell zurückstufen, wenn zum Beispiel ein Benutzer das Unternehmen verlässt. Wenn Sie das Recht Persönliche Schlüssel verwalten haben, können
Sie den zurückgestuften persönlichen Schlüssel dieses Benutzers anderen Benutzern zuweisen, um Ihnen Lesezugriff auf Dateien zu gewähren, die mit diesem Schlüssel verschlüsselt sind. Der
Schlüssel kann jedoch nicht zum Verschlüsseln von Dateien verwendet werden.
Dieser Vorgang kann nicht rückgängig gemacht werden. Ein zurückgestufter persönlicher Schlüssel kann nicht mehr als aktiver persönlicher Schlüssel verwendet werden, egal für welchen Benutzer.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Wählen Sie im Navigationsbereich den gewünschten Benutzer.
3. Klicken Sie in der Registerkarte Schlüssel mit der rechten Maustaste auf den gewünschten
Aktiven persönlichen Schlüssel und wählen Sie Persönlichen Schlüssel zurückstufen aus dem Kontextmenü.
Der Schlüssel wird zurückgestuft. Er ist immer noch ein persönlicher Schlüssel, kann jedoch nicht mehr als aktiver persönlicher Schlüssel verwendet werden. Wenn eine File Encryption
Verschlüsselungsregel den persönlichen Schlüssel für die Verschlüsselung vorsieht und der
Benutzer keinen aktiven persönlichen Schlüssel hat, erzeugt der SafeGuard Enterprise Server diesen automatisch.
Zertifikate
• Einem Benutzer kann jeweils nur ein Zertifikat zugewiesen sein. Wenn dieses Benutzerzertifikat auf einem Token gespeichert ist, können die Benutzer sich nur mit diesem Token (kryptographischer
Token - Kerberos) an ihrem Endpoint anmelden.
• Beachten Sie, dass beim Importieren eines Benutzerzertifikats sowohl der öffentliche als auch der private Bereich des Zertifikats importiert werden. Wird nur der öffentliche Bereich importiert, so wird nur die Anmeldung mit Token unterstützt.
• Die Kombination aus CA Zertifikaten und CRL (Certificate Revocation List) Zertifikaten muss
übereinstimmen. Andernfalls können sich die Benutzer nicht an den entsprechenden Endpoints anmelden. Bitte überprüfen Sie, ob die Kombination korrekt ist. SafeGuard Enterprise übernimmt diese Überprüfung nicht!
• Wenn Certification Authority (CA) Zertifikate in der Datenbank gelöscht werden und Sie diese nicht mehr verwenden möchten, sollten Sie diese Zertifikate manuell aus dem lokalen Speicher aller Administrator-Computer entfernen.
SafeGuard Enterprise kann dann nur mit ablaufenden Zertifikaten umgehen, wenn der alte und neue private Schlüssel auf demselben Token stehen.
• CA-Zertifikate können nicht von einem Token entnommen und in der Datenbank oder im
Zertifikatsspeicher gespeichert werden. Wenn Sie CA-Zertifikate verwenden möchten, müssen diese in Dateiform zur Verfügung stehen, nicht nur auf einem Token. Dies gilt auch für CRLs.
• Von SafeGuard Enterprise generierte Zertifikate sind mit SHA-1 oder SHA-256 zur Verifizierung signiert. SHA-256 bietet erweiterte Sicherheit und wird standardmäßig für Erstinstallationen benutzt. Wenn Sie noch Endpoints mit SafeGuard Enterprise 6 oder älter verwalten müssen oder wenn Sie eine ältere Version aktualisieren, wird standardmäßig SHA-1 benutzt.
• Zertifikate, die vom Kunden zur Verfügung gestellt und in SafeGuard Enterprise importiert werden, werden derzeit nicht gemäß RFC3280 verifiziert. So wird z. B. nicht verhindert, dass
Signatur-Zertifikate für Verschlüsselungszwecke benutzt werden.
• Die Anmeldezertifikate für Sicherheitsbeauftragte müssen sich im “MY” Zertifikatspeicher befinden.
Die Liste Zugewiesene Zertifikate unter Schlüssel und Zertifikate zeigt nur die Zertifikate, die
Objekten zugewiesen sind, für die Sie die Zugriffsrechte Schreibgeschützt oder Voller Zugriff
Copyright © Sophos Limited 133
SafeGuard Enterprise Administratorhilfe haben. In der Ansicht Zertifikat wird die Anzahl an allen verfügbaren Zertifikaten ungeachtet Ihrer
Zugriffsrechte angegeben. Die Liste Zugewiesene Zertifikate zeigt die Anzahl an Zertifikaten, die gemäß Ihren Zugriffsrechten sichtbar sind.
Um Zertifikate zu ändern, benötigen Sie das Zugriffsrecht Voller Zugriff für den Container, in dem sich der Benutzer befindet.
Importieren von CA-Zertifikaten und Certificate Revocation Lists
Wenn CA-Zertifikate verwendet werden, importieren Sie die vollständige CA-Hierarchie einschließlich aller CRLs in die SafeGuard-Datenbank. CA-Zertifikate können nicht von Token entnommen werden. Diese Zertifikate müssen als Dateien zur Verfügung stehen, damit Sie sie in die
SafeGuard Enterprise Datenbank importieren können. Dies gilt auch für Certificate Revocation Lists
(CRL).
1. Klicken Sie im SafeGuard Management Center auf Schlüssel & Zertifikate.
2. Wählen Sie Zertifikate und klicken Sie auf das CA-Zertifikate importieren Symbol in der
Symbolleiste. Suchen Sie die CA-Zertifikatsdateien, die Sie importieren möchten.
Die importierten Zertifikate werden im rechten Aktionsbereich angezeigt.
3. Wählen Sie Zertifikate und klicken Sie auf das CRL importieren Symbol in der Symbolleiste.
Suchen Sie die CRL-Dateien, die Sie importieren möchten.
Die importierten CRLs werden im rechten Aktionsbereich angezeigt.
4. Überprüfen Sie, ob CA und CRL korrekt sind und übereinstimmen. Die Kombination von CA-
Zertifikaten und CRL zusammenpassen, da ansonsten eine Anmeldung an allen betroffenen
Computern nicht mehr möglich ist. SafeGuard Enterprise übernimmt diese Überprüfung nicht.
Ändern des Algorithmus für selbst-signierte Zertifikate
• Alle SafeGuard Enterprise Komponenten müssen die Version 6.1. oder später haben.
Von SafeGuard Enterprise erzeugte Zertifikate, zum Beispiel Unternehmens-, Maschinen-,
Sicherheitsbeauftragten- und Benutzerzertifikate, sind bei einer Erstinstallation standardmäßig zur
Erweiterung der Sicherheit mit dem Hash-Algorithmus SHA-256 signiert.
Bei der Aktualisierung von SafeGuard Enterprise 6 oder einer früheren Version wird für selbstsignierte Zertifikate automatisch der Hash-Algorithmus SHA-1 benutzt. Nach Abschluss der
Aktualisierung können Sie den Hash-Algorithmus für erweiterte Sicherheit manuell zu SHA-256
ändern.
Ändern Sie den Algorithmus nur dann zu SHA-256, wenn bei allen SafeGuard Enterprise
Komponenten und Endpoints eine Aktualisierung auf die aktuelle Version durchgeführt wurde.
In gemischten Umgebungen, in denen zum Beispiel SafeGuard Enterprise 6 Endpoints mit dem
SafeGuard Management Center 7 verwaltet werden, wird SHA-256 nicht unterstützt. Wenn Sie eine gemischte Umgebung benutzen, dürfen Sie diesen Vorgang nicht ausführen. In diesem Fall dürfen
Sie den Algorithmus nicht zu SHA-256 ändern.
Zum Ändern des Algorithmus für selbst-signierte Zertifikate müssen Sie folgende Handlungsschritte ausführen:
• Ändern des Hash-Algorithmus
• Erzeugen einer Certificate Change Order (CCO)
• Erzeugen eines Konfigurationspakets mit der CCO
• Neustart der SafeGuard Enterprise (Datenbank-) Server
• Verteilen und Installieren der Konfigurationspakete auf den Endpoints
So ändern Sie den Algorithmus für selbst-signierte Zertifikate:
1. Wählen Sie in der SafeGuard Management Center Menüleiste ExtrasOptionen.
2. Wählen Sie in der Registerkarte Allgemein unter Zertifikate den erforderlichen Algorithmus in
Hash-Algorithmus für erzeugte Zertifikate aus und klicken Sie auf OK.
134 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
3. Klicken Sie in der Registerkarte Zertifikate unter Anforderung auf Aktualisieren. Geben Sie im
Dialog Unternehmenszertifikat aktualisieren einen Namen für die CCO an und legen Sie einen
Backup-Pfad fest. Geben Sie ein Kennwort für die P12-Datei ein und bestätigen Sie Ihre Eingabe.
Geben Sie nach Wunsch eine Anmerkung ein und klicken Sie auf Erzeugen.
4. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass diese Änderung nicht rückgängig gemacht werden kann und dass alle nachfolgend erstellten Konfigurationspakete diese CCO enthalten müssen, damit Sie auf bereits installierten Endpoints wirksam werden können.
5. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass die Aktualisierung erfolgreich war und dass eine CCO erzeugt wurde, die in alle Konfigurationspakete aufgenommen werden soll. Klicken
Sie auf OK.
6. Klicken Sie im Extras Menü auf Konfigurationspakete.
7. Wählen Sie den erforderlichen Konfigurationspakettyp: Pakete für Managed Clients oder Pakete
für Standalone Clients.
8. Klicken Sie auf Konfigurationspaket hinzufügen und geben Sie einen Namen Ihrer Wahl für das
Konfigurationspaket ein.
9. Wählen Sie die zuvor erstellte CCO.
10. Treffen Sie je nach Anforderung eine zusätzliche Auswahl.
11. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an.
12. Klicken Sie auf Konfigurationspaket erstellen.
Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt.
13. Starten Sie alle SafeGuard Enterprise (Datenbank-) Server neu.
14. Verteilen Sie das Paket an die durch SafeGuard Enterprise geschützten Endpoints zur Installation.
Alle durch SafeGuard Enterprise generierten Zertifikate werden mit dem neuen Algorithmus signiert.
Weitere Informationen finden Sie im Sophos Knowledegebase-Artikel 116791 .
Ein Zertifikat aus dem Active Directory zuweisen
• Das Zertifikat muss auf der Registerkarte Veröffentlichte Zertifikate der Benutzereigenschaften in
Active Directory aufgeführt sein.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Wählen Sie den Benutzer aus, dem Sie ein Zertifikat zuweisen wollen, und öffnen Sie im rechten
Arbeitsbereich die Registerkarte Zertifikat.
3. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Symbol Ein Zertifikat
im Verzeichnis finden oder wählen Sie Ein Zertifikat im Verzeichnis finden aus dem Menü
Aktionen.
4. Wählen Sie das Zertifikat im Dialog Ein Zertifikat aus dem Verzeichnis zuweisen aus.
5. Klicken Sie auf OK.
Das Zertifikat wird dem Benutzer zugewiesen. Einem Benutzer kann jeweils nur ein Zertifikat zugewiesen sein.
Ein Zertifikat erzeugen und zuweisen
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Wählen Sie den Benutzer aus, dem Sie ein Zertifikat zuweisen wollen, und öffnen Sie im rechten
Arbeitsbereich die Registerkarte Zertifikat.
3. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Symbol Zertifikat
hinzufügen oder wählen Sie Zertifikat hinzufügen aus dem Menü Aktionen.
4. Geben Sie ein Kennwort ein und bestätigen Sie diese.
5. Klicken Sie auf OK.
Das Zertifikat wird dem Benutzer zugewiesen. Einem Benutzer kann jeweils nur ein Zertifikat zugewiesen sein.
Copyright © Sophos Limited 135
SafeGuard Enterprise Administratorhilfe
136
Exportieren des Unternehmenszertifikats und des Zertifikats des Haupt-
Sicherheitsbeauftragten
In einer SafeGuard Enterprise Installation sind die beiden folgenden Elemente von entscheidender
Bedeutung und erfordern daher die Erstellung von Backups an einem sicheren Speicherort:
• das in der SafeGuard-Datenbank gespeicherte Unternehmenszertifikat
• das Zertifikat des Haupt-Sicherheitsbeauftragten (MSO) im Zertifikatsspeicher des Computers, auf dem das SafeGuard Management Center installiert ist.
Beide Zertifikate lassen sich als .p12 Dateien zur Erstellung von Sicherungskopien exportieren.
Um Installationen wiederherzustellen, können Sie die relevanten Unternehmens- und
Sicherheitsbeauftragtenzertifikate als .p12 Dateien importieren und Sie beim Einrichten einer neuen
Datenbank benutzen. Dadurch vermeiden Sie das Wiederherstellen der gesamten Datenbank.
Hinweis
Wir empfehlen, diesen Vorgang direkt nach der Erstkonfiguration des SafeGuard Management
Centers auszuführen.
Zum Exportieren des Zertifikats des Haupt-Sicherheitsbeauftragten, siehe
Exportieren des Zertifikats des Haupt-Sicherheitsbeauftragten
(Seite 104).
Exportieren von Unternehmenszertifikaten
Nur Haupt-Sicherheitsbeauftragte sind dazu berechtigt, Unternehmenszertifikate zur Erstellung eines
Backups zu exportieren.
1. Wählen Sie in der SafeGuard Management Center Menüleiste ExtrasOptionen.
2. Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich Unternehmenszertifikat auf Exportieren.
3. Sie werden aufgefordert, ein Kennwort für die Sicherung der exportierten Datei einzugeben. Geben
Sie ein Kennwort ein, bestätigen Sie es und klicken Sie auf OK.
4. Geben Sie einen Dateinamen und einen Speicherort für die zu exportierende Datei ein und klicken
Sie auf OK.
Das Unternehmenszertifikat wird als P12-Datei an den definierten Speicherort exportiert und kann für Recovery-Vorgänge benutzt werden.
3.8.12 Company Certificate Change Orders
Company Certificate Change Orders (CCOs) werden in folgenden Fällen verwendet:
• Zum Erneuern des Unternehmenszertifikats, wenn dieses bald abläuft.
Die Erneuerung des Unternehmenszertifikats ist für zentral verwaltete Endpoints und
Standalone-Endpoints möglich. Der Vorgang kann jedoch nur von der Management-Konsole aus ausgelöst werden.
• Zum Verschieben von Standalone-Endpoints in eine andere Umgebung, wenn Sie zum
Beispiel zwei verschiedene Sophos SafeGuard Umgebungen haben und Sie diese in eine
Sophos SafeGuard Umgebung zusammenführen möchten. Eine der beiden Umgebungen muss hier jeweils die Ziel-Umgebung sein.
Hierzu wird das Unternehmenszertifikat der Endpoints einer Umgebung durch das
Unternehmenszertifikat der Zielumgebung ausgetauscht.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Nur Haupt-Sicherheitsbeauftragte sind zum Erzeugen von CCOs berechtigt. Um andere Sicherheitsbeauftragte dazu zu berechtigen, CCOs zu erzeugen, muss der
Hauptsicherheitsbeauftragte eine benutzerdefinierte Rolle erstellen und dieser das Recht CCOs
verwalten zuweisen.
Erneuern des Unternehmenszertifikats
Ein Unternehmenszertifikat, das bald abläuft, kann im SafeGuard Management Center erneuert werden. Sechs Monate vor Ablauf des Unternehmenszertifikat wird bei jeder Anmeldung an das
SafeGuard Management Center eine Warnung angezeigt. Ohne gültiges Unternehmenszertifikat können Endpoints keine Verbindung mit dem Server herstellen. Die Erneuerung des
Unternehmenszertifikats erfolgt in drei Schritten:
• Erzeugen einer Certificate Change Order (CCO)
• Erzeugen eines Konfigurationspakets mit der CCO
• Neustart der Server und Verteilen der Konfigurationspakete an die Endpoints
So erneuern Sie das Unternehmenszertifikat:
1. Wählen Sie in der SafeGuard Management Center Menüleiste ExtrasOptionen.
2. Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich Anforderung auf
Aktualisieren.
3. Geben Sie im Dialog Unternehmenszertifikat aktualisieren einen Namen für die CCO an und legen Sie einen Backup-Pfad fest. Geben Sie ein Kennwort für die P12-Datei ein und bestätigen
Sie Ihre Eingabe. Geben Sie nach Wunsch eine Anmerkung ein und klicken Sie auf Erzeugen.
4. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass diese Änderung nicht rückgängig gemacht werden kann und dass alle nachfolgend erstellten Konfigurationspakete diese CCO enthalten müssen, damit Sie auf bereits installierten Endpoints wirksam werden können.
5. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass die Aktualisierung erfolgreich war und dass eine CCO erzeugt wurde, die in alle Konfigurationspakete aufgenommen werden soll. Klicken
Sie auf OK.
6. Klicken Sie im Extras Menü auf Konfigurationspakete.
7. Wählen Sie Pakete für Managed Clients.
8. Klicken Sie auf Konfigurationspaket hinzufügen und geben Sie einen Namen Ihrer Wahl für das
Konfigurationspaket ein.
9. Ordnen Sie einen Primären Server zu (der Sekundäre Server ist nicht notwendig).
10. Wählen Sie die zuvor zur Aktualisierung des Unternehmenszertifikats erstellte CCO.
11. Wählen Sie den Modus für die Transportverschlüsselung, der bestimmt, wie die Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server verschlüsselt wird:
SafeGuard-Transportverschlüsselung oder SSL-Verschlüsselung.
Der Vorteil bei SSL ist, dass es ein Standardprotokoll ist und eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschlüsselung. SSL-Verschlüsselung wird standardmäßig ausgewählt. Weitere Informationen zur Absicherung von Transportverbindungen mit SSL finden Sie unter
Sichern von Transportverbindungen mit SSL
(Seite 31).
12. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an.
13. Klicken Sie auf Konfigurationspaket erstellen.
WennSie als Modus für die Transportverschlüsselung die SSL-Verschlüsselung ausgewählt haben, wird die Serververbindung validiert. Wenn die Verbindung fehlschlägt, wird eine
Warnungsmeldung angezeigt.
Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Starten Sie alle SGN
Server neu. Sie müssen das Paket auf den Endpoints verteilen und installieren.
Copyright © Sophos Limited 137
SafeGuard Enterprise Administratorhilfe
Ersetzen des Unternehmenszertifikats
Das Ersetzen des Unternehmenszertifikats ist notwendig, wenn Sie einen Endpoint von einer
Standalone-Umgebung in eine andere verschieben möchten. Der zu verschiebende Endpoint benötigt das Unternehmenszertifikat der Umgebung, in die er verschoben werden soll. Andernfalls akzeptiert der Endpoint keine Richtlinien in der neuen Umgebung.
Folgende Voraussetzungen müssen erfüllt sein:
Definieren Sie, welche Management Center Umgebung die Ausgangs- und welche die
Ziel-Umgebung sein soll. Das Ausgangs-Management Center ist jenes, mit dem Sie die
Konfigurationspakete für die Endpoints erstellt haben, die verschoben werden sollen. Das Ziel-
Management Center ist jenes, in das die Endpoints verschoben werden sollen.
So ersetzen Sie das Unternehmenszertifikat:
1. Öffnen Sie das Ziel-Management Center und wählen Sie ExtrasOptionen.
2. Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich Unternehmenszertifikat auf Exportieren.
3. Wenn aufgefordert, geben Sie ein Kennwort für den Zertifikatsspeicher ein und bestätigen Sie es und wählen Sie das Zielverzeichnis und den Dateinamen.
Das Unternehmenszertifikat wird exportiert (cer-Datei).
4. Öffnen Sie das Ausgangs-Management Center und wählen Sie ExtrasOptionen.
5. Wählen Sie die Registerkarte Zertifikate und klicken Sie im Bereich Anforderung auf Erzeugen.
6. Wählen Sie im Dialog CCO erzeugen das Ziel-Unternehmenszertifikat aus, das Sie im Ziel-
Management Center exportiert haben (Schritt 1). Stellen Sie sicher, dass es sich um das gewünschte Zertifikat handelt.
7. Klicken Sie auf Erzeugen und wählen Sie ein Zielverzeichnis und einen Dateinamen für die .cco-Datei aus. Bestätigen Sie, dass Sie eine Company Certificate Change Order erstellen möchten. Bitte beachten Sie, dass eine Company Certificate Change Order nicht an spezifische
Endpoints gebunden ist. Mit einer Company Certificate Change Order lässt sich jeder Client der
Ausgangsumgebung verschieben.
8. Importieren Sie im Ziel-Management Center die im Ausgangs-Management Center erzeugte
Company Certificate Change Order.
9. Klicken Sie im Extras Menü auf Konfigurationspakete... und wählen Sie dann die Registerkarte
CCOs.
10. Klicken Sie auf Importieren.
11. Wählen Sie im Dialog CCO importieren die im Ausgangs-Management Center erzeugte Company
Certificate Change Order und geben Sie einen Namen und nach Wunsch eine Beschreibung ein.
Klicken Sie auf OK.
12. Erstellen Sie im Ziel-Management Center ein Konfigurationspaket.
13. Klicken Sie im Menü Extras auf KonfigurationspaketePakete für Standalone Clients und fügen
Sie ein neues Konfigurationspaket hinzu.
14. Wählen Sie die importierte Company Certificate Change Order aus dem Dropdown-Menü der
Spalte CCO.
15. Geben Sie unter Konfigurationspaket-Ausgabepfad einen Speicherort an.
16. Klicken Sie auf Konfigurationspaket erstellen.
Das Konfigurationspaket wird am angegebenen Speicherort angelegt.
17. Installieren Sie dieses Konfigurationspaket auf allen Endpoints, die Sie von der Ausgangs- in die
Zielumgebung verschieben möchten.
138 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Verwalten von Company Certificate Change Orders
Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete. Alle erzeugten CCOs werden in der Registerkarte CCOs angezeigt.
Im unteren Bereich des Dialogs werden detaillierte Informationen zur ausgewählten CCO angezeigt.
Wenn die CCO für die Erneuerung des Unternehmenszertifikats erstellt wurde, wird das Quell-
Unternehmenszertifikat aktualisiert. Wenn die CCO für eine Verschiebung von Endpoints erstellt wurde, aktualisieren Sie das Unternehmenszertifikat der Umgebung, in die die Endpoints verschoben werden sollen.
Das Ziel-Unternehmenszertifikat ist das neue Unternehmenszertifikat, wenn die CCO zur
Aktualisierung des Unternehmenszertifikats oder des Unternehmenszertifikats der Umgebung, in die die Endpoints verschoben werden sollen, erzeugt wurde.
Unter den Zertifikatsinformationen sehen Sie, für welche Vorgänge die ausgewählte CCO verwendet werden kann.
Für die Verwaltung von CCOs benötigen Sie das Recht CCOs verwalten.
Import
Um beim Erstellen von Konfigurationspaketen die von einem anderen Management-Werkzeug erstellte CCO auszuwählen um das Unternehmenszertifikat zu ändern, müssen Sie es erst importieren.
Klicken Sie auf Importieren..., um einen Dialog zu öffnen, in dem Sie die CCO auswählen und benennen können. Der hier eingegebene Name wird in der Registerkarte CCOs unter
Konfigurationspakete angezeigt.
Export
Mit der Exportieren Funktion lassen sich in der Datenbank gespeicherte CCOs als .cco-Dateien exportieren.
3.8.13 Lizenzen
Für die Nutzung von SafeGuard Enterprise mit dem SafeGuard Management Center im produktiven
Betrieb ist eine gültige Lizenz erforderlich. So ist eine gültige Lizenz in der SafeGuard Enterprise
Datenbank zum Beispiel die Voraussetzung für die Übertragung von Richtlinien an die Endpoints.
Darüber hinaus sind für die Token-Verwaltung die entsprechenden Token-Lizenzen notwendig.
Sie erhalten Lizenzdateien von Ihrem Vertriebspartner. Diese Dateien müssen nach der Installation in die SafeGuard Enterprise Datenbank importiert werden.
Die Lizenzdatei enthält u. a. folgende Informationen:
• Anzahl an erworbenen Lizenzen pro Modul
• Kundenname
Bei Überschreiten der verfügbaren Lizenzen bzw. des Toleranzlimits werden beim Starten des
SafeGuard Management Centers entsprechende Warnungs- bzw. Fehlermeldungen ausgegeben.
Für die Lizenzverwaltung bietet das SafeGuard Management Center im Bereich Benutzer &
Computer einen Überblick zum Lizenzstatus des installierten SafeGuard Enterprise Systems. Der
Copyright © Sophos Limited 139
SafeGuard Enterprise Administratorhilfe
Lizenzstatusüberblick steht in der Registerkarte Lizenzen für den Stamm-Knoten, für Domänen,
OUs, Containerobjekte und Arbeitsgruppen zur Verfügung. Sicherheitsbeauftragte erhalten hier detaillierte Informationen zum Lizenzstatus. Mit der entsprechenden Berechtigung können sie
Lizenzen in die SafeGuard Enterprise Datenbank importieren.
Lizenzdatei
Die Lizenzdatei, die Sie zum Importieren in die SafeGuard Enterprise Datenbank erhalten, ist eine .XML-Datei mit Signatur. Sie enthält folgende Informationen:
• Kundenname
• Zusätzliche Informationen (zum Beispiel Abteilung, Niederlassung)
• Datum, an dem die Lizenz ausgestellt wurde.
• Anzahl an Lizenzen pro Modul
• Token-Lizenzinformationen
• Lizenzablaufdatum
• Lizenztyp (Demo- oder Voll-Lizenz)
• Signatur mit Lizenzsignaturzertifikat
Token-Lizenzen
Für die Verwaltung von Token bzw. Smartcards sind die entsprechenden zusätzlichen Token-
Lizenzen erforderlich. Wenn diese Lizenzen nicht zur Verfügung stehen, können Sie im SafeGuard
Management Center keine Richtlinien für Token erstellen.
Evaluierungslizenzen
Die Evaluierungslizenzdatei kann für Evaluierungszwecke verwendet werden. Diese Lizenzen sind nur für einen bestimmten Zeitraum gültig und haben ein Ablaufdatum, die Funktionalität ist jedoch in keinster Weise eingeschränkt.
Diese Lizenzen dürfen nicht für den regulären produktiven Betrieb genutzt werden.
Nachdem Sie das SafeGuard Management Center installiert und den Konfigurationsassistenten abgeschlossen haben, können Sie die heruntergeladene Testlizenz importieren, siehe
(Seite 142).
So lange Sie keine Lizenzdatei importieren, wird Sie das SafeGuard Management Center daran erinnern.
Testlizenzdateien
Wenn Sie das Produkt herunterladen, können Sie auch eine Testlizenzdatei herunterladen. Diese
Evaluierungslizenz mit der Bezeichnung SafeGuard Enterprise Evaluation License enthält jeweils fünf Lizenzen pro Modul und hat eine zeitlich begrenzte Gültigkeitsdauer von zwei Jahren ab dem
Release-Datum der jeweiligen SafeGuard Enterprise Version.
Individuelle Demo-Lizenzdateien
Wenn Sie mehr Lizenzen für Ihre Evaluierung benötigen als in der Standard-Lizenzdatei enthalten sind, so besteht auch die Möglichkeit, eine an Ihre spezifischen Anforderungen angepasste Demo-
Lizenz zu erhalten. Wenden Sie sich hierzu bitte an Ihren Vertriebspartner. Diese Art der Demo-
Lizenz unterliegt ebenfalls einer zeitlichen Beschränkung. Darüber hinaus ist die Lizenz auf die jeweils mit dem Vertriebspartner vereinbarte Anzahl an Lizenzen pro Modul beschränkt.
Wenn Sie das SafeGuard Management Center starten, werden Sie durch eine Warnungsmeldung darauf aufmerksam gemacht, dass Sie Demo-Lizenzen nutzen. Bei Überschreiten der in
140 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe einer Demo-Lizenz festgelegten Anzahl an verfügbaren Lizenzen oder der zeitlich begrenzten
Nutzungsdauer wird eine Fehlermeldung ausgegeben.
Lizenzstatusüberblick
So rufen Sie den Lizenzstatusüberblick auf:
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer & Computer.
2. Klicken Sie im Navigationsfenster auf der linken Seite auf den Stammknoten, die Domäne, die OU, das Containerobjekt oder die Arbeitsgruppe.
3. Wechseln Sie im Aktionsbereich in die Registerkarte Lizenzen.
Der Lizenzstatus wird angezeigt.
Die Anzeige ist in drei Bereiche unterteilt. Der obere Bereich zeigt den Namen des Kunden, für den die Lizenz ausgestellt wurde, sowie das Datum, an dem die Lizenz ausgestellt wurde.
Der mittlere Bereich liefert detaillierte Informationen zur Lizenz. Die einzelnen Spalten enthalten folgende Angaben:
Spalte
Status (Symbol)
Feature
Erworbene Lizenzen
Benutzte Lizenzen
Läuft ab
Typ
Erklärung
Zeigt den Status der Lizenzen (gültig, Warnung, Fehler) für das jeweilige Modul durch ein Symbol an.
Zeigt das installierte Modul an.
Zeigt die Anzahl an erworbenen Lizenzen für das installierte Modul an.
Zeigt die Anzahl an genutzten Lizenzen für das installierte Modul an.
Zeigt das Lizenzablaufdatum an.
Gibt die Lizenzart, Demo-Lizenz oder reguläre Lizenz, an.
Wenn Sie die Registerkarte Lizenzen in einer Domäne/OU aufrufen, zeigt die Übersicht den Status basierend auf den Computern im jeweiligen Zweig.
Unterhalb dieser Übersicht finden Sie Informationen zu den lizenzierten Token-Modulen.
Im unteren Bereich wird der globale Lizenzstatus unabhängig davon, welche Domäne oder OU ausgewählt wurde, angezeigt. Dies erfolgt durch eine Meldung mit einer dem Ampelprinzip folgenden
Hintergrundfarbe (Grün = gültig, Gelb = Warnung, Rot = Fehler) und ein Symbol. Bei Warnungsund Fehlermeldungen erhalten Sie außerdem im unteren Bereich Hinweise zur Aufhebung des ungültigen Lizenzstatus.
Die in der Registerkarte Lizenzen angezeigten Symbole haben folgende Bedeutung:
Gültige Lizenz
Warnung
Eine Lizenz für ein Modul befindet sich im Status Warnung, wenn
• die Anzahl erworbener Lizenzen überschritten wurde.
• die Lizenz abgelaufen ist.
Copyright © Sophos Limited 141
SafeGuard Enterprise Administratorhilfe
Fehler
Eine Lizenz für ein Modul befindet sich im Status Fehler, wenn
• die Lizenz vor mehr als einem Monat abgelaufen ist.
Sie können die Ansicht des Lizenzstatusüberblicks aktualisieren, indem Sie auf die Schaltfläche
Lizenzstatus aktualisieren klicken.
Import von Lizenzdateien
Voraussetzung: Zum Import einer Lizenzdatei in die SafeGuard Enterprise Datenbank benötigt ein
Sicherheitsbeauftragter das Recht "Lizenzdatei importieren".
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Klicken Sie im Navigationsfenster auf der linken Seite auf den Stamm-Knoten, die Domäne oder die OU.
3. Wechseln Sie im Aktionsbereich in die Registerkarte Lizenzen.
4. Klicken Sie auf die Schaltfläche Lizenzdatei importieren.
Es wird ein Fenster zur Auswahl der Lizenzdatei angezeigt.
5. Wählen Sie die zu importierende Lizenzdatei aus und klicken Sie auf Öffnen.
Der Lizenz anwenden? Dialog mit dem Inhalt der Lizenzdatei wird angezeigt.
6. Klicken Sie auf die Schaltfläche Lizenz anwenden.
Die Lizenzdatei wird in die SafeGuard Enterprise Datenbank importiert.
Nach dem Import der Lizenzdatei wird bei Modulen, für die Lizenzen erworben wurden, der
Lizenztyp regulär angegeben. Bei Modulen, für die keine Lizenzen erworben wurden und für die die
Evaluierungslizenz (Standard-Lizenzdatei) oder individuelle Demo-Lizenzen genutzt werden, wird der Lizenztyp Demo angegeben.
Wenn Sie eine neue Lizenzdatei importieren, werden jeweils nur die Module, die in dieser Datei enthalten sind, aktualisiert. Alle übrigen Modul-Lizenzinformationen werden entsprechend den in der
Datenbank enthaltenen Informationen beibehalten. Diese Importfunktion erleichtert die Bewertung zusätzlicher Module nach dem Kauf.
Lizenzüberschreitung
In Ihrer Lizenzdatei ist ein Toleranzwert für die Überschreitung der erworbenen Lizenzen sowie der
Lizenzgültigkeitsdauer festgelegt. Bei Überschreiten der verfügbaren Lizenzen pro Modul oder der
Gültigkeitsdauer wird somit zunächst eine Warnungsmeldung ausgegeben. Der laufende Betrieb des
Systems wird dadurch nicht beeinträchtigt und es tritt in diesem Fall auch keine Einschränkung der
Funktionalität in Kraft. So haben Sie die Gelegenheit, den Lizenzstatus zu prüfen und Ihre Lizenz zu erweitern bzw. zu erneuern. Der Toleranzwert ist auf 10 % der Anzahl an erworbenen Lizenzen (der
Mindestwert: 5, der Höchstwert: 5.000) festgelegt.
Bei Überschreiten der Toleranzwerte wird eine Fehlermeldung ausgegeben. In diesem Fall tritt eine Funktionalitätseinschränkung in Kraft. Die Übertragung von Richtlinien auf die Endpoints wird deaktiviert. Diese Deaktivierung lässt sich nicht im SafeGuard Management Center manuell wieder aufheben. Die Lizenz muss erweitert bzw. erneuert werden, um wieder alle Funktionen nutzen zu können. Außer der Deaktivierung der Richtlinienübertragung hat die Funktionalitätseinschränkung keine Auswirkungen auf die Endpoints. Bereits zugeordnete Richtlinien bleiben aktiv. Die
Deinstallation von Clients ist auch weiterhin möglich.
Die folgenden Abschnitte beschreiben das Systemverhalten bei Lizenzüberschreitungen sowie die
Maßnahmen zur Aufhebung der Funktionalitätseinschränkung.
142 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Ungültige Lizenz: Warnung
Ist die Anzahl an verfügbaren Lizenzen überschritten, so wird beim Starten des SafeGuard
Management Center eine Warnungsmeldung angezeigt.
Das SafeGuard Management Center wird geöffnet und zeigt den Lizenzstatusüberblick in der
Registerkarte Lizenzen des Bereichs Benutzer & Computer.
Auch hier informiert Sie eine Warnungsmeldung darüber, dass die Lizenz ungültig ist. Über die detaillierten Informationen zur Lizenzdatei lässt sich ermitteln, für welches Modul die Anzahl an verfügbaren Lizenzen überschritten wurde. Durch Verlängerung, Erneuerung oder Erweiterung der
Lizenz lässt sich dieser Lizenzstatus ändern.
Ungültige Lizenz: Fehler
Wird der in der Lizenz festgelegte Toleranzwert für die Anzahl an Lizenzen oder die Gültigkeitsdauer
überschritten, so zeigt das SafeGuard Management Center eine Fehlermeldung an.
Im SafeGuard Management Center wird die Übertragung von Richtlinien auf die Endpoint-Computer deaktiviert.
In der Registerkarte Lizenzen im Bereich Benutzer & Computer wird eine Fehlermeldung angezeigt.
Über die detaillierten Informationen zur Lizenzdatei lässt sich ermitteln, für welches Modul die
Anzahl an verfügbaren Lizenzen überschritten wurde.
Um die Einschränkung der Funktionalität aufzuheben, habe Sie folgende Möglichkeiten:
• Lizenzen umverteilen
Um ausreichend verfügbare Lizenzen zu erhalten, können Sie die Software auf nicht genutzten
Endpoints deinstallieren und diese somit dauerhaft aus der SafeGuard Enterprise Datenbank entfernen.
• Lizenzen erweitern/erneuern
Wenden Sie sich an Ihren Vertriebspartner, um Ihre Lizenz zu erweitern bzw. zu erneuern. Sie erhalten eine neue Lizenzdatei zum Import in die SafeGuard Enterprise Datenbank.
• Neue Lizenzdatei importieren
Wenn Sie Ihre Lizenz bereits erneuert bzw. erweitert haben, importieren Sie die erhaltene
Lizenzdatei in die SafeGuard Enterprise Datenbank. Diese neu importierte Datei ersetzt die ungültige Lizenzdatei.
Durch Umverteilen von Lizenzen oder Importieren einer gültigen Lizenzdatei wird die
Funktionalitätseinschränkung aufgehoben und der normale Betrieb des Systems kann fortgesetzt werden.
3.8.14 Token und Smartcards
SafeGuard Enterprise bietet erweiterte Sicherheit durch die Unterstützung von Token und
Smartcards für die Authentisierung. Auf Token/Smartcards lassen sich Zertifikate, digitale Signaturen und biometrische Informationen speichern.
Hinweis
Token und Smartcards können nicht für macOS Endpoints konfiguriert werden.
Die Token-Authentisierung basiert auf dem Prinzip der Zwei-Faktor-Authentisierung: Ein Benutzer verfügt über einen Token (Besitz), kann den Token aber nur nutzen, wenn er das spezifische
Copyright © Sophos Limited 143
SafeGuard Enterprise Administratorhilfe
Token-Kennwort kennt (Wissen). Bei Verwendung eines Token oder einer Smartcard benötigen die
Benutzer zur Authentisierung nur noch den Token und eine PIN.
Smartcards und Token werden aus Sicht von SafeGuard Enterprise gleich behandelt. Deshalb werden im Produkt und in der Hilfe die Begriffe "Token" und "Smartcard" gleichgesetzt. Die
Verwendung von Token und Smartcards muss in der Lizenz aktiviert werden, siehe
(Seite 140).
Bei Windows 8 und höher gibt es eine Funktion namens virtuelle Smartcard. Eine virtuelle Smartcard simuliert mit Hilfe eines TPM-Chip als Basis die Funktionalität einer physischen Smartcard, kann aber nicht mit SafeGuard Enterprise genutzt werden.
SafeGuard Enterprise unterstützt Token:
• in der SafeGuard Power-on Authentication (gilt nicht für Windows 8 und Windows 8.1)
• auf Betriebssystemebene
• zur Anmeldung am SafeGuard Management Center
Wenn ein Token für einen Benutzer in SafeGuard Enterprise ausgestellt wird, werden Daten wie Hersteller, Typ, Seriennummer, Anmeldedaten und Zertifikate in der SafeGuard Enterprise-
Datenbank hinterlegt. Token werden anhand der Seriennummer identifiziert und sind dann in
SafeGuard Enterprise bekannt.
Es ergeben sich erhebliche Vorteile:
• Sie wissen, welche Token im Umlauf sind und welchen Benutzern sie zugeordnet sind.
• Sie wissen, wann sie ausgestellt wurden.
• Wenn Token verlorengegangen sind, kann der Sicherheitsbeauftragte sie identifizieren und für die Authentisierung sperren. Damit kann Datenmissbrauch verhindert werden.
• Trotzdem kann der Sicherheitsbeauftragte über Challenge/Response die Anmeldung ohne
Token zeitweilig erlauben, z. B. wenn ein Benutzer seine PIN vergessen hat.
Hinweis
Mit SafeGuard volume-basierender Verschlüsselung wird diese Recovery-Option für die
Anmeldung mit kryptographischen Token (Kerberos) nicht unterstützt.
Token-Typen
Der Begriff "Token" bezieht sich auf alle verwendeten Technologien und ist nicht an eine bestimmte
Form von Gerät gebunden. Dies umfasst alle Geräte, die Daten für die Identifizierung und
Authentisierung speichern und übertragen können, zum Beispiel Smartcards und USB-Token.
SafeGuard Enterprise unterstützt die folgenden Token/Smartcard-Typen für die Authentisierung:
• Nicht-kryptographisch
Die Authentisierung in der SafeGuard POA und in Windows erfolgt auf der Grundlage der auf dem Token gespeicherten Anmeldedaten (Benutzername/Kennwort).
• kryptographisch - Kerberos
Die Authentisierung in der SafeGuard POA und in Windows erfolgt auf der Grundlage der auf dem Token gespeicherten Zertifikate. Kryptographische Token können nicht für Standalone-
Endpoints verwendet werden.
144 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Kryptographische Token - Kerberos
Bei der Verwendung von kryptographischen Token erfolgt die Authentisierung in der SafeGuard
POA über das Zertifikat auf dem Token. Zur Anmeldung müssen die Benutzer nur die PIN des Token eingeben.
Hinweis
Kryptographische Token können nicht für Standalone-Endpoints verwendet werden.
Den Benutzern müssen vollständig ausgestellte Token bereitgestellt werden. Für weitere
Informationen, siehe
Konfigurieren der Token-Benutzung
(Seite 147).
Grundlegende Anforderungen für Zertifikate:
• Algorithmus: RSA
• Schlüssellänge: mindestens 1024.
• Verwendung des Schlüssels: Datenverschlüsselung oder Schlüsselverschlüsselung.
Hinweis
Bei Problemen bei der Anmeldung mit einem Kerberos-Token kann weder Challenge/Response noch Local Self Help für Recovery-Vorgänge benutzt werden. Hier wird nur Challenge/Response mit virtuellen Clients unterstützt. Mit diesem Verfahren können Benutzer wieder Zugriff auf verschlüsselte Volumes auf Ihren Endpoints erlangen.
Komponenten
Für die Benutzung von Token/Smartcards in Verbindung mit SafeGuard Enterprise sind folgende
Komponenten erforderlich:
• Token/Smartcard
• Token-/Smartcard-Lesegerät
• Token-/Smartcard-Treiber
• Token/Smartcard Middleware (PKCS#11-Modul)
USB-Token
USB-Token bestehen aus einer Smartcard und einem Smartcard-Leser, wobei sich die beiden
Einheiten in einem Gehäuse befinden. Für die Benutzung von USB Token ist ein USB Port erforderlich.
Token/Smartcards-Lesegeräte und Treiber
• Windows
Auf Windows-Betriebssystemebene werden PC/SC-kompatible Kartenleser unterstützt. Die
PC/SC-Schnittstelle regelt die Kommunikation zwischen Computer und Smartcard. Viele dieser Kartenleser sind bereits Teil der Windows-Installation. Smartcards benötigen PKCS#11 kompatible Smartcard-Treiber, damit sie von SafeGuard Enterprise unterstützt werden können.
• Power-on Authentication aktivieren
An der SafeGuard Power-on Authentication wird die PC/SC-Schnittstelle unterstützt, die die
Kommunikation zwischen Computer und Smartcard regelt. Die unterstützten Smartcard-Treiber sind fest implementiert und die Benutzer können keine zusätzlichen Treiber hinzufügen. Die passenden Smartcard-Treiber müssen über eine Richtlinie in SafeGuard Enterprise aktiviert werden.
Copyright © Sophos Limited 145
SafeGuard Enterprise Administratorhilfe
Die Schnittstelle für Smartcard-Leser ist standardisiert und viele Kartenleser haben eine USB-
Schnittstelle oder eine ExpressCard/54-Schnittstelle und implementieren den CCID-Standard.
In SafeGuard Enterprise ist dies eine Voraussetzung für die Unterstützung in der SafeGuard
Power-on Authentication. Außerdem muss auf Treiber-Seite das PKCS#11-Modul unterstützt werden.
Unterstützte Token/Smartcards an der SafeGuard Power-on Authentication
SafeGuard Enterprise unterstützt eine breite Palette an Smartcards/Smartcard-Lesegeräten, USB-
Token mit den entsprechenden Treibern und Middleware in der SafeGuard Power-on Authentication.
In SafeGuard Enterprise werden Token/Smartcards unterstützt, die 2.048 Bit RSA-Operationen unterstützen.
Da die Unterstützung von Token/Smartcards von Release zu Release erweitert wird, werden die in der jeweils aktuellen SafeGuard Enterprise Version unterstützten Token und Smartcards in den
Versionsinfos aufgeführt.
Unterstützte Middleware
Die in der folgenden Liste aufgeführte Middleware wird über deren jeweiliges PKCS#11-Modul unterstützt. PKCS#11 ist eine standardisierte Schnittstelle zur Anbindung kryptographischer
Token/Smartcards an verschiedenste Software. Hier dient PKCS#11 der Kommunikation zwischen kryptographischen Token/Smartcard, Smartcard-Leser und SafeGuard Enterprise. Weitere
Informationen finden Sie im Sophos Knowledgebase-Artikel 132376 .
Hersteller
ActivIdentity
AET
Aladdin
A-Trust
Charismatics
Gemalto
IT Solution GmbH
Nexus
RSA
Sertifitseerimiskeskus AS
Siemens
ATOS
FNMT
T-Systems
Unizeto
Middleware
ActivClient, ActivClient (PIV)
SafeSign Identity Client eToken PKI Client a.sign Client
Smart Security Interface
Gemalto Access Client, Gemalto Classic Client, Gemalto .NET
Card
IT Solution trustWare CSP+
Nexus Personal
RSA Authentication Client 2.x, RSA Smart Card Middleware
3.x
Estonian ID Card
CardOS API TC-FNMT
CardOS API TC-FNMT
Módulo PCKS#11 TC-FNMT TC-FNMT
NetKey 3.0
proCertum
Lizenzen
Beachten Sie, dass für die Benutzung der jeweiligen Middleware für das Standard-Betriebssystem eine Lizenzvereinbarung mit dem jeweiligen Hersteller erforderlich ist. Informationen zum Erhalt der
Lizenzen finden Sie im Sophos Knowledgebase-Artikel 116585 .
Die Middleware wird in einer SafeGuard Enterprise-Richtlinie vom Typ Spezifische
Computereinstellungen unter Benutzerdefinierte PKCS#11 Einstellungen im Feld PKCS#11
146 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Modul für Windows oder PKCS#11 Modul für die Power-on Authentication angegeben. Das
SafeGuard Enterprise Client-Konfigurationspaket muss zudem auf dem Computer installiert sein, auf dem das SafeGuard Management Center läuft.
Konfigurieren der Token-Benutzung
Führen Sie die folgenden Handlungsschritte aus, wenn Sie den folgenden Benutzern Token für die
Authentisierung bereitstellen möchten:
• Benutzer von zentral verwalteten Endpoints
• Sicherheitsbeauftragte des SafeGuard Management Center
1. Initialisierung leerer Token
Für weitere Informationen, siehe Initalisieren eines Token
(Seite 148).
2. Installation der Middleware
Für weitere Informationen, siehe Installieren von Middleware
(Seite 148).
3. Aktivierung der Middleware
Für weitere Informationen, siehe Aktivieren der Middleware (Seite 148).
4. Ausstellen von Token für Benutzer und Sicherheitsbeauftragte
Für weitere Informationen, siehe Ausstellen eines Token
(Seite 148).
5. Konfigurieren des Anmeldemodus
Für weitere Informationen, siehe Konfigurieren des Anmeldemodus
(Seite 150).
6. Konfigurieren weiterer Token-Einstellungen, zum Beispiel Syntaxregeln für PINs.
Für weitere Informationen, siehe Verwalten von PINs
(Seite 154) und
7. Zuweisen von Zertifikaten und Schlüsseln zu Token/Benutzern
Für weitere Informationen, siehe Zuweisung von Zertifikaten (Seite 151).
Sie können auch einen bereits mit Daten einer anderen Anwendung versehenen Token zur
Authentisierung verwenden, sofern genügend freier Speicherplatz für die Zertifikate und
Anmeldeinformationen darauf vorhanden ist.
Für die einfache Token-Verwaltung bietet SafeGuard Enterprise folgende Funktionen:
• Token-Informationen anzeigen und filtern
• PINs initialisieren, ändern, zurücksetzen und sperren
• Token-Daten lesen und löschen
• Token sperren
Hinweis
Um Token auszustellen und zu verwalten oder Daten auf ausgestellten Token zu ändern, benötigen Sie das Zugriffsrecht Voller Zugriff für die relevanten Benutzer. Die Ansicht
Ausgestellte Token zeigt die Token für alle Benutzer, für die Sie die Zugriffsrechte
Schreibgeschützt oder Voller Zugriff haben.
Vorbereitung für die Benutzung von Token
Die folgenden vorbereitenden Maßnahmen sind für die Unterstützung von Token/Smartcards in
SafeGuard Enterprise notwendig:
• Initialisierung leerer Token
Copyright © Sophos Limited 147
SafeGuard Enterprise Administratorhilfe
• Installation der Middleware
• Aktivierung der Middleware
Initalisieren eines Token
Bevor ein "leerer", unformatierter Token in SafeGuard Enterprise bentutzt werden kann, muss er nach den Angaben des Token-Herstellers für die Verwendung vorbereitet, also initialisiert werden.
Bei der Initialisierung wird er mit Basisinformationen, z. B. den Standard-PINs, beschrieben. Dies erfolgt mit der Initialisierungssoftware des Herstellers.
Weitere Informationen finden Sie in der Dokumentation des relevanten Token-Herstellers.
Installieren von Middleware
Installieren Sie die korrekte Middleware sowohl auf dem Computer, auf dem das SafeGuard
Management Center installiert ist, als auch auf dem relevanten Endpoint, falls noch nicht geschehen.
Für Informationen zur unterstützten Middleware, siehe Unterstützte Middleware (Seite 146).
Starten Sie die Computer, auf denen Sie die neue Middleware installiert haben, neu.
148
Hinweis
Wenn Sie Gemalto .NET Card oder Nexus Personal Middleware installieren, müssen Sie den
Installationspfad der Middleware auch zur PATH-Umgebungsvariable der Systemeigenschaften
Ihres Computers hinzufügen.
• Standard-Installationspfad für Gemalto .NET Card: C:\Programme\Gemalto\PKCS11 for .NET V2 smart cards
• Standard-Installationspfad für Nexus Personal: C:\Programme\Personal\bin
Aktivieren der Middleware
Sie müssen im SafeGuard Management Center über eine Richtlinie die passende Middleware in Form des PKCS#11-Moduls zuweisen. Dies müssen Sie sowohl für den Computer, auf dem das SafeGuard
Management Center läuft, als auch für den Endpoint erledigen. Dann erst kann SafeGuard Enterprise mit dem Token kommunizieren. Die Einstellung für das PKCS#11-Modul können Sie folgendermaßen
über eine Richtlinie festlegen.
Voraussetzung: Die Middleware wurde auf dem entsprechenden Computer installiert und der
Token wurde initialisiert. Das SafeGuard Enterprise Client-Konfigurationspaket muss zudem auf dem
Computer installiert sein, auf dem das SafeGuard Management Center läuft.
1. Klicken Sie im SafeGuard Management Center auf Richtlinien.
2. Legen Sie eine neue Richtlinie des Typs Spezifische Computereinstellungen an oder wählen Sie eine bereits bestehende Richtlinie dieses Typs aus.
3. Wählen Sie im rechten Arbeitsbereich unter TokenunterstützungModulname die passende
Middleware aus. Speichern Sie die Einstellungen.
4. Weisen Sie die Richtlinie zu.
SafeGuard Enterprise kann nun mit dem Token kommunizieren.
Ausstellen eines Token
Beim Ausstellen eines Token in SafeGuard Enterprise werden Daten auf den Token geschrieben, die dann für die Authentisierung verwendet werden. Bei den Daten handelt es sich um die
Anmeldeinformationen und Zertifikate.
In SafeGuard Enterprise können Token für folgende Benutzerrollen ausgestellt werden:
• Token für Endbenutzer von zentral verwalteten Endpoints.
• Token für Sicherheitsbeauftragte (SO)
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Zugriff auf den Token haben sowohl der Benutzer als auch der Sicherheitsbeauftragte (SO). Der
Benutzer ist der, der den Token benutzen soll. Nur er hat Zugriff auf private Objekte und Schlüssel.
Der SO hat nur Zugriff auf öffentliche Objekte, kann allerdings die Benutzer-PIN zurücksetzen.
Ausstellen eines Token oder einer Smartcard für Benutzer
Voraussetzungen:
• Der Token muss initialisiert und das passende PKCS#11-Modul aktiviert worden sein.
• Das SafeGuard Enterprise Client-Konfigurationspaket muss zudem auf dem Computer installiert sein, auf dem das SafeGuard Management Center läuft.
• Sie benötigen das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Stecken Sie den Token an der USB-Schnittstelle ein. SafeGuard Enterprise liest den Token ein.
3. Wählen Sie den Benutzer, für den ein Token ausgestellt werden soll, und öffnen Sie im rechten
Arbeitsbereich die Registerkarte Token-Daten.
4. Gehen Sie in der Registerkarte Token-Daten wie folgt vor: a) Wählen Sie die Benutzer-ID und Domäne des betreffenden Benutzers aus und geben Sie sein
Windows-Kennwort ein.
b) Klicken Sie auf Token ausstellen.
Der Dialog Token ausstellen wird angezeigt.
5. Wählen Sie den relevanten Slot aus der Verfügbare Slots Dropdownliste aus.
6. Vergeben Sie eine neue Benutzer-PIN und wiederholen Sie die Eingabe.
7. Geben Sie unter SO-PIN die vom Hersteller erhaltene Standard-PUK bzw. die bei der Token-
Initialisierung vergebene PIN ein.
Hinweis
Wenn Sie nur das Feld Benutzer-PIN (erforderlich) ausfüllen, muss die Benutzer-PIN mit der PIN übereinstimmen, die bei der Token-Initialisierung vergeben wurde. Sie müssen die
Benutzer-PIN dann nicht wiederholen und keine SO-PIN eingeben.
8. Klicken Sie auf Token jetzt ausstellen.
Der Token wird ausgestellt, die Anmeldeinformationen auf den Token geschrieben und die Token-
Informationen in der SafeGuard Enterprise-Datenbank hinterlegt. Im Bereich Token können Sie sich in der Registerkarte Token-Information die Daten anzeigen lassen.
Ausstellen eines Token oder einer Smartcard für einen Sicherheitsbeauftragten
Bei der Erstinstallation von SafeGuard Enterprise besteht für den ersten Sicherheitsbeauftragten bereits die Möglichkeit, sich einen Token ausstellen zu lassen und den Anmeldemodus festzulegen.
Für alle weiteren Sicherheitsbeauftragten nehmen Sie die Ausstellung eines Token im SafeGuard
Management Center vor.
Voraussetzung:
• Der Token muss initialisiert und das passende PKCS#11-Modul aktiviert worden sein.
• Sie benötigen die Rechte, die Angaben für den Sicherheitsbeauftragten festlegen zu dürfen.
1. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte.
2. Stecken Sie den Token an der USB-Schnittstelle ein. SafeGuard Enterprise liest den Token ein.
3. Markieren Sie im linken Navigationsfenster Sicherheitsbeauftragte und wählen Sie im
Kontextmenü NeuNeuer Sicherheitsbeauftragter.
Der Dialog Neuen Sicherheitsbeauftragten erstellen wird angezeigt.
Copyright © Sophos Limited 149
SafeGuard Enterprise Administratorhilfe
4. Geben Sie im Feld Token-Anmeldung die Art der Anmeldung für den Sicherheitsbeauftragten ein:
• Wenn sich der Sicherheitsbeauftragte wahlweise mit oder ohne Token authentisieren soll, wählen Sie Optional.
• Um festzulegen, dass sich der Sicherheitsbeauftragte mit Token anmelden muss, wählen Sie
Zwingend erforderlich.
Bei dieser Einstellung verbleibt der private Schlüssel auf dem Token. Der Token muss immer eingesteckt sein, ansonsten wird ein Neustart des Systems notwendig.
5. Geben Sie als nächstes das Zertifikat des Sicherheitsbeauftragten an.
• Um ein neues Zertifikat zu erzeugen, klicken Sie auf die Schaltfläche Erzeugen neben der
Zertifikat Dropdown-Liste.
Geben Sie das Kennwort für das Zertifikat zweimal ein und klicken Sie auf OK.
Legen Sie den Speicherort für das Zertifikat fest.
• Um Zertifikate zu importieren, klicken Sie auf die Schaltfläche Importieren neben der
Zertifikat Dropdown-Liste, um die entsprechende Zertifikatsdatei zu öffnen.
Nach Zertifikaten wird zuerst in einer Zertifikatsdatei, dann auf dem Token gesucht. Die
Zertifikate können an den jeweiligen Speicherorten verbleiben.
6. Aktivieren Sie die Rollen und Domänen, die dem Beauftragten zugewiesen werden sollen, unter
Rollen.
7. Bestätigen Sie die Eingaben mit OK.
Der Sicherheitsbeauftragte wird angelegt, der Token wird ausgestellt, die Anmeldedaten werden je nach Einstellung auf den Token geschrieben und die Token-Informationen werden in der SafeGuard
Enterprise-Datenbank hinterlegt. Im Bereich Token können Sie sich in der Registerkarte Token-
Information die Daten anzeigen lassen.
Konfigurieren des Anmeldemodus
Für die Anmeldung von Endbenutzern mit einem Token gibt es zwei Anmeldeformen. Eine
Kombination der beiden Anmeldeformen ist möglich.
• Anmeldung mit Benutzername/Kennwort
• Anmeldung mit Token
Wenn Sie sich mit einem Token oder einer Smartcard anmelden, können Sie zwischen einem
Token-Anmeldemodus mit nicht-kryptographischem Token oder mit Kerberos-Unterstützung
(kryptographisch) wählen.
Als Sicherheitsbeauftragter legen Sie den zu verwendenden Anmeldemodus in einer
Sicherheitsrichtlinie vom Typ Authentisierung fest.
Auswahl der Token-Anmeldeoption Kerberos:
• Sie müssen ein Zertifikat in einer PKI ausstellen und es auf dem Token ablegen. Dieses Zertifikat wird als Benutzerzertifikat in die SafeGuard Enterprise Datenbank importiert. Falls dort bereits ein automatisch erzeugtes Zertifikat existiert, wird es durch das importierte Zertifikat überschrieben.
Aktivieren der automatischen Anmeldung an der SafeGuard POA mit Default-Token-PIN
Eine per Richtlinie verteilte Default-Token-PIN ermöglicht die automatische Benutzeranmeldung an der SafeGuard Power-on Authentication. Somit muss nicht jeder einzelne Token separat ausgestellt werden und die Benutzer können sich ohne Benutzerinteraktion automatisch an der SafeGuard
Power-on Authentication anmelden.
150 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Wenn bei der Anmeldung ein Token benutzt wird und dem Computer eine Default-PIN zugeordnet ist, wird eine durchgehende Anmeldung an der SafeGuard Power-on Authentication durchgeführt.
Der Benutzer muss hier keine PIN eingeben.
Als Sicherheitsbeauftragter können Sie diese spezifische PIN in einer Richtlinie vom Typ
Authentisierung festlegen und sie verschiedenen Computern oder Computergruppen, z. B. allen
Computern eines Standorts, zuordnen.
So aktivieren Sie die automatische Anmeldung mit einer Default-Token-PIN:
1. Klicken Sie im SafeGuard Management Center auf Richtlinien.
2. Wählen Sie eine Richtlinie vom Typ Authentisierung aus.
3. Wählen Sie unter Anmeldeoptionen bei Anmeldemodus die Option Token.
4. Geben Sie bei PIN für automatische Anmeldung mit Token die Default-PIN an, die für die automatische Anmeldung verwendet werden soll. In diesem Fall müssen keine PIN-Regeln beachtet werden.
Hinweis
Diese Einstellung steht nur dann zur Verfügung, wenn Sie als möglichen Anmeldemodus die Option Token gewählt haben.
5. Wählen Sie bei Durchgehende Anmeldung an Windows die Option Durchgehende Anmeldung
deaktivieren. Wenn Sie diese Einstellung nicht auswählen und eine Default-PIN angeben, können
Sie die Richtlinie nicht speichern.
Wenn Sie die Durchgehende Anmeldung an Windows dennoch aktivieren möchten, können
Sie eine weitere Richtlinie vom Typ Authentisierung mit der aktivierten Option erstellen und sie derselben Computergruppe zuordnen. Im RSOP (Resulting Set of Policies) sind somit beide
Richtlinien aktiv.
6. Definieren Sie nach Wunsch weitere Token-Einstellungen.
7. Speichern Sie Ihre Einstellungen und ordnen Sie die Richtlinie den relevanten Computern oder
Computergruppen zu.
Wenn die automatische Anmeldung auf dem Endpoint erfolgreich durchgeführt werden konnte, wird
Windows gestartet.
Schlägt die automatische Anmeldung auf dem Endpoint fehl, so wird der Benutzer an der SafeGuard
Power-on Authentication aufgefordert, die Token-PIN einzugeben.
Zuweisung von Zertifikaten
Außer den Anmeldeinformationen können auf einen Token auch Zertifikate geschrieben werden. Es ist möglich, den privaten Teil des Zertifikats (.p12-Datei) ausschließlich auf dem Token zu speichern.
Benutzer können sich dann jedoch nur mit dem Token anmelden. Wir empfehlen den Einsatz von
PKI-Zertifikaten.
So können Sie Authentisierungsdaten Token zuweisen:
• durch Generieren von Zertifikaten direkt auf dem Token
• durch Zuweisen von Daten, die sich bereits auf dem Token befinden
• durch Importieren von Zertifikaten aus einer Datei
Copyright © Sophos Limited 151
SafeGuard Enterprise Administratorhilfe
152
Hinweis
CA-Zertifikate können nicht von einem Token entnommen und in der Datenbank oder im
Zertifikatsspeicher gespeichert werden. Wenn Sie CA-Zertifikate verwenden, müssen diese in Dateiform zur Verfügung stehen, nicht nur auf einem Token. Dies gilt auch für CRLs
(Certificate Revocation List). Außerdem muss die Kombination von CA-Zertifikaten und CRL zusammenpassen, da ansonsten eine Anmeldung an allen betroffenen Computern nicht mehr möglich ist. Überprüfen Sie, ob CA und die entsprechende CRL korrekt sind. SafeGuard
Enterprise übernimmt diese Überprüfung nicht! SafeGuard Enterprise kann dann nur mit ablaufenden Zertifikaten umgehen, wenn der alte und neue private Schlüssel auf demselben
Token stehen.
Erzeugen von Zertifikaten durch Token
Um Zertifikate durch Token zu erzeugen, benötigen Sie das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.
Sie können neue Zertifikate direkt durch den Token generieren lassen, wenn zum Beispiel keine
Zertifikatsinfrastruktur vorhanden ist.
Hinweis
Wird der private Teil des Zertifikats allein auf den Token geschrieben, hat der Benutzer nur mit dem
Token Zugriff auf seinen privaten Schlüssel. Der private Schlüssel befindet sich dann nur noch auf dem Token. Wenn der Token verloren geht, ist der Zugriff auf den privaten Schlüssel nicht mehr möglich.
Voraussetzung: Der Token ist ausgestellt.
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Stecken Sie den Token an der USB-Schnittstelle ein.
SafeGuard Enterprise liest den Token ein.
3. Markieren Sie den Benutzer, für den Sie ein Zertifikat generieren wollen, und öffnen Sie im rechten
Arbeitsbereich die Registerkarte Zertifikat.
4. Klicken Sie auf das Symbol Neues Zertifikat generieren und Token zuweisen in der SafeGuard
Management Center Symbolleiste. Beachten Sie, dass die Schlüssellänge auf die Tokengröße abgestimmt sein muss.
5. Wählen Sie den Slot aus und geben Sie die Token-PIN ein.
6. Klicken Sie auf Erzeugen.
Das Zertifikat wird durch den Token generiert und dem Benutzer zugewiesen.
Zuweisen von Token-Zertifikaten zu einem Benutzer
Voraussetzungen:
• Der Token ist ausgestellt.
• Sie haben das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.
So weisen Sie ein auf einem Token verfügbares Zertifikat einem Benutzer zu:
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Stecken Sie den Token an der USB-Schnittstelle ein.
SafeGuard Enterprise liest den Token ein.
3. Wählen Sie den Benutzer aus, dem Sie ein Zertifikat zuweisen wollen, und öffnen Sie im rechten
Arbeitsbereich die Registerkarte Zertifikat.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
4. Klicken Sie auf das Symbol Zertifikat von Token zuweisen in der SafeGuard Management Center
Symbolleiste.
5. Wählen Sie das passende Zertifikat aus der Liste aus und geben Sie die Token-PIN ein.
6. Klicken Sie auf OK.
Das Zertifikat wird dem Benutzer zugewiesen. Einem Benutzer kann jeweils nur ein Zertifikat zugewiesen sein.
Ändern des Zertifikats eines Benutzers
Sie können die für die Anmeldung erforderlichen Zertifikate ändern oder erneuern, indem Sie im
SafeGuard Management Center ein neues Zertifikat zuweisen. Das Zertifikat wird als Standby-
Zertifikat neben dem bereits vorhandenen Zertifikat zugewiesen. Der Benutzer ändert das Zertifikat auf dem Endpoint, indem er sich mit dem neuen Zertifikat anmeldet.
Hinweis
Sollten Benutzer ihre Token verlieren oder sollten Token manipuliert worden sein, so tauschen Sie die Token nicht aus, indem Sie neue Zertifikate wie hier beschrieben zuweisen. Andernfalls können
Probleme auftreten. So ist das alte Token-Zertifikat unter Umständen noch für die Windows-
Anmeldung gültig. Solange das alte Zertifikat noch gültig ist, ist die Anmeldung an Windows noch möglich und der Computer kann entsperrt werden. Um eine Anmeldung zu verhindern, sperren Sie den Token.
Standby-Zertifikate können in folgenden Fällen verwendet werden:
• Ändern von durch (kryptographische) Token erzeugten Zertifikaten
• Wechsel von automatisch erzeugten zu durch Token erzeugten Zertifikaten
• Wechsel von Authentisierung per Benutzername/Kennwort zur Authentisierung durch kryptographischen Token (Kerberos).
Voraussetzungen:
• Der neue Token ist ausgestellt.
• Dem Benutzer ist nur ein Zertifikat zugewiesen.
• Sie haben das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.
So ändern Sie das Zertifikat für die Token-Anmeldung für einen Benutzer:
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer.
2. Stecken Sie den Token an der USB-Schnittstelle ein.
SafeGuard Enterprise liest den Token ein.
3. Wählen Sie den Benutzer aus, für den Sie das Zertifikat ändern wollen, und öffnen Sie im rechten
Arbeitsbereich die Registerkarte Zertifikat.
4. Klicken Sie in der Symbolleiste auf das Symbol für die Aktion, die Sie durchführen möchten.
5. Wählen Sie das relevante Zertifikat aus und geben Sie die Token-PIN ein.
6. Klicken Sie auf OK.
7. Übergeben Sie dem Benutzer den neuen Token.
Das Zertifikat wird dem Benutzer als Standby-Zertifikat zugewiesen. Dies wird durch eine Häkchen in der Spalte Standby in der Zertifikate Registerkarte des Benutzers angegeben.
Nach der Synchronisierung zwischen dem Endpoint und dem SafeGuard Enterprise Server gibt der
Status-Dialog auf dem Endpoint an, dass dieser Bereit für Zertifikatwechsel ist.
Der Benutzer muss nun einen Zertifikatwechsel auf dem Endpoint-Computer initiieren. Weitere
Informationen hierzu finden Sie in der SafeGuard Enterprise Benutzerhilfe.
Copyright © Sophos Limited 153
SafeGuard Enterprise Administratorhilfe
Nach dem Zertifikatwechsel auf dem Endpoint wird das Zertifikat während der nächsten
Synchronisierung auch auf dem SafeGuard Enterprise Server erneuert. Dadurch wird das alte
Zertifikat aus der Zertifikate Registerkarte des Benutzers im SafeGuard Management Center entfernt. Der neue Token ist nun der Standard-Token für den Benutzer.
Hinweis
Im SafeGuard Management Center können beide Zertifikate separat gelöscht werden. Ist nur ein
Standby-Zertifikat verfügbar, so wird das nächste Zertifikat als Standardzertifikat zugewiesen.
Importieren eines Zertifikats aus einer Datei auf einen Token
Voraussetzung: Der Token ist ausgestellt.
Für einen Token mit Kerberos-Unterstützung für zentral verwaltete Endpoints müssen Sie diesen
Vorgang auswählen. Das Zertifikat muss von SafeGuard Enterprise erkannt werden und auf den
Token aufgebracht werden. Falls bereits ein automatisch generiertes Zertifikat existiert, wird es durch das importierte Zertifikat überschrieben.
So fügen Sie den privaten Teil des Zertifikats (.p12-Datei) aus einer Datei auf dem Token hinzu:
1. Klicken Sie im SafeGuard Management Center auf Token.
2. Stecken Sie den Token an der USB-Schnittstelle ein.
SafeGuard Enterprise liest den Token ein.
3. Markieren Sie den Token, auf den Sie den privaten Teil des Zertifikats aufbringen wollen, und
öffnen Sie im rechten Arbeitsbereich die Registerkarte Anmeldeinformationen & Zertifikate.
4. Klicken Sie auf das Symbol P12 auf Token in der SafeGuard Management Center Symbolleiste.
5. Wählen Sie die passende Zertifikatsdatei aus.
6. Geben Sie die Token-PIN und das Kennwort für die .p12-Datei ein und bestätigen Sie mit OK.
Der private Teil des Zertifikats wird auf den Token aufgebracht. Sie müssen das Zertifikat nun einem Benutzer zuweisen, siehe
Zuweisen von Token-Zertifikaten zu einem Benutzer
(Seite 152).
Benutzer können sich dann nur mit diesem Token anmelden.
Verwalten von PINs
Als Sicherheitsbeauftragter können Sie sowohl die Benutzer-PIN als auch die SO-PIN ändern bzw.
die Änderung der Benutzer-PIN erzwingen. Dies wird üblicherweise bei der Erstausstellung eines
Token notwendig. Außerdem können Sie PINs initialisieren, d. h. neu vergeben und sperren.
Um PINs zu initialisieren, zu ändern oder zu sperren, benötigen Sie das Zugriffsrecht Voller Zugriff für alle relevanten Benutzer.
Für Endpoints können Sie weitere PIN-Optionen über Richtlinien festlegen.
Hinweis
Beachten Sie bei PIN-Änderungen, dass manche Token-Hersteller selbst PIN-Regeln festlegen, die den PIN-Regeln von SafeGuard Enterprise widersprechen können. Möglicherweise können
PINs deshalb nicht wie gewünscht geändert werden, auch wenn sie den PIN-Regeln von
SafeGuard Enterprise entsprechen. Berücksichtigen Sie daher auf jeden Fall die PIN-Regeln des
Token-Herstellers. Diese werden im SafeGuard Management Center im Bereich Token unter
Token-Information angezeigt.
Die Verwaltung der PINs wird im SafeGuard Management Center unter Token durchgeführt. Der
Token ist eingesteckt und links im Navigationsfenster markiert.
154 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Initialisieren einer Benutzer-PIN
Voraussetzungen:
• Die SO-PIN muss bekannt sein.
• Sie benötigen das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.
1. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Benutzer-PIN
initialisieren Symbol.
2. Geben Sie die SO-PIN ein.
3. Geben Sie die neue Benutzer-PIN ein, wiederholen Sie die Eingabe und bestätigen Sie mit OK.
Die Benutzer-PIN wurde initialisiert.
Ändern der SO-PIN
Voraussetzung: Die bisherige SO-PIN (PIN des Sicherheitsbeauftragten) muss bekannt sein.
1. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das PIN des
Sicherheitsbeauftragten ändern Symbol.
2. Geben Sie die alte SO-PIN ein.
3. Geben Sie die neue SO-PIN ein, wiederholen Sie die Eingabe und bestätigen Sie mit OK.
Die SO-PIN wurde geändert
Ändern einer Benutzer-PIN
Voraussetzung:
• Die Benutzer-PIN muss bekannt sein.
• Sie benötigen das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.
1. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Benutzer-PIN ändern
Symbol.
2. Geben Sie die alte und die neue Benutzer-PIN ein, wiederholen Sie die neue Benutzer-PIN und klicken Sie auf OK.
Die Benutzer-PIN wurde geändert. Falls Sie die PIN für einen anderen Benutzer geändert haben, teilen Sie ihm die Änderung mit.
Erzwingen einer PIN-Änderung
Um eine PIN-Änderung zu erzwingen, benötigen Sie das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.
Klicken Sie in der SafeGuard Management Center Symbolleiste auf das PIN-Änderung erzwingen
Symbol.
Wenn sich der Benutzer beim nächsten Mal mit dem Token anmeldet, muss er seine Benutzer-PIN
ändern.
PIN-Historie
Die PIN-Historie kann gelöscht werden. Klicken Sie dazu auf das Symbol PIN-Historie löschen.
Verwalten von Token und Smartcards
Im Bereich Token des SafeGuard Management Centers hat der Sicherheitsbeauftragte folgende
Möglichkeiten:
• Einsehen einer Übersicht über die ausgestellten Token und Zertifikate
• Filtern von Übersichten
• Sperren von Token für die Anmeldung
• Lesen oder Löschen der Daten auf einem Token
Copyright © Sophos Limited 155
SafeGuard Enterprise Administratorhilfe
Anzeigen von Token/Smartcard-Informationen
Als Sicherheitsbeauftragter können Sie sich Informationen über alle oder einzelne ausgestellte
Token anzeigen lassen. Sie können auch Übersichten filtern.
Voraussetzung: Der Token muss eingesteckt sein.
1. Klicken Sie im SafeGuard Management Center auf Token.
2. Um Informationen zu einzelnen Token anzeigen zu lassen, wählen Sie den gewünschten Token unter Token Slots.
Unter Token-Information werden Hersteller, Typ, Seriennummer, Angaben zu Hardware und
PIN-Regeln angezeigt. Außerdem sehen Sie, welchem Benutzer der Token zugeordnet ist.
Hinweis
Unter Token Slots werden die ausgestellten Token ungeachtet Ihrer Zugriffsrechte für die relevanten Benutzer angezeigt, damit Sie sehen können, ob der Token in Gebrauch ist oder nicht. Wenn Sie keine Zugriffsrechte oder das Zugriffsrecht Schreibgeschützt für den relevanten Benutzer haben, werden alle Token-Daten in den Registerkarten Token-
Information und Anmeldeinformationen und Zertifikate ausgegraut und Sie können den
Token nicht verwalten.
3. Um eine Übersicht über Token anzeigen zu lassen, wählen Sie Ausgestellte Token. Sie können alle ausgestellten Token anzeigen lassen oder die Übersicht nach Benutzern filtern.
Es werden die Seriennummer der Token, die Benutzerzuordnung und das Ausstellungsdatum angezeigt. Außerdem erkennen Sie, ob der Token gesperrt ist.
Hinweis
Die Ansicht Ausgestellte Token zeigt die Token für alle Benutzer, für die Sie die
Zugriffsrechte Schreibgeschützt oder Voller Zugriff haben.
156
Sperren von Token oder Smartcards
Als Sicherheitsbeauftragter können Sie Token sperren. Dies ist z. B. sinnvoll, wenn ein Token verloren gegangen ist.
Um einen Token zu sperren, benötigen Sie das Zugriffsrecht Voller Zugriff für den relevanten
Benutzer.
1. Klicken Sie im SafeGuard Management Center auf Token.
2. Markieren Sie links im Navigationsbereich Ausgestellte Token.
3. Wählen Sie den Token, der gesperrt werden soll, und klicken Sie auf das Symbol Token sperren in der SafeGuard Management Center Symbolleiste.
Der Token wird für die Authentisierung gesperrt, der zugeordnete Benutzer kann sich nicht mehr damit anmelden. Der Token kann nur mithilfe der SO-PIN entsperrt werden.
Löschen von Token/Smartcard-Daten
Als Sicherheitsbeauftragter können Sie die Daten, die über SafeGuard Enterprise auf den Token geschrieben wurden, vom Token entfernen.
Voraussetzung:
• Der Token muss eingesteckt sein.
• Sie benötigen das Zugriffsrecht Voller Zugriff für den relevanten Benutzer.
1. Klicken Sie im SafeGuard Management Center auf Token.
2. Markieren Sie links im Navigationsbereich den relevanten Token unter Token Slots.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
3. Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Token löschen Symbol.
4. Geben Sie die dem Token zugeordnete SO-PIN ein und bestätigen Sie mit OK.
Es werden alle Daten entfernt, die von SafeGuard Enterprise verwaltet werden. Zertifikate verbleiben auf dem Token.
Die Benutzer-PIN wird auf 1234 zurückgesetzt.
Auf diese Weise gelöschte Token werden automatisch aus der Liste der ausgestellten Token entfernt.
Lesen von Token/Smartcard-Daten
All Sicherheitsbeauftragter können Sie die Daten auf dem Token mit der Benutzer-PIN lesen.
Voraussetzung:
• Der Token muss eingesteckt sein. Die PIN muss dem Sicherheitsbeauftragten bekannt sein.
Oder sie muss initialisiert worden sein, siehe Initialisieren einer Benutzer-PIN
(Seite 155).
• Sie benötigen die Zugriffsrechte Schreibgeschützt oder Voller Zugriff für den jeweiligen
Benutzer.
1. Klicken Sie im SafeGuard Management Center auf Token.
2. Wählen Sie links im Navigationsbereich unter Token Slots den gewünschten Token und wählen
Sie die Registerkarte Anmeldeinformationen und Zertifikate aus.
3. Klicken Sie auf das Symbol Anmeldeinformationen des Benutzers abrufen und geben Sie die
Benutzer-PIN für den Token ein.
Die Daten, die sich auf dem Token befinden, werden angezeigt.
3.8.15 Planen von Tasks
Das SafeGuard Management Center bietet den Taskplaner für das Erstellen und Planen von auf Skripten basierenden Tasks, die in regelmäßigen Abständen ausgeführt werden. Auf dem
SafeGuard Enterprise Server startet ein Service die Tasks automatisch zur Ausführung der angegebenen Skripte.
Periodische Tasks sind z. B. nützlich für
• die automatische Synchronisierung zwischen dem Active Directory und SafeGuard Enterprise.
• das automatische Löschen von protokollierten Ereignissen.
Für diese beiden Vorgänge stehen in SafeGuard Enterprise vordefinierte Skripte zur Verfügung.
Sie können diese Skripte unverändert verwenden oder Ihren Anforderungen anpassen. Weitere
Informationen siehe Vordefinierte Skripte für periodische Tasks
(Seite 163).
Als Sicherheitsbeauftragter mit den erforderlichen Rechten können Sie Skripte, Regeln und zeitliche
Intervalle für die Tasks im Taskplaner definieren.
Hinweis
Stellen Sie sicher, dass für das Konto, das für die Verwendung des SafeGuard Enterprise
Taskplaners benutzt wird, die geeigneten SQL-Berechtigungen eingestellt sind. Weitere
Informationen finden Sie im Sophos Knowledegebase-Artikel 113582 .
Hinweis
Die API kann nicht mehrere Tasks gleichzeitig verarbeiten. Wenn Sie mehrere Konten pro Task verwenden, führt dies zu Datenbankzugriffsverletzungen.
Copyright © Sophos Limited 157
SafeGuard Enterprise Administratorhilfe
Erstellen eines neuen Tasks
Um Tasks im Taskplaner zu erstellen, benötigen Sie die Sicherheitsbeauftragtenrechte Taskplaner
benutzen und Tasks verwalten.
1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner.
Der Dialog Taskplaner wird angezeigt.
2. Klicken Sie auf die Schaltfläche Erzeugen...
Der Dialog Neuer Task wird angezeigt.
3. Geben Sie im Feld Name einen eindeutigen Namen für den Task ein.
Ist der Task-Name nicht eindeutig, so wird eine Warnungsmeldung angezeigt, wenn Sie auf OK klicken, um den Task zu speichern.
4. Wählen Sie aus der Dropdownliste des Felds SGN Server den Server, auf dem der Task laufen soll.
Die Dropdownliste zeigt nur Server, für die die Skript-Ausführung erlaubt ist. Sie können die
Skript-Ausführung für einen bestimmten Server als erlaubt definieren, wenn Sie diesen mit der
Funktion Konfigurationspakete im SafeGuard Management Center registrieren.
Wenn Sie Keiner auswählen, wird der Task nicht ausgeführt.
5. Klicken Sie auf die Dropdown-Schaltfläche Importieren... neben dem Feld Skript.
Der Dialog Skript-Datei für den Import auswählen wird angezeigt.
Hinweis
Im Verzeichnis Script Templates Ihrer SafeGuard Management Center Installation stehen zwei vordefinierte Skripte zur Verfügung. Der Dialog Skript-Datei für den Import auswählen zeigt
(Seite 163).
Mit dem Taskplaner können Sie Skripte importieren, exportieren und bearbeiten. Für weitere
Informationen, siehe Mit Skripten im Taskplaner arbeiten
(Seite 162).
6. Wählen Sie das Skript aus, das mit dem Task ausgeführt werden soll, und klicken Sie auf OK.
Wenn das ausgewählte Skript leer ist, bleibt die Schaltfläche OK im Dialog deaktiviert.
Außerdem wird ein Warnungssymbol angezeigt.
7. Geben Sie im Feld Startzeit an, wann der Task auf dem ausgewählten Server ausgeführt werden soll.
Die Startzeit wird unter Anwendung der lokalen Zeit des Computers, auf dem das SafeGuard
Management Center läuft, angegeben. Intern wird die Startzeit als Coordinated Universal
Time (UTC) gespeichert. Dadurch können Tasks auch dann exakt zur gleichen Zeit ausgeführt werden, wenn sich Server in unterschiedlichen Zeitzonen befinden. Alle Server verwenden die aktuelle Zeit des Datenbankservers für das Starten von Tasks. Zur Optimierung der Task-
Überwachung wird die Datenbankreferenzzeit im Taskplaner Dialog angezeigt.
8. Geben Sie im Feld Wiederholung an, wie oft der Task auf dem ausgewählten Server ausgeführt werden soll.
• Um den Task einmal auszuführen, wählen Sie Einmal und geben Sie das gewünschte
Datum an.
• Um den Task täglich auszuführen, wählen Sie Täglich und dann Jeden Tag (inklusive
Samstag und Sonntag) oder Jeden Wochentag (Montag - Freitag).
158 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• Um den Task wöchentlich auszuführen, wählen Sie Wöchentlich und geben Sie den gewünschten Tag in der Woche an.
• Um den Task monatlich auszuführen, wählen Sie Monatlich und geben Sie den gewünschten Tag im Monat aus einem Bereich von 1 bis 31 an. Um den Task am letzten
Tag des Monats auszuführen, wählen Sie Letzter aus der Dropdownliste.
Wenn Sie alle obligatorischen Felder ausgefüllt haben, wird die Schaltfläche OK aktiv.
9. Klicken Sie auf OK.
Der Task wird in der Datenbank gespeichert und in der Taskplaner Übersicht angezeigt. Er wird gemäß dem angegebenen Plan auf dem ausgewählten Server ausgeführt.
Mehr zu protokollierten Ereignissen finden Sie unter
Die Taskplaner-Übersichtanzeige
Nachdem Sie Tasks zur Ausführung auf einem SafeGuard Enterprise Server erstellt haben, werden diese im Dialog Taskplaner angezeigt, den Sie über Extras > Taskplaner öffnen.
Dieser Dialog zeigt die folgenden Spalten für die einzelnen Tasks:
Spalte
Task-Name
SGN Server
Geplante Ausführung
Nächste Ausführung
Letzte Ausführung
Beschreibung
Zeigt den eindeutigen Task-Namen.
Gibt an, auf welchem Server der Task ausgeführt wird.
Zeigt den für den Task definierten Zeitplan inklusive
Wiederholung und Zeit.
Zeigt an, wann der Task zum nächsten Mal ausgeführt wird (Datum und Uhrzeit). Wenn für diesen Task keine weiteren Ausführungen vorgesehen sind, wird in dieser
Spalte Keine angezeigt.
Zeigt an, wann der Task zum letzten mal ausgeführt wurde (Datum und Uhrzeit). Wurde der Task noch nicht ausgeführt, so wird in dieser Spalte Keine angezeigt.
Copyright © Sophos Limited 159
SafeGuard Enterprise Administratorhilfe
Spalte
Ergebnis der letzten Ausführung
Beschreibung
•
•
•
•
•
•
•
•
Zeigt das Ergebnis der letzten Task-Ausführung:
• Erfolg
Das dem Task zugeordnete Skript wurde erfolgreich ausgeführt.
Fehlgeschlagen
Der Task konnte nicht ausgeführt werden.
Falls verfügbar, wird eine Fehlernummer angezeigt.
Läuft
Das Skript läuft derzeit.
Unzureichende Rechte
Der Task ist aufgrund von unzureichender
Berechtigung für die Skript-Ausführung fehlgeschlagen.
Abgebrochen
Die Task-Ausführung wurde abgebrochen, da die Zeitdauer 24 Stunden überschritten hat.
Steuerung nicht möglich
Die Steuerung der Ausführung des Skripts, das dem Task zugeordnet ist, war nicht möglich. Ein möglicher Grund hierfür ist z. B., dass der SGN Scheduler Service gestoppt wurde.
Das Skript ist beschädigt
Das auszuführende Skript ist beschädigt.
Das Skript wurde gelöscht.
Während sich der Task in der Warteschlange für die Ausführung befand, wurde das Skript aus der SafeGuard Enterprise Datenbank entfernt.
Laufzeitfehler
Während der Verarbeitung des Scheduler
Service ist ein Runtime-Fehler aufgetreten.
Unterhalb der Spalten befinden sich folgende Schaltflächen:
Schaltfläche
Erzeugen...
Löschen
Beschreibung
Klicken Sie auf diese Schaltfläche, um einen neuen
Task zu erstellen.
Klicken Sie auf diese Schaltfläche, um einen ausgewählten Task zu löschen.
160 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Schaltfläche
Eigenschaften
Aktualisieren
Beschreibung
Klicken Sie auf diese Schaltfläche, um den <Task-
Name> Eigenschaften Dialog für einen ausgewählten
Task anzuzeigen. In diesem Dialog können Sie den
Task bearbeiten oder Skripte importieren, exportieren und bearbeiten.
Klicken Sie auf diese Schaltfläche, um die Task-Liste im Taskplaner Dialog zu aktualisieren. Wenn ein
Benutzer in der Zwischenzeit Tasks hinzugefügt oder gelöscht hat, wird die Task-Liste aktualisiert.
Alle Server verwenden die aktuelle Zeit des Datenbankservers für das Starten von Tasks. Um eine bessere Überwachung von Tasks zu gewährleisten wird hier die Zeit des Datenbankservers angezeigt. Diese wird unter Benutzung der lokalen Zeitzone des Computers, auf dem das SafeGuard
Management Center läuft, angegeben.
Bearbeiten von Tasks
Um Tasks im Taskplaner zu bearbeiten, benötigen Sie die Sicherheitsbeauftragtenrechte
Taskplaner benutzen und Tasks verwalten.
1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner.
Der Dialog Taskplaner mit einer Übersicht über die geplanten Tasks wird angezeigt.
2. Wählen Sie den gewünschten Task und klicken Sie auf die Schaltfläche Eigenschaften.
Der <Task-Name> Eigenschaften Dialog mit den Eigenschaften des ausgewählten Tasks wird angezeigt.
3. Nehmen Sie die gewünschten Änderungen vor.
Hinweis
Der Task-Name muss eindeutig sein. Wenn Sie den Namen in einen bereits vorhandenen
Task-Namen ändern, wird eine Fehlermeldung angezeigt.
4. Klicken Sie auf OK.
Die Änderungen werden wirksam.
Löschen von Tasks
Um Tasks aus dem Taskplaner zu entfernen, benötigen Sie die Sicherheitsbeauftragtenrechte
Taskplaner benutzen und Tasks verwalten.
1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner.
Der Dialog Taskplaner mit einer Übersicht über die geplanten Tasks wird angezeigt.
2. Wählen Sie den gewünschten Task aus.
Die Schaltfläche Löschen wird aktiv.
3. Klicken Sie auf die Schaltfläche Löschen und bestätigen Sie, dass Sie den Task löschen möchten.
Der Task wird aus der Übersicht des Taskplaner Dialogs entfernt und nicht mehr auf dem
SafeGuard Enterprise Server ausgeführt.
Copyright © Sophos Limited 161
SafeGuard Enterprise Administratorhilfe
Hinweis
Wurde der Task in der Zwischenzeit gestartet, so wird er zwar aus dem Taskplaner
Übersichtsdialog entfernt, jedoch noch komplett ausgeführt.
Mit Skripten im Taskplaner arbeiten
Mit dem Taskplaner können Sie Skripte importieren, bearbeiten und exportieren. Um mit Skripten im
Taskplanerzu arbeiten, benötigen Sie die Sicherheitsbeauftragtenrechte Taskplaner benutzen und
Tasks verwalten.
Import von Skripts
Damit Sie ein Skript für die Ausführung mit einem Task angeben können, müssen Sie es importieren. Sie können das Skript beim Erstellen eines neuen Tasks importieren. Sie können auch
Skripts für bereits vorhandene Tasks importieren.
1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner.
Der Dialog Taskplaner mit einer Übersicht über die geplanten Tasks wird angezeigt.
2. Wählen Sie den gewünschten Task und klicken Sie auf die Schaltfläche Eigenschaften.
Der <Task-Name> Eigenschaften Dialog mit den Eigenschaften des ausgewählten Tasks wird angezeigt.
3. Klicken Sie auf die Dropdown-Schaltfläche Importieren... neben dem Feld Skript.
Der Dialog Skript-Datei für den Import auswählen wird angezeigt.
162
Hinweis
Im Verzeichnis Script Templates Ihrer SafeGuard Management Center Installation stehen zwei vordefinierte Skripte zur Verfügung. Der Dialog Skript-Datei für den Import auswählen zeigt
(Seite 163).
4. Wählen Sie das zu importierende Skript aus und klicken Sie auf OK.
Der Skript-Name wird im Feld Skript angezeigt.
5. Klicken Sie auf OK.
Wenn das Skript bereits importiert wurde, werden Sie aufgefordert zu bestätigen, dass das alte
Skript überschrieben werden soll.
Wenn die Größe der zu importierenden Datei 10 MB überschreitet, wird eine Fehlermeldung angezeigt und der Importvorgang wird zurückgewiesen.
Das Skript wird in der Datenbank gespeichert.
Bearbeiten von Skripten
1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner.
Der Dialog Taskplaner mit einer Übersicht über die geplanten Tasks wird angezeigt.
2. Wählen Sie den gewünschten Task und klicken Sie auf die Schaltfläche Eigenschaften.
Der <Task-Name> Eigenschaften Dialog mit den Eigenschaften des ausgewählten Tasks wird angezeigt.
3. Klicken Sie auf die Dropdown-Schaltfläche Bearbeiten neben dem Feld Skript.
Die Dropdownliste zeigt alle Editor-Programme, die für die Bearbeitung des Skripts zur
Verfügung stehen.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
4. Wählen Sie den Editor, den Sie verwenden möchten.
Das Skript wird im ausgewählten Editor geöffnet.
5. Nehmen Sie Ihre Änderungen vor und speichern Sie sie.
Der Editor wird geschlossen und der Dialog <Task-Name> Eigenschaften wird wieder angezeigt.
6. Klicken Sie auf OK.
Das geänderte Skript wird in der Datenbank gespeichert.
Export von Skripts
1. Wählen Sie in der SafeGuard Management Center Menüleiste Extras > Taskplaner.
Der Dialog Taskplaner mit einer Übersicht über die geplanten Tasks wird angezeigt.
2. Wählen Sie den gewünschten Task und klicken Sie auf die Schaltfläche Eigenschaften.
Der <Task-Name> Eigenschaften Dialog mit den Eigenschaften des ausgewählten Tasks wird angezeigt.
3. Klicken Sie auf die Schaltfläche Exportieren... neben dem Feld Skript.
Ein Speichern unter Dialog wird angezeigt.
4. Wählen Sie den Speicherort zum Speichern des Skripts ein und klicken Sie auf Speichern.
Das Skript wird am angegebenen Speicherort gespeichert.
Vordefinierte Skripte für periodische Tasks
In SafeGuard Enterprise stehen folgende vordefinierte Skripte zur Verfügung:
• ActiveDirectorySynchronization.vbs
Verwenden Sie dieses Skript für die automatische Synchronisierung zwischen dem Active
Directory und SafeGuard Enterprise.
• EventLogDeletion.vbs
Verwenden Sie dieses Skript, um protokollierte Ereignisse automatisch zu löschen.
Die Skripte werden automatisch im Unterverzeichnis Script Templates der SafeGuard Management
Center Installation installiert.
Um diese Skripte für Tasks zu verwenden, importieren Sie sie in den Taskplaner und nehmen Sie vor der Anwendung die notwendigen Parameteränderungen vor.
Vordefiniertes Skript für die Active Directory Synchronisierung
Sie haben die Möglichkeit, eine bestehende Organisationsstruktur über ein Active Directory in die
Nach dem Importieren der Struktur können Sie einen periodischen Task für die automatische
Synchronisierung zwischen dem Active Directory und SafeGuard Enterprise erstellen. Für diesen
Task können Sie das vordefinierte Skript ActiveDirectorySynchronization.vbs verwenden.
Das Skript synchronisiert alle vorhandenen Container in der SafeGuard Enterprise Datenbank mit einem Active Directory.
Bevor Sie das Skript in einem periodischen Task verwenden, können Sie folgende Parameter anpassen:
Copyright © Sophos Limited 163
SafeGuard Enterprise Administratorhilfe
Parameter logFileName synchronizeMembership synchronizeAccountState
Beschreibung
Legen Sie den Ausgabepfad für die Skript-Protokolldatei fest. Dieser Parameter ist obligatorisch. Ist der Parameter leer oder ungültig, so kann die Synchronisierung nicht durchgeführt werden und es wird eine Fehlermeldung angezeigt.
Standardmäßig ist dieser Parameter leer. Ist bereits eine
Protokolldatei vorhanden, so werden neue Protokolle am Ende der Datei angehängt.
Setzen Sie diesen Parameter auf 1, um auch Mitgliedschaften zu synchronisieren. Wenn dieser Parameter auf 0 gesetzt ist, werden die Mitgliedschaften nicht synchronisiert. Die
Standardeinstellung ist 1.
Setzen Sie diesen Parameter auf 1, um auch den Benutzer
Aktiv-Status zu synchronisieren. Wenn dieser Parameter auf 0 gesetzt ist, wird der Benutzer Aktiv-Status nicht synchronisiert.
Die Standardeinstellung ist 0.
Hinweis
Stellen Sie sicher, dass sie über die erforderlichen Zugriffsrechte für die Active Directory
Synchronisierung verfügen und dass die notwendigen SQL Berechtigungen für das Konto, das für die Ausführung des SafeGuard Enterprise Taskplaners benutzt wird, eingestellt sind. Weitere
Informationen finden Sie unter Zugriffsrechte für Sicherheitsbeauftragte und Import aus Active
(Seite 119). Informationen zum Einstellen der Active Directory Zugriffsrechte finden Sie im Sophos Knowledgebase-Artikel 107979 . Informationen zum Einstellen der SQL-Berechtigungen finden Sie im Sophos Knowledgebase-Artikel 113582 .
Wenn die Rechte korrekt eingestellt sind, wenden Sie die Änderungen an und starten Sie den
Dienst neu. Wechseln Sie auf den Server, der die SafeGuard Web-Seite hostet. Klicken Sie Start
> Run > Services.msc, um die Services Oberfläche zu öffnen. Klicken Sie mit der rechten
Maustaste auf SafeGuard® Scheduler Service und klicken Sie auf All Tasks > Restart.
Wir empfehlen, dass Sie das Active Directory in einem vergleichsweise moderaten Abstand (maximal zweimal am Tag) synchronisieren, damit sich die Serverleistung nicht bedeutend verringert. Neue
Objekte werden in diesen Abständen im SafeGuard Management Center unter .Automatisch registriert angezeigt. Hier können Sie wie üblich verwaltet werden.
Vordefiniertes Skript für das automatische Löschen von protokollierten
Ereignissen
Die in der SafeGuard Enterprise Datenbank protokollierten Ereignisse werden in der EVENT-Tabelle gespeichert. Für weitere Informationen zur Protokollierung, siehe
Mit dem Taskplaner können Sie einen periodischen Task für das automatische Löschen von protokollierten Ereignissen erstellen. Für diesen Task können Sie das vordefinierte Skript
EventLogDeletion.vbs verwenden.
Das Skript löscht Ereignisse aus der EVENT-Tabelle. Wenn Sie den entsprechenden Parameter einstellen, verschiebt das Skript auch die Ereignisse aus der EVENT-Tabelle in die Backup-Log-
Tabelle EVENT_BACKUP. Dabei wird eine definierte Anzahl an neuesten Ereignissen in der
EVENT-Tabelle belassen.
Bevor Sie das Skript in einem periodischen Task verwenden, können Sie folgende Parameter anpassen:
164 Copyright © Sophos Limited
Parameter maxDuration maxCount keepBackup
SafeGuard Enterprise Administratorhilfe
Beschreibung
Mit diesem Parameter legen Sie fest, wie lange (in Tagen) die Ereignisse in der EVENT-Tabelle verbleiben. Die
Standardeinstellung ist 0. Wenn dieser Parameter auf 0 gesetzt ist, gibt es keine zeitliche Begrenzung für das Verbleiben der
Ereignisse in der EVENT-Tabelle.
Mit diesem Parameter legen Sie fest, wie viele Ereignisse in der
EVENT-Tabelle verbleiben. Die Standardeinstellung ist 5000.
Wenn dieser Parameter auf 0 gesetzt ist, gibt es keine maximale
Anzahl an Ereignissen in der EVENT-Tabelle.
Mit diesem Parameter legen Sie fest, ob Ereignisse in der
EVENT_BACKUP-Tabelle gesichert werden sollen. Die
Standardeinstellung ist 0. Wenn dieser Parameter auf 0 gesetzt ist, werden die Ereignisse nicht gesichert. Setzen Sie diesen
Parameter auf 1, um eine Sicherungskopie der gelöschten
Ereignisse zu erstellen.
Hinweis
Wenn Sie die Ereignisse über das Skript aus der EVENT-Tabelle in die Backup-Log-Tabelle verschieben, findet die Verkettung der Protokollierung keine Anwendung mehr. Es ist nicht sinnvoll, die Verkettung zu aktivieren und gleichzeitig die gespeicherte Prozedur zur Säuberung der EVENT-
Tabelle einzusetzen. Für weitere Informationen, siehe Verkettung von protokollierten Ereignissen
(Seite 174).
Einschränkungen in Bezug auf registrierte Server
Wenn Sie im SafeGuard Management Center mit der Funktion Konfigurationspakete Server registrieren, können Sie mit einem Maschinenzertifikat mehrere Server Templates registrieren. Sie können jedoch jeweils nur ein Template auf der realen Maschine installieren.
Wenn Sie für beide Server das Kontrollkästchen Skripts ausführen erlaubt auswählen, zeigt der Taskplaner beide Server in der Dropdownliste SGN Server in den Dialogen Neuer Task und
<Task-Name> Eigenschaften zur Auswahl an. Der Taskplaner kann nicht ermitteln, welches der beiden Templates auf der Maschine installiert wurde.
Um dies zu vermeiden, wählen Sie das Kontrollkästchen Skript ausführen erlaubt für Templates, die nicht auf dem Server installiert sind, nicht aus. Vermeiden Sie außerdem eine Doppelung von
Templates mit demselben Maschinenzertifikat.
Weitere Informationen zum Registrieren von Servern finden Sie unter
Registrieren und Konfigurieren des SafeGuard Enterprise Server
(Seite 35).
3.8.16 Auditing
Protokollierte Ereignisse für BitLocker
Vom BitLocker Client gemeldete Ereignisse werden wie für alle anderen SafeGuard Enterprise
Clients protokolliert. Dabei wird nicht explizit erwähnt, dass sich das Ereignis auf einen BitLocker
Client bezieht. Die Berichte entsprechen den für jeden anderen SafeGuard Enterprise Client erzeugten Berichten.
Copyright © Sophos Limited 165
SafeGuard Enterprise Administratorhilfe
Protokollierte Ereignisse für Wiederherstellung mit BitLocker Recovery-
Schlüssel-ID
Wenn die BitLocker Wiederherstellungsschlüssel-ID einem Sicherheitsbeauftragten angezeigt wird, wird ein Ereignis protokolliert (Ereignis 2088).
Protokollierte Ereignisse für asynchrone Verschlüsselung
In folgenden Fällen wird ein Ereignis protokolliert:
• Die asynchrone Verschlüsselung hat eine Datei verschlüsselt (Ereignis 3018)
• Die asynchrone Verschlüsselung hat eine Datei entschlüsselt (Ereignis 3019)
Sie können eine Liste dieser Ereignisse im SafeGuard Management Center unter Berichte in der
Ereignisanzeige auflisten lassen.
Ereignisse (Log Events) für Unbestätigte Benutzer
In folgenden Fällen wird ein Ereignis protokolliert:
• Benutzer werden zur Gruppe .Unbestätigte Benutzer hinzugefügt (Ereignis 2801)
• Benutzer wurden erfolgreich bestätigt (Ereignis 2800)
• Die Option Benutzer automatisch bestätigen, die nicht über Active Directory authentisiert
werden können wird aktiviert (Ereignis 2802).
• Die Option Benutzer automatisch bestätigen, die nicht über Active Directory authentisiert
werden können wird deaktiviert (Ereignis 2803).
• Benutzer wurden automatisch bestätigt (Ereignis 2804)
Sie können eine Liste dieser Ereignisse im SafeGuard Management Center unter Berichte in der
Ereignisanzeige auflisten lassen.
Protokollierte Ereignisse beim Löschen von Domänen, OU-Knoten und
Arbeitsgruppen
In folgenden Fällen wird ein Ereignis protokolliert:
• Die Option Löschen von Domänen, OU-Knoten und Arbeitsgruppen verhindern ist aktiviert.
Die Nachricht zeigt dem Sicherheitsbeauftragten an, wer sie aktiviert hat (Ereignis 2805).
• Die Option Löschen von Domänen, OU-Knoten und Arbeitsgruppen verhindern ist deaktiviert. Die Nachricht zeigt dem Sicherheitsbeauftragten an, wer sie deaktiviert hat (Ereignis
2806).
Sie können eine Liste dieser Ereignisse im SafeGuard Management Center unter Berichte in der
Ereignisanzeige auflisten lassen.
166 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Protokollierte Ereignisse für Benutzer, Computer oder Arbeitsgruppen
Die erfolgreiche bzw. nicht erfolgreiche Registrierung eines Benutzers, Computers oder einer
Arbeitsgruppe wird protokolliert. Sie können eine Liste dieser Ereignisse im SafeGuard Management
Center unter Berichte in der Ereignisanzeige auflisten lassen.
Protokollierte Ereignisse beim Aktivieren/Deaktivieren der
Richtlinienverteilung
In folgenden Fällen wird ein Ereignis protokolliert:
• Richtlinienverteilung wird vom Sicherheitsbeauftragten deaktiviert. Die Nachricht zeigt dem
Sicherheitsbeauftragten an, wer die Richtlinienverteilung deaktiviert hat (Ereignis 2770).
• Richtlinienverteilung wird vom Sicherheitsbeauftragten aktiviert. Die Nachricht zeigt dem
Sicherheitsbeauftragten an, wer die Richtlinienverteilung aktiviert hat (Ereignis 2771).
• Richtlinienverteilung wird durch das Lizenz-Management deaktiviert (Ereignis 2773). Mögliche
Gründe:
— ungültige Lizenzen
— abgelaufene Lizenz
— überschrittene Lizenzen
• Richtlinienverteilung wird durch das Lizenz-Management aktiviert (Ereignis 2771).
Sie können eine Liste dieser Ereignisse im SafeGuard Management Center unter Berichte in der
Ereignisanzeige auflisten lassen.
Protokollierte Ereignisse für Service Account Listen
Die in Zusammenhang mit Service Account Listen durchgeführten Aktionen werden über die folgenden Ereignisse protokolliert:
SafeGuard Management Center
• Service Account Liste <Name> angelegt.
• Service Account Liste <Name> geändert.
• Service Account Liste <Name> gelöscht.
Durch SafeGuard Enterprise geschützte Endpoints
• Windows-Benutzer <Domäne/Benutzer> hat sich um <Zeit> an Maschine <Domäne/Computer> als
SGN Service Account angemeldet.
• Neue Service Account Liste importiert.
• Service Account Liste <Name> gelöscht.
Protokollierte Ereignisse für den Taskplaner
Zur Ausführung von Tasks lassen sich Ereignisse protokollieren, die zum Beispiel bei der
Fehlerbehebung nützliche Informationen liefern. Sie können festlegen, dass folgende Ereignisse protokolliert werden:
Copyright © Sophos Limited 167
SafeGuard Enterprise Administratorhilfe
• Task erfolgreich ausgeführt
• Task fehlgeschlagen
• Service Thread wegen Ausführung gestoppt
Die Ereignisse enthalten den Output der Skriptkonsole zur Unterstützung bei der Fehlerbehebung.
Für weitere Informationen zur Protokollierung, siehe
Protokollierung des Dateizugriffs im Cloud-Speicher
Mit der Funktion Berichte im SafeGuard Management Center lässt sich der Dateizugriff im Cloud-
Speicher protokollieren (Datei-Tracking). Für Datei-Tracking spielt es keine Rolle, ob für die Dateien eine Verschlüsselungsrichtlinie gilt.
In einer Richtlinie vom Typ Protokollierung können Sie Folgendes konfigurieren:
• Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium erstellt wird.
• Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium umbenannt wird.
• Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium gelöscht wird.
Weitere Informationen finden Sie unter
Datei-Tracking-Bericht für Wechselmedien und Cloud-
168
Protokollierung des Dateizugriffs auf Wechselmedien
Mit der Funktion Berichte des SafeGuard Management Center lässt sich der Dateizugriff auf
Wechselmedien protokollieren (Datei-Tracking). Für Datei-Tracking spielt es keine Rolle, ob für
Dateien auf Wechselmedien eine Verschlüsselungsrichtlinie gilt.
In einer Richtlinie vom Typ Protokollierung können Sie Folgendes konfigurieren:
• Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium angelegt wird.
• Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium umbenannt wird.
• Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis vom Wechselmedium gelöscht wird.
Weitere Informationen finden Sie unter
Datei-Tracking-Bericht für Wechselmedien und Cloud-
Berichte
Die Aufzeichnung sicherheitsrelevanter Vorfälle ist Voraussetzung für eine gründliche
Systemanalyse. Anhand der protokollierten Ereignisse können Vorgänge auf einer Arbeitsstation bzw. innerhalb eines Netzwerks exakter nachvollzogen werden. Durch die Protokollierung lassen sich zum Beispiel Schutzverletzungen unautorisierter Dritter nachweisen. Dem Administrator bzw. Sicherheitsbeauftragten bietet die Protokollierung auch eine Hilfe, um irrtümlich verwehrte
Benutzerrechte ausfindig zu machen und zu korrigieren.
SafeGuard Enterprise protokolliert alle Aktivitäten und Statusinformationen der Endpoints sowie
Administratoraktionen und sicherheitsrelevante Ereignisse und speichert diese zentral. Die
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Protokollierung zeichnet Ereignisse auf, die installierte SafeGuard Produkte auslösen. Die Art des
Protokolls wird in Richtlinien vom Typ Protokollierung definiert. Hier legen Sie auch den fest, wo die protokollierten Ereignisse ausgegeben und gespeichert werden sollen: in der Windows-
Ereignisanzeige des Endpoint oder in der SafeGuard Enterprise Datenbank.
Als Sicherheitsbeauftragter mit den entsprechenden Rechten können Sie die im SafeGuard
Management Center angezeigten Statusinformationen und Protokollberichte einsehen, ausdrucken und archivieren. Umfassende Sortier- und Filterfunktionen unterstützen Sie im SafeGuard
Management Center bei der Auswahl relevanter Ereignisse aus den verfügbaren Informationen.
Auch eine automatisierte Auswertung der Log-Datenbank, zum Beispiel über Crystal Reports oder Microsoft System Center Operations Manager, ist möglich. Die Protokolleinträge werden von
SafeGuard Enterprise sowohl auf Client- als auch auf Server-Seite durch Signatur gegen unbefugte
Manipulation geschützt.
Gemäß der Protokollierungsrichtlinie können Ereignisse aus den folgenden Kategorien protokolliert werden:
• Authentisierung
• Administration
• System
• Verschlüsselung
• Client
• Zugriffskontrolle
• Für SafeGuard Data Exchange lässt sich der Dateizugriff auf Wechselmedien durch
Protokollierung der relevanten Ereignisse verfolgen. Für weitere Informationen zu dieser
Berichtart, siehe
Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher
(Seite 173).
• Für SafeGuard Cloud Storage lässt sich der Zugriff auf Dateien in Ihrem Cloud-Speicher durch Protokollierung der relevanten Ereignisse verfolgen. Für weitere Informationen zu dieser
Berichtart, siehe
Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher
(Seite 173).
Voraussetzung
Ereignisse werden durch den SafeGuard Server verarbeitet. Wenn Sie auf Computern, auf denen kein SafeGuard Enterprise-Client installiert ist (SafeGuard Management Center-Computer oder der SafeGuard Enterprise Server selbst), Berichte aktivieren, müssen Sie sicherstellen, dass Ereignisse an den SafeGuard Enterprise Server gesendet werden. Sie müssen daher ein
Client-Konfigurationspaket auf dem Computer installieren. Dadurch wird der Computer beim
SafeGuard Enterprise Server als Client aktiviert und die Windows oder SafeGuard Enterprise
Protokollierungsfunktionalität kann genutzt werden.
Für weitere Informationen zu Client-Konfigurationspaketen, siehe Mit Konfigurationspaketen arbeiten
(Seite 73).
Anwendungsgebiete
Die SafeGuard Enterprise Protokollierung von Ereignissen ist eine benutzerfreundliche und umfassende Lösung zum Aufzeichnen und Auswerten von Ereignissen. Die folgenden Beispiele zeigen einige typische Anwendungsszenarien für SafeGuard Enterprise Berichte.
Zentrale Überwachung von Endpoints im Netzwerk
Der Sicherheitsbeauftragte will regelmäßig über kritische Ereignisse (zum Beispiel Zugriff auf
Dateien, für die ein Benutzer keine Berechtigung hat, oder eine Reihe von fehlgeschlagenen
Copyright © Sophos Limited 169
SafeGuard Enterprise Administratorhilfe
Anmeldeversuchen innerhalb eines bestimmten Zeitraums) informiert werden. Über eine
Protokollierungsrichtlinie lässt sich die Protokollierung so konfigurieren, dass alle auf den relevanten Endpoints auftretenden sicherheitskritischen Ereignisse in einer lokalen Protokolldatei protokolliert. Nach Erreichen einer festgelegten Anzahl an Ereignissen wird die Protokolldatei
über den SafeGuard Enterprise Server in die SafeGuard Enterprise Datenbank übertragen. In der Ereignisanzeige des SafeGuard Management Centers kann der Sicherheitsbeauftragte die Ereignisse abrufen, einsehen und analysieren. Somit lassen sich die Vorgänge auf den verschiedenen Endpoints kontrollieren, ohne dass Mitarbeiter Einfluss auf die Aufzeichnungen nehmen können.
Überwachen mobiler Benutzer
Mobile Benutzer sind in der Regel nicht ständig mit dem Unternehmensnetzwerk verbunden. Ein
Außendienstmitarbeiter nimmt zum Beispiel für einen Termin sein Notebook vom Netz. Sobald er sich wieder am Netzwerk anmeldet, werden die während der Offline-Zeit protokollierten SafeGuard
Enterprise Ereignisse übertragen. Die Protokollierung liefert somit einen genauen Überblick über die
Benutzeraktivitäten während der betreffende Computer nicht an das Netzwerk angeschlossen war.
Ziel für protokollierte Ereignisse
Ziel der protokollierten Ereignisse kann die Windows-Ereignisanzeige oder die SafeGuard Enterprise
Datenbank sein. In das jeweilige Ziel schreibt die Protokollierung nur Ereignisse, die mit einem
SafeGuard-Produkt verknüpft sind.
Die Ausgabeziele für zu protokollierende Ereignisse werden in der Protokollierungsrichtlinie festgelegt.
Windows-Ereignisanzeige
Ereignisse, für die Sie in der Protokollierungsrichtlinie die Windows-Ereignisanzeige als Ziel festlegen, werden in der Windows-Ereignisanzeige abgelegt. Über die Windows-Ereignisanzeige lassen sich Protokolle für System-, Sicherheits- und Anwendungs-Ereignisse anzeigen und verwalten. Sie können diese Ereignisprotokolle auch speichern. Für diese Vorgänge benötigen Sie einen Administrator-Account für den jeweiligen Endpoint. In der Ereignisanzeige wird jeweils ein
Fehlercode, kein beschreibender Text des Ereignisses, angezeigt.
Eine Voraussetzung, um SafeGuard Enterprise Events in der Windows Ereignisanzeige sehen zu können, ist, dass ein Client config.msi am Endpoint installiert ist.
Dieses Kapitel beschreibt das Einsehen sowie die Verwaltung und Analyse der Ereignisprotokolle im
SafeGuard Management Center. Weitere Informationen zur Windows-Ereignisanzeige finden Sie in
Ihrer Microsoft-Dokumentation.
170
SafeGuard Enterprise Datenbank
Ereignisse, für die Sie in der Protokollierungsrichtlinie die SafeGuard Enterprise Datenbank als Ziel festlegen, werden in lokalen Protokolldateien im Local Cache des jeweiligen Endpoint im Verzeichnis auditing\SGMTranslog gesammelt. Diese Dateien werden an den Transportmechanismus
übergeben, der sie dann über den SafeGuard Enterprise Server in die Datenbank einträgt. Die
Übergabe erfolgt standardmäßig immer dann, wenn der Transportmechanismus erfolgreich eine
Verbindung zum Server aufbauen konnte. Um die Größe einer Protokolldatei einzuschränken, können Sie in einer Richtlinie des Typs Allgemeine Einstellungen eine maximale Anzahl an
Protokolleinträgen definieren. Die Protokolldatei wird dann vom Protokollsystem nach Erreichen der festgelegten Anzahl an Einträgen in die Transportqueue des SafeGuard Enterprise Servers gestellt.
Die in der zentralen Datenbank protokollierten Ereignisse lassen sich in der SafeGuard Enterprise
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Ereignisanzeige oder in der Datei-Tracking-Anzeige abrufen. Für das Einsehen, Analysieren und
Verwalten der in der Datenbank protokollierten Ereignisse benötigen Sie als Sicherheitsbeauftragter die relevanten Berechtigungen.
Konfigurieren von Einstellungen für die Protokollierung
Die Definition von Berichten erfolgt über zwei Richtlinien:
• Richtlinie des Typs Allgemeine Einstellungen
In einer Richtlinie des Typs Allgemeine Einstellungen können Sie die Anzahl an protokollierten
Ereignissen angeben, nach deren Erreichen die Protokolldatei mit den für die zentrale
Datenbank bestimmten Ereignissen an die SafeGuard Enterprise Datenbank übermittelt werden soll. Dadurch wird die Größe der einzelnen zu übertragenden Protokolldateien begrenzt. Diese
Einstellung ist optional.
• Richtlinie des Typs Protokollierung
Die zu protokollierenden Ereignisse werden in der Protokollierungsrichtlinie definiert. Hier legen
Sie als Sicherheitsbeauftragter mit den relevanten Berechtigungen fest, welche Ereignisse an welchem Ausgabeort protokolliert werden.
Festlegen der Anzahl an Ereignissen für Rückmeldung
1. Klicken Sie im SafeGuard Management Center auf Richtlinien.
2. Legen Sie eine neue Richtlinie des Typs Allgemeine Einstellung an oder wählen Sie eine bereits bestehende Richtlinie aus.
3. Legen Sie im Feld Rückmeldung nach Anzahl von Ereignissen unter Protokollierung die maximale Anzahl an Ereignissen pro Protokolldatei fest
4. Speichern Sie Ihre Einstellungen.
Nach dem Zuweisen der Richtlinie gilt die angegebene Anzahl an Ereignissen.
Auswahl von Ereignissen
1. Klicken Sie im SafeGuard Management Center auf Richtlinien.
2. Legen Sie eine neue Richtlinie des Typs Protokollierung an oder wählen Sie eine bereits bestehende Richtlinie aus.
Im rechten Aktionsbereich unter Protokollierung werden die vordefinierten Ereignisse, die protokolliert werden können, angezeigt. Standardmäßig werden Ereignisse nach Ebene gruppiert, zum Beispiel Warnung oder Fehler. Sie können die Gruppierung jedoch ändern. Ein
Klick auf die Spaltenüberschrift sortiert die Ereignisse nach ID, Kategorie usw.
3. Um festzulegen, dass ein Ereignis in der SafeGuard Enterprise Datenbank protokolliert werden soll, wählen Sie das Ereignis in der Spalte mit dem Datenbanksymbol Ereignisse
in der Datenbank protokollieren durch Klicken mit der Maus aus. Für Ereignisse, die in der Windows-Ereignisanzeige protokolliert werden sollen, klicken Sie in der Spalte mit dem
Ereignisprotokollsymbol Im Ereignisprotokoll protokollieren.
Durch wiederholtes Klicken lässt sich die Markierung wieder aufheben oder auf null setzen. Für
Ereignisse, für die Sie keine Einstellung festlegen, gelten die vordefinierten Standardwerte.
4. Bei den für die Protokollierung ausgewählten Ereignissen wird in der betreffenden Spalte ein grünes Häkchen angezeigt. Speichern Sie Ihre Einstellungen.
Nach der Zuweisung der Richtlinie werden die ausgewählten Ereignisse am festgelegten
Ausgabeziel protokolliert.
Hinweis
Für eine Auflistung aller für die Protokollierung auswählbaren Ereignisse, siehe
Für Berichte auswählbare Ereignisse
(Seite 179).
Copyright © Sophos Limited 171
SafeGuard Enterprise Administratorhilfe
Einsehen von protokollierten Ereignissen
Wenn Sie als Sicherheitsbeauftragter über die entsprechenden Berechtigungen verfügen, können
Sie die in der zentralen Datenbank protokollierten Ereignisse in der SafeGuard Management Center
Ereignisanzeige einsehen.
So rufen Sie in der zentralen Datenbank protokollierte Ereignisse ab:
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die Schaltfläche
Berichte.
2. Markieren Sie im Berichte Navigationsbereich den Eintrag Ereignisanzeige.
3. Klicken Sie im rechten Fensterbereich Ereignisanzeige auf das Lupensymbol.
Alle in der zentralen Datenbank protokollierten Ereignisse werden in der Ereignisanzeige angezeigt.
Die einzelnen Spalten zeigen folgende Informationen zu den protokollierten Ereignissen:
Spalte
ID
Ereignis
Kategorie
Anwendung
Computer
Computerdomäne
Benutzer
Benutzerdomäne
Zeitpunkt der Protokollierung
Beschreibung
Zeigt eine Nummer zur Identifizierung des Ereignisses.
Zeigt den Ereignistext, d.h. eine Beschreibung des Ereignisses.
Zeigt die Klassifizierung des Ereignisses durch die Quelle, z.
B.:Verschlüsselung, Anmeldung, System.
Zeigt den Bereich der Software, der das Ereignis übermittelt hat, z.
B. SGMAuth, SGBaseENc, SGMAS.
Zeigt den Namen des Computers, auf dem das protokollierte
Ereignis aufgetreten ist.
Zeigt die Domäne des Computers, auf dem das protokollierte
Ereignis aufgetreten ist.
Zeigt den Benutzer, der beim Auftreten des Ereignisses angemeldet war.
Zeigt die Domäne des Benutzers, der beim Auftreten des
Ereignisses angemeldet war.
Zeigt Systemdatum und Systemuhrzeit der Protokollierung des
Ereignisses auf dem Endpoint.
Durch Klicken auf den Spalten-Header lässt sich die Ereignisanzeige nach Ebene, Kategorie usw.
sortieren.
Darüber hinaus steht über das Kontextmenü der einzelnen Spalten eine Reihe von Funktionen für die Sortierung, Gruppierung und Anpassung der Ereignisanzeige zur Verfügung.
Wenn Sie auf einen Eintrag in der Ereignisanzeige doppelklicken, werden Details zum protokollierten Ereignis angezeigt.
Filtern der SafeGuard Enterprise Ereignisanzeige
Das SafeGuard Management Center bietet umfassende Filterfunktionen. Mit diesen Funktionen können Sie die jeweils relevanten Ereignisse schnell aus Fülle der in der Ereignisanzeige dargestellten Informationen ermitteln.
Im Filter-Bereich der Ereignisanzeige stehen folgende Felder für die Definition von Filtern zur
Verfügung:
172 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Feld
Kategorien
Fehlerstufe
Zeige letzte
Beschreibung
Unter Anwendung dieses Felds lässt sich die Ereignisanzeige nach den in der Spalte Kategorie angegebenen Klassifizierungen durch die Quelle
(zum Beispiel Verschlüsselung, Anmeldung, System) filtern. Wählen
Sie hierzu die gewünschten Kategorien in der Dropdownliste des Felds aus.
Unter Anwendung dieses Felds lässt sich die Ereignisanzeige nach den in der Spalte Ebene angegebenen Windows-Ereignisklassifizierungen (z.
B. Warnung, Fehler) filtern. Wählen Sie hierzu die gewünschten Ebenen in der Dropdownliste des Felds aus.
In diesem Feld können Sie die Anzahl der anzuzeigenden Ereignisse festlegen. Es werden jeweils die zuletzt protokollierten Ereignisse
(standardmäßig die 100 letzten Ereignisse) angezeigt.
Darüber hinaus können Sie mit dem Filter-Editor benutzerdefinierte Filter erstellen. Der Filter-Editor lässt sich über das Kontextmenü der einzelnen Berichtsspalten aufrufen. Im Fenster Filterdefinition können Sie eigene Filter definieren und auf die jeweilige Spalte anwenden.
Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher
Bei SafeGuard Data Exchange und SafeGuard Cloud Storage lässt sich der Zugriff auf Dateien auf Wechselmedien oder in Ihrem Cloud-Speicher protokollieren. Unabhängig davon, ob eine
Verschlüsselungsrichtlinie für Dateien auf Wechselmedien oder Cloud-Speicher gilt, lassen sich
Ereignisse für folgende Aktionen protokollieren:
• Auf einem Wechselmedium oder im Cloud-Speicher wird eine Datei oder ein Verzeichnis angelegt.
• Auf einem Wechselmedium oder im Cloud-Speicher wird eine Datei oder ein Verzeichnis umbenannt.
• Auf einem Wechselmedium oder im Cloud-Speicher wird eine Datei oder ein Verzeichnis gelöscht.
Sie können die Events für den Dateizugriff in der Windows Ereignisanzeige oder in der SafeGuard
Enterprise Datei-Tracking-Anzeige einsehen, je nachdem, welches Ziel Sie bei der Definition der
Protokollierungsrichtlinie angeben.
Konfigurieren von Datei-Tracking
1. Klicken Sie im SafeGuard Management Center auf Richtlinien.
2. Legen Sie eine neue Richtlinie des Typs Protokollierung an oder wählen Sie eine bereits bestehende Richtlinie aus.
Im rechten Aktionsbereich unter Protokollierung werden die vordefinierten Ereignisse, die protokolliert werden können, angezeigt. Ein Klick auf die Spaltenüberschrift sortiert die
Ereignisse nach ID, Kategorie usw.
3. Um die Protokollierung des Dateizugriffs zu aktivieren, wählen Sie je nach Anforderung die folgenden Ereignisse:
• Für Dateien, die auf Wechselmedien gespeichert sind:
— ID 3020 Datei-Tracking für Wechselmedien: Eine Datei wurde erstellt.
— ID 3021 Datei-Tracking für Wechselmedien: Eine Datei wurde umbenannt.
— ID 3022 Datei-Tracking für Wechselmedien: Eine Datei wurde gelöscht.
• Für Dateien, die im Cloud-Speicher gespeichert sind:
— ID 3025 Datei-Tracking für Cloud-Speicher: Eine Datei wurde erstellt.
— ID 3026 Datei-Tracking für Cloud-Speicher: Eine Datei wurde umbenannt.
Copyright © Sophos Limited 173
SafeGuard Enterprise Administratorhilfe
— ID 3027 Datei-Tracking für Cloud-Speicher: Eine Datei wurde gelöscht.
Um festzulegen, dass ein Ereignis in der SafeGuard Enterprise Datenbank protokolliert werden soll, wählen Sie das Ereignis in der Spalte mit dem Datenbanksymbol Ereignisse
in der Datenbank protokollieren durch Klicken mit der Maus aus. Für Ereignisse, die in der Windows-Ereignisanzeige protokolliert werden sollen, klicken Sie in der Spalte mit dem
Ereignisprotokollsymbol Im Ereignisprotokoll protokollieren.
Bei den für die Protokollierung ausgewählten Ereignissen wird in der betreffenden Spalte ein grünes Häkchen angezeigt.
4. Speichern Sie Ihre Einstellungen.
Nach dem Zuweisen der Richtlinie ist Datei-Tracking aktiviert und die ausgewählten Ereignisse werden am ausgewählten Zielort protokolliert.
Hinweis
Beachten Sie, dass sich durch das Aktivieren von Datei-Tracking die Serverlast erheblich erhöht.
Einsehen von Datei-Tracking-Ereignissen
Um Datei-Tracking-Protokolle einzusehen, benötigen Sie das Recht Datei-Tracking-Ereignisse
anzeigen.
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die Schaltfläche
Berichte.
2. Markieren Sie im Berichte Navigationsbereich den Eintrag Datei-Tracking-Anzeige.
3. Klicken Sie im Aktionsbereich der Datei-Tracking-Anzeige auf der rechten Seite auf das
Lupensymbol.
Alle in der zentralen Datenbank protokollierten Ereignisse werden in der Datei-Tracking-Anzeige angezeigt. Die Ansicht ist mit der Ansicht der Ereignisanzeige identisch. Für weitere Informationen, siehe
Einsehen von protokollierten Ereignissen
(Seite 172).
Drucken von Berichten
Die in der SafeGuard Management Center Ereignisanzeige oder in der Datei-Tracking-Anzeige angezeigten Ereignisberichte lassen sich über das Datei Menü in der Menüleiste des SafeGuard
Management Center drucken.
• Um vor dem Drucken eine Druckvorschau zu erstellen, wählen Sie Datei > Druckvorschau. In der Druckvorschau stehen verschiedene Funktionen, zum Beispiel für den Export des Dokuments in eine Reihe von Ausgabeformaten (zum Beispiel .PDF) oder die Bearbeitung des Seitenlayouts
(zum Beispiel Kopf- und Fußzeile), zur Verfügung.
• Um das Dokument sofort zu drucken, wählen Sie Datei > Drucken.
Verkettung von protokollierten Ereignissen
Die für die zentrale Datenbank bestimmten Ereignisse werden in der EVENT-Tabelle der SafeGuard
Enterprise Datenbank protokolliert. Auf diese Tabelle kann ein spezieller Integritätsschutz angewendet werden. Die Ereignisse lassen sich als verkettete Liste in der EVENT-Tabelle protokollieren. Durch die Verkettung ist ein Eintrag in der Liste jeweils von seinem Vorgängereintrag abhängig. Wird ein Eintrag aus der Liste entfernt, so ist dies sichtbar und über eine Integritätsprüfung nachweisbar.
Zur Optimierung der Performance ist die Verkettung der Ereignisse in der EVENT-Tabelle standardmäßig deaktiviert. Zur Überprüfung der Integrität der protokollierten Ereignisse (siehe
Prüfen der Integrität protokollierter Ereignisse
(Seite 175)) können Sie jedoch die Verkettung aktivieren.
174 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Hinweis
Wenn die Verkettung von protokollierten Ereignissen deaktiviert ist, gilt kein spezieller
Integritätsschutz für die EVENT-Tabelle.
Hinweis
Zu viele Events können zu Performanceproblemen führen. Nähere Informationen, wie Sie
Performanceprobleme vermeiden können, indem Sie Events aufräumen, finden Sie unter
Regelmäßige Säuberung der EVENT-Tabelle über Skript (Seite 176).
Aktivieren der Verkettung protokollierter Ereignisse
1. Stoppen Sie den Webservice SGNSRV auf dem Web Server.
2. Löschen Sie alle Ereignisse aus der Datenbank und erstellen Sie während des Löschvorgangs eine
Sicherungskopie, siehe Löschen ausgewählter oder aller Ereignisse
(Seite 175).
Hinweis
Wenn Sie die alten Ereignisse nicht aus der Datenbank löschen, funktioniert die Verkettung nicht, da für die verbleibenden alten Ereignisse die Verkettung nicht aktiviert war.
3. Setzen Sie folgenden Registry Key auf 0 oder löschen Sie ihn:
HKEY_LOCAL_MACHINE\SOFTWARE\Utimaco\SafeGuard Enterprise DWORD:
DisableLogEventChaining = 0
4. Starten Sie den Webservice neu.
Die Verkettung ist wieder aktiviert.
Hinweis
Um die Verkettung wieder zu deaktivieren, setzen Sie den Registry Key auf 1.
Prüfen der Integrität protokollierter Ereignisse
Voraussetzung: Für die Überprüfung der Integrität von protokollierten Ereignissen muss die
Verkettung der Ereignisse in der EVENT-Tabelle aktiviert sein.
1. Klicken Sie im SafeGuard Management Center auf Berichte.
2. Wählen Sie in der SafeGuard Management Center Menüleiste Aktionen > Integrität prüfen.
Eine Meldung liefert die Informationen zur Integrität der protokollierten Ereignisse.
Hinweis
Ist die Verkettung von Ereignissen deaktiviert, so wird ein Fehler ausgegeben.
Löschen ausgewählter oder aller Ereignisse
1. Klicken Sie im SafeGuard Management Center auf Berichte.
2. Markieren Sie in der Ereignisanzeige die Ereignisse, die gelöscht werden sollen.
3. Um ausgewählte Ereignisse zu löschen, wählen Sie in der SafeGuard Management Center
Menüleiste Aktionen > Ereignisse löschen oder klicken Sie in der Symbolleiste auf das Symbol
Ausgewählte Ereignisse löschen. Um alle Ereignisse zu löschen, wählen Sie in der SafeGuard
Management Center Menüleiste Aktionen > Alle Ereignisse löschen oder klicken Sie in der
Symbolleiste auf das Symbol Alle Ereignisse löschen.
Copyright © Sophos Limited 175
SafeGuard Enterprise Administratorhilfe
4. Vor dem Löschen der ausgewählten Ereignisse wird das Fenster Ereignisse sichern als zur
Erstellung einer Sicherungsdatei angezeigt, siehe
Erstellen einer Sicherungsdatei
(Seite 176).
Die ausgewählten Ereignisse werden aus dem Ereignisprotokoll gelöscht.
Erstellen einer Sicherungsdatei
Sicherungsdateien von den in der Ereignisanzeige angezeigten Berichten lassen sich im Rahmen des Löschvorgangs erstellen.
1. Wenn Sie Aktionen > Ereignisse löschen oder Aktionen > Alle Ereignisse löschen wählen, wird vor dem Löschen der Ereignisse das Fenster Ereignisse sichern als zur Erstellung einer
Sicherungsdatei angezeigt.
2. Um eine Sicherung des Ereignisprotokolls in Form einer XML-Datei zu erstellen, geben Sie einen
Dateinamen und einen Speicherort an und klicken Sie auf OK.
Öffnen einer Sicherungsdatei
1. Klicken Sie im SafeGuard Management Center auf Berichte.
2. Wählen Sie in der SafeGuard Management Center Menüleiste Aktionen > Sicherungsdatei
öffnen.
Das Fenster Sicherung öffnen wird angezeigt.
3. Wählen Sie die zu öffnende Sicherungsdatei aus und klicken Sie auf Öffnen.
Die Sicherungsdatei wird geöffnet und die Ereignisse werden in der Ereignisanzeige angezeigt.
Um wieder zur regulären Ansicht der Ereignisanzeige zurückzukehren, klicken Sie erneut auf das
Symbol Sicherungsdatei öffnen in der Symbolleiste.
Regelmäßige Säuberung der EVENT-Tabelle über Skript
Hinweis
Das SafeGuard Management Center bietet den Taskplaner für das Erstellen und Planen von auf Skripten basierenden Tasks, die in regelmäßigen Abständen ausgeführt werden. Auf dem
SafeGuard Enterprise Server startet ein Service die Tasks automatisch zur Ausführung der angegebenen Skripte.
Für die automatische und effiziente Säuberung der EVENT-Tabelle stehen im \tools Verzeichnis
Ihrer SafeGuard Enterprise Software-Lieferung vier SQL Skripte zur Verfügung:
• spShrinkEventTable_install.sql
• ScheduledShrinkEventTable_install.sql
• spShrinkEventTable_uninstall.sql
• ScheduledShrinkEventTable_uninstall.sql
Die beiden Skripte spShrinkEventTable_install.sql
und
ScheduledShrinkEventTable_install.sql
installieren eine gespeicherte Prozedur sowie den
Scheduled Job auf dem Datenbank-Server. Der Scheduled Job führt die gespeicherte Prozedur in festgelegten, regelmäßigen Abständen aus. Die gespeicherte Prozedur verschiebt Ereignisse aus der EVENT-Tabelle in die Backup-Log-Tabelle EVENT_BACKUP. Dabei wird eine definierte Anzahl an neuesten Ereignissen in der EVENT-Tabelle belassen.
Die beiden Skripte spShrinkEventTable_uninstall.sql
und
ScheduledShrinkEventTable_uninstall.sql
deinstallieren die gespeicherte Prozedur sowie den Scheduled Job. Diese beiden Skripte löschen auch die EVENT_BACKUP Tabelle.
176 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Hinweis
Wenn Sie die Ereignisse über die gespeicherte Prozedur aus der EVENT-Tabelle in die Backup-
Log-Tabelle verschieben, findet die Verkettung der Protokollierung keine Anwendung mehr. Es ist nicht sinnvoll, die Verkettung zu aktivieren und gleichzeitig die gespeicherte Prozedur zur
Erstellen der gespeicherten Prozedur
Das Skript spShrinkEventTable_install.sql
erstellt eine gespeicherte Prozedur, die Daten aus der EVENT-Tabelle in eine Backup-Log-Tabelle mit dem Namen EVENT_BACKUP verschiebt.
Wenn die Tabelle EVENT_BACKUP noch nicht vorhanden ist, wird sie automatisch erstellt.
Die erste Zeile lautet „USE SafeGuard“. Wenn Sie für Ihre SafeGuard Enterprise Datenbank einen anderen Namen als „SafeGuard“ verwendet haben, ändern Sie den Namen hier entsprechend.
Die gespeicherte Prozedur belässt die <n> neuesten Ereignisse in der EVENT-Tabelle und verschiebt den Rest in die Tabelle EVENT_BACKUP. Die Anzahl an Ereignissen, die in der EVENT-
Tabelle verbleiben sollen, wird über einen Parameter festgelegt.
Um die gespeicherte Prozedur auszuführen, verwenden Sie folgenden Befehl in SQL Server
Management Studio (New Query): exec spShrinkEventTable 1000
Bei Verwendung dieses Beispielbefehls werden alle Ereignisse außer den neuesten 1000 verschoben.
Anlegen eines Scheduled Job für die Ausführung der gespeicherten Prozedur
Um die EVENT-Tabelle in regelmäßigen Abständen automatisch zu säubern, können Sie einen Job am SQL Server anlegen. Dieser Job kann über das Skript
ScheduledShrinkEventTable_install.sql
oder über den SQL Enterprise Manager erstellt werden.
Hinweis
Der Job funktioniert nicht bei SQL Express Datenbanken. Damit der Job ausgeführt werden kann, muss der SQL Server Agent laufen. Da bei SQL Server Express Installation kein SQL Server
Agent vorhanden ist, werden Jobs hier nicht unterstützt.
• Der Skript-Teil muss in der msdb ausgeführt werden. Wenn Sie für Ihre SafeGuard Enterprise
Datenbank einen anderen Namen als SafeGuard ausgewählt haben, ändern Sie den Namen entsprechend.
/* Default: Database name 'SafeGuard' change if required*/
SELECT @SafeGuardDataBase='SafeGuard'
• Sie können auch die Anzahl an Ereignissen festlegen, die in der EVENT-Tabelle verbleiben sollen.
Die Standardeinstellung ist 100.000.
/* Default: keep the latest 100000 events, change if required*/
SELECT @ShrinkCommand='exec spShrinkEventTable 100000'
• Sie können festlegen, ob die Ausführung des Jobs im NT Event Log protokolliert werden soll.
exec sp_add_job
@job_name='AutoShrinkEventTable',
@enabled=1,
Copyright © Sophos Limited 177
SafeGuard Enterprise Administratorhilfe
@notify_level_eventlog=3
Für den Parameter notify_level_eventlog sind folgende Werte verfügbar:
2
1
0
Wert
3
Ergebnis
Jede Ausführung des Jobs protokollieren.
Fehlschlagen des Jobs protokollieren.
Erfolgreiche Ausführung des Jobs protokollieren.
Ausführung des Jobs nicht im NT Event Log protokollieren.
• Sie können festlegen, wie oft die Ausführung des Jobs im Fall eines Fehlschlags wiederholt werden soll.
exec sp_add_jobstep
— @retry_attempts=3
Dieses Beispiel legt 3 Versuche für die Ausführung des Jobs im Fall eines Fehlschlags fest.
— @retry_interval=60
Dieses Beispiel legt fest, dass die Ausführung des Jobs in einem Abstand von 60 Minuten wiederholt werden soll.
• Sie können einen Zeitplan für die Ausführung des Jobs festlegen.
exec sp_add_jobschedule
— @freq_type=4
Dieses Beispiel legt fest, dass der Job täglich ausgeführt wird.
— @freq_interval=1
Dieses Beispiel legt fest, dass der Job einmal pro Tag ausgeführt wird.
— @active_start_time=010000
Dieses Beispiel legt fest, dass der Job um 01:00 Uhr ausgeführt wird.
Hinweis
Neben den oben angeführten Beispielwerten lässt sich noch eine Vielzahl von verschiedenen
Zeitplanoptionen mit sp_add-jobschedule definieren. So lässt sich der Job zum Beispiel alle zwei Minuten oder nur einmal pro Woche ausführen. Weitere Informationen hierzu finden Sie in der Microsoft Transact SQL Dokumentation.
Löschen der gespeicherten Prozeduren, Jobs und Tabellen
Das Skript spShrinkEventTable_uninstall.sql
löscht die gespeicherte Prozedur sowie die EVENT-BACKUP Tabelle. Das Skript ScheduledShrinkEventTable_uninstall.sql
deaktiviert den Scheduled Job.
Hinweis
Wenn Sie spShrinkEventTable_uninstall.sql
ausführen, wird die Tabelle
EVENT_BACKUP mit allen enthaltenen Daten vollständig gelöscht.
Texte für Ereignisberichte
Ereignisse werden nicht mit ihren vollständigen Ereignistexten in der SafeGuard Enterprise
Datenbank protokolliert. Nur die ID und die relevanten Parameterwerte werden in die
178 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Datenbanktabelle geschrieben. Beim Abrufen der Ereignisse in der SafeGuard Management
Center Ereignisanzeige werden die Parameterwerte zusammen mit den in der .dll enthaltenen
Lückentexten in die kompletten Ereignistexte umgesetzt. Dies erfolgt in der jeweils benutzten
Systemsprache des SafeGuard Management Center.
Die für die Ereignistexte verwendeten Lückentexte lassen sich, zum Beispiel durch SQL-
Abfragen, bearbeiten und aufbereiten. Sie können hierzu eine Tabelle mit allen Lückentexten für
Ereignismeldungen erzeugen. Danach können Sie die Lückentexte nach Ihren Anforderungen anpassen.
So erstellen Sie eine Tabelle mit den Texten für die einzelnen Ereignis-IDs:
1. Wählen Sie in der Menüleiste des SafeGuard Management Center Extras > Optionen.
2. Wählen Sie in der Menüleiste des SafeGuard Management Centers Extras > Optionen.
3. Klicken Sie im Bereich Texte für Ereignisberichte auf die Schaltfläche Erzeuge Tabelle.
Die Tabelle mit den Texten für die Bericht IDs wird in der jeweils aktuellen Sprache des SafeGuard
Management Centers erstellt und kann angepasst werden.
Hinweis
Vor jedem neuen Erstellen der Lückentexte wird die Tabelle jeweils geleert. Wenn die Texte für eine Sprache wie beschrieben erstellt wurden und ein Benutzer erstellt die Texte für eine andere
Sprache, so werden die Texte für die erste Sprache entfernt.
System
System
System
System
System
System
System
System
System
Für Berichte auswählbare Ereignisse
Die folgende Tabelle bietet einen Überblick zu allen für die Protokollierung auswählbaren
Ereignissen.
Kategorie
System
Kommunikation
Kommunikation
Kommunikation
Authentisierung
Authentisierung
Ereignis-
ID
Beschreibung
1001
1005
Prozess gestartet.
Dienst gestartet.
1006
1007
1016
1017
Dienst starten fehlgeschlagen
Dienst angehalten.
Integritätstest der Dateien fehlgeschlagen.
Logging Ziel nicht verfügbar.
1018
1019
1020
1021
1500
1507
1508
2001
2002
Nicht genehmigter Versuch SafeGuard Enterprise zu deinstallieren.
Schlüssel-Backup fehlgeschlagen
Das senden der Meldung "key backup complete" an die Sophos Enterprise
Console ist fehlgeschlagen.
Schlüssel-Backup nicht bestätigt
E-Mail wurde mit Anlagen gesendet (Von, Betreff, Verschlüsselungsmethode)
E-Mail wurde mit Anlagen gesendet (Von, Betreff, Anlagen,
Verschlüsselungsmethode)
E-Mail wurde mit Anlagen gesendet (Von, Empfänger, Betreff, Anlagen,
Verschlüsselungsmethode)
Externe GINA erkannt und erfolgreich eingebunden.
Externe GINA erkannt, Einbindung fehlgeschlagen.
Copyright © Sophos Limited 179
SafeGuard Enterprise Administratorhilfe
2032
2033
2035
2036
2056
2057
2058
2061
2062
2026
2027
2028
2029
2030
2031
2010
2011
2012
2013
2014
2015
2016
2017
2003
2004
2005
2006
2007
2008
2009
2018
2019
2020
2021
2022
2023
2024
2025
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Power-on Authentication ist aktiviert.
Power-on Authentication ist deaktiviert.
Wake on LAN ist aktiviert.
Wake on LAN ist deaktiviert.
Challenge erzeugt.
Response erzeugt.
Anmeldung erfolgreich durchgeführt.
Anmeldung fehlgeschlagen.
Benutzer wurde während der Anmeldung importiert und als Besitzer markiert.
Benutzer vom Besitzer importiert und als Nicht- Besitzer markiert
Benutzer von Nicht-Besitzer importiert und als Nicht-Besitzer markiert.
Benutzer als Besitzer entfernt.
Import des Benutzers während der Anmeldung fehlgeschlagen.
Benutzer hat sich abgemeldet.
Benutzer wurde zwangsweise abgemeldet.
Aktion wurde auf dem Gerät ausgeführt.
Benutzer hat einen Kennwort/PIN-Wechsel eingeleitet.
Benutzer hat nach der Anmeldung sein Kennwort/PIN geändert.
Kennwort/PIN-Qualität.
Verstoß gegen Kennwort-/PIN-Richtlinie.
Der LocalCache war korrupt und wurde restauriert.
Ungültige Kennwort-Blacklist-Konfiguration.
Der empfangene Response Code erlaubt es dem Benutzer, sich sein Kennwort anzeigen zu lassen.
Sicherung des Local Cache war erfolgreich.
Sicherung des Local Cache ist fehlschlagen.
Angemeldeter Benutzer ist ein Gast-Benutzer.
Erfolgreiche Anmeldung an Web Helpdesk mit vorkonfigurierten Benutzerdaten.
Angemeldeter Benutzer ist ein Service Account.
Die Anmeldung mit vorkonfigurierten Benutzerdaten an Web Helpdesk ist fehlgeschlagen.
Die Authentisierung für Web Helpdesk ist fehlgeschlagen.
Web Helpdesk wurde gestartet.
Anmeldung
Service Account Liste gelöscht.
SGN Windows - Benutzer hinzugefügt.
Alle SGN Windows-Benutzer wurden von einem Endpoint Computer entfernt.
Benutzer wurde(n) manuell aus der UMA entfernt.
Rückgabewert der Computrace-Überprüfung.
Computrace-Überprüfung konnte nicht ausgeführt werden.
180 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
2081
2082
2083
2084
2085
2086
2087
2071
2072
2073
2074
2075
2079
2080
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Authentisierung
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
2095
2096
2097
2098
2099
2100
2101
2102
2103
2104
2500
2501
2502
2502
2503
2504
2505
2506
2507
2508
Kernelinitialisierung erfolgreich abgeschlossen.
Kernel-Initialisierung ist fehlgeschlagen.
Maschinenschlüssel wurden auf dem Client erfolgreich erzeugt.
Maschinenschlüssel konnten auf dem Client nicht erzeugt werden.
Abfrage der Platteneigenschaften oder Opal-Initialisierung ist fehlgeschlagen.
Importieren eines Benutzers in den Kernel wurde erfolgreich beendet.
Löschen eines Benutzers aus dem Kernel wurde erfolgreich beendet.
Import eines Benutzers in den Kernel ist fehlgeschlagen.
Löschen eines Benutzers aus dem Kernel ist fehlgeschlagen.
Response mit Aktion "Benutzer wird sein Kennwort angezeigt" erzeugt.
Response für virtuellen Client erzeugt.
Response für Standalone Client erzeugt.
Für einen Standalone Client Benutzer wurde ein neues Zertifikat erzeugt.
Ein Zertifkat wurde einem Standalone-Client-Benutzer zugewiesen. Dieses
Ereignis findet nur auf Standalone-Endpoints statt und wird daher nicht in der
Datenbank protokolliert.
Wake on LAN konnte nicht aktiviert werden.
Wake on LAN konnte nicht deaktiviert werden.
Der Benutzer hat sich zum ersten Mal mit dem Standby-Token am Client angemeldet. Der Standby-Token wurde als Standard-Token eingestellt.
Die erfolgreiche Aktivierung eines Standby-Certificate wurde dem Server gemeldet.
Der Benutzer hat sich zum ersten Mal mit dem Standby-Token am Client angemeldet. Das Standby-Zertifikate konnte aufgrund eines Fehlers nicht aktiviert werden.
Das Standby-Zertifikat konnte auf dem Server nicht aktiviert werden.
Die PIN auf dem Token wurde geändert.
Die PIN-Änderung auf dem Token ist fehlgeschlagen.
Die Richtlinie "Zertifikatsbasierte Anmeldung erzwingen" konnte nicht angewendet werden
Die Richtlinie "Zertifikatsbasierte Anmeldung erzwingen" wurde angewendet
SafeGuard Enterprise Administration gestartet.
Anmeldung an der SafeGuard Enterprise Administration fehlgeschlagen.
Autorisierung an der SafeGuard Enterprise Administration fehlgeschlagen.
Autorisierung an der SafeGuard Enterprise Administration fehlgeschlagen.
Zusätzliche Autorisierung erforderlich.
Benutzer genehmigt zusätzliche Autorisierung
Zusätzliche Autorisierung von Benutzer fehlgeschlagen.
Datenimport vom Verzeichnis erfolgreich.
Datenimport vom Verzeichnis abgebrochen.
Datenimport vom Verzeichnis fehlgeschlagen.
Copyright © Sophos Limited 181
SafeGuard Enterprise Administratorhilfe
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
2575
2576
2578
2580
2583
2591
2593
2594
2555
2556
2557
2560
2562
2563
2564
2573
2596
2603
2603
2604
2607
2608
2609
2610
2532
2536
2539
2543
2546
2547
2550
2553
2511
2513
2515
2518
2522
2525
2529
Benutzer angelegt.
Benutzer wurde geändert.
Benutzer gelöscht.
Anlegen des Benutzers fehlgeschlagen.
Löschen des Benutzers fehlgeschlagen.
Computer angelegt
Computer gelöscht.
Anlegen des Computers fehlgeschlagen.
Löschen des Computers fehlgeschlagen.
OU angelegt.
OU gelöscht.
Anlegen der OU fehlgeschlagen
Importieren der OU fehlgeschlagen.
Löschen der OU fehlgeschlagen.
Gruppe angelegt.
Gruppe geändert.
Gruppe umbenannt.
Gruppe gelöscht.
Anlegen der Gruppe fehlgeschlagen.
Ändern der Gruppe fehlgeschlagen.
Umbenennen der Gruppe fehlgeschlagen.
Löschen der Gruppe fehlgeschlagen.
Mitglieder der Gruppe hinzugefügt.
Mitglieder aus Gruppe entfernt.
Hinzufügen der Mitglieder zur Gruppe fehlgeschlagen.
Entfernen der Mitglieder aus Gruppe fehlgeschlagen.
Gruppe von OU nach OU verschoben.
Verschieben der Gruppe von OU nach OU fehlgeschlagen.
Objekte der Gruppe hinzugefügt.
Objekte aus Gruppe entfernt.
Hinzufügen der Objekte zur Gruppe fehlgeschlagen
Hinzufügen der Objekte aus Gruppe fehlgeschlagen
Schlüssel erzeugt.
Schlüssel erzeugt.
Schlüssel geändert.
Schlüssel zugeordnet.
Schlüsselzuordnung aufgehoben.
Erzeugen des Schlüssels fehlgeschlagen.
Ändern des Schlüssels fehlgeschlagen.
182 Copyright © Sophos Limited
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
SafeGuard Enterprise Administratorhilfe
2641
2642
2643
2644
2645
2647
2648
2650
2633
2634
2635
2636
2637
2638
2639
2640
2651
2652
2653
2654
2657
2658
2659
2660
2623
2624
2627
2628
2629
2630
2631
2632
2613
2614
2615
2616
2619
2621
2622
Zuordnung des Schlüssels fehlgeschlagen.
Entfernen der Zuordnung des Schlüssels fehlgeschlagen.
Zertifikat erzeugt.
Zertifikat importiert.
Zertifikat gelöscht.
Zertifikat Benutzer zugeordnet.
Zertifikatszuordnung zu Benutzer aufgehoben.
Erzeugen des Zertifikats fehlgeschlagen.
Importieren des Zertifikats fehlgeschlagen.
Löschen des Zertifikats fehlgeschlagen.
Verlängern des Zertifikats fehlgeschlagen.
Zuordnen des Zertifikats zu Benutzer fehlgeschlagen.
Entfernen der Zuordnung des Zertifikats vom Benutzer fehlgeschlagen.
Token eingesteckt.
Token entfernt.
Token wurde für Benutzer ausgestellt.
PIN des Benutzers auf Token ändern.
PIN des Sicherheitsbeauftragten auf Token ändern.
Token wurde gesperrt.
Token entsperrt.
Token gelöscht.
Tokenzuordnung für Benutzer aufgehoben.
Ausstellen des Tokens für Benutzer fehlgeschlagen.
Ändern der Benutzer-PIN auf Token fehlgeschlagen.
Ändern der Sicherheitsbeauftragten-PIN auf Token fehlgeschlagen.
Sperren des Tokens fehlgeschlagen.
Entsperren des Tokens fehlgeschlagen.
Löschen des Tokens fehlgeschlagen.
Richtlinie erstellt.
Richtlinie geändert.
Richtlinie gelöscht.
Richtlinie der OU zugewiesen und aktiviert.
Zugewiesene Richtlinie wurde von OU entfernt.
Erstellen der Richtlinie fehlgeschlagen.
Ändern der Richtlinie fehlgeschlagen.
Zuweisung und Aktivierung der Richtlinie zu OU fehlgeschlagen.
Entfernen der zugewiesenen Richtlinie von OU ist fehlgeschlagen.
Richtlinien-Gruppe angelegt.
Richtlinien-Gruppe geändert.
Copyright © Sophos Limited 183
SafeGuard Enterprise Administratorhilfe
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
2688
2692
2693
2694
2695
2696
2697
2698
2699
2700
2701
2702
2703
2678
2679
2680
2681
2684
2685
2686
2687
2661
2662
2663
2665
2667
2668
2670
2704
2705
2706
2707
2708
2709
2710
2711
2712
2713
Richtlinien-Gruppe gelöscht.
Anlegen der Richtlinien-Gruppe fehlgeschlagen.
Ändern der Richtlinien-Gruppe fehlgeschlagen.
Folgende Richtlinie wurde der Richtlinien-Gruppe hinzugefügt.
Folgende Richtlinie wurde aus der Richtlinien-Gruppe entfernt.
Hinzufügen der Richtlinie zur Richtlinien-Gruppe fehlgeschlagen.
Entfernen der Richtlinie aus Richtlinien-Gruppe fehlgeschlagen.
Protokollierte Ereignisse exportiert.
Exportieren der protokollierten Ereignisse fehlgeschlagen.
Protokollierte Ereignisse gelöscht.
Löschen der protokollierten Ereignisse fehlgeschlagen.
Sicherheitsbeauftragter erlaubt die Erneuerung eines Zertifikats.
Beauftragter verbietet die Erneuerung eines Zertifikats.
Änderungen an den Einstellungen für die Zertifikatserneuerung fehlgeschlagen.
Zertifikat für Beauftragten gewechselt.
Zertifikatswechsel für Beauftragten fehlgeschlagen.
Erzeugen von Arbeitsgruppen.
Fehlgeschlagenes Erzeugen von Arbeitsgruppen.
Löschen von Arbeitsgruppen.
Fehlgeschlagenes Löschen von Arbeitsgruppen.
Erzeugen von Benutzern.
Fehlgeschlagenes Erzeugen von Benutzern.
Erzeugen von Maschinen.
Fehlgeschlagenes Erzeugen von Maschinen.
Die Lizenz wurde verletzt.
Schlüsseldatei wurde erzeugt.
Schlüssel für Schlüsseldatei wurde gelöscht.
Ein Sicherheitsbeauftragter hat die Power-on Authentication in einer Richtlinie deaktiviert.
LSH Fragenthema erstellt.
LSH Fragenthema geändert.
LSH Fragenthema gelöscht.
Frage geändert.
Konfigurationspaket für Standalone Client erstellt.
Konfigurationspaket für Enterprise Client erstellt.
CCO wurde importiert.
CCO wurde exportiert.
CCO wurde gelöscht.
Aktualisierung des Unternehmenszertifikats.
184 Copyright © Sophos Limited
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
SafeGuard Enterprise Administratorhilfe
2745
2746
2747
2748
2749
2750
2753
2740
2741
2742
2743
2744
2722
2723
2724
2725
2726
2727
2728
2729
2715
2716
2717
2718
2719
2720
2721
2730
2731
2732
2733
2734
2735
2736
2737
2738
2739
Service Account Liste erstellt
Service Account Liste geändert.
Service Account Liste gelöscht.
Cloud Storage Definition wurde erzeugt.
Cloud Storage Definition wurde gändert.
Cloud Storage Definition wurde gelöscht.
Applikationenliste erzeugt.
Applikationenliste geändert.
Applikationenliste gelöscht.
Rolle erstellt.
Rolle geändert.
Rolle gelöscht.
Rolle wurde dem Sicherheitsbeauftragten zugewiesen.
Rolle wurde aus den Rollen des Sicherheitsbeauftragten entfernt.
Haupt -Sicherheitsbeauftragter erstellt.
Haupt-Sicherheitsbeauftragter geändert.
Haupt-Sicherheitsbeauftragter gelöscht.
Zertifikat des Haupt-Sicherheitsbeauftragten geändert.
Änderung des Zertifikats des Haupt-Sicherheitsbeauftragten fehlgeschlagen.
Haupt-Sicherheitsbeauftragter aktiviert.
Haupt-Sicherheitsbeauftragter deaktiviert.
Sicherheitsbeauftragter erstellt.
Sicherheitsbeauftragter geändert.
Sicherheitsbeauftragter gelöscht.
Sicherheitsbeauftragter gelöscht. Zusätzliche Informationen zu untergeordneten
Objekten.
Sicherheitsbeauftragter aktiviert.
Sicherheitsbeauftragter deaktiviert.
Sicherheitsbeauftragter verschoben.
Sicherheitsbeauftragter wurde befördert.
Sicherheitsbeauftragter wurde befördert. Zusätzliche Informationen zu untergeordneten Objekten.
Haupt-Sicherheitsbeauftragter zurückgestuft.
Sicherheitsbeauftragtengruppe erstellt.
Sicherheitsbeauftragtengruppe geändert.
Sicherheitsbeauftragtengruppe gelöscht.
Sicherheitsbeauftragter zur Sicherheitsbeauftragtengrupppe hinzugefügt.
Sicherheitsbeauftragter aus Sicherheitsbeauftragtengruppe entfernt.
Lesezugriff auf den Container wurde dem Sicherheitsbeauftragten zugeordnet.
Copyright © Sophos Limited 185
SafeGuard Enterprise Administratorhilfe
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
2754
2755
2756
2757
2758
2759
2760
2761
2762
2763
2764
2765
2766
2767
2768
2769
2770
2771
2772
2773
2800
2801
2810
2811
2812
2815
2816
2817
2820
2821
2822
2825
2826
Lesezugriff auf den Container wurde der Sicherheitsbeauftragtengruppe zugeordnet.
Voller Zugriff auf den Container wurde dem Sicherheitsbeauftragten zugeordnet.
Voller Zugriff auf den Container wurde der Sicherheitsbeauftragtengruppe zugeordnet.
Zugriffsberechtigung für den Container wurde für den Sicherheitsbeauftragten widerrufen.
Zugriffsberechtigung für den Container wurde für die
Sicherheitsbeauftragtengruppe widerrufen.
Lesezugriff auf die Richtlinie wurde dem Sicherheitsbeauftragten zugeordnet.
Lesezugriff auf die Richtlinie wurde der Sicherheitsbeauftragtengruppe zugeordnet.
Voller Zugriff auf die Richtlinie wurde dem Sicherheitsbeauftragten zugeordnet.
Voller Zugriff auf die Richtlinie wurde der Sicherheitsbeauftragtengruppe zugeordnet.
Zugriffsberechtigung für die Richtlinie wurde für den Sicherheitsbeauftragten widerrufen.
Zugriffsberechtigung für die Richtlinie wurde für die
Sicherheitsbeauftragtengruppe widerrufen.
Die Parameter für die Anzahl der LSH-Fragen haben sich geändert
Zugriff auf den Container wurde dem Sicherheitsbeauftragten ausdrücklich verwehrt.
Zugriff auf für Sicherheitsbeauftragten revokierten Container ausdrücklich verwehrt.
Lesender Zugriff auf für Sicherheitsbeauftragten revokierten Container.
File Tracking Viewer wurde geöffnet.
Richtlinienverteilung wurde vom Sicherheitsbeauftragten aktiviert.
Richtlinienverteilung wurde vom Sicherheitsbeauftragten deaktiviert.
Richtlinienverteilung wurde durch das Lizenz-Management aktiviert.
Richtlinienverteilung wurde durch das Lizenz-Management deaktiviert.
Der Unbestätigte Benutzers wurde erfolgreich bestätigt.
Ein Benutzer wurde nicht automatisch bestätigt.
POA-Benutzer angelegt.
POA-Benutzer geändert.
POA-Benutzer gelöscht.
Anlegen des POA-Benutzers fehlgeschlagen.
Ändern des POA fehlgeschlagen.
Löschen des POA-Benutzer fehlgeschlagen.
POA-Benutzergruppe angelegt.
POA-Benutzergruppe geändert.
POA-Benutzergruppe gelöscht.
Anlegen der POA-Benutzergruppe fehlgeschlagen.
Ändern der POA-Benutzergruppe fehlgeschlagen.
186 Copyright © Sophos Limited
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Administration
Client
Client
Client
Client
SafeGuard Enterprise Administratorhilfe
3022
3025
3026
3027
3028
3029
3030
3008
3009
3010
3011
3018
3019
3020
3021
2858
2859
2900
2905
3003
3005
3006
3007
2850
2851
2852
2853
2854
2855
2856
2857
2827
2830
2831
2832
2833
2834
2835
Löschen der POA-Benutzergruppe fehlgeschlagen.
POA Gruppe ist einem Container zugewiesen.
Zugewiesene POA Gruppe von Container entfernt.
Gruppen sind für die Zuweisung der POA Gruppe an Container aktiviert.
Die Zuweisung der POA-Gruppe an Container ist fehlgeschlagen.
Das Entfernen der zugewiesenen POA-Gruppe von Container ist fehlgeschlagen.
Die Aktivierung von Gruppen für die Zuweisung der POA-Gruppe an Container ist fehlgeschlagen.
Taskplaner-Dienst wurde wegen eines Ausnahmefehlers angehalten.
Task-Planer Task erfolgreich ausgeführt
Task-Planer Task fehlgeschlagen
Task-Planer Task erzeugt oder geändert
Task-Planer Task gelöscht
Der Algorithmus zum Signieren neuer Zertifikate wurde geändert.
Die Schlüssellänge für neue Zertifikate wurde geändert.
Die Gültigkeitsdauer für neue Zertifikate wurde geändert.
Die Datenbank wurde erfolgreich aktualisiert.
Das Datenbank-Upgrade ist fehlgeschlagen.
Response für Aussetzen der Configuration Protection erzeugt.
BitLocker Recovery-Schlüssel wurde exportiert für Computer
Kernelsicherung erfolgreich.
Kernelrücksicherung beim ersten Versuch erfolgreich.
Kernelrücksicherung beim zweiten Versuch erfolgreich.
Kernelsicherung fehlgeschlagen.
Kernelrücksicherung fehlgeschlagen.
Kernelsicherung fehlgeschlagen.
Backup-Token aus POA entfernt
Backup-Token der POA hinzugefügt
Die zeitverzögerte Verschlüsselung hat eine Datei verschlüsselt.
Die zeitverzögerte Verschlüsselung hat eine Datei entschlüsselt.
Datei-Tracking für Wechselmedien: Eine Datei wurde erstellt.
Datei-Tracking für Wechselmedien: Eine Datei wurde umbenannt.
Datei-Tracking für Wechselmedien: Eine Datei wurde gelöscht.
Datei-Tracking für Cloud-Speicher: Eine Datei wurde erstellt.
Datei-Tracking für Cloud-Speicher: Eine Datei wurde umbenannt.
Datei-Tracking für Cloud-Speicher: Eine Datei wurde gelöscht.
Datei-Tracking: Eine Datei wurde manuell verschlüsselt.
Datei-Tracking: Eine Datei wurde manuell entschlüsselt.
Benutzer hat LSH-Informationen nach Anmeldung geändert.
Copyright © Sophos Limited 187
SafeGuard Enterprise Administratorhilfe
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
3304
3405
3406
3407
3408
3409
3500
3501
3502
3503
3072
3080
3081
3082
3110
3111
3116
3117
3200
3201
3202
3203
3035
3040
3045
3046
3050
3051
3055
3060
3070
3071
3300
3301
3302
3303
LSH wurde aktiviert
LSH deaktiviert.
LSH verfügbar - Enterprise Client
LSH verfügbar - Standalone Client
LSH deaktiviert - Enterprise Client
LSH ist nicht verfügbar - Standalone Client
Die QST Liste (LSH Fragen) wurde geändert
Der Benutzer hat seine Antworten in LSH geändert
Schlüssel-Backup auf angegebener Netzwerkfreigabe gespeichert.
Schlüssel-Backup konnte nicht auf der angegebenen Netzwerkfreigabe gespeichert werden.
Benutzer hat die Verschlüsselung ausgeschaltet.
Sophos UEFI Booteintrag wurde erfolgreich repariert.
Das Reparieren des Sophos UEFI Booteintrags ist fehlgeschlagen.
Das Outlook Add-In wurde deaktiviert obwohl es in der SGN-Richtlinie aktiv ist.
POA-Benutzer in POA importiert.
POA-Benutzer aus POA entfernt.
Importieren des POA-Benutzers in die POA fehlgeschlagen.
Entfernen des POA-Benutzers aus der POA fehlgeschlagen.
Configuration Protection ausgesetzt.
Configuration Protection wurde nicht ausgesetzt (falsche Response).
Aussetzen der Configuration Protection wurde vom Benutzer beendet.
Aussetzen der Configuration Protection beendet (festgelegte Zeit war abgelaufen).
Master Applikation neu gestartet
Die Master Applikation wurde unerwartet beendet
Neustart der Master Application fehlgeschlagen.
Eine unbehandelte Ausnahme verursachte einen Absturz in der Master
Applikation.
Beenden einer unbekannten MasterApp ist fehlgeschlagen.
Deinstallation des Configuration Protection Clients fehlgeschlagen.
Interner Fehler im Configuration Protection Client.
Möglicher Manipulationsvorgang vom Configuration Protection Client festgestellt.
Mögliche Ereignis-Protokoll-Manipulation im Configuration Protection Client
Falsche Passphrase eingegeben.
Festplatte wurde erfolgreich für die BitLocker Verschlüsselung vorbereitet.
Zugriff auf Medium auf Laufwerk verweigert.
Zugriff auf Datendatei verweigert.
Sektorbasierte Erst-Verschlüsselung des Laufwerks gestartet.
188 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Verschlüsselung 3504
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
3505
3506
3507
3508
3509
3510
3511
3512
3513
3514
3515
3516
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
3517
3519
3520
3521
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
3522
3524
3525
3526
3540
3541
3542
3543
3544
3545
3546
3547
3548
Verschlüsselung 3549
Verschlüsselung
Encryption
Verschlüsselung
Verschlüsselung
Verschlüsselung
3552
3553
3559
3560
3561
Sektorbasierte Erst-Verschlüsselung des Laufwerks wurde gestartet.
(Schnellmodus)
Sektorbasierte Erst-Verschlüsselung des Laufwerks fehlerfrei beendet.
Sektorbasierte Erst-Verschlüsselung des Laufwerks gescheitert und beendet.
Sektorbasierte Erst-Verschlüsselung des Laufwerks abgebrochen.
Sektorbasierte Erst-Verschlüsselung des Laufwerks fehlgeschlagen.
Sektorbasierte Entschlüsselung des Laufwerks gestartet.
Sektorbasierte Entschlüsselung des Laufwerks fehlerfrei beendet.
Sektorbasierte Entschlüsselung des Laufwerks gescheitert und beendet.
Sektorbasierte Entschlüsselung des Laufwerks abgebrochen.
Sektorbasierte Entschlüsselung des Laufwerks fehlgeschlagen.
Dateibasierende Initialverschlüsselung auf einem Laufwerk gestartet.
Dateibasierende Initialverschlüsselung auf einem Laufwerk fehlerfrei beendet.
Dateibasierende Initialverschlüsselung auf einem Laufwerk fehlgeschlagen und beendet.
Dateibasierende Initialverschlüsselung auf einem Laufwerk abgebrochen.
Dateibasierende Entschlüsselung auf einem Laufwerk gestartet.
Dateibasierende Entschlüsselung auf einem Laufwerk fehlerfrei beendet.
Dateibasierende Entschlüsselung auf einem Laufwerk fehlgeschlagen und beendet.
Dateibasierende Entschlüsselung auf einem Laufwerk abgebrochen.
Verschlüsselung einer Datei gestartet.
Verschlüsselung einer Datei erfolgreich abgeschlossen.
Verschlüsselung einer Datei fehlgeschlagen.
Entschlüsselung einer Datei gestartet.
Entschlüsselung einer Datei erfolgreich abgeschlossen.
Entschlüsselung einer Datei fehlgeschlagen.
Backup von Bootkey durchgeführt.
Überschreitung der Anzahl von Verschlüsselungsalgorithmen für Start-Laufwerke
Lesefehler von Schlüsseldatenbereiche.
Abweisen von Laufwerken gemäß den Richtlinien.
Warnung NTFS Boot Sector Backup fehlt auf dem Volume.
Der Benutzer hat neue BitLocker-Anmeldeinformationen zum Starten des
Computers zur Verfügung gestellt.
Der Benutzer hat versucht, neue BitLocker-Anmeldeinformationen zum Starten des Computers zur Verfügung zu stellen, aber der Vorgang ist fehlgeschlagen.
Der Benutzer hat den BitLocker-Schutz angehalten.
Der Benutzer hat den BitLocker-Schutz fortgesetzt.
Es fehlen Elemente aus der asynchronen Verschlüsselungswarteschlange.
Zugriffsschutz
Computerstatus wurde auf sicher geändert.
Copyright © Sophos Limited 189
SafeGuard Enterprise Administratorhilfe
Verschlüsselung
Verschlüsselung
3562
3563
3603
3604
3605
3607
3610
3611
3612
3700
3701
3570
3571
3572
3573
3574
3600
3601
3602
3999
4400
4401
4402
4403
4404
4405
4406
4407
4408
3710
3711
3712
3713
3714
3715
3800
3900
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Verschlüsselung
Zugriffskontrolle
Zugriffskontrolle
Zugriffskontrolle
Zugriffskontrolle
Zugriffskontrolle
Zugriffskontrolle
Zugriffskontrolle
Zugriffskontrolle
Zugriffskontrolle
Computer ist sicher, aber die Richtlinieneinstellung "Schlüssel auf gefährdeten
Computern entziehen" ist nicht aktiviert. Es wurde keine Aktion ausgeführt.
Computer ist nicht sicher, aber die Richtlinieneinstellung "Schlüssel auf gefährdeten Computern entziehen" ist nicht aktiviert. Es wurde keine Aktion ausgeführt.
Medien-Verschlüsselungsschlüssel zugewiesen.
Medien-Passphrase-Schlüssel zugewiesen.
Medien-Passphrase-Schlüssel erstellt.
Media-Passphrase-Schlüssel importiert.
Korrupte Schlüsseltabelle gefunden.
Allgemeiner Verschlüsselungsfehler.
Verschlüsselungsfehler - Laufwerk nicht gefunden
Verschlüsselungsfehler - Laufwerk nicht verfügbar
Verschlüsselungsfehler - Laufwerk entfernt
Verschlüsselungsfehler - Laufwerksfehler
Computer ist nicht sicher. Weiter Schritte sind notwendig.
Verschlüsselungsfehler - Der Schlüssel fehlt
Verschlüsselungsfehler - Der Original-KSA Bereich ist beschädigt.
Verschlüsselungsfehler - Der Sicherungs-KSA Bereich ist beschädigt.
Verschlüsselungsfehler - Der ESA-Bereich ist beschädigt.
File Share hat einen ungültigen Pfad in der Richtlinie verworfen.
Eine vertrauenswürdige Anwendung konnte nicht gefunden werden.
File Share Verschlüsselung wurde gestartet.
File Share Verschlüsselung erfolgreich beendet.
File Share Verschlüsselung mit Fehlern fertiggestellt.
File Share Verschlüsselung wurde abgebrochen.
Initialverschlüsselung wurde beendet.
Initialverschlüsselung für einen Pfad wurde beendet.
Cloud Storage hat einen ungültigen Pfad in der Richtlinie verworfen.
Verschlüsselung einer Self-Decrypting HTML5-Datei wurde erfolgreich beendet.
Vorbereiten der Festplatte für die BitLocker Verschlüsselung ist fehlgeschlagen
Port erfolgreich freigegeben.
Gerät erfolgreich freigegeben.
Speichergerät erfolgreich freigegeben.
WLAN erfolgreich freigegeben.
Port erfolgreich entfernt.
Gerät erfolgreich entfernt.
Speichergerät erfolgreich entfernt.
WLAN-Verbindung erfolgreich getrennt.
Port eingeschränkt.
190 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Zugriffskontrolle
Zugriffskontrolle
Zugriffskontrolle
Zugriffskontrolle
Zugriffskontrolle
Zugriffskontrolle
Zugriffskontrolle
4409
4410
4411
4412
4413
4414
4415
Gerät eingeschränkt.
Speichergerät eingeschränkt.
WLAN eingeschränkt.
Port gesperrt.
Gerät gesperrt.
Speichergerät gesperrt.
WLAN gesperrt.
3.8.17 Richtlinientypen und ihre Anwendungsfelder
SafeGuard Enterprise Richtlinien enthalten alle Einstellungen, die zur Abbildung einer unternehmensweiten Sicherheitsrichtlinie auf den Endpoints wirksam werden sollen.
In SafeGuard Enterprise Richtlinien können Sie Einstellungen für die folgenden Bereiche
(Richtlinientypen) festlegen:
• Allgemeine Einstellungen
Einstellungen für z. B. Transferrate, Anpassung, Recovery für die Anmeldung, Hintergrundbilder usw.
• Authentifizierung
Einstellungen zum Anmeldemodus, zur Gerätesperre usw.
• PIN
Legt Anforderungen an die verwendeten PINs fest.
• Kennwort
Legt Anforderungen an die verwendeten Kennwörter fest.
• Passphrase
Legt Anforderungen für in SafeGuard Data Exchange verwendete Passphrasen fest.
• Geräteschutz
Einstellungen für volume- oder dateibasierende Verschlüsselung (auch Einstellungen für
SafeGuard Data Exchange, SafeGuard Cloud Storage und SafeGuard Portable): Algorithmen,
Schlüssel, Laufwerke, auf denen Daten verschlüsselt werden sollen, usw.
• Spezifische Computereinstellungen
Einstellungen zur SafeGuard Power-on Authentication (aktivieren/deaktivieren), zum sicheren
Wake on LAN, Anzeigeoptionen usw.
• Protokollierung
Legt fest, welche Ereignisse wo protokolliert werden.
• Konfigurationsschutz
Hinweis
Configuration Protection wird nur für SafeGuard Enterprise Clients bis zur Version 6.0
unterstützt.
Einstellungen (erlauben/sperren) für die Verwendung von Ports, Peripheriegeräten
(Wechselmedien, Druckern usw.)
Copyright © Sophos Limited 191
SafeGuard Enterprise Administratorhilfe
• File Encryption
Einstellungen für dateibasierende Verschlüsselung auf lokalen Festplatten und im Netzwerk, speziell für Arbeitsgruppen bei Netzwerkfreigaben.
Im SafeGuard Management Center stehen für alle Richtlinientypen Standardrichtlinien zur
Verfügung. Für Geräteschutz Richtlinien stehen Richtlinien für die Festplattenverschlüsselung
(Ziel: Massenspeicher), Cloud Storage (Ziel: DropBox) und Data Exchange (Ziel: Wechselmedien) zur Verfügung. Die Optionen in diesen Standardrichtlinien sind auf die relevanten Standardwerte gesetzt. Sie können die Standardeinstellungen Ihren Anforderungen anpassen. Die
Standardrichtlinien haben den Namen <Richtlinientyp> (Default).
Hinweis
Die Namen der Standardrichtlinien richten sich nach der Spracheinstellung während der
Installation. Wenn Sie die Sprache des SafeGuard Management Center nachträglich ändern, verbleiben die Namen der Standardrichtlinien in der während der Installation eingestellten
Sprache.
Allgemeine Einstellungen
Richtlinieneinstellung Erklärung
Die Einstellungen werden so dargestellt, wie sie im SafeGuard Enterprise Management Center angezeigt werden.
Laden der Einstellungen
192 Copyright © Sophos Limited
Richtlinieneinstellung
Richtlinien-Loopback
SafeGuard Enterprise Administratorhilfe
Erklärung
Computereinstellungen wiederholen
Wird unter Richtlinien-Loopback die Option
Computereinstellungen wiederholen ausgewählt und die Richtlinie kommt von einem Computer
(Computereinstellungen wiederholen einer Benutzer-
Richtlinie hat keine Auswirkung), wird diese Richtlinie zum
Schluss nochmals ausgeführt. Dadurch werden etwaige
Benutzereinstellungen wieder überschrieben und es gelten die Computereinstellungen.
Benutzer ignorieren
Wird bei einer Richtlinie (Maschinen-Richtlinie) unter
Richtlinien-Loopback die Einstellung Benutzer ignorieren ausgewählt und die Richtlinie "kommt" von einer Maschine, werden nur die Computereinstellungen ausgewertet.
Benutzereinstellungen werden nicht ausgewertet.
Kein Loopback
Kein Loopback ist das Standardverhalten.
Benutzerrichtlinien gelten vor Maschinenrichtlinien.
Wie werden die Einstellungen "Benutzer ignorieren" und
"Computereinstellungen wiederholen" ausgewertet?
Existieren aktive Richtlinienzuweisungen, werden zuerst die Maschinenrichtlinien ausgewertet und vereinigt. Ergibt diese Vereinigung der einzelnen Richtlinien beim Richtlinien-
Loopback den Wert Benutzer ignorieren, so werden
Richtlinien, welche für den Benutzer bestimmt gewesen wären, nicht mehr ausgewertet. Das heißt sowohl für den
Benutzer wie auch für die Maschine gelten die gleichen
Richtlinien.
Gilt nach der Vereinigung der einzelnen Maschinen-
Richtlinien bei Richtlinien-Loopback der Wert
Computereinstellungen wiederholen, werden die
Benutzer-Richtlinien mit den Maschinen-Richtlinien vereinigt.
Nach der Vereinigung werden die Maschinen-Richtlinien nochmals geschrieben und überschreiben gegebenenfalls
Einstellungen aus Benutzer-Richtlinien. Das heißt: Ist eine
Einstellung in beiden Richtlinien vorhanden, so ersetzt der Wert der Maschinen-Richtlinie den Wert der Benutzer-
Richtlinie. Ergibt die Vereinigung der einzelnen Maschinen-
Richtlinien "nicht konfiguriert", so gilt: Benutzereinstellungen vor Maschineneinstellungen.
Transferrate
Copyright © Sophos Limited 193
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung
Server-Verbindungsintervall
(in Minuten)
Erklärung
Legt den Zeitraum in Minuten fest, nach dem ein SafeGuard
Enterprise Client beim SafeGuard Enterprise Server eine
Anfrage nach Richtlinien (-änderungen) stellt.
Um zu vermeiden, dass eine große Anzahl an Clients gleichzeitig den Server kontaktiert, findet die Kommunikation in einem Zeitraum +/- 50 % des eingestellten Intervalls statt. Beispiel: Wenn Sie "90 Minuten" einstellen, erfolgt die
Kommunikation nach einem Intervall, das 45 bis 135 Minuten betragen kann.
Feedback
Sophos SafeGuard® durch das Senden von anonymen
Nutzungsdaten verbessern
Sophos ist ständig bemüht, SafeGuard Enterprise zu verbessern. Aus diesem Grund senden Kunden regelmäßig anonymisierte Daten an Sophos. Diese Daten werden ausschließlich zur Verbesserung des Produkts verwendet.
Die Daten können nicht zur Identifizierung von Kunden oder
Geräten verwendet werden und enthalten keine vertraulichen
Informationen.
Da die Daten anonymisiert übermittelt werden, ist die
Datensammelfunktion standardmäßig aktiviert.
Wenn Sie diese Option auf Nein setzen, werden keine
Nutzungsdaten an Sophos übermittelt.
Protokollierung
Rückmeldung nach Anzahl von Ereignissen
Das Protokollsystem, implementiert als Win32 Service "SGM
LogPlayer", sammelt von SafeGuard Enterprise generierte, für die zentrale Datenbank bestimmte Protokolleinträge in lokalen Protokolldateien. Diese befinden sich im LocalCache im Verzeichnis "auditing\SGMTransLog ". Diese Dateien werden an den Transportmechanismus übergeben, der sie dann über den SGN Server in die Datenbank einträgt. Die
Übertragung erfolgt sobald der Transportmechanismus eine
Verbindung zum Server hergestellt hat. Die Protokolldatei wird daher größer, bis eine Verbindung hergestellt werden konnte. Um die Größe einer einzelnen Protokolldatei einschränken zu können, kann man über die Richtlinie eine maximale Anzahl von Protokolleinträgen eintragen. Dann wird die Protokolldatei vom Protokollsystem nach Erreichen der eingestellten Anzahl von Einträgen in die Transportqueue des SGN Servers gestellt und eine neue Protokolldatei begonnen
Anpassung
Sprache am Client Legt fest, in welcher Sprache die Einstellungen für
SafeGuard Enterprise auf dem Endpoint angezeigt werden.
Sie können neben den unterstützten Sprachen kann auch die
Betriebssystem-Spracheinstellung des Endpoint auswählen.
194 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung Erklärung
Recovery für die Anmeldung
Recovery für die
Anmeldung nach
Beschädigung des Windows
Local Cache aktivieren
Der Windows Local Cache ist Start- und Endpunkt für den Datenaustausch zwischen Endpoint und Server. Im
Windows Local Cache werden alle Schlüssel, Richtlinien,
Benutzerzertifikate und Audit-Dateien abgelegt. Alle im Local
Cache gespeicherten Daten haben eine Signatur und können nicht manuell geändert werden.
Standardmäßig ist der Recovery-Vorgang für die Anmeldung bei beschädigtem Local Cache deaktiviert. Er wird automatisch aus seiner Sicherungskopie wiederhergestellt.
Für die Reparatur des Windows Local Cache ist also in diesem Fall kein Challenge/Response-Verfahren notwendig.
Wenn der Windows Local Cache explizit über ein Challenge/
Response-Verfahren repariert werden soll, wählen Sie in diesem Feld die Einstellung Ja.
Local Self Help
Local Self Help aktivieren Legt fest, ob sich Benutzer mit Local Self Help an ihrem
Endpoint anmelden dürfen, wenn sie ihr Kennwort vergessen haben. Local Self Help ermöglicht Benutzern die Anmeldung durch die Beantwortung einer definierten Anzahl an zuvor festgelegten Fragen in der SafeGuard Power-on
Authentication. Sie erhalten somit auch dann Zugriff zu ihrem Computer, wenn weder eine Internet- noch eine
Telefonverbindung zur Verfügung stehen.
Für die Benutzung von Local Self Help ist es notwendig, dass die automatische Anmeldung an Windows aktiviert ist.
Andernfalls funktioniert die Anmeldung über Local Self Help nicht.
Minimale Länge der Antwort Definiert die Mindestlänge in Zeichen für die Local Self Help
Antworten.
Willkommenstext unter
Windows
Hier können Sie einen individuellen Informationstext angeben, der beim Starten des Local Self Help Assistenten auf dem Endpoint im ersten Dialog angezeigt werden soll.
Damit Sie den Text hier angeben können, muss dieser zunächst im Richtlinien-Navigationsbereich unter Texte angelegt werden.
Benutzer dürfen eigene
Fragen festlegen
Die für Local Self Help zu beantwortenden Fragen können
Sie als zuständiger Sicherheitsbeauftragter zentral vordefinieren und per Richtlinie an den Endpoint übertragen.
Sie können die Benutzer jedoch auch per Richtlinie berechtigen, selbst Fragen zu definieren. Um die Benutzer zur Definition eigener Fragen zu berechtigen, wählen Sie in diesem Feld die Einstellung Ja.
Challenge / Response (C/R)
Copyright © Sophos Limited 195
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung
Recovery für die
Anmeldung über C/R aktivieren
Automatische Anmeldung an Windows erlauben
Informationstext
Erklärung
Legt fest, ob ein Benutzer in der SafeGuard Power-on
Authentication (POA) eine Challenge erzeugen darf, um
über ein Challenge/Response-Verfahren wieder Zugang zu seinem Computer zu erhalten.
Ja: Benutzer darf Challenge erzeugen. In diesem Fall kann der Benutzer über ein Challenge/Response-Verfahren in
Notfällen wieder Zugang zu seinem Computer erlangen.
Nein: Benutzer darf keine Challenge erzeugen. In diesem
Fall kann der Benutzer im Notfall kein Challenge/Response-
Verfahren starten, um wieder Zugang zu seinem Computer zu erlangen.
Erlaubt dem Benutzer nach einer Authentisierung per
Challenge/Response die automatische Anmeldung an
Windows.
Ja: Benutzer wird automatisch an Windows angemeldet.
Nein: Windows-Anmeldebildschirm erscheint.
Beispiel: Ein Benutzer hat sein Kennwort vergessen.
SafeGuard Enterprise meldet ihn nach Austausch von
Challenge und Response ohne SafeGuard Enterprise
Kennwort am Endpoint an. In diesem Fall wird die automatische Anmeldung an Windows ausgeschaltet und der Windows-Anmeldebildschirm erscheint. Da der
Benutzer sein SafeGuard Enterprise (= Windows-Kennwort) nicht weiß, kann er sich nicht anmelden. Mit Ja wird eine automatische Anmeldung erlaubt und der Benutzer bleibt nicht im Windows-Anmeldebildschirm stecken.
Zeigt nach dem Starten eines Challenge/Response-
Vorgangs in der SafeGuard POA einen Informationstext.
Zum Beispiel: “Bitte rufen Sie Ihren Support unter der
Telefonnummer 01234-56789 an.”).
Bevor Sie einen Text angeben können, muss dieser als
Textdatei im Richtlinien Navigationsbereich unter Texte erstellt werden.
Bilder
Voraussetzung:
Neue Bilder müssen im SafeGuard Management Center im Richtlinien-Navigationsbereich unter Bilder registriert werden. Erst nach der Registrierung ist die Liste verfügbar.
Unterstütztes Format: .BMP, PNG, JPEG.
196 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung
Hintergrundbild in der POA
Hintergrundbild in der POA
(niedrige Auflösung)
Anmeldebild in der POA
Anmeldebild in der POA
(niedrige Auflösung)
Erklärung
Ersetzt das blaue SafeGuard Enterprise Hintergrundbild durch ein individuelles Hintergrundbild. Kunden können hier z. B. das Firmenlogo in der SafeGuard POA verwenden.
Maximale Dateigröße für alle Hintergrundbilder: 500 KB
•
•
Normal:
Auflösung: 1024x768 (VESA-Modus)
Farben: unbegrenzt
•
•
Niedrig:
Auflösung: 640 x 480 (VGA-Modus)
Farben: 16 Farben
Ersetzt das während der SafeGuard POA-Anmeldung angezeigte SafeGuard Enterprise Bild durch ein individuelles
Bild, z. B. das Firmenlogo.
•
•
Normal:
Auflösung: 413 x 140 Pixel
Farben: unbegrenzt
•
•
Niedrig:
Auflösung: 413 x 140 Pixel
Farben: 16 Farben
File Encryption
Vertrauenswürdige
Anwendungen
Ignorierte Anwendungen
Für die dateibasierende Verschlüsselung durch File
Encryption und SafeGuard Data Exchange können Sie vertrauenswürdige Anwendungen angeben, die auf verschlüsselte Dateien zugreifen können. Dies ist zum
Beispiel notwendig, damit Antivirus-Software verschlüsselte
Dateien überprüfen kann.
Geben Sie die Anwendungen, die Sie als vertrauenswürdig definieren möchten, in das Editor-Listenfeld des Felds ein.
Anwendungen müssen als Fully Qualified Paths eingegeben werden.
Für die dateibasierende Verschlüsselung durch File
Encryption und SafeGuard Data Exchange können
Sie ignorierte Anwendungen angeben, um Sie von der transparenten Dateiverschlüsselung/Dateientschlüsselung auszuschließen. Wenn Sie zum Beispiel ein Backup-
Programm als ignorierte Anwendung definieren, bleiben die vom Programm gesicherten verschlüsselten Daten verschlüsselt.
Geben Sie die Anwendungen, die Sie als ignoriert definieren möchten, in das Editor-Listenfeld des Felds ein.
Anwendungen müssen als Fully Qualified Paths eingegeben werden.
Copyright © Sophos Limited 197
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung
Ignorierte Geräte
Persistente
Verschlüsselung aktivieren
Erklärung
Für die dateibasierende Verschlüsselung durch File
Encryption und SafeGuard Data Exchange können Sie ganze
Geräte (zum Beispiel Festplatten) von der dateibasierende
Verschlüsselung ausnehmen.
Wählen Sie im Editor-Listenfeld Netzwerk aus, um ein vordefiniertes Gerät auszuwählen, oder geben Sie die erforderlichen Gerätenamen ein, um bestimmte Geräte von der Verschlüsselung auszuschließen.
Für die dateibasierende Verschlüsselung durch File
Encryption und SafeGuard Data Exchange können Sie die persistente Verschlüsselung konfigurieren. Mit persistenter
Verschlüsselung bleiben Kopien von verschlüsselten Dateien auch dann verschlüsselt, wenn sie an einem Speicherort abgelegt werden, für den keine Verschlüsselungsregel gilt.
Diese Einstellung ist standardmäßig aktiviert.
Benutzer darf
Standardschlüssel festlegen
Für die dateibasierende Verschlüsselung durch Cloud
Storage können Sie festlegen, ob der Benutzer eine
Standardschlüssel festlegen darf oder nicht. Wenn der
Benutzer dies darf, steht der Befehl Standardschlüssel
festlegen im Windows Explorer Kontextmenü der Cloud
Storage Synchronisierungsordner zur Verfügung. Mit diesem Befehl können Benutzer separate Standardschlüssel angeben, die für die Verschlüsselung von unterschiedlichen
Synchronisierungsordnern verwendet werden soll.
Schlüssel auf gefährdeten
Computern entziehen
Benutzer darf Dateien entschlüsseln
Diese Einstellung ist nur auf Computern wirksam, auf denen ein Sophos Endpoint Security Produkt, das einen Health-
Status übermittelt (z.B. Sophos Central Versionen von
Endpoint Security and Control) installiert ist. Wenn Sie die
Richtlinie aktivieren, werden auf gefährdeten Computern die Schlüssel entfernt. Solange der Computer als gefährdet eingestuft wird, werden keine Schlüssel zugewiesen.
Mit Synchronized Encryption können Sie verhindern, dass
Benutzer Dateien manuell entschlüsseln. Wenn Sie diese
Option auf Nein setzen, wird die Option Ausgewählte
Dateien entschlüsseln aus dem Rechtsklick-Menü von
Dateien entfernt, siehe Dateien manuell verschlüsseln/ entschlüsseln
(Seite 356).
Dateien können dann nur über Richtlinieneinstellungen entschlüsselt werden.
Auf Mac OS wird diese Einstellung nur angewendet, wenn die Richtlinie einer Maschine zugewiesen ist. Das Zuweisen an Benutzer hat keine Auswirkungen.
198 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung Erklärung
Benutzer darf kennwortgeschützte Dateien erstellen
Für dateibasierte Verschlüsselung durch Synchronized
Encryption, File Encryption, Cloud Storage und
Data Exchange können Sie festlegen, ob Benutzer kennwortgeschützte Dateien erzeugen dürfen oder nicht.
Wenn Sie diese Option auf Ja setzen, wird die Option
Kennwortgeschützte Datei erstellen dem Rechtsklick-
Menü von Dateien hinzugefügt, siehe Dateien manuell verschlüsseln/entschlüsseln
(Seite 356).
Einstellungen für das Email Add-In
Email Add-In aktivieren SafeGuard Enterprise beinhaltet ein Add-In für Microsoft
Outlook, das Ihnen das Verschlüsseln von Mailanhängen erleichtert. Wenn Sie diese Option auf Ja setzen, werden
Benutzer jedes Mal, wenn sie ein E-Mail mit Anhang versenden, gefragt, wie die Anhänge behandelt werden sollen.
Zusätzlich können Sie Listen mit Domänen anlegen und definieren, wie Anhänge behandelt werden, die an diese bestimmten Domänen versendet werden.
Verhalten bei Domänen auf Whitelists
Verschlüsselungsmethode für Domains auf Whitelists
Domänen-Whitelist
Wählen Sie aus, wie mit Anhängen verfahren werden soll:
Verschlüsselt: Alle Anhänge in E-Mails an die bestimmten
Domänen werden verschlüsselt. Benutzer werden nicht gefragt.
Keine Verschlüsselung: Anhänge in E-Mails an die bestimmten Domänen werden nicht verschlüsselt. Benutzer werden nicht gefragt.
Unverändert: Verschlüsselte Dateien werden verschlüsselt gesendet; unverschlüsselte Dateien werden unverschlüsselt gesendet. Benutzer werden nicht gefragt.
Immer fragen: Benutzer werden jedes Mal gefragt, wie die
Anhänge behandelt werden sollen.
Geben Sie eine oder mehrere Domänen ein, für die die
Verschlüsselungsmethode gelten soll. Verwenden Sie bei mehreren Domänen ein Komma als Trennzeichen.
Platzhalter und teilweise definierte Domänen werden nicht unterstützt.
Authentisierung
Richtlinieneinstellung Erklärung
Die Einstellungen werden so dargestellt, wie sie im SafeGuard Enterprise Management Center angezeigt werden.
Zugriff
Copyright © Sophos Limited 199
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung
Benutzer kann nur von interner
Festplatte booten
Erklärung
Hinweis
Diese Einstellung wird nur von Endpoints unterstützt, auf denen eine ältere SafeGuard Enterprise Version als 6.1
installiert ist. Mit dieser Option konnte es dem Benutzer ermöglicht werden, den Endpoint von externen Medien zu starten. Ab Version 6.1 hat diese Einstellung keine Wirkung mehr auf Endpoints. Für das betreffende Recovery-Szenarien können Sie Challenge/Response mit virtuellen Clients verwenden, siehe SafeGuard Enterprise 8 Administratorhilfe.
.
Legt fest, ob Benutzer den Computer von Festplatte und/ oder anderem Medium starten dürfen.
JA: Benutzer darf ausschließlich von der Festplatte booten. Die Möglichkeit, den Computer mit Diskette oder einem weiteren externen Medium zu starten, wird nicht in der SafeGuard POA angeboten.
NEIN: Benutzer darf den Computer von Festplatte,
Diskette oder einem externen Medium (USB, CD etc.) starten.
Anmeldeoptionen
200 Copyright © Sophos Limited
Richtlinieneinstellung
Anmeldemodus
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Erklärung
Legt fest, wie sich Benutzer in der SafeGuard POA authentisieren müssen.
• Benutzername/Kennwort
•
Benutzer müssen sich mit ihrem Benutzernamen und
Kennwort anmelden.
Token
Der Benutzer darf sich nur mit einem Token oder einer Smartcard in der SafeGuard POA anmelden.
Dieses Verfahren bietet eine höhere Sicherheit.
Bei der Anmeldung wird der Benutzer aufgefordert, seinen Token einzustecken. Durch den Besitz des
Token und der Eingabe der PIN wird die Identität des
Benutzers verifiziert. Nach korrekter Eingabe der PIN liest SafeGuard Enterprise automatisch die Daten für die Anmeldung des Benutzers aus.
Hinweis
Beachten Sie, dass Sie sich bei Wahl dieses
Anmeldeverfahrens nur mit einem vorher ausgestellten Token anmelden können.
Sie können die Einstellungen Benutzername/Kennwort und Token kombinieren. Um zu prüfen, ob die Anmeldung mit Token reibungslos funktioniert, wählen Sie zunächst beide Einstellungen aus. Erst nach erfolgreicher
Token-Anmeldung sollten Sie den Anmeldemodus
Benutzername/Kennwort deaktivieren. Damit ein
Umschalten zwischen den Anmeldemodi möglich ist, erlauben Sie den Benutzern, sich einmal mit beiden
Einstellungen kombiniert anzumelden, da es sonst zu einer Blockierung bei der Anmeldung kommen kann. Wenn
Sie Local Self Help für die Token-Anmeldung zulassen möchten, müssen Sie die beiden Einstellungen ebenfalls kombinieren.
• Fingerabdruck
Wählen Sie diese Option, um die Anmeldung mit
Lenovo-Fingerabdruck-Leser zu aktivieren. Benutzer, für die diese Richtlinie wirksam ist, können sich mit Fingerabdruck oder Benutzername/Kennwort anmelden. Dieser Vorgang bietet das höchste
Maß an Sicherheit. Bei der Anmeldung führt die
Benutzer den Finger über den Fingerabdruck-Leser.
Wenn der Fingerabdruck erfolgreich erkannt wurde, liest die SafeGuard Power-on Authentication die
Anmeldeinformationen des Benutzers und meldet den Benutzer an der Power-on Authentication an.
Die Anmeldeinformationen werden dann an Windows
übertragen und der Benutzer wird an seinem Computer angemeldet.
Hinweis
Nach Auswahl dieses Anmeldevorgangs kann sich der
Benutzer nur mit einem vorher registrierten Fingerabdruck oder mit Benutzername und Kennwort anmelden. Die
Anmeldeverfahren Token und Fingerabdruck lassen sich auf einem Computer nicht miteinander kombinieren.
201
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung
Erfolglose Anmeldeversuche dieses Benutzers anzeigen
Letzte Benutzeranmeldung anzeigen
Erklärung
Wenn hier Ja eingestellt ist: Nach der Anmeldung bei SafeGuard
POA und Windows wird ein Dialog mit Informationen über die letzte fehlgeschlagene Anmeldung (Benutzername/Datum/Zeit) angezeigt.
Wenn hier Ja eingestellt ist: Nach der Anmeldung bei SafeGuard
POA und Windows wird ein Dialog mit folgenden Informationen angezeigt:
•
•
Letzte erfolgreiche Anmeldung (Benutzername/Datum/
Zeit)
Letzte Anmeldeinformationen des angemeldeten
Benutzers
'Erzwungene Abmeldung' bei Sperre der Arbeitsstation deaktivieren
Hinweis
Diese Einstellung wird nur unter Windows XP wirksam.
Windows XP wird mit SafeGuard Enterprise 6.1 nicht länger unterstützt. Die entsprechende Richtlinie ist im SafeGuard
Management Center 7.0 noch verfügbar, um SafeGuard
Enterprise 6 Clients zu unterstützen, die über ein 6.1
Management Center verwaltet werden.
Wenn Benutzer den Endpoint nur für kurze Zeit verlassen wollen, können Sie den Rechner per Klick auf die Schaltfläche
Arbeitsstation sperren für andere Benutzer sperren und danach mit ihrem Kennwort wieder entsperren. Nein: Sowohl der Benutzer, der die Arbeitsstation gesperrt hat, als auch ein Administrator kann die Sperre aufheben. Hebt ein Administrator die Sperre auf, so wird der aktuell angemeldete Benutzer zwangsweise abgemeldet. Ja:
Diese Einstellung ändert dieses Verhalten. In diesem Fall kann nur der Benutzer die Sperre des Computers aufheben. Ein Aufheben der Sperre durch den Administrator und das damit verbundene erzwungene Abmelden des Benutzers ist nicht mehr möglich.
Letzte Benutzer/Domänen-Auswahl aktivieren
Ja: Die SafeGuard POA speichert den Benutzernamen und die
Domäne des letzten angemeldeten Benutzers. Benutzer müssen den Benutzernamen also nicht jedes Mal eingeben, wenn sie sich anmelden.
Nein: Die SafeGuard POA speichert den Benutzernamen und die Domäne des letzten angemeldeten Benutzers nicht.
Service Account Liste Um zu verhindern, dass durch administrative Vorgänge auf einem durch SafeGuard Enterprise geschützten Endpoint die Power-on
Authentication aktiviert wird und Rollout-Beauftragte als Benutzer zum Endpoint hinzugefügt werden, bietet SafeGuard Enterprise
Service Account Listen für die Windows-Anmeldung an SafeGuard
Enterprise Endpoints. Die in den Listen enthaltenen Benutzer werden als SafeGuard Enterprise Gastbenutzer behandelt
Damit Sie hier eine Liste auswählen können, müssen Sie diese zunächst im Richtlinien-Navigationsbereich unter
Service Account Listen anlegen.
202 Copyright © Sophos Limited
Richtlinieneinstellung
Durchgehende Anmeldung an
Windows
SafeGuard Enterprise Administratorhilfe
Erklärung
Hinweis
Soll der Benutzer in der Lage sein, anderen Benutzern
Zugriff auf “seinen“ Computer zu gewähren, muss er in der
Lage sein, die durchgehende Anmeldung an Windows zu deaktivieren.
•
•
•
Benutzer wählen lassen
Im SafeGuard POA Anmeldedialog kann der
Benutzer durch Aktivieren/Deaktivieren dieser
Option entscheiden, ob er automatisch an Windows angemeldet werden will oder nicht.
Durchgehende Anmeldung deaktivieren
Nach der Anmeldung an der SafeGuard POA wird anschließend der Windows-Anmeldedialog angezeigt.
Der Benutzer muss sich manuell an Windows anmelden.
Durchgehende Anmeldung erzwingen
Der Benutzer wird immer automatisch an Windows angemeldet.
BitLocker-Optionen
Copyright © Sophos Limited 203
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung
BitLocker Anmeldemodus für
Boot-Laufwerke
Erklärung
•
•
•
Folgende Optionen stehen zur Verfügung:
• TPM: Der Schlüssel für die Anmeldung wird auf dem
TPM-Chip (Trusted Platform Module) gespeichert.
TPM + PIN: Der Schlüssel für die Anmeldung wird auf dem TPM-Chip gespeichert und zusätzlich wird eine
PIN zur Anmeldung benötigt.
Systemstartschlüssel: Der Schlüssel für die
Anmeldung wird auf einem USB-Stick gespeichert.
TPM + Systemstartschlüssel: Der Schlüssel für die
Anmeldung wird auf dem TPM-Chip und auf einem
USB-Stick gespeichert. Beides wird für die Anmeldung benötigt.
Hinweis
Um die Anmeldemethoden TPM + PIN, TPM +
Systemstartschlüssel oder Systemstartschlüssel verwenden zu können, muss die Gruppenrichtlinie
Zusätzliche Authentifizierung beim Start
anfordern entweder in Active Directory oder lokal auf Computern aktiviert werden. Im lokalen
Gruppenrichtlinien-Editor (gpedit.msc) sind die
Gruppenrichtlinien hier zu finden: Richtlinien für Lokaler
Computer\Computerkonfiguration\Administrative
Vorlagen\Windows-Komponenten\BitLocker
Laufwerksverschlüsselung\Betriebssystemlaufwerke
Um Systemstartschlüssel zu verwenden, müssen
Sie auch BitLocker ohne kompatibles TPM
zulassen in den Gruppenrichtlinien aktivieren.
Hinweis
Wenn der momentan am System aktive Anmeldemodus ein erlaubter Fallback-Anmeldemodus ist, dann kommt der hier definierte Anmeldemodus nicht zur Anwendung.
204 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung Erklärung
BitLocker Fallback-Anmeldemodus für Boot-Laufwerke
Wenn die als BitLocker Anmeldemodus für Boot-Laufwerke festgelegte Einstellung nicht angewendet werden kann, bietet
SafeGuard Enterprise folgende Alternativen für die Anmeldung:
•
•
•
Kennwort: Der Benutzer muss ein Kennwort eingeben.
Systemstartschlüssel: Der Schlüssel für die
Anmeldung wird auf einem USB-Stick gespeichert.
Kennwort oder Systemstartschlüssel: USB-Sticks werden nur verwendet, wenn Kennwörter auf dem
Client-Betriebssystem nicht unterstützt werden.
• Fehler: Es wird eine Fehlermeldung angezeigt und das Volume wird nicht verschlüsselt.
Hinweis
Bei Clients mit Version 6.1 oder niedriger werden die Werte Kennwort oder Systemstartschlüssel und Kennwort Systemstartschlüssel und Fehler zugeordnet.
Hinweis
Kennwörter werden erst ab Windows 8 oder höher unterstützt.
Copyright © Sophos Limited 205
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung
BitLocker Anmeldemodus für
Datenlaufwerke
Erklärung
•
•
Bei Datenlaufwerken sind die folgenden Optionen verfügbar:
• Auto-Unlock: Wenn das Boot-Laufwerk verschlüsselt ist, wird ein externer Schlüssel generiert und auf dem Boot-Laufwerk gespeichert. Die Datenlaufwerke werden dann automatisch verschlüsselt. Sie werden automatisch mit der Auto-Unlock-Funktion von
Bitlocker freigegeben. Beachten Sie, dass Auto-Unlock nur funktioniert, wenn das Boot-Laufwerk verschlüsselt ist. Andernfalls wird der Fallback-Modus verwendet.
Kennwort: Der Benutzer wird aufgefordert, ein
Kennwort für jedes Datenlaufwerk einzugeben.
Systemstartschlüssel: Die Schlüssel für die Freigabe der Datenlaufwerke werden auf einem USB-Stick gespeichert.
Hinweis
Clients mit Version 6.1 oder niedriger ignorieren diese
Richtlinieneinstellung und verwenden stattdessen die
Werte, die für den Anmeldemodus für Boot-Laufwerke eingestellt wurden. Da das TPM nicht für Datenlaufwerke genutzt werden kann, wird in diesen Fällen ein USB-Stick oder eine Fehlermeldung verwendet.
Hinweis
Kennwörter werden erst ab Windows 8 oder höher unterstützt.
Hinweis
Wenn der momentan am System aktive Anmeldemodus ein erlaubter Fallback-Anmeldemodus ist, dann kommt der hier definierte Anmeldemodus nicht zur Anwendung.
206 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung Erklärung
BitLocker Fallback-Anmeldemodus für Datenlaufwerke
Wenn die als BitLocker Anmeldemodus für Datenlaufwerke festgelegte Einstellung nicht angewendet werden kann, bietet
SafeGuard Enterprise folgende Alternativen:
•
•
•
Kennwort: Der Benutzer wird aufgefordert, ein
Kennwort für jedes Datenlaufwerk einzugeben.
Systemstartschlüssel: Die Schlüssel werden auf einem USB-Stick gespeichert.
Kennwort oder Systemstartschlüssel: USB-Sticks werden nur verwendet, wenn Kennwörter auf dem
Client-Betriebssystem nicht unterstützt werden.
Hinweis
Clients mit Version 6.1 oder niedriger ignorieren diese
Richtlinieneinstellung. Sie verwenden stattdessen die
Werte, die für den Fallback-Anmeldemodus für Boot-
Laufwerke eingestellt wurden. Da keine Kennwörter verarbeitet werden können, wird stattdessen "USB-Stick" oder "Fehlermeldung" verwendet.
Hinweis
Kennwörter werden erst ab Windows 8 oder höher unterstützt.
Erfolglose Anmeldungen
Maximalanzahl von erfolglosen
Anmeldeversuchen
Meldungen zur fehlgeschlagenen
Anmeldung in der POA anzeigen
Bestimmt, wie oft ein Benutzer ohne Folgen bei der Anmeldung einen ungültigen Benutzernamen bzw. ein ungültiges Kennwort eingeben darf. Wenn der Benutzer zum Beispiel drei mal nacheinander seinen Benutzernamen oder sein Kennwort falsch eingegeben hat, führt der vierte Versuch dazu, dass der Computer gesperrt wird.
Definiert die Detailebene für Meldungen zu fehlgeschlagenen
Anmeldungen:
•
•
Standard: Zeigt eine kurze Beschreibung an.
Verbose (ausführlich): Zeigt detaillierte Informationen an.
Token-Optionen
Aktion bei Verlust des
Anmeldestatus des Token
Definiert das Verhalten nach dem Trennen des Token vom
Computer.
•
•
•
Mögliche Aktionen sind:
Computer sperren
PIN-Dialog anzeigen
Keine Aktion
Bestimmt, ob der Token bei der Anmeldung entsperrt werden darf.
Freigabe des Token erlauben
Optionen für Sperre des Geräts
Copyright © Sophos Limited 207
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung Erklärung
Bildschirm nach X Minuten Leerlauf sperren
Bestimmt die Zeit, nach deren Überschreitung ein nicht mehr benutzter Desktop automatisch gesperrt wird.
Der Standardwert ist 0 Minuten, und der Bildschirm wird nicht gesperrt, wenn dieser Wert nicht geändert wird.
Bei Entfernung des Token
Bildschirm sperren
Bildschirm nach dem Fortsetzen sperren
Bestimmt, ob der Bildschirm gesperrt wird, wenn während einer
Arbeitssitzung der Token entfernt wird.
Bestimmt, ob der Bildschirm bei Reaktivierung aus dem Standby-
Modus gesperrt wird.
Syntaxregeln für PINs
In Richtlinien vom Typ PIN definieren Sie Einstellungen für Token-PINs. Diese Einstellungen gelten nicht für PINs, die zum Anmelden bei mit BitLocker verschlüsselten Endpoints verwendet werden.
Weitere Informationen zu BitLocker PINs finden Sie unter
PIN und Kennwörter (Seite 250).
PINs können sowohl Ziffern, Buchstaben als auch Sonderzeichen (wie + - ; etc.) enthalten.
Verwenden Sie bei der Vergabe einer neuen PIN jedoch keine Zeichen mit der Kombination ALT
+ <Zeichen>, da dieser Eingabemodus an der SafeGuard Power-on Authentication nicht zur
Verfügung steht.
Hinweis
Definieren Sie PIN-Regeln entweder im SafeGuard Management Center oder im Active Directory, nicht an beiden Stellen.
Richtlinieneinstellung Erklärung
Die Einstellungen werden so dargestellt, wie sie im SafeGuard Enterprise Management Center angezeigt werden.
PIN
Mindestlänge der PIN
Maximallänge der PIN
Mindestanzahl an Buchstaben
Mindestanzahl an Ziffern
Mindestanzahl an Symbolen
Tastaturzeile verboten
Gibt an, aus wie vielen Zeichen eine PIN bei der Änderung durch den
Benutzer bestehen muss. Der gewünschte Wert kann entweder direkt eingegeben oder durch Betätigen der Richtungsschaltflächen vergrößert bzw. verkleinert werden.
Gibt an, aus wie vielen Zeichen eine PIN bei der Änderung durch den
Benutzer maximal bestehen darf. Der gewünschte Wert kann entweder direkt eingegeben oder durch Betätigen der Richtungsschaltflächen vergrößert bzw. verkleinert werden.
Mit diesen Einstellungen wird erreicht, dass PINs nicht ausschließlich
Zeichen, Ziffern oder Sonderzeichen enthalten, sondern aus einer
Kombination bestehen müssen (z. B. „15blume“). Diese Einstellungen sind nur dann sinnvoll, wenn eine Mindestlänge der PIN definiert ist, die größer 2 ist.
Als Tastaturzeilen werden eingetippte Zeichenreihen wie „123“ oder
„qwe“ bezeichnet. Maximal zwei auf der Tastatur nebeneinander liegende Zeichen sind erlaubt. Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil.
208 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung
Tastaturspalte verboten
Drei oder mehr aufeinanderfolgende Zeichen verboten
Benutzername als PIN verboten
Liste nicht erlaubter PINs benutzen
Liste nicht erlaubter PINs
Erklärung
Als Tastaturspalten werden eingetippte Zeichenreihen wie „xsw2“ oder „3edc“ (nicht aber „xdr5“ oder „cft6“!) bezeichnet. Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen. Verbieten Sie
Tastaturspalten, werden derartige Zeichenkombinationen als Kennwörter abgelehnt. Tastaturspalten beziehen sich nur auf den alphanumerischen
Tastaturteil.
•
Verboten werden mit der Aktivierung dieser Option Zeichenketten,
• die im ASCII-Code aufeinander folgen, sowohl in auf- als auch in absteigender Reihenfolge („abc“ oder „cba“).
die aus drei oder mehr identischen Zeichen („aaa“ oder
„111“) bestehen.
Bestimmt, ob Benutzername und PIN identisch sein dürfen.
Ja: Windows-Benutzername und PIN müssen unterschiedlich sein.
Nein: Benutzer darf seinen Windows-Benutzernamen gleichzeitig als PIN verwenden.
Bestimmt, ob bestimmte Zeichenfolgen für PINs nicht verwendet werden dürfen. Abgelegt sind die Zeichenfolgen in der Liste nicht erlaubter PINs
(z. B. Datei im Format .txt).
Definiert Zeichenfolgen, die in einer PIN nicht verwendet werden dürfen. Wenn ein Benutzer eine verbotene PIN verwendet, wird eine
Fehlermeldung ausgegeben.
Voraussetzung:
Eine Liste (eine Datei) mit verbotenen PINs muss im Management Center unter Texte im Richtlinien-
211). Erst nach der Registrierung ist die Liste verfügbar.
• Maximale Dateigröße: 50 KB
• Unterstütztes Format: Unicode
Nicht erlaubte PINs definieren
In der Liste werden die verbotenen PINs durch einen
Zeilenumbruch voneinander getrennt.
Platzhalter: An der Position, an der Sie den Zeichentyp
„*“ eingeben, können mehrere beliebige Zeichen in der
PIN enthalten sein. Beispielsweise wird durch *123* jede
Zeichenfolge, die 123 enthält, als PIN verboten.
•
•
•
Hinweis:
Wenn Sie nur den Platzhalter in die Liste einfügen, können sich Benutzer nach einer erzwungenen Kennwortänderung nicht mehr im System anmelden.
Benutzer dürfen auf die Datei keinen Zugriff haben.
Die Option Liste nicht erlaubter PINs verwenden muss aktiviert sein.
Copyright © Sophos Limited 209
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung Erklärung
Groß-/Kleinschreibung beachten Diese Einstellung wird nur bei den Punkten Liste nicht erlaubter PINs
benutzen und Benutzername als PIN verboten wirksam.
Beispiel 1: Sie haben in der Liste der verbotenen PINs
„Tafel“ eingetragen. Steht die Option Groß-/Kleinschreibung
beachten auf Ja, werden zusätzliche Kennwortvarianten wie z.
B. „TAFEL“ oder „TaFeL“ nicht akzeptiert und die Anmeldung wird verweigert.
Beispiel 2: Der Benutzername für einen Anwender lautet
„EMaier“. Steht Groß-/Kleinschreibung beachten auf Ja und
Benutzername als PIN verboten auf Nein, darf Benutzer
EMaier keine Variante seines Benutzernamens (z. B. emaier oder eMaiEr) als PIN verwenden.
Änderungen
PIN-Änderung erlaubt nach mindestens (Tage)
PIN läuft ab nach (Tage)
Warnung vor Ablauf (Tage)
Legt den Zeitraum fest, in dem eine PIN nicht erneut geändert werden darf. Diese Einstellung verhindert, dass ein Benutzer seine PIN innerhalb eines bestimmten Zeitraums beliebig oft ändern kann.
Beispiel:
Die Benutzerin Schmidt definiert eine neue PIN (z. B. „13jk56“).
Für sie (oder für die Gruppe, der sie zugeordnet ist) ist ein
Wechsel nach mind. fünf Tagen festgelegt. Bereits nach zwei
Tagen will sie die PIN „13jk56“ ändern. Dies wird abgelehnt, da
Frau Schmidt erst nach fünf Tagen eine neue PIN definieren darf.
Der Benutzer muss nach Ablauf des eingestellten Zeitraums seine
PIN ändern. Beträgt der Zeitraum 999 Tage, ist keine PIN-Änderung erforderlich.
Ab “n” Tagen vor Ablauf der PIN wird eine Warnmeldung ausgegeben und der Benutzer darauf hingewiesen, dass er in “n“-Tagen seine PIN
ändern muss. Er erhält daraufhin die Möglichkeit, die PIN sofort zu
ändern.
Allgemeine Informationen
PIN in POA verbergen
PIN-Generationen
Gibt an, ob die Ziffern bei der Eingabe der PIN verborgen werden. Ist die
Option aktiviert, wird während der Eingabe der PIN bei der POA nichts angezeigt. Ansonsten wird für jedes eingegebene Zeichen ein Stern angezeigt.
Legt fest, wann bereits verwendete PINs wieder benutzt werden dürfen.
Sinnvoll ist die Definition von PIN-Generationen insbesondere in
Verbindung mit der Einstellung PIN läuft ab nach (Tage).
Beispiel:
Die Anzahl der PIN-Generationen für den Benutzer Müller wurde auf 4 festgelegt, die der Tage, nach denen der Benutzer die PIN wechseln muss, auf 30. Herr Müller meldete sich bislang mit der
PIN „Informatik“ an. Nach Ablauf der Frist von 30Tagen wird er aufgefordert, seine PIN zu ändern. Herr Müller tippt als neue PIN wieder „Informatik“ ein und erhält die Fehlermeldung, dass er diese PIN bereits verwendet hat und eine andere PIN wählen muss. „Informatik“ darf Herr Müller erst nach der vierten (da PIN-
Generationen = 4) Aufforderung zur Eingabe einer neuen PIN verwenden.
210 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Anlegen von Listen verbotener PINs für die Verwendung mit Richtlinien
Für Richtlinien des Typs PIN kann eine Liste mit verbotenen PINs angelegt werden. Diese Liste definiert die Zeichenfolgen, die in nicht in PINs verwendet werden dürfen. PINs werden für die
Anmeldung mit Token verwendet. Für weitere Informationen, siehe Token und Smartcards
(Seite
143).
Die Textdateien mit den gewünschten Informationen müssen erstellt werden, bevor sie im
SafeGuard Management Center registriert werden können. Die maximale Dateigröße für Textdateien beträgt 50 KB. SafeGuard Enterprise verwendet nur Unicode UTF-16 kodierte Texte. Wenn Sie die
Textdateien in einem anderen Format erstellen, werden sie bei der Registrierung automatisch in dieses Format konvertiert.
Hinweis
In den Listen werden die verbotenen PINs durch einen Zeilenumbruch voneinander getrennt.
So registrieren Sie die Textdateien:
1. Klicken Sie im Richtlinien-Navigationsbereich mit der rechten Maustaste auf Texte und wählen Sie
NeuText.
2. Geben Sie unter Textelementname einen Namen für den anzeigenden Text ein.
3. Klicken Sie auf [...] um einen zuvor erstellten Text auszuwählen. Wenn eine Konvertierung notwendig ist, wird eine entsprechende Meldung angezeigt.
4. Klicken Sie auf OK.
Das neue Textelement wird als Unterknoten des Eintrags Texte im Richtlinien-Navigationsbereich angezeigt. Ist ein Textelement markiert, wird sein Inhalt im Aktionsbereich auf der rechten Seite angezeigt. Das Textelement kann jetzt beim Erstellen von Richtlinien ausgewählt werden.
Um weitere Textelemente zu registrieren, gehen Sie wie beschrieben vor. Alle registrierten
Textelemente werden als Unterknoten angezeigt.
Hinweis
Mit der Schaltfläche Text ändern können Sie weiteren Text zum bestehenden Text hinzufügen.
Es wird ein Dialog geöffnet, in dem eine weitere Textdatei ausgewählt werden kann. Der in dieser
Datei enthaltene Text wird am Ende des bestehenden Texts eingefügt.
Syntaxregeln für Kennwörter
In Richtlinien vom Typ Kennwort definieren Sie Einstellungen für Kennwörter für die Anmeldung an das System. Diese Einstellungen gelten nicht für Kennwörter, die zum Anmelden bei mit BitLocker verschlüsselten Endpoints verwendet werden. Weitere Informationen zu BitLocker BitLocker
Kennwörtern finden Sie unter
(Seite 250).
Kennwörter können sowohl Ziffern, Buchstaben als auch Sonderzeichen (wie + - ; etc.) enthalten.
Verwenden Sie bei der Vergabe eines neuen Kennworts jedoch keine Zeichen mit der Kombination
ALT + <Zeichen>, da dieser Eingabemodus an der SafeGuard Power-on Authentication nicht zur
Verfügung steht. Wie Kennwörter, mit denen sich Benutzer am System anmelden, beschaffen sein müssen, wird in Richtlinien vom Typ Kennwort eingestellt.
Copyright © Sophos Limited 211
SafeGuard Enterprise Administratorhilfe
Hinweis
Für Informationen zur Umsetzung einer Richtlinie für sichere Kennwörter siehe Empfohlene
(Seite 358) und das SafeGuard Enterprise Manual for certification-
compliant operation (Englisch).
Die Umsetzung von Kennwortregeln und Kennworthistorien kann nur dann gewährleistet werden, wenn der SGN Credential Provider durchgehend verwendet wird. Definieren Sie Kennwortregeln entweder im SafeGuard Management Center oder im Active Directory, nicht an beiden Stellen.
Richtlinieneinstellung Erklärung
Die Einstellungen werden so dargestellt, wie sie im SafeGuard Enterprise Management Center angezeigt werden.
Kennwort
Mindestlänge des Kennworts
Maximallänge des Kennwortes
Mindestanzahl an Buchstaben
Mindestanzahl an Ziffern
Mindestanzahl an Symbolen
Tastaturzeile verboten
Tastaturspalte verboten
Drei oder mehr aufeinanderfolgende
Zeichen verboten
Benutzername als Kennwort verboten
Gibt an, aus wie vielen Zeichen ein Kennwort bei der Änderung durch den Benutzer bestehen muss. Der gewünschte Wert kann entweder direkt eingegeben oder durch Betätigen der Richtungsschaltflächen vergrößert bzw. verkleinert werden.
Gibt an, aus wie vielen Zeichen ein Kennwort bei der Änderung durch den Benutzer maximal bestehen darf. Der gewünschte
Wert kann entweder direkt eingegeben oder durch Betätigen der
Richtungsschaltflächen vergrößert bzw. verkleinert werden.
Mit diesen Einstellungen wird erreicht, dass Kennwörter nicht ausschließlich Zeichen, Ziffern oder Sonderzeichen enthalten, sondern aus einer Kombination bestehen müssen (z. B.
„15blume“). Diese Einstellungen sind nur dann sinnvoll, wenn eine
Kennwortmindestlänge definiert ist, die größer 2 ist.
Als Tastaturzeilen werden eingetippte Zeichenreihen wie „123“ oder
„qwe“ bezeichnet. Maximal zwei auf der Tastatur nebeneinander liegende Zeichen sind erlaubt. Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil.
Als Tastaturspalten werden eingetippte Zeichenreihen wie „xsw2“ oder „3edc“ (nicht aber „xdr5“ oder „cft6“!) bezeichnet. Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen. Verbieten
Sie Tastaturspalten, werden derartige Zeichenkombinationen als
Kennwörter abgelehnt. Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil.
•
Verboten werden mit Aktivierung dieser Option Zeichenketten,
• die im ASCII-Code aufeinander folgen, sowohl in auf- als auch in absteigender Reihenfolge („abc“ oder „cba“).
die aus drei oder mehr identischen Zeichen („aaa“ oder
„111“) bestehen.
Bestimmt, ob der Benutzername als Kennwort unzulässig ist.
Ja: Windows-Benutzername und Kennwort müssen unterschiedlich sein.
Nein: Windows-Benutzername und Kennwort müssen nicht unterschiedlich sein.
212 Copyright © Sophos Limited
Richtlinieneinstellung
Liste nicht erlaubter Kennwörter verwenden
Liste nicht erlaubter Kennwörter
Groß-/Kleinschreibung beachten
SafeGuard Enterprise Administratorhilfe
Erklärung
Bestimmt, ob bestimmte Zeichenfolgen für Kennwörter nicht verwendet werden dürfen. Abgelegt sind die Zeichenfolgen in der Liste nicht
erlaubter Kennwörter (z. B. Datei im Format .txt).
Definiert Zeichenfolgen, die in einem Kennwort ausgeschlossen sind.
Wenn ein Benutzer ein verbotenes Kennwort verwendet, wird eine
Fehlermeldung ausgegeben.
Eine Liste (eine Datei) mit verbotenen Kennwörtern muss im
SafeGuard Management Center unter Texte im Richtlinien-
Richtlinien (Seite 215). Erst nach der Registrierung ist die
Liste verfügbar.
Maximale Dateigröße: 50 KB
Unterstütztes Format: Unicode
Nicht erlaubte Kennwörter definieren
In der Liste werden die verbotenen Kennwörter durch einen neuen Zeilenanfang getrennt. Platzhalter: An der Position, an der Sie den Zeichentyp "*" eingeben, können mehrere beliebige Zeichen im Kennwort enthalten sein. Beispielsweise wird durch *123* jede Zeichenfolge, die 123 enthält, als
Kennwort verboten.
•
•
•
Hinweis:
Wenn Sie nur den Platzhalter in die Liste einfügen, können sich Benutzer nach einer erzwungenen
Kennwortänderung nicht mehr im System anmelden.
Benutzer dürfen auf die Datei keinen Zugriff haben.
Die Option Liste nicht erlaubter Kennwörter
verwenden muss aktiviert sein.
Diese Einstellung wird nur bei den Punkten Liste nicht erlaubter
Kennwörter verwenden und Benutzername als Kennwort verboten wirksam.
Beispiel 1: Sie haben in der Liste der verbotenen Kennwörter
„Tafel“ eingetragen. Steht die Option Groß-/Kleinschreibung
beachten auf Ja, werden zusätzliche Kennwortvarianten wie z. B. „TAFEL“ oder „TaFeL“ nicht akzeptiert und die
Anmeldung wird verweigert.
Beispiel 2: Der Benutzername für einen Anwender lautet
„EMaier“. Steht Groß-/Kleinschreibung beachten auf Ja und Benutzername als Kennwort verboten auf Nein, darf
Benutzer EMaier keine Variante seines Benutzernamens (z.
B. ´emaier´ oder ´eMaiEr´ usw.) als Kennwort verwenden.
Änderungen
Copyright © Sophos Limited 213
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung
Kennwortänderung erlaubt nach mindestens (Tage)
Kennwort läuft ab nach (Tage)
Warnung vor Ablauf (Tage)
Erklärung
Legt den Zeitraum fest, in dem ein Kennwort nicht erneut geändert werden darf. Diese Einstellung verhindert, dass ein Benutzer sein
Kennwort innerhalb eines bestimmten Zeitraums beliebig oft ändern kann. Bei einem durch Windows erzwungenen Kennwortwechsel oder bei einem Wechsel des Kennworts nach der Anzeige der Warnung, dass das Kennwort in x Tagen abläuft, wird diese Einstellung nicht ausgewertet!
Beispiel:
Die Benutzerin Schmidt definiert ein neues Kennwort (z. B.
„13jk56“). Für sie (oder für die Gruppe, der sie zugeordnet ist) ist ein Wechsel nach mind. fünf Tagen festgelegt. Bereits nach zwei Tagen will sie das Kennwort "13jk56" ändern. Dies wird abgelehnt, da Frau Schmidt erst nach fünf Tagen ein neues Kennwort definieren darf.
Ist diese Option aktiviert, muss der Benutzer nach Ablauf des eingestellten Zeitraums ein neues Kennwort definieren.
Ab “n” Tagen vor Ablauf des Kennworts wird eine Warnmeldung ausgegeben und der Benutzer darauf hingewiesen, dass er in
“n“ Tagen sein Kennwort ändern muss. Er erhält daraufhin die
Möglichkeit, das Kennwort sofort zu ändern.
Allgemeine Informationen
Kennwort in POA verbergen
Kennwortgenerationen
Gibt an, ob die Zeichen bei der Eingabe des Kennworts verborgen werden. Ist die Option aktiviert, wird während der Eingabe des
Kennworts bei der POA nichts angezeigt. Ansonsten wird für jedes eingegebene Zeichen ein Stern angezeigt.
Legt fest, wann bereits verwendete Kennwörter wieder benutzt werden dürfen. Sinnvoll ist die Definition von Kennwortgenerationen insbesondere in Verbindung mit der Einstellung Kennwort läuft ab
nach (Tage).
Beispiel:
Die Anzahl der Kennwortgenerationen für den Benutzer
Müller wurde auf 4 festgelegt, die der Tage, nach denen der Benutzer das Kennwort wechseln muss, auf 30. Herr
Müller meldete sich bislang mit dem Kennwort „Informatik“ an.
Nach Ablauf der Frist von 30 Tagen wird er aufgefordert, sein
Kennwort zu ändern. Herr Müller tippt als neues Kennwort wieder „Informatik“ ein und erhält die Fehlermeldung, dass er dieses Kennwort bereits verwendet hat und ein anderes
Kennwort wählen muss. „Informatik“ darf Herr Müller erst nach der vierten (da Kennwortgenerationen = 4) Aufforderung zur
Eingabe eines neuen Kennworts verwenden.
Hinweis
Wenn für die Kennwortgeneration 0 eingestellt ist, kann der
Benutzer das alte Kennwort als neues Kennwort festlegen. Dies entspricht jedoch nicht der gängigen Praxis und ist daher nicht zu empfehlen.
214 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung
Benutzerkennwortsynchronisation mit anderen SGN Clients
Erklärung
Dieses Feld steuert die Synchronisierung bei Änderung des
Kennworts durch Benutzer, die auf mehreren SafeGuard
Enterprise Endpoints arbeiten und als Benutzer eingetragen sind. Folgende Optionen stehen zur Verfügung:
• Langsam (sobald Benutzer sich anmeldet)
Ändert ein Benutzer sein Kennwort auf einem SafeGuard
Enterprise Endpoint, so muss dieser Benutzer sich auf anderen Endpoints, auf denen er als Benutzer eingetragen ist, zunächst noch einmal mit seinem alten
Kennwort an der SafeGuard Power-on Authentication anmelden. Erst dann wird die Kennwortsynchronisation durchgeführt
• Schnell (sobald der Computer eine Verbindung hergestellt hat)
Ändert der Benutzer sein Kennwort auf einem
SafeGuard Enterprise Endpoint, so wird die
Kennwortsynchronisierung mit einem anderen Endpoint, auf dem er als Benutzer eingetragen ist, durchgeführt, sobald der andere Endpoint eine Verbindung mit dem
Server hergestellt hat. Dies erfolgt zum Beispiel dann, wenn sich ein anderer Benutzer, der ebenfalls auf dem
Endpoint als Benutzer eingetragen ist, in der Zwischenzeit an diesem Endpoint anmeldet.
Anlegen einer Liste verbotener Kennwörter für die Verwendung mit Richtlinien
Für Richtlinien des Typs Kennwort kann eine Liste mit verbotenen Kennwörtern angelegt werden.
Diese Liste definiert die Zeichenfolgen, die in nicht in Kennwörtern verwendet werden dürfen.
Hinweis
In den Listen werden die nicht erlaubten Kennwörter durch einen Zeilenumbruch voneinander getrennt.
Die Textdateien mit den gewünschten Informationen müssen erstellt werden, bevor sie im
SafeGuard Management Center registriert werden können. Die maximale Dateigröße für Textdateien beträgt 50 KB. SafeGuard Enterprise verwendet nur Unicode UTF-16 kodierte Texte. Wenn Sie die
Textdateien in einem anderen Format erstellen, werden sie bei der Registrierung automatisch in dieses Format konvertiert.
Wenn eine Datei konvertiert wird, wird eine entsprechende Meldung angezeigt.
So registrieren Sie die Textdateien:
1. Klicken Sie im Richtlinien-Navigationsbereich mit der rechten Maustaste auf Texte und wählen Sie
NeuText.
2. Geben Sie unter Textelementname einen Namen für den anzeigenden Text ein.
3. Klicken Sie auf [...] um einen zuvor erstellten Text auszuwählen. Wenn eine Konvertierung notwendig ist, wird eine entsprechende Meldung angezeigt.
4. Klicken Sie auf OK.
Das neue Textelement wird als Unterknoten des Eintrags Texte im Richtlinien-Navigationsbereich angezeigt. Ist ein Textelement markiert, wird sein Inhalt im Aktionsbereich auf der rechten Seite angezeigt. Das Textelement kann jetzt beim Erstellen von Richtlinien ausgewählt werden.
Copyright © Sophos Limited 215
SafeGuard Enterprise Administratorhilfe
Um weitere Textelemente zu registrieren, gehen Sie wie beschrieben vor. Alle registrierten
Textelemente werden als Unterknoten angezeigt.
Hinweis
Mit der Schaltfläche Text ändern können Sie weiteren Text zum bestehenden Text hinzufügen.
Wenn Sie auf diese Schaltfläche klicken, wird ein Dialog geöffnet, in dem eine weitere Textdatei ausgewählt werden kann. Der in dieser Datei enthaltene Text wird am Ende des bestehenden
Textes eingefügt.
Passphrase für SafeGuard Data Exchange
Der Benutzer muss eine Passphrase eingeben, die zum Erzeugen von lokalen Schlüsseln für den sicheren Datenaustausch mit SafeGuard Data Exchange verwendet wird. Die auf den Endpoints erzeugten Schlüssel werden auch in der SafeGuard Enterprise Datenbank gespeichert. Die erforderlichen Einstellungen definieren Sie in einer Richtlinie vom Typ Passphrase.
Für weitere Informationen zu SafeGuard Data Exchange, siehe
(Seite
279).
Weitere Informationen zu SafeGuard Data Exchange und SafeGuard Portable auf dem Endpoint finden Sie in der SafeGuard Enterprise Benutzerhilfe im Kapitel SafeGuard Data Exchange.
Richtlinieneinstellung Erklärung
Die Einstellungen werden so dargestellt, wie sie im SafeGuard Enterprise Management Center angezeigt werden.
Passphrase
Mindestlänge der Passphrase
Maximallänge der Passphrase
Legt fest, aus wie vielen Zeichen die Passphrase, aus der der Schlüssel erzeugt wird, mindestens bestehen muss. Der gewünschte Wert kann entweder direkt eingegeben oder durch Betätigen der Richtungstasten vergrößert bzw. verkleinert werden.
Legt fest, aus wie vielen Zeichen die Passphrase maximal bestehen darf. Der gewünschte Wert kann entweder direkt eingegeben oder durch
Betätigen der Richtungstasten vergrößert bzw. verkleinert werden.
Mindestanzahl an Buchstaben
Mindestanzahl an Ziffern
Mindestanzahl an Symbolen
Tastaturzeile verboten
Tastaturspalte verboten
Mit diesen Einstellungen wird erreicht, dass eine Passphrase nicht ausschließlich Zeichen, Ziffern oder Sonderzeichen enthält, sondern aus einer Kombination bestehen muss (z. B. „15blume“). Diese Einstellungen sind nur dann sinnvoll, wenn eine Mindestlänge der Passphrase definiert ist, die größer 2 ist.
Als Tastaturzeilen werden eingetippte Zeichenreihen wie „123“ oder
„qwe“ bezeichnet. Maximal zwei auf der Tastatur nebeneinander liegende Zeichen sind erlaubt. Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil.
Als Tastaturspalten werden eingetippte Zeichenreihen wie „xsw2“ oder „3edc“ (nicht aber „xdr5“ oder „cft6“!) bezeichnet. Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen. Verbieten
Sie Tastaturspalten, werden derartige Zeichenkombinationen als
Passphrase abgelehnt. Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil.
Drei oder mehr aufeinanderfolgende Zeichen verboten
•
Verboten werden mit der Aktivierung dieser Option Zeichenketten,
• die im ASCII-Code aufeinander folgen, sowohl in auf- als auch in absteigender Reihenfolge („abc“ oder „cba“).
die aus drei oder mehr identischen Zeichen („aaa“ oder
„111“) bestehen.
216 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung
Benutzername als Passphrase verboten
Groß-/Kleinschreibung beachten
Erklärung
Bestimmt, ob Benutzername und Passphrase identisch sein dürfen.
Ja: Windows-Benutzername und Passphrase müssen unterschiedlich sein.
Nein: Benutzer darf seinen Windows-Benutzernamen gleichzeitig als Passphrase verwenden.
Diese Einstellung wird beim Setzen der Option Benutzername als
Passphrase verboten wirksam.
Beispiel: Der Benutzername für einen Anwender lautet
„EMaier“. Steht Groß-/Kleinschreibung beachten auf Ja und Benutzername als Passphrase verboten auf Nein, darf
Benutzer EMaier keine Variante seines Benutzernamens (z. B.
emaier oder eMaiEr) als Passphrase verwenden.
White Lists für Geräteschutz-Richtlinien für dateibasierende
Verschlüsselung
Im SafeGuard Management Center können Sie White Lists als Ziele für Richtlinien des
Typs Geräteschutz für dateibasierende Verschlüsselung auswählen. Somit können Sie
Verschlüsselungsrichtlinien für spezifische Gerätemodelle und sogar für spezifische Geräte erstellen.
Damit Sie eine White List als Ziel für eine Geräteschutz Richtlinie auswählen können, müssen
Sie die Liste im SafeGuard Management Center anlegen. Sie können White Lists für spezifische
Gerätemodelle (z. B. iPod oder USB-Geräte eines bestimmten Herstellers) oder für einzelne Geräte nach Seriennummer definieren. Sie können die Geräte manuell zu den White Lists hinzufügen oder die Ergebnisse eines Safend Auditor Scan-Vorgangs verwenden. Weitere Informationen finden Sie in der Safend Auditor Dokumentation .
Sie können dann die White List als Ziel beim Anlegen einer Richtlinie vom Typ Geräteschutz auswählen.
Hinweis
Wenn Sie eine White List für eine Richtlinie vom Typ Geräteschutz als Ziel auswählen, können
Sie als Verschlüsselungsmodus für Medien nur Keine Verschlüsselung oder Dateibasierend auswählen. Wenn Sie Keine Verschlüsselung für eine Geräteschutz Richtlinie mit einer
White List auswählen, wird durch diese Richtlinie ein Gerät dann nicht von der Verschlüsselung ausgenommen, wenn eine andere geltende Richtlinie die volume-basierende Verschlüsselung fordert.
Hinweis
Für Block Master SafeStick gelten spezielle Anforderungen. Diese Geräte haben für
Administratoren und Benutzer ohne Administratorrechte unterschiedliche IDs. Für die korrekte
Verarbeitung in SafeGuard Enterprise müssen Sie beide IDs zur White List hinzufügen. Der
SafeGuard Port Auditor ermittelt beide IDs, wenn ein SafeStick-Gerät mindestens einmal auf dem von SafeGuard Port Auditor gescannten Computer geöffnet wurde.
Anlegen einer White List für Geräteschutz-Richtlinien für die dateibasierende Verschlüsselung
1. Markieren Sie im Richtlinien Navigationsbereich den Eintrag White List.
2. Klicken Sie im Kontextmenü von White List auf Neu > White List.
3. Wählen Sie den Typ der White List aus:
Copyright © Sophos Limited 217
SafeGuard Enterprise Administratorhilfe
• Um eine White List für spezifische Datenträgermodelle zu erstellen, wählen Sie
Datenträgermodelle.
• Um eine White List für bestimmte Datenträger nach Seriennummer zu erstellen, wählen Sie
Einzelne Datenträger.
4. Geben Sie unter White List-Quelle an, wie Sie die White List erstellen möchten:
• Um Datenträger manuell einzugeben, wählen Sie White List manuell erstellen.
Wenn Sie auf OK klicken, wird eine leere White List im SafeGuard Management Center geöffnet. In dieser leeren White List können Sie die Einträge manuell erstellen. Klicken Sie dazu auf das grüne Symbol Hinzufügen (Einfügen) in der SafeGuard Management Center
Symbolleiste.
Hinweis
Um die relevanten Strings für ein Gerät mit dem Windows-Geräte-Manager abzurufen,
öffnen Sie das Eigenschaften Fenster für das Gerät und entnehmen Sie die Werte für die Eigenschaften Hardware-Kennungen und Geräteinstanzkennung. Es werden nur folgende Schnittstellen unterstützt: USB, 1394, PCMCIA und PCI.
• Wenn Sie das Ergebnis eines Endpoint Scans durch den Safend Auditor als Quelle verwenden möchten, wählen Sie Safend Auditor Ergebnis importieren.
Die Ergebnisse des Scans durch den Safend Auditor müssen vorliegen (XML-Datei), wenn
Sie die White List auf diese Weise erzeugen wollen. Um die Datei auszuwählen, klicken Sie auf die [...] Schaltfläche.
Weitere Informationen finden Sie in der Safend Auditor Dokumentation .
Nach dem Klicken auf OK wird der Inhalt der importierten Datei im SafeGuard Management
Center angezeigt.
Die White List wird unter White Lists im Richtlinien Navigationsbereich angezeigt. Sie können
Sie beim Erstellen von Richtlinien des Typs Geräteschutz für dateibasierende Verschlüsselung auswählen.
Auswahl einer White List als Ziel für Geräteschutz-Richtlinien für die dateibasierende Verschlüsselung
Voraussetzung: Die gewünschte White List muss im SafeGuard Management Center angelegt sein.
1. Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die Schaltfläche
Richtlinien.
2. Klicken Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien und wählen Sie im
Kontextmenü den Befehl Neu.
3. Wählen Sie Geräteschutz.
Es wird ein Dialog für die Benennung der neuen Richtlinie angezeigt.
4. Geben Sie einen Namen und optional eine Beschreibung für die neue Richtlinie ein.
5. Wählen Sie unter Ziel des Geräteschutzes die relevante White List:
• Wenn Sie eine White List für Datenträgermodelle erstellt haben, wird sie unter
Datenträgermodelle angezeigt.
• Wenn Sie eine White List für bestimmte Datenträger erstellt haben, wird sie unter Einzelne
Datenträger angezeigt.
6. Klicken Sie auf OK.
Die White List ist als Ziel der Richtlinie vom Typ Geräteschutz ausgewählt. Nach der Übertragung der Richtlinie an die Endpoints gilt der in der Richtlinie festgelegte Verschlüsselungsmodus.
218 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Geräteschutz
Richtlinien des Typs Geräteschutz enthalten Einstellungen für die Datenverschlüsselungen auf unterschiedlichen Datenträgern. Die Verschlüsselung kann volume- oder dateibasierend durchgeführt werden, mit unterschiedlichen Schlüsseln und Algorithmen. Richtlinien des Typs
Geräteschutz enthalten auch Einstellungen für SafeGuard Data Exchange, SafeGuard Cloud
Storage und SafeGuard Portable. Für weitere Informationen, siehe
(Seite 273). Weitere Informationen zu SafeGuard Data Exchange,
SafeGuard Cloud Storage und SafeGuard Portable auf dem Endpoint finden Sie in der SafeGuard
Enterprise Benutzerhilfe.
Wenn Sie eine Richtlinie dieses Typs erstellen, müssen Sie zunächst ein Ziel für den Geräteschutz angeben. Mögliche Ziele sind:
• Interner Speicher (Boot-Laufwerke / Andere Laufwerke)
• Wechselmedien auf Windows Endpoints
Für macOS ist eine Richtlinie vom Typ File Encryption mit dem Platzhalter <Removables> als Pfad erforderlich, um Wechselmedien zu verschlüsseln, siehe
Platzhalter für Pfade in pfadbasierten Dateiverschlüsselungsregeln (Seite 265).
• Optische Laufwerke
• Laufwerksbuchstaben
• Datenträgermodelle
• Einzelne Datenträger
• Cloud Storage Definitionen
Für jedes Ziel muss eine eigene Richtlinie angelegt werden.
Hinweis
Wechselmedien: Eine Richtlinie für die volume-basierende Verschlüsselung von
Wechsellaufwerken, die es dem Benutzer erlaubt, einen Schlüssel aus einer Liste auszuwählen
(z. B. Beliebiger Schlüssel im Schlüsselring des Benutzers), kann vom Benutzer umgangen werden, indem er keinen Schlüssel auswählt. Um sicherzustellen, dass Wechsellaufwerke immer verschlüsselt werden, verwenden Sie eine dateibasierende Verschlüsselungsrichtlinie legen Sie in der volume-basierenden Verschlüsselungsrichtlinie explizit einen Schlüssel fest.
Copyright © Sophos Limited 219
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung Erklärung
Die Einstellungen werden so dargestellt, wie sie im SafeGuard Enterprise Management Center angezeigt werden.
Verschlüsselungsmodus für
Medien
•
Dient dem Schutz von Endgeräten (PCs, Notebooks usw.) und allen Arten von Wechseldatenträgern.
Diese Einstellung ist obligatorisch.
Hauptaufgabe ist die Verschlüsselung aller auf lokalen oder externen Datenträgern gespeicherten Daten. Durch die transparente Arbeitsweise können Benutzer einfach ihre gewohnten Anwendungen, z. B. Microsoft Office, weiter benutzen.
Transparente Verschlüsselung bedeutet für den Benutzer, dass alle verschlüsselt gespeicherten Daten (sei es in verschlüsselten
Verzeichnissen oder Laufwerken) automatisch im Hauptspeicher entschlüsselt werden, sobald sie in einem Programm geöffnet werden. Beim Abspeichern der Datei wird diese automatisch wieder verschlüsselt.
•
•
Folgende Optionen stehen zur Verfügung:
Keine Verschlüsselung
Volume-basierend(= transparente, sektorbasierende
Verschlüsselung)
Stellt sicher, dass alle Daten verschlüsselt sind (inkl. Boot-
Dateien, Swapfile, Datei für den Ruhezustand/Hibernation
File, temporäre Dateien, Verzeichnisinformationen usw.) ohne dass sich der Benutzer in seiner Arbeitsweise anpassen oder auf Sicherheit achten muss.
Dateibasierend (= transparente, dateibasierte
Verschlüsselung, Smart MediaEncryption)
Stellt sicher, dass alle Daten verschlüsselt sind (außer Boot
Medium und Verzeichnisinformationen), mit dem Vorteil, dass auch optische Medien wie CD/DVD verschlüsselt werden können oder Daten mit Fremdrechnern, auf denen kein SafeGuard Enterprise installiert ist, ausgetauscht werden können (soweit von der Richtlinie erlaubt).
Hinweis
Für Richtlinien mit White Lists können nur die Optionen Keine
Verschlüsselung oder Dateibasierend ausgewählt werden.
Allgemeine Einstellungen
Algorithmus für die
Verschlüsselung
Setzt den Verschlüsselungsalgorithmus.
Liste aller einsetzbaren Algorithmen mit ihren jeweiligen
Standards:
AES256: 32 Bytes (256 Bits)
AES128: 16 Bytes (128 Bits)
220 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung Erklärung
Die Einstellungen werden so dargestellt, wie sie im SafeGuard Enterprise Management Center angezeigt werden.
Schlüssel für die Verschlüsselung Legt fest, welcher Schlüssel zur Verschlüsselung verwendet wird.
Es können bestimmte Schlüssel festgelegt werden (z. B. Computer-
Schlüssel, oder ein definierter Schlüssel) oder dem Benutzer kann die Auswahl eines Schlüssels erlaubt werden. Die Schlüssel, die ein
Benutzer verwenden darf, können eingeschränkt werden.
•
Folgende Optionen stehen zur Verfügung:
Beliebiger Schlüssel im Schlüsselring des Benutzers
Alle Schlüssel aus dem Schlüsselbund des Benutzers werden angezeigt und der Benutzer darf einen daraus auswählen.
Hinweis
Diese Option muss gewählt werden, wenn eine Richtlinie für dateibasierende Verschlüsselung für einen durch SafeGuard
Enterprise geschützten Standalone-Endpoint angelegt wird.
•
•
•
Alle, außer persönliche Schlüssel im Schlüsselring
Alle Schlüssel aus dem Schlüsselbund mit Ausnahme des persönlichen Schlüssels werden angezeigt und der Benutzer darf einen daraus auswählen.
Beliebiger Gruppenschlüssel im Schlüsselring des
Benutzers
Alle Gruppenschlüssel aus dem Schlüsselbund des
Benutzers werden angezeigt und der Benutzer darf einen daraus auswählen.
Definierter Computerschlüssel
Es wird der Maschinen-Schlüssel verwendet und der
Benutzer selbst kann keinen Schlüssel auswählen.
Er ist nur auf einem Endpoint verfügbar, auf dem die volume-basierende Verschlüsselung installiert ist (BitLocker oder SafeGuard Full Disk Encryption).
Eine Richtlinie, in der Definierter Computerschlüssel als
Schlüssel für die pfadbasierte Verschlüsselung (z. B. für
SafeGuard Data Exchange) festgelegt ist, wird auf einem
Endpoint ohne volume-basierender Verschlüsselung nicht wirksam. Die Daten können nicht verschlüsselt werden.
Hinweis
Diese Option muss gewählt werden, wenn eine Richtlinie für volume-basierende Verschlüsselung für einen durch SafeGuard
Enterprise geschützten Standalone-Endpoint angelegt wird.
Wenn Sie dennoch die Option Beliebiger Schlüssel im
Schlüsselring des Benutzers auswählen und der Benutzer wählt einen lokal erzeugten Schlüssel für die volume-basierende
Verschlüsselung, wird der Zugriff auf dieses Volume verweigert.
Copyright © Sophos Limited
•
•
Beliebiger Schlüssel im Schlüsselring des Benutzers außer lokal erzeugte Schlüssel
Alle Schlüssel aus dem Schlüsselring mit Ausnahme der lokal erzeugten Schlüsse werden angezeigt und der
Benutzer darf einen daraus auswählen
Definierter Schlüssel aus der Liste
Der Administrator kann in der Administration bei der
Richtlinien-Einstellung einen beliebigen, existierenden
Schlüssel auswählen.
Der Schlüssel muss unter Für Verschlüsselung definierter
Schlüssel ausgewählt werden.
Richtlinien für durch SafeGuard Enterprise geschützte
Standalone-Endpoints:
221
Hinweis
Beim Erstellen von Richtlinien für Standalone-Computer kann ausschließlich die Option Beliebiger Schlüssel im Schlüsselring
des Benutzers verwendet werden. Zusätzlich darf das Erzeugen von lokalen Schlüsseln nicht verboten werden.
Falls die Medien-Passphrase-Funktion für
Unmanaged Endpoints aktiviert ist, wird der
Medienverschlüsselungsschlüssel automatisch als Für
Verschlüsselung definierter Schlüssel verwendet, da auf
Unmanaged Endpoints keine Gruppenschlüssel zur Verfügung stehen. Wenn Sie beim Erstellen einer Wechselmedien-
Richtlinie für Standalone-Endpoints einen anderen Schlüssel unter Für Verschlüsselung definierter Schlüssel auswählen, so hat dies keine Auswirkung.
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung Erklärung
Die Einstellungen werden so dargestellt, wie sie im SafeGuard Enterprise Management Center angezeigt werden.
Für Verschlüsselung definierter
Schlüssel
Klicken Sie auf die Schaltfläche [...], um den Dialog Schlüssel suchen aufzurufen. Klicken Sie auf Jetzt suchen, um nach Schlüsseln zu suchen und wählen Sie einen Schlüssel aus der angezeigten Liste aus.
Bei einer Richtlinie vom Typ Geräteschutz mit dem Ziel
Wechselmedien wird dieser Schlüssel zur Verschlüsselung des Medienverschlüsselungsschlüssel verwendet, wenn die
Medien-Passphrase-Funktionalität aktiviert ist (Benutzer darf
eine Medien-Passphrase für Wechselmedien erzeugen auf
Ja eingestellt).
Für diesen Richtlinientyp müssen Sie beide Einstellungen -
Schlüssel für die Verschlüsselung und Für Verschlüsselung
definierter Schlüssel - konfigurieren.
Richtlinien für durch SafeGuard Enterprise geschützte
Standalone-Endpoints:
Falls die Medien-Passphrase-Funktion für
Unmanaged Endpoints aktiviert ist, wird der
Medienverschlüsselungsschlüssel automatisch als Für
Verschlüsselung definierter Schlüssel verwendet, da auf
Unmanaged Endpoints keine Gruppenschlüssel zur Verfügung stehen.
Benutzer darf einen lokalen
Schlüssel erzeugen
Diese Einstellung bestimmt, ob Benutzer auf ihren Computern lokale
Schlüssel erzeugen dürfen oder nicht. Die Standardeinstellung ist Ja,
Benutzer sind berechtigt, lokale Schlüssel zu erzeugen.
Hinweis
Eine Richtlinie, die Benutzern verbietet, lokale Schlüssel zu erzeugen (Benutzer darf einen lokalen Schlüssel erzeugen auf
Nein) wird nur auf Windows Endpoints angewendet.
Lokale Schlüssel werden auf dem Endpoint basierend auf einer vom Benutzer eingegebenen Passphrase erzeugt. Die
Anforderungen, denen eine Passphrase entsprechen muss, können in Richtlinien vom Typ Passphrase festgelegt werden.
Diese Schlüssel werden ebenfalls in der Datenbank gespeichert.
Der Benutzer kann sie auf jedem Endpoint, auf dem er sich anmelden darf, verwenden.
Lokale Schlüssel können zum sicheren Datenaustausch über
SafeGuard Data Exchange (SG DX) verwendet werden. Für weitere Informationen, siehe
Volume-basierende Einstellungen
Benutzer darf dem verschlüsseltem Volume
Schlüssel hinzufügen oder diese entfernen
Ja: Endpoint-Benutzer dürfen einen zusätzlichen Schlüssel aus einem
Schlüsselbund einfügen/entfernen. Der Dialog wird angezeigt über den
Kontextmenüeintrag Eigenschaften/Verschlüsselung / Registerkarte.
Nein: Endpoint-Benutzer dürfen keine zusätzlichen Schlüssel hinzufügen.
222 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung Erklärung
Die Einstellungen werden so dargestellt, wie sie im SafeGuard Enterprise Management Center angezeigt werden.
Reaktion auf unverschlüsselte
Volumes
Benutzer darf Volume entschlüsseln
Schnelle Initialverschlüsselung
Definiert, wie SafeGuard Enterprise mit unverschlüsselten Medien umgeht:
•
•
•
Folgende Optionen stehen zur Verfügung:
Abweisen (= Klartext-Medium wird nicht verschlüsselt)
Nur unverschlüsselte Medien akzeptieren und verschlüsseln
Alle Medien akzeptieren und verschlüsseln
Bewirkt, dass der Benutzer über einen Kontextmenü-Eintrag im Windows
Explorer das Laufwerk entschlüsseln darf.
Wählen Sie diese Einstellung aus, um den Modus der schnellen
Initialverschlüsselung für die volume-basierende Verschlüsselung zu aktivieren. Dieser Modus reduziert den Zeitraum, der für die
Initialverschlüsselung auf Endpoints benötigt wird.
Hinweis
Dieser Modus kann zu einem unsicheren Zustand führen. Weitere
Informationen hierzu finden Sie in der SafeGuard Enterprise 8
Administratorhilfe .
Bei defekten Sektoren fortfahren Legt fest, ob die Verschlüsselung fortgesetzt oder gestoppt werden soll, wenn defekte Sektoren entdeckt werden. Die Standardeinstellung ist Ja.
Dateibasierende Einstellungen
Initialverschlüsselung aller
Dateien:
Bewirkt, dass die Initialverschlüsselung für ein Laufwerk automatisch nach der Benutzeranmeldung gestartet wird. Der Benutzer muss eventuell vorher einen Schlüssel aus dem Schlüsselbund auswählen.
Benutzer darf
Initialverschlüsselung abbrechen:
Erlaubt dem Benutzer die Initialverschlüsselung abzubrechen.
Benutzer darf auf unverschlüsselte Dateien zugreifen:
Benutzer darf Dateien entschlüsseln
Definiert, ob ein Benutzer auf unverschlüsselte Dateien auf einem
Laufwerk zugreifen darf.
Benutzer darf eine Medien-
Passphrase für Wechselmedien erzeugen:
Bewirkt, dass der Benutzer einzelne Dateien oder ganze Verzeichnisse entschlüsseln kann (über die Windows Explorer-Erweiterung <rechte
Maustaste>).
Bewirkt, dass der Benutzer eine Medien-Passphrase auf seinem
Computer festlegen kann. Die Medien-Passphrase ermöglicht den einfachen Zugriff auf alle lokalen Schlüssel auf Computern ohne
SafeGuard Data Exchange über SafeGuard Portable.
Copyright © Sophos Limited 223
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung Erklärung
Die Einstellungen werden so dargestellt, wie sie im SafeGuard Enterprise Management Center angezeigt werden.
SafeGuard Portable auf das Ziel kopieren
Wenn diese Option ausgewählt ist, wird SafeGuard Portable auf alle
Wechselmedien, die mit dem Endpoint verbunden werden, sowie in alle Synchronisierungsordner, die in einer Cloud Storage Definition für
SafeGuard Cloud Storage definiert sind, kopiert.
SafeGuard Portable ermöglicht den verschlüsselten
Datenaustausch mit Wechselmedien oder Cloud Storage, ohne dass der Empfänger der Daten SafeGuard Enterprise installiert haben muss.
Der Empfänger kann mit Hilfe von SafeGuard Portable und der entsprechenden Passphrase die verschlüsselten Daten entschlüsseln und auch wieder verschlüsseln. Der Empfänger kann mit SafeGuard Portable die Daten neu verschlüsseln oder den ursprünglich verwendeten Schlüssel für die Verschlüsselung verwenden.
SafeGuard Portable muss nicht auf den Computer des
Empfängers installiert oder kopiert werden, sondern kann direkt von den Wechselmedien oder von Cloud Storage aus verwendet werden.
Standardschlüssel für die
Initialverschlüsselung
Über einen Dialog kann ein Schlüssel ausgewählt werden, der für die dateibasierte Initialverschlüsselung verwendet wird. Der Benutzer kann dann beim Start der Initialverschlüsselung keinen Schlüssel wählen. Die
Initialverschlüsselung startet ohne Benutzerinteraktion.
Für die Initialverschlüsselung wird immer der hier festgelegte
Schlüssel verwendet.
Beispiel:
Voraussetzung: Ein Standardschlüssel für die
Initialverschlüsselung ist gesetzt.
Verbindet der Benutzer ein USB-Gerät mit dem Computer, startet die Initialverschlüsselung automatisch. Der definierte
Schlüssel wird benutzt. Es ist kein Benutzereingriff notwendig.
Will der Benutzer anschließend Dateien umschlüsseln oder neue Dateien auf dem USB-Medium speichern, kann er einen beliebigen Schlüssel auswählen (falls erlaubt und verfügbar).
Schließt er dann ein anderes USB-Gerät an, wird wiederum der
Schlüssel, der für die Initialverschlüsselung festgelegt wurde, zur Initialverschlüsselung verwendet. Dieser Schlüssel wird auch für folgende Verschlüsselungsoperationen verwendet, bis der
Benutzer explizit einen anderen Schlüssel auswählt.
Hinweis
Wenn die Medien-Passphrase-Funktion aktiviert ist, wird diese
Option deaktiviert. Der Für Verschlüsselung definierte Schlüssel wird verwendet.
224 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellung Erklärung
Die Einstellungen werden so dargestellt, wie sie im SafeGuard Enterprise Management Center angezeigt werden.
Klartext-Ordner
Benutzer darf über
Verschlüsselung entscheiden
Der hier angegebene Ordner wird auf allen Wechselmedien,
Massenspeichern und in allen Cloud Storage Synchronisierungsordnern erstellt. Dateien, die in diesen Ordner kopiert werden, bleiben immer unverschlüsselt.
Sie können Benutzer dazu berechtigen zu entscheiden, ob Dateien auf Wechselmedien (nur Windows) und Massenspeichergeräten verschlüsselt werden sollen:
• Wenn Sie hier Ja auswählen, werden Benutzer dazu aufgefordert zu entscheiden, ob Daten verschlüsselt werden sollen. Für
Massenspeicher wird diese Aufforderung nach jeder Anmeldung angezeigt. Für Wechselmedien wird sie angezeigt, wenn die
Wechselmedien mit dem Computer verbunden werden.
• Wenn Sie für diese Option Ja, Benutzereinstellungen merken auswählen, können die Benutzer die Option Einstellungen
speichern und Dialog nicht mehr anzeigen wählen, um ihre
Auswahl für das relevante Gerät zu speichern. In diesem Fall wird der
Dialog für das Gerät nicht mehr angezeigt.
Wenn der Benutzer im auf dem Endpoint angezeigten Dialog Nein wählt, wird weder eine initiale noch eine transparente Verschlüsselung durchgeführt.
Spezifische Computereinstellungen - Grundeinstellungen
Richtlinieneinstellungen Erklärung
Die Einstellungen werden so dargestellt, wie sie im SafeGuard Enterprise Management Center angezeigt werden.
Power-On Authentication (POA)
Power-on Authentication aktivieren Definiert, ob die SafeGuard POA ein- oder ausgeschaltet sein soll.
Wichtig
Aus Sicherheitsgründen empfehlen wir dringend, die SafeGuard POA eingeschaltet zu lassen. Durch Deaktivierung der SafeGuard
POA reduziert sich die Systemsicherheit auf den Schutz durch die Windows-Anmeldung.
Dadurch erhöht sich das Risiko des unberechtigten Zugriffs auf verschlüsselte
Daten.
Zugriff verweigern, falls keine Verbindung zum
Server in Tagen (0= keine Überprüfung)
Verweigert eine Anmeldung in der SafeGuard POA, wenn zwischen Endpoint und Server länger als festgelegt keine Verbindung bestand.
Copyright © Sophos Limited 225
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellungen
Sicheres Wake on LAN (WOL)
Anzahl der automatischen Anmeldungen
Lokale Windows-Anmeldung während WOL erlauben
Erklärung
Mit den Sicheres Wake On LAN Einstellungen können Sie Endpoints für Software Rollouts vorbereiten. Nach dem Wirksamwerden einer solchen Richtlinie auf Endpoints werden die notwendigen Parameter (z. B. SafeGuard POA-
Deaktivierung und ein Zeitabstand für Wake on
LAN) direkt an die Endpoints übertragen, wo sie analysiert werden.
Wichtig
Wir weisen an dieser Stelle ausdrücklich darauf hin, dass auch das zeitlich begrenzte
"Ausschalten" der SafeGuard POA für eine bestimmte Anzahl von Boot-Vorgängen ein
Absenken des Sicherheitsniveaus bedeutet.
Weitere Informationen zu sicherem Wake on
LAN finden Sie in der SafeGuard Enterprise 8
Administratorhilfe .
Definiert die Anzahl der Neustarts mit ausgeschalteter SafeGuard Power-on
Authentication für Wake on LAN.
Diese Einstellung überschreibt temporär die
Einstellung von Power-on Authentication
aktivieren, bis die Anzahl der eingestellten automatischen Anmeldungen erreicht ist.
Danach wird die SafeGuard Power-on
Authentication wieder aktiviert.
Wenn Sie die Anzahl an automatischen
Anmeldungen auf zwei einstellen und
Power-on Authentication aktivieren aktiv ist, startet der Endpoint zweimal ohne
Authentisierung durch die SafeGuard POA.
Wir empfehlen, für Wake on LAN immer drei Neustarts mehr als notwendig
für Wartungsarbeiten zu erlauben, um unvorhergesehene Probleme zu umgehen.
Bestimmt, ob lokale Anmeldungen an Windows während Wake-On-LAN erlaubt sind.
226 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellungen
Beginn des Zeitfensters für externen WOL Start
Ende des Zeitfensters für externen WOL
Start
Erklärung
Datum und Uhrzeit für den Beginn und das Ende des Wake on LAN (WOL) können ausgewählt oder eingegeben werden.
Datumsformat: MM/DD/YYYY
Uhrzeitformat: HH:MM
Folgende Eingabekombinationen sind möglich:
•
•
•
Beginn und Ende des WOL werden festgelegt.
Nur das Ende des WOL wird festgelegt, der Beginn bleibt offen.
Keine Einträge: Es wird kein Zeitintervall für den Client festgelegt
Bei einem geplanten Software Rollout sollte der Sicherheitsbeauftragte den Zeitrahmen für WOL so bemessen, dass das Scheduling-
Skript früh genug startet und allen Endpoints genügend Zeit zum Booten bleibt.
WOLstart: Der Startpunkt für den WOL im
Scheduling-Skript muss innerhalb des hier in der Richtlinie festgelegten Zeitintervalls liegen. Wenn kein Intervall definiert ist, wird WOL lokal am durch SafeGuard
Enterprise geschützten Endpoint nicht aktiviert. WOLstop: Dieses Kommando wird unabhängig vom hier festgelegten Endpunkt des WOL ausgeführt.
Benutzer-Computer Zuordnung (UMA)
SGN Gastbenutzer nicht zulassen
Hinweis
Diese Einstellung gilt nur für zentral verwaltete
Endpoints.
Legt fest, ob sich Gastbenutzer am Endpoint anmelden können.
Hinweis
Microsoft Konten werden immer als SafeGuard
Enterprise Gastbenutzer behandelt.
Copyright © Sophos Limited 227
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellungen Erklärung
Registrieren von neuen SGN-Benutzern erlauben Gibt an, wer einen anderen SGN-Benutzer in die
SafeGuard POA und/oder UMA importieren kann
(indem die durchgehende Anmeldung an das
Betriebssystem deaktiviert wird).
Registrierung von SGN Windows-Benutzern aktivieren
Hinweis
Bei Endpoints, auf denen das Device
Encryption-Modul nicht installiert ist, muss die
Einstellung Registrieren von neuen SGN-
Benutzern erlauben auf Jeder gesetzt sein, wenn es auf dem Endpoint möglich sein soll, der UMA mehrere Benutzer hinzuzufügen, die
Zugriff auf ihre Schlüsselringe haben sollen.
Sonst können Benutzer nur im Management
Center hinzugefügt werden. Diese Option ist wird nur auf zentral verwalteten Endpoints ausgewertet. Weitere Informationen finden Sie im Sophos Knowledegebase-Artikel 110659 .
Ist die Einstellung auf Niemand gesetzt, wird die POA nicht aktiviert. Benutzer müssen im Management Center manuell hinzugefügt werden.
Legt fest, ob SGN Windows-Benutzer auf dem
Endpoint registriert werden können. Ein SGN
Windows-Benutzer wird nicht zur SafeGuard
POA hinzugefügt, verfügt jedoch über einen
Schlüsselring, mit dem er auf verschlüsselte Dateien zugreifen kann wie ein SGN-Benutzer. Wenn Sie diese Einstellung wählen, werden alle Benutzer, die andernfalls SGN-Gast-Benutzer geworden wären, zu SGN Windows-Benutzern. Die Benutzer werden zur UMA hinzugefügt, sobald sie sich an Windows angemeldet haben.
228 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellungen
Manuelle UMA Bereinigung für Standalone
Clients aktivieren
Erklärung
Hinweis
Diese Einstellung gilt nur für Standalone-
Endpoints.
Legt fest, ob Benutzer SGN-Benutzer und
SGN Windows-Benutzer aus der Benutzer-
Computer Zuordnung entfernen dürfen.
Wenn Sie hier Ja auswählen, steht der
Befehl Benutzer-Computer Zuordnung im
System Tray Icon Menü auf dem Endpoint zur Verfügung. Mit diesem Befehl wird eine
Liste von Benutzern angezeigt, die sich bei der SafeGuard Power-on Authentication als
SGN-Benutzer und bei Windows als SGN
Windows-Benutzer anmelden können. Im angezeigten Dialog können Benutzer aus der
Liste entfernt werden. Nach dem Entfernen von SGN-Benutzern oder SGN Windows-
Benutzern, können sich diese nicht mehr an der SafeGuard Power-on Authentication oder an Windows anmelden.
Maximale Anzahl von SGN Windows - Benutzern bevor Benutzer automatisch gelöscht werden
Hinweis
Diese Einstellung gilt nur für zentral verwaltete
Endpoints.
Mit dieser Einstellung können Sie eine automatisch Bereinigung der SafeGuard
Enterprise Windows-Benutzer auf zentral verwalteten Endpoints aktiviert. Sobald der hier gesetzte Schwellwert von einem
SafeGuard Enterprise Windows-Benutzer
überschritten wird, werden alle vorhandenen
SafeGuard Enterprise Windows-Benutzer außer dem neuen aus der Benutzer-
Computer Zuordnung entfernt. Die
Standardeinstellung ist 10.
Anzeigeoptionen
Computer-Identifikation anzeigen Zeigt in der Titelleiste der SafeGuard POA entweder den Computernamen oder einen frei definierbaren
Text an.
Existiert ein Computername in den Windows-
Netzwerkeinstellungen, wird dieser in der
Grundeinstellung automatisch übernommen.
Copyright © Sophos Limited 229
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellungen
Text für Computer-Identifikation
Rechtliche Hinweise anzeigen
Text für rechtliche Hinweise
Zusätzliche Informationen anzeigen
Text für zusätzliche Informationen
Erklärung
Der Text, der in der Titelleiste der SafeGuard POA angezeigt werden soll.
Ist unter Computer-Identifikation anzeigen die Option Definierter Name ausgewählt, können Sie in diesem Eingabefeld den Text eingeben.
Zeigt eine Textbox mit frei konfigurierbarem Inhalt an, die vor der Anmeldung in der SafeGuard POA erscheint. In manchen Ländern ist das Erscheinen eines Textfelds mit bestimmtem Inhalt gesetzlich vorgeschrieben.
Die Box muss vom Benutzer bestätigt werden, bevor das System fortfährt.
Bevor Sie einen Text angeben können, muss dieser als Textelement im Richtlinien
Navigationsbereich unter Texte registriert werden.
Text, der als rechtlicher Hinweis angezeigt werden soll.
Sie können hier ein Textelement auswählen, das im Richtlinien Navigationsbereich unter
Texte registriert wurde.
Zeigt eine Textbox mit frei konfigurierbarem Inhalt an, die nach den rechtlichen Hinweisen (wenn diese aktiviert sind) erscheint.
Sie können festlegen, ob die zusätzlichen
Informationen angezeigt werden:
•
•
•
Nie
Bei jedem Systemstart
Bei jeder Anmeldung
Bevor Sie einen Text angeben können, muss dieser als Textelement im Richtlinien
Navigationsbereich unter Texte registriert werden.
Text, der als zusätzliche Information angezeigt werden soll.
Sie können hier ein Textelement auswählen, das im Richtlinien Navigationsbereich unter
Texte registriert wurde.
230 Copyright © Sophos Limited
Richtlinieneinstellungen
Anzeigedauer für zusätzliche Informationen
System Tray Icon aktivieren und anzeigen
Overlay-Symbole im Explorer anzeigen
Virtuelle Tastatur in der POA
Installationsoptionen
Deinstallation erlaubt
SafeGuard Enterprise Administratorhilfe
Erklärung
Zeitraum (in Sekunden) für die Anzeige zusätzlicher
Informationen.
Sie können hier die Anzahl der Sekunden eingeben, nach denen die Textbox für zusätzliche Informationen automatisch geschlossen wird. Der Benutzer kann die
Textbox jederzeit durch Klicken auf OK schließen.
Über das SafeGuard Enterprise System Tray Icon kann auf dem Endpoint einfach und schnell auf alle
Benutzerfunktionen zugegriffen werden. Zusätzlich können für den Benutzer Informationen über den
Status des Endpoint (neue Richtlinien erhalten usw.)
über Balloon Tool Tips ausgegeben werden.
Ja:
System Tray Icon wird im Infobereich der
Taskleiste angezeigt, der Benutzer wird über
Balloon Tool Tips laufend über den Status des durch SafeGuard Enterprise geschützten
Endpoint.
Nein:
System Tray Icon wird nicht angezeigt. Keine
Statusinformationen für den Benutzer über
Ballon Tool Tips.
Stumm:
System Tray Icon wird im Infobereich der
Taskleiste angezeigt, es werden aber keine
Statusinformationen für den Benutzer über
Ballon Tool Tips ausgegeben.
Bestimmt, ob im Windows Explorer
Schlüsselsymbole zur Anzeige des
Verschlüsselungsstatus von Volumes, Geräten,
Ordnern und Dateien angezeigt werden.
Bestimmt, ob im SafeGuard POA-Anmeldedialog bei Bedarf eine virtuelle Tastatur zur Eingabe des
Kennworts angezeigt werden kann.
Bestimmt, ob die Deinstallation von SafeGuard
Enterprise auf den Endpoints möglich ist. Wird
Deinstallation erlaubt auf Nein gesetzt, kann
SafeGuard Enterprise solange eine Richtlinie mit dieser Einstellung wirksam ist, auch mit
Administratorrechten nicht deinstalliert werden.
Copyright © Sophos Limited 231
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellungen
Sophos Manipulationsschutz aktivieren
Erklärung
Aktiviert/deaktiviert die Funktion Sophos
Manipulationsschutz. Wenn Sie die
Deinstallation von SafeGuard Enterprise
über die Richtlinieneinstellung Deinstallation
erlaubt als zulässig definiert haben, können Sie diese Richtlinieneinstellung auf Ja setzen, um
Deinstallationsvorgänge durch die Funktion Sophos
Manipulationsschutz überprüfen zu lassen und somit ein leichtfertiges Entfernen der Software zu verhindern.
Erlaubt die Funktion Sophos
Manipulationsschutz die Deinstallation nicht, wird der Deinstallationsvorgang abgebrochen.
Ist Sophos Manipulationsschutz aktivieren auf Nein eingestellt, werden SafeGuard
Enterprise Deinstallationsvorgänge durch die
Funktion Sophos Manipulationsschutz weder geprüft noch verhindert.
Hinweis
Diese Einstellung gilt nur für Endpoints, auf denen Sophos Endpoint Security and Control in der Version 9.5 oder einer neueren Version installiert ist.
Einstellungen für Credential Providers
232 Copyright © Sophos Limited
Richtlinieneinstellungen
Credential Provider Wrapping
Einstellungen für die Tokenunterstützung
SafeGuard Enterprise Administratorhilfe
Erklärung
In SafeGuard Enterprise können Sie konfigurieren, dass ein anderer Credential Provider als der
Windows Credential Provider verwendet wird.
Vorlagen für die unterstützten Credential Provider stehen auf www.sophos.com zum Download zur
Verfügung. Eine Liste mit Vorlage für getestete
Credential Provider sowie die Information zum
Download erhalten Sie vom Sophos Support.
Mit Hilfe der Richtlinieneinstellung
Credential Provider können Sie eine
Vorlage importieren und auf Endpoints anwenden. Klicken Sie auf Vorlage
importieren und suchen Sie nach der
Vorlagendatei. Die importierte Vorlage und deren Inhalt werden im mehrzeiligen Feld
Credential Providerangezeigt und als
Richtlinie eingestellt.
Um eine Vorlage zu löschen, klicken Sie auf
Vorlage löschen.
Hinweis
Bearbeiten Sie die bereitgestellten
Vorlagendateien nicht. Wenn die XML-Struktur dieser Dateien geändert wird, werden die
Einstellungen unter Umständen auf dem
Endpoint nicht erkannt. Dann wird unter
Umständen der Standard Windows Credential
Provider verwendet.
Die Konfiguration erfordert in der Regel eine Projektunterstützung von Sophos
Professional Services. Bitte wenden Sie sich an den Sophos Support.
Copyright © Sophos Limited 233
SafeGuard Enterprise Administratorhilfe
Richtlinieneinstellungen
Token Middleware Modulname
234
Erklärung
Registriert das PKCS#11 Modul eines Token.
Folgende Optionen stehen zur Verfügung:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
• ActiveIdentity ActivClient
• ActiveIdentity ActivClient (PIV)
AET SafeSign Identity Client
Aladdin eToken PKI Client a.sign Client
ATOS CardOS API
Charismathics Smart Security Interface
Estonian ID-Card
Gemalto Access Client
Gemalto Classic Client
Gemalto .NET Card
IT Solution trustware CSP+
Módulo PKCS#11 TC-FNMT
Nexus Personal
RSA Authentication Client 2.x
RSA Smart Card Middleware 3.x
Siemens CardOS API
T-Systems NetKey 3.0
Unizeto proCertum
Benutzerdefinierte PKCS#11
Einstellungen...
Wenn Sie Benutzerdefinierte PKCS#11
Einstellungen... auswählen, werden die Benutzerdefinierten PKCS#11
Einstellungen aktiviert.
Sie können dann die zu verwendenden
Modulnamen eingeben:
— PKCS#11 Modul für Windows
— PKCS#11 Modul für die SafeGuard Poweron Authentication (POA)
Hinweis
Wenn Sie Nexus Personal oder
Gemalto .NET Card Middleware installieren, müssen Sie den
Installationspfad der Middleware auch zur PATH-Umgebungsvariable der
Systemeigenschaften Ihres Computers hinzufügen.
• Standard-Installationspfad für
Gemalto .NET Card: C:\Programme
\ Gemalto\PKCS11 for .NET V2 smart cards
• Copyright © Sophos Limited
Personal: C:\Programme\Personal
\bin
Lizenzen:
Beachten Sie, dass für die Benutzung der jeweiligen Middleware für das Standard-
Betriebssystem eine Lizenzvereinbarung mit dem jeweiligen Hersteller erforderlich ist.
Weitere Informationen finden Sie im Sophos
Knowledegebase-Artikel 116585 .
Wenn Sie Siemens-Lizenzen erwerben möchten, wenden Sie sich an:
Atos IT Solutions and Services GmbH
Otto-Hahn-Ring 6
D-81739 München
Germany
Richtlinieneinstellungen
Dienste, auf die gewartet wird
SafeGuard Enterprise Administratorhilfe
Erklärung
Diese Einstellung dient zur Problembehebung mit bestimmten Token. Entsprechende Einstellungen werden gegebenenfalls von unserem Support bekannt gegeben.
Protokollierung bei Windows Endpoints
Ereignisse für SafeGuard Enterprise können in der Windows-Ereignisanzeige oder in der SafeGuard
Enterprise Datenbank protokolliert werden. Um festzulegen, welche Ereignisse an welchem Ziel protokolliert werden sollen, erstellen Sie eine Richtlinie vom Typ Protokollierung und wählen Sie die gewünschten Ereignisse per Mausklick aus.
Es steht eine Vielzahl von Ereignissen aus unterschiedlichen Kategorien (z. B. Anmeldung,
Verschlüsselung usw.) zur Auswahl zur Verfügung. Es ist daher empfehlenswert, eine
Vorgehensweise für die Protokollierung zu definieren und die notwendigen Ereignisse unter
Berücksichtigung der Anforderungen für Berichte und Audits festzulegen.
Für weitere Informationen, siehe Berichte
(Seite 168).
3.8.18 So reparieren Sie eine beschädigte Management Center
Installation:
Eine beschädigte Installation des SafeGuard Management Center kann repariert werden wenn die
Datenbank intakt ist. Installieren Sie in diesem Fall das SafeGuard Management Center neu und verwenden Sie dabei die bestehende Datenbank sowie das gesicherte Zertifikat für den Haupt-
Sicherheitsbeauftragten.
• Das Unternehmenszertifikat und das Haupt-Sicherheitsbeauftragten-Zertifikat der betreffenden
Datenbankkonfiguration müssen als .p12 Dateien exportiert worden sein. Die Dateien müssen verfügbar und gültig sein.
• Die Kennwörter für die .p12 Dateien sowie für den Zertifikatsspeicher müssen Ihnen bekannt sein.
So reparieren Sie eine beschädigte SafeGuard Management Center Installation:
1. Installieren Sie das SafeGuard Management Center Installationspaket neu. Öffnen Sie das
SafeGuard Management Center. Der Konfigurationsassistent wird automatisch geöffnet.
2. Wählen Sie unter Datenbankverbindung den relevanten Datenbankserver und konfigurieren Sie, falls erforderlich, die Verbindung zur Datenbank. Klicken Sie auf Weiter.
3. Aktivieren Sie unter Datenbankeinstellungen die Option Folgende bestehende Datenbank
verwenden und wählen Sie die Datenbank aus der Liste aus.
4. Führen Sie unter Daten des Sicherheitsbeauftragten einen der folgenden Schritte aus:
• Wenn die gesicherte Zertifikatsdatei auf dem Computer gefunden wird, wird sie angezeigt.
Geben Sie das Kennwort ein, das Sie zur Anmeldung an das SafeGuard Management
Center benutzen.
• Wird die gesicherte Zertifikatsdatei nicht auf dem Computer gefunden, wählen Sie
Importieren. Suchen Sie nach der gesicherten Zertifikatsdatei und klicken Sie auf Öffnen.
Geben Sie das Kennwort für die Zertifikatsdatei ein. Klicken Sie auf Ja. Geben Sie ein
Kennwort für die Anmeldung am SafeGuard Management Center ein und bestätigen Sie es.
5. Klicken Sie auf Weiter und dann auf Fertig stellen, um die Konfiguration des SafeGuard
Management Center abzuschließen.
Copyright © Sophos Limited 235
SafeGuard Enterprise Administratorhilfe
Die SafeGuard Management Center Installation ist repariert.
3.8.19 Fehlerbehebung
Fehlercodes
SGMERR-Codes in der Windows-Ereignisanzeige
In der Windows-Ereignisanzeige könnten Sie folgende Meldung finden:
"Authorization for SafeGuard Enterprise Administration failed for user... Grund:
SGMERR[536870951]"
Welche Bedeutung die Nummer “536870951” hat, finden Sie in dieser Tabelle. Nummer
“536870951” bedeutet zum Beispiel “Die angegebene PIN ist falsch, der Benutzer konnte nicht authentisiert werden".
1205
1206
1207
1208
1209
1210
1211
1212
1301
1302
1303
50
101
102
103
1201
1202
1203
1204
23
24
25
26
Fehler-ID
0
21
22
Anzeige
OK
Interner Fehler entdeckt
Modul nicht initialisiert
Datei I/O Fehler entdeckt
Speicher kann nicht zugewiesen werden
Datei I/O Lesefehler
Datei I/O Schreibfehler
Keine Operation durchgeführt
Allgemeiner Fehler
Zugriff verweigert
Datei existiert bereits
Registry Eintrag konnte nicht geöffnet werden.
Registry Eintrag konnte nicht gelesen werden.
Registry Eintrag konnte nicht geschrieben werden.
Registry Eintrag konnte nicht entfernt werden.
Registry Eintrag konnte nicht erzeugt werden.
Kein Zugriff auf einen Systemdienst oder Treiber möglich.
Ein Systemdienst oder Treiber konnte nicht in der Registry eingetragen werden.
Ein Systemdienst oder Treiber konnte nicht aus der Registry entfernt werden.
Ein Systemdienst oder Treiber ist bereits in der Registry eingetragen.
Kein Zugriff auf den Service Control Manager möglich.
Ein Eintrag für eine Session konnte in der Registry nicht gefunden werden.
Ein Registry Eintrag ist ungültig oder falsch.
Der Zugriff auf ein Laufwerk ist fehlgeschlagen.
Keine Informationen über ein Laufwerk vorhanden.
Kein Zugriff auf ein Volume möglich.
236 Copyright © Sophos Limited
Fehler-ID
1304
1305
1306
1307
1308
1309
1310
1311
1451
1452
1453
1454
1455
1456
1457
1458
1355
1401
1402
1403
1404
1405
1406
1407
1312
1313
1314
1315
1316
1317
1318
1319
1330
1351
1352
1353
1354
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Anzeige
Ungültige Option definiert.
Unzulässiges Dateisystem.
Das existierende Dateisystem auf einem Volume und das definierte sind unterschiedlich.
Die vorhandene Größe eines Dateisystem-Clusters und die definierte Größe sind unterschiedlich.
Unzulässige Sektorgröße eines Dateisystems definiert.
Unzulässiger Startsektor definiert.
Unzulässiger Partitionstyp definiert.
Es konnte kein unfragmentierter, unbenutzter Bereich der erforderlichen Größe auf einem Volume gefunden werden.
Dateisystem Cluster konnten nicht als benutzt markiert werden.
Dateisystem Cluster konnten nicht als benutzt markiert werden.
Dateisystem Cluster konnten nicht als unbenutzt markiert werden.
Dateisystem Cluster konnten nicht als BAD markiert werden.
Es existieren keine Informationen über die Cluster eines Dateisystems.
Der als BAD markierte Bereich auf einem Volume konnte nicht gefunden werden.
Unzulässige Größe eines Bereichs auf einem Volume definiert.
Der MBR Sektor einer Festplatte konnte nicht ersetzt werden.
Ein falsches Kommando für eine Allokierung oder Deallokierung definiert.
Unzulässiger Algorithmus definiert.
Der Zugriff auf den Systemkern ist fehlgeschlagen.
Es ist kein Systemkern installiert.
Beim Zugriff auf den Systemkern ist ein Fehler aufgetreten.
Unzulässige Änderung der Systemeinstellungen.
Auf ein Laufwerk konnten keine Daten geschrieben werden.
Von einem Laufwerk konnten keine Daten gelesen werden.
Der Zugriff auf ein Laufwerk ist fehlgeschlagen.
Unzulässiges Laufwerk.
Änderung der Zugriffsposition auf einem Laufwerk ist fehlgeschlagen.
Laufwerk ist nicht bereit.
Unmount eines Laufwerks ist fehlgeschlagen.
Datei konnte nicht geöffnet werden.
Datei konnte nicht gefunden werden.
Unzulässiger Dateipfad definiert.
Datei konnte nicht erzeugt werden.
Datei konnte nicht kopiert werden.
Keine Informationen über ein Laufwerk vorhanden.
Die Position in einer Datei konnte nicht geändert werden.
Das Lesen von einer Datei ist fehlgeschlagen.
237
2852
2853
2854
20001
20002
20003
20004
30050
1516
1517
1518
1519
1520
1550
2850
2851
30051
30052
30053
1503
1504
1505
1506
1510
1511
1512
1513
1514
1515
Fehler-ID
1459
1460
1461
1462
1463
1501
1502
30054
SafeGuard Enterprise Administratorhilfe
Anzeige
Es konnten keine Daten in eine Datei geschrieben werden.
Eine Datei konnte nicht entfernt werden.
Unzulässiges Dateisystem.
Datei konnte nicht geschlossen werden.
Kein Zugriff auf eine Datei möglich.
Nicht genug Speicher vorhanden.
Unzulässiger oder falscher Parameter definiert.
Ein Puffer für Daten ist zu klein.
Ein DLL-Modul konnte nicht geladen werden.
Eine Funktion oder ein Prozess wurde abgebrochen.
Kein Zugriff erlaubt.
Es ist kein Systemkern installiert.
Ein Programm konnte nicht gestartet werden.
Eine Funktion, ein Objekt oder Daten sind nicht vorhanden.
Unzulässiger Eintrag.
Ein Objekt existiert bereits.
Unzulässiger Funktionsaufruf.
Es ist ein interner Fehler aufgetreten.
Es ist eine Zugriffsverletzung aufgetreten.
Funktion oder Modus wird nicht unterstützt.
Deinstallation ist fehlgeschlagen.
Es ist ein Ausnahmefehler aufgetreten.
Der MBR Sektor der Festplatte konnte nicht ersetzt werden.
Taskplaner-Dienst wurde wegen eines Ausnahmefehlers angehalten.
Task-Planer Task erfolgreich ausgeführt
Task-Planer Task fehlgeschlagen
Task-Planer Task erzeugt oder geändert
Task-Planer Task gelöscht
Unbekannt
Prozess beendet
Datei nicht verifiziert
Ungültige Richtlinie
Die Anweisung Öffnen war nicht erfolgreich
Nicht genug Speicherplatz
Allgemeiner Fehler in der Prozess-Kommunikation
Auf eine Ressource kann nicht zugegriffen werden. Das ist ein temporärer Zustand und ein späterer Versuch könnte erfolgreich beendet werden.
Allgemeiner Kommunikationsfehler
238 Copyright © Sophos Limited
30072
30073
30074
30075
30076
30077
30062
30063
30064
30065
30066
30067
30068
30069
30070
30071
Fehler-ID
30055
30056
30057
30058
30059
30060
30061
30078
30079
30080
30081
30082
30083
30084
30085
30086
30087
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Anzeige
Unerwarteter Rückgabewert
Kein Kartenlesegerät angeschlossen
Zwischenspeicher überfüllt
Karte ist nicht in Betrieb
Eine Zeitüberschreitung ist eingetreten
Unerlaubter Kartentyp
Die gewünschte Funktionsart wird nicht unterstützt /zu dieser Zeit / In dieser OS / in dieser Situation.
Ungültiger Treiber
Die Firmware der angeschlossenen Hardware ist von dieser Software nicht nutzbar
Öffnen der Datei ist fehlgeschlagen
Datei nicht gefunden
Karte nicht eingeführt
Unzulässiges Argument
Die Semaphore wird derzeit verwendet.
Die Semaphore ist momentan in Benutzung
Allgemeiner Fehler.
Sie haben momentan nicht die Rechte, die angefragte Aktion durchzuführen.
Normalerweise ist es notwendig zuvor ein Kennwort einzugeben.
Der Service ist momentan nicht verfügbar.
Ein Element ( z. B. ein Schlüssel mit einem bestimmten Namen ) konnte nicht gefunden werden.
Das angegebene Kennwort ist falsch.
Das Kennwort wurde mehrere Male falsch eingegeben und ist daher geblockt. Benutzen
Sie ein Verwaltungstool, um dieses zu entsperren.
Die Identität stimmt nicht mit der definierten Identitäts-Gegenprobe überein.
Mehrere Fehler sind aufgetreten. Benutzen Sie diesen Fehlercode, wenn dies die einzige Möglichkeit ist, einen Fehlercode zu erhalten, aber vorher verschiedene Fehler aufgetreten sind.
Einige Elemente sind noch vorhanden, daher kann z. B. die Verzeichnisstruktur etc.
nicht gelöscht werden.
Fehler während des Konsistenztestes
Die ID ist auf der Schwarzen Liste. Die angefragte Aktion ist daher nicht erlaubt.
Ungültiges Handle
Ungültige Konfigurationsdatei
Abschnitt nicht gefunden.
Eintrag nicht gefunden.
Keine weiteren Abschnitte vorhanden.
Ende der Datei erreicht.
Der angegebene Element existiert bereits.
239
SafeGuard Enterprise Administratorhilfe
352321640
352321641
352321642
352321643
352321644
352321645
352321646
352321647
352321648
352321649
352321650
352321651
385875969
402653185
402653186
402653187
402653188
402653189
402653190
402653191
402653192
Fehler-ID
30088
30089
30090
30091
30092
30093
30094
30095
30096
30097
12451840
12451842
12451842
12451843
352321637
352321638
352321639
Anzeige
Das Kennwort ist zu kurz.
Das Kennwort ist zu lang.
Ein Element ( z. B. ein Zertifikat ) ist abgelaufen.
Das Kennwort ist nicht gesperrt.
Der Pfad konnte nicht gefunden werden.
Das Datenverzeichnis ist nicht leer.
Keine weiteren Daten verfügbar
Auf dem Medium ist kein Speicherplatz mehr verfügbar.
Eine Operation wurde abgebrochen.
Read Only Daten; eine Schreiboperation ist fehlgeschlagen.
Der Schlüssel ist nicht verfügbar.
Der Schlüssel ist nicht definiert.
Zugriff auf unverschlüsseltes Medium verweigert.
Zugriff auf unverschlüsseltes Medium verweigert, wenn nicht es nicht leer ist.
Die Datei ist nicht verschlüsselt.
Der Schlüssel ist nicht verfügbar.
Der richtige Schlüssel ist nicht verfügbar.
Checksummenfehler im Datei-Header.
Fehler in CBI-Funktion.
Ungültiger Dateiname.
Fehler beim Lesen/Schreiben der temporären Datei.
Zugriff auf unverschlüsselte Dateien ist nicht erlaubt.
Key Storage Area (KSA) voll.
Die Datei ist bereits mit einem anderen Algorithmus verschlüsselt.
Datei ist mit NTFS komprimiert und kann daher nicht verschlüsselt werden!
Datei ist mit EFS verschlüsselt!
Ungültiger Datei-Besitzer!
Ungültiger Dateiverschlüsselungsmodus!
Fehler im CBC-Handling!
Integrität verletzt.
Das Token enthält keine Berechtigungen.
Berechtigungen können nicht auf das Token geschrieben werden.
TDF-Tag konnte nicht angelegt werden.
TDF-Tag enthält die angeforderten Daten nicht.
Das Objekt existiert bereits auf dem Token.
Kein gültiger Slot gefunden.
Seriennummer konnte nicht gelesen werden
Verschlüsselung des Tokens ist gescheitert.
240 Copyright © Sophos Limited
Fehler-ID
402653193
536870913
536870914
536870915
536870916
536870917
536870918
536870919
536870920
536870921
536870922
536870923
536870924
536870925
536870926
536870927
536870928
536870929
536870930
536870931
536870932
536870933
536870934
536870935
536870936
536870937
536870938
536870939
536870940
536870941
536870942
536870943
536870945
536870946
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Anzeige
Entschlüsselung des Tokens ist gescheitert.
Die Schlüsseldatei enthält eine ungültige Daten.
Teile des RSA-Schlüsselpaares sind ungültig.
Das Schlüsselpaar konnte nicht importiert werden.
Das Format der Schlüsseldatei ist ungültig.
Keine Daten verfügbar.
Der Import des Zertifikates ist fehlgeschlagen, da das Zertifikat bereits existiert.
Das Modul ist bereits initialisiert worden.
Das Modul ist nicht initialisiert worden.
Die ASN.1-Verschlüsselung ist fehlerhaft.
Fehlerhafte Datenlänge.
Fehlerhafte Signatur.
Fehlerhafter Verschlüsselungsmechanismus angewandt.
Diese Version wird nicht unterstützt.
Padding Fehler.
Ungültige Flags.
Das Zertifikat ist abgelaufen und nicht länger gültig.
Unkorrekte Zeitangabe. Zertifikat noch nicht gültig.
Das Zertifikat ist entzogen worden.
Die Zertifikats-Kette ist ungültig.
Die Zertifikats-Kette konnte nicht erstellt werden.
CDP konnte nicht kontaktiert werden.
Ein Zertifikat, welches nur als End-Dateneinheit genutzt werden kann, ist als CA oder umgekehrt genutzt worden.
Probleme mit der Gültigkeitslänge der Zertifikate in der Kette.
Fehler bei der Öffnung der Datei.
Fehler beim Lesen einer Datei.
Ein oder mehrere Parameter, die an die Funktion übergeben worden sind, sind nicht korrekt.
Die Ausgabe der Funktion passt nicht in den zur Verfügung gestellten Puffer.
Ein Problem mit dem Token und/oder Slot ist aufgetaucht.
Der Token hat nicht genug Speicherkapazität, um die gewünschte Funktion auszuführen.
Der Token ist aus dem Slot entfernt worden, während die Funktion ausgeführt wurde.
Die gewünschte Funktion konnte nicht ausgeführt werden, es liegen aber keine detaillierten Informationen über den Grund der Fehlermeldung vor.
Der Computer auf dem die CBI Sammlung läuft, besitzt ungenügenden Speicher, um die gewünschte Funktion auszuführen. Im schlechtesten Fall könnte es sein, dass die
Funktion nur teilweise erfolgreich durchgeführt wird.
Eine gewünschte Funktion wird nicht vom CBI-Archiv unterstützt.
241
SafeGuard Enterprise Administratorhilfe
536870962
536870963
536870964
536870965
536870966
536870967
536870968
536870969
536870970
536870971
536870972
536870973
536870974
Fehler-ID
536870947
536870948
536870949
536870950
536870951
536870952
536870953
536870954
536870955
536870956
536870957
536870958
536870959
536870960
536870961
Anzeige
Es wurde versucht, einen Wert für ein Objekt einzustellen, welches nicht eingestellt oder abgeändert werden kann.
Ein ungültiger Wert wurde für ein Objekt angegeben.
Es wurde versucht, den Wert eines Objektes zu erlangen, was jedoch fehlschlug, da es sich um ein sensibles Objekt handelt bzw. es nicht extrahierbar ist.
Die angegebene OIN Lust abgelaufen. (Ob eine PIN eines normalen Benutzers auf einem ausgegebenen Token jemals abläuft, variiert von Token zu Token.)
Die angegebene PIN abgelaufen. Der Benutzer konnte nicht authentisiert werden.
Die angegebene PIN enthält ungültige Zeichen. Dieser Antwort-Code wird nur für
Funktionen angewandt, die versuchen, eine PIN einzurichten.
Die angegebene PIN ist zu lang oder zu kurz. Dieser Antwort-Code wird nur für
Funktionen angewandt, die versuchen, eine PIN einzurichten.
Die angegebene PIN ist geblockt und kann nicht genutzt werden. Dies tritt auf, weil eine gewisse Anzahl an fehlgeschlagenen Versuchen zur Authentisierung aufgetreten ist und der Token weitere Versuche zur Authentisierung ablehnt.
Die angegebene Slot ID ist ungültig.
Der Token war zu dem Zeitpunkt, als die Funktion angefragt wurde nicht in seinem Slot.
Das CBI Archiv und/oder der Slot konnte keinen Token im Slot erkennen.
Die angefragte Aktion kann nicht durchgeführt werden, da der Token schreibgeschützt ist.
Der angegebene Benutzer kann nicht angemeldet werden, da dieser Benutzername bereits zu einer Sitzung angemeldet ist.
Der angegebene Benutzer kann nicht angemeldet werden, da ein anderer Benutzer bereits zur Sitzung angemeldet ist.
Die gewünschte Aktion kann nicht ausgeführt werden, da der geeignete Benutzer (oder ein geeigneter Benutzer) nicht angemeldet ist. Zum Beispiel kann die Abmeldung von der Sitzung nicht vor der Anmeldung liegen.
Die normale Benutzer PIN ist nicht mit CBIInitPin initialisiert.
Es wurde versucht, gleichzeitig mehrere verschiedene Benutzer auf dem Token anzumelden, was der Token und/oder das Archiv zugelassen haben.
Ein ungültiger Wert wurde als CBIUser angegeben. Gültige Typen sind in ASCI11 User
Types definiert.
Ein Objekt mit der angegebenen Kennzeichnung konnte auf dem Token nicht gefunden werden.
Eine Zeitüberschreitung ist aufgetreten.
Diese Version der IE ist nicht unterstützt.
Authentisierung fehlgeschlagen.
Das Root-Zertifikat ist gesichert.
Keine CRL gefunden.
Keine aktive Internetverbindung vorhanden.
Es befindet sich ein Fehler im Zeitwert eines Zertifikates.
Das Zertifikat konnte nicht verifiziert werden.
Der Aufhebungsstatus dieses Zertifikates ist unbekannt.
242 Copyright © Sophos Limited
Fehler-ID
536870975
536870976
536870977
536870978
536870979
536870980
536870981
536870982
536870983
536870984
536870985
536870986
536870987
536870988
536870989
536870990
536870991
536870992
536870993
536870994
536870995
536870996
536870997
536870998
536870999
536871000
536871001
536871002
536871003
536871004
805306369
805306370
805306371
805306372
805306373
805306374
805306375
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Anzeige
Das Modul wird beendet. Keine weiteren Anfragen gestattet.
Es ist ein Fehler während einer Netzwerkfunktion aufgetreten.
Ein ungültiger Aufruf einer Funktion ist empfangen worden.
Ein Objekt konnte nicht gefunden werden.
Eine Terminal Server Sitzung wurde unterbrochen.
Ungültige Handlung.
Das Objekt ist in Benutzung.
Der Zufallszahlengenerator wurde nicht initialisiert. (CBIRNDInit ( ) wurde nicht angefragt.)
Unbekannter Befehl (siehe CBIControl ( )).
UNICODE wird nicht unterstützt.
Der Zufallszahlengenerator benötigt einen größeren Startwert (seed).
Das Objekt existiert bereits.
Falsche Algorithmus Kombination. (Siehe CBIRecrypt ( )).
Das Cryptoki-Modul (PKCS#11) ist nicht initialisiert.
Das Cryptoki-Modul (PKCS#11) ist bereits initialisiert.
Das Cryptoki-Modul (PKCS#11) konnte nicht geladen werden.
Zertifikat nicht gefunden.
Nicht vertrauenswürdig.
Ungültiger Schlüssel.
Der Schlüssel ist nicht exportierbar.
Der angegebene Algorithmus wird momentan nicht unterstützt.
Der angegebene Entschlüsselungsmodus wird nicht unterstützt.
Ein Fehler in der GSENC Sammlung ist aufgetreten.
Format der Datenabfrage ist nicht bekannt.
Das Zertifikat hat keinen privaten Schlüssel.
Ungültige Konfiguration
Eine Operation ist aktiv.
Ein Zertifikat in der Kette ist zeitlich nicht verschachtelt.
Die CRL konnte nicht ersetzt werden.
Die BENUTZER-PIN wurde bereits initialisiert.
Sie haben keine ausreichenden Rechte, um diese Aktion auszuführen. Zugriff verweigert
Ungültige Handlung.
Ungültiger Parameter in Benutzung
Das Objekt existiert bereits.
Das Objekt konnte nicht gefunden werden.
Datenbank-Ausnahme aufgetreten.
Die Aktion wurde vom Benutzer abgebrochen.
243
805306397
805306398
805306399
805306400
805306401
805306402
805306403
805306404
Fehler-ID
805306376
805306377
805306378
805306379
805306380
805306381
805306382
805306383
805306384
805306385
805306386
805306387
805306388
805306389
805306390
805306391
805306392
805306393
805306394
805306395
805306396
SafeGuard Enterprise Administratorhilfe
Anzeige
Das Token ist keinem bestimmten Benutzer zugewiesen.
Das Token ist mehr als einem Benutzer zugewiesen.
Das Token konnte nicht in der Datenbank gefunden werden.
Das Token wurde erfolgreich gelöscht und aus der Datenbank entfernt.
Das Token konnte in der Datenbank nicht eindeutig identifiziert werden.
Die Richtlinie ist einer Richtlinien-Gruppe zugewiesen. Um die Richtlinie zu löschen, muss diese Zuweisung aufgehoben werden.
Die Richtlinie ist einer OU zugewiesen. Bitte entfernen Sie zuerst die Zuweisung.
Das Zertifikat dieses Beauftragten ist ungültig.
Das Zertifikat dieses Beauftragten ist abgelaufen.
Der Beauftragte konnte nicht in der Datenbank gefunden werden.
Der gewählte Beauftragte ist nicht eindeutig.
Der Beauftragte ist gesperrt und kann nicht authentisiert werden.
Der Beauftragte ist nicht mehr oder noch nicht gültig.
Der Beauftragte konnte nicht authentisiert werden - Anfrage außerhalb der gestatteten
Arbeitszeiten.
Ein Beauftragter kann sich nicht selbst löschen.
Der Haupt-Sicherheitsbeauftragte kann nicht gelöscht werden, da ein zweiter Haupt-
Sicherheitsbeauftragte zur zusätzlichen Authentisierung erforderlich ist.
Der Sicherheitsbeauftragte kann nicht gelöscht werden, da ein zweiter
Sicherheitsbeauftragte zur zusätzlichen Authentisierung erforderlich ist.
Der Prüfungsbeauftragte kann nicht gelöscht werden, da ein weiterer
Prüfungsbeauftragter zur zusätzlichen Authentisierung erforderlich ist.
Der Recovery-Beauftragte kann nicht gelöscht werden, da ein Recovery-Beauftragter zur zusätzlichen Authentisierung erforderlich ist.
Der Beratungsbeauftragte kann nicht gelöscht werden, da ein Beratungsbeauftragter zur zusätzlichen Authentisierung erforderlich ist.
Die Funktion des Haupt- Sicherheitsbeauftragten kann nicht entfernt werden, da ein zweiter Haupt-Sicherheitsbeauftragter zur zusätzlichen Authentisierung erforderlich ist.
Die Funktion des Sicherheitsbeauftragten kann nicht entfernt werden, da ein
Sicherheitsbeauftragter zur zusätzlichen Authentisierung erforderlich ist.
Die Funktion des Prüfungsbeauftragten kann nicht entfernt werden, da ein
Prüfungsbeauftragter zur zusätzlichen Authentisierung erforderlich ist.
Die Funktion des Wiederherstellungsbeauftragten kann nicht entfernt werden, da ein
Recovery-Beauftragter zur zusätzlichen Authentisierung erforderlich ist.
Die Funktion des Beratungsbeauftragten kann nicht entfernt werden, da ein
Beratungsbeauftragter zur zusätzlichen Authentisierung erforderlich ist.
Ein zusätzlicher Beauftragter mit der gewünschten Funktion ist zur zusätzlichen
Authentisierung nicht verfügbar.
Ereignisanzeige
Integrität des zentralen Ereignisprotokolls erfolgreich verifiziert.
Integrität verletzt! Ein oder mehrere Ereignisse wurden vom Beginn der Kette entfernt.
244 Copyright © Sophos Limited
805306422
805306423
805306424
805306425
805306426
805306427
805306428
805306429
805306430
805306431
805306432
805306433
805306435
Fehler-ID
805306405
805306406
805306407
805306408
805306409
805306410
805306411
805306412
805306413
805306414
805306415
805306416
805306417
805306418
805306419
805306420
805306421
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Anzeige
Integrität verletzt! Ein oder mehrere Ereignisse sind in der Kette entfernt worden. Die
Mitteilung bei der der Bruch der Kette entdeckt worden ist, ist hervorgehoben.
Integrität verletzt! Ein oder mehrere Ereignisse wurden vom Ende der Kette entfernt.
Exportieren der Ereignisse in Datei fehlgeschlagen. Grund:
Die momentane Ansicht enthält ungesicherte Daten. Möchten Sie die Änderungen speichern, bevor Sie die Ansicht verlassen?
Die Datei konnte nicht geladen werden, oder die Datei ist beschädigt. Grund:
Die Integrität des Protokolls ist verletzt worden! Ein oder mehrere Ereignisse sind entfernt worden.
Sollen die Ereignisse in einer Datei gesichert werden, bevor sie gelöscht werden?
Anzeige der Aufträge
CRL mehrfach in der Datenbank gefunden. CRL konnte nicht gelöscht werden.
CRL nicht in der Datenbank gefunden.
Der Benutzer, dem das Zertifikat zugewiesen werden sollte, konnte nicht in der
Datenbank gefunden werden.
Ein P7 Blob ist für eine Zertifikats-Zuweisung zwingend erforderlich.
Der Benutzer, dem das Zertifikat zugewiesen werden sollte, ist nicht eindeutig benannt.
Die Zertifikats-Zuweisung kann nicht gefunden werden.
Die Zuweisung des Zertifikats ist nicht eindeutig. Es ist nicht klar, welche Zuweisung entfernt werden soll.
Der Benutzer für den das Zertifikat erstellt werden soll, konnte nicht in der Datenbank gefunden werden.
Der Benutzer für den das Zertifikat erstellt werden soll, kann nicht eindeutig benannt werden.
Das Zertifikat wurde bereits einem anderen Benutzer zugeordnet. Ein Zertifikat kann nur einem Benutzer zugeordnet werden.
Der Computer, dem das Zertifikat zugewiesen werden soll, konnte nicht in der
Datenbank gefunden werden.
Der Computer, dem das Zertifikat zugewiesen werden soll, konnte nicht eindeutig identifiziert werden.
Importierte Zertifikate können nicht durch SGN erneuert werden.
Inkonsistente Zertifikatsdaten während der Erneuerung
Die Erneuerung des Zertifikats wurde nicht von einem Sicherheitsbeauftragten genehmigt.
Fehler beim Löschen des Token
Das Zertifikat kann nicht vom Token gelöscht werden, denn es wurde für die
Authentisierung des aktuellen Benutzers verwendet.
Ein Systemzugang mit diesem Namen existiert bereits. Bitte wählen Sie einen anderen
Namen.
Dem Sicherheitsbeauftragen sind keine Rollen zugewiesen. Anmeldung nicht möglich.
Die Lizenz wurde verletzt.
Es wurde keine Lizenz gefunden.
Fehlender oder ungültiger Protokolldateipfad
245
3758096389
3758096390
3758096391
3758096392
3758096393
3758096394
3758096395
3758096396
3758096397
3758096398
3758096399
Fehler-ID
2415919104
2415919105
2415919106
2415919107
2415919108
2415919109
2415919110
2415919111
2415919112
2415919113
3674210305
3674210306
3674210307
3758096385
3758096386
3758096387
3758096388
3758096400
3758096401
3758096402
4026531840
4026531841
4026531842
4026531843
4026531844
4026531845
SafeGuard Enterprise Administratorhilfe
Anzeige
Es wurde keine Richtlinie gefunden.
Keine Konfigurationsdatei verfügbar!
Keine Verbindung zum Server.
Keine weiteren Datenpakete vorhanden.
Ungültige Priorität beim Senden zum Server!
Es stehen noch Daten zur Verarbeitung an.
Die Autoregistrierung ist noch nicht beendet.
Datenbank Anmeldung fehlgeschlagen.
Falsche Session ID!
Datenpaket ignoriert!
Domäne nicht gefunden.
Maschine nicht gefunden.
Benutzer nicht gefunden.
Das Kennwort enthält nicht genügend Buchstaben
Das Kennwort enthält nicht genügend Zahlen
Das Kennwort enthält nicht genügend Sonderzeichen
Das Kennwort entspricht dem Benutzernamen
Das Kennwort enthält aufeinanderfolgende Zeichen
Das Kennwort ähnelt dem Benutzernamen zu stark
Das Kennwort wurde in der Liste der verbotenen Kennwörter gefunden
Das Kennwort ähnelt dem alten Kennwort zu stark
Das Kennwort enthält eine Tastaturreihe mit mehr als zwei Zeichen
Das Kennwort enthält eine Tastaturspalte mit mehr als zwei Zeichen
Das Kennwort hat seinen Gültigkeitszeitraum noch nicht erreicht
Das Kennwort hat seine Gültigkeitsdauer überschritten
Das Kennwort hat seine minimale Gültigkeitsdauer noch nicht erreicht
Das Kennwort hat die maximale Gültigkeitsdauer überschritten
Information über einen bevorstehenden Wechsel des Kennwortes muss angezeigt werden
Änderung bei Erstanmeldung erforderlich
Das Kennwort wurde in der History gefunden
Fehler beim Verifizieren gegen die spezifizierte Blacklist.
Keine "platform" vorhanden.
Kein Dokument.
XML Parse Fehler.
Fehler im Document Object Model (XML).
Kein <DATAROOT>-Abschnitt gefunden (XML).
XML-Tag nicht gefunden.
246 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Fehler-ID
4026531846
4026531847
Anzeige
"nostream" Fehler.
"printtree" Fehler.
BitLocker Fehlercodes
BitLocker Fehler werden durch die folgenden SafeGuard Events gemeldet:
• Kernel-Initialisierung ist fehlgeschlagen. Interner Code: <Fehlercode>.
• Sektorbasierte Erst-Verschlüsselung des Laufwerks <Laufwerksbuchstabe> gescheitert und beendet. Grund: <Fehlercode>
Die folgende Tabelle enthält eine Liste von Fehlercodes für BitLocker:
Fehlercode (Hex) Fehlercode (Dec) Beschreibung
0x00000000 –
0x000032C8
0 – 15999 Siehe Microsoft Systemfehlercodes
0x00BEB001 12496897
0x00BEB002 12496898
Verschlüsselung ist aufgrund eines Fehlers während der Kernel-
Initialisierung nicht möglich.
Der Boot Manager darf sich nicht auf dem zu verschlüsselnden
Systemlaufwerk befinden.
0x00BEB003 12496899
0x00BEB004
0x00BEB005
0x00BEB006
0x00BEB007
0x00BEB008
12496900
12496901
12496902
12496903
12496904
Es wurde eine nicht unterstützte Windows Version gefunden. Minimum ist Windows Vista.
Die konfigurierte Authentisierungsmethode wird nicht unterstützt.
Der PIN Dialog wurde nicht erfolgreich abgeschlossen.
Der Pfad Dialog wurde nicht erfolgreich abgeschlossen.
Fehler in Kommunikation zwischen Prozessen des PIN oder Pfad
Dialogs.
Unbehandelte Ausnahme im PIN oder Pfad Dialog. Der Dialog wurde angezeigt, aber der Benutzer meldete sich ab oder stoppte ihn im Task-
Manager.
0x00BEB009 12496905
0x00BEB00A
0x00BEB00B
0x00BEB00C
0x00BEB00D
0x00BEB00E
0x00BEB00F
0x00BEB010
12496906
12496907
12496908
12496909
12496910
12496911
12496912
Der in der Richtlinie definierte Verschlüsselungsalgorithmus stimmt nicht mit dem des verschlüsselten Laufwerks überein. Standardmäßig
(falls nicht geändert) verwendet die systemeigene BitLocker-
Verschlüsselung AES-128, während die SGN Richtlinien AES-256 definieren.
Das Volume ist ein schreibgeschütztes Volume. Dynamische Volumes werden nicht unterstützt.
Der Hardware-Test ist aufgrund eines Hardwareproblems fehlgeschlagen.
Bei der TPM-Initialisierung und -Aktivierung ist ein Fehler aufgetreten.
Der Verschlüsselungsalgorithmus in der SGN-Richtlinie steht zu den
Verschlüsselungsalgorithmus-Einstellungen im GPO in Konflikt.
Sektorbasierte Initialverschlüsselung des Laufwerks
<Laufwerksbuchstabe> fehlgeschlagen.
Active Directory Backup der Wiederherstellungsschlüssel ist erforderlich, aber kein Domain-Controller ist verfügbar.
Active Directory Backup der Wiederherstellungsschlüssel ist nicht kompatibel mit BitLocker Challenge/Response.
Copyright © Sophos Limited 247
SafeGuard Enterprise Administratorhilfe
0x00BEB102
0x00BEB202
0x00BEB203
0x80280006
0x80280007
0x80280014
0x80310037
0x8031005B
0x8031005E
0x80280000 –
0x803100CF
12497154
12497410
12497411
-2144862202
-2144862201
-2144862188
-2144272329
-2144272293
-2144272290
-2144862208 –
-2144272177
Die UEFI Version konnte nicht überprüft werden, deshalb wird
BitLocker im Legacy-Modus ausgeführt.
Das Client-Konfigurationspaket wurde noch nicht installiert.
Die UEFI Version wird nicht unterstützt und deshalb wird BitLocker im
Legacy-Modus ausgeführt. Die Minimalanforderung ist 2.3.1.
Das TPM ist inaktiv.
Das TPM ist deaktiviert.
Das TPM hat bereits einen Besitzer.
Die Gruppenrichtlinieneinstellung, die FIPS-Konformität erfordert, verhindert, dass ein lokales Recovery-Kennwort erzeugt und in die
Schlüssel-Backup-Datei geschrieben wird. Die Verschlüsselung wird dennoch fortgesetzt.
Die Gruppenrichtlinie für die angegebene Authentisierungsmethode ist nicht gesetzt. Bitte aktivieren Sie die Gruppenrichtlinie "Zusätzliche
Authentifizierung beim Start anfordern".
Die Gruppenrichtlinie für Verschlüsselung ohne TPM ist nicht gesetzt.
Bitte aktivieren Sie die Gruppenrichtlinie "Zusätzliche Authentifizierung beim Start anfordern" und aktivieren Sie darin das Kontrollkästchen
"BitLocker ohne kompatibles TPM zulassen".
Siehe Microsoft COM Error Codes (TPM, PLA, FVE) .
248 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
4 Windows Endpoints verwalten
Allgemeine Einschränkungen
Beachten Sie folgende allgemeine Einschränkungen für SafeGuard Enterprise auf Endpoints:
• SafeGuard Enterprise für Windows unterstützt keine Apple Hardware und kann nicht in einer Boot
Camp Umgebung installiert werden. Verwenden Sie stattdessen einen virtuellen Windows-Client.
• Systeme mit Festplatten, die über einen SCSI-Bus angeschlossen sind, werden von der SafeGuard
Festplattenvollverschlüsselung (SafeGuard volume-basierende Verschlüsselung und BitLocker-
Unterstützung) nicht unterstützt.
• Der schnelle Benutzerwechsel wird nicht unterstützt.
• Der Einsatz von SafeGuard Enterprise in einer Terminal Server Umgebung wird nicht unterstützt.
• Wenn Intel Advanced Host Controller Interface (AHCI) auf Endpoints mit POA benutzt wird, muss sich die Boot-Festplatte in Slot 0 befinden.
• Auf Endpoints mit POA wird SafeGuard volume-basierende Verschlüsselung für Volumes, die sich auf dynamischen Datenträgern oder auf GUID Partitionstabellen (GPT)-Platten befinden, nicht unterstützt. Die Installation bricht in diesen Fällen ab. Wenn diese Platten auf dem Endpoint gefunden werden, werden sie nicht unterstützt.
• Wenn Sie die SafeGuard volume-basierender Verschlüsselung auf Endpoints mit mehreren physikalischen Festplatten verwenden wollen, müssen Sie die Software auf der ersten Festplatte installieren.
• SafeGuard Full Disk Encryption ist nur für Endpoints mit Windows 7 (BIOS) verfügbar. Wenn Sie
Windows 7 UEFI oder eine neuere Version von Windows verwenden, nutzen Sie die integrierte
Windows BitLocker Drive Encryption-Funktionalität. Nähere Informationen finden Sie unter
Verwalten der BitLocker-Festplattenverschlüsselung
(Seite 249).
Nähere Informationen zu SafeGuard Full Disk Encryption finden Sie in der SafeGuard Enterprise
8 Administrator Hilfe .
4.1 Verwalten der BitLocker-
Festplattenverschlüsselung
Um Festplatten besonders schnell, einfach und zuverlässig zu verschlüsseln, greift SafeGuard
Enterprise auf die Verschlüsselungstechnologie des Betriebssystems zurück. Verwalten Sie
Schlüssel und Wiederherstellungsfunktionen für BitLocker-verschlüsselte Laufwerke über das
SafeGuard Management Center.
BitLocker Drive Encryption ist ein in Microsoft Windows Betriebssysteme integriertes Feature für die Festplattenverschlüsselung mit Pre-Boot Authentication. BitLocker bietet Datenschutz durch die
Verschlüsselung von Boot- sowie Daten-Laufwerken. Ab Windows 8 müssen Sie BitLocker Drive
Encryption statt SafeGuard Full Disk Encryption für die Festplattenverschlüsselung verwenden.
SafeGuard Enterprise kann BitLocker Verschlüsselung auf einem Computer verwalten.
Die BitLocker-Verschlüsselung kann aktiviert und die Verwaltung von bereits mit BitLocker verschlüsselten Laufwerken übernommen werden.
Copyright © Sophos Limited 249
SafeGuard Enterprise Administratorhilfe
SafeGuard Enterprise überprüft während der Installation am Endpoint und während dem ersten
Neustart, ob die Hardware die Anforderungen für BitLocker mit SafeGuard Challenge/Response erfüllt. Falls nicht, wird die SafeGuard Enterprise BitLocker Verwaltung ohne Challenge/Response ausgeführt. In diesem Fall kann der BitLocker Recovery-Schlüssel mit dem SafeGuard Management
Center abgerufen werden.
4.1.1 Authentisierung mit BitLocker-Laufwerkverschlüsselung
Die BitLocker-Laufwerkverschlüsselung bietet verschiedene Authentisierungsoptionen für Boot- und
Datenlaufwerke.
Der Sicherheitsbeauftragte kann die verschiedenen Anmeldemodi in einer Richtlinie im SafeGuard
Management Center einstellen und sie an die BitLocker Endpoints verteilen.
Für SafeGuard Enterprise BitLocker-Benutzer sind folgende Anmeldemodi verfügbar:
• TPM: Der Schlüssel für die Anmeldung wird auf dem TPM-Chip (Trusted Platform Module) gespeichert.
• TPM + PIN: Der Schlüssel für die Anmeldung wird auf dem TPM-Chip gespeichert und zusätzlich wird eine PIN zur Anmeldung benötigt.
• Systemstartschlüssel: Der Schlüssel für die Anmeldung wird auf einem USB-Stick gespeichert.
• TPM + Systemstartschlüssel: Der Schlüssel für die Anmeldung wird auf dem TPM-Chip und auf einem USB-Stick gespeichert. Beides wird für die Anmeldung benötigt.
• Kennwort: Der Benutzer muss ein Kennwort eingeben.
• Kennwort oder Systemstartschlüssel: USB-Sticks werden nur verwendet, wenn Kennwörter auf dem Client-Betriebssystem nicht unterstützt werden.
• Auto-Unlock: Wenn das Boot-Laufwerk verschlüsselt ist, wird ein externer Schlüssel generiert und auf dem Boot-Laufwerk gespeichert. Die Datenlaufwerke werden dann automatisch verschlüsselt. Sie werden automatisch mit der Auto-Unlock-Funktion von Bitlocker freigegeben.
Weitere Informationen zum Einrichten der Anmeldemodi finden Sie unter Authentisierung
(Seite
199).
Trusted Platform Module (TPM)
Das TPM ist ein Modul auf dem Motherboard, das einer Smartcard ähnelt und
Verschlüsselungsfunktionen sowie Vorgänge für die digitale Signatur ausführt. Es ist in der Lage,
Benutzerschlüssel anzulegen, zu speichern und zu verwalten. Das TPM ist gegen Angriffe geschützt.
PIN und Kennwörter
Die Voraussetzungen für BitLocker PINs und Kennwörter werden in den Windows Gruppenrichtlinien festgelegt und nicht durch die SafeGuard Enterprise-Einstellungen.
Kennwörter werden erst ab Windows 8 oder höher unterstützt.
Die betreffenden Einstellungen für Kennwörter sind im lokalen Gruppenrichtlinien-Editor
(gpedit.msc) zu finden:
Richtlinien für Lokaler Computer > \Computerkonfiguration > Administrative Vorlagen >
Windows-Komponenten > BitLocker Laufwerksverschlüsselung > Betriebssystemlaufwerke >
Verwendung von Kennwörtern für Betriebssystemlaufwerke konfigurieren und
250 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Richtlinien für Lokaler Computer > \Computerkonfiguration > Administrative Vorlagen >
Windows-Komponenten > BitLocker Laufwerksverschlüsselung > Betriebssystemlaufwerke >
Kennwortverwendung für Festplattenlaufwerke konfigurieren.
Die Einstellungen können auch übe Gruppenrichtlinienobjekte (GPOs) über Active Directory angewendet werden.
Standardmäßig erlaubt SafeGuard Enterprise erweiterte PINs. Das bedeutet, dass Benutzer Ziffern,
Buchstaben, Sonderzeichen und Symbole verwenden können.
BitLocker unterstützt nur das EN-US Tastaturlayout. Benutzer könnten daher Probleme bei der
Eingabe erweiterter PINs oder komplexer Kennwörter haben. Wird das Tastaturlayout vor dem
Festlegen der neuen BitLocker-PIN oder des neuen BitLocker-Kennworts nicht in EN-US geändert, muss für die Eingabe des gewünschten Zeichens unter Umständen eine andere Taste gedrückt werden. Um sicherzustellen, dass der Benutzer beim Start die PIN oder das Kennwort richtig eingeben kann, wird vor der Verschlüsselung eines Startvolumes ein Neustart durchgeführt.
Ab Windows 10 RS2 beträgt die Mindestlänge der PIN 6 Zeichen.
4.1.2 Praxistipps: Richtlinieneinstellungen und Bedienung
Der Sicherheitsbeauftragte konfiguriert die Verschlüsselungsrichtlinien für die zu verschlüsselnden
Laufwerke sowie eine Authentisierungsrichtlinie. Nach Möglichkeit sollte immer das TPM genutzt werden, aber auch ohne TPM sollte das Boot-Volume verschlüsselt werden. Die Benutzerinteraktion sollte auf ein Minimum beschränkt werden.
Gemäß diesen Anforderungen wählt der Sicherheitsbeauftragte die folgenden
Authentisierungseinstellungen (diese sind auch die Standardeinstellungen):
• BitLocker Anmeldemodus für Boot-Laufwerke: TPM + PIN
• BitLocker Fallback-Anmeldemodus für Boot-Laufwerke: Kennwort oder
Systemstartschlüssel
• BitLocker Anmeldemodus für Datenlaufwerke: Auto-Unlock
• BitLocker Fallback-Anmeldemodus für Datenlaufwerke: Kennwort oder
Systemstartschlüssel
Der Sicherheitsbeauftragte erstellt eine Geräteschutzrichtlinie mit dem Ziel Interner Speicher und richtet für den Verschlüsselungsmodus Volume-basierend ein. Danach werden beide Richtlinien auf die zu verschlüsselnden Endpoints angewendet.
Für SafeGuard Enterprise BitLocker-Benutzer gibt es folgende Szenarien:
Fall 1: Ein Benutzer meldet sich mit einem TPM bei einem Endpoint an.
1. Der Benutzer wird aufgefordert, eine PIN für das Boot-Volume einzugeben (z. B. Laufwerk C: ).
2. Der Benutzer gibt die PIN ein und klickt auf Neu starten und verschlüsseln.
3. Das System testet die Hardware und überprüft, ob der Benutzer die PIN korrekt eingeben kann. Es startet neu und fordert den Benutzer zur Eingabe der PIN auf.
• Wenn der Benutzer die PIN richtig eingibt, wird der Endpoint gestartet.
• Gibt der Benutzer die PIN nicht richtig ein (z. B. aufgrund eines falschen Tastaturlayouts), kann er die Esc-Taste in der BitLocker Pre-Boot-Umgebung drücken, um den Test abzubrechen, und der Endpoint wird gestartet.
• Falls es ein Problem mit der Hardware gibt (z. B. wenn das TPM nicht funktioniert), wird der
Test abgebrochen und der Endpoint gestartet.
4. Der Benutzer meldet sich erneut an.
Copyright © Sophos Limited 251
SafeGuard Enterprise Administratorhilfe
5. Wenn der Hardware-Test erfolgreich war (der Benutzer konnte die PIN richtig eingeben und es gab kein Problem mit dem TPM), beginnt die Verschlüsselung des Boot-Volume. Andernfalls
(wenn der Test fehlschlägt), wird ein Fehler angezeigt und das Volume nicht verschlüsselt. Schlägt der Test fehl, weil der Benutzer Esc in der Pre-Boot-Umgebung gedrückt hat, wird der Benutzer aufgefordert, erneut eine PIN einzugeben und einen Neustart vorzunehmen (wie in Schritt 2; die
Schritte 3, 4 und 5 werden wiederholt).
6. Die Verschlüsselung des Boot-Volume beginnt.
7. Die Verschlüsselung der Daten-Volumes beginnt ebenfalls, ohne dass eine Interaktion seitens des
Benutzers erforderlich ist.
Fall 2: Ein Benutzer meldet sich bei einem Windows 8-Endpoint ohne TPM an.
1. Der Benutzer wird aufgefordert, ein Kennwort für das Boot-Volume einzugeben.
2. Der Benutzer gibt das Kennwort ein und klickt auf Neu starten und verschlüsseln.
3. Das System startet neu, führt einen Hardwaretest durch und der Benutzer meldet sich wie im Fall oben erneut an (genau wie in Fall 1, Schritte 3 bis 6, aber die Verweise auf das TPM sind nicht relevant und anstelle einer PIN ist ein Kennwort erforderlich.)
4. Die Verschlüsselung des Boot-Volume beginnt.
5. Die Verschlüsselung der Daten-Volumes beginnt ebenfalls, ohne dass eine Interaktion seitens des
Benutzers erforderlich ist.
Fall 3: Ein Benutzer meldet sich bei einem Windows 7-Endpoint ohne TPM an.
1. Der Benutzer wird aufgefordert, den Verschlüsselungsschlüssel für das Boot-Volume auf einem
USB-Stick zu speichern.
2. Der Benutzer steckt einen USB-Stick ein und wählt Speichern und neu starten aus.
3. Das System startet neu, führt den Hardwaretest durch und der Benutzer meldet sich erneut an.
(Gleicher Ablauf wie in den vorgenannten Fällen, aber der Benutzer muss beim Booten den USB-
Stick einstecken. Es könnte ein Hardwarefehler auftreten, wenn der USB-Stick von der BitLocker
Pre-Boot-Umgebung nicht gelesen werden kann.)
4. Die Verschlüsselung des Boot-Volume beginnt.
5. Die Verschlüsselung der Daten-Volumes beginnt ebenfalls, ohne dass eine Interaktion seitens des
Benutzers erforderlich ist.
Fall 4: Der Sicherheitsbeauftragte ändert die Richtlinie und setzt den BitLocker Fallback-
Anmeldemodus für Boot-Laufwerke auf Kennwort. Ein Benutzer meldet sich bei einem Windows
7-Endpoint ohne TPM an.
1. Da der Endpoint kein TPM hat und Windows 7 keine Kennwörter für Boot-Volumes zulässt, wird das Boot-Volume nicht verschlüsselt.
2. Für jedes Nicht-Boot-Volume wird der Benutzer aufgefordert, den externen Schlüssel auf einem
USB-Stick zu speichern. Die Verschlüsselung des betreffenden Volume beginnt, sobald der
Benutzer auf Speichern klickt.
3. Wenn der Benutzer den Endpoint neu startet, muss der USB-Stick eingesteckt sein, damit die
Nicht-Boot-Volumes entsperrt werden.
4.1.3 Voraussetzungen für die Verwaltung von BitLocker auf
Endpoints
• Um die Anmeldemethoden TPM + PIN, TPM + Systemstartschlüssel, Systemstartschlüssel oder Kennwort verwenden zu können, muss die Gruppenrichtlinie Zusätzliche
252 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Authentifizierung beim Start anfordern entweder in Active Directory oder lokal auf
Computern aktiviert werden. Im Editor für lokale Gruppenrichtlinien (gpedit.msc) finden Sie die
Gruppenrichtlinie hier:
Richtlinien für Lokaler Computer > \Computerkonfiguration > Administrative Vorlagen >
Windows-Komponenten > BitLocker Laufwerksverschlüsselung > \Betriebssystemlaufwerke
Um Systemstartschlüssel zu verwenden, müssen Sie auch BitLocker ohne kompatibles
TPM zulassen in den Gruppenrichtlinien aktivieren.
• Um TPM + PIN auf Tablets verwenden zu können, aktivieren Sie zusätzlich die Gruppenrichtlinie
Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem
Starten auf Slates aktivieren.
Hinweis
Die Gruppenrichtlinien sind bei der Installation auf dem Endpoint automatisch aktiviert. Stellen
Sie sicher, dass die Einstellungen nicht von anderen Gruppenrichtlinien überschrieben werden.
• Eine BitLocker-Geräteschutzrichtlinie, die die Konfiguration eines TPM-basierten
Authentifizierungsmechanismus (zum Beispiel TPM, TPM+PIN, TPM + Systemstartschlüssel) auslöst, leitet automatisch die TPM-Aktivierung ein. Der Benutzer wird informiert, dass das
TPM aktiviert werden muss, und erhält eine Nachricht, wenn das System neugestartet oder heruntergefahren werden muss (abhängig von dem verwendeten TPM).
Hinweis
Wenn SafeGuard BitLocker Verwaltung auf einem Endpoint installiert ist, wird möglicherweise als Verschlüsselungsstatus eines Laufwerks Nicht vorbereitet angezeigt, siehe
Laufwerke (Seite 100). Das bedeutet, dass das Laufwerk momentan nicht mit BitLocker
verschlüsselt werden kann, weil notwendige Vorbereitungen noch nicht durchgeführt wurden. Das trifft nur auf verwaltetete Endpoints zu, weil nicht verwaltetete Endpoints keine
Bestandsinformationen melden können.
Mit dem Befehlszeilentool SGNState können Sie überprüfen, ob der Endpoint für BitLocker vorbereitet ist (Administratorrechte erforderlich). In manchen Fällen muss das Windows-Tool zur Laufwerkvorbereitung auf BitLocker ausgeführt werden.
SafeGuard Challenge/Response für BitLocker
Um SafeGuard Enterprise BitLocker Challenge/Response verwenden zu können, müssen die folgenden Voraussetzungen erfüllt sein:
• 64-Bit-Windows
• UEFI Version 2.3.1 oder höher
• Microsoft UEFI Zertifikat ist verfügbar oder Secure Boot ist deaktiviert.
• NVRAM Booteinträge sind von Windows aus zugänglich
• Windows im GPT-Modus installiert
• Die Hardware ist in der POACFG.xml Datei nicht aufgelistet.
Sophos liefert eine Standard POACFG.xml Datei, die im Setup eingebettet ist. Es wird empfohlen, die neueste Datei herunterzuladen und dem Installationsprogramm bereitzustellen
SafeGuard Enterprise überprüft während der Installation am Endpoint und während dem ersten
Neustart, ob die Hardware die Anforderungen für BitLocker mit SafeGuard Challenge/Response
Copyright © Sophos Limited 253
SafeGuard Enterprise Administratorhilfe erfüllt. Falls nicht, wird die SafeGuard Enterprise BitLocker Verwaltung ohne Challenge/Response ausgeführt. In diesem Fall kann der BitLocker Recovery-Schlüssel mit dem SafeGuard Management
Center abgerufen werden.
4.1.4 BitLocker Drive Encryption mit SafeGuard Enterprise verwalten
Die zentrale und vollständig transparente Verwaltung von BitLocker durch SafeGuard Enterprise ermöglicht die Anwendung in heterogenen IT-Umgebungen. SafeGuard Enterprise erweitert die Funktionalität von BitLocker signifikant. Über SafeGuard Enterprise lassen sich die
Sicherheitsrichtlinien für BitLocker zentral ausrollen. Bei der Verwaltung von BitLocker über
SafeGuard Enterprise stehen darüber hinaus äußerst wichtige Prozesse, wie Schlüsselverwaltung und Schlüssel-Recovery, zur Verfügung.
Mit SafeGuard Enterprise können Sie BitLocker Drive Encryption vom SafeGuard Management
Center aus verwalten. Als Sicherheitsbeauftragter können Sie Verschlüsselungs- und
Authentisierungsrichtlinien einrichten und an die BitLocker-Endpoints verteilen.
Sobald ein BitLocker Endpoint im SafeGuard Management Center registriert ist, werden
Informationen zu Benutzer, Computer, Anmeldemodus und Verschlüsselungsstatus angezeigt.
Außerdem werden Ereignisse für BitLocker Endpoints protokolliert.
Endpoints, die mit BitLocker verschlüsselt sind, können auf die gleiche Weise verwaltet werden wie
Endpoints mit SafeGuard Full Disk Encryption. Der Computertyp lässt sich über die Registerkarte
Bestand unter Benutzer und Computer ermitteln. Die Spalte Verschlüsselungstyp zeigt an, ob es sich bei dem betreffenden Computer um einen BitLocker-Endpoint handelt.
Hinweis
Während der Installation des SafeGuard Enterprise Client auf Windows 7 muss die BitLocker-
Funktion explizit ausgewählt werden, um die BitLocker-Verwaltung zu ermöglichen.
Weitere Informationen zu BitLocker To Go und SafeGuard Enterprise finden Sie unter
4.1.5 Verschlüsselung mit dem von SafeGuard Enterprise verwalteten BitLocker
Mit der BitLocker Drive Encryption-Unterstützung in SafeGuard Enterprise können Sie Boot-
Volumes und Daten-Volumes mit BitLocker-Verschlüsselung und -Schlüsseln verschlüsseln. Darüber hinaus können Daten, z. B. von Wechselmedien, mit SafeGuard Enterprise dateibasierender
Verschlüsselung und SafeGuard Enterprise-Schlüsseln verschlüsselt werden. Dies ist keine
BitLocker-Funktion, wird aber von SafeGuard Enterprise bereitgestellt.
Mehr zu protokollierten Ereignissen finden Sie unter
BitLocker-Verschlüsselungsschlüssel
Bei der Verschlüsselung des Boot-Volumes oder anderer Volumes mit BitLocker über SafeGuard
Enterprise werden die Verschlüsselungsschlüssel immer durch BitLocker erzeugt. BitLocker erzeugt jeweils einen Schlüssel für jedes Volume. Dieser Schlüssel lässt sich für keinen anderen Zweck verwenden.
254 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Wenn BitLocker mit SafeGuard Enterprise verwendet wird, wird ein Wiederherstellungsschlüssel in der SafeGuard Enterprise Datenbank gespeichert. Dies ermöglicht die Einrichtung eines Helpdeskund Recovery-Mechanismus (ähnlich der SafeGuard Enterprise Challenge/Response Funktionalität).
Es ist jedoch nicht möglich, Schlüssel global auszuwählen oder wiederzuverwenden, wie dies bei nativen SafeGuard Enterprise Clients der Fall ist. Die Schlüssel werden außerdem auch nicht im
SafeGuard Management Center angezeigt.
Hinweis
BitLocker erlaubt Ihnen, Wiederherstellungsschlüssel in Active Directory zu sichern. Dies passiert automatisch beim Verschlüsseln eines Volumes mit BitLocker, wenn die entsprechende
Gruppenrichtlinie (GPO) aktiviert ist. Ist ein Volume bereits verschlüsselt, kann ein Administrator die BitLocker Wiederherstellungsschlüssel manuell mit dem Windows Manage-BDE-Tool sichern
(siehe "manage-bde -protectors -adbackup -?").
BitLocker-Algorithmen in SafeGuard Enterprise
BitLocker unterstützt die folgenden Advanced Encryption Standard (AES) Algorithmen:
• AES-128
• AES-256
AES-128 mit Diffuser und AES-256 mit Diffuser werden nicht mehr unterstützt. Laufwerke, die bereits mit einem Algorithmus mit Diffuser verschlüsselt wurden, können mit SafeGuard Enterprise verwaltet werden.
Verschlüsselungsrichtlinien für die BitLocker-Laufwerkverschlüsselung
Der Sicherheitsbeauftragte kann eine Richtlinie für die (Erst-)Verschlüsselung im SafeGuard
Management Center anlegen und diese an die BitLocker Endpoints verteilen. Die Richtlinie wird daraufhin auf den Endpoints ausgeführt. Die in der Richtlinie angegebenen Laufwerke werden daraufhin mit BitLocker verschlüsselt.
Da die BitLocker Clients im SafeGuard Management Center transparent verwaltet werden, muss der
Sicherheitsbeauftragte keine speziellen BitLocker-Einstellungen für die Verschlüsselung vornehmen.
SafeGuard Enterprise kennt den Status der Clients und wählt die BitLocker-Verschlüsselung entsprechend. Wird ein BitLocker Client mit SafeGuard Enterprise installiert und wird die Volume-
Verschlüsselung aktiviert, so werden die Volumes durch die BitLocker-Laufwerkverschlüsselung verschlüsselt.
Ein BitLocker Endpoint verarbeitet Richtlinien vom Typ Geräteschutz und Authentisierung.
Die folgenden Einstellungen werden am Endpoint ausgewertet:
• Einstellungen in einer Richtlinie des Typs Geräteschutz:
— Ziel: Lokale Datenträger | Interner Speicher | Boot-Laufwerke | Andere Laufwerke |
Laufwerksbuchstaben A: - Z:
— Verschlüsselungsmodus für Medien: Volume-basierend | Keine Verschlüsselung
— Algorithmus für die Verschlüsselung: AES128 | AES256
— Schnelle Initialverschlüsselung: Ja | Nein
Für weitere Informationen, siehe Geräteschutz
(Seite 219).
• Einstellungen in einer Richtlinie des Typs Authentifizierung:
— BitLocker Anmeldemodus für Boot-Laufwerke:: TPM | TPM + PIN | TPM +
Systemstartschlüssel | Systemstartschlüssel
Copyright © Sophos Limited 255
SafeGuard Enterprise Administratorhilfe
— BitLocker Anmeldemodus für Boot-Laufwerke - Fallback: Kennwort
|Systemstartschlüssel | Kennwort oder Systemstartschlüssel | Fehler
— BitLocker Anmeldemodus für Datenlaufwerke: Auto-Unlock | Kennwort |
Systemstartschlüssel
— BitLocker Fallback-Anmeldemodus für Datenlaufwerke: Kennwort | Kennwort oder
Systemstartschlüssel| Systemstartschlüssel
Für weitere Informationen, siehe Authentisierung (Seite 199).
Alle anderen Einstellungen werden vom BitLocker Endpoint ignoriert.
Verschlüsselung auf einem durch BitLocker geschützten Computer
Vor Beginn der Verschlüsselung werden von BitLocker die Verschlüsselungsschlüssel generiert.
Abhängig vom System kann das Verhalten leicht abweichen.
Endpoints mit TPM
Wenn der Sicherheitsbeauftragte einen Anmeldemodus für BitLocker einrichtet, der TPM (TPM, TPM
+PIN oder TPM + Systemstartschlüssel) beinhaltet, wird die TPM-Aktivierung automatisch eingeleitet.
Das TPM (Trusted Platform Module) ist ein Hardware-Gerät, das BitLocker zum Speichern seiner
Verschlüsselungsschlüssel verwendet. Die Schlüssel werden nicht auf der Festplatte des Computers gespeichert. Während des Startvorgangs muss das BIOS (Basic Input/Output System) auf TPM zugreifen können. Wenn der Benutzer den Computer startet, bezieht BitLocker diese Schlüssel automatisch vom TPM.
Endpoints ohne TPM
Wenn ein Endpoint nicht mit TPM ausgestattet ist, kann ein BitLocker-Systemstartschlüssel oder – falls auf dem Endpoint Windows 8 oder höher ausgeführt wird – ein Kennwort als Anmeldemodus verwendet werden.
Ein BitLocker-Systemstartschlüssel kann mit einem USB-Stick zum Speichern der
Verschlüsselungsschlüssel generiert werden. Der Benutzer muss den Stick immer beim Starten des
Computers einstecken.
Wenn SafeGuard Enterprise BitLocker aktiviert, werden die Benutzer aufgefordert, den BitLocker-
Systemstartschlüssel zu speichern. Es öffnet sich ein Dialog, in dem die gültigen Ziellaufwerke zum
Speichern des Systemstartschlüssels angezeigt werden.
Bei Startvolumes ist es wesentlich, dass der Systemstartschlüssel verfügbar ist, wenn der Endpoint gestartet wird. Der Systemstartschlüssel kann daher nur auf einem Wechselmedium gespeichert werden.
Bei Datenvolumes kann der BitLocker-Systemstartschlüssel auf einem verschlüsselten Startvolume gespeichert werden. Dies erfolgt automatisch, wenn Auto-Unlock in der Richtlinie festgelegt ist.
BitLocker Recovery-Schlüssel
Für BitLocker Recovery bietet SafeGuard Enterprise einen Challenge/Response Mechanismus, der es erlaubt, Informationen auf vertraulichem Weg auszutauschen sowie den BitLocker Recovery-
Schlüssel vom Helpdesk zu beziehen, siehe Recovery für BitLocker-verschlüsselte Endpoints (Seite
258).
256 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Damit Recovery-Vorgänge über Challenge/Response durchgeführt werden können oder ein Abruf des Recovery-Schlüssels möglich ist, müssen die notwendigen Daten dem Helpdesk zur Verfügung gestellt werden. Die für den Recovery-Vorgang erforderlichen Daten werden in spezifischen
Schlüssel-Recovery-Dateien gespeichert.
Hinweis
Wenn SafeGuard BitLocker Verwaltung ohne Challenge/Response auf einem Standalone-
Endpoint verwendet wird, dann wird der Recovery-Schlüssel nach einem Recovery-Vorgang nicht geändert.
Hinweis
Wenn eine mit BitLocker verschlüsselte Festplatte in einem Computer durch eine neue Festplatte ersetzt wird, diese den Laufwerksbuchstaben der alten Festplatte erhält und ebenfalls mit
BitLocker verschlüsselt wird, speichert SafeGuard Enterprise nur den BitLocker Recovery-
Schlüssel der neuen Festplatte.
Verwaltung von Laufwerken, die bereits mit BitLocker verschlüsselt sind
Sollte es bei der Installation von SafeGuard Enterprise auf Ihrem Computer Laufwerke geben, die bereits mit BitLocker verschlüsselt sind, übernimmt SafeGuard Enterprise die Verwaltung dieser
Laufwerke.
Verschlüsselte Bootlaufwerke
• Abhängig von der verwendeten SafeGuard Enterprise BitLocker-Unterstützung werden Sie möglicherweise aufgefordert, Ihren Computer neu zu starten. Es ist wichtig, dass Sie den Neustart so bald als möglich durchführen.
• Wenn für das verschlüsselte Laufwerk eine SafeGuard Enterprise-Verschlüsselungsrichtlinie gilt:
— SafeGuard Enterprise BitLocker Challenge/Response ist installiert: Die Verwaltung wird
übernommen und SafeGuard Enterprise Challenge/Response ist möglich.
— SafeGuard Enterprise BitLocker ist installiert: Die Verwaltung wird übernommen und
Recovery ist möglich.
• Wenn für das verschlüsselte Laufwerk keine SafeGuard Enterprise-Verschlüsselungsrichtlinie gilt:
— SafeGuard Enterprise BitLocker Challenge/Response ist installiert: Es wird keine
Verwaltung übernommen und SafeGuard Enterprise Challenge/Response ist nicht möglich.
— SafeGuard Enterprise BitLocker ist installiert: Recovery ist möglich.
Verschlüsselte Festplatten
• Wenn für das verschlüsselte Laufwerk eine SafeGuard Enterprise-Verschlüsselungsrichtlinie gilt:
Die Verwaltung wird übernommen und Recovery ist möglich.
• Wenn für das verschlüsselte Laufwerk keine SafeGuard Enterprise-Verschlüsselungsrichtlinie gilt:
SafeGuard Enterprise Recovery ist möglich.
Entschlüsselung mit BitLocker
Computer, die mit BitLocker verschlüsselt wurden, lassen sich nicht automatisch entschlüsseln.
Die Entschlüsselung kann entweder über den Menüpunkt BitLocker Drive Encryption in der
Systemsteuerung oder mit dem Microsoft Befehlszeilentool "manage-bde" ausgeführt werden.
Copyright © Sophos Limited 257
SafeGuard Enterprise Administratorhilfe
Um Benutzern zu erlauben, mit BitLocker verschlüsselte Laufwerke manuell zu entschlüsseln, muss dem Endpoint eine Richtlinie ohne Verschlüsselungsregel für ein mit BitLocker verschlüsseltes
Laufwerk zugewiesen werden. Benutzer starten die Entschlüsselung durch Deaktivieren von
BitLocker für das gewünschte Laufwerk in der Systemsteuerung oder über "manage-bde".
4.1.6 BitLocker To Go
Mit BitLocker To Go können Sie Volumes auf Wechselmedien verschlüsseln, wenn die Client-
Komponenten für SafeGuard BitLocker installiert sind. BitLocker To Go kann jedoch nicht durch
SafeGuard Enterprise verwaltet werden.
Informationen zum Deaktivieren von BitLocker To Go finden Sie unter Deaktivieren der BitLocker To
Go Verschlüsselung (Seite 258).
BitLocker To Go ist nicht kompatibel mit SafeGuard Full Disk Encryption (volume-basierende
Festplattenverschlüsselung). Wenn Sie SafeGuard Full Disk Encryption installieren, wird BitLocker
To Go deaktiviert. Volumes und Wechselmedien, die bereits mit BitLocker To Go verschlüsselt sind, bleiben lesbar.
Deaktivieren der BitLocker To Go Verschlüsselung
1. Wählen Sie im Editor für lokale Gruppenrichtlinien Richtlinien für Lokaler Computer >
Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-
Laufwerkverschlüsselung > Wechseldatenträger.
2. Klicken Sie mit der rechten Maustaste auf Verwendung von BitLocker auf Wechseldatenträgern
steuern und wählen Sie Ändern.
3. Wählen Sie Aktiviert.
4. Deaktivieren Sie unter Optionen die Option Benutzer können BitLocker-Schutz auf
Wechseldatenträger anwenden.
5. Wählen Sie unter Optionen die Option Benutzer können BitLocker-Schutz auf
Wechseldatenträgern anhalten und entschlüsseln.
6. Klicken Sie auf OK.
BitLocker To Go Verschlüsselung wird auf den Endpoints deaktiviert. Der Benutzer kann neue
Laufwerke nicht mehr mit BitLocker To Go verschlüsseln. Volumes und Wechselmedien, die bereits mit BitLocker To Go verschlüsselt sind, bleiben lesbar.
4.1.7 Recovery für BitLocker-verschlüsselte Endpoints
Abhängig vom System bietet SafeGuard Enterprise ein Challenge/Response-Verfahren für die
Wiederherstellung oder die Möglichkeit, beim Helpdesk den BitLocker Wiederherstellungsschlüssel zu beschaffen. Genauere Informationen zu den Anforderungen für SafeGuard Enterprise Challenge/
Response finden Sie unter SafeGuard Challenge/Response für BitLocker (Seite 253).
Wiederherstellung mit BitLocker Wiederherstellungsschlüssel-ID
Bei mit BitLocker verschlüsselten Computern lässt sich ein Volume, auf das nicht mehr zugegriffen werden kann, mit der BitLocker Wiederherstellungsschlüssel-ID wiederherstellen.
Benutzer müssen diese ID bekanntgeben. Am Beginn des Wiederherstellungsprozesses wird die BitLocker Wiederherstellungsschlüssel-ID für das Betriebssystemlaufwerk auf dem
BitLocker-Wiederherstellungs-Bildschirm angezeigt. Für Datenlaufwerke wird die BitLocker
Wiederherstellungsschlüssel-ID angezeigt, wenn Benutzer im Assistenten zum Entsperren von
258 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe verschlüsselten Laufwerken auf Weitere Optionen und dann auf Wiederherstellungsschlüssel
eingeben klicken.
Wichtig
Wiederherstellungsschlüssel werden nur angezeigt, wenn der Sicherheitsbeauftragte über die zum Verwalten des Computers erforderlichen Berechtigungen verfügt. Wurde der Computer im
Management Center entfernt, ist die Berechtigung Recovery Tool benutzen erforderlich, um auf Wiederherstellungsschlüssel zugreifen zu können.
1. Klicken Sie im SafeGuard Management Center auf ExtrasRecovery, um den Recovery-
Assistenten zu öffnen.
2. Wählen Sie auf der Recovery-Typ Seite BitLocker Wiederherstellungsschlüssel-ID (managed) und klicken Sie auf Weiter.
3. Klicken Sie auf [...] um eine Wiederherstellungsschlüssel-ID zu suchen.
4. Geben Sie auf der Seite BitLocker Wiederherstellungsschlüssel suchen mindestens die ersten vier Zeichen der BitLocker Wiederherstellungsschlüssel-ID im Feld Suchname ein und klicken Sie auf Jetzt suchen.
Alle Ihrer Anfrage entsprechenden Schlüssel werden angezeigt.
Es werden aktive und inaktive Schlüssel angezeigt. Wiederherstellungsschlüssel werden auch dann angezeigt, wenn der zugehörige Computer im Management Center entfernt wurde In diesem Fall kann der Computername nicht bestimmt werden und in der Spalte Computer wird k.
A angezeigt.
5. Wählen Sie den gewünschten Schlüssel aus und klicken Sie auf OK.
Auf der Seite BitLocker Wiederherstellungsschlüssel suchen werden Informationen zum
Schlüssel angezeigt.
6. Klicken Sie auf Weiter.
Auf der Seite BitLocker-Wiederherstellung wird der 48-stellige BitLocker-
Wiederherstellungsschlüssel angezeigt.
7. Teilen Sie dem Benutzer diesen Schlüssel mit.
Protokollierte Ereignisse finden Sie unter Auditing
(Seite 165).
Wiederherstellungsschlüssel für Endpoints mit SafeGuard Enterprise vor
Version 7
Bei mit BitLocker verschlüsselten Computern lässt sich ein Volume, auf das nicht mehr zugegriffen werden kann, wiederherstellen.
Benutzer müssen den Computernamen angeben und bekommen darauf den
Wiederherstellungsschlüssel, den sie im Bildschirm Wiederherstellung eingeben müssen.
1. Klicken Sie im SafeGuard Management Center auf ExtrasRecovery, um den Recovery-
Assistenten zu öffnen.
2. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client (Managed).
3. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste.
4. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn aus.
Hierzu gibt es mehrere Möglichkeiten:
• Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt
suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten Computer aus und klicken Sie auf OK. Der Computername wird im Fenster Recovery-Typ unter
Computer angezeigt.
Copyright © Sophos Limited 259
SafeGuard Enterprise Administratorhilfe
• Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird als
Distinguished Name angezeigt.
• Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel:
CN=Desktop1,OU=Development,OU=Headquarter,DC=Utimaco,DC=edu
5. Klicken Sie auf Weiter.
6. Wählen Sie das Volume, auf das zugegriffen werden soll, aus der Liste und klicken Sie auf Weiter.
7. Der Recovery-Assistent zeigt den 48-stelligen Recovery-Schlüssel an.
8. Teilen Sie dem Benutzer diesen Schlüssel mit.
Der Benutzer kann den Schlüssel eingeben, um den Zugriff auf das mit BitLocker verschlüsselte
Volume auf dem Endpoint wiederherzustellen.
Challenge/Response für BitLocker
Für UEFI Endpoints, die bestimmte Voraussetzungen erfüllen, bietet SafeGuard Enterprise ein
Challenge/Response-Verfahren für die Wiederherstellung.
Benutzer müssen dabei den Challenge-Code angeben, der auf dem Bildschirm für die BitLocker-
Wiederherstellung angezeigt wird, und bekommen darauf eine Response, die sie in diesem
Bildschirm eingeben müssen.
Auf UEFI Endpoints, die die Voraussetzungen nicht erfüllen, wird automatisch SafeGuard BitLocker ohne Challenge/Response installiert. Informationen über den Recovery-Vorgang bei diesen
Endpoints finden Sie unter
Wiederherstellung mit BitLocker Wiederherstellungsschlüssel-ID (Seite
258) und
Wiederherstellungsschlüssel für Endpoints mit SafeGuard Enterprise vor Version 7
(Seite
259).
1. Klicken Sie im SafeGuard Management Center auf ExtrasRecovery, um den Recovery-
Assistenten zu öffnen.
2. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client (Managed).
3. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste.
4. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn aus.
Hierzu gibt es mehrere Möglichkeiten:
• Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt
suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten Computer aus und klicken Sie auf OK. Der Computername wird auf der Seite Recovery-Typ angezeigt.
• Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird als
Distinguished Name angezeigt.
• Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel:
CN=Desktop1,OU=Development,OU=Headquarter,DC=Sophos,DC=edu
5. Klicken Sie auf Weiter.
6. Wählen Sie das Volume, auf das zugegriffen werden soll, aus der Liste und klicken Sie auf Weiter.
7. Klicken Sie auf Weiter.
Eine Seite für die Eingabe des Challenge-Codes wird angezeigt.
8. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter.
9. Es wird ein Response-Code erzeugt. Teilen Sie dem Benutzer den Response-Code mit.
Hierzu steht eine Buchstabierhilfe zur Verfügung. Sie können den Response-Code auch in die
Zwischenablage kopieren.
260 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Der Benutzer kann den Response-Code eingeben und wieder auf den Endpoint zugreifen.
4.2 Pfadbasierte Dateiverschlüsselung
Das SafeGuard Enterprise Modul File Encryption bietet pfadbasierte Dateiverschlüsselung auf lokalen Festplatten und im Netzwerk, speziell für Arbeitsgruppen bei Netzwerkfreigaben.
Im SafeGuard Management Center definieren Sie die Regeln für die dateibasierende
Verschlüsselung in File Encryption Richtlinien. In diesen Richtlinien geben Sie die Zielordner für
File Encryption, den Verschlüsselungsmodus und den Schlüssel für die Verschlüsselung an. In
Richtlinien vom Typ Allgemeine Einstellungen können Sie festlegen, wie bestimmte Anwendungen und Dateisysteme auf Endpoints in Zusammenhang mit File Encryption behandelt werden sollen.
Sie können ignorierte und vertrauenswürdige Anwendungen sowie ignorierte Geräte angeben.
Außerdem können Sie die persistente Verschlüsselung für File Encryption aktivieren.
Für die Verschlüsselung können persönliche Schlüssel verwendet werden. Ein persönlicher
Schlüssel, der für einen Benutzer aktiv ist, gilt nur für diesen bestimmten Benutzer und kann nicht anderen Benutzern zugewiesen oder mit diesen gemeinsam benutzt werden. Sie können persönliche
Schlüssel im SafeGuard Management Center unter Benutzer & Computer erzeugen.
Wenn Endpoints eine File Encryption Richtlinie zugewiesen wurde, werden die Dateien in den von der Richtlinie abgedeckten Speicherorten ohne Benutzerinteraktion transparent verschlüsselt:
• Neue Dateien in den relevanten Speicherorten werden automatisch verschlüsselt.
• Wenn Benutzer den Schlüssel für eine verschlüsselte Datei haben, können sie den Inhalt lesen und
ändern.
• Wenn Benutzer den Schlüssel für eine verschlüsselte Datei nicht haben, wird der Zugriff verweigert.
• Wenn ein Benutzer auf einem Endpoint, auf dem File Encryption nicht installiert ist, auf eine verschlüsselte Datei zugreift, wird der verschlüsselte Inhalt angezeigt.
Sind in den durch die Verschlüsselungsrichtlinie abgedeckten Speicherorten bereits Dateien vorhanden, so werden diese nicht automatisch verschlüsselt. Die Benutzer müssen auf dem
Endpoint eine Initialverschlüsselung im SafeGuard Assistent für Dateiverschlüsselung durchführen. Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Benutzerhilfe.
Hinweis
SafeGuard File Encryption ist mit der in Windows integrierten EFS-Verschlüsselung und
Dateikomprimierung nicht kompatibel. Wenn die EFS-Verschlüsselung aktiviert ist, erhält sie
Priorität vor etwaig anwendbaren File Encryption Verschlüsselungsregeln. In den relevanten
Ordnern angelegte Dateien können in diesem Fall nicht von File Encryption verschlüsselt werden.
Wenn die Komprimierung aktiviert ist, hat die Verschlüsselung durch File Encryption eine höhere
Priorität. Dateien werden verschlüsselt, jedoch nicht komprimiert. Um Dateien mit File Encryption zu verschlüsseln, muss die EFS-Verschlüsselung oder die Komprimierung zunächst deaktiviert werden. Dies kann manuell oder durch Ausführen des SafeGuard Enterprise Assistenten für die
Initialverschlüsselung erfolgen.
SafeGuard File Encryption unterstützt die seit Windows 10 verfügbare Funktion Files On-Demand nicht.
Für weitere Informationen zu SafeGuard File Encryption für Mac, siehe
Encryption für Mac (Seite 301) und die SafeGuard Enterprise für Mac Benutzerhilfe.
Copyright © Sophos Limited 261
SafeGuard Enterprise Administratorhilfe
262
4.2.1 Konfigurieren von Verschlüsselungsregeln in pfadbasierten File Encryption Richtlinien
Die Regeln für die dateibasierende Verschlüsselung im Netzwerk definieren Sie in einer Richtlinie des Typs File Encryption.
Hinweis
Wenn bestimmte Ordner verschlüsselt werden (zum Beispiel C:\Programme), bewirkt dies unter
Umständen, dass das Betriebssystem oder bestimmte Anwendungen nicht mehr laufen. Stellen
Sie bei der Definition von Verschlüsselungsregeln sicher, dass diese Ordner nicht verschlüsselt werden.
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ File Encryption an oder wählen Sie eine vorhandene aus.
Die Registerkarte Dateiverschlüsselung wird angezeigt.
2. Wählen Sie Pfadbasiert aus der Verschlüsselungstyp Auswahlliste.
Die Tabelle für die Definition, wo anwendungsbasierte Dateiverschlüsselung am Endpoint angewendet wird, wird angezeigt.
Hinweis
Die Einstellung Verschlüsselungstyp gibt es in SafeGuard Enterprise seit Version 8.0. Wenn
Sie Ihr Management Center aktualisieren, werden bestehende File Encryption Richtlinien zu
Richtlinien vom Typ Pfadbasiert konvertiert. Informationen zum Verschlüsselungstyp >
Keine Verschlüsselung finden Sie unter Richtlinien vom Typ Keine Verschlüsselung (Seite
96).
3. Geben Sie in der Spalte Pfad den Pfad (d. h. den Ordner) an, der durch File Encryption verschlüsselt werden soll:
• Klicken Sie auf die Dropdown-Schaltfläche und wählen Sie einen Platzhalter für einen
Ordnernamen aus der Liste der verfügbaren Platzhalter aus.
Wenn Sie Ihren Cursor über die Listeneinträge führen, werden Tooltips angezeigt, die zeigen, wie ein Platzhalter üblicherweise auf einem Endpoint umgesetzt wird. Geben Sie nur gültige Platzhalter ein. Für eine Liste aller unterstützten Platzhalter, siehe
Pfade in pfadbasierten Dateiverschlüsselungsregeln (Seite 265).
Wichtig
Die Verschlüsselung des gesamten Benutzerprofils mit dem Platzhalter <User Profile> kann zu einem instabilen Windows Desktop auf dem Endpoint führen.
• Klicken Sie auf die Browse-Schaltfläche um den gewünschten Ordner im Dateisystem auszuwählen.
• Sie können auch einfach einen Pfadnamen eingeben.
Für nützliche Informationen für die Konfiguration von Pfaden in File Encryption
Verschlüsselungsregeln, siehe
4. Wählen Sie in der Spalte Anwendungsbereich eine der folgenden Optionen:
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• Nur dieser Ordner, um die Regeln nur auf den Ordner anzuwenden, der in der Spalte Pfad angegeben ist.
• Mit Unterordnern, um die Regel auch auf alle Unterordner des Ordners anzuwenden.
5. Legen Sie in der Spalte Modus fest, wie File Encryption den in der Spalte Pfad angegebenen
Ordner behandeln soll:
• Wählen Sie Verschlüsseln, um neue Dateien im Ordner zu verschlüsseln. Der Inhalt der vorhandenen verschlüsselten Dateien wird transparent entschlüsselt, wenn ein Benutzer mit dem erforderlichen Schlüssel auf die Dateien zugreift. Hat der Benutzer nicht den erforderlichen Schlüssel, wird der Zugriff verweigert.
• Wenn Sie Ausschließen auswählen, werden neue Dateien im Ordner nicht verschlüsselt.
Sie können diese Option verwenden, wenn Sie zum Beispiel einen Unterordner von der
Verschlüsselung ausnehmen möchten, dessen übergeordneter Ordner bereits von einer Regel mit der Option Verschlüsseln abgedeckt ist.
• Wenn Sie Ignorieren auswählen, werden die Dateien im Ordner von File Encryption nicht beachtet. Neue Dateien werden im Klartext gespeichert. Wenn ein Benutzer auf bereits verschlüsselte Dateien in diesem Ordner zugreift, wird der verschlüsselte Inhalt angezeigt.
Dabei spielt es keine Rolle, ob der Benutzer den erforderlichen Schlüssel hat oder nicht.
6. Wählen Sie in der Spalte Schlüssel den Schlüssel, der für den Verschlüsseln Modus verwendet werden soll. Sie können Schlüssel verwenden, die in Benutzer & Computer erstellt und angewendet wurden.
• Klicken Sie auf die Browse-Schaltfläche, um den Dialog Schlüssel suchen zu öffnen. Klicken
Sie auf Jetzt suchen, um eine Liste mit allen verfügbaren Schlüsseln aufzurufen. Wählen Sie den gewünschten Schlüssel aus.
Hinweis
Computerschlüssel werden in dieser Liste nicht angezeigt. Sie können von File Encryption nicht benutzt werden, da sie nur auf einem einzelnen Computer verfügbar sind. Mit diesen
Schlüsseln können daher Benutzergruppen nicht auf dieselben Daten zugreifen.
• Klicken Sie auf die Schaltfläche Persönlicher Schlüssel mit dem Schlüsselsymbol, um den Platzhalter Persönlicher Schlüssel in die Spalte Schlüssel einzufügen. Auf dem
Endpoint wird dieser Platzhalter in den aktiven persönlichen Schlüssel des angemeldeten
SafeGuard Enterprise Benutzers umgesetzt. Wenn die relevanten Benutzer noch keine aktiven persönlichen Schlüssel haben, werden diese automatisch angelegt. Sie können persönliche
Schlüssel für einzelne oder mehrere Benutzer unter Benutzer & Computer erzeugen. Weitere
Informationen finden Sie unter
Persönliche Schlüssel für die dateibasierende Verschlüsselung mit File Encryption (Seite 131).
7. Das System (Windows, macOS oder Alle Plattformen für Windows und macOS Systeme) wird automatisch zugewiesen.
8. Fügen Sie je nach Anforderung weitere Verschlüsselungsregeln hinzu und speichern Sie Ihre
Änderungen.
Hinweis
Alle File Encryption Verschlüsselungsregeln, die über Richtlinien zugewiesen und für
Benutzer/Computer an unterschiedlichen Knoten unter Benutzer & Computer aktiviert werden, werden kumuliert. Die Reihenfolge der Verschlüsselungsregeln innerhalb einer
File Encryption Richtlinie ist für die Evaluierung auf dem Endpoint nicht von Bedeutung.
Innerhalb einer File Encryption Richtlinie können Sie die Regeln durch Ziehen mit der Maus zur besseren Übersicht nach Wunsch anordnen.
Copyright © Sophos Limited 263
SafeGuard Enterprise Administratorhilfe
Zusätzliche Informationen für die Konfiguration von Pfaden in pfadbasierten File Encryption-Regeln
Beachten Sie beim Konfigurieren von Pfaden in File Encryption Verschlüsselungsregeln die folgenden Informationen:
• Ein Pfad darf nur Zeichen enthalten, die auch in Dateisystemen verwendet werden können.
Zeichen wie <, >, * und $ sind nicht zulässig.
• Geben Sie nur gültige Platzhalter ein. Für eine Liste aller unterstützten Platzhalter, siehe
Platzhalter für Pfade in pfadbasierten Dateiverschlüsselungsregeln (Seite 265).
Die Namen von Umgebungsvariablen werden durch das SafeGuard Management Center nicht
überprüft. Sie müssen nur auf dem Endpoint vorhanden sein.
• Das Feld Pfad gibt immer einen Ordner an. Sie können keine Regel für eine einzelne Datei festlegen. Außerdem können Sie keine Platzhalter für Ordnernamen, Dateinamen oder
Dateierweiterungen verwenden.
• Absolute und relative Regeln
Sie können absolute und relative Regeln definieren. Eine absolute Regel definiert einen bestimmten Ordner, zum Beispiel C:\encrypt . Eine relative Regel enthält keine UNC Server/
Freigabe Informationen, Laufwerksbuchstaben oder Informationen zu übergeordneten Ordnern.
In einer relativen Regel wird zum Beispiel ein Pfad wie der folgende verwendet: encrypt_sub .
In diesem Fall werden alle Dateien auf allen Laufwerken (einschließlich Speicherorte im
Netzwerk), die sich in einem Ordner mit der Bezeichnung encrypt_sub (oder in einem untergeordneten Ordner) befinden, von der Regel abgedeckt.
Hinweis
Relative Pfade werden nur auf Windows-Endpoints unterstützt.
• Lange Ordnernamen und 8.3 Notation
Geben Sie für File Encryption Verschlüsselungsregeln immer die langen Ordnernamen an, da die 8.3 Bezeichnungen für lange Ordnernamen von Computer zu Computer unterschiedlich sein können. 8.3 Namensregeln werden vom durch SafeGuard Enterprise geschützten Endpoint automatisch bei Anwendung der relevanten Richtlinien erkannt. Es sollte keine Rolle spielen, ob Anwendungen lange Ordnernamen oder 8.3 Namen für den Zugriff auf Dateien verwenden.
Verwenden Sie für relative Regeln kurze Ordnernamen um sicherzustellen, dass die Regel umgesetzt werden kann, egal ob eine Anwendung lange Ordnernamen oder 8.3 Notation verwendet.
• UNC und verbundene Laufwerke
Ob Sie Regeln in UNC Notation oder basierend auf verbundenen Laufwerksbuchstaben anwenden, hängt von Ihren spezifischen Anforderungen ab:
— Verwenden Sie UNC Notation, wenn sich die Server- und Freigabenamen wahrscheinlich nicht ändern, die verbundenen Laufwerksbuchstaben jedoch von Benutzer zu Benutzer unterschiedlich sein können.
— Verwenden Sie verbundene Laufwerksbuchstaben, wenn diese unverändert beibehalten werden, Servernamen aber geändert werden können.
Wenn Sie UNC verwenden, geben Sie einen Servernamen und einen Freigabenamen an, zum
Beispiel \\server\share.
264 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
File Encryption gleicht die UNC Namen und die verbundenen Laufwerksbuchstaben intern ab. In einer Regeln muss ein Pfad somit entweder als UNC-Pfad oder mit verbundenen
Laufwerksbuchstaben definiert sein.
Hinweis
Da Benutzer u. U. ihre verbundenen Laufwerksbuchstaben ändern können, empfehlen wir, aus
Sicherheitsgründen UNC-Pfade in File Encryption Verschlüsselungsregeln zu verwenden.
• Offline-Ordner
Bei Anwendung der Windows Funktion Offline verfügbar machen müssen Sie keine speziellen
Regeln für lokale (Offline) Kopien von Ordnern erstellen. Neue Dateien in der lokalen Kopie eines Ordners, der offline verfügbar gemacht wurde, werden entsprechend den Regeln für den ursprünglichen (Netzwerk-)Speicherplatz verschlüsselt.
Für weitere Informationen zur Benennung von Dateien und Pfaden, siehe http://msdn.microsoft.com/ en-us/library/aa365247.aspx
.
Platzhalter für Pfade in pfadbasierten Dateiverschlüsselungsregeln
Beim Angeben von Pfaden in Verschlüsselungsregeln in File Encryption Richtlinien können die folgenden Platzhalter verwendet werden. Um diese Platzhalter auszuwählen, klicken Sie auf die
Dropdown-Schaltfläche des Felds Pfad.
Verwenden Sie immer Backslashs als Trennzeichen, auch wenn Sie Dateiverschlüsselungsregeln für macOS festlegen. Dies ermöglicht Ihnen, Regeln für beide Betriebssysteme (Windows und macOS) anzuwenden. Auf Macs werden die Backslashs automatisch in Schrägstriche umgewandelt, um die Anforderungen des macOS Betriebssystems zu erfüllen. Fehler bei der Verwendung von
Platzhaltern werden protokolliert. Ungültige Verschlüsselungsregeln werden protokolliert und dann auf dem Endpoint verworfen.
Beispiel: Der Windows-Pfad <User Profile>\Dropbox\personal wird unter macOS so konvertiert: /Users/<Username>/Dropbox/personal .
Pfad-Platzhalter Betriebssystem
(All=Windows und macOS)
<%environment_variable_name%> Alle
Wert auf dem Endpoint
Wert der Umgebungsvariable. Beispiel: <
%USERNAME%>.
<Desktop>
<Documents>
Alle
Alle
Hinweis
Wenn Umgebungsvariablen mehrere
Speicherorte enthalten (zum Beispiel die
PATH Umgebungsvariable), werden die
Pfade nicht in mehrere Regeln aufgeteilt.
Dies verursacht einen Fehler und die
Verschlüsselungsregel ist ungültig.
Der virtuelle Ordner, der den Desktop des
Endpoints darstellt.
Das ist der virtuelle Ordner für den Desktop-
Bereich Eigene Dateien (Äquivalent zu
CSIDL_MYDOCUMENTS). Typischer Pfad: C:
\Documente und Einstellungen\Benutzername
\Eigene Dateien.
Copyright © Sophos Limited 265
SafeGuard Enterprise Administratorhilfe
Pfad-Platzhalter
<Downloads>
<Music>
<Network Shares>
<Pictures>
<Public>
<Removables>
<User Profile>
<Videos>
<Cookies>
<Favorites>
Betriebssystem
(All=Windows und macOS)
Alle
Wert auf dem Endpoint
Der Ordner in dem standardmäßig Downloads gespeichert werden. Ein typischer Pfad unter
Windows ist C:\Benutzer\Benutzername
\Downloads.
Alle Das Dateisystemverzeichnis, das als allgemeines Repository für Musikdateien dient.
Typischer Pfad: C:\Documente und Einstellungen
\Benutzername\Eigene Dateien\Eigene Musik.
Alle
Alle Das Dateisystemverzeichnis, das als allgemeines Repository für Bilddateien dient.
Typischer Pfad: C:\Documente und Einstellungen
\Benutzername\Eigene Dateien\Eigene Bilder.
Alle
Alle
Alle
Hinweis
Auf Macs wird die Verschlüsselung des gesamten <Pictures> Ordners nicht unterstützt. Sie können jedoch Unterordner verschlüsseln, zum Beispiel <Pictures>
\enc .
Das Dateisystemverzeichnis, das als allgemeines Repository für Dokumente für alle
Benutzer dient. Typischer Pfad: C:\Benutzer
\<Benutzername>\Öffentlich.
Zeigt auf die Root-Verzeichnisse aller
Wechselmedien.
Der Profilordner des Benutzers. Typischer Pfad:
C:\Benutzer\Benutzername.
Alle
Windows
Windows
Hinweis
Die Verschlüsselung des gesamten
Benutzerprofils wird nicht unterstützt. Sie können jedoch Unterordner verschlüsseln, zum Beispiel <User Profile >\enc .
Das Dateisystemverzeichnis, das als allgemeines Repository für Videodateien für alle
Benutzer dient. Typischer Pfad: C:\Documente und Einstellungen\Alle Benutzer\Dateien\Eigene
Videos.
Das Dateisystemverzeichnis, das als allgemeines Repository für Internet Cookies dient. Typischer Pfad: C:\Documente und
Einstellungen\Benutzername\Cookies.
Das Dateisystemverzeichnis, das als allgemeines Repository für die Favoriten des
Benutzers dient. Typischer Pfad: C:\Documente und Einstellungen\Benutzername\Favoriten.
266 Copyright © Sophos Limited
Pfad-Platzhalter
<Local Application Data>
<Program Data>
<Program Files>
<Public Music>
<Public Pictures>
<Public Videos>
<Roaming>
System
<Temporary Burn Folder>
<Temporary Internet Files>
<Windows>
SafeGuard Enterprise Administratorhilfe
Betriebssystem
(All=Windows und macOS)
Windows
Wert auf dem Endpoint
Das Dateisystemverzeichnis, das als allgemeines Daten-Repository für lokale
Applikationen (ohne Roaming) dient. Typischer
Pfad: C:\Dokumente und Einstellungen
\Benutzername\Lokale Einstellungen
\Anwendungsdaten.
Windows
Windows
Windows
Das Dateisystemverzeichnis, das
Anwendungsdaten für alle Benutzer enthält.
Typischer Pfad: C:\Dokumente und Einstellungen
\Alle Benutzer\Anwendungsdaten.
Der Programme-Ordner. Typischer Pfad:
\Programme. For 64-Bit Systeme wird dies auf zwei Regeln erweitert: eine für 32-Bit
Anwendungen und eine für 64-Bit Anwendungen.
Das Dateisystemverzeichnis, das als allgemeines Repository für Musikdateien für alle
Benutzer dient. Typischer Pfad: C:\Documente und Einstellungen\Alle Benutzer\Eigene Musik.
Windows
Windows
Windows
Windows
Windows
Windows
Windows
Das Dateisystemverzeichnis, das als allgemeines Repository für Bilddateien für alle
Benutzer dient. Typischer Pfad: C:\Documente und Einstellungen\Alle Benutzer\Dateien\Eigene
Bilder.
Das Dateisystemverzeichnis, das als allgemeines Repository für Videodateien für alle
Benutzer dient. Typischer Pfad: C:\Documente und Einstellungen\Alle Benutzer\Dateien\Eigene
Videos.
Das Dateisystemverzeichnis, das als allgemeines Repository für anwendungsspezifische Daten dient. Typischer
Pfad: C:\Dokumente und Einstellungen
\Benutzername\Anwendungsdaten.
Der Windows Systemordner. Typischer Pfad: C:
\Windows\System32. For 64-Bit Systeme wird dies auf zwei Regeln erweitert: eine für 32-Bit und eine für 64-Bit.
Das Dateisystemverzeichnis, das als Staging-
Bereich für Dateien, die auf eine CD geschrieben werden sollen, verwendet wird. Typischer Pfad:
C:\Dokumente und Einstellungen\Benutzername
\Lokale Einstellungen\Microsoft\CD Burning.
Das Dateisystemverzeichnis, das als allgemeines Repository für Temporäre
Internetdateien dient. Typischer Pfad: C:
\Dokumente und Einstellungen\Benutzername
\Lokale Einstellungen\Temporary Internet Files.
Das Windows-Verzeichnis oder SYSROOT. Dies entspricht den Umgebungsvariablen %windir% oder %SYSTEMROOT%. Typischer Pfad: C:
\Windows.
Copyright © Sophos Limited 267
SafeGuard Enterprise Administratorhilfe
Pfad-Platzhalter
<Root>
Betriebssystem
(All=Windows und macOS) macOS
Wert auf dem Endpoint
Das macOS Root-Verzeichnis. Es wird nicht empfohlen, Richtlinien für das Stammverzeichnis festzulegen, auch wenn dies technisch möglich ist.
4.2.2 Konfigurieren der pfadbasierten Dateiverschlüsselung in
Richtlinien vom Typ Allgemeine Einstellungen
Neben den in File Encryption Richtlinien vom Verschlüsselungstyp > Pfadbasiert definierten
Verschlüsselungsregeln können Sie in Richtlinien vom Typ Allgemeine Einstellungen folgende
Einstellungen für die Dateiverschlüsselung konfigurieren:
• Vertrauenswürdige Anwendungen
• Ignorierte Anwendungen
• Ignorierte Geräte
• Persistente Verschlüsselung aktivieren
Konfigurieren von vertrauenswürdigen und ignorierten Anwendungen für
File Encryption
Sie können Anwendungen als vertrauenswürdig definieren, um ihnen Zugriff auf verschlüsselte
Dateien zu geben. Dies ist zum Beispiel notwendig, damit Antivirus-Software verschlüsselte Dateien
überprüfen kann.
Sie können Anwendungen als ignoriert definieren, um sie von der transparenten
Dateiverschlüsselung/Dateientschlüsselung auszuschließen. Wenn Sie zum Beispiel ein
Backup-Programm als ignorierte Anwendung definieren, bleiben die vom Programm gesicherten verschlüsselten Daten verschlüsselt.
Hinweis
Untergeordnete Prozesse werden nicht als vertrauenswürdig/ignoriert eingestuft.
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche der Felder
Vertrauenswürdige Anwendungen oder Ignorierte Anwendungen.
3. Geben Sie im Editor-Listenfeld die Anwendungen ein, die Sie als vertrauenswürdig/ignoriert definieren möchten.
• Sie können mehrere vertrauenswürdige/ignorierte Anwendungen in einer Richtlinie definieren.
Jede Zeile im Editor-Listenfeld definiert jeweils eine Anwendung.
• Anwendungsnamen müssen auf .exe enden.
• Anwendungsnamen müssen als Fully Qualified Paths mit Laufwerk/Verzeichnis definiert werden, zum Beispiel "c:\dir\beispiel.exe". Es reicht nicht aus, nur den Dateinamen einzugeben (zum Beispiel "beispiel.exe"). Aus Gründen der Benutzerfreundlichkeit zeigt die
Einzelzeilenansicht der Anwendungsliste nur die Dateinamen getrennt durch Strichpunkte.
268 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• Die Anwendungsnamen können dieselben Platzhalter für Windows Shell Ordner und
Umgebungsvariablen wie die Verschlüsselungsregeln in File Encryption Richtlinen enthalten.
Für eine Liste aller unterstützten Platzhalter, siehe Platzhalter für Pfade in pfadbasierten
(Seite 265).
4. Speichern Sie Ihre Änderungen.
Hinweis
Die Richtlinieneinstellungen Vertrauenswürdige Anwendungen und Ignorierte Anwendungen sind Computereinstellungen. Die Richtlinie muss daher Computern, nicht Benutzern, zugewiesen werden. Andernfalls werden die Einstellungen nicht wirksam.
Ignorierte Geräte konfigurieren
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche des Felds Ignorierte
Geräte.
3. Führen Sie im Editor-Listenfeld folgende Schritte durch: a) Wählen Sie Netzwerk wenn Sie keine Daten am Netzwerk verschlüsseln wollen.
b) Geben Sie die entsprechenden Gerätenamen an, um spezifische Geräte von der
Verschlüsselung auszuschließen. Dies ist zum Beispiel nützlich, wenn Sie Systeme von Dritt-
Anbietern ausschließen müssen.
Sie können die Namen der derzeit im System benutzten Geräte mit dem Steuerungsprogramm
Fltmc.exe
von Microsoft steuern ( fltmc volumes , fltmc instances ), siehe https:// docs.microsoft.com/de-de/windows-hardware/drivers/ifs/development-and-testing-tools .
Sie können einzelne (Netzwerk)-Festplattenlaufwerke von der Verschlüsselung ausschließen, in dem Sie eine File Encryption Verschlüsselungsregel in einer File Encryption Richtlinie erstellen und den Modus für die Verschlüsselung auf Ignorieren einstellen. Sie können diese Einstellung nur auf Windows-Volumes anwenden, nicht auf macOS-Volumes .
Konfigurieren der persistenten Verschlüsselung für File Encryption
Der Inhalt von mit File Encryption verschlüsselten Dateien wird jeweils direkt entschlüsselt, wenn der Benutzer den erforderlichen Schlüssel hat. Wenn der Inhalt in einer neuen Datei an einem
Ablageort gespeichert wird, für den keine Verschlüsselungsregel gilt, bleibt die resultierende neue
Datei unverschlüsselt.
Mit persistenter Verschlüsselung bleiben Kopien von verschlüsselten Dateien auch dann verschlüsselt, wenn sie an einem Speicherort abgelegt werden, für den keine Verschlüsselungsregel gilt.
Sie können die persistente Verschlüsselung in Richtlinien vom Typ Allgemeine Einstellungen konfigurieren. Die Richtlinieneinstellung Persistente Verschlüsselung aktivieren ist standardmäßig aktiviert.
Copyright © Sophos Limited 269
SafeGuard Enterprise Administratorhilfe
Hinweis
Wenn Dateien an ein ignoriertes Gerät oder in einen Ordner kopiert oder verschoben werden, für den eine Richtlinie mit dem Modus für die Verschlüsselung Ignorieren gilt, hat die Einstellung
Persistente Verschlüsselung aktivieren keine Auswirkungen.
ZIP-Archive werden von der persistenten Verschlüsselung nicht berücksichtigt.
4.2.3 Outlook Add-In für pfadbasierte Verschlüsselung
Ab Version 8.1 ist das SafeGuard Enterprise Outlook Add-In für Windows auch für pfadbasierte
Dateiverschlüsselung verfügbar. Es ist auf Endpoints verfügbar sobald Sie eines der Module für die pfadbasierte Dateiverschlüsselung installieren.
Generell funktioniert das Senden von E-Mails an externe Empfänger gleich wie bei der anwendungsbasierten Dateiverschlüsselung. Beim Senden von E-Mails mit Anhängen an Domänen auf Whitelists gibt es aufgrund der Natur der pfadbasierten Verschlüsselung und des Multi-Key
Features allerdings einige Dinge zu beachten.
In der Richtlinie (Default) Allgemeine Einstellungen können Sie konfigurieren, was mit E-Mail-
Anhängen passiert, die an (meist interne) Domänen auf Whitelists gesendet werden. Für das
Verhalten bei Domänen auf Whitelists sind folgende Optionen verfügbar:
• Verschlüsselt
• Keine Verschlüsselung
• Immer fragen
• Unverändert (Synchronized Encryption)
Keine Verschlüsselung und Immer fragen verhalten sich bei allen File Encryption Modulen gleich.
Die Optionen Verschlüsselt und Unverändert (Synchronized Encryption) verhalten sich bei
Synchronized Encryption anders als bei pfadbasierter Verschlüsselung.
Verschlüsselt
• Synchronized Encryption
Verschlüsselte Dateien bleiben verschlüsselt; der Schlüssel wird nicht verändert.
Unverschlüsselte Dateien werden mit dem Synchronized Encryption-Schlüssel verschlüsselt, wenn die Dateierweiterung in der Liste der In-Apps definiert ist.
• Pfadbasierte Verschlüsselung
Alle angehängten Dateien werden mit dem Synchronized Encryption Schlüssel verschlüsselt unabhängig von ihrer Dateierweiterung und ihrem Verschlüsselungsstatus.
270
Unverändert (Synchronized Encryption)
• Synchronized Encryption
Verschlüsselte Dateien werden verschlüsselt gesendet; unverschlüsselte Dateien werden unverschlüsselt gesendet.
• Pfadbasierte Verschlüsselung
Alle Dateien werden mit dem Synchronized Encryption Schlüssel verschlüsselt.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Erstellen von Richtlinien zum Aktivieren des SafeGuard Outlook Add-In
So aktivieren Sie das SafeGuard Enterprise Add-In für pfadbasierte Dateiverschlüsselung:
1. Legen Sie im Richtlinien-Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
Die Registerkarte Allgemeine Einstellungen wird angezeigt.
2. Gehen Sie zum Abschnitt Einstellungen für das E-Mail Add-In.
3. Unter Email Add-In aktivieren wählen Sie Ja.
Das Add-In ist nun aktiv. Jedes Mal, wenn Benutzer ein E-Mail mit Anhang versenden, werden sie gefragt, wie die Anhänge behandelt werden sollen.
Zusätzlich können Sie Listen mit Domänen anlegen und definieren, wie Anhänge behandelt werden, die an diese bestimmten Domänen versendet werden.
4. Wählen Sie eine Methode unter Verschlüsselungsmethode für Domains auf Whitelists:
• Verschlüsselt: Alle angehängten Dateien werden mit dem Synchronized Encryption
Schlüssel verschlüsselt - unabhängig von ihrer Dateierweiterung und ihrem
Verschlüsselungsstatus.
• Keine Verschlüsselung: Anhänge in E-Mails an die bestimmte Domäne werden verschlüsselt.
Benutzer werden nicht gefragt.
• Unverändert (Synchronized Encryption): Alle Dateien werden mit dem Synchronized
Encryption Schlüssel verschlüsselt.
• Immer fragen: Benutzer werden jedes Mal gefragt, wie die Anhänge behandelt werden sollen.
5. Geben Sie eine oder mehrere Domänen ein, für die die Verschlüsselungsmethode gelten soll.
Verwenden Sie bei mehreren Domänen ein Komma als Trennzeichen. Platzhalter und teilweise definierte Domänen werden nicht unterstützt.
6. Wenn Sie die Registerkarte Allgemeine Einstellungen verlassen, werden Sie aufgefordert, Ihre
Änderungen zu speichern.
7. Klicken Sie auf Ja.
8. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren
Benutzergruppen zu.
4.2.4 Mehrere pfadbasierte Dateiverschlüsselungsregeln
Alle File Encryption Verschlüsselungsregeln, die über Richtlinien zugewiesen und für Benutzer/
Computer an unterschiedlichen Knoten unter Benutzer & Computer im SafeGuard Management
Center aktiviert werden, werden kumuliert.
Sie können eine allgemeine File Encryption Richtlinie mit Regeln, die für alle Benutzer relevant sind, am Stammverzeichnisknoten und Richtlinien für spezifischere Anforderungen an den einzelnen
Unterknoten zuweisen. Alle Regeln aus allen Richtlinien, die Benutzern/Computern zugewiesen sind, werden kumuliert und treten auf dem Endpoint in Kraft.
Pfadbasierte File Encryption-Richtlinien im RSOP
Wenn für einen Benutzer oder Computer mehrere File Encryption Richtlinien gelten, zeigt die
Registerkarte RSOP (Resulting Set of Policies) unter Benutzer & Computer die Summe aller File
Encryption Verschlüsselungsregeln aus allen File Encryption Richtlinien an. Die Regeln werden in der Reihenfolge ihrer Evaluierung auf dem Endpoint-Computer sortiert, siehe
Evaluierung von anwendungsbasierten Dateiverschlüsselungsregeln auf Endpoints (Seite 272).
Copyright © Sophos Limited 271
SafeGuard Enterprise Administratorhilfe
Die Spalte Name der Richtlinie gibt an, woher die einzelnen Regeln stammen.
Für doppelte Regeln wird die zweite (und dritte usw.) Regel mit einem Symbol markiert. Dieses
Symbol bietet auch einen Tooltip, der Sie informiert, das die Regel auf dem Endpoint verworfen wird, da sie ein Duplikat einer Regel mit einer höheren Priorität ist.
4.2.5 Reihenfolge der Evaluierung von anwendungsbasierten
Dateiverschlüsselungsregeln auf Endpoints
File Encryption Verschlüsselungsregeln werden auf Endpoints in einer Reihenfolge sortiert, die bewirkt, dass genauer definierte Speicherorte zuerst evaluiert werden.
• Wenn zwei Regeln mit den gleichen Einstellungen für Pfad und Anwendungsbereich aus
Richtlinien stammen, die unterschiedlichen Knoten zugewiesen sind, wird die Regel aus der
Richtlinie angewendet, die sich näher am Benutzerobjekt in Benutzer & Computer befindet.
• Wenn zwei Regeln mit den gleichen Einstellungen für Pfad und Anwendungsbereich aus
Richtlinien stammen, die demselben Knoten zugewiesen sind, wird die Regel aus der Richtlinie mit der höchsten Priorität angewendet.
• Absolute Regeln werden vor relativen Regeln evaluiert, zum Beispiel c\encrypt vor encrypt .
• Regeln mit einem Pfad mit mehr Unterverzeichnissen werden vor Regeln mit einem Pfad mit weniger Unterverzeichnissen evaluiert.
• Mit UNC definierte Regeln werden vor Regeln mit Laufwerksbuchstabeninformationen evaluiert.
• Regeln, bei denen die Option Nur dieser Ordner aktiviert ist, werden vor Regeln ohne diese
Option evaluiert.
• Regeln mit dem Modus Ignorieren werden vor Regeln mit dem Modus Verschlüsseln oder
Ausschließen evaluiert.
• Regeln mit dem Modus Ausschließen werden vor Regeln mit dem Modus Verschlüsseln evaluiert.
• Wenn bei zwei Regeln die aufgelisteten Kriterien übereinstimmen, werden die Regeln in alphabetischer Reihenfolge evaluiert.
4.2.6 Konflikte bei pfadbasierten File Encryption-Regeln
Da einem Benutzer oder Computer mehrere File Encryption Richtlinien zugewiesen werden können, treten unter Umständen Konflikte auf. Ein Regelkonflikt besteht, wenn die Regeln dieselben Werte für Pfad, Modus und Unterverzeichnis enthalten, jedoch unterschiedliche Schlüssel. In diesem Fall gilt die Regel aus der File Encryption Richtlinie mit der höheren Priorität. Die andere Regel wird verworfen.
4.2.7 Pfadbasierte Dateiverschlüsselung und SafeGuard Data
Exchange
Mit SafeGuard Data Exchange lassen sich Daten, die auf mit Endpoint-Computern verbundenen
Wechselmedien gespeichert werden, verschlüsseln und mit anderen Benutzern austauschen. Für
SafeGuard Data Exchange wird dateibasierende Verschlüsselung benutzt.
272 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Wenn sowohl SafeGuard Data Exchange als auch File Encryption (pfadbasierte
Dateiverschlüsselung) auf einem Endpoint installiert ist, kann es vorkommen, dass eine SafeGuard
Data Exchange Verschlüsselungsrichtlinie für ein Laufwerk auf dem Computer definiert ist und gleichzeitig File Encryption Richtlinien für Ordner auf demselben Laufwerk gelten. Ist dies der Fall, so erhält die SafeGuard Data Exchange Richtlinie Vorrang vor den File Encryption Richtlinien. Neue
Dateien werden gemäß der SafeGuard Data Exchange Richtlinie verschlüsselt.
Für weitere Informationen zu SafeGuard Data Exchange, siehe
(Seite
279).
4.3 Cloud Storage
Das SafeGuard Enterprise Modul Cloud Storage bietet dateibasierende Verschlüsselung von in der
Cloud gespeicherten Daten.
Das Modul beeinflusst nicht die Art und Weise, wie Benutzer mit in der Cloud gespeicherten Daten arbeiten. Die Benutzer verwenden weiterhin die anbieterspezifischen Synchronisationsapplikationen zum Übertragen von Daten an die Cloud und Empfangen von Daten aus der Cloud. Das Modul
Cloud Storage stellt sicher, dass die lokalen Kopien der in der Cloud gespeicherten Daten transparent verschlüsselt werden. Sie werden somit immer in verschlüsselter Form in der Cloud gespeichert.
Für Cloud Storage legen Sie im SafeGuard Management Center Cloud Storage Definitionen an und verwenden diese als Ziel für Richtlinien vom Typ Geräteschutz. Es stehen für mehrere Cloud
Storage Anbieter, zum Beispiel Dropbox oder Egnyte, vordefinierte Cloud Storage Definitionen zur
Verfügung.
Wenn für Endpoints eine Cloud Storage Richtlinie gilt, werden die Dateien in den von der Richtlinie abgedeckten Speicherorten ohne Benutzerinteraktion transparent verschlüsselt:
• Verschlüsselte Dateien werden an die Cloud synchronisiert.
• Aus der Cloud erhaltene verschlüsselte Dateien können wie üblich mit Applikationen modifiziert werden.
Mit SafeGuard Portable kann auf durch Cloud Storage verschlüsselte Dateien auf Endpoints ohne
SafeGuard Enterprise Cloud Storage zugegriffen werden. Verschlüsselte Dateien können so auch in diesem Fall gelesen werden.
Hinweis
Cloud Storage verschlüsselt nur neue in der Cloud gespeicherte Daten. Wurden Daten bereits vor der Installation des Moduls Cloud Storage in der Cloud gespeichert, so werden diese Daten nicht automatisch verschlüsselt. Wenn Sie solche Daten verschlüsseln möchten, müssen Sie sie zunächst aus der Cloud entfernen und dann wieder einfügen.
Zur Protokollierung des Dateizugriffs im Cloud-Speicher siehe Auditing (Seite 165).
4.3.1 Anforderungen für Software von Cloud Storage Anbietern
Damit die Verschlüsselung für in der Cloud gespeicherte Daten möglich ist, muss die Software des
Cloud Storage Anbieters
• auf dem Computer, auf dem das Modul Cloud Storage installiert ist, laufen.
• eine Anwendung (oder einen Systemdienst) im lokalen Dateisystem für die Synchronisierung zwischen der Cloud und dem lokalen System enthalten.
Copyright © Sophos Limited 273
SafeGuard Enterprise Administratorhilfe
• die synchronisierten Daten im lokalen Dateisystem speichern.
4.3.2 Anlegen von Cloud Storage Definitionen
Im SafeGuard Management Center stehen für mehrere Cloud Storage Anbieter, zum Beispiel
Dropbox oder Egnyte, vordefinierte Cloud Storage Definitionen zur Verfügung. Sie können die in den vordefinierten Cloud Storage Definitionen festgelegten Pfade nach Ihren Anforderungen ändern oder eine neue Cloud Storage Definition erstellen und Werte aus der vordefinierten als Grundlage kopieren. Dies ist vor allem dann hilfreich, wenn Sie nur einen Teil der Daten in der Cloud Storage verschlüsseln möchten. Sie können auch eigene Cloud Storage Definitionen anlegen.
Hinweis
Wenn bestimmte Ordner verschlüsselt werden (zum Beispiel der Dropbox Installationsordner), bewirkt dies unter Umständen, dass das Betriebssystem oder bestimmte Anwendungen nicht mehr laufen. Stellen Sie beim Anlegen von Cloud Storage Definitionen für Geräteschutz Richtlinien sicher, dass diese Ordner nicht verschlüsselt werden.
1. Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Cloud Storage
Definitionen.
2. Wählen Sie Neu > Cloud Storage Definition.
3. Der Neue Cloud Storage Definition Dialog wird angezeigt. Geben Sie einen Namen für die Cloud
Storage Definition ein.
4. Klicken Sie auf OK. Die Cloud Storage Definition wird mit dem eingegebenen Namen unter dem
Stammknoten Cloud Storage Definitionen im Richtlinien Navigationsbereich angezeigt.
5. Wählen Sie die Cloud Storage Definition aus. Im Arbeitsbereich auf der rechten Seite wird der
Inhalt der Cloud Storage Definition angezeigt:
• Name des Ziels:
Der zu Beginn eingegebene Name. Dieser wird zur Referenzierung der Cloud Storage
Definition als Ziel für eine Richtlinie des Typs Geräteschutz benutzt.
• Synchronisierungsapplikation:
Geben Sie den Pfad und die Anwendung für die Synchronisierung der Daten mit der Cloud ein
(zum Beispiel: <Desktop>\dropbox\dropbox.exe). Die Applikation muss sich auf einem lokalen
Laufwerk befinden.
• Synchronisierungsordner:
Geben Sie den/die Ordner ein, der/die mit der Cloud synchronisiert wird/werden. Es werden nur lokale Pfade unterstützt.
Hinweis
Für Pfade in den Einstellungen Synchronisierungsapplikation und
Synchronisierungsordner werden die gleichen Platzhalter wie für File Encryption
unterstützt, siehe Platzhalter für Pfade in pfadbasierten Dateiverschlüsselungsregeln
(Seite
265).
274
Platzhalter für Cloud Storage Anbieter
Als Sicherheitsbeauftragter können Sie Platzhalter für Cloud Storage Anbieter verwenden, um
Synchronisierungsapplikationen und Synchronisierungsordner zu definieren. Diese Platzhalter
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe stehen für unterstützte Cloud Storage Applikationen von Drittanbietern. Mit den Platzhaltern können
Sie eine bestimmte Applikation eines Drittanbieters angeben und denselben Platzhalter zum
Verweis auf die Synchronisierungsordner verwenden, die von der Applikation zur Synchronisierung verwendet werden.
Platzhalter für Cloud Storage Anbieter werden zwischen <!
und !> gesetzt.
Anbieter Platzhalter
Box
Dropbox
Egnyte
Nur
Windows
<!Box!>
<!Dropbox!>
<!Egnyte!>
<!EgnytePrivate!>
Kann in CSD-Einstellung verwendet werden.
Wird aufgelöst in
Synchronisierungsapplikation, Für
Synchronisierungsordner Synchronisierungsapplikationen:
Der "Fully qualified"-Pfad der
Synchronisierungsapplikation, die von der Box-Software benutzt wird.
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad des
Synchronisierungsordners, der von der Box-
Software benutzt wird.
Synchronisierungsapplikation, Für
Synchronisierungsordner Synchronisierungsapplikationen:
Der "Fully qualified"-Pfad der
Synchronisierungsapplikation, die von der Dropbox-
Software benutzt wird.
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad des
Synchronisierungsordners, der von der Dropbox-
Software benutzt wird.
Synchronisierungsapplikation Der "Fully qualified"-Pfad der
Synchronisierungsapplikation, die von der Egnyte-
Software benutzt wird.
Synchronisierungsordner Alle privaten Ordner in der
Egnyte Cloud Storage. Für
Standard-Egnyte-Benutzer ist dies in der Regel ein einzelner Ordner. Für
Egnyte-Administratoren, wird dieser Platzhalter in der Regel in mehrere
Ordner umgesetzt.
Copyright © Sophos Limited 275
SafeGuard Enterprise Administratorhilfe
Anbieter Platzhalter
<!EgnyteShared!>
Kann in CSD-Einstellung verwendet werden.
Synchronisierungsordner
Wird aufgelöst in
Alle freigegebenen Ordner in der Egnyte Cloud
Storage.
Hinweis
Änderungen an der Egnyte-Ordnerstruktur (auch das Hinzufügen oder Entfernen von privaten oder freigegebenen Ordnern) werden automatisch erkannt. Die entsprechenden Richtlinien werden automatisch angepasst.
Google Drive
OneDrive
Hinweis
Da sich Egnyte-Synchronisierungsordner im Netzwerk befinden können, können
Sie bei der Einstellung Synchronisierungsordner Netzwerkpfade eingeben. Das
SafeGuard Enterprise Cloud Storage Modile verbindet sich daher standardmäßig mit Netzwerkdateisystemen. Wenn dies nicht erforderlich ist, können Sie dieses Verhalten deaktivieren, indem Sie eine Richtlinie vom Typ Allgemeine
Einstellungen definieren und unter Ignorierte Geräte die Option Netzwerk auswählen.
<!GoogleDrive!>
<!OneDrive!>
Synchronisierungsapplikation, Für
Synchronisierungsordner Synchronisierungsapplikationen:
Der "Fully qualified"-Pfad der
Synchronisierungsapplikation, die von der Google Drive
Software benutzt wird.
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad des
Synchronisierungsordners, der von der Google
Drive Software benutzt wird.
Synchronisierungsapplikation, Für
Synchronisierungsordner Synchronisierungsapplikationen:
Der "Fully qualified"-Pfad der
Synchronisierungsapplikation, die von der OneDrive-
Software benutzt wird.
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad der
Synchronisierungsordner, die von der OneDrive-
Software benutzt werden.
276 Copyright © Sophos Limited
Anbieter Platzhalter
SafeGuard Enterprise Administratorhilfe
Kann in CSD-Einstellung verwendet werden.
Wird aufgelöst in
OneDrive for
Business
Hinweis
SafeGuard Enterprise unterstützt keine Microsoft Konten. Unter Windows 8.1 kann
OneDrive nur benutzt werden, wenn der Windows Benutzer ein Domänenbenutzer ist. Unter Windows 8.1 unterstützt SafeGuard Enterprise OneDrive nicht für lokale
Benutzer.
<!
>
Synchronisierungsapplikation, Für
OneDriveForBusiness!
Synchronisierungsordner Synchronisierungsapplikationen:
Der "Fully qualified"-Pfad der
Synchronisierungsapplikation, die von der OneDrive-
Software benutzt wird.
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad der
Synchronisierungsordner, die von der OneDrive-
Software benutzt werden.
SkyDrive
Nur
Windows
Hinweis
OneDrive for Business unterstützt nur das Speichern von verschlüsselten Dateien in lokalen Ordnern und ihre Synchronisierung mit der Cloud. Die Speicherung von verschlüsselten Dateien von Microsoft Office 2013 Applikationen direkt in der OneDrive for Business-Cloud oder direkt am SharePoint Server wird nicht unterstützt. Diese Dateien werden unverschlüsselt in der Cloud gespeichert.
Von SafeGuard Enterprise in der OneDrive for Business-Cloud verschlüsselte Dateien können nicht von Microsoft Office 365 geöffnet werden.
<!SkyDrive!> Synchronisierungsapplikation, Für
Synchronisierungsordner Synchronisierungsapplikationen:
Der "Fully qualified"-Pfad der
Synchronisierungsapplikation, die von der OneDrive-
Software benutzt wird.
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad der
Synchronisierungsordner, die von der OneDrive-
Software benutzt werden.
Copyright © Sophos Limited 277
SafeGuard Enterprise Administratorhilfe
Anbieter Platzhalter Kann in CSD-Einstellung verwendet werden.
Wird aufgelöst in
Da Microsoft SkyDrive auf OneDrive umbenannt hat, ist der <!SkyDrive!> Platzhalter immer noch verfügbar.
Auf diese Weise können ältere Richtlinien und SafeGuard Enterprise
Endpoints vor Version 7, die den <!OneDrive!> Platzhalter nicht handhaben können, ohne Änderungen verwendet werden. SafeGuard Enterprise
Endpoints Version 7 können beide Platzhalter handhaben.
Beispiel
Wenn Sie Dropbox als Cloud Storage Anbieter nutzen, können Sie für die
Synchronisierungsapplikation einfach <!Dropbox!> eingeben. Wenn Sie den
Synchronisierungsordner nicht explizit angeben, wird <!Dropbox!> auch in die Liste mit Ordnern unter Synchronisierungsordner kopiert.
In diesem Beispiel wird davon ausgegangen, dass
• Sie die <!Dropbox!> für die Synchronisierungsapplikation und <!Dropbox!>\encrypt für den
Synchronisierungsordner in der Cloud Storage Definition verwendet haben,
• Dropbox auf dem Endpoint installiert ist
• Der Benutzer :\dropbox als Ordner, der mit Dropbox synchronisiert werden soll, konfiguriert hat.
Wenn der durch SafeGuard Enterprise geschützte Endpoint eine Richtlinie mit einer solchen Cloud
Storage Definition (CSD) erhält, werden die Platzhalter in der CSD automatisch entsprechend dem
Pfad der Dropbox.exe für die Synchronisierungsapplikation umgesetzt. Außerdem wird die Dropbox-
Konfiguration gelesen und die Verschlüsselungsrichtlinie auf den Ordner d:\dropbox\encrypt eingestellt.
Exportieren und Importieren von Cloud Storage Definitionen
Als Sicherheitsbeauftragter können Sie Cloud Storage Definitionen exportieren und importieren. Eine
Cloud Storage Definition wird als .xml-Datei exportiert.
• Um eine Cloud Storage Definition zu exportieren, wählen Sie im Kontextmenü der gewünschten
Cloud Storage Definition im Bereich Richtlinie den Befehl Cloud Storage Definition
exportieren.
• Um eine Cloud Storage Definition zu importieren, wählen Sie im Kontextmenü des Cloud Storage
Definition Knotens im Bereich Richtlinie den Befehl Cloud Storage Definition importieren.
Beide Befehle sind auch im Menü Aktionen des SafeGuard Management Center verfügbar.
278
4.3.3 Erstellen einer Geräteschutz-Richtlinie mit dem Ziel Cloud
Storage
Die Cloud Storage Definitionen müssen bereits angelegt worden sein. Es stehen für mehrere Cloud
Storage Anbieter, zum Beispiel Dropbox oder Egnyte, vordefinierte Cloud Storage Definitionen zur
Verfügung.
Die Einstellungen für die Verschlüsselung von Cloud Storage Daten legen Sie in einer Richtlinie vom
Typ Geräteschutz fest.
1. Erstellen Sie im Richtlinien Navigationsbereich eine neue Richtlinie vom Typ Geräteschutz.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
2. Wählen eine Cloud Storage Definition als Ziel aus.
3. Klicken Sie auf OK. Die neu angelegte Richtlinie wird im Navigationsfenster unter Richtlinien angezeigt. Im Aktionsbereich werden alle Einstellungen für die Richtlinie vom Typ
Geräteschutzangezeigt. Die Einstellungen können dort geändert werden.
4. Wählen Sie für die Option Verschlüsselungsmodus für Medien die Einstellung Dateibasierend.
Volume-basierende Verschlüsselung wird nicht unterstützt.
5. Wählen Sie unter Algorithmus für die Verschlüsselung den Algorithmus, der für die
Verschlüsselung der Daten in den Synchronisierungsordnern, die in der Cloud Storage Definition definiert sind, verwendet werden soll.
6. Mit den Einstellungen Schlüssel für die Verschlüsselung und Für Verschlüsselung definierter
Schlüssel definieren Sie den Schlüssel oder die Schlüssel, die für die Verschlüsselung verwendet
werden sollen. Für weitere Informationen, siehe Geräteschutz
(Seite 219).
7. Wenn Sie die Einstellung SafeGuard Portable auf das Ziel kopieren aktivieren, wird SafeGuard
Portable in jeden Synchronisierungsordner kopiert, sobald Inhalte in den Ordner geschrieben werden. SafeGuard Portable ist eine Anwendung, mit der verschlüsselte Dateien auf Windows-
Computern, auf denen SafeGuard Enterprise installiert ist.
Hinweis
Um verschlüsselte Daten, die in der Cloud gespeichert sind, mit Benutzern zu teilen, die
SafeGuard Enterprise nicht installiert haben, sollten die Benutzer zum Erzeugen lokaler
Schlüssel berechtigt sein, siehe
(Seite 284).
8. Mit der Option Klartext-Ordner können Sie einen Ordner definieren, der von der Verschlüsselung ausgeschlossen wird. Daten in Unterordnern des definierten Klartext-Ordners werden ebenfalls von der Verschlüsselung ausgeschlossen. SafeGuard Cloud Storage erstellt automatisch leere Klartext-
Ordner in allen in der Cloud Storage Definition definierten Synchronisierungsordnern.
4.4 SafeGuard Data Exchange
Mit SafeGuard Data Exchange lassen sich Daten, die auf mit Endpoint-Computern verbundenen
Wechselmedien gespeichert werden, verschlüsseln und mit anderen Benutzern austauschen. Alle
Ver- und Entschlüsselungsprozesse laufen transparent und mit minimaler Benutzerinteraktion ab.
Nur Benutzer, die über die entsprechenden Schlüssel verfügen, können den Inhalt der verschlüsselten Daten lesen. Alle nachfolgenden Verschlüsselungsprozesse laufen transparent.
In der zentralen Administration definieren Sie, wie Daten auf Wechselmedien behandelt werden sollen.
Als Sicherheitsbeauftragter legen Sie die spezifischen Einstellungen in einer Richtlinie vom Typ
Geräteschutz mit Wechselmedien als Ziel des Geräteschutzes fest.
Wählen Sie für SafeGuard Data Exchange Dateibasierend als Verschlüsselungsmodus für
Medien.
Zur Protokollierung des Dateizugriffs auf Wechselmedien siehe
4.4.1 Best Practice
Dieser Abschnitt beschreibt einige typische Anwendungsfälle für SafeGuard Data Exchange und deren Umsetzung durch Erstellen der entsprechenden Richtlinien.
Copyright © Sophos Limited 279
SafeGuard Enterprise Administratorhilfe
Bob und Alice sind zwei Mitarbeiter des gleichen Unternehmens und haben beide SafeGuard Data
Exchange installiert. Joe ist ein externer Partner. Auf seinem Computer ist SafeGuard Enterprise nicht installiert.
Unternehmensinterne Anwendung
Bob möchte verschlüsselte Daten auf Wechselmedien an Alice weitergeben. Beide gehören derselben Gruppe an und haben daher den entsprechenden Gruppenschlüssel in ihrem SafeGuard
Enterprise Schlüsselring. Da sie den Gruppenschlüssel benutzen, können sie transparent auf die verschlüsselten Dateien zugreifen, ohne eine Passphrase eingeben zu müssen.
Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ Geräteschutz >
Wechselmedien fest:
• Verschlüsselungsmodus für Medien: Dateibasierend
• Schlüssel für die Verschlüsselung: Definierter Schlüssel aus der Liste
— Definierter Schlüssel aus der Liste: <Gruppen-/Domänenschlüssel> (z. B.
group_users_Bob_Alice@DC=...), um sicherzustellen, dass beide denselben Schlüssel benutzen
Wenn die Firmenrichtlinien zusätzlich festlegen, dass alle Dateien auf Wechselmedien immer verschlüsselt werden sollen, fügen Sie folgende Einstellungen hinzu:
• Initialverschlüsselung aller Dateien: Ja
Stellt sicher, dass Dateien auf Wechselmedien verschlüsselt werden, sobald die Wechselmedien zum ersten Mal mit dem System verbunden werden.
• Benutzer darf Initialverschlüsselung abbrechen: Nein
Der Benutzer kann die Initialverschlüsselung nicht abbrechen, um sie z. B. zu einem späteren
Zeitpunkt durchzuführen.
• Benutzer darf auf unverschlüsselte Dateien zugreifen: Nein
Werden auf Wechselmedien unverschlüsselte Dateien entdeckt, so wird der Zugriff auf diese
Dateien verweigert.
• Benutzer darf Dateien entschlüsseln: Nein
Der Benutzer darf Dateien auf Wechselmedien nicht entschlüsseln.
• SafeGuard Portable auf das Ziel kopieren: Nein
Für die gemeinsame Benutzung von Wechselmedien innerhalb der Arbeitsgruppe ist SafeGuard
Portable nicht erforderlich. Außerdem würde SafeGuard Portable das Entschlüsseln von Dateien auf Computern ohne SafeGuard Enterprise erlauben.
Die Benutzer können Daten einfach durch Austausch von Wechselmedien gemeinsam nutzen.
Wenn sie die Wechselmedien mit ihren Computern verbinden, haben sie transparenten Zugriff auf verschlüsselte Dateien.
Hinweis
Dieser Anwendungsfall kann durch Benutzung von SafeGuard Enterprise Device Encryption umgesetzt werden. Hier ist das gesamte Wechselmedium sektorbasierend verschlüsselt.
280
Anwendung bei Heimarbeit oder für persönlichen Gebrauch auf Dritt-
Computern
• Heimarbeit:
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Bob möchte seine verschlüsselten Wechselmedien auf seinem Computer zuhause benutzen, auf dem SafeGuard Enterprise nicht installiert ist. Auf seinem Computer zuhause entschlüsselt
Bob Dateien mit SafeGuard Portable. Da für alle seine Wechselmedien eine einzige Medien-
Passphrase definiert ist, muss Bob nur SafeGuard Portable öffnen und die Medien-Passphrase eingeben. Danach hat Bob transparenten Zugriff auf alle verschlüsselten Dateien, unabhängig davon, welcher lokale Schüssel für die Verschlüsselung verwendet wurde.
• Persönlicher Gebrauch auf Dritt-Computern:
Bob verbindet das Wechselmedium mit Joes (externer Partner) Computer und gibt die Medien-
Passphrase ein, um Zugriff auf die auf dem Medium gespeicherten verschlüsselten Dateien zu erhalten. Bob kann die Dateien nun - verschlüsselt oder unverschlüsselt - auf Joes Computer kopieren.
Verhalten auf dem Endpoint:
• Bob verbindet das Wechselmedium zum ersten Mal mit dem Computer.
• Der Medienverschlüsselungsschlüssel, der für jedes Medium einzigartig ist, wird automatisch erzeugt.
• Bob wird aufgefordert, die Medien-Passphrase für die Offline-Nutzung über SafeGuard Portable einzugeben.
• Der Benutzer muss nichts über den zu verwendenden Schlüssel oder den Schlüsselring wissen. Der Medienverschlüsselungsschlüssel wird ohne Benutzerinteraktion immer für die
Datenverschlüsselung verwendet. Der Medienverschlüsselungsschlüssel ist für den Benutzer auch nicht sichtbar. Nur der zentral definierte Gruppen-/Domänenschlüssel ist sichtbar.
• Bob und Alice haben innerhalb der gleichen Gruppe oder Domäne transparenten Zugriff, da sie beide den gleichen Gruppen-/Domänenschlüssel verwenden.
• Wenn Bob auf verschlüsselte Dateien auf Wechselmedien auf einem Computer ohne SafeGuard
Data Exchange zugreifen möchte, kann er die Medien-Passphrase in SafeGuard Portable benutzen.
Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ Geräteschutz >
Wechselmedien fest:
• Verschlüsselungsmodus für Medien: Dateibasierend
• Schlüssel für die Verschlüsselung: Definierter Schlüssel aus der Liste
Definierter Schlüssel aus der Liste: <Gruppen-/Domänenschlüssel> (z. B.
group_users_Bob_Alice@DC=...), um sicherzustellen, dass beide denselben Schlüssel benutzen.
• Benutzer darf eine Medien-Passphrase für Wechselmedien erzeugen: Ja
Der Benutzer definiert eine Medien-Passphrase auf seinem Computer, die für alle seine
Wechselmedien gilt.
• SafeGuard Portable auf das Ziel kopieren: Ja
SafeGuard Portable gibt dem Benutzer in einem System ohne SafeGuard Data Exchange Zugriff auf alle verschlüsselten Dateien auf den Wechselmedien durch die Eingabe einer einzigen
Medien-Passphrase.
Wenn die Firmenrichtlinien zusätzlich festlegen, dass alle Dateien auf Wechselmedien immer verschlüsselt werden sollen, fügen Sie folgende Einstellungen hinzu:
• Initialverschlüsselung aller Dateien: Ja
Stellt sicher, dass Dateien auf Wechselmedien verschlüsselt werden, sobald die Wechselmedien zum ersten Mal mit dem System verbunden werden.
Copyright © Sophos Limited 281
SafeGuard Enterprise Administratorhilfe
• Benutzer darf Initialverschlüsselung abbrechen: Nein
Der Benutzer kann die Initialverschlüsselung nicht abbrechen, um sie z. B. zu einem späteren
Zeitpunkt durchzuführen.
• Benutzer darf auf unverschlüsselte Dateien zugreifen: Nein
Werden auf Wechselmedien unverschlüsselte Dateien entdeckt, so wird der Zugriff auf diese
Dateien verweigert.
• Benutzer darf Dateien entschlüsseln: Nein
Der Benutzer darf Dateien auf Wechselmedien nicht entschlüsseln.
Im Büro haben sowohl Bob als auch Alice transparenten Zugriff auf verschlüsselte Dateien auf Wechselmedien. Zuhause oder auf Dritt-Computern können sie verschlüsselte Dateien mit
SafeGuard Portable öffnen. Die Benutzer müssen nur die Medien-Passphrase eingeben und erhalten somit Zugriff auf alle verschlüsselten Dateien. Dies ist eine einfache und sichere Methode für die Verschlüsselung von Daten auf allen Wechselmedien. Ziel dieser Konfiguration ist es, die
Benutzerinteraktion auf ein Minimum zu reduzieren und trotzdem jede Datei auf Wechselmedien zu verschlüsseln und den Benutzern Zugriff auf die verschlüsselten Dateien im Offline-Modus zu geben.
Der Benutzer darf Dateien auf Wechselmedien nicht entschlüsseln.
Hinweis
In dieser Konfiguration sind Benutzer nicht dazu berechtigt, lokale Schlüssel zu erzeugen, da dies in diesem Anwendungsfall nicht notwendig ist. Dies muss in einer Richtlinie vom Typ
Geräteschutz > Lokale Datenträger definiert werden (Allgemeine Einstellungen > Benutzer
darf einen lokalen Schlüssel erzeugen > Nein).
• SafeGuard Portable auf Wechselmedien kopieren: Nr.
Für die gemeinsame Benutzung von Wechselmedien innerhalb der Arbeitsgruppe ist SafeGuard
Portable nicht erforderlich. Außerdem würde SafeGuard Portable das Entschlüsseln von Dateien auf Computern ohne SafeGuard Enterprise erlauben.
Im Büro haben die Benutzer transparenten Zugriff auf verschlüsselte Dateien auf Wechselmedien.
Zuhause öffnen sie verschlüsselte Dateien mit SafeGuard Portable. Die Benutzer müssen nur die Medien-Passphrase eingeben und erhalten somit Zugriff auf alle verschlüsselten Dateien, unabhängig davon, welcher Schlüssel für die Verschlüsselung verwendet wurde.
Weitergabe von Wechselmedien an externe Partner
Hinweis
Dieses Beispiel gilt nur für Windows Endpoints.
Bob möchte ein verschlüsseltes Medium an Joe (externer Partner) weitergeben, der SafeGuard
Data Exchange nicht installiert hat und daher SafeGuard Portable verwenden muss. Bob möchte
Joe jedoch nicht auf alle verschlüsselten Dateien auf dem Wechselmedium Zugriff geben. Er kann hierzu einen lokalen Schlüssel erzeugen und die Dateien mit dem lokalen Schlüssel verschlüsseln.
Joe kann nun mit SafeGuard Portable die verschlüsselten Dateien mit der Passphrase des lokalen
Schlüssels öffnen. Bob dagegen kann immer noch die Medien-Passphrase für den Zugriff auf alle
Dateien auf dem Wechselmedium benutzen.
Verhalten auf dem Computer:
• Bob verbindet das Wechselmedium zum ersten Mal mit dem Computer. Der
Medienverschlüsselungsschlüssel, der für jedes Medium einzigartig ist, wird automatisch erzeugt.
282 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• Bob wird aufgefordert, die Medien-Passphrase für die Offline-Nutzung einzugeben.
• Der Medienverschlüsselungsschlüssel wird ohne Benutzerinteraktion für die
Datenverschlüsselung verwendet, aber...
• Bob kann nun einen lokalen Schlüssel (z. B. mit der Bezeichnung JoeSchlüssel) für die
Verschlüsselung der spezifischen Dateien, die mit Joe ausgetauscht werden sollen, erzeugen oder auswählen.
• Bob und Alice haben innerhalb der gleichen Gruppe oder Domäne transparenten Zugriff, da sie beide den gleichen Gruppen-/Domänenschlüssel verwenden.
• Wenn Bob auf verschlüsselte Dateien auf Wechselmedien auf einem Computer ohne SafeGuard
Data Exchange zugreifen möchte, kann er die Medien-Passphrase in SafeGuard Portable benutzen.
• Joe kann auf die spezifischen Dateien durch Eingabe der Passphrase des Schlüssels
JoeSchlüssel zugreifen, ohne auf die restlichen Dateien auf dem Wechselmedium zugreifen zu müssen.
Die notwendigen Einstellungen legen Sie in einer Richtlinie vom TypGeräteschutz >
Wechselmedien fest:
• Verschlüsselungsmodus für Medien: Dateibasierend
• Schlüssel für die Verschlüsselung: Beliebiger Schlüssel im Schlüsselring des Benutzers
Ermöglicht dem Benutzer die Auswahl unterschiedlicher Schlüssel für die Verschlüsselung von
Dateien auf Wechselmedien.
Für Verschlüsselung definierter Schlüssel: <Gruppen-/Domänenschlüssel> (z. B.
group_users_Bob_Alice@DC=...), um sicherzustellen, dass beide denselben Schlüssel benutzen und um beiden den transparenten Zugriff auf Wechselmedien zu ermöglichen, wenn sie sie mit ihren Computern im Büro verbinden.
• Benutzer darf eine Medien-Passphrase für Wechselmedien erzeugen: Ja
Der Benutzer definiert eine Medien-Passphrase auf seinem Computer, die für alle seine
Wechselmedien gilt.
• SafeGuard Portable auf das Ziel kopieren: Ja
SafeGuard Portable gibt dem Benutzer in einem System ohne SafeGuard Data Exchange Zugriff auf alle verschlüsselten Dateien auf den Wechselmedien durch die Eingabe einer einzigen
Medien-Passphrase.
Wenn die Firmenrichtlinien zusätzlich festlegen, dass alle Dateien auf Wechselmedien immer verschlüsselt werden sollen, fügen Sie folgende Einstellungen hinzu:
• Initialverschlüsselung aller Dateien: Ja
Stellt sicher, dass Dateien auf Wechselmedien verschlüsselt werden, sobald die Wechselmedien zum ersten Mal mit dem System verbunden werden.
• Benutzer darf Initialverschlüsselung abbrechen: Nein
Der Benutzer kann die Initialverschlüsselung nicht abbrechen, um sie z. B. zu einem späteren
Zeitpunkt durchzuführen.
• Benutzer darf auf unverschlüsselte Dateien zugreifen: Nein
Werden auf Wechselmedien unverschlüsselte Dateien entdeckt, so wird der Zugriff auf diese
Dateien verweigert.
• Benutzer darf Dateien entschlüsseln: Nein
Der Benutzer darf Dateien auf Wechselmedien nicht entschlüsseln.
Copyright © Sophos Limited 283
SafeGuard Enterprise Administratorhilfe
Im Büro haben sowohl Bob als auch Alice transparenten Zugriff auf verschlüsselte Dateien auf
Wechselmedien. Zuhause können sie verschlüsselte Dateien mit SafeGuard Portable durch Eingabe der Medien-Passphrase öffnen. Wenn Bob oder Alice die Wechselmedien an einen Dritt-Computer weitergeben möchten, auf dem SafeGuard Data Exchange nicht installiert ist, können sie mit lokalen
Schlüsseln sicherstellen, dass externe Partner nur auf einige spezifische Dateien zugreifen können.
Dies ist eine erweiterte Konfiguration, die durch die Möglichkeit, lokale Schlüssel auf den Computern zu erzeugen, ein höheres Maß an Benutzerinteraktion umfasst.
Hinweis
Voraussetzung für diesen Beispielanwendungsfall ist es, dass der Benutzer dazu berechtigt ist, lokale Schlüssel zu erzeugen (Standardeinstellung in SafeGuard Enterprise).
4.4.2 Gruppenschlüssel
Für den Austausch von verschlüsselten Daten zwischen Benutzern müssen SafeGuard Enterprise
Gruppenschlüssel verwendet werden. Wenn sich der Gruppenschlüssel in den Schlüsselringen der Benutzer befindet, erhalten diese vollen transparenten Zugriff auf die mit ihren Computern verbundenen Wechselmedien.
Auf Computern ohne SafeGuard Enterprise ist der Zugriff auf verschlüsselte Daten auf
Wechselmedien nicht möglich. Eine Ausnahme ist hier der zentrale definierte Domänen-/
Gruppenschlüssel, der in Verbindung mit der Medien-Passphrase benutzt werden kann.
Hinweis
Um verschlüsselte Daten auf Wechselmedien auch auf/mit Computern ohne SafeGuard Enterprise zu benutzen/weiterzugeben, können Sie SafeGuard Portable benutzen. Für SafeGuard Portable ist die Verwendung von lokalen Schlüsseln oder einer Medien-Passphrase erforderlich.
4.4.3 Lokale Schlüssel
SafeGuard Data Exchange unterstützt die Verschlüsselung mit lokalen Schlüsseln. Lokale Schlüssel werden auf dem Benutzercomputer erzeugt und können zur Verschlüsselung von Wechselmedien benutzt werden. Die Schlüssel werden durch Eingabe einer Passphrase erstellt. In der SafeGuard
Enterprise Datenbank wird jeweils eine Sicherungskopie des lokalen Schlüssels erstellt.
Hinweis
Ein Benutzer ist standardmäßig dazu berechtigt, lokale Schlüssel zu erzeugen. Sollen Benutzer nicht dazu berechtigt sein, so müssen Sie diese Option explizit deaktivieren. Dies muss in einer
Richtlinie vom Typ Geräteschutz mit Lokale Datenträger als Ziel des Geräteschutzes festgelegt werden (Allgemeine Einstellungen > Benutzer darf einen lokalen Schlüssel erzeugen >
Nein).
Werden lokale Schlüssel zum Verschlüsseln von Dateien auf Wechselmedien verwendet, lassen sich diese Dateien auf einem Computer ohne SafeGuard Data Exchange mit SafeGuard
Portable entschlüsseln. Beim Öffnen der Dateien mit SafeGuard Portable wird der Benutzer dazu aufgefordert, die Passphrase einzugeben, die beim Erzeugen des Schlüssels angegeben wurde.
Wenn dem Benutzer die Passphrase bekannt ist, kann er die Datei öffnen.
Mit SafeGuard Portable erhält jeder Benutzer, der die entsprechende Passphrase kennt, Zugang zu verschlüsselten Dateien auf Wechselmedien. Auf diese Weise ist ein Austausch von verschlüsselten
284 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Daten mit Partnern, die SafeGuard Enterprise nicht installiert haben, möglich. Sie benötigen lediglich
SafeGuard Portable sowie die Passphrase für die Dateien, auf die sie zugreifen sollen.
Durch Verwendung von verschiedenen lokalen Schlüsseln für die Verschlüsselung von Dateien auf
Wechselmedien lässt sich der Zugang zu den Dateien sogar selektiv einschränken. Zum Beispiel:
Sie verschlüsseln die Dateien auf einem USB-Stick mit einem Schlüssel mit der Passphrase
mein_lokalerSchlüssel. Für eine einzelne Datei mit dem Dateinamen FürPartner.doc verwenden
Sie die Passphrase partner_lokalerSchlüssel. Wenn Sie den USB-Stick nun an einen Partner weitergeben und ihm die Passphrase partner_lokalerSchlüssel mitteilen, hat dieser nur Zugriff auf die Datei FürPartner.doc.
Hinweis
Standardmäßig wird SafeGuard Portable automatisch auf die am System angeschlossenen
Wechselmedien kopiert, sobald Inhalte auf die von einer Verschlüsselungsregel abgedeckten
Medien geschrieben werden. Um SafeGuard Portable nicht auf die Wechselmedien zu kopieren, deaktivieren Sie die Option SafeGuard Portable auf das Ziel kopieren in einer Richtlinie vom
Typ Geräteschutz.
4.4.4 Medien-Passphrase
SafeGuard Data Exchange ermöglicht es Ihnen festzulegen, dass eine einzige Medien-Passphrase für alle Wechselmedien - mit Ausnahme von optischen Medien - auf den Endpoints erstellt werden muss. Die Medien-Passphrase ermöglicht sowohl den Zugriff auf alle zentral definierten Domänen-/
Gruppenschlüssel als auch auf alle in SafeGuard Portable verwendeten lokalen Schlüssel. Der
Benutzer muss nur eine einzige Passphrase eingeben und erhält Zugriff auf alle verschlüsselten
Dateien in SafeGuard Portable. Dabei spielt es keine Rolle, welcher lokale Schlüssel für die
Verschlüsselung verwendet wurde.
Auf jedem Endpoint wird automatisch ein einzigartiger Medienverschlüsselungsschlüssel für die
Datenverschlüsselung für jedes Medium erstellt. Dieser Schlüssel ist durch die Medien-Passphrase und einen zentral definierten Domänen-/Gruppenschlüssel gesichert. Auf einem Computer mit
SafeGuard Data Exchange ist es daher nicht notwendig, die Medien-Passphrase einzugeben, um auf die verschlüsselten Dateien auf Wechselmedien zuzugreifen. Der Zugriff wird automatisch gewährt, wenn sich der entsprechende Schlüssel im Schlüsselring des Benutzers befindet.
Der zu verwendende Domänen-/Gruppenschlüssel muss unter Für Verschlüsselung definierter
Schlüssel festgelegt werden.
Die Medien-Passphrase-Funktionalität steht zur Verfügung, wenn die Option Benutzer darf eine
Medien-Passphrase für Wechselmedien erzeugen in einer Richtlinie vom Typ Geräteschutz aktiviert ist.
Nach dem Wirksamwerden dieser Einstellung auf dem Endpoint wird der Benutzer automatisch aufgefordert, eine Medien-Passphrase einzugeben, wenn er zum ersten Mal Wechselmedien mit dem Computer verbindet. Die Medien-Passphrase ist auf allen Windows Endpoints, auf denen sich der Benutzer anmelden darf, gültig. Der Benutzer kann die Medien-Passphrase auch ändern. In diesem Fall findet automatisch eine Synchronisierung statt, wenn die Medien-Passphrase auf dem
Computer und die Medien-Passphrase der Wechselmedien nicht mehr synchron sind.
Sollte der Benutzer die Medien-Passphrase vergessen, so kann er diese ohne Helpdesk-
Unterstützung wiederherstellen.
Copyright © Sophos Limited 285
SafeGuard Enterprise Administratorhilfe
286
Hinweis
Um die Medien-Passphrase zu aktivieren, aktivieren Sie die Option Benutzer darf eine Medien-
Passphrase für Wechselmedien erzeugen in einer Richtlinie vom Typ Geräteschutz. Diese
Einstellung steht nur dann zur Verfügung, wenn Sie als Ziel des Geräteschutzes die Option
Wechselmedien gewählt haben.
Auf Macs wird die Medien-Passphrase nicht unterstützt
Medien-Passphrase und Standalone-Endpoints
Auf einem Standalone-Endpoint (d. h. auf einem Endpoint, der nicht zentral verwaltet wird) stehen ohne aktivierte Medien-Passphrase-Funktion nach der Installation keine Schlüssel zur Verfügung, da Standalone-Endpoints nur lokale Schlüssel verwenden. Vor der Benutzung der Verschlüsselung muss der Benutzer einen Schlüssel erzeugen.
Ist die Medien-Passphrase-Funktionalität in einer Wechselmedienrichtlinie für diese Endpoints aktiviert, so wird der Medienverschlüsselungsschlüssel automatisch auf dem Endpoint erzeugt und kann direkt nach Abschluss der Installation für die Verschlüsselung verwendet werden. Der
Schlüssel steht als „vordefinierter“ Schlüssel im Schlüsselring des Benutzers zur Verfügung und wird in Dialogen für die Schlüsselauswahl als <Benutzername> angezeigt.
Falls verfügbar, werden die Medienverschlüsselungsschlüssel auch für alle initialen
Verschlüsselungsvorgänge verwendet.
4.4.5 Konfigurieren von vertrauenswürdigen und ignorierten
Anwendungen für SafeGuard Data Exchange
Sie können Anwendungen als vertrauenswürdig definieren, um ihnen Zugriff auf verschlüsselte
Dateien zu geben. Dies ist zum Beispiel notwendig, damit Antivirus-Software verschlüsselte Dateien
überprüfen kann.
Sie können Anwendungen als ignoriert definieren, um sie von der transparenten
Dateiverschlüsselung/Dateientschlüsselung auszuschließen. Wenn Sie zum Beispiel ein
Backup-Programm als ignorierte Anwendung definieren, bleiben die vom Programm gesicherten verschlüsselten Daten verschlüsselt.
Hinweis
Untergeordnete Prozesse werden nicht als vertrauenswürdig/ignoriert eingestuft.
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche der Felder
Vertrauenswürdige Anwendungen oder Ignorierte Anwendungen.
3. Geben Sie im Editor-Listenfeld die Anwendungen ein, die Sie als vertrauenswürdig/ignoriert definieren möchten.
• Sie können mehrere vertrauenswürdige/ignorierte Anwendungen in einer Richtlinie definieren.
Jede Zeile im Editor-Listenfeld definiert jeweils eine Anwendung.
• Anwendungsnamen müssen auf .exe enden.
• Anwendungsnamen müssen als Fully Qualified Paths mit Laufwerk/Verzeichnis definiert werden. Es reicht nicht aus, nur den Dateinamen einzugeben (zum Beispiel "beispiel.exe"). Aus
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Gründen der Benutzerfreundlichkeit zeigt die Einzelzeilenansicht der Anwendungsliste nur die
Dateinamen getrennt durch Strichpunkte.
4. Speichern Sie Ihre Änderungen.
Hinweis
Die Richtlinieneinstellungen Vertrauenswürdige Anwendungen und Ignorierte Anwendungen sind Computereinstellungen. Die Richtlinie muss daher Computern, nicht Benutzern, zugewiesen werden. Andernfalls werden die Einstellungen nicht wirksam.
4.4.6 Konfigurieren von ignorierten Geräten für SafeGuard Data
Exchange
Sie können Geräte als ignoriert definieren, um sie von der Dateiverschlüsselung auszuschließen. Sie können nur vollständige Geräte ausschließen.
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche des Felds Ignorierte
Geräte.
3. Geben Sie die entsprechenden Gerätenamen ein, um spezifische Geräte von der Verschlüsselung auszuschließen. Dies ist zum Beispiel nützlich, wenn Sie Systeme von Dritt-Anbietern ausschließen müssen.
Hinweis
Sie können die Namen der derzeit im System benutzten Geräte mit dem Steuerungsprogramm
Fltmc.exe
von Microsoft steuern ( fltmc volumes , fltmc instances ), siehe https:// docs.microsoft.com/de-de/windows-hardware/drivers/ifs/development-and-testing-tools .
4.4.7 Konfigurieren der persistenten Verschlüsselung für
SafeGuard Data Exchange
Mit persistenter Verschlüsselung bleiben Kopien von verschlüsselten Dateien auch dann verschlüsselt, wenn sie an einem Speicherort abgelegt werden, für den keine Verschlüsselungsregel gilt.
Sie können die persistente Verschlüsselung in Richtlinien vom Typ Allgemeine Einstellungen konfigurieren. Die Richtlinieneinstellung Persistente Verschlüsselung aktivieren ist standardmäßig aktiviert.
Wenn ein Benutzer eine verschlüsselte Datei mit Speichern unter unter einem anderen
Dateinamen an einem Speicherort speichert, für den keine Verschlüsselungsregel gilt, ist die Datei unverschlüsselt.
Die Einstellung Persistente Verschlüsselung aktivieren hat keine Auswirkung, wenn Dateien an einen ignorierten Speicherort oder auf ein ignoriertes Gerät kopiert oder verschoben werden.
Ignorierte Speicherorte definieren Sie in einer Richtlinie vom Typ File Encryption > Pfadbasiert >
Modus > Ignorieren.
Copyright © Sophos Limited 287
SafeGuard Enterprise Administratorhilfe
288
4.4.8 SafeGuard Data Exchange und File Encryption
Das SafeGuard Enterprise Modul File Encryption bietet dateibasierende Verschlüsselung im
Netzwerk, speziell für Arbeitsgruppen bei Netzwerkfreigaben.
Wenn sowohl SafeGuard Data Exchange als auch File Encryption auf einem Endpoint installiert ist, kann es vorkommen, dass eine SafeGuard Data Exchange Verschlüsselungsrichtlinie für ein
Laufwerk auf dem Computer definiert ist und gleichzeitig File Encryption Richtlinien für Ordner auf demselben Laufwerk gelten. Ist dies der Fall, so erhält die SafeGuard Data Exchange Richtlinie
Vorrang vor den File Encryption Richtlinien. Neue Dateien werden gemäß der SafeGuard Data
Exchange Richtlinie verschlüsselt.
Weitere Informationen finden Sie unter
Pfadbasierte Dateiverschlüsselung (Seite 261).
4.5 SafeGuard Enterprise und selbstverschlüsselnde Opal-Festplatten
Selbst-verschlüsselnde Festplatten bieten hardware-basierende Verschlüsselung der Daten, die auf die Festplatte geschrieben werden. Die Trusted Computing Group (TCG) hat den anbieterunabhängigen Opal-Standard für selbst-verschlüsselnde Festplatten veröffentlicht. Festplatten, die dem Opal-Standard entsprechen, werden von unterschiedlichen Herstellern angeboten. SafeGuard
Enterprise unterstützt den Opal-Standard und erlaubt die Verwaltung von Endpoints mit selbstverschlüsselnden Opal-Festplatten. Weitere Informationen finden Sie im Sophos Knowledegebase-
Artikel 113366 .
4.5.1 Integration von Opal-Festplatten in SafeGuard Enterprise
In SafeGuard Enterprise lassen sich Endpoints mit selbst-verschlüsselnden Opal-Festplatten wie alle anderen durch SafeGuard Enterprise geschützten Endpoints über das SafeGuard Management
Center verwalten.
Die zentrale und vollständig transparente Verwaltung von Opal-Festplatten durch SafeGuard
Enterprise ermöglicht somit die Anwendung in heterogenen IT-Umgebungen. Durch die
Unterstützung des Opal-Standards bieten wir den vollen Funktionsumfang von SafeGuard Enterprise für Benutzer von selbst-verschlüsselnden Opal-Festplatten. In Verbindung mit SafeGuard Enterprise bieten Opal-Festplatten erweiterte Sicherheits-Featrures.
4.5.2 Aufwertung von Opal-Festplatten mit SafeGuard
Enterprise
Die Verwaltung von selbst-verschlüsselnden Opal-Festplatten mit SafeGuard Enterprise bietet Ihnen folgende Vorteile:
• Zentrale Verwaltung der Endpoints
• SafeGuard Power-on Authentication mit grafischer Benutzeroberfläche
• Unterstützung mehrerer Benutzer
• Unterstützung der Anmeldung mit Token/Smartcard
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• Unterstützung der Anmeldung mit Fingerabdruck
• Recovery (Local Self Help, Challenge/Response)
• Zentral verwaltete Protokollierung
• Verschlüsselung von Wechselmedien (z. B. USB-Sticks) mit SafeGuard Data Exchange
4.5.3 Verwaltung von Endpoints mit Opal-Festplatten durch
SafeGuard Enterprise
Sie können Endpoints mit selbst-verschlüsselnden Opal-Festplatten im SafeGuard Management
Center wie alle anderen durch SafeGuard Enterprise geschützten Endpoints verwalten. Als
Sicherheitsbeauftragter können Sie Sicherheitsrichtlinien (z. B. für die Authentisierung) erstellen und sie an die Endpoints verteilen.
Sobald ein Endpoint mit einer Opal-Festplatte bei SafeGuard Enterprise registriert ist, werden
Informationen zu Benutzer, Computer, Anmeldemodus und Verschlüsselungsstatus angezeigt.
Außerdem werden Ereignisse protokolliert.
Die Verwaltung von Endpoints mit Opal-Festplatten in SafeGuard Enterprise ist transparent. Das heißt, die Verwaltungsfunktionen haben im Allgemeinen dieselbe Funktionsweise wie für andere durch SafeGuard Enterprise geschützte Endpoints. Der Computertyp lässt sich in der Registerkarte
Bestand eines Containers unter Benutzer & Computer ermitteln. Die Spalte POA-Typ zeigt an, ob der betreffende Computer durch SafeGuard Enterprise verschlüsselt ist oder eine selbstverschlüsselnde Opal-Festplatte verwendet.
4.5.4 Verschlüsselung von Opal-Festplatten
Festplatten, die dem Opal-Standard entsprechen, sind selbst-verschlüsselnd. Daten werden automatisch verschlüsselt, wenn sie auf die Festplatte geschrieben werden.
Die Festplatten werden mit einem AES 128/256 Schlüssel als Opal-Kennwort gesperrt. Dieses
Kennwort wird von SafeGuard Enterprise über eine Verschlüsselungsrichtlinie verwaltet, siehe
(Seite 289).
4.5.5 Sperren von Opal-Festplatten
Um Opal-Festplatten zu sperren, muss für mindestens ein Volume auf der Festplatte der Computerschlüssel in einer Verschlüsselungsrichtlinie definiert werden. Wenn die
Verschlüsselungsrichtlinie ein Boot-Volume umfasst, wird der Computerschlüssel automatisch definiert.
1. Erstellen Sie im SafeGuard Management Center eine Richtlinie vom Typ Geräteschutz.
2. Wählen Sie im Verschlüsselungsmodus für Medien Feld die Einstellung Volume-basierend.
3. Wählen Sie im Feld Schlüssel für die Verschlüsselung die Einstellung Definierter
Computerschlüssel.
4. Speichern Sie Ihre Änderungen in der Datenbank.
5. Übertragen Sie die Richtlinie an den relevanten Endpoint.
Die Opal-Festplatte ist gesperrt. Der Zugriff ist nur über die Anmeldung an der SafeGuard Power-on
Authentication möglich.
Copyright © Sophos Limited 289
SafeGuard Enterprise Administratorhilfe
4.5.6 Berechtigung von Benutzern zum Entsperren von Opal-
Festplatten
Als Sicherheitsbeauftragter können Sie Benutzer dazu berechtigen, Opal-Festplatten auf ihren
Endpoints mit dem Entschlüsseln Befehl aus dem Windows Explorer Kontextmenü zu entsperren.
Voraussetzung: In der Geräteschutz-Richtlinie, die für die Opal-Festplatte gilt, muss die Option
Benutzer darf Volume entschlüsseln auf Ja eingestellt sein.
1. Erstellen Sie im SafeGuard Management Center eine Richtlinie vom Typ Geräteschutz und beziehen Sie alle Volumes auf der Opal-Festplatte in die Richtlinie ein.
2. Wählen Sie im Verschlüsselungsmodus für Medien Feld die Einstellung Keine
Verschlüsselung.
3. Speichern Sie Ihre Änderungen in der Datenbank.
4. Übertragen Sie die Richtlinie an den relevanten Endpoint.
Der Benutzer kann die Opal-Festplatte auf dem Endpoint entsperren. In der Zwischenzeit bleibt die
Festplatte gesperrt.
4.5.7 Protokollierung von Ereignissen für Endpoints mit Opal-
Festplatten
Von Endpoints mit selbst-verschlüsselnden Opal-Festplatten gemeldete Ereignisse werden wie für alle anderen durch SafeGuard Enterprise geschützten Endpoints protokolliert. Dabei wird der
Computertyp nicht explizit erwähnt. Die gemeldeten Ereignisse entsprechen den von alle anderen durch SafeGuard Enterprise geschützten Endpoints gemeldeten Ereignisse.
Für weitere Informationen, siehe Berichte
(Seite 168).
4.6 SafeGuard Configuration Protection
Das Modul SafeGuard Configuration Protection ist ab SafeGuard Enterprise 6.1 nicht mehr verfügbar. Die entsprechende Richtlinie sowie der Suspension Wizard sind im SafeGuard
Management Center 8.2 weiterhin für SafeGuard Enterprise 6 oder auch 5.60 Clients mit installiertem Configuration Protection, die mit einem 8.2 Management Center verwaltet werden, verfügbar.
Weitere Informationen zu SafeGuard Configuration Protection finden Sie in der SafeGuard
Enterprise 6 Administratorhilfe: http://www.sophos.com/de-de/medialibrary/PDFs/documentation/ sgn_60_h_eng_admin_help.pdf
.
290
4.7 Deinstallation - Überblick
Führen Sie zum Deinstallieren der SafeGuard Enterprise Verschlüsselungssoftware folgende
Schritte durch:
• Entschlüsseln Sie verschlüsselte Daten.
• Deinstallieren Sie das Konfigurationspaket.
• Deinstallieren Sie die Verschlüsselungssoftware.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Damit Entschlüsselung und Deinstallation möglich sind, müssen auf den Endpoints die entsprechenden Richtlinien wirksam sein.
Wenn sich nach der Deinstallation ein Benutzer mit Administratorrechten am Endpoint anmeldet, wird im Hintergrund ein Bereinigungstool gestartet. Der Benutzer wird darüber informiert, dass die
Bereinigung einen abschließenden Neustart benötigt.
Sie finden das Bereinigungstool hier: C:\Programme (x86)\Sophos\SafeGuard Enterprise
\SGNCleanUp.exe
4.7.1 Starten der Deinstallation
Folgende Voraussetzungen müssen erfüllt sein:
• Verschlüsselte Daten müssen korrekt entschlüsselt werden, damit nach der Deinstallation Zugriff auf die Daten besteht. Der Entschlüsselungsvorgang muss abgeschlossen sein. Die korrekte
Entschlüsselung ist besonders wichtig, wenn die Deinstallation von Active Directory ausgelöst wird.
Darüber hinaus müssen vor der Deinstallation des letzten durch SafeGuard Enterprise geschützten Endpoint alle verschlüsselten Wechselmedien entschlüsselt werden. Andernfalls besteht die Gefahr, dass Benutzer nicht mehr auf Ihre Daten zugreifen können. Solange die SafeGuard Enterprise Datenbank zur Verfügung steht, können die Daten auf den
Wechselmedien wiederhergestellt werden.
• Für die Deinstallation der Sophos SafeGuard Festplattenverschlüsselung müssen alle volumebasierend verschlüsselten Volumes einen Laufwerksbuchstaben haben.
• Deinstallieren Sie jeweils immer das komplette Paket mit allen installierten Features.
1. Bearbeiten Sie im SafeGuard Management Center die Richtlinie vom Typ Spezifische
Computereinstellungen. Stellen Sie die Option Deinstallation erlaubt auf Ja ein.
2. Legen Sie unter Benutzer & Computer eine Gruppe für die Computer an, die Sie entschlüsseln möchten: Rechtsklicken Sie auf den Domänenkonten, an dem Sie die Gruppe erstellen möchten.
Wählen Sie dann Neu > Neue Gruppe erzeugen.
3. Wählen Sie den Domänenknoten dieser Gruppe und weisen Sie die Richtlinien zum Deinstallieren zu, indem Sie die Richtlinie aus der Verfügbare Richtlinien Liste in die Registerkarte Richtlinien ziehen. Aktivieren Sie die Richtlinie, indem Sie die Gruppe aus der Liste der Verfügbaren
Gruppen in den Bereich Aktivierung ziehen. Stellen Sie in der Registerkarte Richtlinien des
Domänenknotens sicher, dass die Priorität auf 1 gesetzt und die Einstellung Kein Überschreiben aktiviert ist. Stellen Sie im Bereich Aktivierung des Domänenknotens sicher, dass nur Mitglieder der Gruppe von dieser Richtlinie betroffen sind.
4. Fügen Sie die Endpoints, bei denen die Deinstallation ausgeführt werden soll, zur Gruppe hinzu.
5. Wenden Sie zum Starten der Deinstallation eine der folgenden Methoden an:
• Um eine lokale Deinstallation auf dem Endpoint durchzuführen, synchronisieren Sie diesen mit dem SafeGuard Enterprise Server. Damit stellen Sie sicher, dass die Richtlinienaktualisierung auf dem Computer eingegangen und aktiv ist. Entfernen Sie anschließend die Sophos
SafeGuard Client Software.
• Verwenden Sie für eine zentrale Deinstallation einen Software-Verteilungsmechanismus Ihrer
Wahl. Stellen Sie sicher, dass alle erforderlichen Daten vor dem Starten der Deinstallation korrekt entschlüsselt wurden.
4.7.2 Verhindern einer Deinstallation auf den Endpoints
Um den Schutz für Endpoints noch zu verstärken, empfehlen wir, dass Sie die lokale Deinstallation von SafeGuard Enterprise auf Endpoints verhindern. Setzen Sie das Feld Deinstallation erlaubt in
Copyright © Sophos Limited 291
SafeGuard Enterprise Administratorhilfe einer Spezifische Computereinstellungen Richtlinie auf Nein und übermitteln Sie die Richtlinie an die Endpoints. So werden unautorisierte Versuche, die Software zu deinstallieren, abgebrochen und protokolliert.
292 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
5 Mac Endpoints verwalten
Macs, auf denen die folgenden Sophos Produkte installiert sind, können von SafeGuard Enterprise verwaltet werden und/oder Statusinformationen melden. Die Statusinformationen werden im
SafeGuard Management Center angezeigt:
• Sophos SafeGuard File Encryption für Mac 6.1 und höher
• Sophos SafeGuard Native Device Encryption 7.0 und höher
• Sophos SafeGuard Disk Encryption for Mac 6.1
5.1 Erzeugen eines Konfigurationspakets für Macs
Ein Konfigurationspaket für einen Mac enthält die relevanten Serverinformationen sowie das Unternehmenszertifikat. Der Mac benutzt diese Informationen zum Zurückmelden von
Statusinformationen (SafeGuard POA an/aus, Verschlüsselungsstatus usw.). Die Statusinformationen werden im SafeGuard Management Center angezeigt.
1. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
2. Wählen Sie Pakete für Managed Clients.
3. Klicken Sie auf Konfigurationspaket hinzufügen.
4. Geben Sie einen beliebigen Namen für das Konfigurationspaket ein.
5. Ordnen Sie einen primären SafeGuard Enterprise Server zu (der sekundäre Server ist nicht notwendig).
6. Wählen Sie SSL als Transportverschlüsselung für die Verbindung zwischen dem Endpoint und dem SafeGuard Enterprise Server. Für Macs wird Sophos als Transportverschlüsselung nicht unterstützt.
7. Geben Sie einen Ausgabepfad für das Konfigurationspaket (ZIP) an.
8. Klicken Sie auf Konfigurationspaket erstellen.
Die Server-Verbindung für den SSL Transportverschlüsselung Modus wird validiert. Wenn die
Verbindung fehlschlägt, wird eine Warnungsmeldung angezeigt.
Das Konfigurationspaket (ZIP) wird nun im angegebenen Verzeichnis angelegt. Im nächsten Schritt verteilen Sie das Paket zur Installation an Ihre Macs.
5.2 Über SafeGuard Native Device Encryption für
Mac
Sophos SafeGuard Native Device Encryption für Mac bietet macOS Benutzern denselben Schutz ihrer Daten wie das die Funktionalität zur Festplattenverschlüsselung in SafeGuard Enterprise für
Windows Benutzer tut.
SafeGuard Native Device Encryption für Mac baut auf der in macOS integrierten Festplatten-
Verschlüsselungstechnologie auf. Es verwendet FileVault 2 zur Verschlüsselung der gesamten
Festplatte, so dass Ihre Daten sogar dann sicher sind, wenn der Computer verloren oder gestohlen wird. Darüber hinaus ermöglicht es Ihnen, Festplattenverschlüsselung in Ihrem gesamten Netzwerk zur Verfügung zu stellen und zu verwalten.
Copyright © Sophos Limited 293
SafeGuard Enterprise Administratorhilfe
Die Verschlüsselung arbeitet transparent. Der Benutzer wird beim Öffnen, Bearbeiten und Speichern von Dateien nicht zur Verschlüsselung oder Entschlüsselung aufgefordert.
Im Management Center von SafeGuard Enterprise können Sie angeben, welche Computer
(Windows oder Mac) zu verschlüsseln sind, können deren Verschlüsselungsstatus überprüfen und
Benutzern behilflich sein, die ihr Passwort vergessen haben.
5.2.1 Verwalten von FileVault 2 Endpoints im SafeGuard
Management Center
Im SafeGuard Management Center lassen sich FileVault 2 Endpoints wie andere native SafeGuard
Endpoints verwalten. Als Sicherheitsbeauftragter können Sie Verschlüsselungsrichtlinien für die
FileVault 2 Endpoints einrichten und verteilen.
Sobald ein FileVault 2 Endpoint bei SafeGuard Enterprise registriert ist, werden Informationen zu Benutzer, Computer, Anmeldemodus und Verschlüsselungsstatus angezeigt. Darüber hinaus werden Ereignisse für FileVault 2 Clients protokolliert.
Die Verwaltung von FileVault 2 Clients in SafeGuard Enterprise ist transparent. Das heißt, die
Verwaltungsfunktionen haben im Allgemeinen dieselbe Funktionsweise für FileVault 2 und native
SafeGuard Enterprise Clients. Der Computertyp lässt sich in der Registerkarte Bestand eines
Containers unter Benutzer & Computer ermitteln. Die Spalte POA-Typ zeigt an, ob es sich bei dem betreffenden Computer um einen FileVault 2 Client handelt.
5.2.2 Verschlüsselungsrichtlinien für FileVault 2
Festplattenverschlüsselung
Der Sicherheitsbeauftragte kann eine Richtlinie für die Verschlüsselung im SafeGuard Management
Center anlegen und diese an die FileVault 2 Endpoints verteilen. Die Richtlinie wird daraufhin auf den Endpoints ausgeführt.
Da die FileVault 2 Endpoints im SafeGuard Management Center transparent verwaltet werden, muss der Sicherheitsbeauftragte keine speziellen FileVault 2-Einstellungen für die Verschlüsselung vornehmen. SafeGuard Enterprise kennt den Status der Clients und wählt die FileVault 2-
Verschlüsselung entsprechend.
Ein FileVault 2 Endpoint verarbeitet nur Richtlinien des Typs Geräteschutz mit dem Ziel Boot-
Laufwerke und einem Verschlüsselungsmodus für Medien, der auf Volume-basierend oder
Keine Verschlüsselung gesetzt ist. Alle anderen Richtlinieneinstellungen werden ignoriert.
• Volume-basierend aktiviert FileVault 2 auf dem Endpoint.
• Keine Verschlüsselung erlaubt dem Benutzer den Mac zu entschlüsseln.
5.2.3 Richtlinien
SafeGuard Native Device Encryption für Mac wendet nur Richtlinien vom Typ Geräteschutz und Allgemeine Einstellungen an und ignoriert alle Richtlinieneinstellungen außer Ziel,
Verschlüsselungsmodus für Medien und Server-Verbindungsintervall (Min).
294 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Zentral verwaltete Konfigurationsoptionen
Richtlinien werden im SafeGuard Management Center zentral verwaltet. Um die
Festplattenverschlüsselung zu starten, müssen folgende Einstellungen vorgenommen werden:
1. Erzeugen Sie eine neue Richtlinie vom Typ Geräteschutz. Als Ziel des Geräteschutzes wählen
Sie Lokale Datenträger, Interner Speicher oder Boot-Laufwerke. Geben Sie einen Namen für die Richtlinie ein und klicken Sie auf OK.
2. Wählen Sie für die Option Verschlüsselungsmodus für Medien die Einstellung Volume-
basierend.
Eine neue Richtlinie für Geräteschutz wurde erstellt und für Festplattenverschlüsselung für Macs konfiguriert.
Hinweis
Stellen Sie sicher, dass die Richtlinie den Endpoints zugewiesen ist, die Sie verschlüsseln möchten. Sie können die Richtlinie der obersten Ebene Ihrer Domäne oder Arbeitsgruppe zuweisen. Wenn sich IT-Mitarbeiter um die Installation der Endpoints kümmern, weisen Sie die
Richtlinie erst zu, nachdem die Endpoints den Endbenutzern übergeben wurden. Sonst besteht die Gefahr, dass die Endpoints zu bald verschlüsselt und IT-Mitarbeiter anstatt der eigentlichen
Benutzer für FileVault 2 aktiviert werden.
5.2.4 Wie funktioniert Verschlüsselung?
FileVault 2 schützt alle Daten mit XTS-AES-128 Datenverschlüsselung auf Laufwerksebene. Der
Algorithmus wurde für 512-Byte Blöcke optimiert. Die Konvertierung von Klartext zu Chiffretext und umgekehrt hat kaum Auswirkungen auf das Benutzererlebnis, weil ihr vom System eine entsprechend niedrige Priorität zugewiesen wird.
Arbeitete man früher mit einer Festplattenverschlüsselung, war es notwendig, sich nach dem Start des Computers zweimal zu identifizieren: Einmal, um das verschlüsselte Startvolume zu entsperren
(POA), und ein zweites Mal, um sich am Schreibtisch anzumelden.
Das ist jedoch nicht mehr notwendig. Benutzer geben ihr Kennwort bei der Pre-Boot Anmeldung ein und es wird automatisch auch an das Betriebssystem weitergegeben, sobald dieses hochgefahren ist und Anmeldeinformationen benötigt. Durch die Kennwort-Weiterleitung ist es nicht notwendig, dass sich Benutzer nach einem Neustart zweimal anmelden müssen.
Benutzer können ihr Kennwort jederzeit zurücksetzen, ohne dass deshalb eine neuerliche
Verschlüsselung notwendig wäre. Der Grund ist ein mehrstufiges Verschlüsselungsschlüssel-
System. Die Schlüssel, die dem Benutzer angezeigt werden (z. B. Kennwörter für die Anmeldung oder Recovery-Schlüssel) sind abgeleitete Verschlüsselungsschlüssel und können daher ersetzt werden. Der wirkliche Laufwerksverschlüsselungsschlüssel wird niemals einem Benutzer offengelegt.
Weiter Informationen zu FileVault 2 finden Sie in: Apple Technical White Paper - Best Practices for
Deploying FileVault 2 (Aug. 2012). Es kann von der Apple Website heruntergeladen werden.
5.2.5 Initialverschlüsselung
Wenn Sie per Richtlinie eine volume-basierende Verschlüsselung des Systemlaufwerks definieren, startet die Festplattenverschlüsselung automatisch sobald der Benutzer den Endpoint neu startet.
Der Benutzer muss wie folgt vorgehen:
Copyright © Sophos Limited 295
SafeGuard Enterprise Administratorhilfe
1. Geben Sie das macOS Passwort ein.
2. Warten Sie bis Ihr Mac neu startet.
Hinweis
Wenn die Aktivierung der Verschlüsselung fehlschlägt, wird eine Fehlermeldung angezeigt.
Nähere Informationen finden Sie in den Logdateien. Der Standardspeicherort ist /var/log/ system.log
. Suchen Sie nach fdesetup .
3. Die Festplattenverschlüsselung startet und wird im Hintergrund ausgeführt. Der Benutzer kann seine Arbeit fortsetzen.
Der Benutzer wird als der erste FileVault 2 Benutzer des Endpoints hinzugefügt.
5.2.6 Entschlüsselung
Normalerweise ist keine Entschlüsselung notwendig. Wenn der Sicherheitsbeauftragte eine
Richtlinie setzt, die Keine Verschlüsselung für Ihren bereits verschlüsselten Mac vorsieht, bleibt der Mac verschlüsselt. In diesem Fall können Benutzer allerdings auch entschlüsseln.
Die entsprechende Schaltfläche befindet sich auf der Registerkarte Disk Encryption im
Einstellungsbereich.
Benutzer mit lokalen Administrator-Rechten können nicht daran gehindert werden, mithilfe der eingebauten FileVault 2 Funktionalität manuell zu versuchen, ihre Festplatte zu entschlüsseln.
Jedoch werden sie zu einem Neustart aufgefordert, um die Entschlüsselung fertigzustellen. Sobald der Mac den Neustart abgeschlossen hat, wird SafeGuard native Device Encryption für Mac erneut die Verschlüsselung erzwingen, sofern eine entsprechende Richtlinie gesetzt ist.
5.2.7 FileVault 2 Benutzer hinzufügen
Auf Endpoints mit macOS 10.13 oder neuer werden alle existierenden Benutzer eines Endpoints automatisch zu FileVault hinzugefügt.
Auf Endpoints mit macOS 10.12 oder älter muss sich jeder Benutzer extra anmelden, um zu
FileVault hinzugefügt zu werden. Um einen Benutzer zu FileVault hinzuzufügen, gehen Sie folgendermaßen vor:
1. Melden Sie sich mit dem Benutzer an, den Sie für FileVault 2 aktivieren wollen, während der Mac eingeschaltet bleibt.
2. Geben Sie im Dialog Aktivieren Sie Ihren Benutzeraccount den Benutzernamen und das OS X
Anmeldekennwort dieses Benutzers ein.
Benutzer können sich so einfach anmelden als würde keine Festplattenverschlüsselung verwendet.
Sie können Benutzer nicht im Management Center Endpoints zuweisen, um ihnen die Verwendung von FileVault 2 zu erlauben.
5.2.8 FileVault 2 Benutzer löschen
Ein Benutzer kann im SafeGuard Management Center von der Liste der Benutzer, die einem Mac zugeordnet sind, gelöscht werden. Nach dem nächsten Synchronisieren wird der Benutzer auch am
Endpoint von der Liste der FileVault 2 Benutzer gelöscht. Das bedeutet allerdings nicht, dass sich dieser Benutzer an diesem Mac nicht mehr anmelden kann. Um wieder für FileVault 2 aktiviert zu werden ist es ist lediglich notwendig, sich einmal anzumelden während der Mac läuft.
296 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Wenn Sie verhindern wollen, dass ein bestimmter Benutzer einen Mac startet, dann markieren Sie ihn im Management Center als gesperrt. Dann wird er von der Liste der FileVault 2 Benutzer am
Client gelöscht und es ist keine neuerliche Autorisierung möglich.
Alle FileVault 2 Benutzer können gelöscht werden bis auf den letzten. Wird der Besitzer gelöscht, wird der nächste Benutzer in der Liste als Besitzer markiert. In SafeGuard Native Device Encryption für Mac macht es keinen Unterschied, ob ein Benutzer Besitzer ist oder nicht.
5.2.9 Synchronisierung mit dem Backend
Während der Synchronisierung wird der Status der Clients an das SafeGuard Enterprise Backend gemeldet, Richtlinien werden aktualisiert und die Benutzer-Computer Zuordnung wird geprüft.
Die folgenden Informationen werden von den Clients gesendet und im SafeGuard Management
Center angezeigt:
• Sobald ein Endpoint verschlüsselt ist, ist "POA" angehakt. Weitere Informationen, die angezeigt werden, umfassen Laufwerksname, Label, Typ, Status, Algorithmus und Betriebssystem.
• Neue FileVault 2 Benutzer werden auch im Management Center angezeigt.
Hinweis
Falls die SafeGuard Enterprise Client Software von einem Endpoint entfernt wird, sind der
Endpoint und seine Benutzer im SafeGuard Management Center immer noch sichtbar. Aber der
Zeitstempel des letzten Serverkontakts ändert sich nicht mehr.
Auf Client-Seite wird Folgendes aktualisiert:
• Richtlinien, die im Management Center geändert wurden, werden am Client nachgezogen.
• Benutzer, die im Management Center gelöscht oder gesperrt wurden, werden auch von der Liste der FileVault 2 Benutzer des Clients gelöscht.
5.2.10 Kommandozeilen-Optionen
Terminal erlaubt Ihnen, Kommandos und Kommandozeilen-Optionen einzugeben. Folgende
Kommandozeilen-Optionen stehen zur Verfügung:
Kommando-Name sgdeadmin
Definition
Listet die verfügbaren
Kommandos zusammen mit einer Kurzhilfe auf.
Zusätzliche Parameter (optional)
--help sgdeadmin --version
Zeigt Version und Copyright des installierten Produkts an.
sgdeadmin --status
Zeigt
Systemstatusinformationen wie Versions-, Server- und
Zertifikatsinformation an.
Copyright © Sophos Limited 297
SafeGuard Enterprise Administratorhilfe
Kommando-Name sgdeadmin --list-userdetails
Definition
Zeigt Informationen zum momentan angemeldeten
Benutzer an.
sgdeadmin --list-policies
Zeigt Richtlinien-spezifische
Informationen an. Schlüssel-
GUIDS werden wenn möglich in Schlüsselnamen aufgelöst.
Fett ausgezeichnete Elemente zeigen einen persönlichen
Schlüssel an.
sgdeadmin --synchronize
Erzwingt den sofortigen
Kontakt mit dem Server
(erfordert eine funktionierende
Serververbindung).
sgdeadmin --importrecoverykey ["recoverykey"]
Importiert den FileVault 2
Wiederherstellungsschlüssel,
überschreibt den bestehenden
Wiederherstellungsschlüssel.
Zusätzliche Parameter (optional)
--all zeigt Information für alle
Benutzer an (sudo erforderlich).
--xml zeigt Ausgabe im xml-
Format an.
--all zeigt Information für alle
Benutzer an (sudo erforderlich).
--xml zeigt Ausgabe im xml-
Format an.
--force Der bestehende
Wiederherstellungsschlüssel wird ohne nochmalige
Bestätigung überschrieben.
"recoverykey" Wenn der
Wiederherstellungsschlüssel nicht sofort eingegeben wird, wird der Benutzer danach gefragt.
sgdeadmin --import-config
"/Pfad/zur/Zieldatei"
Importiert die angegebene
Konfigurations-Zipdatei
Das Kommando braucht
Administrator-Rechte (sudo).
Hinweis
Ziehen Sie komplette
Pfade mit der Maus z.B.
aus dem Finder in die
Terminal-Anwendung.
sgdeadmin --enableserver-verify
Schaltet die SSL-
Serververifizierung für die
Kommunikation mit dem
SafeGuard Enterprise-Server ein. Nach der Installation ist die SSL-Serververifizierung standardmäßig aktiviert.
Das Kommando braucht
Administrator-Rechte (sudo).
298 Copyright © Sophos Limited
Kommando-Name sgdeadmin --disableserver-verify
SafeGuard Enterprise Administratorhilfe
Definition
Schaltet die SSL-Serververifizierung für die Kommunikation mit dem
SafeGuard Enterprise-Server aus. Das Kommando braucht
Administrator-Rechte (sudo).
Zusätzliche Parameter (optional) sgdeadmin --updatemachine-info [--domain
"domain"] sgdeadmin --enablesystemmenu sgdeadmin --disablesystemmenu sgdeadmin --synchronize
Hinweis
Wir empfehlen nicht, diese
Option zu verwenden, da dadurch eine Sicherheits-
Schwachstelle entstehen kann.
Aktualisiert die aktuell gespeicherten
Computerinformationen, die verwendet werden, um diesen Client auf dem
SafeGuard Enterprise Server zu registrieren. Das Kommando braucht Administrator-Rechte
(sudo).
--domain "domain"
Die Domain, die der Client für die Registrierung auf dem SafeGuard Enterprise
Server verwenden sollte.
Dieser Parameter ist nur erforderlich, wenn der Rechner zu mehreren Domains gehört.
Der Computer muss dieser
Domain hinzugefügt werden, ansonsten schlägt der Befehl fehl.
Hinweis
Verwenden Sie diesen Befehl erst nach dem Ändern der
Domain oder Arbeitsgruppe, zu welcher der Computer gehört. Gehört der Computer zu mehreren Domains oder
Arbeitsgruppen und führen
Sie diesen Befehl aus, kann dies zu einer Änderung der
Domain-Registrierung und
Entfernung von persönlichen
Schlüsseln und/oder FileVault
2 Benutzern führen.
Aktiviert das System-Menü am
Endpoint.
Deaktiviert das System-Menü am
Endpoint.
Startet die Synchronisierung von
Datenbankinformation aus dem
Management Center, wie z.B. von
Richtlinien und Schlüsseln.
Copyright © Sophos Limited 299
SafeGuard Enterprise Administratorhilfe
300
5.2.11 Recovery-Schlüssel für Mac-Endpoints
Der Zugriff auf mit FileVault 2 verschlüsselte SafeGuard Enterprise Clients kann mit folgenden
Schritten wiederhergestellt werden:
1. Klicken Sie im SafeGuard Management Center auf ExtrasRecovery, um den Recovery-
Assistenten zu öffnen.
2. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client (Managed).
3. Wählen Sie unter Domäne die gewünschte Domäne aus der Liste.
4. Geben Sie unter Computer den gewünschten Computernamen ein oder wählen Sie ihn aus.
Hierzu gibt es mehrere Möglichkeiten:
• Um einen Namen auszuwählen, klicken Sie auf [...]. Klicken Sie anschließend auf Jetzt
suchen. Eine Liste mit Computern wird angezeigt. Wählen Sie den gewünschten Computer aus und klicken Sie auf OK. Der Computername wird im Fenster Recovery-Typ unter
Domäne angezeigt.
• Geben Sie den Kurznamen des Computers direkt in das Feld ein. Wenn Sie auf Weiter klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird als
Distinguished Name angezeigt.
• Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel:
CN=Desktop1,OU=Development,OU=Headquarter,DC=Utimaco,DC=edu
5. Klicken Sie auf Weiter.
6. Der Recovery-Assistent zeigt den 24-stelligen Recovery-Schlüssel an.
7. Teilen Sie dem Benutzer diesen Schlüssel mit.
Der Benutzer kann den Recovery-Schlüssel eingeben, um sich am Mac-Endpoint anzumelden und das Kennwort zurückzusetzen.
5.2.12 Handhabung der Wiederherstellungsschlüssel
Wenn alle für FileVault 2 aktivierten Benutzer eines Systems ihre Kennwörter vergessen, keine
Anmeldeinformationen verfügbar sind und kein Wiederherstellungsschlüssel verfügbar ist, kann das verschlüsselte Laufwerk nicht entsperrt werden und es besteht kein Zugriff auf die Daten.
Daten könnten unwiederbringlich verloren werden, deshalb ist es wesentlich, die Wiederherstellung entsprechend zu planen.
Ein neuer Wiederherstellungsschlüssel wird jeweils bei der Aktivierung der
Festplattenverschlüsselung generiert. Wenn Sophos SafeGuard Native Device Encryption zum
Zeitpunkt der Verschlüsselung noch nicht installiert ist, dann wird er dem Benutzer angezeigt, der in der Folge auch dafür verantwortlich ist, ihn gegen Verlust zu schützen. Ist Sophos SafeGuard Native
Device Encryption installiert, dann wird er sicher an das SafeGuard Enterprise Backend übermittelt und dort zentral gespeichert. Der Sicherheitsbeauftragte kann den Wiederherstellungsschlüssel
jederzeit abfragen, wenn er benötigt wird. Siehe Vergessenes Kennwort zurücksetzen (Seite 313).
Das SafeGuard Management Center ändert den FileVault-Wiederherstellungsschlüssel automatisch, nachdem er abgerufen wurde.
Aber selbst wenn SafeGuard Native Device Encryption zum Zeitpunkt der Verschlüsselung nicht installiert war, kann der Wiederherstellungsschlüssel zentral verwaltet werden. Dafür ist es notwendig, ihn zu importieren. Der entsprechende Kommandozeilenbefehl ist sgdeadmin
--import-recoverykey , siehe auch
(Seite 297). Der
Wiederherstellungsschlüssel wird in Großbuchstaben gesendet.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Ein eventuell vorhandener institutioneller Wiederherstellungsschlüssel kann ebenfalls verwendet werden. Weitere Informationen finden Sie unter support.apple.com/kb/HT5077 .
5.2.13 Handhabung von Passwörtern
Der Sophos SafeGuard Schlüsselring ist mit einem Benutzerzertifikat gesichert. Der entsprechende private Schlüssel ist mit dem macOS Passwort geschützt.
Das Passwort wird benötigt, damit das Zertifikat erzeugt werden kann, wenn der Benutzer nicht in
SafeGuard Enterprise angelegt wurde.
Passwort lokal ändern
Benutzer können ihre Passwörter lokal unter Systemeinstellungen Benutzer & Gruppen ändern.
Es sind keine weiteren Schritte erforderlich.
Passwort wurde auf einem anderen Endpoint geändert
Hinweis
Passwörter können auf Windows und Mac Endpoints geändert werden.
Da das Passwort auf diesem Endpoint nicht mehr bekannt ist, müssen die folgenden Schritte ausgeführt werden:
1. Melden Sie sich mit Ihrem neuen Passwort an macOS an.
2. Das System konnte Ihren Schlüsselbund nicht entsperren wird angezeigt.
3. Wählen Sie Schlüsselbundkennwort aktualisieren.
4. Geben Sie das alte Passwort ein.
Nähere Informationen darüber, wie Sie Ihr Passwort zurücksetzen können, finden Sie unter
Vergessenes Kennwort zurücksetzen
(Seite 313).
5.3 Über SafeGuard File Encryption für Mac
Sophos SafeGuard File Encryption für Mac erweitert den Schutz der Daten, der von Sophos
SafeGuard Enterprise geboten wird, von Windows auch in die Mac-Welt. Ermöglicht wird eine dateibasierte Verschlüsselung auf lokalen Laufwerken, auf Netzlaufwerken, auf Wechsellaufwerken und in der Cloud.
Mit SafeGuard File Encryption für Mac können Sie Dateien sicher ver- und entschlüsseln und diese
Dateien mit anderen Benutzern zwischen Mac-Rechnern und PCs austauschen.
Um Dateien zu lesen, die mit SafeGuard Enterprise auf mobilen Geräten verschlüsselt wurden, verwenden Sie Sophos Secure Workspace für iOS oder Android.
Verschlüsselungsregeln konfigurieren
Im SafeGuard Management Center definieren Sie die Regeln für die dateibasierte Verschlüsselung in File Encryption-Richtlinien. In den File Encryption-Richtlinien geben Sie die Zielordner für File
Copyright © Sophos Limited 301
SafeGuard Enterprise Administratorhilfe
Encryption, den Verschlüsselungsmodus und den Schlüssel für die Verschlüsselung an. Diese zentrale Verwaltung stellt sicher, dass identische Ordner und Verschlüsselungsschlüssel auf unterschiedlichen Plattformen verarbeitet werden, siehe
Konfigurieren von Verschlüsselungsregeln in pfadbasierten File Encryption Richtlinien (Seite 262).
Ausgenommene Ordner
Die folgenden Ordner werden von der Verschlüsselung ausgenommen:
• Ordner werden ausgenommen, aber nicht ihre Unterordner:
— <Root>/
— <Root>/Volumes/
— <User Profile>/
• Ordner sowie ihre Unterordner werden ausgenommen:
— <Root>/bin/
— <Root>/sbin/
— <Root>/usr/
— <Root>/private/
— <Root>/dev/
— <Root>/Applications/
— <Root>/System/
— <Root>/Library/
— <User Profile>/Library/
— /<Removables>/SGPortable/
— /<Removables>/System Volume Information/
Das bedeutet, dass z. B. eine Verschlüsselungsregel für das Root einer zusätzlichen Partition
(<Root>/Volumes/) keine Wirkung hat, auch wenn sie als erhaltene Richtlinie angezeigt wird.
Eine Verschlüsselungsregel für <Root>/abc wirkt sich aus, aber nicht eine Verschlüsselungsregel für
<Root>/private/abc.
302
Verringern Sie den Administrationsaufwand
• Minimieren Sie die Anzahl der Mount Points (bzw. sicheren Ordner).
• Deaktivieren Sie die Option Bestätigung vor Erstellen mobiler Accounts einholen.
Wenn Sie mobile Accounts auf Mac-Rechnern erstellen oder verwenden, stellen Sie sicher, dass die Option Bestätigung vor Erstellen mobiler Accounts einholen deaktiviert ist. Ist die Option aktiviert, könnte der Benutzer Nicht erstellen auswählen. Dies würde dazu führen, dass ein unvollständiger macOS Benutzer angelegt wird, z. B. ein Benutzer, der kein lokales
Basisverzeichnis hat.
Zum Deaktivieren der Option sind folgende Schritte erforderlich:
1. Öffnen Sie die Systemeinstellungen und klicken Sie auf Benutzer & Gruppen.
2. Klicken Sie auf das Schloss-Symbol und geben Sie dann Ihr Kennwort ein.
3. Wählen Sie den Benutzer.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
4. Klicken Sie auf Anmeldeoptionen.
5. Wählen Sie Netzwerkaccount-Server und klicken Sie auf Bearbeiten...
6. Wählen Sie die Active Directory-Domäne.
7. Klicken Sie auf Verzeichnisdienste öffnen...
8. Klicken Sie auf das Schloss-Symbol, geben Sie Ihr Kennwort ein und klicken Sie
Konfiguration ändern.
9. Wählen Sie Active Directory und klicken Sie auf das Bearbeiten-Symbol.
10. Klicken Sie auf den Pfeil neben Erweiterte Optionen einblenden.
11. Wählen Sie Mobilen Account bei Anmeldung erstellen und deaktivieren Sie die Option
Bestätigung vor Erstellen mobiler Accounts einholen.
12. Klicken Sie auf OK.
Einschränkungen
• Maximale Anzahl an sicheren Ordnern (Aktivierungspunkte bzw. Mount Points) auf einem
Client
Auf jedem macOS Client kann es maximal 24 sichere Ordner (Aktivierungspunkte bzw. Mount
Points) geben. Sind mehrere Benutzer auf einem Rechner angemeldet, müssen Sie die Mount
Points aller angemeldeten Benutzer addieren.
• Nach Dateien suchen
— Spotlight
Standardmäßig ist die Spotlight-Suche nach Dateien in sicheren Ordnern nicht möglich.
Mit folgendem Terminal-Befehl können Sie die Spotlight-Suche aktivieren: sgfsadmin -enable-spotlight
Mit folgendem Terminal-Befehl können Sie die Spotlight-Suche aktivieren: sgfsadmin -disable-spotlight
Hinweis
Die Verwendung von Spotlight zusammen mit Sophos SafeGuard kann die
Suchgeschwindigkeit verlangsamen.
— Dateien mit Etikett
Die Suche nach Dateien mit Etikett funktioniert nicht in sicheren Ordnern.
• Verschlüsselte Dateien aus sicheren Ordnern verschieben
Wenn Sie eine verschlüsselte Datei aus einem sicheren Ordner in einen nicht sicheren Ordner verschieben, so bleibt die Datei zwar verschlüsselt, jedoch können Sie nicht mehr auf ihren Inhalt zugreifen. Sie müssen die Datei zuerst manuell entschlüsseln.
Wenn Sie eine verschlüsselte Datei in einem sicheren Ordner öffnen und in einen nicht sicheren
Ordner speichern, so wird die Datei automatisch entschlüsselt.
• Permanente Versionsspeicherung in sicheren Ordnern nicht verfügbar
Für Dateien in sicheren Ordnern ist die Standardfunktionalität Alle Versionen durchsuchen... nicht verfügbar.
• Sichere Ordner freigeben
Copyright © Sophos Limited 303
SafeGuard Enterprise Administratorhilfe
Ein sicherer Ordner kann nicht über das Netzwerk freigegeben werden.
• CDs brennen
Es ist nicht möglich, eine verschlüsselte CD zu brennen.
• Dateien löschen
Beim Löschen von Dateien aus einem sicheren Ordner (Aktivierungspunkt bzw. Mount Point) wird eine Meldung angezeigt, mit der Sie aufgefordert werden, den Löschvorgang zu bestätigen.
Gelöschte Dateien werden nicht in den Papierkorb verschoben und können somit nicht wiederhergestellt werden.
• SafeGuard Portable
SafeGuard Portable ist für Macs nicht verfügbar.
• AirDrop verwenden
Verschlüsselte Dateien können mit AirDrop übertragen werden. Stellen Sie sicher, dass das Zielgerät verschlüsselte Dateien verarbeiten kann, da sich die Anwendungen sonst möglicherweise anders verhalten als erwartet.
• Handoff
Handoff für verschlüsselte Dateien wird nicht unterstützt.
• Netzlaufwerke mit autofs aktivieren
Netzlaufwerke, für die eine Richtlinie gilt und die beim Start automatisch aktiviert werden, werden von Sophos SafeGuard File Encryption nicht erkannt. Solche Aktivierungspunkte bzw.
Mount Points können nicht verarbeitet werden, weil der ursprüngliche Mount Point nicht ersetzt werden kann.
5.3.1 Zentral verwaltete Konfigurationsoptionen
Die folgenden Optionen werden zentral im Management Center konfiguriert:
• Richtlinien
• Schlüssel
• Zertifikate
Das SafeGuard Enterprise Backend stellt ein X.509-Benutzerzertifikat zur Verfügung. Wenn
Sie sich das erste Mal anmelden, wird ein Zertifikat generiert. Das Zertifikat schützt den
Schlüsselring des Benutzers.
• Server-Verbindungsintervall
5.3.2 Richtlinien
SafeGuard File Encryption für Mac verwendet nur Richtlinien vom Typ Dateiverschlüsselung und
Allgemeine Einstellungen. Das bedeutet, dass Sie nur eine Dateiverschlüsselungsrichtlinie für die Verwaltung der Datenverschlüsselung auf dem lokalen Dateisystem, Wechselmedien,
Netzlaufwerken und Cloud-Speicher benötigen.
Geräteschutz-Richtlinien (einschließlich der Richtlinien Cloud-Speicher und Verschlüsselung von
Wechselmedien) werden für SafeGuard File Encryption für macOS ignoriert. Weisen Sie Richtlinien vom Typ File Encryption immer den Benutzerobjekten zu. Richtlinien vom Typ File Encryption, die
Endpoints zugewiesen werden, haben keine Wirkung auf macOS Endpoints.
304 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Hinweis
Im SafeGuard Management Center müssen Pfade mit Backslashs eingegeben werden. Sie werden am Mac automatisch in Schrägstriche umgewandelt.
5.3.3 Dateien im Cloud Storage verschlüsseln
SafeGuard Enterprise bietet dateibasierte Verschlüsselung von in der Cloud gespeicherten Daten.
Das Modul beeinflusst nicht die Art und Weise, wie Benutzer mit in der Cloud gespeicherten Daten arbeiten. Die Benutzer verwenden weiterhin die anbieterspezifischen Synchronisationsapplikationen zum Übertragen von Daten an die Cloud und Empfangen von Daten aus der Cloud. Lokalen Kopien der in der Cloud gespeicherten Daten werden transparent verschlüsselt. Sie werden somit immer in verschlüsselter Form in der Cloud gespeichert.
Auf Macs bietet SafeGuard Enterprise eine automatische Erkennung für folgende Cloud Storage-
Anbieter:
• Box
• Dropbox (beinhaltet Dropbox Business)
• Google Drive
• OneDrive
• OneDrive for Business
Für diese Anbieter müssen Sie nur den Pfad zu den Synchronisierungsordnern in einer pfadbasierten Richtlinie vom Typ File Encryption angeben.
Für die anwendungsbasierte Verschlüsselung von Dateien im Cloud- Storage können Sie vordefinierte Platzhalter verwenden, siehe
Anwendungsbasierte Dateiverschlüsselung in der Cloud konfigurieren
(Seite 339)
Wenn die Richtlinie einem Endpoint zugewiesen wurde, werden die Dateien in den von der Richtlinie abgedeckten Speicherorten ohne Benutzerinteraktion transparent verschlüsselt:
• Verschlüsselte Dateien werden in die Cloud synchronisiert.
• Aus der Cloud empfangene verschlüsselte Dateien können wie gewohnt bearbeitet werden.
Daten, die vor der Aktivierung der Verschlüsselung in der Cloud gespeichert wurden, werden nicht automatisch verschlüsselt. Um sicherzustellen, dass sensible Dateien auf ihren Computern verschlüsselt sind, können die Benutzer eine Initialverschlüsselung durchführen, siehe
(Seite 307).
Pfadbasierte Dateiverschlüsselung in der Cloud konfigurieren
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ File Encryption an oder wählen Sie eine vorhandene aus.
Die Registerkarte Dateiverschlüsselung wird angezeigt.
2. Wählen Sie Pfadbasiert aus der Verschlüsselungstyp Auswahlliste.
Die Tabelle für die Definition, wo anwendungsbasierte Dateiverschlüsselung am Endpoint angewendet wird, wird angezeigt.
3. Geben Sie in der Spalte Pfad den Pfad zum Cloud Storage-Synchronisierungsordner an, z.B.
<User Profile>\Dropbox .
Copyright © Sophos Limited 305
SafeGuard Enterprise Administratorhilfe
• Klicken Sie auf die Dropdown-Schaltfläche und wählen Sie einen Platzhalter für einen
Ordnernamen aus der Liste der verfügbaren Platzhalter aus.
Wenn Sie Ihren Cursor über die Listeneinträge führen, werden Tooltips angezeigt, die zeigen, wie ein Platzhalter üblicherweise auf einem Endpoint umgesetzt wird. Sie können nur gültige Platzhalter eingeben. Für eine Liste aller unterstützten Platzhalter, siehe
Platzhalter für Pfade in pfadbasierten Dateiverschlüsselungsregeln
(Seite 265).
• Alternativ geben Sie einfach den Pfad und den Namen des Ordners ein.
Hinweis
Der lokale Synchronisierungsordner darf nicht von den Benutzern geändert werden. Wenn sie beispielsweise den Ordner verschieben, funktioniert die Verschlüsselung der in der Cloud gespeicherten Dateien nicht mehr.
Wenn sich der Synchronisierungsordner auf den Endpoints ändert, müssen Sie den Pfad in der
Verschlüsselungsregel entsprechend anpassen.
4. Wählen Sie in der Spalte Anwendungsbereich eine der folgenden Optionen:
• Nur dieser Ordner, um die Regeln nur auf den Ordner anzuwenden, der in der Spalte Pfad angegeben ist.
• Mit Unterordnern, um die Regel auch auf alle Unterordner des Ordners anzuwenden.
5. Wählen Sie Verschlüsseln in der Spalte Modus.
6. Wählen Sie in der Spalte Schlüssel den Schlüssel, der für den Verschlüsseln Modus verwendet werden soll. Sie können Schlüssel verwenden, die in Benutzer & Computer erstellt und angewendet wurden.
• Klicken Sie auf die Browse-Schaltfläche, um den Dialog Schlüssel suchen zu öffnen.
Klicken Sie auf Jetzt suchen, um eine Liste mit allen verfügbaren Schlüsseln aufzurufen.
Wählen Sie den gewünschten Schlüssel aus.
Hinweis
Computerschlüssel werden in dieser Liste nicht angezeigt. Sie können von File Encryption nicht benutzt werden, da sie nur auf einem einzelnen Computer verfügbar sind. Mit diesen
Schlüsseln können daher Benutzergruppen nicht auf dieselben Daten zugreifen.
• Klicken Sie auf die Schaltfläche Persönlicher Schlüssel mit dem Schlüsselsymbol, um den
Platzhalter Persönlicher Schlüssel in die Spalte Schlüssel einzufügen. Auf dem Endpoint wird dieser Platzhalter in den aktiven persönlichen Schlüssel des angemeldeten SafeGuard
Enterprise Benutzers umgesetzt. Wenn die Benutzer noch keine aktiven persönlichen
Schlüssel haben, werden diese automatisch angelegt. Sie können persönliche Schlüssel für einzelne oder mehrere Benutzer unter Benutzer & Computer erzeugen. Weitere Informationen finden Sie unter
Persönliche Schlüssel für die dateibasierende Verschlüsselung mit File
(Seite 131).
7. Fügen Sie nach Bedarf weitere Pfade hinzu.
8. Speichern Sie Ihre Änderungen.
9. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren
Benutzergruppen zu.
306 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Fehlerbehebung und zusätzlicher Cloud Storage-Anbieter
Sophos SafeGuard erkennt Cloud Storage-Synchronisationsordner normalerweise automatisch.
Wenn Cloud Storage-Anbieter jedoch eine neue Version ihrer Software veröffentlichen und einige ihrer Standardeinstellungen ändern, schlägt diese automatische Erkennung möglicherweise fehl.
Fragen Sie in diesem Fall den Sophos Support nach einer Konfigurationsdatei. Weitere
Informationen finden Sie im Sophos knowledgebase-Artikel 126321 .
Sie können dieser Konfigurationsdatei auch neue Cloud Storage-Anbieter hinzufügen, damit sie automatisch erkannt werden.
5.3.4 Initialverschlüsselung
Die Initialverschlüsselung kann im Einstellungsbereich oder auch über die Kommandozeile gestartet werden. Sowohl Administratoren als auch Benutzer können die initiale Verschlüsselung von
Dateien auf lokalen Festplatten und Wechselmedien anstoßen. Netzwerkfreigaben können nur von
Administratoren verschlüsselt werden.
Eine Richtlinie definiert, ob die Initialverschlüsselung automatisch gestartet wird und ob lokale
Ordner, Wechselmedien oder Cloud-Verzeichnisse verschlüsselt werden.
So starten Sie die Verschlüsselung am Endpoint manuell:
1. Öffnen Sie die Systemeinstellungen.
2. Klicken Sie auf das Sophos SafeGuard Symbol.
3. Wählen Sie das Register Richtlinien.
4. Wechseln Sie in die Ansicht Lokal übersetzter Pfad sofern diese nicht bereits geöffnet ist. Sie können entweder a) alle Richtlinien über die Schaltfläche Erzwinge alle Richtlinien im unteren Fensterteil umsetzen oder b) eine einzelne Richtlinie auswählen und auf Erzwinge Richtlinie klicken.
Hinweis
Trennen Sie keine Geräte, auf denen gerade die Initialverschlüsselung ausgeführt wird.
Hinweis
Wenn Sie Details und Inhalte des lokal übersetzten Pfads sehen wollen, wählen Sie den Pfad aus der Liste und klicken Sie auf Im Finder anzeigen.
5.3.5 Schneller Benutzerwechsel
SafeGuard File Encryption für Mac unterstützt auch den schnellen Benutzerwechsel. Sie können so zwischen Benutzerkonten auf einem Endpoint wechseln, ohne Anwendung beenden oder sich von dem Rechner abmelden zu müssen.
Copyright © Sophos Limited 307
SafeGuard Enterprise Administratorhilfe
308
5.3.6 Lokale Schlüssel verwenden
Hinweis
Lokale Schlüssel können nicht mit SafeGuard Synchronized Encryption verwendet werden.
Sie können lokale Schlüssel zum Verschlüsseln von Dateien in bestimmten Ordnern auf
Wechselmedien oder in der Cloud verwenden. Diese Speicherorte müssen bereits in einer
Dateiverschlüsselungsrichtlinie enthalten sein.
So erzeugen Sie lokale Schlüssel:
1. Klicken Sie mit der rechten Maustaste auf eine oder mehrere Dateien und wählen Sie Neuen
Schlüssel erzeugen.
2. Wählen Sie einen Namen und eine Passphrase für Ihren Schlüssel und klicken Sie auf OK.
Der Schlüsselname wird automatisch vorne mit "Local_" und hinten mit Datum und Zeit ergänzt.
Der Schlüssel wird erzeugt und im Einstellungsbereich angezeigt. Der Benutzer kann nun den lokalen
Schlüssel auf ein Wechselmedium oder einem Cloud-Verzeichnis anwenden.
5.3.7 Kommandozeilen-Optionen
Terminal erlaubt Ihnen, Kommandos und Kommandozeilen-Optionen einzugeben. Folgende
Kommandozeilen-Optionen stehen zur Verfügung:
Kommando-Name sgfsadmin
Definition
Listet die verfügbaren
Kommandos zusammen mit einer Kurzhilfe auf.
sgfsadmin --version
Zeigt Version und
Copyright des installierten
Produkts an.
sgfsadmin --status
Zeigt
Systemstatusinformationen wie Versions-, Server- und
Zertifikatsinformation an.
sgfsadmin --list-user-details
Zeigt Informationen zum momentan angemeldeten
Benutzer an.
Zusätzliche Parameter (optional)
--help
--all zeigt Information für alle
Benutzer an (sudo erforderlich).
--xml zeigt Ausgabe im xml-
Format an.
sgfsadmin --list-keys
Listet existierende GUIDS und Schlüsselnamen aller Schlüssel im
Schlüsselbund auf
--all zeigt Information für alle
Benutzer an (sudo erforderlich).
--hidden-keys zeigt nur
Schlüssel an, die als verborgen markiert sind.
--xml zeigt Ausgabe im xml-
Format an.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Kommando-Name sgfsadmin --list-policies
Definition
Zeigt Richtlinienspezifische Informationen an. Schlüssel-GUIDS werden wenn möglich in
Schlüsselnamen aufgelöst.
Fett ausgezeichnete
Elemente zeigen einen persönlichen Schlüssel an.
Zusätzliche Parameter (optional)
--all zeigt Information für alle
Benutzer an (sudo erforderlich).
--xml zeigt Ausgabe im xml-
Format an.
--raw zeigt Richtlinien in Originalansicht an, d.h.
so wie sie auf SafeGuard
Management Center-
Serverseite aufgesetzt sind.
sgfsadmin --enforce-policies
Wendet die
Verschlüsselungs-
Richtlinie an
--all wendet die Richtlinie auf alle Verzeichnisse an, wo
Richtlinien gelten
"directoryname" wendet die Richtlinie auf das angegebene Verzeichnis an.
sgfsadmin --file-status
Zeigt
Verschlüsselungsinformation für eine Datei oder
Dateilisten an. Die
Verwendung von
Platzhaltern ist erlaubt.
--xml zeigt Ausgabe im xml-
Format an.
sgfsadmin --import-config "/
Pfad/zur/Datei"
Importiert die angegebene
Konfigurations-Zipdatei
Das Kommando braucht
Administrator-Rechte
(sudo).
Hinweis
Ziehen Sie komplette
Pfade mit der Maus z.B. aus dem Finder in die Terminal-
Anwendung.
sgfsadmin --enable-serververify
Schaltet die SSL-
Serververifizierung für die
Kommunikation mit dem
SafeGuard Enterprise-
Server ein. Nach der
Installation ist die SSL-
Serververifizierung standardmäßig aktiviert.
Das Kommando braucht
Administrator-Rechte
(sudo).
Copyright © Sophos Limited 309
SafeGuard Enterprise Administratorhilfe
Kommando-Name sgfsadmin --disable-serververify
Definition
Schaltet die SSL-
Serververifizierung für die
Kommunikation mit dem
SafeGuard Enterprise-Server aus. Das Kommando braucht
Administrator-Rechte (sudo).
Zusätzliche Parameter (optional) sgfsadmin --update-machineinfo [--domain "domain"]
Hinweis
Wir empfehlen nicht, diese Option zu verwenden, da dadurch eine Sicherheits-
Schwachstelle entstehen kann.
Aktualisiert die aktuell gespeicherten
Computerinformationen, die verwendet werden, um diesen Client auf dem
SafeGuard Enterprise
Server zu registrieren.
Das Kommando braucht
Administrator-Rechte
(sudo).
Hinweis
Verwenden Sie diesen
Befehl erst nach dem
Ändern der Domain oder Arbeitsgruppe, zu welcher der
Computer gehört.
Gehört der Computer zu mehreren Domains oder Arbeitsgruppen und führen Sie diesen
Befehl aus, kann dies zu einer Änderung der
Domain-Registrierung und Entfernung von persönlichen Schlüsseln und/oder FileVault 2
Benutzern führen.
--domain "domain"
Die Domain, die der Client für die Registrierung auf dem SafeGuard Enterprise
Server verwenden sollte.
Dieser Parameter ist nur erforderlich, wenn der Rechner zu mehreren Domains gehört.
Der Computer muss dieser
Domain hinzugefügt werden, ansonsten schlägt der Befehl fehl.
310 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Kommando-Name sgfsadmin --dumpunprivileged-applications
[path]
Definition
Sammelt Anwendungspfade, die nicht autorisiert sind, auf verschlüsselte Dateien zuzugreifen. Sie können die Information dazu verwenden, um Anwendungen zur Applikationenliste hinzuzufügen. Sie können die
Resultate auf einen bestimmten
Pfad beschränken.
Zusätzliche Parameter (optional)
Hinweis
Diese Funktion ist nur für
Synchronized Encryption relevant.
sgfsadmin --synchronize Startet die Synchronisierung von Datenbankinformation aus dem Management Center, wie z.B. von Richtlinien, Zertifikaten und Schlüsseln.
sgfsadmin --enable-spotlight Aktiviert die Spotlight-Suche.
sgfsadmin --disable-spotlight Deaktiviert die Spotlight-Suche.
5.3.8 Verwendung von Time Machine
Hinweis
Dieser Abschnitt ist nur relevant, wenn eine Verschlüsselungsregel für Wechselmedien definiert ist.
Wenn Sie eine neue Festplatte für das Time Machine Backup verwenden wollen und die Platte nicht automatisch vom System dafür vorgeschlagen wird, verwenden Sie folgenden Befehl in der Terminal-
Anwendung: sudo tmutil setdestination -a "/Volumes/.sophos_safeguard_{DISK NAME}/"
Wenn Sie Time Machine für einen verschlüsselten Ordner verwenden, werden keine alten Versionen angezeigt. Die Backups sind jedoch in einem verborgenen Ordner gespeichert. Sie können die Inhalte der Dateien in dem versteckten Pfad nicht lesen. Die Sicherung enthält somit nur verschlüsselte Daten und Ihre Inhalte bleiben geschützt. Um Dateien wiederherzustellen, gehen Sie wie folgt vor:
1. Öffnen Sie Time Machine.
Die Inhalte Ihres Stammverzeichnisses werden angezeigt.
2. Drücken Sie Shift + CMD + G (für "Gehe zu Ordner:") und geben Sie den versteckten Pfad des verschlüsselten Ordners ein, den Sie wiederherstellen möchten.
Wenn der verschlüsselte Ordner, mit dem Sie normalerweise arbeiten, /Benutzer/Admin/
Dokumente heißt, geben Sie /Benutzer/Admin/.sophos_safeguard_Dokumente/ ein.
3. Suchen Sie die Datei, die Sie wiederherstellen möchten, klicken Sie auf das Rad-Symbol in der
Time Machine Menüleiste und wählen Sie <file name> wiederherstellen nach....
Wenn Sie von Time Machine zu Ihrem Desktop zurückkehren, ist Ihre Datei wiederhergestellt und kann entschlüsselt werden.
Copyright © Sophos Limited 311
SafeGuard Enterprise Administratorhilfe
Hinweis
Das erste Time Machine Backup nach einer Neuinstallation von SafeGuard File Encryption dauert länger und benötigt mehr Speicherplatz als sonst. Der Grund dafür ist, dass macOS keine gestapelten Dateisysteme unterstützt und daher alle lokalen Verzeichnisse, für die sichere Mount
Points erstellt wurden (Dokumente, Musik, Filme etc.), beim Backup dupliziert werden. Nachdem das erste Backup am verborgenen Speicherort abgeschlossen ist, werden jedoch ältere Backups gelöscht und Speicherplatz wird freigegeben.
5.3.9 Arbeiten mit Wechselmedien
Zum Verschlüsseln von Dateien auf Wechselmedien brauchen Sie eine Richtlinie vom Typ
File Encryption mit dem Platzhalter <Removables> als Pfad, siehe
Platzhalter für Pfade in pfadbasierten Dateiverschlüsselungsregeln
(Seite 265).
Um Daten auf Wechselmedien zwischen zwei Stellen austauschen und bearbeiten zu können, müssen beiden Stellen die zugehörige Richtlinie und der entsprechende Schlüssel zugewiesen werden. Es können keine persönlichen Schlüssel verwendet werden.
Dateien auf Wechselmedien zwischen macOS und Windows austauschen
Für den Austausch zwischen Windows- und macOS-Endpoints müssen Wechselmedien mit FAT32 formatiert sein. Mac-Benutzer können das Festplattendienstprogramm (Disk Utility) verwenden, um das Dateisystem, mit dem das Wechselmedium formatiert wurde, anzuzeigen.
Auf dem Windows Endpoint muss eine der folgenden Data Exchange-Richtlinien gelten: Richtlinie
vom Typ Geräteschutz mit Wechselmedien als Ziel des Geräteschutzes (siehe Geräteschutz
(Seite 219)) oder Richtlinie vom Typ File Encryption mit dem Platzhalter <Removables> als Pfad.
Mit einer Richtlinieneinstellung in einer Data Exchange-Richtlinie können Sie Benutzer selbst entscheiden lassen, ob Daten verschlüsselt werden und ob die Einstellungen gespeichert werden.
Diese Richtlinieneinstellung ist nur auf Windows Endpoints wirksam. Wenn Benutzer also ein
Wechselmedium auf einem Mac verwenden und dann wieder auf ihrem Windows Endpoint, müssen sie ihre Auswahl erneut treffen. Die Medien-Passphrase-Funktionalität steht ebenso nur für Windows zur Verfügung.
Praxistipps:
Die Verwendung einer Richtlinie vom Typ File Encryption könnte die bessere Wahl sein, da Sie so nur eine Richtlinie für Mac und Windows Endpoints brauchen.
Jedoch müssen Windows-Benutzer dann auf die Wahlmöglichkeit beim Verschlüsseln von Dateien auf Wechselmedien verzichten, da die Option Benutzer darf über Verschlüsselung entscheiden bei Richtlinien vom Typ File Encryption nicht verfügbar ist.
Auf schreibgeschützten Wechselmedien (z.B. SD-Karten mit aktiviertem Schreibschutz) können secured Mountpoints nicht korrekt erzeugt werden. Verwenden Sie im Praxisbetrieb ausschließlich
Wechselmedien, die sowohl gelesen als auch beschrieben werden können.
5.4 Fehlerbehebung
312 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
5.4.1 Vergessenes Kennwort zurücksetzen
Hinweis
Diese Anleitung geht von dem Fall aus, dass ein Benutzer sowohl SafeGuard Disk Encryption als auch SafeGuard File Encryption oder Synchronized Encryption auf seinem Mac installiert hat. Ist nur eines der genannten Module installiert, können die erforderlichen Schritte abweichen.
Hat ein Benutzer sein macOS Anmeldekennwort vergessen, so gehen Sie wie folgt vor:
1. Fordern Sie den Benutzer auf, den Anmeldedialog zu öffnen und auf ? zu klicken.
Die Merkhilfe für das Kennwort wird angezeigt und der Benutzer wird aufgefordert, das Kennwort mithilfe des Recovery-Schlüssels zurückzusetzen.
2. Lassen Sie den Benutzer auf das Dreieck neben dem Text klicken, um zum nächsten Schritt zu gelangen.
3. Öffnen Sie im SafeGuard Management Center den Recovery-Assistenten über ExtrasRecovery und zeigen Sie den Recovery-Schlüssel für den betroffenen Endpoint an.
4. Teilen Sie dem Benutzer den Recovery-Schlüssel zur Eingabe im Anmeldedialog mit.
Der Recovery-Schlüssel wird erneuert, sobald er einmal zum Starten des Systems verwendet wurde. Der neue Recovery-Schlüssel wird automatisch erzeugt und an das SafeGuard Enterprise
Backend gesendet, wo er gespeichert wird, um für das nächste Recovery verfügbar zu sein.
5. Wählen Sie im SafeGuard Management Center Benutzer und Computer und entfernen Sie das
Benutzerzertifikat.
6. Bei lokalen Benutzern gehen Sie folgendermaßen vor: a) Fordern Sie den Benutzer auf, ein neues Kennwort und eine Merkhilfe zu definieren.
b) Wählen Sie im SafeGuard Management Center Benutzer und Computer.Unbestätigte
Benutzer und bestätigen Sie den Benutzer.
c) Lassen Sie den Benutzer die Registerkarte Server im Einstellungsbereich öffnen und
Synchronisieren klicken.
7. Bei Active Directory Benutzern gehen Sie folgendermaßen vor: a) Setzen Sie das alte Kennwort in der Benutzerverwaltung zurück und generieren Sie ein vorläufiges Kennwort. Wählen Sie die entsprechende Option um den Benutzer zu zwingen, sein Kennwort nach der ersten Anmeldung zu ändern.
b) Kontaktieren Sie den Benutzer und übergeben Sie das vorläufige Kennwort.
c) Lassen Sie den Benutzer im Dialog Kennwort zurücksetzen auf Abbrechen klicken und das vorläufige Kennwort eingeben.
d) Fordern Sie den Benutzer auf, ein neues Kennwort und eine Merkhilfe zu definieren und auf
Passwort zurücksetzen zu klicken.
8. Im folgenden Dialog muss der Benutzer auf Neuen Schlüsselbund erstellen klicken.
9. Nun wird der Benutzer aufgefordert, sein neues Kennwort einzugeben, um ein SafeGuard-
Benutzerzertifikat zu erstellen.
Die Schlüssel des Benutzers werden automatisch in den neuen Schlüsselbund geladen, so dass alle
Dokumente wie bisher zugänglich sind.
Copyright © Sophos Limited 313
SafeGuard Enterprise Administratorhilfe
Hinweis
Seien Sie bei der Weitergabe von Recovery-Schlüsseln vorsichtig. Ein Recovery-Schlüssel ist immer gerätespezifisch, nicht benutzerspezifisch. Stellen Sie sicher, dass der Recovery-
Schlüssel nicht dazu missbraucht wird, um unautorisierten Zugriff auf sensible Benutzerdaten auf demselben Gerät zu erlangen.
5.4.2 Probleme beim Zugriff auf Daten
Wenn ein Benutzer Probleme beim Zugriff auf seine Daten hat, kann dies folgende Ursachen haben:
• Der Benutzer wurde noch nicht bestätigt.
Weitere Informationen zu unbestätigten Benutzern finden Sie unter Erweiterte Authentisierung -
Benutzergruppe .Unbestätigte Benutzer (Seite 76).
Hinweis
Lokale Benutzer sind immer unbestätigte Benutzer.
• Der Benutzer hat nicht den erforderlichen Schlüssel in seinem Schlüsselring.
(Seite 129).
• Die Schlüssel wurden aus Sicherheitsgründen vorübergehend entzogen. Der Endpoint gilt als unsicher oder gefährdet.
5.4.3 Probleme bei der Verwendung von virtuellen Computern
(VM)
Virtualisierungsanwendungen wie VMware Fusion oder Parallels können nicht mit einem SafeGuard
Enterprise Mount Point verwendet werden. Wir empfehlen, den virtuellen Computer aus einem ausgeblendeten Ordner zu starten.
Beispiel:
Verwenden Sie zum Starten des virtuellen Computers nicht ~/Documents/Virtual Machines/ , sondern ~/.sophos_safeguard_documents/Virtual Machines .
5.4.4 Ordner "SafeGuard Recovered Files"
Unter bestimmten Umständen kann es sein, dass sich ein Ordner namens Sophos SafeGuard
Recovered Files in einem Ordner befindet. Dies ist dann der Fall, wenn SafeGuard File Encryption versucht, einen neuen sicheren Ordner (Aktivierungspunkt bzw. Mount Point) zu erstellen, aber der versteckte Ordner, der zum Speichern der verschlüsselten Inhalte erstellt werden muss (z. B. /Users/ admin/.sophos_safeguard_Documents/) bereits existiert und nicht leer ist. Dann wird der Inhalt des ursprünglichen Ordners (z. B. /Users/admin/Documents) zu Sophos SafeGuard Recovered Files verschoben und es wird wie sonst auch nur der Inhalt des versteckten Ordners angezeigt.
314 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
5.4.5 Fehlender Secure Token
Benutzer ohne Secure Token können FileVault nicht aktivieren.
Wenn sich ein Benutzer ohne Secure Token anmeldet aber die Unternehmensrichtlinie das
Aktivieren von FileVault erfordert, wird eine Meldung angezeigt, dass FileVault aufgrund eines fehlenden Secure Tokens nicht aktiviert werden kann. Der Benutzer wird gebeten, sich an den
Systemadministrator zu wenden.
Für Hilfe bei der Lösung dieses Problems, siehe Sophos Knowledgebase-Artikel 128052 .
5.5 Bestands- und Statusinformationen für Macs
Für Macs liefert der Bestand u. a. folgende Informationen zu den einzelnen Maschinen: Die angezeigten Daten können variieren, je nachdem, welches Sophos Produkt installiert ist:
• Name des Mac
• Betriebssystem
• POA-Typ
• Anzahl an verschlüsselten Laufwerken
• Anzahl an unverschlüsselten Laufwerken
• Letzter Server-Kontakt
• Änderungsdatum
• Informationen dazu, ob das aktuelle Unternehmenszertifikat verwendet wird.
5.6 Deinstallation von Native Device Encryption von Mac Endpoints
Wenn Sie die Software von einem Client deinstallieren müssen, gehen Sie wie folgt vor:
1. Wechseln Sie auf dem Mac Client zu /Library.
2. Wählen Sie den Ordner /Sophos SafeGuard DE.
3. Wählen und doppelklicken Sie die Datei Sophos SafeGuard DE Uninstaller.pkg
4. Ein Assistent führt Sie durch die Deinstallation.
Sobald das letzte Sophos SafeGuard Produkt entfernt ist, wird auch die Client-Konfiguration gelöscht.
Es ist nicht notwendig, die Festplatte zu entschlüsseln, bevor Sie die Software deinstallieren.
Ein Benutzer mit Administrator-Rechten kann nicht daran gehindert werden, die Software zu deinstallieren. (Eine Richtlinie, die das bei Windows Clients verhindert, hat keine Auswirkung bei
Mac Clients).
Das Uninstaller Package ist signiert und macOS versucht, diese Signatur zu validieren. Dieser
Vorgang kann einige Minuten dauern.
Copyright © Sophos Limited 315
SafeGuard Enterprise Administratorhilfe
5.7 Deinstallation von File Encryption von Mac
Endpoints
Wenn Sie die Software von einem Client deinstallieren müssen, gehen Sie wie folgt vor:
1. Wechseln Sie auf dem Mac Client zu /Library.
2. Öffnen Sie den Ordner Sophos SafeGuard FS.
3. Wählen und doppelklicken Sie die Datei Sophos SafeGuard FS Uninstaller.pkg.
4. Ein Assistent führt Sie durch die Deinstallation.
5. Starten Sie das System neu, bevor Sie mit Ihrer Arbeit am Mac fortfahren.
Sobald das letzte Sophos SafeGuard Produkt entfernt ist, wird auch die Client-Konfiguration gelöscht.
Hinweis
Das Uninstaller Package ist signiert und macOS versucht, diese Signatur zu validieren. Dieser
Vorgang kann einige Minuten dauern.
316 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
6 Synchronized Encryption
Dieses Kapitel gilt sowohl für Windows als auch für macOS. Informationen, die nur für eines der
Betriebssysteme gelten, sind explizit gekennzeichnet.
Module
• Anwendungsbasierte Dateiverschlüsselung
SafeGuard Enterprise Synchronized Encryption kann jede Datei, die mit einer per Richtlinie definierten Anwendung erstellt wurde, verschlüsseln, egal wo die Datei gespeichert wird. Bei diesen Anwendungen wird die Verschlüsselung automatisch ausgeführt. Die Anwendungen sind so genannte In-Apps.
Wenn Sie die Dateiverschlüsselung zum Beispiel für Microsoft Word aktivieren, wird jede
Datei, die Sie mit Word erstellen oder speichern automatisch verschlüsselt. Jeder, der den zum
Verschlüsseln der Datei verwendeten Schlüssel in seinem Schlüsselring hat, kann sie öffnen.
Standardmäßig verschlüsselt SafeGuard Enterprise Dateien mit dem Synchronized Encryption
Schlüssel, siehe
Synchronized Encryption-Schlüssel (Seite 325).
Außerdem können Sie:
• Orte definieren, wo ein anderer Schlüssel als der Synchronized Encryption Schlüssel für die
Verschlüsselung verwendet wird, zum Beispiel der persönliche Schlüssel.
• Ordner von der Verschlüsselung ausschließen.
• Nur Definierte Speicherorte verwenden, wo die definierten Anwendungen Daten verschlüsseln.
• Outlook Add-In für Windows
Synchronized Encryption beinhaltet ein Outlook-Add-In, das automatisch erkennt, wenn eine
E-Mail mit Anhängen an Empfänger außerhalb Ihres Unternehmens versendet wird. Benützer müssen entscheiden, ob sie den Anhang Kennwortgeschützt oder Ungeschützt senden möchten. Gegebenenfalls können Benutzer im angezeigten Dialog ein Kennwort definieren.
Alternativ dazu können Sie per Richtlinie ein Standardverhalten definieren, das automatisch und ohne Benutzerinteraktion ausgeführt wird.
• Integration in Sophos Central Endpoint Protection - Schlüssel auf gefährdeten Computern entziehen
In Kombination mit Sophos Central Endpoint Protection können Schlüssel automatisch entfernt werden, wenn bösartige Aktivitäten auf dem Endpoint festgestellt werden.
Dieses Feature ist nur verfügbar, wenn Sie web-basierte Sophos Central Endpoint Protection gemeinsam mit SafeGuard Enterprise verwenden.
• Schlüsselring zwischen SafeGuard Enterprise und Sophos Mobile austauschen
Schlüssel im SafeGuard Enterprise Schlüsselring können in der Sophos Secure Workspace App
(SSW), die über Sophos Mobile verwaltet wird, bereitgestellt werden. Benutzer der App können dann die Schlüssel zum Entschlüsseln, Lesen und Verschlüsseln von Dokumenten verwenden.
Diese Dateien können dann sicher zwischen allen Benutzern von SafeGuard Enterprise und
SSW ausgetauscht werden.
Copyright © Sophos Limited 317
SafeGuard Enterprise Administratorhilfe
6.1 Best Practice: Synchronized Encryption mit
Unterstützung mehrerer Schlüssel
Mit SafeGuard Enterprise Synchronized Encryption können Sie zusätzliche Schlüssel für die
Verschlüsselung an bestimmten Speicherorten konfigurieren.
Beispiel:
• Ihr Unternehmen verwendet Anwendungsbasierend (Synchronized Encryption) um alle
Dateien, die mit gemeinsam genutzten Applikationen erstellt werden, standardmäßig mit dem
Synchronized Encryption-Schlüssel zu verschlüsseln.
• Dateien im Benutzer-Ordner Dokumente werden mit dem Persönlichen Schlüssel verschlüsselt.
— Der Benutzer-Ordner Dokumente sollte den Ordner /unencrypted enthalten, wo Benutzer unverschlüsselte Dateien speichern können.
• Um sicherzustellen, dass alle Dateien auf Endpoints entsprechend der Richtlinien Ihres
Unternehmens verschlüsselt werden, sollten Sie die Initialverschlüsselung aktivieren.
6.1.1 File Encryption Richtlinie für mehrere Schlüssel erstellen
1. Wählen Sie im Management Center (Default) File Encryption und wählen Sie unter
Verschlüsselungstyp die Option Anwendungsbasierend (Synchronized Encryption).
2. Wählen Sie unter Applikationenlisten die Option Template.
Die standardmäßig vordefinierte Applikationenliste heißt Template. Sie enthält die meist verwendeten Anwendungen.
3. Wählen Sie unter Umfang der Verschlüsselung die Option Überall. Dies ist die sicherste Option und wird üblicherweise für Windows-Endpoints verwendet.
Es wird eine Regel erzeugt, nach der Dateien an allen Speicherorten mit dem Synchronized
Encryption Schlüssel verschlüsselt werden. Die Regel wird zur Liste der Speicherorte hinzugefügt, wo anwendungsbasierte Verschlüsselung gilt.
Nun können Sie bestimmte Regeln für Speicherorte hinzufügen, die Sie mit anderen Schlüsseln verschlüsseln möchten. Dies können lokale Speicherorte oder Orte im Netzwerk sein. Sie können vordefinierte Werte verwenden, um sie zu definieren.
In unserem Beispiel möchten wir den Ordner Dokumente des Benutzers verschlüsseln.
4. Um eine Regel zu erstellen, klicken Sie in das Feld Pfad und wählen Sie in der Auswahlliste
<Documents> aus.
318
Hinweis
Sie können den Umfang der Verschlüsselung nicht verändern.
Standardmäßig ist der Synchronized Encryption-Schlüssel ausgewählt, aber Sie können jeden beliebigen Schlüssel auswählen. Zum Beispiel den Domänenschlüssel oder den Schlüssel einer Organisationseinheit. Sie können auch den Persönlichen Schlüssel auswählen, der für jeden Benutzer einzigartig ist.
5. Klicken Sie auf das Persönlicher Schlüssel Symbol im Feld Schlüssel, um den persönlichen
Schlüssel des Benutzers zum Verschlüsseln des Dokumente -Ordners zu verwenden. Sie können den Mauszeiger über die Schlüssel-Symbole bewegen, um ihre Funktion anzuzeigen.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Um einen Ordner von der Verschlüsselung auszunehmen, müssen Sie für diesen Ordner eine
Ausnahmeregel definieren.
6. Klicken Sie in das Feld Pfad, wählen Sie <Documents> aus der Auswahlliste und geben Sie
\unencrypted nach dem <Documents> Platzhalter ein.
7. Wählen Sie in der Spalte Modus die Option Ausschließen aus der Auswahlliste.
8. Um die Initialverschlüsselung auf den Endpoints zu aktivieren, setzen Sie die Option Auf lokalen
Laufwerken unter Initialverschlüsselung: Bestehende Dateien automatisch verschlüsseln auf
Ja.
9. Speichern Sie die Richtlinie und übertragen Sie sie an die relevanten Endpoints.
Hinweis
Wenn Sie eine solche Richtlinie mit nur spezifischen Regeln für Speicherorte und verschiedene
Schlüssel Endpoints zuweisen, auf denen SafeGuard Enterprise 8.0 installiert ist, werden diese
Regeln korrekt angewendet. Alle angegebenen Speicherorte werden mit den ausgewählten
Schlüsseln verschlüsselt. Wenn jedoch eine Regel mit der Einstellung Überall für Umfang der
Verschlüsselung Teil der Richtlinie ist, wird nur der Synchronized Encryption -Schlüssel verwendet. Dateien an allen spezifischen Speicherorten werden ebenfalls mit dem Synchronized
Encryption -Schlüssel verschlüsselt.
6.2 Voraussetzungen
Um Synchronized Encryption Funktionen verwenden zu können, müssen die folgenden
Voraussetzungen erfüllt sein:
• SafeGuard Enterprise Server, Datenbank und Management Center sind fertig eingerichtet.
• Die Synchronized Encryption Komponente muss auf den Windows Endpoints installiert sein und
SafeGuard File Encryption muss auf macOS Endpoints installiert sein.
— Auf Windows Endpoints ersetzt Synchronized Encryption alle anderen SafeGuard Enterprise
File Encryption Module. Es kann nicht zusätzlich zu Data Exchange, File Encryption oder
Cloud Storage installiert werden. File Encryption Richtlinien, die von diesen pfadbasierten
Modulen verwendet werden, sind nicht kompatibel mit den neuen anwendungsbasierten
Synchronized Encryption Richtlinien. Wenn Sie vom SafeGuard Enterprise File Encryption
Modul zum Synchronized Encryption Modul wechseln und die pfadbasierten Richtlinien behalten, zeigt das RSOP im SafeGuard Management Center zwar beide Richtlinien an, aber nur die anwendungsbasierte ist gültig. Der Grund dafür ist, dass das RSOP bei seiner
Berechnung die auf dem Endpoint installierten Module nicht berücksichtigt.
— Das Synchronized Encryption Modul ist nicht mit SafeGuard LAN Crypt kompatibel.
• So aktivieren Sie die Features:
— Erstellen Sie eine Applikationenliste.
— Erstellen Sie anwendungsbasierte Dateiverschlüsselungsrichtlinien (Synchronized Encryption).
— Erstellen Sie Richtlinien für die Aktivierung des Outlook-Add-ins (verschlüsselt Mailanhänge entsprechend der Richtlinieneinstellungen).
— Erstellen Sie Richtlinien für die Aktivierung der Integration in Sophos Endpoint Protection
(entfernt bei bösartigen Aktivitäten die Schlüssel von Endpoints).
— Konfigurieren Sie die Synchronisierung des SafeGuard Enterprise Schlüsselrings für mobile
Geräte mit Sophos Mobile.
— Verteilen Sie die Richtlinien
Copyright © Sophos Limited 319
SafeGuard Enterprise Administratorhilfe
Auf Macs gelten nur benutzerbasierte Richtlinien. Maschinenrichtlinien werden ignoriert.
6.2.1 Installation auf Endpoints
Führen Sie den Client-Installer für Ihre Plattform aus:
• Auf Windows-Endpoints wählen Sie die Komponente Synchronized Encryption aus.
• Auf Macs installieren Sie SafeGuard File Encryption.
6.2.2 Aktualisierung von Endpoints
• Windows
Um Ihre Endpoints von SafeGuard Enterprise 8.0 (oder höher) zu aktualisieren und das
Synchronized Encryption Modul zu installieren, führen Sie den Client-Installer für Ihre Plattform aus und folgen Sie den Anweisungen auf dem Bildschirm. Dies aktualisiert die installierten
Module auf Version 8.20. Um das Synchronized Encryption Modul zu installieren, starten
Sie die Installation erneut, wählen Sie Ändern im Dialog Installation ändern, reparieren
oder entfernen und wählen Sie Synchronized Encryption. Falls installiert, entfernen Sie pfadbasierte Dateiverschlüsselung.
• macOS
Führen Sie den Client-Installer aus und folgen Sie den Anweisungen auf dem Bildschirm.
6.2.3 Migration von bestehenden
Dateiverschlüsselungsmodulen auf Windows
Benutzer können vom SafeGuard Enterprise File Encryption Modul zum Synchronized Encryption
Modul migrieren. Dateien, die davor verschlüsselt waren, bleiben verschlüsselt und zugänglich.
Dateien, die nach der Migration bearbeitet und gespeichert werden, werden mit dem Synchronized
Encryption-Schlüssel neu verschlüsselt. Dateien können mit dem Synchronized Encryption-Schlüssel neu verschlüsselt werden indem Sie per Richtlinie eine Initialverschlüsselung definieren.
Voraussetzungen
Stellen Sie sicher, dass alle erforderlichen Schlüssel ("alte" Schlüssel, die zur Verschlüsselung mit dem File Encryption Modul verwendet wurden, und "neue" Synchronized Encryption Schlüssel) im
Schlüsselring der Benutzer vorhanden sind.
• Falls nötig, können Sie Benutzern Schlüssel im Management Center zuweisen.
• Benutzer müssen, wenn benötigt, benutzerdefinierte lokale Schlüssel in ihren Schlüsselring importieren, siehe Kapitel Import von Schlüsseln aus einer Datei in der SafeGuard Enterprise
Benutzerhilfe. Dann stehen die lokalen Schlüssel auch auch im SafeGuard Management Center zur Verfügung. Sie können Benutzern nach Bedarf zugewiesen werden.
Migration durchführen
Führen Sie folgende Schritte aus:
1. Installieren Sie das Synchronized Encryption Modul am Endpoint. Das Modul ersetzt das bestehende File Encryption Modul.
320 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
2. Stellen Sie sicher, dass alle Schlüssel, die die Benutzer von File Encryption in ihrem
Schlüsselring hatten, im Schlüsselring erhalten bleiben. Dies ermöglicht den Benutzern, auch mit
Synchronized Encryption auf alle verschlüsselten Dateien zuzugreifen.
3. Erzeugen Sie im Management Center neue Synchronized Encryption Richtlinien.
• Alle Anwendungen, die auf verschlüsselte Dateien zugreifen können sollen, müssen in der
Applikationenliste enthalten sein, die in den Synchronized Encryption Richtlinien verwendet wird.
• Synchronized Encryption Richtlinien sollen den selben Umfang der Verschlüsselung haben wie die früheren pfadbasierten File Encryption Richtlinien.
• Definieren Sie Einstellungen für die Initialverschlüsselung. Die Initialverschlüsselung startet unmittelbar nachdem die Richtlinie am Endpoint angewendet wurde und es werden alle
Dateien mit dem Synchronized Encryption Schlüssel verschlüsselt oder neu verschlüsselt.
Folglich sind alle Dateien entsprechend der Richtlinie verschlüsselt.
Hinweis
Die Initialverschlüsselung kann auch über das Windows Explorer Kontextmenü gestartet werden (SafeGuard DateiverschlüsselungGemäß Richtlinie verschlüsseln).
4. Verteilen Sie die Richtlinien
Ergebnis
• Verschlüsselte Dateien, die in den Synchronized Encryption Richtlinien enthalten sind, werden mit dem Synchronized Encryption Schlüssel neu verschlüsselt.
• Dateien, die mit Anwendungen erzeugt oder geändert wurden, die in der Synchronized
Encryption Applikationenliste enthalten sind, werden mit dem Synchronized Encryption Schlüssel verschlüsselt.
• Verschlüsselte Dateien, die nicht in den Synchronized Encryption Richtlinien enthalten sind, bleiben mit dem ursprünglichen File Encryption Schlüssel verschlüsselt. Benutzer, die den erforderlichen Schlüssel in ihrem Schlüsselring haben, können Dateien immer manuell entschlüsseln, auch wenn die Dateien in keiner Verschlüsselungsrichtlinie enthalten sind.
6.2.4 Migration von bestehenden
Dateiverschlüsselungsmodulen auf macOS
Sophos SafeGuard Enterprise macOS Endpoints können sowohl Synchronized Encryption
Richtlinien vom Typ Anwendungsbasiert als auch File Encryption Richtlinien vom Typ Pfadbasiert verarbeiten. Abhängig davon, welche Richtlinien sie erhalten, verhalten sie sich wie Synchronized
Encryption Endpoints oder wie File Encryption Endpoints.
Wenn Sie von Version 7 aktualisieren, bleiben die Endpoints im pfadbasierten File Encryption Modus wie in der vorigen Version.
So wechseln Sie auf den anwendungsbasierten Synchronized Encryption Modus:
Migration durchführen
1. Erzeugen Sie im Management Center neue Synchronized Encryption Richtlinien.
Copyright © Sophos Limited 321
SafeGuard Enterprise Administratorhilfe
• Alle Anwendungen, die auf verschlüsselte Dateien zugreifen können sollen, müssen in der
Applikationenliste enthalten sein, die in den Synchronized Encryption Richtlinien verwendet wird.
• Synchronized Encryption Richtlinien sollen den selben Umfang der Verschlüsselung haben wie die früheren pfadbasierten File Encryption Richtlinien.
• Definieren Sie Einstellungen für die Initialverschlüsselung. Die Initialverschlüsselung startet unmittelbar nachdem die Richtlinie am Endpoint angewendet wurde und es werden alle
Dateien mit dem Synchronized Encryption Schlüssel verschlüsselt oder neu verschlüsselt.
Folglich sind alle Dateien entsprechend der Richtlinie verschlüsselt.
Hinweis
Benutzer können die Initialverschlüsselung auch über die Registerkarte Richtlinien im
Einstellungsbereich starten (Erzwinge alle Richtlinien) oder den Terminal-Befehl für die
Initialverschlüsselung ausführen.
2. Verteilen Sie die Richtlinien
3. Benutzer werden nach dem Erhalt der Richtlinien aufgefordert, sich ab- und wieder anzumelden.
Ergebnis
• Verschlüsselte Dateien, die in den Synchronized Encryption Richtlinien enthalten sind, werden mit dem Synchronized Encryption Schlüssel neu verschlüsselt.
• Dateien, die mit Anwendungen erzeugt oder geändert wurden, die in der Synchronized
Encryption Applikationenliste enthalten sind, werden mit dem Synchronized Encryption Schlüssel verschlüsselt.
• Verschlüsselte Dateien, die nicht in den Synchronized Encryption Richtlinien enthalten sind, bleiben mit dem ursprünglichen File Encryption Schlüssel verschlüsselt. Benutzer, die den erforderlichen Schlüssel in ihrem Schlüsselring haben, können Dateien immer manuell entschlüsseln, auch wenn die Dateien in keiner Verschlüsselungsrichtlinie enthalten sind.
6.2.5 Partieller Rollout von Synchronized Encryption
Stellen Sie im Fall eines partiellen Rollouts von SafeGuard Enterprise Synchronized Encryption sicher, dass alle Benutzer auf gemeinsam verwendete verschlüsselte Dateien zugreifen können.
Wenn Sie die Verschlüsselung in Ihrem Unternehmen Schritt für Schritt einführen möchten, können
Sie damit beginnen, Synchronized Encryption Richtlinien mit aktivierter Verschlüsselung zum
Beispiel nur an die Endpoints der Marketing -Abteilung zu verteilen. Diese Endpoints werden dann Dateien entsprechend der Synchronized Encryption Richtlinien verschlüsseln. Benutzer in anderen Abteilungen können dann nicht auf diese Dateien zugreifen, da die Synchronized
Encryption Richtlinien auf ihren Endpoints noch nicht ausgerollt wurden. Um diese Situation zu vermeiden, können Sie Lesezugriff-Richtlinien verteilen, die das Lesen von verschlüsselten Dateien ermöglichen. Damit können keine Daten verschlüsselt werden, jedoch können verschlüsselte Daten gelesen werden.
Voraussetzung:
• SafeGuard Enterprise Server, Datenbank und Management Center sind fertig eingerichtet.
• Das Synchronized Encryption Modul ist auf allen Endpoints installiert und kann sich mit dem
Management Center verbinden (Konfigurationspaket ist installiert).
322 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• Sie haben eine Applikationenliste und eine Synchronized Encryption Richtlinie für die Endpoints erstellt, die Daten verschlüsseln sollen.
Partieller Rollout Schritt für Schritt
1. Erstellen Sie eine Synchronized Encryption Richtlinie (anwendungsbasiert) im SafeGuard
Management Center.
2. Verteilen Sie die Richtlinie an die Benutzer, deren Endpoints Daten verschlüsseln sollen. Im genannten Beispiel sind dies die Endpoints der Marketing-Abteilung.
3. Erstellen Sie Lesezugriff-Richtlinien.
Hinweis
Sie müssen gesonderte Richtlinien für Windows und Mac Endpoints erstellen.
4. Verteilen Sie die Lesezugriff-Richtlinien an alle übrigen Windows und Mac Endpoints. Im genannten Beispiel sind dies alle Endpoints außerhalb der Marketing-Abteilung.
Erstellen von Lesezugriff-Richtlinien für Windows Endpoints
1. Klicken Sie im Management Center auf Richtlinien.
2. Klicken Sie mit der rechten Maustaste auf Richtlinien, wählen Sie Neu und dann
Dateiverschlüsselung.
3. Geben Sie einen Namen für die Richtlinie ein und klicken Sie auf OK.
4. Wählen Sie in der Registerkarte Dateiverschlüsselung die Option Anwendungsbasierend
(Synchronized Encryption) aus der Auswahlliste Verschlüsselungstyp.
Applikationenliste und Umfang der Verschlüsselung Optionen werden angezeigt.
5. Wählen Sie die Applikationenliste, die Sie zuvor in der Auswahlliste erstellt haben.
6. Wählen Sie aus der Auswahlliste Umfang der Verschlüsselung die Option Definierte
Speicherorte.
7. Wenn Sie die Registerkarte Dateiverschlüsselung verlassen, werden Sie aufgefordert, Ihre
Änderungen zu speichern.
8. Klicken Sie auf Ja.
9. Wechseln Sie zu Benutzer und Computer und aktivieren Sie die neue Richtlinie für die Windows-
Benutzer, die verschlüsselte Daten lesen, aber nicht selbst verschlüsseln können sollen.
Hinweis
Diese Richtlinie darf keinen macOS Endpoints zugewiesen werden. Dies kann erreicht werden, indem Sie die Richtlinie nur für .Authentisierte Computer aktivieren, da macOS Endpoints nur Benutzereinstellungen interpretieren. Ziehen Sie dazu die Gruppe
.Authentisierte Benutzer vom Richtlinien-Aktivierungsbereich in die Liste Verfügbare
Gruppen.
Erstellen von Lesezugriff-Richtlinien für Mac Endpoints
1. Klicken Sie im Management Center auf Richtlinien.
2. Klicken Sie mit der rechten Maustaste auf Richtlinien, wählen Sie Neu und dann
Dateiverschlüsselung.
3. Geben Sie einen Namen für die Richtlinie ein und klicken Sie auf OK.
Copyright © Sophos Limited 323
SafeGuard Enterprise Administratorhilfe
4. Wählen Sie in der Registerkarte Dateiverschlüsselung die Option Pfadbasiert aus der
Auswahlliste Verschlüsselungstyp.
Eine Liste zum Definieren der Pfade für die pfadbasierte Verschlüsselung wird angezeigt.
5. Geben Sie folgende Pfade an und schließen Sie sie von der Verschlüsselung aus.
• Netzwerkfreigaben: Verwenden Sie den Platzhalter <Network Shares> , um auf das Root-
Verzeichnis aller macOS Netzwerkfreigaben zu verweisen.
• Wechselmedien: Verwenden Sie den Platzhalter <Removables> , um auf das Root-Verzeichnis aller macOS Wechselmedien zu verweisen.
• Cloudspeicher-Dienste Geben Sie einen oder mehrere Ordner ein, die mit der Cloud synchronisiert werden. Es werden nur lokale Pfade unterstützt.
• Der folgende Pfad wird nur bei Microsoft Outlook für Mac 2011 benötigt:
<User Profile>\Library\Caches\TemporaryItems\Outlook Temp\
• Der folgende Pfad wird nur bei Microsoft Outlook für Mac 2016 benötigt:
<%TMPDIR%>\com.microsoft.Outlook\Outlook Temp\
• Die folgenden Pfade werden nur bei Apple Mail benötigt:
<User Profile>\Library\Containers\com.apple.mail\Data\Library\Mail
Downloads\
<%TMPDIR%>\com.apple.mail\com.apple.mail\
6. Stellen Sie sicher, dass alle Pfade von der Verschlüsselung ausgenommen sind: In der Spalte
Modus ist für alle Pfade Ausschließen ausgewählt.
7. Wenn Sie die Registerkarte Dateiverschlüsselung verlassen, werden Sie aufgefordert, Ihre
Änderungen zu speichern.
8. Klicken Sie auf Ja.
9. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie den Mac-Benutzern zu, die verschlüsselte Daten lesen, aber nicht selbst verschlüsseln können sollen.
6.3 Daten verschlüsseln
SafeGuard Enterprise Synchronized Encryption beinhaltet ein vielseitiges Dateiverschlüsselungs-
Modul. Synchronized Encryption ermöglicht Ihnen, sensible Dateien anhand der Anwendung, mit der sie erstellt wurden, zu verschlüsseln. Die Verschlüsselung ist persistent, das bedeutet, Ihre Daten sind auch dann sicher, wenn sie an einen anderen Ort verschoben, in die Cloud hochgeladen oder per E-Mail versandt werden. Abhängig von der Richtlinie werden bestimmte Dateitypen automatisch verschlüsselt. In manchen Fällen kann es jedoch erforderlich sein, einzelne Dateien manuell zu verschlüsseln oder entschlüsseln. Im Windows Explorer und im macOS Finder sind verschlüsselte
Dateien mit einem grünen Schloss-Symbol gekennzeichnet.
Um zu verhindern, dass Benutzer Dateien manuell entschlüsseln, siehe
Dateien manuell entschlüsseln (Seite 357).
Daten mit verschiedenen Schlüsseln verschlüsseln
Sie können festlegen, dass Dateien an bestimmten Orten mit unterschiedlichen Schlüsseln verschlüsselt werden, siehe
Erstellen von Richtlinien für anwendungsbasierte Dateiverschlüsselung
(Seite 331).
324 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Richtlinien
• Synchronized Encryption-Richtlinien werden nicht vereinigt. Es wird immer jene Richtlinie angewendet, die in der Hierarchie dem Zielobjekt (Benutzer oder Computer) am nächsten ist. Die
Richtlinie, die gerade für einen Benutzer oder Computer in Kraft ist, wird in der Registerkarte RSOP unter Benutzer Computer angezeigt.
Persistente Verschlüsselung
Windows
• Wenn Sie eine verschlüsselte Datei von einem verschlüsselten Ordner in einen unverschlüsselten Ordner verschieben bleibt die Datei trotzdem verschlüsselt. Sie können die
Datei öffnen und bearbeiten. Die Datei bleibt auch verschlüsselt, wenn Sie sie bearbeiten und speichern.
macOS
• Verschlüsselte Dateien aus sicheren Ordnern verschieben
Als Sicherheitsbeauftragter definieren Sie, welche Ordner auf Ihren Macs als sichere Ordner gelten. Wenn Sie Synchronized Encryption verwenden, werden alle Dateien in sicheren Ordnern automatisch verschlüsselt.
Wenn Sie eine verschlüsselte Datei von einem sicheren Ordner in einen nicht-sicheren Ordner verschieben bleibt die Datei trotzdem verschlüsselt. Sie können die Datei öffnen, jedoch wird der
Inhalt verschlüsselt angezeigt. Sie müssen sie zuerst manuell entschlüsseln.
Wenn Sie eine verschlüsselte Datei in einem sicheren Ordner öffnen und in einen nicht-sicheren
Ordner speichern wird die Datei automatisch entschlüsselt.
Backup (Sicherung)
Wenn Sie Backup-Software verwenden (Dateiversionsverlauf unter Windows 8.x und Windows 10 oder Time Machine unter macOS), haben Sie möglicherweise ältere Versionen von den Dateien, die
Sie verschlüsseln möchten. Synchronized Encryption kann diese Dateien nicht verschlüsseln. Wir empfehlen, bestehende Sicherungsdateien zu verschlüsseln oder zu entfernen und automatische
Sicherungen zu deaktivieren.
6.3.1 Synchronized Encryption-Schlüssel
Standardmäßig verwendet SafeGuard Enterprise Synchronized Encryption den Synchronized
Encryption Key zum Verschlüsseln von Dateien: Root_Synchronized_Encryption@SGN . Der
Schlüssel wird automatisch vergeben und steht allen Benutzern zur Verfügung.
Der Synchronized Encryption-Schlüssel wird immer dann verwendet, wenn Sie keine Speicherorte definieren, an denen ein anderer Schlüssel verwendet werden soll. Für diese Speicherorte können alle verfügbaren Schlüssel verwendet werden, siehe
Schlüssel und Zertifikate (Seite 127).
Copyright © Sophos Limited 325
SafeGuard Enterprise Administratorhilfe
6.3.2 Dateien automatisch mit asynchroner Verschlüsselung gemäß Richtlinie verschlüsseln
Um sicherzustellen, dass Dateien immer anhand der Richtlinie verschlüsselt werden, die für einen bestimmten Ort gelten, funktioniert Synchronized Encryption nach dem Prinzip der asynchronen
Verschlüsselung.
Asynchrone Verschlüsselung kommt in folgenden Fällen zur Anwendung:
• Benutzer kopieren oder verschieben Dateien im Windows Explorer oder im macOS Finder.
• Benutzer erzeugen Dateien mit Endungen, die in Applikationenlisten definiert sind, mit
Anwendungen, für die Dateiverschlüsselung nicht aktiv ist.
Ergebnisse:
• Dateien, die von einem unverschlüsselten Ordner in einen Ordner mit Verschlüsselungsregel verschoben oder kopiert werden, werden verschlüsselt.
• Dateien, die von einem verschlüsselten Ordner in einen unverschlüsselten Ordner verschoben oder kopiert werden, werden entschlüsselt.
SafeGuard Enterprise entschlüsselt Dateien nur dann, wenn Benutzer eine oder mehrere einzelne Dateien an einem Ort ohne Verschlüsselung speichern. Wenn Benutzer einen Ordner an einen von der Verschlüsselung ausgenommenen Ort verschieben oder wenn sie einen
Ordner mit dem Namen eines ausgenommenen Ordners umbenennen, werden keine Dateien entschlüsselt, um einer versehentlichen Entschlüsselung vorzubeugen. Sie können dann Dateien manuell entschlüsseln oder die Funktion Gemäß Richtlinie verschlüsseln aus dem SafeGuard
File Encryption Kontextmenü des entsprechenden Ordners verwenden.
• Dateien, die von einem verschlüsselten Ordner in einen Ordner mit einer anderen
Verschlüsselungsregel verschoben oder kopiert werden, werden gemäß der Richtlinie des
Zielordners verschlüsselt.
• Wenn Dateien mit Applikationen erstellt werden, für die Dateiverschlüsselung nicht aktiv ist und die Dateiendung der Datei ist in einer Applikationenliste definiert, wird die Datei verschlüsselt und kann nicht mit der Applikation geöffnet werden, mit der sie erstellt wurde. Zum Beispiel, wenn Benutzer mit OpenOffice eine .doc-Datei erstellen und OpenOffice ist nicht in einer
Applikationenliste angegeben.
Wichtig
Wenn das Kopieren oder Verschieben unterbrochen wird, zum Beispiel durch einen Neustart, wenn der Benutzer den Dialog abbricht, sich abmeldet oder den Computer ausschaltet, wird der Vorgang nicht automatisch fortgesetzt. Dies kann dazu führen, dass Dateien unbeabsichtigterweise unverschlüsselt sind.
Empfehlung
So stellen Sie sicher, dass alle Dateien stets den Unternehmensrichtlinien entsprechend verschlüsselt sind.
• Aktivieren Sie die Initialverschlüsselung für Endpoints (lokale Verschlüsselung) mittels Richtlinie,
siehe Erstellen von Richtlinien für anwendungsbasierte Dateiverschlüsselung
(Seite 331).
326 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• Verwenden Sie für Netzwerkfreigaben das SGFileEncWizard.exe
Befehlszeilentool, um
den Verschlüsselungsstatus von Dateien zu überprüfen, siehe Initialverschlüsselung auf
(Seite 330).
Protokollierte Ereignisse für asynchrone Verschlüsselung
Protokollierte Ereignisse finden Sie unter Auditing
(Seite 165).
6.3.3 Applikationenlisten
Für die anwendungsbasierte Dateiverschlüsselung müssen Sie Applikationenlisten erstellen.
Diese Listen enthalten Anwendungen (Applikationen) deren Dateien beim Erstellen oder Speichern verschlüsselt werden. Nur Anwendungen auf Applikationenlisten können auf verschlüsselte Daten zugreifen. Alle anderen Anwendungen können in diesem Fall nur unleserliche, verschlüsselte Inhalte anzeigen. SafeGuard Enterprise stellt eine Vorlage einer einer Applikationenliste zur Verfügung, die
Sie einfach an Ihre Anforderungen anpassen können. Sie enthält allgemeine Anwendungen, für die anwendungsbasierte Dateiverschlüsselung aktiviert werden kann. Sie können die Verschlüsselung für einzelne Anwendungen innerhalb von Gruppen oder für ganze Gruppen von Anwendungen aktivieren oder deaktivieren.
Hinweis
Bevor Sie Richtlinien vom Typ Anwendungsbasierend (Synchronized Encryption) erstellen können, müssen Sie Applikationenlisten anlegen.
Applikationenlisten für Mac
Für einige Anwendungen unter macOS müssen Sie bestimmte Pfade von der Verschlüsselung ausnehmen. Damit beispielsweise Microsoft Office 2011 problemlos funktioniert, müssen Sie
<Dokumente>\Microsoft-Benutzerdaten ausschließen. In der bereitgestellten Vorlage ist der
Pfad bereits angegeben.
Erstellen von Applikationenlisten
1. Klicken Sie im Management Center auf Richtlinien.
2. Wechseln Sie in der Listenansicht Richtlinien zum Eintrag Applikationenlisten.
3. Klicken Sie mit der rechten Maustaste auf Vorlage und klicken Sie auf Applikationenlisten
duplizieren.
Template_1 wird angezeigt.
Alternativ können Sie eine neue Applikationenliste erstellen.
4. Klicken Sie mit der rechten Maustaste auf Template_1, wählen Sie Eigenschaften und geben Sie einen neuen Namen ein.
5. Klicken Sie auf OK.
6. Klicken Sie auf die neue Applikationenliste.
Im rechten Fensterbereich wird der Inhalt der Vorlage angezeigt.
7. Zum Erstellen von Applikationenlisten für Macs, wechseln Sie zur Registerkarte OS X.
8. Deaktivieren Sie in der Liste alle Applikationen, für die Sie keine Verschlüsselung wünschen.
Deaktivieren Sie das Kontrollkästchen Aktiv rechts neben Name der Applikationsgruppe um alle
Copyright © Sophos Limited 327
SafeGuard Enterprise Administratorhilfe
Applikationen in der Gruppe von der Verschlüsselung auszuschließen. Über das Kontrollkästchen
Aktiv rechts neben einer Applikation können Sie einzelne Applikationen deaktivieren.
9. Fügen Sie bestehenden Gruppen weitere Applikationen hinzu.
a) Klicken Sie mit der rechten Maustaste auf die Gruppe, der Sie eine Applikation hinzufügen möchten, klicken Sie Neu und Applikation.
b) Geben Sie im Feld Name der Applikation einen Namen für die Applikation ein.
c) Definieren Sie unter Speicherort des Prozesses den Pfad und den Namen der ausführbaren
Datei, zum Beispiel <Program Files>\Adobe\Reader 11.0\Reader\AcroRd32.exe
.
Sie können den Pfad manuell eingeben oder die Platzhalter in der Dropdownliste verwenden.
Sie können alle Versionen einer Applikation unter einem Namen (Name der Applikation) angeben. Zum Beispiel: Acrobat Reader 11.0 und Acrobat Reader DC unter Name der
Applikation: Reader d) Dateierweiterung: Die Dateierweiterungen, die Sie hier definieren, haben keine Auswirkung auf die Dateiverschlüsselung vom Typ Anwendungsbasierend (Synchronized Encryption), sondern für die initiale Verschlüsselung bestehender Dateien und für die asynchrone
Verschlüsselung.
• Initialverschlüsselung
Bestehende Dateien, für die Verschlüsselungsregeln gelten, werden nicht automatisch verschlüsselt. Um diese Dateien zu verschlüsseln, muss die initiale Verschlüsselung auf den betreffenden Endpoints durchgeführt werden. Dateien mit den hier definierten
Dateierweiterungen werden bei der initialen Verschlüsselung mit dem Synchronized
Encryption Schlüssel verschlüsselt. Sie können Dateierweiterungen mit oder ohne Punkt
(zum Beispiel ".txt" oder "txt") angeben. Platzhalter werden nicht unterstützt.
Der Ort, an dem die Initialverschlüsselung angewendet werden soll, muss in einer
Richtlinie für die Dateiverschlüsselung Anwendungsbasierend (Synchronized
Encryption) definiert werden. Es werden lokale Datenträger, Wechselmedien und automatisch erkannte Cloud Storage Provider unterstützt.
• Asynchrone Verschlüsselung
Stellen Sie sicher, dass Dateien immer gemäß der für einen bestimmten Speicherort gültigen Richtlinie verschlüsselt sind. Sie kommt in folgenden Fällen zur Anwendung:
— Benutzer kopieren oder verschieben Dateien in Windows Explorer oder macOS
Finder.
— Benutzer erstellen Dateien mit Erweiterungen, die in Applikationenlisten definiert sind, mit Applikationen, für die keine Verschlüsselung aktiv ist.
Für weitere Informationen, siehe
Dateien automatisch mit asynchroner Verschlüsselung gemäß Richtlinie verschlüsseln (Seite 326).
Wenn Sie eine Applikationsgruppe deaktivieren, werden die Dateierweiterungen, die Sie innerhalb der Gruppe für die Initialverschlüsselung definiert haben, ebenfalls deaktiviert.
10. Applikationenlisten für macOS (Registerkarte OS X): Fügen Sie nach Bedarf der Tabelle
Ausgeschlossene Speicherorte Orte hinzu, die Sie von der Verschlüsselung ausnehmen möchten.
11. Fügen Sie weitere Applikationsgruppen hinzu:
Sie können Applikationsgruppen dazu nutzen, um verschiedene Teile einer Software-Suite unter einem gemeinsamen Knoten zu bündeln. So können Sie alle Teile gleichzeitig deaktivieren indem
Sie nur die Gruppe aktivieren.
a) Klicken Sie mit der rechten Maustaste die Template-Baumstruktur, klicken Sie auf Neu und
Applikationsgruppe.
328 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe b) Geben Sie im Feld Name der Applikationsgruppe einen Namen für die Gruppe ein.
c) Fügen Sie der Gruppe weitere Applikationen hinzu.
12. Wenn Sie die Template-Baumstruktur verlassen, werden Sie aufgefordert, Ihre Änderungen zu speichern. Klicken Sie auf Ja.
Die neue Applikationenliste wird unter Applikationenlisten in der Listenansicht Richtlinien angezeigt.
Sie können weitere Applikationslisten erstellen und sie in unterschiedlichen Richtlinien für die anwendungsbasierte Dateiverschlüsselung verwenden.
Wichtig
Wir empfehlen, alle Anwendungen, die einen bestimmten Dateityp (zum Beispiel .docx) öffnen können, zu Applikationenliste hinzuzufügen. Anwendungen, die Daten über das Internet freigeben (zum Beispiel E-Mail-Clients, Browser), sollten keiner Applikationenliste hinzugefügt werden.
6.3.4 Initialverschlüsselung
Die Initialverschlüsselung stellt sicher, dass neben neu erstellten Dateien auch vorhandene Daten korrekt verschlüsselt werden. Dateien werden gemäß den Unternehmensrichtlinien verschlüsselt.
Dies verhindert, dass Unternehmensdaten unbeabsichtigt unverschlüsselt bleiben.
Initialverschlüsselung verarbeitet Dateien basierend auf:
• Dateiendungen, die in Applikationenlisten definiert sind, siehe
Erstellen von Applikationenlisten
(Seite 327).
• Einstellungen, die in Synchronized Encryption Richtlinien definiert sind, siehe
Richtlinien für anwendungsbasierte Dateiverschlüsselung
(Seite 331).
Sie kann automatisch über eine Richtlinieneinstellung oder manuell von Benutzern ausgelöst werden und wird an allen in den Richtlinien definierten Speicherorten angewendet.
Hinweis
Initialverschlüsselung von Netzwerkfreigaben kann nur mit dem Befehlszeilentool
SGFileEncWizard.exe
ausgeführt werden, siehe
(Seite 330).
Wird sie automatisch angestoßen, läuft sie im Hintergrund. Nach Abschluss wird ein Ereignis protokolliert.
Die Verarbeitung großer Datenmengen bei der Initialverschlüsselung kann zu einer eingeschränkten
Performance der Endpoints führen.
Die Initialverschlüsselung startet immer, wenn eines dieser Ereignisse eintritt:
• Ein Benutzer meldet sich an.
• Eine neue oder aktualisierte Richtlinie wird auf den Endpoint angewendet.
• Ein Wechselmedium wird mit dem Computer verbunden.
• Ein Aktivierungspunkt bzw. Mount Point wird erzeugt (macOS).
Die Initialverschlüsselung macht folgendes:
• Unverschlüsselte Dateien werden entsprechend den Einstellungen in der Richtlinie verschlüsselt.
• Dateien, die mit einem anderen als dem in der Richtlinie festgelegten Schlüssel verschlüsselt wurden, werden entschlüsselt und mit dem in der Richtlinie festgelegten Schlüssel erneut
Copyright © Sophos Limited 329
SafeGuard Enterprise Administratorhilfe verschlüsselt. Vorausgesetzt, dass beide Schlüssel im Schlüsselbund des Benutzers vorhanden sind.
• Dateien, die mit einem Schlüssel verschlüsselt sind, der im Schlüsselring des Benutzers nicht verfügbar ist, werden nicht verändert.
• Verschlüsselte Dateien werden niemals entschlüsselt.
Unter Windows können Benutzer die Initialverschlüsselung manuell durch rechtsklicken auf den
Knoten Dieser PC im Windows Explorer und klicken auf SafeGuard Dateiverschlüsselung >
Gemäß Richtlinie verschlüsseln starten. Der SafeGuard Dateiverschlüsselungs-Assistent zeigt
Informationen zur Anzahl der zu verschlüsselnden Dateien sowie zum Fortschritt und Ergebnis der
Verschlüsselung an.
Auf Macs öffnen Benutzer die Systemeinstellungen, klicken auf das Sophos SafeGuard Symbol, wählen die Registerkarte Richtlinien, wechseln zur Ansicht Lokal übersetzter Pfad und klicken
Erzwinge alle Richtlinien.
Initialverschlüsselung auf Netzwerkfreigaben
Auf Netzwerkfreigaben kann die Initialverschlüsselung nicht automatisch per Richtlinieneinstellung gestartet werden. Als Sicherheitsbeauftragter können Sie mit dem Befehlszeilentool
SGFileEncWizard.exe
die Initialverschlüsselung für Netzwerkfreigaben von einem Computer aus starten, auf dem SafeGuard Enterprise Software installiert ist und der Zugang zu den
Netzwerkfreigaben hat.
Auf einem Computer mit SafeGuard Enterprise finden Sie das Tool unter <SYSTEM>:\Programme
(x86)\Sophos\SafeGuard Enterprise\Client\
Beachten Sie folgende Hinweise bevor Sie die Initialverschlüsselung starten:
• Der Vorgang kann für Benutzer auf Endpoints ohne Synchronized Encryption (Modul nicht installiert oder Richtlinie nicht angewendet) zu Problemen führen. Diese Benutzer können keine
Dateien öffnen, die mit Synchronized Encryption verschlüsselt wurden. Stellen Sie sicher, dass alle Benutzer, die Zugriff auf diese Dateien haben sollen, das Synchronized Encryption Modul installiert und eine entsprechende Richtlinie angewendet haben.
• Wenn Sie Dateien auf Netzwerkfreigaben, die bereits verschlüsselt sind, im Rahmen der
Initialverschlüsselung neu verschlüsseln wollen, benötigen Sie dazu alle Schlüssel in Ihrem
Schlüsselbund, die zur Verschlüsselung dieser Dateien verwendet wurden. Dateien, für die Sie keinen Schlüssel haben, bleiben mit dem ursprünglichen Schlüssel verschlüsselt.
Voraussetzungen für die Initialverschlüsselung auf Netzwerkfreigaben
• Die Initialverschlüsselung muss auf einem Computer gestartet werden, auf dem die SafeGuard
Enterprise Endpoint Software installiert ist.
• Der Endpoint muss Zugriff auf alle zu verschlüsselnden Netzwerkfreigaben haben.
• Eine Synchronized Encryption Richtlinie, die alle zu verschlüsselnden Netzwerkfreigaben beinhaltet, muss auf dem Endpoint angewendet werden.
• Alle Schlüssel, die zum Verschlüsseln der auf den Netzwerkfreigaben vorhandenen Dateien verwendet wurden, müssen in Ihrem Schlüsselring enthalten sein.
Initialverschlüsselung mit SGFileEncWizard
Sie können SGFileEncWizard.exe
mit folgenden Parametern aufrufen:
330 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
SGFileEncWizard.exe [<startpath>] [%POLICY] [/V0 | /V1 | /V2 | /V3] [/X]
[/L<logfile>]
• <startpath> : Verarbeite den angegebenen Pfad und seine Unterordner. Mehrere Pfaden müssen durch Leerzeichen getrennt sein.
Hinweis
Bei der Initialverschlüsselung auf Netzwerkfreigaben müssen Sie jede zu verschlüsselnde
Netzwerkfreigabe explizit angeben. Nur diese Pfade werden verschlüsselt. Geben Sie die Pfade in UNC Notation an, um Probleme mit unterschiedlichen Laufwerksbuchstaben für gemappte
Netzwerkfreigaben zu vermeiden. Nur absolute Pfade sind zulässig.
• %POLICY: Wende Synchronized Encryption Richtlinie an definierten Orten an und verschlüssle
Dateien wenn nötig neu. Es wird die Richtlinie verwendet, die an dem Endpoint angewendet wird, wo SGFileEncWizard.exe
gestartet wird.
Hinweis
Dieser Parameter kann für die Initialverschlüsselung auf Netzwerkfreigaben weggelassen werden.
• Parameter /V0 : Keine Meldungen protokollieren.
• Parameter /V1 : Nur Fehlermeldungen protokollieren.
• Parameter /V2 : Geänderte Dateien protokollieren.
• Parameter /V3 : Alle verarbeiteten Dateien protokollieren.
• Parameter /L<path+logfile name> : Output in die angegebene Log-Datei schreiben.
• Parameter /X : Fenster des Assistenten verbergen.
Beispiel:
SGFileEncWizard.exe \\my-filer-1\data1\users \\my-filer-1\data2 %POLICY /
V3 /X /LC:\Logging\mylogfile.xml
Die Initialverschlüsselung wird für Dateien unter \\my-filer-1\data1\users and \\my-filer-1\data2 durchgeführt. Der Assistent wird nicht angezeigt und Informationen über alle verarbeiteten Dateien werden in mylogfile.xml geschrieben.
6.3.5 Erstellen von Richtlinien für anwendungsbasierte
Dateiverschlüsselung
1. Erstellen Sie im Richtlinien Navigationsbereich eine neue Richtlinie vom Typ
Dateiverschlüsselung.
Die Registerkarte Dateiverschlüsselung wird angezeigt.
2. Wählen Sie Anwendungsbasierend (Synchronized Encryption) aus der Verschlüsselungstyp
Auswahlliste.
Applikationenliste und Umfang der Verschlüsselung Optionen werden angezeigt.
(Seite 96).
3. Wählen Sie aus der Auswahlliste die Applikationenliste, die Sie vorher erstellt haben.
4. Wählen Sie aus der Auswahlliste Umfang der Verschlüsselung eine der folgenden Optionen:
Copyright © Sophos Limited 331
SafeGuard Enterprise Administratorhilfe
• Überall: Verschlüsselung auf lokale Laufwerke, Wechselmedien, Cloud-Verzeichnisse und
Netzlaufwerke angewendet.
Es wird eine Regel erzeugt, nach der Dateien an allen Speicherorten mit dem Synchronized
Encryption Schlüssel verschlüsselt werden. Sie können Ausnahmen definieren, wo keine anwendungsbasierte Dateiverschlüsselung angewendet wird oder wo ein anderer Schlüssel verwendet wird.
Hinweis
Für macOS bedeutet Überall, dass alle Dateien in einigen vordefinierten Verzeichnissen verschlüsselt werden und so nur von den Anwendungen auf Ihrer Applikationenliste verwendet werden können. Diese Verzeichnisse sind:
— Ordner <Desktop>
— Ordner <Documents>
— Ordner <Downloads>
— Ordner <Music>
— Ordner <Videos>
— alle Netzwerkfreigaben
— alle Wechselmedien
— alle unterstützten Cloud Storage Anbieter
— temporäre Ordner, in denen Microsoft Outlook und Apple Mail Mailanhänge speichern
Wichtig
Die Anwendung von Synchronized Encryption auf Netzwerkfreigaben kann bei manchen
Benutzern Probleme hervorrufen. Wenn Dateien auf Netzwerkfreigaben von Benutzern verschlüsselt wurden, die den Synchronized Encryption Schlüssel in ihrem Schlüsselbund haben, können andere Benutzer, die diesen Schlüssel nicht besitzen, diese Dateien nicht öffnen. Um dies zu vermeiden, können Sie zuerst die Netzwerkfreigaben von der
Verschlüsselung ausnehmen und die Ausnahme erst dann aufheben, wenn alle Benutzer den Synchronized Encryption Schlüssel haben. Benutzer erhalten ihren Schlüssel wenn eine Synchronized Encryption Richtlinie auf ihrem Endpoint angewendet wird. Alternativ können Sie den Schlüssel manuell im Management Center zuweisen.
• Definierte Speicherorte: Hier definieren Sie Speicherorte, wo die Verschlüsselung angewendet wird. Platzhalter für Pfad-Definitionen werden bereitgestellt. Sie können Pfade in die Verschlüsselung einschließen oder ausschließen.
5. Abhängig von Ihrer Auswahl bei Umfang der Verschlüsselung können Sie Pfade definieren, wo anwendungsbasierte Verschlüsselung angewendet wird (Definierte Speicherorte) oder
Ausnahmen von der anwendungsbasierten Verschlüsselung definieren (Überall).
Hinweis
Sie können Pfade für Windows und macOS in derselben Richtlinie definieren. Platzhalter für die verschiedenen Systeme sind in der Auswahlliste Pfad verfügbar. Die Spalte System zeigt, für welches Betriebssystem der Pfad gilt (Alle Systeme, Windows,macOS). Bewegen
Sie den Mauszeiger über die Cloud Storage Platzhalter, um Informationen anzuzeigen, für welches Betriebssystem Sie den Platzhalter verwenden können.
332 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
6. Setzen Sie in der Spalte Pfad den Pfad für die Anwendungsbasierend (Synchronized
Encryption) Dateiverschlüsselung:
• Klicken Sie auf die Dropdown-Schaltfläche und wählen Sie einen Platzhalter für einen
Ordnernamen aus der Liste der verfügbaren Platzhalter aus.
Wenn Sie Ihren Cursor über die Listeneinträge führen, werden Tooltips angezeigt, die zeigen, wie ein Platzhalter üblicherweise auf einem Endpoint umgesetzt wird. Sie können nur gültige Platzhalter für jedes Betriebssystem eingeben. Für eine Liste aller unterstützten Platzhalter, siehe
Platzhalter für Pfade in anwendungsbasierten File Encryption
Verschlüsselungsregeln (Seite 334).
Wichtig
Die Verschlüsselung des gesamten Benutzerprofils mit dem Platzhalter <User Profile> kann zu einem instabilen Windows Desktop auf dem Endpoint führen.
• Klicken Sie auf die Browse-Schaltfläche um den gewünschten Ordner im Dateisystem auszuwählen.
• Sie können auch einfach einen Pfadnamen eingeben.
7. Wählen Sie den Modus für die Verschlüsselung:
• Wählen Sie für Umfang der Verschlüsselung > Definierte Speicherorte entweder
Verschlüsseln, um die Applikationen auf der Applikationenliste zur Verschlüsselung ihrer
Dateien unter diesem Pfad zu berechtigen, oder Ausschließen, wenn diese Applikationen keine Dateien unter diesem Pfad verschlüsseln sollen. Sie können zum Beispiel die
Verschlüsselung für D:\Dokumente aktivieren und dabei das Unterverzeichnis D:
\Dokumente\Unverschlüsselt ausschließen.
• Bei Umfang der Verschlüsselung > Überall, können Sie Pfade von der Verschlüsselung
Ausschließen oder Orte definieren, wo ein anderer Schlüssel als der Synchronized
Encryption -Schlüssel verwendet wird.
8. Wählen Sie in der Spalte Schlüssel den Schlüssel, der für den Verschlüsseln Modus verwendet werden soll.
• Klicken Sie auf das Synchronized Encryption -Schlüssel Symbol im Feld Schlüssel, um den
Synchronized Encryption -Schlüssel für diesen Speicherort zu verwenden. Sie können den
Mauszeiger über die Schlüssel-Symbole bewegen, um ihre Funktion anzuzeigen.
• Klicken Sie auf das Persönlicher Schlüssel Symbol im Feld Schlüssel, um den persönlichen
Schlüssel des Benutzers zu verwenden. Auf dem Endpoint wird dieser Platzhalter in den aktiven persönlichen Schlüssel des angemeldeten SafeGuard Enterprise Benutzers umgesetzt.
• Klicken Sie auf die Browse-Schaltfläche, um den Dialog Schlüssel suchen zu öffnen. Klicken
Sie auf Jetzt suchen, um eine Liste mit allen verfügbaren Schlüsseln aufzurufen. Wählen Sie den gewünschten Schlüssel aus.
Hinweis
Computerschlüssel werden in dieser Liste nicht angezeigt. Sie können von File Encryption nicht benutzt werden, da sie nur auf einem einzelnen Computer verfügbar sind. Mit diesen
Schlüsseln können daher Benutzergruppen nicht auf dieselben Daten zugreifen.
9. Fügen Sie nach Bedarf weitere Pfade hinzu.
10. Definieren Sie Einstellungen für die Initialverschlüsselung. Wählen Sie, wo bestehende
Dateien anhand der definierten Pfade verschlüsselt werden (Auf lokalen Laufwerken, Auf
Wechselmedien, Mit automatisch erkannten Cloud Storage Providern gespeichert). Die
Copyright © Sophos Limited 333
SafeGuard Enterprise Administratorhilfe
Initialverschlüsselung startet wenn die Richtlinie am Endpoint angewendet wird, immer wenn sich
Benutzer anmelden oder wenn ein Wechselmedium verbunden wird.
11. Speichern Sie Ihre Änderungen.
Wenn Sie die Registerkarte Dateiverschlüsselung verlassen, werden Sie aufgefordert, Ihre
Änderungen zu speichern.
12. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren
Benutzergruppen zu.
Platzhalter für Pfade in anwendungsbasierten File Encryption
Verschlüsselungsregeln
Beim Angeben von Pfaden in Verschlüsselungsregeln in File Encryption Richtlinien können die folgenden Platzhalter verwendet werden. Um diese Platzhalter auszuwählen, klicken Sie auf die
Dropdown-Schaltfläche des Felds Pfad.
Verwenden Sie immer Backslashs als Trennzeichen, auch wenn Sie Dateiverschlüsselungsregeln für macOS festlegen. Auf diese Weise können Sie Regeln auf beiden Betriebssystemen (Windows und macOS) anwenden. Auf Macs werden die Backslashs automatisch in Schrägstriche umgewandelt, um die Anforderungen des macOS Betriebssystems zu erfüllen. Fehler bei der
Verwendung von Platzhaltern werden protokolliert. Ungültige Verschlüsselungsregeln werden protokolliert und dann auf dem Endpoint verworfen.
Beispiel: Der Windows-Pfad <User Profile>\Dropbox\personal wird unter Mac OS X so konvertiert: /Users/<Username>/Dropbox/personal .
Pfad-Platzhalter Betriebssystem
(Alle=Windows und macOS)
<%environment_variable_name%> Alle
Wert auf dem Endpoint
<Desktop>
<Documents>
<Downloads>
<Music>
Alle
Alle
Alle
Alle
Wert der Umgebungsvariable. Beispiel: <
%USERNAME%>.
Wenn Umgebungsvariablen mehrere
Speicherorte enthalten (zum Beispiel die
PATH Umgebungsvariable), werden die
Pfade nicht in mehrere Regeln aufgeteilt.
Dies verursacht einen Fehler und die
Verschlüsselungsregel ist ungültig.
Der virtuelle Ordner, der den Desktop des
Endpoints darstellt.
Der virtuelle Ordner für den Desktop-
Bereich Eigene Dateien (Äquivalent zu
CSIDL_MYDOCUMENTS). Typischer Pfad: C:
\Benutzer\Benutzername\Dokumente.
Der Ordner in dem standardmäßig Downloads gespeichert werden. Ein typischer Pfad unter
Windows ist C:\Benutzer\Benutzername
\Downloads.
Das Dateisystemverzeichnis, das als allgemeines Repository für Musikdateien dient.
Typischer Pfad: C:\Benutzer\Benutzername
\Musik.
<Network Shares> Alle
334 Copyright © Sophos Limited
Pfad-Platzhalter
<Pictures>
<Public>
<Removables>
<User Profile>
<Videos>
<Cookies>
<Favorites>
<Local Application Data>
<Program Data>
<Program Files>
SafeGuard Enterprise Administratorhilfe
Betriebssystem
(Alle=Windows und macOS)
Alle
Wert auf dem Endpoint
Das Dateisystemverzeichnis, das als allgemeines Repository für Bilddateien dient.
Typischer Pfad: C:\Benutzer\Benutzername
\Bilder.
Alle
Alle
Alle
Alle
Windows
Windows
Windows
Windows
Windows
Hinweis
Auf Macs wird die Verschlüsselung des gesamten <Bilder> Ordners nicht unterstützt. Sie können jedoch Unterordner verschlüsseln, zum Beispiel <Bilder>
\enc .
Das Dateisystemverzeichnis, das als allgemeines Repository für Dokumente für alle
Benutzer dient. Typischer Pfad: C:\Benutzer
\Öffentlich.
Zeigt auf die Root-Verzeichnisse aller
Wechselmedien.
Der Profilordner des Benutzers. Typischer
Pfad: C:\Benutzer\Benutzername.
Hinweis
Die Verschlüsselung des gesamten
Benutzerprofils wird nicht unterstützt. Sie können jedoch Unterordner verschlüsseln, zum Beispiel <User Profile >\enc .
Das Dateisystemverzeichnis, das als allgemeines Repository für Videodateien für
Benutzer dient. Typischer Pfad: C:\Benutzer
\Benutzername\Bilder.
Das Dateisystemverzeichnis, das als allgemeines Repository für Internet Cookies dient.
Das Dateisystemverzeichnis, das als allgemeines Repository für die Favoriten des
Benutzers dient. Typischer Pfad: C:\Benutzer
\Benutzername\Favoriten.
Das Dateisystemverzeichnis, das als allgemeines Daten-Repository für lokale
Applikationen (ohne Roaming) dient. Typischer
Pfad: C:\Users\Benutzername\AppData\Lokal.
Das Dateisystemverzeichnis, das
Anwendungsdaten für alle Benutzer enthält.
Typischer Pfad: C:\ProgramData
Der Programme-Ordner. Typischer Pfad:
\Programme. Für 64-Bit Systeme wird dies auf zwei Regeln erweitert: eine für 32-Bit
Anwendungen und eine für 64-Bit Anwendungen.
Copyright © Sophos Limited 335
SafeGuard Enterprise Administratorhilfe
Pfad-Platzhalter
<Public Music>
<Public Pictures>
<Public Videos>
<Roaming>
System
<Temporary Burn Folder>
<SGPortable Internet Files>
<Windows>
<Root>
Betriebssystem
(Alle=Windows und macOS)
Windows
Wert auf dem Endpoint
Windows
Windows
Windows
Windows
Windows
Windows
Windows macOS
Das Dateisystemverzeichnis, das als allgemeines Repository für Musikdateien für alle
Benutzer dient. Typischer Pfad: C:\Benutzer
\Öffentlich\Musik.
Das Dateisystemverzeichnis, das als allgemeines Repository für Bilddateien für alle
Benutzer dient. Typischer Pfad: C:\Benutzer
\Öffentlich\Bilder.
Das Dateisystemverzeichnis, das als allgemeines Repository für Videodateien für alle
Benutzer dient. Typischer Pfad: C:\Benutzer
\Öffentlich\Videos.
Das Dateisystemverzeichnis, das als allgemeines Repository für anwendungsspezifische Daten dient. Typischer
Pfad: C:\Users\Benutzername\AppData
\Roaming.
Der Windows Systemordner. Typischer Pfad: C:
\Windows\System32. Für 64-Bit Systeme wird dies auf zwei Regeln erweitert: eine für 32-Bit
Anwendungen und eine für 64-Bit Anwendungen.
Das Dateisystemverzeichnis, das als Staging-
Bereich für Dateien, die auf eine CD geschrieben werden sollen, verwendet wird. Typischer Pfad:
C:\Users\Benutzername\AppData\Local\Microsoft
\Windows\CD Burning.
Das Dateisystemverzeichnis, das als allgemeines Repository für temporäre
Internetdateien dient.
Das Windows-Verzeichnis oder SYSROOT. Dies entspricht den Umgebungsvariablen %windir% oder %SYSTEMROOT%. Typischer Pfad: C:
\Windows.
Das macOS Stammverzeichnis Wir empfehlen, keine Richtlinien für das Stammverzeichnis festzulegen, auch wenn dies technisch möglich ist.
336 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Platzhalter für Cloud Storage
Anbieter
Box
Dropbox
Egnyte
Nur Windows
Platzhalter für Cloud
Storage
Kann in CSD-Einstellung
(Cloud Storage Definition) verwendet werden.
<!Box!>
Synchronisierungsordner
Wird aufgelöst in
Synchronisierungsapplikationen:
Der "Fully qualified"-Pfad der
Synchronisierungsapplikation, die von der Box-Software benutzt wird.
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad des
Synchronisierungsordners, der von der Box-Software benutzt wird.
<!Dropbox!>
Synchronisierungsordner Synchronisierungsapplikationen:
Der "Fully qualified"-Pfad der
Synchronisierungsapplikation, die von der Dropbox-Software benutzt wird.
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad des
Synchronisierungsordners, der von der Dropbox-
Software benutzt wird.
<!Egnyte!>
<!
EgnytePrivate!>
<!EgnyteShared!
>
SynchronisierungsapplikationDer "Fully qualified"-Pfad der
Synchronisierungsapplikation, die von der Egnyte-Software benutzt wird.
Synchronisierungsordner Alle privaten Ordner in der
Egnyte Cloud Storage. Für
Standard-Egnyte-Benutzer ist dies in der Regel ein einzelner Ordner. Für Egnyte-
Administratoren, wird dieser
Platzhalter in der Regel in mehrere Ordner umgesetzt.
Synchronisierungsordner Alle freigegebenen Ordner in der Egnyte Cloud Storage.
Copyright © Sophos Limited 337
SafeGuard Enterprise Administratorhilfe
Anbieter
Google Drive
OneDrive
Platzhalter für Cloud
Storage
Kann in CSD-Einstellung
(Cloud Storage Definition) verwendet werden.
Wird aufgelöst in
Änderungen an der Egnyte-Ordnerstruktur (auch das Hinzufügen oder
Entfernen von privaten oder freigegebenen Ordnern) werden automatisch erkannt. Relevante Richtlinien werden automatisch aktualisiert.
Da sich Egnyte-Synchronisierungsordner im Netzwerk befinden können, können Sie bei der Einstellung Synchronisierungsordner Netzwerkpfade eingeben. Das SafeGuard Enterprise Cloud Storage Modul wird standardmäßig auf Netzwerkdateisysteme angewendet. Wenn dies nicht erforderlich ist, können Sie dieses Verhalten deaktivieren, indem Sie eine Richtlinie vom Typ Allgemeine Einstellungen definieren und unter
Ignorierte Geräte die Option Netzwerk auswählen.
<!GoogleDrive!> Synchronisierungsapplikation,
Synchronisierungsordner Synchronisierungsapplikationen:
Der "Fully qualified"-Pfad der
Synchronisierungsapplikation, die von der Google Drive
Software benutzt wird.
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad des
Synchronisierungsordners, der von der Google Drive
Software benutzt wird.
<!OneDrive!>
Synchronisierungsordner Synchronisierungsapplikationen:
Der "Fully qualified"-Pfad der
Synchronisierungsapplikation, die von der OneDrive-
Software benutzt wird.
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad des
Synchronisierungsordners, der von der OneDrive-
Software benutzt wird.
Hinweis
SafeGuard Enterprise unterstützt keine Microsoft Konten. Unter Windows
8.1 kann OneDrive nur verwendet werden, wenn der Windows-Benutzer ein
Domänenbenutzer ist. Unter Windows 8.1 unterstützt SafeGuard Enterprise
OneDrive nicht für lokale Benutzer.
338 Copyright © Sophos Limited
Anbieter
OneDrive for
Business
Platzhalter für Cloud
Storage
Kann in CSD-Einstellung
(Cloud Storage Definition) verwendet werden.
<!
>
SafeGuard Enterprise Administratorhilfe
Wird aufgelöst in
Synchronisierungsapplikationen:
Der "Fully qualified"-Pfad der
Synchronisierungsapplikation, die von der OneDrive-
Software benutzt wird.
Für
Synchronisierungsordner:
Der "Fully qualified"-Pfad des
Synchronisierungsordners, der von der OneDrive-
Software benutzt wird.
Hinweis
OneDrive for Business unterstützt nur das Speichern von verschlüsselten
Dateien in lokalen Ordnern und deren Synchronisierung mit der Cloud. Das direkte Speichern von verschlüsselten Dateien aus Microsoft Office 2013 in die OneDrive for Business Cloud oder auf den SharePoint Server wird nicht unterstützt. Diese Dateien werden unverschlüsselt in der Cloud gespeichert.
Dateien, die mit SafeGuard Enterprise in der OneDrive for Business
Cloud verschlüsselt werden, können nicht mit Microsoft Office 365 geöffnet werden.
Anwendungsbasierte Dateiverschlüsselung in der Cloud konfigurieren
SafeGuard Enterprise bietet eine automatische Erkennung für folgende Cloud Storage-Anbieter:
• Box
• Dropbox (beinhaltet Dropbox Business)
• Google Drive
• OneDrive
• OneDrive for Business
• Egnyte (nur Windows)
Für diese werden vordefinierte Platzhalter angeboten. Die Pfade zu den Synchronisierungsordnern werden automatisch gesetzt.
Der lokale Synchronisierungsordner kann von den Benutzern geändert werden. Wenn sie zum
Beispiel verschoben werden, verfolgt SafeGuard Enterprise die Änderung und verschlüsselt die
Dateien am neuen Speicherort weiter.
Hinweis
Richtlinien vom Typ Anwendungsbasierend (Synchronized Encryption) werden nicht vereinigt.
Wenn eine solche Richtlinie bereits vorhanden ist, müssen Sie die Verschlüsselungsregeln für den
Cloud-Speicher der existierenden Richtlinie hinzufügen.
Copyright © Sophos Limited 339
SafeGuard Enterprise Administratorhilfe
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ File Encryption an oder wählen Sie eine vorhandene aus.
Die Registerkarte Dateiverschlüsselung wird angezeigt.
2. Wählen Sie Anwendungsbasierend (Synchronized Encryption) aus der Verschlüsselungstyp
Auswahlliste.
Applikationenliste und Umfang der Verschlüsselung Optionen werden angezeigt.
3. Wählen Sie aus der Auswahlliste die Applikationenliste, die Sie vorher erstellt haben.
4. Wählen Sie aus der Auswahlliste Umfang der Verschlüsselung die Option Definierte
Speicherorte.
5. Definieren Sie Einstellungen für die Initialverschlüsselung. Wählen Sie Mit automatisch
erkannten Cloud Storage Providern gespeichert um bereits bestehende Dateien in
Synchronisierungsordnern zu verschlüsseln. Die Initialverschlüsselung startet wenn die
Richtlinie am Endpoint angewendet wird, immer wenn sich Benutzer anmelden oder wenn ein
Wechselmedium verbunden wird.
6. Klicken Sie auf die Dropdown-Schaltfläche in der Spalte Pfad und wählen Sie einen Cloud
Storage Platzhalter aus.
Für eine Liste von Cloud Storage-Platzhaltern, siehe
Platzhalter für Pfade in anwendungsbasierten
File Encryption Verschlüsselungsregeln (Seite 334).
Wählen Sie <!All supported cloud storages!> um die Verschlüsselung für jeden unterstützten
Anbieter zu aktivieren.
Bewegen Sie den Mauszeiger über die Cloud Storage Platzhalter, um Informationen anzuzeigen, für welches Betriebssystem Sie den Platzhalter verwenden können.
7. Wählen Sie in der Spalte Anwendungsbereich eine der folgenden Optionen:
• Nur dieser Ordner, um die Regeln nur auf den Ordner anzuwenden, der in der Spalte Pfad angegeben ist.
• Mit Unterordnern, um die Regel auch auf alle Unterordner des Ordners anzuwenden.
8. Wählen Sie Verschlüsseln in der Spalte Modus.
9. Wählen Sie in der Spalte Schlüssel den Schlüssel, der für den Verschlüsseln Modus verwendet werden soll. Sie können Schlüssel verwenden, die in Benutzer & Computer erstellt und angewendet wurden.
• Klicken Sie auf die Browse-Schaltfläche, um den Dialog Schlüssel suchen zu öffnen.
Klicken Sie auf Jetzt suchen, um eine Liste mit allen verfügbaren Schlüsseln aufzurufen.
Wählen Sie den gewünschten Schlüssel aus.
Hinweis
Computerschlüssel werden in dieser Liste nicht angezeigt. Sie können von File Encryption nicht benutzt werden, da sie nur auf einem einzelnen Computer verfügbar sind. Mit diesen
Schlüsseln können daher Benutzergruppen nicht auf dieselben Daten zugreifen.
• Klicken Sie auf die Schaltfläche Persönlicher Schlüssel mit dem Schlüsselsymbol, um den
Platzhalter Persönlicher Schlüssel in die Spalte Schlüssel einzufügen. Auf dem Endpoint wird dieser Platzhalter in den aktiven persönlichen Schlüssel des angemeldeten SafeGuard
Enterprise Benutzers umgesetzt. Wenn die Benutzer noch keine aktiven persönlichen
Schlüssel haben, werden diese automatisch angelegt. Sie können persönliche Schlüssel für einzelne oder mehrere Benutzer unter Benutzer & Computer erzeugen. Weitere Informationen finden Sie unter
Persönliche Schlüssel für die dateibasierende Verschlüsselung mit File
(Seite 131).
10. Fügen Sie nach Bedarf weitere Pfade hinzu.
11. Speichern Sie Ihre Änderungen.
340 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
12. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren
Benutzergruppen zu.
6.4 Outlook Add-in für Synchronized Encryption
Hinweis
Das Outlook Add-in ist nur für Windows Endpoints verfügbar.
Wenn Sie E-Mails mit Anhängen an Empfänger senden, die Synchronized Encryption verwenden, werden die Anhänge automatisch verschlüsselt. Sie brauchen sich nicht um die Verschlüsselung und
Entschlüsselung zu kümmern. Wenn Sie E-Mails an Empfänger außerhalb Ihres Firmennetzwerks senden, ist es ratsam, Anhänge zu verschlüsseln um sensible Daten zu schützen. SafeGuard
Enterprise beinhaltet ein Add-In für Microsoft Outlook, das Ihnen das Verschlüsseln von
Mailanhängen erleichtert. Wenn Sie eine E-Mail mit einem oder mehreren Anhängen versenden, werden Sie gefragt, wie Sie mit Ihren Dateien verfahren möchten. Die verfügbaren Optionen hängen vom Verschlüsselungsstatus der Datei(en) ab, die Sie an die Mail anhängen.
6.4.1 Erstellen von Richtlinien zum Aktivieren des SafeGuard
Outlook Add-In
So aktivieren Sie das SafeGuard Enterprise Synchronized Encryption Outlook Add-In:
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
Die Registerkarte Allgemeine Einstellungen wird angezeigt.
2. Gehen Sie zum Abschnitt Einstellungen für das E-Mail Add-In.
3. Unter Email Add-In aktivieren wählen Sie Ja.
Das Add-In ist nun aktiv. Jedes Mal, wenn Benutzer ein E-Mail mit Anhang versenden, werden sie gefragt, wie die Anhänge behandelt werden sollen.
Zusätzlich können Sie Listen mit Domänen anlegen und definieren, wie Anhänge behandelt werden, die an diese bestimmten Domänen versendet werden.
4. Wählen Sie eine Methode unter Verschlüsselungsmethode für Domains auf Whitelists:
• Verschlüsselt: Alle Anhänge in E-Mails an die bestimmten Domänen werden verschlüsselt.
Benutzer werden nicht gefragt.
Verschlüsselte Dateien bleiben verschlüsselt; der Schlüssel wird nicht verändert.
Unverschlüsselte Dateien werden mit dem Synchronized Encryption-Schlüssel verschlüsselt, wenn die Dateierweiterung in der Liste der In-Apps definiert ist.
• Keine Verschlüsselung: Anhänge in E-Mails an die bestimmten Domänen werden nicht verschlüsselt. Benutzer werden nicht gefragt.
• Unverändert (Synchronized Encryption): Verschlüsselte Dateien werden verschlüsselt gesendet; unverschlüsselte Dateien werden unverschlüsselt gesendet. Benutzer werden nicht gefragt.
• Immer fragen: Benutzer werden jedes Mal gefragt, wie die Anhänge behandelt werden sollen.
5. Geben Sie eine oder mehrere Domänen ein, für die die Verschlüsselungsmethode gelten soll.
Verwenden Sie bei mehreren Domänen ein Komma als Trennzeichen. Platzhalter und teilweise definierte Domänen werden nicht unterstützt.
6. Wenn Sie die Registerkarte Allgemeine Einstellungen verlassen, werden Sie aufgefordert, Ihre
Änderungen zu speichern.
Copyright © Sophos Limited 341
SafeGuard Enterprise Administratorhilfe
7. Klicken Sie auf Ja.
8. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren
Benutzergruppen zu.
6.5 Integration in Sophos Central Endpoint
Protection
SafeGuard Enterprise Synchronized Encryption schützt Ihre Daten auf Endpoints, auf denen bösartiges Verhalten festgestellt wird, dadurch, dass Schlüssel entzogen werden.
Wichtig
Dieses Feature ist nur verfügbar, wenn Sie Sophos Central Endpoint Protection gemeinsam mit
SafeGuard Enterprise verwenden.
Integration in Sophos Endpoint Protection sorgt für die Kommunikation zwischen Sophos SafeGuard und Sophos Central Endpoint Protection. Dabei wird der Sicherheitsstatus zwischen SafeGuard
Enterprise und Sophos Central Endpoint Protection ausgetauscht. Wenn Ihr System infiziert ist, schützt SafeGuard Enterprise Ihre sensiblen Daten. Wenn keine Schlüssel verfügbar sind, kann auf keine Daten zugegriffen werden.
In diesem Fall werden Benutzer darüber informiert, dass der Systemzustand schlecht ist, dass aber SafeGuard Enterprise ihre verschlüsselten Dateien schützt und sie deshalb nicht auf die
Daten zugreifen können. Endpoints verbleiben in diesem Zustand bis sich der Systemzustand verbessert. Erst dann stellt SafeGuard Enterprise die Schlüssel wieder zur Verfügung. Benutzer werden darüber informiert, dass ihr Endpoint wieder sicher ist und sie wieder auf ihre verschlüsselten
Daten zugreifen können.
In Situationen, wenn Sie den schlechten Systemzustand bestimmter Endpoints als nicht gerechtfertigt ansehen, können Sie Benutzern den Zugriff auf ihren Schlüsselring zurückgeben, indem Sie die Option Schlüssel auf gefährdeten Computern entziehen auf Nein setzen und die
(Seite 343).
Wichtig
Beachten Sie, dass die Deaktivierung der Funktion Schlüssel auf gefährdeten Computern
entziehen ein Sicherheitsrisiko darstellt. Sie müssen die Situation davor sorgfältig analysieren und beurteilen.
Der Sicherheitszustand des Computers wird im Dialog Sophos SafeGuard Client Status am
Endpoint angezeigt.
Voraussetzungen
• Auf Windows Endpoints muss das Modul Synchronized Encryption installiert werden.
• Auf macOS Endpoints muss das Modul SafeGuard File Encryption installiert werden.
• Sophos Central Endpoint Protection 1.0.3 oder höher muss auf den Endpoints installiert sein.
• Eine Richtlinie vom Typ Allgemeine Einstellungen mit aktivierter Option Schlüssel auf
gefährdeten Computern entziehen muss zugewiesen sein.
342 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
6.5.1 Erstellen von Richtlinien zum Entziehen von Schlüsseln auf gefährdeten Computern
So schützen Sie Daten, wenn bösartige Aktivitäten auf Endpoints festgestellt werden:
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
Die Registerkarte Allgemeine Einstellungen wird angezeigt.
2. Wechseln Sie in den Bereich Dateiverschlüsselung.
3. Wählen Sie Ja in der Dropdown-Liste Schlüssel auf gefährdeten Computern entziehen.
Nun werden Schlüssel auf Computern, wo bösartige Aktivitäten festgestellt werden, entzogen. Eine
Meldung wird protokolliert.
Hinweis
Bösartiges Verhalten wird unabhängig von den Einstellungen unter Schlüssel auf
gefährdeten Computern entziehen immer in der SafeGuard Enterprise Datenbank protokolliert.
4. Wenn Sie die Registerkarte Allgemeine Einstellungen verlassen, werden Sie aufgefordert, Ihre
Änderungen zu speichern.
5. Klicken Sie auf Ja.
6. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren
Benutzergruppen zu.
6.6 SafeGuard Enterprise Schlüsselring für mobile
Geräte mit Sophos Mobile freigeben
Schlüssel im SafeGuard Enterprise Schlüsselring können in der Sophos Secure Workspace App bereitgestellt werden. Benutzer der App können dann die Schlüssel zum Entschlüsseln, Lesen und
Verschlüsseln von Dokumenten verwenden.
Die Schlüsselringe werden zwischen SafeGuard Enterprise und Sophos Mobile synchronisiert. Es werden keine Schlüssel am Sophos Mobile Server gespeichert. Nur die Sophos Secure Workspace
App kann die Schlüssel entschlüsseln.
Voraussetzungen
Folgende Voraussetzungen müssen für die Schlüsselring-Synchronisierung erfüllt sein:
• Sie haben die Integration im SafeGuard Management Center eingerichtet.
• Sie verwenden Sophos Mobile 6.1 oder höher.
• Sie haben ein externes Benutzermanagement für das Sophos Mobile Self Service Portal wie in der Dokumentation zu Sophos Mobile beschrieben eingerichtet und verwenden dieselbe Active
Directory Benutzerdatenbank, die in SafeGuard Enterprise konfiguriert ist.
• Sophos Secure Workspace wird von Sophos Mobile verwaltet.
• Sie haben die Integration in Sophos Mobile eingerichtet.
Copyright © Sophos Limited 343
SafeGuard Enterprise Administratorhilfe
• Damit der Schlüsselring in Sophos Mobile verfügbar ist, müssen sich Benutzer zumindest einmal an SafeGuard Enterprise anmelden.
Features auf Mobilgeräten
Die Schlüsselring-Synchronisierung beinhaltet folgende Features:
• Die Schlüssel aus dem SafeGuard Enterprise Schlüsselring eines Benutzers sind im Sophos
Secure Workspace Schlüsselring (SSW Schlüsselring) verfügbar.
• Benutzer können weiterhin lokale Schlüssel verwenden, die in ihrem SSW Schlüsselring vor der
Synchronisierung verfügbar waren.
• Nachdem Sie die Schlüsselring-Synchronisierung eingerichtet haben, können Benutzer keine neuen lokalen Schlüssel mehr erstellen.
• Aus Sicherheitsgründen werden die Schlüssel des SafeGuard Enterprise Schlüsselrings vom Gerät entfernt, wenn der Sophos Container gesperrt wird.
Nähere Informationen finden Sie unter Wiederherstellungsschlüssel anzeigen und Schlüssel verwalten in der Sophos Secure Workspace Hilfe.
6.6.1 Einrichten der Schlüsselring-Synchronisierung
Wenn Sie die Schlüsselring-Synchronisierung aktivieren, können Benutzer von SafeGuard
Enterprise ihren Schlüsselring auch in der Sophos Secure Workspace App verwenden.
So richten Sie eine Verbindung zwischen Sophos Mobile und Sophos SafeGuard Enterprise ein:
Hinweis
Sie sind dabei, Benutzer-Schlüsselringe für Mobilgeräte verfügbar zu machen. Wenn diese Geräte den Regeln von Sophos Mobile entsprechen, kann damit auf verschlüsselte
Dateien zugegriffen werden. Wir empfehlen, mit dem Sophos Mobile-Administrator zusammenzuarbeiten, um Compliance-Regeln zu erstellen und so unbefugtem Zugriff auf die
Daten vorzubeugen.
1. Laden Sie in der Sophos Mobile Konsole die Zertifikatsdatei für den Sophos Mobile Server herunter.
Klicken Sie in der seitlichen Menüleiste in der Sophos Mobile Konsole unter EINSTELLUNGEN auf
EinstellungenSystemeinstellungen und klicken Sie anschließend auf die Registerkarte SGN.
2. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
3. Wählen Sie Server.
4. Klicken Sie auf Hinzufügen.
Der Dialog Serverregistrierung wird angezeigt.
5. Verwenden Sie die Schaltfläche zum Durchsuchen, um Ihr Sophos Mobile Serverzertifikat auszuwählen, das Sie heruntergeladen haben.
Wichtig
Lassen Sie den Namen im Feld Servername: unverändert.
6. Klicken Sie auf OK.
Der Sophos Mobile Server wird in der Registerkarte Server unter Konfigurationspakete angezeigt.
344 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
7. Aktivieren Sie optional das Kontrollkästchen Recovery über Mobile Geräte.
Diese Option übermittelt die Wiederherstellungsschlüssel für BitLocker und FileVault 2 an den
Sophos Mobile Server. Benutzer von Sophos Secure Workspace (von Sophos Mobile verwaltet) können diese Schlüssel dann auf ihren Mobilgeräten anzeigen und für die Wiederherstellung verwenden, siehe
Recovery über Mobile Geräte (Seite 377).
Hinweis
Sophos Secure Workspace unterstützt Recovery per Mobilgerät ab Version 6.2.
Wir empfehlen, die Kompatibilität der Einstellungen mit Ihrem Sophos Mobile-Administrator abzustimmen, da nur kompatible Mobilgeräte Wiederherstellungsschlüssel empfangen können.
8. Wählen Sie Pakete für Managed Clients.
9. Klicken Sie auf Konfigurationspaket hinzufügen.
10. Geben Sie einen beliebigen Namen für das Konfigurationspaket ein.
11. Wählen Sie in der Spalte Primärer Server den Sophos Mobile Server aus der Auswahlliste. Ein
Sekundärer Server wird nicht benötigt.
12. Wählen Sie in der Spalte Transportverschlüsselung die Option SSL.
13. Geben Sie einen Ausgabepfad für das Konfigurationspaket (MSI) an.
14. Klicken Sie auf Konfigurationspaket erstellen.
WennSie als Modus für die Transportverschlüsselung die SSL-Verschlüsselung ausgewählt haben, wird die Serververbindung validiert. Wenn die Verbindung fehlschlägt, wird eine
Warnungsmeldung angezeigt.
Das Konfigurationspaket (MSI) wird im angegebenen Verzeichnis angelegt. Nun müssen Sie das
Konfigurationspaket auf Sophos Mobile hochladen.
6.7 Vertrauenswürdige Anwendungen und ignorierte Geräte konfigurieren
Neben den in File Encryption Richtlinien vom VerschlüsselungstypAnwendungsbasierend definierten Verschlüsselungsregeln können Sie in Richtlinien vom Typ Allgemeine Einstellungen folgende Einstellungen für die Dateiverschlüsselung konfigurieren:
• Vertrauenswürdige Anwendungen (meist Virenschutzsoftware)
Sie können Anwendungen als vertrauenswürdig definieren, um ihnen Zugriff auf verschlüsselte
Dateien zu geben. Dies ist zum Beispiel notwendig, damit Antivirus-Software verschlüsselte
Dateien überprüfen kann.
Untergeordnete Prozesse werden nicht als vertrauenswürdig eingestuft.
• Ignorierte Geräte
Sie können Geräte als ignoriert definieren, um sie von der Dateiverschlüsselung auszuschließen.
Sie können nur vollständige Geräte ausschließen.
6.7.1 Konfigurieren von vertrauenswürdigen Anwendungen für anwendungsbasierte Dateiverschlüsselung
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
Copyright © Sophos Limited 345
SafeGuard Enterprise Administratorhilfe
2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche des Felds
Vertrauenswürdige Anwendungen.
3. Geben Sie im Editor-Listenfeld die Anwendungen ein, die Sie als vertrauenswürdig definieren möchten.
• Sie können mehrere vertrauenswürdige Anwendungen in einer Richtlinie definieren. Jede Zeile im Editor-Listenfeld definiert jeweils eine Anwendung.
• Anwendungsnamen müssen auf .exe enden.
• Anwendungsnamen müssen als Fully Qualified Paths mit Laufwerk/Verzeichnis definiert werden, zum Beispiel c:\dir\beispiel.exe
. Es reicht nicht aus, nur den Dateinamen einzugeben (zum Beispiel beispiel.exe
). Aus Gründen der Benutzerfreundlichkeit zeigt die
Einzelzeilenansicht der Anwendungsliste nur die Dateinamen getrennt durch Strichpunkte.
• macOS: Es reicht nicht aus, nur das Anwendungspaket (zum Beispiel /Applications/
Scanner.app
) einzugeben. Die Anwendung muss als /Applications/Scanner.app/
Contents/MacOS/Scanner angegeben werden.
• Die Anwendungsnamen können dieselben Platzhalter für Windows Shell Ordner und
Umgebungsvariablen wie die Verschlüsselungsregeln in File Encryption Richtlinen enthalten.
Für eine Liste aller unterstützten Platzhalter, siehe Platzhalter für Pfade in pfadbasierten
(Seite 265).
4. Speichern Sie Ihre Änderungen.
Hinweis
Die Richtlinieneinstellungen Vertrauenswürdige Anwendungen sind Computereinstellungen. Die
Richtlinie muss daher Computern, nicht Benutzern, zugewiesen werden. Andernfalls werden die
Einstellungen nicht wirksam.
6.7.2 Ignorierte Geräte konfigurieren
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
2. Klicken Sie unter Dateiverschlüsselung auf die Dropdown-Schaltfläche des Felds Ignorierte
Geräte.
3. Führen Sie im Editor-Listenfeld folgende Schritte durch: a) Wählen Sie Netzwerk wenn Sie keine Daten am Netzwerk verschlüsseln wollen.
b) Geben Sie die entsprechenden Gerätenamen an, um spezifische Geräte von der
Verschlüsselung auszuschließen. Dies ist zum Beispiel nützlich, wenn Sie Systeme von Dritt-
Anbietern ausschließen müssen.
Sie können die Namen der derzeit im System benutzten Geräte mit dem Steuerungsprogramm
Fltmc.exe
von Microsoft steuern ( fltmc volumes , fltmc instances ), siehe https:// docs.microsoft.com/de-de/windows-hardware/drivers/ifs/development-and-testing-tools .
Sie können einzelne (Netzwerk)-Festplattenlaufwerke von der Verschlüsselung ausschließen, in dem Sie eine File Encryption Verschlüsselungsregel in einer File Encryption Richtlinie erstellen und den Modus für die Verschlüsselung auf Ignorieren einstellen. Sie können diese Einstellung nur auf Windows-Volumes anwenden, nicht auf macOS-Volumes .
346 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
6.8 Anwendungsbasierte File Encryption-Richtlinien im RSOP
Da Synchronized Encryption Richtlinien nicht vereinigt werden, wird immer der Inhalt der Richtlinie angezeigt, die gerade für einen Benutzer oder Computer in Kraft ist (Benutzer und Computer >
RSOP > Dateiverschlüsselung).
Copyright © Sophos Limited 347
SafeGuard Enterprise Administratorhilfe
7 Erweiterte Verwaltung
7.1 Erste Schritte und Praxistipps
7.1.1 Rollout
Allgemeine Empfehlungen
• Versuchen Sie, einen gemischten Rollout des neuen Synchronized Encryption Moduls und des alten File Encryption Moduls zu vermeiden.
• Ein schrittweiser Rollout erfordert einen Testlauf für jeden Schritt, besonders bei komplexen, verschachtelten AD-Gruppenzugehörigkeiten.
• Eine Schulung der Benutzer ist entscheidend für den reibungslosen Rollout und Betrieb.
• Auch muss klar kommuniziert werden, wer teilnimmt und welche Konsequenzen zu erwarten sind.
• IT- und Support-Abteilungen müssen ausreichend Personal zur Verfügung haben.
Voraussetzungen
• SafeGuard Enterprise Server und SafeGuard Management Center erfordern .NET 4.5.
• Auf allen Endpoints sollte SafeGuard Enterprise installiert sein. Andernfalls funktioniert das
Teilen von verschlüsselten Dateien nicht transparent und der gewohnte Arbeitsablauf ist beeinträchtigt.
• Wenn Sie verschlüsselte Dateien auch auf mobilen Geräten lesen möchten (eine neue Funktion von SafeGuard Enterprise 8), müssen Sie auch die Sophos Secure Workspace App ausrollen.
Hinweis
Um verschlüsselte Dateien auf mobilen Geräten zu lesen, müssen Sie Sophos Secure
Workspace verwenden und über Sophos Mobile verwalten.
348
• Stellen Sie sicher, dass sich Benutzer auch auf Reisen regelmäßig mit dem SafeGuard
Enterprise Backend über VPN oder "Direct Access" (Windows) verbinden, so dass immer die aktuellsten Verschlüsselungsrichtlinien angewendet werden können.
Partieller Rollout
In vielen Situationen kann das neue Synchronized Encryption Modul nicht für alle Mitarbeiter gleichzeitig ausgerollt und aktiviert werden. In diesen Fällen ist es wichtig, Benutzern Lesezugriff auf verschlüsselte Dateien zu geben, auch wenn sie SafeGuard Enterprise Endpoints verwenden, bei denen Synchronized Encryption noch nicht aktiviert ist. Dazu ist eine Lesezugriff-Richtlinie erforderlich.
Um Benutzern Lesezugriff zu geben brauchen Sie folgendes:
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• Den Synchronized Encryption Schlüssel.
Er ist standardmäßig dem Stammknoten im Management Center zugewiesen und alle Benutzer innerhalb eines Unternehmens sollten diesen Schlüssel automatisch erhalten.
• Eine Applikationenliste und eine spezifische Lesezugriff-Richtlinie.
Für weitere Informationen, siehe
Partieller Rollout von Synchronized Encryption
(Seite 322).
Synchronized Encryption und SafeGuard Enterprise File Encryption in derselben Umgebung
Hinweis
Wenn Ihre Umgebung sowohl Synchronized Encryption als auch File Encryption erfordert, beachten Sie folgendes um eine reibungslose Integration zu gewährleisten.
Synchronized Encryption unterstützt nur einen Schlüssel für das gesamte Unternehmen. Diese erleichtert Administration und Rollout. Für einige Abteilungen, zum Beispiel Personalwesen oder
Finanzwesen, kann die Anforderung einer kryptographischen Abgrenzung zu anderen Abteilungen bestehen um ihre Dokumente nur innerhalb der jeweiligen Abteilung zugänglich zu machen.
In diesem Fall müssen die SafeGuard Enterprise File Encryption Module (File Share, Cloud Storage,
Data Exchange) verwendet werden. Diese Module unterstützen die Verwendung unterschiedlicher
Schlüssel für die Verschlüsselung. Sie können das Synchronized Encryption Modul und das
SafeGuard Enterprise File Encryption Module nicht auf demselben Computer installieren.
Um sowohl Synchronized Encryption als auch SafeGuard Enterprise File Encryption zu verwenden sind einige administrative Schritte erforderlich:
1. Beim Rollout von SafeGuard Enterprise muss berücksichtigt werden, dass in unterschiedlichen
Abteilungen unterschiedliche Module installiert werden müssen.
2. Abteilungen mit speziellen Anforderungen benötigen andere Richtlinien als die, die Endpoints mit Synchronized Encryption zugewiesen sind. Dazu sollte die importierte AD-Struktur eine einfache Zuweisung dieser Richtlinien zu Benutzern und Computern erlauben.
3. Rollout und Installation der SafeGuard Enterprise Module muss entsprechend der zugewiesenen
Richtlinien erfolgen: Die richtigen Computer müssen die richtigen Richtlinien erhalten.
Hinweis
Das Outlook Add-In ist für SafeGuard Enterprise File Encryption Module nicht verfügbar.
Daher können Synchronized Encryption und File Encryption Endpoints verschlüsselte
Mailanhänge nicht transparent teilen.
Empfehlungen
• Benutzer von SafeGuard Enterprise File Encryption Modulen müssen den Synchronized
Encryption Schlüssel erhalten. Dann können Benutzer Dateien transparent lesen, die mit dem
Synchronized Encryption Schlüssel verschlüsselt sind.
• Teilen von verschlüsselten Dateien:
Für Benutzer von SafeGuard Enterprise File Encryption Modulen empfehlen wir, eine
Richtlinie zu erstellen, die den Synchronized Encryption Schlüssel für die Verwendung mit einer "Transfer"-Freigabe definiert. Alle Dateien, die in dieser Freigabe erstellt oder dort hin
Copyright © Sophos Limited 349
SafeGuard Enterprise Administratorhilfe verschoben werden, werden mit dem Synchronized Encryption Schlüssel verschlüsselt.
Synchronized Encryption Benutzer können diese Dateien lesen.
• Teilen von unverschlüsselten Dateien:
Für Benutzer von SafeGuard Enterprise File Encryption Modulen kann eine Richtlinie verwendet werden, die einen Ordner von der Verschlüsselung ausschließt (Verschlüsselungstyp:
Pfadbasiert, Modus: Ausschließen).
• Wenn Benutzer von SafeGuard Enterprise File Encryption Modulen Dateien mit Synchronized
Encryption Benutzern teilen möchten, müssen sie die Dateien zuerst entschlüsseln. Sie können dann entscheiden, ob sie die Dateien unverschlüsselt senden oder mit dem Synchronized
Encryption Schlüssel verschlüsseln möchten.
Überprüfen der Gültigkeit von Benutzerzertifikaten
Die Überprüfung der Gültigkeit von Benutzerzertifikaten ist besonders für Unternehmen wichtig, die bisher nur SafeGuard Enterprise BitLocker verwendet haben und nun zusätzlich das Synchronized
Encryption Modul verwenden möchten.
Prüfen Sie die Zertifikate im SafeGuard Management Center unter Schlüssel &
ZertifikateZertifikateZugewiesene Zertifikate.
Abgelaufene Zertifikate oder solche, die bald ablaufen werden, sind in der Spalte Gültig bis rot markiert. Um ein Zertifikat zu erneuern, aktivieren Sie das Kontrollkästchen in der Spalte Erneuern.
Benutzer mit bereits abgelaufenen Zertifikaten müssen neue erhalten. Sie müssen die abgelaufenen
Zertifikate löschen, dann erhalten die betroffenen Benutzer automatisch neue Zertifikate wenn sie sich das nächste Mal an SafeGuard Enterprise anmelden.
SafeGuard Enterprise enthält das Datenbankskript UserCertficateRenewal.vbs
, mit dem diese Aufgaben automatisiert abgewickelt werden können. Das Skript kann im SafeGuard Enterprise oder Windows Taskplaner verwendet werden, um diese Checks regelmäßig durchzuführen und die
Zertifikate, wenn nötig, zu erneuern, siehe Sophos Knowledgebase-Artikel 118878 .
Überprüfen, ob alle Benutzer bestätigt sind
In SafeGuard Enterprise müssen neue Benutzer im SafeGuard Management Center bestätigt oder über Active Directory authentisiert werden. Benutzer mit Active Directory werden automatisch bestätigt. Manche Benutzer hingegen, zum Beispiel lokale Benutzer, müssen manuell bestätigt werden. Unbestätigte Benutzer sind keine SGN Benutzer und erhalten daher keine Schlüssel für
Synchronized Encryption. Dies trifft sowohl auf Windows als auch auf macOS Endpoints zu.
Wir empfehlen, die erste Richtlinie als Lesezugriff-Richtlinie auszurollen. Nachdem alle
Endpoints/Benutzer ihre Schlüssel erhalten haben, können Sie die Verschlüsselungsrichtlinien aktivieren. Dadurch stellen Sie sicher, dass alle Benutzer bestätigt wurden bevor sie ihre
Verschlüsselungsrichtlinien erhalten. So können Probleme mit unbestätigten Benutzern vermieden werden.
Richtlinien für macOS Endpoints
Für die Dateiverschlüsselung empfehlen wir, eine Richtlinie vom Typ Anwendungsbasierend
(Synchronized Encryption) mit Umfang der Verschlüsselung > Definierte Speicherorte zu definieren und zu Beginn nur wenige Speicherorte anzugeben, an denen Dateien automatisch verschlüsselt werden. Auf diesem Weg können die Auswirkungen auf die Arbeitsweise der Benutzer gering gehalten werden.
Für eine einfachere Unterscheidung von Windows und macOS Endpoints bei der Verwaltung von
Richtlinien empfehlen wir die Verwendung eines separaten AD oder einer separaten SafeGuard
350 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Enterprise Gruppe für macOS Benutzer und Computer. Aktivieren Sie die macOS Richtlinie nur für macOS Benutzer und Computer.
Empfehlungen für eine macOS Synchronized Encryption Richtlinie
In-Apps
Anwendungen, die Daten verschlüsseln sollen, zur Applikationenliste hinzufügen:
Hinweis
Für macOS ist kein Outlook Add-In verfügbar. Sie können jedoch Outlook und Apple Mail zur Applikationenliste hinzufügen, um sicher zu stellen, dass keine verschlüsselten Daten versehentlich an Empfänger versendet werden, die sie nicht öffnen können. Beachten Sie, dass die Mail-Apps, die Sie zur Liste hinzufügen, alle Mailanhänge unverschlüsselt senden, alle verschlüsselten Anhänge verschlüsselt speichern und alle unverschlüsselten Anhänge unverschlüsselt speichern.
— /Applications/Microsoft Outlook.app/Contents/MacOS/Microsoft Outlook
— /Applications/Microsoft Office 2011/Microsoft Outlook.app/Contents/MacOS/Microsoft Outlook
— Applications/Mail.app/Contents/MacOS/Mail
• Um die Vorschau im macOS Finder und in Apple Mail zu aktivieren, müssen folgende Prozesse hinzugefügt werden:
— /Applications/Preview.app/Contents/MacOS/Preview
— /System/Library/Frameworks/QuickLook.framework/Versions/A/Resources/quicklookd.app/
Contents/XPCServices/QuickLookSatellite.xpc/Contents/MacOS/QuickLookSatellite
— /System/Library/Frameworks/Quartz.framework/Versions/A/Frameworks/
QuickLookUI.framework/Versions/A/Resources/QuickLookUIHelper.app/Contents/MacOS/
QuickLookUIHelper
— /System/Library/Frameworks/QuickLook.framework/Versions/A/Resources/quicklookd.app/
Contents/MacOS/quicklookd
Pfade für Umfang der Verschlüsselung: Definierte Speicherorte
• Verschlüsseln:
— <Documents>\Encrypted
• Wenn Sie möchten, dass Benutzer verschlüsselte Dokumente mit Doppelklick über den
Mail Client öffnen können, müssen Sie diese Anwendungen (zum Beispiel Apple Mail) zur
Applikationenliste hinzufügen und die dazugehörenden temporären Ordner zur Liste der definierten Speicherorte hinzufügen.
Die Orte, die Sie für Mail-Clients auf Mac definieren müssen, sind folgende:
— <%TMPDIR%>\com.apple.mail\com.apple.mail
— <User Profile>\Library\Containers\com.apple.mail\Data\Library\Mail Downloads
Copyright © Sophos Limited 351
SafeGuard Enterprise Administratorhilfe
Fügen Sie folgende Orte für Outlook für macOS hinzu:
— <User Profile>\Library\Caches\TemporaryItems\Outlook Temp\
— <%TMPDIR%>com.microsoft.Outlook\Outlook Temp\
7.1.2 Backend
Lesezugriff-Benutzer für Active Directory Synchronisierung
Hinweis
Um die Sicherheit der Verbindung zu erhöhen, empfehlen wir die Verwendung einer SSL-
Verschlüsselung für die Active Directory-Synchronisierung.
Das Konto, das für den Import und die Synchronisierung von Active Directory verwendet wird, sollte ein Lesezugriff-Benutzer sein. Der Benutzer benötigt Lesezugriff auf die Domäne und alle untergeordneten Objekte.
So weisen Sie Rechte zu:
1. Öffnen Sie das Fenster Active Directory-Benutzer und -Computer und wählen Sie Erweiterte
Funktionen.
2. Klicken Sie mit der rechten Maustaste auf die Domäne und dann auf Eigenschaften.
3. Fügen Sie einen Benutzer oder eine Gruppe hinzu und aktivieren Sie das Kontrollkästchen
Zulassen um Lese-Rechte zuzuweisen.
4. Klicken Sie auf Erweitert, wählen Sie den Benutzer oder die Gruppe und klicken Sie auf
Bearbeiten.
5. Wählen Sie im Dialog Berechtigungseintrag für <Domäne> den Eintrag Dieses und alle
untergeordneten Objekte aus der Übernehmen für: Auswahlliste.
Das Ergebnis sollte so aussehen:
352 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Benutzer, die mit "#" im Management Center gekennzeichnet sind
Benutzer, die sich in SafeGuard Enterprise registriert haben als kein Domain Controller verfügbar war, werden im Management Center mit "#" gekennzeichnet.
7.1.3 Richtlinien
Ordner, die von der Verschlüsselung ausgenommen werden müssen
Stellen Sie sicher, dass Sie die folgenden Verzeichnisse von der Verschlüsselung ausschließen, wenn Sie Synchronized Encryption verwenden:
Windows
• <Local Application Data\Temp>
Grund: Manche Anwendungen erzeugen viele kleine temporäre Dateien. Werden sie nicht ausgenommen, werden alle diese temporären Dateien gemäß Richtlinie verschlüsselt. Schließen
Sie daher den Ordner aus, um Performance-Probleme zu vermeiden.
• <Local Application Data>\Microsoft (und Unterverzeichnisse)
Copyright © Sophos Limited 353
SafeGuard Enterprise Administratorhilfe
Grund: Einige Anwendungen rufen andere Anwendungen auf (zum Beispiel in Microsoft
PowerPoint eingebettete Videos). Ist die aufrufende Anwendung eine Anwendung, die Dateien verschlüsselt, dann wird auch die temporäre Datei (in diesem Beispiel die Video-Datei) verschlüsselt. Ist die aufgerufene Anwendung (zum Beispiel ein Browser) eine Anwendung, die keine Dateien verschlüsselt (weil sie nicht auf der Applikationenliste steht), kann sie die verschlüsselte Datei nicht lesen.
• <Program Files>
Grund: Um auf diesen Ordner zugreifen zu können sind Administratorrechte erforderlich.
SafeGuard Initial Encryption kann diese Dateien aufgrund von fehlenden Zugriffsrechten nicht verschlüsseln. Schließen Sie diesen Ordner aus, um zu vermeiden, dass die SafeGuard
Datenbank mit Benachrichtigungen über fehlgeschlagene Dateiverschlüsselungen überfüllt wird.
Alle Systeme
• <!cloud storage providers!>
Generell empfehlen wir, Cloud Storage zu verschlüsseln, jedoch können Sie einzelne Cloud
Storage Anbieter ausschließen, die zum Austauschen von Dateien mit externen Partnern verwendet werden. Dies verhindert, dass Dateien in bekannten lokalen Cloud Storage
Synchronisierungsordnern verschlüsselt werden. So können Probleme beim Austauschen von
Dateien mit externen Partnern über Cloud-Synchronisierung vermieden werden. Wenn Sie keine
Cloud-Ordner für den Datenaustausch mit externen Partnern nutzen, müssen Sie keine Ordner ausschließen.
• <Music>
Grund: Normalerweise müssen Sie diese Dateien nicht verschlüsseln. Wenn Sie nicht wollen, dass dieser Ordner von der Verschlüsselung ausgenommen wird, müssen die Anwendungen, mit denen diese Dateien geöffnet werden, Teil der Applikationenliste sein.
• <User Profile>\AppData\Roaming\AppleComputer
Grund: Dies ist der lokale Synchronisierungsordner für Apple iCloud auf Windows Endpoints. Er sollte aus demselben Grund ausgenommen werden wie <!cloud storage providers!> .
Empfehlungen für Richtlinieneinstellungen
Definieren Sie einen Ordner "Unencrypted".
Dieser Ordner kann zum Teilen von unverschlüsselten Dateien verwendet werden, beispielsweise mit Linux Benutzern innerhalb des Unternehmens oder im Rahmen eines partiellen Rollouts, siehe
Partieller Rollout von Synchronized Encryption (Seite 322).
• Windows
Um den Ordner "Unencrypted" von der Verschlüsselung auszunehmen müssen Sie den
Ordner Unencrypted (relativer Pfad) als Ausnahme in einer Richtlinie mit Umfang der
Verschlüsselung > Überall definieren. Wenn Sie das tun, werden alle Dateien in Ordnern mit diesem Namen nicht verschlüsselt, egal wo sich der Ordner befindet.
• macOS
Relative Pfade werden unter macOS nicht unterstützt. Wir empfehlen daher, den Pfad
<Documents>\Unencrypted als Ausnahme in einer Richtlinie mit Umfang der
Verschlüsselung > Überall zu definieren.
354 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Outlook-Add-in
Wir empfehlen, die Option Verschlüsselungsmethode für Domains auf Whitelists in einer
Richtlinie vom Typ Allgemeine Einstellungen auf Unverändert zu setzen.
Schlüssel auf gefährdeten Computern entziehen
SafeGuard Enterprise Synchronized Encryption Endpoints werden von Sophos Central Endpoint
Protection informiert, wenn der Computer einen gefährdeten Status erreicht.
Wir empfehlen, die Option Schlüssel auf gefährdeten Computern entziehen auf Nein zu setzen.
Überprüfen Sie das Feedback zu betroffenen Endpoints unter Berichte im SafeGuard Management
Center hinsichtlich rotem Systemzustand. Als nächstes sollten Sie die Endpoints überprüfen und gegebenenfalls bereinigen. Schließlich sollten Sie die Option Schlüssel auf gefährdeten
Computern entziehen auf Ja setzen.
Gastbenutzer
Auf Endpoints, die nur SafeGuard Enterprise BitLocker-Verwaltung installiert haben, könnte die
Option Registrieren von neuen SGN-Benutzern erlauben auf Besitzer gesetzt sein.
Jedoch muss auf Endpoints ohne SafeGuard Enterprise POA, die BitLocker-Verwaltung oder
Dateiverschlüsselungsmodule installiert haben, die Option Registrieren von neuen SGN-
Benutzern erlauben auf Jeder gesetzt sein. Wenn Sie diese Option nicht auf Jeder setzen, erhalten zukünftige Benutzer nur den Status SGN-Gast. Sie erhalten keine Zertifikate und können nach der Installation eines Moduls zur Dateiverschlüsselung wie Synchronized Encryption keine
Dateien verschlüsseln.
Richtlinien für macOS und RSOP
Unter macOS werden nur Richtlinien berücksichtigt, die Benutzern zugewiesen sind. Wenn Sie die
Richtlinien Computern zuweisen, erhalten macOS Endpoints keine Richtlinien.
Das RSOP im Management Center zeigt zwar die aktuell zugewiesene Richtlinie an, jedoch wird sie nicht aktiv.
Datei-Tracking
Beachten Sie, dass die Funktionalität des Datei-Tracking von SafeGuard Enterprise nationalen
Gesetzen unterliegt. Vergewissern Sie sich, ob Sie gesetzlich zum Datei-Tracking befugt sind.
Kennwort ändern
Wenn Sie den SafeGuard Enterprise Credential Provider verwenden, wird der Windows-Dialog, der
Benutzer daran erinnert, ihr Kennwort zu ändern, nicht mehr angezeigt.
Um Benutzer daran zu erinnern ihr Kennwort zu ändern, müssen Sie eine SafeGuard Enterprise
Richtlinie vom Typ Kennwort mit den erforderlichen Einstellungen definieren und zuweisen, siehe
Syntaxregeln für Kennwörter (Seite 211).
Copyright © Sophos Limited 355
SafeGuard Enterprise Administratorhilfe
7.1.4 Endpoints - alle Plattformen
Dateien manuell verschlüsseln/entschlüsseln
Synchronized Encryption ermöglicht Ihnen, einzelne Dateien manuell zu verschlüsseln oder entschlüsseln. Klicken Sie mit der rechten Maustaste auf eine Datei und wählen Sie SafeGuard
Dateiverschlüsselung. Folgende Funktionen stehen zur Verfügung:
• Verschlüsselungsstatus anzeigen: Zeigt an, ob die Datei verschlüsselt ist und welcher
Schlüssel verwendet wurde.
• Gemäß Richtlinie verschlüsseln Verschlüsselt Ihre Datei mit dem Synchronized Encryption
Schlüssel sofern der Dateityp in der Applikationenliste enthalten ist und der Speicherort nicht von der Verschlüsselung ausgenommen wurde.
• Ausgewählte Datei entschlüsseln (nur für verschlüsselte Dateien): Sie können Dateien entschlüsseln und unverschlüsselt speichern. Wir empfehlen, Ihre Datei nur dann zu entschlüsseln, wenn sie keine sensiblen Informationen enthält. Sie können diese Option in einer
Richtlinie vom Typ Allgemeine Einstellungen deaktivieren, siehe
(Seite 192).
• Ausgewählte Datei verschlüsseln (nur für unverschlüsselte Dateien): Sie können Dateien manuell mit dem Synchronized Encryption-Schlüssel verschlüsseln.
• Kennwortgeschützte Datei erstellen: Hier können Sie ein Kennwort zum manuellen
Verschlüsseln Ihrer Datei definieren. Dies ist sinnvoll, wenn Sie eine vertrauliche Datei mit jemandem teilen möchten, der nicht über den Synchronized Encryption-Schlüssel Ihres
Unternehmens verfügt. Ihre Datei wird verschlüsselt und als HTML-Datei gespeichert.
Empfänger können die Datei mit ihrem Browser öffnen sobald Sie ihnen das Kennwort mitteilen.
— Sie können diese Option in einer Richtlinie vom Typ Allgemeine Einstellungen deaktivieren, siehe
(Seite 192).
— Diese Funktion ist nur für Dateien verfügbar, die entweder unverschlüsselt oder mit einem
Schlüssel in Ihrem Schlüsselring verschlüsselt sind. Bereits verschlüsselte Dateien werden entschlüsselt bevor sie kennwortgeschützt werden.
— Der Kennwortschutz verwendet Base64-Codierung, daher ist das Ergebnis größer als die
Originaldatei. Die maximal unterstützte Dateigröße beträgt 50 MB.
— Es können nur einzelne Dateien kennwortgeschützt werden, nicht ganze Ordner oder Pfade.
Jedoch können Sie mehrere Dateien markieren, um sie zu verschlüsseln, entschlüsseln oder ihren Verschlüsselungsstatus anzuzeigen.
Wenn Sie mit der rechten Maustaste auf Ordner oder Laufwerke klicken, sind folgende Funktionen verfügbar:
• Verschlüsselungsstatus anzeigen: Zeigt eine Liste der enthaltenen Dateien, deren
Verschlüsselungsstatus und die verwendeten Schlüssel an.
• Gemäß Richtlinie verschlüsseln Das System erkennt automatisch alle unverschlüsselten
Dateien und verschlüsselt sie mit dem Synchronized Encryption Schlüssel sofern der Dateityp in der Applikationenliste enthalten ist und der Speicherort nicht von der Verschlüsselung ausgenommen wurde. Abhängig von Ihrer Richtlinie werden auch Dateien, die mit einem anderen Schlüssel verschlüsselt sind, mit dem Synchronized Encryption-Schlüssel wiederverschlüsselt.
356 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Verhindern, dass Benutzer Dateien manuell entschlüsseln
Sie können mit einer Richtlinieneinstellung verhindern, dass Benutzer Dateien manuell entschlüsseln.
Das Verhindern, dass Benutzer Dateien entschlüsseln, kann aus Compliance-Gründen oder weil es die Richtlinien Ihrer Organisation erfordern, notwendig sein. So erstellen Sie eine solche Richtlinie:
1. Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine
Einstellungen an oder wählen Sie eine vorhandene aus.
Die Registerkarte Allgemeine Einstellungen wird angezeigt.
2. Wechseln Sie in den Bereich Dateiverschlüsselung.
3. Setzen Sie die Option Benutzer darf Dateien entschlüsseln auf Nein.
4. Wenn Sie die Registerkarte Allgemeine Einstellungen verlassen, werden Sie aufgefordert, Ihre
Änderungen zu speichern.
5. Klicken Sie auf Ja.
6. Wechseln Sie zu Benutzer und Computer und weisen Sie die neue Richtlinie Ihren
Benutzergruppen zu.
Wichtig
Auf Mac OS wird diese Einstellung nur angewendet, wenn die Richtlinie einer Maschine zugewiesen ist. Das Zuweisen an Benutzer hat keine Auswirkungen.
Die Option Ausgewählte Dateien entschlüsseln wird aus dem Rechtsklick-Menü von Dateien entfernt. Verschlüsselung und Entschlüsselung werden ausschließlich durch Richtlinieneinstellungen gesteuert.
Sicherer Systemzustand kann nicht hergestellt werden - Bereinigung fehlgeschlagen
Next-Generation Data Protection ermöglicht die Kommunikation zwischen Sophos SafeGuard und
Sophos Endpoint Protection, wenn verfügbar. Dies ist eine Erweiterung der Synchronized Security
Nachricht. SafeGuard und Endpoint tauschen sich mittels "Heartbeat" über den Systemzustand
(Health-Status) aus.
Ist ein System mit Malware infiziert, wird es gesperrt (Lockdown), um sensible Daten zu schützen.
Wenn das passiert, werden Benutzer von Sophos Endpoint Protection informiert, dass Ihr
Systemzustand rot (unsicher) ist. Außerdem werden sie von Sophos SafeGuard darüber informiert, dass sie nicht mehr in der Lage sind, auf verschlüsselte Dateien zuzugreifen. Dies bleibt aufrecht, bis der Systemzustand wieder sicher (grün) ist. Sobald das System wieder einen grünen Health-Status erlangt, synchronisiert sich Sophos SafeGuard mit dem Backend und Benutzer können wieder auf verschlüsselte Dateien zugreifen.
Falls Benutzer zwar eine entsprechende Benachrichtigung erhalten, aber ihr System binnen kurzer
Zeit keinen sicheren Status erlangt, sollten sie die IT-Abteilung um Hilfe bitten.
Wenn ein Endpoint nicht in der Lage ist, einen sicheren Status zu erlangen, bedeutet das, dass die
Sophos Anti-Virus Bereinigung fehlgeschlagen ist (Bereinigung in Sophos Central auf automatisch).
Schlägt die Bereinigung fehl, so sind zusätzliche Maßnahmen seitens IT nötig, um die Malware zu entfernen, siehe https://www.sophos.com/de-de/support/knowledgebase/112129.aspx
.
7.1.5 Windows Endpoints
Copyright © Sophos Limited 357
SafeGuard Enterprise Administratorhilfe
E-Mails, die mit einer automatischen Weiterleitungs-Regel gesendet werden
Wenn Sie am Endpoint eine Regel zum automatischen Weiterleiten von E-Mails definieren, werden automatisch weitergeleiteten E-Mails nicht protokolliert.
7.1.6 macOS Endpoints
Position der Icons auf dem Desktop
Wenn Sie SafeGuard Enterprise für Mac verwenden, werden die Positionen der Icons auf Ihrem
Desktop möglicherweise nicht richtig gespeichert. Wenn Sie die Position eines Icons verändern, wird es nach einem Neustart oder Logon wieder an seiner alten Position angezeigt.
Um die Positionen Ihrer Icons zu dauerhaft zu speichern, gehen Sie wie folgt vor:
1. Starten Sie die Terminal-Anwendung auf Ihrem Mac.
2. Geben Sie folgendes Kommando ein: defaults write com.sophos.encryption MountDesktopAsNetworkVolume 1
3. Melden Sie sich ab und wieder an.
Das System ist nun in der Lage, die Positionen Ihrer Desktop-Icons zu speichern.
Wichtig
Wenn Sie dieses Kommando ausführen, verändert sich die Funktionsweise des Papierkorbs.
Wenn Sie eine Datei löschen, wird sie nicht mehr in den Papierkorb gelegt, sondern permanent gelöscht. Um die Einstellung zurückzusetzen, geben Sie folgendes Kommando in der Terminal-
Anwendung ein: defaults remove com.sophos.encryption MountDesktopAsNetworkVolume .
358
7.2 Empfohlene Sicherheitsmaßnahmen
Wenn Sie die hier beschriebenen, einfachen Schritte befolgen, reduzieren Sie Risiken und die Daten auf Ihrem Computer sind jederzeit sicher und geschützt.
Best Practices für die Verschlüsselung
• Stellen Sie sicher, dass allen Laufwerken ein Laufwerksbuchstabe zugewiesen ist.
Nur Laufwerke, die einen Laufwerksbuchstaben zugewiesen haben, können verschlüsselt/ entschlüsselt werden. Folglich können Laufwerke ohne Laufwerksbuchstaben missbraucht werden, um an vertrauliche Daten im Klartext zu gelangen.
So wenden Sie diese Bedrohung ab: Erlauben Sie den Benutzern nicht, die
Laufwerkbuchstabenzuweisungen zu ändern. Konfigurieren Sie die Benutzerrechte entsprechend. Reguläre Benutzer haben dieses Recht standardmäßig nicht.
• Gehen Sie bei der Anwendung der schnellen Initialverschlüsselung vorsichtig vor.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
SafeGuard Enterprise bietet die schnelle Initialverschlüsselung zur Beschleunigung der
Initialverschlüsselung von Volumes. Dies wird dadurch erreicht, dass nur auf den Speicherplatz zugegriffen wird, der tatsächlich in Gebrauch ist. Dieser Modus kann zu einem unsichereren
Zustand führen, wenn ein Volume vor der Verschlüsselung mit SafeGuard Enterprise bereits in
Gebrauch war. Aufgrund Ihres Aufbaus sind Solid State Disks (SSD) hier stärker betroffen als reguläre Festplatten. Dieser Modus ist standardmäßig deaktiviert. Weitere Informationen finden
Sie im Sophos Knowledegebase-Artikel 113334 .
• Verwenden Sie nur den Algorithmus AES-256 für die Datenverschlüsselung.
• Verwenden Sie SSL/TLS (SSL Version 3 oder höher) für den Schutz der Kommunikation zwischen
Client und Server.
Für weitere Informationen, siehe
Sichern von Transportverbindungen mit SSL (Seite 31).
• Verhindern Sie Deinstallation.
Um Endpoints zusätzlich zu schützen, kann die lokale Deinstallation von SafeGuard Enterprise
über eine Richtlinie mit spezifischen Computereinstellungen verhindert werden. Setzen Sie das Feld Deinstallation erlaubt auf Nein und übermitteln Sie die Richtlinie an die Endpoints.
Versuche, die Software zu deinstallieren, werden abgebrochen und die nicht autorisierten
Versuche werden protokolliert.
Wenn Sie eine Demoversion benutzen, setzen Sie vor Ablauf der Demoversion die Option
Deinstallation erlaubt auf Ja.
Wenden Sie den Sophos Manipulationsschutz auf Endpoints an, auf denen Sophos Endpoint
Security and Control installiert ist.
Vermeiden Sie den Standbymodus.
Wenn sich SafeGuard Enterprise-geschützte Endpoints in bestimmten Energiesparmodi befinden, in denen das Betriebssystem nicht ordnungsgemäß heruntergefahren und bestimmte
Hintergrundprozesse nicht beendet werden, besteht die Gefahr, dass sich Angreifer Zugriff auf die
Verschlüsselungsschlüssel verschaffen. Der Schutz kann erhöht werden, wenn das Betriebssystem immer vollständig heruntergefahren oder in den Ruhezustand versetzt wird.
Informieren Sie die Benutzer entsprechend oder erwägen Sie, den Standbymodus auf nicht benutzten Endpoints zentral zu deaktivieren:
• Vermeiden Sie den Standbymodus ebenso wie den hybriden Standbymodus. Der hybride
Standbymodus ist eine Mischung aus Energiesparmodus und Standbymodus. Die Einstellung einer zusätzlichen Kennwort-Abfrage nach dem Aufwecken des Computers bietet keinen vollen
Schutz.
• Vermeiden Sie das Sperren von Desktops, das Ausschalten von Monitoren oder das Zuklappen von Laptops, wenn darauf kein vollständiges Herunterfahren oder der Ruhezustand folgt. Die
Einstellung einer zusätzlichen Kennwort-Abfrage nach dem Aufwecken des Computers bietet keinen ausreichenden Schutz.
• Fahren Sie stattdessen die Endpoints herunter oder versetzen Sie sie in den Ruhezustand. Beim nächsten Benutzen des Computers wird stets die SafeGuard Power-on Authentication aktiviert, die somit vollen Schutz bietet.
Hinweis
Es ist wichtig, dass sich die Ruhezustand-Datei auf einem verschlüsselten Volume befindet.
Normalerweise liegt sie auf Laufwerk C:\.
Copyright © Sophos Limited 359
SafeGuard Enterprise Administratorhilfe
Die entsprechenden Einstellungen für die Energieverwaltung können Sie zentral mit
Gruppenrichtlinienobjekten oder lokal im Eigenschaften für Energieoptionen Dialog in der
Systemsteuerung des Endpoints konfigurieren. Stellen Sie die Aktion für die Standbymodus
Schaltfläche auf Ruhezustand oder Herunterfahren.
Setzen Sie eine Richtlinie für sichere Kennwörter um.
Setzen Sie eine Richtlinie für sichere Kennwörter um und erzwingen Sie einen Kennwortwechsel in regelmäßigen Abständen, besonders für die Anmeldung an Endpoints.
Kennwörter sollten nicht an andere Personen weitergegeben oder aufgeschrieben werden.
Informieren Sie Benutzer, wie sie sichere Kennwörter wählen. Ein sicheres Kennwort folgt diesen
Regeln:
• Es ist lange genug um sicher zu sein: Eine Mindestlänge von 10 Zeichen ist zu empfehlen.
• Es enthält eine Mischung aus Buchstaben (Groß- und Kleinschreibung), Zahlen und
Sonderzeichen/Symbolen.
• Es enthält keine allgemein gebräuchlichen Wörter oder Namen.
• Es ist schwer zu erraten, aber es ist leicht, es sich zu merken und korrekt einzutippen.
Deaktivieren Sie die SafeGuard Power-on Authentication nicht.
Die SafeGuard Power-on Authentication bietet zusätzlichen Schutz für die Anmeldung am Endpoint.
Sie wird mit SafeGuard Full Disk Encryption installiert und standardmäßig aktiviert. Um vollen Schutz zu gewährleisten, deaktivieren Sie die Power-on Authentication nicht. Weitere Informationen finden
Sie im Sophos Knowledegebase-Artikel 110282 .
Schutz vor dem Einschleusen von Code
Unter Umständen ist das Einschleusen von Code (zum Beispiel DLL Pre-Loading-Angriffe) möglich, wenn es einem Angreifer gelingt, schädlichen Code (zum Beispiel in ausführbaren Dateien) in
Verzeichnisse einzubringen, in denen die SafeGuard Enterprise Verschlüsselungssoftware nach legitimem Code sucht. So wenden Sie diese Bedrohung ab:
• Installieren Sie die von der Verschlüsselungssoftware geladene Middleware, zum Beispiel Token
Middleware, in Verzeichnissen, auf die externe Angreifer nicht zugreifen können. Dies sind
üblicherweise die Unterverzeichnisse der Windows und Programme Verzeichnisse.
• Die PATH-Umgebungsvariable sollte keine Komponenten enthalten, die auf Ordner verweisen, auf die externe Angreifer zugreifen können (siehe oben).
• Reguläre Benutzer sollten keine Administratorenrechte haben.
7.3 Replikation der SafeGuard Enterprise
Datenbank
Die Replikation der SafeGuard Enterprise Datenbank wird ab SafeGuard Enterprise 8.1 nicht mehr unterstützt.
360 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
7.4 Web Helpdesk
Zur Optimierung von Workflows im Unternehmen und zur Reduzierung von Helpdesk-Kosten bietet
SafeGuard Enterprise eine web-basierte Recovery-Lösung für zentral verwaltete Clients. Web
Helpdesk unterstützt Benutzer, die sich an ihrem Computer nicht mehr anmelden oder nicht auf mit
SafeGuard Enterprise verschlüsselte Daten zugreifen können.
Nutzen und Vorteile des Challenge/Response-Verfahrens
Das Challenge/Response-Verfahren ist ein sicheres und effizientes Notfallsystem.
• Es werden während des gesamten Vorgangs keine vertraulichen Daten in unverschlüsselter Form ausgetauscht, da der Web Helpdesk nur über HTTPS zugänglich ist. HTTP-Verbindungen werden automatisch auf HTTPS-Verbindungen umgeleitet.
• Informationen, die unberechtigte Dritte durch Mitverfolgen dieses Vorgangs erhalten könnten, lassen sich weder zu einem späteren Zeitpunkt noch auf anderen Geräten verwenden.
• Für den Endpoint, auf den zugegriffen werden soll, muss während des Vorgangs keine Online-
Netzwerkverbindung bestehen.
• Der Benutzer kann schnell wieder mit dem Computer arbeiten. Es gehen keine verschlüsselten
Daten verloren, nur weil der Benutzer das Kennwort vergessen hat.
Challenge/Response Workflow
Während des Challenge/Response-Verfahrens wird ein Challenge-Code (eine ASCII-Zeichenkette) auf dem Endpoint erzeugt und der Benutzer übermittelt diesen Code an einen Helpdesk-
Beauftragten. Der Helpdesk-Beauftragte erzeugt auf der Grundlage des Challenge-Codes einen
Response-Code, der den Benutzer zum Ausführen einer bestimmten Aktion auf dem Endpoint berechtigt.
Typische Notfälle, in denen Hilfe beim Helpdesk angefordert wird
• Ein Benutzer hat sein Kennwort für die Anmeldung vergessen. Der Endpoint ist gesperrt.
• Ein Benutzer hat seinen Token/seine Smartcard vergessen oder verloren.
• Der Local Cache der Power-on Authentication ist teilweise beschädigt.
• Ein Benutzer ist krank oder im Urlaub und ein Kollege muss auf die Daten auf dem Endpoint zugreifen.
• Ein Benutzer möchte auf ein Volume zugreifen, das mit einem Schlüssel verschlüsselt ist, der auf dem Endpoint nicht verfügbar ist.
SafeGuard Enterprise Web Helpdesk bietet für diese typischen Notfälle unterschiedliche Recovery-
Workflows, die dem Benutzer wieder den Zugang zu seinem Endpoint ermöglichen.
7.4.1 Web Helpdesk Funktionsumfang
Web Helpdesk bietet das SafeGuard Enterprise Challenge/Response-Verfahren über eine webbasierte Oberfläche, die über HTTPS erreichbar ist. Es ermöglicht dem Helpdesk, Aufgaben flexibel
Copyright © Sophos Limited 361
SafeGuard Enterprise Administratorhilfe innerhalb des Unternehmens zu delegieren. Helpdesk-Mitarbeiter benötigen dabei keinen Zugang zu vertraulichen Konfigurationseinstellungen oder zum SafeGuard Management Center.
Die Webseite muss dazu auf einem Internet Information Services (IIS) basierten SafeGuard
Enterprise Server gehostet werden.
Hinweis
Wir empfehlen, Web Helpdesk nur innerhalb des Intranets Ihres Unternehmens zur Verfügung zu stellen. Aus Sicherheitsgründen sollte Web Helpdesk nicht über das Internet zur Verfügung gestellt werden.
362
Web Helpdesk bietet:
•
Recovery für zentral verwaltete Endpoints (SafeGuard Enterprise Clients, Managed) (Seite 366)
Recovery für die Anmeldung für zentral durch das SafeGuard Management Center verwaltete
Endpoints. Zentral verwaltete Endpoints werden im Bereich Benutzer & Computer des
SafeGuard Management Centers angezeigt.
•
Recovery mit virtuellen Clients (Seite 369)
Eine Recovery-Aktion für verschlüsselte Volumes kann auch in Fällen durchgeführt werden, in denen Challenge/Response-Verfahren normalerweise nicht unterstützt werden, z. B. wenn die
POA beschädigt ist.
•
Recovery für Standalone-Endpoints (Sophos SafeGuard Clients Standalone) (Seite 373)
Recovery für die Anmeldung für lokal verwaltete Endpoints.
7.4.2 Web Helpdesk Anmeldung für Benutzer ohne SafeGuard
Enterprise erlauben
Es ist möglich, Web Helpdesk zu verwenden, ohne eine SafeGuard Enterprise Client installiert zu haben.
Zugriffsrechte können durch Hinzufügen oder Entfernen von Windows Benutzern oder Gruppen verwaltet werden.
Hinweis
Diese Funktionalität verwendet Windows Authentisierung. Wenn Windows Authentisierung aktiviert ist, dann ist eine herkömmliche Anmeldung über einen höhergestuften Active Directory-Benutzer nicht länger möglich.
Voraussetzungen
Für die Anmeldung ohne SafeGuard Enterprise Client gelten folgende Voraussetzungen:
• Auf Ihrem IIS-Server muss HTTPS aktiviert sein.
• Eine Windows Benutzergruppe mit Benutzern, die berechtigt sind, auf Web Helpdesk
zuzugreifen, muss eingerichtet und konfiguriert sein, siehe Konfigurieren einer Windows-
Benutzergruppe für SafeGuard Web Helpdesk (Seite 363).
• Windows Authentication beim Web Helpdesk muss im SafeGuard Management Center aktiviert sein (Extras > Konfigurationspakete > Server > Win. Auth. WHD).
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• Das Konto unter dem der Anwendungspool ausgeführt wird muss Zugriff auf die Datenbank haben.
Konfigurieren einer Windows-Benutzergruppe für SafeGuard Web
Helpdesk
Um eine Windows-Benutzergruppe einzurichten und für den Zugang zu Web Helpdesk zu konfigurieren sind folgende Schritte erforderlich:
1. Öffnen Sie Active Directory-Benutzer und -Computer und wählen Sie Ihre Domäne.
2. Klicken Sie mit der rechten Maustaste auf Ihre Domäne und wählen Sie Neu >
Organisationseinheit.
3. Geben Sie einen Namen für die neue Organisationseinheit ein und klicken Sie auf OK.
4. Klappen Sie Ihre Domäne aus und klicken Sie mit der rechten Maustaste auf Verwaltete
Dienstkonten.
5. Wählen Sie Neu > Gruppe, geben Sie einen Gruppennamen ein (zum Beispiel WHD-Benutzer ) und klicken Sie auf OK.
6. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, die Sie in Schritt 3 erstellt haben, und wählen Sie Neu > Benutzer.
7. Geben Sie einen Namen und einen Anmeldenamen für den Benutzer ein und klicken Sie auf
Weiter.
8. Definieren Sie ein Kennwort und legen Sie fest, ob der Benutzer das Kennwort bei der nächsten
Anmeldung ändern muss.
Ein neuer Benutzer wurde in der Organisationseinheit erstellt.
9. Fügen Sie den Benutzer der Gruppe hinzu, die Sie in Schritt 5 erzeugt haben.
10. Öffnen Sie Microsoft SQL Server Management Studio und wählen Sie Ihren Server im Objekt-
Explorer auf der linken Seite.
11. Wählen Sie Sicherheit, rechtsklicken Sie auf Anmeldungen und klicken Sie auf Neue
Anmeldung.
12. Klicken Sie im Feld Anmeldename auf die Suchen Schaltfläche.
13. Klicken Sie im folgenden Dialog auf die Schaltfläche Objekttypen... und selektieren Sie alle
Kontrollkästchen.
14. Geben Sie im Textfeld unten den Gruppennamen ein, den Sie in Schritt 5 definiert haben, und klicken Sie auf Namen prüfen.
15. Wenn der korrekte Gruppenname angezeigt wird, bestätigen Sie mit OK.
Das Feld Anmeldename und der Dialog Anmeldung - Neu werden mit Domäne und
Gruppennamen befüllt.
16. Wählen Sie im Feld Seite wählen oben links Benutzerzuweisungen.
17. Wählen Sie im Feld Benutzer, die dieser Anmeldung zugeordnet sind SafeGuard.
18. Definieren Sie db_datareader und db_datawriter als Mitgliedschaften in Datenbankrollen und bestätigen Sie mit OK.
Aktivieren der Windows-Authentifizierung für SafeGuard Web Helpdesk
1. Öffnen Sie den Internetinformationsdienste-Manager (IIS).
2. Wählen Sie im Bereich Verbindungen auf der linken Seite Seiten Standard-Web-SeiteSGNWHD.
3. Doppelklicken Sie unter IIS im Arbeitsbereich auf Authentifizierung und wählen Sie Windows
Authentifizierung.
4. Klicken Sie im Bereich Aktionen auf der rechten Seite auf Aktivieren. Überprüfen Sie, ob der
Status auf Aktiviert gesetzt ist.
Copyright © Sophos Limited 363
SafeGuard Enterprise Administratorhilfe
5. Wechseln Sie zurück zur Übersicht und doppelklicken Sie unter ASP.NET auf .NET-
Autorisierungsregeln um drei .NET-Autorisierungsregeln hinzuzufügen.
Hinweis
Unter Windows Server 2008 R2 gibt es im IIS kein Symbol für .NET-Autorisierungsregeln.
Hier ist es ein Autorisierungsregeln Link. Um diese Regeln bearbeiten zu können, sollte die
Serverrolle URL-Autorisierung installiert werden (IIS > Sicherheit> URL-Autorisierung).
6. Klicken Sie in der Leiste Aktionen auf Ablehnungsregel hinzufügen....
7. Wählen Sie Alle anonymen Benutzer und bestätigen Sie mit OK.
8. Klicken Sie in der Leiste Aktionen auf Zulassungsregel hinzufügen....
9. Wählen Sie Bestimmte Rollen oder Benutzergruppen und geben Sie Ihren
Benutzergruppennamen inklusive Domänennamen in das Feld ein (z.B. <Domänenname>\WHD
Benutzer), um Ihrer spezifischen Benutzergruppe den Zugriff zu erlauben.
Für weitere Informationen, siehe Konfigurieren einer Windows-Benutzergruppe für SafeGuard Web
10. Bestätigen Sie mit OK.
11. Klicken Sie in der Leiste Aktionen auf Ablehnungsregel hinzufügen....
12. Wählen Sie Alle Benutzer und bestätigen Sie mit OK.
13. Kontrollieren Sie die Reihenfolge der Einträge:
• Verweigern - Anonyme Benutzer - Lokal
• Zulassen - <Domänenname>\<Gruppenname> - Lokal
• Verweigern - Alle Benutzer - Lokal
• Zulassen - Alle Benutzer - Geerbt
Um die Funktionalität zu testen, melden Sie sich an, wie in Anmeldung mit aktivierter Windows
Authentisierung (Seite 364) beschrieben. Um die Serververbindung zu testen, wählen Sie SGNWHD
im Bereich Verbindungen und klicken Sie auf Durchsuchen:*:443 (https) im Bereich Aktionen.
Wenn Sie Windows Authentifizierung deaktivieren wollen, um herkömmliche Anmeldung über einen höhergestuften Active Directory-Benutzer zu erlauben, entfernen Sie die Regel Verweigern -
Anonyme Benutzer.
Hinweis
Außerdem können Sie die Windows-Authentisierung aktivieren indem Sie die web.config Datei unter C:\Programme (x86)\Sophos\SafeGuard Enterprise\SGNWHD ändern. Zum Beispiel:
364
Anmeldung mit aktivierter Windows Authentisierung
Gehen Sie wie folgt vor:
1. Öffnen Sie den Browser und geben Sie die URL ein.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
2. Um die Anwendung in Ihrem Browser aufzurufen, geben Sie folgende URL ein: https://<Host
ID oder IP Adresse>/SGNWHD
3. Wählen Sie Recovery und fahren Sie fort wie an der entsprechenden Stelle beschrieben:
•
Recovery für zentral verwaltete Endpoints (SafeGuard Enterprise Clients, Managed)
(Seite
366)
•
Recovery mit virtuellen Clients
(Seite 369)
•
Recovery für Standalone-Endpoints (Sophos SafeGuard Clients Standalone)
(Seite 373)
7.4.3 Authentisierung
Um den web-basierten Recovery-Assistenten benutzen zu können, müssen sich
Sicherheitsbeauftragte an Web Helpdesk und am SafeGuard Enterprise Server anmelden.
Sicherheitsbeauftragte melden sich mit ihrem Sicherheitsbeauftragtennamen und Ihrem Kennwort an
Web Helpdesk an.
Zwei Szenarien der Authentisierung sind möglich:
• Benutzer, die zu Sicherheitsbeauftragten im SafeGuard Management Center höhergestuft wurden,
melden sich an wie unter Anmeldung an Web Helpdesk ohne aktivierter Windows Authentisierung
(Seite 366) beschrieben.
• Benutzer, die zu einer Web Helpdesk Benutzergruppe mit aktivierter Windows Authentisierung
zugewiesen sind, melden sich an wie unter Anmeldung mit aktivierter Windows Authentisierung
(Seite 364) beschrieben.
Vorbereitung im SafeGuard Management Center
Um sich ohne aktivierter Windows Authentisierung an Web Helpdesk anmelden zu können, müssen die folgenden Vorbereitungen im SafeGuard Management Center getroffen werden.
1. Importieren Sie Web Helpdesk Benutzer von Active Directory in die SafeGuard Enterprise
Datenbank.
2. Weisen Sie diesen Benutzern Token-Zertifikate zu. Die Zertifikate ( .p12
-Datei) müssen in der
Datenbank verfügbar sein.
3. Klicken Sie mit der rechten Maustaste auf den gewünschten Benutzer und wählen Sie Diesen
Benutzer zum Sicherheitsbeauftragten machen um zukünftige Web Helpdesk Benutzer zu
Sicherheitsbeauftragten zu ernennen.
4. Weisen Sie Sicherheitsbeauftragten die Rolle Helpdesk-Beauftragter zu, um ihnen die
Authentisierung am Web Helpdesk zu ermöglichen.
Die neuen Sicherheitsbeauftragten können sich daraufhin mit ihrem definierten
Sicherheitsbeauftragtennamen, einer Kombination aus Ihrem Windows-Benutzernamen und dem
Namen der ihnen zugewiesenen Domäne, an Web Helpdesk anmelden. Das hierfür notwendige
Kennwort entspricht dem Windows-Kennwort, mit dem die Zertifikate der Benutzer geschützt sind
Hinweis
Wenn das Zertifikat erstellt wird, wenn Benutzer höhergestuft werden, müssen sie das Kennwort des Zertifikats verwenden, um sich am SafeGuard Management Center anzumelden. Es ist das Kennwort des Zertifikats einzugeben, obwohl nach dem Windows
Kennwort gefragt wird.
5. Gewähren Sie ihnen Zugriffsrechte für die Objekte, mit denen sie arbeiten müssen, z. B. Domains oder Organisationseinheiten.
Wenn Ihre Domäne im Web Helpdesk nicht angezeigt wird, gehen Sie wie folgt vor:
Copyright © Sophos Limited 365
SafeGuard Enterprise Administratorhilfe
6. Öffnen Sie das SafeGuard Management Center und klicken Sie auf Benutzer & Computer.
7. Wählen Sie links in der Baumstruktur Ihre Domäne aus.
8. Wechseln Sie zur Registerkarte Zugriff und überprüfen Sie, ob der Benutzer, dem Sie Zugriff gewähren möchten, aufgeführt ist.
Hinweis
Da sich Web Helpdesk Sicherheitsbeauftragte am SafeGuard Enterprise Server authentisieren müssen, wird die Authentisierung mit Token in Web Helpdesk nicht unterstützt.
Anmeldung an Web Helpdesk ohne aktivierter Windows Authentisierung
1. Starten Sie Ihren Browser.
2. Um die Anwendung in Ihrem Browser aufzurufen, geben Sie folgende URL ein: https://<Host-
ID oder IP-Adresse>/SGNWHD
3. Geben Sie auf der Seite Willkommen Ihren Sicherheitsbeauftragten-Namen so ein, wie er im SafeGuard Management Center definiert ist: <Benutzername>@<DOMÄNE> zum Beispiel
WHDOfficer@MYDOMAIN
4. Geben Sie Ihr Windows-Kennwort ein.
Hinweis
Wenn das Zertifikat erstellt wird, wenn Benutzer höhergestuft werden, müssen sie das Kennwort des Zertifikats verwenden, um sich am SafeGuard Management Center anzumelden. Es ist das Kennwort des Zertifikats einzugeben, obwohl nach dem Windows
Kennwort gefragt wird.
5. Klicken Sie auf Anmelden.
Sie werden an Web Helpdesk angemeldet.
7.4.4 Recovery für zentral verwaltete Endpoints (SafeGuard
Enterprise Clients, Managed)
SafeGuard Enterprise bietet ein Recovery-Verfahren für durch SafeGuard Enterprise geschützte, zentral verwaltete Endpoints (Managed) in verschiedenen Disaster Recovery-Szenarien, z. B.
Kennwort-Recovery oder Zugriff auf Daten durch Starten von einem externen Medium.
Das Programm bestimmt automatisch, ob die SafeGuard Enterprise Festplattenverschlüsselung oder die BitLocker Verschlüsselung angewendet wird und passt den Recovery Workflow entsprechend an.
Recovery-Aktionen für zentral verwaltete Endpoints
Der Recovery-Ablauf richtet sich danach, für welchen Typ von SafeGuard Enterprise Client das
Recovery-Verfahren angefordert wird.
Hinweis
Für mit BitLocker verschlüsselte Endpoints steht als Recovery-Aktion nur die Wiederherstellung des Schlüssels, der für die Verschlüsselung eines spezifischen Volumes verwendet wurde, zur
Verfügung. Eine Recovery-Aktion für Kennwörter ist nicht verfügbar.
366 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Wiederherstellen des Kennworts auf POA-Ebene
Eines der am häufigsten auftretenden Recovery-Szenarien besteht darin, dass Benutzer ihr
Kennwort vergessen haben. SafeGuard Enterprise wird standardmäßig mit aktivierter Power-on
Authentication (POA) installiert. Das POA-Kennwort, mit dem auf den Endpoint zugegriffen wird, ist identisch mit dem Windows-Kennwort.
Wenn der Benutzer das Kennwort auf POA-Ebene vergessen hat, generiert der Helpdesk-
Beauftragte eine Response mit der Option SGN Client mit Benutzeranmeldung booten, jedoch ohne Anzeige des Benutzerkennworts. In diesem Fall startet der Endpoint jedoch nach Eingabe des Response-Codes bis zur Betriebssystemebene. Der Benutzer muss somit gemäß den auf der Domäne festgelegten Bedingungen das Kennwort auf Windows-Ebene ändern. Danach kann der Benutzer sich sowohl an Windows als auch an der Power-on Authentication mit dem neuen
Kennwort anmelden.
Best Practice für das Wiederherstellen des Kennworts auf POA-Ebene
Wir empfehlen, folgende Methoden anzuwenden, wenn der Benutzer sein Kennwort vergessen hat, um zu vermeiden, dass das Kennwort zentral zurückgesetzt werden muss:
• Benutzen Sie Local Self Help. Mit Local Self Help kann sich der Benutzer selbst das aktuelle
Benutzerkennwort anzeigen lassen und es weiterhin zur Anmeldung verwenden. Dadurch wird ein Rücksetzen des Kennworts vermieden. Außerdem muss der Helpdesk nicht um Hilfe gebeten werden.
• Bei Anwendung von Challenge/Response für SafeGuard Enterprise Clients (Managed):
Wir empfehlen, das Kennwort vor dem Challenge/Response-Verfahren nicht zentral im Active
Directory zurückzusetzen. Dadurch wird gewährleistet, dass das Kennwort zwischen Windows und SafeGuard Enterprise synchron bleibt. Stellen Sie sicher, dass der Windows-Helpdesk darüber informiert ist.
Hinweis
Das Zurücksetzen des Kennworts über Challenge/Response ist nur für Windows Endpoints möglich.
Erzeugen Sie als SafeGuard Enterprise Helpdesk-Beauftragter eine Response für das Booten
des SGN Clients mit Benutzeranmeldung mit der Option Benutzerkennwort anzeigen. Auf diese Weise wird vermieden, dass das Kennwort für den Benutzer in Active Directory zurückgesetzt werden muss. Der Benutzer kann mit dem vorhandenen Kennwort weiterarbeiten und dieses später nach Wunsch lokal ändern.
Hinweis
Diese Option ist nicht für Endpoints mit BitLocker oder FileVault 2 verfügbar.
Zugriff auf Daten durch Starten des Endpoints von externen Medien
Mit Hilfe des Challenge/Response-Verfahrens lässt sich ein Endpoint auch von einem externen
Medium wie WinPE starten. Hierzu muss der Benutzer im POA-Anmeldedialog die Option
Weiterbooten von: Diskette/externem Medium wählen und eine Challenge starten. Nach Erhalt der Response kann der Benutzer die Anmeldeinformationen wie gewohnt in der POA eingeben und den Start-Vorgang von einem externen Medium fortsetzen.
Hinweis
Diese Option ist nicht für Endpoints mit BitLocker oder FileVault 2 verfügbar.
Für den Zugriff auf ein verschlüsseltes Volume müssen folgende Voraussetzungen erfüllt sein:
Copyright © Sophos Limited 367
SafeGuard Enterprise Administratorhilfe
• Das zu verwendende Gerät muss den SafeGuard Enterprise Filtertreiber enthalten. Weitere
Informationen finden Sie im Sophos Knowledegebase-Artikel 108805 .
• Der Benutzer muss den Endpoint von einem externen Medium starten. Diese Berechtigung wird erteilt, indem man im SafeGuard Management Center eine Richtlinie erstellt und diese dann dem
Endpoint zuweist (Richtlinien > Authentisierung > Zugriff > Benutzer kann nur von interner
Festplatte booten > Nein).
• Der Endpoint muss das Starten von einem externen Medium erlauben.
• Es kann nur auf Volumes, die mit dem definierten Computerschlüssel verschlüsselt sind, zugegriffen werden. Dieser Verschlüsselungstyp kann in einer Geräteschutzrichtlinie im SafeGuard
Management Center definiert und dem Computer zugewiesen werden.
368
Hinweis
Wenn Sie externe Medien, z. B. WinPE, für den Zugriff auf ein verschlüsseltes Laufwerk verwenden, ermöglicht dies den Zugriff auf das Volume nur teilweise.
Wiederherstellen des SafeGuard Enterprise Policy-Cache
Ist der SafeGuard Enterprise Policy Cache beschädigt, so wird der Benutzer automatisch bei der
Anmeldung an der Power-on Authentication dazu aufgefordert, ein Challenge/Response-Verfahren zu starten.
Erzeugen einer Response für zentral verwaltete Computer
Für das Erzeugen einer Response für zentral verwaltete Computer (SafeGuard Enterprise Clients) sind der Computername und der Domänenname erforderlich.
1. Wählen Sie auf der Recovery-Typ Seite die Option SafeGuard Enterprise Client.
2. Wählen Sie die relevante Domäne aus der Liste.
3. Geben Sie den Computernamen ein. Hierzu gibt es mehrere Möglichkeiten:
• Wählen Sie den Namen, indem Sie auf [...] und im Popup-Fenster auf Suchen klicken. Eine
Liste mit Computern wird angezeigt. Wählen Sie den gewünschten Computer aus und klicken
Sie auf OK. Der Computername wird im Fenster Recovery-Typ unter Domäne angezeigt.
• Geben Sie den Kurznamen des Computers ein. Wenn Sie auf Weiter klicken, wird der Name in der Datenbank gesucht. Der gefundene Computername wird als Distinguished Name angezeigt.
• Geben Sie den Computernamen direkt als Distinguished Name ein, zum Beispiel:
CN=Desktop1,OU=Development,OU=Headquarter,DC=Utimaco,DC=com
4. Klicken Sie auf Weiter.
Das Programm bestimmt dann automatisch, ob die SafeGuard Enterprise
Festplattenverschlüsselung oder die BitLocker Verschlüsselung auf dem Computer angewendet wird und passt den Recovery Workflow entsprechend an.
• Im Falle eines durch SafeGuard Enterprise geschützten Computers wird im nächsten Schritt die
Auswahl der Benutzerinformationen verlangt.
• Im Falle eines durch BitLocker verschlüsselten Computers lässt sich ein Volume, auf das nicht mehr zugegriffen werden kann, wiederherstellen. Im nächsten Schritt muss das Volume, das entschlüsselt werden soll, ausgewählt werden.
Erzeugen einer Response für durch die SafeGuard Enterprise Festplattenverschlüsselung geschützte
Computer
1. Wählen Sie unter Domäne die Domäne des Benutzers. Wählen Sie für einen lokalen Benutzer
Lokaler Benutzer auf <Computername>.
Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
2. Suchen Sie nach dem Benutzernamen. Gehen Sie wie folgt vor:
• Klicken Sie auf Nach angezeigtem Namen suchen. Wählen Sie den gewünschten Namen aus der Liste und klicken Sie auf OK.
• Klicken Sie auf Nach Anmeldenamen suchen. Wählen Sie den gewünschten Namen aus der
Liste und klicken Sie auf OK.
• Geben Sie den Benutzernamen direkt ein. Stellen Sie sicher, dass der Name korrekt geschrieben ist.
3. Klicken Sie auf Weiter. Ein Fenster für die Eingabe des Challenge-Codes wird angezeigt.
4. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter. Der
Challenge-Code wird geprüft. Wenn der Code nicht korrekt eingegeben wurde, wird unterhalb des
Blocks, der den Fehler enthält, der Text Ungültig angezeigt.
5. Wenn der Challenge-Code korrekt eingegeben wurde, werden die vom SafeGuard Enterprise
Client angeforderte Aktion sowie die verfügbaren Recovery-Aktionen auf dem Endpoint angezeigt.
Die verfügbaren Response-Aktionen richten sich nach den Aktionen, die auf dem Endpoint beim
Aufrufen der Challenge angefordert wurden. Wenn zum Beispiel Crypto Token erforderlich erforderlich ist, stehen für die Response die Aktionen SGN Client mit Benutzeranmeldung
booten und SGN Client ohne Benutzeranmeldung booten zur Verfügung.
6. Wählen Sie die Aktion, die der Benutzer ausführen soll.
7. Wenn Sie SGN Client mit Benutzeranmeldung booten, wie oben beschrieben, als Response-
Aktion ausgewählt haben, können Sie zusätzlich auch die Option Benutzerkennwort anzeigen wählen, um das Kennwort auf dem Ziel-Endpoint anzeigen zu lassen.
8. Klicken Sie auf Weiter. Es wird ein Response-Code erzeugt.
9. Teilen Sie dem Benutzer den Response-Code mit. Hierzu steht eine Buchstabierhilfe zur
Verfügung. Sie können den Response-Code auch in die Zwischenablage kopieren.
Der Benutzer kann nun den Response-Code auf dem Endpoint eingeben und die autorisierte Aktion durchführen.
Erzeugen einer Response für durch BitLocker Drive Encryption geschützte Computer
1. Wählen Sie das Volume, auf das zugegriffen werden soll, und klicken Sie auf Weiter. Der
Recovery-Assistent zeigt nun den 48-stelligen Recovery-Schlüssel an.
2. Teilen Sie dem Benutzer diesen Schlüssel mit.
Der Benutzer kann nun den Schlüssel eingeben, um den Zugriff auf das mit BitLocker verschlüsselte
Volume auf dem Endpoint wiederherzustellen.
7.4.5 Recovery mit virtuellen Clients
Unter Verwendung virtueller Clients für Recovery-Vorgänge in SafeGuard Enterprise lässt sich der
Zugriff auf verschlüsselte Volumes auch in komplexen Recovery-Situationen wiederherstellen.
Dieser Recovery-Typ kann in den folgenden typischen Situationen angewendet werden:
• Die Power-on Authentication ist beschädigt.
• Ein Volume ist nicht mit dem definierten Computerschlüssel sondern mit einem anderen Schlüssel verschlüsselt. Der notwendige Schlüssel steht in der Benutzerumgebung nicht zur Verfügung. Der
Schlüssel muss daher in der Datenbank identifiziert und auf sichere Art und Weise an den Endpoint
übertragen werden.
Copyright © Sophos Limited 369
SafeGuard Enterprise Administratorhilfe
Hinweis
Recovery mit virtuellen Clients sollte nur in komplexen Recovery-Situationen angewendet werden.
Nur wenn beide der oben genannten Sachverhalte eingetreten sind, ist ein Recovery-Vorgang mit virtuellen Clients angebracht. Wenn jedoch zum Beispiel nur der benötigte Schlüssel fehlt, ist es am besten, den fehlenden Schlüssel dem Schlüsselbund des entsprechenden Benutzers zuzuweisen, um den Zugriff auf das Volume zu ermöglichen.
In diesen Situationen bietet SafeGuard Enterprise folgende Lösung:
Für den einfachen Zugriff auf verschlüsselte Volumes in dieser Situation können spezifische
Dateien, die als virtuelle Clients bezeichnet werden, im SafeGuard Management Center erstellt und vor dem Challenge/Response-Verfahren an den Benutzer übermittelt werden. Mit Hilfe dieser virtuellen Clients, dem Recovery-Tool RecoveryKeys.exe
sowie einem für SafeGuard Enterprise angepassten WinPE kann dann ein Challenge/Response-Verfahren auf dem Endpoint eingeleitet werden. Der Helpdesk-Beauftragte wählt dann die erforderlichen Schlüssel aus und generiert einen
Response-Code. Der Zugriff auf das verschlüsselte Volume wird ermöglicht, wenn der Benutzer den
Response-Code eingibt, da alle erforderlichen Schlüssel in der Response übertragen werden.
Hinweis
In Web Helpdesk wird Recovery mit virtuellen Clients nicht für Standalone-Endpoints (Sophos
SafeGuard Client Standalone) unterstützt. Benutzen Sie stattdessen das SafeGuard Management
Center.
Recovery Workflow mit virtuellen Clients
Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Administrator-Hilfe.
1. Der Helpdesk-Beauftragte legt den virtuellen Client im Bereich Schlüssel und Zertifikate des SafeGuard Management Centers an und exportiert ihn in eine Datei. Diese Datei mit der
Bezeichnung recoverytoken.tok
muss an die Benutzer verteilt werden und vor dem Challenge/
Response-Verfahren zur Verfügung stehen.
2. Der Benutzer muss dann eine SafeGuard Enterprise Recovery-CD oder eine andere CD mit einem von SafeGuard Enterprise modifizierten WinPE ohne POA-Anmeldung starten und ein Challenge/
Response-Verfahren starten.
In der SafeGuard Enterprise Datenbank wird die Recovery-Datei des virtuellen Client benutzt.
Diese wird in der Challenge anstelle des Benutzer-/Computernamens, der in diesem Fall nicht zur
Verfügung steht, angegeben.
3. Das Key Recovery Tool zeigt dem Benutzer nun an, welche Volumes verschlüsselt sind und welche Schlüssel für die einzelnen Volumes verwendet wurden. Der Benutzer gibt diese
Informationen an den Helpdesk-Beauftragten weiter.
4. Der Helpdesk-Beauftragte identifiziert den virtuellen Client in der Datenbank und wählt den für den
Zugriff auf die verschlüsselten Volumes erforderlichen Schlüssel aus: entweder einen einzelnen
Schlüssel oder mehrere in eine Schlüsseldatei exportierte Schlüssel. Nach der Auswahl generiert der Helpdesk-Beauftragte die Response.
5. Der Benutzer gibt den Response-Code ein. Im Response-Code werden die erforderlichen
Schlüssel übertragen. Durch Eingabe des Response-Codes und einen anschließenden Neustart des Computers kann der Benutzer wieder auf die verschlüsselten Volumes zugreifen.
370 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Recovery-Aktionen mit virtuellen Clients
Um auf Volumes zuzugreifen, die mit Schlüsseln verschlüsselt wurden, die dem Benutzer nicht zur Verfügung stehen, müssen die korrekten Verschlüsselungsschlüssel aus der Datenbank in die
Benutzerumgebung übertragen werden.
Das Challenge/Response-Verfahren deckt daher zwei Recovery-Aktionen mit virtuellen Clients ab:
• Übertragen eines einzelnen Schlüssels
• Mehrere Schlüssel in einer verschlüsselten Schlüsseldatei übertragen
Übertragen eines einzelnen Schlüssels
Challenge/Response kann für die Bereitstellung eines einzelnen Schlüssels zum Zugriff auf ein verschlüsseltes Volume initialisiert werden. Der Helpdesk-Beauftragte muss den erforderlichen
Schlüssel in der Datenbank auswählen und einen Response-Code erzeugen. Durch Eingabe des Response-Codes wird der Schlüssel verschlüsselt und an den Endpoint übertragen. Ist der
Response-Code korrekt, wird der Schlüssel in den lokalen Schlüsselspeicher importiert. Danach kann auf alle Volumes, die mit diesem Schlüssel verschlüsselt sind, zugegriffen werden.
Übertragen mehrerer Schlüssel in einer verschlüsselten Schlüsseldatei
Challenge/Response kann für die Bereitstellung eines einzelnen Schlüssels zum Zugriff auf ein verschlüsseltes Volume initialisiert werden. Die Schlüssel werden in einer Datei gespeichert, die mit einem Kennwort verschlüsselt ist. Voraussetzung hierfür ist, dass der Helpdesk-Beauftragte einen oder mehrere der erforderlichen Schlüssel in eine Datei exportiert. Diese Datei wird mit einem
Zufallskennwort verschlüsselt, das in der Datenbank gespeichert wird. Das Kennwort wird jeder angelegten Schlüsseldatei eindeutig zugewiesen.
Die verschlüsselte Schlüsseldatei muss in die Benutzerumgebung übertragen werden und dem
Benutzer zur Verfügung stehen. Um diese Schlüsseldatei zu entschlüsseln, muss der Benutzer dann ein Challenge/Response-Verfahren mit dem Key Recovery Tool RecoverKeys.exe
starten. Das Kennwort wird in diesem Verfahren an den Ziel-Endpoint übertragen. Der Helpdesk-
Beauftragte generiert eine Response und wählt das entsprechende Kennwort zum Entschlüsseln der Schlüsseldatei aus. Das Kennwort wird innerhalb des Response-Codes an den Ziel-Endpoint
übertragen. Die Schlüsseldatei kann dann mit dem Kennwort entschlüsselt werden.
Die Schlüssel in der Schlüsseldatei werden in den Schlüsselspeicher auf dem Endpoint übertragen und es besteht wieder Zugriff auf alle Volumes, die mit den verfügbaren Schlüsseln verschlüsselt sind.
Hinweis
Bei der Anwendung von Web Helpdesk werden die Schlüsseldatei und das entsprechende
Kennwort nach ihrer erfolgreichen Verwendung in einem Challenge/Response-Verfahren aus der Datenbank gelöscht. Somit müssen Sie nach jedem erfolgreich durchgeführten Challenge/
Response-Verfahren eine neue Schlüsseldatei und ein neues Kennwort erstellen.
Response mit virtuellen Clients
Voraussetzungen
• Der virtuelle Client muss im SafeGuard Management Center im Bereich Schlüssel und Zertifikate angelegt werden.
• Der Helpdesk-Beauftragte muss in der Lage sein, den virtuellen Client in der Datenbank zu finden.
Virtuelle Clients werden anhand ihrer Namen identifiziert.
Copyright © Sophos Limited 371
SafeGuard Enterprise Administratorhilfe
• Die Recovery-Datei des virtuellen Client recoverytoken.tok muss dem Benutzer zur Verfügung stehen. Diese Datei muss im gleichen Verzeichnis wie das Schlüssel-Recovery Tool gespeichert sein. Wir empfehlen, diese Datei auf einem USB-Stick zu speichern.
• Wird ein Recovery-Verfahren für mehrere Schlüssel angefordert, so muss der Helpdesk-
Beauftragte zunächst eine Schlüsseldatei mit den notwendigen Recovery-Schlüsseln im SafeGuard
Management Center im Bereich Schlüssel und Zertifikate anlegen. Die Schlüsseldatei muss dem
Benutzer vor dem Recovery-Verfahren zur Verfügung stehen. Das für die Verschlüsselung dieser
Schlüsseldatei verwendete Kennwort muss in der Datenbank zur Verfügung stehen.
• Der Benutzer muss das Schlüssel-Recovery Tool gestartet und das Challenge/Response-
Verfahren eingeleitet haben.
• Eine Response kann nur für zugewiesene Schlüssel erzeugt werden. Ist ein Schlüssel inaktiv, d. h. der Schlüssel ist nicht mindestens einem Benutzer zugewiesen, ist eine Response mit einem virtuellen Client nicht möglich. In diesem Fall kann der inaktive Schlüssel zunächst einem beliebigen Benutzer zugewiesen werden. Danach kann eine Response für den Schlüssel generiert werden.
Erzeugen einer Response mit virtuellen Clients
1. Als Helpdesk-Beauftragter wählen Sie auf der Seite Recovery-Typ die Option Virtueller Client.
2. Geben Sie den Namen des virtuellen Client ein, den Sie vom Benutzer erhalten haben. Hierzu gibt es verschiedene Möglichkeiten:
• Geben Sie den eindeutigen Namen direkt ein.
• Wählen Sie den Namen, indem Sie auf [...] und im Popup-Fenster auf Suchen klicken. Eine
Liste mit virtuellen Clients wird angezeigt. Wählen Sie den gewünschten virtuellen Client aus und klicken Sie auf OK. Der Name des virtuellen Client wird nun im Fenster Recovery-Typ unter Virtueller Client angezeigt.
3. Klicken Sie auf Weiter. Die Seite, auf der Sie die Recovery-Aktion auswählen können, wird angezeigt.
4. Wählen Sie die vom Benutzer durchzuführende Recovery-Aktion und klicken Sie dann auf Weiter.
• Wenn Sie nur einen einzelnen Recovery-Schlüssel transferieren müssen, wählen Sie
Schlüssel angefordert. Wählen Sie den benötigten Schlüssel aus der Liste aus. Klicken Sie auf [...]. Sie können sich die Schlüssel entweder nach Schlüssel-ID oder symbolischem Namen anzeigen lassen. Klicken Sie auf Suchen, wählen Sie den Schlüssel und klicken Sie auf OK.
• Wenn der Benutzer eine Schlüsseldatei mit mehreren Recovery-Schlüsseln benötigt, wählen
Sie Kennwort für Schlüsseldatei angefordert, um das Kennwort für die verschlüsselte
Schlüsseldatei an den Benutzer zu übertragen. Wählen Sie die erforderliche Schlüsseldatei aus. Klicken Sie auf [...] und dann auf Suchen. Wählen Sie die Schlüsseldatei aus und klicken
Sie auf OK.
Sie können Kennwort für Schlüsseldatei angefordert nur dann auswählen, wenn zuvor eine
Schlüsseldatei im SafeGuard Management Center in Schlüssel und Zertifikate angelegt wurde und das Kennwort, mit dem die Datei verschlüsselt ist, in der Datenbank gespeichert wurde.
Bei der Anwendung von Web Helpdesk werden Schlüsseldateien und die entsprechenden
Kennwörter nach ihrer erfolgreichen Verwendung in einem Challenge/Response-Verfahren aus der Datenbank gelöscht. Somit müssen Sie nach jedem erfolgreich durchgeführten Challenge/
Response-Verfahren eine neue Schlüsseldatei und ein neues Kennwort erstellen.
5. Klicken Sie auf Weiter. Die Seite für die Eingabe des Challenge-Codes wird angezeigt.
6. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein und klicken Sie auf Weiter. Der
Challenge-Code wird geprüft. Wenn der Code nicht korrekt eingegeben wurde, wird unterhalb des
Blocks, der den Fehler enthält, der Text Ungültig angezeigt.
7. Wenn der Challenge-Code korrekt eingegeben wurde, wird der Response-Code erzeugt. Teilen
Sie dem Benutzer den Response-Code mit. Hierzu steht eine Buchstabierhilfe zur Verfügung. Sie können den Response-Code auch in die Zwischenablage kopieren.
372 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
• Wird ein einzelner Schlüssel angefordert, wird der erzeugte Schlüssel im Response-Code
übertragen.
• Wird ein Kennwort für die verschlüsselte Schlüsseldatei angefordert, so wird dieses im
Response-Code übertragen. Die Schlüsseldatei wird dann gelöscht.
8. Der Benutzer muss den Response-Code auf dem Endpoint eingeben.
9. Der Benutzer muss den Computer neu starten und sich wieder anmelden, um auf die entsprechenden Volumes zugreifen zu können.
Auf die Volumes kann wieder zugegriffen werden.
7.4.6 Recovery für Standalone-Endpoints (Sophos SafeGuard
Clients Standalone)
SafeGuard Enterprise bietet auch ein Challenge/Response-Verfahren für Standalone-Endpoints
(Sophos SafeGuard Clients Standalone). Sie haben keine Verbindung zum SafeGuard Enterprise
Server und werden lokal verwaltet. Da sie nicht in der SafeGuard Enterprise Datenbank registriert sind, stehen keine Identifikationsdaten, die für ein Challenge/Response-Verfahren benötigt werden, zur Verfügung. Das Challenge/Response-Verfahren für Standalone-Endpoints basiert daher auf der während der Endpoint-Konfiguration erstellten Schlüssel-Recovery-Datei, siehe
Erzeugen eines Konfigurationspakets für Standalone-Endpoints
(Seite 75). Die Schlüssel-Recovery-Datei für
Standalone-Endpoints wird für jeden Standalone-Endpoint generiert und enthält den definierten
Computerschlüssel, der mit dem Unternehmenszertifikat verschlüsselt ist. Während der Challenge/
Response muss die Schlüssel-Recovery-Datei dem Helpdesk-Beauftragten zur Verfügung stehen, zum Beispiel auf einem USB-Stick oder auf einer Netzwerkfreigabe. Wenn der Helpdesk-Beauftragte
Zugriff auf die Recovery-Datei hat, kann eine Response generiert werden. Ist die Datei nicht zugänglich, ist kein Recovery möglich.
Recovery-Aktionen für Standalone-Endpoints
Ein Challenge/Response-Verfahren für Standalone-Endpoints (Sophos SafeGuard Client
Standalone) muss in den folgenden Situationen gestartet werden:
• Der Benutzer hat das Kennwort zu oft falsch eingegeben.
• Der Benutzer hat das Kennwort vergessen.
• Ein beschädigter Local Cache muss repariert werden.
Für Standalone-Endpoints steht kein Benutzerschlüssel in der Datenbank zur Verfügung. Somit ist in einem Challenge/Response-Verfahren nur die Recovery-Aktion Sophos SafeGuard Client ohne
Benutzeranmeldung booten möglich.
Dem Benutzer wird über das Challenge/Response-Verfahren die Anmeldung an der Power-on
Authentication ermöglicht. Der Benutzer kann sich außerdem an Windows anmelden, auch wenn das
Kennwort zurückgesetzt werden muss.
Der Benutzer hat das Kennwort zu oft falsch eingegeben
Da in diesem Fall das Kennwort nicht zurückgesetzt werden muss, ermöglicht das Challenge/
Response-Verfahren dem Benutzer die Anmeldung an der Power-on Authentication. Der Benutzer kann dann das korrekte Kennwort auf Windows-Ebene eingeben und den Endpoint wieder benutzen.
Copyright © Sophos Limited 373
SafeGuard Enterprise Administratorhilfe
Der Benutzer hat das Kennwort vergessen
Hinweis
Wir empfehlen, Local Self Help einzusetzen, um ein vergessenes Kennwort wiederherzustellen.
Mit Local Self Help können Sie sich das aktuelle Benutzerkennwort anzeigen lassen und es weiterhin zur Anmeldung verwenden. Dadurch wird ein Rücksetzen des Kennworts vermieden.
Außerdem muss der Helpdesk nicht um Hilfe gebeten werden.
Wenn das Kennwort über ein Challenge/Response-Verfahren wiederhergestellt wird, muss das
Kennwort zurückgesetzt werden.
1. Das Challenge/Response-Verfahren ermöglicht das Starten des Computers durch die Power-on
Authentication.
2. Da dem Benutzer das Kennwort nicht bekannt ist, kann er es im Windows-Anmeldedialog nicht eingeben. Das Kennwort muss daher auf Windows-Ebene zurückgesetzt werden. Hierzu sind weitere Recovery-Vorgänge außerhalb von SafeGuard Enterprise erforderlich, die über Windows-
Standard-Verfahren durchgeführt werden müssen. Wir empfehlen die folgenden Methoden für das
Zurücksetzen des Kennworts auf Windows-Ebene:
• Über ein Service-Benutzerkonto oder ein Administratorkonto mit den erforderlichen Windows-
Rechten auf dem Endpoint-Computer
• Über eine Windows-Kennwortrücksetzdiskette
Als Helpdesk-Beauftragter können Sie den Benutzer darüber informieren, welche Methode benutzt werden soll, und ihm die zusätzlichen Windows-Anmeldeinformationen oder die erforderliche
Diskette zur Verfügung stellen.
3. Der Benutzer gibt das vom Helpdesk zur Verfügung gestellte neue Kennwort auf Windows-Ebene ein. Unmittelbar danach ändert der Benutzer das Kennwort in ein nur ihm bekanntes Kennwort.
4. SafeGuard Enterprise stellt fest, dass das neu gewählte Kennwort nicht mehr dem aktuellen
SafeGuard Enterprise Kennwort entspricht, das in der POA verwendet wird. Der Benutzer wird aufgefordert, das alte Kennwort einzugeben. Da er das Kennwort vergessen hat, muss er auf
Abbrechen klicken.
5. Wenn das alte Kennwort nicht angegeben werden kann, ist in SafeGuard Enterprise für die
Definition eines neuen Kennworts ein neues Zertifikat erforderlich.
6. Basierend auf dem neu gewählten Windows-Kennwort wird ein neues Benutzerzertifikat erzeugt.
Dies ermöglicht es dem Benutzer, sich wieder an seinem Computer und an der Power-on
Authentication mit dem neuen Kennwort anzumelden.
Schlüssel für SafeGuard Data Exchange
Wenn der Benutzer das Windows-Kennwort vergessen hat und es zurückgesetzt wurde, können die bereits für SafeGuard Data Exchange erstellten Schlüssel nicht mehr ohne Passphrase verwendet werden. Damit bereits vorhandene Benutzerschlüssel für SafeGuard Data Exchange weiterhin verwendet werden können, müssen dem Benutzer die SafeGuard Data Exchange
Passphrasen zur Reaktivierung dieser Schlüssel bekannt sein.
Erzeugen einer Response für Standalone-Computer
Um eine Response für einen Standalone-Computer zu erzeugen, wird der Name der Recovery-Datei
(.xml-Datei) benötigt.
1. Wählen Sie in Web Helpdesk auf der Home Seite die Option Recovery.
2. Wählen Sie unter Recovery-Typ die Option Standalone Client.
3. Klicken Sie auf Browse, um die erforderliche Schlüssel-Recovery-Datei (.xml) auszuwählen.
4. Geben Sie den vom Benutzer erhaltenen Challenge-Code ein.
374 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
5. Wählen Sie die vom Benutzer durchzuführende Aktion aus und klicken Sie auf Weiter.
6. Es wird ein Response-Code erzeugt. Teilen Sie dem Benutzer den Response-Code mit.
Hierzu steht eine Buchstabierhilfe zur Verfügung. Sie können den Response-Code auch in die
Zwischenablage kopieren.
Der Benutzer kann den Response-Code eingeben, die angeforderte Aktion ausführen und dann wieder mit dem Computer arbeiten.
7.4.7 Protokollierung von Web Helpdesk Ereignissen
Ereignisse für Web Helpdesk können in der Windows-Ereignisanzeige oder in der SafeGuard
Enterprise Datenbank protokolliert werden. Es können Ereignissen zu allen Helpdesk-Aktivitäten protokolliert werden, z. B., wer sich an Web Helpdesk angemeldet hat, welcher Benutzer eine
Challenge angefordert hat, oder welche Recovery-Aktionen angefordert wurden.
Die Ereignisprotokollierung für Web Helpdesk wird im SafeGuard Management Center durch eine
Richtlinie aktiviert. Die Richtlinie muss in einem Konfigurationspaket veröffentlicht und auf dem Web
Helpdesk Service wirksam gemacht werden.
Ereignisse, die in der zentralen SafeGuard Enterprise Datenbank protokolliert werden, können in der
SafeGuard Management Center Ereignisanzeige eingesehen werden.
Aktivieren der Protokollierung von Web Helpdesk Ereignissen
Die Protokollierung für Web Helpdesk wird im SafeGuard Management Center konfiguriert.
Sie müssen über die erforderlichen Rechte zum Erstellen von Richtlinien und Einsehen von
Ereignissen verfügen.
1. Erzeugen Sie eine Richtlinie des Typs Protokollierung im SafeGuard Management Center im
Richtlinien Navigationsbereich. Legen Sie fest, welche Ereignisse protokolliert werden. Speichern
Sie Ihre Änderungen.
2. Erstellen Sie eine neue Richtlinien-Gruppe. Fügen Sie die Richtlinie vom Typ Protokollierung zu dieser Gruppe hinzu. Speichern Sie Ihre Änderungen.
3. Klicken Sie im Extras Menü auf Konfigurationspakete. Wählen Sie Pakete für Managed
Clients und klicken Sie auf Konfigurationspaket hinzufügen. Wählen Sie die zuvor erstellte
Richtliniengruppe für das Konfigurationspaket aus. Legen Sie einen Speicherort fest und klicken
Sie auf Konfigurationspaket erstellen.
4. Weisen Sie im SafeGuard Management Center die Richtliniengruppe der Domäne zu, in der sich der Web Helpdesk Server befindet. Aktivieren Sie nun die Richtlinie. Für weitere Informationen,
siehe Zuweisen von Richtlinien (Seite 71).
5. Installieren Sie auf dem Web Helpdesk Server das zuvor erstellte Konfigurationspaket. Starten Sie den Service neu.
Die Protokollierung von Web Helpdesk Ereignissen ist aktiviert.
6. Melden Sie sich an Web Helpdesk an und führen Sie ein Challenge/Response-Verfahren durch.
7. Klicken Sie im SafeGuard Management Center auf Berichte. Klicken Sie im Aktionsbereich der
Ereignisanzeige auf das Lupensymbol, um die für Web Helpdesk protokollierten Ereignisse einzusehen.
7.5 Recovery
SafeGuard Enterprise bietet Wiederherstellungsmechanismen für folgende Szenarien:
Copyright © Sophos Limited 375
SafeGuard Enterprise Administratorhilfe
•
(Seite 377)
•
Recovery für BitLocker-verschlüsselte Endpoints
(Seite 258)
•
Recovery-Schlüssel für Mac-Endpoints (Seite 300)
• Wiederherstellung für SafeGuard Full Disk Encryption mit POA. Siehe dazu die SafeGuard
Enterprise 8 Administratorhilfe .
7.5.1 Challenge/Response Workflow
Das Challenge/Response-Verfahren basiert auf zwei Komponenten:
• Endpoint, auf dem der Challenge Code erzeugt wird.
• SafeGuard Management Center, in dem Sie als Helpdesk-Beauftragter mit ausreichenden
Rechten einen Response-Code erstellen, der den Benutzer zur Ausführung der angeforderten
Aktion auf dem Computer berechtigt.
Hinweis
Für ein Challenge/Response-Verfahren benötigen Sie das Zugriffsrecht Voller Zugriff für die beteiligten Computer/Benutzer.
1. Der Benutzer fordert auf dem Endpoint einen Challenge-Code an. Je nach Recovery-Typ wird der Challenge-Code in der SafeGuard Power-on Authentication oder über das KeyRecovery Tool angefordert.
Es wird ein Challenge-Code aus Ziffern und Buchstaben erzeugt und angezeigt.
2. Der Benutzer wendet sich an den Helpdesk und übermittelt die notwendige
Identifizierungsinformationen sowie den Challenge-Code.
3. Der Helpdesk-Beauftragte startet den Recovery-Assistenten im SafeGuard Management Center.
4. Der Helpdesk-Beauftragte wählt den entsprechenden Recovery-Typ, bestätigt die
Identifikationsinformationen sowie den Challenge-Code und wählt die gewünschte Recovery-Aktion aus.
Ein Response-Code in Form einer ASCII-Zeichenfolge wird generiert und angezeigt.
5. Der Helpdesk übermittelt den Response-Code per Telefon oder Text-Mitteilung an den Benutzer.
6. Der Benutzer gibt den Response-Code ein. Je nach Recovery-Typ erfolgt dies in der SafeGuard
POA oder über das KeyRecovery Tool.
Der Benutzer kann die autorisierte Aktion, z. B. Rücksetzen des Kennworts, ausführen und wieder mit dem Computer arbeiten.
7.5.2 Starten des Recovery-Assistenten
Damit Sie in der Lage sind, ein Recovery-Verfahren auszuführen, stellen Sie sicher, dass Sie über die erforderlichen Rechte und Berechtigungen verfügen.
1. Melden Sie sich am SafeGuard Management Center an.
2. Klicken Sie in der Menüleiste auf Extras > Recovery.
Der SafeGuard Recovery-Assistent wird gestartet. Sie können wählen, welchen Recovery-Typ Sie verwenden möchten.
376 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
7.5.3 Recovery über Mobile Geräte
Recovery-Schlüssel für BitLocker und FileVault 2 können an den Sophos Mobile Server gesendet werden. Sie werden zum SafeGuard Enterprise Schlüsselring hinzugefügt und können von
Benutzern von Sophos Secure Workspace (verwaltet über Sophos Mobile) auf deren Mobilgerät dargestellt und für die Wiederherstellung verwendet werden. Sophos Secure Workspace unterstützt
Recovery per Mobilgerät ab Version 6.2. Nähere Informationen dazu finden Sie in der Sophos
Secure Workspace 6.2 Benutzerhilfe.
Anforderungen:
• Die Synchronisierung der Schlüsselringe werden zwischen SafeGuard Enterprise und Sophos
Mobile muss konfiguriert werden. Die Option Recovery über Mobile Geräte muss aktiviert sein,
siehe SafeGuard Enterprise Schlüsselring für mobile Geräte mit Sophos Mobile freigeben (Seite
343).
• Sophos Secure Workspace 6.2 muss auf den Mobilgeräten verwendet werden.
• Benutzer müssen SGN-Benutzer an den Endpoints sein. Sie müssen auf den betroffenen
Endpoints in einer Benutzer-Computer Zuordnung (UMA) sein.
• Benutzer müssen an einem bestimmten Computer angemeldet sein, von dem sie die Schlüssel für die Festplattenverschlüsselung bekommen.
Hinweis
Um die Menge der übermittelten Daten zu beschränken, werden nur die Schlüssel von zehn
Endpoints zum Schlüsselring hinzugefügt. Es werden die zehn Computer herangezogen, die zuletzt Kontakt zum Server hatten.
Recovery-Schlüssel auf mobilen Geräten anzeigen
Hinweis
Sophos Secure Workspace muss im Sophos Container installiert sein.
So zeigen Sie den Recovery-Schlüssel für einen Computer an:
1. Tippen Sie im Menü auf Recovery-Schlüssel um eine Liste der Ihnen zugewiesenen Computer anzuzeigen.
2. Tippen Sie auf den Namen eines Computers um seinen Recovery-Schlüssel anzuzeigen.
3. Folgen Sie den Anweisungen auf dem Sperrbildschirm von BitLocker (Windows) oder FileVault
(macOS), um den Computer zu entsperren.
7.6 Tools
In diesem Abschnitt wird die Verwendung der in SafeGuard Enterprise enthaltenen Tools beschrieben.
Sie finden die Tools im Tools Verzeichnis Ihrer SafeGuard Enterprise Software-Lieferung.
Copyright © Sophos Limited 377
SafeGuard Enterprise Administratorhilfe
Zielgruppe
Die Zielgruppe dieses Handbuchs bilden Administratoren, die mit SafeGuard Enterprise als
Sicherheitsbeauftragte arbeiten.
7.6.1 Client/Server Connectivity Check Werkzeug für Windows
Wenn Benutzer Schwierigkeiten bei der Synchronisierung eines Endpoints mit dem Server haben, können Sie das Client/Server Connectivity Check Werkzeug verwenden um festzustellen, warum die Kommunikation zwischen Endpoint und SafeGuard Enterprise Server fehlschlägt. Es prüft alle relevanten Verbindungen und listet die Ergebnisse auf.
Wenn das Tool ein Kommunikationsproblem erkennt, finden Sie im Sophos Knowledgebase-Artikel
109662 Informationen zur Fehlerbehebung.
Verbindung zum Server prüfen
Windows
Öffnen Sie C:\Program Files (x86)\Sophos\SafeGuard Enterprise\Client und führen
Sie die Anwendung SGNCSCC.exe
aus.
Mac
Öffnen Sie /Library/Application Support/Sophos Encryption/ und führen Sie die
Anwendung SGNConnectivityTool aus.
7.6.2 Anzeigen von Synchronized Encryption Richtlinien auf
Endpoints
SafeGuard Enterprise bietet mit ShowSyncEncPolicyn.exe
ein Kommandozeilentool, das die aktuell gültigen Synchronized Encryption Richtlinien auf einem Endpoint anzeigt.
Sie müssen das Tool immer in der passenden Benutzerumgebung ausführen. Wenn Sie zum
Beispiel das Tool als Administrator auf dem Computer von Benutzer A ausführen, werden nicht die tatsächlichen Richtlinien von Benutzer A angezeigt.
Folgendes wird angezeigt:
• die Applikationenliste Sie enthält alle Anwendungen, die automatisch Dateien verschlüsseln (In-
Apps).
• eine Liste der Dateierweiterungen, die bei der Initialverschlüsselung sowie bei der asynchronen
Verschlüsselung berücksichtigt werden.
• die Verschlüsselungsregeln für Synchronized Encryption Sie enthalten die Pfade, wo Dateien verschlüsselt oder von der Verschlüsselung ausgenommen sind, sowie die passenden
Schlüssel.
378 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Parameter
Sie können ShowSyncEncPolicyn.exe
mit folgenden Parametern aufrufen:
ShowSyncEncpolicyn.exe [-h] [-A] [-a] [-e] [-d]
• Parameter -h zeigt die Hilfe an.
• Parameter -A zeigt die Applikationenliste, die Dateierweiterungen und die
Verschlüsselungsregeln an.
• Parameter -a zeigt die Applikationenliste an.
• Parameter -e zeigt die Dateierweiterungen an.
• Parameter -d zeigt die Verschlüsselungsregeln an.
Beispiel
ShowSyncEncPolicyn.exe -A
Folgendes wird angezeigt:
• ein Hinweis, dass Sie das Tool immer in der passenden Benutzerumgebung ausführen müssen.
• der in der Richtlinie definierte Umfang der Verschlüsselung. Zum Beispiel: Überall.
• Die Pfade, wo Dateien verschlüsselt werden und der passende Schlüssel für jeden Pfad.
• Die von der Verschlüsselung ausgenommenen Verzeichnisse.
• Die Liste der Dateierweiterungen, die bei der Initialverschlüsselung sowie bei der asynchronen
Verschlüsselung berücksichtigt werden.
• Die Liste der In-Apps.
7.6.3 Anzeigen des Systemstatus mit SGNState
SafeGuard Enterprise bietet mit SGNState ein Kommandozeilentool, das Informationen zum aktuellen Status (Verschlüsselungsstatus sowie weitere detaillierte Statusinformationen) einer
SafeGuard Enterprise Installation auf einem Endpoint anzeigt.
Reporting
SGNState kann auch wie folgt verwendet werden:
• Der SGNState Rückgabecode kann am Server mit Drittanbieter-Werkzeugen ausgewertet werden.
• SGNState /LD gibt die Ausgabe für LANDesk formatiert zurück. Sie kann in einer Datei gespeichert werden.
Parameter
Sie können SGNState mit folgenden Parametern aufrufen:
Copyright © Sophos Limited 379
SafeGuard Enterprise Administratorhilfe
SGNState [/?] [/H/Type|Status] [/L] [/LD] [/USERLIST]
• Parameter /?
gibt Hilfeinformationen zu den verfügbaren SGNState
Kommandozeilenparametern zurück.
• Parameter /H Type gibt zusätzliche Hilfeinformationen zu Laufwerkstypen zurück.
• Parameter /H Status gibt zusätzliche Hilfeinformationen zum Laufwerksstatus zurück.
• Wenn Sie SGNState mit dem Parameter /L aufrufen, erhalten Sie folgende Informationen:
Betriebssystem
Produktversion
Verschlüsselungstyp [SGN | Opal | BitLocker | BitLocker-C/R | unbekannte oder frühere Version von SGN]
Power On Authentication [yes | no | n/a]
WOL (Wake on LAN status) [yes | no | n/a]
Servername
Zweiter Servername
Anmeldemodus [SGN, no automatic logon | UID/PW | TOKEN/PIN | FINGERPRINT | BL
(BitLocker)]
Aktivierungsstatus des Clients [ENTERPRISE | OFFLINE]
Letzte Datenreplikation [Datum, Zeit]
Aktive zertifikatsbasierte Token-Anmeldung in POA [yes | no | n/a]
FIPS-Modus aktiviert [yes | no ]
Typ des Benutzerzertifikats [0 | 1 | 2 | 3 | n/a | ?]
Rückgabecode [Rückgabecode]
File Encryption Driver Versionen [Treiberversionen]
Laufwerksinformationen:
Name Typ
<Name> [HD-Part | ...]
Status
[encrypted | not encrypted | ...]
Verschlüsselungsmethode
[<Name des Algorithmus> | n/a
| ...]
FLOPPY
REMOV.PART
REM_PART
HD-PART
UNKNOWN not accessible stopped because of a failure encryption starting encryption in progress decryption starting decryption in progress not prepared
• Wenn Sie SGNState mit dem Parameter /LD aufrufen, erhalten Sie diese Informationen für
LANDesk formatiert.
Die Ausgabe ist ähnlich zur Ausgabe von /L , aber jede Zeile beginnt mit Sophos SafeGuard:
Beispiel:
Sophos SafeGuard - Operating system = Windows 10 Enterprise
380 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Sophos SafeGuard - Product version = 8.20.0.64
Sophos SafeGuard - Encryption type = BitLocker
...
• Wenn Sie SGNState mit dem Parameter /USERLIST aufrufen, erhalten Sie zusätzlich eine Liste aller Benutzer die in der UMA vorhanden sind inklusive den Typen der zugeordneten Zertifikate.
Zertifikatstyp
0
1
2
3
Dem Benutzer ist noch kein Zertifikat zugeordnet
P7 Zertifikat (zum Beispiel Token-Anmeldung mit P12 auf der SmartCard)
P12 Zertifikat
P7+P12 Zertifikate (normaler SGN-Benutzer)
-
?
Der Zertifikatstyp konnte nicht festgestellt werden unbekannte Zertifikatskombination
• Rückgabecode:
0
1
-1
Kein Volume ist verschlüsselt zumindest ein Volume ist verschlüsselt
Ein Fehler ist aufgetreten (zum Beispiel weil keine SafeGuard Enterprise Device
Encryption installiert ist)
7.6.4 Fehlgeschlagene Installation mit SGNRollback rückgängig machen
Hinweis
SGNRollback sollte nur mit Windows 7 ohne BitLocker verwendet werden.
Sollte die Installation von SafeGuard Enterprise auf einem Endpoint fehlschlagen, so ist u. U. das
Booten des betreffenden Computers nicht mehr möglich und es besteht kein Zugriff für die Remote-
Administration.
SGNRollback repariert eine fehlgeschlagene SafeGuard Enterprise Installation auf einem Endpoint, wenn die folgenden Bedingungen zutreffen:
• Während des ersten Boot-Vorgangs nach der Installation blockiert die Power-on Authentication und der Computer kann nicht mehr gestartet werden.
• Die Festplatte ist nicht verschlüsselt.
SGNRollback macht die Auswirkungen einer fehlgeschlagenen Installation von SafeGuard
Enterprise wie folgt rückgängig:
• SGNRollback ermöglicht das Booten des gesperrten Computers,
• entfernt SafeGuard Enterprise und
• und macht alle Änderungen an anderen Betriebssystemkomponenten rückgängig.
Starten Sie SGNRollback von einem Windows-basierten Recovery-System aus, WindowsPE oder
BartPE.
Copyright © Sophos Limited 381
SafeGuard Enterprise Administratorhilfe
382
Voraussetzungen
Voraussetzungen für die Anwendung von SGNRollback:
• SGNRollback kann auf den Recovery-Systemen WinPE und BartPE angewendet werden. Damit
Sie SGNRollback verwenden können, integrieren Sie das Tool in das gewünschte Recovery-
System. Weitere Informationen finden Sie in der Dokumentation zum jeweiligen Recovery-
System.
Wenn SGNRollback durch Autorun gestartet werden soll, muss der Administrator, der
SGNRollback anwendet, die relevanten Einstellungen in WinPE (siehe Aktivieren von
SGNRollback Autostart für Windows PE
(Seite 382)) oder BartPE (siehe
SGNRollback Autostart für BartPE (Seite 382)) vornehmen.
• Die Festplattenverschlüsselung von SafeGuard Enterprise ist installiert.
Hinweis
Die Migration von SafeGuard Easy zu SafeGuard Enterprise wird nicht unterstützt.
Starten von SGNRollback im Recovery-System
Sie können SGNRollback manuell starten oder es in den Autostart des Recovery-Systems einbinden.
Aktivieren von SGNRollback Autostart für Windows PE
Um den SGNRollback Autostart für Windows PE zu aktivieren, installieren Sie den Microsoft
Windows Automated Installation Kit. Das Windows Preinstallation Environment Benutzerhandbuch beschreibt das Erstellen einer Windows PE Umgebung sowie das automatische Starten einer
Applikation.
Aktivieren von SGNRollback Autostart für BartPE
1. Erstellen Sie mit BartPEBuilder Version 3.1.3 oder einer neueren Version ein PE Image. Weitere
Informationen hierzu finden Sie in der BartPE Dokumentation.
2. Fügen Sie im BartPE Builder das Recovery Tool Verzeichnis im Feld Custom hinzu.
3. Erstellen Sie das Image.
4. Kopieren Sie die Datei AutoRun0Recovery.cmd vom SafeGuard Enterprise Medium in das
Verzeichnis i386 der mit BartPE vorbereiteten Windows-Version.
5. Erstellen Sie eine AutoRun0Recovery.cmd mit den folgenden beiden Textzeilen:
\Recovery\recovery.exe
exit
6. Starten Sie das PEBuilder Tool von der Befehlszeile aus:
Pebuilder -buildis
Es wird eine neues ISO Image erstellt, das die Autorun-Datei enthält.
7. Speichern Sie das resultierende Image auf einem Recovery-Medium.
Wenn Sie dieses Image booten, wird SGNRollback automatisch gestartet.
Parameter
SGNRollback kann mit folgendem Parameter gestartet werden:
Copyright © Sophos Limited
-drv WinDrive
SafeGuard Enterprise Administratorhilfe
Der Buchstabe des Laufwerks, auf dem sich die zu reparierende SafeGuard Enterprise Installation befindet. Dieser Parameter kann nur im Recovery-
Modus verwendet werden. Er muss bei Multi-Boot-
Systemen verwendet werden, um das korrekte
Laufwerk anzugeben.
Fehlgeschlagene Installation mit SGNRollback rückgängig machen
Um die Auswirkungen einer fehlgeschlagenen SafeGuard Enterprise Installation auf einem Endpoint rückgängig zu machen, gehen Sie wie folgt vor:
1. Starten Sie den Computer von dem Recovery-Medium, das das Recovery-System einschließlich
SGNRollback enthält.
2. Starten Sie SGNRollback im Recovery-System. Wurden für SGNRollback Autorun-Einstellungen definiert, startet das Tool automatisch. SGNRollback bereitet das Betriebssystem für die
Deinstallation von SafeGuard Enterprise vor.
3. Sie werden nun dazu aufgefordert, das Recovery-Medium zu entfernen. Danach wird der Computer im abgesicherten Modus des Betriebssystems neu gestartet.
Alle vorgenommenen Änderungen werden rückgängig gemacht und SafeGuard Enterprise wird deinstalliert.
7.6.5 Wiederherstellen des Zugriffs auf Computer mit dem
KeyRecovery Tool
Das KeyRecovery Tool dient zum Wiederherstellen des Zugriffs auf einen Computer in komplexen
Recovery-Szenarien, z. B. wenn die Power-on Authentication beschädigt ist und der Computer von der SafeGuard Recovery Disk gestartet werden muss. Das Tool wird im Rahmen eines Challenge/
Response Vorgangs gestartet.
Hinweis
Eine detaillierte Beschreibung des Tools finden Sie in der SafeGuard Enterprise Administratorhilfe im Abschnitt Challenge/Response mit virtuellen Clients.
7.6.6 Wiederherstellen von mit SafeGuard
Festplattenverschlüsselung verschlüsselten Windows BIOS
Systemen
Hinweis
Die folgende Beschreibung bezieht sich auf Windows BIOS Endpoints mit SafeGuard
Festplattenverschlüsselung und SafeGuard Power-on Authentication.
SafeGuard Enterprise verschlüsselt Dateien und Laufwerke transparent. Darüber hinaus können auch Boot-Volumes verschlüsselt werden, so dass Entschlüsselungsfunktionalitäten wie Code,
Verschlüsselungsalgorithmen und Verschlüsselungsschlüssel sehr früh in der Bootphase verfügbar sein müssen. Folglich kann auf verschlüsselte Informationen nicht zugegriffen werden, wenn entscheidende SafeGuard Enterprise Module nicht verfügbar sind oder nicht funktionieren.
Copyright © Sophos Limited 383
SafeGuard Enterprise Administratorhilfe
Wiederherstellen eines beschädigten MBR
Die Power-on Authentication von SafeGuard Enterprise wird aus dem MBR einer Festplatte eines
Computers geladen. Bei der Installation speichert SafeGuard Enterprise eine Kopie des Originals – in ihrem Zustand vor der Installation von Sophos SafeGuard – in seinem Kernel und modifiziert den
PBR Loader von LBA 0. Der modifizierte MBR enthält bei LBA 0 die Adresse des ersten Sektors des
SafeGuard Enterprise Kernels sowie seine Gesamtgröße.
Probleme mit dem MBR können mit dem SafeGuard Enterprise Tool be_restore.exe
gelöst werden. Dieses Tool ist eine Win32-Anwendung und muss unter Windows laufen – nicht unter DOS.
Ein fehlerhafter MBR Loader verursacht ein unbootbares System. Er kann auf zwei Arten wiederhergestellt werden:
• Wiederherstellen des MBR aus einer Sicherungskopie,
• Reparatur des MBR
So stellen Sie einen beschädigen MBR wieder her:
1.
Es wird empfohlen, eine Windows PE (Preinstalled Environment) CD zu erstellen.
2.
Um das Tool be_restore.exe
zu verwenden, werden einige zusätzliche Dateien benötigt. Sie finden das Tool sowie die benötigten Dateien in Ihrer SafeGuard Enterprise Software-Lieferung im Verzeichnis Tools\KeyRecovery and restore . Kopieren Sie alle Dateien in diesem
Ordner auf einen USB-Stick. Legen Sie alle Dateien im selben Verzeichnis auf dem USB-Stick ab. Andernfalls kann das Tool nicht erfolgreich gestartet werden.
Hinweis
Zum Starten von be_restore.exe
in einer Windows PE-Umgebung ist die Windows-
Datei OLEDLG.dll erforderlich. Diese Datei ist nicht im Ordner Tools\KeyRecovery and restore enthalten. Fügen Sie diese Datei aus einer Windows-Installation zum Recovery Tool
Ordner auf Ihrer Recovery-CD hinzu.
3.
Falls notwendig, passen Sie die Startreihenfolge im BIOS an und wählen Sie CD-ROM an erste
Stelle.
Hinweis
Mit be_restore.exe
lässt sich nur der MBR auf Disk 0 reparieren. Wenn Sie zwei Festplatten verwenden und das System von der anderen Festplatte gestartet wird, ist eine Wiederherstellung bzw. Reparatur nicht möglich. Dies ist auch der Fall, wenn Sie eine externe Festplatte verwenden.
Wiederherstellen einer zuvor gespeicherten MBR-Sicherung
Jeder SafeGuard Enterprise Endpoint speichert seinen computereigenen SafeGuard Enterprise
MBR (LBA 0 der Boot-Festplatte nach der Modifizierung durch SafeGuard Enterprise) in der
SafeGuard Enterprise Datenbank. Er kann aus dem SafeGuard Management Center in eine Datei exportiert werden.
Wiederherstellen einer zuvor gespeicherten MBR-Sicherung:
1. Klicken Sie im SafeGuard Management Center auf Benutzer & Computer und markieren Sie den betreffenden Computer im Navigationsbereich.
2. Klicken Sie mit der rechten Maustaste auf den Computer und wählen Sie Eigenschaften >
Computereinstellungen > Sicherung > Exportieren, um den MBR zu exportieren. Das
384 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Ergebnis ist eine 512 Bytes große Datei mit der Dateinamenerweiterung .BKN, die den MBR enthält.
3. Kopieren Sie diese Datei und fügen Sie sie zu den anderen SafeGuard Enterprise Dateien auf dem
USB-Stick hinzu.
4. Legen Sie nun die Windows PE Boot CD in das CD-Laufwerk ein, stecken Sie den USB-Stick ein und schalten Sie den Computer ein, um den Computer von der CD zu booten.
5. Wenn der Computer bereit ist, wechseln Sie im cmd-Dialog auf dem USB-Laufwerk in den Ordner, in dem sich die SafeGuard Enterprise Dateien befinden, und starten Sie be_restore.exe
.
6. Wählen Sie Restore MBR für die Wiederherstellung aus einer Sicherungskopie und wählen Sie danach die .BKN-Datei aus.
Das Tool überprüft nun, ob die ausgewählte .BKN-Datei mit dem Computer übereinstimmt und stellt danach den gespeicherten MBR wieder her.
Reparatur des MBR ohne Sicherungskopie
Auch wenn lokal keine MBR-Backup Datei verfügbar ist, kann ein beschädigter MBR Loader von be_restore.exe repariert werden. be_restore.exe
- Repair MBR lokalisiert den SafeGuard
Enterprise Kernel auf der Festplatte, verwendet seine Adresse und erstellt den MBR Loader neu.
Das ist sehr vorteilhaft, zumal keine computerspezifische MBR-Backupdatei lokal vorhanden sein muss. Dieser Vorgang nimmt jedoch etwas mehr Zeit in Anspruch, da nach dem SafeGuard
Enterprise Kernel auf der Festplatte gesucht wird.
Um die Reparatur-Funktion zu verwenden, treffen Sie die unter
Wiederherstellen eines beschädigten MBR
(Seite 384) Vorbereitungen, wählen aber Repair MBR beim Ausführen von be_restore.exe
aus.
Werden mehrere Kernel gefunden, so verwendet be_restore.exe
– Repair MBR den Kernel mit dem aktuellsten Zeitstempel.
Partitionstabelle
SafeGuard Enterprise erlaubt das Anlegen von neuen primären oder erweiterten Partitionen. Das
ändert die Partitionstabelle auf der Festplatte mit der Partition.
Während der Wiederherstellung eines MBR Backups entdeckt das Tool, dass der aktuelle MBR bei LBA 0 und die wiederherzustellende MBR Backupdatei (*.BKN) verschiedene Partitionstabellen enthalten. In einem Dialog kann der Benutzer die Tabelle auswählen, die verwendet werden soll.
Reparatur eines MBR mit einer beschädigten Partitionstabelle
Eine beschädigte Partitionstabelle kann dazu führen, dass das Betriebssystem nach einer erfolgreichen POA-Anmeldung nicht gebootet werden kann.
Zur Behebung dieses Problems können Sie mit be_restore.exe eine zuvor gespeicherte MBR-
Sicherung wiederherstellen oder den MBR ohne MBR-Sicherung reparieren.
Wenn Sie über eine Sicherung verfügen, gehen Sie wie für die Option Restore MBR beschrieben vor.
Wenn Sie keine Sicherung haben, gehen Sie wie folgt vor:
1. Legen Sie die Windows PE Boot CD ein, stecken Sie den USB Stick mit den SafeGuard Enterprise
Dateien ein und schalten Sie den Computer ein, um von der CD zu booten.
2. Wenn der Computer bereit ist, wechseln Sie in der Eingabeaufforderung auf dem USB-
Laufwerk in den Ordner, in dem sich die SafeGuard Enterprise Dateien befinden, und starten Sie be_restore.exe
.
Copyright © Sophos Limited 385
SafeGuard Enterprise Administratorhilfe
3. Wählen Sie Repair MBR. Wenn be_restore.exe einen Unterschied zwischen der Partitionstabelle des aktuellen MBR und des gespiegelten MBR entdeckt, wird ein Dialog zur Auswahl der zu verwendenden Partitionstabelle angezeigt.
Bei dem gespiegelten MBR handelt es sich um den Original Microsoft MBR, der während der Konfiguration des SafeGuard Enterprise Client für die Wiederherstellung, z. B. bei einer
Deinstallation des Client, gespeichert wird. Die Partitionstabelle in diesem gespiegelten MBR wird durch SafeGuard Enterprise aktualisiert, wenn in Windows Partitionsänderungen auftreten.
4. Wählen Sie From Mirrored MBR.
Wichtig
Wählen Sie nicht From Current MBR aus, da sonst die beschädigte Tabelle aus dem aktuellen MBR verwendet wird. In diesem Fall kann das System weiterhin nicht gebootet werden. Darüber hinaus wird der gespiegelte MBR aktualisiert und wird somit auch korrupt.
Windows Disk Signature
Wann immer Windows auf einer Festplatte zum ersten Mal ein Dateisystem anlegt, erstellt es eine
Signatur für diese Festplatte. Diese Signatur ist im MBR der Festplatte bei den Offsets 0x01B –
0x01BB gespeichert. Beachten Sie, dass beispielsweise die logischen Laufwerksbuchstaben der
Festplatte von der Windows Disk Signature abhängen.
Deshalb ändern Sie nicht die Disk Signature, beispielsweise mit ("FDISK/MBR"). Andernfalls schaltet
Windows beim nächsten Starten in einen aufwändigen Festplatten-Scan-Modus und stellt die Liste der Laufwerke wieder her.
Wann immer das unter SafeGuard Enterprise passiert, wird der Filtertreiber “BEFLT.sys” von
SafeGuard Enterprise nicht geladen. Das verursacht ein nicht bootbares System: Der Computer zeigt einen Bluescreen ‘STOP 0xED “Unmountable Boot Volume”‘.
Um das unter SafeGuard Enterprise zu reparieren, muss die original Windows Disk Signature im
MBR der Festplatte wiederhergestellt werden.
Das wird auch be_restore.exe
erledigt.
Hinweis
Verwenden Sie kein anderes Tool um den MBR zu reparieren. Beispielsweise eine alte
MS DOS FDISK.exe, die Sie zum erneuten Schreiben des MBR Loaders (“FDISK /MBR”) verwenden, könnte einen anderen MBR Loader ohne Windows Disk Signatur erstellen.
Genauso wie er die Windows Disk Signature löscht, könnte der "neue" MBR Loader, der von einem alten Tool erstellt wurde, mit den heutigen Festplattengrößen nicht zurechtkommen. Bitte benutzen Sie immer aktuelle Versionen von Reparaturwerkzeugen.
Bootsektor
Der Bootsektor eines Volumes wird bei der Verschlüsselung gegen den SafeGuard Enterprise
Bootsektor ausgetauscht. Der SafeGuard Enterprise Bootsektor enthält Informationen zu Speicherort und Größe des primären KSA und des Backup-KSA in Clustern und Sektoren bezogen auf den Beginn der Partition. Auch wenn der SafeGuard Enterprise Bootsektor zerstört ist, ist kein
Zugriff auf verschlüsselte Volumes möglich. Das Tool be_restore kann den zerstörten Bootsektor wiederherstellen.
386 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
7.6.7 Wiederherstellen von Windows UEFI BitLocker Challenge/
Response Systemen
Für die Wiederherstellung vom Windows UEFI BitLocker Systemen bietet Sophos das
Wiederstellungstool BLCRBackupRestoren.exe
. Mit diesem Werkzeug können Sie:
• BitLocker Challenge/Response bezogene Daten sichern:
Das ist nur notwendig, wenn die automatische Sicherung fehlschlägt. (Log Event 3071:
"Schlüssel-Backup konnte nicht auf der angegebenen Netzwerkfreigabe gespeichert werden.")
• Eine frühere Sicherung manuell wiederherstellen und die NVRAM Bootreihenfolge reparieren:
Das ist nur notwendig, wenn Sie vermuten, dass BitLocker Challenge/Response-bezogene
Daten beschädigt oder gelöscht wurden.
BLCRBackupRestoren.exe
muss von einer Windows PE Umgebung gestartet werden. Es ist auf der Sophos Virtual Client CD enthalten.
Aufruf des Kommandozeilen-Tools
Syntax
blcrbackuprestoren [-?] [-B [-T <Dateipfad>]] [-R [-K <Dateiname>] [-S
<Dateiname>]] [-I] [-D]
Optionen
• -?
Hilfe anzeigen
• -B
Backup (Sicherung)
• -T <Dateipfad>
Optional existierender Zielpfad
• -R
Restore (Wiederherstellen)
• -K <Dateiname>
Optionaler Schlüssel Pfad\Dateiname
Die optionale Schlüsseldatei ist die .BKN Datei, die aus dem SafeGuard Management Center zu exportieren ist.
Um sie zu exportieren:
— Klicken Sie im SafeGuard Management Center auf Benutzer & Computer und markieren
Sie den betreffenden Computer im Navigationsbereich.
— Klicken Sie mit der rechten Maustaste auf den Computer und wählen Sie Eigenschaften >
Computereinstellungen > Sicherung > Exportieren.
Copyright © Sophos Limited 387
SafeGuard Enterprise Administratorhilfe
Wenn BitLocker Challenge/Response-bezogene Daten erfolgreich gesichert wurden, ist die
Option -R ausreichend.
• -S <Dateiname>
Optionale Quelle Pfad\Dateiname
• -I
Booteintrag installieren.
• -D
Booteintrag löschen.
Hinweis
Schlägt die automatische Wiederherstellung fehl, führen Sie die nachfolgenden Schritte aus, um eine auf einer Recovery Partition ohne zugewiesenen Laufwerksbuchstaben verfügbare Backup-
Datei zu verwenden:
• Weisen Sie der Recovery Partition einen Laufwerksbuchstaben zu
• und geben Sie den absoluten Pfad zu der Backup-Datei an.
Es gibt immer nur eine Datei: <Laufwerksbuchstabe>:\SOPHOS\<Dateiname>.cps
.
Beispiele
• Sichern
— blcrbackuprestoren -b erstellt ein Archiv am Standardspeicherort.
— blcrbackuprestoren -b -T <USBStick Laufwerk>:\Backup\ legt ein Archiv auf einem externen Laufwerk an.
• Restore (Wiederherstellen)
— blcrbackuprestoren -r extrahiert das Archiv vom Standardspeicherort.
— blcrbackuprestoren -r -k X:\example\example.BKN
extrahiert das Archiv vom
Standardspeicherort und rekonstruiert die Schlüsseldatei.
7.6.8 Sicheres Löschen von verschlüsselten Volumes
Auf Computern mit SafeGuard Enterprise ermöglicht das Kommandozeilen-Tool beinvvol.exe
das sichere Löschen von verschlüsselten Volumes (Festplatten, USB-Sticks usw.). Unser
Kommandozeilen-Tool basiert auf dem DoD Standard 5220.22-M, mit dem das sichere Löschen von Schlüsselspeichern durchgeführt werden kann. Dieser Standard umfasst das siebenmalige
Überschreiben mit zufälligen und alternativen Mustern.
Das Kommandozeilen-Tool kann auf Computern benutzt werden, für die Folgendes gilt:
• SafeGuard Enterprise ist installiert.
• Einige Volumes auf der Festplatte sind verschlüsselt.
Sie müssen dieses Tool in einem System ausführen, in dem der SafeGuard Enterprise
Verschlüsselungstreiber nicht aktiv ist. Dadurch wird verhindert, dass Daten unbeabsichtigt gelöscht werden. Andernfalls funktioniert das Tool nicht und es wird eine Fehlermeldung angezeigt.
388 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
Hinweis
Wir empfehlen, Ihr System von einem externen Medium, z. B. einer Windows PE CD, zu starten und das Tool gemäß den Anweisungen der Kommandozeilen-Hilfe anzuwenden.
Nach dem sicheren Löschen der entsprechenden Ziel-Volumes sind diese nicht mehr lesbar.
Gemäß DoD Standard 5220.22-M löscht das Kommandozeilen-Tool die Boot-Sektoren und die
SafeGuard Enterprise Key Storage Areas (Orginal-KSA und Sicherheitskopie) der einzelnen verschlüsselten Volumes durch siebenmaliges Überschreiben. Da keine Sicherungskopien der Data
Encryption Keys der einzelnen Volumes in der SafeGuard Enterprise Datenbank gespeichert sind, sind die Volumes nach der Anwendung des Kommandozeilen-Tools vollständig abgeriegelt. Auch für
Sicherheitsbeauftragte ist kein Zugriff mehr möglich.
Das Kommandozeilen-Tool gibt am Bildschirm noch Informationen über die Löschung aus. Unter anderem werden Name und Größe des Volumes sowie Informationen zu Boot-Sektoren und KSAs angezeigt. Diese Informationen können nach Wunsch in einer Datei gespeichert werden. Der Pfad zu dieser Datei sollte natürlich auf ein Volume verweisen, das nicht in den Löschvorgang einbezogen ist.
Hinweis
Nach dem Löschen können die Daten nicht wiederhergestellt werden.
Aufruf des Kommandozeilen-Tools
Syntax
• xl[volume]
Zeigt Informationen über das/die Ziel-Volume(s) an. Wird kein Ziel-Volume angegeben, werden
Informationen zu allen vorhandenen Volumes angezeigt.
• xi<volume>
Zerstört das/die Ziel-Volume(s) wenn es/sie mit SafeGuard Enterprise verschlüsselt ist/sind. Das
Ziel <Volume> muss für dieses Kommando angegeben werden.
• <volume>
Gibt das Ziel-Volume = {a, b, c, ..., z, *} an.<*> steht für alle Volumes.
Optionen
• -g0
Schaltet die Protokollierung aus.
• -ga[file]
Protokollierungsmodus -append. Fügt die Einträge am Ende der Zieldatei ein oder erzeugt eine neue Datei wenn keine Protokollierungsdatei existiert.
• gt[file]
Logging mode -truncate. Kürzt die Ziel-Protkollierungsdatei, wenn bereits vorhanden. Andernfalls wird sie angelegt.
Copyright © Sophos Limited 389
SafeGuard Enterprise Administratorhilfe
• [file]
Gibt die Protokollierungsdatei an. Wird keine Datei angegeben, wird als Standarddatei
"BEInvVol.log" unter dem aktuellen Pfad erzeugt. Sie dürfen die Protokollierungsdatei nicht auf dem Volume angeben, das zerstört wird!
• -?, -h
Zeigt die Hilfe an.
Beispiele
> beinvvol -h
> beinvvol xld
> beinvvol xle -ga"c:\subdir\file.log"
> beinvvol xl* -gt"c:\subdir\file.log"
> beinvvol xif -gt"c:\my subdir\file.log"
> beinvvol xig -g0
> beinvvol xi*
7.6.9 Sicheres Löschen von selbst-verschlüsselnden Opal-
Festplatten
Selbst-verschlüsselnde Festplatten bieten hardware-basierende Verschlüsselung der Daten, die auf die Festplatte geschrieben werden. Die Trusted Computing Group (TCG) hat den anbieterunabhängigen Opal-Standard für selbst-verschlüsselnde Festplatten veröffentlicht. SafeGuard
Enterprise unterstützt den Opal-Standard und bietet die Verwaltung von Endpoints mit selbstverschlüsselnden Festplatten, die dem Opal-Standard entsprechen.
Weitere Informationen zu Opal-Festplatten finden Sie in der SafeGuard Enterprise Administratorhilfe im Kapitel SafeGuard Enterprise und selbst-verschlüsselnde Opal-Festplatten.
Für durch SafeGuard Enterprise geschützte Computer steht das Tool opalinvdisk.exe
zur
Verfügung.
Voraussetzungen und Empfehlungen
Für die Anwendung von opalinvdisk.exe
gelten folgende Voraussetzungen und Empfehlungen:
• Vor der Anwendung von opalinvdisk.exe
muss die Opal-Festplatte mit dem SafeGuard
Enterprise Befehl Entschlüsseln aus dem Windows Explorer Kontextmenü auf dem
Endpoint entsperrt werden. Weitere Informationen finden Sie in der SafeGuard Enterprise
Administratorhilfe im Abschnitt Berechtigung von Benutzern zum Entsperren von Opal-
Festplatten sowie in der SafeGuard Enterprise Benutzerhilfe im Abschnitt System Tray Icon und
Explorer-Erweiterungen auf Endpoints mit Opal-Festplatten.
• Sie benötigen Administratorrechte.
• Wir empfehlen, opalinvdisk.exe
in einer Windows PE Umgebung anzuwenden.
• Das Tool opalinvdisk.exe
startet den optionalen Service RevertSP mit dem Parameter
KeepGlobalRangeKey in der Einstellung False . Der durch RevertSP durchgeführte, eigentliche Löschvorgang ist von der jeweiligen Festplatte abhängig. Weitere Informationen
390 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe finden Sie in Abschnitt 5.2.3 des Opal-Standards TCG Storage Security Subsystem Class: Opal,
Specification Version 1.00, Revision 3.00 (verfügbar auf www.trustedcomputinggroup.org
).
Ausführen von opalinvdisk.exe
1. Öffnen Sie eine Eingabeaufforderung und starten Sie opalinvdisk.exe
mit
Administratorrechten.
Informationen zum Tool und seiner Anwendung werden angezeigt.
2. Geben Sie in die Eingabeaufforderung opalinvdisk.exe <TargetDevice> ein.
Zum Beispiel: opalinvdisk.exe PhysicalDrive0
Wenn die notwendigen Voraussetzungen erfüllt sind, wird auf der in <TargetDevice> angegebenen Festplatte RevertSP gestartet. Sind die Voraussetzungen nicht erfüllt, oder unterstützt die Festplatte RevertSP nicht, so wird eine Fehlermeldung angezeigt.
Copyright © Sophos Limited 391
SafeGuard Enterprise Administratorhilfe
8 Technische Unterstützung
Technische Unterstützung zu Sophos-Produkten erhalten Sie auf folgende Weise:
• Tauschen Sie sich in der Sophos Community unter community.sophos.com/ mit anderen Benutzern aus, die dasselbe Problem haben.
• Durchsuchen Sie die Wissensdatenbank des Sophos Support unter www.sophos.com/de-de/ support.aspx
.
• Lesen Sie die Produktdokumentation unter www.sophos.com/de-de/support/documentation.aspx
.
• Stellen Sie eine Support-Anfrage unter https://secure2.sophos.com/support/contact-support/ support-query.aspx
.
392 Copyright © Sophos Limited
SafeGuard Enterprise Administratorhilfe
9 Rechtliche Hinweise
Copyright © 2019 Sophos Limited. Alle Rechte vorbehalten. Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche Genehmigung des Urheberrechtsinhabers.
Sophos, Sophos Anti-Virus und SafeGuard sind eingetragene Marken von Sophos Limited, Sophos
Group und Utimaco Safeware AG. Alle anderen erwähnten Produkt- und Unternehmensnamen sind
Marken oder eingetragene Marken der jeweiligen Inhaber.
Copyright-Informationen von Drittanbietern finden Sie im Dokument Disclaimer and Copyright for 3rd
Party Software in Ihrem Produktverzeichnis.
Copyright © Sophos Limited 393
advertisement
Related manuals
advertisement